第6章-網(wǎng)絡(luò)攻擊技術(shù)-課件

第六章網(wǎng)絡(luò)攻擊和入侵檢測1PPT課件學(xué)習(xí)目標了解黑客與網(wǎng)絡(luò)攻擊的基礎(chǔ)知識；掌握口令攻擊、端口掃描、緩沖區(qū)溢出、網(wǎng)絡(luò)監(jiān)聽、特洛伊木馬等攻擊方式的原理、方法及危害；掌握入侵檢測技術(shù)和入侵檢測系統(tǒng)原理2PPT課件6.1網(wǎng)絡(luò)攻擊概述6.1.1關(guān)于黑客6.1.2黑客攻擊的步驟6.1.3網(wǎng)絡(luò)入侵的對象6.1.4主要的攻擊方法6.1.5攻擊的新趨勢

3PPT課件6.1.1關(guān)于黑客黑客(hacker)源于20世紀50年代麻省理工學(xué)院獨立思考、奉公守法的計算機迷駭客(Cracker)懷不良企圖，非法侵入他人系統(tǒng)進行偷窺、破壞活動的人

4PPT課件6.1.2黑客攻擊的步驟1．收集信息Ping程序：可以測試一個主機是否處于活動狀態(tài)、到達主機的時間等。Tracert程序：可以用該程序來獲取到達某一主機經(jīng)過的網(wǎng)絡(luò)及路由器的列表。Finger協(xié)議：可以用來取得某一主機上所有用戶的詳細信息。DNS服務(wù)器：該服務(wù)器提供了系統(tǒng)中可以訪問的主機的IP地址和主機名列表。SNMP協(xié)議：可以查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表，從而了解目標主機所在網(wǎng)絡(luò)的拓撲結(jié)構(gòu)及其它內(nèi)部細節(jié)。Whois協(xié)議：該協(xié)議的服務(wù)信息能提供所有有關(guān)的DNS域和相關(guān)的管理參數(shù)。5PPT課件6.1.2黑客攻擊的步驟2．探測系統(tǒng)安全弱點利用“補丁”找到突破口

用戶沒有及時地使用“補丁”程序，這就給了攻擊者可趁之機。利用掃描器發(fā)現(xiàn)安全漏洞

掃描器可以對整個網(wǎng)絡(luò)或子網(wǎng)進行掃描，尋找安全漏洞。比較流行的掃描器:x-san

6PPT課件6.1.2黑客攻擊的步驟3．實施攻擊（1）掩蓋行跡，預(yù)留后門。攻擊者潛入系統(tǒng)后，會盡量銷毀可能留下的痕跡，并在受損害系統(tǒng)中找到新的漏洞或留下后門，以備下次光顧時使用。（2）安裝探測程序。

攻擊者退出去以后，探測軟件仍可以窺探所在系統(tǒng)的活動，收集攻擊者感興趣的信息，如：用戶名、賬號、口令等，并源源不斷地把這些秘密傳給幕后的攻擊者。（3）取得特權(quán)，擴大攻擊范圍。

如果攻擊者獲得根用戶或管理員的權(quán)限……

7PPT課件6.1.3網(wǎng)絡(luò)入侵的對象網(wǎng)絡(luò)入侵對象（1）固有的安全漏洞

協(xié)議的安全漏洞、弱口令、緩沖區(qū)溢出等

（2）系統(tǒng)維護措施不完善的系統(tǒng)。系統(tǒng)維護；軟件更新或升級；路由器及防火墻的過濾規(guī)則。（3）缺乏良好安全體系的系統(tǒng)建立有效的、多層次的防御體系

8PPT課件6.1.4主要的攻擊方法1.掃描技術(shù)2．口令攻擊3．欺騙技術(shù)4．放置特洛伊木馬5．DoS9PPT課件6.3掃描器6.3.1

端口與服務(wù)6.3.2掃描技術(shù)10PPT課件6.3.1端口與服務(wù)（1）公認端口（WellKnownPorts）：從0到1023，它們緊密綁定于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口實際上總是HTTP通訊。（2）注冊端口（RegisteredPorts）：從1024到49151。它們松散地綁定于一些服務(wù)。（3）動態(tài)和/或私有端口（Dynamicand/orPrivatePorts）：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口11PPT課件6.3.2掃描技術(shù)1.端口掃描端口掃描技術(shù)是向目標主機的TCP/IP服務(wù)端口發(fā)送探測數(shù)據(jù)包，并記錄目標主機的響應(yīng)的技術(shù)。12PPT課件6.3.2掃描技術(shù)對85的計算機進行端口掃描，在Scan文本框中輸入IP地址，點擊按鈕“START”13PPT課件6.3.2掃描技術(shù)2.共享目錄掃描14PPT課件6.3.2掃描技術(shù)該軟件可以掃描一個IP地址段的共享信息。在起始IP框輸入和終止IP框中輸入55，點擊按鈕“開始查找”就可以得到對方的共享目錄了15PPT課件6.3.2掃描技術(shù)3.系統(tǒng)用戶掃描 目前計算機系統(tǒng)一般都支持多用戶操作。這些帳號的存在都是黑客掃描的重點。系統(tǒng)用戶掃描軟件NTscan。16PPT課件6.3.2掃描技術(shù)對IP為4的計算機進行掃描，首先將該IP段添加到掃描配置中（軟件的左上角），輸入需要掃描的IP段17PPT課件6.3.2掃描技術(shù)4.漏洞掃描漏洞即任何會引起系統(tǒng)的安全性受到破壞的事物，包括不恰當(dāng)?shù)牟僮髦笇?dǎo)、病毒、沒有被正確配置的系統(tǒng)、弱密碼或者寫在紙條上的密碼等。18PPT課件6.3.2掃描技術(shù)可以利用該軟件對系統(tǒng)存在的一些漏洞進行掃描，選擇菜單欄設(shè)置下的菜單項“設(shè)置--掃描參數(shù)”,接著需要確定要掃描主機的IP地址或者IP地址段，選擇菜單欄設(shè)置下的菜單項“掃描參數(shù)”，掃描一臺主機，在指定IP范圍框中輸入：-5519PPT課件6.3.2掃描技術(shù)選中你需要檢測的漏洞，點擊按鈕“確定”。20PPT課件6.3.2掃描技術(shù)設(shè)置完畢后，進行漏洞掃描，點擊工具欄上的圖標“開始”，開始對目標主機進行掃描21PPT課件攻擊實施技術(shù)6.4口令攻擊6.5欺騙攻擊6.6拒絕服務(wù)攻擊22PPT課件6.4口令攻擊6.4.1獲取口令的一些方法6.4.2設(shè)置安全的口令6.4.3一次性口令23PPT課件6.4.1獲取口令的一些方法窮舉(暴力)攻擊如果字典攻擊仍然不能夠成功，入侵者會采取窮舉攻擊，即暴力攻擊。(1)暴力破解操作系統(tǒng)密碼24PPT課件6.4.1獲取口令的一些方法進入“設(shè)置-掃描參數(shù)”，輸入需要檢測的主機IP。25PPT課件6.4.1獲取口令的一些方法然后點擊“全局設(shè)置—掃描模塊”，將“NT-Server弱口令”選項勾選上，點擊確定完成26PPT課件6.4.1獲取口令的一些方法點擊開始掃描，一段時間后會顯示結(jié)果和一份掃描報告。27PPT課件6.4.1獲取口令的一些方法(2)暴力破解應(yīng)用程序密碼暴力破解郵箱密碼，可以用工具軟件：流光Fluxay28PPT課件6.4.1獲取口令的一些方法只破解用戶dnizoy1的郵箱密碼為例，用鼠標右擊POP3主機并選擇“編輯”→“添加”命令，進入“添加用戶”對話框；在對話框中輸入用戶名dnizoy1，然后單擊“確定”按鈕，把用戶dnizoy1列在主機下的用戶列表29PPT課件6.4.1獲取口令的一些方法用同樣的方法，在”解碼字典或方案”下添加一個密碼字典文件，該文件里的密碼可以選用流光默認給出的密碼，也可以使用自己設(shè)置的密碼，比如社工得到的特殊字符。最后，只要再次選擇“探測”→“標準模式”命令，“流光”就可以開始進行密碼破解了。30PPT課件6.4.2設(shè)置安全的口令（1）口令的選擇：字母數(shù)字及標點的組合，如：Ha,Pp@y!和w/(X,y)*;使用一句話的開頭字母做口令，如：由Afoxjumpsoveralazydog!產(chǎn)生口令：AfJoAld!。（2）口令的保存：記住、放到安全的地方，加密最好。（3）口令的使用：輸入口令不要讓別人看到；不要在不同的系統(tǒng)上使用同一口令；定期改變口令。31PPT課件6.4.3一次性口令

（OTP，One-TimePassword）OTP的主要思路是：在登錄過程中加入不確定因素，使每次登錄過程中的生成的口令不相同?？诹盍斜?，每次登錄使用完一個口令后就將它從列表明中刪除；用戶也可以使用IC卡或其他的硬件卡來存儲用戶的秘密信息，這些信息再隨機數(shù)、系統(tǒng)時間等參數(shù)一起通過散列得到一個一次性口令。

32PPT課件6.5欺騙攻擊1.ARP欺騙攻擊ARP是地址解析協(xié)議，負責(zé)將IP地址轉(zhuǎn)換為MAC地址。為了減少網(wǎng)絡(luò)流量，當(dāng)一臺主機的ARP處理機制中接收到一個ARP應(yīng)答的時候，該主機不進行驗證，即使該主機從未發(fā)出任何的ARP請求，仍然會把接收的MAC地址(網(wǎng)卡地址)映射信息放人ARP緩沖，也就是說，一臺主機從網(wǎng)上接收到的任何ARP應(yīng)答都會更新自己的地址映射表，而不管其是否真實。2.IP欺騙攻擊

IP欺騙攻擊的原理是：假設(shè)主機A和主機B是相互信任的，攻擊者C冒充主機B的IP，就可以使用命令遠程登錄到主機A，而不需任何口令驗證，從而達到攻擊的目的。33PPT課件6.5.1IP欺騙的工作原理（1）使被信任主機喪失工作能力TCPSYN-Flood：t1:Z（X）－－－SYN－－－>BZ（X）－－－SYN－－－＞BZ（X）－－－SYN－－－＞B

……………t2:X＜－－－SYN/ACK--------BX＜－－－SYN/ACK--------B

……………t3:X＜－－－RST－－－B34PPT課件6.5.1IP欺騙的工作原理（2）序列號猜測方法攻擊者先與被攻擊主機的一個端口建立起正常的連接。通常，這個過程被重復(fù)若干次，并將目標主機最后所發(fā)送的ISN（初始序列號）存儲起來。攻擊者還需要估計他的主機與被信任主機之間的RTT時間（往返時間），這個RTT時間是通過多次統(tǒng)計平均求出的。35PPT課件6.5.1IP欺騙的工作原理（3）實施欺騙Z偽裝成A信任的主機B攻擊目標A的過程如下：t1:Z（B）－－SYN－－－>At2:B＜－－－SYN/ACK－－－At3:Z（B）－－－ACK－－－＞At4:Z（B）－－－—PSH－－－＞A36PPT課件6.5.2IP欺騙的防止（1）拋棄基于地址的信任策略（2）進行包過濾（3）使用加密方法（4）使用隨機化的初始序列號37PPT課件補充：ARP安全ARP（AddressResolutionProtocol，地址解析協(xié)議）用來將IP地址映射到MAC地址，以便設(shè)備能夠在共享介質(zhì)的網(wǎng)絡(luò)（如以太網(wǎng)）中通信。在ARP協(xié)議的實現(xiàn)中還有一些應(yīng)該注意的事項：（1）每臺計算機上都有一個ARP緩沖，它保存了一定數(shù)量的從IP地址到MAC地址的映射。當(dāng)一個ARP廣播到來時，雖然這個ARP廣播可能與它無關(guān)，但ARP協(xié)議軟件也會把其中的物理地址與IP地址的映射記錄下來，這樣做的好處是能夠減少ARP報文在局域網(wǎng)上發(fā)送的次數(shù)。2023年6月9日網(wǎng)絡(luò)實驗室38PPT課件（2）按照缺省設(shè)置，ARP高速緩存中的項目是動態(tài)的。ARP緩沖中IP地址與物理地址之間的映射并不是一旦生成就永久有效的，每一個ARP映射表項都有自己的壽命，如果在一段時間內(nèi)沒有使用，那么這個ARP映射就會從緩沖中被刪除，這一點和交換機MAC地址表的原理一樣。這種老化機制，大大減少了ARP緩存表的長度，加快了查詢速度。2023年6月9日網(wǎng)絡(luò)實驗室39PPT課件在以太網(wǎng)中，當(dāng)主機要確定某個IP地址的MAC地址時，它會先檢查自己的ARP緩沖表，如果目標地址不包含在該緩沖表中，主機就會發(fā)送一個ARP請求（廣播形式），網(wǎng)段上的任何主機都可以接收到該廣播，但是只有目標主機才會響應(yīng)此ARP請求。由于目標主機在收到ARP請求時可以學(xué)習(xí)到發(fā)送方的IP地址到MAC地址的映射，因此它采用一個單播消息來回應(yīng)請求。圖ARP請求的過程

2023年6月9日網(wǎng)絡(luò)實驗室40PPT課件主機B、主機D收到主機A發(fā)來的ARP請求時，它們發(fā)現(xiàn)這個請求不是發(fā)給自己的，因此它們忽略這個請求，但是它們還是將主機A的IP地址到MAC地址的映射記錄到自己的ARP表中。當(dāng)主機C收到主機A發(fā)來的ARP請求時，它發(fā)現(xiàn)這個ARP請求是發(fā)給自己的，于是它用單播消息回應(yīng)ARP請求，同時記錄下其IP地址到MAC地址的映射。圖ARP回應(yīng)的過程

2023年6月9日網(wǎng)絡(luò)實驗室41PPT課件ARP欺騙1．ARP欺騙的概念和現(xiàn)狀由于ARP協(xié)議在設(shè)計中存在的主動發(fā)送ARP報文的漏洞，使得主機可以發(fā)送虛假的ARP請求報文或響應(yīng)報文，報文中的源IP地址和源MAC地址均可以進行偽造。在局域網(wǎng)中，即可以偽造成某一臺主機（如服務(wù)器）的IP地址和MAC地址的組合，也可以偽造成網(wǎng)關(guān)的IP地址和MAC地址的組合，等等。

2023年6月9日網(wǎng)絡(luò)實驗室42PPT課件2．針對計算機的ARP欺騙假設(shè)主機A向主機B發(fā)送數(shù)據(jù)。在主機A中，主機A在ARP緩存表中查找是否有主機B的MAC地址（其實是主機B的IP地址與MAC地址的對應(yīng)關(guān)系），如果有，則直接將該MAC地址（22-22-22-22-22-22）作為目的MAC地址添加到數(shù)據(jù)單元的網(wǎng)絡(luò)首部（位于網(wǎng)絡(luò)接口層），成為數(shù)據(jù)幀。在局域網(wǎng)（同一IP網(wǎng)段，如本例的192.168.1.x）中，主機利用MAC地址作為尋址的依據(jù)，所以主機A根據(jù)主機B的MAC地址，將數(shù)據(jù)幀發(fā)送給主機B。2023年6月9日網(wǎng)絡(luò)實驗室43PPT課件圖5-8主機中IP地址與MAC地址的對應(yīng)關(guān)系示意圖2023年6月9日網(wǎng)絡(luò)實驗室44PPT課件如果主機A在ARP緩存表中沒有找到目標主機B的IP地址對應(yīng)的MAC地址，主機A就會在網(wǎng)絡(luò)上發(fā)送一個廣播幀，該廣播幀的目的MAC地址是“FF.FF.FF.FF.FF.FF”，表示向局域網(wǎng)內(nèi)的所有主機發(fā)出這樣的詢問：IP地址為的MAC地址是什么？在局域網(wǎng)中所有的主機都會接收到該廣播幀，但在正常情況下因為只有主機B的IP地址是，所以主機B會對該廣播幀進行ARP響應(yīng)，即向主機A發(fā)送一個ARP響應(yīng)幀：我（IP地址是）的MAC地址是22-22-22-22-22-22。

2023年6月9日網(wǎng)絡(luò)實驗室45PPT課件如果現(xiàn)在主機D要對主機A進行ARP欺騙，冒充自己是主機C。具體實施中，當(dāng)主機A要與主機C進行通信時，主機D主動告訴主機A自己的IP地址和MAC地址的組合是“+44-44-44-44-44-44”，這樣當(dāng)主機A要發(fā)送給主機C數(shù)據(jù)時，會將主機D的MAC地址44-44-44-44-44-44添加到數(shù)據(jù)幀的目的MAC地址中，從而將本來要發(fā)給主機C的數(shù)據(jù)發(fā)給了主機D，實現(xiàn)了ARP欺騙。在整個ARP欺騙過程中，主機D稱為“中間人”（maninthemiddle），對這一中間人的存在主機A根本沒有意識到。2023年6月9日網(wǎng)絡(luò)實驗室46PPT課件通過以上的ARP欺騙，使主機A與主機C之間斷開了聯(lián)系。現(xiàn)在假設(shè)主機C是局域網(wǎng)中的網(wǎng)關(guān)，而主機D為ARP欺騙者。當(dāng)局域網(wǎng)中的計算機要與其他網(wǎng)絡(luò)進行通信（如訪問Internet）時，所有發(fā)往其他網(wǎng)絡(luò)的數(shù)據(jù)全部發(fā)給了主機D，而主機D并非真正的網(wǎng)關(guān)，這樣整個網(wǎng)絡(luò)將無法與其他網(wǎng)絡(luò)進行通信。2023年6月9日網(wǎng)絡(luò)實驗室47PPT課件圖ARP欺騙的實現(xiàn)過程2023年6月9日網(wǎng)絡(luò)實驗室48PPT課件6.6

拒絕服務(wù)10.6.1什么是拒絕服務(wù)10.6.2分布式拒絕服務(wù)49PPT課件6.6.1什么是拒