第4章网络攻击及防御技术.优秀PPT.ppt

《第4章网络攻击及防御技术.优秀PPT.ppt》由会员分享，可在线阅读，更多相关《第4章网络攻击及防御技术.优秀PPT.ppt（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、漏洞漏洞扫扫描概述描概述 漏洞源自漏洞源自“vulnerability”“vulnerability”（脆弱性）。一般认为，漏（脆弱性）。一般认为，漏洞是指硬件、软件或策略上存在的的平安缺陷，从而使得攻洞是指硬件、软件或策略上存在的的平安缺陷，从而使得攻击者能够在未授权的状况下访问、限制系统。击者能够在未授权的状况下访问、限制系统。标准化组织标准化组织CVECVE（Common Vulnerabilities and Common Vulnerabilities and Exposures,Exposures,即即“公共漏洞与暴露公共漏洞与暴露”）致力于全部平安漏洞及）致力于全部平安漏洞及平安

2、问题的命名标准化，平安产品对漏洞的描述与调用一般平安问题的命名标准化，平安产品对漏洞的描述与调用一般都与都与CVECVE兼容。兼容。1 1 漏洞的概念漏洞的概念信息平安的信息平安的“木桶理论木桶理论”对一个信息系统来说，它的平安性不在于它是否接对一个信息系统来说，它的平安性不在于它是否接受了最新的加密算法或最先进的设备，而是由系统本身受了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所确定的。只要这个漏洞被发觉，最薄弱之处，即漏洞所确定的。只要这个漏洞被发觉，系统就有可能成为网络攻击的牺牲品。系统就有可能成为网络攻击的牺牲品。漏洞漏洞扫扫描概述描概述 2 2 漏洞的漏洞的发觉发

3、觉 一个漏洞并不是自己突然出现的，必需有人发觉它。这个工作主要是一个漏洞并不是自己突然出现的，必需有人发觉它。这个工作主要是由以下三个组织之一来完成的：黑客、破译者、平安服务商组织。由以下三个组织之一来完成的：黑客、破译者、平安服务商组织。每当有新的漏洞出现，黑客和平安服务商组织的成员通常会警告平安每当有新的漏洞出现，黑客和平安服务商组织的成员通常会警告平安组织机构；破译者或许不会警告任何官方组织，只是在组织内部发布消息。组织机构；破译者或许不会警告任何官方组织，只是在组织内部发布消息。依据信息发布的方式，漏洞将会以不同的方式呈现在公众面前。依据信息发布的方式，漏洞将会以不同的方式呈现在公众面

4、前。通常收集平安信息的途径包括：新闻组、邮件列表、通常收集平安信息的途径包括：新闻组、邮件列表、WebWeb站点、站点、FTPFTP文文档。档。网络管理者的部分工作就是关切信息平安相关新闻，了解信息平安的网络管理者的部分工作就是关切信息平安相关新闻，了解信息平安的动态。管理者须要制定一个收集、分析以及抽取信息的策略，以便获得有动态。管理者须要制定一个收集、分析以及抽取信息的策略，以便获得有用的信息。用的信息。漏洞漏洞扫扫描概述描概述 2 2 漏洞的漏洞的发觉发觉 漏漏洞洞的的产产生生大大致致可可分分为为有有意意和和无无意意的的两两类类。前前者者是是在在程程序序编编写写过过程程种种，编编程程人人

5、员员为为了了达达到到不不行行告告人人的的目目的的，有有意意的的在在程程序序的的隐隐藏藏处处留留下下各各种种各各样样的的后后门门。后后者者是是由由于于编编程程人人员员的的水水平平问问题题，阅阅历历和和当当时时平平安安技技术术加加密密方方法法所所限限，在在程程序序中中总总会会或或多多或或少少的的有有些些不不足足之之处，有的影响程序的效率，有的会导致非授权用户的权利提升。处，有的影响程序的效率，有的会导致非授权用户的权利提升。漏洞攻击的位置漏洞攻击的位置:（1 1）系系统统的的对对外外服服务务，如如“冲冲击击波波”病病毒毒针针对对系系统统的的“远远程程帮帮助助”服务；服务；“尼姆达尼姆达”病毒由系统

6、的病毒由系统的“IPC“IPC漏洞漏洞”（资源共享）感染。（资源共享）感染。（2 2）集集成成的的应应用用软软件件，IEIE、Outlook Outlook ExpressExpress、MSN MSN MessagerMessager、Media PlayerMedia Player这些集成的应用程序，都可能成为漏洞攻击的桥梁。这些集成的应用程序，都可能成为漏洞攻击的桥梁。漏洞漏洞扫扫描概述描概述 3 3 漏洞漏洞对对系系统统的威逼的威逼 漏洞对系统的威逼体现在恶意攻击行为对系统的威逼，漏洞对系统的威逼体现在恶意攻击行为对系统的威逼，因为只有利用硬件、软件和策略上最薄弱的环节，恶意攻击因为只

7、有利用硬件、软件和策略上最薄弱的环节，恶意攻击者才可以得手。者才可以得手。目前，因特网上已有目前，因特网上已有3 3万多个黑客站点，而且黑客技术不万多个黑客站点，而且黑客技术不断创新，基本的攻击手法已多达断创新，基本的攻击手法已多达800800多种。多种。目前我国目前我国9595的与因特网相连的网络管理中心都遭到过的与因特网相连的网络管理中心都遭到过境内外攻击者的攻击或侵入，其中银行、金融和证券机构是境内外攻击者的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。国内乃至全世界的网络平安形势特别不容黑客攻击的重点。国内乃至全世界的网络平安形势特别不容乐观。漏洞可能影响一个单位或公司的生存问

8、题。乐观。漏洞可能影响一个单位或公司的生存问题。漏洞漏洞扫扫描概述描概述 4 4 漏洞扫描的必要性漏洞扫描的必要性 v帮助网管人员了解网络平安状况帮助网管人员了解网络平安状况v对资产进行风险评估的依据对资产进行风险评估的依据v平安配置的第一步平安配置的第一步v向领导上报数据依据向领导上报数据依据系系统统脆弱性分析脆弱性分析 信息系统存在着很多漏洞，如信息系统存在着很多漏洞，如IISIIS的平安性、的平安性、CGICGI的平安的平安性、性、DNSDNS与与FTPFTP协议的平安性、缓冲区溢出问题、拒绝服务和协议的平安性、缓冲区溢出问题、拒绝服务和后门。由于网络的飞速发展，越来越多的漏洞也必将随之

9、出后门。由于网络的飞速发展，越来越多的漏洞也必将随之出现。现。1 IIS1 IIS平安平安问题问题 Windows Windows的的IISIIS服务器存在着很多漏洞，如拒绝服务、泄服务器存在着很多漏洞，如拒绝服务、泄露信息、泄露源代码、获得更多权限、书目遍历、执行随意露信息、泄露源代码、获得更多权限、书目遍历、执行随意吩咐、缓冲区溢出执行随意代码等。吩咐、缓冲区溢出执行随意代码等。系系统统脆弱性分析脆弱性分析 2 2 缓缓冲区溢出冲区溢出 通过往程序的缓冲区写超出其长度的内容，造成缓冲区通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，的溢出

10、，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的根本缘由是程序中缺以达到攻击的目的。造成缓冲区溢出的根本缘由是程序中缺少错误检测。少错误检测。缓冲区溢出漏洞大量存在于各种软件中缓冲区溢出漏洞大量存在于各种软件中 缓冲区溢出攻击之所以成为一种常见平安攻击手段的缘缓冲区溢出攻击之所以成为一种常见平安攻击手段的缘由在于缓冲区溢出漏洞太普遍，并且易于实现。而且，缓冲由在于缓冲区溢出漏洞太普遍，并且易于实现。而且，缓冲区溢出漏洞赐予了攻击者他所想要的一切：植入并且执行攻区溢出漏洞赐予了攻击者他所想要的一切：植入并且执行攻击代码。被植入的攻击代码以确定的权限运行有缓冲区溢出

11、击代码。被植入的攻击代码以确定的权限运行有缓冲区溢出漏洞的程序，从而得到被攻击主机的限制权。漏洞的程序，从而得到被攻击主机的限制权。系系统统脆弱性分析脆弱性分析 3 3 拒拒绝绝服服务务攻攻击击 DoS（Denial of Service）软软件弱点是包含在操作系件弱点是包含在操作系统统或或应应用程序中与安全相关的系用程序中与安全相关的系统统缺陷，缺陷，这这些缺陷大多是由于些缺陷大多是由于错误错误的程序的程序编编制，粗心的源代制，粗心的源代码审码审核，无心的副效核，无心的副效应应或或一些不适当的一些不适当的绑绑定所造成的。根据定所造成的。根据错误错误信息所信息所带带来的来的对对系系统统无限制或

12、者未无限制或者未经许经许可的可的访问访问程度，程度，这这些漏洞可以被分些漏洞可以被分为为不同的等不同的等级级。典型的拒典型的拒绝绝服服务务攻攻击击有如下两种形式：有如下两种形式：资资源耗尽和源耗尽和资资源源过载过载。当一个当一个对资对资源的合理源的合理请请求大大超求大大超过资过资源的支付能力源的支付能力时时就会造成拒就会造成拒绝绝服服务务攻攻击击（例（例如，如，对对已已经满载经满载的的WebWeb服服务务器器进进行行过过多的多的请请求。）拒求。）拒绝绝服服务务攻攻击还击还有可能有可能是由于是由于软软件的弱点或者件的弱点或者对对程序的程序的错误错误配置造成的。区分配置造成的。区分恶恶意的拒意的拒

13、绝绝服服务务攻攻击击和非和非恶恶意的服意的服务务超超载载依依赖赖于于请请求求发发起者起者对资对资源的源的请请求是否求是否过过份，从而使份，从而使得其他的用得其他的用户户无法享用无法享用该该服服务资务资源。源。错误错误配置也会成配置也会成为为系系统统的安全的安全隐隐患。患。这这些些错误错误配置通常配置通常发发生在硬件装生在硬件装置，系置，系统统或者或者应应用程序中。如果用程序中。如果对对网网络络中的路由器，防火中的路由器，防火墙墙，交，交换换机以及机以及其他网其他网络连络连接接设备设备都都进进行正确的配置会减小行正确的配置会减小这这些些错误发错误发生的可能性。如果生的可能性。如果发现发现了了这这

14、种漏洞种漏洞应应当当请请教教专业专业的技的技术术人人员员来修理来修理这这些些问题问题。系系统统脆弱性分析脆弱性分析 以下的两种情况最容易以下的两种情况最容易导导致拒致拒绝绝服服务务攻攻击击：由于由于程序程序员对员对程序程序错误错误的的编编制，制，导导致系致系统统不停的建立不停的建立进进程，最程，最终终耗尽耗尽资资源源，只能重新启，只能重新启动动机器。不同的系机器。不同的系统统平台都平台都会采取某些方法可以防止一些特殊的用会采取某些方法可以防止一些特殊的用户户来占用来占用过过多的系多的系统统资资源，我源，我们们也建也建议议尽量采用尽量采用资资源管理的方式来减源管理的方式来减轻这轻这种安全种安全威

15、威胁胁。还还有一种情况是有一种情况是由磁由磁盘盘存存储储空空间间引起引起的。假如一个用的。假如一个用户户有有权权利存利存储储大量的文件的大量的文件的话话，他就有可能只，他就有可能只为为系系统统留下很小留下很小的空的空间间用来存用来存储储日志文件等系日志文件等系统统信息。信息。这这是一种不良的操作是一种不良的操作习惯习惯，会，会给给系系统带统带来来隐隐患。患。这这种情况下种情况下应该对应该对系系统统配配额额作出作出考考虑虑。拒绝服务攻击（拒绝服务攻击（DoS）SYN（我可以连接吗？）（我可以连接吗？）攻击者攻击者受害者受害者伪造地址进行网络连接恳求伪造地址进行网络连接恳求为何还为何还没回应没回应

16、就是让就是让你白等你白等虚假地址虚假地址回复信息回复信息服务器等待回传信息服务器等待回传信息拒绝服务攻击的种类拒绝服务攻击的种类l发送大量的无用恳求，致使目标网络系统整发送大量的无用恳求，致使目标网络系统整体的网络性能大大降低，丢失与外界通信的体的网络性能大大降低，丢失与外界通信的实力。实力。l利用网络服务以及网络协议的某些特性，发利用网络服务以及网络协议的某些特性，发送超出目标主机处理实力的服务恳求，导致送超出目标主机处理实力的服务恳求，导致目标主机丢失对其他正常服务恳求的相应实目标主机丢失对其他正常服务恳求的相应实力。力。l利用系统或应用软件上的漏洞或缺陷，发送利用系统或应用软件上的漏洞或

17、缺陷，发送经过特殊构造的数据包，导致目标的瘫痪经过特殊构造的数据包，导致目标的瘫痪（称之为（称之为nuke)nuke)利用系统缺陷攻击利用系统缺陷攻击利用系统缺陷攻击利用系统缺陷攻击1)1)OOBOOBOOBOOB攻击攻击攻击攻击2)2)耗尽连接攻击耗尽连接攻击耗尽连接攻击耗尽连接攻击利用放大原理利用放大原理利用放大原理利用放大原理1)1)SmurfSmurfSmurfSmurf攻击攻击攻击攻击2)2)利用放大系统攻击利用放大系统攻击利用放大系统攻击利用放大系统攻击分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击DDoSDDoSDDoSDDoS拒绝服务攻击（拒绝服务攻击

18、（DoS）1.1.OOBOOB攻击（攻击（攻击（攻击（Out of BandOut of Band）原理：原理：原理：原理：攻击者是利用攻击者是利用攻击者是利用攻击者是利用WindowsWindows下微软网络协定下微软网络协定下微软网络协定下微软网络协定NetBIOSNetBIOS的一的一的一的一个例外处理程序个例外处理程序个例外处理程序个例外处理程序OOBOOB（Out of BandOut of Band）的漏洞。只要有人）的漏洞。只要有人）的漏洞。只要有人）的漏洞。只要有人以以以以OOBOOB的方式，通过的方式，通过的方式，通过的方式，通过TCP/IPTCP/IP传递一个小小的包到某个

19、传递一个小小的包到某个传递一个小小的包到某个传递一个小小的包到某个IPIP地地地地址的某个开放的受端上（一般为址的某个开放的受端上（一般为址的某个开放的受端上（一般为址的某个开放的受端上（一般为139139）。）。）。）。对象：使没有防护或修订的对象：使没有防护或修订的对象：使没有防护或修订的对象：使没有防护或修订的win95/ntwin95/nt系统瞬间当机。系统瞬间当机。系统瞬间当机。系统瞬间当机。工具：工具：工具：工具：SspingSsping、Teardrop(Teardrop(泪滴泪滴泪滴泪滴)、Trin00Trin00、Targe3Targe3这些攻击都是利用系统的漏洞，因此补救的

20、方法是升级或下这些攻击都是利用系统的漏洞，因此补救的方法是升级或下这些攻击都是利用系统的漏洞，因此补救的方法是升级或下这些攻击都是利用系统的漏洞，因此补救的方法是升级或下载补丁载补丁载补丁载补丁 对策对策对策对策拒绝服务攻击（拒绝服务攻击（DoS）2.2.耗尽连接攻读耗尽连接攻读耗尽连接攻读耗尽连接攻读vvLANDLAND攻击：攻击：攻击：攻击：向被攻击者发送一个个源地址和目标地址都向被攻击者发送一个个源地址和目标地址都向被攻击者发送一个个源地址和目标地址都向被攻击者发送一个个源地址和目标地址都被设置成为被攻击者的地址的被设置成为被攻击者的地址的被设置成为被攻击者的地址的被设置成为被攻击者的地

21、址的SYNSYN包，导致被攻击者自己与包，导致被攻击者自己与包，导致被攻击者自己与包，导致被攻击者自己与自己建立一个空连接，直到超时。自己建立一个空连接，直到超时。自己建立一个空连接，直到超时。自己建立一个空连接，直到超时。vvTCP/SYNTCP/SYN攻击攻击攻击攻击：攻击者向目标主机不断发送带有虚假源攻击者向目标主机不断发送带有虚假源攻击者向目标主机不断发送带有虚假源攻击者向目标主机不断发送带有虚假源地址的地址的地址的地址的SYNSYN包，目标主机发送包，目标主机发送包，目标主机发送包，目标主机发送ACK/SYNACK/SYN回应，因为源地址回应，因为源地址回应，因为源地址回应，因为源地

22、址是虚假的，所以不会收到是虚假的，所以不会收到是虚假的，所以不会收到是虚假的，所以不会收到ACKACK回应，导致耗费大量资源等回应，导致耗费大量资源等回应，导致耗费大量资源等回应，导致耗费大量资源等待待待待ACKACK上，直止系统资源耗尽。上，直止系统资源耗尽。上，直止系统资源耗尽。上，直止系统资源耗尽。这些攻击都是利用系统的漏洞，因此补救的方法是升级或下这些攻击都是利用系统的漏洞，因此补救的方法是升级或下这些攻击都是利用系统的漏洞，因此补救的方法是升级或下这些攻击都是利用系统的漏洞，因此补救的方法是升级或下载补丁载补丁载补丁载补丁 对策对策对策对策拒绝服务攻击（拒绝服务攻击（DoS）拒绝服务

23、攻击拒绝服务攻击SynFloodl正常的正常的TCP/IPTCP/IP三次握三次握手手lSynFloodSynFlood攻击攻击 服服务务器器 客客户户端端SYNSYN+ACKACK握手完成，开始传送数握手完成，开始传送数据，系统消耗很少据，系统消耗很少被被攻攻击击主主机机 攻攻击击主主机机伪造源地址伪造源地址不不存存在在的的主主机机不断重试及不断重试及等待，消耗等待，消耗系统资源系统资源不响应不响应SYNSYN+ACKSynFlood的防卫对策的防卫对策l重新设置一些重新设置一些TCP/IPTCP/IP协议参数协议参数l增加增加TCPTCP监听套解字未完成连接队列的最大长监听套解字未完成连接

24、队列的最大长度度l削减未完成连接队列的超时等待时间削减未完成连接队列的超时等待时间l类似于类似于SYN CookiesSYN Cookies的特殊措施的特殊措施l选择高性能的防火墙选择高性能的防火墙lSYN ThresholdSYN Threshold类类lSYN DefenderSYN Defender类类lSYN ProxySYN Proxy类类SmurfSmurfSmurfSmurf攻击攻击攻击攻击攻击者用广播的方式发送回复地址为受害者地址的攻击者用广播的方式发送回复地址为受害者地址的ICMP(ICMP(网际限网际限制报文协议制报文协议)恳求数据包，每个收到这个数据包的主机都进行回恳求数

25、据包，每个收到这个数据包的主机都进行回应，大量的回复数据包发给受害者，导致受害主机崩溃。应，大量的回复数据包发给受害者，导致受害主机崩溃。S S S Sm m m mu u u ur r r rf f f f攻攻攻攻击击击击原原原原理理理理拒绝服务攻击（拒绝服务攻击（DoS）利用放大系统攻击利用放大系统攻击利用放大系统攻击利用放大系统攻击某些类型的操作系统，在确定状况下，对一个恳求所返某些类型的操作系统，在确定状况下，对一个恳求所返某些类型的操作系统，在确定状况下，对一个恳求所返某些类型的操作系统，在确定状况下，对一个恳求所返回的信息比恳求信息量大几十倍（如回的信息比恳求信息量大几十倍（如回的

26、信息比恳求信息量大几十倍（如回的信息比恳求信息量大几十倍（如MacintoshMacintosh），攻击者），攻击者），攻击者），攻击者伪装成目标主机进行恳求，导致大量数据流发向目标主机，伪装成目标主机进行恳求，导致大量数据流发向目标主机，伪装成目标主机进行恳求，导致大量数据流发向目标主机，伪装成目标主机进行恳求，导致大量数据流发向目标主机，加重了攻击效果。加重了攻击效果。加重了攻击效果。加重了攻击效果。拒绝服务攻击（拒绝服务攻击（DoS）DoS攻击技术DDoS技术DDoS攻击手段是在传统的攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单攻击基础之上产生的一类攻击方式。单一的一的Do

27、S攻击一般是接受一对一方式的，攻击一般是接受一对一方式的，DDoS就是利用更多的傀儡机就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。来发起进攻，以比从前更大的规模来进攻受害者。DDoS分布式拒绝服务攻击分布式拒绝服务攻击lDDoSDDoS是是DoSDoS攻击的延长，威力巨大，具体攻击攻击的延长，威力巨大，具体攻击方式多种多样。方式多种多样。l分布式拒绝服务攻击就是利用一些自动化或分布式拒绝服务攻击就是利用一些自动化或半自动化的程序限制很多分布在各个地方的半自动化的程序限制很多分布在各个地方的主机同时拒绝服务攻击同一目标主机同时拒绝服务攻击同一目标 。l攻击一般会接受攻击一般会

28、接受IPIP地址欺瞒技术，隐藏自己地址欺瞒技术，隐藏自己的的IPIP地址，所以很难追查。地址，所以很难追查。分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击 DDoS一个一个一个一个DDoSDDoSDDoSDDoS攻击体系分成四大部分，第攻击体系分成四大部分，第攻击体系分成四大部分，第攻击体系分成四大部分，第2 2 2 2和第和第和第和第3 3 3 3部分分别用作限制和实际部分分别用作限制和实际部分分别用作限制和实际部分分别用作限制和实际发起攻击，对第发起攻击，对第发起攻击，对第发起攻击，对第4 4 4 4部分的受害者来说，部分的受害者来说，部分的受害者来说，部分的受害

29、者来说，DDoSDDoSDDoSDDoS的实际攻击包是从第的实际攻击包是从第的实际攻击包是从第的实际攻击包是从第3 3 3 3部分攻击部分攻击部分攻击部分攻击傀儡机上发出的，第傀儡机上发出的，第傀儡机上发出的，第傀儡机上发出的，第2 2 2 2部分的限制机只发布吩咐而不参与实际的攻击。对部分的限制机只发布吩咐而不参与实际的攻击。对部分的限制机只发布吩咐而不参与实际的攻击。对部分的限制机只发布吩咐而不参与实际的攻击。对第第第第2 2 2 2和第和第和第和第3 3 3 3部分计算机，黑客有限制权或者是部分的限制权，并把相应的部分计算机，黑客有限制权或者是部分的限制权，并把相应的部分计算机，黑客有限

30、制权或者是部分的限制权，并把相应的部分计算机，黑客有限制权或者是部分的限制权，并把相应的DDoSDDoSDDoSDDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发觉。黑客的指令，通常它还会利用各种手段隐藏自己不被别人发觉。黑客的指令，通常它还会利用各种手段隐藏自己不被别人发觉。黑客的指令，通常它还会利用各种手段隐藏自己不被别人发觉。D D D DD

31、 D D Do o o oS S S S攻攻攻攻击击击击原原原原理理理理分布式拒绝服务攻击防卫对策分布式拒绝服务攻击防卫对策l对于分布式攻击，目前仍无特别有效的方法对于分布式攻击，目前仍无特别有效的方法来防卫来防卫l基本的防卫对策基本的防卫对策l做好各种基本的拒绝服务攻击防卫措施，打做好各种基本的拒绝服务攻击防卫措施，打好补丁；好补丁；l联系联系ISPISP对主干路由器进行限流措施；对主干路由器进行限流措施；l利用各种平安防卫系统进行协助记录工作。利用各种平安防卫系统进行协助记录工作。l运用软件来帮助管理员搜寻运用软件来帮助管理员搜寻ddosddos客户端客户端lfind_ddosfind_d

32、doslZombieZapperZombieZapperlddospingddosping系系统统脆弱性分析脆弱性分析 4 DNS4 DNS的平安性的平安性对对DNSDNS服务器的攻击主要有三种方法：地址欺瞒、远程漏服务器的攻击主要有三种方法：地址欺瞒、远程漏洞入侵和拒绝服务。洞入侵和拒绝服务。1 1）地址欺瞒。地址欺瞒攻击利用了）地址欺瞒。地址欺瞒攻击利用了RFCRFC标准协议中的某标准协议中的某些不完善的地方，达到修改域名指向的目的。些不完善的地方，达到修改域名指向的目的。2 2）远程漏洞入侵。）远程漏洞入侵。BINDBIND服务器软件的很多版本存在缓冲服务器软件的很多版本存在缓冲区溢出漏

33、洞，黑客可以利用这些漏洞远程入侵区溢出漏洞，黑客可以利用这些漏洞远程入侵BINDBIND服务器所服务器所在的主机，并以在的主机，并以rootroot身份执行随意吩咐。身份执行随意吩咐。3 3）拒）拒绝绝服服务务。一种攻。一种攻击针对击针对DNSDNS服服务务器器软软件本身件本身；另一种另一种攻攻击击的目的目标标不是不是DNSDNS服服务务器，而是利用器，而是利用DNSDNS服服务务器作器作为为中中间间的的“攻攻击击放大器放大器”，去攻，去攻击击其他其他InternetInternet上的主机上的主机。系系统统脆弱性分析脆弱性分析 5 5 FTP FTP协议协议漏洞分析漏洞分析 1 1）FTPF

34、TP反弹反弹(FTP Bounce)(FTP Bounce)。FTP FTP的代理服务特性，形成的代理服务特性，形成FTPFTP反弹漏洞。反弹漏洞。2 2）有限制的访问）有限制的访问(Restricted Access)(Restricted Access)。可能形成限制。可能形成限制连接是可信任的，而数据连接却不是。连接是可信任的，而数据连接却不是。3 3）爱护密码）爱护密码(Protecting Passwords)(Protecting Passwords)。漏洞：。漏洞：在在FTPFTP标准标准PR85PR85中，中，FTPFTP服务器允许无限次输入密码；服务器允许无限次输入密码；“P

35、ASS”“PASS”吩咐以明文传送密码。吩咐以明文传送密码。4 4）端口盗用）端口盗用(Port SteaUng)(Port SteaUng)。漏洞：当运用操作系统相。漏洞：当运用操作系统相关的方法安排端口号时，通常都是按增序安排。关的方法安排端口号时，通常都是按增序安排。系系统统脆弱性分析脆弱性分析 6 6 后门（后门（backdoorbackdoor）后门通常是一个服务端程序，它可能由黑客编写，被恶后门通常是一个服务端程序，它可能由黑客编写，被恶意攻击者通过确定手段放在目标主机上以达到非法目的；也意攻击者通过确定手段放在目标主机上以达到非法目的；也可能是目标主机正在运行的授权应用软件，其本

36、身具有可被可能是目标主机正在运行的授权应用软件，其本身具有可被攻击者利用的特性。更形象地说，第一种状况是小偷趁主子攻击者利用的特性。更形象地说，第一种状况是小偷趁主子度假期间，在房主院子后面为自己打造了一个后门，并稍加度假期间，在房主院子后面为自己打造了一个后门，并稍加装饰，使人轻易发觉不了他的杰作；其次种状况可能是主子装饰，使人轻易发觉不了他的杰作；其次种状况可能是主子为了便利，原来就在院子后面留有一门，但由于疏忽竟然忘为了便利，原来就在院子后面留有一门，但由于疏忽竟然忘了上锁，这就给小偷以可乘之机。当然，在第一种状况下，了上锁，这就给小偷以可乘之机。当然，在第一种状况下，若小偷在主子眼皮底

37、下开工，自然须要更超群的技术，通常若小偷在主子眼皮底下开工，自然须要更超群的技术，通常人们所说的特洛伊木马就是这种状况。人们所说的特洛伊木马就是这种状况。很多网管软件也有类似的功能，若被误用或滥用，后果很多网管软件也有类似的功能，若被误用或滥用，后果会特别严峻。会特别严峻。漏洞扫描工具漏洞扫描工具lX-ScanX-Scan国人自主开发，完全免费国人自主开发，完全免费国人自主开发，完全免费国人自主开发，完全免费视频：视频：X-SCAN的运用的运用.wmv接受多线程方式对指定接受多线程方式对指定IPIP地址段地址段(或或单机单机)进行平安漏洞检测，支持插件进行平安漏洞检测，支持插件功能。扫描内容包

38、括：远程服务类功能。扫描内容包括：远程服务类型、操作系统类型及版本，各种弱型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二网络设备漏洞、拒绝服务漏洞等二十几个大类。对于多数已知漏洞，十几个大类。对于多数已知漏洞，给出了相应的漏洞描述、解决方案给出了相应的漏洞描述、解决方案及具体描述链接及具体描述链接详见：详见：X-SCAN运用教程运用教程.doc SSS（Shadow Security Scanner）Retina Network Security ScannerLANguard Network Security ScannerDOS攻击试验攻击试验l完成试验五：完成试验五：网络端口扫描及网络端口扫描及DOSDOS攻击试验攻击试验3漏洞攻击的防范l防范利用漏洞攻击的最佳方式就是预先打好补丁，只要系统漏洞修复能和平安组织公布的漏洞信息以及厂商的补丁同步，网络内机器受攻击的可能性就越小，平安系数就越高。l除了升级的方法外，一些工具软件这些软件一般定向爱护系统的应用程序，针对“对外服务”漏洞的较少。