网络入侵与攻击技术

1、第6章 网络入侵与攻击技术2022/7/201知识点： 网络攻击基础知识 网络攻击的基本步骤 典型的网络攻击技术 操作系统中常用的网络工具2022/7/2026.1 网络入侵与攻击概述 6.1.1 入侵和攻击的基本概念 1入侵和攻击 入侵是指任何威胁和破坏系统资源的行为（如非授权或越权访问系统资源、搭线窃听信息），实施入侵行为的“人”称为入侵者。而攻击是入侵者进行入侵所采取的技术手段和方法。入侵的整个过程（包括入侵准备、进攻、侵入）都伴随着攻击，因此有时也把入侵者称为攻击者。 入侵者的入侵途径有3类：一是物理途径（入侵者利用管理缺陷或人们的疏忽大意，乘虚而入，侵入目标主机企图登录系统或偷窃重要

2、资源进行研究与分析）；二是系统途径（入侵者使用自己所拥有的较低级别的操作权限进入目标系统，或装“后门”、复制信息、破坏资源、寻找系统漏洞以获取更高级别的操作权限等）；三是网络途径（入侵者通过网络渗透到目标系统中，进破坏活动）。 2022/7/203 2入侵与攻击的关系 入侵与攻击是直接相关的，入侵是目的，攻击是手段，在整个入侵过程中都存在攻击。入侵的目的就是抢占资源，但它不一定有攻击能力，可能雇佣攻击者来达到入侵目的。因此，攻击是由入侵者发起并由攻击者实现的一种“非法”行为。无论是入侵还是攻击，仅仅是概念上和形式上的描述有所区别而已。 对计算机网络而言，入侵与攻击并没有什么本质的区别，入侵伴随

3、着攻击的结果就是入侵（比如在入侵者没有侵入目标之前，他想方设法利用各种手段对目标进行攻击，这属于网络外的主动攻击行为）；当攻击者得手而侵入目标之后，入侵者利用各种手段掠夺和破坏别人的资源（这属于网络内的主动攻击行为）。 从网络安全角度来看，入侵和攻击的结果是一样的。2022/7/204 3入侵者的攻击手段 （1）冒充； （2）篡改； （3）重放； （4）服务拒绝； （5）陷阱门； （6）外部攻击； （7）内部攻击； （8）特洛伊木马。 2022/7/205 冒充：把自己伪装成别人，并以他人的名义攻击系统。篡改：通过秘密篡改合法用户所传送的数据内容，实现自己的入侵目的。重放：利用修改或复制合法用

4、户所发出的数据再重发，以欺骗接收者，从而达到非法入侵的目的。服务拒绝：终止或干扰服务器为合法用户提供服务或抑制所有流向某一特定目标的数据，达到入侵的目的。陷阱门：首先通过某种方式入侵到系统，然后安装陷阱门，并通过更改系统属性和相关特性，使入侵者在非授权情况下能对系统进行各种非法操作。外部攻击：通过搭线窃听，截获信息，冒充系统管理人员、授权用户或系统的某个部分，设置旁路躲避鉴别与访问控制机制等入侵2022/7/206 内部攻击：利用其所拥有的权限或越权对系统进行破坏活动。特洛伊木马：利用特洛伊木马攻击不但可以拥有授权功能，还可以拥有非授权功能，一旦系统被特洛伊木马控制，整个系统将会被占领。特洛伊

5、木马系统是具有双重功能的客户/服务体系结构。2022/7/2076.1.2 防止入侵和攻击的主要技术 （1）访问控制技术是网络安全保护和防范的核心策略之一，其主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及的内容较为广泛，包括网络登录控制、网络使用权限控制、目录级安全控制以及属性安全控制等技术。 （2）防火墙技术是用来保护内部网络免受外部网络的恶意入侵和攻击，防止计算机犯罪，将入侵者拒之门外的网络安全技术。防火墙是内部网络与外部网络的边界，它能够严密监视进出网络边界的数据包，能够阻挡入侵者，严格限制外部网络对内部网络的访问，也可以有效地监视内部网络对外部网络的访问。 （3）入侵

6、检测技术是网络安全技术和信息技术结合的产物，它可以实时监视网络系统的某些区域，当这些区域受到攻击时能够及使检测和立即响应。2022/7/208 （4）安全审计是在网络中模拟现实社会的监察机构，对网络系统的活动进行监视、记录并提出安全意见和建议的一种机制。利用安全审计可以有针对性地对网络运行状态和过程进行记录、跟踪和审查。通过安全审计不仅可以对网络风险进行有效评估，还可以为制定合理的安全策略和加强安全管理提供决策依据，使网络系统能够及时调整对策。 （5）安全扫描技术是指对计算机及网络系统等设备进行相关安全检测，以查找安全隐患和可能被攻击者利用的漏洞。从安全扫描的角度来看，它既是保护计算机及网络系

7、统必不可少的方法，也攻击者攻击系统的技术之一。系统管理员利用安全扫描技术可以排除隐患，防止攻击者入侵；而攻击者也可以利用安全扫描技术来寻找入侵计算机及网络系统的机会。 （6）安全管理技术一般意义上讲是指为实现信息系统安全的目标而采取的一系列管理制度和技术手段，包括安全检测、监控、响应和调整的全部控制过程。2022/7/2096.2 网络攻击的基本步骤 要实施网络攻击，必须进行3个基本步骤：搜集信息选择目标、实施攻击上传攻击程序、下载用户数据。网络攻击的关键一步就搜集信息，即踩点。 1搜集攻击目标的初始信息 攻击者搜集的攻击目标初始信息包括开放信息源（Open Source Informatio

8、n）、公司新闻信息、公司员工信息和新闻组等。这些信息虽然对最终实施攻击的用处不是很大，但能决定是否对该目标实施攻击行为。在这一步中常采用的工具主要有whois和nslookup。2022/7/2010 2查找网络地址范围 当攻击者获得了目标机器的IP地址后，下一步需要找出网络的地址范围或者子网掩码。需知道地址范围的主要原因是保证攻击者能集中精力对付一个网络而没有闯入其他网络。 3查找活动机器 知道了IP地址范围后，攻击者想知道哪些机器是活动的，哪些不是。公司里一天中不同的时间有不同的机器在活动。一般攻击者会在白天寻找活动的机器，然后在深夜再次查找，这样他就能区分工作站和服务器。服务器会被一直使

9、用，而工作站只在正常工作日是活动的。2022/7/2011 4查找开放的端口和入口点 网络通信除了需要知道目标IP地址以外，还需要知道对方开放的端口。因此攻击者在攻击前也要知道可以利用的端口。此时可以利用PortScanners（端口扫描器）工具进行，它可以在一系列端口上运行以找出哪些端口是开放的。 5查看操作系统类型 攻击者知道哪些机器是活动的和哪些端口是开放的后，下一步是识别每台主机运行哪种操作系统。有一些探测远程主机并确定在运行哪种操作系统的程序。这些程序通过向远程主机发送不平常的或者没有意义的数据包来完成。因为这些数据包RFC（Internet标准）没有列出，不同的操作系统对它们的处理方法不同，攻击者通过解析输出，能够弄清自己正在访问的是什么类型的设备和在运行哪种操作系统。这些工具软件中比较著名的有Queso、Nmap、CheckOS等。2022/7/2012 6扫描目标网络弱点 攻击者了解目标系统中主要端口所运行的服务是相当重要的，因为他