《最常见网络攻击详细分析PPT课件》由会员分享,可在线阅读,更多相关《最常见网络攻击详细分析PPT课件(127页珍藏版)》请在金锄头文库上搜索。
1、第五章常见的网络攻击与防范网络攻击步骤预攻击探测漏洞扫描(综合扫描)木马攻击拒绝服务攻击欺骗攻击蠕虫病毒攻击其他攻击1.一、网络攻击步骤网络安全威胁国家基础设施因特网安全漏洞危害在增大信息对抗的威胁在增加电力交通通讯控制广播工业金融医疗2.一、网络攻击步骤网络中存在的安全威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫3.一、网络攻击步骤典型攻击步骤预攻击探测收集信息,如OS类型,提供的服务端口发现漏洞,采取攻击行为获得攻击目标的控制权系统继续渗透网络,直至获取机密数据消灭踪迹破解口令文件,或利用缓存溢出漏洞以此主机为跳板,寻找其它主
2、机的漏洞获得系统帐号权限,并提升为root权限安装系统后门方便以后使用4.一、网络攻击步骤典型攻击步骤图解5.一、网络攻击步骤攻击手法 vs. 入侵者技术高低19801985199019952000密码猜测可自动复制的代码破解密码利用已知的漏洞破坏审计系统后门会话劫持消除痕迹嗅探IP欺骗GUI远程控制自动探测扫描拒绝服务www 攻击攻击手法与工具入侵者技术半开隐蔽扫描控制台入侵检测网络管理DDOS 攻击6.二、预攻击探测预攻击概述端口扫描基础操作系统识别资源扫描与查找用户和用户组查找7.二、预攻击探测1.预攻击概述Pingsweep寻找存活主机Portscan寻找存活主机的开放服务(端口)OS
3、fingerprint操作系统识别资源和用户信息扫描网络资源,共享资源,用户名和用户组等8.二、预攻击探测Ping工具p操作系统本身的ping工具Ping:PacketInterNetGroper用来判断远程设备可访问性最常用的方法Ping原理:l发送ICMPEcho消息,等待EchoReply消息l可以确定网络和外部主机的状态l可以用来调试网络的软件和硬件l每秒发送一个包,显示响应的输出,计算网络来回的时间l最后显示统计结果丢包率9.二、预攻击探测关于PinglPing有许多命令行参数,可以改变缺省的行为l可以用来发现一台主机是否activel为什么不能ping成功?没有路由,网关设置?网卡
4、没有配置正确增大timeout值被防火墙阻止l“Pingofdeath”发送特大ping数据包(65535字节)导致机器崩溃许多老的操作系统都受影响10.二、预攻击探测pWindows平台Pinger、PingSweep、WS_PingProPack图:Pinger工具11.二、预攻击探测图:Ping Sweep12.二、预攻击探测Ping工具都是通过ICMP协议来发送数据包,那么针对这种扫描的预防措施是:l使用可以检测并记录ICMP扫描的工具l使用入侵检测系统l在防火墙或路由器中设置允许进出自己网络的ICMP分组类型13.二、预攻击探测2.端口扫描基础l开放扫描(OpenScanning)需
5、要扫描方通过三次握手过程与目标主机建立完整的TCP连接可靠性高,产生大量审计数据,容易被发现l半开放扫描(Half-OpenScanning)扫描方不需要打开一个完全的TCP连接l秘密扫描(StealthScanning)不包含标准的TCP三次握手协议的任何部分隐蔽性好,但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息14.二、预攻击探测基本的TCP connect()扫描(开放)Reverse-ident扫描(开放)TCP SYN扫描(半开放)IP ID header aka “dump”IP ID header aka “dump”扫描(半开放)TCP Fin扫描(秘密)
6、TCP XMAS扫描(秘密)TCP ftp proxy扫描(bounce attack)用IP分片进行SYN/FIN扫描(躲开包过滤防火墙)UDP ICMP端口不可达扫描UDP recvfrom扫描15.二、预攻击探测16.二、预攻击探测开放扫描pTCPconnect()扫描l原理扫描器调用socket的connect()函数发起一个正常的连接l如果端口是打开的,则连接成功l否则,连接失败l优点简单,不需要特殊的权限l缺点服务器可以记录下客户的连接行为,如果同一个客户轮流对每一个端口发起连接,则一定是在扫描17.二、预攻击探测pReverse-ident扫描lIdent协议(RFC1413)使
7、得可以发现任何一个通过TCP连接的进程的所有者的用户名,即使该进程并没有发起该连接只有在TCP全连接之后才有效TCP端口113l例如可以先连接到80端口,然后通过identd来发现服务器是否在root下运行l建议关闭ident服务,或者在防火墙上禁止,除非是为了审计的目的18.二、预攻击探测半开放扫描pTCPSYN扫描l原理向目标主机的特定端口发送一个SYN包l如果应答包为RST包,则说明该端口是关闭的l否则,会收到一个SYN|ACK包。于是,发送一个RST,停止建立连接由于连接没有完全建立,所以称为“半开连接扫描”l优点很少有系统会记录这样的行为l缺点在UNIX平台上,需要root权限才可以
8、建立这样的SYN数据包19.二、预攻击探测pIPIDheaderaka“dump”扫描l由Antirez首先使用,并在Bugtraq上公布l原理:扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描,并通过观察其IP序列号的增长规律获取端口的状态l优点l不直接扫描目标主机也不直接和它进行连接,隐蔽性较好l缺点对第三方主机的要求较高20.二、预攻击探测秘密扫描pTCP Fin扫描l原理扫描器发送一个FIN数据包l如果端口关闭的,则远程主机丢弃该包,并送回一个RST包l否则的话,远程主机丢弃该包,不回送变种,组合其他的标记l优点不是TCP建立连接的过程,所以比较隐蔽l缺点与SYN扫描类似,也
9、需要构造专门的数据包在Windows平台无效,总是发送RST包21.二、预攻击探测pTCPXMAS扫描l原理扫描器发送的TCP包包头设置所有标志位l关闭的端口会响应一个同样设置所有标志位的包l开放的端口则会忽略该包而不作任何响应l优点比较隐蔽l缺点主要用于UNIX/Linux/BSD的TCP/IP的协议栈不适用于Windows系统22.二、预攻击探测其他扫描pTCP ftp proxy扫描l原理用PORT命令让ftpserver与目标主机建立连接,而且目标主机的端口可以指定如果端口打开,则可以传输否则,返回425Cantbuilddataconnection:Connectionrefused
10、.Ftp这个缺陷还可以被用来向目标(邮件,新闻)传送匿名信息l优点:这种技术可以用来穿透防火墙l缺点:慢,有些ftpserver禁止这种特性23.二、预攻击探测pUDP ICMP端口不可达扫描l利用UDP协议(主机扫描?)l原理开放的UDP端口并不需要送回ACK包,而关闭的端口也不要求送回错误包,所以利用UDP包进行扫描非常困难有些协议栈实现的时候,对于关闭的UDP端口,会送回一个ICMPPortUnreach错误l缺点速度慢,而且UDP包和ICMP包都不是可靠的需要root权限,才能读取ICMPPortUnreach消息l一个应用例子Solaris的rpcbind端口(UDP)位于32770
11、之上,这时可以通过这种技术来探测24.二、预攻击探测端口扫描对策p设置防火墙过滤规则,阻止对端口的扫描p例如可以设置检测SYN扫描而忽略FIN扫描p使用入侵检测系统p禁止所有不必要的服务,把自己的暴露程度降到最低pUnix或linux中,在/etc/inetd.conf中注释掉不必要的服务,并在系统启动脚本中禁止其他不必要的服务pWindows中通过Services禁止敏感服务,如IIS25.二、预攻击探测端口扫描工具图: NetScanTools26.二、预攻击探测图:WinScan27.二、预攻击探测图:SuperScan28.二、预攻击探测图:Nmap29.二、预攻击探测图: X-sca
12、n30.二、预攻击探测3.操作系统的识别l操作系统辨识的动机许多漏洞是系统相关的,而且往往与相应的版本对应从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统操作系统的信息还可以与其他信息结合起来,比如漏洞库,或者社会诈骗(社会工程,socialengineering)l如何辨识一个操作系统一些端口服务的提示信息,例如,telnet、http、ftp等服务的提示信息TCP/IP栈指纹DNS泄漏出OS系统31.二、预攻击探测图: winfingerprint32.二、预攻击探测4.资源扫描与查找 资源扫描用户扫描网络资源和共享资源,如目标网络计算机名、域名和共享文件等等;而用户扫描
13、则用户扫描目标系统上合法用户的用户名和用户组名。这些扫描都是攻击目标系统的很有价值的信息,而Windows系统,特别是Windows NT/2000在这些方面存在着严重的漏洞,很容易让非法入侵者获取到关于该目标系统的很多有用信息,如共享资源、Netbios名和用户组等。l采用协议:NetBIOS协议、CIFS/SMB协议和空会话l常用工具:NetViewNbtstat和NbtscanLegion和Shed33.二、预攻击探测pNetView 在命令行中输入“net view /domain”net view /domain”命令,可以获取网络上可用的域34.二、预攻击探测 在命令行中输入“ne
14、t view /domain:domain_name”命令,可以获取某一域中的计算机列表,其中domain_name为要列表计算机的域名。 在 命 令 行 中 输 入 “net view computer_name”命令,可以获取网络某一计算机的共享资源列表,其中computer_name为计算机名 。35.二、预攻击探测pnbtstat和nbtscan nbtstat(NetBIOS over TCP/IP)是Windows NT/2000内置的命令行工具,利用它可以查询涉及到NetBIOS信息的网络机器。另外,它还可以用来消除NetBIOS高速缓存器和预加载LMHOSTS文件等。这个命令在
15、进行安全检查时非常有用。l利用nbtstat查看目标 系统NetBIOS列表36.二、预攻击探测lNbtstat本身有一些缺陷,如一次只能扫描一台主机等,nbtscan(http:/www.abb.aha.ru/software/nbtscan.html)却可以对一个网段进行扫描,利用nbtscan对网段进行扫描。 37.二、预攻击探测pLegion和Shed 在NetBIOS扫描中,很重要的一项就是扫描网络中的共享资源,以窃取资源信息或植入病毒木马。Legion和Shed就是其中的典型。lLegion的共享资源扫描可以对一个IP或网段进行扫描,它还包含一个共享密码的蛮力攻击工具,如 “Sho
16、w BF Tool”按钮。 主要用于Windows 2000以前的操作系统中 38.二、预攻击探测lShed是一个速度很快的共享资源扫描工具,它可以显示所有的共享资源,包含隐藏的共享。39.二、预攻击探测p空会话l原理利用WindowsNT/2000对NetBIOS的缺省信赖通过TCP端口139返回主机的大量信息l实例如果通过端口扫描获知TCP端口139已经打开netuse192.168.102.230IPC$/USER:在攻击者和目标主机间建立连接Windows2000还有另一个SMB端口445p预防资源扫描和查找的方法:防范NetBIOS扫描的最直接方法就是不允许对TCP/UDP135到139端口的访问,如通过防火墙或路由器的配置等。另外,对单独的主机,可使用NetBIOSoverTCP/IP项失效或注册表配置来实现。Windows2000操作系统还要禁止445端口。40.二、预攻击探测5.用户和用户组查找利用前面介绍的方法,可以很容易获取远程WindowsNT/2000主机的共享资源、NetBIOS名和所处的域信息等。但黑客和非法入侵者更感兴趣的是通过NetBIOS扫描,获取目标
