网络攻击行为分析课件_第1页
网络攻击行为分析课件_第2页
网络攻击行为分析课件_第3页
网络攻击行为分析课件_第4页
网络攻击行为分析课件_第5页
已阅读5页,还剩39页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

网络攻击行为分析第2章网络攻击行为分析第2章基本内容网络信息安全技术与黑客攻击技术都源于同一技术核心,即网络协议和底层编程技术,不同的是怎么使用这些技术。很多软件或设备可以为网络管理和安全提供保障,但当被别有用心的人所利用时,就成了黑客工具,就象刀具,是基本生活用具,又可成为杀人凶器。我们要做到“知己知彼”,才能“百战不殆”,对黑客的攻击手段、途径、方法和工具了解得越多,越有利于保护网络和信息的安全。在介绍信息安全技术以前,本章先来分析与黑客攻击相关的知识。基本内容网络信息安全技术与黑客攻击技术都源于同一技术核心,即网络信息安全技术与黑客攻击技术都源于同一技术核心,即网络协议和底层编程技术,不同的是怎么使用这些技术。很多软件或设备可以为网络管理和安全提供保障,但当被别有用心的人所利用时,就成了黑客工具。刀,是基本生活用具,但又是杀人凶网络信息安全技术与黑客攻击技术都源于同一技术核心,即网络协议计算机网络系统所面临的威胁大体可分为两种:一是针对网络中信息的威胁;二是针对网络中设备的威胁。2.1影响信息安全的人员分析如果按威胁的对象、性质则可以细分为四类:第一类是针对硬件实体设施第二类是针对软件、数据和文档资料第三类是兼对前两者的攻击破坏第四类是计算机犯罪。计算机网络系统所面临的威胁大体可分为两种:一是针对网络中信息安全威胁的来源不可控制的自然灾害,如地震、雷击恶意攻击、违纪、违法和计算机犯罪人为的无意失误和各种各样的误操作计算机硬件系统的故障软件的“后门”和漏洞安全威胁主要来自以下几个方面:安全威胁的来源不可控制的自然灾害,如地震、雷击安全威胁主要来安全威胁的表现形式伪装非法连接非授权访问拒绝服务抵赖信息泄露业务流分析改动信息流篡改或破坏数据推断或演绎信息非法篡改程序安全威胁的表现形式伪装业务流分析实施安全威胁的人员心存不满的员工软硬件测试人员技术爱好者好奇的年青人黑客(Hacker)破坏者(Cracker)以政治或经济利益为目的的间谍实施安全威胁的人员心存不满的员工互联网上的黑色产业链互联网上的黑色产业链2.2网络攻击的层次网络攻击的途径针对端口攻击针对服务攻击针对第三方软件攻击DOS攻击针对系统攻击口令攻击欺骗2.2网络攻击的层次网络攻击的途径针对端口攻击网络攻击的层次网络攻击的层次第一层攻击:第一层攻击基于应用层的操作,这些攻击的目的只是为了干扰目标的正常工作。第二层攻击:第二层攻击指本地用户获得不应获得的文件(或目录)读权限。第三层攻击:在第二层的基础上发展成为使用户获得不应获得的文件(或目录)写权限。第四层攻击:第四层攻击主要指外部用户获得访问内部文件的权利。第五层攻击:第五层攻击指非授权用户获得特权文件的写权限。第六层攻击:第六层攻击指非授权用户获得系统管理员的权限或根权限。网络攻击的层次网络攻击的层次第一层攻击:第一层攻击基于应用2.3网络攻击的一般步骤(1)隐藏IP(2)踩点扫描(3)获得系统或管理员权限(4)种植后门(5)在网络中隐身2.3网络攻击的一般步骤(1)隐藏IP2.4网络入侵技术任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击。网络攻击实际上是针对安全策略的违规行为、针对授权的滥用行为与针对正常行为特征的异常行为的总和。2.4网络入侵技术任何以干扰、破坏网络系统为目的的非授权行网站篡改(占45.91%)垃圾邮件(占28.49%)蠕虫(占6.31%)网页恶意代码(占0.51%)木马(占4.01%)网络仿冒(占4.97%)拒绝服务攻击(占0.58%)主机入侵(占1.14%)网络主要攻击手段网站篡改(占45.91%)网络主要攻击手段网络入侵技术----漏洞攻击漏洞攻击:利用软件或系统存在的缺陷实施攻击。漏洞是指硬件、软件或策略上存在的的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。

缓冲区溢出漏洞攻击:通过向程序的缓冲区写入超过其长度的数据,造成溢出,从而破坏程序的堆栈,转而执行其它的指令,达到攻击的目的。RPC漏洞、SMB漏洞、打印漏洞网络入侵技术----漏洞攻击漏洞攻击:利用软件或系统存在的缺缓冲区溢出Bufferoverflowattack缓冲区溢出攻击缓冲区溢出漏洞大量存在于各种软件中利用缓冲区溢出的攻击,会导致系统当机,获得系统特权等严重后果。最早的攻击1988年UNIX下的Morrisworm最近的攻击Codered利用IIS漏洞SQLServerWorm利用SQLServer漏洞Blaster利用RPC漏洞Sasser利用LSASS漏洞缓冲区溢出Bufferoverflowattack缓向缓冲区写入超过缓冲区长度的内容,造成缓冲区溢出,破坏程序的堆栈,使程序转而执行其他的指令,达到攻击的目的。原因:程序中缺少错误检测:voidfunc(char*str){ charbuf[16];strcpy(buf,str);}如果str的内容多于16个非0字符,就会造成buf的溢出,使程序出错。向缓冲区写入超过缓冲区长度的内容,造成缓冲区溢出,破坏程序的类似函数有strcat、sprintf、vsprintf、gets、scanf等一般溢出会造成程序读/写或执行非法内存的数据,引发segmentationfault异常退出.如果在一个suid程序中特意构造内容,可以有目的的执行程序,如/bin/sh,得到root权限。类似函数有strcat、sprintf、vsprintf、g类似函数有strcat、sprintf、vsprintf、gets、scanf等一般溢出会造成程序读/写或执行非法内存的数据,引发segmentationfault异常退出.如果在一个suid程序中特意构造内容,可以有目的的执行程序,如/bin/sh,得到root权限。类似函数有strcat、sprintf、vsprintf、g在进程的地址空间安排适当的代码通过适当的初始化寄存器和内存,跳转到以上代码段执行利用进程中存在的代码传递一个适当的参数如程序中有exec(arg),只要把arg指向“/bin/sh”就可以了植入法把指令序列放到缓冲区中堆、栈、数据段都可以存放攻击代码,最常见的是利用栈在进程的地址空间安排适当的代码利用进程中存在的代码拒绝服务攻击(DoS):通过各种手段来消耗网络带宽和系统资源,或者攻击系统缺陷,使系统的正常服务陷于瘫痪状态,不能对正常用户进行服务,从而实现拒绝正常用户的服务访问。分布式拒绝服务攻击:DDoS,攻击规模更大,危害更严重。实例:SYN-Flood洪水攻击,Land攻击,Smurf攻击,UDP-Flood攻击,WinNuke攻击(139)等。网络入侵技术----拒绝服务攻击拒绝服务攻击(DoS):通过各种手段来消耗网络带宽和系统资源典型的拒绝服务攻击有如下两种形式:资源耗尽和资源过载。当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击(例如,对已经满载的Web服务器进行过多的请求。)拒绝服务攻击还有可能是由于软件的弱点或者对程序的错误配置造成的。区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请求发起者对资源的请求是否过份,从而使得其他的用户无法享用该服务资源。典型的拒绝服务攻击有如下两种形式:资源耗尽和资源过载。以下的两种情况最容易导致拒绝服务攻击:由于程序员对程序错误的编制,导致系统不停的建立进程,最终耗尽资源,只能重新启动机器。不同的系统平台都会采取某些方法可以防止一些特殊的用户来占用过多的系统资源,我们也建议尽量采用资源管理的方式来减轻这种安全威胁。还有一种情况是由磁盘存储空间引起的。假如一个用户有权利存储大量的文件的话,他就有可能只为系统留下很小的空间用来存储日志文件等系统信息。这是一种不良的操作习惯,会给系统带来隐患。这种情况下应该对系统配额作出考虑。

网络攻击行为分析课件PingofDeath:发送长度超过65535字节的ICMPEchoRequest数据包导致目标机TCP/IP协议栈崩溃,系统死机或重启。Teardrop:发送特别构造的IP数据包,导致目标机TCP/IP协议栈崩溃,系统死锁。Synflooding:发送大量的SYN包。Land:发送TCPSYN包,包的SRC/DSTIP相同,SPORT/DPORT相同,导致目标机TCP/IP协议栈崩溃,系统死机或失去响应。Winnuke:发送特别构造的TCP包,使得Windows机器蓝屏。Smurf:攻击者冒充服务器向一个网段的广播地址发送ICMPecho包,整个网段的所有系统都向此服务器回应icmpreply包。PingofDeath:发送长度超过65535字节的IC拒绝服务攻击方式七、拒绝服务攻击1)死亡之ping(pingofdeath)

由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方宕机。拒绝服务攻击方式七、拒绝服务攻击1)死亡之ping(pi拒绝服务攻击方式七、拒绝服务攻击2)SYNFlooding攻击对WindowsNT攻击很有效使用一个伪装的地址向目标计算机发送连接请求叫做IP欺骗技术。当目标计算机收到这样的请求后,就会使用一些资源来为新的连接提供服务,接着回复请求一个肯定答复(叫做SYN-ACK)。由于SYN-ACK是返回到一个伪装的地址,没有任何响应。于是目标计算机将继续设法发送SYN-ACK。一些系统都有缺省的回复次数和超时时间,只有回复一定的次量、或者超时时,占用的资源才会释放。例:WindowsNT3.5和40中缺省设置为可重复发送SYN-ACK答复5次。要等待3+6+12+24+48+96=189秒之后,才释放资源。拒绝服务攻击方式七、拒绝服务攻击2)SYNFloodingSYN-Flooding攻击示意图SYN-Flooding攻击示意图拒绝服务攻击方式七、拒绝服务攻击3)Land攻击在Land攻击中,一个特别打造的SYN包它的源地址和目标地址都被设置成某一个服务器地址,此举将导致接收服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。拒绝服务攻击方式七、拒绝服务攻击3)Land攻击拒绝服务攻击方式七、拒绝服务攻击4)Smurf攻击

smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(Ping)数据包来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比pingofdeath洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。拒绝服务攻击方式七、拒绝服务攻击4)Smurf攻击Smurf攻击示意图

Smurf攻击示意图拒绝服务攻击方式七、拒绝服务攻击5)Fraggle攻击Fraggle攻击与Smurf攻击类似,但它使用的不是ICMP,而是UDPEcho。可以在防火墙上过滤掉UDP应答消息来防范。拒绝服务攻击方式七、拒绝服务攻击5)Fraggle攻击入侵者常常采用下面几种方法获取用户的密码口令:弱口令扫描Sniffer密码嗅探暴力破解社会工程学(即通过欺诈手段获取)木马程序或键盘记录程序。。。。。。网络入侵技术----口令攻击入侵者常常采用下面几种方法获取用户的密码口令:网络入侵技术-破解PDF密码破解PDF密码破解OF密码破解OF密码破解系统密码破解系统密码一个开放的网络端口就是一条与计算机进行通信的信道,对网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息,从而为下一步的入侵做好准备。扫描是采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查,利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。典型的扫描工具包括安全焦点的X-Scan、小榕的流光软件,简单的还有IpScan、SuperScan等,商业化的产品如启明星辰的天镜系统具有更完整的功能。网络入侵技术----扫描攻击一个开放的网络端口就是一条与计算机进行通信的信道,对网络端口网络嗅探与协议分析是一种被动的侦察手段,使用嗅探监听软件,对网络中的数据进行分析,获取可用的信息。网络监听可以使用专用的协议分析设备实现,也可使用SnifferPro4.7、TCPDump等软件实现。SnifferPro是最常用的嗅探分析软件,它可以实现数据包捕获、数据包统计、过滤数据包、数据包解码等功能,功能解码可以获取很多有用的信息,如用户名、密码及数据包内容。网络入侵技术----嗅探与协议分析网络嗅探与协议分析是一种被动的侦察手段,使用嗅探监听软件,对协议欺骗攻击就是假冒通过认证骗取对方信任,从而获取所需信息,进而实现入侵的攻击行为。常见的协议欺骗有以下几种方式:IP欺骗:对抗基于IP地址的验证。ARP欺骗:它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。ARP欺骗通过伪造ARP与IP的信息或对应关系实现。NC软件就能实现ARP欺骗。TCP会话劫持:与IP欺骗类似,通过嗅探并向网络注入额外的信息实现TCP连接参与。如IPwatcher就是一种有效的会话劫持工具。网络入侵技术----协议欺骗攻击协议欺骗攻击就是假冒通过认证骗取对方信任,从而获取所需信息,IP欺骗定义:利用主机之间的正常信任关系发动的攻击。信任关系:在Unix系统中,rlogin,rsh,rcp等远程调用命令的信任基础是IP地址,若地址验证通过,则无须口令验证就能远程登录。修改$HOME/.rhosts文件内容,可建立两台机器之间的信任关系。当/etc/hosts.equiv中出现一个“+”或$HOME/.rhosts中出现“++”时,表明任意地址的主机无须口令可直接用r命令登录此主机。IP欺骗定义:利用主机之间的正常信任关系发动的攻击。IP欺骗过程1)发现攻击目标A和B具有伙伴信任关系。假设黑客想冒充B去和A对话。2)要使目标B瘫痪(如用拒绝服务攻击),避免露馅3)采样A发出的TCP序列号,反复尝试猜测它的初始序列号ISN。ISN为32位计数器,无连接时9.32小时复位一次。预测ISN考虑因素:ISN每秒增加128000;每次连接增加64000;A和B之间的往返时间;IP欺骗过程1)发现攻击目标A和B具有伙伴信任关系。IP欺骗过程4)将源地址伪装成B机地址,发送带有SYN标志的数据段请求连接。5)然后等待A发送SYN+ACK给瘫痪的B,因为这时黑客看不到这个包。6)再次伪装成B向A发送A

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论