网络攻击技术原理.ppt
合集下载
网络攻防原理与技术课件最新版第1章绪论
③计算机网络防御(Comp机网络分析 、探测、监控和阻止攻击、入侵、扰乱以及 对网络的非授权访问
一般攻击过程
足迹追踪:Target Footprinting 远端扫描:Remote Scaning 资源列举: Resource Enumerating 权限获取: Access Gaining 权限提升: Privilege Escalating 设置后门: Backdoors Creating 毁踪灭迹: Tracks Covering
严重后果:
生命损失、针对美国的严重报复活动、重大财
产损失、由严部重门或的机外构交负和责经人济决定影实响施。
美国国家的,利可益能:造成“严重后果”的网
络行动(包括网络情报收集、
指对美D国CE至O关、O重C要EO的)利必益须获,得包总括统国家安全、公
共安全的、专国项家批准经。济安全、“关键基础设施”的
网络攻击分类
从网络战的角度看,美军将“计算机网 络作战(Computer Network Operations, CNO)”分为:
② 计算机网络利用(Computer Network Exploitation, CNE),是指从目标信息系统 或网络收集信息并加以利用的行为;
网络攻击分类
从网络战的角度看,美军将“计算机网 络作战(Computer Network Operations, CNO)”分为:
安全可靠运行、“关键资源”的控制权
美《第20号总统政策指令》
紧急网络行动:
1. 情依急据情国况家自下卫,权为实了施应紧对急网即络将行损动害,美以国避免国人家员利伤益 的亡基紧或础迫严设威重施损、胁害关或。键网该资络严源攻重、击损军害事,对力相国量关家产部应生门急持或能续力性机、影构关响负键。责
一般攻击过程
足迹追踪:Target Footprinting 远端扫描:Remote Scaning 资源列举: Resource Enumerating 权限获取: Access Gaining 权限提升: Privilege Escalating 设置后门: Backdoors Creating 毁踪灭迹: Tracks Covering
严重后果:
生命损失、针对美国的严重报复活动、重大财
产损失、由严部重门或的机外构交负和责经人济决定影实响施。
美国国家的,利可益能:造成“严重后果”的网
络行动(包括网络情报收集、
指对美D国CE至O关、O重C要EO的)利必益须获,得包总括统国家安全、公
共安全的、专国项家批准经。济安全、“关键基础设施”的
网络攻击分类
从网络战的角度看,美军将“计算机网 络作战(Computer Network Operations, CNO)”分为:
② 计算机网络利用(Computer Network Exploitation, CNE),是指从目标信息系统 或网络收集信息并加以利用的行为;
网络攻击分类
从网络战的角度看,美军将“计算机网 络作战(Computer Network Operations, CNO)”分为:
安全可靠运行、“关键资源”的控制权
美《第20号总统政策指令》
紧急网络行动:
1. 情依急据情国况家自下卫,权为实了施应紧对急网即络将行损动害,美以国避免国人家员利伤益 的亡基紧或础迫严设威重施损、胁害关或。键网该资络严源攻重、击损军害事,对力相国量关家产部应生门急持或能续力性机、影构关响负键。责
网络攻防原理与技术课件最新版第8章身份认证与口令攻击
Kerberos认证协议
安全性分析
一旦用户获得过访问某个服务器的许可证, 只要在许可证的有效期内,该服务器就可根 据这个许可证对用户进行认证,而无需KDC 的再次参与;
实现了客户和服务器间的双向认证; 支持跨域认证; 应用广泛,互操作性好。
Kerberos认证协议
安全性分析
Kerberos认证中使用的时间戳机制依赖于域 内时钟同步,如果时间不同步存在较大的安 全风险;
第 八 章 身份认证与口令攻击
内容提纲
1 身份认证 2 口令行为规律和口令猜测
3 口令破解 4 口令防御
身份认证
一个系统的安全性常常依赖于对终端用户身份的正确识别 与检查。对计算机系统的访问必须根据访问者的身份施加 一定的限制,这些是最基本的安全问题。
身份认证一般涉及两方面的内容:识别和验证。 识别:识别是指要明确访问者是谁,即必须对系统中 的每个合法用户都有识别能力。 要保证识别的有效性,必须保证任意两个不同的用 户都不能具有相同的识别符。 验证:验证是指在访问者声称自己的身份后(向系统输 入它的识别符),系统还必须对它所声称的身份进行验 证,以防假冒。
脆弱口令行为
口令构造的偏好性选择:口令字符构成
表8-4 中英文用户口令的字符组成结构(文献[52]的表3,表中数据单位为%)
脆弱口令行为
口令构造的偏好性选择:口令长度
表8-5 中英文用户口令的长度分布(文献[52]的表4,表中数据单位为%)
脆弱口令行为
口令重用:
为了方便记忆,用户不可避免地使用流行密码 ,在不同网站重复使用同一个密码,同时在密 码中嵌入个人相关信息,如姓名和生日等
S/KEY
基本原理
S/KEY
安全性分析
网络攻防技术PPT课件
Linux -Linus
灰帽子破解者
•破解已有系统 •发现问题/漏洞 •突破极限/禁制 •展现自我
计算机 为人民服务
漏洞发现 - Flashsky 软件破解 - 0 Day
工具提供 - Glaciபைடு நூலகம்r
黑帽子破坏者
•随意使用资源 •恶意破坏 •散播蠕虫病毒 •商业间谍
人不为己, 天诛地灭
入侵者-K.米特尼克 CIH - 陈盈豪 攻击Yahoo者 -匿名
2021/3/9
22
蓝色火焰木马通过蓝 色火焰配置器生成, 如图所示
2021/3/9
23
3.灰鸽子
灰鸽子是一个功能强大的远程控制类软件, 它与同类木马软件不同的是采用了“反弹端 口原理”的连接方式,可以在互联网上访问 到局域网内通过透明代理上网的电脑,并且 可以穿过某些防火墙。灰鸽子分为客户端与 服务端,软件在下载安装后没有服务端,只 有客户端H_Clien.exe,服务器端是要通过配 置生成。
2021/3/9
24
现在的木马层出不穷,数不胜数,比较出名 的还有诸如BO2K、广外女生、网络神偷、 黑洞2001、无赖小子等等,令人防不胜防。 我们应注意这方面的信息,做好对木马的防 御和清除工作。一般来说,要作到以下三点:
(1)不轻易运行来历不明的软件; (2)及时升级杀毒软件,使病毒库保持最新; (3)安装并运行防火墙。
2021/3/9
5
4.1.1黑客简介
今天,人们一谈到“黑客”(Hacker)往往都带着贬斥的意思,
但是“黑客”的本来含义却并非如此。一般认为,黑客起源于20世
纪50年代美国著名高校的实验室中,他们智力非凡、技术高超、精
力充沛,热终于解决一个个棘手的计算机网络难题。60、70年代,
灰帽子破解者
•破解已有系统 •发现问题/漏洞 •突破极限/禁制 •展现自我
计算机 为人民服务
漏洞发现 - Flashsky 软件破解 - 0 Day
工具提供 - Glaciபைடு நூலகம்r
黑帽子破坏者
•随意使用资源 •恶意破坏 •散播蠕虫病毒 •商业间谍
人不为己, 天诛地灭
入侵者-K.米特尼克 CIH - 陈盈豪 攻击Yahoo者 -匿名
2021/3/9
22
蓝色火焰木马通过蓝 色火焰配置器生成, 如图所示
2021/3/9
23
3.灰鸽子
灰鸽子是一个功能强大的远程控制类软件, 它与同类木马软件不同的是采用了“反弹端 口原理”的连接方式,可以在互联网上访问 到局域网内通过透明代理上网的电脑,并且 可以穿过某些防火墙。灰鸽子分为客户端与 服务端,软件在下载安装后没有服务端,只 有客户端H_Clien.exe,服务器端是要通过配 置生成。
2021/3/9
24
现在的木马层出不穷,数不胜数,比较出名 的还有诸如BO2K、广外女生、网络神偷、 黑洞2001、无赖小子等等,令人防不胜防。 我们应注意这方面的信息,做好对木马的防 御和清除工作。一般来说,要作到以下三点:
(1)不轻易运行来历不明的软件; (2)及时升级杀毒软件,使病毒库保持最新; (3)安装并运行防火墙。
2021/3/9
5
4.1.1黑客简介
今天,人们一谈到“黑客”(Hacker)往往都带着贬斥的意思,
但是“黑客”的本来含义却并非如此。一般认为,黑客起源于20世
纪50年代美国著名高校的实验室中,他们智力非凡、技术高超、精
力充沛,热终于解决一个个棘手的计算机网络难题。60、70年代,
《网络攻防原理与技术(第 3 版)》教学课件第7章
如IIS服务器的溢出漏洞,通过一个“IISHack”的攻 击程序就可使IIS服务器崩溃,并同时在被攻击服务 器执行“木马”程序。
MIME漏洞则是利用Internet Explorer在处理不正常的 MIME类型存在的问题,攻击者有意地更改MIME类 型,使IE可以不提示用户而直接运行电子邮件附件 中的恶意程序等。
配置木马 传播木马 启动木马 建立连接 远程控制
配置木马
配置木马:
通信配置:监听端口、DNS、IP等 功能配置:文件读取、键盘监听、截屏等 安装配置:安装路径、文件名、是否删除安
装文件、注册表启动项等
配置木马
案例:冰河木马的配置界面
远程控制木马的运行步骤
远程控制木马进行网络入侵的过程:
远程控制木马
木马体系结构:C/S 架构,木马程序 + 控 制端程序
木马程序即是服务器端程序。 控制端程序作为客户端,用于攻击者远程控
制被植入木马的机器。
远程控制木马与远程控制软件的区别?
隐蔽性: 木马被隐藏,避免被发现; 非授权性:木马程序不经授权控制主机
远程控制木马的运行步骤
远程控制木马进行网络入侵的过程:
计算机木马
木马程序具有很大的危害性,主要表现在: 自动搜索已中木马的计算机; 管理对方资源,如复制文件、删除文件、查 看文件内容、上传文件、下载文件等; 跟踪监视对方屏幕; 直接控制对方的键盘、鼠标; 随意修改注册表和系统文件; 共享被控计算机的硬盘资源; 监视对方任务且可终止对方任务; 远程重启和关闭机器。
2007~20半年:毒王“AV终结者”
恶意代码概念的发展史
2010~2020:虚拟货币和隐秘网络带动的 勒索新对抗
2013年开始,勒索软件、挖矿木马逐步泛滥 2016:Mirai爆发,致瘫Dyn 2017:WannaCry全球大爆发 2019:WannaMine挖矿木马爆发
MIME漏洞则是利用Internet Explorer在处理不正常的 MIME类型存在的问题,攻击者有意地更改MIME类 型,使IE可以不提示用户而直接运行电子邮件附件 中的恶意程序等。
配置木马 传播木马 启动木马 建立连接 远程控制
配置木马
配置木马:
通信配置:监听端口、DNS、IP等 功能配置:文件读取、键盘监听、截屏等 安装配置:安装路径、文件名、是否删除安
装文件、注册表启动项等
配置木马
案例:冰河木马的配置界面
远程控制木马的运行步骤
远程控制木马进行网络入侵的过程:
远程控制木马
木马体系结构:C/S 架构,木马程序 + 控 制端程序
木马程序即是服务器端程序。 控制端程序作为客户端,用于攻击者远程控
制被植入木马的机器。
远程控制木马与远程控制软件的区别?
隐蔽性: 木马被隐藏,避免被发现; 非授权性:木马程序不经授权控制主机
远程控制木马的运行步骤
远程控制木马进行网络入侵的过程:
计算机木马
木马程序具有很大的危害性,主要表现在: 自动搜索已中木马的计算机; 管理对方资源,如复制文件、删除文件、查 看文件内容、上传文件、下载文件等; 跟踪监视对方屏幕; 直接控制对方的键盘、鼠标; 随意修改注册表和系统文件; 共享被控计算机的硬盘资源; 监视对方任务且可终止对方任务; 远程重启和关闭机器。
2007~20半年:毒王“AV终结者”
恶意代码概念的发展史
2010~2020:虚拟货币和隐秘网络带动的 勒索新对抗
2013年开始,勒索软件、挖矿木马逐步泛滥 2016:Mirai爆发,致瘫Dyn 2017:WannaCry全球大爆发 2019:WannaMine挖矿木马爆发
最常见网络攻击详细分析PPT课件
.
25
二、预攻击探测
➢端口扫描工具
图: NetScan.Tools
26
二、预攻击探测
图:WinScan
.
27
二、预攻击探测
图:SuperScan
.
28
二、预攻击探测
图:Nmap
.
29
二、预攻击探测
图: X-scan
.
30
二、预攻击探测
3.操作系统的识别
操作系统辨识的动机 ✓许多漏洞是系统相关的,而且往往与相应的版本对应 ✓从操作系统或者应用系统的具体实现中发掘出来的攻击手段 都需要辨识系统 ✓操作系统的信息还可以与其他信息结合起来,比如漏洞库, 或者社会诈骗(社会工程,social engineering)
第五章 常见的网络攻击与防范
➢网络攻击步骤 ➢预攻击探测 ➢漏洞扫描(综合扫描) ➢木马攻击 ➢拒绝服务攻击 ➢欺骗攻击 ➢蠕虫病毒攻击 ➢其他攻击
.
1
一、网络攻击步骤
➢网络安全威胁国家基础设施
控制
广播
通讯
因特网
信息对抗的威胁在增加 电力 交通
医疗
工业 金融
.
2
一、网络攻击步骤
➢网络中存在的安全威胁
➢删除文件 ➢修改文件 ➢产生安全后门 ➢Crash Computer ➢DoS ➢机密信息窃取
防火墙,入侵监测,防病毒, 漏洞扫描,安全意识等
典型攻击步骤图解
.
5
一、网络攻击步骤
➢攻击手法 vs. 入侵者技术
高
半开隐蔽扫描 攻击手法与工具
IP欺骗
拒绝服务
嗅探
DDOS 攻击
消除痕迹
www 攻击 自动探测扫描
DDoS攻击介绍PPT(共24张)
3、目标的带宽
占领傀儡机
1、链路状态好的主机 2、性能不好的主机 3、安全管理水平差的主机
实施攻击
1、向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。
2、一般会以远远超出受害方处理能力的速度进行攻击,他们不会"怜香惜玉"。 3、老道的攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时候进
DRDoS是通过发送带有受害者IP地址的SYN连接请求包给攻击主机 BGP,然后在根据TCP三次握手的规则,这些攻击主机BGP会向源IP (受害者IP)发出SYN+ACK包来响应这些请求,造成受害者主机忙 于处理这些回应而被拒绝服务攻击。
第18页,共24页。
被DDoS攻击(gōngjī)时的现象
8.限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽, 这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是 有骇客入侵。
第22页,共24页。
DDoS防御(fángyù)的方法:
1.采用高性能的网络设备 2.尽量避免NAT的使用 3.充足的网络带宽保证
能瞬间造成对方电脑死机或者假死,有人曾经 测试过,攻击不到1秒钟,电脑就已经死机和 假死,鼠标图标不动了,系统发出滴滴滴滴的 声音。还有CPU使用率高等现象。
第19页,共24页。
DDoS攻击一般(yībān)步骤:
搜集了解目标的情况
1、被攻击目标主机数目、地址情况 2、目标主机的配置、性能
DNS Flood
第7页,共24页。
攻击与防御技术
DDoS技术(jìshù)篇
8
第8页,共24页。
占领傀儡机
1、链路状态好的主机 2、性能不好的主机 3、安全管理水平差的主机
实施攻击
1、向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。
2、一般会以远远超出受害方处理能力的速度进行攻击,他们不会"怜香惜玉"。 3、老道的攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时候进
DRDoS是通过发送带有受害者IP地址的SYN连接请求包给攻击主机 BGP,然后在根据TCP三次握手的规则,这些攻击主机BGP会向源IP (受害者IP)发出SYN+ACK包来响应这些请求,造成受害者主机忙 于处理这些回应而被拒绝服务攻击。
第18页,共24页。
被DDoS攻击(gōngjī)时的现象
8.限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽, 这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是 有骇客入侵。
第22页,共24页。
DDoS防御(fángyù)的方法:
1.采用高性能的网络设备 2.尽量避免NAT的使用 3.充足的网络带宽保证
能瞬间造成对方电脑死机或者假死,有人曾经 测试过,攻击不到1秒钟,电脑就已经死机和 假死,鼠标图标不动了,系统发出滴滴滴滴的 声音。还有CPU使用率高等现象。
第19页,共24页。
DDoS攻击一般(yībān)步骤:
搜集了解目标的情况
1、被攻击目标主机数目、地址情况 2、目标主机的配置、性能
DNS Flood
第7页,共24页。
攻击与防御技术
DDoS技术(jìshù)篇
8
第8页,共24页。
网络安全技术培训课件(共43张PPT).ppt
攻击目的 窃取信息;获取口令;控制中间站点;获得超级用户权限等
实例:
✓ 1983年,“414黑客”,6名少年黑客被控侵入60多台电脑 ✓ 1987年,赫尔伯特·齐恩(“影子鹰”),闯入没过电话电报公司 ✓ 1988年,罗伯特·莫里斯“蠕虫程序”,造成1500万到1亿美元的经济损失。 ✓ 1990年,“末日军团”,4名黑客中有3人被判有罪。 ✓ 1995年,米特尼克偷窃了2万个信用卡号,8000万美元的巨额损失。 ✓ 1998年2月,德国计算机黑客米克斯特,使用美国七大网站陷于瘫痪状态
➢ TCP FIN扫描:关闭的端口用正确的RST应答 发送的对方发送的FIN探测数据包,相反,打 开的端口往往忽略这些请求。
➢ Fragmentation扫描:将发送的探测数据包分 成一组很小的IP包,接收方的包过滤程序难以 过滤。
➢ UDP recfrom()和write()扫描
➢ ICMP echo扫描:使用ping命令,得到目标 主机是否正在运行的信息。
信息收集
四、入侵检测过程
在网络系统中的不同网段、不同主机收集系统、网络、数据及用户活动的状态和行为等相关数据
信息分析
匹配模式:将收集到的信息与已知的网络入侵和系统已有的模式数据库进行匹配,进而发现违反安 全策略的行为。
统计分析
首先给系统对象创建一个统计描述,统计正常使用时的一些测量属性。 这个测量属性的平均值将与网络、系统的行为进行比较,是否处于正常 范围之内。
➢ TCP反向Ident扫描: ➢ FTP返回攻击 ➢ UDP ICMP端口不能到达扫描
(2)扫描器
定义
一种自动检测远程或本地主机安全弱点的程序,可以不留痕迹地发现远程服务器的各 种TCP端口的发配及提供的服务。
网络安全之三网络攻击与防范 ppt
Band-based
• 攻击者将一个数据包的源地址和目的地址都设置 为目标主机的地址,然后将该IP包通过IP欺骗的 方式发送给被攻击主机,这种包可以造成被攻击 主机因试图于自己建立链接而陷入死循环,从而 降低了被攻击主机的性能。
Ping of death
• 更具TCP/IP的规定,一个IP包的最大长度为 65536B,这种大包在通过网络的时候 会被分割成 很多小包,到达目的后在组合起来,而我们设法 生成大于65536的IP包,会造成目的主机崩溃
1
B 2
Oh,A is connected to 3
ARP伪装
Internet
A 192.168.0.3 C 1
B
192.168.0.1
2
192.168.0.2
ARP REPLY: I am C
RIP攻击
• 攻击者可以在网络上 利用软件虚拟出一个 RIP路由器,然后发送 假冒错误的路由表, 影响正常的路由表
Router A
Router B
Host B
•数据报嗅探是一种协议分析软件,它利用网卡的混杂模 式来监听网络中的数据报。
–Sniffer可以用于嗅探网络中的明文口令信息:
• • • • Telnet FTP SNMP POP
–数据报嗅探工具必须与监听对象在同一个冲突域里面。
数据报嗅探工具的分类
• 目前,有二种主要的嗅探工具类型
SystemA User = psmith; Pat Smith
Hacker blocked
SystemB compromised by a hacker User = psmith; Pat Smith
–防火墙内的主机绝对 不能信任防火墙外部 的主机. –在做信任认证时,不 要过分依赖IP地址
网络攻防原理与技术 第3版课件第2章
本PPT可免费使用、修改,使用时请保留此页。
第 二 章 密码学基础知识
内容提要
1 密码学概述 2 对称密码体制 3 公开密码体制 4 散列函数 5 密钥管理 6 密码分析
密码案例
1942年6月,在关系到日美太平洋战争转折点的中途岛 海战中,日军出现了两起严重泄密事件: 一是在战役发起前夕,日海军第二联合特别陆战队 的一个副官,用低等级密码发电说:六月五日以后, 本部队的邮件请寄到中途岛。 二是日军军港的一个后勤部门,用简易密码与担任 进攻中途岛任务的部队联系淡水供应问题。 结果,以上两电均被设在珍珠港的美国海军破译, 从而掌握了日军进攻中途岛的日期和兵力,致使日 军在战役中遭到惨败。
通过初始置换得到X0,X0被分为左右两部分,即X0
=L0R0
S是一组八个变换S1,S2,
S3,… ,S8 ,称为S盒,每
16次迭代: i=1,2,…,16
个盒以6位输入,4位输出,S盒
Xi-1=Li-1Ri-1,
构成了DES 安全的核心。
Li=Ri-1, Ri=Li-1 F(Ri-1,Ki)
Li-1 Ri-1
密码编码学
对信息进行编码实现信息隐藏的一门学科。主 要依赖于数学知识。
主要方法有:换位、代换、加乱
密码系统的安全策略
密码系统可以采用的两种安全策略:基于算法保密 和基于密码保护。
基于算法保密的策略有没有什么不足之处?? 算法的开发非常复杂。一旦算法泄密,重新开发 需要一定的时间; 不便于标准化:由于每个用户单位必须有自己的 加密算法,不可能采用统一的硬件和软件产品; 不便于质量控制:用户自己开发算法,需要好的 密码专家,否则对安全性难于保障。
声明
本PPT是机械工业出版社出版的教材《网络攻防原 理与技术(第3版)》配套教学PPT(部分内容的 深度和广度比教材有所扩展),作者:吴礼发, 洪征,李华波
第 二 章 密码学基础知识
内容提要
1 密码学概述 2 对称密码体制 3 公开密码体制 4 散列函数 5 密钥管理 6 密码分析
密码案例
1942年6月,在关系到日美太平洋战争转折点的中途岛 海战中,日军出现了两起严重泄密事件: 一是在战役发起前夕,日海军第二联合特别陆战队 的一个副官,用低等级密码发电说:六月五日以后, 本部队的邮件请寄到中途岛。 二是日军军港的一个后勤部门,用简易密码与担任 进攻中途岛任务的部队联系淡水供应问题。 结果,以上两电均被设在珍珠港的美国海军破译, 从而掌握了日军进攻中途岛的日期和兵力,致使日 军在战役中遭到惨败。
通过初始置换得到X0,X0被分为左右两部分,即X0
=L0R0
S是一组八个变换S1,S2,
S3,… ,S8 ,称为S盒,每
16次迭代: i=1,2,…,16
个盒以6位输入,4位输出,S盒
Xi-1=Li-1Ri-1,
构成了DES 安全的核心。
Li=Ri-1, Ri=Li-1 F(Ri-1,Ki)
Li-1 Ri-1
密码编码学
对信息进行编码实现信息隐藏的一门学科。主 要依赖于数学知识。
主要方法有:换位、代换、加乱
密码系统的安全策略
密码系统可以采用的两种安全策略:基于算法保密 和基于密码保护。
基于算法保密的策略有没有什么不足之处?? 算法的开发非常复杂。一旦算法泄密,重新开发 需要一定的时间; 不便于标准化:由于每个用户单位必须有自己的 加密算法,不可能采用统一的硬件和软件产品; 不便于质量控制:用户自己开发算法,需要好的 密码专家,否则对安全性难于保障。
声明
本PPT是机械工业出版社出版的教材《网络攻防原 理与技术(第3版)》配套教学PPT(部分内容的 深度和广度比教材有所扩展),作者:吴礼发, 洪征,李华波
第7章 网络的攻击与防范.ppt
7.1 网络的攻击
• 7.1.3 网络攻击的整体模型描述
攻击模型阶段划分: 4. 目标使用权限获取 获取在目标系统中的普通或特权帐户权限,获得系统管 理员口令,利用系统管理上的漏洞获取控制权,令系统运 行木马程序,窃听帐号口令输入等 5.攻击行为隐藏 隐藏在目标系统中的操作,防止攻击行为被发现.连接 隐藏,冒充其他用户,修改环境变量,修改日志,隐藏进程, 隐藏攻击时产生的信息
的访问 监控对系统的访问和使用,探测未经授权的行为
7.3 网络防范的策略和方法
• 7.3.1 网络安全策略
信息安全策略
信息安全的策略是要保护信息的机密性,真实性,完整性, 因此,应对敏感或机密数据进行加密.
信息加密过程是由形形色色的加密算法来具体实施,它以 很小的代价提供很大的安全保护.
目前,信息加密仍然是保证信息机密性的主要方法. 网络加密常用的方法有链路加密,端点加密和节点加密3种.
对于一台连网的计算机,只需要安装一个监听软件,就可以浏览监听到 信息
最简单的监听软件包括内核部分和用户分析部分.内核部分负责从网 络中捕获和过滤数据,用户分析部分负责界面,数据转化与处理,格式化, 协议分析.
一个较为完整的网络监听程序一般包括以下步骤
数据包获取 数据包过滤与分解 数据分析
7.2网络攻击实施和技术分析
7.1 网络的攻击
• 目前网络攻击技术,攻击工具发展
攻击行为越来越隐蔽
攻击者已经具备了反侦破,动态行为,攻击工具更加成熟等特点. 反侦破是指黑客越来越多地采用具有隐蔽攻击工具特性的技术, 使安全专家需要耗费更多的时间来分析新出现的攻击工具和了 解新的攻击行为.动态行为是指现在的自动攻击工具可以根据 随机选择,预先定义的决策路经或通过入侵者直接管理,来变化 他们的模式和行为,而不是像早期的攻击工具那样,仅能够以单 一确定的顺序执行攻击步骤.
《网络攻防原理与技术(第 3 版)》教学课件第13章
防火墙功能
3、攻击防护:识别并阻止特定网络攻击 的流量,例如基于特征库识别并阻止网 络扫描、典型拒绝服务攻击流量,拦截 典型木马攻击、钓鱼邮件等;与其它安 全系统联动
防火墙功能
4、安全审计、告警与统计:记录下所有 网络访问并进行审计记录,并对事件日 志进行管理;对网络使用情况进行统计 分析;当检测到网络攻击或不安全事件 时,产生告警
包过滤操作的要求
包过滤规则实例(1/3)
HTTP包过滤规则
包过滤规则实例(2/3)
Telnet包过滤规则
包过滤规则实例(3/3)
假设内部网络服务器的IP地址是199.245.180.1,服务器提供 电子邮件功能,SMTP使用的端口为25。Internet上有一个 hacker主机可能对内部网构成威胁,可以为这个网络设计 以下过滤规则:
若两条规则为对流入数据的控制,则允许来自 C类网的199.245.180.0 和B类网的132.23.0.0 主 机通过Cisco路由器的包过滤,进行网络访问
Cisco的标准访问列表(3/3)
假设一A类网络67.0.0.0连接到过滤路由器上, 使用下面的ACL进行流出控制: access-list 3 permit 67.23.2.5 0.0.0.0 access-list 3 deny 67.23.0.0 0.0.255.255 access-list 3 permit 67.0.0.0 0.255.255.255
现在有不少网络防火墙也可以查杀部分病毒
防火墙功能
有关防火墙功能的描述很多,且不尽相同 (核心思想是一致的,只是从不同角度来 介绍的),本处基于国家标准《GB/T 20281-2020 信息安全技术 防火墙安全技 术要求和测试评价方法》中的表述
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(2)ARP缓存表用于存储其他主机或网关的IP地址与MAC 地址的对应关系,每台主机、网关都有一个ARP缓存表 (动态、静态;arp -a);
[root@localhost root]#rpm -qa telnet-server
空
//telnet*.rpm是默认没有安装的
②安装telnet-server [root@localhost root]#rpm -ivh telnetserver*.i386.rpm
17
网络欺骗
Linux上Telnet服务开启; ③修改telnet服务配置文件
4
网络欺骗
2、源路由攻击 源路由:TCP/IP协议提供的一种机制,可让源主机 指定通过互联网的路径。 如果攻击者使用源路由选项并保证自己在所指定的路 径上,那么他就能得到应答包。
5
一个IP数据包由包头和数据体两部分组成。包头由 20字节的固定部分和变长的可选项成。
6
网络欺骗
3、信任关系 UNIX中,用户为方便同时使用多个主机,经常在主 机之间建立信任关系。 远程用户启动rlogin访问本地Linux主机。
2
网络欺骗
一、IP欺骗 使用虚假IP地址来达到欺骗目的。 1、基本地址变化; 2、使用源路由选项截取数据包; 3、利用UNIX主机上的信任关系; 4、TCP会话劫持
3
网络欺骗
1、基本地址变化 发送的数据包带有假冒的源地址(攻击者可得到被假 冒放的权限;不能根据IP找到攻击源)。 修改数据包的IP地址必须通过底层的网络编程实现。 Windows平台使用原始套接字可以手工构造IP包。
8
网络欺骗
4)重新启动xinetd # service xinetd restart ;
5)测试 在192.168.4.49的机器上使用rlogin命令远程登陆:
# rlogin 192.168.4.18
9
网络欺骗
欺骗过程: 1)选定目标主机,挖掘信任模式,找到被目标主机信 任的主机; 2)采用某种方法使得被信任的主机丧失工作能力; 3)伪装成倍被信任的主机,建立于 与目标主机的机基遇于地址 验证的连接。
在/home/.rhosts找远程主机名及用户名;
7
网络欺骗
1) 编辑xinetd配置文件rsh, rexec, rlogin ; 2)配置securetty
echo “rsh” >> /etc/securetty ; echo “pts/0” >> /etc/securetty ; 3)配置.rhosts 这个文件存放在每个用户的根目录中,包含了允许 客户端登陆的IP地址和用户名,如: echo "192.168.4.49 root" >> /root/.rhosts 表示允许 192.168.4.49的IP地址以root用户登陆本机 。
网络攻击技术原理
主要讲授: 1、网络欺骗 2、嗅探技术 3、扫描技术 4、口令破解技术 5、缓冲区溢出 6、拒绝服务攻击
1
网络欺骗
一、IP欺骗 二、电子邮件欺骗 三、Web欺骗 四、非技术类欺骗 五、网络欺骗的防范
网络欺骗是指攻击者通过伪造自己在网络上的身份, 从而得到目标主机或者网络的访问权限。
18
网络欺骗
● ARP欺骗:利用ARP协议的缺陷,把自己伪装成 “中间人”; ARP地址解析协议用于将计算机的网络地址(IP地址32位) 转化为物理地址(MAC地址48位),属于链路层协议。 在以太网中,数据帧从一个主机到达局域网内的另一台 主机是根据MAC地址来确定接口的。
19
网络欺骗
(1)ARP协议有两种数据包:请求包(含有目的IP的以太网 广播数据包)、应答包(目标主机收到请求包,发现与本 机IP相同,则返回ARP应答包);
Linux2启动./hunt;测试l\w\s\a;
Linux需要安装telnet-server包;
16
网络欺骗
Linux上Telnet服务开启;
①检测telnet、telnet-server的rpm包是否安装
[root@localhost root]#rpm -qa telnet telnet-0.17-25 //telnet*.rpm是默认安装的
vi /etc/xinetd.d/telnet disable=no
④重新启动xinetd守护进程 由于telnet服务也是由xinetd守护的,所以安装完 telnet-server,要启动telnet服务就必须重新启动 xinetd [root@localhost root]#service xinetd restart
13
网络欺骗
A和B进行一次TCP会话,C为攻击者,劫持过程如下: A向B发送一个数据包 SEQ : X ACK : Y 包大小为:60
攻击B者回C应冒A充一主个机数A据给包主机B发送一个数据包 SEQSE: QX:+Y10A0CAKC:KX+: 6Y0+8包0大包小大为小:为50:20
B向AA向回B应回一应个一数个据数包据包 SEQS:EYQ+:80X+A6C0KA:CXK+:12Y0+5包0包大大小小为为:10:40 B向A回应一个数据包 SEQ : Y+50 ACK : X+100包大小为:30
10
1.5 TCP/IP协议基础
4、TCP会话劫持 TCP会话劫持的攻击方式可以对基于TCP的任何应用 发起攻击,如HTTP、FTP、Telnet等。
11
1.5 TCP/IP协议基础
SEQ:当前数据包第一个字节序号; ACK:期望收到对方数据包第一个字节序号;
12
网络欺骗
在每一个数据包中,都有两段 ACK:期望收到对方数据包中第一个字节的序号
14
网络欺骗
Hunt软件:能进行嗅探、截取、会话劫持;
tar zxvf hunt-1.5.tgz cd hunt-1.5 make ./hunt l\w\s\a
15
网络欺骗
Hunt软件:测试;
Winxp: 192.168.13.130; Linux1: 192.168.13.131; Linux2: 192.168.13.132; 实验:Winxp telnet Linux1;Linux2作为攻击者;
[root@localhost root]#rpm -qa telnet-server
空
//telnet*.rpm是默认没有安装的
②安装telnet-server [root@localhost root]#rpm -ivh telnetserver*.i386.rpm
17
网络欺骗
Linux上Telnet服务开启; ③修改telnet服务配置文件
4
网络欺骗
2、源路由攻击 源路由:TCP/IP协议提供的一种机制,可让源主机 指定通过互联网的路径。 如果攻击者使用源路由选项并保证自己在所指定的路 径上,那么他就能得到应答包。
5
一个IP数据包由包头和数据体两部分组成。包头由 20字节的固定部分和变长的可选项成。
6
网络欺骗
3、信任关系 UNIX中,用户为方便同时使用多个主机,经常在主 机之间建立信任关系。 远程用户启动rlogin访问本地Linux主机。
2
网络欺骗
一、IP欺骗 使用虚假IP地址来达到欺骗目的。 1、基本地址变化; 2、使用源路由选项截取数据包; 3、利用UNIX主机上的信任关系; 4、TCP会话劫持
3
网络欺骗
1、基本地址变化 发送的数据包带有假冒的源地址(攻击者可得到被假 冒放的权限;不能根据IP找到攻击源)。 修改数据包的IP地址必须通过底层的网络编程实现。 Windows平台使用原始套接字可以手工构造IP包。
8
网络欺骗
4)重新启动xinetd # service xinetd restart ;
5)测试 在192.168.4.49的机器上使用rlogin命令远程登陆:
# rlogin 192.168.4.18
9
网络欺骗
欺骗过程: 1)选定目标主机,挖掘信任模式,找到被目标主机信 任的主机; 2)采用某种方法使得被信任的主机丧失工作能力; 3)伪装成倍被信任的主机,建立于 与目标主机的机基遇于地址 验证的连接。
在/home/.rhosts找远程主机名及用户名;
7
网络欺骗
1) 编辑xinetd配置文件rsh, rexec, rlogin ; 2)配置securetty
echo “rsh” >> /etc/securetty ; echo “pts/0” >> /etc/securetty ; 3)配置.rhosts 这个文件存放在每个用户的根目录中,包含了允许 客户端登陆的IP地址和用户名,如: echo "192.168.4.49 root" >> /root/.rhosts 表示允许 192.168.4.49的IP地址以root用户登陆本机 。
网络攻击技术原理
主要讲授: 1、网络欺骗 2、嗅探技术 3、扫描技术 4、口令破解技术 5、缓冲区溢出 6、拒绝服务攻击
1
网络欺骗
一、IP欺骗 二、电子邮件欺骗 三、Web欺骗 四、非技术类欺骗 五、网络欺骗的防范
网络欺骗是指攻击者通过伪造自己在网络上的身份, 从而得到目标主机或者网络的访问权限。
18
网络欺骗
● ARP欺骗:利用ARP协议的缺陷,把自己伪装成 “中间人”; ARP地址解析协议用于将计算机的网络地址(IP地址32位) 转化为物理地址(MAC地址48位),属于链路层协议。 在以太网中,数据帧从一个主机到达局域网内的另一台 主机是根据MAC地址来确定接口的。
19
网络欺骗
(1)ARP协议有两种数据包:请求包(含有目的IP的以太网 广播数据包)、应答包(目标主机收到请求包,发现与本 机IP相同,则返回ARP应答包);
Linux2启动./hunt;测试l\w\s\a;
Linux需要安装telnet-server包;
16
网络欺骗
Linux上Telnet服务开启;
①检测telnet、telnet-server的rpm包是否安装
[root@localhost root]#rpm -qa telnet telnet-0.17-25 //telnet*.rpm是默认安装的
vi /etc/xinetd.d/telnet disable=no
④重新启动xinetd守护进程 由于telnet服务也是由xinetd守护的,所以安装完 telnet-server,要启动telnet服务就必须重新启动 xinetd [root@localhost root]#service xinetd restart
13
网络欺骗
A和B进行一次TCP会话,C为攻击者,劫持过程如下: A向B发送一个数据包 SEQ : X ACK : Y 包大小为:60
攻击B者回C应冒A充一主个机数A据给包主机B发送一个数据包 SEQSE: QX:+Y10A0CAKC:KX+: 6Y0+8包0大包小大为小:为50:20
B向AA向回B应回一应个一数个据数包据包 SEQS:EYQ+:80X+A6C0KA:CXK+:12Y0+5包0包大大小小为为:10:40 B向A回应一个数据包 SEQ : Y+50 ACK : X+100包大小为:30
10
1.5 TCP/IP协议基础
4、TCP会话劫持 TCP会话劫持的攻击方式可以对基于TCP的任何应用 发起攻击,如HTTP、FTP、Telnet等。
11
1.5 TCP/IP协议基础
SEQ:当前数据包第一个字节序号; ACK:期望收到对方数据包第一个字节序号;
12
网络欺骗
在每一个数据包中,都有两段 ACK:期望收到对方数据包中第一个字节的序号
14
网络欺骗
Hunt软件:能进行嗅探、截取、会话劫持;
tar zxvf hunt-1.5.tgz cd hunt-1.5 make ./hunt l\w\s\a
15
网络欺骗
Hunt软件:测试;
Winxp: 192.168.13.130; Linux1: 192.168.13.131; Linux2: 192.168.13.132; 实验:Winxp telnet Linux1;Linux2作为攻击者;