計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)（微課版）課件 第2章 網(wǎng)絡(luò)攻擊與防御

第2章網(wǎng)絡(luò)攻擊與防御CONTENTSCONTENTS01黑客概述02網(wǎng)絡(luò)信息收集03網(wǎng)絡(luò)監(jiān)聽04網(wǎng)絡(luò)入侵實(shí)施CONTENTSCONTENTS05拒絕服務(wù)攻擊06ARP欺騙07緩沖區(qū)溢出08入侵檢測(cè)與防御系統(tǒng)第2章網(wǎng)絡(luò)攻擊與防御2.1黑客概述2.1.1黑客的由來與分類2.1.2黑客攻擊的主要途徑2.1.3黑客攻擊的目的及過程第2章網(wǎng)絡(luò)攻擊與防御Hacker一詞，最初曾指熱心于計(jì)算機(jī)技術(shù)、水平高超的電腦高手，尤其是程序設(shè)計(jì)人員，逐漸區(qū)分為白帽、灰帽、黑帽等，其中黑帽（BlackHat）實(shí)際就是Cracker。在媒體報(bào)道中，黑客一詞常指那些軟件駭客（SoftwareCracker），而與黑客（黑帽子）相對(duì)的則是白帽子。1．黑客的定義2．黑客的行為發(fā)展趨勢(shì)2.1.1黑客的由來與分類第2章網(wǎng)絡(luò)攻擊與防御2.1.2黑客攻擊的主要途徑黑客攻擊主要借助計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞。漏洞又稱系統(tǒng)缺陷，是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，它們可使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。1．黑客攻擊的漏洞2．黑客入侵通道第2章網(wǎng)絡(luò)攻擊與防御2.1.3黑客攻擊的目的及過程下面介紹一下黑客攻擊的目的以及攻擊的過程。1．黑客攻擊的目的2．黑客攻擊手段的類型3．黑客攻擊的過程第2章網(wǎng)絡(luò)攻擊與防御2.2網(wǎng)絡(luò)信息收集2.2.1常見的網(wǎng)絡(luò)信息收集技術(shù)2.2.2常見的網(wǎng)絡(luò)掃描器工具2.2.3常用的網(wǎng)絡(luò)命令第2章網(wǎng)絡(luò)攻擊與防御2.2.1常見的網(wǎng)絡(luò)信息收集技術(shù)信息收集是指黑客為了更加有效地實(shí)施攻擊而在攻擊前或攻擊過程中對(duì)目標(biāo)主機(jī)的所有探測(cè)活動(dòng)。信息收集有時(shí)也被稱為“踩點(diǎn)”。通?！安赛c(diǎn)”包括以下內(nèi)容，目標(biāo)主機(jī)的域名、IP地址、操作系統(tǒng)類型、開放了哪些端口，以及這些端口后面運(yùn)行著什么樣的應(yīng)用程序，這些應(yīng)用程序有沒有漏洞等。那么如何收集信息呢？可以利用與技術(shù)無關(guān)的“社會(huì)工程學(xué)”、搜索引擎以及掃描工具等。1．社會(huì)工程學(xué)2．Web搜索與挖掘3．DNS和IP查詢4．網(wǎng)絡(luò)結(jié)構(gòu)探測(cè)第2章網(wǎng)絡(luò)攻擊與防御2.2.2常見的網(wǎng)絡(luò)掃描器工具網(wǎng)絡(luò)掃描作為網(wǎng)絡(luò)信息收集中最主要的一人環(huán)節(jié)，其主要是探測(cè)目標(biāo)網(wǎng)絡(luò)，找出盡可能多的連接目標(biāo)，然后進(jìn)一步探測(cè)獲取目標(biāo)系統(tǒng)的開放端口、操作系統(tǒng)類型、運(yùn)行的網(wǎng)絡(luò)服務(wù)、存在的安全漏洞等信息，這些工作可以通過網(wǎng)絡(luò)掃描器來完成。1．X-Scan綜合掃描器工具2．Nmap掃描器工具3．Nessus掃描器工具4．Portscan&Stuff掃描器工具5．Portscan端口掃描工具6．FreePortScanner端口掃描工具第2章網(wǎng)絡(luò)攻擊與防御2.2.3常用的網(wǎng)絡(luò)命令在網(wǎng)絡(luò)設(shè)備調(diào)試的過程中，經(jīng)常會(huì)使用網(wǎng)絡(luò)命令對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試，以查看網(wǎng)絡(luò)的運(yùn)行情況。下面介紹一下網(wǎng)絡(luò)中常用的網(wǎng)絡(luò)命令的用法。1．ping命令2．tracert命令3．nslookup命令4．netstat命令5．ipconfig命令6．a(chǎn)rp命令第2章網(wǎng)絡(luò)攻擊與防御2.3網(wǎng)絡(luò)監(jiān)聽2.3.1Wireshark網(wǎng)絡(luò)分析器2.3.2Charles網(wǎng)絡(luò)封包分析器2.3.3Fiddler調(diào)試代理分析器2.3.4Iptool網(wǎng)路崗抓包第2章網(wǎng)絡(luò)攻擊與防御2.3.1Wireshark網(wǎng)絡(luò)分析器Wireshark（前稱Ethereal）是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是獲取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。1．Wireshark工具的使用2．Wireshark的工作流程第2章網(wǎng)絡(luò)攻擊與防御2.3.2Charles網(wǎng)絡(luò)封包分析器Charles是常用的截取網(wǎng)絡(luò)封包的工具，為了調(diào)試與服務(wù)器端的網(wǎng)絡(luò)通訊協(xié)議，常常需要截取網(wǎng)絡(luò)封包來進(jìn)行分析。Charles是通過把自己設(shè)置成系統(tǒng)的網(wǎng)絡(luò)訪問代理服務(wù)器，使得所有的網(wǎng)絡(luò)訪問請(qǐng)求都通過它來完成，從而就可以實(shí)現(xiàn)了網(wǎng)絡(luò)封包的截取和分析。1．Charles主要功能如下2．Charles工具的使用第2章網(wǎng)絡(luò)攻擊與防御2.3.3Fiddler調(diào)試代理分析器Fiddler是一個(gè)HTTP協(xié)議調(diào)試代理工具，它能夠記錄并檢查所有你的電腦和互聯(lián)網(wǎng)之間的HTTP通訊，設(shè)置斷點(diǎn)，查看所有的“進(jìn)出”Fiddler的數(shù)據(jù)（指cookie、html、js、css等文件）。Fiddler要比其他的網(wǎng)絡(luò)調(diào)試器要更加簡(jiǎn)單，因?yàn)樗粌H僅暴露http通訊還提供了一個(gè)用戶友好的格式。Fiddler支持?jǐn)帱c(diǎn)調(diào)試技術(shù)，當(dāng)你在軟件的菜單rules—automaticbreakpoints選項(xiàng)選擇beforerequest，或者當(dāng)這些請(qǐng)求或響應(yīng)屬性能夠跟目標(biāo)的標(biāo)準(zhǔn)相匹配，F(xiàn)iddler就能夠暫停HTTP通訊，并且允許修改請(qǐng)求和響應(yīng)。這種功能對(duì)于安全測(cè)試是非常有用的，當(dāng)然也可以用來做一般的功能測(cè)試，因?yàn)樗械拇a路徑都可以用來演習(xí)。第2章網(wǎng)絡(luò)攻擊與防御2.3.4Iptool網(wǎng)路崗抓包智能平臺(tái)管理接口（IntelligentPlatformManagementInterface，IPMI），IPMItool是一個(gè)簡(jiǎn)單的命令行接口，用于管理基于IPMI啟用的設(shè)備。通過內(nèi)核設(shè)備驅(qū)動(dòng)程序或通過LAN接口，您可使用此實(shí)用程序執(zhí)行IPMI功能。IPMItool使您能夠不依賴于操作系統(tǒng)而管理系統(tǒng)的現(xiàn)場(chǎng)可更換部件、監(jiān)視系統(tǒng)健康狀態(tài)以及監(jiān)視并管理系統(tǒng)環(huán)境，打開網(wǎng)路崗抓包iptool工具軟件的主界面，如圖2.61所示。第2章網(wǎng)絡(luò)攻擊與防御2.4網(wǎng)絡(luò)入侵實(shí)施1.4.1OSI參考模型1.4.2OSI參考模型各層的功能1.4.3OSI參考模型數(shù)據(jù)傳輸過程第2章網(wǎng)絡(luò)攻擊與防御2.4.1口令破解入侵者攻擊目標(biāo)時(shí)常把破譯用戶的口令作為攻擊的開始。只要入侵者能猜測(cè)或者確定用戶的口令，他就能獲得機(jī)器或者網(wǎng)絡(luò)的訪問權(quán)，并能訪問到用戶能訪問到的任何資源。如果這個(gè)用戶有域管理員或root用戶權(quán)限，這是極其危險(xiǎn)的?？诹罟羰呛诳妥钕矚g采用的入侵網(wǎng)絡(luò)的方法。黑客通過獲取系統(tǒng)管理員或其他殊用戶的口令，獲得系統(tǒng)的管理權(quán)，竊取系統(tǒng)信息、磁盤中的文件甚至對(duì)系統(tǒng)進(jìn)行破壞。1．口令破解常用方法2．口令破解實(shí)例應(yīng)用第2章網(wǎng)絡(luò)攻擊與防御2.4.2主機(jī)IPC$入侵IPC$入侵，即通過使用Windows系統(tǒng)中默認(rèn)啟動(dòng)的IPC$共享，來達(dá)到侵略主機(jī)，獲得計(jì)算機(jī)控制權(quán)的入侵。此類入侵主要利用的是計(jì)算機(jī)使用者對(duì)計(jì)算機(jī)安全的知識(shí)缺乏，通常不會(huì)給計(jì)算機(jī)設(shè)置密碼或者密碼過于簡(jiǎn)單，因此才導(dǎo)致被黑客的有機(jī)可乘。IPC$是Windows的默認(rèn)共享。其實(shí)，這個(gè)共享并沒有什么漏洞。我們可以用主機(jī)的管理員用戶名和密碼連接。問題就出在管理員密碼了。直至現(xiàn)在為止，世界上起碼有20%的人，把主機(jī)密碼設(shè)置為“空”或者“123”等簡(jiǎn)單密碼。1．主機(jī)IPC$入侵實(shí)例應(yīng)用2．如何防范IPC$入侵第2章網(wǎng)絡(luò)攻擊與防御2.5拒絕服務(wù)攻擊2.5.1拒絕服務(wù)攻擊概述2.5.2常見的拒絕服務(wù)攻擊2.5.3分布式拒絕服務(wù)攻擊2.5.4DoS與DDoS攻擊的防護(hù)第2章網(wǎng)絡(luò)攻擊與防御2.5.1拒絕服務(wù)攻擊概述拒絕服務(wù)（Denialofservice，DoS），任何對(duì)服務(wù)的干涉，使得其可用性降低或者失去可用性均稱為拒絕服務(wù)。例如，一個(gè)計(jì)算機(jī)系統(tǒng)崩潰或其帶寬耗盡或其硬盤被填滿，導(dǎo)致其不能提供正常的服務(wù)，就構(gòu)成拒絕服務(wù)。拒絕服務(wù)攻擊是指造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。1．拒絕服務(wù)攻擊的定義2．拒絕服務(wù)攻擊的目的3．拒絕服務(wù)攻擊的分類第2章網(wǎng)絡(luò)攻擊與防御2.5.2常見的拒絕服務(wù)攻擊拒絕服務(wù)攻擊的攻擊者想盡辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問，這些資源包括磁盤空間、內(nèi)存、進(jìn)程，甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機(jī)死機(jī)。攻擊者進(jìn)行拒絕服務(wù)攻擊，實(shí)際上是讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求；二是使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。下面來介紹一下幾種常見的拒絕服務(wù)攻擊。1．死亡之ping2．Land攻擊3．IP欺騙性攻擊4．Teardrop攻擊5．SYNFlood攻擊6．UDPFlood攻擊第2章網(wǎng)絡(luò)攻擊與防御2.5.3分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊(DistributedDenialofService，DDoS)是指處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)攻擊，或者一個(gè)攻擊者控制了位于不同位置的多臺(tái)機(jī)器并利用這些機(jī)器對(duì)受害者同時(shí)實(shí)施攻擊。由于攻擊的發(fā)出點(diǎn)是分布在不同地方的，這類攻擊稱為分布式拒絕服務(wù)攻擊，其中的攻擊者可以有多個(gè)。1．Smurf攻擊2．Trinoo攻擊3．TFN攻擊4．TFN2攻擊5．Stacheldraht攻擊第2章網(wǎng)絡(luò)攻擊與防御2.5.4DoS與DDoS攻擊的防護(hù)DoS攻擊幾乎是從互聯(lián)網(wǎng)絡(luò)的誕生以來，就伴隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展而一直存在也不斷發(fā)展和升級(jí)。由于DDoS攻擊具有隱蔽性，因此到目前為止還沒有發(fā)現(xiàn)對(duì)DDoS攻擊行為之有效的解決方法，所以要加強(qiáng)安全防范意識(shí)，提高網(wǎng)絡(luò)系統(tǒng)的安全性。1．DoS攻擊的防護(hù)2．DDoS攻擊防護(hù)第2章網(wǎng)絡(luò)攻擊與防御2.6ARP欺騙2.6.1ARP的工作原理2.6.2ARP欺騙攻擊及防御第2章網(wǎng)絡(luò)攻擊與防御2.6.1ARP的工作原理地址解析協(xié)議（AddressResolutionProtocol，ARP），解析IP地址與MAC地址的對(duì)應(yīng)關(guān)系，即將IP地址解析為MAC地址。ARP協(xié)議的基本功能就是查詢目標(biāo)設(shè)備的MAC地址，完成數(shù)據(jù)封裝。ARP是一種利用網(wǎng)絡(luò)層地址來取得數(shù)據(jù)鏈路層地址的協(xié)議，如果網(wǎng)絡(luò)層使用IP，數(shù)據(jù)鏈路層使用以太網(wǎng)，那么當(dāng)我們知道某個(gè)設(shè)備的IP地址時(shí)，就可以利用ARP來取得對(duì)應(yīng)的以太網(wǎng)MAC地址。網(wǎng)絡(luò)設(shè)備在發(fā)送數(shù)據(jù)時(shí)，當(dāng)網(wǎng)絡(luò)層信息要封裝為數(shù)據(jù)鏈路層信息之前，需要首先取得目的設(shè)備的MAC地址。因此，ARP在網(wǎng)絡(luò)數(shù)據(jù)通信中是非常重要的。

第2章網(wǎng)絡(luò)攻擊與防御2.6.2ARP欺騙攻擊及防御ARP協(xié)議并不是只在發(fā)送了ARP請(qǐng)求后才接收ARP應(yīng)答，當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答的IP和MAC地址存儲(chǔ)在ARP緩存中。ARP欺騙攻擊正是利用了ARP緩存表更新的特點(diǎn)，黑客有目的地向被攻擊者發(fā)送虛假的單播ARPrequest或者ARPreply報(bào)文。第2章網(wǎng)絡(luò)攻擊與防御2.7緩沖區(qū)溢出2.7.1緩沖區(qū)溢出原理2.7.2緩沖區(qū)溢出的防范措施第2章網(wǎng)絡(luò)攻擊與防御2.7.1緩沖區(qū)溢出原理緩沖區(qū)溢出是針對(duì)程序設(shè)計(jì)缺陷，向程序輸入緩沖區(qū)寫入使之溢出的內(nèi)容（通常是超過緩沖區(qū)能保存的最大數(shù)據(jù)量的數(shù)據(jù)），從而破壞程序運(yùn)行、趁中斷之際并獲取程序乃至系統(tǒng)的控制權(quán)。1．緩沖區(qū)2．緩沖區(qū)溢出

第2章網(wǎng)絡(luò)攻擊與防御2.7.2緩沖區(qū)溢出的防范措施緩沖區(qū)溢出是代碼中固有的漏洞，除了在開發(fā)階段要注意編寫正確的代碼之外，對(duì)于用戶而言，一般的防范措施如下。（1）關(guān)閉端口或服務(wù)，管理員應(yīng)該知道自己的系統(tǒng)上安裝了什么，并且哪些服務(wù)正在運(yùn)行。（2）安裝軟件廠商的補(bǔ)丁,漏洞一公布，大的廠商就會(huì)及時(shí)提供補(bǔ)丁。（3）在防火墻上過濾特殊的流量,無法阻止內(nèi)部人員的溢出攻擊。（4）自己檢查關(guān)鍵的服務(wù)程序，看看是否有可怕的漏洞。（5）以所需要的最小權(quán)限運(yùn)行軟件。第2章網(wǎng)絡(luò)攻擊與防御2.8入侵檢測(cè)與防御系統(tǒng)2.8.1入侵檢測(cè)系統(tǒng)2.8.2入侵防御系統(tǒng)第2章網(wǎng)絡(luò)攻擊與防御2.8.1入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。不同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對(duì)IDS的部署，唯一的要求是IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。1．入侵檢測(cè)系統(tǒng)的概念2．入