《计算机网络与信息安全技术》电子课件CH02网络攻击行

网络攻击行为分析第2章基本内容网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具，就象刀具，是基本生活用具，又可成为杀人凶器。我们要做到“知己知彼”，才能“百战不殆”，对黑客的攻击手段、途径、方法和工具了解得越多，越有利于保护网络和信息的安全。在介绍信息安全技术以前，本章先来分析与黑客攻击相关的知识。网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具。刀，是基本生活用具，但又是杀人凶计算机网络系统所面临的威胁大体可分为两种：一是针对网络中信息的威胁；二是针对网络中设备的威胁。2.1影响信息安全的人员分析如果按威胁的对象、性质则可以细分为四类：第一类是针对硬件实体设施第二类是针对软件、数据和文档资料第三类是兼对前两者的攻击破坏第四类是计算机犯罪。安全威胁的来源不可控制的自然灾害，如地震、雷击恶意攻击、违纪、违法和计算机犯罪人为的无意失误和各种各样的误操作计算机硬件系统的故障软件的“后门”和漏洞安全威胁主要来自以下几个方面：安全威胁的表现形式伪装非法连接非授权访问拒绝服务抵赖信息泄露业务流分析改动信息流篡改或破坏数据推断或演绎信息非法篡改程序实施安全威胁的人员心存不满的员工软硬件测试人员技术爱好者好奇的年青人黑客（Hacker）破坏者（Cracker）以政治或经济利益为目的的间谍互联网上的黑色产业链2.2网络攻击的层次网络攻击的途径针对端口攻击针对服务攻击针对第三方软件攻击DOS攻击针对系统攻击口令攻击欺骗网络攻击的层次网络攻击的层次第一层攻击：第一层攻击基于应用层的操作，这些攻击的目的只是为了干扰目标的正常工作。第二层攻击：第二层攻击指本地用户获得不应获得的文件(或目录)读权限。第三层攻击：在第二层的基础上发展成为使用户获得不应获得的文件(或目录)写权限。第四层攻击：第四层攻击主要指外部用户获得访问内部文件的权利。第五层攻击：第五层攻击指非授权用户获得特权文件的写权限。第六层攻击：第六层攻击指非授权用户获得系统管理员的权限或根权限。2.3网络攻击的一般步骤（1）隐藏IP（2）踩点扫描（3）获得系统或管理员权限（4）种植后门（5）在网络中隐身2.4网络入侵技术任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击。网络攻击实际上是针对安全策略的违规行为、针对授权的滥用行为与针对正常行为特征的异常行为的总和。网络主要攻击手段网站篡改（占45.91%）垃圾邮件（占28.49%）蠕虫（占6.31%）网页恶意代码（占0.51%）木马（占4.01%）网络仿冒（占4.97%）拒绝服务攻击（占0.58%）主机入侵（占1.14%）网络主要攻击手段网络入侵技术----漏洞攻击漏洞攻击：利用软件或系统存在的缺陷实施攻击。漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。

缓冲区溢出漏洞攻击：通过向程序的缓冲区写入超过其长度的数据，造成溢出，从而破坏程序的堆栈，转而执行其它的指令，达到攻击的目的。RPC漏洞、SMB漏洞、打印漏洞缓冲区溢出Bufferoverflowattack缓冲区溢出攻击缓冲区溢出漏洞大量存在于各种软件中利用缓冲区溢出的攻击，会导致系统当机，获得系统特权等严重后果。最早的攻击1988年UNIX下的Morrisworm最近的攻击Codered利用IIS漏洞SQLServerWorm利用SQLServer漏洞Blaster利用RPC漏洞Sasser利用LSASS漏洞向缓冲区写入超过缓冲区长度的内容，造成缓冲区溢出，破坏程序的堆栈，使程序转而执行其他的指令，达到攻击的目的。原因：程序中缺少错误检测:voidfunc(char*str){ charbuf[16];strcpy(buf,str);}如果str的内容多于16个非0字符，就会造成buf的溢出，使程序出错。类似函数有strcat、sprintf、vsprintf、gets、scanf等一般溢出会造成程序读/写或执行非法内存的数据，引发segmentationfault异常退出.如果在一个suid程序中特意构造内容，可以有目的的执行程序，如/bin/sh，得到root权限。类似函数有strcat、sprintf、vsprintf、gets、scanf等一般溢出会造成程序读/写或执行非法内存的数据，引发segmentationfault异常退出.如果在一个suid程序中特意构造内容，可以有目的的执行程序，如/bin/sh，得到root权限。在进程的地址空间安排适当的代码通过适当的初始化寄存器和内存，跳转到以上代码段执行利用进程中存在的代码传递一个适当的参数如程序中有exec(arg)，只要把arg指向“/bin/sh”就可以了植入法把指令序列放到缓冲区中堆、栈、数据段都可以存放攻击代码，最常见的是利用栈拒绝服务攻击（DoS）：通过各种手段来消耗网络带宽和系统资源，或者攻击系统缺陷，使系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户的服务访问。分布式拒绝服务攻击：DDoS，攻击规模更大，危害更严重。实例：SYN-Flood洪水攻击，Land攻击，Smurf攻击，UDP-Flood攻击，WinNuke攻击（139）等。网络入侵技术----拒绝服务攻击典型的拒绝服务攻击有如下两种形式：资源耗尽和资源过载。当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击（例如，对已经满载的Web服务器进行过多的请求。）拒绝服务攻击还有可能是由于软件的弱点或者对程序的错误配置造成的。区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请求发起者对资源的请求是否过份，从而使得其他的用户无法享用该服务资源。以下的两种情况最容易导致拒绝服务攻击：由于程序员对程序错误的编制，导致系统不停的建立进程，最终耗尽资源，只能重新启动机器。不同的系统平台都会采取某些方法可以防止一些特殊的用户来占用过多的系统资源，我们也建议尽量采用资源管理的方式来减轻这种安全威胁。还有一种情况是由磁盘存储空间引起的。假如一个用户有权利存储大量的文件的话，他就有可能只为系统留下很小的空间用来存储日志文件等系统信息。这是一种不良的操作习惯，会给系统带来隐患。这种情况下应该对系统配额作出考虑。

PingofDeath：发送长度超过65535字节的ICMPEchoRequest数据包导致目标机TCP/IP协议栈崩溃，系统死机或重启。Teardrop：发送特别构造的IP数据包，导致目标机TCP/IP协议栈崩溃，系统死锁。Synflooding：发送大量的SYN包。Land：发送TCPSYN包，包的SRC/DSTIP相同，SPORT/DPORT相同，导致目标机TCP/IP协议栈崩溃，系统死机或失去响应。Winnuke：发送特别构造的TCP包，使得Windows机器蓝屏。Smurf：攻击者冒充服务器向一个网段的广播地址发送ICMPecho包，整个网段的所有系统都向此服务器回应icmpreply包。入侵者常常采用下面几种方法获取用户的密码口令：弱口令扫描Sniffer密码嗅探暴力破解社会工程学（即通过欺诈手段获取）木马程序或键盘记录程序。。。。。。网络入侵技术----口令攻击破解PDF密码破解OF密码破解系统密码一个开放的网络端口就是一条与计算机进行通信的信道，对网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息，从而为下一步的入侵做好准备。扫描是采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。典型的扫描工具包括安全焦点的X-Scan、小榕的流光软件，简单的还有IpScan、SuperScan等，商业化的产品如启明星辰的天镜系统具有更完整的功能。网络入侵技术----扫描攻击网络嗅探与协议分析是一种被动的侦察手段，使用嗅探监听软件，对网络中的数据进行分析，获取可用的信息。网络监听可以使用专用的协议分析设备实现，也可使用SnifferPro4.7、TCPDump等软件实现。SnifferPro是最常用的嗅探分析软件，它可以实现数据包捕获、数据包统计、过滤数据包、数据包解码等功能，功能解码可以获取很多有用的信息，如用户名、密码及数据包内容。网络入侵技术----嗅探与协议分析协议欺骗攻击就是假冒通过认证骗取对方信任，从而获取所需信息，进而实现入侵的攻击行为。常见的协议欺骗有以下几种方式：IP欺骗：对抗基于IP地址的验证。ARP欺骗：它是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。ARP欺骗通过伪造ARP与IP的信息或对应关系实现。NC软件就能实现ARP欺骗。TCP会话劫持：与IP欺骗类似，通过嗅探并向网络注入额外的信息实现TCP连接参与。如IPwatcher就是一种有效的会话劫持工具。网络入侵技术----协议欺骗攻击社会工程学（SocialEngineering），是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。20世纪70年代末期，一个叫做斯坦利•马克•瑞夫金（StanleyMarkRifkin）的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划，“甚至无需计算机的协助”，仅仅依靠一个进入电汇室的机会并打了三个电话，便成功地将一千零二十万美元转入自己在国外的个人账户。网络入侵技术----社会工程学攻击2.5网络防御与信息安全保障针对网络入侵和密码破译等攻击行为，本书在以后的章节中，在ISO安全体系结构的指导下，通过内容安全技术和网络安全技术两大部分来介绍网络信息安全的实现方法，并通过若干实验项目来验证、巩固相关技术，当然，技术实施要由人来完成，人才是最关键的。本章小结本章从分析影响信息安全的人员入手，总结出网络攻击途径，并将攻击按实现的难易程度分为6个层次；结合网络攻击的案例，说明网络攻击的一般步骤；最后介绍了目前常见的网络入侵技术，以此提醒网络用户时刻关注自己的系统安全。演讲完毕，谢谢观看！附录资料：不需要的可以自行删除

信息技术的战略管理应用信息技术创造组织马力本章的重点本章考察七种由IT技术激活的策略,提高组织的竞争能力IT促成完美的服务组织马力的开发质量是组织竞争的基础OHP策略创造竞争优势OHP策略应用激进还是持续?竞争优势什么是竞争优势?如何获得竞争优势?

如何保持竞争优势?

客户对产品或服务的认同。通过对竞争环境及自己企业内的了解，开发新的产品或创建良好的服务。不断创新，保持优势。组织马力组织马力是组织力量与速度的结合。组织力量尽可能地满足顾客的期望体现在更多的适合客户需要的产品或服务组织速度能够迅速地满足客户的期望体现了对客户需求的响应速度利用IT提高OHP的策略准时生产方式Just-in-Time组织团队信息伙伴灵活的运营跨国公司虚拟组织学习型组织质量：竞争的基础什麽是质量？质量不是优良、漂亮、豪华。质量是指满足顾客的期望。质量是OHP的基础。全面质量管理（TQM）满足客户的期望持续不断的改进组织范围的质量观念JIT方法Just-in-Time-----将产品或服务在客户需要时，能及时的生产并送达。JIT的方法将以生产为中心的方式转化为以客户为中心（订单到达之前没有产品），以避免生产的过剩。JIT增强了企业的柔性，减少库存水平。目的：提高组织的速度关键：外部的信息沟通（利用通信技术） 生产过程的管理（内部生产过程的控制）--过程预测--材料需求计划MATERIALREQUIREMENTSPLANNING(MRP)）--制造资源计划MANUFACTURINGRESOURCEPLANNING(MRPII)

组织中的团队团队：项目团队、长期团队-----一组拥有共同的目标、协同工作的人。目的：团队的创造力增强组织的力量关键：网络平台，群件的支持信息伙伴----与客户间加强信息的沟通，实现信息的共享，促进信息的流动。即，通过共享信息增强每个合作组织的实力。目的与战略：提高组织的速度：通过EDI的应用、信息流动的自动化、信息传递的标准化（减少错误）提高组织的力量：通过对信息的共享，扩大市场。同时提高力量与速度：信息共享促进创新、信息共享扩大了与顾客的交流。关键：网络的应用，如EDI。灵活的运营----任何地点（无铺面）的不限时的运营，是组织职能的延伸。通过对客户服务的内容的增加、时间的延长，提高组织的OHP。目的：提高组织的力量和速度关键：业务的IT化如：网上销售、ATM机跨国公司---通过一种协作的方式在全球多个国家生产或销售产品或服务使组织的业务在经营范围上扩展。目的：提高组织的力量，实际运作中对组织的速度可能产生正面或负面的影响。关键：网络的支持，必须创建全球范围的IT基础设施；管理的规范，在地区独特性与公司一致性间平衡；虚拟组织---通过IT将独立的组织连接在一起，以共同分享技术、分摊成本，开拓市场。目的：提高组织的速度，但有可能因协调原因降低组织的