网络攻击行为分析

《网络攻击行为分析》由会员分享，可在线阅读，更多相关《网络攻击行为分析（33页珍藏版）》请在金锄头文库上搜索。

1、计算机网络与信息安全技术教学课件 V08.081网络攻击行为分析网络攻击行为分析第第 2 章章2基本内容u网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。u很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具，就象刀具，是基本生活用具，又可成为杀人凶器。我们要做到“知己知彼”，才能“百战不殆”，对黑客的攻击手段、途径、方法和工具了解得越多，越有利于保护网络和信息的安全。u在介绍信息安全技术以前，本章先来分析与黑客攻击相关的知识。 3n n网络信息安全技术网络信息安全技术网络信息安全技术网络信息安全技术与与黑

2、客攻击技术黑客攻击技术都源于同一技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。使用这些技术。n很多软件或设备可以为网络管理和安全提供保障，很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具。但当被别有用心的人所利用时，就成了黑客工具。刀，是基本生活用具，但又是杀人凶刀，是基本生活用具，但又是杀人凶4n计算机网络系统所面临的威胁大体可分为两计算机网络系统所面临的威胁大体可分为两种：一是针对网络中信息的威胁；二是针对种：一是针对网络中信息的威胁；二是针对网络中设备的威胁。网络中设备的威胁。

3、2.1 2.1 影响信息安全的人员分析影响信息安全的人员分析影响信息安全的人员分析影响信息安全的人员分析 v如果按威胁的对象、性质则可以细分为四类：如果按威胁的对象、性质则可以细分为四类：第一类是针对硬件实体设施第一类是针对硬件实体设施第二类是针对软件、数据和文档资料第二类是针对软件、数据和文档资料第三类是兼对前两者的攻击破坏第三类是兼对前两者的攻击破坏第四类是计算机犯罪。第四类是计算机犯罪。5安全威胁的来源n不可控制的自然灾害，如地震、雷击不可控制的自然灾害，如地震、雷击n恶意攻击、违纪、违法和计算机犯罪恶意攻击、违纪、违法和计算机犯罪n人为的无意失误和各种各样的误操作人为的无意失误和各种各

4、样的误操作n计算机硬件系统的故障计算机硬件系统的故障n软件的软件的“后门后门”和漏洞和漏洞安全威胁主要来自以下几个方面：安全威胁主要来自以下几个方面：6安全威胁的表现形式 n伪装伪装 n非法连接非法连接 n非授权访问非授权访问 n拒绝服务拒绝服务n抵赖抵赖 n信息泄露信息泄露 n业务流分析业务流分析 n改动信息流改动信息流n篡改或破坏数据篡改或破坏数据 n推断或演绎信息推断或演绎信息 n非法篡改程序非法篡改程序 7实施安全威胁的人员 n心存不满的员工心存不满的员工n软硬件测试人员软硬件测试人员n技术爱好者技术爱好者n好奇的年青人好奇的年青人n黑客（黑客（Hacker）n破坏者（破坏者（Crac

5、ker）n以政治或经济利益为目的的间谍以政治或经济利益为目的的间谍 8互互联联网网上上的的黑黑色色产产业业链链 92.2 网络攻击的层次 网络攻击的途径v针对端口攻击针对端口攻击v针对服务攻击针对服务攻击v针对第三方软件攻击针对第三方软件攻击vDOS攻击攻击v针对系统攻击针对系统攻击v口令攻击口令攻击v欺骗欺骗10网络攻击的层次 网络攻击的层次v第一层攻击：第一层攻击：第一层攻击基于应用层的操作第一层攻击基于应用层的操作 ，这些攻击的目的只，这些攻击的目的只是为了干扰目标的正常工作。是为了干扰目标的正常工作。v第二层攻击：第二层攻击：第二层攻击指本地用户获得不应获得的文件第二层攻击指本地用户获

6、得不应获得的文件(或目录或目录)读权限读权限 。v第三层攻击：第三层攻击：在第二层的基础上发展成为使用户获得不应获得的在第二层的基础上发展成为使用户获得不应获得的文件文件(或目录或目录)写权限。写权限。v第四层攻击：第四层攻击：第四层攻击主要指外部用户获得访问内部文件的权第四层攻击主要指外部用户获得访问内部文件的权利。利。 v第五层攻击：第五层攻击：第五层攻击指非授权用户获得特权文件的写权限。第五层攻击指非授权用户获得特权文件的写权限。 v第六层攻击：第六层攻击：第六层攻击指非授权用户获得系统管理员的权限或第六层攻击指非授权用户获得系统管理员的权限或根权限。根权限。 112.3 网络攻击的一般

7、步骤 n（1）隐藏IPn（2）踩点扫描n（3）获得系统或管理员权限n（4）种植后门n（5）在网络中隐身122.4 网络入侵技术n任何以干扰、破坏网络系统为目的的非任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击。授权行为都称之为网络攻击。n网络攻击实际上是针对安全策略的违规网络攻击实际上是针对安全策略的违规行为、针对授权的滥用行为与针对正常行为、针对授权的滥用行为与针对正常行为特征的异常行为的总和。行为特征的异常行为的总和。网络主要攻击手段13网站网站篡篡改（占改（占45.91%45.91%）垃圾垃圾邮邮件（占件（占28.49%28.49%）蠕虫（占蠕虫（占6.31%6.31%）网网

8、页恶页恶意代意代码码（占（占0.51%0.51%）木木马马（占（占4.01%4.01%）网网络络仿冒（占仿冒（占4.97%4.97%）拒拒绝绝服服务务攻攻击击（占（占0.58%0.58%）主机入侵（占主机入侵（占1.14%1.14%） 网络主要攻击手段14网络入侵技术-漏洞攻击n漏洞攻击：利用软件或系统存在的缺陷实施攻击。漏洞是指硬件、软件或漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、攻击者能够在未授权的情况下访问、控制系统。控制系统。 n缓冲区溢出漏洞攻击 ：通过向程序的缓冲区写入超过其长度的数据，造成溢出，从而破坏程序

9、的堆栈，转而执行其它的指令，达到攻击的目的。nRPC漏洞、SMB漏洞、打印漏洞 15缓冲区溢出缓冲区溢出lBuffer overflow attack 缓冲区溢出攻击缓冲区溢出攻击缓冲区溢出漏洞大量存在于各种软件中缓冲区溢出漏洞大量存在于各种软件中利用缓冲区溢出的攻击，会导致系统当机，获得系统特权等严利用缓冲区溢出的攻击，会导致系统当机，获得系统特权等严重后果。重后果。l最早的攻击最早的攻击1988年年UNIX下的下的Morris worml最近的攻击最近的攻击Codered 利用利用IIS漏洞漏洞SQL Server Worm 利用利用SQL Server漏洞漏洞Blaster 利用利用RP

10、C漏洞漏洞Sasser利用利用LSASS漏洞漏洞16l向缓冲区写入超过缓冲区长度的内容，造成缓冲区溢出，破坏程序的堆栈，使程序转而执行其他的指令，达到攻击的目的。l原因：程序中缺少错误检测:void func(char *str) char buf16; strcpy(buf,str);如果str的内容多于16个非0字符，就会造成buf的溢出，使程序出错。17l类似函数有strcat、sprintf、vsprintf、gets、scanf等l一般溢出会造成程序读/写或执行非法内存的数据，引发segmentation fault异常退出.l如果在一个suid程序中特意构造内容，可以有目的的执行程

11、序，如/bin/sh，得到root权限。18l类似函数有strcat、sprintf、vsprintf、gets、scanf等l一般溢出会造成程序读/写或执行非法内存的数据，引发segmentation fault异常退出.l如果在一个suid程序中特意构造内容，可以有目的的执行程序，如/bin/sh，得到root权限。19l在进程的地址空间安排适当的代码l通过适当的初始化寄存器和内存，跳转到以上代码段执行l利用进程中存在的代码传递一个适当的参数如程序中有exec(arg)，只要把arg指向“/bin/sh”就可以了l植入法把指令序列放到缓冲区中堆、栈、数据段都可以存放攻击代码，最常见的是利用

12、栈20n拒绝服务攻击（DoS）：通过各种手段来消耗网络带宽和系统资源，或者攻击系统缺陷，使系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户的服务访问。 n分布式拒绝服务攻击：DDoS，攻击规模更大，危害更严重。n实例：SYN-Flood洪水攻击，Land攻击，Smurf攻击 ，UDP-Flood攻击，WinNuke攻击（139）等。网络入侵技术-拒绝服务攻击21n典型的拒绝服务攻击有如下两种形式：资源典型的拒绝服务攻击有如下两种形式：资源耗尽和资源过载。耗尽和资源过载。n当一个对资源的合理请求大大超过资源的支当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务

13、攻击付能力时就会造成拒绝服务攻击（例如，对（例如，对已经满载的已经满载的Web服务器进行过多的请求。）服务器进行过多的请求。）拒绝服务攻击还有可能是由于软件的弱点或拒绝服务攻击还有可能是由于软件的弱点或者对程序的错误配置造成的。者对程序的错误配置造成的。n区分恶意的拒绝服务攻击和非恶意的服务超区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请求发起者对资源的请求是否过份，载依赖于请求发起者对资源的请求是否过份，从而使得其他的用户无法享用该服务资源。从而使得其他的用户无法享用该服务资源。22n以下的两种情况最容易导致拒绝服务攻击：以下的两种情况最容易导致拒绝服务攻击：n由于由于程序员对程序错误的编

14、制，导致系统不停的建立进程序员对程序错误的编制，导致系统不停的建立进程，最终耗尽资源程，最终耗尽资源，只能重新启动机器。不同的系统平，只能重新启动机器。不同的系统平台都会采取某些方法可以防止一些特殊的用户来占用过台都会采取某些方法可以防止一些特殊的用户来占用过多的系统资源，我们也建议尽量采用资源管理的方式来多的系统资源，我们也建议尽量采用资源管理的方式来减轻这种安全威胁。减轻这种安全威胁。n还有一种情况是还有一种情况是由磁盘存储空间引起由磁盘存储空间引起的。假如一个用户的。假如一个用户有权利存储大量的文件的话，他就有可能只为系统留下有权利存储大量的文件的话，他就有可能只为系统留下很小的空间用来

15、存储日志文件等系统信息。这是一种不很小的空间用来存储日志文件等系统信息。这是一种不良的操作习惯，会给系统带来隐患。这种情况下应该对良的操作习惯，会给系统带来隐患。这种情况下应该对系统配额作出考虑。系统配额作出考虑。23nPing of Death：发送长度超过：发送长度超过65535字节的字节的ICMP Echo Request 数据包导致目标机数据包导致目标机TCP/IP协议栈崩溃，系统死机或重协议栈崩溃，系统死机或重启。启。nTeardrop：发送特别构造的：发送特别构造的IP 数据包，导致目标机数据包，导致目标机TCP/IP协议协议栈崩溃，系统死锁。栈崩溃，系统死锁。nSyn flood

16、ing：发送大量的：发送大量的SYN包。包。nLand：发送：发送TCP SYN包，包的包，包的SRC/DST IP相同，相同，SPORT/DPORT相同，导致目标机相同，导致目标机TCP/IP协议栈崩溃，系统死协议栈崩溃，系统死机或失去响应。机或失去响应。nWinnuke：发送特别构造的：发送特别构造的TCP包，使得包，使得Windows机器蓝屏。机器蓝屏。nSmurf：攻击者冒充服务器向一个网段的广播地址发送：攻击者冒充服务器向一个网段的广播地址发送ICMP echo包，整个网段的所有系统都向此服务器回应包，整个网段的所有系统都向此服务器回应icmp reply包。包。24n入侵者常常采用

17、下面几种方法获取用户的入侵者常常采用下面几种方法获取用户的密码口令：密码口令：弱口令扫描弱口令扫描Sniffer密码嗅探密码嗅探暴力破解暴力破解社会工程学（即通过欺诈手段获取）社会工程学（即通过欺诈手段获取）木马程序或键盘记录程序木马程序或键盘记录程序。网络入侵技术-口令攻击25破解PDF密码26破解OF密码27破解系统密码28n一个开放的网络端口就是一条与计算机进行通信的信道，对网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息，从而为下一步的入侵做好准备。n扫描是采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，利用各种工具在攻击目标的IP地址或地址段的主机上寻找

18、漏洞。 n典型的扫描工具包括安全焦点的X-Scan、小榕的流光软件，简单的还有IpScan、SuperScan等，商业化的产品如启明星辰的天镜系统具有更完整的功能 。网络入侵技术-扫描攻击 29n网络嗅探与协议分析是一种被动的侦察手段，使用嗅探监听软件，对网络中的数据进行分析，获取可用的信息。n网络监听可以使用专用的协议分析设备实现，也可使用Sniffer Pro 4.7、TCPDump等软件实现。SnifferPro是最常用的嗅探分析软件，它可以实现数据包捕获、数据包统计、过滤数据包、数据包解码等功能，功能解码可以获取很多有用的信息，如用户名、密码及数据包内容。 网络入侵技术-嗅探与协议分析

19、 30n协议欺骗攻击就是假冒通过认证骗取对方信任，从而获取所需信息，进而实现入侵的攻击行为。n常见的协议欺骗有以下几种方式：IP欺骗：对抗基于IP地址的验证。ARP欺骗：它是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。ARP欺骗通过伪造ARP与IP的信息或对应关系实现。NC软件就能实现ARP欺骗。TCP会话劫持：与IP欺骗类似，通过嗅探并向网络注入额外的信息实现TCP连接参与。如IP watcher就是一种有效的会话劫持工具。网络入侵技术-协议欺骗攻击 31n社会工程学（社会工程学（Social Engineering），是一种通过对受），是一种通过对受害

20、者心理弱点、本能反应、好奇心、信任、贪婪等心理害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。手法。n20世纪70年代末期，一个叫做斯坦利马克瑞夫金（Stanley Mark Rifkin）的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划，“甚至无需计算机的协助”，仅仅依靠一个进入电汇室的机会并打了三个电话，便成功地将一千零二十万美元转入自己在国外的个人账户。 网络入侵技术-社会工程学攻击 322.5 网络防御与信息安全保障n针对网络入侵和密码破译等攻击行为，本书在以后的章节中，在ISO安全体系结构的指导下，通过内容安全技术和网络安全技术两大部分来介绍网络信息安全的实现方法，并通过若干实验项目来验证、巩固相关技术，当然，技术实施要由人来完成，人才是最关键的。 n（1）隐藏IPn（2）踩点扫描n（3）获得系统或管理员权限n（4）种植后门n（5）在网络中隐身33本章小结n本章从分析影响信息安全的人员入手，总结出网络攻击途径，并将攻击按实现的难易程度分为6个层次；结合网络攻击的案例，说明网络攻击的一般步骤；最后介绍了目前常见的网络入侵技术，以此提醒网络用户时刻关注自己的系统安全。