常见网络攻击与防范-张换梅

1、常见网络攻击与防范9/19/20221信息技术与工程学院提纲常见的网络攻击方法常用的安全防范措施9/19/20222信息技术与工程学院常见的网络攻击方法9/19/20223信息技术与工程学院19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务www 攻击工具攻击者入侵者水平攻击手法半开放隐蔽扫描控制台入侵检测网络管理DDOS 攻击2002高入侵技术的发展9/19/20224信息技术与工程学院采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他

2、攻击目的入侵系统的常用步骤9/19/20225信息技术与工程学院端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途较高明的入侵步骤9/19/20226信息技术与工程学院常见的安全攻击方法直接获取口令进入系统：网络监听，暴力破解利用系统自身安全漏洞特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装WWW欺骗：诱使用户访问纂改过的网页电子邮件攻击：邮件炸弹、邮件欺骗网络监听：获取明文传输的敏感信息通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通

3、过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)9/19/20227信息技术与工程学院IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。获取信息1.收集主机信息Ping命令判断计算机是否开着，或者数据包发送到返回需要多少时间 Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径 Finger和Rusers命令收集用户信息 应用的方法：9/19/20228信息技术与工程学院获取网络服务的端口作为入侵通道。2.端口扫瞄1.TCP Connect()2.TCP SYN3

4、.TCP FIN4.IP段扫瞄5.TCP反向Ident扫瞄6.FTP代理扫瞄7.UDP ICMP不到达扫瞄7种扫瞄类型：9/19/20229信息技术与工程学院NSS（网络安全扫描器）。Strobe(超级优化TCP端口检测程序)，可记录指定机器上的所有开放端口，快速识别指定机器上运行的服务，提示可以被攻击的服务。SATAN(安全管理员的网络分析工具)，SATAN用于扫描远程主机，发现漏洞，包括FTPD漏洞和可写的FTP目录扫瞄软件举例：9/19/202210信息技术与工程学院3.Sniffer扫瞄原理：sniffer类的软件能把本地网卡设置成工作在“混杂” （promiscuous）方式，使该网

5、卡能接收所有数据帧，从而获取别人的口令、金融帐号或其他敏感机密信息等。方法与对策：1、用交换机替换HUB，交换机是两两接通，比普通HUB安全。2、使用检测的软件，如CPM Antisniff等，检测网络中是否有网卡工作在混杂状态（基本原理是发送本网中并不存在的MAC地址，看看是否有回应，如有回应，则说明有计算机网卡工作在混杂模式。）。 9/19/202211信息技术与工程学院网络监听及防范技术网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法间接性利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏隐蔽性网络窃听只对受害主机发出的数据流进行

6、操作，不与主机交换信息，也不影响受害主机的正常通信9/19/202212信息技术与工程学院网络监听及防范技术共享式局域网下共享式局域网采用的是广播信道，每一台主机所发出的帧都会被全网内所有主机接收到一般网卡具有以下四种工作模式：广播模式、多播模式、直接模式和混杂模式网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的和广播的帧9/19/202213信息技术与工程学院网络监听及防范技术共享式局域网下使用MAC地址来确定数据包的流向若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序共

7、享式网络下窃听就使用网卡的混杂模式 9/19/202214信息技术与工程学院网络监听及防范技术交换式局域网下在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识ARP协议实现的配对寻址 ARP请求包是以广播的形式发出，正常情况下只有正确IP地址与的主机才会发出ARP响应包，告知查询主机自己的MAC地址。局域网中每台主机都维护着一张ARP表，其中存放着地址对。 9/19/202215信息技术与工程学院网络监听及防范技术交换式局域网下ARP改向的中间人窃听A发往B：(MACb，MACa，PROTOCOL，DATA)B发往A：(MACa，MACb，PROTOCOL，DATA)A发往B：(MACx

8、，MACa，PROTOCOL，DATA)B发往A：(MACx，MACb，PROTOCOL，DATA)9/19/202216信息技术与工程学院网络监听及防范技术交换式局域网下X分别向A和B发送ARP包，促使其修改ARP表主机A的ARP表中B为主机B的ARP表中A为X成为主机A和主机B之间的“中间人”9/19/202217信息技术与工程学院网络监听及防范技术网络窃听的被动防范 分割网段细化网络会使得局域网中被窃听的可能性减小 使用静态ARP表手工输入地址对 采用第三层交换方式取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换加密SSH、SSL、IPSec9/19/202218信息技

9、术与工程学院网络监听及防范技术网络窃听的主动防范交换式局域网下的主动防范措施监听ARP数据包 监听通过交换机或者网关的所有ARP数据包，与预先建立的数据库相比较 定期探测数据包传送路径 使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查，并与备份的合法路径作比较 9/19/202219信息技术与工程学院IP欺骗及防范技术会话劫持一般欺骗会话劫持9/19/202220信息技术与工程学院IP欺骗及防范技术会话劫持会话劫持攻击的基本步骤发现攻击目标确认动态会话猜测序列号关键一步，技术难点使被冒充主机下线伪造FIN包，拒绝服务攻击接管会话9/19/202221信息

10、技术与工程学院IP欺骗及防范技术防范技术没有有效的办法可以从根本上防范会话劫持攻击所有会话都加密保护实现困难使用安全协议（SSH、VPN）保护敏感会话9/19/202222信息技术与工程学院电子邮件欺骗及防范技术案例2003年6月初，一些在中国工商银行进行过网上银行注册的客户，收到了一封来自网络管理员的电子邮件，宣称由于网络银行系统升级，要求客户重新填写用户名和密码。这一举动随后被工行工作人员发现，经证实是不法分子冒用网站公开信箱，企图窃取客户的资料。虽然没有造成多大的损失，但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波，刺激人们针对信息安全问题展开了更加深切的讨论。

11、9/19/202223信息技术与工程学院电子邮件欺骗及防范技术原理发送邮件使用SMTP（即简单邮件传输协议）SMTP协议的致命缺陷：过于信任原则SMTP假设的依据是：不怀疑邮件的使用者的身份和意图伪装成为他人身份向受害者发送邮件可以使用电子邮件客户端软件，也可以远程登录到25端口发送欺骗邮件9/19/202224信息技术与工程学院电子邮件欺骗及防范技术防范查看电子邮件头部信息不仅指出了是否有人欺骗了电子邮件，而且指出了这个信息的来源 采用SMTP身份验证机制使用与POP协议收取邮件时相同的用户名/密码PGP邮件加密以公钥密码学（Public Key Cryptology） 为基础的 9/19/

12、202225信息技术与工程学院Web欺骗及防范技术概念9/19/202226信息技术与工程学院口令攻击方法与对策：1、限制同一用户的失败登录次数2、限制口令最短长度，要求特权指令使用复杂的字母、数字组合。3、定期更换口令，不要将口令存放到计算机文件中 1口令暴力攻击：生成口令字典，通过程序试探口令。2窃取口令文件后解密：窃取口令文件（UNIX环境下的Passwd文件和Shadow文件） ，通过软件解密。9/19/202227信息技术与工程学院口令入侵口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动获取口令的途径有：网络监听口令猜测，暴力破解利用系统管理员的失误9/19

13、/202228信息技术与工程学院口令猜测攻击口令猜测攻击原理现行很多加密算法都单向不可逆攻击者每次从攻击字典中取出一个条目作为口令，使用相同的加密算法进行加密，然后同密文进行比对，如不同则继续下一次尝试，否则则猜测成功。口令猜测可分为远程口令破解本地口令破解9/19/202229信息技术与工程学院远程口令破解许多网络服务，都是通过账号/口令来认证需要访问该服务的用户POP3 Netbios Telnet FTP HTTP等可以远程进行穷举字典的方式来猜解口令破解效率很低，而且容易被记录9/19/202230信息技术与工程学院本地口令猜解各种操作系统以自己各自的方式存放密码文件，而大多数的加密算

14、法都比较脆弱，容易被猜解本地破解速度非常快，具体的速度取决于系统的配置在协同工作越来越发达的今天，本地口令破解可以说是“百发百中”9/19/202231信息技术与工程学院Windows口令破解技术简介在WinNT/2K系统中，使用一套较老的加密算法LAN ManagerLM散列算法存在着致命缺陷用户密码缩短到14个字符，若不足则用0 x00填补前8个字节由用户密码的前7个字符推导而来后续8个字节由密码的8-14个字符得来9/19/202232信息技术与工程学院Windows口令破解技术简介Windows系统以sam文件格式存放密码文件，有多种方式可以获得%SystemRoot%system32

15、configsam%SystemRoot%repairsam._使用pwdump3远程从注册表中导出嗅探网络中SMB报文包含的口令散列值破解工具stake的L0phcrack9/19/202233信息技术与工程学院stake L0phcrack9/19/202234信息技术与工程学院Unix系统的口令破解Unix系统的口令密文存放在/etc/passwd或/etc/shadow文件中加密算法传统加密沿用最多的是DES算法的口令加密机制为了增强DES的加密强度，引入了被称作Salt的附加手段猜测工具John The Ripper9/19/202235信息技术与工程学院候选口令产生器字典口令文件口

16、令加密口令比较输出匹配的口令9/19/202236信息技术与工程学院口令破解防御对策制定正确的密码策略，并贯彻实施密码长度，强度足够定期更换密码禁用类似12345678、computer这样的简单密码 提高人的安全意识很重要9/19/202237信息技术与工程学院Any Questions?Thank You!9/19/202238信息技术与工程学院MAC地址攻击交换机的转发原理。攻击者生成大量源地址各不相同的数据包，这些MAC地址就会充满交换机的交换地址映射表空间，则正常的数据包到达时都被洪泛出去，致使交换机的查表速度严重下降，不能继续工作。?9/19/202239信息技术与工程学院ARP欺

17、骗9/19/202240信息技术与工程学院MAC 地址:就是网卡的地址（48位），具唯一性。0080c81c2996（16进制）帧（frame）：数据链路层的数据单元，帧中有源MAC地址和目的MAC地址。ARP协议是获得对方的MAC地址，才行进行帧的封装。Arp协议厂家代号流水号9/19/202241信息技术与工程学院ARP请求：是以广播形式发送IP地址为0的计算机MAC是多少啊？ARP工作原理9/19/202242信息技术与工程学院ARP工作原理（续）ARP应答：只有IP地址符合的计算机会应答我的MAC为0080c81c2996,以单播形式9/19/202243信息技术与工程学院地址解析方法

18、查表（table lookup)： 将地址绑定信息存放在内存的一张表中，当要进行地址解析时，可以查表找到所需的结果，常用用于WAN。（集中解析）9/19/202244信息技术与工程学院ARP欺骗基本思想：由于ARP是无状态的协议，在没有请求时也可以发送应答的包。入侵者可以利用这一点，向网络上发送自己定义的包，包中包括源IP地址、目的IP地址以及硬件地址，不过它们都是伪造的数据，会修改网络上主机中的ARP高速缓存。9/19/202245信息技术与工程学院Arp缓存表9/19/202246信息技术与工程学院查看ARP高速缓存中的记录解析对象的IP地址解析所得的MAC地址此记录产生的方式9/19/2

19、02247信息技术与工程学院删除ARP高速缓存中的记录原来有4个记录删除这个记录1这个记录被删除了9/19/202248信息技术与工程学院向ARP高速缓存中增加静态记录新增的记录，注意Type是static9/19/202249信息技术与工程学院ARP欺骗举例例：主机名 IP地址 硬件地址 A IPA AAAA B IPB BBBB C IPC CCCC 说明： B是一台被入侵者控制了的主机，而A信任C。入侵者的目的就是伪装成C获得A的信任，以便获得一些无直接获得的信息等。9/19/202250信息技术与工程学院欺骗过程入侵者控制主机B向主机A发送一个ARP应答，ARP应答中包括：源IP地址（

20、IPC），源硬件地址（BBBB），目标IP地址（IPA）、目标硬件地址（AAAA），这条应答被A接受后，就被保存到A主机的ARP高速缓存中了。问题：由于C也是活动的，也有可能向A发出自己的ARP应答，将的A的ARP缓存改回正确的硬件地址。如何解决？9/19/202251信息技术与工程学院A根据ARP缓存中的缓存记录，将发往C（IPC）的数据报文，发向了B（IPB，BBBB）9/19/202252信息技术与工程学院ARP欺骗的防范MAC地址绑定，使网络中每一台计算机的IP地址与硬件地址一一对应，不可更改。使用静态ARP缓存，用手工方法更新缓存中的记录，使ARP欺骗无法进行。使用ARP服务器，使其

21、他计算机的ARP配置只接受来自ARP服务器的ARP响应。9/19/202253信息技术与工程学院ARP病毒9/19/202254信息技术与工程学院ARP病毒542526中ARP病毒54的MAC是什么？54的MAC为bb-bb-bb54的MAC为cc-cc-cc中了ARP病毒的计算机冒充网关发送ARP响应，导致其他计算机无法上Internet。9/19/202255信息技术与工程学院什么情况下表明局域网内有ARP攻击校园网登陆系统频繁掉线网速突然变慢使用ARP a命令发现网关的MAC地址不停的变换使用sniffer软件发现局域网内存在大量的ARP reply包9/19/202256信息技术与工程

22、学院目前已知的ARP病毒的传播途径通过外挂程序传播通过网页传播通过其他木马程序传播通过即时通讯软件传播（QQ、MSN）通过共享传播（网络共享、P2P软件共享）9/19/202257信息技术与工程学院ARP-防御：在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC并自我防御 未中毒而只是被攻击的电脑，防护办法如下：下载AntiArpSniffer3.zip在本机运行，在“网关地址”中输入本机网关地址，然后点击“获取网关MAC地址”按钮，再点击“自动防护”即可 9/19/202258信息技术与工程学院9/19/202259信息技术与工程学院查看本机网关地址IPCONFIG/ALL 9/

23、19/202260信息技术与工程学院作业：1.请详述你对“网络嗅探技术”的理解，及其应对方法。2.简述“MAC地址欺骗”，“ARP欺骗”，“ARP病毒”的原理。9/19/202261信息技术与工程学院拒绝服务攻击（DoS）SYN （我可以连接吗？）ACK （可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接9/19/202262信息技术与工程学院拒绝服务攻击 利用系统缺陷攻击耗尽连接攻击利用放大原理Smurf攻击利用放大系统攻击分布式拒绝服务攻击DDoS9/19/202263信息技术与工程学院2.耗尽连接攻读LAND攻击：向被攻击者发送一个个

24、源地址和目标地址都被设置成为被攻击者的地址的SYN包，导致被攻击者自己与自己建立一个空连接，直到超时。 TCP/SYN攻击：攻击者向目标主机不断发送带有虚假源地址的SYN包，目标主机发送ACK/SYN回应，因为源地址是虚假的，所以不会收到ACK回应，导致耗费大量资源等待ACK上，直止系统资源耗尽。 这些攻击都是利用系统的漏洞，因此补救的办法是升级或下载补丁 对策9/19/202264信息技术与工程学院Smurf攻击攻击者用广播的方式发送回复地址为受害者地址的ICMP请求数据包，每个收到这个数据包的主机都进行回应，大量的回复数据包发给受害者，导致受害主机崩溃。Smurf攻击原理9/19/2022

25、65信息技术与工程学院利用放大系统攻击某些类型的操作系统，在一定情况下，对一个请求所返回的信息比请求信息量大几十倍（如Macintosh），攻击者伪装成目标主机进行请求，导致大量数据流发向目标主机，加重了攻击效果。 9/19/202266信息技术与工程学院DoS攻击技术DDoS技术9/19/202267信息技术与工程学院分布式拒绝服务攻击 攻击者在客户端通过telnet之类的常用连接软件，向(master)主控端发送发送对目标主机的攻击请求命令。主控端(master)侦听接收攻击命令，并把攻击命令传到分布端，分布端是执行攻击的角色，收到命令立即发起flood攻击。 DDoS攻击原理9/19/2

26、02268信息技术与工程学院特洛伊木马木马不同于病毒，但经常被视作病毒处理，随计算机自动启动并在某一端口进行侦听；木马的实质只是一个通过端口进行通信的网络客户/服务程序特洛伊木马的种类远程控制型输出shell型信息窃取型其它类型9/19/202269信息技术与工程学院Netbus客户端程序9/19/202270信息技术与工程学院NetBus传输 NetBus使用TCP建立会话。缺省情况下用12345端口进行连接，12346端口进行数据传输跟踪NetBus的活动比较困难。可以通过检查12346端口数据来确定许多类似的程序使用固定的端口，你可以扫描整个的网络监测可疑的活动。简单方法netstat

27、-an9/19/202271信息技术与工程学院反弹型特洛伊木马可穿透防火墙，控制局域网机器服务器端主动发起连接，控制端监听80端口自动上线通知Email发送读取主页空间的某个文件网络神偷、灰鸽子、魔法控制解决方法安装防病毒软件和个人防火墙检查可疑的进程和监听端口提高安全警惕性9/19/202272信息技术与工程学院TCP/IP的每个层次都存在攻击TelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏电磁监听9/19/202273信息技术与工程学院混合型、自动的攻击 WorkstationVia EmailFile

28、 ServerWorkstationMail ServerInternet混合型攻击:蠕虫Web ServerVia Web PageWorkstationWeb ServerMail Gateway攻击的发展趋势防病毒防火墙入侵检测风险管理9/19/202274信息技术与工程学院攻击的发展趋势漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码) 混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。 主动恶意代码趋势制造方法：简单并工具化 技术特征：智能性

29、、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件.表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。受攻击未来领域即时消息：MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备9/19/202275信息技术与工程学院常见的安全防范措施9/19/202276信息技术与工程学院常用的安全防范措施物理层网络层路由交换策略VLAN划分防火墙、隔离网闸入侵检测抗拒绝服务传输加密系统层漏洞扫描系统安全加固SUS补丁安全管理应用层防病毒安全功能增强管理层独立的管理队伍统一的管理策略9/19/202277信息技术与工程学院 访问控制 认证 NAT 加密 防病毒、内容过滤 流量管理常用的安全防护措施防火墙9/19/202278信息技术与工程学院入侵检测系统 FirewallInternetServersDMZIDS AgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDS Agent9/19/202279信息技术与工程学院漏洞扫描系统Internet地方网管scanner监控中心地方网管地方网管地方网