第7章网络的攻击及防范课件

2023/7/26计算机网络安全1第7章网络攻击与防范黑客攻击概述黑客攻击的目的与步骤DOS攻击和DDOS攻击

入侵检测系统入侵防御系统2023/7/26计算机网络安全2

黑客一词，源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。黑客和骇客根本的区别是：黑客们建设，而骇客们破坏。7.1网络黑客概述2023/7/26计算机网络安全3

黑客，英文名为Hacker，是指对计算机信息系统进行非授权访问的人员(《中华人民共和国公共安全行业标准GA163—1997》中定义)。人们通常认为黑客是指在计算机技术上有一定特长，并凭借自己掌握的技术知识，采用非法的手段逃过计算机网络系统的存取控制，而获得进入计算机网络进行未授权的或非法的访问的人。2023/7/26计算机网络安全4了解黑客技术相关术语1.肉鸡：所谓“肉鸡”是一种很形象的比喻，比喻那些可以随意被我们控制的电脑，对方可以是WINDOWS系统，也可以是UNIX/LINUX系统，可以是普通的个人电脑，也可以是大型的服务器，我们可以象操作自己的电脑那样来操作它们，而不被对方所发觉。2.木马：就是那些表面上伪装成了正常的程序，但是当这些被程序运行时，就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑，比如灰鸽子，黑洞，PcShare等等。3.挂马：就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里，以使浏览者中马。2023/7/26计算机网络安全54.后门：是一种形象的比喻，入侵者在利用某些方法成功的控制了目标主机后，为方便我们下次进入肉鸡方便点所留下的东西，亲切的称为后门。5.shell：指的是一种命令执行环境，比如我们按下键盘上的“开始键+R”时出现“运行”对话框，在里面输入“cmd”会出现一个用于执行命令的黑窗口，这个就是WINDOWS的Shell执行环境。2023/7/26计算机网络安全6黑客精神1.“Free”(自由、免费)的精神有一种奉献精神，将自己的心得和编写的工具与其他黑客进行广泛的交流。2.探索与创新的精神喜欢探索软件程序与系统的漏洞，在发现问题的同时会提出解决问题的方法。3.反传统的精神找出系统漏洞，并策划相关的手段利用该漏洞进行攻击，这是黑客永恒的工作主题。4.合作的精神通常需要数人，数百人的通力协作才能完成任务，互联网提供了不同国家黑客交流合作的平台。2023/7/26计算机网络安全7黑客攻击的目的：窃取信息获取口令控制中间站点获得超级用户权限7.2黑客攻击的目的及步骤

2023/7/26计算机网络安全8黑客攻击的步骤：

一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲”隐藏IP踩点扫描获得系统或管理员权限种植后门在网络中隐身攻击前奏实施攻击巩固控制继续深入2023/7/26计算机网络安全9获得系统或管理员权限目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得的方法有：通过系统漏洞获得系统权限通过管理漏洞获得管理员权限通过软件漏洞得到系统权限通过监听获得敏感信息进一步获得相应权限通过弱口令获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码通过攻破与目标机有信任关系另一台机器进而得到目标机控制权通过欺骗获得权限以及其他有效的方法。2023/7/26计算机网络安全107.3常用的黑客攻击方法

端口扫描：扫描目标：发现目标机中存在的弱点扫描内容：TCP端口、提供服务和相应的软件版本口令破解

(1)猜解简单口令

(2)字典攻击：

(3)暴力猜解特洛伊木马缓冲区溢出攻击：指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。拒绝服务攻击2023/7/26计算机网络安全11拒绝服务攻击DoS原理拒绝服务DoS（denialofservice）攻击是常用的一种攻击方式。DoS通过抢占目标主机系统资源使系统过载或崩溃，破坏和拒绝合法用户对网络、服务器等资源的访问，达到阻止合法用户使用系统的目的。DoS属于破坏型攻击。DoS对目标系统本身的破坏性并不是很大，但影响了正常的工作和生活秩序，间接损失严重，社会效应恶劣。7.4拒绝服务攻击2023/7/26计算机网络安全12DoS引起的原因：网络部件的物理损坏网络负荷超载不正确的使用网络协议DoS攻击基本形式：

目标资源匮乏型和网络带宽消耗型。目标资源匮乏型攻击又可分为服务过载和消息流两种。网络带宽消耗型攻击的目标是整个网络，攻击使目标网络中充斥着大量无用的、假的数据包，而使正常的数据包得不到正常的处理。2023/7/26计算机网络安全13目标资源匮乏型攻击的两种类型服务过载指的是向目标主机的服务守护进程发送大量的服务，造成目标主机服务进程发生服务过载，拒绝向合法用户的正常使用要求提供应有的服务。消息流指攻击者向目标主机发送大量的畸形数据包，使得目标主机在重组数据包过程中发生错误，从而延缓目标主机的处理速度，阻止处理正常的事务，严重时可以造成目标主机死机。2023/7/26计算机网络安全14拒绝服务攻击发生时的特点1、消耗系统或网络资源，使系统过载或崩溃。2、难以辨别真假。3、使用不存在的非法数据包来达到拒绝服务攻击的目的。4、有大量的数据包来自相同的源。2023/7/26计算机网络安全15拒绝服务攻击分类1.死亡之Ping(Pingofdeath)

是最简单的攻击方法。概览：由于在早期阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，当加载的尺寸超过64KB时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接收方死机。防御：现在所有的标准TCP/IP都可对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击。另外配置防火墙，阻断ICMP以及任何未知协议，都将防止此类攻击。而且Windows2000/2003、Linux、Solaris和MacOS等都具有抵抗一般Pingofdeath攻击的能力。2023/7/26计算机网络安全162.泪滴(teardrop)攻击概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的属于原包的那段信息，某些TCP/IP(包括ServicePack4以前的WindowsNT)在收到含有重叠偏移的伪造分段时将崩溃。防御：对系统打上最新的补丁，禁止防火墙重组碎片功能。2023/7/26计算机网络安全173.UDP洪水(UDPflood，循环攻击)

概览：

UDP端口7为回应端口（echo），当该端口接收到一个数据包时，会检查有效负载，再将有效负载数原封不动的回应给源地址。UDP端口19为字符生成端口(chargen，charactergenerator字符生成)，此端口接收到数据包时，以随机字符串作为应答。

防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置，阻断来自Internet的请求及这些服务的UDP请求；端口7端口19E机C机黑客冒充E端口7发送数据应答2023/7/26计算机网络安全184.Land攻击概览：利用TCP/IP漏洞，发送大量的源地址和目标地址相同的数据包，从而造成服务器解析Land包时占用大量的处理资源，到一定时候，会形成拒绝服务攻击。防御：通过防火墙将含有源地址是内部地址的数据包丢掉不做处理，即使用包过滤功能。另外要打上最新的补丁。2023/7/26计算机网络安全195.Smurf攻击概览：结合了IP欺骗和ICMP回复方法。

IP协议规定主机号为全1的地址为该网段的广播地址，路由器会把这样的数据包广播给该网络上的所有主机。Smurf攻击利用了广播数据包，可以将一个数据包“放大”为多个。攻击者伪装某源地址向一个网络广播地址发送一组ICMP请求数据包，这些数据包被转发到目标子网的所有主机上。由于Smurf攻击发出的是ICMP请求报文，因此所有接收到该广播包的主机将向被伪装的源地址发回ICMP响应报文。攻击者通过几百个数据包就可以产生成千上万的数据包，这样不仅可以造成目标主机的拒绝服务，而且还会使目标子网的网络本身也遭到DoS攻击。防御：采用隔离设备，使之不能广播。防止计算机以ip广播请求做出响应。2023/7/26计算机网络安全20概览：在TCP/IP协议标准中，完成一个TCP连接需要客户端和服务器端三次握手才能创建连接。一些TCP/IP栈的实现只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。有类似的影响。防御：缩短从接受数据到确认这个报文无效并丢弃该连接的时间，可以降低服务器的负荷。6.SYN洪水(SYNflood)2023/7/26计算机网络安全21正常的三次握手建立通讯的过程SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方2023/7/26计算机网络安全22SYNFlood原理SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接2023/7/26计算机网络安全23连接耗尽攻击者受害者大量的tcpconnect这么多需要处理？不能建立正常的连接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用户正常tcpconnect2023/7/26计算机网络安全242.分布式拒绝服务攻击分布式拒绝服务攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般采用一对一的方式，随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的效果不明显，攻击的难度加大了，目标系统对恶意攻击包有足够的消化处理能力。2023/7/26计算机网络安全251)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者各种客户主机目标系统2)攻击者进入其已经发现的最弱的客户主机之内(“肉机”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。攻击准备：安置代理代理程序DDoS攻击(分布式拒绝服务)2023/7/26计算机网络安全26

3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。攻击者目标系统发起攻击：指令攻击的代理程序4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。虚假的连接请求DDoS攻击(分布式拒绝服务)2023/7/26计算机网络安全277.5入侵检测的概念内网Internet

入侵检测即是对入侵行为的发觉

入侵检测系统是入侵检测的软件与硬件的有机组合入侵检测系统是处于防火墙之后对网络活动的实时监控入侵检测系统是不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动

入侵检测的定义2023/7/26计算机网络安全28

入侵检测系统的作用•监控网络和系统•发现入侵企图或异常现象•实时报警•主动响应•审计跟踪

形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄像机，还包括保安员的摄像机.2023/7/26计算机网络安全29

入侵检测系统的分类

入侵检测系统根据数据包来源的不同，采用不同的实现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。1）基于网络的入侵检测系统（NIDS）2）基于主机的入侵检测系统（HIDS）3）混合型入侵检测系统（HybridIDS）IDS：全称IntrusionDetectionSystem2023/7/26计算机网络安全30基于网络入侵检测系统内网Internet是网络上的一个监听设备通过网络适配器捕获数据包并分析数据包根据判断方法分为基于知识的数据模式判断和基于行为的行为判断方法2023/7/26计算机网络安全31网络IDS优势:(1)实时分析网络数据，检测网络系统的非法行为；(2)网络IDS系统单独架设，不占用其它计算机系统的任何资源；(3)网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；(4)它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；(5)通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担。2023/7/26计算机网络安全32网络IDS的劣势:(1)不适合交换环境和高速环境(2)不能处理加密数据(3)资源及处理能力局限(4)系统相关的脆弱性2023/7/26计算机网络安全33基于主机的入侵检测HIDS是配置在被保护的主机上的，用来检测针对主机的入侵和攻击主要分析的数据包括主机的网络连接状态、审计日志、系统日志。内网Internet2023/7/26计算机网络安全34主机IDS优势:(1)精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况(3)HIDS能够检测到NIDS无法检测的攻击(4)HIDS适用加密的和交换的环境。(5)不需要额外的硬件设备。2023/7/26计算机网络安全35主机IDS的劣势:(1)HIDS对被保护主机的影响。(2)HIDS的安全性受到宿主操作系统的限制。(3)HIDS的数据源受到审计系统限制。(4)被木马化的系统内核能够骗过HIDS。(5)维护/升级不方便。2023/7/26计算机网络安全361)如果攻击不经过网络基于网络的IDS无法检测到只能通过使用基于主机的IDS来检测；2)基于网络的IDS通过检查所有的包头来进行检测，而基于主机的

IDS并不查看包头。主机IDS往往不能识别基于IP的拒绝服务攻击和碎片攻击；3)NIDS可以研究数据包的内容，查找特定攻击中使用的命令或语

法，这类攻击可以被实时检查包序列的IDS迅速识别；而HIDS的

系统无法看到负载，因此也无法识别嵌入式的数据包攻击。网络IDS与主机IDS的比较:2023/7/26计算机网络安全37IDS的基本结构

无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。2023/7/26计算机网络安全38天阗黑客入侵检测与预警系统天阗网络入侵检测系统典型部署结构图

2023/7/26计算机网络安全397.6入侵防御系统IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。

入侵防御系统（IntrusionPreventionSystem或IntrusionDetectionPrevention，即IPS或IDP）就应运而生了。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。

IDS以关联方式部署在不同的服务器和网段上，先将服务器或网段上的流量镜像到网络传感器上，再通过IDS管理控制台进行分析，如果发现入侵或攻击，则会产生报警，

IPS以串联的方式部署在网络的进出口处，像防火墙一样，它对进出网络的所有流量进行分析，当检测到有入侵或攻击企图后，会自动将相应的数据包丢弃，或采取相应的措施将攻击源阻断

。2023/7/26计算机网络安全40

图7-20IDS在网络中的部署方式图7-21IPS在网络中的部署方式2023/7/26计算机网络安全41基于主机的入侵防御基于主机的入侵防御（HIPS）通过在服务器等主机上安装代理程序来防止对主机的入侵和攻击，保护服务器免受外部入侵或攻击。HIPS可以根据自定义的安全策略以及分析学习机制来阻断对服务器等主机发起的恶意入侵，HIPS可以阻断缓冲区溢出、更改登录口令、改写动态链接库以及其他试图获得操作系统入侵权的行为，加强了系统整体的安全性。IPS的分类:2023/7/26计算机网络安全42基于网络的入侵防护

基于网络的入侵防护（NIPS）通过检测流经的网络流量，提供对网络系统的安全保护。与IDS的并联方式不同，由于IPS采用串联方式，所以一旦检测出入侵行为或攻击数据流，NIPS就可以去除整个网络会话。另外，由于IPS以串联方式接入整个网络的进出口处，所以NIPS的性能也影响着整体网络的性能，NIPS有可能成为整个网络的瓶颈。2023/7/26计算机网络安全43应用入侵防护应用入侵防护（AIP）是NIPS产品的一个特例，它把NIPS扩展成为位于应用服务器之前的网络设备，为应用服务器提供更安全的保护。AIP被设计成一种高性能的设备，配置在特定的网络链路上，以确保用户遵守已设定好的安全策略，保护服务器的安全。而NIPS工作在网络上，直接对数据包进行检测和阻断，与具体的服务器或主机的操作系统平台无关。2023/7/26计算机网络安全441、保证网络安全的最主要因素是（）。

A、拥有最新的防毒防黑软件。B、使用高档机器。

C、使用者的计算机安全素养。D、安装多层防火墙。2、网络中威胁的具体表现形式有（）

A、截获B、中断C、篡改D、伪造3、如果一个服务器正在受到网络攻击，第一件应该做的事情是（）

A、断开网络B、杀毒

C、检查重要数据是否被破坏D、设置陷井，抓住网络攻击者4、计算机系统中的信息资源只能被授予权限的用户修改，这是网络安全的（）。

A、保密性B、数据完整性C、可利用性D、可靠性5、端到端加密方式是网络中进行数据加密的一种重要方式，其加密、解密在何处进行？（）

A、源结点、中间结点B、中间结点、目的结点

C、中间结点、中间结点D、源结点、目的结点选择题CABCDABD2023/7/26计算机网络安全456、入侵检测系统一般不能检测出哪些内容（）