第八章-网络攻击与防范技术.pptVIP

第八章 网络攻击与防范技术 陈福明 灾害信息工程系 主要内容 网络攻击步骤 预攻击探测 拒绝服务攻击 欺骗攻击 一、网络攻击步骤 网络中存在的安全威胁 一、网络攻击步骤 攻击手法 vs. 入侵者技术 一、网络攻击步骤 典型攻击步骤 二、预攻击探测 预攻击概述 端口扫描 操作系统识别 资源扫描与查找 用户和用户组查找 二、预攻击探测 1.预攻击概述 Ping sweep 寻找存活主机 Port scan 寻找存活主机的开放服务（端口） OS fingerprint 操作系统识别 资源和用户信息扫描 网络资源，共享资源，用户名和用户组等 二、预攻击探测 Ping工具 操作系统本身的ping工具 Ping: Packet InterNet Groper 判断远程设备可访问性最常用的方法。 Ping原理: 发送ICMP Echo消息，等待Echo Reply消息。 每秒发送一个包，显示响应的输出，计算网络来回的时间。 最后显示统计结果——丢包率。 二、预攻击探测 二、预攻击探测 Windows平台 Pinger、 Ping Sweep、 WS_Ping ProPack 二、预攻击探测 二、预攻击探测 二、预攻击探测 2.端口扫描 开放扫描(Open Scanning) 需要扫描方通过三次握手过程与目标主机建立完整的TCP连接 可靠性高，产生大量审计数据，容易被发现 半开放扫描(Half-Open Scanning) 扫描方不需要打开一个完全的TCP连接 秘密扫描(Stealth Scanning) 不包含标准的TCP三次握手协议的任何部分 隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息 二、预攻击探测 开放扫描 TCP connect()扫描 原理 扫描器调用socket的connect()函数发起一个正常的连接 如果端口是打开的，则连接成功 否则，连接失败 优点 简单，不需要特殊的权限 缺点 服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则一定是在扫描 二、预攻击探测 半开放扫描 TCP SYN扫描 原理 向目标主机的特定端口发送一个SYN包 如果应答包为RST包，则说明该端口是关闭的 否则，会收到一个SYN|ACK包。于是，发送一个RST，停止建立连接 由于连接没有完全建立，所以称为“半开连接扫描” 优点 很少有系统会记录这样的行为 缺点 在UNIX平台上，需要root权限才可以建立这样的SYN数据包 二、预攻击探测 秘密扫描 TCP Fin扫描 原理 扫描器发送一个FIN数据包 如果端口关闭的，则远程主机丢弃该包，并送回一个RST包 否则的话，远程主机丢弃该包，不回送 优点 不是TCP建立连接的过程，所以比较隐蔽 缺点 与SYN扫描类似，也需要构造专门的数据包 在Windows平台无效，总是发送RST包 二、预攻击探测 端口扫描对策 设置防火墙过滤规则，阻止对端口的扫描 例如可以设置检测SYN扫描而忽略FIN扫描 使用入侵检测系统 禁止所有不必要的服务，把自己的暴露程度降到最低 Unix或linux中，在/etc/inetd.conf中注释掉不必要的服务，并在系统启动脚本中禁止其他不必要的服务 Windows中通过Services禁止敏感服务，如IIS 二、预攻击探测 端口扫描工具 二、预攻击探测 二、预攻击探测 二、预攻击探测 二、预攻击探测 二、预攻击探测 3.操作系统的识别 操作系统辨识的动机 许多漏洞是系统相关的，而且往往与相应的版本对应 从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统 操作系统的信息还可以与其他信息结合起来，比如漏洞库，或者社会诈骗(社会工程) 二、预攻击探测 二、预攻击探测 4.资源扫描与查找 资源扫描：扫描网络资源和共享资源，如目标网络计算机名、域名和共享文件等等； 用户扫描：扫描目标系统上合法用户的用户名和用户组名。 这些扫描都是攻击目标系统的很有价值的信息，而Windows系统，特别是Windows NT/2000在这些方面存在着严重的漏洞，很容易让非法入侵者获取到关于该目标系统的很多有用信息，如共享资源、Netbios名和用户组等。 常用工具： Net View Nbtstat和Nbtscan Legion和Shed 二、预攻击探测 Net View 在命令行中输入“net view /domain”命令，可以获取网络上可用的域 二、预攻击探测 在命令行中输入“net view /domain：domain_name”命令，可以获取某一域中的计算机列表，其中domain_name为要列表计算机的域名。