网络攻击行为分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第2章
网络攻击行为分析
《计算机网络与信息安全技术》教学课件 V08.08
1
基本内容
网络信息安全技术与黑客攻击技术都源于同一技术核心, 即网络协议和底层编程技术,不同的是怎么使用这些技术。 很多软件或设备可以为网络管理和安全提供保障,但当 被别有用心的人所利用时,就成了黑客工具,就象刀具, 是基本生活用具,又可成为杀人凶器。我们要做到“知己 知彼”,才能“百战不殆”,对黑客的攻击手段、途径、 方法和工具了解得越多,越有利于保护网络和信息的安全。 在介绍信息安全技术以前,本章先来分析与黑客攻击相 关的知识。
22
Ping of Death:发送长度超过 字节的ICMP Echo :发送长度超过65535字节的 字节的 Request 数据包导致目标机 数据包导致目标机TCP/IP协议栈崩溃,系统死机或重 协议栈崩溃, 协议栈崩溃 启。 Teardrop:发送特别构造的 数据包,导致目标机 :发送特别构造的IP 数据包,导致目标机TCP/IP协 协 议栈崩溃,系统死锁。 议栈崩溃,系统死锁。 Syn flooding:发送大量的 :发送大量的SYN包。 包 Land:发送 相同, :发送TCP SYN包,包的 包 包的SRC/DST IP相同, 相同 SPORT/DPORT相同,导致目标机 相同, 协议栈崩溃, 相同 导致目标机TCP/IP协议栈崩溃,系统死 协议栈崩溃 机或失去响应。 机或失去响应。 Winnuke:发送特别构造的 机器蓝屏。 :发送特别构造的TCP包,使得 包 使得Windows机器蓝屏。 机器蓝屏 Smurf:攻击者冒充服务器向一个网段的广播地址发送 :攻击者冒充服务器向一个网段的广播地址发送ICMP echo包,整个网段的所有系统都向此服务器回应 包 整个网段的所有系统都向此服务器回应icmp reply包。 包
2
刀,是基本生活用具,但又是杀人凶 是基本生活用具,
网络信息安全技术与黑客攻击技术都源于同一技术 网络信息安全技术与黑客攻击技术都源于同一技术 核心,即网络协议和底层编程技术, 核心,即网络协议和底层编程技术,不同的是怎么 使用这些技术。 使用这些技术。 很多软件或设备可以为网络管理和安全提供保障, 很多软件或设备可以为网络管理和安全提供保障, 但当被别有用心的人所利用时,就成了黑客工具。 但当被别有用心的人所利用时,就成了黑客工具。
13
网络入侵技术----漏洞攻击
漏洞攻击:利用软件或系统存在的缺 陷实施攻击。漏洞是指硬件、软件或 漏洞是指硬件、 漏洞是指硬件 策略上存在的的安全缺陷, 策略上存在的的安全缺陷,从而使得 攻击者能够在未授权的情况下访问、 攻击者能够在未授权的情况下访问、 控制系统。 控制系统。 缓冲区溢出漏洞攻击 :通过向程序的 缓冲区写入超过其长度的数据,造成 溢出,从而破坏程序的堆栈,转而执 行其它的指令,达到攻击的目的。 RPC漏洞、SMB漏洞、打印漏洞
23
网络入侵技术----口令攻击
入侵者常常采用下面几种方法获取用户的 密码口令: 密码口令:
弱口令扫描 Sniffer密码嗅探 密码嗅探 暴力破解 社会工程学(即通过欺诈手段获取) 社会工程学(即通过欺诈手段获取) 木马程序或键盘记录程序 。。。。。。
24
破 解 P D F 密 码
25
破 解 O F 密 码
3
2.1 影响信息安全的人员分析
计算机网络系统所面临的威胁大体可分为两 一是针对网络中信息的威胁; 种:一是针对网络中信息的威胁;二是针对 网络中设备的威胁。 网络中设备的威胁。
如果按威胁的对象、性质则可以细分为四类: 如果按威胁的对象、性质则可以细分为四类: 第一类是针对硬件实体设施 第二类是针对软件、 第二类是针对软件、数据和文档资料 第三类是兼对前两者的攻击破坏 第四类是计算机犯罪。 第四类是计算机犯罪。
20
典型的拒绝服务攻击有如下两种形式: 典型的拒绝服务攻击有如下两种形式:资源 耗尽和资源过载。 耗尽和资源过载。 当一个对资源的合理请求大大超过资源的支 付能力时就会造成拒绝服务攻击(例如, 付能力时就会造成拒绝服务攻击(例如,对 已经满载的Web服务器进行过多的请求。) 服务器进行过多的请求。) 已经满载的 服务器进行过多的请求 拒绝服务攻击还有可能是由于软件的弱点或 者对程序的错误配置造成的。 者对程序的错误配置造成的。 区分恶意的拒绝服务攻击和非恶意的服务超 载依赖于请求发起者对资源的请求是否过份, 载依赖于请求发起者对资源的请求是否过份, 从而使得其他的用户无法享用该服务资源。 从而使得其他的用户无法享用该服务资源。
18
在进程的地址空间安排适当的代码 通过适当的初始化寄存器和内存,跳转到以上 代码段执行 利用进程中存在的代码
– –
传递一个适当的参数 如程序中有exec(arg),只要把arg指向“/bin/sh”就 可以了 把指令序列放到缓冲区中 堆、栈、数据段都可以存放攻击代码,最常见的是 利用栈
19
植入法
16
类似函数有strcat、sprintf、vsprintf、gets、 scanf等 一般溢出会造成程序读/写或执行非法内存的数 据,引发segmentation fault异常退出. 如果在一个suid程序中特意构造内容,可以有 目的的执行程序,如/bin/sh,得到root权限。
17
类似函数有strcat、sprintf、vsprintf、gets、 scanf等 一般溢出会造成程序读/写或执行非法内存的数 据,引发segmentation fault异常退出. 如果在一个suid程序中特意构造内容,可以有 目的的执行程序,如/bin/sh,得到root权限。
21
以下的两种情况最容易导致拒绝服务攻击: 以下的两种情况最容易导致拒绝服务攻击:
由于程序员对程序错误的编制,导致系统不停的建立进 由于程序员对程序错误的编制, 程序员对程序错误的编制 最终耗尽资源,只能重新启动机器。 程,最终耗尽资源,只能重新启动机器。不同的系统平 台都会采取某些方法可以防止一些特殊的用户来占用过 多的系统资源, 多的系统资源,我们也建议尽量采用资源管理的方式来 减轻这种安全威胁。 减轻这种安全威胁。 还有一种情况是由磁盘存储空间引起 由磁盘存储空间引起的 还有一种情况是由磁盘存储空间引起的。假如一个用户 有权利存储大量的文件的话,他就有可能只为系统留下 有权利存储大量的文件的话, 很小的空间用来存储日志文件等系统信息。 很小的空间用来存储日志文件等系统信息。这是一种不 良的操作习惯,会给系统带来隐患。 良的操作习惯,会给系统带来隐患。这种情况下应该对 系统配额作出考虑。 系统配额作出考虑。
26
破 解 系 统 密 码
27
网络入侵技术----扫描攻击
一个开放的网络端口就是一条与计算机进行通信的信 道,对网络端口的扫描可以得到目标计算机开放的服 务程序、运行的系统版本信息,从而为下一步的入侵 做好准备。 扫描是采取模拟攻击的形式对目标可能存在的已知安 全漏洞逐项进行检查,利用各种工具在攻击目标的IP 地址或地址段的主机上寻找漏洞。 典型的扫描工具包括安全焦点的X-Scan、小榕的流光 软件,简单的还有IpScan、SuperScan等,商业化的 产品如启明星辰的天镜系统具有更完整的功能 。
4
安全威胁的来源
安全威胁主要来自以下几个方面: 安全威胁主要来自以下几个方面: 不可控制的自然灾害,如地震、 不可控制的自然灾害,如地震、雷击 恶意攻击、违纪、 恶意攻击、违纪、违法和计算机犯罪 人为的无意失误和各种各样的误操作 计算机硬件系统的故障 软件的“后门” 软件的“后门”和漏洞
5
安全威胁的表现形式
伪装 非法连接 非授权访问 拒绝服务 抵赖 信息泄露 业务流分析 改动信息流 篡改或破坏数据 推断或演绎信息 非法篡改程序
6
实施安全威胁的人员
心存不满的员工 软硬件测试人员 技术爱好者 好奇的年青人 黑客( 黑客(Hacker) ) 破坏者( 破坏者(Cracker) ) 以政治或经济利益为目的的间谍
– –
网络入侵技术----拒绝服务攻击
拒绝服务攻击(DoS):通过各种手段来 消耗网络带宽和系统资源,或者攻击系统 缺陷,使系统的正常服务陷于瘫痪状态, 不能对正常用户进行服务,从而实现拒绝 正常用户的服务访问。 分布式拒绝服务攻击:DDoS,攻击规模更 大,危害更严重。 实例:SYN-Flood洪水攻击,Land攻击, Smurf攻击 ,UDP-Flood攻击,WinNuke攻 击(139)等。
12
网络主要攻击手段
网站篡改( 45.91%) 网站篡改(占45.91%) 垃圾邮件( 28.49%) 垃圾邮件(占28.49%) 蠕虫( 6.31%) 蠕虫(占6.31%) 网页恶意代码( 0.51%) 网页恶意代码(占0.51%) 木马( 4.01%) 木马(占4.01%) 网络仿冒( 4.97%) 网络仿冒(占4.97%) 拒绝服务攻击( 0.58%) 拒绝服务攻击(占0.58%) 主机入侵( 1.14%) 主机入侵(占1.14%)
–Codered 利用IIS漏洞 利用 漏洞 –SQL Server Worm 利用 利用SQL Server漏洞 漏洞 –Blaster 利用 利用RPC漏洞 漏洞 –Sasser利用 利用LSASS漏洞 利用 漏洞
15
向缓冲区写入超过缓冲区长度的内容,造成缓冲区溢出, 破坏程序的堆栈,使程序转而执行其他的指令,达到攻 击的目的。 原因:程序中缺少错误检测: void func(char *str) { char buf[16]; strcpy(buf,str); } 如果str的内容多于16个非0字符,就会造成buf的溢出, 使程序出错。
14
缓冲区溢出
Buffer overflow attack 缓冲区溢出攻击
–缓冲区溢出漏洞大量存在于各种软件中 –利用缓冲区溢出的攻击,会导致系统当机,获得系统特权等严 利用缓冲区溢出的攻击,会导致系统当机,
重后果。 重后果。 最近的攻击
最早的攻击1988年UNIX下的 年 下的Morris worm 最早的攻击 下的
Baidu Nhomakorabea
10
2.3 网络攻击的一般步骤
(1)隐藏IP (2)踩点扫描 (3)获得系统或管理员权限 (4)种植后门 (5)在网络中隐身
11
2.4 网络入侵技术
网络主要攻击手段 任何以干扰、 任何以干扰、破坏网络系统为目的的非 授权行为都称之为网络攻击。 授权行为都称之为网络攻击。 网络攻击实际上是针对安全策略的违规 行为、 行为、针对授权的滥用行为与针对正常 行为特征的异常行为的总和。 行为特征的异常行为的总和。
7
互 联 网 上 的 黑 色 产 业 链
8
2.2 网络攻击的层次
网 络 攻 击 的 途 径
针对端口攻击 针对服务攻击 针对第三方软件攻击 DOS攻击 攻击 针对系统攻击 口令攻击 欺骗
9
网络攻击的层次
网 络 攻 击 的 层 次
第一层攻击: 第一层攻击:第一层攻击基于应用层的操作 ,这些攻击的目的只 是为了干扰目标的正常工作。 是为了干扰目标的正常工作。 第二层攻击:第二层攻击指本地用户获得不应获得的文件(或目录 第二层攻击:第二层攻击指本地用户获得不应获得的文件 或目录) 或目录 读权限 。 第三层攻击: 第三层攻击:在第二层的基础上发展成为使用户获得不应获得的 文件(或目录 写权限。 或目录)写权限 文件 或目录 写权限。 第四层攻击: 第四层攻击:第四层攻击主要指外部用户获得访问内部文件的权 利。 第五层攻击:第五层攻击指非授权用户获得特权文件的写权限。 第五层攻击:第五层攻击指非授权用户获得特权文件的写权限。 第六层攻击:第六层攻击指非授权用户获得系统管理员的权限或 第六层攻击: 根权限。 根权限。
28
网络入侵技术----嗅探与协议分析
网络嗅探与协议分析是一种被动的侦察手 段,使用嗅探监听软件,对网络中的数据 进行分析,获取可用的信息。 网络监听可以使用专用的协议分析设备实 现,也可使用Sniffer Pro 4.7、TCPDump等 软件实现。SnifferPro是最常用的嗅探分析 软件,它可以实现数据包捕获、数据包统 计、过滤数据包、数据包解码等功能,功 能解码可以获取很多有用的信息,如用户 名、密码及数据包内容。
网络攻击行为分析
《计算机网络与信息安全技术》教学课件 V08.08
1
基本内容
网络信息安全技术与黑客攻击技术都源于同一技术核心, 即网络协议和底层编程技术,不同的是怎么使用这些技术。 很多软件或设备可以为网络管理和安全提供保障,但当 被别有用心的人所利用时,就成了黑客工具,就象刀具, 是基本生活用具,又可成为杀人凶器。我们要做到“知己 知彼”,才能“百战不殆”,对黑客的攻击手段、途径、 方法和工具了解得越多,越有利于保护网络和信息的安全。 在介绍信息安全技术以前,本章先来分析与黑客攻击相 关的知识。
22
Ping of Death:发送长度超过 字节的ICMP Echo :发送长度超过65535字节的 字节的 Request 数据包导致目标机 数据包导致目标机TCP/IP协议栈崩溃,系统死机或重 协议栈崩溃, 协议栈崩溃 启。 Teardrop:发送特别构造的 数据包,导致目标机 :发送特别构造的IP 数据包,导致目标机TCP/IP协 协 议栈崩溃,系统死锁。 议栈崩溃,系统死锁。 Syn flooding:发送大量的 :发送大量的SYN包。 包 Land:发送 相同, :发送TCP SYN包,包的 包 包的SRC/DST IP相同, 相同 SPORT/DPORT相同,导致目标机 相同, 协议栈崩溃, 相同 导致目标机TCP/IP协议栈崩溃,系统死 协议栈崩溃 机或失去响应。 机或失去响应。 Winnuke:发送特别构造的 机器蓝屏。 :发送特别构造的TCP包,使得 包 使得Windows机器蓝屏。 机器蓝屏 Smurf:攻击者冒充服务器向一个网段的广播地址发送 :攻击者冒充服务器向一个网段的广播地址发送ICMP echo包,整个网段的所有系统都向此服务器回应 包 整个网段的所有系统都向此服务器回应icmp reply包。 包
2
刀,是基本生活用具,但又是杀人凶 是基本生活用具,
网络信息安全技术与黑客攻击技术都源于同一技术 网络信息安全技术与黑客攻击技术都源于同一技术 核心,即网络协议和底层编程技术, 核心,即网络协议和底层编程技术,不同的是怎么 使用这些技术。 使用这些技术。 很多软件或设备可以为网络管理和安全提供保障, 很多软件或设备可以为网络管理和安全提供保障, 但当被别有用心的人所利用时,就成了黑客工具。 但当被别有用心的人所利用时,就成了黑客工具。
13
网络入侵技术----漏洞攻击
漏洞攻击:利用软件或系统存在的缺 陷实施攻击。漏洞是指硬件、软件或 漏洞是指硬件、 漏洞是指硬件 策略上存在的的安全缺陷, 策略上存在的的安全缺陷,从而使得 攻击者能够在未授权的情况下访问、 攻击者能够在未授权的情况下访问、 控制系统。 控制系统。 缓冲区溢出漏洞攻击 :通过向程序的 缓冲区写入超过其长度的数据,造成 溢出,从而破坏程序的堆栈,转而执 行其它的指令,达到攻击的目的。 RPC漏洞、SMB漏洞、打印漏洞
23
网络入侵技术----口令攻击
入侵者常常采用下面几种方法获取用户的 密码口令: 密码口令:
弱口令扫描 Sniffer密码嗅探 密码嗅探 暴力破解 社会工程学(即通过欺诈手段获取) 社会工程学(即通过欺诈手段获取) 木马程序或键盘记录程序 。。。。。。
24
破 解 P D F 密 码
25
破 解 O F 密 码
3
2.1 影响信息安全的人员分析
计算机网络系统所面临的威胁大体可分为两 一是针对网络中信息的威胁; 种:一是针对网络中信息的威胁;二是针对 网络中设备的威胁。 网络中设备的威胁。
如果按威胁的对象、性质则可以细分为四类: 如果按威胁的对象、性质则可以细分为四类: 第一类是针对硬件实体设施 第二类是针对软件、 第二类是针对软件、数据和文档资料 第三类是兼对前两者的攻击破坏 第四类是计算机犯罪。 第四类是计算机犯罪。
20
典型的拒绝服务攻击有如下两种形式: 典型的拒绝服务攻击有如下两种形式:资源 耗尽和资源过载。 耗尽和资源过载。 当一个对资源的合理请求大大超过资源的支 付能力时就会造成拒绝服务攻击(例如, 付能力时就会造成拒绝服务攻击(例如,对 已经满载的Web服务器进行过多的请求。) 服务器进行过多的请求。) 已经满载的 服务器进行过多的请求 拒绝服务攻击还有可能是由于软件的弱点或 者对程序的错误配置造成的。 者对程序的错误配置造成的。 区分恶意的拒绝服务攻击和非恶意的服务超 载依赖于请求发起者对资源的请求是否过份, 载依赖于请求发起者对资源的请求是否过份, 从而使得其他的用户无法享用该服务资源。 从而使得其他的用户无法享用该服务资源。
18
在进程的地址空间安排适当的代码 通过适当的初始化寄存器和内存,跳转到以上 代码段执行 利用进程中存在的代码
– –
传递一个适当的参数 如程序中有exec(arg),只要把arg指向“/bin/sh”就 可以了 把指令序列放到缓冲区中 堆、栈、数据段都可以存放攻击代码,最常见的是 利用栈
19
植入法
16
类似函数有strcat、sprintf、vsprintf、gets、 scanf等 一般溢出会造成程序读/写或执行非法内存的数 据,引发segmentation fault异常退出. 如果在一个suid程序中特意构造内容,可以有 目的的执行程序,如/bin/sh,得到root权限。
17
类似函数有strcat、sprintf、vsprintf、gets、 scanf等 一般溢出会造成程序读/写或执行非法内存的数 据,引发segmentation fault异常退出. 如果在一个suid程序中特意构造内容,可以有 目的的执行程序,如/bin/sh,得到root权限。
21
以下的两种情况最容易导致拒绝服务攻击: 以下的两种情况最容易导致拒绝服务攻击:
由于程序员对程序错误的编制,导致系统不停的建立进 由于程序员对程序错误的编制, 程序员对程序错误的编制 最终耗尽资源,只能重新启动机器。 程,最终耗尽资源,只能重新启动机器。不同的系统平 台都会采取某些方法可以防止一些特殊的用户来占用过 多的系统资源, 多的系统资源,我们也建议尽量采用资源管理的方式来 减轻这种安全威胁。 减轻这种安全威胁。 还有一种情况是由磁盘存储空间引起 由磁盘存储空间引起的 还有一种情况是由磁盘存储空间引起的。假如一个用户 有权利存储大量的文件的话,他就有可能只为系统留下 有权利存储大量的文件的话, 很小的空间用来存储日志文件等系统信息。 很小的空间用来存储日志文件等系统信息。这是一种不 良的操作习惯,会给系统带来隐患。 良的操作习惯,会给系统带来隐患。这种情况下应该对 系统配额作出考虑。 系统配额作出考虑。
26
破 解 系 统 密 码
27
网络入侵技术----扫描攻击
一个开放的网络端口就是一条与计算机进行通信的信 道,对网络端口的扫描可以得到目标计算机开放的服 务程序、运行的系统版本信息,从而为下一步的入侵 做好准备。 扫描是采取模拟攻击的形式对目标可能存在的已知安 全漏洞逐项进行检查,利用各种工具在攻击目标的IP 地址或地址段的主机上寻找漏洞。 典型的扫描工具包括安全焦点的X-Scan、小榕的流光 软件,简单的还有IpScan、SuperScan等,商业化的 产品如启明星辰的天镜系统具有更完整的功能 。
4
安全威胁的来源
安全威胁主要来自以下几个方面: 安全威胁主要来自以下几个方面: 不可控制的自然灾害,如地震、 不可控制的自然灾害,如地震、雷击 恶意攻击、违纪、 恶意攻击、违纪、违法和计算机犯罪 人为的无意失误和各种各样的误操作 计算机硬件系统的故障 软件的“后门” 软件的“后门”和漏洞
5
安全威胁的表现形式
伪装 非法连接 非授权访问 拒绝服务 抵赖 信息泄露 业务流分析 改动信息流 篡改或破坏数据 推断或演绎信息 非法篡改程序
6
实施安全威胁的人员
心存不满的员工 软硬件测试人员 技术爱好者 好奇的年青人 黑客( 黑客(Hacker) ) 破坏者( 破坏者(Cracker) ) 以政治或经济利益为目的的间谍
– –
网络入侵技术----拒绝服务攻击
拒绝服务攻击(DoS):通过各种手段来 消耗网络带宽和系统资源,或者攻击系统 缺陷,使系统的正常服务陷于瘫痪状态, 不能对正常用户进行服务,从而实现拒绝 正常用户的服务访问。 分布式拒绝服务攻击:DDoS,攻击规模更 大,危害更严重。 实例:SYN-Flood洪水攻击,Land攻击, Smurf攻击 ,UDP-Flood攻击,WinNuke攻 击(139)等。
12
网络主要攻击手段
网站篡改( 45.91%) 网站篡改(占45.91%) 垃圾邮件( 28.49%) 垃圾邮件(占28.49%) 蠕虫( 6.31%) 蠕虫(占6.31%) 网页恶意代码( 0.51%) 网页恶意代码(占0.51%) 木马( 4.01%) 木马(占4.01%) 网络仿冒( 4.97%) 网络仿冒(占4.97%) 拒绝服务攻击( 0.58%) 拒绝服务攻击(占0.58%) 主机入侵( 1.14%) 主机入侵(占1.14%)
–Codered 利用IIS漏洞 利用 漏洞 –SQL Server Worm 利用 利用SQL Server漏洞 漏洞 –Blaster 利用 利用RPC漏洞 漏洞 –Sasser利用 利用LSASS漏洞 利用 漏洞
15
向缓冲区写入超过缓冲区长度的内容,造成缓冲区溢出, 破坏程序的堆栈,使程序转而执行其他的指令,达到攻 击的目的。 原因:程序中缺少错误检测: void func(char *str) { char buf[16]; strcpy(buf,str); } 如果str的内容多于16个非0字符,就会造成buf的溢出, 使程序出错。
14
缓冲区溢出
Buffer overflow attack 缓冲区溢出攻击
–缓冲区溢出漏洞大量存在于各种软件中 –利用缓冲区溢出的攻击,会导致系统当机,获得系统特权等严 利用缓冲区溢出的攻击,会导致系统当机,
重后果。 重后果。 最近的攻击
最早的攻击1988年UNIX下的 年 下的Morris worm 最早的攻击 下的
Baidu Nhomakorabea
10
2.3 网络攻击的一般步骤
(1)隐藏IP (2)踩点扫描 (3)获得系统或管理员权限 (4)种植后门 (5)在网络中隐身
11
2.4 网络入侵技术
网络主要攻击手段 任何以干扰、 任何以干扰、破坏网络系统为目的的非 授权行为都称之为网络攻击。 授权行为都称之为网络攻击。 网络攻击实际上是针对安全策略的违规 行为、 行为、针对授权的滥用行为与针对正常 行为特征的异常行为的总和。 行为特征的异常行为的总和。
7
互 联 网 上 的 黑 色 产 业 链
8
2.2 网络攻击的层次
网 络 攻 击 的 途 径
针对端口攻击 针对服务攻击 针对第三方软件攻击 DOS攻击 攻击 针对系统攻击 口令攻击 欺骗
9
网络攻击的层次
网 络 攻 击 的 层 次
第一层攻击: 第一层攻击:第一层攻击基于应用层的操作 ,这些攻击的目的只 是为了干扰目标的正常工作。 是为了干扰目标的正常工作。 第二层攻击:第二层攻击指本地用户获得不应获得的文件(或目录 第二层攻击:第二层攻击指本地用户获得不应获得的文件 或目录) 或目录 读权限 。 第三层攻击: 第三层攻击:在第二层的基础上发展成为使用户获得不应获得的 文件(或目录 写权限。 或目录)写权限 文件 或目录 写权限。 第四层攻击: 第四层攻击:第四层攻击主要指外部用户获得访问内部文件的权 利。 第五层攻击:第五层攻击指非授权用户获得特权文件的写权限。 第五层攻击:第五层攻击指非授权用户获得特权文件的写权限。 第六层攻击:第六层攻击指非授权用户获得系统管理员的权限或 第六层攻击: 根权限。 根权限。
28
网络入侵技术----嗅探与协议分析
网络嗅探与协议分析是一种被动的侦察手 段,使用嗅探监听软件,对网络中的数据 进行分析,获取可用的信息。 网络监听可以使用专用的协议分析设备实 现,也可使用Sniffer Pro 4.7、TCPDump等 软件实现。SnifferPro是最常用的嗅探分析 软件,它可以实现数据包捕获、数据包统 计、过滤数据包、数据包解码等功能,功 能解码可以获取很多有用的信息,如用户 名、密码及数据包内容。