计算机网络安全技术 第8章 网络攻击与防护.ppt
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《计算机网络安全技术 第8章 网络攻击与防护.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全技术 第8章 网络攻击与防护.ppt(59页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第第8 8章章 网络攻击与防护网络攻击与防护 黑客及攻击黑客及攻击8.1 IPIP欺骗欺骗8.2 拒绝服务攻击拒绝服务攻击8.3侦察与工具侦察与工具8.4 攻击与渗透攻击与渗透8.5 入侵监测系统入侵监测系统IDSIDS8.6审审 计计 结结 果果8.78.1 黑客及攻击1黑客概述黑客概述 在各种媒体上有许多关于在各种媒体上有许多关于Hacker这个名词的这个名词的定义,一般是指计算机技术的行家或热衷于解决定义,一般是指计算机技术的行家或热衷于解决问题、克服限制的人。这可以追溯到几十年前第问题、克服限制的人。这可以追溯到几十年前第一台微型计算机刚刚诞生的时代。那时有一个由一台微型计算机刚刚诞生
2、的时代。那时有一个由程序设计专家和网络名人所组成的具有分享特质程序设计专家和网络名人所组成的具有分享特质的文化族群。这一文化族群的成员创造了的文化族群。这一文化族群的成员创造了Hacker这个名词。他们建立了这个名词。他们建立了Internet,创造出现在使,创造出现在使用的用的UNIX操作系统,使操作系统,使Usenet运作起来,并且运作起来,并且让让World Wide Web传播开来,这就是最早的传播开来,这就是最早的Hacker。也存在另外一个团体,其成员也称自己为也存在另外一个团体,其成员也称自己为Hacker。这些人专门闯入计算机或入侵电话系统,。这些人专门闯入计算机或入侵电话系统
3、,真正的真正的Hacker称他们为入侵者(称他们为入侵者(Cracker),并),并且不愿意和他们在一起做任何事。且不愿意和他们在一起做任何事。Hacker们认为们认为这些人懒惰,不负责任,并且不够光明正大。他这些人懒惰,不负责任,并且不够光明正大。他们认为,能破解安全系统并不能使你成为一位们认为,能破解安全系统并不能使你成为一位Hacker。基本上,。基本上,Hacker和和Cracker之间最主要之间最主要的不同是,的不同是,Hacker创造新东西,创造新东西,Cracker破坏东破坏东西。西。现在,人们所说的黑客是指现在,人们所说的黑客是指Cracker。2黑客常用的攻击方法黑客常用的攻
4、击方法(1)获取口令)获取口令(2)放置特洛伊木马程序)放置特洛伊木马程序(3)WWW的欺骗技术的欺骗技术(4)电子邮件攻击)电子邮件攻击(5)通过一个节点来攻击其他节点)通过一个节点来攻击其他节点(6)网络监听)网络监听(7)寻找系统漏洞)寻找系统漏洞(8)利用账号进行攻击)利用账号进行攻击(9)偷取特权)偷取特权8.2 IP欺骗8.2.1 IP欺骗原理欺骗原理1信任关系2Rlogin3TCP序列号预测4序列编号、确认和其他标志信息5IP欺骗8.2.2 IP欺骗的防止欺骗的防止1抛弃基于地址的信任策略2进行包过滤3使用加密方法4使用随机化的初始序列号8.3 拒绝服务攻击8.3.1 概述概述图
5、8-1 拒绝服务攻击示意图8.3.2 拒绝服务攻击的原理拒绝服务攻击的原理1拒绝服务的模式2拒绝服务常用方法8.4 侦察与工具8.4.1 安全扫描安全扫描 安全扫描以各种各样的方式进行。可安全扫描以各种各样的方式进行。可以利用以利用Ping和端口扫描程序来侦查网络,和端口扫描程序来侦查网络,也可以使用客户端也可以使用客户端/服务器程序,如服务器程序,如Telnet和和SNMP等来侦查网络泄漏的有用信息。等来侦查网络泄漏的有用信息。应当利用一些工具来了解网络。有些工具应当利用一些工具来了解网络。有些工具很简单,便于安装和使用。有时,审计人很简单,便于安装和使用。有时,审计人员和黑客会利用程序语言
6、如员和黑客会利用程序语言如Perl,C,C+和和Java自己编制一些工具,因为他们找不到自己编制一些工具,因为他们找不到现成的针对某种漏洞的工具。现成的针对某种漏洞的工具。另外一些工具功能更全面,但是在使另外一些工具功能更全面,但是在使用前需要认真地配置。有专门从事网络管用前需要认真地配置。有专门从事网络管理和安全的公司出售这些工具。好的网络理和安全的公司出售这些工具。好的网络级和主机级扫描器会监听和隔离进出网络级和主机级扫描器会监听和隔离进出网络和主机的所有会话包。在学习这些和主机的所有会话包。在学习这些“Hacker-in-a-box”的解决方案前,应当先的解决方案前,应当先接触一些当前黑
7、客常常使用的技巧。接触一些当前黑客常常使用的技巧。1Whois命令命令 Whois(类似于(类似于finger)是一种)是一种Internet的目的目录服务,录服务,whois提供了在提供了在Internet上一台主机或某上一台主机或某个域的所有者的信息,如管理员的姓名、通信地个域的所有者的信息,如管理员的姓名、通信地址、电话号码和址、电话号码和E-mail地址等信息,这些信息是地址等信息,这些信息是在官方网站在官方网站whois server上注册的,如保存在上注册的,如保存在InterNIC的数据库内。的数据库内。Whois命令通常是安全审命令通常是安全审计人员了解网络情况的开始。一旦得到
8、了计人员了解网络情况的开始。一旦得到了Whois记录,从查询的结果还可得知记录,从查询的结果还可得知primary和和secondary域名服务器的信息。域名服务器的信息。2nslookup 使用使用DNS的排错工具的排错工具nslookup,可以利用从,可以利用从whois查询到的信息侦查更多的网络情况。例如,查询到的信息侦查更多的网络情况。例如,使用使用nslookup命令把主机伪装成命令把主机伪装成secondary DNS服务器,如果成功便可以要求从主服务器,如果成功便可以要求从主DNS服务器进服务器进行区域传送。要是传送成功的话,将获得大量有行区域传送。要是传送成功的话,将获得大量有
9、用信息,包括:用信息,包括:使用此使用此DNS服务器做域名解析到所有主机名和服务器做域名解析到所有主机名和IP地址的映射情况;地址的映射情况;公司使用的网络和子网情况;公司使用的网络和子网情况;主机在网络中的用途,许多公司使用带有描述主机在网络中的用途,许多公司使用带有描述性的主机名。性的主机名。使用使用nslookup实现区域传送的过程有如下几实现区域传送的过程有如下几步。步。第第1步,使用步,使用whois命令查询目标网络,例如命令查询目标网络,例如在在Linux提示符下输入提示符下输入whois 。第第2步,得到目标网络的步,得到目标网络的primary和和slave DNS服务器的信息
10、。例如,假设主服务器的信息。例如,假设主DNS服务器的服务器的名字是名字是。第第3步,使用交互查询方式,缺省情况下步,使用交互查询方式,缺省情况下nslookup会使用缺省的会使用缺省的DNS服务器作域名解析。服务器作域名解析。键入命令键入命令server 定位目标网定位目标网络的络的DNS服务器。服务器。第第4步,列出目标网络步,列出目标网络DNS服务器的内容,服务器的内容,如如ls 。此时。此时DNS服务器会把数服务器会把数据传送过来。当然,管理员可以禁止据传送过来。当然,管理员可以禁止DNS服务器服务器进行区域传送,目前很多公司将进行区域传送,目前很多公司将DNS服务器至于服务器至于防火
11、墙的保护之下并严格设定了只能向某些主机防火墙的保护之下并严格设定了只能向某些主机进行区域传送。进行区域传送。一旦从区域传送中获得了有用信息,便可以一旦从区域传送中获得了有用信息,便可以对每台主机实施端口扫描以确定它们提供了哪些对每台主机实施端口扫描以确定它们提供了哪些服务。如果不能实现区域传送,用户还可以借助服务。如果不能实现区域传送,用户还可以借助ping和端口扫描工具,当然还有和端口扫描工具,当然还有traceroute。3host Host命令是命令是UNIX提供的有关提供的有关Internet域名查域名查询的命令,可实现主机名到询的命令,可实现主机名到IP地址的映射,反之地址的映射,反
12、之亦然。用亦然。用host命令可实现以下功能:命令可实现以下功能:实现区域传送;实现区域传送;获得名称解析信息;获得名称解析信息;得知域中邮件服务器的信息。得知域中邮件服务器的信息。参数参数-v可显示更多的信息,参数可显示更多的信息,参数-l实现区域传送,实现区域传送,参数参数-t允许查询特定的允许查询特定的DNS记录。记录。例如,要查询例如,要查询域的邮件服务器的记录,域的邮件服务器的记录,需要键入命令:需要键入命令:host t mx (你可以参考(你可以参考UNIX命令帮助命令帮助获得更多信息)获得更多信息)Traceroute(tracert)Traceroute 用于路由追踪,如判断
13、从主机到目标主机经过用于路由追踪,如判断从主机到目标主机经过哪些路由器、跳计数、响应时间如何等。大多数操作系统哪些路由器、跳计数、响应时间如何等。大多数操作系统(包括(包括UNIX、Novell和和Windows NT)若配置了)若配置了TCP/IP协协议的话,都会有自己版本的议的话,都会有自己版本的traceroute程序。当然也可以使程序。当然也可以使用其他一些第三方的路由追踪软件,在后面我们会接触到用其他一些第三方的路由追踪软件,在后面我们会接触到这些工具。这些工具。使用使用traceroute,你可以推测出网络的物理布局,包括,你可以推测出网络的物理布局,包括该网络连接该网络连接Int
14、ernet所使用的路由器。所使用的路由器。traceroute还可以判还可以判断出响应较慢的节点和数据包在路由过程中的跳计数。断出响应较慢的节点和数据包在路由过程中的跳计数。4Ping扫描作用及工具扫描作用及工具 Ping一个公司的一个公司的Web服务器可帮助获得该公服务器可帮助获得该公司所使用的司所使用的IP地址范围。一旦得知了地址范围。一旦得知了HTTP服务服务器的器的IP地址,就可以使用地址,就可以使用Ping扫描工具扫描工具Ping该子该子网的所有网的所有IP地址,这可以帮助得到该网络的地址地址,这可以帮助得到该网络的地址图。图。Ping扫描程序将自动扫描所指定的扫描程序将自动扫描所指
15、定的IP地址范地址范围,围,WS_Ping ProPack工具包中集成有工具包中集成有Ping扫描扫描程序。单独的程序。单独的Ping工具有许多,工具有许多,Rhino9 Pinger是是比较流行的程序。比较流行的程序。8.4.2 8.4.2 端口扫描与其他端口扫描与其他1端口扫描端口扫描 端口扫描与端口扫描与ping扫描相似,不同的是端口扫扫描相似,不同的是端口扫描不仅可以返回描不仅可以返回IP地址,还可以发现目标系统上地址,还可以发现目标系统上活动的活动的UDP和和TCP端口。端口。例如,地址例如,地址192.168.1.10正在运行正在运行SMTP和和Telnet服务,地址服务,地址19
16、2.168.1.12正在运行正在运行FTP服务,服务,主机主机192.168.1.14未运行任何可辨别的服务,而主未运行任何可辨别的服务,而主机机192.168.1.16运行着运行着SMTP服务。最后一台主机服务。最后一台主机属于属于Microsoft网络,因为该网络使用网络,因为该网络使用UDP137和和TCP138、139端口。端口。(1)端口扫描软件)端口扫描软件 端口扫描器是黑客最常使用的工具。端口扫描器是黑客最常使用的工具。一些单独使用的端口扫描工具像一些单独使用的端口扫描工具像Port Scanner1.1,定义好,定义好IP地址范围和端口后地址范围和端口后便可开始实施扫描。还有许
17、多单独使用的便可开始实施扫描。还有许多单独使用的端口扫描器,如端口扫描器,如UltraScan等。如同等。如同Ping扫扫描器,许多工具也集成了端口扫描器。描器,许多工具也集成了端口扫描器。NetScan、Ping Pro和其他一些程序包集成和其他一些程序包集成了尽可能多的相关程序。许多企业级的网了尽可能多的相关程序。许多企业级的网络产品也将络产品也将ping和端口扫描集成起来。和端口扫描集成起来。(2)网络侦查和服务器侦查程序)网络侦查和服务器侦查程序 使用简单的程序如使用简单的程序如Ping Pro,可以侦查出,可以侦查出Microsoft的的网络上开启的端口。网络上开启的端口。Ping
18、Pro的工作是通过监测远程过程的工作是通过监测远程过程调用服务所使用的调用服务所使用的TCP、UDP135端口,和端口,和Microsoft 网网络会话所使用的络会话所使用的UDP137,138,和,和139端口来实现的。其端口来实现的。其他的网络扫描工具允许你监测他的网络扫描工具允许你监测UNIX、Novell、AppleTalk的网络。虽然的网络。虽然Ping Pro只能工作在其安装的特定子网,但只能工作在其安装的特定子网,但还有更多更复杂的工具,这些工具的设计者把它们设计还有更多更复杂的工具,这些工具的设计者把它们设计成为可以识别更多的网络和服务类型的程序。成为可以识别更多的网络和服务类
19、型的程序。例如,例如,NMAP是是UNIX下的扫描工具,它可以识别不同操下的扫描工具,它可以识别不同操作系统在处理作系统在处理TCP/IP协议上细微的差别。其他类似的程协议上细微的差别。其他类似的程序还包括序还包括checkos,queso和和SATAN。2堆栈指纹堆栈指纹 许多程序都利用堆栈指纹技术,这种许多程序都利用堆栈指纹技术,这种技术允许利用技术允许利用TCP/IP来识别不同的操作系来识别不同的操作系统和服务。因为大多数的系统管理员注意统和服务。因为大多数的系统管理员注意到信息的泄露而且屏蔽了系统标志,所以到信息的泄露而且屏蔽了系统标志,所以应用堆栈指纹的技术十分必要。但是,各应用堆栈
20、指纹的技术十分必要。但是,各个厂商和系统处理个厂商和系统处理TCP/IP的特征是管理员的特征是管理员所难以更改的。许多审计人员和黑客记录所难以更改的。许多审计人员和黑客记录下这些下这些TCP/IP应用的细微差别,并针对各应用的细微差别,并针对各种系统构建了堆栈指纹表。种系统构建了堆栈指纹表。要想了解操作系统间处理要想了解操作系统间处理TCP/IP的差异,需的差异,需要向这些系统的要向这些系统的IP和端口发送各种特殊的包。根和端口发送各种特殊的包。根据这些系统对包的回应的差别,可以推断出操作据这些系统对包的回应的差别,可以推断出操作系统的种类。例如,可以向主机发送系统的种类。例如,可以向主机发送
21、FIN包(或包(或任何不含有任何不含有ACK或或SYN标志的包),从下列操作标志的包),从下列操作系统将获得回应:系统将获得回应:Microsoft Windows NT,98,95,和和3.11 FreeBSD CISCO HP/UX 大多数其他系统不会回应。虽然只不大多数其他系统不会回应。虽然只不过缩小了一点范围,但这至少开始了对目过缩小了一点范围,但这至少开始了对目标系统的了解。如果向目标系统发送的报标系统的了解。如果向目标系统发送的报文头有未定义标志的文头有未定义标志的TCP包的话,包的话,2.0.35版版本以前的本以前的LINUX系统会在回应中加入这个系统会在回应中加入这个未定义的标
22、志。这种特定的行为可以判断未定义的标志。这种特定的行为可以判断出目标主机上是否运行该种出目标主机上是否运行该种LINUX操作系操作系统。统。下面是堆栈指纹程序利用的部分特征,许多下面是堆栈指纹程序利用的部分特征,许多操作系统对它们的处理方式不同:操作系统对它们的处理方式不同:ICMP错误信息抑制错误信息抑制 服务类型值服务类型值(TOS)TCP/IP选项选项 对对SYN FLOOD的抵抗力的抵抗力 TCP初始窗口初始窗口 只要只要TCP开始进行三次握手,总是先发出一开始进行三次握手,总是先发出一个个SYN包。像包。像NMAP这样的程序会发出一个这样的程序会发出一个SYN包欺骗操作系统作回应。堆
23、栈指纹程序可以从回包欺骗操作系统作回应。堆栈指纹程序可以从回应报文的格式,推论出目标操作系统的一些情况。应报文的格式,推论出目标操作系统的一些情况。NMAP由于功能强大、不断升级和免费的原由于功能强大、不断升级和免费的原因,使之十分流行。它对网络的侦查十分有效是因,使之十分流行。它对网络的侦查十分有效是基于两个原因。首先,它具有非常灵活的基于两个原因。首先,它具有非常灵活的TCP/IP堆栈指纹引擎。堆栈指纹引擎。NMAP的制作人的制作人FYODOR不断升不断升级该引擎,使它能够尽可能多的进行猜测。级该引擎,使它能够尽可能多的进行猜测。NMAP可以准确地扫描服务器操作系统(包括可以准确地扫描服务
24、器操作系统(包括Novell、UNIX、Linux、NT),路由器(包括),路由器(包括CISCO、3COM和和HP),还有一些拨号设备。),还有一些拨号设备。其次,它可以穿透网络边缘的安全设备,例如防其次,它可以穿透网络边缘的安全设备,例如防火墙。火墙。NMAP穿透防火墙的一种方法是利用碎片扫描技术穿透防火墙的一种方法是利用碎片扫描技术(fragment scans),可以发送隐秘的),可以发送隐秘的FIN包(包(-sF)、)、Xmas tree包(包(-sX)或)或NULL包(包(-sN)。这些选项允许)。这些选项允许将将TCP查询分割成片断,从而绕过防火墙规则。这种策查询分割成片断,从而
25、绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。略对很多流行的防火墙产品都很有效。当前当前NMAP只能运行在只能运行在Linux操作系统上,包括操作系统上,包括Free BSD 2.2.6-30、HP/UX和和Solaris等等Linux的所有版本。在的所有版本。在Linux的的X-Windows上还提供图形界面。最好的掌握上还提供图形界面。最好的掌握NMAP的方法是学习使用它。使用的方法是学习使用它。使用nmaph命令可以显命令可以显示帮助信息,当然,也可以用示帮助信息,当然,也可以用man nmap命令查看它的使命令查看它的使用手册。用手册。3共享扫描共享扫描 共享扫描指可以扫描网
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络安全技术 第8章 网络攻击与防护 计算机网络 安全技术 网络 攻击 防护
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内