网络攻击行为分析.pptx

网络攻击行为分析;基本内容;网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。 很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具。;计算机网络系统所面临的威胁大体可分为两种：一是针对网络中信息的威胁；二是针对网络中设备的威胁。;安全威胁的来源;安全威胁的表现形式 ;实施安全威胁的人员 ;互联网上的黑色产业链 ;2.2 网络攻击的层次 ;网络攻击的层次 ;2.3 网络攻击的一般步骤 ;2.4 网络入侵技术;网站篡改（占45.91%） 垃圾邮件（占28.49%） 蠕虫（占6.31%） 网页恶意代码（占0.51%） 木马（占4.01%） 网络仿冒（占4.97%） 拒绝服务攻击（占0.58%） 主机入侵（占1.14%） ;网络入侵技术----漏洞攻击;缓冲区溢出;向缓冲区写入超过缓冲区长度的内容，造成缓冲区溢出，破坏程序的堆栈，使程序转而执行其他的指令，达到攻击的目的。 原因：程序中缺少错误检测: void func(char *str) { char buf[16]; strcpy(buf,str); } 如果str的内容多于16个非0字符，就会造成buf的溢出，使程序出错。;类似函数有strcat、sprintf、vsprintf、gets、scanf等 一般溢出会造成程序读/写或执行非法内存的数据，引发segmentation fault异常退出. 如果在一个suid程序中特意构造内容，可以有目的的执行程序，如/bin/sh，得到root权限。;类似函数有strcat、sprintf、vsprintf、gets、scanf等 一般溢出会造成程序读/写或执行非法内存的数据，引发segmentation fault异常退出. 如果在一个suid程序中特意构造内容，可以有目的的执行程序，如/bin/sh，得到root权限。;在进程的地址空间安排适当的代码 通过适当的初始化寄存器和内存，跳转到以上代码段执行;拒绝服务攻击（DoS）：通过各种手段来消耗网络带宽和系统资源，或者攻击系统缺陷，使系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户的服务访问。 分布式拒绝服务攻击：DDoS，攻击规模更大，危害更严重。 实例：SYN-Flood洪水攻击，Land攻击，Smurf攻击 ，UDP-Flood攻击，WinNuke攻击（139）等。;典型的拒绝服务攻击有如下两种形式：资源耗尽和资源过???。 当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击（例如，对已经满载的Web服务器进行过多的请求。）拒绝服务攻击还有可能是由于软件的弱点或者对程序的错误配置造成的。 区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请求发起者对资源的请求是否过份，从而使得其他的用户无法享用该服务资源。; 以下的两种情况最容易导致拒绝服务攻击： 由于程序员对程序错误的编制，导致系统不停的建立进程，最终耗尽资源，只能重新启动机器。不同的系统平台都会采取某些方法可以防止一些特殊的用户来占用过多的系统资源，我们也建议尽量采用资源管理的方式来减轻这种安全威胁。 还有一种情况是由磁盘存储空间引起的。假如一个用户有权利存储大量的文件的话，他就有可能只为系统留下很小的空间用来存储日志文件等系统信息。这是一种不良的操作习惯，会给系统带来隐患。这种情况下应该对系统配额作出考虑。　　;Ping of Death：发送长度超过65535字节的ICMP Echo Request 数据包导致目标机TCP/IP协议栈崩溃，系统死机或重启。 Teardrop：发送特别构造的IP 数据包，导致目标机TCP/IP协议栈崩溃，系统死锁。 Syn flooding：发送大量的SYN包。 Land：发送TCP SYN包，包的SRC/DST IP相同，SPORT/DPORT相同，导致目标机TCP/IP协议栈崩溃，系统死机或失去响应。 Winnuke：发送特别构造的TCP包，使得Windows机器蓝屏。 Smurf：攻击者冒充服务器向一个网段的广播地址发送ICMP echo包，整个网段的所有系统都向此服务器回应icmp reply包。;入侵者常常采用下面几种方法获取用户的密码口令： 弱口令扫描 Sniffer密码嗅探 暴力破解 社会工程学（即通过欺诈手段获取） 木马程序或键盘记录程序 。。。。。。;破解PDF密码;破解OF密码;破解系统密码;一个开放的网络端口就是一条与计算机进行通信的信道，对网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息，从而为下一步的入侵做好准备。 扫描是采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，利用各种工具在攻击目标的