黑客攻击及防御技术课件.ppt

1、5.1拒绝服务攻击拒绝服务攻击5.2恶意软件恶意软件5.3邮件攻击邮件攻击5.4电子黑饵电子黑饵5.5非法入侵者非法入侵者5.6缓冲区溢出攻击缓冲区溢出攻击5.7实验实验 拒绝服务攻击（拒绝服务攻击（DoS）是一种破坏性的攻击方）是一种破坏性的攻击方式，它主要针对网络上的各种服务器和设备，式，它主要针对网络上的各种服务器和设备，其特征是使得攻击目标无法正常工作。其特征是使得攻击目标无法正常工作。拒绝服务攻击的类型拒绝服务攻击的类型 禁止路由器转发目标地址为广播地址的数据包禁止路由器转发目标地址为广播地址的数据包 关闭主机的关闭主机的echoecho功能也可以降低放大网络的放大能力功能也可以降低

2、放大网络的放大能力 预备知识：TCP的三次握手过程第一步：客户端发送一个第一步：客户端发送一个SYNSYN置位的置位的包到服务器，告诉服务器它的初始包到服务器，告诉服务器它的初始序列号。序列号。第二步：服务器返回第二步：服务器返回SYN/ACKSYN/ACK包作为包作为响应。同时告诉客户端它的初始序响应。同时告诉客户端它的初始序列号。列号。第三步：客户端返回第三步：客户端返回ACKACK包作为应答，包作为应答，完成三次握手过程。完成三次握手过程。LAND的攻击过程 LAND攻击的检测比较容易，只需简单地判断数据包的源地址攻击的检测比较容易，只需简单地判断数据包的源地址和目的地址是否相同即可。对

3、于这种攻击，可通过适当配置防火墙和目的地址是否相同即可。对于这种攻击，可通过适当配置防火墙设置或修改路由器的过滤规则来防止。设置或修改路由器的过滤规则来防止。计算分片计算分片2 2的末尾位置：的末尾位置：用对齐前的偏移量加上分片用对齐前的偏移量加上分片2 2的数据长度，得到的数据长度，得到K+MK+M计算待拷贝数据的长度：计算待拷贝数据的长度：用分片用分片2 2的末尾位置减去对齐的末尾位置减去对齐后第后第2 2个分片的偏移量，得到个分片的偏移量，得到K+M-N K+M-N 主从式的主从式的DDoS攻击结构攻击结构 利用反弹服务器的利用反弹服务器的DDoS攻击结构攻击结构 1.加固操作系统：限制

4、操作系统上运行的服务、及时部署操作系统加固操作系统：限制操作系统上运行的服务、及时部署操作系统与应用程序补丁。与应用程序补丁。2.使用防火墙：防火墙位可对特定的数据包进行阻挡。特别地，还使用防火墙：防火墙位可对特定的数据包进行阻挡。特别地，还可以使用针对可以使用针对DoS攻击的过滤算法，例如攻击的过滤算法，例如“随机丢弃随机丢弃”和和“SYN魔饼魔饼”3.配置边界路由器：部分配置边界路由器：部分DoS和和DDoS攻击利用了攻击利用了ICMP报文，因此报文，因此可在边界路由器上将可在边界路由器上将ICMP报文过滤掉。报文过滤掉。4.采用负载均衡技术：将关键业务分布到多台服务器上，这样即便采用负载

5、均衡技术：将关键业务分布到多台服务器上，这样即便其中一台受到攻击，其他服务器仍然可以继续工作其中一台受到攻击，其他服务器仍然可以继续工作病 毒蠕 虫存在形式传染目标传播途径 修改程序图标。例如修改程序图标。例如,将程序图标修改成将程序图标修改成bmp、txt等等文件的图标。文件的图标。伪装成正常的应用程序。伪装成正常的应用程序。与其他程序捆绑在一起。与其他程序捆绑在一起。通过通过IRC进行通信进行通信 由于服务器在特定端口上侦听，那么客户端可以通过由于服务器在特定端口上侦听，那么客户端可以通过端口扫描来找到服务器端端口扫描来找到服务器端 服务器端通过电子邮件、服务器端通过电子邮件、FTP等方式

6、告诉客户端它的等方式告诉客户端它的IP地址。地址。位于黑名单中的发件人发送的任何邮件都被认为位于黑名单中的发件人发送的任何邮件都被认为是垃圾邮件是垃圾邮件 位于白名单中的发件人发送的任何邮件都被认为位于白名单中的发件人发送的任何邮件都被认为是合法邮件是合法邮件 邮件头分析邮件头分析 群发过滤群发过滤 关键词精确匹配关键词精确匹配攻击者试图与目标主机上某个端口建立TCP连接连接建立成功？目标端口处于侦听状态目标端口处于关闭状态是否攻击者发送一个SYN包到目标主机的某个端口上对方返回RST/ACK包?对方返回SYN/ACK包?表明目标端口处于侦听状态，此时攻击者将发送RST包关闭连接表明目标端口处

7、于关闭状态是否是 攻击者发送一个SYN/ACK包到目标主机的某个端口上对方返回RST包?没有收到响应包?目标端口处于关闭状态目标端口处于侦听状态因为在目标端口关闭的情况下，系统会代其返回RST包因此TCP是有状态的协议，在端口打开的情况下，它会简单忽略此分组是是TCP ACK扫描扫描内存高端内存低端堆栈高端堆栈低端void foo(char*str)char buffer16;strcpy(buffer,str);void main()char*str=”the current string has more 16 characters”;foo(str);return;发生函数调用时，发生函数调用时，将会用到堆栈将会用到堆栈在执行在执行strcpy函数时，由于函数时，由于main传入的参数大于预设长度，局部变传入的参数大于预设长度，局部变量前的内容会被覆盖掉量前的内容会被覆盖掉对浏览器攻击的防范技术对浏览器攻击的防范技术 对电子邮件攻击的防范技术对电子邮件攻击的防范技术 对对OICQ攻击的防范技术攻击的防范技术 对病毒攻击的防范技术对病毒攻击的防范技术