1、网 络 完全 为 人民 网 络 完全 靠 人民 目 录 网络攻击概述 网络攻击技术 网络攻击防御技术 安全操作系统概述 网络攻击概述 The average person is always waiting for an opportunity to come The average person is always waiting for an The average person is always waiting for an opportunity to come The 第01部分 一一、网络黑客网络黑客 概念概念 怀有不良企图,强行闯入远程计算机系统或恶意干扰远程系统完整性,通过非
2、授权的访问权限,盗取数据甚至破坏计算机系统的“入侵者”称为黑客。攻击目的攻击目的 窃取信息;获取口令;控制中间站点;获得超级用户权限等 网 络 攻 击 概 述 实例:实例:1983年,“414黑客”,6名少年黑客被控侵入60多台电脑 1987年,赫尔伯特齐恩(“影子鹰”),闯入没过电话电报公司 1988年,罗伯特莫里斯“蠕虫程序”,造成1500万到1亿美元的经济损失。1990年,“末日军团”,4名黑客中有3人被判有罪。1995年,米特尼克偷窃了2万个信用卡号,8000万美元的巨额损失。1998年2月,德国计算机黑客米克斯特,使用美国七大网站陷于瘫痪状态 网 络 攻 击 概 述 1998年,两名
3、加州少年黑客,以色列少年黑客分析家,查询五角大楼网站并修改了工资报表和人员数据。1999年4月,“CIH”病毒,保守估计全球有6千万部电脑感染。1999年,北京江民KV300杀毒软件,损失260万元。2000年2月,“雅虎”、“电子港湾”、亚马孙、微软网络等美国大型国际互联网网站,损失超过了10亿美元。2000年4月,闯入电子商务网站的威尔斯葛雷,估计导致的损失可能超过300万美元。网 络 攻 击 概 述 二、网络攻击的目标二、网络攻击的目标 目标目标:系统、数据(数据占70%)系统型攻击特点:系统型攻击特点:攻击发生在网络层,破坏系统的可用性,使系统不能正常工作,可能留下明显的攻击痕迹。数据
4、型攻击特点:数据型攻击特点:发生在网络的应用层,面向信息,主要目的是为了篡改和偷取信息,不会留下明显的痕迹。(注:着重加强数据安全,重点解决来自内部的非授权访问和数据的保密工作。)网 络 攻 击 概 述 一一.阻塞类攻阻塞类攻击击 通过强制占有信道资源、网络连接资源及存储空间资源,使服务器崩溃或资源耗尽而无法对外继续提供服务(例如拒绝服务攻击)。常见方法:TCPSYN洪泛攻击、Land攻击、Smurf攻击及电子邮件炸弹等 攻击后果:使目标系统死机;使端口处于停顿状态;在计算机屏幕上发现杂乱信息、改变文件名称、删除关键的程序文件;扭曲系统的资源状态,使系统的处理速度降低。二二.探测类攻探测类攻击
5、击 收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。包括:扫描技术(采用模拟攻击形式对可能存在的安全漏洞进行逐项检查)、体系结构刺探及系统信息服务收集等 网 络 攻 击 概 述 试图获得对目标主机控制权的。常见方法:口令攻击、特洛伊木马、缓冲区溢出攻击 控制类攻击控制类攻击 通过冒充合法网络主机或通过配置、设置一些假信息来骗取敏感信息。常见方法:ARP缓存虚构、DNS告诉缓冲污染及伪造电子邮件等 欺骗类攻击欺骗类攻击 非法用户未经授权通过系统硬件或软件存在的某中形式的安全方面的脆弱性获得访问权或提高其访问权限。漏洞类攻击漏洞类攻击 指对目标主机的各种数据与软件实施破坏的一类攻击。
6、常见方法:计算机病毒、逻辑炸弹 破坏类攻击破坏类攻击 网 络 攻 击 概 述 网络攻击技术 The average person is always waiting for an opportunity to come The average person is always waiting for an The average person is always waiting for an opportunity to come The 第02部分 一一、网络攻击的一般模型概述网络攻击的一般模型概述 网络攻击一般模型:经历四个阶段网络攻击一般模型:经历四个阶段 搜索信息 获取权限 消除痕迹
7、深入攻击 网 络 攻 击 技 术 1 1、搜集信息(攻击的侦查阶段)、搜集信息(攻击的侦查阶段)隐藏地址:寻找“傀儡机”,隐藏真实IP地址。锁定目标:寻找、确定攻击目标。了解目标的网络结构、网络容量、目录及安全状态 搜索系统信息:分析信息,找到弱点攻击。网 络 攻 击 技 术 2 2、获取权限、获取权限 利用探测到的信息分析目标系统存在的弱点和漏洞,选择合适的攻击方式,最终获取访问权限或提升现有访问权限。3 3、消除痕迹、消除痕迹 清除事件日记、隐藏遗留下的文件、更改某些系统设置 4 4、深入攻击、深入攻击 进行信息的窃取或系统的破坏等操作。网 络 攻 击 技 术 二、常用网络攻击的关键技术二
8、、常用网络攻击的关键技术 通过端口扫描可以搜集目标主机的系统服务端口的开放情况,进行判断目标的功能使用情况,一旦入侵成功后将后门设置在高端口或不常用的端口,入侵者通过这些端口可以任意使用系统的资源。1 1、端口扫描技术端口扫描技术 网 络 攻 击 技 术(1 1)常 用 的 端 口 扫 描 技 术常 用 的 端 口 扫 描 技 术 TCP connect()扫描:使用connect(),建立与目标主机端口的连接。若端口正在监听,connect()成功返回;否则说明端口不可访问。任何用户都可以使用connect()。TCP SYN扫描:即半连接扫描。扫描程序发送SYN数据包,若发回的响应是SYN
9、/ACK表明该端口正在被监听,RST响应表明该端口没有被监听。若接收到的是SYN/ACK,则发送RST断开连接。(主机不会记录这样的连接请求,但只有超级用户才能建立这样的SYN数据包)。网 络 攻 击 技 术 TCP FIN扫描:关闭的端口用正确的RST应答发送的对方发送的FIN探测数据包,相反,打开的端口往往忽略这些请求。Fragmentation扫描:将发送的探测数据包分成一组很小的IP包,接收方的包过滤程序难以过滤。UDP recfrom()和write()扫描 ICMP echo扫描:使用ping命令,得到目标主机是否正在运行的信息。TCP反向Ident扫描:FTP返回攻击 UDP I
10、CMP端口不能到达扫描 网 络 攻 击 技 术 定义定义 一种自动检测远程或本地主机安全弱点的程序,可以不留痕迹地发现远程服务器的各种TCP端口的发配及提供的服务。(2 2)扫描器)扫描器 工作原理工作原理 通过选用远程TCP/IP不同的端口服务,记录目标给予的回答。三项功能三项功能 发现一个主机或网络的功能;一旦发现主机,发现什么服务正在运行在主机上的功能;测试这些服务发现漏洞的功能。网 络 攻 击 技 术 1 1 网络监听技术是指截获和复制系统、服务器、路由器或防火墙等网络设备中所有网络通信信息。2 2、网络监听技术、网络监听技术 2 2 网卡接收数据方式:广播方式、组播方式、直接方式、混
11、杂模式 3 3 基本原理:数据包发送给源主机连接在一起的所有主机,但是只有与数据包中包含的目的地址一致的主机才能接收数据包。若主机工作在监听模式下,则可监听或记录下同一网段上的所有数据包。网 络 攻 击 技 术 3 3、网 络 欺 骗 技 术网 络 欺 骗 技 术 定义:是利用TCP/IP协议本身的缺陷对TCP/IP网络进行攻击的技术。IPIP欺骗欺骗:选定目标,发现主机间的信任模式,使目标信任的主机丧失工作能力,TCP序列号的取样和预测,冒充被信任主机进入目标系统,实施破坏并留下后门。ARPARP欺骗欺骗 对路由器ARP表的欺骗:原理是截获网关数据。对局域网内个人计算机的网络欺骗:原理是伪造
12、网关。后果:影响局域网正常运行;泄露用户敏感信息 网 络 攻 击 技 术 密码攻击的方法:密码攻击的方法:(1)通过网络监听非法得到用户密码:采用中途截获的方法获取用户账户和密码。(2)密码穷举破解:在获取用户的账号后使用专门软件强行破解用户密码。(口令猜解、字典攻击、暴力猜解)4 4、密码破解、密码破解技术技术 指通过猜测或其他手段获取合法用户的账号和密码,获得主机或网络的访问权,并能访问到用户能访问的任何资源的技术。网 络 攻 击 技 术 定义:定义:简称DoS技术,是针对TCP/IP协议的缺陷来进行网络攻击的手段。通过向服务器传送大量服务要求,使服务器充斥着这种要求恢复的信息,耗尽网络带
13、宽或系统资源,最终导致网络或系统瘫痪、停止正常工作。5 5、拒绝服务技术、拒绝服务技术 常见攻击模常见攻击模式式:资源消耗型、配置修改型、服务利用型 新型拒绝服务攻击技新型拒绝服务攻击技术术:分布式拒绝服务攻击、分布式反射拒绝服务攻击 网 络 攻 击 技 术 三、常用网络攻击工具三、常用网络攻击工具 端口扫描工具端口扫描工具 网络安全扫描器NSS、安全管理员的网络分析工具SATAN、SuperScan 网络监听工具:网络监听工具:X-Scan、Sniffer、NetXray、t c p d u m p、w i n p c a p 等 密码破解工具密码破解工具 是能将口令解译出来,或者让口令保护
14、失效的程序。拒绝服务攻击工具拒绝服务攻击工具 DoS工具:死亡之ping、Teardrop、TCP SYN洪水、Land、Smurf DDoS工具:TFN、TFN2k、Trinoo、mstream、shaft等 网 络 攻 击 技 术 网络攻击防御技术 The average person is always waiting for an opportunity to come The average person is always waiting for an The average person is always waiting for an opportunity to come T
15、he 第03部分 一、网络攻击的防范策略一、网络攻击的防范策略 提高安全意识:从使用者自身出发,加强使用者的自身素质和网络安全意识。访问控制策略:保证网络安全的最核心策略之一,主要任务是保证网络资源不被非法使用和非法访问。数据加密策略:最有效的技术之一,通过对网内数据、文件、口令和控制信息进行加密从而达到保护网上传输的数据的目的。网络安全管理策略:确定安全管理登记和安全管理范围;指定有关网络操作实验规程和人员管理制度;指定网络系统的维护制度和应急措施。网络攻击防御技术 二二、常见的网络攻击防御方法常见的网络攻击防御方法 1 1、端口扫描的防范方法端口扫描的防范方法 关闭闲置和有潜在危险的端口
16、发现有端口扫描的症状时,立即屏蔽该端口:可使用防火墙实现 网络攻击防御技术 2 2、网 络 监 听 的 防 范 方 法网 络 监 听 的 防 范 方 法 对网络监听攻击采取的防范措施:对网络监听攻击采取的防范措施:网络分段:将IP地址按节点计算机所在网络的规模的大小分段,可以对数据流进行限制。加密:可对数据的重要部分进行加密,也可对应用层加密一次性密码技术划分VLAN:使用虚拟局域网技术,将以太网通信变成点到点的通信。对可能存在的网络监听的检测方法:对可能存在的网络监听的检测方法:用正确的IP地址和错误的物理地址ping可能正在运行监听程序的主机。向网上发送大量不存在的物理地址的包,用于降低主机性能。使用反监听工具进行检测。网络攻击防御技术 3 3、IPIP欺骗的防范方法欺骗的防范方法 进行包过滤进行包过滤:只在内网之间使用信任关系,对于外网主机的连接请求可疑的直接过滤掉。使用加密技术使用加密技术:对信息进行加密传输和验证 抛弃抛弃IPIP信任验证信任验证:放弃以IP地址为基础的验证。网络攻击防御技术 4 4、密码破解的防范方法、密码破解的防范方法 密码不要写下来 不要将密码保存在计算