chapter3网络攻击与检测防范精简版

宁波市智慧产业人才基地第一批核心引导课程网络安全技术NetworkSecurityTechnologychapter3常见的网络攻击与防范主讲人：齐跃斗宁波大红鹰学院为何本.拉登拒绝现代通讯方式：为何本.拉登拒绝现代通讯方式：现代通讯手段的核心技术都掌握在欧美国家手里，这是信息安全的最大隐患。本.拉登住宅院价值约100万美元，却没有电话和互联网服务；建筑外观大小约为该区其他房屋8倍，并配有铁丝网护栏和3-5米高墙等设施。居住于此的人焚烧自己的垃圾，而不像其他居民那样倾倒垃圾。网络安全威胁国家基础设施因特网信息对抗的威胁在增加电力交通通讯控制广播工业金融医疗引言网络中存在的安全威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫引言本讲主要内容：KeyQuestions1:网络攻击概述2:预攻击探测3:漏洞扫描（综合扫描）网络扫描常用黑客技术的原理（木马、缓冲区溢出等）4:木马攻击5:拒绝服务攻击6:欺骗攻击7:蠕虫病毒攻击8:其他攻击黑客攻击的防范、网络安全防护体系、网络安全的现状网络攻击概述：网络攻击是指任何威胁和破坏计算机或网络系统资源的行为。如非授权访问、拒绝服务攻击、特洛伊木马等。攻击和安全的关系：某种意义上说没有攻击就没有安全：系统管理员：利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。善意的网络攻击者：可帮助系统管理员检查系统漏洞，恶意的网络攻击者：如为了私人恩怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙以及一些无目的攻击1、网络攻击概述究竟谁会被入侵“被入侵”的含义–“被入侵”指的是网络遭受非法闯入的情况。•入侵者只获得访问权•入侵者获得访问权，并毁坏、侵蚀或改变数据。•入侵者获得访问权，并捕获系统一部分或整个系统的控制权，拒绝拥有特权的用户的访问。•入侵者没有获得访问权，而是用不良的程序，引起网络持久性或暂时性的运行失败、重新启动、挂起或者其他无法操作的状态。入侵目标：政府、公司、公众1、网络攻击概述项目问题1－常见的网络攻击网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫1、网络攻击概述项目问题2－网络攻击步骤确定攻击目的信息的收集准备攻击工具隐藏自己的位置利用漏洞后门获得控制利用各种手段登陆目标消除痕迹，植入后门，退出攻击的准备阶段攻击的实施阶段攻击的善后阶段1、网络攻击概述黑客入侵攻击的一般过程典型攻击步骤预攻击探测（收集被攻击对象的有关信息）收集信息,如OS类型,提供的服务端口发现漏洞,采取攻击行为获得攻击目标的控制权系统继续渗透网络,直至获取机密数据消灭踪迹破解口令文件,或利用缓存溢出漏洞以此主机为跳板，寻找其它主机的漏洞获得系统帐号权限，并提升为root权限安装系统后门方便以后使用1、网络攻击概述黑客入侵攻击的一般过程防火墙,入侵监测，防病毒，漏洞扫描,安全意识等Ping地址端口扫描口令猜测Mail用户猜测Mail附件BufferOverflowsActiveXControls网络安装压缩信息（文件）后门（Backdoors）创建新文件修改现有文件注册表设置安装新服务注册TrapDoors攻击的Mail拷贝Web连接IRCFTP感染文件共享删除文件修改文件产生安全后门CrashComputerDoS机密信息窃取探测（Probe）渗透（Penetrate）驻留（Persist）传播（Propagate）瘫痪（Paralyze）典型攻击步骤图解1、网络攻击概述黑客入侵攻击的一般过程攻击手法vs.入侵者技术高低19801985199019952000密码猜测可自动复制的代码破解密码利用已知的漏洞破坏审计系统后门会话劫持消除痕迹嗅探IP欺骗GUI远程控制自动探测扫描拒绝服务、网络攻击概述攻击复杂度与所需入侵知识关系图1、网络攻击概述安全威胁发展趋势1、网络攻击概述2、预攻击探测（信息的收集）预攻击概述端口扫描基础操作系统识别资源扫描与查找用户和用户组查找1.预攻击概述：即预攻击扫描，主要任务是收集有关要攻击目标的有用的的信息。这些信息包括目标计算机的硬件信息、目标计算机的用户信息、存在的漏洞等。2、信息收集分类，分为三种：使用各种扫描工具对入侵目标进行大规模扫描，得到系统信息和运行的服务信息。利用第三方资源对目标进行信息收集,比如我们常见的收索引擎利用各种查询手段得到与被入侵目标相关的一些信息，如社会工程学。社会工程学（SocialEngineering）：通常是利用大众的疏于防范的诡计，让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式，从合法用户中套取敏感的信息。2、预攻击探测（信息的收集）2.各种扫描工具（信息收集工具）Pingsweep寻找存活主机Portscan寻找存活主机的开放服务（端口）OSfingerprint操作系统识别资源和用户信息扫描网络资源，共享资源，用户名和用户组等2、预攻击探测（信息的收集）Ping工具：操作系统本身的ping工具Ping:PacketInterNetGroper用来判断远程设备可访问性最常用的方法作用和特点：用来判断目标是否活动；最常用、最简单的探测手段；Ping程序一般是直接实现在系统内核中的，而不是一个用户进程。Ping原理:发送ICMPEcho消息，等待EchoReply消息可以确定网络和外部主机的状态可以用来调试网络的软件和硬件每秒发送一个包，显示响应的输出，计算网络来回的时间最后显示统计结果——丢包率2、预攻击探测（信息的收集）关于PingPing有许多命令行参数，可以改变缺省的行为可以用来发现一台主机是否active为什么不能ping成功？没有路由，网关设置？网卡没有配置正确增大timeout值被防火墙阻止……“Pingofdeath”发送特大ping数据包(65535字节)导致机器崩溃许多老的操作系统都受影响2、预攻击探测（信息的收集）表示192.168.1.25机器不在线。举例1：Replyfrom192.168.3.10:bytes=32time1msTTL=32Replyfrom192.168.3.10表示回应ping的ip地址是192.168.3.10。bytes=32表示回应报文的大小，这里是32字节。time1ms表示回应所花费的时间，小于1毫秒。TTL=32，TTL是生存时间，报文经过一个路由器就减一，如果减到0就会被抛弃。这里是32。Windows平台Pinger、PingSweep、WS_PingProPack图:Pinger工具2、预攻击探测（信息的收集）因Ping工具都是通过ICMP协议来发送数据包，则对应的预防措施是:使用可以检测并记录ICMP扫描的工具使用入侵检测系统在防火墙或路由器中设置允许进出自己网络的ICMP分组类型2、预攻击探测（信息的收集）扫描器原理-预备知识2、预攻击探测（信息的收集）预备知识-TCP头32位的序列号，由接收端计算机使用16位16位4、6、6、16位32位的确认应答号，由接收端计算机使用6位标志域。表示为：紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是：URG、ACK、PSH、RST、SYN、FIN。＜附图是用SNIFFER抓的一个包头结构＞005007459bd6433c47fd37505018ff1f05a50000485454502f312e3120323030204f4b0d0a5365727665723a204d6963726f736f66742d4949532f352e300d0a446174653a205765642c203132204e6f7620323030332030333a33373a353520474d540d0a436f6e6e656374696f6e3a20636c6f73650d0a485454502f312e3120323030204f4b0d0a5365727665723a204d6963726f736f66742d4949532f352e300d0a507261676d613a206e6f2d63616368650d0a436f6e74656e742d747970653a20746578742f706c61696e3b636861727365743d6762323331320d0a0d0a解析：源端口：005080目的端口：07451861序列号：9bd6433c应答号：47fd3750数据偏移量：50保留：标志位：18窗口：ff1f校验位：05a5优先指针：0000选项：填充：（余下的205字节为TCP数据）00800749预备知识-IP头2.端口扫描基础端口与服务在网络技术中，端口（Port）大致有两种意思：一是物理意义上的端口，如交换机、路由器等网络设备用于互连的接口，如RJ-45端口、SC端口等等。二是逻辑意义上的端口，一般是指TCP/IP协议中的端口。许多TCP/IP程序均为通过网络启动的客户/服务器结构。服务器上运行着一个守护进程，当客户有请求到达服务器时，服务器就启动一个服务进程与其进行通信。为简化这一过程，每个应用服务程序（如、FTP、Telnet等）被赋予一个唯一的地址，这个地址称为端口。端口号由16位的二进制数据表示，范围为0~65535。守护进程在一个端口上监听，等待客户请求。2、预攻击探测（信息的收集）端口大概分为三类：1：公认的知名端口（wellknownports）:从0-1023，他们是绑定于一些固定服务。通常这些端口的通信明确表明了某种服务的协议。比如，21端口是FTP服务所开放的。2：注册端口（registrerdports）:从1024-49151，他们松散的绑定于一些服务也就是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。比如，许多系统处理动态端口是从1024开始的。3：动态或私有端口（dynamicand/orprivateports）:从49512-65535，理论上不应该为服务分配这些端口。实际上，计算机通常从1024开始分配动态端口。当然也有例外的，SUN的RPC端口从32768开始。很多病毒,木马就是利用动态端口访问'肉鸡'的。如冰河默认连接端口是7626、WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。查看端口命令：netstat-a-n2.按协议类型划分按协议类型划分，可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。下面主要介绍TCP和UDP端口：（1）TCP端口：即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等。（2）UDP端口：即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口，QQ使用的8000和4000端口等等。端口扫描是获取主机信息的一种常用方法。端口扫描也广泛被入侵者用来寻找攻击线索和攻击入口。2.端口扫描基础开放扫描(OpenScanning)需要扫描方通过三次握手过程与目标主机建立完整的TCP连接可靠性高，产生大量审计数据，容易被发现半开放扫描(Half-OpenScanning)扫描方不需要打开一个完全的TCP连接秘密扫描(StealthScanning)不包含标准的TCP三次握手协议的任何部分隐蔽性好，但这种扫描使用的