网络入侵检测与防御
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
死亡之ping(Ping of Death)
Ping程序使用的ICMP协议,而ICMP报文长度是固定 的,64K。早期的很多操作系统在接收ICMP数据报 文时,只开辟64K的缓冲区用于存放接收到的ICMP 报文,并且没有检查接收到ICMP报文的实际长度, 如果ICMP报文的实际长度大于64K,则产生一个缓 冲区溢出错误,导致TCP/IP协议堆栈崩溃。造成主 机的重启动或死机。这就是Ping of Death的原理
结合了功能强大的通过栈指纹来识别 操作系统的众多技术。
拒绝服务攻击
1、定义
拒绝服务攻击(Denial of Service, DoS )攻击是通过向服务器、主机发送 大量的服务请求,用大量的数据包“淹 没”目标主机,迫使目标主机疲于处理 这些垃圾数据,而无法向合法用户提供 正常服务的一种攻击。
拒绝服务攻击的形式
全连接扫描
基本的Tcp connetc()扫描 Reverse-ident扫描(反向ident扫描)
半连接扫描
TCP SYN扫描 IP ID header “dumb scan”
端口扫描类型
秘密扫描
FIN flag ACK flags NULL flags XMAS Tcp fragmenting SYN|ACK flags
项目五 网络入侵检测与防御
内容提要
掌握IDS系统搭建; 掌握拒绝服务攻击、发现、响应和处理; 掌握漏洞利用攻击、发现、响应和处理; 掌握网页攻击、发现、响应和处理;
信息获取
了解将要攻击的环境,需要收集如下信息 系统的一般信息; 系统及服务的管理、配置情况; 系统口令的安全性; 系统提供的服务的安全性,以及系统整
不能建立正常的连接
受害者
常见的拒绝服务攻击技术(SYN Flood)
(问题就出在TCP连接的三次握手中,假设一个用户 向服务器发送了SYN报文后突然死机或掉线,那么服 务器在发出SYN+ACK应答报文后是无法收到客户端 的ACK报文的(第三次握手无法完成),这种情况下 服务器端一般会重试(再次发送SYN+ACK给客户端 )并等待一段时间后丢弃这个未完成的连接,这段 时间的长度我们称为SYN Timeout,一般来说这个时 间是分钟的数量级(大约为30秒-2分钟);
FTP这个缺陷还可以被用来向目标(邮件,新闻)传送匿名 信息。
优点:这种技术可以用来穿透防火墙。 缺点:慢,有些ftp server禁止这种特性。
其他扫描- udp/icmp端口不可到达
利用udp协议 原理
开放的udp端口并不需要返回ack包,而 关闭的端口也不要求返回错误包,所以 可以利用udp包进行扫描非常困难;
常见的拒绝服务攻击技术(Land攻击)
Land攻击原理是利用某些TCP/IP协议栈的三次握手 过程实现中存在缺陷,而进行DoS攻击的。
Land攻击是向目标主机发送一个特殊的SYN包,包 中的源地址和目的地址都是目标主机的地址。目标 主机收到这样的连接请求时会向自己发送SYN/ACK 数据包,结果导致目标主机向自己发回ACK数据包 并创建一个连接,大量的这样数据包使目标主机建 立了很多无效的连接,系统资源被耗尽。
用途,双刃剑
安全管理员可以用来确保自己系统的安全性 黑客用来探查系统的入侵点
端口扫描技术
按端口连接分为: 全连接扫描
需要扫描方通过三次握手过程与目标主机建立完整的tcp连接; 可靠性高,产生大量审计数据,容易被发现。 半连接扫描 扫描方不需要打开一个完全的tcp连接,即扫描主机和目标主机的
有些协议栈实现的时候,对于关闭的udp 端口,会返回一个ICMP Port Unreach错 误。
其他扫描- udp/icmp端口不可到达
缺点
速度慢,而且udp包和ICMP包都不是可 靠的
需要root权限,才能读取ICMP Port Unreach消息。
扫描工具Nmap
作者为Fyodor,技术上,是最先进的 扫描技术大集成;
一个指定端口建立连接时只完成了前两次握手,在第三次时,扫 描主机中断了本次连接,使连接没有完全建立起来。 秘密扫描(Stealth Scanning) 不包含标准的tcp三次握手协议的任何部分; 隐蔽性好,但这种扫描使用的数据包在通过网络时容易被丢弃从 而产生错误的探测信息。
其他扫描
端口扫描类型
体的安全性能。
信息获取
攻击获取信息的主要方法有 使用口令攻击; 对系统进行端口扫描。
信息获取:扫描技术
原理:向目标主机的TCP/IP服务端口发 送探测数据包,并记录目标主机的响应
基于tcp/ip协议,对各种网络服务,无论 是主机或防火墙、路由器都适用。
扫描可以确认各种配置的正确性,避免 遭受不必要的攻击。
其他扫描
UDP/ICMP error FTP bounce
其他扫描---ftp 反弹攻击
FTP bounce attack 原理
用port命令让ftp server与目标主机建立连接,而且目标主 机的端口可以指定;
如果端口打开,则可以传输;否则,返回”425 can’t build data connection:connection refused.”
死亡之ping(Ping of Death)
Ping程序使用的ICMP协议,而ICMP报文长度是固定 的,64K。早期的很多操作系统在接收ICMP数据报 文时,只开辟64K的缓冲区用于存放接收到的ICMP 报文,并且没有检查接收到ICMP报文的实际长度, 如果ICMP报文的实际长度大于64K,则产生一个缓 冲区溢出错误,导致TCP/IP协议堆栈崩溃。造成主 机的重启动或死机。这就是Ping of Death的原理
粗略来看,分为三种形式
1、消耗资源 网络带宽、cpu执行时间
2、畸形的数据包 使应用程序出错或操作系统出错
3、破坏物理网络
Hale Waihona Puke Baidu
常见的拒绝服务攻击技术(SYN Flood)
就是让 你白等
SYN Timeout 30秒-2分钟
伪造地址进行SYN请求
为何还 没回应
SYN (我可以连接吗?)
攻击者
ACK (可以)/SYN(请确认! )