济南大学信息科学与工程学院网络信息对抗课件 第16讲.ppt

* 网络入侵与防范讲义 * 电子邮件炸弹 电子邮件是通过SMTP协议进行发送的，最初的SMTP协议服务是不需要进行身份认证的，在发送电子邮件的过程中不对用户进行身份认证。 SMTP不会进行认证，邮件的发送人可以伪造任何邮件地址，甚至可以不写发件人的信息。这就是能发送匿名邮件的原因。 针对SMTP的问题，新的SMTP协议规范新增了2个命令，对发送邮件的发件人进行身份认证，在一定程度上降低了匿名电子邮件的风险。 * 网络入侵与防范讲义 * 畸形消息攻击 畸形消息攻击是一种有针对性的攻击方式，它利用目标主机或者特定服务存在的安全漏洞进行攻击。 目前无论是Windows、Unix、Linux等各类操作系统上的许多服务都存在安全漏洞，由于这些服务在处理信息之前没有进行适当正确的错误校验，所以一旦收到畸形的信息就有可能会崩溃。 * 网络入侵与防范讲义 * 畸形消息攻击 例如，在IIS 5没有安装相应的修补包以及没有相应的安全措施时，向IIS 5服务器递交如下的URL会导致IIS 5停止服务：http://testIP/...[25kb of ‘.’]...ida 而向IIS 5递交如下的HTTP请求会导致IIS系统的崩溃，需要重启动才能恢复： “GET /......[3k]...... .htr HTTP/1.0” 这两者都是向服务器提交正常情况下不会出现的请求，导致服务器处理错误而崩溃，是典型的畸形消息攻击。 * 网络入侵与防范讲义 * Slashdot effect Slashdot effect来自S这个网站，这曾是十分知名而且浏览人数十分庞大的IT、电子、娱乐网站，也是blog网站的开宗始祖之一。由于S的知名度和浏览人数的影响，在S上的文章中放入的网站链接，有可能一瞬间被点入上千次，甚至上万次，造成这个被链接的网站承受不住突然增加的连接请求，出现响应变慢、崩溃、拒绝服务。这种现象就称为Slashdot effect，这种瞬间产生的大量进入某网站的动作，也称作Slashdotting。 * 网络入侵与防范讲义 * Slashdot effect 这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载，一般这些网络流量是针对某一个页面或一个链接而产生的。 当然这种现象也会在访问量较大的网站上正常的发生，但一定要把这些正常现象和攻击区分开来。 如果您的服务器突然变得拥挤不堪，甚至无法响应再多的请求时，您应当仔细检查一下这个资源匮乏的现象，确认在10000次点击里全都是合法用户进行的，还是由5000个合法用户和一个点击了5000次的攻击者进行的。 * 网络入侵与防范讲义 * WinNuke攻击 WinNuke攻击又称“带外传输攻击”，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53。 TCP传输协议中使用带外数据（Out of Band，OOB数据）通道来传送一些比较特殊（如比较紧急）的数据。在紧急模式下，发送的每个TCP数据包都包含URG标志和16位URG指针，直至将要发送的带外数据发送完为止。16位URG指针指向包内数据段的某个字节数据，表示从第一字节到指针所指字节的数据就是紧急数据，不进入接收缓冲就直接交给上层进程。 * 网络入侵与防范讲义 * WinNuke攻击 WinNuke攻击就是制造特殊的这种报文，但这些攻击报文与正常携带OOB数据报文不同的是：其指针字段与数据的实际位置不符，即存在重合，这样WINDOWS操作系统在处理这些数据的时候，就会崩溃。 * 网络入侵与防范讲义 * WinNuke攻击 攻击者将这样的特殊TCP带外数据报文发送给已建立连接的主机的NetBIOS端口139，导致主机崩溃后，会显示下面的信息： An exception OE has occurred at 0028:[address] in VxD MSTCP(01)+ 000041AE. This was called from 0028:[address] in VxD NDIS(01)+It may be possible to continue normally. Press any key to attempt to continue. Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications. Press any key to continue * 网络入侵与防范讲义 * WinNuke攻击 WinNuke攻击的特征、检测方法和反