《计算机网络与信息安全技术》电子课件CH网络攻击行

网络攻击行为分析第2章基本内容网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具，就象刀具，是基本生活用具，又可成为杀人凶器。我们要做到“知己知彼”，才能“百战不殆”，对黑客的攻击手段、途径、方法和工具了解得越多，越有利于保护网络和信息的安全。在介绍信息安全技术以前，本章先来分析与黑客攻击相关的知识。网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具。刀，是基本生活用具，但又是杀人凶计算机网络系统所面临的威胁大体可分为两种：一是针对网络中信息的威胁；二是针对网络中设备的威胁。2.1影响信息安全的人员分析如果按威胁的对象、性质则可以细分为四类：第一类是针对硬件实体设施第二类是针对软件、数据和文档资料第三类是兼对前两者的攻击破坏第四类是计算机犯罪。安全威胁的来源不可控制的自然灾害，如地震、雷击恶意攻击、违纪、违法和计算机犯罪人为的无意失误和各种各样的误操作计算机硬件系统的故障软件的“后门”和漏洞安全威胁主要来自以下几个方面：安全威胁的表现形式伪装非法连接非授权访问拒绝服务抵赖信息泄露业务流分析改动信息流篡改或破坏数据推断或演绎信息非法篡改程序实施安全威胁的人员心存不满的员工软硬件测试人员技术爱好者好奇的年青人黑客（Hacker）破坏者（Cracker）以政治或经济利益为目的的间谍互联网上的黑色产业链2.2网络攻击的层次网络攻击的途径针对端口攻击针对服务攻击针对第三方软件攻击DOS攻击针对系统攻击口令攻击欺骗网络攻击的层次网络攻击的层次第一层攻击：第一层攻击基于应用层的操作，这些攻击的目的只是为了干扰目标的正常工作。第二层攻击：第二层攻击指本地用户获得不应获得的文件(或目录)读权限。第三层攻击：在第二层的基础上发展成为使用户获得不应获得的文件(或目录)写权限。第四层攻击：第四层攻击主要指外部用户获得访问内部文件的权利。第五层攻击：第五层攻击指非授权用户获得特权文件的写权限。第六层攻击：第六层攻击指非授权用户获得系统管理员的权限或根权限。2.3网网络攻攻击的的一般般步骤骤（1））隐藏藏IP（2））踩点点扫描描（3））获得得系统统或管管理员员权限限（4））种植植后门门（5））在网网络中中隐身身2.4网网络入入侵技技术任何以以干扰扰、破破坏网网络系系统为为目的的的非非授权权行为为都称称之为为网络络攻击击。网络攻攻击实实际上上是针针对安安全策策略的的违规规行为为、针针对授授权的的滥用用行为为与针针对正正常行行为特特征的的异常常行为为的总总和。。网络主主要攻攻击手手段网站篡篡改（（占45.91%））垃圾邮邮件（（占28.49%））蠕虫（（占6.31%）网页恶恶意代代码（（占0.51%）木马（（占4.01%）网络仿仿冒（（占4.97%）拒绝服服务攻攻击（（占0.58%）主机入侵（（占1.14%）网络主要攻攻击手段网络入侵技技术----漏洞攻攻击漏洞攻击：：利用软件件或系统存存在的缺陷陷实施攻击击。漏洞是指硬硬件、软件件或策略上上存在的的的安全缺陷陷，从而使使得攻击者者能够在未未授权的情情况下访问问、控制系系统。缓冲区溢出出漏洞攻击击：通过过向程序的的缓冲区写写入超过其其长度的数数据，造成成溢出，从从而破坏程程序的堆栈栈，转而执执行其它的的指令，达达到攻击的的目的。RPC漏洞洞、SMB漏洞、打打印漏洞缓冲区溢出出Bufferoverflowattack缓缓冲区溢出出攻击缓冲区溢出出漏洞大量量存在于各各种软件中中利用缓冲区区溢出的攻攻击，会导导致系统当当机，获得得系统特权权等严重后后果。最早的攻击击1988年UNIX下的Morrisworm最近的攻击击Codered利利用IIS漏洞SQLServerWorm利利用SQLServer漏漏洞Blaster利利用RPC漏洞Sasser利用LSASS漏洞向缓冲区写写入超过缓缓冲区长度度的内容，，造成缓冲冲区溢出，，破坏程序序的堆栈，，使程序转转而执行其其他的指令令，达到攻攻击的目的的。原因：程序序中缺少错错误检测:voidfunc(char*str){charbuf[16];strcpy(buf,str);}如果str的内容多多于16个个非0字符符，就会造造成buf的溢出，，使程序出出错。类似函数有有strcat、sprintf、vsprintf、、gets、scanf等一般溢出会会造成程序序读/写或或执行非法法内存的数数据，引发发segmentationfault异常常退出.如果在一个个suid程序中特特意构造内内容，可以以有目的的的执行程序序，如/bin/sh，得到到root权限。类似函数有有strcat、sprintf、vsprintf、、gets、scanf等一般溢出会会造成程序序读/写或或执行非法法内存的数数据，引发发segmentationfault异常常退出.如果在一个个suid程序中特特意构造内内容，可以以有目的的的执行程序序，如/bin/sh，得到到root权限。在进程的地地址空间安安排适当的的代码通过适当的的初始化寄寄存器和内内存，跳转转到以上代代码段执行行利用进程中中存在的代代码传递一个适适当的参数数如程序中有有exec(arg)，只要要把arg指向“/bin/sh”就就可以了植入法把指令序列列放到缓冲冲区中堆、栈、数数据段都可可以存放攻攻击代码，，最常见的的是利用栈栈拒绝服务攻攻击（DoS）：通通过各种手手段来消耗耗网络带宽宽和系统资资源，或者者攻击系统统缺陷，使使系统的正正常服务陷陷于瘫痪状状态，不能能对正常用用户进行服服务，从而而实现拒绝绝正常用户户的服务访访问。分布式拒绝绝服务攻击击：DDoS，攻击击规模更大大，危害更更严重。实例：SYN-Flood洪洪水攻击，，Land攻击，Smurf攻击，，UDP-Flood攻击，，WinNuke攻攻击（139）等。。网络入侵技技术----拒绝服服务攻击典型的拒绝绝服务攻击击有如下两两种形式：：资源耗尽尽和资源过过载。当一个对资资源的合理理请求大大大超过资源源的支付能能力时就会会造成拒绝绝服务攻击击（例如，对对已经满载载的Web服务器进进行过多的的请求。））拒绝服务务攻击还有有可能是由由于软件的的弱点或者者对程序的的错误配置置造成的。。区分恶意的的拒绝服务务攻击和非非恶意的服服务超载依依赖于请求求发起者对对资源的请请求是否过过份，从而而使得其他他的用户无无法享用该该服务资源源。以下的两种种情况最容容易导致拒拒绝服务攻攻击：由于程序员对程程序错误的的编制，导导致系统不不停的建立立进程，最最终耗尽资资源，只能重新新启动机器器。不同的的系统平台台都会采取取某些方法法可以防止止一些特殊殊的用户来来占用过多多的系统资资源，我们们也建议尽尽量采用资资源管理的的方式来减减轻这种安安全威胁。。还有一种情情况是由磁盘存储储空间引起起的。假如一一个用户有有权利存储储大量的文文件的话，，他就有可可能只为系系统留下很很小的空间间用来存储储日志文件件等系统信信息。这是是一种不良良的操作习习惯，会给给系统带来来隐患。这这种情况下下应该对系系统配额作作出考虑。。PingofDeath：发送长长度超过65535字节的ICMPEchoRequest数据包包导致目标标机TCP/IP协协议栈崩溃溃，系统死死机或重启启。Teardrop：：发送特别别构造的IP数据据包，导致致目标机TCP/IP协议栈栈崩溃，系系统死锁。。Synflooding：：发送大量量的SYN包。Land：：发送TCPSYN包，包包的SRC/DSTIP相相同，SPORT/DPORT相同，，导致目标标机TCP/IP协协议栈崩溃溃，系统死死机或失去去响应。Winnuke：发发送特别构构造的TCP包，使使得Windows机器蓝屏屏。Smurf：攻击者者冒充服务务器向一个个网段的广广播地址发发送ICMPecho包，，整个网段段的所有系系统都向此此服务器回回应icmpreply包包。入侵者常常常采用下面面几种方法法获取用户户的密码口口令：弱口令扫描描Sniffer密码码嗅探暴力破解社会工程学学（即通过过欺诈手段段获取）木马程序或或键盘记录录程序。。。。。。。网络入侵技技术----口令攻攻击破解PDF密码破解OF密密码破解系统密密码一个开放的的网络端口口就是一条条与计算机机进行通信信的信道，，对网络端端口的扫描描可以得到到目标计算算机开放的的服务程序序、运行的的系统版本本信息，从从而为下一一步的入侵侵做好准备备。扫描是采取取模拟攻击击的形式对对目标可能能存在的已已知安全漏漏洞逐项进进行检查，，利用各种种工具在攻攻击目标的的IP地址址或地址段段的主机上上寻找漏洞洞。典型的扫描描工具包括括安全焦点点的X-Scan、、小榕的流流光软件，，简单的还还有IpScan、、SuperScan等，商商业化的产产品如启明明星辰的天天镜系统具具有更完整整的功能。。网络入侵技技术----扫描攻攻击网络嗅探与与协议分析析是一种被被动的侦察察手段，使使用嗅探监监听软件，，对网络中中的数据进进行分析，，获取可用用的信息。。网络监听可可以使用专专用的协议议分析设备备实现，也也可使用SnifferPro4.7、TCPDump等软软件实现。。SnifferPro是最最常用的嗅嗅探分析软软件，它可可以实现数数据包捕获获、数据包包统计、过过滤数据包包、数据包包解码等功功能，功能能解码可以以获取很多多有用的信信息，如用用户名、密密码及数据据包内容。。网络入侵技技术----嗅探与与协议分析析协议欺骗攻攻击就是假假冒通过认认证骗取对对方信任，，从而获取取所需信息息，进而实实现入侵的的攻击行为为。常见的协议议欺骗有以以下几种方方式：IP欺骗：对抗抗基于IP地址的验验证。ARP欺骗骗：它是一一个位于TCP/IP协议栈栈中的低层层协议，负负责将某个个IP地址址解析成对对应的MAC地址。。ARP欺欺骗通过伪伪造ARP与IP的的信息或对对应关系实实现。NC软件就能能实现ARP欺骗。。TCP会话话劫持：与与IP欺骗骗类似，通通过嗅探并并向网络注注入额外的的信息实现现TCP连连接参与。。如IPwatcher就就是一种有有效的会话话劫持工具具。网络入侵技技术----协议欺欺骗攻击社会工程学学（SocialEngineering）），是一种种通过对受受害者心理理弱点、本本能反应、、好奇心、、信任、贪贪婪等心理理陷阱进行行诸如欺骗骗、伤害等等危害手段段，取得自自身利益的的手法。20世纪70年代末末期，一个个叫做斯坦坦利•马克克•瑞夫金金（StanleyMarkRifkin）的年轻