网管员必读——网络安全(第2版)第三章.ppt

1、第三章 黑客攻击及其预防,本章仅从基础层面对黑客攻击的一些主要方面进行介绍，如了解黑客攻击的类型和主要攻击方式，端口和漏洞扫描，以及在Windows 2000/Server 2003系统下针对拒绝服务攻击所进行的TCP协议深层配置。 本章重点 黑客攻击的主要类型 黑客攻击的基本步骤及各步骤所用的主要工具 主要的拒绝服务类型及相应的防御措施 Windows 2000/Server 2003系统中抵御拒绝服务的TCP/IP堆栈设置 典型漏洞扫描工具的使用 MBSA的主要功能和基本使用方法,3.1 认识黑客和黑客攻击,3.1.1 “黑客”与“骇客” “黑客”的英文应是“Hacker”，原意是“开辟、

2、开创”之意，也就是说“黑客”应该是开辟道路的人。而所谓的“Cracker”（中文：骇客）的意思则是“解密、破译”之意，明显是具有恶意的。 黑客的叫法起源于20世纪70年代麻省理工学院的实验室，源于一种共享的网络精神。 有人把“黑客”看做是大师级的电脑高手，而把“骇客”看做是初级的“黑客”，只具备一定的攻击能力。,3.1.2 主要黑客攻击类型,目前黑客网络攻击的类型主要有以下几种。 利用监听嗅探技术获取对方网络上传输的有用信息。 利用拒绝服务攻击使目的网络暂时或永久性瘫痪。 利用网络协议上存在的漏洞进行网络攻击。 利用系统漏洞，例如缓冲区溢出或格式化字符串等，以获得目的主机的控制权。 利用网络数

3、据库存在的安全漏洞，获取或破坏对方数据。 利用计算机病毒传播快、破坏范围广的特性，开发合适的病毒破坏对方网络。以上类型所采用的攻击手法主要有如下几种：网络监听、拒绝服务攻击、源IP地址欺骗、源路由欺骗攻击、缓冲区溢出、密码攻击、应用层攻击。 以上各种攻击手法的具体实施方法参见书中介绍。,3.1.3 黑客攻击方式的十大最新发展趋势,当前黑客攻击技术呈现以下几个方面的发展趋势： 攻击工具的功能不断增强，攻击过程实现自动化 攻击工具越来越智能化 攻击门槛越来越低 受攻击面更广 变种病毒数量不断翻番，防不胜防 漏洞发现得更快 防火墙也开始变得“无奈” 国产木马、后门程序成为主流 “网络钓鱼”形式的诈骗

4、活动增多 黑客攻击“合法化”“组织化”以上具体内容参见书中介绍。,3.2 黑客攻击的基本步骤,黑客要实施攻击，一般来说必须有3个基本步骤：搜集信息（踩点）选择目标，实施攻击上传黑客程序，下载用户数据。黑客攻击的关键一步就是搜集信息，也就是踩点。 本节介绍的工具包括：Whois、Nslookup、ARIN、Traceroute、Ping、 Visual Ping、Nmap、Port Scanners、ScanPort、Default port and OS、Vulnerability Scanners和Telnet等。 说明：因为本节内容全部是介绍以上软件的具体应用，所以不在课件中具体介绍，具体

5、使用方法参看书本相应部分。,3.3 拒绝服务攻击及防御方法,3.3.1 常见拒绝服务攻击的行为特征与防御方法 下面是几种典型的拒绝服务攻击行为特征和防御方法： 死亡之Ping（Ping of death）攻击 “死亡之Ping”的攻击原理就是来源于一般路由器对包的最大大小有限制（通常是在64KB以内），当收到大小超过64KB的ICMP包时就会出现内存分配错误，导致TCP/IP堆栈崩溃，从而使接受方计算机宕机。利用这一机制，黑客们只需不断地通过Ping命令向攻击目标发送超过64KB的数据包，最终使目标计算机的TCP/IP堆栈崩溃。 泪滴（Teardrop）攻击 实施泪滴攻击的黑客们在截取IP数据

6、包后，把偏移字段设置成不正确的值，这样接收端在收后这些分拆的数据包后就不能按数据包中的偏移字段值正确重合这些拆分的数据包，但接收端会不断偿试，这样就可能致使目标计算机操作系统因资源耗尽而崩溃。,TCP SYN洪水（TCP SYN Flood）攻击 “TCP SYN洪水”攻击的原理来源就是TCP/IP栈只能等待有限数量ACK（应答）消息，因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。 分片IP报文攻击 为了传送一个大的IP报文，IP协议栈需要根据链路接口的MTU对该IP报文进

7、行分片，通过填充适当的IP头中的分片指示字段，接收计算机可以很容易地把这些IP分片报文组装起来。目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后续的分片报文。这个过程会消耗掉一部分内存，以及一些IP协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗掉目标计算机的资源，而导致不能相应正常的IP报文。,Land攻击 这类攻击中的数据包源地址和目标地址是相同的，当操作系统接收到这类数据包时，不知道该如何处理，或者循环发送和接收该数据包，以此来

8、消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。 Smurf 攻击 Smurf攻击利用多数路由器中具有同时向许多计算机广播请求的功能。攻击者伪造一个合法的IP地址，然后由网络上所有的路由器广播要求向受攻击计算机地址做出回答的请求。由于这些数据包表面上看是来自已知地址的合法请求，因此网络中的所有系统向这个地址做出回答，最终结果可导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，这也就达到了黑客们追求的目的了。 Fraggle攻击 Fraggle攻击只是对Smurf攻击作了简单的修改，使用的是UDP协议应答消息，而不再是ICMP协议了（因为黑客们清楚UDP协议更加不易被用户

9、全部禁止）。同时Fraggle攻击使用了特定的端口，攻击原理与Smurf攻击基本类似。,WinNuke攻击 WinNuke攻击又称“带外传输攻击” 。WinNuke攻击就是利用了Windows操作系统的一个漏洞，向这些端口发送一些携带TCP带外（OOB）数据报文的，但这些攻击报文与正常携带OOB数据报文不同的是，其指针字段与数据的实际位置不符，即存在重合。这样Windows操作系统在处理这些数据的时候，就会崩溃。 虚拟终端（VTY）耗尽攻击 因为一般情况下，支持Telnet的网络设备提供给Telnet用户界面个数是有限制的，比如5个或10个等。这样，如果一个攻击者同时同一台网络设备建立了5个或

10、10个Telnet连接，这些设备的远程管理界面便被占尽。这样，合法用户如果再对这些设备进行远程管理，则会因为Telnet连接资源被占用而失败。 电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一，通过设置一台计算机不断地向同一地址发送大量电子邮件来达到攻击目的，此类攻击能够耗尽邮件接受者网络的带宽资源。 以上各种拒绝服务攻击的具体攻击原理和防御方法参见书中介绍。,3.3.2 其他攻击方式行为特征和防御方法,除了前面介绍的那么多典型的拒绝服务类型攻击外，还有一些常见的其他类型攻击方式，如利用型攻击、信息收集型攻击和假消息攻击。 在利用型攻击类型中主要包括：口令猜测攻击、特洛伊木马攻击和缓冲区溢出攻

11、击三类。而信息收集型攻击类型中主要包括：地址扫描、端口扫描、反响映射、体系结构刺探、利用信息服务对DNS域进行转换、Finger服务和LDAP服务等几类。假消息攻击类型中主要包括：DNS高速缓存污染和伪造电子邮件两种。 本节详细内容参见书中介绍。,3.3.3 预防拒绝服务攻击的常用策略,本节介绍的是企业网管理员、ISP/ICP管理员、骨干网络运营商这几种角色中常见的阻止拒绝服务攻击的常用策略。具体内容参见书中介绍。,3.4 端口扫描,“端口扫描”（port scanning）是通过连接到目标系统的TCP协议或UDP协议端口，来确定什么服务正在运行。 一般来说，端口扫描的目的如下： 判断目标主机

12、上开放了哪些服务 判断目标主机的操作系统 3.4.1 计算机网络服务 通信过程中的“服务”是描述网络分层结构中相邻层之间关系的一种抽象概念。一般来说在网络分层结构中是下层向上层提供服务的。 根据因特网上各种服务的方式的不同，把所有服务划为两种不同的方式：面向连接的服务和无连接的服务。面向连接的服务类似于常见的电话系统服务，即每一次完整的数据传输都要经过建立连接、使用连接和终止连接等过程。而无连接服务方式类似邮政系统服务，在通信连接中，分组的头部包括源和目的地址以及一个跳计数，用来监测和消灭丢失和无目的地徘徊的无用的包。,3.4.2 通信端口,“端口”，通俗地讲就是一个通信通道的“门”，各种计算

13、机服务和通信都是通过特定的端口与外部计算机进行通信。 1端口的分类 端口的分类根据其参考对象不同有不同划分方法，如果从端口的性质来分，通常可以分为以下几类：公认端口（Well Known Ports）、注册端口（Registered Ports）、动态和/或私有端口（Dynamic and/or Private Ports）。 2TCP和UDP协议端口 如果根据所提供的服务方式的不同，端口又可分为“TCP协议端口”和“UDP协议端口”两种。 具体内容参见书中介绍。3.4.3 常见服务器端口（略）,3.4.4 网络通信基础,1TCP/IP协议参考模型在TCP/IP协议参考模型中，把整个计算机通信

14、网划分为应用层、传输层、网际层、网络接口层。各层与ISO划分的OSI参考模型对照，以及各层中所包括的子协议和服务，如下图所示。,2TCP协议报文格式TCP报文分为首部和数据两部分。TCP报文段首部的前20字节是固定的，后面有4n字节（n为整数）是可有可无的选项。因此TCP首部的最小长度是20字节，160位。TCP分段头的格式如下图所示。,3TCP协议的3次握手 TCP连接是通过3次握手进行初始化的。3次握手的目的是同步连接双方的序列号和确认号并交换TCP窗口大小信息。 三次握手过程如右图所示。 以上详细内容参见书中介绍。,3.4.5 端口扫描原理,“端口扫描”通常指用同一信息对目标计算机的所有

15、所需扫描的端口进行发送，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。“端口扫描”行为的一个重要特征，是在短时期内有很多来自相同的信源地址，传向不同的目的地端口的包。 通常进行端口扫描的工具目前主要采用的是端口扫描软件，也称之为“端口扫描器”。端口扫描器也是一种程序，可以对目标主机的端口进行连接，并记录目标端口的应答。 端口扫描可以提供4个用途。 识别目标主机上有哪些端口是开放的 识别目标系统的操作系统类型 识别某个应用程序或某个特定服务的版本号 识别目标系统的系统漏洞,3.4.6 目前主要的端口扫描技术,目前主要的端口扫描技术有以下几种： TCP connect Scan（T

16、CP连接扫描） TCP SYN Scan（TCP同步序列号扫描） TCP FIN Scan（TCP结束标志扫描） IP Scan（IP协议扫描） TCP Xmas Tree Scan（TCP圣诞树扫描） TCP Null Scan（空TCP扫描） UDP Scan（UDP协议扫描） 高级ICMP扫描技术 ICMP echo扫描各种扫描技术的具体扫描原理和特点参见书中介绍。,3.4.7 端口侦听,1端口侦听原理 （略） 具体端口偶听原理参见书中介绍。2端口侦听与端口扫描的异同 “端口侦听”是利用某种程序对目标计算机的端口进行监视，查看目标计算机上有哪能些端口是空闲、可以利用的。通过侦听还可以捕获

17、别人有用的信息。而端口扫描则是一种主动过程，它是主动对目标计算机的选定端口进行扫描，实时地发现所选定端口的所有活动（特别是对一些网上活动）。 端口偶听与端口扫描有相似之处，也有区别，相似的地方是都可以对目标计算机进行监视，区别是端口侦听属于一种被动的过程，等待别人的连接的出现，通过对方的连接才能侦听到需要的信息。 3.5 端口扫描器应用（略） 本节介绍的是 NetBrute、PortScan、SuperScan、Nmap和X-Scan扫描器的使用方法，在课件中不具体介绍。详情参见书中相关部分内容。,3.6 强化TCP/IP堆栈以抵御拒绝服务攻击,本节主要向大家介绍强化Windows 2000/

18、Server 2003服务器家族系统的TCP/IP堆栈的方法。配置过程非常简单，只需通过对Windows注册表的TCP/IP参数的配置，就可以保护服务器免遭网络级别的拒绝服务攻击，包括SYN洪水攻击、ICMP攻击和SNMP攻击。 3.6.1 在Windows 2000中加固TCP/IP堆栈为了帮助用户抵御拒绝服务攻击，可以使用下列一种或两种方法： 使用最新的安全修复程序更新计算机 在基于Windows 2000的工作站和服务器上加固TCP/IP协议堆栈具体内容参见书中介绍。,3.6.3 全面抵御SYN攻击,SYN攻击利用了TCP/IP连接建立机制中的安全漏洞。要实施SYN洪水攻击，攻击者会使用

19、程序发送大量的TCP SYN请求，来填满服务器上的挂起连接队列。这会禁止其他用户建立网络连接。要保护网络免遭SYN攻击，只需按以下这些通用步骤操作即可。（1）启用SYN攻击保护。（2）设置SYN保护阈值。（3）设置其他保护。具体内容参见书中介绍。,3.6.4 抵御ICMP攻击,这一部分的命名值都位于注册表的HKLMSystemCurrentControlSetServicesAFD Parameters主键项的下面。只需将名为“EnableICMPRedirect”的双字节键值项的值设为“0”即可（有效值为0（禁用），1（启用）。通过将此注册表键值项修改为“0”，能够在收到ICMP重定向数据包

20、时禁止创建高成本的主机路由。3.6.5 抵御SNMP攻击 这一部分的命名值位于注册表的HKLMSystemCurrentControlSetServicesTcpip Parameters主键项的下面。只需将名为“EnableDeadGWDetect”的键值项的值设为“0”即可（有效值0（禁用），1（启用）。通过此项设置，可禁止攻击者强制切换到备用网关。,3.6.6 AFD.SYS保护,Afd.sys用于支持Windows Sockets应用程序。这一部分的所有注册表项和值都位于注册表的HKLMSystemCurrentControlSet ServicesAFDParameters主键项的下

21、面。这些注册表值项（均为双字节类型）有：EnableDynamicBacklog、MinimumDynamicBacklog、MaximumDynamicBacklog、DynamicBacklogGrowthDelta。 具体配置方法参见书中介绍。 3.6.7 其他保护 这一部分的所有注册表项和值都位于注册表的HKLMSystemCurrentControlSetServices TcpipParameters主键项的下面，它们是：DisableIPSourceRouting、EnableFragmentChecking、EnableMulticastForwarding、IPEnableR

22、outer、EnableAddrMaskReply 具体配置方法参见书中介绍。,3.7 系统漏洞扫描,黑客在选择目标时，首先要确定的是目标主机存在哪些漏洞，是否可以利用这些漏洞为跳板实施攻击。所以，在我们的日常网络管理中，全面封堵这些漏洞是非常必要的，也是必须的。 3.7.1 及时更新系统补丁 一般来说，比较著名品牌的系统软件（包括操作系统和应用软件）都会不定期地发布一些封睹安全漏洞的补丁，如微软的Windows系统、Office系统和Exchange系统等。这些安全漏洞一般用户只能依靠他们，因为这类安全因素对于绝大多数用户来说都是无能为力的。我们应及时更新安装这些补丁程序。 具体配置方法参见

23、书中介绍。,3.7.2 利用工具软件扫描系统漏洞,借助一些工具软件来帮助分析当前系统存在的安全漏洞，以便及时地发现漏洞的存在，及时下载安全补丁。常见的如金山毒霸、360安全卫士、雅虎助手等就有这样的功能。具体配置方法参见书中介绍。3.7.3 MBSA简介 Microsoft基准安全分析器（Microsoft Baseline Security Analyzer，MBSA）是微软公司整个安全部署方案中的一种，它目前的主要版本是v1.2.1。该工具允许用户扫描一台或多台基于Windows的计算机，以发现常见的安全方面的配置错误。MBSA将扫描基于Windows的计算机，并检查操作系统和已安装的其他

24、组件（如IIS和SQL Server），以发现安全方面的配置错误，并及时通过推荐的安全更新进行修补。,1MBSA V1.2的主要功能MBSA V1.2的主要功能包括：（1）检查系统配置 Windows操作系统 Internet Information Server Microsoft SQL Server 检查桌面应用程序（2）安全更新 MBSA可以通过引用Microsoft不断更新和发布可扩展标记语言（Extensible Markup Language，XML）文件（mssecure.xml），来确定将哪些关键安全更新应用于系统。2扫描模式和类型MBSA可以选择要扫描的计算机包括：单台计算机、多台计算机两种。MBSA可以扫描类型包括：MBSA典型扫描、HFNetChk典型扫描和网络扫描三种。以上具体内容参见书中介绍。,3.7.4 MBSA安全漏洞检查说明,MBSA的安全漏洞扫描主要检查以下各项 1Windows检查Windows方面的检查包括：管理员组成员资格、审核、自动登录、自动更新、检查是否存在不必要的服务、域控制器、文件系统、来宾账户、Internet Connection Fi