防火墙等相关网络安全技术要领.ppt

秘密扫描 TCP SYN扫描：向一个端口发送一个SYN，若端口是打开的则接收到SYN|ACK，否则收到RST，很少有操作系统会记录这样的日志，其缺点是攻击者在UNIX环境下须具有root权限。 TCP FIN扫描：向一个端口发送FIN，如果端口是开放的，通常会忽略掉这个包，否则会回复RET。 分片扫描 ：在发送一个扫描数据包时，人为地将数据包分成许多IP分片，这种方法可以绕过某些包过滤程序 。 TCP reverse ident扫描 ：ident协议允许TCP连接得到进程所有者的用户名 。 秘密扫描 FTP跳转攻击 ：如果目标是扫描端口，可以使用port命令，声明的某个端口处于监听状态，如果这个端口的确是打开的，FTP服务器会返回150和226，否则返回错误信息425。 UDP ICMP端口不可到达扫描 ：使用UDP协议，向一个端口发送UDP包。一个打开的UDP端口不会发送任何回应，但如果端口是关闭的，有些系统会返回ICMP_PORT _ UNREACH信息。 口令破解 先用扫描工具（如finger）找出网络中主机上用户帐号，接着采用字典穷举法生成大量的随机密码。 然后，利用这些密码登录用户系统。若密码不对，就使用下一个随机密码，直到密码被查出为止。 另一种方法是利用系统的漏洞获取系统安全帐号文件，采用口令破解器进行破解。 拒绝服务攻击 拒绝服务攻击的类型 错误配置或者软件弱点、协议固有的缺陷或者对协议的实现导致的错误。 利用合理的服务请求来占用过多的服务资源，致使服务超载、系统无法响应其他请求。 典型的拒绝服务攻击 邮件炸弹 ：邮件炸弹会大量消耗服务器硬盘空间，阻塞网络带宽 。 Flood攻击：具有高带宽的计算机通过大量发送TCP、UDP和ICMP Echo Request报文，将低带宽的计算机“淹没”，以降低对方计算机的响应速度。 Smurf攻击：攻击者使用经过欺骗的受害者的IP地址向一个广播地址发送ICMP回响请求（ping）通信。在一个多层访问的广播网络上，这就会造成潜在的数以千计的计算机对每个ping信号做出响应。 系统后门 攻击者在获得系统的root权限以后，千方百计地保持这个权限，这样即使管理员安装了安全补丁程序，攻击者仍然可以轻松地进出系统。 为了达到此目的，一般采用的方式是在系统中安装后门。 缓冲区溢出 攻击者试图在一个不够大的接收器里存储过量的信息就是一次缓冲区溢出（buffer overflow）攻击。 实现这种攻击只要程序的使用者给出的数据超出该程序所能存储的最大值即可。 典型的缓冲区溢出 NetMeeting缓冲区溢出 ：NetMeeting中有一个叫做SpeedDial的工具，当客户在点击它的时候自动连接到一台远程服务器上，它所用到的一个动态连接库可被缓冲区溢出攻击并被执行任意的二进制代码。 Outlook缓冲区溢出 ：Outlook处理电子邮件的方法存在一个漏洞，使得攻击者能够攻克系统并运行受了影响的邮件客户软件版本。攻击者发送一个带有畸形头信息的电子邮件来产生缓冲区溢出。 Linuxconf缓冲区溢出 ：Linuxconf程序不对Web信息进行错误检测，攻击者可以在HTTP头信息中插入过量的信息，从而导致受害计算机缓冲区溢出。 Web攻击 IIS4.0/5.0缓冲区溢出漏洞 ：此缓冲区溢出主要存在.htr、.idc和.stm文件中。 攻击的原理是：后缀名为.asp、.htr、.idc的文件由IIS内部一个叫ISM.DLL的程序来处理，如果文件名过长就会导致程序内部堆栈溢出 。 泄漏源码漏洞 ：IIS4.0包含了一个大而全面的演示站点，称为“Exploration Air”，它使用了很多IIS4.0的Web技术。它在每一个页面的底端都有一个“How It Works”按钮，点击这个按钮可以将页面代码解析成有色标签的脚本。这样就泄漏了源码，IIS的许多漏洞都与泄漏ASP源码有关。 3.6.2 网络入侵检测方法 网络入侵检测方法有异常检测（anomaly detection）和滥用（误用）检测（misuse detection）。 异常检测提取正常模式审计数据的数学特征，检查事件数据中是否存在与之相违背的异常模式。 滥用（误用）检测有哪些信誉好的足球投注网站审计事件数据，查看其中是否存在预先定义的入侵模式。 异常检测 异常检测的特点：通过对系统异常行为的检测，可以发