网络攻击检测和防御(一).ppt

网络攻击和网络安全 攻击原理、检测和防御 网络、攻击和安全 对网络的攻击和网络本身几乎是同时产生的。 网络攻击和网络安全是矛和盾的关系。 越开放的网络，应用越广泛，越容易受到攻击，没有不会被攻击的网络；任何攻击都可以被拦截，攻击的时效性。 网络攻击要想成功会越来越困难，但是也没有绝对的安全，网络攻击和网络安全共同促进网络技术的进步。 网络攻击和安全的层次性 攻击物理层 电气安全/电磁安全/防卫安全/ 远程灾难备份 攻击链路层 连接安全/介质安全 攻击网络层 协议安全/设备安全 攻击传输层 认证和授权/访问控制安全 攻击表示层 编码安全 攻击应用层 应用安全/数据安全 攻击操作系统 操作系统安全 攻击数据库 数据库安全 社会工程攻击 管理安全 我们关心的网络攻击 和数据传输有关的技术层面的网络攻击 1：针对网络设备本身的攻击： 保证设备本身的安全性，健壮性； 设备本身正确实现算法协议； 2：设备承载的服务安全性 用户认证、加密等； 3：用户的需求推动 IDS (Intrusion Detection System)入侵检测系统； 网络攻击会破坏网络设备，干扰网络服务，对运营商和用户造成损失。抗攻击的网络设备。 攻击是异常的子集 从技术层面分析，网络攻击是网络异常测试的子集， 通过网络攻击可以有效验证： 1：协议本身的功能完备性、是否有漏洞 2：设备实现协议的完备性 3：设备的性能 当网上发生攻击时，不同厂商设备的表现。 在实验室里对网络设备进行攻击测试。 网络攻击和安全的分类学 网络攻击和网络安全是一门实践科学。 研究分类标准和分类方法是一切科学研究的基础。 下面我们对历史上一些有名的网络攻击进行分类， 介绍网络攻击的原理、手段、检测和防御方法。 网络攻击的7要素(5WEH) Who 攻击者是谁 When 攻击发起的时间 Where 在何地发起攻击 Why 为什么要攻击网络 What 攻击的网络部位 Effect 攻击的危害 How 怎样攻击 简化的网络模型 说明 Who / When / Where / Why 关系 黑客攻击 / 网络病毒 / DDoS攻击 (What)攻击什么部位 (Effect)攻击的危害程度分类 1:控制或操纵 （完全控制受害者） 2:篡改或窃取 （利己） 3:阻塞或破坏 （损人） 4:分析或监听 （无法知道，危害性无法界定） 1、2的攻击，出于利己利益最大化考虑，攻击者总是不希望被人察觉到。 4的攻击，防范方法是进行信息加密，让窃听者在一定时间内无法理解窃听到的信息。 (HOW)怎样攻击、攻击手段 我们重点关注下面两种技术攻击方法： 1:利用协议栈本身或协议栈实现的漏洞发动的攻击 2:耗尽网络资源的DoS攻击 我们在这里，不讲解黑客攻击武器使用工具发动攻击，只是介绍一些攻击的方法、原理和相应的防御 (攻击的准备)扫描窥探 潜在攻击：了解网络的拓扑，寻找潜在的受害者。 具备攻击的动机 与 实施具体攻击行为的界定。 利用ping扫射（包括ICMP和TCP）寻找受害者，利用TCP和UCP端口扫描，检测出受害者的操作系统和潜在服务以及潜在的安全漏洞，为进一步侵入系统做准备。 (地址扫描) IP Scan 用来确定目标网络中存在哪些IP地址标识的设备。 1：使用ping探测目标地址，有回应表示IP地址存在。 2：使用pingWar自动大规模进行扫描。 3：使用tcpPing利用TCP报文对某个IP地址发起TCP连接，判断是否有应答报文来进行扫描。 也可以使用udp报文进行IP地址扫描。 IP扫描工具 (端口扫描) Port Scan Port Scan黑客工具 (TCP/UDP嗅探) Sniffer xSniffer黑客工具 (路由跟踪)Tracert 很多系统都提供Tracert应用。 工作原理：它发送TTL为1、2、3…等系列包，利用路由器收到TTL=0时返回ICMP超时报文来发现报文到达目的地所经过的路径。 它被用来窥探网络的结构。 IP源站选路 IP路由记录 攻击网络协议栈 当网络协议栈本身有缺陷，或者设备实现网络协议栈的方法有缺陷时，可能会导致系统异常。 当这种缺陷比较严重时，攻击者发送几个异常包，就能让设备死机、重启甚至获得设备控制权。 良好的设计，充分的测试可以使设备对这种形式的攻击具有良好的抵抗力。 (协议栈攻击)Ping of Death