计算机网络安全_第5章_网络入侵与攻击技术

1第五章网络入侵与攻击技术计算机网络安全张纯容2温州大学知识点：◇网络攻击基础知识◇网络攻击的基本步骤◇典型的网络攻击技术◇操作系统中常用的网络工具3温州大学学习目标了解黑客与网络攻击的基础知识；掌握口令攻击、端口扫描、缓冲区溢出、网络监听、特洛伊木马等攻击方式的原理、方法及危害；能够有识别和防范各类攻击4相关概念5温州大学相关概念1.黑客2.中国黑客的起源3.骇客4.黑客与骇客6温州大学黑客－hacker熟悉操作系统知识，具有较高的编程水平，热衷于发现系统漏洞并将漏洞公开与他人分享的一类人。用于指代那些独立思考、奉公守法的计算机迷，他们智力超群，对电脑全身心投入，从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索，为电脑技术的发展做出了巨大贡献。7温州大学黑客起源一般认为，起源于20世纪50年代，麻省理工学院。20世纪60年代，计算机的使用还远未普及，还没有多少存储重要信息的数据库，也谈不上黑客对数据的非法拷贝等问题到了80、90年代，计算机越来越重要8温州大学中国黑客的起源中国黑客的起源（1994年－1996年）。1994年，中国互联网处于刚刚开始发展的朦胧时期，电话拨号，BBS1996年，互联网初具规模1998年4月，CIH病毒的诞生和大规模发作。这个有史以来第一个以感染主板BIOS为主要攻击目标的病毒给中国经济带来了数百亿元的损失1998年7－8月份，在印度尼西亚爆发了大规模的排华事件，刚刚学会蹒跚走步的中国黑客们，向印尼政府网站的信箱中发送垃圾邮件，用Ping的方式攻击印尼网站9温州大学中国黑客的起源1999年7月台湾李登辉突然抛出了两国论，中国黑客依靠由对美网络反击战中总结出的经验，迅速的攻击了台湾行政院等网站。2000年，日本右翼在大阪翻案南京大屠杀，声称南京大屠杀是二十世纪最大谎言，海内外华人黑客对日本反动和官方网站进行攻击10温州大学骇客－cracker,intruder怀有不良企图，非法侵入他人系统进行偷窥、破坏活动的人11温州大学入侵者的攻击手段（1）冒充；（2）篡改；（3）重放；（4）服务拒绝；（5）陷阱门；（6）外部攻击；（7）内部攻击；（8）特洛伊木马。12温州大学网络攻击的基本步骤实施网络攻击，必须进行3个基本步骤：收集信息探测系统安全弱点实施攻击13温州大学收集信息收集要攻击的目标系统的信息，包括目标系统的位置、路由、目标系统的结构及技术细节等。ping、tracert、whois和nslookup等14温州大学探测系统安全弱点通过分析“补丁”寻找突破口利用扫描器发现安全漏洞扫描器是一种常见的网络安全分析工具，可以对网络或子网进行扫描，发现安全漏洞15温州大学实施攻击（1）掩盖痕迹，预留后门（2）按照探测程序（3）取得特权，扩大攻击范围16典型的网络攻击技术17温州大学服务拒绝攻击技术拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其它用户提供服务的一种攻击方式虚假地址攻击者被攻击目标带有虚假地址的请求回复请求等待响应18温州大学常见的DOS攻击技术1．SYNFlood：利用TCP的缺陷进行攻击，即攻击者只发SYN包，而不响应服务器发送的确认包，就会导致服务器一直处于等待状态直到超时2.Land攻击技术：用一个特别打造的SYN包，它的源地址和目标地址都被设置成某一个服务器地址，将会导致服务器建立空连接，直到超时，配置防火墙可以防止此攻击。3.广播风暴技术:当某台主机使用所攻击的主机作为源地址，广播地址为目的地址发送一个ICMPecho请求包时，其它主机回应ICMPecho应答包会被发送到所攻击的主机上19温州大学常见的DOS攻击技术4．IP分段攻击技术：IP分段攻击是指采用数据分组分段的办法来处理仅支持给定最大IP分组长度的网络部分，一旦被发送，并不立即重新组装单个的分段，而是把它们路由到最终目的地，并在这时才把它们放在一块给出原始的IP分组。攻击者发送两个特殊的IP分段包给目标主机，导致目标主机收到分段的有效长度为负数，导致系统瘫痪5.Smurf攻击技术：通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（Ping）数据包来淹没受害主机20温州大学常见的DOS攻击技术6.IIS上传攻击技术：在Internet网络应用中，一些协议（如HTTP）对上传到服务器上的数据长度一般没有限制，进行服务拒绝攻击。例如，在HTTP中，利用POST方法上传数据时，所上传的数据长度是由字段ContentLenth指定的，但没有大小限制。如果用户指定一个非常大的数值，则导致IIS一直等待接收这些数据，直到传送完成，才会释放所占用的内存资源。21温州大学DDOSDDOS全名是DistributedDenialofservice(分布式拒绝服务攻击是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式相关资料：温州大学缓冲区溢出攻击技术缓冲区溢出就是将长度超过缓冲区大小的数据写入程序的缓冲区，造成缓冲区溢出，从而破坏程序的堆栈，使程序转而执行其他指令Voidf1(char*str){charbuf[16];Strcpy(buf,str);}上面的程序strcpy(buf,str)将直接把str中的内容复制到buf中。这样只要str的长度大于16，就会造成溢出，使程序运行出错。23温州大学缓冲区溢出漏洞攻击1.代码放置的方法植入法利用已存在代码2.控制程序转移的方法:基本的思想就是溢出一个没有边界检查或者具有其他弱点的缓冲区，这样就扰乱了程序的正常运行顺序激活记录函数指针长跳转缓冲区24温州大学缓冲区溢出的保护1.强制编写正确代码的方法2.通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码。3.利用编译器的边界检查来实现缓冲区的保护4.指针失效前进行完整性检查25温州大学网络监听技术对于共享介质类型的网络，只要改变低层数据链路层的工作模式，将所收到的数据包（不论目的地址是谁）统统收下并存储再进行分析即可26温州大学网络监听技术网络监听是很难发现的，这是因为运行网络监听的主机只是被动地接收网上传输的信息，并没有主动的行动，即不会与其他主机交换信息，也不修改在网上传输的数据包。常用的监听工具有Windump（Windump是最经典的UNIT的Tcpdump监听工具的Windows移植版SNIFFTER27温州大学Web欺骗技术Web欺骗是指攻击者建立一个人们相信的Web站点的复制，该Web站点的复制与真实的完全一样，它具有所有的页面和连接，而攻击者控制着这个Web站点的复制，被攻击者和真实的Web服务器之间的所有信息流动都被攻击者控制了28温州大学Web欺骗攻击的过程攻击者可通过以下这些方法诱骗攻击对象连接到攻击者的假Web上：①把一个指向假Web的链接放到一个流行的Web页面上；②如果用户使用支持Web的电子邮件系统，可发邮件引诱；③使Web搜索引擎指向假的Web。29温州大学防止Web欺骗攻击的一些必要防护措施：（1）关闭浏览器的JavaScript选项，使得攻击者不能隐藏攻击的痕迹；（2）确信浏览器的地址行总是可见的（注意浏览器地址行上显示的URL，确信它们一定指向你所希望的服务器地址）；（3）进入SSL安全连接时，仔细查看站点的证书是否与其声称的一致，不要被相似字符所欺骗。30温州大学IP地址欺骗攻击技术冒充互信主机组中的主机进行访问，就是IP欺骗（IPSpoof）1、可以使被信主机丧失工作能力2、通过序列号猜测，入侵目的主机31温州大学扫描技术扫描器是最出名的破解工具，也是当今入侵者最常使用的工具，它能检测出主机、服务器及网络的安全漏洞扫描器是利用C/S结构中的请求—应答机制来实现的，它使用不同的请求信息依次向远程主机或本地主机发送服务请求，然后根据远程主机或本地主机的响应情况来判别它们目前所处的工作状态，最后决定下一步的操作32温州大学操作系统中常用的网络工具1．ping命令:用于确定本主机是否能与另一台主机交换数据包（发送与接收）2．nslookup命令:nslookup命令主要是查询Internet上的DNS信息，从而对DNS的故障进行排错3．ipconfig命令:ipconfig命令是调试计算机网络的常用命令，一般使用ipconfig不带参数的输出来查看计算机中网络适配器的IP地址、子网掩码及默认网关4．tracert命令:tracert命令显示用于将数据包从计算机传递到目标位置的一组IP路由器以及每个跃点所需的时间33温州大学操作系统中常用的网络工具5．route命令：route就是用于显示、人工添加和修改路由表的命令。6．nbtstat命令：nbtstat命令是TCP/IP上关于NetBIOS的统计数据，用于释放和刷新NetBIOS名称，提供关于NetBIOS的统计数据。使用nbtstat命令就可以查看本地计算机或远程计算机上NetBIOS名字的表格。7．net命令：net命令可以用来管理网络环境、网络服务、用户、登录到本地信息。Windows98、Windows2000、WindowsXP及WindowsServer2003都内置了net命令。8．at命令：at命令可以在远程机器上指定何时运行什么命令，一般被黑客用来设定木马运行时间。9．whois命令：Whois是一个客户程序，它与Internic（http//）联系，根据用户的查询返回相应的信息。34温州大学作业：5.网络攻击的基本步骤有哪些？6．服务拒绝攻击技术有哪些？它的主要攻击目的是什么？7．什么是分布式拒绝服务攻击（DDoS）？8．何谓缓冲区溢出攻击？9．什么是网络监听？10．什么是Web欺骗攻击？11．什么是IP地址欺骗攻击？12．具体说明扫描器的原理及端口扫描的常见形式。