二网络安全威胁课件

第二讲

网络安全威胁牛秋娜第二讲网络安全威胁牛秋娜网络安全威胁分类网络系统面临的威胁主要来自外部的人为影响和自然环境的影响，尤其是“人为攻击”。人为攻击:攻击者对系统的攻击范围从随便浏览信息到使用特殊技术对系统进行攻击，以便得到有针对性的信息。主动攻击:被动攻击:网络威胁---人为攻击–

只通过监听网络线路上的信息流获得信息内容，破坏了信息的保密性。–

攻击者对传输中的信息或存储的信息进行各种非法处理，有选择地更改、插入、延迟、删除或复制这些信息。网络安全威胁分类网络系统面临的威胁主要来自外部的人为影响和自Company

Logo网络安全威胁分类依据威胁对象分类依据威胁动机分类依据威胁起因分类123CompanyLogo网络安全威胁分类依据威胁对象分类1

网络拓扑

安全网络协议

安全网络软件

安全网络设备

安全

网络安全威胁分类

网络安全威胁

1、根据威胁对象分类 网络拓扑网络协议网络软件网络设备网络安全威胁分类

网络拓扑安全v

常见的网络拓扑结构 网络拓扑安全

网络拓扑安全v

总线型拓扑结构 网络拓扑安全总线型拓扑安全缺陷

1故障诊断困难

网络非集中控制，需在各节点分别检测

2故障隔离困难故障发生在传输

4终端必须是智能的没有网络控制设备

3中继器配置在干线基础上扩充，需重新配置一切信息

介质时…

总线型拓扑安全缺陷 1 网络非集中控 2故障发生在传输 4没

网络拓扑安全v

星型拓扑结构 网络拓扑安全星型拓扑安全缺陷

1

电缆的长度与

安装

需大量的电缆，

电缆沟、维护、

安装麻烦

2扩展困难需事先设置好大量的冗余电缆

3对中央节点的依赖性太大

星型拓扑安全缺陷 1 2 3

网络拓扑安全v

环型拓扑结构 网络拓扑安全环型拓扑安全缺陷1节点故障将引起全网故障24影响访问协议3不易重新配置网络

诊断故障困难

环型拓扑安全缺陷1节点故障将引24影响访问协议3不易重新配置

网络拓扑

安全网络协议

安全网络软件

安全网络设备

安全

网络安全威胁分类

网络安全威胁

1、根据威胁对象分类 网络拓扑网络协议网络软件网络设备网络安全威胁分类

网络协议安全通信网的运行机制基于通信协议网络协议安全

各传输协议之间的不一致性

会大大影响信息的安全质量

TCP/IP协议存在漏洞

网络协议安全网络协议安全 各传输协议之间的不一致性网络协议安全网络协议安全

网络拓扑

安全网络协议

安全网络软件

安全网络设备

安全

网络安全威胁分类

网络安全威胁

1、根据威胁对象分类 网络拓扑网络协议网络软件网络设备网络安全威胁分类网络软件缺陷网络软件缺陷操作系统漏洞数据库安全网络应用缺陷OS是网络信息系统中的核心控制模块；对于设计上不够安全的OS，事后采用增加安全特性和补丁的方法是一项很艰巨的任务。应用软件是用户使用网络服务的接口；应用软件的缺陷会直接导致用户遭受损失。DB中数据备份方面的不足；网络软件缺陷机制的不完善；数据存储的完整性、机密性不足。网络软件缺陷网络软件缺陷操作系统漏洞数据库安全网络应用缺陷O

网络拓扑

安全网络协议

安全网络软件

安全网络设备

安全

网络安全威胁分类

网络安全威胁

1、根据威胁对象分类 网络拓扑网络协议网络软件网络设备网络安全威胁分类网络设备安全

网络设备安全：Hub、网桥、交换机、路由器等安全隐患路由器的安全隐患低等级加密，ＷｉＦｉ密码容易被破解；使用默认的路由器管理ＩＰ地址；路由器固件存在漏洞。网桥的安全隐患：网桥只能最大限度地使网络沟通、互连，而不负责网络之间数据的校验。

广播风暴（BroadcastingStorm）网络设备安全路由器的安全隐患网桥的安全隐患：网桥只能最大限度

拒绝服务

攻击利用型

攻击信息收集

型攻击消息伪造

攻击

网络安全威胁分类

网络安全威胁

2、根据威胁动机分类 拒绝服务利用型信息收集消息伪造网络安全威胁分类安全威胁分类北京邮电大学信息安全中心威胁对象威胁动机威胁起因网络拓扑安全信息收集型网络信息收集网络协议安全消息伪造攻击拒绝服务攻击网络软件安全拒绝服务攻击有害程序网络设备安全利用型攻击网络系统缺陷网络欺骗安全威胁分类北京邮电大学信息安全中心威胁对象威胁动机威胁起因网络攻击流程北京邮电大学信息安全中心网络攻击的一般步骤

攻击过程可以归纳为：信息收集、实施攻击、隐藏攻击行为、创建后门和消除攻击痕迹五个步骤1、信息收集通过各种方式获取所需要的信息，比如目标系统使用的操作系统、管理员账号等,信息收集属于攻击前的准备阶段,也称之为踩点。确定攻击目的和收集攻击目标信息目标信息类型：系统一般信息、系统管理和配置信息、系统口令的安全性、提供的服务收集方式：使用扫描攻击进行大规模扫描、利用第三方资源进行信息收集、使用查询手段进行信息收集。网络攻击流程北京邮电大学信息安全中心网络攻击的一般步骤网络攻击流程北京邮电大学信息安全中心2、实施攻击获取系统权限，进行破坏性或其它攻击；攻击者进入系统后,如权限不够,需要再次提升权限,直到获取超级用户权限。权限提升主要有两种方式,一种是口令破解或截取,另一种方式是缓冲区溢出攻击。网络攻击流程北京邮电大学信息安全中心2、实施攻击3、隐藏攻击行为获取系统权限，进行破坏性或其它攻击攻击者在获得系统最高管理员权限之后，可以随意修改系统上的文件。然而一旦入侵系统，就必然会留下痕迹；所以在入侵系统之后，攻击者大多都会采取隐藏技术来消隐自己的攻击行为。 （1）隐藏连接：删除或修改日志文件 （2）隐藏进程：系统程序替换

（3）隐蔽文件：利用字符的相似性麻痹系统管理员，或采用其他手段隐瞒攻击时产生的信息。二网络安全威胁ppt课件网络攻击流程北京邮电大学信息安全中心4、创建后门一次成功的入侵往往要耗费攻击者的大量时间与精力，为了长期保持对已攻系统的访问权，在退出之前攻击者常在系统中创建一些后门，以便下次入侵。木马就是创建后门的一个典型范例。远程管理型木马可以提供很好的后门服务。木马的安装主要是利用系统操作者不好的使用习惯和薄弱的安全意识潜入系统,如操作人员随意上网抓资料或太信任电子邮件送来的文件等。创建后门的常见方法：放宽文件许可权、重新开放不安全的服务、修改系统配置、替换系统共享库文件、修改系统源代码、安装嗅探器、建立隐蔽信道。网络攻击流程北京邮电大学信息安全中心4、创建后门远程管理型木(1)登录程序后门。其身份验证过程可能存在漏洞,使用这类后门可以方便地登录系统,并且不容易被发现。这类后门的引入可能是由于程序设计漏洞,如存在缓冲区溢出漏洞或验证算法不合理等;也可能是程序开发人员为了调试方便或怀有特殊目的故意加入,如缺省空口令、缺省固定口令、万能口令等;还有就是攻击者替换或修改了登录程序,不影响原有的登录过程,但有捷径可以方便地进入系统。这类后门有Rootkit,Netbios,SQLServer,PBBSER,Hidepak和Hidesource等。(2)网络服务后门。一些系统服务程序或应用服务程序中存在着漏洞,如系统服务Telnet,Ftp,E-mail,Rlogin等和应用服务IRC,OICQ等。利用这种漏洞产生的后门很多,如常见的AOLAdmin,AttackFTP,Hack’a’Tack和GateCrasher等

(3)系统库后门。(4)内核后门。后门的种类(1)登录程序后门。其身份验证过程可能存在漏洞,后门隐藏包括应用级隐藏和内核级隐藏。应用级隐藏是常规的隐藏方法.（1）选择一个隐秘的目录存放后门程序文件,在Windows平台,可以选用:Autoexec.bat,Config.sys,System.ini和Win.ini注册表等。（2）修改或替换管理命令。修改或替换用于查看程序文件和进程信息的管理命令,使后门程序和进程可以很好地隐身。如替换“ls”“find”“du”可以实现文件和目录隐藏;替换“ps”“top”“pidof”可以实现进程隐藏;替换Netstat,Ifconfig可实现网络的连接状态隐藏;替换Kill,Killall可防止删除攻击者的进程,替换Crontab能隐藏攻击者的定时启动信息,替换Tcpd,Syslogd隐藏攻击者的连接信息等。后门的隐藏后门隐藏包括应用级隐藏和内核级隐藏。后门的隐藏（3）通信端口隐藏:①选用不常用的通信端口,早期的后门一般都选用确定的端口,大多数的后门检测工具也是通过判断相应的端口来进行工作的,因此定制端口可以避过大多数检测软件的检测;②将后门隐藏在合法端口,为后门数据包设定标志,通过标志来区分会话,同时不会影响原有端口的服务,这种方法的优点在于无法通过端口来判断后门的类型,也不容易通过流量分析来检测,只能通过查找相应的标志来检测,但标志是易变的,因此该方法可以很好地隐藏通信端口。具有端口定制功能的后门代理程序有PingBackdoor,WinShell等。Executor利用80端口传递控制信息和数据,实现其远程控制。而CodeRedII则利用80端口来进行传播。后门的隐藏（3）通信端口隐藏:后门的隐藏网络攻击流程北京邮电大学信息安全中心5、清除攻击痕迹攻击者为了隐蔽自身，一般在入侵后要做善后工作，避免系统管理员发现其攻击行为。方法：修改日志文件中的审计信息、改变系统事件造成日志文件数据文件紊乱、删除或停止审计服务进程、干扰入侵检测系统正常工作、修改完整性标签。网络攻击流程北京邮电大学信息安全中心网络攻击流程北京邮电大学信息安全中心网络攻击的一般流程网络攻击流程北京邮电大学信息安全中心网络攻击的一般流程

拒绝服务

攻击利用型

攻击信息收集

型攻击消息伪造

攻击

网络安全威胁分类

网络安全威胁

2、根据威胁动机分类 拒绝服务利用型信息收集消息伪造网络安全威胁分类

利用型攻击v

口令猜测

§

攻击者可获取口令文件运用口令破解工具进行字典攻击。v

特洛伊木马v

缓冲区溢出

§

来自于C语言本质的不安全性：没有边界来限制数组和指针的引

用；标准C库中还有很多非安全字符串操作：strcpy()，

gets(),etc.

§

通过往程序的缓冲区写超过其长度的内容，使缓冲区溢出，破坏

程序的堆栈，达到攻击目的。

§

可导致程序运行失败，系统死机，重启 利用型攻击

拒绝服务

攻击利用型

攻击信息收集

型攻击消息伪造

攻击

网络安全威胁分类

网络安全威胁

2、根据威胁动机分类 拒绝服务利用型信息收集消息伪造网络安全威胁分类

信息收集型攻击v

体系结构刺探（协议栈指纹）

§

确定目标主机所运行的操作系统

§

不同操作系统厂商的IP协议栈实现之间存在许多细微差

别，因此每种操作系统都有独特的响应方法利用信息服务v

扫描技术

§地址扫描 §端口扫描 §漏洞扫描：漏洞特征库；模拟攻击 信息收集型攻击网络安全扫描的基本原理

通过向远程或本地主机发送探测数据包，获取主机的响应，并根据反馈的数据包，进行解包、分析，从而发现网络或主机的配置信息、TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。Ping扫描ping扫描是判断主机是否“活动”的有效方式，目的就是确认目标主机的IP地址，即扫描的IP地址是否分配给了主机。端口扫描向目标主机的TCP/UDP服务端口发送探测数据包，并记录目标主机的响应，通过响应分析判断服务端口处于打开/关闭状态，以获取端口提供的服务。分为TCP扫描和UDP扫描。信息收集—扫描技术北京邮电大学信息安全中心网络安全扫描的基本原理信息收集—扫描技术北京邮电大学信息安全Ping扫描原理Ping扫描是网络中最原始的扫描方法，主要用于网络连通性的测试与判断，也可用于主机的发现。原理：利用ICMP请求响应报文和ICMP应答报文来实现。优点：操作简单方便不足：使用受限，因为很多个人防火墙从安全角度考虑都对ICMPping报文进行了屏蔽。而且这种扫描过程容易被防火墙日志记录，屏蔽性不强。Ping扫描原理Ping扫描是网络中最原始的扫描方法，主要用ICMPechorequestICMPechoreply本地主机目标主机图ping扫描原理ICMPechorequestICMPechorep端口扫描原理端口扫描主机发现技术是利用TCP/IP协议中TCP协议的确认机制，本地主机通过特定端口向目标主机发送连接请求，目标主机通常会回应一个数据包进行响应，以表明连接的状态。用户可以通过目标主机的响应报文来判断它是否存在。优点：效率较高，可避免防火墙记录，隐蔽性较强，可以对有防火墙的主机进行探测。不足之处：不同操作系统TCP/IP协议栈实现原理不一样，同一种方法在不同的ＯＳ上肯能结果不一样。端口扫描原理端口扫描主机发现技术是利用TCP/IP协议中TCTCP（ACK）destport=80TCP（rst）本地主机目标主机图端口扫描原理TCP（ACK）destport=80TCP（rst）本地主ＡＲＰ扫描ARP扫描指通过ARP请求（查询目标主机的物理地址），如果目标主机回应一个ARP响应报文，则说明它是存活的。优点：效率高，隐蔽性强，因为ARP解析是局域网中正常的活动，一般防火墙都不阻拦。不足：使用范围有限，只能用于局域网。这个方法适用于内网突破时使用。ＡＲＰ扫描ARP扫描指通过ARP请求（查询目标主机的物理地址ARPrequest（广播）ARPreply本地主机目标主机图ARP扫描原理ARPrequest（广播）ARPreply本地主机目标北京邮电大学信息安全中心漏洞扫描漏洞扫描绝大多数都是针对特定操作系统所提供的特定网络服务，也就是针对操作系统中某一个特定端口的。两类基本的方法：漏洞特征库匹配和模拟攻击方法漏洞特征库匹配：在端口扫描后得知目标主机开启端口和端口上提供的服务，将这些信息与网络漏洞扫描系统提供的漏洞信息库进行匹配，查看是否有漏洞存在。如FTP漏洞扫描、HTTP漏洞扫描、CGI漏洞扫描等模拟攻击方法：通过模拟黑客的攻击方法，对目标主机系统进行攻击性漏洞扫描，如果模拟成功，则表示系统存在漏洞，主要是攻击者经验的直接体现，如Unicode遍历目录漏洞探测、FTP弱势密码探测等。信息收集—扫描技术北京邮电大学信息安全中心漏洞扫描信息收集—扫描技术北京邮电大学信息安全中心1、控制台模块2、扫描活动处理模块3、扫描引擎模块4、结果处理模块5、漏洞库通用漏洞扫描原理北京邮电大学信息安全中心1、控制台模块通用漏洞扫描原理北京邮电大学信息安全中心常见扫描工具漏洞扫描及分析工具：Nessus网络漏洞扫描工具：SuperScan网络主机扫描工具：Nmap系统用户扫描工具：GetNTUser漏洞扫描工具：X-Scan信息收集—扫描技术北京邮电大学信息安全中心常见扫描工具信息收集—扫描技术

拒绝服务

攻击利用型

攻击信息收集

型攻击消息伪造

攻击

网络安全威胁分类

网络安全威胁

2、根据威胁动机分类 拒绝服务利用型信息收集消息伪造网络安全威胁分类

消息伪造攻击v

DNS欺骗

§

DNS服务器交换信息时不进行身份认证；

§

黑客可以使用错误信息将用户引向设定主机v

伪造电子邮件

§

SMTP不对邮件发送者身份进行鉴定 消息伪造攻击

拒绝服务

攻击利用型

攻击信息收集

型攻击消息伪造

攻击

网络安全威胁分类

网络安全威胁

2、根据威胁动机分类 拒绝服务利用型信息收集消息伪造网络安全威胁分类

拒绝服务攻击简单DoS

Denial

ofService

(DoS)

反射式DoS

分布式DoS

拒绝服务攻击 Denialof 反射式DoS

简单拒绝服务攻击v

Ping

flooding

§

在某一时刻，多台主机对目标主机使用Ping程序，以耗尽其网络

带宽和处理能力。v

SYN

flooding

§

当前最流行、最有效的DoS方式之一；

§

利用建立TCP连接的三次握手机制进行攻击；

回顾TCP协议…

§

阻止服务器方接受客户方的TCP确认标志（ACK）v

UDP

flooding

§

UNIX系统中开放的测试端口：echo（UDP端口7），chargen

（UDP

端口19）v

电子邮件炸弹

§

用伪造的IP地址或电子邮件地址向同一信箱发送垃圾邮件

§

导致目标邮箱或电子邮件服务器瘫痪 简单拒绝服务攻击伪造发送者快速发送大量邮件邮件炸弹伪造发送者快速发送大量邮件邮件炸弹

反射式拒绝服务攻击（DRDoS）DRDoS（DistributedReflectionDenialofService）v

Smurf

§

利用Ping程序中使用的ICMP协议;

§

攻击者找出网络上有哪些路由器会回应ICMP请求；

§

然后用一个虚假的IP源地址向路由器的广播地址发出讯

息，路由器会把这讯息广播到网络上所连接的每一台

设备；

§

这些设备又马上回应，这样会产生大量讯息流量，从

而占用所有设备的资源及网络带宽

§

回应的地址就是受攻击的目标；

§

Smurf攻击实际上是一种IP欺骗式的攻击，将导致拒绝

服务攻击的结果。 反射式拒绝服务攻击（DRDoS）SmurfSmurf

反射式拒绝服务攻击v

Land

攻击一种非常老的拒绝服务攻击。

§攻击者不断地向被攻击的计算机发送具有IP

源地址和IP目的地址

完全一样，TCP源端口和目的端口也完全一样的伪造TCP

SYN包；

§

导致该计算机系统向自己发送响应信息SYN/ACK和ACK消息，最

后被攻击的计算机系统将会无法承受过多的流量而瘫痪或重启。

§

研究发现

Windows

XP

SP2

和

Windows

2003

的系统、Sun

的操作系统对这种攻击的防范都是非常脆弱的。

防范

§

服务供应商可以在网络入口处，安装防火墙对所有入内数据包的

IP

源地址进行检查和过滤，这样就可以阻止Land

攻击。

§

如果一个包的源地址与目的地址不相同则该数据包可以被转发，

否则就丢弃。 反射式拒绝服务攻击

分布式拒绝服务攻击v

DDoS（DistributedDenialofservice）基本原理DDoS攻击是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。 分布式拒绝服务攻击DDoS攻击是指借助于客户/服务器技术，DDoSDDoSDDoS攻击方式通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。这种攻击方式可分为以下几种：1.通过使网络过载来干扰甚至阻断正常的网络通讯。2.通过向服务器提交大量请求，使服务器超负荷。3.阻断某一用户访问服务器。4.阻断某服务与特定系统或个人的通讯。DDoS攻击方式通过大量合法的请求占用大量网络资源，以达到瘫Trinoo3133527665

27444

udpmaster

client..主机列表telnet

betaalmostdone

攻击指令目标主机nc

DDoS工具使用端口：攻击者到主服务器：27665/TCP主服务器到守护程序：27444/UDP守护程序到主服务器：31335/UDP控制者主服务器被控程序Trinoo3133527444udpmastercl

DDoS防御方法v

1．采用高性能的网络设备首先要保证网络设备不能成为瓶颈，因此选择性能好的路由器、交换机、硬件防火墙等设备。2．尽量避免NAT的使用因为NAT对地址转换过程中需要对网络包进行校验和计算，浪费很多CPU的时间。3．充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力4．把网站做成静态页面5．增强操作系统的TCP/IP栈如Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力6．安装专业抗DDOS防火墙如：绿盟黑洞，金盾抗拒绝服务系统，天网防火墙等。

网络系统

缺陷网络欺骗有害程序拒绝服务

攻击

网络安全威胁分类

网络安全威胁

3、

根据威胁起因分类 网络系统网络欺骗有害程序拒绝服务网络安全威胁分类

网络系统缺陷v

网络系统

§

网络设备

§

网络操作系统

§

网络应用服务

§

网络数据库v

网络系统缺陷的基本表现形式：

§

来自网络协议和应用的实现：IP协议栈，WWW平台

§

一般的软件和系统实现过程中出现的缺陷：缓冲区溢出，注入式攻击，陷门

§陷门:是一个程序模块的秘密未记入文档的入口。

一般陷门是在程序开发时插入的一小段程序,是用于测试这个模块或是为了升级程序或者是为了发生故障后,为程序员提供方便等合法用途。通常在程序开发后期去掉这些陷门。非法利用陷门可以使原来相互隔离的网络信息形成某种隐蔽的关联，进而可以非法访问网络，达到窃取、更改、伪造和破坏的目的。 网络系统缺陷注入式攻击由于程序员水平和经验的限制，编写代码时没有对用户输入数据的合法性进行判断。用户可以通过在应用程序中预先定义好的查询语句，结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQLInjection，即SQL注入。据统计，网站用ASP+Access或SQLServer的占70%以上，PHP+MySQ占L20%，其他的不足10%。

60注入式攻击由于程序员水平和经验的限制，编写代码时没有对用户输举例：管理登陆的验证代码……rs.open“select*fromadminwhereadmin=‘"&admin1&"'andpassword='"&password1&"'",conn,1……？？？？

如果在用户名和密码处都填入‘OR’‘=’，一样可以成功登陆。因为代入前面符号可得：select*fromadminwhereadmin="OR“="andpassword="OR"="61举例：管理登陆的验证代码61SQL注入攻击的总体思路是：发现SQL注入位置;判断后台数据库类型;

确定XP_CMDSHELL可执行情况

发现WEB虚拟目录

上传ASP木马;

得到管理员权限;62SQL注入攻击的总体思路是：62

网络系统

缺陷网络欺骗有害程序拒绝服务

攻击

网络安全威胁分类

网络安全威胁

3、

根据威胁起因分类 网络系统网络欺骗有害程序拒绝服务网络安全威胁分类

网络欺骗v

缺乏安全认证

§

针对网络层协议的欺骗：IP欺骗；ARP欺骗；ICMP欺

骗；路由欺骗

§

针对TCP的欺骗:

TCP欺骗;

TCP会话劫持；RST和FIN

攻击

§

针对应用协议的欺骗：电子邮件欺骗；缺乏IP认证导致

DNS欺骗。v

现实生活中的欺骗手段在网络中使用

§

网络钓鱼 网络欺骗内容IP电子欺骗TCP会话劫持ARP电子欺骗DNS电子欺骗网络欺骗65内容IP电子欺骗网络欺骗65定义BACHello,I’mB!电子欺骗（Spoofing）是指通过伪造源于可信任地址的数据包以使一台机器认证另一台机器的复杂技术

66定义BACHello,I’mB!电子欺骗（SpoofingIP电子欺骗客户服务器Synsend连接请求回应Syn+ack确认会话过程67IP电子欺骗客户服务器Synsend连接请求回应Syn+a实现步骤确认攻击目标

使要冒充的主机无法响应目标主机猜正确序数

冒充受信主机

进行会话

IP欺骗不是攻击方法，是攻击步骤68实现步骤确认攻击目标使要冒充的主机无法响应目标主机猜正确序实例讲解BAC同步flood攻击

连接请求伪造B进行系列会话A的序数规则69实例讲解BAC同步flood攻击连接请求伪造B进行系列会话防止IP欺骗路由器：拒绝来自网上，且声明源于本地地址的包

使用抗IP欺骗功能的产品严密监视网络70防止IP欺骗路由器：拒绝来自网上，且声明源于本地地址的包使TCP劫持bcaWhoisbWhoisbI’mbI’mb,Italkwithyou71TCP劫持bcaWhoisbWhoisbI’mbITCP会话劫持（TCPSessionHijack）

会话:就是两台主机之间的一次通讯。会话劫持:就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行监听，甚至可以是代替某一方主机接管会话。会话劫持的关键是预测正确的序列号，攻击者可以采取嗅探技术获得这些信息。TCP会话劫持（TCPSessionHijack）

会话劫持实现Juggernaut--MikeschiffmanHunt--kra（kra@cri.cz）

73劫持实现Juggernaut73劫持例子Hunt>s>41[1517]-

22[23]telnetabc74劫持例子Hunt>s>41[1517]劫持对策使用交换式的网络设备telnetabcI’mcannothijackBecause……75劫持对策使用交换式的网络设备telnetabcI’mcanARP欺骗—正常情况Bb:bbCc:ccAa:aaWho’sIPisWho’sIPisMACBb:bbisIsee,Iwillcache76ARP欺骗—正常情况Bb:bbCc:ccAa:aa1.1.1对策情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者不能正常上网。情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官,QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。ARP欺骗—两种情况77对策情况一、当局域网内某台主机感染了ARP病毒时，会向本局域对策78对策78ARP欺骗Bb:bbCc:ccAa:aaMACcc:ccisIsee,IwillcacheMACdf:dfisIcouldn’tfind由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。所以，MAC地址在C上被伪造成一个不存在的MAC地址，这样就会导致网络不通，B不能Ping通C！79ARP欺骗Bb:bbCc:ccAa:aa2.21、中毒者：使用毒软件清除病毒。2、被害者：(1)绑定网关mac地址。(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。找出ARP病毒源一：在网络内一台主机上运行抓包软件捕获所有到达的数据包。如发现某个IP不断发送ARPRequest请求包，一般即病毒源。二：使用arp-a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。在结果中，两台电脑除了网关的IP-MAC地址对应项，都包含了另外某个相同IP，则可以断定这台主机就是病毒源。三：在DOS命令窗口下使用tracert命令在任意一台受影响的主机上跟踪路由，在跟