最新常见网络攻击与防范PPT课件.ppt

常见网络攻击与防范提纲提纲l常见的网络攻击方法l常用的安全防范措施获取网络服务的端口作为入侵通道。2.2.端口扫瞄端口扫瞄1.TCP Connect()2.TCP SYN3.TCP FIN4.IP段扫瞄5.TCP反向Ident扫瞄6.FTP代理扫瞄7.UDP ICMP不到达扫瞄7种扫瞄类型：种扫瞄类型：1.NSS（网络安全扫描器）。2.Strobe(超级优化TCP端口检测程序)，可记录指定机器上的所有开放端口，快速识别指定机器上运行的服务，提示可以被攻击的服务。3.SATAN(安全管理员的网络分析工具)，SATAN用于扫描远程主机，发现漏洞，包括FTPD漏洞和可写的FTP目录扫瞄软件举例：扫瞄软件举例：3.Sniffer3.Sniffer3.Sniffer3.Sniffer扫瞄扫瞄扫瞄扫瞄原理：原理：sniffer类的软件能把本地网卡设置成工作在类的软件能把本地网卡设置成工作在“混杂混杂”（promiscuous）方式，使该网卡能接收所）方式，使该网卡能接收所有数据帧，从而获取别人的口令、金融帐号或其他有数据帧，从而获取别人的口令、金融帐号或其他敏感机密信息等。敏感机密信息等。方法与对策：方法与对策：1 1、用交换机替换用交换机替换HUB，交换机是两两接通，比普，交换机是两两接通，比普通通HUB安全。安全。2 2、使用检测的软件，如、使用检测的软件，如CPM Antisniff等，检测网等，检测网络中是否有网卡工作在混杂状态（基本原理是发送络中是否有网卡工作在混杂状态（基本原理是发送本网中并不存在的本网中并不存在的MAC地址，看看是否有回应，如地址，看看是否有回应，如有回应，则说明有计算机网卡工作在混杂模式。）。有回应，则说明有计算机网卡工作在混杂模式。）。网络监听及防范技术网络监听及防范技术l网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法l间接性利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏l隐蔽性网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信网络监听及防范技术网络监听及防范技术共享式局域网下共享式局域网下l共享式局域网采用的是广播信道广播信道，每一台主机所发出的帧都会被全网内所有主机接收到l一般网卡具有以下四种工作模式：广播模式、多播模式、直接模式和混杂模式l网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的和广播的帧网络监听及防范技术网络监听及防范技术共享式局域网下共享式局域网下l使用MAC地址来确定数据包的流向若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据l当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序l共享式网络下窃听就使用网卡的混杂模式 网络监听及防范技术网络监听及防范技术共享式局域网下共享式局域网下网络监听及防范技术网络监听及防范技术交换式局域网下交换式局域网下l在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识lARP协议实现的配对寻址 lARP请求包是以广播的形式发出，正常情况下只有正确IP地址与的主机才会发出ARP响应包，告知查询主机自己的MAC地址。l局域网中每台主机都维护着一张ARP表，其中存放着地址对。网络监听及防范技术网络监听及防范技术交换式局域网下交换式局域网下ARP改向的中间人窃听A A发往发往B B：(MACb(MACb，MACaMACa，PROTOCOLPROTOCOL，DATA)DATA)B B发往发往A A：(MACa(MACa，MACbMACb，PROTOCOLPROTOCOL，DATA)DATA)A A发往发往B B：(MACx(MACx，MACaMACa，PROTOCOLPROTOCOL，DATA)DATA)B B发往发往A A：(MACx(MACx，MACbMACb，PROTOCOLPROTOCOL，DATA)DATA)网络监听及防范技术网络监听及防范技术交换式局域网下交换式局域网下lX分别向A和B发送ARP包，促使其修改ARP表l主机A的ARP表中B为l主机B的ARP表中A为lX成为主机A和主机B之间的“中间人”网络监听及防范技术网络监听及防范技术网络窃听的被动防范网络窃听的被动防范 l分割网段细化网络会使得局域网中被窃听的可能性减小 l使用静态ARP表手工输入地址对 l采用第三层交换方式取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换l加密SSH、SSL、IPSecIPIP欺骗及防范技术欺骗及防范技术会话劫持会话劫持一般一般欺骗欺骗会话会话劫持劫持IPIP欺骗及防范技术欺骗及防范技术会话劫持会话劫持会话劫持攻击的基本步骤l发现攻击目标l确认动态会话l猜测序列号关键一步，技术难点l使被冒充主机下线伪造FIN包，拒绝服务攻击l接管会话IPIP欺骗及防范技术欺骗及防范技术防范技术防范技术l没有有效的办法可以从根本上防范会话劫持攻击l所有会话都加密保护实现困难l使用安全协议（SSH、VPN）保护敏感会话电子邮件欺骗及防范技术电子邮件欺骗及防范技术案例案例l2003年6月初，一些在中国工商银行进行过网上银行注册的客户，收到了一封来自网络管理员的电子邮件，宣称由于网络银行系统升级，要求客户重新填写用户名和密码。l这一举动随后被工行工作人员发现，经证实是不法分子冒用网站公开信箱，企图窃取客户的资料。l虽然没有造成多大的损失，但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波，刺激人们针对信息安全问题展开了更加深切的讨论。电子邮件欺骗及防范技术电子邮件欺骗及防范技术原理原理l发送邮件使用SMTP（即简单邮件传输协议）lSMTP协议的致命缺陷：过于信任原则lSMTP假设的依据是：不怀疑邮件的使用者的身份和意图l伪装成为他人身份向受害者发送邮件l可以使用电子邮件客户端软件，也可以远程登录到25端口发送欺骗邮件电子邮件欺骗及防范技术电子邮件欺骗及防范技术防范防范l查看电子邮件头部信息不仅指出了是否有人欺骗了电子邮件，而且指出了这个信息的来源 l采用SMTP身份验证机制使用与POP协议收取邮件时相同的用户名/密码lPGP邮件加密以公钥密码学（Public Key Cryptology）为基础的 WebWeb欺骗及防范技术欺骗及防范技术概念概念口令攻击口令攻击方法与对策：方法与对策：1 1、限制同一用户的失败登录次数、限制同一用户的失败登录次数2 2、限制口令最短长度，要求特权指令使用复杂的字母、限制口令最短长度，要求特权指令使用复杂的字母、数字组合。数字组合。3 3、定期更换口令，不要将口令存放到计算机文件中、定期更换口令，不要将口令存放到计算机文件中 1口令暴力攻击：口令暴力攻击：生成口令字典，通过程序试探口令。生成口令字典，通过程序试探口令。2窃取口令文件后解密：窃取口令文件后解密：窃取口令文件（窃取口令文件（UNIX环境下的环境下的Passwd文件和文件和Shadow文文件）件），通过软件解密。，通过软件解密。MAC地址攻击地址攻击l交换机的转发原理。交换机的转发原理。l攻击者生成大量攻击者生成大量源地址源地址各不相同的数据各不相同的数据包，这些包，这些MACMAC地址就会充满交换机的交换地址就会充满交换机的交换地址映射表空间，则正常的数据包到达地址映射表空间，则正常的数据包到达时都被洪泛出去，致使交换机的查表速时都被洪泛出去，致使交换机的查表速度严重下降，不能继续工作。度严重下降，不能继续工作。ARP欺骗欺骗lMAC 地址地址:就是网卡的地址（就是网卡的地址（48位），具位），具唯一性。唯一性。l0080c81c2996（16进制）进制）l帧（帧（frame）：数据链路层的数据单元，帧）：数据链路层的数据单元，帧中有源中有源MAC地址和目的地址和目的MAC地址。地址。lARP协议是获得对方的协议是获得对方的MAC地址，才行地址，才行进行帧的封装。进行帧的封装。Arp协议协议厂家代号厂家代号流水号流水号ARP请求：是以广播形式发送请求：是以广播形式发送IP地址为地址为192.168.0.10的计算机的计算机MAC是多少啊？是多少啊？ARP工作原理工作原理ARP工作原理（续）工作原理（续）lARP应答：只有IP地址符合的计算机会应答l我的MAC为0080c81c2996,以单播形式地址解析方法地址解析方法l查表（查表（table lookup)table lookup)：将地址绑定信息存放在内存的一张表将地址绑定信息存放在内存的一张表中，当要进行地址解析时，可以查表找中，当要进行地址解析时，可以查表找到所需的结果，常用用于到所需的结果，常用用于WANWAN。（集中解。（集中解析）析）ARP欺骗欺骗l基本思想：由于ARP是无状态的协议，在没有请求时也可以发送应答的包。入侵者可以利用这一点，向网络上发送自己定义的包，包中包括源源IPIP地址、目的地址、目的IPIP地址以及硬件地地址以及硬件地址址，不过它们都是伪造的数据，会修改网络上主机中的ARP高速缓存。Arp缓存表缓存表查看查看ARP高速缓存中的记录高速缓存中的记录解析对象的IP地址解析所得的MAC地址此记录产生的方式删除删除ARP高速缓存中的记录高速缓存中的记录原来有4个记录删除这个记录203.74.205.11这个记录被删除了向向ARP高速缓存中增加静态记录高速缓存中增加静态记录新增的记录，注意Type是staticARPARP欺骗举例欺骗举例例：主机名 IP地址 硬件地址 A IPA AAAA B IPB BBBB C IPC CCCC 说明：B是一台被入侵者控制了的主机，而A信任C。入侵者的目的就是伪装成C获得A的信任，以便获得一些无直接获得的信息等。欺骗过程欺骗过程l入侵者控制主机B向主机A发送一个ARP应答，ARP应答中包括：源IP地址（IPC），源硬件地址（BBBB），目标IP地址（IPA）、目标硬件地址（AAAA），这条应答被A接受后，就被保存到A主机的ARP高速缓存中了。问题：问题：由于C也是活动的，也有可能向A发出自己的ARP应答，将的A的ARP缓存改回正确的硬件地址。如何解决？lA A根据根据ARPARP缓存中的缓存记录，将发往缓存中的缓存记录，将发往C C（IPCIPC）的数据报文，发向了）的数据报文，发向了B B（IPBIPB，BBBBBBBB）ARPARP欺骗的防范欺骗的防范lMAC地址绑定，使网络中每一台计算机的IP地址与硬件地址一一对应，不可更改。l使用静态ARP缓存，用手工方法更新缓存中的记录，使ARP欺骗无法进行。l使用ARP服务器，使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。ARP病毒病毒ARPARP病毒病毒10.1.14.25410.1.14.12510.1.14.126中中ARP病毒病毒10.1.14.254的的MAC是什么？是什么？10.1.14.254的的MAC为为bb-bb-bb10.1.14.254的的MAC为为cc-cc-cc中了中了ARP病毒的计算机冒充网关病毒的计算机冒充网关发送发送ARP响应，导致其他计算机响应，导致其他计算机无法上无法上Internet。什么情况下表明局域网内有什么情况下表明局域网内有ARPARP攻击攻击1.校园网登陆系统频繁掉线2.网速突然变慢3.使用ARP a命令发现网关的MAC地址不停的变换4.使用sniffer软件发现局域网内存在大量的ARP reply包目前已知的目前已知的ARPARP病毒的传播途径病毒的传播途径1.通过外挂程序传播2.通过网页传播3.通过其他木马程序传播4.通过即时通讯软件传播（QQ、MSN）5.通过共享传播（网络共享、P2P软件共享）ARP-防御：防御：在局域居于网中部署在局域居于网中部署Sniffer工具，定位工具，定位ARP攻击源的攻击源的MAC并自我防御并自我防御 未中毒而只是被攻击的电脑，防护办法如下：未中毒而只是被攻击的电脑，防护办法如下：下载下载AntiArpSniffer3.zip在本机运行，在在本机运行，在“网网关地址关地址”中输入本机网关地址，然后点击中输入本机网关地址，然后点击“获获取网关取网关MAC地址地址”按钮，再点击按钮，再点击“自动防护自动防护”即可即可 查看本机网关地址查看本机网关地址IPCONFIG/ALL 作业：作业：1.1.请详述你对请详述你对“网络嗅探技术网络嗅探技术”的理解，及其应对方法。的理解，及其应对方法。2.2.简述简述“MAC“MAC地址欺骗地址欺骗”，“ARP“ARP欺骗欺骗”，“ARP“ARP病毒病毒”的原理。的原理。拒绝服务攻击（拒绝服务攻击（DoS）SYN（我可以连接吗？）（我可以连接吗？）ACK（可以）（可以）/SYN（请确认！）（请确认！）攻击者攻击者受害者受害者伪造地址进行伪造地址进行SYN请求请求为何还为何还没回应没回应就是让就是让你白等你白等不能建立正常的连接不能建立正常的连接拒绝服务攻击拒绝服务攻击 利用系统缺陷攻击利用系统缺陷攻击利用系统缺陷攻击利用系统缺陷攻击1)1)耗尽连接攻击耗尽连接攻击耗尽连接攻击耗尽连接攻击利用放大原理利用放大原理利用放大原理利用放大原理1)1)SmurfSmurfSmurfSmurf攻击攻击攻击攻击2)2)利用放大系统攻击利用放大系统攻击利用放大系统攻击利用放大系统攻击分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击DDoSDDoSDDoSDDoS2.2.耗尽连接攻读耗尽连接攻读耗尽连接攻读耗尽连接攻读vvLANDLAND攻击：攻击：攻击：攻击：向被攻击者发送一个个源地址和目标地址都被设向被攻击者发送一个个源地址和目标地址都被设向被攻击者发送一个个源地址和目标地址都被设向被攻击者发送一个个源地址和目标地址都被设置成为被攻击者的地址的置成为被攻击者的地址的置成为被攻击者的地址的置成为被攻击者的地址的SYNSYN包，导致被攻击者自己与自己建立包，导致被攻击者自己与自己建立包，导致被攻击者自己与自己建立包，导致被攻击者自己与自己建立一个空连接，直到超时。一个空连接，直到超时。一个空连接，直到超时。一个空连接，直到超时。vvTCP/SYNTCP/SYN攻击攻击攻击攻击：攻击者向目标主机不断发送带有虚假源地址攻击者向目标主机不断发送带有虚假源地址攻击者向目标主机不断发送带有虚假源地址攻击者向目标主机不断发送带有虚假源地址的的的的SYNSYN包，目标主机发送包，目标主机发送包，目标主机发送包，目标主机发送ACK/SYNACK/SYN回应，因为源地址是虚假的，回应，因为源地址是虚假的，回应，因为源地址是虚假的，回应，因为源地址是虚假的，所以不会收到所以不会收到所以不会收到所以不会收到ACKACK回应，导致耗费大量资源等待回应，导致耗费大量资源等待回应，导致耗费大量资源等待回应，导致耗费大量资源等待ACKACK上，直止上，直止上，直止上，直止系统资源耗尽。系统资源耗尽。系统资源耗尽。系统资源耗尽。这些攻击都是利用系统的漏洞，因此补救的办法是升级或下这些攻击都是利用系统的漏洞，因此补救的办法是升级或下这些攻击都是利用系统的漏洞，因此补救的办法是升级或下这些攻击都是利用系统的漏洞，因此补救的办法是升级或下载补丁载补丁载补丁载补丁 对策对策对策对策SmurfSmurfSmurfSmurf攻击攻击攻击攻击攻击者攻击者攻击者攻击者用广播的方式发送回复地址为受害者地址的用广播的方式发送回复地址为受害者地址的用广播的方式发送回复地址为受害者地址的用广播的方式发送回复地址为受害者地址的ICMPICMPICMPICMP请求请求请求请求数据包，每个收到这个数据包的主机都进行回应，大量的回数据包，每个收到这个数据包的主机都进行回应，大量的回数据包，每个收到这个数据包的主机都进行回应，大量的回数据包，每个收到这个数据包的主机都进行回应，大量的回复数据包发给受害者，导致受害主机崩溃。复数据包发给受害者，导致受害主机崩溃。复数据包发给受害者，导致受害主机崩溃。复数据包发给受害者，导致受害主机崩溃。S S S Sm m m mu u u ur r r rf f f f攻攻攻攻击击击击原原原原理理理理利用放大系统攻击利用放大系统攻击利用放大系统攻击利用放大系统攻击某些类型的操作系统，在一定情况下，对一个请求所某些类型的操作系统，在一定情况下，对一个请求所某些类型的操作系统，在一定情况下，对一个请求所某些类型的操作系统，在一定情况下，对一个请求所返返返返回的信息比请求信息量大几十倍（如回的信息比请求信息量大几十倍（如回的信息比请求信息量大几十倍（如回的信息比请求信息量大几十倍（如MacintoshMacintoshMacintoshMacintosh），攻击者伪），攻击者伪），攻击者伪），攻击者伪装成目标主机进行请求，装成目标主机进行请求，装成目标主机进行请求，装成目标主机进行请求，导致大量数据流发向目标主机，加导致大量数据流发向目标主机，加导致大量数据流发向目标主机，加导致大量数据流发向目标主机，加重了攻击效果。重了攻击效果。重了攻击效果。重了攻击效果。DoSDoS攻击技术攻击技术DDoSDDoS技术技术分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击 攻击者在客户端通过攻击者在客户端通过攻击者在客户端通过攻击者在客户端通过telnettelnettelnettelnet之类的常用连接软件，向之类的常用连接软件，向之类的常用连接软件，向之类的常用连接软件，向(master)(master)(master)(master)主控主控主控主控端发送发送对目标主机的攻击请求命令。主控端端发送发送对目标主机的攻击请求命令。主控端端发送发送对目标主机的攻击请求命令。主控端端发送发送对目标主机的攻击请求命令。主控端(master)(master)(master)(master)侦听接收攻击命侦听接收攻击命侦听接收攻击命侦听接收攻击命令，并把攻击命令传到分布端，分布端是执行攻击的角色，收到命令立即令，并把攻击命令传到分布端，分布端是执行攻击的角色，收到命令立即令，并把攻击命令传到分布端，分布端是执行攻击的角色，收到命令立即令，并把攻击命令传到分布端，分布端是执行攻击的角色，收到命令立即发起发起发起发起floodfloodfloodflood攻击。攻击。攻击。攻击。D D D DD D D Do o o oS S S S攻攻攻攻击击击击原原原原理理理理特洛伊木马特洛伊木马l木马不同于病毒，但经常被视作病毒处理，随计算机自动启动并在某一端口进行侦听；木马的实质只是一个通过端口进行通信的网络客户/服务程序l特洛伊木马的种类远程控制型输出shell型信息窃取型其它类型NetbusNetbus客户端程序客户端程序NetBusNetBus传输传输 lNetBus使用TCP建立会话。缺省情况下用12345端口进行连接，12346端口进行数据传输l跟踪NetBus的活动比较困难。l可以通过检查12346端口数据来确定l许多类似的程序使用固定的端口，你可以扫描整个的网络监测可疑的活动。l简单方法netstat-an反弹型特洛伊木马反弹型特洛伊木马l可穿透防火墙，控制局域网机器l服务器端主动发起连接，控制端监听80端口l自动上线通知Email发送读取主页空间的某个文件l网络神偷、灰鸽子、魔法控制l解决方法安装防病毒软件和个人防火墙检查可疑的进程和监听端口提高安全警惕性混合型、自动的攻击混合型、自动的攻击混合型、自动的攻击混合型、自动的攻击 WorkstationVia EmailFile ServerWorkstationMail ServerInternet混合型攻击:蠕虫Web ServerVia Web PageWorkstationWeb ServerMail Gateway攻击的发展趋势攻击的发展趋势防病毒防病毒防火墙防火墙入侵检测入侵检测风险管理风险管理攻击的发展趋势攻击的发展趋势l漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码)l混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。l主动恶意代码趋势制造方法：简单并工具化 技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件.表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。l受攻击未来领域即时消息：MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备常见的安全防范措施常见的安全防范措施常用的安全防范措施常用的安全防范措施l物理层l网络层路由交换策略VLAN划分防火墙、隔离网闸入侵检测抗拒绝服务传输加密l系统层漏洞扫描系统安全加固SUS补丁安全管理l应用层防病毒安全功能增强l管理层独立的管理队伍统一的管理策略 访问访问控制控制 认证认证 NAT 加密加密 防病毒、内容防病毒、内容过滤过滤 流量管理流量管理常用的安全防护措施防火墙常用的安全防护措施防火墙入侵检测系统入侵检测系统 Firewall FirewallServersDMZDMZIDS AgentIntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警IDS Agent漏洞扫描系统漏洞扫描系统地方网管地方网管scanner监控中心监控中心地方网管地方网管地方网管地方网管地方网管地方网管地方网管地方网管市场部市场部工程部工程部routerouter r开发部开发部ServersServersFirewallFirewall漏洞扫描产品应用漏洞扫描产品应用系统安全加固系统安全加固l基本安全配置检测和优化l密码系统安全检测和增强l系统后门检测l提供访问控制策略和工具l增强远程维护的安全性l文件系统完整性审计l增强的系统日志分析l系统升级与补丁安装Windows系统安全加固系统安全加固l使用Windows update安装最新补丁；l更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的安全；l卸载不需要的服务；l将暂时不需要开放的服务停止；l限制特定执行文件的权限；l设置主机审核策略；l调整事件日志的大小、覆盖策略；l禁止匿名用户连接；l删除主机管理共享；l限制Guest用户权限；l安装防病毒软件、及时更新病毒代码库；l安装个人防火墙。Windows系统安全加固系统安全加固l使用Windows update安装最新补丁；l更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的安全；l将默认Administrator用户和组改名，禁用Guests并将Guest改名；l开启安全审核策略；l卸载不需要的服务；l将暂时不需要开放的服务停止；l限制特定执行文件的权限；l调整事件日志的大小、覆盖策略；l禁止匿名用户连接；l删除主机管理共享；l安装防病毒软件、个人防火墙。