网络攻击技术V-2.ppt

网络攻击技术 高平 北京理工大学电子工程系信息对抗技术 gaoping@ 2008 参考书目 教材《信息系统安全与对抗技术实验教程》北京理工大学出版发行，罗森林、高平编著。 书中的源程序代码可以下载。 该书2005年荣获兵工高校系统教材一等奖。 其他可以到图书馆找相关的教材或网络上查找资料。 一、网络攻击的基本要素 1、信息战 在海湾战争和最近的伊拉克战争中，美国大量采用了信息战的手段在未来的局部战争中，信息战或信息威慑将成为非常重要的非常规战手段 信息战的范围不仅仅局限于军事领域，关系国家国计民生的行业（如政府、金融等）也会成为信息战的攻击目标。 2、信息时代威胁的主要要素 3、攻击类别 4、攻击动机 偷取国家机密； 商业竞争行为； 内部员工对单位的不满； 对企业核心机密的企望； 网络接入帐号、信用卡号等金钱利益的诱惑； 利用攻击网络站点而出名； 对网络安全技术的挑战对网络的好奇心。 5、攻击一般过程 6、攻击种类 二、网络攻击实例分析 网络入侵技术趋势：目前，网络入侵技术已经有数百种之多，攻击者并不需要高深的计算机技术，利用网络现成的攻击软件，按照教科书的步骤就可以时时就能够发起各种攻击。 实例攻击的环境介绍 本例当中的入侵发生在一个局域网中， 主机A为入侵者使用的主机，运行Windows 2000操作系统，IP地址为2； 主机B为被入侵主机，同样运行Windows 2000操作系统，IP地址为00。 入侵过程 信息收集 首先，利用扫描软件SSS（Shadow Security Scanner）来获取目标的开放端口信息和漏洞信息 利用漏洞获得对系统访问的权力 安装后门程序 这里入侵者选择安装NetCat作为后门程序。 信息窃取、破坏系统、使网络瘫痪 消除入侵痕迹 入侵者为了防止入侵被发现和逃避入侵所带来的责任，还要消除入侵时留下的各种痕迹，如图所示。 三 扫描器简介 扫描器是一种通过收集系统的信息来自动监测远程或本地主机安全性弱点的程序，通过使用扫描器，可以发现远程服务器的各种TCP端口的分配及提供的服务和他们的软件版本。这就能让黑客或管理员间接的或直观的了解到远程主机所存在的安全问题。 扫描器通过选用远程TCP/IP不同端口的服务，并纪录目标给与的回答，可以搜集到很多关于目标主机的各种有用的信息。 特别强调的是：扫描器仅能帮助黑客发现目标机的某些内在的弱点，帮助攻击者查找目标主机的漏洞。它是网络攻击的第一步。 3-1 常规扫描器技术 1、常规扫描技术 调用connect函数直接连接被扫描端口；无须任何特殊权限；速度较慢，易被记录； 2、高级扫描技术 利用探测数据包的返回信息（例如RST）来进行间接扫描；较为隐蔽，不易被日志记录或防火墙发现。 3-2 扫描器类型 1、ping扫描器 用法： ping+目标IP地址，通过是否收到对方的ICMP echo reply，来识别目标主机或系统是否处于活动状态，如果对方防火墙将ICMP包给屏蔽掉，导致其失效，可以采用ICMP echo Sweep方法，发送一个畸形数据包，迫使对方回答一个ICMP错误数据包，判断目标主机是否在线。 2、操作系统扫描技术 主要探测对方运行的操作系统，方法如下： 获取标识信息，通过二进制文件的收集和分析实现。 ICMP相应分析，通过发送UDP或ICMP的请求报文，然后分析各种ICMP应答来判断目标主机操作系统。 TCP分段相应分析，依靠不同操作系统对特定分段的不同反应来区分，如利用TCP和UDP请求发送到远程目标主机的开放端口，通过接收分析远程主机相应的有用信息，在较短的时延中得到对方的类型及版本。 3、端口扫描器 建立在端口扫描基础之上，支持TCP/IP协议的主机和设备通过开放端口来提供相应服务，其安全漏洞往往通过端口暴露出来。 4、漏洞扫描器 也是建立在端口扫描基础之上，针对某一网络服务，也就是某一特定的端口，其方法如下： 基于漏洞库的匹配检测方法：其关键在于所使用的漏洞库，程序设计者对网络漏洞的分析，设置一套标准的网络系统漏洞库，然后在此基础上构成相应的匹配规则，由扫描器自动进行漏洞扫描共作。 基于插件检测方法：插件用脚本编写，扫描器可以通过它来执行漏洞扫描。 3-3 实验三：端口扫描器设计 （参照教材P169） 方法：利用流式套接字完成设计任务 1、初始化套接字； 2、建立TCP套接字socket; 3、建立要连接对方的地址结构体； 4、循环，利用connect()函数进行连接； 5、如果某端口可以响应，说明开放； 6、如果某端口不可以响应，说明关闭 7、显示端口信息； 8、关闭套接字，退出。 //加载头文件和必须的库文件 #include stdafx.h #include stdio.h #include str