网络安全威胁和防范ppt课件

《网络安全威胁和防范ppt课件》由会员分享，可在线阅读，更多相关《网络安全威胁和防范ppt课件（134页珍藏版）》请在金锄头文库上搜索。

1、网络攻击与防范,Dr. 李明柱,2,一、攻击步骤概述 二、预攻击探测 三、漏洞扫描（综合扫描） 四、木马与后门攻击 五、拒绝服务攻击（DoS, DDos） 六、欺骗攻击(IP,ARP,WEB,DNS) 七、病毒蠕虫攻击 八、其他攻击,内容,3,一、攻击步骤概述 二、预攻击探测 三、漏洞扫描（综合扫描） 四、木马与后门攻击 五、拒绝服务攻击（DoS, DDos） 六、欺骗攻击(IP,ARP,WEB,DNS) 七、病毒蠕虫攻击 八、其他攻击,内容,4,预攻击探测,收集信息,如OS类型,提供的服务端口,发现漏洞,采取攻击行为,获得攻击目标的控制权系统,继续渗透网络,直至获取机密数据,消灭踪迹,破解口

2、令文件,或利用缓存溢出漏洞,以此主机为跳板，寻找其它主机的漏洞,典型的攻击步骤,获得系统帐号权限，并提升为root权限,安装系统后门,方便以后使用,消除所有入侵脚印，以免被管理员发觉,5,典型的攻击步骤图解,6,一、攻击步骤概述 二、预攻击探测 三、漏洞扫描（综合扫描） 四、木马与后门攻击 五、拒绝服务攻击（DoS, DDos） 六、欺骗攻击(IP,ARP,WEB,DNS) 七、病毒蠕虫攻击 八、其他攻击,内容,7,预攻击探测,Ping sweep 寻找存活主机 Port scan 寻找存活主机的开放服务（端口） OS fingerprint 操作系统识别 资源和用户信息扫描 网络资源，共享资

3、源，用户名和用户组等,8,ping工具,操作系统本身的ping工具 Windows平台 Pinger、 Ping Sweep、 WS_Ping ProPack,9,ping工具：Pinger,10,ping工具：Ping Sweep,11,端口扫描基础,TCP是一个面向连接的可靠传输协议。面向连接表示两个应用端在利用TCP传送数据前必须先建立TCP连接。TCP的可靠性通过校验和、定时器、数据序号和应答来提供。通过给每个发送的字节分配一个序号，接收端接收到数据后发送应答，TCP协议保证了数据的可靠传输。数据序号用来保证数据的顺序，剔除重复的数据。在一个TCP会话中，有两个数据流（每个连接端从另外

4、一端接收数据，同时向对方发送数据），因此在建立连接时，必须要为每一个数据流分配ISN（初始序号）。为了了解实现过程，我们假设客户端C希望跟服务器端S建立连接，然后分析连接建立的过程（这通常称作三阶段握手）,12,端口扫描基础,首先C发送一个TCP包（SYN请求）给S，其中标记SYN（同步序号）要打开。SYN请求指明了客户端希望连接的服务器端端口号和客户端的初始序列号 ISN。然后，服务器端发回应答，包含自己的SYN信息ISN和对C的SYN应答，应答时返回下一个希望得到的字节序号。最后，C对从S来的SYN进行应答，数据发送开始。 在一个TCP/IP实现中，一般遵循以下原则： 当一个SYN或者FI

5、N数据包到达一个关闭的端口，TCP丢弃数据包同时发送一个RST数据包。 当一个RST数据包到达一个监听端口，RST被丢弃。 当一个RST数据包到达一个关闭的端口，RST被丢弃。 当一个包含ACK的数据包到达一个监听端口时，数据包被丢弃，同时发送一个RST数据包。 当一个SYN位关闭的数据包到达一个监听端口时，数据包被丢弃。 当一个SYN数据包到达一个监听端口时，正常的三阶段握手继续，回答一个SYN|ACK数据包。 当一个FIN数据包到达一个监听端口时，数据包被丢弃。 许多端口扫描技术都是基于以上原则来设计的,13,端口扫描工具（Windows 平台）,NetScanTools WinScan

6、SuperScan NTOScanner WUPS NmapNT,14,端口扫描工具：NetScanTools,15,端口扫描工具：WinScan,16,端口扫描工具：SuperScan,17,端口扫描工具：NTOScanner,18,端口扫描工具：WUPS,19,端口扫描工具：NmapNT,20,OS类型扫描：winfingerprint,21,资源和用户信息扫描,NetBIOS协议 CIFS/SMB协议 空会话,除前面介绍的ping扫射、端口扫描和操作类型扫描外，还有一类扫描和探测也非常重要，这就是资源扫描和用户扫描。资源扫描用户用户扫描网络资源和共享资源，如目标网络计算机名、域名和共享文

7、件等等；而用户扫描则用户扫描目标系统上合法用户的用户名和用户组名。这些扫描都是攻击目标系统的很有价值的信息，而Windows系统，特别是Windows NT/2000在这些方面存在着严重的漏洞，很容易让非法入侵者获取到关于该目标系统的很多有用信息，如共享资源、Netbios名和用户组等。,22,资源扫描和查找(Legion和Shed ),在NetBIOS扫描中，很重要的一项就是扫描网络中的共享资源，以窃取资源信息或植入病毒木马。Legion和Shed就是其中的典型,23,资源扫描和查找(Logion),Legion的共享资源扫描可以对一个IP或网段进行扫描，它还包含一个共享密码的蛮力攻击工具，

8、如 “Show BF Tool”按钮。,24,资源扫描和查找(Shed),Shed是一个速度很快的共享资源扫描工具，它可以显示所有的共享资源，包含隐藏的共享。,25,资源扫描和查找(DumpSec ),DumpSec（）是Windows NT平台下的安全审计程序，它以简洁明了的方式列表文件系统、注册表、打印机和共享资源，并可以列表用户和组信息，其中包括远程主机和本地主机。 分别为DumpSec列出的目标主机共享资源（利用空会话）和用户信息。,26,利用前面介绍的方法，可以很容易获取远程Windows NT/2000主机的共享资源、NetBIOS名和所处的域信息等。但黑客和非法入侵者更感兴趣的是

9、通过NetBIOS扫描，获取目标主机的用户名列表。如果知道了系统中的用户名（即账号）后，就可以对该账号对应的口令进行猜测攻击（有些口令往往很简单），从而对远程目标主机进行更深入的控制。 在Windows NT/2000的资源工具箱NTRK中提供了众多的工具用于显示远程主机用户名和组信息，如前面介绍的nbtstat和nbtscan,另外还有其他工具（后续介绍）,用户和用户组查找,27,用户和用户组查找,NTRK(工具箱) enum User2sid/sid2user DumpSec,28,针对预攻击探测的防范措施,Ping sweep 安装防火墙或相关工具软件，禁止某些ICMP ping，使用N

10、AT隐藏内部网络结构 Port scan 安装防火墙或相关工具软件，禁止访问不该访问的服务端口 OS fingerprint 安装防火墙或相关工具软件，只允许访问少量服务端口，由于攻击者缺乏必要的信息，无法判断OS类型 资源和用户扫描 防范NetBIOS扫描的最直接方法就是不允许对TCP/UDP 135到139端口的访问，如通过防火墙或路由器的配置等。另外，对单独的主机，可使用NetBIOS over TCP/IP项失效或注册表配置来实现。,29,一、攻击步骤概述 二、预攻击探测 三、漏洞扫描和攻击 四、木马与后门攻击 五、拒绝服务攻击（DoS, DDos） 六、欺骗攻击(IP,ARP,WEB

11、,DNS) 七、病毒蠕虫攻击 八、其他攻击,内容,30,漏洞扫描是一种最常见的攻击模式，用于探测系统和网络漏洞，如获取系统和应用口令，嗅探敏感信息，利用缓存区溢出直接攻击等。 针对某一类型的漏洞，都有专门的攻击攻击。另外，也有一些功能强大综合扫描工具，针对系统进行全面探测和漏洞扫描，如流光等。,漏洞扫描和攻击概述,31,系统漏洞 利用系统漏洞直接提取口令 暴力穷举 完全取决于机器的运算速度 字典破解 大大减少运算的次数，提高成功率,漏洞扫描和攻击之口令破解,32,口令攻击演示：“*”密码查看,33,口令攻击演示：ZIP密码破解,34,口令攻击演示：NT/2000密码,35,针对口令破解攻击的防

12、范措施,安装入侵检测系统，检测口令破解行为 安装安全评估系统，先于入侵者进行模拟口令破解，以便及早发现弱口令并解决 提高安全意识，避免弱口令,36,原理 工具演示：NetBrute Scanner,漏洞扫描和攻击之共享隐藏,37,网络嗅探是主机的一种工作模式，在这种模式下，主机可以接收到共享式网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如,Sniffer Pro, NetXray，tcpdump ，Dsniff等就可以轻而易举地截取包括口令、帐号等敏感信息。,漏洞扫描和攻击之网络嗅探,38,共享

13、信道 广播型以太网 协议不加密 口令明文传输 混杂模式 处于这种模式的网卡接受网络中所有数据包,39,网上截获的 帐号和口令,40,针对网络嗅探攻击的防范措施,安装VPN网关，防止对网间网信道进行嗅探 对内部网络通信采取加密处理 采用交换设备进行网络分段 采取技术手段发现处于混杂模式的主机，发掘“鼹鼠”,41,针对漏洞扫描的防范措施,安装防火墙，禁止访问不该访问的服务端口，使用NAT隐藏内部网络结构 安装入侵检测系统，检测漏洞扫描行为 安装安全评估系统，先于入侵者进行漏洞扫描，以便及早发现问题并解决 提高安全意识，经常给操作系统和应用软件打补丁,42,Vulnerability 弱点、漏洞。任

14、何系统都存在漏洞。 exploit 针对漏洞开发的利用程序。,漏洞攻击,43,堆栈溢出攻击,十年来最大的安全问题,这是一种系统攻击手段，通过向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。这种攻击可以使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。,44,受攻击程序vulnerable.c void main(int argc, char *argv) char buff1024; if (argc 1) strcpy(buff,argv1); ,Buffer overflow基本原理,45,攻击程序e

15、xploit.c #include #include void main( ) char string2000; for(i=0;i2000;i+) stringi=A; execl(./vulnerable,vulnerable,string,0); ,Buffer overflow基本原理,46,buff (栈顶) 其他寄存器值 ebp ret,Vulnerable.c main()函数的堆栈情况,buffAAAA (栈顶) AAAA AAAA AAAAebp AAAAret,Buffer overflow基本原理,47,char shellcode = xebx1fx5ex89x76x0

16、8x31xc0 x88x46x07x89x46x0cxb0 x0bx89xf3x8dx4ex08x8dx56x0cxcdx80 x31xdbx89xd8x40 xcdx80 xe8xdcxffxffxff/bin/sh;,真正的ShellCode,main() char *name2; name0=/bin/sh; name1=NULL; execve(name0,name,NULL); ,对应的c程序,Buffer overflow基本原理,48,传给受攻击的程序的字符串包含,buff (栈顶) 其他寄存器值 ebp ret,buffNop (栈顶) Nop S S S Addr Addr Addr,Buffer overflow基本原理,49,Web服务器漏洞攻击,举例： Microsoft IIS Unicode解码目录遍历漏洞 发