《计算机网络与信息安全技术》电子课件CH网络攻击行.pptx

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络攻击行为分析,第 2 章,基本内容,网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具，就象刀具，是基本生活用具，又可成为杀人凶器我们要做到“知己知彼”，才能“百战不殆”，对黑客的攻击手段、途径、方法和工具了解得越多，越有利于保护网络和信息的安全在介绍信息安全技术以前，本章先来分析与黑客攻击相关的知识网络信息安全技术,与,黑客攻击技术,都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具刀，是基本生活用具，但又是杀人凶,计算机网络系统所面临的威胁大体可分为两种：一是针对网络中信息的威胁；二是针对网络中设备的威胁2.1 影响信息安全的人员分析,如果按威胁的对象、性质则可以细分为四类：,第一类是针对硬件实体设施,第二类是针对软件、数据和文档资料,第三类是兼对前两者的攻击破坏,第四类是计算机犯罪。

安全威胁的来源,不可控制的自然灾害，如地震、雷击,恶意攻击、违纪、违法和计算机犯罪,人为的无意失误和各种各样的误操作,计算机硬件系统的故障,软件的“后门”和漏洞,安全威胁主要来自以下几个方面：,安全威胁的表现形式,伪装,非法连接,非授权访问,拒绝服务,抵赖,信息泄露,业务流分析,改动信息流,篡改或破坏数据,推断或演绎信息,非法篡改程序,实施安全威胁的人员,心存不满的员工,软硬件测试人员,技术爱好者,好奇的年青人,黑客（Hacker）,破坏者（Cracker）,以政治或经济利益为目的的间谍,互联网上的黑色产业链,2.2 网络攻击的层次,网络攻击的途径,针对端口攻击,针对服务攻击,针对第三方软件攻击,DOS攻击,针对系统攻击,口令攻击,欺骗,网络攻击的层次,网络攻击的层次,第一层攻击：,第一层攻击基于应用层的操作，这些攻击的目的只是为了干扰目标的正常工作第二层攻击：,第二层攻击指本地用户获得不应获得的文件(或目录)读权限第三层攻击：,在第二层的基础上发展成为使用户获得不应获得的文件(或目录)写权限第四层攻击：,第四层攻击主要指外部用户获得访问内部文件的权利第五层攻击：,第五层攻击指非授权用户获得特权文件的写权限。

第六层攻击：,第六层攻击指非授权用户获得系统管理员的权限或根权限2.3,网,网络,攻,攻击的,一,一般步,骤,骤,（1）,隐,隐藏IP,（2）,踩,踩点扫,描,描,（3）,获,获得系,统,统或管,理,理员权,限,限,（4）,种,种植后,门,门,（5）,在,在网络,中,中隐身,2.4,网,网络,入,入侵技,术,术,任何以,干,干扰、,破,破坏网,络,络系统,为,为目的,的,的非授,权,权行为,都,都称之,为,为网络,攻,攻击网络攻,击,击实际,上,上是针,对,对安全,策,策略的,违,违规行,为,为、针,对,对授权,的,的滥用,行,行为与,针,针对正,常,常行为,特,特征的,异,异常行,为,为的总,和,和网络主,要,要攻击,手,手段,网站篡,改,改（占45.91%,）,）,垃圾邮,件,件（占28.49%,）,）,蠕虫（,占,占6.31%,）,）,网页恶,意,意代码,（,（占0.51%）,木马（,占,占4.01%,）,）,网络仿,冒,冒（占4.97%）,拒绝服,务,务攻击,（,（占0.58%）,主机入,侵,侵（占1.14%）,网络主,要,要攻击,手,手段,网络入,侵,侵技术-漏洞,攻,攻击,漏洞攻,击,击：利,用,用软件,或,或系统,存,存在的,缺,缺陷实,施,施攻击,。

漏洞是指硬,件,件、软件或,策,策略上存在,的,的的安全缺,陷,陷，从而使,得,得攻击者能,够,够在未授权,的,的情况下访,问,问、控制系,统,统缓冲区溢出,漏,漏洞攻击,：,：通过向程,序,序的缓冲区,写,写入超过其,长,长度的数据,，,，造成溢出,，,，从而破坏,程,程序的堆栈,，,，转而执行,其,其它的指令,，,，达到攻击,的,的目的RPC漏洞,、,、SMB漏,洞,洞、打印漏,洞,洞,缓冲区溢出,Buffer overflowattack 缓,冲,冲区溢出攻,击,击,缓冲区溢出,漏,漏洞大量存,在,在于各种软,件,件中,利用缓冲区,溢,溢出的攻击,，,，会导致系,统,统当机，获,得,得系统特权,等,等严重后果,最早的攻击1988年UNIX下,的,的Morris worm,最近的攻击,Codered 利用IIS漏洞,SQL ServerWorm,利,利用SQL Server漏洞,Blaster 利用RPC漏洞,Sasser利用LSASS漏洞,向缓冲区写,入,入超过缓冲,区,区长度的内,容,容，造成缓,冲,冲区溢出，,破,破坏程序的,堆,堆栈，使程,序,序转而执行,其,其他的指令,，,，达到攻击,的,的目的。

原因：程序,中,中缺少错误,检,检测:,voidfunc(char*str),charbuf16;,strcpy(buf,str);,如果str,的,的内容多于16个非0,字,字符，就会,造,造成buf,的,的溢出，使,程,程序出错类似函数有strcat、sprintf、vsprintf、gets、scanf等,一般溢出会,造,造成程序读/写或执行,非,非法内存的,数,数据，引发segmentation fault异常,退,退出.,如果在一,个,个suid程序中,特,特意构造,内,内容，可,以,以有目的,的,的执行程,序,序，如/bin/sh，得,到,到root权限类似函数,有,有strcat、sprintf、vsprintf,、,、gets、scanf等,一般溢出,会,会造成程,序,序读/写,或,或执行非,法,法内存的,数,数据，引,发,发segmentation fault异,常,常退出.,如果在一,个,个suid程序中,特,特意构造,内,内容，可,以,以有目的,的,的执行程,序,序，如/bin/sh，得,到,到root权限在进程的,地,地址空间,安,安排适当,的,的代码,通过适当,的,的初始化,寄,寄存器和,内,内存，跳,转,转到以上,代,代码段执,行,行,利用进程,中,中存在的,代,代码,传递一个,适,适当的参,数,数,如程序中,有,有exec(arg)，只,要,要把arg指向“/bin/sh”,就,就可以了,植入法,把指令序,列,列放到缓,冲,冲区中,堆、栈、,数,数据段都,可,可以存放,攻,攻击代码,，,，最常见,的,的是利用,栈,栈,拒绝服务,攻,攻击（DoS）：,通,通过各种,手,手段来消,耗,耗网络带,宽,宽和系统,资,资源，或,者,者攻击系,统,统缺陷，,使,使系统的,正,正常服务,陷,陷于瘫痪,状,状态，不,能,能对正常,用,用户进行,服,服务，从,而,而实现拒,绝,绝正常用,户,户的服务,访,访问。

分布式拒,绝,绝服务攻,击,击：DDoS，攻,击,击规模更,大,大，危害,更,更严重实例：SYN-Flood,洪,洪水攻击,，,，Land攻击，Smurf攻击,，,，UDP-Flood攻击,，,，WinNuke,攻,攻击（139）等,网络入侵,技,技术-拒绝,服,服务攻击,典型的拒,绝,绝服务攻,击,击有如下,两,两种形式,：,：资源耗,尽,尽和资源,过,过载当,一,一,个,个,对,对,资,资,源,源,的,的,合,合,理,理,请,请,求,求,大,大,大,大,超,超,过,过,资,资,源,源,的,的,支,支,付,付,能,能,力,力,时,时,就,就,会,会,造,造,成,成,拒,拒,绝,绝,服,服,务,务,攻,攻,击,击（,例,例,如,如,，,，,对,对,已,已,经,经,满,满,载,载,的,的Web,服,服,务,务,器,器,进,进,行,行,过,过,多,多,的,的,请,请,求,求,拒,拒,绝,绝,服,服,务,务,攻,攻,击,击,还,还,有,有,可,可,能,能,是,是,由,由,于,于,软,软,件,件,的,的,弱,弱,点,点,或,或,者,者,对,对,程,程,序,序,的,的,错,错,误,误,配,配,置,置,造,造,成,成,的,的,。

区,分,分,恶,恶,意,意,的,的,拒,拒,绝,绝,服,服,务,务,攻,攻,击,击,和,和,非,非,恶,恶,意,意,的,的,服,服,务,务,超,超,载,载,依,依,赖,赖,于,于,请,请,求,求,发,发,起,起,者,者,对,对,资,资,源,源,的,的,请,请,求,求,是,是,否,否,过,过,份,份,，,，,从,从,而,而,使,使,得,得,其,其,他,他,的,的,用,用,户,户,无,无,法,法,享,享,用,用,该,该,服,服,务,务,资,资,源,源,以下的,两,两种情,况,况最容,易,易导致,拒,拒绝服,务,务攻击,：,：,由于程序员,对,对程序,错,错误的,编,编制，,导,导致系,统,统不停,的,的建立,进,进程，,最,最终耗,尽,尽资源，只能,重,重新启,动,动机器,不同,的,的系统,平,平台都,会,会采取,某,某些方,法,法可以,防,防止一,些,些特殊,的,的用户,来,来占用,过,过多的,系,系统资,源,源，我,们,们也建,议,议尽量,采,采用资,源,源管理,的,的方式,来,来减轻,这,这种安,全,全威胁,还有一,种,种情况,是,是由磁盘,存,存储空,间,间引起的假,如,如一个,用,用户有,权,权利存,储,储大量,的,的文件,的,的话，,他,他就有,可,可能只,为,为系统,留,留下很,小,小的空,间,间用来,存,存储日,志,志文件,等,等系统,信,信息。

这,这是一,种,种不良,的,的操作,习,习惯，,会,会给系,统,统带来,隐,隐患这,这种情,况,况下应,该,该对系,统,统配额,作,作出考,虑,虑Ping of Death：发,送,送长度,超,超过65535字节,的,的ICMPEcho Request,数,数据,包,包导致,目,目标机TCP/IP,协,协议栈,崩,崩溃，,系,系统死,机,机或重,启,启Teardrop：,发,发送特,别,别构造,的,的IP,数,数据,包,包，导,致,致目标,机,机TCP/IP协议,栈,栈崩溃,，,，系统,死,死锁Synflooding,：,：发送,大,大量的SYN,包,包Land：发,送,送TCP SYN包,，,，包的SRC/DST IP相同,，,，SPORT/DPORT,相,相同，,导,导致目,标,标机TCP/IP协,议,议栈崩,溃,溃，系,统,统死机,或,或失去,响,响应Winnuke：发,送,送特别,构,构造的TCP,包,包，使,得,得Windows机,器,器蓝屏,Smurf：,攻,攻击者,冒,冒充服,务,务器向,一,一个网,段,段的广,播,播地址,发,发送ICMPecho包,，,，整个,网,网段的,所,所有系,统,统都向,此,此服务,器,器回应icmp reply包。

入侵者,常,常常采,用,用下面,几,几种方,法,法获取,用,用户的,密,密码口,令,令：,弱口令,扫,扫描,Sniffer密码,嗅,嗅探,暴力破,解,解,社会工,程,程学（,即,即通过,欺,欺诈手,段,段获取,）,）,木马程,序,序或键,盘,盘记录,程,程序,网络入,侵,侵技术-口令,攻,攻击,破解PDF密,码,码,破解OF密码,破解系,统,统密码,一个开,放,放的网,络,络端口,就,就是一,条,条与计,算,算机进,行,行通信,的,的信道,，,，对网,络,络端口,的,的扫描,可,可以得,到,到目标,计,计算机,开,开放的,服,服务程,序,序、运,行,行的系,统,统版本,信,信息，,从,从而为,下,下一步,的,的入侵,做,做好准,备,备扫描是,采,采取模,拟,拟攻击,的,的形式,对,对。