1、网络安全技术网络安全技术计算机技术系 刘海鹏网络安全技术网络安全技术网络攻击与防范网络攻击与防范计算机技术系 刘海鹏网络攻击与防范n知识目标理解网络攻击的概念和技术掌握端口的概念、端口扫描的原理防范方法掌握网络监听的概念、原理和防范方法掌握Web欺骗、DNS欺骗、IP欺骗和ARP欺骗的概念、原理和相关防范方法掌握缓冲区溢出和拒绝服务攻击的概念、原理和防范方法理解分布式拒绝服务攻击的概念和原理掌握电子邮件攻击的原理和防范方法掌握木马的概念、原理、防范与清除方法网络攻击与防范n技能目标掌握网络攻击的一般步骤了解端口扫描工具和网络监听工具的使用方法了解缓冲区溢出攻击的过程掌握黑客攻击的一般过程和攻击
2、方法网络攻击与防范1、网络攻击的概念2、端口扫描3、网络监听4、网络欺骗5、缓冲区溢出攻击6、拒绝服务攻击7、电子邮件攻击8、木马9、黑客1网络攻击的概念n1)什么是网络攻击n2)网络攻击的技术n3)网络攻击的步骤1、网络攻击的概念n1)什么是网络攻击n网络攻击,可以定义为利用网络存在的漏洞和安全缺陷对系统进行攻击,以访问其中的资源。n“攻击”是指任何非授权的行为,范围从简单的使服务器无法正常工作到完全破坏或控制服务器。n网络攻击主要是通过对信息收集、分析、整理后,利用目标系统的漏洞,有针对性地对目标系统(服务器、网络设备与安全设备)进行资源入侵与破坏、机密信息窃取、监视与控制等的活动。1、网
3、络攻击的概念n2)网络攻击的技术端口扫描网络监听各种网络欺骗缓冲区溢出拒绝式服务病毒电子邮件攻击1、网络攻击的概念n3)网络攻击的步骤隐藏自己的位置寻找并分析目标主机获取帐号和密码,登录目标主机获得目标主机的控制权窃取网络资源和特权2、端口扫描1)端口的概念2)端口扫描的原理3)端口扫描工具4)端口扫描的防范2、端口扫描n1)端口的概念n物理意义上连接其他网络设备的接口n逻辑意义上TCP/IP中的端口(在某计算机上运行的应用服务的地址)端口分类:按端口号n公认端口(Well known ports)01023n注册端口(Registered ports)10244915n动态和/或私有端口(D
4、ynamic and/or Private Port)4915265535端口分类:按对应协议n周知端口:(Well known ports)11023端口:固定绑定特定服务,如80(web)、21(FTP)n动态端口:(Dynamic Port)102465535端口:不固定绑定2、端口扫描n2)端口扫描的原理n端口扫描:通过检测远程或本地系统来判断目标主机的端口开放情况及提供的服务和他们的软件版本,以便了解主机所存在的安全问题。n原理:向目标主机的某些端口发送数据包进行探测,并根据目标端口的响应确定哪些端口是开放的。端口扫描技术nTCP SYN扫描nTCP FIN扫描nIP段扫描nTCP反
5、向Ident扫描nFTP返回攻击nUDP ICMP端口不能到达扫描nUDP Precvfrom()和write()扫描nICMP echo扫描2、端口扫描n3)端口扫描工具SuperScanHostScanX-ScanNMap2、端口扫描n4)端口扫描的防范关闭所有闲置和潜在威胁的端口安装防火墙、入侵检测等安全软件修正系统和网络,使暴露其尽可能少的信息。3、网络监听n1网络监听的概念n2网络监听的原理n3网络监听的工具n4网络监听的防范3、网络监听n1网络监听的概念n也成为网络嗅探,主要工作在网络底层。通过在互相通信的两台计算机之间利用技术手段插入一台可以接收并记录通信内容的设备,最终实现对通
6、信双方的数据记录。3、网络监听n2)网络监听的原理n网卡的工作原理n局域网的工作原理nsniffer的工作原理2)网络监听的原理n网卡的工作原理网卡是主机用来接收网络数据的物理设备。当网卡收到传输来的数据时,网卡内的程序先接收数据头的目的MAC地址,然后根据计算机上的网卡驱动程序设置的接收模式判断该不该接收。n应该接收,通知CPU,放入信号堆栈,让操作系统处理。n不该接收,丢弃不管。2)网络监听的原理n局域网的工作原理数据在数据链路层以帧为单位进行传输。传输数据时,包含MAC地址的帧从网络接口(网卡)发送到网线上,到达目的主机的网络接口时,进行检查,若携带的MAC地址是自己的或广播地址,则进行
7、接收。网卡一般有四种数据接收模式:n广播模式n组播模式n直接模式n混杂模式2)网络监听的原理nsniffer的工作原理共享式网络中的嗅探器交换式网络上的sniffer2网络监听的原理2网络监听的原理3、网络监听n3)网络监听的工具Sniffer ProWindump3、网络监听n4)网络监听的防范规划网络采用加密通信监测sniffer4、网络欺骗n1)Web欺骗n2)DNS欺骗n3)IP欺骗n4)ARP欺骗4、网络欺骗1)Web欺骗n是一种电子信息欺骗,攻击者建立一个令人信服但完全错误的Web站点的“复制”,这个站点十分逼真,然而,攻击者控制着它,这样被攻击者的浏览器和真正Web站点之间的所有
8、网络信息都被攻击者所截获。4、网络欺骗nWeb欺骗的形式使用相似的URL改写URL会话劫持4、网络欺骗nWeb欺骗的解决方法短期的解决方法n禁止浏览器执行网页中的JavaScript程序n确保浏览器的链接状态是可见的URL是否正常n养成从地址栏输入地址浏览网站的习惯长期的解决方法n改变浏览器的设置,反映真实的URLn对于通过安全链接建立的Web对话,要显示双方的信息n对于所传输的内容加密2)DNS欺骗nDNS的工作原理2)DNS欺骗nDNS欺骗n是指入侵者使用一台计算机上网,而借用另外一台主机的IP地址,从而冒充另外一台主机与服务器通信,以达到蒙混过关的目的。4、网络欺骗3)IP欺骗IP欺骗的
9、步骤IP欺骗的防范策略IP欺骗的步骤n确定攻击目标n使被信任主机的网络暂时瘫痪,一面对攻击造成干扰。n连接到目标主机的某个端口来猜测来自目标主机的初始序列号(ISN)。n冒充被信任主机,并发送带有SYN标志的数据段请求连接。n根据猜测出来的正确序列号(ISN+1)向目标主机发送ACK包。IP欺骗的防范策略n放弃基于IP的信任策略n对数据包进行限制n应用加密技术n使用随机化的初始序列4、网络欺骗n4)ARP欺骗对路由器ARP表的欺骗对内网计算机的网关欺骗5、缓冲区溢出攻击n5.1缓冲区溢出的原理n5.2缓冲区溢出攻击的过程n5.3缓冲区溢出攻击的防范措施5、缓冲区溢出攻击n1)缓冲区溢出的原理n
10、2)缓冲区溢出攻击的过程n3)缓冲区溢出攻击的防范措施1)缓冲区溢出的原理n每个进程可以占有4个区域n栈帧的结构2)缓冲区溢出攻击的过程n缓冲区溢出攻击入侵者进行攻击的关键就是修改以较高权限运行的程序跳转指令的地址。n将需要执行的代码放到目标系统的内存n猜测缓冲区的地址n修改返回地址,控制程序跳转,改变程序流程。3)缓冲区溢出攻击的防范措施n编写安全代码n指针完整性检查n关闭不必要的特权程序n及时给系统漏洞打补丁6、拒绝服务攻击n1)拒绝服务攻击的概念n2)拒绝服务攻击的原理n3)拒绝服务攻击的防范1)拒绝服务攻击的概念n拒绝服务攻击(denial of service,DoS)n使目标主机或
11、网络失去及时响应外界请求的能力。n简单地说,任何导致服务器无法对合法用户提供正常服务的攻击都可以称为拒绝服务攻击。n分布式拒绝服务攻击(distributed denial of service,DDoS)借助于客户机/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的攻击能力。2)拒绝服务攻击的原理nDOS攻击Land攻击SYN Flood攻击Smurf攻击DOS攻击Land攻击DOS攻击nDOS攻击Land攻击SYN Flood攻击Smurf攻击DDOS攻击3)拒绝服务攻击的防范n与网络服务提供商合作n优化路由和服务器n检查漏洞7、电
12、子邮件攻击n1)电子邮件攻击的原理n2)电子邮件攻击的防范1)电子邮件攻击的原理n回复转发的死循环n“涨”破邮箱容量n基于软件的攻击2)电子邮件攻击的防范n不随意公开自己的邮箱地址n谨慎使用自动回复功能n设置邮件过滤功能n邮件的备份8、木马特洛伊木马(或称木马),英文叫做“Trojanhorse”,该故事来源于荷马所作的古希腊史诗伊里亚特。特洛伊是小亚细亚沿岸的一座商业繁荣的古城,新兴的希腊人为了维护自己的利益,与特洛伊进行了长达10年之久的战争。最后,希腊联军采用奥德赛的木马计攻破特洛伊,取得了战争的胜利。8、木马n1)木马的概念n2)木马的原理n3)木马的防范与清除8、木马n1)木马的概念
13、n木马是一种潜伏在计算机中,受外部用户控制以窃取本机信息或控制权的黑客工具,具有隐蔽性和非授权性的特点。隐蔽性:非授权性:8、木马n2)木马的原理配置木马传播木马运行木马信息泄露建立连接远程控制8、木马n3)木马的防范与清除不要下载、接受或执行任何来历不明的软件或文件。不要浏览不健康、不正规的网站。尽量少用共享文件夹。安装反病毒软件、木马专杀工具和防火墙,并及时升级代码库。及时给操作系统打上补丁,并经常升级常用的应用软件。9、黑客n黑客是hacker的音译,引申意义是指“干了一件非常漂亮的事”。n最初:n现在:n主要内容9.1黑客的进攻过程9.2黑客常用的攻击方法9.3黑客常用的工具9、黑客n
14、1)黑客的进攻过程信息收集扫描模拟攻击获取访问权并提升权限窃取信息掩盖踪迹创建后门9、黑客n2)黑客常用的攻击方法口令入侵放置木马程序Web欺骗技术电子邮件攻击通过结点进行攻击网络监听安全漏洞攻击获取特权9、黑客n3)黑客常用的工具扫描器木马网络嗅探器攻击工具口令破解习题n一、名词解释n端口、网络监听、Web欺骗、IP欺骗、DNS欺骗、拒绝服务攻击、缓冲区溢出、电子邮件炸弹、木马、ARP欺骗 n二、简答题n简述网络攻击的步骤。n网络攻击常用的技术有哪些?n端口扫描的原理及防范措施是什么?n网络监听的原理及防范措施是什么?nWeb欺骗、DNS欺骗、IP欺骗及ARP欺骗的原理及防范措施是什么?n缓冲区溢出的原理、攻击过程及防范措施是什么?n拒绝服务攻击的原理及防范措施是什么?n电子邮件攻击的原理及防范措施是什么?n木马的原理及防范措施是什么?n黑客常用的攻击方法及攻击过程是什么?