网络安全基础与实训.ppt

9.6.1 缓冲区溢出的原理 缓冲区溢出攻击是指通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。造成缓冲区溢出的原因是没有仔细检查程序中用户输入的参数。例如下面的程序： void function(char *str) { char buffer[16]； strcpy(buffer，str)； } strcpy()将直接把str中的内容复制到buffer中。这样只要str的长度大于16，就会造成buffer的溢出，使程序运行出错。 最常见的缓冲区溢出攻击手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其他命令。如果该程序属于root且有suid权限，攻击者就获得了一个有root权限的shell，可以对系统进行任意操作。 3．WWW的欺骗 正在访问的网页已经被黑客篡改过，网页上的信息是虚假的。例如黑客把用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。 一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信息掩盖技术。利用URL地址，使这些地址都向攻击者的Web服务器，即攻击者可以将自己的Web地址加在所有URL地址的前面。这样，当用户与站点进行链接时，就会毫不防备地进入攻击者的服务器，于是所有信息便处于攻击者的监视之中。 4．电子邮件攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。 5．通过傀儡机攻击其他节点 攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。 5．通过傀儡机攻击其他节点 攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。 7．安全漏洞攻击 许多系统都有这样那样的安全漏洞。其中一些是操作系统或应用软件本身具有的，如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况下，就接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。 9.1.3 网络攻击的步骤及过程分析 1．隐藏自己的位置 2．寻找目标主机并分析目标主机 3．获取账号和密码，登录主机 4．获得控制权 5．窃取网络资源和特权 9.1.4 网络攻击的防范策略  1．提高安全意识 2．使用防病毒和防火墙软件 3．安装网络防火墙或代理服务器，隐藏自己的IP地址 9.2 端 口 扫 描 扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过扫描TCP端口，并记录反馈信息，可以不留痕迹地发现远程服务器中各种TCP端口的分配、提供的服务和它们的软件版本。这就能直观地或间接地了解到远程主机存在的安全问题。 9.2 端 口 扫 描 扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过扫描TCP端口，并记录反馈信息，不留痕迹地发现远程服务器中各种TCP端口的分配、提供的服务和它们的软件版本。这就能直观地或间接地了解到远程主机存在的安全问题。 对于非法入侵者而言，端口扫描是一种获得主机信息的好方法。在UNIX操作系统中，使用端口扫描程序不需要超级用户权限，任何用户都可以使用，而且简单的端口扫描程序非常易于编写。掌握了初步的socket编程知识就可以轻而易举地编写出能在UNIX和Windows NT/2000下运行的端口扫描程序。 端口扫描程序使系统管理员能够及时发现网络的弱点，有助于进一步加强系统的安全性。 9.2.1 端口扫描的原理 最简单的端口扫描程序仅仅是检查目标主机在哪些端口可以建立TCP连接，如果可以建立连接，则说明主机在那个端口被监听。当然，这种端口扫描程序不能进一步确定端口提供什么样的服务，也不能确定该服务是否有众所周知的缺陷。 1．TCP connect()扫描 TCP connect()是最基本的一种扫描方式。使用系统提供的connect()系统调用，建立与目标主机端口的连接。如果端口正在监听，connect()就成功返回；否则