网络空间安全导论 课件 第4章 黑客攻防剖析

网络空间安全导论第四章

黑客攻防剖析目录CONTENTS02黑客攻击的分类03黑客攻击的手段和方法04黑客攻击软件05黑客攻击防范01黑客攻防概述01黑客攻防概述PRAT01黑客与骇客1.1黑客起源于20世纪50年代美国著名高校的技术社群，这些社群成员智力非凡、技术高超、精力充沛，热衷于解决一道道棘手的计算机网络难题。但并非所有人都能恪守黑客文化的信条，专注于技术的探索，恶意的计算机网络破坏者、信息系统的窃密者层出不穷，人们把这部分主观上有恶意企图的人称为“骇客（Cracker）”或“破坏者”，试图区别于黑客，同时诞生了诸多的黑客分类方法。黑客的分类1.2在一般情况下，可以将黑客分成3类：白帽、灰帽和黑帽。白帽：创新者，力求设计新系统，具有打破常规、精研技术和勇于创新的精神，追求“没有最好，只有更好”。灰帽：破解者，致力于破解已有系统，发现已有系统的问题和漏洞，突破极限的禁制，能够展现自我，追求自由，并为人民服务。黑帽：入侵者，追求随意使用资源，进行恶意破坏，散播蠕虫、木马等病毒，开展商业间谍活动，信仰“人不为己，天诛地灭”。黑客实施攻击的目的1.3黑客实施攻击的目的概括起来有两种：其一是为了得到物质利益；其二是为了满足精神需求，具体表现形式如下：好奇心：只是对计算机及因特网感到好奇，想探究其工作原理。个人声誉：破坏具有高价值的目标提高自己在黑客群体中的可信度及知名度。智力挑战：为了挑战自己的智力极限或向他人证明自己的能力。窃取情报：在网络上监视个人、企业及竞争对手的活动信息及数据文件。政治目的：敌对国之间利用网络开展破坏活动、个人或组织因对政府不满而开展破坏活动等。黑客行为的发展趋势1.4黑客行为主要有3个方面的发展趋势：手段高明化：黑客界已经意识到单靠一个人的力量远远不够，逐步形成了一个团体，利用网络进行交流和团体攻击，还会分享经验和自己编写的工具。活动频繁化：做一名黑客已经不再需要掌握大量的计算机和网络知识，学会使用几种黑客工具，就可以在互联网上开展攻击活动。黑客工具大众化是黑客活动频繁化的主要原因。动机复杂化：黑客的动机已经不再局限于追求金钱和刺激，开始和国际的政治变化、经济变化紧密地联系在一起。黑客精神1.5要成为一名优秀的黑客，需要具备4种基本素质：自由精神（又称免费精神）：要有一种奉献精神，将自己的心得和编写的工具与其他黑客共享。探索与创新精神：探索程序与系统的漏洞，在发现问题的同时会提出解决问题的方法。反传统精神：找出系统漏洞，并策划如何利用该漏洞实施攻击，这是黑客永恒的工作主题。而所有系统在没有被发现漏洞之前，都号称是安全的。合作精神：一次成功的入侵和攻击单靠个人的力量已经没有办法完成了互联网为不同国家和地区的黑客提供了交流合作的平台。02黑客攻击的分类PRAT02基于攻击方式进行分类2.1基于攻击方式，可将黑客攻击分为两类：主动攻击：主动攻击意在篡改或伪造信息，或者改变系统的状态和操作。主动攻击主要威胁信息的完整性、可用性和真实性，包含攻击者访问其所需信息的故意行为。常见的主动攻击包括DoS攻击、信息篡改、资源盗用、欺骗等被动攻击：被动攻击意在获取传输的信息，主要攻击行为是收集信息而不是访问，不会对信息做任何改动。被动攻击主要威胁信息的机密性，合法用户丝毫不会觉察到这种攻击行为。被动攻击的特征是对传输过程进行窃听和监测。常见的被动攻击包括信息内容的泄露和流量分析等。按照TCP/IP层次进行分类2.2按照TCP/IP层次，可以将黑客攻击4类：针对数据链路层的攻击：ARP欺骗和伪装属于该层次上的攻击行为。针对网络层的攻击：Smurf攻击、IP碎片攻击、ICMP路由欺骗等属于该层次上的攻击行为。针对传输层的攻击：Teardrop攻击、Land攻击、SYN洪攻击、TCP序列号欺骗和攻击、会话劫持和中间人攻击等属于该层次上的攻击行为。针对应用层的攻击：DNS欺骗和窃取属于该层次上的攻击行为。03黑客攻击的手段和方法PRAT03黑客攻击的手段3.1一些常见的黑客攻击手段如下。窃取信息：黑客会利用各种可能的合法或不合法手段窃取系统中的信息资源和敏感信息。篡改：指对合法用户的通信信息进行修改或改变信息的顺序。伪装：指一个实体冒充另一个实体。重放：指将获得的信息再次发送，以期望获得合法用户的权益拒绝服务：指阻止对信息或其他资源的合法访问。流量分析。流量分析是指先对系统进行长期监听，利用统计分析的方法判断通信的性质。黑客攻击的方法3.2黑客的攻击思路与策略分为3个阶段：预攻击阶段、攻击阶段和后攻击阶段，如图所示。其中，预攻击阶段主要进行信息收集，包括一些常规的信息获取方式，如端口扫描、漏洞扫描、搜索引擎、社会工程学等；攻击阶段主要采用缓冲区溢出、口令猜测、应用攻击技术等手段；后攻击阶段主要完成释放木马、破解密码、隐身、清除痕迹等工作。黑客攻击的方法3.2尽管黑客攻击系统的技能有高低之分，手法也多种多样，但他们对目标系统实施攻击的流程大致相同，具体可归纳为9步：踩点、扫描、查点、获取访问权限、提升权限、窃取、掩盖踪迹、创建后门，如表所示：04黑客攻击软件PRAT04黑客攻击软件的分类4.1按用途可分为以下几类：信息收集类木马与蠕虫类洪水类密码破解类伪装类防范工具类按性质可分为以下几类：扫描类远程监控类病毒和蠕虫系统攻击和口令破解类监听类常用的黑客攻击软件4.2一些常用的黑客攻击软件UNIX漏洞扫描工具Nessus网络嗅探工具Wireshark开源IDS工具Snort网络瑞士军刀Netcat网络探测工具Hping2无线嗅探器KismetWindows平台上的端口扫描器SuperScanLinux核心数据包过滤器/防火墙Netfilter......05黑客攻击防范PRAT05黑客攻击防范技术5.1网络访问控制技术:网络访问控制技术是网络安全防范和保护的核心，它的主要任务是保证网络资源不被非法访问和使用。访问控制规定了主体对客体的访问限制，并在身份识别的基础上，根据用户身份对提出资源访问的请求加以控制。网络访问控制技术是对网络资源进行保护的重要措施，也是计算机系统中最重要和最基础的安全机制。黑客攻击防范技术5.1防火墙技术：防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域之间通信的必经之路。它能根据企业或组织制定的有关安全策略，对进出网络的访问行为进行严格控制，具体控制方式包括允许、拒绝、监视、记录等。黑客攻击防范技术5.1数据加密技术：数据加密技术要求只有在指定的用户或网络环境下才能解密而获得原来的数据，这就需要给数据发送方和接收方一些特殊的信息用于加/解密，这就是所谓的密钥。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换受密钥控制。常用的数据加密技术有对称加密技术和非对称加密技术。黑客攻击防范技术5.1入侵检测技术：入侵检测技术是对传统安全产品的合理补充，不仅能够帮助系统应对黑客攻击，还能够扩展系统管理员的安全管理能力，包括安全审计、监视、进攻识别和响应，有助于提高信息安全基础结构的完整性。黑客攻击防范技术5.1网络安全审计：网络安全审计是对企业网络安全的脆弱性进行测试、评估、分析的过程。它是在特定的网络环境下，为了保障网络和数据不受来自外网和内网用户的入侵和破坏，运用各种技术手段实时收集和监控网络环境各组成部分的系统状态与安全事件，以便集中报警、分析、处理的一种技术手段。它属于一种积极、主动的安全防御技术，旨在最大限度地保障网络与信息安全。黑客攻击防范技术5.1网络安全管理：网络安全管理是指为实现信息安全的目标而采取的一系列管理制度和技术手段，包括安全检测、监控、响应和调整等全控制流程。不论多么先进的安全技术，都只是实现网络安全管理的手段而已。要使先进的安全技术发挥较好的效果，就必须统一网络安全管理平台，整体配置、调控网络多层面、分布式的安全系统，实现对各种网络资源的集中监控、统一管理、智能审计，促进各安全功能模块之间的互动，从而有效简化网络安全管理工作，提升网络的安全水平和可控制性，降低用户的整体安全管理开销。黑客攻击防范技术5.1发现黑客入侵行为后采取的措施：禁止相关进程，切断黑客与系统的连接。利用工具询问黑客的意图。跟踪连接，找出黑客的来源和身份。使用Snoop、PS、Lastcomm、Ttywatch等工具来监视黑客活动。借助PS、W和Who命令查看用户终端使用情况。使用Who和Netstat定位入侵者主机，使用Finger命令查看哪些用户登录了远程系统。修复安全漏洞并恢复系统，不给黑客留有可乘之机。黑客攻击目标的发展趋势5.2当今世界进入了万物互联时代，网络安全风险和威胁也随之延伸到各个领域，工业控制系统、物联网、移动互联网、车联网、云计算等都成为黑客的攻击目标。以对物联网的攻击为例：2017年3月，维基解密曝光的一份美国中央情报局绝密文件中披露了一款针对三星电视的恶意软件，能让电视在关机状态下录音并回传到美国中央情报局服务器，把电视变成了一个巨大的“窃听器”。黑客攻击防范措施5.3在现实网络环境中，要想防范黑客攻击，主要从两个方面入手：建设具有安全防护能力的网络和改善已有网络环境的安全状况；强化网络专业管理人员和计算机用户的安全防范意识，提高其防范黑客攻击的技术水平和应急处理能力。黑客攻击防范措施5.3为了有效地防范黑客攻击，我们需要从黑客攻击的几个阶段入手，采取有针对性的措施：信息收集阶段防范：我们需要在保证网络服务正常运行的前提下关闭不必要的IP地址和网络服务，仅在官方或权威机构注册相关服务，本着最小原则提供相关信息漏洞关联阶段防范：网络运营者需要对网络及服务进行定期的漏洞扫描，有能力的可以建设网络安全监测系统，及时发现网络中存在的安全漏洞并进行修补，不给攻击者留有可乘之机。入侵攻击阶段防范：我们需要在网络关键部位部署安全防护设备，及时阻断攻击者的非法操作，同时对非法操作进行记录本章小结