网络攻击行为分析课件.pptVIP

网络攻击行为分析;基本内容;网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。

很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具。;安全威胁的来源;安全威胁的表现形式;实施安全威胁的人员;互联网上的黑色产业链;网络攻击的层次;2.4网络入侵技术;网络入侵技术----漏洞攻击;缓冲区溢出;向缓冲区写入超过缓冲区长度的内容，造成缓冲区溢出，破坏程序的堆栈，使程序转而执行其他的指令，达到攻击的目的。

原因：程序中缺少错误检测:

voidfunc(char*str){

charbuf[16];

strcpy(buf,str);

}

如果str的内容多于16个非0字符，就会造成buf的溢出，使程序出错。;类似函数有strcat、sprintf、vsprintf、gets、scanf等

一般溢出会造成程序读/写或执行非法内存的数据，引发segmentationfault异常退出.

如果在一个suid程序中特意构造内容，可以有目的的执行程序，如/bin/sh，得到root权限。;类似函数有strcat、sprintf、vsprintf、gets、scanf等

一般溢出会造成程序读/写或执行非法内存的数据，引发segmentationfault异常退出.

如果在一个suid程序中特意构造内容，可以有目的的执行程序，如/bin/sh，得到root权限。;拒绝服务攻击（DoS）：通过各种手段来消耗网络带宽和系统资源，或者攻击系统缺陷，使系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户的服务访问。

分布式拒绝服务攻击：DDoS，攻击规模更大，危害更严重。

实例：SYN-Flood洪水攻击，Land攻击，Smurf攻击，UDP-Flood攻击，WinNuke攻击（139）等。;典型的拒绝服务攻击有如下两种形式：资源耗尽和资源过载。

当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击（例如，对已经满载的Web服务器进行过多的请求。）拒绝服务攻击还有可能是由于软件的弱点或者对程序的错误配置造成的。

区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请求发起者对资源的请求是否过份，从而使得其他的用户无法享用该服务资源。;PingofDeath：发送长度超过65535字节的ICMPEchoRequest数据包导致目标机TCP/IP协议???崩溃，系统死机或重启。

Teardrop：发送特别构造的IP数据包，导致目标机TCP/IP协议栈崩溃，系统死锁。

Synflooding：发送大量的SYN包。

Land：发送TCPSYN包，包的SRC/DSTIP相同，SPORT/DPORT相同，导致目标机TCP/IP协议栈崩溃，系统死机或失去响应。

Winnuke：发送特别构造的TCP包，使得Windows机器蓝屏。

Smurf：攻击者冒充服务器向一个网段的广播地址发送ICMPecho包，整个网段的所有系统都向此服务器回应icmpreply包。;入侵者常常采用下面几种方法获取用户的密码口令：

弱口令扫描

Sniffer密码嗅探

暴力破解

社会工程学（即通过欺诈手段获取）

木马程序或键盘记录程序

。。。。。。;破解OF密码;破解系统密码;一个开放的网络端口就是一条与计算机进行通信的信道，对网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息，从而为下一步的入侵做好准备。

扫描是采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。

典型的扫描工具包括安全焦点的X-Scan、小榕的流光软件，简单的还有IpScan、SuperScan等，商业化的产品如启明星辰的天镜系统具有更完整的功能。;协议欺骗攻击就是假冒通过认证骗取对方信任，从而获取所需信息，进而实现入侵的攻击行为。

常见的协议欺骗有以下几种方式：

IP欺骗：对抗基于IP地址的验证。

ARP欺骗：它是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。ARP欺骗通过伪造ARP与IP的信息或对应关系实现。NC软件就能实现ARP欺骗。

TCP会话劫持：与IP欺骗类似，通过嗅探并向网络注入额外的信息实现TCP连接参与。如IPwatcher就是一种有效的会话劫持工具。;社会工程学（SocialEngineering），是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。

20世纪70年代末期，一个叫做斯坦利?马克?瑞夫金（StanleyMarkRifkin）的年轻人成功