第2章网络安全威胁71PPT讲稿.ppt
《第2章网络安全威胁71PPT讲稿.ppt》由会员分享,可在线阅读,更多相关《第2章网络安全威胁71PPT讲稿.ppt(71页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第2章 网络安全威胁712022/10/10南京邮电大学信息安全系1第1页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系2主要内容主要内容2.1 隐藏攻击者的地址和身份隐藏攻击者的地址和身份2.2 踩点技术(踩点技术(Footprinting)2.3 扫描技术(扫描技术(Scanning)2.4 嗅探技术(嗅探技术(Sniffing)2.5 攻击技术(攻击技术(Attack Technology)2.6 权限提升(权限提升(Escalating Privilege)2.7 掩盖踪迹(掩盖踪迹(Covering Tracks)2.8 创建后门(创建后门(Creat
2、ing Bookdoor)2.9 Web攻击技术攻击技术 2.3.1 主机扫描主机扫描2.3.2 端口扫描端口扫描 2.3.3 操作系统探测操作系统探测 2.3.4 漏洞扫描漏洞扫描 2.9.1 SQL注入攻击注入攻击 2.9.2 XSS攻击攻击 第2页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系3网络攻击与防御技术的关系网络攻击与防御技术的关系“网络渗透网络渗透”过程有多个阶段、多种技术,但没有一个过程有多个阶段、多种技术,但没有一个统一的定式。统一的定式。网络攻击技术发展很快,今天可行的技术可能明天就过网络攻击技术发展很快,今天可行的技术可能明天就过时了。
3、时了。网络攻击技术的过时主要是因为相应的网络防御技网络攻击技术的过时主要是因为相应的网络防御技术发展也很快。术发展也很快。许多网络安全技术都是双刃剑,两者相辅相成,互许多网络安全技术都是双刃剑,两者相辅相成,互为补充(如:扫描、嗅探和嗅探检测等)。为补充(如:扫描、嗅探和嗅探检测等)。第3页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系4网络防御技术网络防御技术1)加密)加密/签名签名/散列技术(理论基础)散列技术(理论基础)2)主机加固技术(打补丁)主机加固技术(打补丁)3)病毒防护技术(广义病毒)病毒防护技术(广义病毒)4)防火墙技术(门卫)防火墙技术(门卫
4、/被动被动/进出)进出)5)虚拟专用网技术(端)虚拟专用网技术(端-端端/密码技术)密码技术)6)入侵检测技术(警察)入侵检测技术(警察/动态动态/内部)内部)7)蜜罐技术(主动)蜜罐技术(主动/位置位置/误报漏报误报漏报少)少)8)计算机取证技术(主机取证和网络取证)计算机取证技术(主机取证和网络取证)为了保证服务质量,要为了保证服务质量,要求误报少;求误报少;为了保证系统安全,为了保证系统安全,要求漏报少;要求漏报少;两者常常相悖,应根据两者常常相悖,应根据用途折中选择用途折中选择第4页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系52.1 隐藏攻击者的地址
5、和身份隐藏攻击者的地址和身份1IP地址欺骗或盗用技术地址欺骗或盗用技术 源源IP地址为假冒或虚假地址为假冒或虚假2MAC地址盗用技术地址盗用技术 修改注册表或使用修改注册表或使用ifconfig命令命令 3通过通过Proxy隐藏技术隐藏技术 作为攻击跳板;实际上很难真正实现隐藏作为攻击跳板;实际上很难真正实现隐藏4网络地址转换技术网络地址转换技术 私有私有IP地址可以隐藏内部网络拓扑结构地址可以隐藏内部网络拓扑结构5盗用他人网络账户技术盗用他人网络账户技术 网络安全链路中最薄弱的链接网络安全链路中最薄弱的链接 第5页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系
6、62.2 踩点技术(踩点技术(Footprinting)黑客尽可能地收集目标系统安全状况的各种信息:黑客尽可能地收集目标系统安全状况的各种信息:目标系统的用户注册信息目标系统的用户注册信息Whois 域名、域名、IP地址、地址、DNS服务器、邮件服务器服务器、邮件服务器Nslookup、host 网络拓扑和路由信息网络拓扑和路由信息Traceroute 获取公开的信息;采用的技术合法。获取公开的信息;采用的技术合法。第6页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系72.3 扫描技术(扫描技术(Scanning)2.3.1 主机扫描(主机扫描(Host Sca
7、nning)一般使用一般使用Ping实现:发送实现:发送ICMP echo请求给目标主机,请求给目标主机,若收到若收到ICMP echo应答则表明目标主机激活。应答则表明目标主机激活。Fping工具以并行轮转方式发送大量工具以并行轮转方式发送大量Ping请求,以加快扫请求,以加快扫描速度。描速度。防火墙的存在使得防火墙的存在使得Ping扫描的应答可能丢失,扫描扫描的应答可能丢失,扫描结果就不一定准确。结果就不一定准确。第7页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系82.3.2 端口扫描(端口扫描(Port Scanning)通常采用通常采用Nmap等扫描工
8、具等扫描工具:获得目标主机开放的获得目标主机开放的TCP和和UDP端口列表端口列表 确定主机上开放的网络服务确定主机上开放的网络服务 得到监听端口返回的得到监听端口返回的Banner信息信息利用这些服务的漏洞,进行进一步入侵。利用这些服务的漏洞,进行进一步入侵。第8页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系9TCP三次握手缺陷三次握手缺陷 SYN包包,C的序列号的序列号 Client SYN+ACK包包,S序列号序列号,C应答号应答号Server ACK包包,S的应答号的应答号 源端口源端口(1024高端口高端口)目的端口目的端口(1024熟知熟知 源源I
9、P地址地址(寻址只关心寻址只关心 端口,表明端口,表明Server上上 目的目的IP,不认证源,不认证源IP地地 提供的服务提供的服务)址,可能是址,可能是“假假”地址地址)目的目的IP地址地址 TCP标志位的作用:标志位的作用:SYN/ACK/RST/FIN/PSH/URG假假 假冒(另一主机假冒(另一主机IP地址)地址)虚假(可路由不可到达)虚假(可路由不可到达)第9页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系10端口扫描的类型端口扫描的类型(1)第10页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系11端口扫描的类型端口
10、扫描的类型(2)第11页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系12端口扫描的类型端口扫描的类型(3)第12页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系132.3.3 操作系统探测(操作系统探测(Operate System Probing)协议栈指纹鉴别(协议栈指纹鉴别(TCP Stack Fingerprinting)各个各个OS实现协议栈细节不同的原因如下:实现协议栈细节不同的原因如下:1)对)对RFC相关文件理解不同;相关文件理解不同;2)TCP/IP规范并不被严格执行;规范并不被严格执行;3)规范中一些选择性特
11、性只在某些系统使用;)规范中一些选择性特性只在某些系统使用;4)某些系统私自对)某些系统私自对IP协议做了改进。协议做了改进。第13页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系14操作系统探测的方法操作系统探测的方法 对目标主机发出对目标主机发出OS探测包,每种探测包,每种OS有其独特响应方法,有其独特响应方法,可根据返回的响应包确定目标主机可根据返回的响应包确定目标主机OS类型。类型。协议栈指纹:协议栈指纹:TTL值、值、TCP窗口大小、窗口大小、DF标志、标志、TOS、IP碎片、碎片、ACK值、值、TCP选项等。选项等。利用利用Ping扫描返回的扫描返回
12、的TTL值进行简单的值进行简单的OS探测探测 第14页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系152.3.4 漏洞扫描(漏洞扫描(Hole Scanning)漏洞(脆弱性,漏洞(脆弱性,Vulnerability)计算机或网络系统具有的某种可能被入侵者恶意利用的计算机或网络系统具有的某种可能被入侵者恶意利用的特性。特性。漏洞扫描漏洞扫描 针对特定应用和服务(如操作系统、针对特定应用和服务(如操作系统、Web服务器、服务器、数据库服务器、防火墙、路由器)查找目标网络漏数据库服务器、防火墙、路由器)查找目标网络漏洞,并抽取有效账号或导出资源名。洞,并抽取有效账
13、号或导出资源名。第15页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系162.4 嗅探技术(嗅探技术(Sniffing)黑客使用:非常隐蔽地攫取网络大量敏感信息,是黑客使用:非常隐蔽地攫取网络大量敏感信息,是一种有效的一种有效的“被动攻击被动攻击”技术。技术。与主动攻击技术相比,嗅探行为更易实现、更难被与主动攻击技术相比,嗅探行为更易实现、更难被察觉。察觉。安全管理人员使用:对网络活动进行实时监控,并安全管理人员使用:对网络活动进行实时监控,并及时发现各种网络攻击行为及时发现各种网络攻击行为。第16页,共71页,编辑于2022年,星期一2022/10/10南京邮
14、电大学信息安全系17嗅探技术的分类嗅探技术的分类 局域网主机监听到发送给其他主机的数据包内容。局域网主机监听到发送给其他主机的数据包内容。共享式局域网共享式局域网将将该主机网卡设置成混杂主机网卡设置成混杂(Promiscuous)模式)模式 共享式和交共享式和交换式局域网式局域网该主机使用该主机使用ARP欺骗欺骗注意:两种技术可结合使用,从而嗅探到注意:两种技术可结合使用,从而嗅探到局域网上局域网上传送送的用的用户账号和口令。号和口令。嗅探工具不能不加选择地接收所有数据包,并且长时嗅探工具不能不加选择地接收所有数据包,并且长时间地监听间地监听。第17页,共71页,编辑于2022年,星期一202
15、2/10/10南京邮电大学信息安全系182.5 攻击技术(攻击技术(Attack Technology)2.5.1 社会工程(社会工程(Social Engineering)2.5.2 口令破解(口令破解(Password Cracking)2.5.3 IP欺骗(欺骗(IP Spoofing)2.5.4 ARP欺骗(欺骗(ARP Spoofing)2.5.5 DNS欺骗(欺骗(DNS Spoofing)2.5.6 会话劫持(会话劫持(Session Hijacking)2.5.7 拒绝服务(拒绝服务(Denial of Service)攻击)攻击2.5.8 缓冲区溢出(缓冲区溢出(Buffer
16、 Overflow)攻击)攻击第18页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系192.5.1 社会工程(社会工程(Social Engineering)社会工程的核心:攻击者伪装身份并设法让受害人泄社会工程的核心:攻击者伪装身份并设法让受害人泄露系统信息。露系统信息。一种低技术含量破坏网络安全的方法,其实是高级黑客一种低技术含量破坏网络安全的方法,其实是高级黑客技术的一种,往往使得看似处在严密防护下的网络系统出技术的一种,往往使得看似处在严密防护下的网络系统出现致命的突破口。现致命的突破口。利用说服或欺骗的方式,让安全意识薄弱的职员来提利用说服或欺骗的方式
17、,让安全意识薄弱的职员来提供必要的信息,从而获得对信息系统的访问。供必要的信息,从而获得对信息系统的访问。第19页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系202.5.2 口令破解(口令破解(Password Cracking)手工尝试(猜测)手工尝试(猜测)对口令文件使用破解工具(字典对口令文件使用破解工具(字典/暴力暴力/组合攻击)组合攻击)使用嗅探技术获得口令使用嗅探技术获得口令 使用社会工程方法获得口令使用社会工程方法获得口令 恶意网页和恶意电子邮件恶意网页和恶意电子邮件 通过键盘记录器获得口令通过键盘记录器获得口令 账号口令锁定机制账号口令锁定机制
18、 拒绝服务攻击拒绝服务攻击第20页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系212.5.3 IP欺骗(欺骗(IP Spoofing)IP欺骗:通过伪造数据包源欺骗:通过伪造数据包源IP地址,地址,伪装成被信任主机来伪装成被信任主机来骗取目标主机信任,从而实现攻击。骗取目标主机信任,从而实现攻击。基于两个前提:基于两个前提:1)TCP/IP路由数据包时,不判断源路由数据包时,不判断源IP地址地址 可以伪造数可以伪造数据包的源据包的源IP地址;地址;2)UNIX中主机之间存在信任关系中主机之间存在信任关系 基于基于IP地址的地址的认证,不再需要用户账号和口令。认
19、证,不再需要用户账号和口令。第21页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系22信任和认证的关系(相反)信任和认证的关系(相反)基于口令的认证:如基于口令的认证:如SMTP(TCP 25)和和Telnet(TCP 23),只能通过账号,只能通过账号/口令认证用户;口令认证用户;基于基于IP地址的认证(即信任):登录主机的地址受到被地址的认证(即信任):登录主机的地址受到被登录服务器信任,该主机登录不要口令;登录服务器信任,该主机登录不要口令;如远程登录如远程登录rlogin(TCP 513),首先进行基于,首先进行基于IP地址的地址的认证,其次才进行口令认
20、证。认证,其次才进行口令认证。一般被登录服务器设置有一般被登录服务器设置有/etc/hosts.equiv或或$HOME/.rhosts文件。文件。第22页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系23一个完整的一个完整的IP欺骗攻击过程欺骗攻击过程 第23页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系24对被冒充对象对被冒充对象B的拒绝服务攻击的拒绝服务攻击 1)X首先必须对首先必须对B进行进行DoS攻击,否则步骤攻击,否则步骤4)中)中B收到收到A发来的它未请求过的应答包,将返回发来的它未请求过的应答包,将返回RST包而
21、终止连接。包而终止连接。2)X发送到发送到A的的rlogin端口的数据包源端口的数据包源IP地址是地址是“假冒假冒”B的的IP地址。地址。3)为何)为何X不能直接将自己不能直接将自己IP修改为修改为B的的IP来连接到来连接到A的的rlogin端口?端口?IP地址产生冲突;地址产生冲突;外网外网X不能这样修改。不能这样修改。第24页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系25序列号猜测的重要性序列号猜测的重要性 X冒充受攻击目标冒充受攻击目标A信任的信任的B,远程连接,远程连接A的的rlogin端口,端口,若能连接成功,不再需要口令就能登录若能连接成功,不再
22、需要口令就能登录A。因为因为A请求请求X的响应包返回给的响应包返回给B,X不知道其中不知道其中A的序列的序列号,要想完成步骤号,要想完成步骤5),必须),必须“猜猜”到到A的的ISN。第25页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系26序列号猜测的过程序列号猜测的过程1)X首先连接首先连接A的的SMTP端口(端口(X是是A的合法邮件用户,的合法邮件用户,但不是但不是rlogin用户),试探其用户),试探其ISN变化规律,以估算下变化规律,以估算下一次连接时一次连接时A的的ISN值。值。2)X必须马上按照步骤必须马上按照步骤3)-5)的方法假冒的方法假冒B与
23、与A建立建立rlogin连接。连接。X必须立刻进行欺骗攻击必须立刻进行欺骗攻击 当然这样也不一定能一次猜测成功当然这样也不一定能一次猜测成功第26页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系27TCP序列号的产生方式序列号的产生方式1)64K规则规则 用于比较老的机器中,非常容易猜测序列号。用于比较老的机器中,非常容易猜测序列号。2)时间相关规则)时间相关规则 序列号产生器根据时间产生伪随机序列。由于各计算机的序列号产生器根据时间产生伪随机序列。由于各计算机的时钟不完全相同,增加序列号随机性。时钟不完全相同,增加序列号随机性。前两种方式下有可能猜测到序列号。
24、前两种方式下有可能猜测到序列号。3)随机产生规则)随机产生规则 用于新的用于新的Linux内核,序列号基本很难猜测。内核,序列号基本很难猜测。第27页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系28序列号的规律序列号的规律Windows与与Linux系统的序列号比较系统的序列号比较连接序号连接序号Windows系统系统Linux系统系统1234528874959152887500502288750710928875123112887517117321765071332010905338617656339459049334021331猜测猜测Windows序列号
25、比序列号比Linux序列号容易得多序列号容易得多第28页,共71页,编辑于2022年,星期一2022/10/10南京邮电大学信息安全系29不同网络环境下的序列号猜测不同网络环境下的序列号猜测1)若三者属于同一局域网,理论上很容易实现)若三者属于同一局域网,理论上很容易实现IP欺骗。欺骗。X不用猜测不用猜测A的序列号的序列号嗅探即可。嗅探即可。2)若)若X来自外网,想猜测来自外网,想猜测A的序列号非常困难的序列号非常困难理论理论可行。可行。3)米特尼克第一个在广域网成功实现)米特尼克第一个在广域网成功实现IP欺骗,但当时序欺骗,但当时序列号容易猜测。列号容易猜测。第29页,共71页,编辑于202
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第2章 网络安全威胁71PPT讲稿 网络安全 威胁 71 PPT 讲稿
限制150内