常见的网络攻击与防范PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
✓没有路由,网关设置? ✓网卡没有配置正确 ✓增大timeout值 ✓被防火墙阻止 ✓……
“Ping of death”
✓发送特大ping数据包(>65535字节)导致机器崩溃 ✓许多老的操作系统都受影响
11
二、预攻击探测
Windows平台
Pinger、 Ping Sweep、 WS_Ping ProPack
第五章 常见的网络攻击与防范
➢网络攻击步骤 ➢预攻击探测 ➢漏洞扫描(综合扫描)
➢拒绝服务攻击 ➢欺骗攻击 ➢蠕虫病毒攻击 ➢其他攻击
1
整体 概述
一 请在这里输入您的主要叙述内容
二
请在这里输入您的主要 叙述内容
三 请在这里输入您的主要叙述内容
2
一、网络攻击步骤
➢网络安全威胁国家基础设施
控制
广播
通讯
开放扫描(Open Scanning)
✓需要扫描方通过三次握手过程与目标主机建立完整的 TCP连接 ✓可靠性高,产生大量审计数据,容易被发现
半开放扫描(Half-Open Scanning)
✓扫描方不需要打开一个完全的TCP连接
秘密扫描(Stealth Scanning)
✓不包含标准的TCP三次握手协议的任何部分 ✓隐蔽性好,但这种扫描使用的数据包在通过网络时容易 被丢弃从而产生错误的探测信息
消除痕迹
www 攻击 自动探测扫描
后门
GUI远程控制
破坏审计系统
检测网络管理
会话劫持 控制台入侵
利用已知的漏洞
低
破解密码
可自动复制的代码 密码猜测
入侵者技术
1980
1985
1990
1995
2000
7
二、预攻击探测
➢预攻击概述 ➢端口扫描基础 ➢操作系统识别 ➢资源扫描与查找 ➢用户和用户组查找
8
二、预攻击探测
驻留 (Persist)
➢Mail 附件
➢Buffer Overflows
➢ActiveX Controls ➢网络安装 ➢压缩信息(文件) ➢后门(Backdoors)
➢创建新文件 ➢修改现有文件 ➢注册表设置 ➢安装新服务 ➢注册Trap Doors
传播 (Propagate)
➢攻击的Mail 拷贝 ➢Web连接 ➢IRC ➢FTP ➢感染文件共享
(X M A S ) tcp frag m e n tin g
sw eeps TC P echo U D P echo TCP ACK TCP SYN IC M P ech o
m isc.
U D P /IC M P erro r
FTP bounce
S Y N |A C K fla g s
端口扫描分类图
因特网
信息对抗的威胁在增加 电力 交通
医疗
工业 金融
3
一、网络攻击步骤
➢网络中存在的安全威胁
特洛伊木马
黑客攻击
后门、隐蔽通道 计算机病毒
信息丢失、 篡改、销毁
网络
逻辑炸弹
蠕虫
拒绝服务攻击 内部、外部泄密 4
一、网络攻击步骤
➢典型攻击步骤
预攻击探测
收集信息,如OS类型,提供的服务端口
发现漏洞,采取攻击行为
17
二、预攻击探测
➢开放扫描
TCP connect()扫描
原理 ✓扫描器调用socket的connect()函数发起一个正常的连接 如果端口是打开的,则连接成功 否则,连接失败
优点 ✓简单,不需要特殊的权限
缺点 ✓服务器可以记录下客户的连接行为,如果同一个客户轮 流对每一个端口发起连接,则一定是在扫描
图:Pinger工具
12
二、预攻击探测
图:Ping Sweep
13
二、预攻击探测
Ping工具都是通过ICMP协议来发送数据包,那么 针对这种扫描的预防措施是:
使用可以检测并记录ICMP扫描的工具 使用入侵检测系统 在防火墙或路由器中设置允许进出自己网络的 ICMP分组类型
14
二、预攻击探测
2.端口扫描基础
16
二、预攻击探测
P ort scan type
open scan TC P connect reverse id en t
h a lf-o p en
S Y N fla g
IP ID h ead er "dum b scan"
stea lth
F IN flag
A C K fla g s
N U L L flag s A L L flag s
1.预攻பைடு நூலகம்概述
Ping sweep 寻找存活主机
Port scan 寻找存活主机的开放服务(端口)
OS fingerprint 操作系统识别
资源和用户信息扫描 网络资源,共享资源,用户名和用户组等
9
二、预攻击探测
➢Ping工具
操作系统本身的ping工具
Ping: Packet InterNet Groper
18
二、预攻击探测
用来判断远程设备可访问性最常用的方法
Ping原理:
发送ICMP Echo消息,等待Echo Reply消息 可以确定网络和外部主机的状态 可以用来调试网络的软件和硬件
每秒发送一个包,显示响应的输出,计算网络来回的时间 最后显示统计结果——丢包率
10
二、预攻击探测
关于Ping
Ping有许多命令行参数,可以改变缺省的行为 可以用来发现一台主机是否active 为什么不能ping成功?
瘫痪 (Paralyze)
➢删除文件 ➢修改文件 ➢产生安全后门 ➢Crash Computer ➢DoS ➢机密信息窃取
防火墙,入侵监测,防病毒, 漏洞扫描,安全意识等
典型攻击步骤图解
6
一、网络攻击步骤
➢攻击手法 vs. 入侵者技术
高
半开隐蔽扫描 攻击手法与工具
IP欺骗
拒绝服务
嗅探
DDOS 攻击
破解口令文件,或利用缓存溢出漏洞
获得攻击目标的控制权系统
获得系统帐号权限,并提升为root权限
安装系统后门
方便以后使用
继续渗透网络,直至获取机密数据
以此主机为跳板,寻找其它主机的漏洞
消灭踪迹
5
一、网络攻击步骤
探测 (Probe)
➢Ping地址 ➢端口扫描 ➢口令猜测 ➢Mail 用户猜测
渗透 (Penetrate)
15
二、预攻击探测
基本的TCP connect()扫描(开放) Reverse-ident扫描(开放) TCP SYN扫描(半开放) IP ID header aka “dump”扫描(半开放) TCP Fin扫描(秘密) TCP XMAS扫描(秘密) TCP ftp proxy扫描(bounce attack) 用IP分片进行SYN/FIN扫描(躲开包过滤防火墙) UDP ICMP端口不可达扫描 UDP recvfrom扫描
“Ping of death”
✓发送特大ping数据包(>65535字节)导致机器崩溃 ✓许多老的操作系统都受影响
11
二、预攻击探测
Windows平台
Pinger、 Ping Sweep、 WS_Ping ProPack
第五章 常见的网络攻击与防范
➢网络攻击步骤 ➢预攻击探测 ➢漏洞扫描(综合扫描)
➢拒绝服务攻击 ➢欺骗攻击 ➢蠕虫病毒攻击 ➢其他攻击
1
整体 概述
一 请在这里输入您的主要叙述内容
二
请在这里输入您的主要 叙述内容
三 请在这里输入您的主要叙述内容
2
一、网络攻击步骤
➢网络安全威胁国家基础设施
控制
广播
通讯
开放扫描(Open Scanning)
✓需要扫描方通过三次握手过程与目标主机建立完整的 TCP连接 ✓可靠性高,产生大量审计数据,容易被发现
半开放扫描(Half-Open Scanning)
✓扫描方不需要打开一个完全的TCP连接
秘密扫描(Stealth Scanning)
✓不包含标准的TCP三次握手协议的任何部分 ✓隐蔽性好,但这种扫描使用的数据包在通过网络时容易 被丢弃从而产生错误的探测信息
消除痕迹
www 攻击 自动探测扫描
后门
GUI远程控制
破坏审计系统
检测网络管理
会话劫持 控制台入侵
利用已知的漏洞
低
破解密码
可自动复制的代码 密码猜测
入侵者技术
1980
1985
1990
1995
2000
7
二、预攻击探测
➢预攻击概述 ➢端口扫描基础 ➢操作系统识别 ➢资源扫描与查找 ➢用户和用户组查找
8
二、预攻击探测
驻留 (Persist)
➢Mail 附件
➢Buffer Overflows
➢ActiveX Controls ➢网络安装 ➢压缩信息(文件) ➢后门(Backdoors)
➢创建新文件 ➢修改现有文件 ➢注册表设置 ➢安装新服务 ➢注册Trap Doors
传播 (Propagate)
➢攻击的Mail 拷贝 ➢Web连接 ➢IRC ➢FTP ➢感染文件共享
(X M A S ) tcp frag m e n tin g
sw eeps TC P echo U D P echo TCP ACK TCP SYN IC M P ech o
m isc.
U D P /IC M P erro r
FTP bounce
S Y N |A C K fla g s
端口扫描分类图
因特网
信息对抗的威胁在增加 电力 交通
医疗
工业 金融
3
一、网络攻击步骤
➢网络中存在的安全威胁
特洛伊木马
黑客攻击
后门、隐蔽通道 计算机病毒
信息丢失、 篡改、销毁
网络
逻辑炸弹
蠕虫
拒绝服务攻击 内部、外部泄密 4
一、网络攻击步骤
➢典型攻击步骤
预攻击探测
收集信息,如OS类型,提供的服务端口
发现漏洞,采取攻击行为
17
二、预攻击探测
➢开放扫描
TCP connect()扫描
原理 ✓扫描器调用socket的connect()函数发起一个正常的连接 如果端口是打开的,则连接成功 否则,连接失败
优点 ✓简单,不需要特殊的权限
缺点 ✓服务器可以记录下客户的连接行为,如果同一个客户轮 流对每一个端口发起连接,则一定是在扫描
图:Pinger工具
12
二、预攻击探测
图:Ping Sweep
13
二、预攻击探测
Ping工具都是通过ICMP协议来发送数据包,那么 针对这种扫描的预防措施是:
使用可以检测并记录ICMP扫描的工具 使用入侵检测系统 在防火墙或路由器中设置允许进出自己网络的 ICMP分组类型
14
二、预攻击探测
2.端口扫描基础
16
二、预攻击探测
P ort scan type
open scan TC P connect reverse id en t
h a lf-o p en
S Y N fla g
IP ID h ead er "dum b scan"
stea lth
F IN flag
A C K fla g s
N U L L flag s A L L flag s
1.预攻பைடு நூலகம்概述
Ping sweep 寻找存活主机
Port scan 寻找存活主机的开放服务(端口)
OS fingerprint 操作系统识别
资源和用户信息扫描 网络资源,共享资源,用户名和用户组等
9
二、预攻击探测
➢Ping工具
操作系统本身的ping工具
Ping: Packet InterNet Groper
18
二、预攻击探测
用来判断远程设备可访问性最常用的方法
Ping原理:
发送ICMP Echo消息,等待Echo Reply消息 可以确定网络和外部主机的状态 可以用来调试网络的软件和硬件
每秒发送一个包,显示响应的输出,计算网络来回的时间 最后显示统计结果——丢包率
10
二、预攻击探测
关于Ping
Ping有许多命令行参数,可以改变缺省的行为 可以用来发现一台主机是否active 为什么不能ping成功?
瘫痪 (Paralyze)
➢删除文件 ➢修改文件 ➢产生安全后门 ➢Crash Computer ➢DoS ➢机密信息窃取
防火墙,入侵监测,防病毒, 漏洞扫描,安全意识等
典型攻击步骤图解
6
一、网络攻击步骤
➢攻击手法 vs. 入侵者技术
高
半开隐蔽扫描 攻击手法与工具
IP欺骗
拒绝服务
嗅探
DDOS 攻击
破解口令文件,或利用缓存溢出漏洞
获得攻击目标的控制权系统
获得系统帐号权限,并提升为root权限
安装系统后门
方便以后使用
继续渗透网络,直至获取机密数据
以此主机为跳板,寻找其它主机的漏洞
消灭踪迹
5
一、网络攻击步骤
探测 (Probe)
➢Ping地址 ➢端口扫描 ➢口令猜测 ➢Mail 用户猜测
渗透 (Penetrate)
15
二、预攻击探测
基本的TCP connect()扫描(开放) Reverse-ident扫描(开放) TCP SYN扫描(半开放) IP ID header aka “dump”扫描(半开放) TCP Fin扫描(秘密) TCP XMAS扫描(秘密) TCP ftp proxy扫描(bounce attack) 用IP分片进行SYN/FIN扫描(躲开包过滤防火墙) UDP ICMP端口不可达扫描 UDP recvfrom扫描