《计算机网络安全》-06网络攻击和防御安全

1、LOGO 所谓的网络攻击，就是利用网络存在的漏洞和安全缺陷，对网络系统的硬件、软件及其系统中的数据进行的攻击。常见的网络攻击分类有：（1）主动攻击：包含攻击者访问所需要信息的故意攻击行为，如图所示的网络中经典的DDOS攻击。（2）被动攻击：主要是收集信息，而不是进行访问。数据的合法用户对这种活动一点也不会觉察到。6.1 了解网络攻击 1、口令入侵、口令入侵所谓口令入侵是指使用某些合法用户的帐号和口令，登录到目的主机，然后再实施攻击活动。这种方法的前提是：必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。6.2 常见的网络攻击 2、特洛伊木马攻击、特洛伊木马攻击特洛伊木马程序

2、能直接侵入用户的计算机并进行破坏，木马程序常被伪装成工具程序或游戏等，诱使用户打开带有特洛伊木马程序的邮件附件，或从网上直接下载了携带病毒程序。6.2 常见的网络攻击 3、WWW欺骗攻击欺骗攻击在互联网上，用户能利用IE浏览器等进行各种各样WEB站点访问，如阅读新闻、在线交流、电子商务等。6.2 常见的网络攻击 4、电子邮件攻击、电子邮件攻击电子邮件是互联网上应用范围最为广泛的应用之一。网络上的攻击者能使用一些邮件炸弹软件，或CGI程序，向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，更有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪

3、。相对于其他的攻击手段来说，这种攻击方法具有简单、见效快等好处。6.2 常见的网络攻击 5、网络监听攻击、网络监听攻击网络监听是连接在网络中的一种主机工作模式。在这种模式下，主机能接收到本网段上，在同一条物理通道上所有计算机传输的所有信息，而不管这些信息的发送方和接收方是谁。6.2 常见的网络攻击 6、黑客软件攻击、黑客软件攻击利用黑客软件攻击是互联网上比较多的一种攻击手法，如Back Orifice2000、冰河等都是比较著名的特洛伊木马，它们能非法地取得用户计算机的终极用户级权利，能对其进行完全的控制，除了能进行文件操作外，同时也能进行对方桌面抓图、取得密码等操作。6.2 常见的网络攻击

4、7、端口扫描攻击、端口扫描攻击所谓端口扫描，就是利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。6.2 常见的网络攻击 8、拒绝服务攻击、拒绝服务攻击拒绝服务攻击(DoS)是一种针对TCP/IP协议漏洞的一种网络攻击手段，其原理是利用DoS工具向目标主机发送海量的数据包，消耗网络的带宽和目标主机的资源，造成目标主机网段阻塞，致使网络或系统负荷过载而停止向用户提供服务。常见的拒绝服务攻击方法有SYNFlood攻击、Smurf、UDP洪水、Land攻击、死亡之Ping、

5、电子邮件炸弹等。6.2 常见的网络攻击 9、缓冲区溢出攻击、缓冲区溢出攻击简单地说，缓冲区溢出的原因是：向一个有限的缓冲区，复制了超长的字符串，结果覆盖了相邻的存储单元。这种覆盖往往会导致程序运行的失败，甚至是死机或是系统的重启。黑客就是利用这样的漏洞，可以执行任意的指令，掌握系统的操作权。6.2 常见的网络攻击 10、欺骗类攻击、欺骗类攻击欺骗类攻击主要是利用TCP/IP协议自身的缺陷发动攻击。在网络中，如果使用伪装的身份和地址与被攻击的主机进行通信，向其发送假报文，往往会导致主机出现错误操作，甚至对攻击主机做出信任判断。这时，攻击者可冒充被信任的主机进入系统，并有机会预留后门供以后使用。6

6、.2 常见的网络攻击 11、程序错误攻击、程序错误攻击在网络的主机中，存在着许多服务程序错误和网络协议错误。换句话说就是，服务程序和网络协议无法处理所有的网络通信中所面临的问题。人们利用这些错误，故意向主机发送一些错误的数据包，如图 所示。6.2 常见的网络攻击 12、后门攻击、后门攻击通常，网络攻击者在获得一台主机的控制权后，会在主机上建立后门，以便下一次入侵时使用。后门的种类很多，有登陆后门、服务后门、库后门、口令破解后门等，这些后门多数存在于Unix系统中。6.2 常见的网络攻击 1、网络攻击的类型、网络攻击的类型常见的网络攻击过程分为以下三种类型，主要有：远程攻击指外部攻击者通过各种手

7、段，从子网以外地方向子网，或者该子网内系统发动攻击。本地攻击指本单位的内部人员，通过所在的局域网，向本单位的其他系统发动攻击，在本级上进行非法越权访问。伪远程攻击指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象。6.3 网络攻击过程 2、网络攻击的过程、网络攻击的过程网络攻击的过程通常分为以下几个环节：第一步：隐藏己方位置第一步：隐藏己方位置普通攻击者都会利用别人的计算机，隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP，然后再盗用他人的帐号上网。第二步：寻找并分析第二步：寻找并分析攻击者首先要寻找目标主机

8、，并分析目标主机。在Internet上能真正标识主机的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和 IP地址就能顺利地找到目标主机。6.3 网络攻击过程 第三步：帐号和密码第三步：帐号和密码攻击者要想入侵一台主机，首先要该获取主机的一个帐号和密码，否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件，进行破解，从中获取某用户的帐户和口令，再寻觅合适时机以此身份进入主机。当然，利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。第四步：获得控制权第四步：获得控制权攻击者们用FTP、Telnet等工具利用系统漏洞，进入进入目标主机系统，获得控制权之后，就会做两件事

9、：清除记录和留下后门。6.3 网络攻击过程 第五步：资源和特权第五步：资源和特权攻击者找到攻击目标后，会继续下一步的攻击，窃取网络资源和特权。如：下载敏感信息；实施窃取帐号密码、信用卡号等经济偷窃；使网络瘫痪。6.3 网络攻击过程 3、Dos攻击分析攻击分析Dos攻击是网络攻击中常见的，也是危害比较大的一种，其攻击的手法多样。在拒绝服务攻击中，利用Windows操作系统中的RPC服务漏洞，进行攻击是一种常见的拒绝服务攻击。漏洞存在于Windows系统的DCE-RPC堆栈中，远程攻击者可以连接TCP135端口，向其发送畸形数据，可导致RPC服务的关闭，进而引起系统停止对新的RPC请求进行响应，产

10、生拒绝服务。6.3 网络攻击过程 (1) 不要随意打开来历不明的电子邮件及文件，不要随便运行陌生用户的程序，比如“特洛伊”类黑客程序就需要骗用户运行。(2) 尽量避免从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件，也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。(3) 密码设置尽可能使用字母数字混排，单纯的英文或数字非常容易穷举。将常用的密码设置不同，防止被人查出一个，连带到重要密码。重要密码最佳经常更换。(4) 及时下载安装系统补丁程序。(5) 不随便运行黑客程序，不少这类程序运行时会发出用户的个人信息。(6) 在支持HTML的BBS上，如发现提交警告，先看

11、原始码，非常可能是骗取密码的陷阱。6.4 网络攻击应对策略 1、什么是端口、什么是端口计算机“端口”是英文port的意译，可以认为是计算机与网络中其它设备通信交流的出口。在互联网上，各台主机之间通过TCP/TP协议，发送和接收数据信息，按照目标主机的IP地址，数据能被准确传输目的地。由于接受计算机的操作系统支持多任务工作方式，每台计算机上可能有多个软件程序（进程）在同时运行：如使用IE浏览器软件在访问网页、QQ软件在聊天、迅雷软件在下载电影、Outlook软件在收发邮件等6.5 查看本机开放端口服务安全 2、端口的作用、端口的作用知名端口即众所周知的端口号，范围从0到1023，由IANA统一分

12、配。这些端口号一般固定分配给一些服务，且在大多数系统中，只能由系统（或根）进程或特权用户执行的程序使用。比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。6.5 查看本机开放端口服务安全 6.5 查看本机开放端口服务安全 3、端口入侵门户、端口入侵门户有人曾经把计算机比作房子，而把端口比作成通向不同房间（服务）的门。来自网络中的入侵者（黑客）要占领这间房子，势必要破门而入（物理入侵）。那么对于入侵者来说，了解房子开了几扇门，都是什么样的门，门后面有什么东西就显得至关重要。网络入侵者通常会用扫

13、描器软件，对目标主机的端口进行扫描，以确定哪些端口是开放的（门户大开）。从开放的端口，入侵者可以知道目标计算机大致提供了哪些服务，进而猜测可能存在的漏洞。6.5 查看本机开放端口服务安全 4、查看本机端口、查看本机端口微软的Windows操作系统提供的端口查看Netstat命令是DOS环境下的控制台命令，该命令可以帮助用户方便地查看本机端口的使用状态，监控网络服务的运行状态。通过Netstat命令，可以显示当前网络的路由表、实际的网络连接，以及每一个网络接口设备的状态信息，如图 所示。6.5 查看本机开放端口服务安全 5、使用、使用Netstat命令，监控本机端口状态命令，监控本机端口状态网络

14、中的黑客入侵网络时，一般都是首先利用端口扫描工具，搜集目标网络和目标主机的端口信息，进而发现目标计算机系统的脆弱点，然后根据脆弱点展开攻击。网络安全管理人员平时，多使用网络端口扫描工具，监控网络服务状态，及时发现网络系统的漏洞，并采取相应的补救措施，免受入侵者的攻击。6.5 查看本机开放端口服务安全 6、启动、启动“任务管理器任务管理器”，监控本机端口状态，监控本机端口状态按键盘上“Ctrl+Alt+Del”快捷组合键，可以启动“任务管理器”程序；此外还可以通过鼠标右键点击任务栏，在打开的快捷菜单中选择“任务管理器”方式，同样可以打开“Windows任务管理器”界面，显示正在运行的“应用程序”

15、、相关开启任务的“进程”等操作显示的结果如图所示。6.5 查看本机开放端口服务安全 6、启动、启动“任务管理器任务管理器”，监控本机端口状态，监控本机端口状态 6.5 查看本机开放端口服务安全 6、启动、启动“任务管理器任务管理器”，监控本机端口状态，监控本机端口状态 6.5 查看本机开放端口服务安全 1、什么是远程登录、什么是远程登录计算机操作系统都提供多任务工作模式，在同一时间内，允许多个用户同时使用一台计算机。但为了保证系统的安全，系统要求每个用户，使用单独帐号作为登录标识，使用口令作为登录权限，这个过程被称为“登录”。6.6 了解本机开放端口 2、远程登录安全问题、远程登录安全问题通过

16、互联网进行远程登录Telnet程序，本身没有很好的保护机制。在互联网中，通过远程登录Telnet方式登录设备过程，主要面临的主要安全问题是没有口令保护。远程登录的用户在登录过程中，通过网络传送的帐号和密码，在互联网上传输过程中，都是明文传输，使用普通的Sniffer数据包捕获器软件都可以被截获，因此没有很好的安全性，所以要借助其他外部的保护，才能确保远程登录的安全。6.6 了解本机开放端口 3、远程非法入侵的方式、远程非法入侵的方式网络中的黑客在入侵网络时，一般首先都利用端口扫描工具，搜集目标计算机所在的网络和目标计算机的端口信息，进而发现目标系统的脆弱点。然后，根据脆弱点展开攻击；或者采用远

17、程登录工具，不断尝试和远程主机连接，探测远程登录远程主机的账户和密码，侵入网络中的主机系统。6.6 了解本机开放端口 4、常用开放端口安全漏洞、常用开放端口安全漏洞相信很多使用微软的Windows 操作系统的用户都中过“冲击波”病毒，该病毒就是利用远程过程，调用协议RPC（它是一种通过网络从远程计算机程序上请求服务）协议的漏洞，来攻击网络中的计算机。Windows 操作系统提供RPC服务，本身在处理通过互联网通信TCP/IP的消息交换时，存在部分安全漏洞，该漏洞是由于错误地处理格式不正确的消息造成的，也是Windows 操作系统设计过程中BUG。6.6 了解本机开放端口 5、远程非法入侵开放端

18、口、远程非法入侵开放端口默认情况下，Windows操作系统的大部分标准端口都是对互联网上所有的用户开放，以帮助用户最大程度地体验互联网资源。但在使用互联网络的过程中，网络病毒程序以及黑客常常通过这些开放的端口，尝试连上网络中的用户计算机，侵入用户的计算机系统。 为了让网络中的用户计算机系统变成铜墙铁壁，应该封闭这些常用的开放端口。Windows操作系统上容易形成漏洞的端口主要有：提供TCP服务的 135、139、445、593、1025 端口和提供 UDP服务的 135、137、138、445端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3

19、389等。6.6 了解本机开放端口 默认情况下，微软的Windows操作系统中有很多默认的标准端口，都对互联网上的用户开放，因此在使用网络的的时候，网络病毒和黑客就有可能通过这些端口侵入计算机。 为了保证网络中重要的计算机系统安全，应该封闭这些开放的、不常用的端口，主要有：TCP 135、139、445、593、1025 端口， UDP 135、137、138、445 端口。通过实施如下步骤内容，查看本地的安全策略。6.7 采用IP安全策略，关闭本机开放端口 第一步：启动电脑的第一步：启动电脑的“本地安全策略本地安全策略”点击电脑系统的“开始”菜单，依次选择：“开始” - “控制面板” - “

20、管理工具”，打开系统的“管理工具”窗口，双击打开“本地安全策略”制订窗口，如图所示。6.7 采用IP安全策略，关闭本机开放端口 第二步：创建第二步：创建“新新 IP 安全策略安全策略”名称名称在“本地安全策略”窗口中，选中左侧“安全设置”列表栏中的“IP 安全策略。在本地计算机”选项；再在右栏的空白处，右击鼠标，选中快捷菜单中选择“创建 IP 安全策略”，启动“IP安全策略向导”，如图 所示。6.7 采用IP安全策略，关闭本机开放端口 首先，把“激活默认响应规则”复选框钩选掉；再点击“完成”按钮，创建完成一个新的“封闭开放端口安全策略”的IP 安全策略，如图 所示。 6.7 采用IP安全策略，

21、关闭本机开放端口 第三步：添加新的规则第三步：添加新的规则返回图6-25所示“本地安全策略”窗口，选中新创建“封闭开放端口安全策略”，右击打开快捷菜单，选择“属性”菜单，编辑“封闭开放端口安全策略”新IP安全策略属性。首先首先，把右下角“使用添加向导”复选框钩选去掉，再单击“添加”按钮，添加新的规则的属性，如图 所示。6.7 采用IP安全策略，关闭本机开放端口 其次其次，在弹出“新规则 属性”对话框中，点击“添加”按钮，弹出“新IP筛选器列表”窗口，如图 所示。6.7 采用IP安全策略，关闭本机开放端口 在“IP筛选器列表”对话框中，首先，把“使用添加向导”左边的钩选去掉；再修改名称为“屏蔽

22、TCP-135”（也可使用默认名称）；最后，点击“添加”按钮，添加新的筛选器，如图 所示。 6.7 采用IP安全策略，关闭本机开放端口 最后最后，进入“筛选器属性”对话框中进行如下配置：通过以上操作过程，打开“IP筛选器列表”对话框后，添加新的“IP筛选器列表”。1）、选择“地址”选项框，在“源地址”的下拉列表框中，选“任何 IP 地址”；在“目标地址”下拉列表框中，选中“我的 IP 地址”，如图 所示。6.7 采用IP安全策略，关闭本机开放端口 2）、首先，选择“协议”选项框，在“选择协议类型”的下拉列表中，选择“TCP”；然后，设置IP协议端口：分别勾选“从任意端口”、“到此端口”单选框；

23、最后，在“到此端口”选项的文本框中，输入“135”端口号，如图 所示，最后点击“确定”按钮，返回。6.7 采用IP安全策略，关闭本机开放端口 通过以上步骤，就在本机上添加了一个“屏蔽 TCP 135（RPC）端口”的IP筛选器，它可以防止外界计算机，通过本机上135端口连上个人计算机，如图 所示。 6.7 采用IP安全策略，关闭本机开放端口 最后，点击“确定”后，回到“IP筛选器列表”的对话框，可以看到之前如图显示的“新规则 属性”对话框。其中，在“IP筛选器列表”的列表框中“新规则 属性”空白处，已经添加了一条策略，如图 所示。6.7 采用IP安全策略，关闭本机开放端口 第四步：激活新添加第

24、四步：激活新添加IP安全策略安全策略在图 所示的“新规则 属性”对话框，进行如下配置，激活新添加安全规则。6.7 采用IP安全策略，关闭本机开放端口 最后，返回如图 所示“封闭开放端口安全策略 属性”对话框。查看在“封闭开放端口安全策略 属性”对话框，通过以上步骤的操作，在 “IP安全规则” 栏，钩选中新增加 “屏蔽TCP-135” IP新筛选器操作项，按“应用”按钮启用。最后，按“确定”按钮，关闭对话框，如图 所示。6.7 采用IP安全策略，关闭本机开放端口 第五步：指派新添加的安全规则第五步：指派新添加的安全规则返回到如图 所示“本地安全策略”窗口。在左侧的安全设置栏中，选择“IP 安全策

25、略，在本地计算机”选项，在该选项右边窗格中，用鼠标右击“封闭开放端口安全策略”项，在弹出快捷菜单中，选择“分配”菜单，即完成新添加安全规则“指派”操作，如图所示。6.7 采用IP安全策略，关闭本机开放端口 Windows 操作系统的135端口在系统默认的五个典型开放端口中，用途最为复杂，也最容易引起来自外部的攻击。该端口对应的RPC服务，是Windows操作系统使用的一个远程过程调用协议。RPC提供了一种进程间的通信机制，通过这一机制，允许在某台计算机上运行的程序，顺畅地在远程系统上执行代码。攻击者利用该漏洞，在受影响系统上，以本地系统权限，运行代码，执行任何操作。包括：安装程序，查看、更改或

26、者删除数据，或者建立系统管理员权限的账户。避免这种危险的最好办法是关闭RPC服务。6.8 关闭RPC服务，防范来自135端口攻击 操作的步骤如下：第一步：在“控制面板”中的“管理工具”中，选择“服务”，打开“服务”窗口，如图 所示。6.8 关闭RPC服务，防范来自135端口攻击 第二步：在“服务”窗口中，打开“Remote Procedure Call属性”对话框，在属性对话框中可以看到，这时的服务状态为“已启动”，如图 所示。6.8 关闭RPC服务，防范来自135端口攻击 第二步：在“服务”窗口中，打开“Remote Procedure Call属性”对话框，在属性对话框中可以看到，这时的服

27、务状态为“已启动”，如图 所示。6.8 关闭RPC服务，防范来自135端口攻击 单击“服务状态”下面的“停止”按钮禁用该服务。然后单击“确定”，保存设置后，重新启动电脑，RPC就不再运行，如图所示。6.8 关闭RPC服务，防范来自135端口攻击 1、什么是、什么是ARP当在浏览器里面输入访问的网络字符地址时，如：， 网络中的DNS服务器会自动把输入的字符地址，解析为网络中的IP地址，浏览器通过查找IP地址，而不是输入的字符网址访问互联网。然后，再根据IP地址寻找在所在网络中的具体设备，也即寻找具体计算机设备的硬件地址。6.9 了解ARP攻击基础知识 2、什么是、什么是ARP欺骗欺骗在局域网中，

28、黑客通过收到的ARP Request广播包，能够偷听到其它节点的 (IP，MAC) 地址。 黑客就伪装为A计算机，告诉B计算机 (受害者) 一个假地址，使得B计算机在发送给A 计算机的数据包都被黑客截取，而A、B 计算机都浑然不知，如图 所示。6.9 了解ARP攻击基础知识 3、什么是、什么是ARP攻击攻击ARP攻击就是：通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，使网络阻塞。攻击者只要持续不断的发出伪造的ARP响应包，就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。6.9 了解ARP攻击基础知识 1、什么是防火墙、什么是防火墙防火

29、墙是一个位于内部网络与Internet 之间的网络安全系统，是按照一定的安全策略，建立起来硬件和(或)软件有机组成体，以防止黑客攻击，保护内部网络安全运行。网络防火墙通过对计算机网络通信请求以及传输的数据进行监控，阻止有可能对计算机造成威胁的访问，有效避免黑客的入侵或者其它病毒的攻击。防火墙只允许经过用户许可的网络通讯进行传输，而阻断其它任何形式的网络访问。6.10 使用防火墙，防御网络攻击 1、什么是防火墙、什么是防火墙软件防火墙单独使用软件系统来完成防火墙功能，将软件部署在系统主机上，其安全性较硬件防火墙差，同时占用系统资源，在一定程度上影响系统性能。一般安装在个人计算机上，主要保护个人计

30、算机系统安全，如图 所示为保护个人计算机系统的软件防火墙。6.10 使用防火墙，防御网络攻击 2、什么是系统防火墙、什么是系统防火墙微软的操作系统软件从Windows XP操作系统开始，就自带防火墙系统。这些操作系统自带的防火墙系统，是一项协助计算机系统正常工作，确保计算机上信息系统安全的软件程序。系统防火墙也和硬件防火墙设备或者防火墙软件程序一样，能依照特定的规则，开放或者封闭相关的端口，允许或是限制传输的数据通过。6.10 使用防火墙，防御网络攻击 3、配置、配置Windows系统防火墙系统防火墙在日常使用计算机的过程中，为了节省系统运行压力，在确认网络安全保障的情况下，可以通过关闭系统防火墙配置，来提高电脑的运行速度。此外，在局域网的测试环境中，需要使用 Ping命令，测试和对方计算机网络连接的连通状况，也需要关闭系统防火墙。因为系统防火墙为保护系统安全需要，会屏蔽Ping命令探测