网络安全实训-高级攻击.ppt

网络安全实训—— 高级攻击 学习目标 掌握常见高级攻击方式原理 熟悉常见高级攻击的防范措施 清楚病毒、木马、间谍软件各自的特点 掌握针对网站的常用攻击方法及防范措施 1 欺骗和中间人攻击 网络欺骗主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗等。 中间人攻击是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，实质上两台主机是通过中间这台主机来交换信息的，这台计算机就称为“中间人”，而两端主机却毫无察觉。 ARP欺骗 利用ARP列表生成机制的漏洞来进行全网络嗅探和攻击的技术 利用ARP欺骗的木马或病毒 ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。 (1) ARP的工作原理 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。 在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。 所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 (2) ARP的攻击原理 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 (3) 防范ARP 在客户端使用arp命令绑定网关的真实MAC地址命令如下： 先清除错误的ARP表 C:\arp d * 静态指定网关的MAC地址 c:\arp -s 00-50-56-C0-00-01 在交换机上做端口与MAC地址的静态绑定。 在路由器上做IP地址与MAC地址的静态绑定。 使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。 提高用户的安全意识，养成良好的安全习惯，包括：及时安装系统补丁程序；为系统设置强壮的密码；安装防火墙；安装有效的杀毒软件并及时升级病毒库；不主动进行网络攻击，不随便运行不受信任的软件。 中间人攻击示意图 2 嗅探攻击 嗅探器(sniffer) 是利用计算机网络接口截获本不应该接收数据报文的一种技术，也可以将网络中所有经过本物理网卡的所有流量全都截取下来。 嗅探攻击的威胁在于攻击者能够分析出所有以明文传输的信息，包括： 明文传送的用户口令 明文传送的专用或机密的信息 可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限 可以用来分析网络结构，进行网络渗透。?? 嗅探攻击实例 试验 1:使用sniffer pro进行监听并解析IPv4协议头部信息。 POP和SMTP FTP TELNET 3 TCP会话劫持 会话劫持（Session Hijack）是一种结合了嗅探以及欺骗技术在内的攻击手段。 主要有两种类型： 中间人攻击(Man In The Middle，简称MITM) 注射式攻击(Injection )，它不会改变会话双方的通讯流，而是在双方正常的通讯流插入恶意数据。可分为两种：被动劫持：在后台监视双方会话的数据流，丛中获得敏感数据 主动劫持：由攻击者取代并接管会话。这种攻击方法危害非常大，攻击者可以做很多事情。 经典的会话劫持工具 TTYwatch HUNT 会话劫持示意图 会话劫持的危害及防范 会话劫持攻击使攻击者避开了被攻击主机对访问者的身份验证和安全认证，从而使攻击者直接进入对被攻击主机的访问状态，因此对系统安全构成的威胁比较严重。 防范这类攻击的最佳办法是使用加密协议传输数据 。 4 计算机病毒 计算机病毒的定义： 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 计算机病毒的特点 计算机病毒首先是一段可执行的程序 计算机病毒的传染性 计算机病毒的潜伏性 计算机病毒的可触发性 计算机病毒的破坏性 计算机病毒的针对性 计算机病毒的衍生性 计算机病毒的类型 磁盘引导区传染的计算机病毒 操作系统传染的计算机病毒 应用程序传染的计算机病毒 预防计算机病毒 安装防病毒软件，并且及时升级。 安全使用互联网，不要随意点击、下载和运行各种