网络攻击与防御培训材料

1、1 11网络安全攻击与防御2011-12主讲人：陈彪主讲人：陈彪2 22一、网络安全一、网络安全 从本质上讲就是网络上的信息安全，通用定义是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的原因而遭到破坏、更改或泄密，系统联系、可靠、正常的运行，服务不中断。 网络安全简单的说是在网络环境下能够识别和消除不安全的因素。1.1 1.1 网络安全的定义网络安全的定义3 331.21.2网络安全的特征网络安全的特征网络安全应具有以下四个方面的特征： 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。 完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被

2、破坏和丢失的特性。 4 44可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； 可控性：对信息的传播及内容具有控制能力。 5 551.3 1.3 网络安全的重要性网络安全的重要性随着网络的快速普及和网络的开放性、共享性出现，网络的重要性和对社会的影响也越来越大。信息网络已经成为社会发展的重要保证。信息网络涉及到国家政治、军事、文教等诸多领域。近年，计算机犯罪案件急剧上升，已经成为国际问题。我国信息化进程虽然刚刚起步，但是发展迅速，计算机网络在我国迅速普及。短短的几年里，发生了多起针对、利用计算机

3、危害计算机网络的种种威胁必须采取有力的措施来保护计算机网络的安全。6 66据统计，网民中发生网络安全问题的比率如下据统计，网民中发生网络安全问题的比率如下7 771.4 1.4 网络安全的主要威胁因素网络安全的主要威胁因素1、非人为的、自然力造成的数据丢失、设备失效、线路阻断；2、人为的，但属于操作人员无意的失误造成的数据丢失；3、来自外部和内部人员的恶意攻击和入侵。前两种威胁的预防应该主要从系统硬件设施（包括物理环境、系统配置、系统维护等）以及人员培训、安全教育等方面入手，第三种是当前互联网所面临的最大威胁，导致这种威胁的主要因素一般包括所使用的网络协议存在某些安全问题、操作系统自身的漏洞、

4、系统的配置和安全管理、黑客主动发起的攻击以及蓄意而为的网络犯罪行为等。8 881.4.1 1.4.1 网络目前主要存在如下安全问题网络目前主要存在如下安全问题1、协议安全问题：如TCP协议、路由协议缺陷、应用层协议等；2、操作系统与应用程序漏洞；3、安全管理问题；4、黑客攻击；5、网络犯罪；9 99网络安全主要威胁来源网络安全主要威胁来源1010101.5 1.5 常用的防范措施常用的防范措施1、完善安全管理制度2、访问控制3、数据加密4、网络安全策略5、网络安全体系设计111111二、黑客知识二、黑客知识2.12.1黑客的定义黑客的定义黑客最早源自英文hacker，早期在美国的电脑界是带有褒

5、义的。但在媒体报导中，黑客一词往往指那些“软件骇客”(software cracker)。黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。1212122.2 2.2 黑客的区分黑客的区分白帽子黑客：包含红客、蓝客、灰客和白客黑帽子黑客：即传统的骇客，未经法律允许，闯入系统窃取信息，并造成一定经济损失 1、偶然黑客 2、坚定黑客:目的、技术、资金，(企业间谍)1313131414141515152.3 黑客人物举例黑客人物举例凯文米特尼克（

6、Kevin David Mitnick，1964年美国洛杉矶出生），有评论称他为世界上“头号电脑骇客”。这位“著名人物”现年不过47岁，但其传奇的黑客经历足以令全世界为之震惊。 16161613岁，小学，喜欢业余无线电活动15岁，闯入“北美空中防务指挥系统”主机 从做黑客到入狱，共15年，入侵过MOTOROLA、NOKIA、NOVELL、NEC、SUN等1995年2月被捕 2001年1月，认罪，获得监视性释放2002年年末，获准上网，著作欺骗的艺术1717171818182.4 2.4 黑客常用的手段黑客常用的手段1、网络扫描-在Internet上进行广泛搜索，以找出特定计算机或软件中的弱点。

7、 2、网络嗅探程序-偷偷查看通过Internet的数据包，以捕获口令或全部内容。通过安装侦听器程序来监视网络数据流，从而获取连接网络系统时用户键入的用户名和口令。 3、拒绝服务 -通过反复向某个Web站点的设备发送过多的信息请求，黑客可以有效地堵塞该站点上的系统，导致无法完成应有的网络服务项目(例如电子邮件系统或联机功能)，称为“拒绝服务”问题。 1919194、欺骗用户-伪造电子邮件地址或Web页地址，从用户处骗得口令、信用卡号码等。欺骗是用来骗取目标系统，使之认为信息是来自或发向其所相信的人的过程。欺骗可在IP层及之上发生（地址解析欺骗、IP源地址欺骗、电子邮件欺骗等）。当一台主机的IP地

8、址假定为有效，并为Tcp和Udp服务所相信。利用IP地址的源路由，一个攻击者的主机可以被伪装成一个被信任的主机或客户。 5、特洛伊木马-一种用户察觉不到的程序，其中含有可利用一些软件中已知弱点的指令。 2020206、后门-为防原来的进入点被探测到，留几个隐藏的路径以方便再次进入。 7、恶意小程序-微型程序，修改硬盘上的文件，发送虚假电子邮件或窃取口令。 8、竞争拨号程序-能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。逻辑炸弹计算机程序中的一条指令，能触发恶意操作。 9、缓冲器溢出- 向计算机内存缓冲器发送过多的数据，以摧毁计算机控制系统或获得计算机控制权。 21212110、口令

9、破译-用软件猜出口令。通常的做法是通过监视通信信道上的口令数据包，破解口令的加密形式。 11、社交工程-与公司雇员谈话，套出有价值的信息。 12、垃圾桶潜水-仔细检查公司的垃圾，以发现能帮助进入公司计算机的信息。 2222222323232.6 2.6 黑客攻击方法黑客攻击方法侦察侦察巩固访问权限巩固访问权限清除罪证清除罪证扫描扫描获取访问权获取访问权242424三、远程攻击的步骤三、远程攻击的步骤3.1 3.1 远程攻击准备阶段远程攻击准备阶段攻击之前需要做很多准备工作，包括确定攻击目标信息，攻击目标网络地址，目标机器所采用的操作系统，目标机器所提供的服务及端口信息等。1、确定攻击的目的首先

10、要确定攻击要达到什么样的目的，即给入侵者造成什么样的后果，常用的攻击目的有破坏性型和入侵性两种2525252、信息收集在确定攻击目标之后，攻击前最主要的工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系统类型及版本、相关软件的类型、版本及相关的社会信息。黑客用来收集目标系统相关信息的协议和攻击有以下几种：1、Ping2、SNMP协议3、TraceRoute程序4、Whois协议5、DNS服务器6、Finger协议2626263、服务分析获知目标提供哪些服务及各服务所使用的软件的版本类型至关重要。因为一直的漏洞一般都是针对某一服务的，每个服务通常都对应一个或多个端口，有一些系统

11、服务或较常用的应用服务所使用的端口是相对固定的，因此可以根据目标系统所开放的端口号来推测它所开放的服务。可以使用telnet命令来探测，更简单的方法是使用一些像SuperScan、Nmap这样的工具。2727274、系统分析当知道了目标主机处于在线状态，而且也知道了目标主机开放了哪些服务之后，就可以根据这些服务对目标操作系统进行分析，同样可以使用Nmap工具进行扫描5、漏洞分析可以采用类似Nessus、X-Scan等综合型漏洞检测工具;也可以采用专用型漏洞检测工具，如用于检测震荡波蠕虫漏洞的工具RetinaSasser,它们只能检测某种特定的漏洞2828283.2 3.2 远程攻击的实施阶段远

12、程攻击的实施阶段当收集到足够的信息之后，攻击者就要开始实施攻击行动。作为破坏性攻击，只需要利用工具发动攻击即可；而作为入侵性攻击，往往需要利用收集到的信息，找到其系统漏洞，然后利用漏洞获取一定的权限，一般攻击者会试图获取尽可能高的权限，以执行更多可能的操作。能够被攻击者利用的漏洞不仅包括系统软件设计上的安全漏洞，也包括由于管理员配置不当而造成的漏洞。292929系统漏洞分为远程漏洞和本地漏洞两种，远程漏洞是指黑客可以在别的机器上直接利用该漏洞进行攻击获取一定的权限，这种漏洞的威胁性相当大。黑客远程攻击的一般从远程漏洞开始的，但是利用远程漏洞获取的不一定是最高权限，很多时候只是一普通用户权限，这

13、样就需要提升权限，常常提升到管理员权限。只有获得了管理员权限，才可以做诸如网络监听、清除痕迹之类的事情。除了可以利用已获得权限在系统上执行本地漏洞提高权限外，还可以放一些木马之类的欺骗工具来套取管理员密码。3030303.3 远程攻击的善后阶段攻击者利用种种手段进入目标主机系统并获得控制权之后，绝不仅仅满足于进行破坏活动。一般入侵成功后，攻击者为了能长时间保留和巩固他对系统的控制全，不被管理员发现，他会做两件事，留下后门和擦除踪迹。众所周知，所有的网络操作系统一般都提供日志记录功能，该功能吧系统上发生的动作记录下来。因此，为了自身的隐蔽性，攻击者都会抹掉自己在日志中留下的痕迹。313131最简

14、单的办法就是直接删除日志文件，但这样明确告诉了系统管理员系统被入侵过，最有效的方法就是修改日志，可以利用zap、wipe等工具，主要是清除Utmp、Wtmp、Lastlog和Pacct等日志文件中某一用户的信息，使得当使用who、last等命令查看日志文件是，隐藏此用户的信息。安装了后门程序，运行后很有可能 被管理员发现，所以黑客一般通过替换系统程序来进一步隐藏踪迹，可以采用rootkit工具。323232四、木马、病毒与蠕虫四、木马、病毒与蠕虫4.1 4.1 木马木马木马(Trojan Horse)，是从希腊神话里面的木马屠城记得名的 ，指那些表面上是有用的软件、实际目的却是危害计算机安全并

15、导致严重破坏的计算机程序 。它是具有欺骗性的文件(宣称是良性的，但事实上是恶意的)，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。333333所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，也难以确定其具体位置;所谓非授权性是指一旦控制端与服务端连接后，控制端将窃取到服务端的很多操作权限，如修改文件，修改注册表，控制鼠标，键盘，窃取信息等等。一旦中了木马，你的系统可能就会门户大开，毫无秘密可言。 343434特洛伊木马与病毒的重大区别是特洛伊木马不具传染性，它并不能像病毒那样复制自身，也并不“刻意”地去感染其他文件，它主要通过将自

16、身伪装起来，吸引用户下载执行。特洛伊木马中包含能够在触发时导致数据丢失甚至被窃的恶意代码，要使特洛伊木马传播，必须在计算机上有效地启用这些程序，例如打开电子邮件附件或者将木马捆绑在软件中放到网络吸引人下载执行等 。3535353636364.2 4.2 病毒病毒计算机病毒(Computer Virus),根据中华人民共和国计算机信息系统安全保护条例，病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒必须满足两个条件:1、它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。3737372、它必

17、须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。此外，病毒往往还具有很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性等，由于计算机所具有的这些特点与生物学上的病毒有相似之处，因些人们才将这种恶意程序代码称之为“计算机病毒”。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在。 383838即使是这些良性病毒也会给计算机用户带来问题。通常它们会占据合法程序使用的计算机内存。结果，会引起操作异常，甚至导致系统崩溃。另外，许多病毒

18、包含大量错误，这些错误可能导致系统崩溃和数据丢失。令人欣慰的是，在没有人员操作的情况下，一般的病毒不会自我传播，必须通过某个人共享文件或者发送电子邮件等方式才能将它一起移动。典型的病毒有黑色星期五、熊猫烧香等。3939394.3 4.3 蠕虫蠕虫蠕虫(worm)也可以算是病毒中的一种，但是它与普通病毒之间有着很大的区别。一般认为:蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合，等等。404040普通病毒需要传播受感染的驻留文件来进行复制，而蠕虫不使用驻

19、留文件即可在系统之间进行自我复制， 普通病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。它能控制计算机上可以传输文件或信息的功能，一旦您的系统感染蠕虫，蠕虫即可自行传播，将自己从一台计算机复制到另一台计算机，更危险的是，它还可大量复制。 414141蠕虫病毒产生的破坏性上，也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等，都成为蠕虫传播的良好途径，蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们

20、手足无措。此外，蠕虫会消耗内存或网络带宽，从而可能导致计算机崩溃。424242它的传播不必通过“宿主”程序或文件，因此可潜入您的系统并允许其他人远程控制您的计算机，这也使它的危害远较普通病毒为大。典型的蠕虫病毒有冲击波、震荡波等。434343444444五、网络监听五、网络监听5.1 5.1 网络监听的概念网络监听的概念网络监听技术又叫做网络嗅探技术，顾名思义，这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。在网络安全领域，网络监听技术对于网络攻击与防范双方都有着重要的意义，是一把双刃剑。网络监听技术的能力范围目前只限于局域网，它是主机的一种工作模式，主机可以接收到本网段在同一条物

21、理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。4545454646464747475.2 5.2 监听的防御监听的防御由于嗅探器是一种被动攻击技术，因此非常难以被发现。我们可以采用安全的网络拓扑结构和数据加密技术两方面。1 1、安全的拓扑结构、安全的拓扑结构网络分段越细，嗅探器能够收集的信息就越少。网络分段：将网络分成一些小的网络，每一个网段的集线器被连接到一个交换器(Switch) (Switch) 上，所以数据包只能在该网段的内部被网络监听器截获，这样网络的剩余部分（不在同一网段）便被保护了。网络有三种网络设备是嗅探器不可能跨过的：交换机、路由器、网桥。我们可以通过灵活的运用

22、这些设备来进行网络分段。484848划分VLANVLAN：使得网络隔离不必要的数据传送，一般可以采用2020个工作站为一组，这是一个比较合理的数字。网络分段只适应于中小的网络。网络分段需要昂贵的硬件设备。2 2、数据加密、数据加密一种是建立各种数据传输加密通道：正常的数据都是通过事先建立的通道进行传输的，以往许多应用协议中明文传输的账号、口令的敏感信息将受到严密保护。目前的数据加密通道方式主要有SSH SSH 、SSL(Secure SSL(Secure Socket LayerSocket Layer，安全套接字应用层) )和VPNVPN。494949另一种是对于数据内容的加密：主要采用的是

23、将目前被证实的较为可靠的加密机制对对互联网上传输的邮件和文件进行加密。5050505.3 5.3 共享网络下的防监听共享网络下的防监听虽然共享式局域网中的嗅探很隐蔽，但是可以通过以下两个特征来检测网络中是否有人在进行嗅探： 网络通讯丢包率非常高 网络带宽出现反常检测技术： 网络和主机响应时间测试 ARP检测（如AntiSniff 工具）515151嗅探器为了能够截获网络上所有的分组，必须把网络接口卡设置为混杂模式。在混杂模式下，网卡不会阻塞目的地址不是自己的分组，而是照单全收，并将其传送给系统内核。然后，系统内核会返回包含错误信息的报文。基于这种机制，我们可以假造一些ARPARP请求报文发送到

24、网络上的各个节点，没有处于混杂模式的网卡会阻塞这些报文，但是如果某些节点有回应，就表示这些节点的网卡处于混杂模式下。这些处于混杂模式的节点就可能运行嗅探器程序。525252六、六、WEBWEB攻击与防御攻击与防御6.1 WEB6.1 WEB安全概述安全概述在InternetInternet大众化及WebWeb技术飞速演变的今天，在线安全所面临的挑战日益严峻。伴随着在线信息和服务的可用性的提升，以及基于WebWeb的攻击和破坏的增长，安全风险达到了前所未有的高度。 WebWeb安全可以从以下三个方面进行考虑： Web服务器的安全 Web客户端的安全 Web通信信道的安全5353531 1、WEB

25、WEB服务器安全服务器安全（1）服务器程序编写不当导致的缓冲区溢出（Buffer Overflow）并由此导致远程代码执行。（2）脚本程序编写不当、过滤不严格造成的数据库查询语句注入（SQL Injection），可能引起信息泄漏、文件越权下载、验证绕过、远程代码执行等。（3）乐观相信用户输入、过滤不严导致跨站脚本攻击（Cross SiteScript），在欺骗管理员的前提下，通过精心设计的脚本获得服务端Shell。（4）针对服务器系统的拒绝服务攻击（Denial of Service）5454542 2、WEBWEB客户端的安全：客户端的安全：WebWeb应用的迅速普及，客户端交互能力获得了

26、极为充分的发挥，客户端的安全也成为WebWeb安全的焦点问题。Java AppletJava Applet、ActiveXActiveX、CookieCookie等技术大量被使用，当用户使用浏览器查看、编辑网络内容时，采用了这些技术的应用程序会自动下载并在客户机上运行，如果这些程序被恶意使用，可以窃取、改变或删除客户机上的信息。浏览网页所使用的浏览器存在众多已知或者未知的漏洞，攻击者可以写一个利用某个漏洞的网页，并挂上木马，当用户访问了这个网页之后，就中了木马。这就是网页木马，简称网马。555555同时，跨站脚本攻击(XSS)(XSS)对于客户端的安全威胁同样无法忽视，利用XSSXSS的Web

27、Web蠕虫已经在网络中肆虐过。3 3、WebWeb通信信道的安全 和其他的InternetInternet应用一样，WebWeb信道同样面临着网络嗅探(Sniffer)(Sniffer)和以拥塞信道、耗费资源为目的的拒绝服务攻击(Denial of Service)(Denial of Service)的威胁。5656566.26.2跨站攻击（跨站攻击（XSSXSS）1 1、定义：、定义：XSSXSS是跨站脚本攻击(Cross Site Script) (Cross Site Script) 。它指的是恶意攻击者往WebWeb页面里插入恶意htmlhtml代码，当用户浏览该网页时，嵌入其中WebWeb里面的htmlhtml代码会被执行，从而达到恶意攻击用户的特殊目的。2 2、危害：、危害：XSSXSS攻击可以搜集用户信息，攻击者通常会在有漏洞的程序中插入JavaScriptJavaScript、VBScriptVBScript、ActiveXActiveX或Flash