黑客攻击与入侵检测讲义.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7
-1.源IP地址欺骗攻击与防范
为防止源端IP地址欺骗,可以采取以下措施来加 以防范,尽可能地保护系统免受这类攻击。
第一,放弃基于地址的信任策略。抵御这种攻击的一 种简易方法就是抛弃以地址为基础的验证。不允许 remote类别的远程调用命令的使用,这将迫使所有用 户使用其它远程通信手段。
第二,数据包加密。在数据包发送到网络之前对数据 包加密,能在很大程度上保证数据的完整性和真实性。
6
协议欺骗类的攻击与防范-
1.源IP地址欺骗攻击与防范-
许多应用程序认为如果数据包能够使其自身沿着路由到达目的地, 而且应答包也可回到源地址,那么源IP地址一定是有效的,而这 恰恰使得源IP地址欺骗成为可能的前提。
假定同一网段内两台主机A和B,另一网段内有主机X。X为了获得 与A、B相同的特权,所做的欺骗攻击如下:首先,X冒充A向主机 B发送一个带有随机序列号的SYS包。主机B相应,回送一个应答 包给A,该应答号为原序列号加1。可是,此时的主机A已经被X用 拒绝服务攻击给“淹没”了,导致主机A的服务失效。结果,主机 A将B发来的包丢弃。为了完成传输层三次握手的协议,X还需向B 回送一个应答包,其应答号为B向A发送的数据包的序列号加1。 此时,主机X并不能检测到主机B的数据包,因为二者不在同一网 段内,只有利用TCP顺序号估算法来预测应答的顺序号并将其发送 给目标主机B。如果猜测正确,B则认为收到的ACK是来自内部主 机A。此时,X即获得了主机A在主机B上享有的特权,并开始对这 些服务实施攻击。
第三,数据包过滤。利用网络设备的配置来进行数据 包过滤,比如配置路由器,使其能够拒绝来自网络外 部但具有网络内部IP地址的数据包的连接请求。
8
-协议欺骗类ຫໍສະໝຸດ Baidu攻击与防范
2.源路由器欺骗攻击与防范-
一般情况下,信息报从起点到终点走过的路径是 由位于此两点间的路由器决定的,数据包本身只 是知道从哪里出发,到达目的地是哪里,不知道 也不关心沿途经过的具体路径。源路由可以使信 息包的发送者将此信息包经过的路径写在数据包 里,是数据包沿着一个对方不可预料的途径到达 目的主机。仍以上面源IP地址欺骗例子说明如下:
为了达到长期控制目标主机的目的,黑客灾区的管理员权限 之后会立刻在其中建立后门,这样就可以随时登录该主机。 为了避免被目标主机管理员发现,在完成入侵之后需要清楚 其中的系统日志文件、应用程序日志文件和防火墙日志文件 等,清理完毕即可从目标主机中退出。达到全身而退的效果 是经验老到的黑客的基本技能。
9
-2.源路由器欺骗攻击与防范-
主机A享有主机B的某些特权,主机X想冒充主机A 从主机B获得某些服务,主机B的IP 地址为 xxx.xxx.xxx.xxx。
首先,攻击者修改距离X最近的路由器,使得到达 此路由器且包含目的地址xxx.xxx.xxx.xxx的数据包 以主机X的所在的网络为目的地;
第二,在路由器上关闭源路由使用。源路由默 认是被开启的,可以在路由器上用全局配置命 令 no ip source-route来关闭。
11
拒绝服务类的攻击与防范1
拒绝服务攻击,顾名思义,就是攻击者加载过多的服务将被攻击者资 源全部耗尽,使其没有多余的资源来供其他用户使用,从而实现不了 服务。
SYNFlood攻击是典型的拒绝服务攻击。它常常是源IP地址的前奏,也 叫做半开式连接攻击。正常情况下,一次标准的TCP连接,会有一个 三次握手的情况。然而这个SYNFlood在其实现过程中,只有前两个步 骤,当服务方收到请求方的SYN并回送SYN-ACKnowledege Character 确认报文后,请求方由于采用源IP地址欺骗等手段,使得服务方得不 到ACK回应,这样,服务方会在一定时间内处于等待接收请求方ACK 报文的状态,一台服务器可用的TCP连接服务时有限的,如果恶意攻 击方快速连续的发送此类请求,则服务器的系统可用资源、网络可用 带宽将急剧下降,导致无法向用户提供正常的网络服务。
第七章黑客攻击与入侵检测
1
本章导言
知 识 点:
● 黑客定义 ● 黑客攻击 ●入侵检测
难 点:
● 黑客攻击原理与防范 ● 入侵追踪技术 ◆要求
熟练掌握以下内容:
● 熟知黑客攻击手段 ● 熟知入侵检测技术 ● 熟练掌握黑客攻击防范措施
了解以下内容:
●了解入侵检测的分类与工具使用
然后,攻击者X利用IP欺骗向主机B发送源路由 (制定最近的路由器)数据包。当B回送数据包时, 就传送到被更改过的路由器,这就使得入侵者可 以假冒一个主机的名义通过一个特殊的路径来获 得某些被保护的服务和数据。
10
-2.源路由器欺骗攻击与防范
为防范路由器欺骗攻击,一般采用的措施 如下。
第一,配置好网络互联设备——路由器。使得 它能抛弃那些来自外部网络却冒充内部网络来 的报文,这是对付这种攻击的最好的办法。
看不惯他人的某些做法,又不方便当面指责,于是攻击他 的电脑教训一下;
好玩,恶作剧,这是许多人或者学生入侵或破坏的主要原 因,除了有练功的效果外还有探险的感觉;
窃取数据,偷取他人的QQ、网游密码等,然后从事商业 活动;
对某个单位或者组织表示抗议。
5
黑客攻击的一般过程
第一步,收集被攻击方的有关信息。 第二步,建立模拟环境。 第三步,利用适当的工具进行扫描。 第四步,实施攻击。 第五步,清理痕迹。
4
黑客攻击的原因
由于少数高水平的黑客可以随意入侵他人电脑,呗在 被攻击者毫不知情的情况下窃取电脑中的信息后悄悄 退出,于是,很多人对此产生较强的好奇心和学习黑 客技术的欲望,并在了解了黑客攻击技术后不计后果 地进行尝试,给网络造成极大的安全威胁。
黑客常见攻击的理由如下:
想在别人面前炫耀自己的技术,如进入别人电脑修改一下 文件和系统,算是打个招呼,也会让对方对自己更加崇拜;
2
7.1 黑客攻击-
1.什么是黑客
黑客的发展 黑客的分类
网络黑客 计算机朋客 网络骇客
3
-7.1 黑客攻击-
2.黑客常用的攻击方法和防范措施
黑客攻击
黑客攻击的原因 黑客攻击的一般过程
黑客攻击防范措施
协议欺骗类的攻击与防范 拒绝服务类的攻击与防范 网络嗅探攻击与防范 缓冲区溢出攻击与防范 SQL注入式攻击与防范 木马攻击与检查防范
-1.源IP地址欺骗攻击与防范
为防止源端IP地址欺骗,可以采取以下措施来加 以防范,尽可能地保护系统免受这类攻击。
第一,放弃基于地址的信任策略。抵御这种攻击的一 种简易方法就是抛弃以地址为基础的验证。不允许 remote类别的远程调用命令的使用,这将迫使所有用 户使用其它远程通信手段。
第二,数据包加密。在数据包发送到网络之前对数据 包加密,能在很大程度上保证数据的完整性和真实性。
6
协议欺骗类的攻击与防范-
1.源IP地址欺骗攻击与防范-
许多应用程序认为如果数据包能够使其自身沿着路由到达目的地, 而且应答包也可回到源地址,那么源IP地址一定是有效的,而这 恰恰使得源IP地址欺骗成为可能的前提。
假定同一网段内两台主机A和B,另一网段内有主机X。X为了获得 与A、B相同的特权,所做的欺骗攻击如下:首先,X冒充A向主机 B发送一个带有随机序列号的SYS包。主机B相应,回送一个应答 包给A,该应答号为原序列号加1。可是,此时的主机A已经被X用 拒绝服务攻击给“淹没”了,导致主机A的服务失效。结果,主机 A将B发来的包丢弃。为了完成传输层三次握手的协议,X还需向B 回送一个应答包,其应答号为B向A发送的数据包的序列号加1。 此时,主机X并不能检测到主机B的数据包,因为二者不在同一网 段内,只有利用TCP顺序号估算法来预测应答的顺序号并将其发送 给目标主机B。如果猜测正确,B则认为收到的ACK是来自内部主 机A。此时,X即获得了主机A在主机B上享有的特权,并开始对这 些服务实施攻击。
第三,数据包过滤。利用网络设备的配置来进行数据 包过滤,比如配置路由器,使其能够拒绝来自网络外 部但具有网络内部IP地址的数据包的连接请求。
8
-协议欺骗类ຫໍສະໝຸດ Baidu攻击与防范
2.源路由器欺骗攻击与防范-
一般情况下,信息报从起点到终点走过的路径是 由位于此两点间的路由器决定的,数据包本身只 是知道从哪里出发,到达目的地是哪里,不知道 也不关心沿途经过的具体路径。源路由可以使信 息包的发送者将此信息包经过的路径写在数据包 里,是数据包沿着一个对方不可预料的途径到达 目的主机。仍以上面源IP地址欺骗例子说明如下:
为了达到长期控制目标主机的目的,黑客灾区的管理员权限 之后会立刻在其中建立后门,这样就可以随时登录该主机。 为了避免被目标主机管理员发现,在完成入侵之后需要清楚 其中的系统日志文件、应用程序日志文件和防火墙日志文件 等,清理完毕即可从目标主机中退出。达到全身而退的效果 是经验老到的黑客的基本技能。
9
-2.源路由器欺骗攻击与防范-
主机A享有主机B的某些特权,主机X想冒充主机A 从主机B获得某些服务,主机B的IP 地址为 xxx.xxx.xxx.xxx。
首先,攻击者修改距离X最近的路由器,使得到达 此路由器且包含目的地址xxx.xxx.xxx.xxx的数据包 以主机X的所在的网络为目的地;
第二,在路由器上关闭源路由使用。源路由默 认是被开启的,可以在路由器上用全局配置命 令 no ip source-route来关闭。
11
拒绝服务类的攻击与防范1
拒绝服务攻击,顾名思义,就是攻击者加载过多的服务将被攻击者资 源全部耗尽,使其没有多余的资源来供其他用户使用,从而实现不了 服务。
SYNFlood攻击是典型的拒绝服务攻击。它常常是源IP地址的前奏,也 叫做半开式连接攻击。正常情况下,一次标准的TCP连接,会有一个 三次握手的情况。然而这个SYNFlood在其实现过程中,只有前两个步 骤,当服务方收到请求方的SYN并回送SYN-ACKnowledege Character 确认报文后,请求方由于采用源IP地址欺骗等手段,使得服务方得不 到ACK回应,这样,服务方会在一定时间内处于等待接收请求方ACK 报文的状态,一台服务器可用的TCP连接服务时有限的,如果恶意攻 击方快速连续的发送此类请求,则服务器的系统可用资源、网络可用 带宽将急剧下降,导致无法向用户提供正常的网络服务。
第七章黑客攻击与入侵检测
1
本章导言
知 识 点:
● 黑客定义 ● 黑客攻击 ●入侵检测
难 点:
● 黑客攻击原理与防范 ● 入侵追踪技术 ◆要求
熟练掌握以下内容:
● 熟知黑客攻击手段 ● 熟知入侵检测技术 ● 熟练掌握黑客攻击防范措施
了解以下内容:
●了解入侵检测的分类与工具使用
然后,攻击者X利用IP欺骗向主机B发送源路由 (制定最近的路由器)数据包。当B回送数据包时, 就传送到被更改过的路由器,这就使得入侵者可 以假冒一个主机的名义通过一个特殊的路径来获 得某些被保护的服务和数据。
10
-2.源路由器欺骗攻击与防范
为防范路由器欺骗攻击,一般采用的措施 如下。
第一,配置好网络互联设备——路由器。使得 它能抛弃那些来自外部网络却冒充内部网络来 的报文,这是对付这种攻击的最好的办法。
看不惯他人的某些做法,又不方便当面指责,于是攻击他 的电脑教训一下;
好玩,恶作剧,这是许多人或者学生入侵或破坏的主要原 因,除了有练功的效果外还有探险的感觉;
窃取数据,偷取他人的QQ、网游密码等,然后从事商业 活动;
对某个单位或者组织表示抗议。
5
黑客攻击的一般过程
第一步,收集被攻击方的有关信息。 第二步,建立模拟环境。 第三步,利用适当的工具进行扫描。 第四步,实施攻击。 第五步,清理痕迹。
4
黑客攻击的原因
由于少数高水平的黑客可以随意入侵他人电脑,呗在 被攻击者毫不知情的情况下窃取电脑中的信息后悄悄 退出,于是,很多人对此产生较强的好奇心和学习黑 客技术的欲望,并在了解了黑客攻击技术后不计后果 地进行尝试,给网络造成极大的安全威胁。
黑客常见攻击的理由如下:
想在别人面前炫耀自己的技术,如进入别人电脑修改一下 文件和系统,算是打个招呼,也会让对方对自己更加崇拜;
2
7.1 黑客攻击-
1.什么是黑客
黑客的发展 黑客的分类
网络黑客 计算机朋客 网络骇客
3
-7.1 黑客攻击-
2.黑客常用的攻击方法和防范措施
黑客攻击
黑客攻击的原因 黑客攻击的一般过程
黑客攻击防范措施
协议欺骗类的攻击与防范 拒绝服务类的攻击与防范 网络嗅探攻击与防范 缓冲区溢出攻击与防范 SQL注入式攻击与防范 木马攻击与检查防范