資源描述:
《常見網(wǎng)絡(luò)攻擊與防范》由會員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�、第五章常見的網(wǎng)絡(luò)攻擊與防范網(wǎng)絡(luò)攻擊步驟預(yù)攻擊探測漏洞掃描(綜合掃描)木馬攻擊拒絕服務(wù)攻擊欺騙攻擊蠕蟲病毒攻擊其他攻擊一、網(wǎng)絡(luò)攻擊步驟網(wǎng)絡(luò)安全威脅國家基礎(chǔ)設(shè)施因特網(wǎng)安全漏洞危害在增大信息對抗的威脅在增加電力交通通訊控制廣播工業(yè)金融醫(yī)療一����、網(wǎng)絡(luò)攻擊步驟網(wǎng)絡(luò)中存在的安全威脅網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機(jī)病毒信息丟失���、篡改��、銷毀后門��、隱蔽通道蠕蟲一�����、網(wǎng)絡(luò)攻擊步驟典型攻擊步驟預(yù)攻擊探測收集信息,如OS類型,提供的服務(wù)端口發(fā)現(xiàn)漏洞,采取攻擊行為獲得攻擊目標(biāo)的控制權(quán)系統(tǒng)繼續(xù)滲透網(wǎng)絡(luò),直至獲取機(jī)密數(shù)據(jù)消滅蹤跡
2��、破解口令文件,或利用緩存溢出漏洞以此主機(jī)為跳板����,尋找其它主機(jī)的漏洞獲得系統(tǒng)帳號權(quán)限���,并提升為root權(quán)限安裝系統(tǒng)后門方便以后使用一��、網(wǎng)絡(luò)攻擊步驟典型攻擊步驟圖解一���、網(wǎng)絡(luò)攻擊步驟攻擊手法vs.入侵者技術(shù)高低19801985199019952000密碼猜測可自動復(fù)制的代碼破解密碼利用已知的漏洞破壞審計系統(tǒng)后門會話劫持消除痕跡嗅探IP欺騙GUI遠(yuǎn)程控制自動探測掃描拒絕服務(wù)www攻擊攻擊手法與工具入侵者技術(shù)半開隱蔽掃描控制臺入侵檢測網(wǎng)絡(luò)管理DDOS攻擊二�、預(yù)攻擊探測預(yù)攻擊概述端口掃描基礎(chǔ)操作系統(tǒng)識別資源掃描與查找用戶和用戶組查找二����、
3、預(yù)攻擊探測1.預(yù)攻擊概述Pingsweep尋找存活主機(jī)Portscan尋找存活主機(jī)的開放服務(wù)(端口)OSfingerprint操作系統(tǒng)識別資源和用戶信息掃描網(wǎng)絡(luò)資源�,共享資源,用戶名和用戶組等二�����、預(yù)攻擊探測Ping工具操作系統(tǒng)本身的ping工具Ping:PacketInterNetGroper用來判斷遠(yuǎn)程設(shè)備可訪問性最常用的方法Ping原理:發(fā)送ICMPEcho消息���,等待EchoReply消息可以確定網(wǎng)絡(luò)和外部主機(jī)的狀態(tài)可以用來調(diào)試網(wǎng)絡(luò)的軟件和硬件每秒發(fā)送一個包,顯示響應(yīng)的輸出����,計算網(wǎng)絡(luò)來回的時間最后顯示統(tǒng)計結(jié)果——丟包率二
4、����、預(yù)攻擊探測關(guān)于PingPing有許多命令行參數(shù)���,可以改變?nèi)笔〉男袨榭梢杂脕戆l(fā)現(xiàn)一臺主機(jī)是否active為什么不能ping成功?沒有路由�,網(wǎng)關(guān)設(shè)置?網(wǎng)卡沒有配置正確增大timeout值被防火墻阻止……“Pingofdeath”發(fā)送特大ping數(shù)據(jù)包(>65535字節(jié))導(dǎo)致機(jī)器崩潰許多老的操作系統(tǒng)都受影響二�、預(yù)攻擊探測Windows平臺Pinger、PingSweep�����、WS_PingProPack圖:Pinger工具二�、預(yù)攻擊探測圖:PingSweep二、預(yù)攻擊探測Ping工具都是通過ICMP協(xié)議來發(fā)送數(shù)據(jù)包,那么針對這種掃描
5�、的預(yù)防措施是:使用可以檢測并記錄ICMP掃描的工具使用入侵檢測系統(tǒng)在防火墻或路由器中設(shè)置允許進(jìn)出自己網(wǎng)絡(luò)的ICMP分組類型二、預(yù)攻擊探測2.端口掃描基礎(chǔ)開放掃描(OpenScanning)需要掃描方通過三次握手過程與目標(biāo)主機(jī)建立完整的TCP連接可靠性高��,產(chǎn)生大量審計數(shù)據(jù)���,容易被發(fā)現(xiàn)半開放掃描(Half-OpenScanning)掃描方不需要打開一個完全的TCP連接秘密掃描(StealthScanning)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分隱蔽性好����,但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時容易被丟棄從而產(chǎn)生錯誤的探測信息二�����、預(yù)
6、攻擊探測基本的TCPconnect()掃描(開放)Reverse-ident掃描(開放)TCPSYN掃描(半開放)IPIDheaderaka“dump”掃描(半開放)TCPFin掃描(秘密)TCPXMAS掃描(秘密)TCPftpproxy掃描(bounceattack)用IP分片進(jìn)行SYN/FIN掃描(躲開包過濾防火墻)UDPICMP端口不可達(dá)掃描UDPrecvfrom掃描二�����、預(yù)攻擊探測二���、預(yù)攻擊探測開放掃描TCPconnect()掃描原理掃描器調(diào)用socket的connect()函數(shù)發(fā)起一個正常的連接如果端口是打開的����,則連
7���、接成功否則����,連接失敗優(yōu)點簡單�,不需要特殊的權(quán)限缺點服務(wù)器可以記錄下客戶的連接行為�,如果同一個客戶輪流對每一個端口發(fā)起連接,則一定是在掃描二����、預(yù)攻擊探測Reverse-ident掃描Ident協(xié)議(RFC1413)使得可以發(fā)現(xiàn)任何一個通過TCP連接的進(jìn)程的所有者的用戶名�����,即使該進(jìn)程并沒有發(fā)起該連接只有在TCP全連接之后才有效TCP端口113例如可以先連接到80端口���,然后通過identd來發(fā)現(xiàn)服務(wù)器是否在root下運(yùn)行建議關(guān)閉ident服務(wù),或者在防火墻上禁止���,除非是為了審計的目的二���、預(yù)攻擊探測半開放掃描TCPSYN掃描原理向目
8、標(biāo)主機(jī)的特定端口發(fā)送一個SYN包如果應(yīng)答包為RST包�����,則說明該端口是關(guān)閉的否則��,會收到一個SYN
9��、ACK包��。于是�,發(fā)送一個RST,停止建立連接由于連接沒有完全建立���,所以稱為“半開連接掃描”優(yōu)點很少有系統(tǒng)會記錄這樣的行為缺點在UNIX平臺上��,需要root權(quán)限才可以建立這樣的SYN數(shù)據(jù)包二�、預(yù)
