網(wǎng)絡(luò)攻擊與防御-第一講

1、 網(wǎng)絡(luò)攻擊與防御本節(jié)提要1.網(wǎng)絡(luò)安全概述2.一個(gè)網(wǎng)絡(luò)安全有關(guān)的案例3.與網(wǎng)絡(luò)安全有關(guān)的協(xié)議網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全定義指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會遭受惡意的破壞、更改和泄漏，系統(tǒng)可以正常的運(yùn)行網(wǎng)絡(luò)安全概述什么是不安全的網(wǎng)絡(luò)環(huán)境信息丟失信息戰(zhàn)內(nèi)部泄密外部泄密自然災(zāi)害、意外事故計(jì)算機(jī)犯罪網(wǎng)絡(luò)協(xié)議中的缺陷，例如TCP/IP協(xié)議的缺陷電子諜報(bào)，比如信息流量分析、信息竊取等人為行為，比如使用不當(dāng)，安全意識差等“黑客” 行為，比如非法訪問、非法連接一個(gè)關(guān)于網(wǎng)絡(luò)安全的實(shí)例一次迅速入侵NT架構(gòu)操作系統(tǒng)的方法操作系統(tǒng)平臺：必須為NT，可以是WINNT4.0或5.0；WorkStation 或S

2、erver；還可以是WIN2000。工具:Netsvc.exe 用于啟動(dòng)遠(yuǎn)程主機(jī)的schedule服務(wù)。1.打開DOS窗口，輸入net use ip 連接上目標(biāo)主機(jī)。把木馬上傳到目標(biāo)主機(jī)。建議放在你共享的所在目錄，或系統(tǒng)目錄WINNT下,執(zhí)行時(shí)不用再輸入程序所在路徑。木馬都有自我刪除功能，所以一般不會被管理員發(fā)現(xiàn)。上傳木馬后，鍵入:C:/netsvc ip schedule /start啟動(dòng)目標(biāo)主機(jī)的schedule服務(wù)(schedule服務(wù)用來定時(shí)執(zhí)行某程序，我們可利用它來執(zhí)行木馬程序)。這過程可能會持續(xù)較久,一定要等到提示符出現(xiàn)才進(jìn)行下一步,然后鍵入C:/net time ip將顯示目標(biāo)主

3、機(jī)的系統(tǒng)時(shí)間，如：14:43記住這時(shí)間，接下來用AT命令往目標(biāo)主機(jī)添加入定時(shí)啟動(dòng)木馬程序的任務(wù)，鍵入：C:/at ip 14:45 trojan.exe注意：這里我啟動(dòng)時(shí)間定為14:45而不是14:43，往后推遲了幾分鐘，這是考慮到命令往返于兩機(jī)需要一定的時(shí)間至此，你只要等稍等幾分鐘過去，就可以打開你的木馬客戶器控制目標(biāo)主機(jī)了，也不用那么麻煩地執(zhí)行程序啦！入侵分析這次入侵使用了一些DOS系統(tǒng)中的常用命令例如net use ipC:/netsvc ip schedule /startC:/net time ipC:/at ip 14:45 trojan.exe使用了木馬程序Netsvc.exe學(xué)

4、習(xí)網(wǎng)絡(luò)攻擊與防御我們需要哪些知識1.對操作系統(tǒng)的理解2.對網(wǎng)絡(luò)框架與協(xié)議的理解3.常用網(wǎng)絡(luò)命令的掌握4.掌握通過工具捕獲網(wǎng)絡(luò)信息的方法5.對捕獲的網(wǎng)絡(luò)信息有分析能力6.掌握路由器與交換機(jī)的工作原理與配置方法7.會設(shè)置防火墻操作系統(tǒng)介紹常用操作系統(tǒng)的架構(gòu)介紹一.基于windowsNT架構(gòu)系統(tǒng)Windows2000server系統(tǒng)特點(diǎn)：1.支持NTFS格式系統(tǒng)文件2. win2000系統(tǒng)支持127位的字符口令3. Active Directory 與 Windows 2000 安全服務(wù)（如 Kerberos 身份驗(yàn)證協(xié)議、公鑰基本結(jié)構(gòu)、加密文件系統(tǒng) (EFS)、安全性配置管理器、組策略以及委派管理

5、等）緊密集成。說明1.什么是NTFS(New Technology File System) 微軟WindowsNT內(nèi)核的系列操作系統(tǒng)支持的、一個(gè)特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計(jì)的磁盤格式。隨著以NT為內(nèi)核的 Windows2000/XP的普及，很多個(gè)人用戶開始用到了NTFS。NTFS也是以簇為單位來存儲數(shù)據(jù)文件，但NTFS中簇的大小并不依賴于磁盤或 分區(qū)的大小。簇尺寸的縮小不但降低了磁盤空間的浪費(fèi)，還減少了產(chǎn)生磁盤碎片的可能。NTFS支持文件加密管理功能，可為用戶提供更高層次的安全保證。 說明Active Directory是指Windows 2000網(wǎng)絡(luò)中的目錄服務(wù)。它有兩

6、個(gè)作用： 1. 目錄服務(wù)功能2.集中式管理 該技術(shù)還可以用來確保只有那些經(jīng)過授權(quán)的用戶或應(yīng)用程序方可獲準(zhǔn)在具備安全保障的前提自下針對相關(guān)資源實(shí)施訪問調(diào)用。 Unix系統(tǒng)架構(gòu)介紹UNIX ，是一個(gè)強(qiáng)大的多用戶、多任務(wù)操作系統(tǒng)，支持多種處理器架構(gòu) unix是基于命令行的操作系統(tǒng) Unix操作系統(tǒng)通常被分成三個(gè)主要部分：內(nèi)核（Kernel）、Shell和文件系統(tǒng)。 Unix系統(tǒng)權(quán)限介紹1.讀許可權(quán)2.寫許可權(quán)3.執(zhí)行許可權(quán)Unix基本命令操作舉例（1）首先讓我們在當(dāng)前目錄下創(chuàng)建兩個(gè)目錄dir1，dir2： mkdir dir1 dir2 /輸入命令后記得敲一下回車鍵： （2）進(jìn)入目錄dir1中創(chuàng)建文

7、件file1，file2： cd dir1 /進(jìn)入目錄dir1 touch file1 file2 /創(chuàng)建文件file1，file2 （3）再進(jìn)入目錄dir2中創(chuàng)建文件file3，file4： cd . /返回上一級目錄 cd dir2 /進(jìn)入目錄dir2 touch file3 file4 /創(chuàng)建文件file3，file4 與DOS命令有些相似Unix常用操作界面網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全定義指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會遭受惡意的破壞、更改和泄漏，系統(tǒng)可以正常的運(yùn)行遠(yuǎn)程攻擊與防御基礎(chǔ)介紹Host C 入侵檢測 控制臺 Host B Host A 受保護(hù)網(wǎng)絡(luò)IDS主機(jī)黑客發(fā)起攻

8、擊驗(yàn)證報(bào)文并采取措施識別出攻擊行為阻斷連接或者報(bào)警等發(fā)現(xiàn)響應(yīng)策略InternetInternet返回一次遠(yuǎn)程攻擊與防御示意圖分析攻擊的位置遠(yuǎn)程攻擊本地攻擊偽遠(yuǎn)程攻擊簡單拒絕服務(wù)本地用戶非法獲得權(quán)限遠(yuǎn)程用戶非法獲得權(quán)限攻擊分類主動(dòng)攻擊被動(dòng)攻擊常見攻擊手段竊聽（鍵擊記錄、網(wǎng)絡(luò)監(jiān)聽）欺騙（獲取口令、惡意代碼）拒絕服務(wù)（資源耗盡）數(shù)據(jù)驅(qū)動(dòng)攻擊（緩沖區(qū)溢出、漏洞攻擊）網(wǎng)絡(luò)防御系統(tǒng)體系結(jié)構(gòu)預(yù)警保護(hù)檢測響應(yīng)恢復(fù)反擊網(wǎng)絡(luò)安全通信協(xié)議總部分支機(jī)構(gòu)移動(dòng)用戶 INTERNET安全整體解決方案客戶端防病毒與客戶端VPN軟件入侵檢測與服務(wù)器防病毒防火墻或VPN網(wǎng)關(guān)網(wǎng)絡(luò)協(xié)議的進(jìn)一步討論Tcp/Ip協(xié)議分析TCP協(xié)議報(bào)頭格

9、式分析通過網(wǎng)絡(luò)分析儀捕獲的協(xié)議實(shí)例Tcp數(shù)據(jù)段如下Source port:5973 /源端口Destination port:23 /目的端口Sequence number:1456389907 /序列號Ack number:1242056456 /確認(rèn)號Offset:5 /報(bào)頭長度Reserved: %000000 /保留Code: %011000 /代碼位Ack is valid Push request Window: 61320 /窗口Checksum: 0 x61a6 /校驗(yàn)和Urgent pointer: 0 / 緊急指針No tcp options /選項(xiàng)Tcp data are

10、a: /數(shù)據(jù)Vl.5.+.5.+.5. 76 4c 19 35 11 2b 19Frame check sequence:0 x0d0000f網(wǎng)絡(luò)協(xié)議的進(jìn)一步討論Tcp/Ip協(xié)議分析Ip協(xié)議報(bào)頭格式網(wǎng)絡(luò)協(xié)議的進(jìn)一步討論分析：版本 ：ip版本號首部長度：32位長度服務(wù)類型：說明數(shù)據(jù)如何被處理長度：報(bào)頭與數(shù)據(jù)的長度認(rèn)證：唯一的ip數(shù)據(jù)包值標(biāo)志：說明是否有數(shù)據(jù)被分片段偏移量：數(shù)據(jù)在裝入時(shí)太大，需要進(jìn)行分段與重組TTL: 是指一個(gè)數(shù)據(jù)包被發(fā)送時(shí)規(guī)定的一個(gè)時(shí)間值協(xié)議：上層協(xié)議端口，tcp是6H，UDP是17H校驗(yàn)和：檢測報(bào)頭的循環(huán)冗余碼源地址：發(fā)送站的32位地址目的地址：接收站的32位地址選項(xiàng)：用于網(wǎng)絡(luò)

11、調(diào)試，檢測通過網(wǎng)絡(luò)分析儀捕獲的協(xié)議實(shí)例IP Header - Internet Protocol Datagram Version: 4 / 版本號 Header Length: 5 /首部長度 Precedence: 0 /優(yōu)先級 Type of Service: %000 服務(wù)類型 Unused: %00 未使用 Total Length: 187 總長度 Identifier: 22486 認(rèn)證 Fragmentation Flags: %010 Do Not Fragment /是否有分片（碎片） Fragment Offset: 0 / 段開銷 Time To Live: 60 /生

12、存周期 IP Type: 0 x06 TCP / 協(xié)議 此處表示6H TCP Header Checksem: 0 xd031 /報(bào)頭校驗(yàn) Source IP Address: 0 Dest. IP Address: 0 No Internet Datagram Options /無選項(xiàng) 在ip協(xié)議字段可能出現(xiàn)的協(xié)議號協(xié)議 協(xié)議號ICMP 1IGRP 9EIGRP 88OSPF 89IPV6 41GRE 47 UDP協(xié)議網(wǎng)絡(luò)協(xié)議的進(jìn)一步討論源端口 ：發(fā)送數(shù)據(jù)主機(jī)的端口號目的端口 ：目的主機(jī)上請求應(yīng)用程序的端口號長度： udp報(bào)頭與udp數(shù)據(jù)的長度校驗(yàn)和: 報(bào)頭與數(shù)據(jù)字段兩者的校驗(yàn)和數(shù)據(jù)：上層的

13、數(shù)據(jù)通過網(wǎng)絡(luò)分析儀捕獲的協(xié)議實(shí)例UDP - User Datagram Protocol Source Port: 1085 /源端口 Destination Port: 5136 /目的端口 Length: 41 /長度 Checksum: 0 x7a3c /校驗(yàn) UDP Data Area: .Z. 00 01 5a 96 00 01 00 00 00 00 00 11 00 00 00.C.2._C._C 2e 03 00 43 02 1e 32 0a 00 0a 00 80 43 00 80Frame Check Sequence: 0 x00000000關(guān)于端口的討論&傳輸層的協(xié)議討

14、論端口：tcp與UDP必須使用端口號來與其他上層進(jìn)行通信不同的端口號實(shí)現(xiàn)了不同的會話過程在應(yīng)用層中對應(yīng)的不同端口號應(yīng)用層 傳輸層協(xié)議 端口號FTP TCP 21TELNET TCP 23 DNS TCP/UDP 53TFTP UDP 69POP3 UDP 110低于1024的端口號有rfc3232確定高于1024的端口號及1024端口號被上層用來建立主機(jī)與其他主機(jī)的會話傳輸層上TCP與UDP協(xié)議的比較TCP關(guān)鍵字(排序、可靠、面向連接、虛電路、三方握手、窗口流量控制)、UDP關(guān)鍵字(無序、不可靠、無連接、低開銷、無確認(rèn)、沒有窗口或流量控制) 一次利用端口與windows2000漏洞進(jìn)行攻擊的實(shí)

15、例攻擊目的：侵入安裝windows2000網(wǎng)絡(luò)服務(wù)器的主機(jī)，獲得網(wǎng)站資料并篡改網(wǎng)頁內(nèi)容攻擊步驟：利用WINDOW輸入法漏洞1、用端口掃瞄程序掃IP的3389端口，得到xx.xx.xx.xx。 2、運(yùn)行windows2000終端客戶程序，在服務(wù)器輸入框里填入：xx.xx.xx.xx ，連接。 3、出現(xiàn)windows2000的登陸窗口，按下CTRL+SHIFT鍵，出現(xiàn)全拼輸入法。一次利用端口與windows2000漏洞進(jìn)行攻擊的實(shí)例4、在輸入法狀態(tài)條上按mouse右鍵，選擇幫助，選擇輸入指南，選擇選項(xiàng)按右鍵。 5、選擇跳轉(zhuǎn)到URL，輸入：c:winntsystem32cmd.exe. 6、選擇保存

16、到磁盤。 7、選擇目錄：c:inetpubscripts 8、打開IE，輸入：xx.xx.xx.xx/scripts/cmd.exe?/c+dir+c: （知道了吧） 9、輸入：xx.xx.xx.xx/scripts/cmd.exe?/c+echo+BEIJING+c:inetpubwwwrootdefault.aspARP協(xié)議與RARP協(xié)議的進(jìn)一步討論地址解析協(xié)議ARP概述圖例：通過網(wǎng)絡(luò)分析儀捕獲的協(xié)議實(shí)例Packet Length: 64 Timestamp: 09:17:29 03/17/10Ethernet Header Destination: FF:FF:FF:FF:FF:FF /

17、這是一個(gè)廣播地址 Source: 00:A0:24:48:60:A5 Protocol Type: 0 x0806 IP ARPARP - Address Resolution Protocol Hardware: 1 Ethernet (10Mb) Protocol: 0 x0800 IP Hardware Address Length: 6 Protocol Address Length: 4 Operation: 1 ARP Request Sender Hardware Address: 00:A0:24:48:60:A5 Sender Internet Address: Target

18、 Hardware Address: 00:00:00:00:00:00 (ignored) Target Internet Address: 0ARP就是已知主機(jī)的IP地址在網(wǎng)絡(luò)上查找到它的MAC地址的協(xié)議一次利用ARP協(xié)議的攻擊ARP欺騙原理 每臺安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如下表所示。主機(jī) IP地址 MAC地址A aa-aa-aa-aa-aa-aaB bb-bb-bb-bb-bb-bbC cc-cc-cc-cc-cc-ccD dd-dd-dd-dd-dd-dd一次利用ARP協(xié)議的攻擊ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，

19、那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。對目標(biāo)A進(jìn)行欺騙，A去Ping主機(jī)C卻發(fā)送到了DD-DD- DD-DD-DD-DD這個(gè)地址上。如果進(jìn)行欺騙的時(shí)候，把C的MAC地址騙為DD-DD-DD-DD-DD-DD，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送 給D的了。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么。 如何防范ARP攻擊ARP攻擊后的癥狀A(yù)RP的發(fā)現(xiàn)：ARP的通病就是掉線，在掉線的基礎(chǔ)上可以通過以下幾種方式判 別，1.一般情況下不需要處理1分鐘之內(nèi)就可以回復(fù)正常上網(wǎng)。因?yàn)锳RP欺騙是由時(shí)限，過了期限就會自動(dòng)的回復(fù)正常。而且現(xiàn)在大多數(shù)路由器都會在很短時(shí)間 內(nèi)不停廣播自己的正確ARP，使受騙的機(jī)器回復(fù)

20、正常。但是如果出現(xiàn)攻擊性ARP欺騙（其實(shí)就是時(shí)間很短的量很大的欺騙ARP，1秒有個(gè)幾百上千的），他是 不斷的通過非常大量ARP欺騙來阻止內(nèi)網(wǎng)機(jī)器上網(wǎng)，即使路由器不斷廣播正確的包也會被他大量的錯(cuò)誤信息給淹沒。2.打開被騙機(jī)器的DOS界面，輸入ARP -A命令會看到相關(guān)的ARP表，通過看到的網(wǎng)關(guān)的MAC地址可以去判別是否出現(xiàn)ARP欺騙，但是由于時(shí)限性，這個(gè)工作必須在機(jī)器回復(fù)正常之前完成。如果出 現(xiàn)欺騙問題，ARP表里面會出現(xiàn)錯(cuò)誤的網(wǎng)關(guān)MAC地址，和真實(shí)的網(wǎng)關(guān)MAC進(jìn)行對比如何防范ARP攻擊1. 在PC上綁定路由器的IP和MAC地址：1)首先，獲得路由器的內(nèi)網(wǎng)的MAC地址(例如HiPER網(wǎng)關(guān)地址54

21、的MAC地址為0022aa0022aa局域網(wǎng) 端口MAC地址)。2)編寫一個(gè)批處理文件rarp.bat內(nèi)容如下：echo offarp -darp -s 54 00-22-aa-00-22-aa將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。將這個(gè)批處理軟件拖到“windows-開始-程序-啟動(dòng)”中。2. 在路由器上綁定用戶主機(jī)的IP和MAC地址(440以后的路由器軟件版本支持) ICMP協(xié)議的討論該協(xié)議工作在網(wǎng)絡(luò)層屬于一個(gè)管理型協(xié)議icmp（因特網(wǎng)控制報(bào)文協(xié)議）協(xié)議負(fù)責(zé)為IP提供路由信息與有無差錯(cuò)情況典型應(yīng)用ping該協(xié)議使用ip協(xié)議進(jìn)行封裝通過網(wǎng)絡(luò)分析儀捕獲的協(xié)議實(shí)例捕獲完整的協(xié)議數(shù)據(jù)內(nèi)容Flags: 0 x00 Status: 0 x00 Packet Length: 78 Timestamp: 14:04:25.967000 12/20/03 Ethernet Header Destination: 00:a0:24:6e:0f:a8 Source: 00:80:c7:a8:f0:3d Ether-Type: 08-00 IP通過網(wǎng)絡(luò)分析儀捕獲的協(xié)議實(shí)例IP Header - Internet Protocol Datgram Versio