網(wǎng)絡(luò)安全之三網(wǎng)絡(luò)攻擊與防范 ppt

現(xiàn)在網(wǎng)絡(luò)已經(jīng)不僅僅是一個時髦的名詞。事實上它已經(jīng)成為人們生活不可缺少的一部分。前言學(xué)習(xí)完此課程，您將會：了解常見網(wǎng)絡(luò)攻擊方式理解網(wǎng)絡(luò)攻擊的原理了解應(yīng)對網(wǎng)絡(luò)攻擊的措施學(xué)習(xí)目標(biāo)第1章網(wǎng)絡(luò)攻擊概述第2章網(wǎng)絡(luò)攻擊原理和防范目錄第1章網(wǎng)絡(luò)攻擊概述第1節(jié)網(wǎng)絡(luò)安全威脅第2節(jié)常見攻擊類型內(nèi)容介紹網(wǎng)絡(luò)攻擊發(fā)展趨勢Sophistication

ofhackertoolsPacketforging/spoofing19901980PasswordguessingSelfreplicating

codePasswordcrackingBackdoorsHijackingsessionsSweepersSniffersStealthdiagnosticsTechnicalknowledgerequiredHighLow2000ExploitingknownvulnerabilitiesDisablingaudits網(wǎng)絡(luò)安全威脅常見的網(wǎng)絡(luò)威脅分類:無意的蓄意的外部的內(nèi)部的常見的攻擊類型數(shù)據(jù)報嗅探IP脆弱性口令攻擊拒絕服務(wù)攻擊“中間人”攻擊應(yīng)用層的攻擊信任機制的利用端口重定向病毒木馬Layer2攻擊第1章網(wǎng)絡(luò)攻擊概述第2章網(wǎng)絡(luò)攻擊原理和防范目錄第1章網(wǎng)絡(luò)攻擊原理和防范內(nèi)容介紹數(shù)據(jù)報嗅探（Sniffer）數(shù)據(jù)報嗅探是一種協(xié)議分析軟件，它利用網(wǎng)卡的混雜模式來監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)報。Sniffer可以用于嗅探網(wǎng)絡(luò)中的明文口令信息：TelnetFTPSNMPPOP數(shù)據(jù)報嗅探工具必須與監(jiān)聽對象在同一個沖突域里面。HostAHostBRouterARouterB數(shù)據(jù)報嗅探工具的分類目前，有二種主要的嗅探工具類型通用的嗅探器，例如SnifferPro，Iris等特定嗅探攻擊工具，例如PasswordSniffer。示例示例數(shù)據(jù)報嗅探的防范

主要的防范手段認(rèn)證—使用強認(rèn)證方式，例如使用一次性口令。反嗅探工具—利用反嗅探工具來發(fā)現(xiàn)網(wǎng)絡(luò)中的嗅探行為。加密—這是最為有效的防范手段。HostAHostBRouterARouterBIP偽裝IP偽裝－－偽裝IP包頭IP偽裝通常發(fā)生在需要與可信主機通信的時候。常見的IP偽裝技術(shù):利用可信主機IP進(jìn)行偽裝利用已授權(quán)IP進(jìn)行偽裝IP偽裝的危害:IP通常用于在一個已經(jīng)連接的數(shù)據(jù)通道中，注入有害數(shù)據(jù)或命令。黑客還可以改變路由表指向偽裝地址，然后黑客就可以收到所有的數(shù)據(jù)報，在轉(zhuǎn)發(fā)出去。SYNFLOOD該攻擊以多個隨即的源地址向目的主機發(fā)送SYN初始化請求，而在收到主機的SYNACK后并不產(chǎn)生回應(yīng)，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于并沒有收到ACK一直維護(hù)這些隊列，造成大量資源消耗而不能提供正常的服務(wù)。SMURF該攻擊向一個子網(wǎng)的廣播地址發(fā)送一個帶有特定請求（如ICMP回應(yīng)請求）的包，并且講源地址偽裝成想要攻擊的主機地址。子網(wǎng)上的所有主機都回應(yīng)廣播包請求而象被攻擊主機發(fā)送包。Band-based攻擊者將一個數(shù)據(jù)包的源地址和目的地址都設(shè)置為目標(biāo)主機的地址，然后將該IP包通過IP欺騙的方式發(fā)送給被攻擊主機，這種包可以造成被攻擊主機因試圖于自己建立鏈接而陷入死循環(huán)，從而降低了被攻擊主機的性能。Pingofdeath更具TCP/IP的規(guī)定，一個IP包的最大長度為65536B,這種大包在通過網(wǎng)絡(luò)的時候會被分割成很多小包，到達(dá)目的后在組合起來，而我們設(shè)法生成大于65536的IP包，會造成目的主機崩潰數(shù)據(jù)包片斷重疊（TEARDROP,BONK,NESTEA)這種攻擊技術(shù)的要點是迫使目標(biāo)系統(tǒng)的操作系統(tǒng)去處理彼此重疊的TCP/IP數(shù)據(jù)包，而這將導(dǎo)致很多操作系統(tǒng)發(fā)生崩潰或者出現(xiàn)資源耗盡。第一個包的便宜量為0，長度為N,第二個包的偏移量小于N.PINGFLOOD該攻擊在短時間內(nèi)向目的主機發(fā)送大量的PING包，造成網(wǎng)絡(luò)阻塞或者系統(tǒng)資源耗盡。IPDatagramVersion

(4)DestinationIPAddress(32)Options(0or32ifAny)UpperlayerData1Bit0Bit15Bit16Bit31Header

Length(4)Priority&Type

ofService(8)TotalLength(16)Identification(16)Flags

(3)FragmentOffset(13)Time-to-Live(8)Protocol(8)HeaderChecksum(16)SourceIPAddress(32)20

BytesIPSpoofing防范對于IP偽裝目前還沒有有效根治的防范方法，只能是盡可能的降低這種風(fēng)險:訪問控制—這是最為常用的防范手段.根據(jù)RFC2827進(jìn)行過濾—在入端口過濾使用內(nèi)部IP地址的數(shù)據(jù)報。附加的認(rèn)證方式，而不依賴IP層的認(rèn)證:加密認(rèn)證(推薦)拒絕服務(wù)攻擊DoS拒絕服務(wù)攻擊是導(dǎo)致服務(wù)癱瘓的一種攻擊手段:不同于旨在獲得系統(tǒng)權(quán)限，竊取敏感信息的攻擊手段易于發(fā)起最難以消除僵尸機客戶端系統(tǒng)4.黑客控制大量的代理發(fā)起DDOS攻擊.1.掃描.3.在代理上面安裝控制端軟件.DDoSExample2.安裝掃描器和攻擊代理器.DDOS攻擊防范可以通過下列方法來降低DDOS攻擊的影響:防范IP偽裝—在防火墻和路由器是配置防范IP偽裝的策略防范DOS功能—在防火墻和路由器是配置防范DOS的策略流量限制

口令攻擊常見口令攻擊的手段:暴力破解木馬竊取IP偽裝嗅探口令攻擊的示例L0phtCrack口令破解的常用手段:字典攻擊暴力破解口令攻擊的防范不要在多個系統(tǒng)中使用相同的口令.制定口令的鎖定策略.不要使用明文口令，在有條件的地方，使用一次性口令系統(tǒng).制定口令復(fù)雜度策略中間人攻擊中間人攻擊的條件：攻擊者能夠“看到”網(wǎng)絡(luò)數(shù)據(jù)報。中間人攻擊實施網(wǎng)絡(luò)數(shù)據(jù)報的嗅探（監(jiān)聽）路由和傳輸協(xié)議中間人攻擊的危害:竊取信息會話劫持流量分析DoS篡改數(shù)據(jù)注入信息HostAHostBRouterARouterB明文數(shù)據(jù)中間人攻擊防范有效遏制和消除中間人攻擊的方法是加密。HostAHostBRouterAISPRouterB中間人攻擊只能看到明文信息IPSectunnel

應(yīng)用層攻擊應(yīng)用層攻擊的特點:利用眾所周知的漏洞,例如協(xié)議漏洞(forexample,sendmail,HTTP,andFTP)通常是訪問控制策略允許的服務(wù)(例如，可以攻擊防火墻后面的web服務(wù)器)可能永遠(yuǎn)都不能根除，因為每天都有新的漏洞，安全是動態(tài)的應(yīng)用層攻擊的防范常用降低應(yīng)用層威脅的方法定期查看和分析系統(tǒng)日志.訂閱系統(tǒng)漏洞信息.安裝最新的系統(tǒng)補丁.必要時，在有條件的地方部署IDS

網(wǎng)絡(luò)掃描和探測利用公開的信息或者掃描手段，獲取網(wǎng)絡(luò)拓?fù)涞刃畔ⅰ?/p>

網(wǎng)絡(luò)掃描和探測示例域信息查詢地址查詢網(wǎng)絡(luò)掃描和探測示例Traceroute探測網(wǎng)絡(luò)拓?fù)銹artnersiteRemotesiteInternetInternet-basedintranetInternet-basedextranet網(wǎng)絡(luò)掃描和探測防范目前，不太可能完全消除.部署訪問控制策略必要時，部署IDSTrustExploitation黑客可以利用信任域做為攻擊的跳板常見信任域Windows域活動目錄Linux和UNIXNFSNIS+SystemAUser=psmith;PatSmithSystemB–CompromisedbyhackerUser=psmith;PatSmithSystemAtrustsSystemBSystemBtrustsEveryoneSystemAtrustsEveryoneHackergainsaccesstoSystemAHackerUser=psmith;PatSmithson信任域攻擊的防范防火墻內(nèi)的主機絕對不能信任防火墻外部的主機.在做信任認(rèn)證時，不要過分依賴IP地址SystemAUser=psmith;PatSmithSystemBcompromised

byahackerUser=psmith;PatSmithHackerblockedHackerUser=psmith;PatSmithsonLayer2攻擊CAM表泛洪（CAMtableFlood）ARP/MACpoisoningARP偽裝MACDPort3

CAMTableOverflowMACAMACBAC?AC?AC?Port2

MAC偽裝SourceMAC:ACAB321Oh,Aisconnectedto3

ARP偽裝A

B21

CARPREPLY:IamCInternet

RIP攻擊攻擊者可以在網(wǎng)絡(luò)上利用軟件虛擬出一個RIP路由器，然后發(fā)送假冒錯誤的路由表，影響正常的路由表

其他Layer2攻擊操控SPT協(xié)議（SpanningTreeProtocolManipulation）—利用錯誤或虛假的BPDU報文DHCP