《第七章网络攻击与防范》由会员分享,可在线阅读,更多相关《第七章网络攻击与防范(113页珍藏版)》请在金锄头文库上搜索。
1、第10章 网络攻击与防范,10.1 黑客与网络攻击 10.2 网络攻击技术演变 10.3 网络攻击基本概念及术语 10.4 网络攻击的整体模型描述 10.5 网络攻击实施和技术分析10.5.1 权限的获取及提升-密码破解攻击 (包括: 社会工程学攻击 网络钓鱼)10.5.2 缓冲区溢出攻击技术原理分析10.5.3拒绝服务攻击(包括: DOS、DDOS攻击)10.5.4 欺骗攻击与防范(包括:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗)10.5.5 SQL注入攻击、跨站脚本 10.6 计算机取证 10.7 系统入侵后的恢复,10.1 黑客与网络攻击 黑客hacker是那些检查(网络)系统完整性
2、和安全性的人,他们通常非常精通计算机硬件和软件知识,并有能力通过创新的方法剖析系统。“黑客”通常会去寻找网络中漏洞,但是往往并不去破坏计算机系统。 入侵者Cracker只不过是那些利用网络漏洞破坏网络的人,他们往往会通过计算机系统漏洞来入侵,他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。 现在hacker和Cracker已经混为一谈,人们通常将入侵计算机系统的人统称为黑客. 黑客在网上的攻击活动每年以10倍的速度增长,他们修改网页进行恶作剧,窃取网上信息兴风作浪,非法进入主机破坏程序、阻塞用户、窃取密码。串入银行网络转移金钱、进行电子邮件骚扰。黑客可能会试图攻击网络设备,使网络设
3、备瘫痪。他们利用网络安全的脆弱性,无孔不入!美国每年因黑客而造成的经济损失近百亿美元。,10.1 黑客与网络攻击 理论上开放系统都会有漏洞的,正是这些漏洞被一些拥有很高技术水平和超强耐性的黑客所利用。黑客们最常用的手段是获得超级用户口令,他们总是先分析目标系统正在运行哪些应用程序,目前可以获得哪些权限,有哪些漏洞可加以利用,并最终利用这些漏洞获取超级用户权限,再达到他们的目的。黑客攻击是黑客自己开发或利用已有的工具寻找计算机系统和网络的缺陷和漏洞,并对这些缺陷实施攻击。 黑对黑客技术的几点看法黑客技术属于科学技术的范畴;黑客技术是双刃剑,应该辨证地看待;网络安全需要黑客的参与;全世界对黑客技术
4、的研究显得严重不足;对黑客技术的研究与发展有利于国家安全;黑客技术将成为未来信息站的主要手段。,10.2 网络攻击技术演变 近年来网络攻击技术和攻击工具发展很快,使得一般的计算机爱好者要想成为一名准黑客非常容易,网络攻击技术和攻击工具的迅速发展使得各个单位的网络信息安全面临越来越大的风险。只有加深对网络攻击技术发展趋势的了解,才能够尽早采取相应的防护措施。目前应该特别注意网络攻击技术和攻击工具正在以下几个方面快速发展。 1攻击手段在快速改变 2.安全漏洞的被利用的速度越来越快 3.有组织的攻击越来越多 4攻击的目的和目标在改变 从早期的以个人表现的无目的的攻击到有意识有目的的攻击改变,攻击目标
5、在改变,从早期的以军事敌对为目标向民用目标转变,民用计算机受到越来越多的攻击,公司甚至个人的电脑都成为了攻击目标。更多的职业化黑客的出现,使网络攻击更加有目的性。黑客们已经不再满足于简单、虚无飘渺的名誉追求,更多的攻击背后是丰厚的经济利益。 5.攻击行为越来越隐密 攻击者已经具备了反侦破、动态行为、攻击工具更加成熟等特点。反侦破是指黑客越来越多地采用具有隐蔽攻击工具特性的技术,使安全专家需要耗费更多的时间来分析新出现的攻击工具和了解新的攻击行为。动态行为是指现在的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为,而不是像早期的攻击工具那样,仅能够以单
6、一确定的顺序执行攻击步骤。 6.攻击者的数量不断增加,破坏效果越来越大,10.3 网络攻击基本概念及术语,网络攻击的方式 主动攻击:扫描、渗透、拒绝服务 被动攻击:嗅探、钓鱼 一些术语 后门 社会工程学 BotNet(僵尸网络) 漏洞 SQL注入 缓冲区溢出 . 注解: 后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,那么它就成了安全风险,容易被黑客当成漏洞进行攻击。 所谓“社会工程学攻击”,就是利用人们的心理特征,骗取用户的
7、信任,获取机密信息、系统设置等等不公开资料,为黑客攻击和病毒感染创造有利条件。社会工程学不能等同于一般的欺骗手法,它尤其复杂,即使自认为最警惕最小心的人,一样可能会被高明的社会工程学手段损害利益。,5,10.3 网络攻击基本概念及术语,BotNet(僵尸网络) 通过各种手段在大量计算机中植入特定的恶意程序,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序
8、感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。 是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。僵尸病毒被人放到计算机时机器会滴滴的响上2秒 .,6,网络安全漏洞网络普及,在方便应用的同时,安全问题也越来越突出。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。 事实上,我们现在使用的Internet
9、是一个开放的、自由的、国际化的网络,只要你的计算机联网,就可能有人想方设法获取你的计算机上的信息。因为开放、自由,网络安全存在很多漏洞。,10.3 网络攻击基本概念及术语,网络安全漏洞网络系统漏洞也称为网络系统的脆弱性、缺陷等,是指网络系统的软件、硬件或策略上的不安全因素。网络系统漏洞可以分为两类:软漏洞和硬漏洞。软漏洞是由网络系统配置不当引起的;硬漏洞是软件或硬件厂商的生产过程造成的。从技术上说,网络容易受到攻击的原因主要是由于网络软件不完善和网络协议本身存在安全缺陷造成的。例如我们使用最多的、最著名的TCP/IP网络协议就存在大量的安全漏洞。这是因为在设计TCP/IP协议时,我们只考虑到如
10、何实现信息通信,而没有考虑到有人会破坏信息通信的安全。,10.3 网络攻击基本概念及术语,网络系统的漏洞主要表现在以下几个方面:1)网络系统的缺陷 (1)网络操作系统体系结构自身并不安全(2)计算机系统的软件和硬件故障(3)网络端口、传输线路和处理机有可能因屏蔽不严而造成电磁信息辐射,从而造成信息泄露。2)软件安全漏洞软件安全漏洞主要有以下几个方面:(1)应用软件的安全漏洞(2)操作系统的安全漏洞(3)数据库的安全漏洞(4)通信系统和通信协议的安全漏洞(5)网络软件与网络服务的安全漏洞,10.4 网络攻击的整体模型描述 网络攻击模型将攻击过程划分为以下阶段: 1. 攻击身份和位置隐藏; 2.
11、目标系统信息收集; 3. 弱点信息挖掘分析; 4.目标使用权限获取; 5. 攻击行为隐藏; 6. 攻击实施; 7. 开辟后门; 8. 攻击痕迹清除。,黑客攻击流程:黑客要实施攻击,一般来说必须有3个基本步骤。1)收集信息(踩点)。2)选择目标,实施攻击。3)上传黑客程序,取得控制权,下载用户数据。黑客攻击的关键一步就是收集信息,也就是踩点。收集汇总各种与目标系统相关的信息,包括目标网络结构、用户数、目标机器类型、所用域,以及IP地址和操作系统等。 黑客入侵的一般模式为:踩点查点扫描分析并入侵获取权限提升权限扩大范围安装后门清除日志。黑客攻击行为流程的一般模型如下图所示。图中虚线框上部完成收集信
12、息;虚线框中是入侵模块,即实施攻击;最后完成黑客攻击的目的。,黑客攻击行为流程的一般模型,7.1.3 网络攻击的整体模型描述,1.攻击过程中的关键阶段是:弱点挖掘和权获取限; 2.攻击成功的关键条件之一是:目标系统存在安全漏洞或弱点; 3.网络攻击难点是:目标使用权的获得。 4.能否成功攻击一个系统取决于多方面的因素。,典型的网络攻击的一般流程:,攻击的过程,14,信息收集分析目标实施攻击方便再次进入打扫战场,攻击首先要明确目标(单机、网段),目标探测(也称踩点)就是通过自动或人工方法,获得与目标网络相关的物理和逻辑参数。 目标探测是防范不法黑客攻击行为的手段之一,也是黑客进行攻击的第一步。
13、(1)为什么要收集信息 获取攻击目标大概信息 网络信息 主机信息 是否存在漏洞 密码脆弱性等等 指导下一步攻击行为 (2)信息收集的方式 社会工程学 媒体(如搜索引擎、广告介绍等) 网络工具的探测 (3) 目标探测的内容目标探测所包括的内容基本上有以下两类:1外网信息。包括域名、管理员信息、网络地址范围、网络位置、网络地址分配机构信息、系统提供的各种服务和网络安全配置等。2内网信息。包括内部网络协议、拓扑结构、系统体系结构和安全配置等。,1. 踩点-信息收集-目标探测,目标探测主要利用了以下4种检测技术。1基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。2基
14、于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。3基于目标漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库和注册号等。4基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击。,1.为什么需要分析目标 确定收集信息的准确性 更准确的判断 攻击方式及工具路径的选择 2.分析目标的方法 扫描 漏洞库 论坛等交互应用 扫描概念和原理 计算机扫描就是对计算机系统或者其他网络设备进行与安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。网络扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。扫描采取模拟攻击的形式,对
15、目标可能存在的已知安全漏洞逐项进行检查。目标可以是工作站、服务器、交换机、路由器和数据库应用等。 扫描器 扫描器是一种自动检测远程或本地主机安全性的程序。主要是端口的分布、提供的服务、软件版本、传输信息量等。既可以被网络管理员使用,也可能被黑客利用。,2. 定位-扫描-分析目标,可以手工扫描,但更多的是借助扫描软件进行扫描,如SuperScan、IP Scanner等。从整个信息安全角度来看的话,可以把扫描器大约分为三类:即: 1数据库安全扫描器 数据库安全扫描器是针对数据库管理系统的安全评估工具,如Database Scanner。用户可利用它来建立数据库的安全规则,通过运行审核程序来提供有
16、关安全风险和位置的简明报告。 2系统安全扫描器系统安全扫描器是针对主机的安全评估工具,如System Scanner。它是基于主机安全评估策略来分析系统漏洞,包括系统错误配置和普通配置信息。用户通过扫描结果对系统漏洞进行修补,直到扫描报告中不再出现任何警告。,3网络安全扫描器网络安全扫描器是针对于网络服务、应用程序、网络设备和网络协议等安全评估工具。通常我们将基于网络的扫描称为主动式扫描,基于主机的扫描称为被动式扫描。一个网络扫描器至少应该具备如下三项功能,实际上也就是3个阶段:(1)发现一个主机和网络;(2)发现主机后,扫描它正在运行的操作系统和各项服务;如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。(3)测试系统和服务中是否存在漏洞。 防止端口扫描介绍两种防范端口扫描的方法: 1关闭闲置和有潜在危险的端口2. 利用网络防火墙软件,通过端口扫描确定主机开放的端口,不同的端口对应 运行着的不同的网络服务,端口测试数据包,测试响应数据包,信息收集技术-端口扫描,
