版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
第五章網(wǎng)絡(luò)攻擊與防范技術(shù)5.1網(wǎng)絡(luò)攻擊概述與分類5.2目標探測 5.3掃描的概念與原理5.4網(wǎng)絡(luò)監(jiān)聽5.5緩沖區(qū)溢出攻擊5.6拒絕服務(wù)攻擊5.7 欺騙攻擊與防范1可編輯版5.1網(wǎng)絡(luò)攻擊概述與分類網(wǎng)絡(luò)容易受到攻擊的原因—網(wǎng)絡(luò)軟件不完善+協(xié)議本身存在安全缺陷。TCP/IP網(wǎng)絡(luò)協(xié)議存在大量的安全漏洞。TCP/IP是冷戰(zhàn)時期的產(chǎn)物,目標是要保證通達,保證傳輸?shù)拇謺缧?。通過來回確認來保證數(shù)據(jù)的完整性,不確認則要重傳。TCP/IP沒有內(nèi)在的控制機制來支持源地址的鑒別。黑客利用TCP/IP的漏洞,可以使用偵聽的方式來截獲數(shù)據(jù),能對數(shù)據(jù)進行檢查,推測TCP的系列號,修改傳輸路由,修改鑒別過程,插入黑客的數(shù)據(jù)流。莫里斯病毒就是利用這一點,給互聯(lián)網(wǎng)造成巨大的危害。2可編輯版近10年安全漏洞發(fā)布趨勢年份數(shù)量3可編輯版5.1網(wǎng)絡(luò)攻擊概述與分類網(wǎng)絡(luò)攻擊目的炫耀自己的技術(shù);惡作劇、練功;竊取數(shù)據(jù);報復(fù);抗議或宣示。
4可編輯版5.1網(wǎng)絡(luò)攻擊概述與分類常用的攻擊方法竊聽欺騙拒絕服務(wù)數(shù)據(jù)驅(qū)動攻擊5可編輯版網(wǎng)絡(luò)攻擊的一般流程6可編輯版5.2目標探測目標探測是防范不法黑客攻擊行為的手段之一也是黑客進行攻擊的第一步。7可編輯版5.2.1目標探測的內(nèi)容1.外網(wǎng)信息。包括域名、管理員信息、網(wǎng)絡(luò)地址范圍、網(wǎng)絡(luò)位置、網(wǎng)絡(luò)地址分配機構(gòu)信息、系統(tǒng)提供的各種服務(wù)和網(wǎng)絡(luò)安全配置等。2.內(nèi)網(wǎng)信息。包括內(nèi)部網(wǎng)絡(luò)協(xié)議、拓撲結(jié)構(gòu)、系統(tǒng)體系結(jié)構(gòu)和安全配置等。8可編輯版5.2.2目標探測的方法1.確定目標范圍
Ping命令Whois查詢Whois查詢就是查詢域名和IP地址的注冊信息。國際域名由設(shè)在美國的Internet信息管理中心(InterNIC)和它設(shè)在世界各地的認證注冊商管理,國內(nèi)域名由中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)管理。9可編輯版2.分析目標網(wǎng)絡(luò)信息使用專用的工具,如VisualRoute等。這些軟件的主要功能:快速分析和辨別Internet連接的來源,標識某個IP地址的地理位置等。3.分析目標網(wǎng)絡(luò)路由了解信息從一臺計算機到達互聯(lián)網(wǎng)另一端的另一臺計算機傳播路徑,常見的檢測工具為Tracert/TraceRoute。10可編輯版5.3掃描概念和原理計算機掃描就是對計算機系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進行與安全相關(guān)的檢測,以找出安全隱患和可被黑客利用的漏洞。掃描技術(shù)分類主機掃描端口掃描漏洞掃描11可編輯版5.3.1主機掃描技術(shù)簡單主機掃描技術(shù)(1)發(fā)送ICMPEchoRequest數(shù)據(jù)包到目標主機;(2)Ping掃描;(3)發(fā)送ICMPEchoRequest到廣播地址或者目標網(wǎng)絡(luò)地址。復(fù)雜主機掃描技術(shù)
(1)異常的IP包頭;(2)IP頭中設(shè)置無效的字段值;(3)錯誤的數(shù)據(jù)分片;(4)反向映射探測。
12可編輯版5.3.2端口掃描技術(shù)1.TCPconnect掃描最基本的TCP掃描,操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用,用來與每一個目標計算機的端口進行連接。如果端口處于偵聽狀態(tài),那么connect()就能成功。否則,該端口是不能用的,即沒有提供服務(wù)。優(yōu)勢:沒有權(quán)限限制速度快缺陷:容易暴露13可編輯版2.TCPSYN掃描3.TCPFIN掃描
14可編輯版4.TCPXmas掃描5.TCPNULL掃描
15可編輯版5.UDP掃描UDP掃描并不可靠。1)目標主機可以禁止任何UDP包通過;2)UDP本身不是可靠的傳輸協(xié)議,數(shù)據(jù)傳輸?shù)耐暾圆荒艿玫奖WC;3)系統(tǒng)在協(xié)議棧的實現(xiàn)上有差異,對一個關(guān)閉的UDP端口,可能不會返回任何信息,而只是簡單的丟棄。6.FTP返回掃描
16可編輯版FTP代理掃描是用一個代理的FTP服務(wù)器來掃描TCP端口。假設(shè)S是掃描機,T是掃描目標,F(xiàn)是一個支持代理選項的FTP服務(wù)器,能夠跟S和T建立連接,F(xiàn)TP端口掃描步驟如下:(1)S與F建立一個FTP會話,使用PORT命令聲明一個選擇的端口p-T作為代理傳輸所需要的被動端口;(2)然后S使用一個LIST命令嘗試啟動一個到p-T的數(shù)據(jù)傳輸;
(3)如果端口p-T確實在監(jiān)聽,傳輸就會成功,返回碼150和226被發(fā)送回給S。否則S會收到“425Canbuilddataconnection:Connectionrefused”的應(yīng)答;(4)S持續(xù)使用PORT和LIST命令,直到對T上所有的選擇端口掃描完畢為止。這種方法的優(yōu)點是難以跟蹤,能穿過防火墻。主要缺點是速度很慢,有的FTP服務(wù)器最終還是能得到一些線索,關(guān)閉代理功能。17可編輯版防止端口掃描防止端口掃描:(1)關(guān)閉閑置和有潛在危險的端口。(2)利用網(wǎng)絡(luò)防火墻軟件。18可編輯版5.3.3漏洞掃描漏洞掃描是對目標網(wǎng)絡(luò)或者目標主機進行安全漏洞檢測與分析,發(fā)現(xiàn)可能被攻擊者利用的漏洞。通用漏洞掃描器構(gòu)成:控制臺模塊掃描活動處理模塊掃描引擎模塊結(jié)果處理模塊和漏洞庫。Nmap、X-Scan、SuperScan、ShadowSecurityScanner、MS06040Scanner19可編輯版5.4網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽技術(shù)是提供給網(wǎng)絡(luò)安全管理人員進行網(wǎng)絡(luò)管理的工具,用來監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌?,黑客也可以利用網(wǎng)絡(luò)監(jiān)聽來截取主機口令等。20可編輯版5.4.1網(wǎng)絡(luò)監(jiān)聽原理 以太網(wǎng)(Ethernet)協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機,只有與數(shù)據(jù)包中目的地址一致的那臺主機才能接收到信息包。 當主機工作在監(jiān)聽模式下時,無論數(shù)據(jù)包中的目標地址是什么,主機都將接收,這就是實現(xiàn)網(wǎng)絡(luò)監(jiān)聽的基礎(chǔ)。21可編輯版5.4.2網(wǎng)絡(luò)監(jiān)聽檢測與防范1.網(wǎng)絡(luò)監(jiān)聽檢測(1)反應(yīng)時間(2)觀測DNS(3)ping模式進行監(jiān)測(4)arp數(shù)據(jù)包進行監(jiān)測22可編輯版2.網(wǎng)絡(luò)監(jiān)聽的防范(1)采用加密手段進行信息傳輸也是一個很好的辦法(2)以交換式集線器代替共享式集線器。交換式集線器代替共享式集線器,使單播包僅在兩個節(jié)點之間傳送,從而防止非法監(jiān)聽。(3)使用Kerberos。23可編輯版5.5緩沖區(qū)溢出攻擊5.5.1緩沖區(qū)溢出原理
緩沖區(qū)是內(nèi)存中存放計算機正在處理數(shù)據(jù)的地方。當數(shù)據(jù)量超出緩沖區(qū)的長度時,多出來的數(shù)據(jù)就會破壞堆棧中的數(shù)據(jù),導(dǎo)致應(yīng)用程序或整個系統(tǒng)的崩潰等故障;攻擊者在溢出數(shù)據(jù)中加上精心設(shè)計的機器代碼,當這些代碼溢出到緩沖區(qū)以外時會被執(zhí)行,能達到破壞計算機系統(tǒng)目的,即緩沖區(qū)溢出攻擊。24可編輯版
緩沖區(qū)溢出1.通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容,造成緩沖區(qū)的溢出,使系統(tǒng)崩潰。例:#include<string.h>voidmain(intargc,char*argv[]){charbuffer[10];strcpy(buffer,argv[1]);}執(zhí)行該程序,輸入字符串長度小于10時,程序正常運行,否則系統(tǒng)崩潰。25可編輯版26可編輯版2.通過向程序的緩沖區(qū)寫超出其長度的內(nèi)容,造成緩沖區(qū)的溢出,從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其它指令,以達到攻擊目的。例如下面程序:#include<iostream.h>#include<string.h>voidfunction(inta){ charbuffer[5]; char*ret; ret=buffer+12; *ret+=8;}27可編輯版voidmain(){ intx; x=10; function(7); x=1; cout<<x<<endl;}程序的運行結(jié)果是?28可編輯版程序的實際運行結(jié)果是10,而不是1。
上段程序的執(zhí)行過程:依次為形式參數(shù)a、RET、EBP分配4字節(jié)的內(nèi)存,為語句charbuffer[5]分配內(nèi)存時,需要5字節(jié)的內(nèi)存。對于32位存儲器,內(nèi)存的分配是以4個字節(jié)為單位來進行的,所以為buffer分配的內(nèi)存一共需要8個字節(jié)。29可編輯版voidmain(){ intx; x=10; function(7); x=1; cout<<x<<endl;}為參數(shù)賦值返回地址壓棧執(zhí)行被調(diào)用函數(shù)調(diào)用結(jié)束后返回返回處30可編輯版執(zhí)行ret=buffer+12后,ret指向RET(buffer地址和RET地址相差12個字節(jié))。RET的值是函數(shù)function(7)的返回地址,即“x=1”的首地址,執(zhí)行*ret+=8語句后就將RET的值加上了8個字節(jié),而x=1這條語句占有8個字節(jié)。31可編輯版5.5.2緩沖區(qū)溢出攻擊方法1.在程序的地址空間里安排適當?shù)拇a(1)植入法。(2)利用已經(jīng)存在的代碼。
2.控制程序轉(zhuǎn)移到攻擊代碼
(1)激活記錄。(2)函數(shù)指針。(3)長跳轉(zhuǎn)緩沖區(qū)。32可編輯版5.5.3防范緩沖區(qū)溢出1.編寫正確的代碼編寫安全代碼是防止緩沖區(qū)溢出的最有效辦法:charstr[10]…while(gets(str)!=NULL){puts(str);memset(str,0,sizeof(str));}由于沒有嚴格規(guī)定輸入到str中的字符長度,很容易產(chǎn)生緩沖區(qū)溢出漏洞。正確的方式是使用fgets(chars,intsize,FILE*stream)。charstr[10]…while(fgets(str,sizeof(str),stdin)!=NULL){puts(str);memset(str,0,sizeof(str));}33可編輯版2.及時安裝漏洞補丁3.借助防火墻阻止緩沖區(qū)溢出。5.5.3防范緩沖區(qū)溢出34可編輯版5.6拒絕服務(wù)攻擊DoS(DenialofService)通過堵塞網(wǎng)絡(luò)、占用系統(tǒng)資源等方法,拒絕用戶的服務(wù)訪問,破壞系統(tǒng)的正常運行。DoS攻擊的基本原理:35可編輯版5.6.1IP碎片攻擊pingofdeath攻擊者發(fā)送一個長度超過65535的EchoRequest數(shù)據(jù)包,造成系統(tǒng)崩潰或掛起。jolt2攻擊在一個死循環(huán)中不停地發(fā)送一個ICMP/UDP的IP碎片,可以使Windows系統(tǒng)的機器死鎖。Teardrop發(fā)送一些IP分片異常的數(shù)據(jù)包,在IP包的分片裝配過程中,由于分片重疊,計算過程中出現(xiàn)長度為負值,在執(zhí)行memcpy的時候?qū)е孪到y(tǒng)崩潰。36可編輯版5.6.2UDP洪泛通過偽造與某一主機的Chargen服務(wù)之間的一次UDP連接,回復(fù)地址指向開放Echo服務(wù)的一臺主機,這樣就在兩臺主機之間生成足夠多的無用數(shù)據(jù)流,導(dǎo)致帶寬耗盡的拒絕服務(wù)攻擊。37可編輯版5.6.3SYN洪泛38可編輯版5.6.4Smurf攻擊39可編輯版5.6.5分布式拒絕服務(wù)攻擊40可編輯版DDoS攻擊的步驟1.搜集攻擊目標了解被攻擊目標主機數(shù)目、地址情況,目標主機的配置、性能、目標的帶寬等。2.占領(lǐng)傀儡機黑客通過掃描工具等,發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機器,隨后就是嘗試攻擊。攻擊成功后,就可以占領(lǐng)和控制被攻擊的主機,即傀儡機。3.實際攻擊黑客登錄到作為控制臺的攻擊機,向所有傀儡機發(fā)出命令,這時候埋伏在傀儡機中的DDoS攻擊程序就會響應(yīng)控制臺的命令,一起向受害主機以高速度發(fā)送大量的數(shù)據(jù)包,導(dǎo)致受害主機死機或是無法響應(yīng)正常的請求。41可編輯版防范DDoS攻擊的策略1.及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞,及時安裝系統(tǒng)補丁程序。2.要經(jīng)常檢查系統(tǒng)的物理環(huán)境,禁止那些不必要的網(wǎng)絡(luò)服務(wù)。3.充分利用防火墻等網(wǎng)絡(luò)安全設(shè)備,配置好它們的安全規(guī)則,過濾掉所有可能偽造的數(shù)據(jù)包。
42可編輯版5.7欺騙攻擊與防范攻擊者針對認證機制的缺陷,將自己偽裝成可信任方,從而與受害者進行交流,最終竊取信息或是展開進一步的攻擊。IP欺騙DNS欺騙ARP欺騙43可編輯版IP欺騙的原理44可編輯版ARP欺騙攻擊與防范
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 內(nèi)蒙古赤峰市第二中學(xué)2025屆高考全國統(tǒng)考預(yù)測密卷英語試卷含解析
- 2025屆廣東省東莞市南開實驗學(xué)校高考沖刺模擬語文試題含解析
- 人教版小學(xué)四年級下冊數(shù)學(xué)教案
- 上海洋涇中學(xué)2025屆高考數(shù)學(xué)倒計時模擬卷含解析
- 山東省昌樂縣第一中學(xué)2025屆高考考前提分數(shù)學(xué)仿真卷含解析
- 山東省濰坊市昌樂博聞學(xué)校2025屆高三第一次模擬考試語文試卷含解析
- 江蘇省連云港市灌南華僑高級中學(xué)2025屆高考英語四模試卷含解析
- 2025屆浙江省樂清市知臨中學(xué)高三第二次調(diào)研語文試卷含解析
- 2025屆吉林省洮南市第十中學(xué)高三第一次模擬考試語文試卷含解析
- 市場研究課件中山大學(xué)黃英姿教授主
- 死亡醫(yī)學(xué)證明(推斷)書的規(guī)范填寫與常見錯誤
- 11項國家標準針灸技術(shù)操作規(guī)范2024
- 幼兒足球培訓(xùn)課件
- 認領(lǐng)一只羊計劃書
- 醫(yī)療衛(wèi)生資源配置與公平性分析
- 戴明的質(zhì)量管理
- 《企業(yè)如何合理避稅》課件
- 2024年中國出版集團公司招聘筆試參考題庫含答案解析
- 2024年病案室工作總結(jié)與計劃
- 2022-2023學(xué)年山東省淄博市張店區(qū)青島版(五年制)三年級上冊期末考試數(shù)學(xué)試卷
- 市場營銷中的數(shù)據(jù)分析與應(yīng)用培訓(xùn)課件
評論
0/150
提交評論