网络信息安全技术课件 第12章 常见的网络攻防技术

第12章常见的网络攻防技术概述缓冲区溢出攻击及防御ARP欺骗攻击及防御DDoS攻击及防御常见的web安全威胁及防御12.1概述攻击类型被动攻击被动攻击中攻击者不对数据信息做任何修改，截取/窃听是指在未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听、流量分析、破解弱加密的数据流等攻击方式。攻击类型主动攻击主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和终端（拒绝服务）。网络攻击五部曲（1）隐藏己方位置（2）网络信息收集（踩点->扫描->查点）（3）获取访问权限（4）种植后门（5）消除痕迹12.2缓冲区溢出攻击及防御1.缓冲区溢出缓冲区溢出是指当计算机向缓冲区内填充数据时，超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。如：Voidfunction(char*str){charbuffer[16]；strcpy(buffer，str)；}1.缓冲区溢出缓冲区溢出的原理是由于字符串处理函数(gets，strcpy等)没有对数组的越界监视和限制，结果覆盖了老堆栈数据。在C语言中，指针和数组越界不保护是Bufferoverflow的根源，而且，在C语言标准库中就有许多能提供溢出的函数，如strcat()，strcpy()，sprintf()，vsprintf()，bcopy()，gets()和scanf()。1.缓冲区溢出向一个有限空间的缓冲区中置入过长的字符串可能会带来两种后果：一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另一种后果是利用这种漏洞可以执行任意指令，甚至可以取得系统特权，由此而引发了许多种攻击方法。2.缓冲区溢出攻击缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动，由于填充数据越界而导致程序原有流程的改变，黑客借此精心构造填充数据，让程序转而执行特殊的代码，最终获得系统的控制权。2.缓冲区溢出攻击缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能，这样可以使得攻击者取得程序的控制权，如果该程序有足够的控制权，那么整个就被控制了。2.缓冲区溢出攻击攻击者为实现缓冲区溢出攻击，必须达到两个目标：（1）在程序的地址空间里安排适当的代码（2）通过适当的初始化寄存器和内存，让程序跳转到入侵者安排的地址空间执行。2.缓冲区溢出攻击对缓冲区溢出攻击进行分类，分为：（1）在程序的地址空间里安排适当的代码的方法植入法利用已经存在的代码（2）控制程序转移到攻击代码的方法活动记录函数指针长跳转缓冲区3.缓冲区溢出攻击的防范方法（1）非执行的缓冲区（2）编写正确的代码（3）数组边界检查（4）程序指针完整性检查12.3ARP欺骗攻击及防御1.ARP的工作过程ARP（AddressResolutionProtocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，对应于数据链路层，负责将某个IP地址解析成对应的MAC地址。1.ARP的工作过程主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；主机收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。1.ARP的工作过程当主机A要与主机B通信时，地址解析协议可以将主机B的IP地址（）解析成主机B的MAC地址，以下为工作流程：第1步：根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。1.ARP的工作过程第2步：如果主机A在ARP缓存中没有找到映射，它将询问的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。1.ARP的工作过程第3步：主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。第4步：主机B将包含其MAC地址的ARP回复消息直接发送回主机A。1.ARP的工作过程第5步：当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。2.ARP欺骗攻击地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。2.ARP欺骗攻击ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。2.ARP欺骗攻击ARP欺骗存在两种情况：一种是欺骗主机作为“中间人”，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网。3.ARP攻击的防御静态绑定对每台主机进行IP和MAC地址静态绑定。通过命令，arp-s可以实现“arp–sIPMAC地址”。例如：“arp–sAA-AA-AA-AA-AA-AA”。防护软件12.4DDoS攻击及防御1.DoS攻击DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。1.DoS攻击DoS具有代表性的攻击手段有：（1）死亡之ping(pingofdeath)（2）泪滴（3）UDP泛洪(UDPflood)（4）SYN泛洪(SYNflood)（5）Land（LandAttack）攻击（6）IP欺骗2.DDoS攻击分布式拒绝服务(DDoS:DistributedDenialofService)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。2.DDoS攻击2.DDoS攻击DDoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。这种攻击方式可分为以下几种：通过使网络过载来干扰甚至阻断正常的网络通讯；通过向服务器提交大量请求，使服务器超负荷；阻断某一用户访问服务器；阻断某服务与特定系统或个人的通讯。3.DDoS攻击的防御（1）主机设置（2）网络设置（3）Windows系统防御12.5常见的web安全威胁及防御1.注入攻击漏洞SQL注入是最典型的注入攻击漏洞，指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作。造成SQL注入攻击的主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。1.注入攻击漏洞1.注入攻击漏洞（1）SQL注入实例系统管理员登录的sql语句执行过程：Stringquery=”SELECT*FROMusersWHEREusername=’”+用户名变量+”’ANDpassword=’”+密码变量+”’”;ResultSetrs=stmt.execute(query);1.注入攻击漏洞SQL注入后的SQL执行语句：Select*fromuserswhereusername=’’or1=1or’’andpassword=’123’;1.注入攻击漏洞（2）SQL注入攻击的防范措施使用类型安全(type-safe)的参数编码机制；凡是来自外部的用户输入，必须进行完备检查；将动态SQL语句替换为存储过程、预编译SQL或ADO 命令对象；加强SQL数据库服务器的配置与连接。2.失效的身份认证当出现以下情况时，存在失效的身份认证问题：会话ID暴露在URL里；会话ID没有超时限制，用户会话或身份验证令牌（特别是单点登录令牌）在用户注销时没有失效；密码、会话ID和其他认证凭据使用未加密链接传输等。2.失效的身份认证典型案例：

某机票预订应用程序支持URL重写，把当前用户的会话ID放在URL中：/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii。

该网站一个经过认证的用户希望让其他人知道这个机票打折信息。他将上面链接通过邮件发送给其他用户，并不知道已经泄露了自己会话ID。当其他用户使用上面的链接时，可以轻而易举地使用他的会话和信用卡。3.敏感信息泄露许多Web应用程序没有正确保护敏感数据，如信用卡、身份证ID和身份验证凭据等。攻击者可能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取或其他犯罪。敏感数据需额外的保护，比如在存放或在传输过程中进行加密，以及在与浏览器交换时进行特殊的预防措施。典型案例：

一个网站上所有需要身份验证的网页都没有使用SSL加密。攻击者只需要监控网络数据