《网络安全与管理（第二版）》 第10章课件

《《网络安全与管理（第二版）》 第10章课件》由会员分享，可在线阅读，更多相关《《网络安全与管理（第二版）》 第10章课件（78页珍藏版）》请在金锄头文库上搜索。

1、,网络安全与管理,第十章 网络攻击和入侵检测,2,学习目标,了解黑客与网络攻击的基础知识； 掌握口令攻击、端口扫描、缓冲区溢出、网络监听、特洛伊木马等攻击方式的原理、方法及危害；掌握入侵检测技术和入侵检测系统原理 能够识别和防范各类攻击，能够使用入侵检测工具检测入侵行为。,3,10.1 密钥管理,10.1.1 关于黑客 10.1.2 黑客攻击的步骤 10.1.3 网络入侵的对象 10.1.4 主要的攻击方法 10.1.5 攻击的新趋势,4,10.1.1 关于黑客,黑客(hacker) 源于20世纪50年代麻省理工学院 独立思考、奉公守法的计算机迷 骇客(Cracker) 怀不良企图， 非法侵入

2、他人系统进行偷窥、破坏活动的人,5,10.1.2 黑客攻击的步骤,1收集信息 Ping程序：可以测试一个主机是否处于活动状态、到达主机的时间等。 Tracert程序：可以用该程序来获取到达某一主机经过的网络及路由器的列表。 Finger协议：可以用来取得某一主机上所有用户的详细信息。 DNS服务器：该服务器提供了系统中可以访问的主机的IP地址和主机名列表。 SNMP协议：可以查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其它内部细节。 Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数。,6,10.1.2 黑客攻击的步骤,2探测系统安全弱点 利用“补丁”

3、找到突破口 用户没有及时地使用“补丁”程序，这就给了攻击者可趁之机。 利用扫描器发现安全漏洞 扫描器可以对整个网络或子网进行扫描，寻找安全漏洞。 比较流行的扫描器: ISS（Internet Security Scanner）， SATAN（Security Administrator Tool For Analyzing Networks）等等。,7,10.1.2 黑客攻击的步骤,3实施攻击 （1）掩盖行迹，预留后门。 攻击者潜入系统后，会尽量销毁可能留下的痕迹，并在受损害系统中找到新的漏洞或留下后门，以备下次光顾时使用。 （2）安装探测程序。 攻击者退出去以后，探测软件仍可以窥探所在系统的

4、活动，收集攻击者感兴趣的信息，如：用户名、账号、口令等，并源源不断地把这些秘密传给幕后的攻击者。 （3）取得特权，扩大攻击范围。 如果攻击者获得根用户或管理员的权限,8,10.1.3 网络入侵的对象,3实施攻击 （1）固有的安全漏洞 协议的安全漏洞、弱口令、缓冲区溢出等 （2）系统维护措施不完善的系统 。 系统进行了维护，对软件进行了更新或升级 ,路由器及防火墙的过滤规则 。 （3）取得特权，扩大攻击范围。 建立有效的、多层次的防御体系,9,10.1.4 主要的攻击方法,1. 获取口令 2放置特洛伊木马 3WWW的欺骗技术 4电子邮件攻击 5网络监听 6寻找系统漏洞,10,10.1.5 攻击的

5、新趋势,1.攻击过程的自动化与攻击工具的快速更新 2攻击工具复杂化 3漏洞发现得更快 4渗透防火墙 5、攻击涉及经济利益 6、攻击目标多样化,11,10.2 口令攻击,10.2.1 获取口令的一些方法 10.2.2 设置安全的口令 10.2.3 一次性口令,12,10.2.1 获取口令的一些方法,（1）是通过网络监听非法得到用户口令 （2）口令的穷举攻击 （3）利用系统管理员的失误,13,10.2.2 设置安全的口令,（1）口令的选择：字母数字及标点的组合，如：Ha,Ppy!和w/(X,y)*;使用一句话的开头字母做口令，如：由A fox jumps over a lazy dog!产生口令：

6、AfJoAld!。 （2）口令的保存：记住、放到安全的地方，加密最好。 （3）口令的使用：输入口令不要让别人看到；不要在不同的系统上使用同一口令；定期改变口令。,14,（OTP，One-Time Password）。 一个口令仅使用一次，能有效地抵制重放攻击 OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。 口令列表，每次登录使用完一个口令后就将它从列表明中删除； 用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。,15,10.3 扫描器,10.3.1 端口与服务,10.3.2 端口扫描,

7、10.3.3 常用的扫描技术,16,10.3.1 端口与服务,（1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。 （2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。 （3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口,17,10.3.2 端口扫描,一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到

8、许多有用的信息。 扫描器是检测远程或本地系统安全脆弱性的软件。 一般把扫描器分为三类：数据库安全扫描器、操作系统安全扫描器和网络安全扫描器，分别针对于网络服务、应用程序、网络设备、网络协议等。,18,10.3.3 常用的扫描技术,（1） TCP connect（）扫描 （2）TCP SYN扫描 （3）TCP FIN扫描 （4）IP段扫描 (5）TCP反向ident扫描 （6）FTP返回攻击 （7）UDP ICMP端口不能到达扫描 （8）ICMP echo扫描,19,1Socket介绍 Socket在网络编程中是指运行在网络上的两个程序间双向通讯连接的末端，它提供客户端和服务器端的连接通道。 从

9、连接的建立到连接的结束，每个Socket应用都大致包含以下几个基本步骤： （1）服务器端socket绑定于特定端口，服务器侦听socket等待连接请求； （2）客户端向服务器和特定端口提交连接请求； （3）服务器接受连接，产生一个新的socket，绑定到另一端口，由此socket来处理和客户端的交互，服务器继续侦听原socket来接受其他客户端的连接请求； （4）连接成功后客户端也产生一socket，并通过它来与服务器端通讯（注意：客户端socket并不与特定端口绑定）； （5）接下来，服务器端和客户端就通过读取和写入各自的socket来进行通讯。,20,2. 实现扫描的部分代码： targe

10、t_addr.sin_family = AF_INET; target_addr.sin_port = htons（i）; target_addr.sin_addr.s_addr = inet_addr（argv1）; cout正在扫描端口:iendl; if（connect（testsocket, （struct sockaddr *） ,21,10.4 网络监听,10.4.1 网络监听的原理,10.4.2 网络监听工具及其作用,10.4.3 如何发现和防范sniffer,22,10.4.1 网络监听的原理,在正常情况下，网络接口读入数据帧，并检查数据帧帧头中的地址字段，如果数据帧中携带的物

11、理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，否则就将这个帧丢弃。 对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，不管数据帧的目的地址是什么，所有的数据帧都将被交给上层协议软件处理。,23,10.4.2 网络监听工具及其作用,NetXray、X-Scan、Sniffer、tcpdump、winpcap 3.0等 拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局 网络监听对系统管理员是很重要的，系统管理员通过监听可以诊断出大量的不可见问题,24,10.4.3 如何发现和防范

12、sniffer,网络通讯掉包率反常的高。 网络带宽将出现异常。 对于怀疑运行监听程序的主机，用正确的IP地址和错误的物理地址去PING，正常的机器不接受错误的物理地址，处于监听状态的机器能接受，这种方法依赖系统的IPSTACK，对有些系统可能行不通。 往网上发大量包含着不存在的物理地址的包 ,由于监听程序将处理这些包，将导致性能下降，通过比较前后该机器性能（icmp echo delay等方法）加以判断,25,2对网络监听的防范措施 （1）从逻辑或物理上对网络分段 其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。 （2）以交换式集线器代替共享式集线器 以交换式集线器代替共享

13、式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。 （3）使用加密技术 数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。 （4）划分VLAN 运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。,26,10.5 IP欺骗,10.5.1 IP欺骗的工作原理,10.5.2 IP欺骗的防止,27,10.5.1 IP欺骗的工作原理,（1）使被信任主机丧失工作能力 TCP SYN-Flood ： t1: Z （X） SYN B Z （X） SYN B Z （X） SYN B t2: X SYN/ACK-B X SYN/ACK-B t3:

14、X RST B,28,10.5.1 IP欺骗的工作原理,序列号猜测方法 攻击者先与被攻击主机的一个端口建立起正常的连接。通常，这个过程被重复若干次，并将目标主机最后所发送的ISN（初始序列号）存储起来。攻击者还需要估计他的主机与被信任主机之间的RTT时间（往返时间），这个RTT时间是通过多次统计平均求出的。RTT对于估计下一个ISN是非常重要的。一般每秒钟ISN增加128000，每次连接增加64000。现在就不难估计出ISN的大小了，它是128000乘以RTT的一半，如果此时目标主机刚刚建立过一个连接，那么再加上一个64000。,29,10.5.1 IP欺骗的工作原理,实施欺骗 Z伪装成A信任

15、的主机B攻击目标A的过程如下： t1: Z（B）SYN A t2: B SYN/ACK A t3: Z（B）ACK A t4: Z（B）PSH A,30,10.5.2 IP欺骗的防止,（1）抛弃基于地址的信任策略 （2）进行包过滤 （3）使用加密方法 （4）使用随机化的初始序列号,31,10.6 拒绝服务,10.6.1 什么是拒绝服务,10.6.2 分布式拒绝服务,32,10.6.1 什么是拒绝服务,DoS是Denial of Service的简称，即拒绝服务。 拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其它用户提供服务的一种攻击方式。 拒绝服务攻击的结果可以降低系统

16、资源的可用性，这些资源可以是网络带宽、CPU时间、磁盘空间、打印机、甚至是系统管理员的时间。 最常见的DoS攻击有: 带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。 连通性攻击指用大:量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。,33,10.6.1 什么是拒绝服务,DoS攻击的基本过程,34,10.6.2 分布式拒绝服务,DDoS（分布式拒绝服务）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式， 一个比较完善的DDoS攻击体系分成三层,35,（1）攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。 （2）主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可