第3章-网络攻防技术应用.ppt

1、第3章 网络攻防技术应用,河南经贸职业学院信息管理系,网络安全技术使用教程,2,主要内容,网络安全技术使用教程,3,3.1.1 网络黑客,“黑客”一词大家一定耳熟能详，它来源于英文“Hacker”，一般是指计算机技术的行家，热衷于深入探究系统的奥秘，寻找系统的漏洞，为别人解决困难，并不断克服网络和计算机给人们带来的限制的人。 然而，我们现在通常把怀着不良的企图，强行闯入远程计算机系统或恶意干扰远程系统完整性，通过非授权的访问权限，盗取数据甚至破坏计算机系统的“入侵者”称为“黑客”，这是片面的。真正的黑客(Hacker)称这些入侵者为骇客(Cracker)。Hacker和Cracker之间有着本

2、质的不同，Hacker发现创造东西，Cracker专门破坏东西，所以，人们现在所说的黑客是指Cracker。 黑客攻击的主要目的是：(1) 窃取信息；(2) 获取口令；(3) 控制中间站点；(4) 获得超级用户权限。,网络安全技术使用教程,4,3.1.2 网络攻击的目标,黑客的攻击目标主要有两类：系统和数据，其所对应的安全性也涉及系统安全和数据安全两个方面。 系统型攻击的特点是：攻击发生在网络层，破坏系统的可用性，使系统不能正常工作。可能留下明显的攻击痕迹，用户会发现系统不能工作。 数据型攻击的特点是：发生在网络的应用层，面向信息，主要目的是篡改和偷取信息，不会留下明显的痕迹。,网络安全技术使

3、用教程,5,3.1.3网络攻击分类,1.阻塞类攻击 阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。拒绝服务攻击(DoS，Denial of Service)是典型的阻塞类攻击，它是一类个人或多人利用Internet协议组的某些工具，拒绝合法用户对目标系统(如服务器)和信息的合法访问的攻击。 常见的方法：TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。 DoS攻击的后果：使目标系统死机；使端口处于停顿状态；在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件；扭曲系统的资源状态，使系统的处理速度降

4、低。,网络安全技术使用教程,6,3.1.3网络攻击分类,2.探测类攻击 信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。主要包括：扫描技术、体系结构刺探、系统信息服务收集等。目前正在发展更先进的网络无踪迹信息探测技术。 网络安全扫描技术：网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强，也可被网络攻击者用来进行网络攻击。,网络安全技术使用教程,7,3.1.3网络攻击分类,3.控制类攻击 控制型攻击是一类试图获得对目标机器控制权的攻击。 最常见的三种：口令攻击、特洛伊木马、缓冲区溢

5、出攻击。口令截获与破解仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；木马技术目前着重研究更新的隐藏技术和秘密信道技术；缓冲区溢出是一种常用的攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击，现在研究制造缓冲区溢出。,网络安全技术使用教程,8,3.1.3网络攻击分类,4.欺骗类攻击 欺骗类攻击包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。主要包括：ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。,网络安全技术使用教程,9,3.1.3网络攻击分类,5.漏洞类攻击 漏洞(Hole)

6、：系统硬件或者软件存在某种形式的安全方面的脆弱性，这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。针对扫描器发现的网络系统的各种漏洞实施的相应攻击，伴随新发现的漏洞，攻击手段不断翻新，防不胜防。要找到某种平台或者某类安全漏洞也是比较简单的。在Internet上的许多站点，不论是公开的还是秘密的，都提供漏洞的归档和索引等。,网络安全技术使用教程,10,3.1.3网络攻击分类,6.破坏类攻击 破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击，包括计算机病毒、逻辑炸弹等攻击手段。逻辑炸弹与计算机病毒的主要区别：逻辑炸弹没有感染能力，它不会自动传播到其他软件内。由于我

7、国使用的大多数系统都是国外进口的，其中是否存在逻辑炸弹，应该保持一定的警惕。对于机要部门中的计算机系统，应该以使用自己开发的软件为主。,网络安全技术使用教程,11,3.2.1网络攻击的一般模型概述,对一般情况而言的，网络攻击通常遵循同一种行为模型，都要经过搜集信息、获取权限、消除痕迹和深入攻击等几个阶段，如图3-1所示。然而一些高明的入侵者会对自己隐藏的更好，利用“傀儡机”来实施攻击，入侵成功后还会把入侵痕迹清除干净，并留下后门为以后实施攻击提供方便。,TEXT,网络安全技术使用教程,12,3.2.1网络攻击的一般模型概述,1.搜集信息 搜集信息是攻击的侦查阶段，攻击者在发动攻击前了解目标的网

8、络结构，搜集各种目标系统的信息等。 (1)隐藏地址：攻击者首先寻找可以利用别人的电脑当“傀儡机”，隐藏自己真实的IP地址等位置信息。 (2)锁定目标：网络上有许多主机，攻击者接下来的工作就是寻找并确定目标主机。 (3)了解目标的网络结构：确定要攻击的目标后，攻击者就会设法了解其所在的网络结构信息，包括：网关路由，防火墙、入侵检测系统(IDS)等，最简单的就是用tracert命令追踪路由，也可以发一些数据包看其是否能通过来猜测防火墙过滤规则的设定等。 (4)搜集系统信息：在了解了网络结构信息之后，攻击者会对主机进行全面的系统分析，以寻求该主机的操作系统类型、所提供服务及其安全漏洞或安全弱点，攻击

9、者可以使用一些扫描器工具，轻松获取目标主机运行的操作系统及版本，系统里的账户信息，WWW、FTP、Telnet 、SMTP 等服务器程序是何种版本和服务类型，端口开放情况等资料，主要方法有：端口扫描、服务分析、协议分析和用户密码探测等。,网络安全技术使用教程,13,3.2.1网络攻击的一般模型概述,2.获取权限 利用探测阶段提供的充分的目标系统访问数据，分析目标系统存在的弱点和漏洞，利用系统配置错误和弱点来选择合适的方法进行入侵。 (1)获取访问权限：对目标主机账户文件等进行破解，获取一般的账户和密码，获得系统的一般访问权限，寻找合适时机登录主机。 (2)提升访问权限：在获得初始访问权限后，攻

10、击者将利用其最近获得的身份在目标系统里进一步提升他们的权限，获得一些额外的权力，最终获得目标主机的控制权。,网络安全技术使用教程,14,3.2.1网络攻击的一般模型概述,3.消除痕迹 一般入侵成功后，为了能长时间地保留和巩固他对系统的控制权，而且不被管理员发现，攻击者往往会企图掩盖他们的踪迹，清除入侵痕迹。这一阶段的主要动作是清除事件日志并隐藏其遗留下来的文件，因为日志往往会记录一些攻击者实施攻击的蛛丝马迹，为了不会留下这些“犯罪证据”，以便日后可以不被觉察地再次进入系统，攻击者会更改某些系统设置，如对日志重新进行配置，使之恢复初始设置。,网络安全技术使用教程,15,3.2.1网络攻击的一般模

11、型概述,4.深入攻击 消除入侵的踪迹之后，攻击者就开始深入下一步的行动，如下载敏感信息、展开破坏和留下后门等窃取主机上的各种敏感信息，如软件资料、客户名单、财务报表、信用卡号等，甚至在系统中置入特洛伊木马，会利用这台已经攻陷的主机去继续他下一步的攻击，如继续入侵内部网络，或者利用这台主机发动DoS攻击使网络瘫痪。,网络安全技术使用教程,16,3.2.2常用网络攻击的关键技术,1.端口扫描技术 对于系统管理员而言，端口扫描是获得主机信息的一种常用方法。一个端口就是一个潜在的通信通道，也就是一个入侵通道。 端口扫描技术有助于及时发现系统存在的安全弱点和漏洞，有助于进一步加强系统的安全性。 对于入侵

12、者来说，端口扫描技术被用来寻找攻击线索和攻击入口的一种有效的方法。通过端口扫描可以搜集到目标主机的系统服务端口开放情况。 (1)TCP connect()扫描。 TCP connect()是最基本的一种扫描方式。使用系统提供的connect()系统调用，建立与目标主机端口的连接。如果端口正在监听，connect()就成功返回；否则，则说明端口不可访问。这种技术优势就是用户使用TCP connect()不需要任何特权，系统中任何用户都可以使用这个系统调用，另外用户可以通过同时打开多个套接字(socket)来加速扫描。,网络安全技术使用教程,17,3.2.2常用网络攻击的关键技术,(2)TCP S

13、YN扫描 TCP SYN扫描常被称为半连接扫描，因为并不是一个全TCP连接。所谓半连接扫描是指扫描的主机和目标主机的指定端口建立连接只完成了前两次“握手”，第三次“握手”因被扫描主机中断而没有建立起来。扫描程序发送一个SYN数据包，就好像准备打开一个真正的连接，然后等待响应。一个SYN/ACK表明该端口正在被监听，一个RST响应表明该端口没有被监听。如果收到一个SYN/ACK，则通过立即发送一个RST 来关闭连接。这样做的好处是极少有主机来记录这种连接请求。不利之处是必须有超级用户权限才能建立这种可配置的SYN 数据包。 (3)TCP FIN扫描 在很多情况下，即使是SYN扫描也不能做到很隐秘

14、。一些防火墙和包过滤程序监视SYN数据包访问一个未被允许访问的端口，一些程序可以检测到这些扫描。FIN数据包却有可能通过这些扫描。其基本思想是关闭的端口将会用正确的RST来应答发送的FIN数据包；而相反，打开的端口往往忽略这些请求。这是一个TCP实现上的错误，也不是所有的系统都存在这类错误，此时，这种方法就不适用了。,网络安全技术使用教程,18,3.2.2常用网络攻击的关键技术,(4)Fragmentation扫描 Fragmentation 扫描并不是仅仅发送探测的数据包，而是将要发送的数据包分成一组更小的IP 包。通过将TCP 包头分成几段，放入不同的IP 包中，使得包过滤程序难以过滤。因

15、此，可以进行想进行的扫描活动。必须注意的是，一些程序很难处理这些过小的包。 (5)UDP recfrom()和write()扫描 一些人认为UDP 的扫描是无意义的。没有root权限的用户不能直接得到端口不可访问的错误，但是Linux 可以间接地通知用户。例如，一个关闭的端口的第二次write()调用通常会失败。如果在一个非阻塞的UDPsocket 上调用recfrom()通常会返回EAGAIN()(“Try again”，errno=13)，而ICMP 则收到一个ECONNERFUSED (“Connection refused”，errno=111) 错误信息。,网络安全技术使用教程,19

16、,3.2.2常用网络攻击的关键技术,(6)ICMP echo扫描 ICMP 扫描并不是一个真正的端口扫描，因为ICMP 并没得到端口的信息。用ping 这个命令，通常可以得到网上目标主机是否正在运行的信息。 (7)TCP反向Ident扫描 Ident 协议允许(rfc1413)看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程开始的。举个例子，连接到HTTP端口，然后用Identd来发现服务器是否正在以Root权限运行。这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。,网络安全技术使用教程,20,3.2.2常用网络攻击的关键技术,(8) FTP 返回攻击 F

17、TP协议的一个有趣的特点是它支持代理(proxy)FTP连接。即入侵者可以从自己的计算机和目标主机的FTP server-PI(协议解释器)连接，建立一个控制通信连接。然后，请求这个server-PI激活一个有效的server-DTP(数据传输进程)来给Internet上任何地方发送文件。 (9)UDP ICMP端口不能到达扫描 这种方法与上面几种方法的不同之处在于使用的是UDP协议。由于这个协议很简单，所以扫描变得相对比较困难。这是由于打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包。,网络安全技术使用教程,21,3.2.2常用网络攻击的关键技术,扫描器 扫描器是

18、一种自动检测远程或本地主机安全弱点的程序，通过使用扫描器可不留痕迹地发现远程服务器的各种TCP端口的分配及提供的服务，这就能间接地或直观地了解远程主机所存在的安全问题。扫描器并不是一个直接的实施网络攻击的工具，而是一个帮助发现目标机的安全漏洞的工具。 扫描器的工作原理：扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息。 扫描器应该有3项功能：发现一个主机或网络的功能；一旦发现一台主机，发现什么服务正运行在这台主机上的功能；通过测试这些服务，发现漏洞的功能。,网络安全技术使用教程,22,3.2.2常用网络攻击的关键技术

19、,2.网络监听技术 网络监听技术是指截获和复制系统、服务器、路由器或防火墙等网络设备中所有的网络通信信息。只要网络接口设置成监听模式，便可以源源不断地截获网络上传输的信息，而且网络监听可在网络上的任何位置部署实施，因此属于一种攻击手段。网络监听技术也是网络管理员对网络进行监听从而实现管理的技术，主要是用于监视网络状态，分析网络的流量，以便找出所关心的网络中潜在的问题。 其基本原理是：在以太网中，数据包是发送给源主机连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才接收，其他主机则丢弃。但是，当主机工作在监听模式(混杂模式)下，就可以监听并记录下

20、同一网段上所有的数据包，无论数据包中的目标地址是什么。攻击者可以从数据包中提取机密或敏感的数据信息，如登录名、口令等。,网络安全技术使用教程,23,3.2.2常用网络攻击的关键技术,3.网络欺骗技术 网络欺骗技术是利用TCP/IP协议本身的缺陷对TCP/IP网络进行攻击的一种复杂的技术。主要的方式有：IP欺骗、ARP欺骗、DNS欺骗、WEB欺骗、E-MAIL欺骗、Cookie欺骗、源路由欺骗等。 4.密码破解技术 密码破解攻击是指通过猜测或者其他手段获取合法用户的账号的密码，获得机器或者网络的访问权，并能访问到用户能访问到的任何资源，进而实施攻击。如果这个用户获得了域管理员或root用户权限，

21、将是极其危险的。攻击者攻击目标时常常把破译用户的密码作为攻击的开始。一般密码破解技术分为通过网络监听非法得到用户密码及密码穷举破解 。,网络安全技术使用教程,24,3.2.2常用网络攻击的关键技术,5.拒绝服务技术 拒绝服务攻击简称DoS(Denial of Service)，是一种针对TCP/IP协议的缺陷来进行网络攻击的手段，它可以在任平台善实现。拒绝服务攻击的原理并不复杂而且易于实现，通过向服务器传送海量服务要求，使服务器里充斥着这种要求回复的信息，没有其他资耗尽网络带宽或系统资源，造成服务器网段拥塞，最终导致网络或系统不堪重负以至于瘫痪、停止正常的网络服务。拒绝服务攻击降低了资源的可用

22、性，攻击的结果是停止服务，甚至主机崩溃。,网络安全技术使用教程,25,3.2.2常用网络攻击的关键技术,拒绝服务攻击的实现是利用了Internet网络协议的许多安全漏洞，从而体现了现存网络脆弱的一面。比较常见的拒绝服务攻击模式有： （1）资源消耗。资源消耗型拒绝服务是指入侵者试图消耗目标的合法资源，例如网络带宽、内存和磁盘空间以及CPU 使用率，从而达到拒绝服务的目的。 （2）配置修改型。计算机配置不当可能造成系统运行不正常甚至根本不能运行。入侵者通过修改或者破坏系统的配置信息来阻止其他合法用户使用计算机和网络提供的服务，主要有以下几种：改变路由信息；修改Windows NT 注册表；修改UN

23、IX 的各种配置文件。 （3）服务利用型。利用入侵目标的自身资源实现入侵意图，由于被入侵系统具有漏洞和通信协议的弱点，这给入侵者提供了入侵的机会。入侵常用的是TCP/IP 以及目标责任制系统自身应用软件中的一些漏洞和弱点达到拒绝服务的目的。,网络安全技术使用教程,26,3.2.2常用网络攻击的关键技术,下面介绍现在新的两种拒绝服务攻击技术： 1）分布式拒绝服务攻击(Distributed Denial of Service，DDoS) DDoS是一种基于分布式、协作的大规模攻击的方式的拒绝服务攻击，是目前黑客经常采用而难以防范的攻击手段。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻

24、击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等各项性能指标不高时，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了。这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。 DDoS就是在高速网络环境下利用大量分布在不同地方的大量傀儡机来对目标主机或服务器发起进攻。,网络安全技术使用教程,27,3.2.2常用网络攻击的关键技术,被分布式拒绝服务攻击导致后果： (1)被攻击的目标主机或服务器上有大量等待的TCP连接，从而使它们瘫痪。 (2)网络中充斥着

25、大量的无用的数据包，造成网络拥塞，无法正常通信。 (3)傀儡机反复高速地发出特定的服务请求，无法及时处理所有正常请求。 (4)严重时会造成系统死机。,网络安全技术使用教程,28,3.2.2常用网络攻击的关键技术,2）分布式反射拒绝服务攻击(Distributed Reflection Denial of Servie Attack，DRDoS) DRDoS是新一代的DDOS攻击。它不需要收集大量肉鸡(傀儡机)，只要带宽足够，1台机器就可以发动一次大规模的攻击，就像百度这样的大型网站也可以让他在短时间内停止服务。 DRDoS的工作原理：入侵者利用带有请求的SYN数据包对网络路由器进行洪水攻击。这

26、些数据包带有虚假的IP地址，这些地址都是某网站的。这样以来，路由器以为这些SYN数据包是从该网站发送过来的，所以便对它们发送SYN/ACK数据包作为三次握手过程的第二步根据请求的该网站IP地址返回SYN/ACK包，恶意的数据包就反射到该网站的主机上后，就形成了洪水攻击，造成带宽资源的耗尽，最终导致拒绝服务。,网络安全技术使用教程,29,3.2.3 常用网络攻击工具,1.端口扫描工具 常用的端口扫描工具有NSS、SATAN、SuperScan等。 1）NSS NSS(网络安全扫描器)是一个非常隐蔽的扫描器。NSS用Perl语言编写，工作在SunOS，可以对Sendmail、TFTP、匿名FTP、

27、Hosts 和Xhost扫描。 2）SATAN SATAN(安全管理员的网络分析工具)是一个分析网络的安全管理，并进行测试与报告的工具。它用来收集网络上主机的许多信息，可以识别并且自动报告与网络相关的安全问题。 3）SuperScan SuperScan是著名安全公司Foundstone 出品的一款功能强大的基于连接的TCP 端口扫描工具，支持Ping 和主机名解析。,网络安全技术使用教程,30,3.2.3 常用网络攻击工具,2.网络监听工具 网络监听工具可被理解为一种安装在计算机上的窃听设备。它可以用来窃听计算机在网络上发送和接受到的数据。这些数据可以是用户的账号和密码，也可以是机密数据等。

28、 常用的网络监听工具有X-Scan、Sniffer、NetXray、tcpdump、winpcap、流光等。 1）X-Scan X-Scan是安全焦点（Xfocus）的力作，采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，可应用于Windows NT/2000/XP/2003平台。 2）Sniffer Sniffer是利用计算机的网络接口截获目的地为其他计算机的以明文方式传送数据报文的一种工具，应用于网络管理主要是分析网络的流量，以便找出所关心的网络中潜在的问题。,网络安全技术使用教程,31,3.2.3 常用网络攻击工具,3.密码破解工具 密码破解工具其实是一个能将口令

29、解译出来，或者让口令保护失效的程序。 1）Windows NT和Windows 2000 密码破解工具 (1)L0phtcrack。L0phtcrack(LC)是一个Windows NT密码审计工具，能根据操作系统中存储的加密哈希计算Windows NT密码，功能非常强大、丰富，是目前市面上最好Windows NT密码破解程序之一。 (2)NTSweep。NTSweep使用的方法和其他密码破解程序不同，它不是下载密码并离线破解，而是利用了Microsoft允许用户改变密码的机制。它首先取定一个单词，然后使用这个单词作为账号的原始密码，并试图把用户的密码改为同一个单词。因为成功地把密码改成原来的

30、值，用户永远不会知道密码曾经被人修改过。 (3)PWDump。PWDump不是一个密码破解程序，但是它能用来从SAM 数据库中提取密码(Hash)。,网络安全技术使用教程,32,3.2.3 常用网络攻击工具,2）UNIX 密码破解工具 (1)Crack。Crack是一个旨在快速定位UNIX 密码弱点的密码破解程序。Crack使用标准的猜测技术确定密码。它检查密码是否为如下情况之一：和user id相同、单词password、数字串、字母串。Crack通过加密一长串可能的密码，并把结果和用户的加密密码相比较，看其是否匹配。用户的加密密码必须是在运行破解程序之前就已经提供的。 (2)John th

31、e Ripper。该程序是UNIX密码破解程序，但也能在Windows平台运行，功能强大、运行速度快， 可进行字典攻击和强行攻击。 (3)XIT。XIT是一个执行词典攻击的UNIX密码破解程序。XIT的功能有限，因为它只能运行词典攻击，但程序很小、运行很快。 (4)Slurpie。Slurpie能执行词典攻击和定制的强行攻击，要规定所需要使用的字符数目和字符类型。和John、Crack相比，Slurpie的最大优点是它能分布运行，Slurpie能把几台计算机组成一台分布式虚拟机器在很短的时间里完成破解任务。,网络安全技术使用教程,33,3.2.3 常用网络攻击工具,4.拒绝服务攻击工具 1）D

32、OS工具 拒绝服务攻击是最容易实施的攻击行为，常见的攻击方式有：死亡之Ping、Teardrop、TCP SYN洪水、Land、Smurf等。 （1）死亡之Ping(Ping of death)。死亡之Ping攻击的原理就是来源于一般路由器对包的最大大小有限制(通常是在64KB以内)，当收到大小超过64KB的ICMP包时就会出现内存分配错误，导致TCP/IP堆栈崩溃，从而使接受方计算机宕机。利用这一机制，黑客们只需不断地通过Ping命令向攻击目标发送超过64KB的数据包，最终使目标计算机的TCP/IP堆栈崩溃。 （2）Teardrop。实施泪滴攻击的黑客们在截取IP数据包后，把偏移字段设置成不

33、正确的值，这样接收端在收后这些分拆的数据包后就不能按数据包中的偏移字段值正确重合这些拆分的数据包，但接收端会不断地尝试，这样就可能致使目标计算机操作系统因资源耗尽而崩溃。,网络安全技术使用教程,34,3.2.3 常用网络攻击工具,（3）TCP SYN洪水(TCP SYN Flood)。TCP SYN洪水攻击的原理来源就是TCP/IP协议栈只能等待有限数量ACK(应答)消息，因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。 （4）Land。Land攻击中的数据包源地址和目标地址

34、是相同的，当操作系统接收到这类数据包时，不知道该如何处理，或者循环发送和接收该数据包，以此来消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。 （5）Smurf。Smurf攻击利用多数路由器中具有同时向许多计算机广播请求的功能。攻击者伪造一个合法的IP地址，然后由网络上所有的路由器广播要求向受攻击计算机地址做出回答的请求。由于这些数据包表面上看是来自已知地址的合法请求，因此网络中的所有系统向这个地址做出回答，最终结果可导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，这也就达到了黑客们追求的目的了。,网络安全技术使用教程,35,3.2.3 常用网络攻击工具,2）DDOS工

35、具 攻击者常用的分布式拒绝服务攻击工具有：TFN(Tribe Flood Network)、TFN2k（Tribe Flood Network 2000）、Trinoo、Stacheldraht/stacheldrahtv4、mstream、shaft。下面简单介绍其中3种： TFN是德国著名黑客mixter编写的分布式拒绝服务攻击工具。TFN由客户端程序与守护程序组成，通过提供绑定到tcp端口的root shell控制，实施icmp flood、syn flood、udp flood与smurf等多种拒绝服务的分布式网络攻击。 TFN2K是由德国著名黑客Mixter编写的攻击工具TFN的后续

36、版本。TFN2K通过主控端利用大量代理端主机的资源进行对一个或多个目标进行协同攻击。 Trinoo是基于UDP flood的攻击软件，它向被攻击目标主机随机端口发送全零的4字节UDP包，被攻击主机的网络性能在处理这些超出其处理能力垃圾数据包的过程中不断下降，直至不能提供正常服务甚至崩溃。,网络安全技术使用教程,36,3.3.1 网络攻击的防范策略,1.提高安全意识 不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序，比如“特洛伊”类黑客程序就是骗你运行。密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易穷举，将常用的密码设置不同，防止被人查出一个，连带到重要密码，而

37、且重要密码最好定期更换。不随便运行黑客程序，许多这类程序运行时会发出用户的个人信息。最后及时下载安装系统补丁程序，更新系统。,网络安全技术使用教程,37,3.3.1 网络攻击的防范策略,2.访问控制策略 访问控制是网络安全防范和保护的主要策略，也是维护网络系统安全、保护网络资源的重要手段，其主要任务是保证网络资源不被非法使用和非法访问。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全的最重要的核心策略之一。,网络安全技术使用教程,38,3.3.1 网络攻击的防范策略,3.数据加密策略 加密技术是网络安全最有效的技术之一。通过对网内数据、文件、口令和控制信息进行加密从

38、而达到保护网上传输的数据的目的。加密的网络不但可以防止非授权用户的窃听和入网，而且也可以有效防止恶意软件攻击。,网络安全技术使用教程,39,3.3.1 网络攻击的防范策略,4.网络安全管理策略 想要建立一个安全的网络环境就需要严格的管理，正所谓：“三分技术，七分管理”。在网络安全中，除了采用技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分关键的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制定有关网络操作实验规程和人员管理制度；制定网络系统的维护制度和应急措施等。,网络安全技术使用教程,40,3.3.2 网络攻击的防范策略,1.端口

39、扫描的防范方法 应对端口扫描的防范方法有两种： (1)关闭闲置和有潜在危险的端口 这个方法的本质是，将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。因为就黑客而言，所有的端口都可能成为攻击的目标。 (2)有端口扫描的症状时，立即屏蔽该端口 这种预防端口扫描的方式显然靠用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。这些软件就是我们常用的网络防火墙。,网络安全技术使用教程,41,3.3.2 网络攻击的防范策略,2.网络监听的防范方法 网络监听就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上，以太网就是这样一个共享信道的网络，其数据报头包含目的主机的硬

40、件地址，只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点。通常账户和密码等信息都以明文的形式在以太网上传输，一旦被黑客在杂错节点上嗅探到，用户就可能会遭到损害。,网络安全技术使用教程,42,3.3.2 网络攻击的防范策略,对于网络监听攻击，我们可以采取以下一些措施进行防范： (1) 网络分段：一个网络段包括一组共享低层设备和线路的机器，如交换机、动态集线器和网桥等设备，可以对数据流进行限制，从而达到防止嗅探的目的。 (2) 加密：一方面可以对数据流中的部分重要信息进行加密，另一方面也可只对应用层加密，后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种

41、加密方式取决于信息的安全级别及网络的安全程度。 (3) 一次性密码技术：密码并不在网络上传输而是在两端进行字符串匹配，客户端利用从服务器上得到的Challenge和自身的密码计算出一个新字符串，并将之返回给服务器。在服务器上利用比较算法进行匹配，如果匹配，就允许建立连接，所有的Challenge和字符串都只使用一次。 (4)划分VLAN：运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。,网络安全技术使用教程,43,3.3.2 网络攻击的防范策略,对可能存在的网络监听的检测有以下几种： (1) 对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理

42、地址Ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处理监听状态的机器能接收。 (2) 向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包而占用很多的CPU资源，这将导致性能下降。通过比较该机器前后的性能加以判断。这种方法难度比较大。 (3) 使用反监听工具如Antisniffer等进行检测。,网络安全技术使用教程,44,3.3.2 网络攻击的防范策略,3.IP欺骗的防范方法 1）进行包过滤 如果网络是通过路由器接入Internet的，那么可以利用路由器来进行包过滤。确信只有内网主机之间可以使用信任关系，而来自外网主机希望与内网主机建立连接的请

43、求要慎重处理，如有可疑之处，立即过滤掉这些请求。 2）使用加密方法 防止IP欺骗的另一有效的方法就是在通信时进行加密传输和验证。 3）抛弃IP信任验证 IP欺骗主要是利用了建立在IP地址上的信任策略，而伪造IP地址就可以取得信任，实施攻击。这类攻击最简单的防范方法就是放弃以IP地址为基础的验证。,网络安全技术使用教程,45,3.3.2 网络攻击的防范策略,4.密码破解的防范方法 防范密码破解的办法很简单，只要使自己的密码不在英语字典中，且不可能被别人猜测出就可以了。 保持密码安全的要点如下： (1)不要将密码写下来； (2)不要将密码保存在电脑文件中； (3)不要选取显而易见的信息做密码； (

44、4)不要让别人知道； (5)不要在不同系统中使用同一密码； (6)为防止眼捷手快的人窃取密码，在输入密码时应确认无人在身边； (7)定期改变密码。,网络安全技术使用教程,46,3.3.2 网络攻击的防范策略,5.拒绝服务的防范方法 拒绝服务的防御策略： (1)建立边界安全界限，确保输出的数据包受到正确限制。经常检测系统配置信息，并建立完整的安全日志。 (2)利用网络安全设备(例如：防火墙)来加固网络的安全性，配置好设备的安全规则，过滤掉所有的可能的伪造数据包。 (3)对于DDOS，除了策略(1)和(2)以外，启动应付策略，尽可能快的追踪攻击包，并且要及时有关应急组织联系，分析受影响的系统，确定

45、涉及的其他节点，从而阻挡从已知攻击节点的流量。 (4)对于DRDoS，除了策略(1)、(2)和(3)以外，及时联系ISP和有关应急组织，对数据包出口做严格的审查，发现伪造的包，就将机器的源地址发送出去。,网络安全技术使用教程,47,3.3.2 网络攻击的防范策略,具体Dos防范方法有： (1)死亡之Ping的防范方法。死亡之Ping的防范方法是对防火墙进行配置，阻断ICMP以及任何未知协议。 (2)Teardrop的防范方法。Teardrop的防范方法是在服务器应用最新的服务包，设置防火墙对分段进行重组，而不转发它们。 (3)TCP SYN洪水的防范方法。TCP SYN洪水的防范方法是关掉不必

46、要的TCP/IP服务，或对防火墙进行配置，过滤来自同一主机的后续连接。 (4)Land的防范方法。Land的防范方法是更新系统，对防火墙进行配置，过滤掉外部接口上入栈的含有内部源地址的数据包。 (5)Smurf的防范方法。Smurf 攻击的防范方法是对路由器或防火墙进行设置，关闭外部路由器或防火墙的广播地址特性，从而防止入侵者利用你的网络攻击他人；通过在防火墙上设置规则，丢弃ICMP包来防止被攻击。,网络安全技术使用教程,48,3.3.3 入侵检测技术,1.入侵检测概述 入侵检测(Intrusion Detection)顾名思义，就是对入侵行为的发觉，是通过从计算机网络或计算机系统中的若干关键

47、点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测技术自20世纪80年代提出以来得到了极大的发展，国外一些研究机构已经开发出了应用于不同操作系统的成熟的入侵监测系统(IDS，Intrusion Detection System)。,网络安全技术使用教程,49,3.3.3 入侵检测技术,入侵检测的功能主要有以下几个方面： (1)监控、分析用户和系统的活动； (2)对系统配置和漏洞的审计； (3)估计关键系统和数据文件的完整性； (4)识别和反应入侵活动的模式并向网络管理员报警； (5)对异常行为模式的统计分析； (6)操作系统审计跟踪管理，识别违反策略

48、的用户活动。,网络安全技术使用教程,50,3.3.3 入侵检测技术,2.入侵检测技术 入侵检测技术是基于这样一种假设，即入侵者的行为与合法用户的行为存在着可以量化的差别。审计记录是用于入侵检测的一种基本的工具，通过检测当前用户行为的相关记录，从而判断攻击行为是否发生。入侵检测技术有：统计异常检测技术和规则的检测技术。,网络安全技术使用教程,51,3.3.3 入侵检测技术,1）统计异常检测技术 统计异常检测技术是先对合法用户在一段时间之内的用户数据进行收集，然后利用统计学测试方法分析用户行为，以判断用户行为是否合法。统计异常检测技术又可分为两种：阈值检测和基于行为剖面的检测。 阈值检测时对一段时间之内某种特定事件的出现次数进行统计，如果统计结果超出了预先定义好的阈值，就认为有入侵行为发生。这种方法的要点是为各种事件的出现频率定义不依赖于某个特定用户的阈值。 基于行为剖面的检测技术首先要建立单个用户或用户群的