网络攻击与防御复习

网络攻击与防范--课程复习张玉清国家计算机网络入侵防范中心2023/2/6网络入侵与防范讲义2复习纲要课程安排课程内容试卷题型实验事宜考试事宜2023/2/6网络入侵与防范讲义3课程安排课时：40/2内容：课堂讲授+实验考核方式：笔试（开卷，50分）+实验（3个，50分）通过本课程的学习使学生掌握网络攻防技术的基本原理和方法，全面了解网络攻击与防范技术，掌握网络防范体系的相关内容，并具备对各种常见网络攻击进行基本防御的能力。通过本课程的学习，学生应对网络攻防技术有一个全面和完整的认识，能够了解常见网络攻击及其防御方法和技术。2023/2/6网络入侵与防范讲义4课程内容第一章网络安全概述第二章扫描与防御技术第三章网络监听及防御第四章口令破解及防御第五章欺骗攻击及防御第六章拒绝服务攻击及防御第七章缓冲区溢出攻击及防御第八章WEB攻击及防御第九章木马攻击及防御第十章计算机病毒第十一章典型防御技术第十二章网络安全发展与未来2023/2/6网络入侵与防范讲义5第1章网络安全概述1.1网络安全基础知识1.2网络安全的重要性1.3网络安全的根源1.4网络攻击过程1.5网络安全策略及其原则1.6常用的防护措施2023/2/6网络入侵与防范讲义62023/2/6网络入侵与防范讲义6网络安全的基本需求

可靠性可用性保密性完整性不可抵赖性可控性可审查性真实性机密性完整性抗抵赖性……可用性2023/2/6网络入侵与防范讲义72023/2/6网络入侵与防范讲义7安全漏洞简介漏洞也叫脆弱性（Vulnerability），是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。漏洞一旦被发现，就可使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全。2023/2/6网络入侵与防范讲义82023/2/6网络入侵与防范讲义8网络安全主要威胁来源网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫2023/2/6网络入侵与防范讲义92023/2/6网络入侵与防范讲义9黑客分类灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机为人民服务漏洞发现-Flashsky软件破解-0Day工具提供-Glacier白帽子创新者设计新系统打破常规精研技术勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈盈豪攻击Yahoo-匿名恶渴求自由2023/2/6网络入侵与防范讲义102023/2/6网络入侵与防范讲义10网络攻击过程入侵一般可以分为本地入侵和远程入侵在这里我们主要讲的是远程的网络入侵：网络攻击准备阶段网络攻击的实施阶段网络攻击的善后阶段2023/2/6网络入侵与防范讲义11第2章扫描与防御技术2.1扫描技术基础2.2常见的扫描技术2.3扫描工具赏析2.4扫描的防御2023/2/6网络入侵与防范讲义122023/2/6网络入侵与防范讲义12什么是网络扫描器网络扫描器可以通过执行一些脚本文件来模拟对网络系统进行攻击的行为并记录系统的反应，从而搜索目标网络内的服务器、路由器、交换机和防火墙等设备的类型与版本，以及在这些远程设备上运行的脆弱服务，并报告可能存在的脆弱性。2023/2/6网络入侵与防范讲义132023/2/6网络入侵与防范讲义13扫描三步曲一个完整的网络安全扫描分为三个阶段：第一阶段：发现目标主机或网络第二阶段：发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息第三阶段：根据收集到的信息判断或者进一步测试系统是否存在安全漏洞2023/2/6网络入侵与防范讲义142023/2/6网络入侵与防范讲义14常见的扫描技术主机扫描端口扫描全扫描半扫描秘密扫描远程主机OS指纹识别漏洞扫描2023/2/6网络入侵与防范讲义152023/2/6网络入侵与防范讲义15常用扫描工具比较主机扫描端口扫描OS识别漏洞扫描NmapNessusX-scan扫描工具扫描技术2023/2/6网络入侵与防范讲义16第3章网络监听及防御3.1网络监听概述3.2监听技术3.3监听的防御2023/2/6网络入侵与防范讲义17基础知识网络监听的概念网络监听技术又叫做网络嗅探技术，顾名思义这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。在网络安全领域，网络监听技术对于网络攻击与防范双方都有着重要的意义，是一把双刃剑。网络监听技术的能力范围目前只限于局域网，它是主机的一种工作模式，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。2023/2/6网络入侵与防范讲义18基础知识网卡的四种工作模式（1）广播模式：该模式下的网卡能够接收网络中的广播信息。（2）组播模式：该模式下的网卡能够接受组播数据。（3）直接模式：在这种模式下，只有匹配目的MAC地址的网卡才能接收该数据帧。（4）混杂模式：（PromiscuousMode）在这种模式下，网卡能够接受一切接收到的数据帧，而无论其目的MAC地址是什么。

2023/2/6网络入侵与防范讲义19网络监听防御的通用策略由于嗅探器是一种被动攻击技术，因此非常难以被发现。完全主动的解决方案很难找到并且因网络类型而有一些差异，但我们可以先采用一些被动但却是通用的防御措施。这主要包括采用安全的网络拓扑结构和数据加密技术两方面。2023/2/6网络入侵与防范讲义20第4章口令破解及防御4.1口令的历史与现状4.2口令攻击方式4.3典型的口令破解工具4.4口令攻击的综合应用4.5口令攻击的防御2023/2/6网络入侵与防范讲义212023/2/6网络入侵与防范讲义21词典攻击因为大多数人都会使用普通词典中的单词作为口令，发起词典攻击通常是一个比较好的开端。词典攻击使用的是一个包含大多数词典单词的文件，利用这些单词来猜测口令。2023/2/6网络入侵与防范讲义222023/2/6网络入侵与防范讲义22强行攻击如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合，将最终能破解所有的口令。这种攻击方式叫做强行攻击（也叫做暴力破解）。使用强行攻击，先从字母a开始，尝试aa、ab、ac等等，然后尝试aaa、aab、aac……。2023/2/6网络入侵与防范讲义232023/2/6网络入侵与防范讲义23组合攻击词典攻击虽然速度快，但是只能发现词典单词口令；强行攻击能发现所有口令，但是破解的时间长。而且在很多情况下，管理员会要求用户的口令是字母和数字的组合，而这个时候，许多的用户就仅仅会在他们的口令后面添加几个数字，例如，把口令从ericgolf改成ericgolf2324。而实际上这样的口令是很弱的，有一种攻击是在使用词典单词的基础上为单词的串接几个字母和数字，这种攻击就叫做组合攻击。2023/2/6网络入侵与防范讲义24第5章欺骗攻击及防御5.1概述5.2IP欺骗及防御技术5.3ARP欺骗及防御技术5.4电子邮件欺骗及防御技术5.5DNS欺骗及防御技术5.6Web欺骗及防御技术2023/2/6网络入侵与防范讲义252023/2/6网络入侵与防范讲义25IP欺骗最基本的IP欺骗技术有三种：基本地址变化使用源站选路截取数据包利用Unix机器上的信任关系这三种IP欺骗技术都是早期使用的，原理比较简单，因此效果也十分有限。IP欺骗高级应用—TCP会话劫持。2023/2/6网络入侵与防范讲义262023/2/6网络入侵与防范讲义26ARP欺骗原理ARP欺骗攻击是利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。通常这种攻击方式可能被病毒、木马或者有特殊目的攻击者使用。原理：主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。2023/2/6网络入侵与防范讲义272023/2/6网络入侵与防范讲义27ARP欺骗攻击的防范MAC地址绑定，使网络中每一台计算机的IP地址与硬件地址一一对应，不可更改。使用静态ARP缓存，用手工方法更新缓存中的记录，使ARP欺骗无法进行。使用ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。使用ARP欺骗防护软件，如ARP防火墙。发现正在进行ARP欺骗的主机并将其隔离。2023/2/6网络入侵与防范讲义282023/2/6网络入侵与防范讲义28电子邮件欺骗原理及实现方法执行电子邮件欺骗有三种基本方法，每一种有不同难度级别，执行不同层次的隐蔽。它们分别是：利用相似的电子邮件地址修改邮件客户软件设置远程登录到25号端口2023/2/6网络入侵与防范讲义292023/2/6网络入侵与防范讲义29DNS欺骗的原理及实现步骤当客户主机向本地DNS服务器查询域名的时候，如果服务器的缓存中已经有相应记录，DNS服务器就不会再向其他服务器进行查询，而是直接将这条记录返回给用户。而入侵者欲实现DNS欺骗，关键的一个条件就是在DNS服务器的本地Cache中缓存一条伪造的解析记录。2023/2/6网络入侵与防范讲义302023/2/6网络入侵与防范讲义30Web欺骗Web欺骗是一种电子信息欺骗，攻击者创造了一个完整的令人信服的Web世界，但实际上它却是一个虚假的复制。虚假的Web看起来十分逼真，它拥有相同的网页和链接。然而攻击者控制着这个虚假的Web站点，这样受害者的浏览器和Web之间的所有网络通信就完全被攻击者截获。实例：网络钓鱼2023/2/6网络入侵与防范讲义31第6章拒绝服务攻击及防御6.1拒绝服务攻击概述6.2典型拒绝服务攻击技术6.3分布式拒绝服务攻击6.4拒绝服务攻击的防御6.5分布式拒绝服务攻击的防御2023/2/6网络入侵与防范讲义32拒绝服务攻击的概念“拒绝服务”这个词来源于英文DenialofService（简称DoS），它是一种简单的破坏性攻击，通常攻击者利用TCP/IP协议中的某个弱点，或者系统存在的某些漏洞，对目标系统发起大规模的进攻，致使攻击目标无法对合法的用户提供正常的服务。简单的说，拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的攻击手段。2023/2/6网络入侵与防范讲义33典型拒绝服务攻击技术死亡之Ping（PingofDeath）“泪滴”（teardrop）IP欺骗DoS攻击UDP“洪水”SYN“洪水”Land攻击2023/2/6网络入侵与防范讲义34典型拒绝服务攻击技术(Cont.)Smurf攻击Fraggle攻击分布式反射拒绝服务攻击电子邮件炸弹畸形消息攻击SlashdoteffectWinNuke攻击2023/2/6网络入侵与防范讲义35分布式拒绝服务攻击分布式拒绝服务DDoS(DistributedDenialofService)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。2023/2/6网络入侵与防范讲义36分布式拒绝服务攻击(Cont.)DDoS攻击示例：2023/2/6网络入侵与防范讲义37第7章缓冲区溢出攻击及防御7.1缓冲区溢出概述7.2缓冲区溢出危害7.3缓冲区溢出分析7.4常见的溢出形式7.5实例：ida溢出漏洞攻击7.6缓冲区溢出的防御2023/2/6网络入侵与防范讲义382023/2/6网络入侵与防范技术38缓冲区溢出概述什么是缓冲区？它是指程序运行期间，在内存中分配的一个连续的区域，用于保存包括字符数组在内的各种数据类型。所谓溢出，其实就是所填充的数据超出了原有的缓冲区边界，并非法占据了另一段内存区域。两者结合进来，所谓缓冲区溢出，就是由于填充数据越界而导致原有流程的改变，黑客借此精心构造填充数据，让程序转而执行特殊的代码，最终获取控制权。2023/2/6网络入侵与防范讲义39堆堆(Heap)，用于存储程序运行过程中动态分配的数据块。堆的大小并不固定，可动态扩张或缩减。当进程调用malloc等函数分配内存时，新分配的内存就被动态添加到堆上（堆被扩张）；当利用free等函数释放内存时，被释放的内存从堆中被剔除（堆被缩减）。随着系统动态分配给进程的内存数量的增加，Heap(堆)一般来说是向内存的高地址方向增长的。2023/2/6网络入侵与防范技术392023/2/6网络入侵与防范讲义402023/2/6网络入侵与防范技术40栈(Cont.)函数被调用的时候，栈中的压入情况如下：Func函数中的局部变量调用Func函数前的EBP退出Func函数后的返回地址传递给Func的实参内存低地址内存高地址最先压入栈最后压入栈2023/2/6网络入侵与防范讲义412023/2/6网络入侵与防范技术41缓冲区溢出的原理如果在堆栈中压入的数据超过预先给堆栈分配的容量时，就会出现堆栈溢出，从而使得程序运行失败；如果发生栈溢出的是大型程序还有可能会导致系统崩溃。2023/2/6网络入侵与防范讲义422023/2/6网络入侵与防范技术42将控制程序转移到攻击代码的形式转移方式分为以下几种：functionPointers（函数指针）activationRecords（激活记录）Longjmpbuffers（长跳转缓冲区）2023/2/6网络入侵与防范讲义43第8章WEB攻击及防御8.1Web安全概述8.2Web服务器指纹识别8.3Web盗窃8.4网页验证码攻击8.5SQL注入8.6跨站脚本攻击8.7防御Web攻击2023/2/6网络入侵与防范讲义44Web服务器指纹识别Http指纹识别的原理：记录不同服务器对Http协议执行中的微小差别进行识别。Http指纹识别比TCP/IP堆栈指纹识别复杂许多，理由是定制Http服务器的配置文件、增加插件或组件使得更改Http的响应信息变的很容易，这样使得识别变的困难；然而定制TCP/IP堆栈的行为需要对核心层进行修改，所以就容易识别。2023/2/6网络入侵与防范讲义442023/2/6网络入侵与防范讲义452023/2/6网络入侵与防范讲义45Web盗窃HTTP指纹识别是为了判断服务器的版本，从而找到服务器的漏洞。而Web盗窃的目的是通过对各个网页页面源码的详细分析，找出可能存在于代码、注释或者设计中的关键缺陷和脆弱点，以此来确定攻击的突破点。盗窃web服务器的两种方法：逐页手工扫描和自动扫描。2023/2/6网络入侵与防范讲义46网页验证码验证码技术属于人机区分问题，这在英文中称为CAPTCHA，它是是CompletelyAutomatedPublicTuringTesttoTellComputersandHumansApart(全自动区分计算机和人类的图灵测试)的简称。验证码技术的主要思想是必须通过人为参与完成信息提交过程，并且对验证码字体和背景做了相关处理。2023/2/6网络入侵与防范讲义462023/2/6网络入侵与防范讲义47基于验证码的表单提交流程为了防止攻击者利用程序自动注册、登录、发帖，验证码技术日益得到广泛的应用。基于验证码的表单提交流程如图所示。2023/2/6网络入侵与防范讲义472023/2/6网络入侵与防范讲义48验证码的类型当前互联网上较为常见的验证码主要有以下几种：文本验证码：在网页上以文本形式呈现给用户；手机验证码：用户在网页上提交自己的手机号码，系统以短信形式将验证码发送到用户手机上；邮件验证码：用户在网页上提交自己的电子邮箱，系统以e-mail形式将验证码发送到用户的邮箱中；图片验证码：又称“验证水印”，在网页上以图片形式呈现给用户。2023/2/6网络入侵与防范讲义482023/2/6网络入侵与防范讲义492023/2/6网络入侵与防范讲义49SQL注入原理程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。攻击者可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQLInjection，即SQL注入。受影响的系统：对输入的参数不进行检查和过滤的系统。2023/2/6网络入侵与防范讲义50什么是XSS攻击XSS是跨站脚本攻击(CrossSiteScript)。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该网页时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。本来跨站脚本攻击(CrossSiteScripting)应该缩写为CSS，但这会与层叠样式表(CascadingStyleSheets,CSS)的缩写混淆。因此人们将跨站脚本攻击缩写为XSS。2023/2/6网络入侵与防范讲义502023/2/6网络入侵与防范讲义51第9章木马攻击及防御9.1概述9.2木马的实现原理与攻击技术9.3木马实例9.4木马的防御技术9.5木马的发展趋势2023/2/6网络入侵与防范讲义522023/2/6网络入侵与防范讲义52特洛伊木马分类从木马技术的功能角度可分为：(1).破坏型(2).密码发送型(3).远程访问型(4).键盘记录木马(5).DoS攻击木马(6).代理木马(7).FTP木马(8).程序杀手木马(9).反弹端口型木马2023/2/6网络入侵与防范讲义532023/2/6网络入侵与防范讲义53木马的实现原理与攻击技术木马实现原理植入技术自动加载技术隐藏技术连接技术监控技术2023/2/6网络入侵与防范讲义54第10章计算机病毒10.1计算机病毒概述10.2病毒的工作原理与分类10.3典型的计算机病毒10.4预防与清除计算机病毒10.5常用防病毒软件介绍10.6病毒技术的新动向2023/2/6网络入侵与防范讲义55计算机病毒的分类广义上的病毒狭义上的病毒2023/2/6网络入侵与防范讲义56计算机病毒程序的模块划分病毒程序是一种特殊程序，其最大特点是具有感染能力。病毒的感染动作受到触发机制的控制，病毒触发机制还控制了病毒的破坏动作。病毒程序一般由感染模块、触发模块、破坏模块、主控模块组成。与之相对应的机制是：传播机制、触发机制和破坏机制。有的病毒不具备所有的模块，如“巴基斯坦智囊病毒”没有破坏模块。2023/2/6网络入侵与防范讲义57计算机病毒的传播机制

病毒传播途径病毒感染目标和过程感染长度和感染次数交叉感染寄生感染插入感染和逆插入感染没有入口点的感染OBJ、LIB和源码的感染零长度感染2023/2/6网络入侵与防范讲义58计算机病毒常用技术病毒的隐藏技术花指令计算机病毒的简单加密病毒的多态病毒代码的优化远程线程技术进程/线程之间的互相保护2023/2/6网络入侵与防范讲义59蠕虫的工作流程蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段，如图所示。2023/2/6网络入侵与防范讲义60预防与清除计算机病毒计算机病毒的预防措施计算机病毒的检测与清除2023/2/6网络入侵与防范讲义61第11章典型防御技术11.1加密技术11.2身份认证11.3防火墙11.4入侵检测系统11.5日志和审计11.6蜜罐与取证2023/2/6网络入侵与防范讲义62对称密码算法和非对称密码算法对称密钥密码算法，又称传统密码算法、秘密密钥密码算法加密和解密使用相同的密钥Ke=Kd常用算法：DES,IDEA,Blowfish,RC2等优点加密速度快，便于硬件实现和大规模生产缺点密钥分配：必须通过保密的信道密钥个数：n（n-1）/2无法用来签名和抗抵赖（没有第三方公证时）2023/2/6网络入侵与防范讲义63对称密码和非对称密码（Cont.）非对称密码，又称公开密钥密码算法加密和解密使用不同的密钥（公钥Kp,私钥Ks)，把公钥公开，私钥保密：c=EKp(m),m=DKs(c)常用算法：RSA,DSA,背包算法，ElGamal,椭圆曲线等优点：密钥分配：不必保持信道的保密性密钥个数：npair可以用来签名和抗抵赖缺点加密速度慢，不便于硬件实现和大规模生产2023/2/6网络入侵与防范讲义64单向哈希函数什么是哈希函数呢？哈希函数H把一个值x（值x属于一个有很多个值的集合（或者是无穷多个值）），影射到另外一个值ｙ，ｙ属于一个有固定数量个值（少于前面集合）的集合。哈希函数不是可逆函数——不同的输入值可能产生相同的输出。一个哈希函数具有单向函数的性质——也就是说，给定一个值x，很容易计算H（x）但是，给定一个值y，很难找到一个值x，使得H（x）=y，这个哈希函数叫做单向哈希函数。2023/2/6网络入侵与防范讲义65一次性口令认证“一次性口令”是只能使用一次的口令，在这之后，这个口令马上失效。使用一次性口令的思想是，动态产生无法预测的口令，而这个口令也只能用来访问系统一次。第二次使用这个口令时，会返回一个错误。2023/2