网络安全之三网络攻击与防范 ppt
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 不要在多个系统中使用相同的口令. – 制定口令的锁定策略. – 不要使用明文口令,在有条件的地方,使用一次 性口令系统. – 制定口令复杂度策略
中间人攻击
Host A 明文数据 Router A Router B
Host B
–中间人攻击的条件:攻击者能够“看到”网络数据报。 –中间人攻击实施
• 网络数据报的嗅探(监听) • 路由和传输协议
–中间人攻击的危害:
• • • • • • 窃取信息 会话劫持 流量分析 DoS 篡改数据 注入信息
中间人攻击防范
中间人攻击只能看到明文信息
IPSec tunnel
Host A Host B
Router A
ISP
Router B
• 有效遏制和消除中间人攻击的方法是加密。
应用层攻击
•应用层攻击的特点:
– 口令攻击 – 应用层攻击
• 部署安全产品
前言
现在网络已经不仅仅是一个时髦的名 词。事实上它已经成为人们生活不可 缺少的一部分。
学习目标
学习完此课程,您将会: – 了解常见网络攻击方式 – 理解网络攻击的原理 – 了解应对网络攻击的措施
目录
第1章 第2章
网络攻击概述 网络攻击原理和防范
内容介绍
第1章 网络攻击概述
第1节 第2节 网络安全威胁 常见攻击类型
Layer 2 攻击
–CAM 表泛洪(CAM table Flood) –ARP/MAC poisoning –ARP 伪装
CAM Table Overflow
AC? AC? Port 2 Port 3 MAC A AC? MAC D MAC B
MAC 伪装
A
Source MAC: A C 3
–不同于旨在获得系统权限, 窃取敏感信息的攻击手段 –易于发起 –最难以消除
DDoS Example
1. 扫描.
客户端系统
4. 黑客控制大量 的代理发起 DDOS攻击.
2. 安装扫描器和攻击代 理器.
僵尸机
3. 在代理上面安装控制端软件.
DDOS攻击防范
•可以通过下列方法来降低DDOS攻击的影响:
数据包片断重叠 (TEARDROP,BONK,NESTEA)
• 这种攻击技术的要点是迫使目标系统的操作系统 去处理彼此重叠的TCP/IP数据包,而这将导致很 多操作系统发生崩溃或者出现资源耗尽。第一个 包的便宜量为0,长度为N,第二个包的偏移量小于 N.
PING FLOOD
• 该攻击在短时间内向目的主机发送大量的PING包, 造成网络阻塞或者系统资源耗尽。
1
B 2
Oh,A is connected to 3
ARP伪装
Internet
A 192.168.0.3 C 1
B
192.168.0.1
2
192.168.0.2
ARP REPLY: I am C
RIP攻击
• 攻击者可以在网络上 利用软件虚拟出一个 RIP路由器,然后发送 假冒错误的路由表, 影响正常的路由表
IP Datagram
Bit 0 1
Version (4) Header Length (4)
Bit 15 Bit 16 Priority &Type of Service (8) Flags (3) Total Length (16)
Bit 31
Identification (16) Time-to-Live (8) Protocol (8)
•对于IP伪装目前还没有有效根治的防范方法,只能 是尽可能的降低这种风险:
–访问控制—这是最为常用的防范手段. –根据RFC 2827进行过滤—在入端口过滤使用内部IP地 址的数据报。 –附加的认证方式,而不依赖IP层的认证:
• 加密认证(推荐)
拒绝服务攻击DoS
•拒绝服务攻击是导致服 务瘫痪的一种攻击手段:
网络扫描和探测
• 利用公开的信息或者扫描手 段,获取网络拓扑等信息。
网络扫描和探测示例
•地址查询
域信息查询
网络扫描和探测示例
Internet
Internet-based intranet
Internet-based extranet
Remote site
Partner site
Traceroute探测网络拓扑
IP伪装
–IP伪装--伪装IP包头 –IP伪装通常发生在需要与可信主机通信的时候。 –常见的IP伪装技术: • 利用可信主机IP进行伪装 • 利用已授权IP进行伪装 –IP伪装的危害: • IP通常用于在一个已经连接的数据通道中,注入有害数据或命令。 • 黑客还可以改变路由表指向伪装地址,然后黑客就可以收到所有 的数据报,在转发出去。
SYN FLOOD
• 该攻击以多个随即的源地址向目的主机发送SYN 初始化请求,而在收到主机的SYN ACK后并不产 生回应,这样,目的主机就 为这些源主机建立了 大量的连接队列,而且由于并没有收到ACK一直 维护这些队列,造成大量资源消耗而不能提供正 常的服务。
SMURF
• 该攻击向一个子网的广播地址发送一个带有特定 请求(如ICMP回应请求)的包,并且讲源地址伪 装成想要攻击的主机地址。子网上的所有主机都 回应广播包请求而象被攻击主机发送包。
– 规模化 – 隐蔽化 – 综合化
• 网络安全的三个特性
– 整体性 – 相对性 – 动态性
Baidu Nhomakorabea
总结
• 网络设备安全属性配置
– – – – IP spoof Sniffer 二层攻击 网络扫描与探测
• 流量的监控与管理
– DDOS
• 加密与认证
– 口令攻击 – 信任域攻击 – 中间人攻击
总结
• 系统加固
• Linux 和UNIX
– NFS – NIS+
Hacker gains access to SystemA
SystemB – Compromised by hacker User = psmith; Pat Smith
Hacker User = psmith; Pat Smithson
信任域攻击的防范
High
Sophistication of hacker tools
Self replicating code
Technical knowledge required
Password guessing
Low
1980
1990
2000
网络安全威胁
• 常见的网络威胁分类:
–无意的 –蓄意的 –外部的 –内部的
SystemA User = psmith; Pat Smith
Hacker blocked
SystemB compromised by a hacker User = psmith; Pat Smith
–防火墙内的主机绝对 不能信任防火墙外部 的主机. –在做信任认证时,不 要过分依赖IP地址
Hacker User = psmith; Pat Smithson
Fragment Offset (13) Header Checksum (16) 20 Bytes
Source IP Address (32) Destination IP Address (32)
Options (0 or 32 if Any)
Upper layer Data
IP Spoofing 防范
Band-based
• 攻击者将一个数据包的源地址和目的地址都设置 为目标主机的地址,然后将该IP包通过IP欺骗的 方式发送给被攻击主机,这种包可以造成被攻击 主机因试图于自己建立链接而陷入死循环,从而 降低了被攻击主机的性能。
Ping of death
• 更具TCP/IP的规定,一个IP包的最大长度为 65536B,这种大包在通过网络的时候 会被分割成 很多小包,到达目的后在组合起来,而我们设法 生成大于65536的IP包,会造成目的主机崩溃
–利用众所周知的漏洞, 例如协议漏洞 (for example, sendmail, HTTP, and FTP) –通常是访问控制策略允许的服务 (例如,可以攻击防火墙 后面的web服务器) –可能永远都不能根除,因为每天都有新的漏洞,安全是动 态的
应用层攻击的防范
•常用降低应用层威胁的方法 –定期查看和分析系统日志. –订阅系统漏洞信息. –安装最新的系统补丁. –必要时,在有条件的地方部署IDS
Router A
Router B
Host B
•数据报嗅探是一种协议分析软件,它利用网卡的混杂模 式来监听网络中的数据报。
–Sniffer可以用于嗅探网络中的明文口令信息:
• • • • Telnet FTP SNMP POP
–数据报嗅探工具必须与监听对象在同一个冲突域里面。
数据报嗅探工具的分类
• 目前,有二种主要的嗅探工具类型
–通用的嗅探器,例如Sniffer Pro,Iris等 –特定嗅探攻击工具,例如Password Sniffer。
示例
示例
数据报嗅探的防范
Host A
Router A
Router B
Host B
• 主要的防范手段 – 认证—使用强认证方式,例如使用一次性口令。 – 反嗅探工具—利用反嗅探工具来发现网络中的嗅探行为。 – 加密—这是最为有效的防范手段。
其他 Layer 2 攻击
–操控SPT协议(Spanning Tree Protocol Manipulation)—利用错误或虚假的BPDU 报文
–DHCP Starvation—利用虚假的MAC地址发送DHCP 请求。 可以在交换机的端口上限制MAC地址数, 来缓解此类攻击的影响。
总结
• 网络攻击的三个特点
–防范IP伪装—在防火墙和路由器是配置防范IP伪 装的策略 –防范DOS功能—在防火墙和路由器是配置防范DOS 的策略 –流量限制
口令攻击
• 常见口令攻击的手 段:
–暴力破解 –木马窃取 –IP伪装 –嗅探
口令攻击的示例
•L0pht Crack •口令破解的常用手段:
–字典攻击 –暴力破解
口令攻击的防范
常见的攻击类型
–数据报嗅探 –IP脆弱性 –口令攻击 –拒绝服务攻击 – “中间人”攻击 –应用层的攻击 –信任机制的利用 –端口重定向 –病毒 –木马 –Layer2 攻击
目录
第1章 网络攻击概述 第2章 网络攻击原理和防范
内容介绍
第1章 网络攻击原理和防范
数据报嗅探(Sniffer)
Host A
网络攻击发展趋势
Packet forging/ spoofing Stealth diagnostics Back doors Exploiting known vulnerabilities Disabling audits Password cracking Sweepers Sniffers Hijacking sessions
网络扫描和探测防范
–目前,不太可能完全消除. –部署访问控制策略 –必要时,部署IDS
Trust Exploitation
– 黑客可以利用信任 域做为攻击的跳板 – 常见信任域
• Windows
– 域 – 活动目录
SystemA User = psmith; Pat Smith
SystemA trusts SystemB SystemB trusts Everyone SystemA trusts Everyone
中间人攻击
Host A 明文数据 Router A Router B
Host B
–中间人攻击的条件:攻击者能够“看到”网络数据报。 –中间人攻击实施
• 网络数据报的嗅探(监听) • 路由和传输协议
–中间人攻击的危害:
• • • • • • 窃取信息 会话劫持 流量分析 DoS 篡改数据 注入信息
中间人攻击防范
中间人攻击只能看到明文信息
IPSec tunnel
Host A Host B
Router A
ISP
Router B
• 有效遏制和消除中间人攻击的方法是加密。
应用层攻击
•应用层攻击的特点:
– 口令攻击 – 应用层攻击
• 部署安全产品
前言
现在网络已经不仅仅是一个时髦的名 词。事实上它已经成为人们生活不可 缺少的一部分。
学习目标
学习完此课程,您将会: – 了解常见网络攻击方式 – 理解网络攻击的原理 – 了解应对网络攻击的措施
目录
第1章 第2章
网络攻击概述 网络攻击原理和防范
内容介绍
第1章 网络攻击概述
第1节 第2节 网络安全威胁 常见攻击类型
Layer 2 攻击
–CAM 表泛洪(CAM table Flood) –ARP/MAC poisoning –ARP 伪装
CAM Table Overflow
AC? AC? Port 2 Port 3 MAC A AC? MAC D MAC B
MAC 伪装
A
Source MAC: A C 3
–不同于旨在获得系统权限, 窃取敏感信息的攻击手段 –易于发起 –最难以消除
DDoS Example
1. 扫描.
客户端系统
4. 黑客控制大量 的代理发起 DDOS攻击.
2. 安装扫描器和攻击代 理器.
僵尸机
3. 在代理上面安装控制端软件.
DDOS攻击防范
•可以通过下列方法来降低DDOS攻击的影响:
数据包片断重叠 (TEARDROP,BONK,NESTEA)
• 这种攻击技术的要点是迫使目标系统的操作系统 去处理彼此重叠的TCP/IP数据包,而这将导致很 多操作系统发生崩溃或者出现资源耗尽。第一个 包的便宜量为0,长度为N,第二个包的偏移量小于 N.
PING FLOOD
• 该攻击在短时间内向目的主机发送大量的PING包, 造成网络阻塞或者系统资源耗尽。
1
B 2
Oh,A is connected to 3
ARP伪装
Internet
A 192.168.0.3 C 1
B
192.168.0.1
2
192.168.0.2
ARP REPLY: I am C
RIP攻击
• 攻击者可以在网络上 利用软件虚拟出一个 RIP路由器,然后发送 假冒错误的路由表, 影响正常的路由表
IP Datagram
Bit 0 1
Version (4) Header Length (4)
Bit 15 Bit 16 Priority &Type of Service (8) Flags (3) Total Length (16)
Bit 31
Identification (16) Time-to-Live (8) Protocol (8)
•对于IP伪装目前还没有有效根治的防范方法,只能 是尽可能的降低这种风险:
–访问控制—这是最为常用的防范手段. –根据RFC 2827进行过滤—在入端口过滤使用内部IP地 址的数据报。 –附加的认证方式,而不依赖IP层的认证:
• 加密认证(推荐)
拒绝服务攻击DoS
•拒绝服务攻击是导致服 务瘫痪的一种攻击手段:
网络扫描和探测
• 利用公开的信息或者扫描手 段,获取网络拓扑等信息。
网络扫描和探测示例
•地址查询
域信息查询
网络扫描和探测示例
Internet
Internet-based intranet
Internet-based extranet
Remote site
Partner site
Traceroute探测网络拓扑
IP伪装
–IP伪装--伪装IP包头 –IP伪装通常发生在需要与可信主机通信的时候。 –常见的IP伪装技术: • 利用可信主机IP进行伪装 • 利用已授权IP进行伪装 –IP伪装的危害: • IP通常用于在一个已经连接的数据通道中,注入有害数据或命令。 • 黑客还可以改变路由表指向伪装地址,然后黑客就可以收到所有 的数据报,在转发出去。
SYN FLOOD
• 该攻击以多个随即的源地址向目的主机发送SYN 初始化请求,而在收到主机的SYN ACK后并不产 生回应,这样,目的主机就 为这些源主机建立了 大量的连接队列,而且由于并没有收到ACK一直 维护这些队列,造成大量资源消耗而不能提供正 常的服务。
SMURF
• 该攻击向一个子网的广播地址发送一个带有特定 请求(如ICMP回应请求)的包,并且讲源地址伪 装成想要攻击的主机地址。子网上的所有主机都 回应广播包请求而象被攻击主机发送包。
– 规模化 – 隐蔽化 – 综合化
• 网络安全的三个特性
– 整体性 – 相对性 – 动态性
Baidu Nhomakorabea
总结
• 网络设备安全属性配置
– – – – IP spoof Sniffer 二层攻击 网络扫描与探测
• 流量的监控与管理
– DDOS
• 加密与认证
– 口令攻击 – 信任域攻击 – 中间人攻击
总结
• 系统加固
• Linux 和UNIX
– NFS – NIS+
Hacker gains access to SystemA
SystemB – Compromised by hacker User = psmith; Pat Smith
Hacker User = psmith; Pat Smithson
信任域攻击的防范
High
Sophistication of hacker tools
Self replicating code
Technical knowledge required
Password guessing
Low
1980
1990
2000
网络安全威胁
• 常见的网络威胁分类:
–无意的 –蓄意的 –外部的 –内部的
SystemA User = psmith; Pat Smith
Hacker blocked
SystemB compromised by a hacker User = psmith; Pat Smith
–防火墙内的主机绝对 不能信任防火墙外部 的主机. –在做信任认证时,不 要过分依赖IP地址
Hacker User = psmith; Pat Smithson
Fragment Offset (13) Header Checksum (16) 20 Bytes
Source IP Address (32) Destination IP Address (32)
Options (0 or 32 if Any)
Upper layer Data
IP Spoofing 防范
Band-based
• 攻击者将一个数据包的源地址和目的地址都设置 为目标主机的地址,然后将该IP包通过IP欺骗的 方式发送给被攻击主机,这种包可以造成被攻击 主机因试图于自己建立链接而陷入死循环,从而 降低了被攻击主机的性能。
Ping of death
• 更具TCP/IP的规定,一个IP包的最大长度为 65536B,这种大包在通过网络的时候 会被分割成 很多小包,到达目的后在组合起来,而我们设法 生成大于65536的IP包,会造成目的主机崩溃
–利用众所周知的漏洞, 例如协议漏洞 (for example, sendmail, HTTP, and FTP) –通常是访问控制策略允许的服务 (例如,可以攻击防火墙 后面的web服务器) –可能永远都不能根除,因为每天都有新的漏洞,安全是动 态的
应用层攻击的防范
•常用降低应用层威胁的方法 –定期查看和分析系统日志. –订阅系统漏洞信息. –安装最新的系统补丁. –必要时,在有条件的地方部署IDS
Router A
Router B
Host B
•数据报嗅探是一种协议分析软件,它利用网卡的混杂模 式来监听网络中的数据报。
–Sniffer可以用于嗅探网络中的明文口令信息:
• • • • Telnet FTP SNMP POP
–数据报嗅探工具必须与监听对象在同一个冲突域里面。
数据报嗅探工具的分类
• 目前,有二种主要的嗅探工具类型
–通用的嗅探器,例如Sniffer Pro,Iris等 –特定嗅探攻击工具,例如Password Sniffer。
示例
示例
数据报嗅探的防范
Host A
Router A
Router B
Host B
• 主要的防范手段 – 认证—使用强认证方式,例如使用一次性口令。 – 反嗅探工具—利用反嗅探工具来发现网络中的嗅探行为。 – 加密—这是最为有效的防范手段。
其他 Layer 2 攻击
–操控SPT协议(Spanning Tree Protocol Manipulation)—利用错误或虚假的BPDU 报文
–DHCP Starvation—利用虚假的MAC地址发送DHCP 请求。 可以在交换机的端口上限制MAC地址数, 来缓解此类攻击的影响。
总结
• 网络攻击的三个特点
–防范IP伪装—在防火墙和路由器是配置防范IP伪 装的策略 –防范DOS功能—在防火墙和路由器是配置防范DOS 的策略 –流量限制
口令攻击
• 常见口令攻击的手 段:
–暴力破解 –木马窃取 –IP伪装 –嗅探
口令攻击的示例
•L0pht Crack •口令破解的常用手段:
–字典攻击 –暴力破解
口令攻击的防范
常见的攻击类型
–数据报嗅探 –IP脆弱性 –口令攻击 –拒绝服务攻击 – “中间人”攻击 –应用层的攻击 –信任机制的利用 –端口重定向 –病毒 –木马 –Layer2 攻击
目录
第1章 网络攻击概述 第2章 网络攻击原理和防范
内容介绍
第1章 网络攻击原理和防范
数据报嗅探(Sniffer)
Host A
网络攻击发展趋势
Packet forging/ spoofing Stealth diagnostics Back doors Exploiting known vulnerabilities Disabling audits Password cracking Sweepers Sniffers Hijacking sessions
网络扫描和探测防范
–目前,不太可能完全消除. –部署访问控制策略 –必要时,部署IDS
Trust Exploitation
– 黑客可以利用信任 域做为攻击的跳板 – 常见信任域
• Windows
– 域 – 活动目录
SystemA User = psmith; Pat Smith
SystemA trusts SystemB SystemB trusts Everyone SystemA trusts Everyone