常见的网络攻击方法与防护

常见的网络攻击方法与防护第一页，共四十七页，编辑于2023年，星期六2023/5/28学习要点本章要点口令攻击端口扫描网络监听缓冲区溢出拒绝服务攻击第二页，共四十七页，编辑于2023年，星期六2023/5/288.1网络攻击概述8.1.1网络攻击分类从攻击的目的来看，可以有拒绝服务攻击(DoS)、获取系统权限的攻击、获取敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击等；从攻击的纵向实施过程来看，有获取初级权限的攻击、提升最高权限的攻击、后门攻击、跳板攻击等；从攻击的类型来看，包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等。常见的攻击方式有下面四大类：拒绝服务攻击、利用型攻击、信息收集型攻击、假消息攻击。第三页，共四十七页，编辑于2023年，星期六2023/5/288.1.2网络攻击步骤1.攻击的准备阶段1) 确定攻击的目的2) 信息收集2.攻击的实施阶段1) 获得权限2) 权限的扩大3.攻击的善后工作1) 隐藏踪迹2) 后门第四页，共四十七页，编辑于2023年，星期六2023/5/288.2口令攻击8.2.1原理1．获得普通用户帐号的方法(1) 利用目标主机的Finger功能(2) 利用目标主机的X.500服务(3) 从电子邮件地址中收集(4) 查看主机是否有习惯性的帐号2．获得用户口令的方法(1) 通过网络监听非法得到用户口令(2) 在知道用户的帐号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令(3) 利用系统管理员的失误第五页，共四十七页，编辑于2023年，星期六2023/5/288.2.2口令攻击的类型(1) 社会工程学(SocialEngineering)。(2) 猜测攻击。(3) 字典攻击。(4) 穷举攻击。(5) 混合攻击。(6) 直接破解系统口令文件。(7) 网络嗅探(Sniffer)。(8) 键盘记录。(9) 其他攻击方式。第六页，共四十七页，编辑于2023年，星期六2023/5/288.2.3方法(或工具)1．NT口令破解程序1) L0phtcrack(简称LC5)2) NTSweep3) NTCrack4) PWDump2．UNIX口令破解程序1) Crack2) JohntheRipper3) XIT4) Slurpie第七页，共四十七页，编辑于2023年，星期六2023/5/288.2.4防护1．好口令是防范口令攻击的最基本、最有效的方法最好采用字母、数字、标点符号、特殊字符的组合，同时有大小写字母，长度最好达到8个以上，最好容易记忆，不必把口令写下来，绝对不要用自己或亲友的生日、手机号码等易于被他人获知的信息作密码。2.注意保护口令安全不要将口令记在纸上或存储于计算机文件中；最好不要告诉别人你的口令；不要在不同的系统中使用相同的口令；在输入口令时应确保无人在身边窥视；在公共上网场所，如网吧等处最好先确认系统是否安全；定期更改口令，至少6个月更改一次，这会使自己遭受口令攻击的风险降到最低。第八页，共四十七页，编辑于2023年，星期六2023/5/288.3端口扫描与安全防范端口的概念端口是为了运行在计算机上的各种服务提供的服务端口，计算机通过端口进行通信和提供服务。如果把IP地址比作一间房子，端口就是出入这间房子的门。端口是通过端口号来标记的，端口号只有整数，范围是从0到65535。在计算机网络中，每个特定的服务都在特定的端口侦听，当用户有数据到达，计算机检查数据包中的端口号再根据端口号将它们发向特定的端口。

第九页，共四十七页，编辑于2023年，星期六2023/5/288.3.2端口的分类

按分配方式分，端口分为公认端口、注册端口及动态（私有）端口。

公认端口：端口号从0到1023，这些端口紧密绑定于一些服务。其中80端口分配给WWW服务，25端口分配给SMTP服务等，通常这些端口的通讯明确表明了某种服务的协议。

注册端口：端口号从1024到49151，这些端口松散地绑定于一些服务。

动态端口：又称私有端口，端口号从49152到65535。

第十页，共四十七页，编辑于2023年，星期六2023/5/288.3.3端口扫描

端口扫描就是利用某种程序自动依次检测目标计算机上所有的端口，根据端口的响应情况判断端口上运行的服务。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。

第十一页，共四十七页，编辑于2023年，星期六2023/5/288.3.3端口扫描

端口扫描原理:尝试与目标主机的某些端口建立连接,如果目标主机该端口有回复,则说明该端口开放,即为”活动端口”扫描原理分类全TCP连接半打开式扫描（SYN扫描）FIN扫描第三方扫描

第十二页，共四十七页，编辑于2023年，星期六2023/5/288.3.3端口扫描

扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行

第十三页，共四十七页，编辑于2023年，星期六2023/5/288.3.3端口扫描手工扫描－系统内置的命令:netstat

此命令可以显示出你的计算机当前开放的所有端口，其中包括TCP端口和UDP端口。有经验的管理员会经常地使用它，以此来查看计算机的系统服务是否正常，是否被“黑客”留下后门、木马等。运行一下netstat-a看看系统开放了什么端口，并记录下来，以便以后作为参考使用，当发现有不明的端口时就可以及时的做出对策。

第十四页，共四十七页，编辑于2023年，星期六2023/5/288.3.3端口扫描利用扫描软件

扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器，可以不留痕迹地发现远程服务器的各种端口的分配、提供的服务以及他们使用的软件版本，这样能间接或直接地了解到远程主机所存在的问题。

第十五页，共四十七页，编辑于2023年，星期六2023/5/288.3.3端口扫描X-ScanV3.0.2，它不仅是一个端口扫描软件，同时还是一个漏洞扫描器，其主要功能有：采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。

第十六页，共四十七页，编辑于2023年，星期六2023/5/288.3.4端口扫描的安全防范安全防范的措施有很多，例如我们可以安装一个防火墙，它可以及时发现黑客的扫描活动，具体使用方法在以前的章节中已经介绍。另外还可以安装一个扫描监测工具――ProtectX，ProtectX可以在你连接上网络时保护电脑，防止黑客入侵，假如任何人尝试入侵连接到你的电脑，ProtectX即会发出声音警告并将入侵者的IP地址记录下来。

第十七页，共四十七页，编辑于2023年，星期六2023/5/288.4拒绝服务攻击的概念

拒绝服务攻击，即DoS（DenialofService），造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。这种攻击行为通常是攻击者利用TCP/IP协议的弱点或系统存在的漏洞，对网络服务器充斥大量要求回复的信息，消耗网络的带宽或系统资源，导致网络或系统不胜负荷以致瘫痪而停止提供正常的网络服务。

第十八页，共四十七页，编辑于2023年，星期六2023/5/288.4拒绝服务攻击与防范最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，致使服务超载，无法响应其他的请求。几种Dos攻击方法：

1）SYNflood

2）Ping攻击3）Land攻击

4）Smurf攻击

5）电子邮件炸弹

第十九页，共四十七页，编辑于2023年，星期六2023/5/288.4.1拒绝服务攻击的概念

DoS攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

第二十页，共四十七页，编辑于2023年，星期六2023/5/288.4.2分布式拒绝服务攻击－DDOS

分布式拒绝服务攻击概念：（DistributedDenialOfService）是一种基于DoS的分布、协作的大规模特殊形式的拒绝服务攻击，就是攻击者在客户端控制大量的攻击源，并且同时向攻击目标发起的一种拒绝服务攻击。

第二十一页，共四十七页，编辑于2023年，星期六2023/5/288.4.2分布式拒绝服务攻击－DDOS分布式拒绝服务攻击主要以下部分组成：客户端：用于通过发动攻击的应用程序，攻击者通过它来发送各种命令。主控端：被攻击者控制的主机,并运行了DDOS主控端程序,客户端一般通过远程登录控制主控端。代理端：每个代理端也是一台已被入侵并运行特定程序的主机,主控端控制多个代理,为保证隐蔽性,主控端只是单向发送命令到代理,并且使用了假冒的IP地址,主控端发送到代理端的命令往往经过了加密,每个响应攻击命令的代理端会向被攻击目标主机发送拒绝服务攻击的数据包.目标主机：DDos攻击的主机或网络。

第二十二页，共四十七页，编辑于2023年，星期六2023/5/288.4.2分布式拒绝服务攻击－DDOS黑客主控端代理端目标主机图8－5分布式拒绝服务攻击第二十三页，共四十七页，编辑于2023年，星期六2023/5/288.4.3拒绝服务攻击的防范

用户应随时注意自己网络的通信量。平时我们应健全设备的防范机制

配置防火墙，阻止任何实际不需要的端口上的通信。

要求ISP协助和合作。

必须周期性的审核系统。

对所有可能成为目标的主机进行优化，禁止所有不必要的服务。

第二十四页，共四十七页，编辑于2023年，星期六2023/5/288.5网络监听与防范

8.5.1网络监听的工作原理

网络监听是攻击者最常用的一种方法，当信息在网络中进行传播的时候，攻击者可以利用一种工具，将网络接口设置成为监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。

第二十五页，共四十七页，编辑于2023年，星期六2023/5/288.5网络监听8.5.1原理通常，在计算机网络上交换的数据结构单位是数据包，而在以太网(Ethernet)中则称为帧。以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机。通常只有与数据包中目标地址一致的那台主机才能接收到信息包。网络接口不会识别IP地址。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太帧的帧头信息。在帧头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个48位的地址，这个48位的地址是与IP地址相对应的，即一个IP地址对应一个物理地址。第二十六页，共四十七页，编辑于2023年，星期六2023/5/288.5.1原理在Ethernet中填写了物理地址的帧从网络接口(即网卡中)发送出去，并传送到物理线路上。如果局域网是由粗缆(10Base5)或细缆(10Base2)连接的共享式以太网络，那么数字信号在电缆上传输时就能够到达线路上的每台主机。当连接在同一条电缆或交换机上的主机被逻辑地分为几个子网的时候，如果有一台主机处于监听模式，它还可以接收到发向与自己不在同一个子网(使用了不同的掩码、IP地址和网关)的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。在通常的网络环境下，用户的信息(包括口令)都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不难，只要掌握初步的TCP/IP协议知识即可以轻松地监听到所需信息。第二十七页，共四十七页，编辑于2023年，星期六2023/5/288.5.2方法(或工具)在Windows环境下，常用的网络监听工具有Netxray和Snifferpro。在UNIX环境下，常用的监听工具有Sniffit、Snoop、Tcpdump、Dsniff等。下面介绍一下Snifferpro的使用。在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。具体操作是选择文件菜单→选定设置，弹出如图所示的“当前设置”对话框，选择网络适配器。第二十八页，共四十七页，编辑于2023年，星期六2023/5/288.5.2方法(或工具)报文捕获功能可以在报文捕获面板中进行完成，捕获面板如左图所示。在捕获过程中可以通过查看如图3-11所示面板查看捕获报文的数量和缓冲区的利用率，单击Capture菜单，选择capturepanel命令，可以打开右图所示面板。第二十九页，共四十七页，编辑于2023年，星期六2023/5/288.5.2方法(或工具)Sniffer软件提供了强大的分析能力和解码功能。如图所示第三十页，共四十七页，编辑于2023年，星期六2023/5/288.5.2方法(或工具)1．基本捕获条件基本捕获条件有下列两种(如图8-13所示)。第三十一页，共四十七页，编辑于2023年，星期六2023/5/288.5.2方法(或工具)2．高级捕获条件在Advanced选项卡中，你可以编辑你的协议捕获条件，如图3-14所示。第三十二页，共四十七页，编辑于2023年，星期六2023/5/288.5.2方法(或工具)3．任意捕获条件在DataPattern选项卡，可以编辑任意捕获条件，如图8-15所示。第三十三页，共四十七页，编辑于2023年，星期六2023/5/288.5.3检测和防护1.对可能存在的网络监听的检测(1) 对于被怀疑正在运行监听程序的计算机，用正确的IP地址和错误的物理地址ping，运行监听程序的计算机就会有响应。(2) 向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降，通过比较前后该计算机性能就加以判断。(3) 使用反监听工具如antisniffer等进行检测。第三十四页，共四十七页，编辑于2023年，星期六2023/5/288.5.3检测和防护2.对网络监听的防范措施1) 从逻辑或物理上对网络分段2) 以交换式集线器代替共享式集线器3) 使用加密技术4) 划分VLAN第三十五页，共四十七页，编辑于2023年，星期六2023/5/288.6缓冲区溢出8.6.1原理缓冲区是内存中存放数据的地方。缓冲区是程序运行的时候计算机内存中的一个连续块，它保存了给定类型的数据，随着动态分配变量会出现问题。大多数时候为了不占用太多的内存，一个有动态分配变量的程序在运行时才决定给它分配多少内存。一个缓冲区溢出程序使用这个溢出的数据将汇编语言代码放到计算机的内存里，通常是产生管理员权限的地方。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。第三十六页，共四十七页，编辑于2023年，星期六2023/5/288.6.2攻击方式缓冲区溢出漏洞可以使任何一个有黑客技术的人取得计算机的控制权甚至是最高权限。黑客要达到目的通常要完成两个任务：一是在程序的地址空间里安排适当的代码；二是通过适当的初始化寄存器和存储器，让程序跳转到安排好的地址空间执行。1.在程序的地址空间里安排适当的代码2．控制程序转移到攻击代码的形式3．植入综合代码和流程控制第三十七页，共四十七页，编辑于2023年，星期六2023/5/288.6.3检测和防护目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响。1．强制写正确的代码的方法2．通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码3．利用编译器的边界检查来实现缓冲区的保护4．在程序指针失效前进行完整性检查第三十八页，共四十七页，编辑于2023年，星期六2023/5/288.7木马与安全防范

8.7.1木马的概念

在计算机网络安全中，木马程序是指一种基于远程控制的黑客工具，由两个部份组成：一个是服务器程序，一个是控制器程序。服务器程序驻留在目标计算机中，在目标计算机系统启动的时候自动运行，然后这个服务程序就会在目标计算机上的某一端口进行侦听，为攻击者的控制程序提供服务。若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑，为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就没有安全可言了。

第三十九页，共四十七页，编辑于2023年，星期六2023/5/288.7.1木马的概念木马程序往往具备以下特点：1）隐蔽性2）自动恢复功能

3）功能的特殊性

第四十页，共四十七页，编辑于2023年，星期六2023/5/288.7.2木马的种类

1）远程控制型木马

2）密码发送型木马

3）破坏型木马

4）FTP型木马

第四十一页，共四十七页，编辑于2023年，星期六2023/5/288.7.3木马工具－冰河

冰河可以实现以下主要功能：1）在局域网中能够自动跟踪目标计算机屏幕的变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕。2）能够获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。3）记录各种口令信息：包括开机口令、屏幕保护口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。4）注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。5）远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件等多项文件操作功能。

6）限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

第四十二页，共四十七页，编辑于2023年，星期六2023/5/288.7.4木马的防范

使用网络的时候防范木马侵入计算机的几种方法：1）由于杀毒软件一般都能够查杀出现在比较流行木马，所以我们最重要的一件事就是在计算机