常见网络攻击与防范课件

常见网络攻击与防范提纲常见的网络攻击方法常用的安全防范措施常见的网络攻击方法19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务www攻击工具攻击者入侵者水平攻击手法半开放隐蔽扫描控制台入侵检测网络管理DDOS攻击2002高入侵技术的发展采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的入侵系统的常用步骤端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途较高明的入侵步骤获取网络服务的端口作为入侵通道。2.端口扫瞄1.TCPConnect() 2.TCPSYN3.TCPFIN 4.IP段扫瞄5.TCP反向Ident扫瞄 6.FTP代理扫瞄7.UDPICMP不到达扫瞄 7种扫瞄类型：NSS（网络安全扫描器）。Strobe(超级优化TCP端口检测程序)，可记录指定机器上的所有开放端口，快速识别指定机器上运行的服务，提示可以被攻击的服务。SATAN(安全管理员的网络分析工具)，SATAN用于扫描远程主机，发现漏洞，包括FTPD漏洞和可写的FTP目录扫瞄软件举例：3.Sniffer扫瞄原理：sniffer类的软件能把本地网卡设置成工作在“混杂”（promiscuous）方式，使该网卡能接收所有数据帧，从而获取别人的口令、金融帐号或其他敏感机密信息等。方法与对策：1、用交换机替换HUB，交换机是两两接通，比普通HUB安全。2、使用检测的软件，如CPMAntisniff等，检测网络中是否有网卡工作在混杂状态（基本原理是发送本网中并不存在的MAC地址，看看是否有回应，如有回应，则说明有计算机网卡工作在混杂模式。）。

网络监听及防范技术网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法间接性

利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏隐蔽性

网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信网络监听及防范技术

——共享式局域网下共享式局域网采用的是广播信道，每一台主机所发出的帧都会被全网内所有主机接收到一般网卡具有以下四种工作模式：广播模式、多播模式、直接模式和混杂模式网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的和广播的帧网络监听及防范技术

——共享式局域网下使用MAC地址来确定数据包的流向

若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序共享式网络下窃听就使用网卡的混杂模式

网络监听及防范技术

——共享式局域网下网络监听及防范技术

——交换式局域网下在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识ARP协议实现<IP—MAC>的配对寻址ARP请求包是以广播的形式发出，正常情况下只有正确IP地址与的主机才会发出ARP响应包，告知查询主机自己的MAC地址。局域网中每台主机都维护着一张ARP表，其中存放着<IP—MAC>地址对。网络监听及防范技术

——交换式局域网下ARP改向的中间人窃听A发往B：(MACb，MACa， PROTOCOL，DATA)B发往A：(MACa，MACb， PROTOCOL，DATA)A发往B：(MACx，MACa， PROTOCOL，DATA)B发往A：(MACx，MACb， PROTOCOL，DATA)网络监听及防范技术

——交换式局域网下X分别向A和B发送ARP包，促使其修改ARP表主机A的ARP表中B为<IPb—MACx>主机B的ARP表中A为<IPa—MACx>X成为主机A和主机B之间的“中间人”网络监听及防范技术

——网络窃听的被动防范

分割网段

细化网络会使得局域网中被窃听的可能性减小

使用静态ARP表

手工输入<IP—MAC>地址对

采用第三层交换方式

取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换加密

SSH、SSL、IPSec网络监听及防范技术

——网络窃听的主动防范交换式局域网下的主动防范措施监听ARP数据包

监听通过交换机或者网关的所有ARP数据包，与预先建立的数据库相比较

定期探测数据包传送路径

使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查，并与备份的合法路径作比较

IP欺骗及防范技术

——会话劫持一般欺骗会话劫持IP欺骗及防范技术

——会话劫持会话劫持攻击的基本步骤发现攻击目标确认动态会话猜测序列号

关键一步，技术难点使被冒充主机下线

伪造FIN包，拒绝服务攻击接管会话IP欺骗及防范技术——防范技术没有有效的办法可以从根本上防范会话劫持攻击所有会话都加密保护——实现困难使用安全协议（SSH、VPN）——保护敏感会话电子邮件欺骗及防范技术

——案例2003年6月初，一些在中国工商银行进行过网上银行注册的客户，收到了一封来自网络管理员的电子邮件，宣称由于网络银行系统升级，要求客户重新填写用户名和密码。这一举动随后被工行工作人员发现，经证实是不法分子冒用网站公开信箱，企图窃取客户的资料。虽然没有造成多大的损失，但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波，刺激人们针对信息安全问题展开了更加深切的讨论。

电子邮件欺骗及防范技术

——原理发送邮件使用SMTP（即简单邮件传输协议）SMTP协议的致命缺陷：过于信任原则SMTP假设的依据是：不怀疑邮件的使用者的身份和意图伪装成为他人身份向受害者发送邮件可以使用电子邮件客户端软件，也可以远程登录到25端口发送欺骗邮件电子邮件欺骗及防范技术

——防范查看电子邮件头部信息

不仅指出了是否有人欺骗了电子邮件，而且指出了这个信息的来源采用SMTP身份验证机制

使用与POP协议收取邮件时相同的用户名/密码PGP邮件加密

以公钥密码学（PublicKeyCryptology）为基础的

Web欺骗及防范技术

——概念口令攻击方法与对策：1、限制同一用户的失败登录次数2、限制口令最短长度，要求特权指令使用复杂的字母、数字组合。3、定期更换口令，不要将口令存放到计算机文件中1口令暴力攻击：生成口令字典，通过程序试探口令。2窃取口令文件后解密：窃取口令文件（UNIX环境下的Passwd文件和Shadow文件），通过软件解密。MAC地址攻击交换机的转发原理。攻击者生成大量源地址各不相同的数据包，这些MAC地址就会充满交换机的交换地址映射表空间，则正常的数据包到达时都被洪泛出去，致使交换机的查表速度严重下降，不能继续工作。?ARP欺骗MAC地址:就是网卡的地址（48位），具唯一性。0080c81c2996（16进制）帧（frame）：数据链路层的数据单元，帧中有源MAC地址和目的MAC地址。ARP协议是获得对方的MAC地址，才行进行帧的封装。Arp协议厂家代号流水号ARP请求：是以广播形式发送IP地址为0的计算机MAC是多少啊？ARP工作原理ARP工作原理（续）ARP应答：只有IP地址符合的计算机会应答我的MAC为0080c81c2996,以单播形式地址解析方法查表（tablelookup)：将地址绑定信息存放在内存的一张表中，当要进行地址解析时，可以查表找到所需的结果，常用用于WAN。（集中解析）ARP欺骗基本思想：由于ARP是无状态的协议，在没有请求时也可以发送应答的包。入侵者可以利用这一点，向网络上发送自己定义的包，包中包括源IP地址、目的IP地址以及硬件地址，不过它们都是伪造的数据，会修改网络上主机中的ARP高速缓存。Arp缓存表查看ARP高速缓存中的记录解析对象的IP地址解析所得的MAC地址此记录产生的方式删除ARP高速缓存中的记录原来有4个记录删除这个记录1这个记录被删除了向ARP高速缓存中增加静态记录新增的记录，注意Type是staticARP欺骗举例例：主机名IP地址硬件地址AIPAAAAAB IPBBBBBCIPCCCCC说明：B是一台被入侵者控制了的主机，而A信任C。入侵者的目的就是伪装成C获得A的信任，以便获得一些无直接获得的信息等。欺骗过程入侵者控制主机B向主机A发送一个ARP应答，ARP应答中包括：源IP地址（IPC），源硬件地址（BBBB），目标IP地址（IPA）、目标硬件地址（AAAA），这条应答被A接受后，就被保存到A主机的ARP高速缓存中了。问题：由于C也是活动的，也有可能向A发出自己的ARP应答，将的A的ARP缓存改回正确的硬件地址。如何解决？A根据ARP缓存中的缓存记录，将发往C（IPC）的数据报文，发向了B（IPB，BBBB）ARP欺骗的防范MAC地址绑定，使网络中每一台计算机的IP地址与硬件地址一一对应，不可更改。使用静态ARP缓存，用手工方法更新缓存中的记录，使ARP欺骗无法进行。使用ARP服务器，使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。ARP病毒ARP病毒542526中ARP病毒54的MAC是什么？54的MAC为bb-bb-bb54的MAC为cc-cc-cc中了ARP病毒的计算机冒充网关发送ARP响应，导致其他计算机无法上Internet。什么情况下表明局域网内有ARP攻击校园网登陆系统频繁掉线网速突然变慢使用ARP–a命令发现网关的MAC地址不停的变换使用sniffer软件发现局域网内存在大量的ARPreply包目前已知的ARP病毒的传播途径通过外挂程序传播通过网页传播通过其他木马程序传播通过即时通讯软件传播（QQ、MSN）通过共享传播（网络共享、P2P软件共享）ARP-防御：

在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC并自我防御

未中毒而只是被攻击的电脑，防护办法如下：下载AntiArpSniffer3.zip在本机运行，在“网关地址”中输入本机网关地址，然后点击“获取网关MAC地址”按钮，再点击“自动防护”即可

查看本机网关地址IPCONFIG/ALL

作业：

1.请详述你对“网络嗅探技术”的理解，及其应对方法。

2.简述“MAC地址欺骗”，“ARP欺骗”，“ARP病毒”的原理。拒绝服务攻击（DoS）SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接拒绝服务攻击利用系统缺陷攻击耗尽连接攻击利用放大原理Smurf攻击利用放大系统攻击分布式拒绝服务攻击DDoS2.耗尽连接攻读LAND攻击：向被攻击者发送一个个源地址和目标地址都被设置成为被攻击者的地址的SYN包，导致被攻击者自己与自己建立一个空连接，直到超时。TCP/SYN攻击：攻击者向目标主机不断发送带有虚假源地址的SYN包，目标主机发送ACK/SYN回应，因为源地址是虚假的，所以不会收到ACK回应，导致耗费大量资源等待ACK上，直止系统资源耗尽。

这些攻击都是利用系统的漏洞，因此补救的办法是升级或下载补丁

对策Smurf攻击攻击者用广播的方式发送回复地址为受害者地址的ICMP请求数据包，每个收到这个数据包的主机都进行回应，大量的回复数据包发给受害者，导致受害主机崩溃。Smurf攻击原理利用放大系统攻击

某些类型的操作系统，在一定情况下，对一个请求所返回的信息比请求信息量大几十倍（如Macintosh），攻击者伪装成目标主机进行请求，导致大量数据流发向目标主机，加重了攻击效果。

DoS攻击技术——DDoS技术分布式拒绝服务攻击攻击者在客户端通过telnet之类的常用连接软件，向(master)主控端发送发送对目标主机的攻击请求命令。主控端(master)侦听接收攻击命令，并把攻击命令传到分布端，分布端是执行攻击的角色，收到命令立即发起flood攻击。DDoS攻击原理特洛伊木马木马不同于病毒，但经常被视作病毒处理，随计算机自动启动并在某一端口进行侦听；木马的实质只是一个通过端口进行通信的网络客户/服务程序特洛伊木马的种类远程控制型输出shell型信息窃取型其它类型Netbus客户端程序NetBus传输NetBus使用TCP建立会话。缺省情况下用12345端口进行连接，12346端口进行数据传输跟踪NetBus的活动比较困难。可以通过检查12346端口数据来确定许多类似的程序使用固定的端口，你可以扫描整个的网络监测可疑的活动。简单方法netstat-an反弹型特洛伊木马可穿透防火墙，控制局域网机器服务器端主动发起连接，控制端监听80端口自动上线通知Email发送读取主页空间的某个文件网络神偷、灰鸽子、魔法控制解决方法安装防病毒软件和个人防火墙检查可疑的进程和监听端口提高安全警惕性TCP/IP的每个层次都存在攻击TelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏电磁监听混合型、自动的攻击

WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻击:蠕虫WebServerViaWebPageWorkstationWebServerMailGateway攻击的发展趋势防病毒防火墙入侵检测风险管理攻击的发展趋势漏洞趋势严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码)混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和Internet漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。主动恶意代码趋势制造方法：简单并工具化技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件.表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。受攻击未来领域即时消息：MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备常见的安全防范措施常用的安全防范措施物理层网络层路由交换策略VLAN划分防火墙、隔离网闸入侵检测抗拒绝服务传输加密系统层漏洞扫描系统安全加固SUS补丁安全管理应用层防病毒安全功能增强管理层独立的管理队伍统一的管理策略

访问控制

认证

NAT

加密

防病毒、内容过滤流量管理常用的安全防护措施－防火墙入侵检测系统Fire