2 网络安全攻击技术-1.ppt

网络安全攻击主要内容n网络攻击五种基本要素n攻击分类n入侵攻击的步骤（入侵攻击五部曲）n入侵五步曲之一隐藏IPn入侵五步曲之二信息搜集网络攻击一般有五种基本要素n一、攻击者：根据目标和动机的不同可以区分为六种不同的攻 击者，黑客、入侵者、间谍、恐怖分子、团伙和职业罪犯n二、工具：进行攻击所使用的工具n三、访问：对系统的访问更进一步可分为以下几个小类利用 脆弱性----设计、系统本身的配置和实现都是可被用来访问的方 法侵入的级别----侵入者可获得未授权的访问，但也可能得到 未授权的使用进程的使用----特定的进程或服务为被授权的用 户使用被归于这一类，如发送邮件等n四、结果：攻击可能有四种结果：服务的拒绝和偷窃，或信息 的破坏及偷窃n五、目标：通常与攻击类型密切相关网络攻击的来源n网络攻击的来源包括两个：内部网络和企业外网， 相比起来，来自内网的攻击可能更不容易为人们所 警惕和防范这也是网络安全管理员要格外注意的 环节网络攻击的一般模式网络安全攻击的常用手段n口令攻击、漏洞扫描、包侦测、地址欺骗、拒绝服 务、缓冲区溢出、病毒与特洛伊木马、未授权访问 等攻击分类n在最高层次，攻击可被分为两类：主动攻击 、被动攻击。

n从攻击的目的来看，可以分为：拒绝服务攻击(Dos)、获取系统 权限的攻击、获取敏感信息的攻击；n从攻击的切入点来看，可以分为：缓冲区溢出攻击、系统设置 漏洞的攻击等；n从攻击的纵向实施过程来看，又可以分为：获取初级权限攻击 、提升最高权限的攻击、后门攻击、跳板攻击等；n从攻击的类型来看，又可以分为：对各种操作系统的攻击、对 网络设备的攻击、对特定应用系统的攻击等从黑客的攻击方 式上又分为：入侵攻击、非入侵攻击n所以说，很难以一个统一的模式对各种攻击手段进行分类入侵攻击的步骤（入侵攻击五部曲）n对于一次成功的入侵一般需要五个步骤，这里我们 称为“黑客攻击五部曲”：n1、隐藏IP n2、信息搜集（踩点、扫描、监听）n3、实施入侵（获得系统或管理员权限） n4、保持访问（种植后门等） n5、隐藏踪迹（清除日至）五部曲之一——隐藏IPn通常有两种方法可以实现隐藏IP地址的效果：n1、利用别人的机器（俗称‘肉鸡’）进行攻击， 也就是说黑客先登录到一个第三方的主机然后再对 目标进行攻击，这样一旦被发现被攻击者也只能得 到那台“肉鸡”的IPn2、做多极跳板攻击－Sock代理，这样在被攻 击者的机器上留下的将是代理跳板主机的IP地址。

五部曲之二—信息搜集（踩点、扫描、监听）n踩点的方法n域名及其注册机构的查询n公司性质的了解n对主页进行分析n邮件地址的搜集n目标IP地址范围查询 五部曲之二—信息搜集（踩点、扫描、监听）n 踩点的总类n主动的侦查—扫描n被动的侦查—监听 五部曲之二—信息搜集（踩点、扫描、监听）n扫描的目的 n扫描的目的就是利用各种工具在攻击目标的IP地 址或地址段的主机上寻找漏洞n扫描的原理 n扫描是采取模拟攻击的形式对目标可能存在的已 知安全漏洞逐项进行检查，目标可以是工作站、 服务器、交换机、路由器、数据库应用等对象 根据扫描结果向扫描者或管理员提供周密可靠的 分析报告 五部曲之二—信息搜集（踩点、扫描、监听）n扫描的策略 n第一种是被动式策略n所谓被动式策略就是基于主机之上，对系统中不合适的 设置，脆弱的口令以及其他同安全规则抵触的对象进行 检查；n第二种是主动式策略n主动式策略是基于网络的，它通过执行一些脚本文件模 拟对系统进行攻击的行为并记录系统的反应，从而发现 其中的漏洞n利用被动式策略扫描称为系统安全扫描n利用主动式策略扫描称为网络安全扫描 五部曲之二—信息搜集（踩点、扫描、监听）n检测技术 n基于应用的检测技术n基于主机的检测技术n基于目标的漏洞检测技术n基于网络的检测技术五部曲之二—信息搜集（踩点、扫描、监听）n扫描的8个基本步骤 n找到初始信息n找到网络的地址范围n找到活动的机器n找到开放端口和入口点n弄清操作系统n弄清每个端口运行的是哪种服务n综合漏洞扫描 n画出网络图 五部曲之二—信息搜集（踩点、扫描、监听）n目前流行的扫描类型是 nTCP conntect扫描 n直接发送TCP请求，根据返回信息，确定扫描目标是 否存在，缺点会在目标机器上被记录。

nTCP SYN扫描n这种扫描又称为半开放扫描，是针对TCP的三次握手 弱点的扫描方式，目前已经可以被防火墙等软件记录 nACK扫描n向扫面目标发送连接确认信息nFIN扫描n向端口发送终止连接请求，如果对方端口开放则没有 回应，如果没有开放会有RST回复缺点：有些系统 无论端口开放与否都会对中断请求发送RST回复五部曲之二—信息搜集（踩点、扫描、监听）n目前流行的扫描类型是 n反向映射n向所有目标地址发送RST请求，这种请求通常不会被 过滤，如果目标地址不可到达，路由器会返回错误信 息，否则说明目标活动n慢速扫描n对非连续端口进行扫描，并且源地址不一致、时间间 隔长没有规律的扫描n乱序扫描五部曲之二—信息搜集（踩点、扫描、监听）n扫描实现 nCGI扫描实现n连接目标Web服务器n发送HTTP请求（如“GET/xxx.cgi HTTP/1.0”）n接收目标服务器返回数据n根基返回数据判断漏洞是否存在 n缓存溢出检测实现n扫描目标服务器版本，报告该版本产品存在的缓存溢出 漏洞，但是消息不完全可靠五部曲之二—信息搜集（踩点、扫描、监听）n安全扫描系统具有以下功能n协调了其它的安全设备；n使枯燥的系统安全信息易于理解，告诉了你系统发生的事 情；n跟踪用户进入，在系统中的行为和离开的信息；n可以报告和识别文件的改动；n纠正系统的错误设置；n识别正在受到的攻击；n减轻系统管理员搜索最近黑客行为的负担；n使得安全管理可由普通用户来负责；n为制定安全规则提供依据。

五部曲之二—信息搜集（踩点、扫描、监听）n网络安全和系统安全主要薄弱环节 n软件自身安全性差n安全策略不当 n人员缺乏安全意识五部曲之二—信息搜集（踩点、扫描、监听）n选择安全扫描产品应注意的问题n升级问题n可扩充性n全面的解决方案n人员培训 五部曲之二—信息搜集（踩点、扫描、监听）n被动式的侦查（嗅探监听） n背景n网络嗅探监听原本是网络管理员使用一类管理工 具，监视网络的状态、数据的流动、以及网络上 传输的信息但这类工具也常被黑客所使用，以 此获得网络上传输的敏感信息n监听效果最好的地方是网关、路由器、防火墙之 类信息聚集的设备处 五部曲之二—信息搜集（踩点、扫描、监听）n嗅探监听的原理 n以太网协议的工作方式：n为将要发送的数据包发往所有的连在一起的主机，也就是 广播，在报头中包含目标机的正确地址因此只有与数据 包中目标地址一致的那台主机才会接收数据包，其他的机 器都会将包丢弃但是，当主机工作在监听模式下时，无 论接收到的数据包中目标地址是什么，主机都将其接收下 来五部曲之二—信息搜集（踩点、扫描、监听）n嗅探监听的原理n一个合法的网络接口应响应的数据帧：n帧的目标区域具有和本地网络接口相匹配的硬件地址。

n帧的目标区域具有“广播地址”n网络接口在接收到上面这两种数据包时，NC（Numerical Control, 数字计算机控制）通过CPU产生一个硬件中断，该 中断使操作系统将帧中所包含的数据传送给系统进一步处 理监听软件就是能使本地NC处于混杂状态，这时NC具备“广播地址”所以对所有接收的帧都产生一个硬件中断 五部曲之二—信息搜集（踩点、扫描、监听）n非交换网络----集线器网络(Hub-Based)n很多网络都是用Hub进行连接的数据包经过Hub传输到其 他计算机的时候，Hub只是简单地把这个数据包广播到Hub 的所有端口上 n交换网络（Switched Lan）n交换机用来代替HUB，正是为了能够解决HUB的几个安全问题，其 中就是能够来解决嗅探问题Switch不是把数据包进行端口广播 ，它将通过自己的ARP缓存来决定数据包传输到那个端口上五部曲之二—信息搜集（踩点、扫描、监听）n网络嗅探监听的检测 n检测的难度n运行网络监听的主机只是被动的接收数据，并没有主动的 行动，既不会与其他主机交换信息，也不能修改网上传输 的信息包这决定了网络监听检测是非常困难的n解决办法n运行监听软件的主机系统因为负荷过重，因此对外界的响 应缓慢。

n对怀疑运行监听程序的主机，用正确的ip地址和错误的物理 地址去ping，如果运行了监听程序该机会有响应因为正常 的机器不接受错误的物理地址，处于监听状态的主机会接 受五部曲之二—信息搜集（踩点、扫描、监听）n如何防止监听n尽量建设交换网络n使用加密技术n使用一次性口令技术总结n网络攻击五种基本要素n攻击分类n入侵攻击的步骤（入侵攻击五部曲）n入侵五步曲之一隐藏IPn入侵五步曲之二信息搜集。