《北邮信息安全实习2015》由会员分享,可在线阅读,更多相关《北邮信息安全实习2015(28页珍藏版)》请在金锄头文库上搜索。
1、北邮计算机学院崔宝江信息安全技术认知实习崔宝江 北京邮电大学计算机学院 13611330827北邮计算机学院崔宝江目录一一. 动手操作类认知实习内容动手操作类认知实习内容 端口扫描端口扫描 拒绝服务攻击拒绝服务攻击 二二. 实习说明实习说明北邮计算机学院崔宝江目录一一. 动手操作类认知实习内容动手操作类认知实习内容 端口扫描端口扫描 拒绝服务攻击拒绝服务攻击 二二. 实习说明实习说明北邮计算机学院崔宝江TCP三次握手机制SYN received主机主机A:客户端:客户端主机主机 B:服务端:服务端发送发送TCP SYN分段分段 (seq=100 ctl=SYN)1发送发送TCP SYN&AC
2、K分段分段 (seq=300 ack=101 ctl=syn,ack)SYN received2Established (seq=101 ack=301 ctl=ack)3北邮计算机学院崔宝江TCP 首部20 字节的 固定首部目 的 端 口数据 偏移检验和选项(长 度 可 变)源 端 口序号紧急指针窗口确认号保留FIN32 bitSYNRSTPSHACKURG比特 0 8 16 24 31填充TCP 数据部分TCP 首部TCP 报文段IP 数据部分IP 首部发送在前北邮计算机学院崔宝江TCP 的正常的连接建立和关闭SYN, SEQ = x客户进程服务器进程LISTEN(被动打开)(主动打开)
3、SYN_SENTSYN_RCVDESTABLISHEDESTABLISHED(主动关闭) FIN_WAIT_1CLOSE_WAIT ( 被动关闭)FIN_WAIT_2LAST_ACKTIME_WAITCLOSED(全双工数据传送阶段)SYN, ACK, SEQ = y, ACK = x + 1ACK, SEQ = x + 1, ACK = y + 1FIN, SEQ = uACK, SEQ = v, ACK = u + 1FIN, ACK, SEQ = v, ACK = u + 1ACK, SEQ = u + 1, ACK = v + 1TIME_WAITCLOSE_WAITSYN_RCVDE
4、STABLISHED北邮计算机学院崔宝江端口扫描基础北邮计算机学院崔宝江端口扫描基础扫描原理扫描原理 1)全)全TCP连接连接 2)SYN扫描(半打开式扫描)扫描(半打开式扫描) 发送发送SYN,远端端口开放,则回应远端端口开放,则回应SYN=1,ACK=1,本地发送本地发送RST给远端,给远端, 拒绝连接拒绝连接 发送发送SYN,远端端口未开放,回应远端端口未开放,回应RST北邮计算机学院崔宝江TCP三次握手机制SYN received主机主机A:客户端:客户端主机主机 B:服务端:服务端发送发送TCP SYN分段分段 (seq=100 ctl=SYN)1发送发送TCP SYN&ACK分段分
5、段 (seq=300 ack=101 ctl=syn,ack)SYN received2Established (seq=101 ack=301 ctl=ack)3北邮计算机学院崔宝江全TCP连接长期以来长期以来TCP端口扫描的基础端口扫描的基础 扫描主机尝试(使用三次握手)与目的机指定端口建扫描主机尝试(使用三次握手)与目的机指定端口建 立建立正规的连接立建立正规的连接 连接由系统调用连接由系统调用connect()开始开始 对于每一个监听端口,对于每一个监听端口,connect()connect()会获得成功,否则返会获得成功,否则返 回回1 1,表示端口不可访问,表示端口不可访问 很容易
6、被检测出来很容易被检测出来 Courtney,GabrielCourtney,Gabriel和和TCPTCP WrapperWrapper监测程序通常用来进监测程序通常用来进 行监测。另外,行监测。另外,TCPTCP WrapperWrapper可以对连接请求进行控制,可以对连接请求进行控制, 所以它可以用来阻止来自不明主机的全连接扫描所以它可以用来阻止来自不明主机的全连接扫描北邮计算机学院崔宝江TCP SYN扫描TCP SYN分段,指向某端口?该端口开放么?开放TCP SYN&ACK分段不开放TCP RST分段收到什么分段?TCP RSTTCP SYN&ACK北邮计算机学院崔宝江TCP 的正
7、常的连接建立和关闭SYN, SEQ = x客户进程服务器进程LISTEN(被动打开)(主动打开) SYN_SENTSYN_RCVDESTABLISHEDESTABLISHED(主动关闭) FIN_WAIT_1CLOSE_WAIT ( 被动关闭)FIN_WAIT_2LAST_ACKTIME_WAITCLOSED(全双工数据传送阶段)SYN, ACK, SEQ = y, ACK = x + 1ACK, SEQ = x + 1, ACK = y + 1FIN, SEQ = uACK, SEQ = v, ACK = u + 1FIN, ACK, SEQ = v, ACK = u + 1ACK, SEQ
8、 = u + 1, ACK = v + 1TIME_WAITCLOSE_WAITSYN_RCVDESTABLISHED北邮计算机学院崔宝江端口扫描基础向系统发送各种特殊的包,根据系统对向系统发送各种特殊的包,根据系统对 包回应的差别,推断出对方开放的端口包回应的差别,推断出对方开放的端口 端口扫描程序利用的部分特征端口扫描程序利用的部分特征 ICMP错误信息抑制错误信息抑制 服务类型值服务类型值(TOS) TCP/IP选项选项 对对SYN FLOOD的抵抗力的抵抗力 TCP初始窗口初始窗口北邮计算机学院崔宝江端口扫描工具(Windows 平台)SuperScan Nmap北邮计算机学院崔宝江端
9、口扫描工具:端口扫描工具:SuperScan北邮计算机学院崔宝江针对端口扫描的防范措施安装防火墙或相关工具软件,禁 止访问不该访问的服务端口北邮计算机学院崔宝江目录一一. 动手操作类认知实习内容动手操作类认知实习内容 端口扫描端口扫描 拒绝服务攻击拒绝服务攻击 二二. 实习说明实习说明北邮计算机学院崔宝江北邮计算机学院崔宝江此类攻击指攻击者发送大量攻击数据包,使得被攻击此类攻击指攻击者发送大量攻击数据包,使得被攻击 计算机的资源被耗尽,系统没有剩余的资源给其他用户可计算机的资源被耗尽,系统没有剩余的资源给其他用户可 用的一种攻击方式。用的一种攻击方式。 这是一类危害极大的攻击方式,严重的时候可
10、以使一这是一类危害极大的攻击方式,严重的时候可以使一 个网络瘫痪。个网络瘫痪。Denial of Service (DoS)北邮计算机学院崔宝江北邮计算机学院崔宝江DoS/DDoS攻击种类应用层应用层 垃圾邮件、病毒邮件垃圾邮件、病毒邮件 DNS Flood 网络层网络层 SYN Flood、ICMP Flood 伪造伪造 链路层链路层 ARP 伪造报文伪造报文 物理层物理层 直接线路破坏直接线路破坏 电磁干扰电磁干扰北邮计算机学院崔宝江北邮计算机学院崔宝江DoS/DDoS攻击种类堆栈突破型(利用主机堆栈突破型(利用主机/设备的漏洞)设备的漏洞) 远程溢出拒绝服务攻击远程溢出拒绝服务攻击 利用
11、协议栈漏洞利用协议栈漏洞 资源消耗型资源消耗型(利用(利用 TCP/IP 协议缺陷)协议缺陷) SYN Flood ACK Flood Connection Flood HTTP Get Flood 流量消耗型流量消耗型 ICMP Flood UDP Flood、UDP DNS Query Flood北邮计算机学院崔宝江北邮计算机学院崔宝江UDP-Flood攻击UDP 协议协议无状无状态态,应应用五花八用五花八门门。 利用小利用小报报文冲文冲击应击应用服用服务务器:器:Radius 认证认证服服务务 器、器、DNS 服服务务器、流媒体服器、流媒体服务务器。器。 针对针对DNS攻击的手段攻击的手
12、段 只针对只针对53端口发端口发 NULL 数据包,危害性不大。数据包,危害性不大。 请求解析固定的域名,由于有请求解析固定的域名,由于有 cache 存在,存在, 需要较大数量。需要较大数量。 随机生成域名使得服务器必须使用递归查询向随机生成域名使得服务器必须使用递归查询向 上层服务器发出解析请求,引起连锁反应。上层服务器发出解析请求,引起连锁反应。 蠕虫扩散带来的大量域名解析请求。蠕虫扩散带来的大量域名解析请求。北邮计算机学院崔宝江北邮计算机学院崔宝江分布式拒绝服务(分布式拒绝服务(DDOS)以破坏系统或网络的可用性为目标常用的工具:Trin00, TFN/TFN2K, Stacheldr
13、aht很难防范伪造源地址,流量加密,因此很难跟踪clienttargethandler.agent.DoSICMP Flood / SYN Flood / UDP Flood北邮计算机学院崔宝江北邮计算机学院崔宝江针对DDoS攻击的防范措施防火墙防火墙 禁止对主机的非开放服务的访问禁止对主机的非开放服务的访问 限制数据包流量限制数据包流量 限制特定限制特定IPIP地址的访问地址的访问 启用防火墙的防启用防火墙的防DDoSDDoS的属性的属性 路由器路由器 访问控制列表(访问控制列表(ACLACL)过滤)过滤 设置数据包流量速率设置数据包流量速率 配置专用DDOS防火墙 防范UDP洪水攻击北邮计
14、算机学院崔宝江DDoS攻击演示北邮计算机学院崔宝江目录一一. 动手操作类认知实习内容动手操作类认知实习内容 端口扫描端口扫描 拒绝服务攻击拒绝服务攻击 二二. 实习说明实习说明北邮计算机学院崔宝江实习说明1 信息安全技术操作类认知实习地点和时间信息安全技术操作类认知实习地点和时间 地点地点 主楼主楼910(45个个机位机位) 上课班级:上课班级:11-15,19 时间:从时间:从10:30开始,每个班开始,每个班30分钟分钟 上午:上午: 第第11班,班,12前半班:前半班:10:3011:00 第第12后半班,第后半班,第13班:班:11:0011:30 第第14班,班,15前半班:前半班:
15、11:3012:00 下午:下午: 第第15后半班,第后半班,第19班:班:13:3014:00北邮计算机学院崔宝江实习说明实习成绩和实习报告要求实习成绩和实习报告要求实习成绩由出勤和实习总结两个部分组合而成,实习成绩由出勤和实习总结两个部分组合而成, 各占一半。按时到场者,出勤成绩为满分。迟各占一半。按时到场者,出勤成绩为满分。迟 到到/早退超过早退超过10分钟者视为缺席。每个班实习时分钟者视为缺席。每个班实习时 点名。点名。 每个班在实习结束后的每个班在实习结束后的1天内(周四)将自己天内(周四)将自己 的实习总结通过学习委员收齐后统一交到主楼的实习总结通过学习委员收齐后统一交到主楼 11楼楼1114 北京邮电大学实习报告北京邮电大学实习报告表内的总结部分必表内的总结部分必 须要求学生手写。须要求学生手写。北邮计算机学院崔宝江Q & A
