《计算机网络与信息安全技术》电子课件CH网络攻击行

网络攻击行为分析第2章基本内容网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具，就象刀具，是基本生活用具，又可成为杀人凶器。我们要做到“知己知彼”，才能“百战不殆”，对黑客的攻击手段、途径、方法和工具了解得越多，越有利于保护网络和信息的安全。在介绍信息安全技术以前，本章先来分析与黑客攻击相关的知识。网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具。刀，是基本生活用具，但又是杀人凶计算机网络系统所面临的威胁大体可分为两种：一是针对网络中信息的威胁；二是针对网络中设备的威胁。2.1影响信息安全的人员分析如果按威胁的对象、性质则可以细分为四类：第一类是针对硬件实体设施第二类是针对软件、数据和文档资料第三类是兼对前两者的攻击破坏第四类是计算机犯罪。安全威胁的来源不可控制的自然灾害，如地震、雷击恶意攻击、违纪、违法和计算机犯罪人为的无意失误和各种各样的误操作计算机硬件系统的故障软件的“后门”和漏洞安全威胁主要来自以下几个方面：安全威胁的表现形式伪装非法连接非授权访问拒绝服务抵赖信息泄露业务流分析改动信息流篡改或破坏数据推断或演绎信息非法篡改程序实施安全威胁的人员心存不满的员工软硬件测试人员技术爱好者好奇的年青人黑客（Hacker）破坏者（Cracker）以政治或经济利益为目的的间谍互联网上的黑色产业链2.2网络攻击的层次网络攻击的途径针对端口攻击针对服务攻击针对第三方软件攻击DOS攻击针对系统攻击口令攻击欺骗网络攻击的层次网络攻击的层次第一层攻击：第一层攻击基于应用层的操作，这些攻击的目的只是为了干扰目标的正常工作。第二层攻击：第二层攻击指本地用户获得不应获得的文件(或目录)读权限。第三层攻击：在第二层的基础上发展成为使用户获得不应获得的文件(或目录)写权限。第四层攻击：第四层攻击主要指外部用户获得访问内部文件的权利。第五层攻击：第五层攻击指非授权用户获得特权文件的写权限。第六层攻击：第六层攻击指非授权用户获得系统管理员的权限或根权限。2.3网网络攻攻击的一一般步骤骤（1）隐隐藏IP（2）踩踩点扫描描（3）获获得系统统或管理理员权限限（4）种种植后门门（5）在在网络中中隐身2.4网网络入入侵技术术任何以干干扰、破破坏网络络系统为为目的的的非授权权行为都都称之为为网络攻攻击。网络攻击击实际上上是针对对安全策策略的违违规行为为、针对对授权的的滥用行行为与针针对正常常行为特特征的异异常行为为的总和和。网络主要要攻击手手段网站篡改改（占45.91%））垃圾邮件件（占28.49%））蠕虫（占占6.31%））网页恶意意代码（（占0.51%）木马（占占4.01%））网络仿冒冒（占4.97%）拒绝服务务攻击（（占0.58%）主机入侵侵（占1.14%）网络主要要攻击手手段网络入侵侵技术----漏洞攻攻击漏洞攻击击：利用用软件或或系统存存在的缺缺陷实施施攻击。。漏洞是指硬件件、软件或策策略上存在的的的安全缺陷陷，从而使得得攻击者能够够在未授权的的情况下访问问、控制系统统。缓冲区溢出漏漏洞攻击：：通过向程序序的缓冲区写写入超过其长长度的数据，，造成溢出，，从而破坏程程序的堆栈，，转而执行其其它的指令，，达到攻击的的目的。RPC漏洞、、SMB漏洞洞、打印漏洞洞缓冲区溢出Bufferoverflowattack缓冲冲区溢出攻击击缓冲区溢出漏漏洞大量存在在于各种软件件中利用缓冲区溢溢出的攻击，，会导致系统统当机，获得得系统特权等等严重后果。。最早的攻击1988年UNIX下的的Morrisworm最近的攻击Codered利用IIS漏洞SQLServerWorm利利用SQLServer漏洞Blaster利用RPC漏洞Sasser利用LSASS漏洞向缓冲区写入入超过缓冲区区长度的内容容，造成缓冲冲区溢出，破破坏程序的堆堆栈，使程序序转而执行其其他的指令，，达到攻击的的目的。原因：程序中中缺少错误检检测:voidfunc(char*str){charbuf[16];strcpy(buf,str);}如果str的的内容多于16个非0字字符，就会造造成buf的的溢出，使程程序出错。类似函数有strcat、sprintf、vsprintf、gets、scanf等一般溢出会造造成程序读/写或执行非非法内存的数数据，引发segmentationfault异常退退出.如果在一个个suid程序中特特意构造内内容，可以以有目的的的执行程序序，如/bin/sh，得到到root权限。类似函数有有strcat、sprintf、vsprintf、、gets、scanf等一般溢出会会造成程序序读/写或或执行非法法内存的数数据，引发发segmentationfault异常常退出.如果在一个个suid程序中特特意构造内内容，可以以有目的的的执行程序序，如/bin/sh，得到到root权限。在进程的地地址空间安安排适当的的代码通过适当的的初始化寄寄存器和内内存，跳转转到以上代代码段执行行利用进程中中存在的代代码传递一个适适当的参数数如程序中有有exec(arg)，只要要把arg指向“/bin/sh”就就可以了植入法把指令序列列放到缓冲冲区中堆、栈、数数据段都可可以存放攻攻击代码，，最常见的的是利用栈栈拒绝服务攻攻击（DoS）：通通过各种手手段来消耗耗网络带宽宽和系统资资源，或者者攻击系统统缺陷，使使系统的正正常服务陷陷于瘫痪状状态，不能能对正常用用户进行服服务，从而而实现拒绝绝正常用户户的服务访访问。分布式拒绝绝服务攻击击：DDoS，攻击击规模更大大，危害更更严重。实例：SYN-Flood洪洪水攻击，，Land攻击，Smurf攻击，，UDP-Flood攻击，，WinNuke攻攻击（139）等。。网络入侵技技术----拒绝服服务攻击典型的拒绝绝服务攻击击有如下两两种形式：：资源耗尽尽和资源过过载。当一一个个对对资资源源的的合合理理请请求求大大大大超超过过资资源源的的支支付付能能力力时时就就会会造造成成拒拒绝绝服服务务攻攻击击（例例如如，，对对已已经经满满载载的的Web服服务务器器进进行行过过多多的的请请求求。。））拒拒绝绝服服务务攻攻击击还还有有可可能能是是由由于于软软件件的的弱弱点点或或者者对对程程序序的的错错误误配配置置造造成成的的。。区分分恶恶意意的的拒拒绝绝服服务务攻攻击击和和非非恶恶意意的的服服务务超超载载依依赖赖于于请请求求发发起起者者对对资资源源的的请请求求是是否否过过份份，，从从而而使使得得其其他他的的用用户户无无法法享享用用该该服服务务资资源源。。以下的两两种情况况最容易易导致拒拒绝服务务攻击：：由于程序员对对程序错错误的编编制，导导致系统统不停的的建立进进程，最最终耗尽尽资源，只能重重新启动动机器。。不同的的系统平平台都会会采取某某些方法法可以防防止一些些特殊的的用户来来占用过过多的系系统资源源，我们们也建议议尽量采采用资源源管理的的方式来来减轻这这种安全全威胁。。还有一种种情况是是由磁盘存存储空间间引起的。假如如一个用用户有权权利存储储大量的的文件的的话，他他就有可可能只为为系统留留下很小小的空间间用来存存储日志志文件等等系统信信息。这这是一种种不良的的操作习习惯，会会给系统统带来隐隐患。这这种情况况下应该该对系统统配额作作出考虑虑。PingofDeath：发送送长度超超过65535字节的的ICMPEchoRequest数数据包包导致目目标机TCP/IP协协议栈崩崩溃，系系统死机机或重启启。Teardrop：发发送特别别构造的的IP数数据包包，导致致目标机机TCP/IP协议栈栈崩溃，，系统死死锁。Synflooding：：发送大大量的SYN包包。Land：发送送TCPSYN包，，包的SRC/DSTIP相同，，SPORT/DPORT相相同，导导致目标标机TCP/IP协议议栈崩溃溃，系统统死机或或失去响响应。Winnuke：发送送特别构构造的TCP包包，使得得Windows机器器蓝屏。。Smurf：攻攻击者冒冒充服务务器向一一个网段段的广播播地址发发送ICMPecho包，，整个网网段的所所有系统统都向此此服务器器回应icmpreply包。入侵者常常常采用用下面几几种方法法获取用用户的密密码口令令：弱口令扫扫描Sniffer密码嗅嗅探暴力破解解社会工程程学（即即通过欺欺诈手段段获取））木马程序序或键盘盘记录程程序。。。。。。。网络入侵侵技术----口令攻攻击破解PDF密码码破解OF密码破解系统统密码一个开放放的网络络端口就就是一条条与计算算机进行行通信的的信道，，对网络络端口的的扫描可可以得到到目标计计算机开开放的服服务程序序、运行行的系统统版本信信息，从从而为下下一步的的入侵做做好准备备。扫描是采采取模拟拟攻击的的形式对对目标可可能存在在的已知知安全漏漏洞逐项项进行检检查，利利用各种种工具在在攻击目目标的IP地址址或地址址段的主主机上寻寻找漏洞洞。典型的扫扫描工具具包括安安全焦点点的X-Scan、小小榕的流流光软件件，简单单的还有有IpScan、SuperScan等，，商业化化的产品品如启明明星辰的的天镜系系统具有有更完整整的功能能。网络入侵侵技术----扫描攻攻击网络嗅探探与协议议分析是是一种被被动的侦侦察手段段，使用用嗅探监监听软件件，对网网络中的的数据进进行分析析，获取取可用的的信息。。网络监听听可以使使用专用用的协议议分析设设备实现现，也可可使用SnifferPro4.7、、TCPDump等软软件实现现。SnifferPro是是最常用用的嗅探探分析软软件，它它可以实实现数据据包捕获获、数据据包统计计、过滤滤数据包包、数据据包解码码等功能能，功能能解码可可以获取取很多有有用的信信息，如如用户名名、密码码及数据据包内容容。网络入侵侵技术----嗅探与与协议分分析协议欺骗骗攻击就就是假冒冒通过认认证骗取取对方信信任，从从而获取取所需信信息，进进而实现现入侵的的攻击行行为。常见的协协议欺骗骗有以下下几种方方式：IP欺骗：对对抗基于于IP地地址的验验证。ARP欺欺骗：它它是一个个位于TCP/IP协协议栈中中的低层层协议，，负责将将某个IP地址址解析成成对应的的MAC地址。。ARP欺骗通通过伪造造ARP与IP的信息息或对应应关系实实现。NC软件件就能实实现ARP欺骗骗。TCP会会话劫持持：与IP欺骗骗类似，，通过嗅嗅探并向向网络注注入额外外的信息息实现TCP连连接参与与。如IPwatcher就是一一种有效效的会话话劫持工工具。网络入侵侵技术----协议欺欺骗攻击击社会工程程学（SocialEngineering）），是一一种通过过对受害害者心理理弱点、、本能反反应、好好奇心、、信任、、贪婪等等心理陷陷阱进行行诸如欺欺骗、伤伤害等危危害手段段，取得得自身利利益的手手法。20世世纪70年年代末末期，，一个个叫做做斯坦坦利••马克克•瑞瑞夫金金（StanleyMarkRifkin）的的年轻轻人成成功地地实施施了史史上最最大的的银行行劫案案。他他没有有雇用用帮手手、没没有使使用武武器、、没有有天衣衣无缝缝的行行动计计划，，“甚甚至无无需计计算机机的协协助””，仅仅仅依依靠一一个进进入电电汇室室的机机会并并打了了三个个电话