网络安全及防护措施ppt课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
击
▪ 文件,重要资料遭到破坏 ▪ 系统濒临崩溃,无法正常运行 ▪ 网络涌堵,正常通信无法进行 ▪ 重要信息资料被窃取,机密资料泄漏,造
成重大经济损失
8
常规攻击行为的步骤
▪ 预攻击信息探测,使用扫描器获取目标信
息,这些信息可以为:主机或设备上打开 的服务,端口,服务程序的版本,系统的 版本,弱密码帐号等
10
邮件炸弹
• 概念:发送大容量的垃圾邮件 • 如:KaBoom • To、From、Server • 拒收垃圾邮件、设置寄信地址黑名单
(MailGuard)
11
OICQ攻击 • OICQ本地密码使用简单的加密方式 • OICQ使用明文传输 • 黑客可监听信息内容
12
拒绝服务攻击
• Denial of Service----Dos • 向目标主机发送大量数据包,导致主机不
15
Ping of death
• ICMP(Internet Control Message Protocol, Internet控制信息协议)在Internet上用于错误处 理和传递控制信息。它的功能之一是与主机联系, 通过发送一个“回音请求”(echorequest)信 息包看看主机是否“活着”。最普通的ping程序 就是这个功能。而在TCP/IP的RFC文档中对包 的最大尺寸都有严格限制规定,许多操作系统的 TCP/IP协议栈都规定ICMP包大小为64KB,且 在对包的标题头进行读取之后,要根据该标题头 里包含的信息来为有效载荷生成缓冲区。
是基于rhosts文件里的主机名的简单验证
▪ 攻击者只需向可访问的某用户的主目录的
rhosts文件中输入“++”表示所有的主机均 可以利用该帐号就可以无需口令进入该帐 号
▪ Home目录通过NFS向外共享时,如权限设
置有误,更容易成为攻击的对象
▪ 攻击者更喜欢使用rsh这样的工具,因为这
种连接缺少日志记录能力,不易被发现
▪ 取得shadow文件和 passwd文件,其中
passwd文件的加密机制较弱,但对shadow 文件的破解技术也在发展
▪ 攻击者取得文件后crack密码文件,扩大战
果,造成主机系统的众多用户口令丢失
▪ 优点是管理员很难 确定到底那个帐号被窃
取了
39
Rhosts++后门
▪ 联网的unix主机,像rsh和rlogin这样的服务
Web欺骗攻击
▪ 创造某个网站的复制影像 ▪ 用户输入户名、口令 ▪ 用户下载信息,病毒、木马也下载
26
扫描器的功能简介
扫描器是 网络攻击中最常用的工具,并不直 接攻击目标,而是为攻击提供信息
扫描器至少应有三种功能:发现一个主机或 网络的能力;一旦发现,探测其存在的服 务及对应的端口;通过测试这些服务,发 现漏洞
▪ 现行版本中网管端和设备间的通信只需经
过一个叫做community 值的简单验证,管 理端提供read only 的community 值时可以 读取该设备的常规运行信息,如提供read write值时,这可以完全管理该设备。
▪ 攻击网络互连设备的一条捷径,而且不太
被注意
28
Snmp的安全验证机制
程序 • 危害:复制、更改、删除文件,查获密码、口令,
并发送到指定的信箱,监视被控计算机。 • BO、国产木马冰河 • 查看注册表:有无陌生项
35
木马技术
▪ 攻击者在成功侵占系统后往往会留下能够
以特殊端口监听用户请求并且能够绕过系 统身份验证的进程。
▪ 改进程在系统中运行具有隐秘性质,管理
员用常规的系统监视工具不容易发现
数据段请求连接
▪ 黑客等待目标机发送ACK包给已经瘫痪
的主机
▪ 黑客伪装成被信任主机,发送SYN数据
段给目标主机
▪ 建立连接
21
IP碎片攻击
22
IP碎片攻击
▪ 只有第一个分段包含了上层协议信息 ▪ 包过滤将丢弃第一个分段 ▪ 其他分段允许通过 ▪ 将在目的地被重组 ▪ 目的主机需等待重传不完全的包, 最后返
网络安全及防护措施
湖北托普
1
wk.baidu.com 概要
▪ 一、安全隐患及安全认识分析 ▪ 二、网络安全体系结构 ▪ 三、网络安全整体防护思路
2
一、安全隐患及安全认识分析
3
网络安全事件
▪ 1998/9扬州郝氏兄弟工行窃款案例 ▪ 北京机场票务系统瘫痪 ▪ 深交所证券交易系统瘫痪 ▪ 二滩电厂网络安全事故 ▪ 大量的网站被黑、被攻击 ▪ 网上信用卡密码被盗,钱被划走
▪ 由于后门口令是在用户真实登陆之前进行的,所
以不会被记录到utmp和wtmp日志的,所以攻击者 可以获得shell而不暴露
▪ 为了防止管理员使用strings查找login文件的文本
信息,新的手法会将后门口令部分加密
▪ 缺点是如果管理员使用MD5校验的话,会被发现
42
Telnetd后门
▪ 用户telnet 到系统,监听端口的inetd服务接
▪ 优点:suid进程在系统中有很多,但并不都
属于root身份,很多是正常进程,难以查找
即便使用find / -perm 4700 -print
41
Login后门
▪ Unix中,login程序通,常对telnet的用户进行验证,
入侵者在取得最高权限后获取login.c的源代码修 改,让它在比较口令与存储口令时先检查后门口 令,这样攻击者可以登录系统不需系统的验证
▪ 成功后在目标主机上自我复制攻击程
序,感染文件,疯狂调用进程。与发 起者脱离关系直接成为下一次攻击发 起者,换个网段继续扫描,攻击,以 此类推,这种扩散是最大的
33
Code red蠕虫攻击原理
攻击发起 者 扫描和 攻击
地址段A 地址段B
地址段C 地址段D
34
特洛伊木马
• 概念:古希腊人同特洛伊人的战争 • 非法驻留在目标计算机里的执行事先约定操作的
17
SYN Flooding攻击 ▪ SYN Flooding ▪ 三段握手 ▪ 内核处理
18
什么是DoS/DdoS攻击
•Denial of Service (DoS) 拒绝服务攻击
–攻击者利用大量的数据包“淹没”目标主机,耗尽 可用资源乃至系统崩溃,而无法对合法用户作出响 应。
•Distributed Denial of Service (DDoS)分布 式拒绝服务攻击
43
文件系统后门
▪ 攻击者需要在已占领的主机上存储一些脚
本工具,后门集,侦听日志和sniffer信息等, 为了防止被发现,故修改 ls,du,fsck以隐藏 这些文件
▪ 手法是用专用的格式在硬盘上划出一块,
GET请求 SET请求
常规配置信息 RO community
RW community
修改或下载所有状 态信息
MIBS
29
设备攻击的形式
攻击者
控制 INTERNET
对内部攻击 切断
跳板攻击
内部网络
其它网络
30
蠕虫
蠕虫是一段独立的可执行程序,它可以 通过计算机网络把自身的拷贝(复制品)传 给其他的计算机。蠕虫可以修改、删除别的 程序,但它也可以通过疯狂的自我复制来占 尽网络资源,从而使网络瘫痪。
能响应正常请求,导致瘫痪 • 在目标主机上放了木马,重启主机,引导
木马 • 为完成IP欺诈,让被冒充的主机瘫痪 • 在正式进攻之前,要使目标主机的日志记
录系统无法正常工作
13
拒绝服务攻击的种类
• Land • Ping of Death • SYN flood • Dos/DDdos
14
Land Attack
▪ 实施攻击,手法有很多,要视收集的信息
来决定利用的手法如:缓冲区溢出,密码 强打,字符串解码,DoS攻击等
▪ 留下后门或者木马,以便再次利用 ▪ 清除攻击留下的痕迹包括痕迹记录,审计
日志等 9
逻辑炸弹
逻辑炸弹是一段潜伏的程序,它以某种 逻辑状态为触发条件,可以用来释放病毒和 蠕虫或完成其他攻击性功能,如破坏数据和 烧毁芯片。它平时不起作用,只有当系统状 态满足触发条件时才被激活。
–攻击者利用因特网上成百上千的“Zombie”(僵尸)即被利用主机,对攻击目标发动威力巨大的拒绝服 务攻击。
19
DdoS攻击过程
黑客
主控主机
非被安控全主主机机
扫描程序
Internet
合法用户
20
应用服务器
IP欺骗攻击
▪ 让被信任主机瘫痪 ▪ 联接目标主机猜测ISN基值和增加规律 ▪ 将源地址伪装成被信任主机,发送SYN
回一个“packet reassembly time expired”信息
▪ 可能被攻击者利用作为DoS攻击手段 ▪ 直接丢弃
23
DNS欺骗攻击 ▪ 冒充DNS Server向域名解析请求发送错
误的解析结果
24
利用Web进行攻击
• CGI、ASP • Web的非交互性,CGI、ASP的交互性
25
▪ 攻击者利用该进程可以方便的再次进入系
统而不用身份验证;攻击者可以利用这个 后门向新的目标发起攻击
▪ 通常控制端和木马植入端的通信是加密处
理的,很难发现
36
常见的木马工具
▪ Netbus ▪ Bo2k ▪ Subseven ▪ Doly ▪ 冰河
37
Unix 后门技术
▪ 管理员通过改变所有密码类似的方法来提
受联接,随后传给in.telnetd,由他调用login 进程,在in.telnetd中也有对用户的验证信 息如登陆终端有Xterm,VT100等,但当终端 设为“letmein”时就会产生一个不需要身份 验证的shell来
▪ 攻击者知道管理员会检查login程序,故会
修改in.telnetd程序,将终端设为“letmein” 就可以轻易的做成后门
40
Suid和sgid进程后门
▪ Uid是unix中的用户标志,标志用户的身份
和权限,suid进程则表示该进程归该用户所 有,具有该用户的身份权限
▪ 攻击者通常通过溢出和其他的手法取得root
权限,然后使用root身份属主一个文件如 chown root.root /bin/ls;suid这个文件如 chmod 4755 /bin/ls ;然后将其移到一个不起 眼的位置,这样任何一个普通用户登陆导 系统后只要执行该/bin/ls就可提升到root身 份
高安全性,仍然能再次侵入
▪ 大多数后门能躲过日志,大多数情况下,
即使入侵者正在使用系统也无法显示他在 线的情况和记录
▪ 后门往往被反复利用来攻击该主机,发现
主机的变化,除掉新装上的监控系统
▪ 后门攻击对unix有很大的危害性
38
密码破解后门
▪ 入侵者通过一个弱密码和默认密码帐号进
行弱点攻击取得了系统的控制权
16
Ping of death
• Ping of death就是故意产生畸形的测 试 Ping 包 , 声 称 自 己 的 尺 寸 超 过 ICMP 上 限 , 也 就 是 加 载 的 尺 寸 超 过 64KB 上 限 , 使 未 采 取 保 护 措 施 的 网 络系统出现内存分配错误,导致 TCP/IP协议栈崩溃,最终接收方宕机。
4
安全威胁种类分析图
逻辑炸弹
木马
拒绝服务
后门
信息丢失、 篡改 病毒
网络
黑客攻击
信息外泄
资源占用
5
常见的攻击方式介绍
6
了解攻击的作用
▪ 网络管理员对攻击行为的了解和认识,
有助于提高危险性认识
▪ 在遭遇到攻击行为时能够及时的发现
和应对
▪ 了解攻击的手段才能更好的防范
7
攻击带来的后果
▪ 系统被侵占,并被当作跳板进行下一步攻
• 在Land攻击中,黑客利用一个特别打造的 SYN包--它的原地址和目标地址都被设置 成某一个服务器地址进行攻击。此举将导 致 接 受 服 务 器 向 它 自 己 的 地 址 发 送 SYNACK消息,结果这个地址又发回ACK消息 并创建一个空连接,每一个这样的连接都 将 保 留 直 到 超 时 , 在 Land 攻 击 下 , 许 多 UNIX将崩溃,NT变得极其缓慢(大约持 续五分钟)。
31
蠕虫攻击技术
▪ 蠕虫技术是病毒和黑客攻击手法的
结合,包含两者的技术,这种攻击 造成的后果比单一的黑客攻击和病 毒传染要大的多
▪ 攻击的第一步是扫描,找出符合攻
击漏洞的主机,这其中包括端口扫 描和脆弱性扫描
32
蠕虫攻击技术
▪ 实施攻击,现在的手法大多是缓冲区
溢出和系统自身的解码漏洞如Code red的.ida/idq 溢出和Lion的wu-ftpd缓 冲区溢出
编写扫描器需要很多tcp/ip编程和c,perl和 shell和socket编程的知识
攻击利用的扫描技术必须有很快的速度和很 好的隐身能力,否则会被发现
27
针对互连设备的攻击
▪ 网络上的大部分设备如路由器和交换机大
多支持Snmp 网管协议,支持snmp的设备
都维护着自己接口等运行状态的信息库称 为MIBS库。
▪ 文件,重要资料遭到破坏 ▪ 系统濒临崩溃,无法正常运行 ▪ 网络涌堵,正常通信无法进行 ▪ 重要信息资料被窃取,机密资料泄漏,造
成重大经济损失
8
常规攻击行为的步骤
▪ 预攻击信息探测,使用扫描器获取目标信
息,这些信息可以为:主机或设备上打开 的服务,端口,服务程序的版本,系统的 版本,弱密码帐号等
10
邮件炸弹
• 概念:发送大容量的垃圾邮件 • 如:KaBoom • To、From、Server • 拒收垃圾邮件、设置寄信地址黑名单
(MailGuard)
11
OICQ攻击 • OICQ本地密码使用简单的加密方式 • OICQ使用明文传输 • 黑客可监听信息内容
12
拒绝服务攻击
• Denial of Service----Dos • 向目标主机发送大量数据包,导致主机不
15
Ping of death
• ICMP(Internet Control Message Protocol, Internet控制信息协议)在Internet上用于错误处 理和传递控制信息。它的功能之一是与主机联系, 通过发送一个“回音请求”(echorequest)信 息包看看主机是否“活着”。最普通的ping程序 就是这个功能。而在TCP/IP的RFC文档中对包 的最大尺寸都有严格限制规定,许多操作系统的 TCP/IP协议栈都规定ICMP包大小为64KB,且 在对包的标题头进行读取之后,要根据该标题头 里包含的信息来为有效载荷生成缓冲区。
是基于rhosts文件里的主机名的简单验证
▪ 攻击者只需向可访问的某用户的主目录的
rhosts文件中输入“++”表示所有的主机均 可以利用该帐号就可以无需口令进入该帐 号
▪ Home目录通过NFS向外共享时,如权限设
置有误,更容易成为攻击的对象
▪ 攻击者更喜欢使用rsh这样的工具,因为这
种连接缺少日志记录能力,不易被发现
▪ 取得shadow文件和 passwd文件,其中
passwd文件的加密机制较弱,但对shadow 文件的破解技术也在发展
▪ 攻击者取得文件后crack密码文件,扩大战
果,造成主机系统的众多用户口令丢失
▪ 优点是管理员很难 确定到底那个帐号被窃
取了
39
Rhosts++后门
▪ 联网的unix主机,像rsh和rlogin这样的服务
Web欺骗攻击
▪ 创造某个网站的复制影像 ▪ 用户输入户名、口令 ▪ 用户下载信息,病毒、木马也下载
26
扫描器的功能简介
扫描器是 网络攻击中最常用的工具,并不直 接攻击目标,而是为攻击提供信息
扫描器至少应有三种功能:发现一个主机或 网络的能力;一旦发现,探测其存在的服 务及对应的端口;通过测试这些服务,发 现漏洞
▪ 现行版本中网管端和设备间的通信只需经
过一个叫做community 值的简单验证,管 理端提供read only 的community 值时可以 读取该设备的常规运行信息,如提供read write值时,这可以完全管理该设备。
▪ 攻击网络互连设备的一条捷径,而且不太
被注意
28
Snmp的安全验证机制
程序 • 危害:复制、更改、删除文件,查获密码、口令,
并发送到指定的信箱,监视被控计算机。 • BO、国产木马冰河 • 查看注册表:有无陌生项
35
木马技术
▪ 攻击者在成功侵占系统后往往会留下能够
以特殊端口监听用户请求并且能够绕过系 统身份验证的进程。
▪ 改进程在系统中运行具有隐秘性质,管理
员用常规的系统监视工具不容易发现
数据段请求连接
▪ 黑客等待目标机发送ACK包给已经瘫痪
的主机
▪ 黑客伪装成被信任主机,发送SYN数据
段给目标主机
▪ 建立连接
21
IP碎片攻击
22
IP碎片攻击
▪ 只有第一个分段包含了上层协议信息 ▪ 包过滤将丢弃第一个分段 ▪ 其他分段允许通过 ▪ 将在目的地被重组 ▪ 目的主机需等待重传不完全的包, 最后返
网络安全及防护措施
湖北托普
1
wk.baidu.com 概要
▪ 一、安全隐患及安全认识分析 ▪ 二、网络安全体系结构 ▪ 三、网络安全整体防护思路
2
一、安全隐患及安全认识分析
3
网络安全事件
▪ 1998/9扬州郝氏兄弟工行窃款案例 ▪ 北京机场票务系统瘫痪 ▪ 深交所证券交易系统瘫痪 ▪ 二滩电厂网络安全事故 ▪ 大量的网站被黑、被攻击 ▪ 网上信用卡密码被盗,钱被划走
▪ 由于后门口令是在用户真实登陆之前进行的,所
以不会被记录到utmp和wtmp日志的,所以攻击者 可以获得shell而不暴露
▪ 为了防止管理员使用strings查找login文件的文本
信息,新的手法会将后门口令部分加密
▪ 缺点是如果管理员使用MD5校验的话,会被发现
42
Telnetd后门
▪ 用户telnet 到系统,监听端口的inetd服务接
▪ 优点:suid进程在系统中有很多,但并不都
属于root身份,很多是正常进程,难以查找
即便使用find / -perm 4700 -print
41
Login后门
▪ Unix中,login程序通,常对telnet的用户进行验证,
入侵者在取得最高权限后获取login.c的源代码修 改,让它在比较口令与存储口令时先检查后门口 令,这样攻击者可以登录系统不需系统的验证
▪ 成功后在目标主机上自我复制攻击程
序,感染文件,疯狂调用进程。与发 起者脱离关系直接成为下一次攻击发 起者,换个网段继续扫描,攻击,以 此类推,这种扩散是最大的
33
Code red蠕虫攻击原理
攻击发起 者 扫描和 攻击
地址段A 地址段B
地址段C 地址段D
34
特洛伊木马
• 概念:古希腊人同特洛伊人的战争 • 非法驻留在目标计算机里的执行事先约定操作的
17
SYN Flooding攻击 ▪ SYN Flooding ▪ 三段握手 ▪ 内核处理
18
什么是DoS/DdoS攻击
•Denial of Service (DoS) 拒绝服务攻击
–攻击者利用大量的数据包“淹没”目标主机,耗尽 可用资源乃至系统崩溃,而无法对合法用户作出响 应。
•Distributed Denial of Service (DDoS)分布 式拒绝服务攻击
43
文件系统后门
▪ 攻击者需要在已占领的主机上存储一些脚
本工具,后门集,侦听日志和sniffer信息等, 为了防止被发现,故修改 ls,du,fsck以隐藏 这些文件
▪ 手法是用专用的格式在硬盘上划出一块,
GET请求 SET请求
常规配置信息 RO community
RW community
修改或下载所有状 态信息
MIBS
29
设备攻击的形式
攻击者
控制 INTERNET
对内部攻击 切断
跳板攻击
内部网络
其它网络
30
蠕虫
蠕虫是一段独立的可执行程序,它可以 通过计算机网络把自身的拷贝(复制品)传 给其他的计算机。蠕虫可以修改、删除别的 程序,但它也可以通过疯狂的自我复制来占 尽网络资源,从而使网络瘫痪。
能响应正常请求,导致瘫痪 • 在目标主机上放了木马,重启主机,引导
木马 • 为完成IP欺诈,让被冒充的主机瘫痪 • 在正式进攻之前,要使目标主机的日志记
录系统无法正常工作
13
拒绝服务攻击的种类
• Land • Ping of Death • SYN flood • Dos/DDdos
14
Land Attack
▪ 实施攻击,手法有很多,要视收集的信息
来决定利用的手法如:缓冲区溢出,密码 强打,字符串解码,DoS攻击等
▪ 留下后门或者木马,以便再次利用 ▪ 清除攻击留下的痕迹包括痕迹记录,审计
日志等 9
逻辑炸弹
逻辑炸弹是一段潜伏的程序,它以某种 逻辑状态为触发条件,可以用来释放病毒和 蠕虫或完成其他攻击性功能,如破坏数据和 烧毁芯片。它平时不起作用,只有当系统状 态满足触发条件时才被激活。
–攻击者利用因特网上成百上千的“Zombie”(僵尸)即被利用主机,对攻击目标发动威力巨大的拒绝服 务攻击。
19
DdoS攻击过程
黑客
主控主机
非被安控全主主机机
扫描程序
Internet
合法用户
20
应用服务器
IP欺骗攻击
▪ 让被信任主机瘫痪 ▪ 联接目标主机猜测ISN基值和增加规律 ▪ 将源地址伪装成被信任主机,发送SYN
回一个“packet reassembly time expired”信息
▪ 可能被攻击者利用作为DoS攻击手段 ▪ 直接丢弃
23
DNS欺骗攻击 ▪ 冒充DNS Server向域名解析请求发送错
误的解析结果
24
利用Web进行攻击
• CGI、ASP • Web的非交互性,CGI、ASP的交互性
25
▪ 攻击者利用该进程可以方便的再次进入系
统而不用身份验证;攻击者可以利用这个 后门向新的目标发起攻击
▪ 通常控制端和木马植入端的通信是加密处
理的,很难发现
36
常见的木马工具
▪ Netbus ▪ Bo2k ▪ Subseven ▪ Doly ▪ 冰河
37
Unix 后门技术
▪ 管理员通过改变所有密码类似的方法来提
受联接,随后传给in.telnetd,由他调用login 进程,在in.telnetd中也有对用户的验证信 息如登陆终端有Xterm,VT100等,但当终端 设为“letmein”时就会产生一个不需要身份 验证的shell来
▪ 攻击者知道管理员会检查login程序,故会
修改in.telnetd程序,将终端设为“letmein” 就可以轻易的做成后门
40
Suid和sgid进程后门
▪ Uid是unix中的用户标志,标志用户的身份
和权限,suid进程则表示该进程归该用户所 有,具有该用户的身份权限
▪ 攻击者通常通过溢出和其他的手法取得root
权限,然后使用root身份属主一个文件如 chown root.root /bin/ls;suid这个文件如 chmod 4755 /bin/ls ;然后将其移到一个不起 眼的位置,这样任何一个普通用户登陆导 系统后只要执行该/bin/ls就可提升到root身 份
高安全性,仍然能再次侵入
▪ 大多数后门能躲过日志,大多数情况下,
即使入侵者正在使用系统也无法显示他在 线的情况和记录
▪ 后门往往被反复利用来攻击该主机,发现
主机的变化,除掉新装上的监控系统
▪ 后门攻击对unix有很大的危害性
38
密码破解后门
▪ 入侵者通过一个弱密码和默认密码帐号进
行弱点攻击取得了系统的控制权
16
Ping of death
• Ping of death就是故意产生畸形的测 试 Ping 包 , 声 称 自 己 的 尺 寸 超 过 ICMP 上 限 , 也 就 是 加 载 的 尺 寸 超 过 64KB 上 限 , 使 未 采 取 保 护 措 施 的 网 络系统出现内存分配错误,导致 TCP/IP协议栈崩溃,最终接收方宕机。
4
安全威胁种类分析图
逻辑炸弹
木马
拒绝服务
后门
信息丢失、 篡改 病毒
网络
黑客攻击
信息外泄
资源占用
5
常见的攻击方式介绍
6
了解攻击的作用
▪ 网络管理员对攻击行为的了解和认识,
有助于提高危险性认识
▪ 在遭遇到攻击行为时能够及时的发现
和应对
▪ 了解攻击的手段才能更好的防范
7
攻击带来的后果
▪ 系统被侵占,并被当作跳板进行下一步攻
• 在Land攻击中,黑客利用一个特别打造的 SYN包--它的原地址和目标地址都被设置 成某一个服务器地址进行攻击。此举将导 致 接 受 服 务 器 向 它 自 己 的 地 址 发 送 SYNACK消息,结果这个地址又发回ACK消息 并创建一个空连接,每一个这样的连接都 将 保 留 直 到 超 时 , 在 Land 攻 击 下 , 许 多 UNIX将崩溃,NT变得极其缓慢(大约持 续五分钟)。
31
蠕虫攻击技术
▪ 蠕虫技术是病毒和黑客攻击手法的
结合,包含两者的技术,这种攻击 造成的后果比单一的黑客攻击和病 毒传染要大的多
▪ 攻击的第一步是扫描,找出符合攻
击漏洞的主机,这其中包括端口扫 描和脆弱性扫描
32
蠕虫攻击技术
▪ 实施攻击,现在的手法大多是缓冲区
溢出和系统自身的解码漏洞如Code red的.ida/idq 溢出和Lion的wu-ftpd缓 冲区溢出
编写扫描器需要很多tcp/ip编程和c,perl和 shell和socket编程的知识
攻击利用的扫描技术必须有很快的速度和很 好的隐身能力,否则会被发现
27
针对互连设备的攻击
▪ 网络上的大部分设备如路由器和交换机大
多支持Snmp 网管协议,支持snmp的设备
都维护着自己接口等运行状态的信息库称 为MIBS库。