常见的网络攻击与防范.ppt

第五章 常见的网络攻击与防范 网络攻击步骤 预攻击探测 漏洞扫描（综合扫描） 木马攻击 拒绝服务攻击 欺骗攻击 蠕虫病毒攻击 其他攻击 一、网络攻击步骤 网络安全威胁国家基础设施 一、网络攻击步骤 网络中存在的安全威胁 一、网络攻击步骤 典型攻击步骤 一、网络攻击步骤 一、网络攻击步骤 攻击手法 vs. 入侵者技术 二、预攻击探测 预攻击概述 端口扫描基础 操作系统识别 资源扫描与查找 用户和用户组查找 二、预攻击探测 1.预攻击概述 Ping sweep 寻找存活主机 Port scan 寻找存活主机的开放服务（端口） OS fingerprint 操作系统识别 资源和用户信息扫描 网络资源，共享资源，用户名和用户组等 二、预攻击探测 Ping工具 操作系统本身的ping工具 Ping: Packet InterNet Groper 用来判断远程设备可访问性最常用的方法 Ping原理: 发送ICMP Echo消息，等待Echo Reply消息 可以确定网络和外部主机的状态 可以用来调试网络的软件和硬件 每秒发送一个包，显示响应的输出，计算网络来回的时间 最后显示统计结果——丢包率 二、预攻击探测 关于Ping Ping有许多命令行参数，可以改变缺省的行为 可以用来发现一台主机是否active 为什么不能ping成功？ 没有路由，网关设置？ 网卡没有配置正确 增大timeout值 被防火墙阻止 …… “Ping of death” 发送特大ping数据包(65535字节)导致机器崩溃 许多老的操作系统都受影响 二、预攻击探测 Windows平台 Pinger、 Ping Sweep、 WS_Ping ProPack 二、预攻击探测 二、预攻击探测 二、预攻击探测 2.端口扫描基础 开放扫描(Open Scanning) 需要扫描方通过三次握手过程与目标主机建立完整的TCP连接 可靠性高，产生大量审计数据，容易被发现 半开放扫描(Half-Open Scanning) 扫描方不需要打开一个完全的TCP连接 秘密扫描(Stealth Scanning) 不包含标准的TCP三次握手协议的任何部分 隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息 二、预攻击探测 基本的TCP connect()扫描（开放） Reverse-ident扫描（开放） TCP SYN扫描(半开放) IP ID header aka “dump”扫描(半开放) TCP Fin扫描(秘密) TCP XMAS扫描(秘密) TCP ftp proxy扫描(bounce attack) 用IP分片进行SYN/FIN扫描(躲开包过滤防火墙) UDP ICMP端口不可达扫描 UDP recvfrom扫描 二、预攻击探测 二、预攻击探测 开放扫描 TCP connect()扫描 原理 扫描器调用socket的connect()函数发起一个正常的连接 如果端口是打开的，则连接成功 否则，连接失败 优点 简单，不需要特殊的权限 缺点 服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则一定是在扫描 二、预攻击探测 Reverse-ident扫描 Ident协议(RFC1413)使得可以发现任何一个通过TCP连接的进程的所有者的用户名，即使该进程并没有发起该连接 只有在TCP全连接之后才有效 TCP端口113 例如 可以先连接到80端口，然后通过identd来发现服务器是否在root下运行 建议关闭ident服务，或者在防火墙上禁止，除非是为了审计的目的 二、预攻击探测 半开放扫描 TCP SYN扫描 原理 向目标主机的特定端口发送一个SYN包 如果应答包为RST包，则说明该端口是关闭的 否则，会收到一个SYN|ACK包。于是，发送一个RST，停止建立连接 由于连接没有完全建立，所以称为“半开连接扫描” 优点 很少有系统会记录这样的行为 缺点 在UNIX平台上，需要root权限才可以建立这样的SYN数据包 二、预攻击探测 IP ID header aka “dump” 扫描 由Antirez首先使用，并在Bugtraq上公布 原理： 扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描，并通过观察其IP序列号的增长规律获取端口的状态 优点 不直接扫描目标主机也不直接和它进行连接，隐蔽性较好 缺点 对第三方主机的要求较高 二、预攻击探测 秘密扫描 TCP Fin扫描 原理 扫描器发送一个FIN数据包 如果端口关闭的，则远程主机丢弃该包，并送回一个RST包 否则的话，远程主机丢弃该包，不回送 变种，组合其他的标记 优点 不是TCP建立连接的过程，所以比较隐蔽 缺点 与S