第5章 网络攻击技术分析.ppt

2005-4-7 课件制作人：彭新光 第5章 网络攻击技术分析 5.1 网络信息采集 5.2 拒绝服务攻击 5.3 漏洞攻击 5.4 本章知识点小结 第五章网络攻击技术分析 概 述 网络攻击是网络安全所要应对的主要问题，了解网络攻击技术和机理，才能实现有效的、有针对性的防护。 按照攻击目的，可将攻击分为破坏型和入侵型两种类型。 破坏型攻击以破坏目标为目的，但攻击者不能随意控制目标的系统资源。例如5.2节所讲的DoS 入侵型攻击以控制目标为目的，比破坏型攻击威胁更大，常见的攻击类型多为入侵型攻击。例如5.3节讲的漏洞攻击 攻击工作流程 主要工作流程是：收集情报，远程攻击，远程登录，取得普通用户权限，取得超级用户权限，留下后门，清除日志等。 网络攻击技术的主要内容包括：网络信息采集、漏洞扫描、端口扫描及各种基于网络漏洞的攻击技术。 攻击者首先侦察目标网络获取网络信息，分析网络拓扑结构、服务类型、目标主机的系统信息、端口开放程度等；针对获得的网络信息，试探已知的配置漏洞、协议漏洞和程序漏洞，试图发现目标网络中存在的突破口；攻击者通过编制攻击脚本最终实施攻击。 5.1 网络信息采集 5.1.1 常用信息采集命令 5.1.2 漏洞扫描 5.1.3 端口扫描 5.1.4 网络窃听 5.1.5 典型信息采集工具 概 述 入侵者一般首先通过网络扫描技术进行网络信息采集，获取网络拓扑结构、发现网络漏洞、探查主机基本情况和端口开放程度，为实施攻击提供必要的信息。 网络信息采集有多种途径，既可以使用诸如ping、whois等网络测试命令实现，也可以通过漏洞扫描、端口扫描和网络窃听工具实现。 5.1.1 常用信息采集命令 1.Ping命令 2.host命令 3.Traceroute命令 4. Nbtstat命令 5.Net命令 6. Finger命令 7.Whois命令 8.Nslookup命令 1.Ping命令 Ping（packet internet groper）命令用于确定本地主机是否能与远程主机交换数据包，通过向目标主机发送ICMP(internet control message protocol，Internet控制报文协议)回应请求来测试目标的可达性。 使用ping命令能够察看网络中有哪些主机接入Internet；测试目标主机的计算机名和IP地址；计算到达目标网络所经过的路由数；获得该网段的网络拓扑信息。 例 ping局域网内主机名为abc的目标主机(1) C:\ping abc #输入命令和主机名 pinging abc [23]with 32 bytes of data: #向主机23发送32字节数据包 Reply from 23: bytes=32 time10ms TTL=128 #接收到32字节、用时小于10 ms Reply from 23: bytes=32 time10ms TTL=128 Reply from 23: bytes=32 time10ms TTL=128 例 ping局域网内主机名为abc的目标主机(2) Reply from 23: bytes=32 time10ms TTL=128 ping statistics for 23: #有关该IP地址的ping测试统计信息 Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), #发送4个包、接收4个包、丢失0个包 Approximate round trip times in milli-seconds: #近似往返时间ms Minimum = 0ms, Maximum = 0ms, Average = 0ms #用时最短0ms，最长0ms，平均0ms 推算数据包通过的路由器数 由于数据包每通过一个路由器其TTL值减1，故路由器数等于本地TTL初值减去返回TTL值。 本地TTL初值必定为2的整数次幂，且大于或等于返回TTL值，所以，TTL初值应是一个与返回TTL值最接近的2的整数次幂。 例如，返回TTL值为119，可以推算出TTL初值为128，源地址到目标地址要通过128-119=9个路由器。 2.host命令 host命令是Linux、Unix系统提供的有关Internet域名查询的命令。 可以从域中的DNS(domain name server，域名服务器)服务器获得所在域内主机的相关资料，实现主机名到IP地址的映射，得知域中邮件服务器的信息。 例 对的host查询（1） host -l -v -t any #列出域中相关主机的信息 其部分查询结果如下： Found 1 addresses for BU.EDU #在域名服务器BU.E