小學教育常見攻擊與防范-蘑菇課堂課件

1、黑客攻擊類型非法訪問；竊取和重放攻擊；拒絕服務；惡意代碼。黑客攻擊類型非法訪問；非法訪問非法訪問對開放資源的越權(quán)操作；對內(nèi)部網(wǎng)絡資源的非法訪問。利用應用程序或操作系統(tǒng)漏洞成為開放資源的超級用戶；非法接入內(nèi)部網(wǎng)絡，或者成為內(nèi)部網(wǎng)絡授權(quán)用戶，或者利用應用程序或操作系統(tǒng)漏洞成為開放資源的超級用戶 。非法訪問非法訪問利用應用程序或操作系統(tǒng)漏洞成為開放資源的超級利用系統(tǒng)漏洞越權(quán)操作利用操作系統(tǒng)和應用程序漏洞非法提升訪問權(quán)限；對系統(tǒng)資源越權(quán)操作。利用系統(tǒng)漏洞越權(quán)操作利用操作系統(tǒng)和應用程序漏洞非法提升訪問權(quán)竊取和中繼攻擊竊取是非法獲得信息副本，但不影響信息正常傳輸；截獲是不僅非法獲得信息，且終止或改變信息傳

2、輸過程；中繼（也稱重放）攻擊是先截獲信息，延遲一段時間后，重新繼續(xù)信息傳輸過程。竊取和中繼攻擊竊取是非法獲得信息副本，但不影響信息正常傳輸；通過集線器竊取流經(jīng)關(guān)鍵網(wǎng)段信息集線器的廣播功能使黑客終端竊取流經(jīng)兩個交換機間鏈路的全部信息。通過集線器竊取流經(jīng)關(guān)鍵網(wǎng)段信息集線器的廣播功能使黑客終端竊取通過ARP欺騙截獲信息黑客終端通過錯誤綁定IP A和MAC C，截獲原本發(fā)送給用戶A的信息。IP AMAC C通過ARP欺騙截獲信息黑客終端通過錯誤綁定IP A和MAC 通過篡改路由表截獲信息LAN4 1黑客終端通過發(fā)布假的路由消息，截獲終端A傳輸給終端B的全部IP分組通過篡改路由表截獲信息LAN4 1黑客

3、終端通過發(fā)布假的路由消DoS(拒絕服務攻擊)與DDoS(Distributed Denial Of Service分布式拒絕服務攻擊)通過消耗掉主機資源和網(wǎng)絡帶寬資源使主機或網(wǎng)絡無法正常提供服務的攻擊手段。實際上讓服務器實現(xiàn)兩種效果：一、迫使服務器的緩沖區(qū)滿，不接收新的請求；二、使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。DoS(拒絕服務攻擊)與DDoS(Distributed D常見DoS攻擊 1SYN洪水(SYNflood)2IP欺騙DoS3死亡之ping(PingofDeath)4淚滴(TearDrop)攻擊5UDPflood攻擊6Land（LandAttack）攻

4、擊7Smurf攻擊常見DoS攻擊 1SYN洪水(SYNflood)DoS與DDoS攻擊原理SYN Flood：是一種利用TCP協(xié)議缺陷，通過三次握手發(fā)送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負荷或內(nèi)存不足)的攻擊方式。 DoS與DDoS攻擊原理SYN Flood：是一種利用TCP(1) 攻擊者向被攻擊服務器發(fā)送一個包含SYN(Synchronize)同步報文標志的TCP報文，同步報文會指明客戶端使用的端口以及TCP連接的初始序號。這時與被攻擊服務器建立了第一次握手。 (2) 受害服務器在收到攻擊者的SYN報文后，將返回一個SYN+ACK的報文，表示攻擊者的請求被接受，同時TCP

5、序號被加一，ACK(Acknowledgment)即確認，這樣就同被攻擊服務器建立了第二次握手。 (3) 攻擊者也返回一個確認報文ACK給受害服務器，同樣TCP序列號被加一，到此一個TCP連接完成，三次握手完成。 DoS與DDoS攻擊原理(1) 攻擊者向被攻擊服務器發(fā)送一個包含SYN(SynchrDDoS攻擊DDoS攻擊拒絕服務攻擊的防護 不同的角色有不同的任務： 企業(yè)網(wǎng)管理員 SP、ICP管理員 骨干網(wǎng)絡運營商 企業(yè)網(wǎng)管理員拒絕服務攻擊的防護 不同的角色有不同的任務：SYN Flood攻擊的防御方法1主機上的設置幾乎所有的主機平臺都有抵御DoS的設置，總結(jié)一下，基本的有幾種： (1) 關(guān)閉不

6、必要的服務(2) 限制同時打開的Syn半連接數(shù)目(3) 縮短Syn半連接的time out 時間(4) 及時更新系統(tǒng)補丁和安裝防火墻軟件SYN Flood攻擊的防御方法1主機上的設置SYN Flood攻擊的防御方法Windows Server 2003下具體實現(xiàn)方法如下：首先運行“regedit.exe”進入注冊表，在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters做以下更改（所涉及的值全為十六進制）： 1、 啟用SYN攻擊保護 新建一個名為SynAttackProtect的數(shù)值，數(shù)值類型為REG_DWORD。將值

7、設置為：1。 該參數(shù)可使 TCP 調(diào)整 SYN-ACKS 的重新傳輸，當SynAttackProtect默認值為0(即不采取任何保護措施), 設置為1時， 可更有效地抵御 SYN 攻擊此時，如果系統(tǒng)檢測到存在 SYN 攻擊，連接響應的超時時間將更短。 SYN Flood攻擊的防御方法Windows ServerSYN Flood攻擊的防御方法2、設置SYN保護閥值 1) 新建一個名為TcpMaxPortsExhausted的數(shù)值，數(shù)值類型為REG_DWORD ，將值設為5。 該參數(shù)指定觸發(fā) SYN 洪水攻擊保護所必須超過的 TCP 連接請求數(shù)的閾值，有效值為 0 65535。 2) 新建一個名

8、為TCPMaxHalfOpen的數(shù)值，數(shù)值類型為 REG_DWORD ，將值設為500。 TCPMaxHalfOpen的數(shù)值有效值為100 65535，在啟用 SynAttackProtect 后，該值指定處于 SYN_RCVD 狀態(tài)的 TCP 連接數(shù)的閾值。在超過 SynAttackProtect 后，將觸發(fā) SYN 洪水攻擊保護。 3) 新建一個名為TCPMaxHalfOpenRetried的數(shù)值，數(shù)值類型為REG_DWORD ，將值設為400。 TCPMaxHalfOpenRetried數(shù)值有效值為 80 65535，在啟用 SynAttackProtect 后，該值指定處于至少已發(fā)送一

9、次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接數(shù)的閾值。在超過 SynAttackProtect 后，將觸發(fā) SYN 洪水攻擊保護。SYN Flood攻擊的防御方法2、設置SYN保護閥值 SYN Flood攻擊的防御方法3、其它參數(shù)設置 1) 新建一個名為EnableDeadGWDetect的數(shù)值，數(shù)值類型為REG_DWORD ，將值設為0 （即False狀態(tài)） EnableDeadGWDetect數(shù)值有效值為：0或1（即False或True）。當值為1時，將允許 TCP 執(zhí)行失效網(wǎng)關(guān)檢測，啟用失效網(wǎng)關(guān)檢測時，如果多個連接出現(xiàn)困難，TCP 可能會要求 Internet 協(xié)議 (IP) 切換

10、到備份網(wǎng)關(guān)，攻擊者可以利用此狀態(tài)可能會強制服務器切換網(wǎng)關(guān)，而切換到的新網(wǎng)關(guān)可能并不是您打算使用的網(wǎng)關(guān)。所以將值設為0可以避免上述現(xiàn)象的發(fā)生。2) 新建一個名為EnablePMTUDiscovery的數(shù)值，數(shù)值類型為REG_DWORD ，將值設為0 （即False狀態(tài)）。 SYN Flood攻擊的防御方法3、其它參數(shù)設置 EnablePMTUDiscovery的有效值為：0或1（即False或True）。設置為 1 時，TCP 將嘗試發(fā)現(xiàn)經(jīng)由遠程主機的路徑傳輸?shù)淖畲髠鬏攩挝?(MTU) 或最大數(shù)據(jù)包大小。通過發(fā)現(xiàn)路徑的 MTU 并將 TCP 段限制到這一大小，TCP 可以沿著連接具有不同 MTU

11、 的網(wǎng)絡的路徑刪除路由器上的碎片，消除碎片對網(wǎng)絡帶來的負擔。但是，同時攻擊者也可以利用強制將 MTU 值設置非常小來的辦法，使得堆棧的負荷過大。設置為0是比較好選擇。實際上，這樣的設置是用降低TCP/IP 性能和吞吐量來換取堆棧的安全。 SYN Flood攻擊的防御方法EnablePMTUDiscovery的有效值為：0或1（即3) 建一個名為KeepAliveTime的數(shù)值，數(shù)值類型為REG_DWORD ，默認值：7,200,000（兩個小時），將值設為300,000。 KeepAliveTime的有效范圍1-0 xFFFFFFFF（單位為毫秒）。該值控制 TCP 通過發(fā)送“保持活動”的數(shù)據(jù)

12、包來驗證空閑連接仍然完好無損的頻率。如果仍能連接到遠程計算機，該計算機就會對“保持活動”的數(shù)據(jù)包作出應答。默認情況下，不發(fā)送“保持活動”的數(shù)據(jù)包。這里我們將其設置為300，000（即5分鐘）。 SYN Flood攻擊的防御方法3) 建一個名為KeepAliveTime的數(shù)值，數(shù)值類型為4) 建一個名為NoNameReleaseOnDemand 的數(shù)值，數(shù)值類型為REG_DWORD ，默認值：0，將值設為1。 NoNameReleaseOnDemand有效值為0或1（即False或True）。該值確定計算機在收到名稱釋放請求時是否釋放其 NetBIOS 名稱。添加該值的目的是讓服務器能夠保護計算

13、機免受惡意的名稱釋放攻擊，如果有其它防護產(chǎn)品的保護功能，可以忽略此項。以上數(shù)值匯總?cè)绫?所示。 上述數(shù)值除邏輯判斷外，其余各值需要根據(jù)網(wǎng)絡使用的實際狀況進行測試和調(diào)整,可以在推薦值基礎(chǔ)上的倍數(shù)修改。設置值過小可能導致正常連接用戶被忽略，影響網(wǎng)絡正常工作。修改注冊表之前，請做好注冊表的備份。 SYN Flood攻擊的防御方法4) 建一個名為NoNameReleaseOnDemand 2網(wǎng)絡設備上的設置企業(yè)網(wǎng)的網(wǎng)絡設備可以從防火墻與路由器上考慮。這兩個設備是到外界的接口設備，在進行防DoS設置的同時，要注意一下這是以多大的效率犧牲為代價的，對你來說是否值得。(1) 防火墻 禁止對主機的非開放服務的

14、訪問 限制同時打開的SYN最大連接數(shù) 限制特定IP地址的訪問 啟用防火墻的防DDoS的屬性 嚴格限制對外開放的服務器的向外訪問SYN Flood攻擊的防御方法2網(wǎng)絡設備上的設置SYN Flood攻擊的防御方法(2) 路由器 以Cisco路由器為例 Cisco Express Forwarding（CEF） 使用 unicast reverse-path 訪問控制列表（ACL）過濾 設置SYN數(shù)據(jù)包流量速率 升級版本過低的ISO為路由器建立log serverSYN Flood攻擊的防御方法(2) 路由器 SYN Flood攻擊的防御方法Smurf攻擊黑客終端利用定向廣播的放大效能，將幾個以被攻

15、擊終端IP地址為源地址的ICMP ECHO請求報文放大為成千上萬個以被攻擊終端IP地址為目的地址的ICMP ECHO響應報文。Smurf攻擊黑客終端利用定向廣播的放大效能，將幾個以被攻擊惡意代碼獨立程序或是寄生于某個程序中；自動復制（傳染）或是不能傳染。惡意代碼獨立程序或是寄生于某個程序中；病毒傳播過程通過移動介質(zhì)傳播；通過Web站點傳播；通過電子郵件傳播；自動傳播（蠕蟲特征）。病毒傳播過程通過移動介質(zhì)傳播；2.2 黑客攻擊過程黑客攻擊過程分為三步：收集信息；偵察；攻擊。2.2 黑客攻擊過程黑客攻擊過程分為三步：2.3 黑客攻擊實例由于內(nèi)部網(wǎng)絡中存在無線局域網(wǎng)，除非采用802.11i，黑客非法接入這樣的內(nèi)部網(wǎng)絡易如反掌。網(wǎng)絡結(jié)構(gòu)2.3 黑客攻擊實例由于內(nèi)部網(wǎng)絡中存在無線局域網(wǎng)，除非采用8非法接入過程接入無線局域網(wǎng)需要：獲得SSID；通過身份認證。非法接入過程接入無線局域網(wǎng)需要：獲得SSID黑客終端通過偵聽合法終端和AP交換的信息，獲得SSID。信標幀（SSID）探測請求幀（SSID）探測響應幀（SSID）獲得SSID黑客終端通過偵聽合法終端和AP交換的信息，獲得S通過共享密鑰認證兩端一次性密鑰K取決于明文IV。Y=PK，很容易根據(jù)Y和P推出K= PY= P PK=K。IV不變，AP根據(jù)IV推出的一次性密鑰K不變，如果Y=P K，AP認定黑客終端擁有共享密鑰G