网络安全之三网络攻击与防范 ppt

现在网络已经不仅仅是一个时髦的名词。事实上它已经成为人们生活不可缺少的一部分。前言学习完此课程，您将会：了解常见网络攻击方式理解网络攻击的原理了解应对网络攻击的措施学习目标第1章网络攻击概述第2章网络攻击原理和防范目录第1章网络攻击概述第1节网络安全威胁第2节常见攻击类型内容介绍网络攻击发展趋势Sophistication

ofhackertoolsPacketforging/spoofing19901980PasswordguessingSelfreplicating

codePasswordcrackingBackdoorsHijackingsessionsSweepersSniffersStealthdiagnosticsTechnicalknowledgerequiredHighLow2000ExploitingknownvulnerabilitiesDisablingaudits网络安全威胁常见的网络威胁分类:无意的蓄意的外部的内部的常见的攻击类型数据报嗅探IP脆弱性口令攻击拒绝服务攻击“中间人”攻击应用层的攻击信任机制的利用端口重定向病毒木马Layer2攻击第1章网络攻击概述第2章网络攻击原理和防范目录第1章网络攻击原理和防范内容介绍数据报嗅探（Sniffer）数据报嗅探是一种协议分析软件，它利用网卡的混杂模式来监听网络中的数据报。Sniffer可以用于嗅探网络中的明文口令信息：TelnetFTPSNMPPOP数据报嗅探工具必须与监听对象在同一个冲突域里面。HostAHostBRouterARouterB数据报嗅探工具的分类目前，有二种主要的嗅探工具类型通用的嗅探器，例如SnifferPro，Iris等特定嗅探攻击工具，例如PasswordSniffer。示例示例数据报嗅探的防范

主要的防范手段认证—使用强认证方式，例如使用一次性口令。反嗅探工具—利用反嗅探工具来发现网络中的嗅探行为。加密—这是最为有效的防范手段。HostAHostBRouterARouterBIP伪装IP伪装－－伪装IP包头IP伪装通常发生在需要与可信主机通信的时候。常见的IP伪装技术:利用可信主机IP进行伪装利用已授权IP进行伪装IP伪装的危害:IP通常用于在一个已经连接的数据通道中，注入有害数据或命令。黑客还可以改变路由表指向伪装地址，然后黑客就可以收到所有的数据报，在转发出去。SYNFLOOD该攻击以多个随即的源地址向目的主机发送SYN初始化请求，而在收到主机的SYNACK后并不产生回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于并没有收到ACK一直维护这些队列，造成大量资源消耗而不能提供正常的服务。SMURF该攻击向一个子网的广播地址发送一个带有特定请求（如ICMP回应请求）的包，并且讲源地址伪装成想要攻击的主机地址。子网上的所有主机都回应广播包请求而象被攻击主机发送包。Band-based攻击者将一个数据包的源地址和目的地址都设置为目标主机的地址，然后将该IP包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图于自己建立链接而陷入死循环，从而降低了被攻击主机的性能。Pingofdeath更具TCP/IP的规定，一个IP包的最大长度为65536B,这种大包在通过网络的时候会被分割成很多小包，到达目的后在组合起来，而我们设法生成大于65536的IP包，会造成目的主机崩溃数据包片断重叠（TEARDROP,BONK,NESTEA)这种攻击技术的要点是迫使目标系统的操作系统去处理彼此重叠的TCP/IP数据包，而这将导致很多操作系统发生崩溃或者出现资源耗尽。第一个包的便宜量为0，长度为N,第二个包的偏移量小于N.PINGFLOOD该攻击在短时间内向目的主机发送大量的PING包，造成网络阻塞或者系统资源耗尽。IPDatagramVersion

(4)DestinationIPAddress(32)Options(0or32ifAny)UpperlayerData1Bit0Bit15Bit16Bit31Header

Length(4)Priority&Type

ofService(8)TotalLength(16)Identification(16)Flags

(3)FragmentOffset(13)Time-to-Live(8)Protocol(8)HeaderChecksum(16)SourceIPAddress(32)20

BytesIPSpoofing防范对于IP伪装目前还没有有效根治的防范方法，只能是尽可能的降低这种风险:访问控制—这是最为常用的防范手段.根据RFC2827进行过滤—在入端口过滤使用内部IP地址的数据报。附加的认证方式，而不依赖IP层的认证:加密认证(推荐)拒绝服务攻击DoS拒绝服务攻击是导致服务瘫痪的一种攻击手段:不同于旨在获得系统权限，窃取敏感信息的攻击手段易于发起最难以消除僵尸机客户端系统4.黑客控制大量的代理发起DDOS攻击.1.扫描.3.在代理上面安装控制端软件.DDoSExample2.安装扫描器和攻击代理器.DDOS攻击防范可以通过下列方法来降低DDOS攻击的影响:防范IP伪装—在防火墙和路由器是配置防范IP伪装的策略防范DOS功能—在防火墙和路由器是配置防范DOS的策略流量限制

口令攻击常见口令攻击的手段:暴力破解木马窃取IP伪装嗅探口令攻击的示例L0phtCrack口令破解的常用手段:字典攻击暴力破解口令攻击的防范不要在多个系统中使用相同的口令.制定口令的锁定策略.不要使用明文口令，在有条件的地方，使用一次性口令系统.制定口令复杂度策略中间人攻击中间人攻击的条件：攻击者能够“看到”网络数据报。中间人攻击实施网络数据报的嗅探（监听）路由和传输协议中间人攻击的危害:窃取信息会话劫持流量分析DoS篡改数据注入信息HostAHostBRouterARouterB明文数据中间人攻击防范有效遏制和消除中间人攻击的方法是加密。HostAHostBRouterAISPRouterB中间人攻击只能看到明文信息IPSectunnel

应用层攻击应用层攻击的特点:利用众所周知的漏洞,例如协议漏洞(forexample,sendmail,HTTP,andFTP)通常是访问控制策略允许的服务(例如，可以攻击防火墙后面的web服务器)可能永远都不能根除，因为每天都有新的漏洞，安全是动态的应用层攻击的防范常用降低应用层威胁的方法定期查看和分析系统日志.订阅系统漏洞信息.安装最新的系统补丁.必要时，在有条件的地方部署IDS

网络扫描和探测利用公开的信息或者扫描手段，获取网络拓扑等信息。

网络扫描和探测示例域信息查询地址查询网络扫描和探测示例Traceroute探测网络拓扑PartnersiteRemotesiteInternetInternet-basedintranetInternet-basedextranet网络扫描和探测防范目前，不太可能完全消除.部署访问控制策略必要时，部署IDSTrustExploitation黑客可以利用信任域做为攻击的跳板常见信任域Windows域活动目录Linux和UNIXNFSNIS+SystemAUser=psmith;PatSmithSystemB–CompromisedbyhackerUser=psmith;PatSmithSystemAtrustsSystemBSystemBtrustsEveryoneSystemAtrustsEveryoneHackergainsaccesstoSystemAHackerUser=psmith;PatSmithson信任域攻击的防范防火墙内的主机绝对不能信任防火墙外部的主机.在做信任认证时，不要过分依赖IP地址SystemAUser=psmith;PatSmithSystemBcompromised

byahackerUser=psmith;PatSmithHackerblockedHackerUser=psmith;PatSmithsonLayer2攻击CAM表泛洪（CAMtableFlood）ARP/MACpoisoningARP伪装MACDPort3

CAMTableOverflowMACAMACBAC?AC?AC?Port2

MAC伪装SourceMAC:ACAB321Oh,Aisconnectedto3

ARP伪装A

B21

CARPREPLY:IamCInternet

RIP攻击攻击者可以在网络上利用软件虚拟出一个RIP路由器，然后发送假冒错误的路由表，影响正常的路由表

其他Layer2攻击操控SPT协议（SpanningTreeProtocolManipulation）—利用错误或虚假的BPDU报文DHCP