为了正常的体验网站,请在浏览器设置里面开启Javascript功能!
首页 > 第三章 网络安全威胁

第三章 网络安全威胁

2013-07-20 50页 ppt 1MB 52阅读

用户头像

is_280304

暂无简介

举报
第三章 网络安全威胁null第3章 网络安全威胁第3章 网络安全威胁1 TCPIP经典威胁1 TCPIP经典威胁1.1 ARP欺骗 1.2 RIP源路由欺骗 1.3 TCP欺骗 1.4 WEB欺骗ARP欺骗ARP欺骗IP源路由欺骗IP源路由欺骗IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下,目的主机如果有应答或其他信息返回源站,就可以直接将该路由反向运用作为应答的回复路径。null条件 主机A(假设IP地址是192.168.100.11)是主机B的被信任主机 主机X想冒充主机A从主机B(假设IP为192.168.10...
第三章 网络安全威胁
null第3章 网络安全威胁第3章 网络安全威胁1 TCPIP经典威胁1 TCPIP经典威胁1.1 ARP欺骗 1.2 RIP源路由欺骗 1.3 TCP欺骗 1.4 WEB欺骗ARP欺骗ARP欺骗IP源路由欺骗IP源路由欺骗IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下,目的主机如果有应答或其他信息返回源站,就可以直接将该路由反向运用作为应答的回复路径。null条件 主机A(假设IP地址是192.168.100.11)是主机B的被信任主机 主机X想冒充主机A从主机B(假设IP为192.168.100.1)获得某些服务 攻击过程 攻击者修改距离X最近的路由器G2,使得到达此路由器且包含目的地址192.168.100.1的数据包以主机X所在的网络为目的地 攻击者X利用IP欺骗(把数据包的源地址改为192.168.100.11)向主机B发送带有源路由选项(指定最近的路由器G2)的数据包。当B回送数据包时,按收到数据包的源路由选项反转使用源路由,就传送到被更改过的路由器G2。由于G2路由表已被修改,收到B的数据包时,G2根据路由表把数据包发送到X所在网络,X可在其局域网内较方便的进行侦听,收取此数据包。TCP欺骗TCP欺骗基本流程: 步骤一,攻击者X要确定目标主机A的被信任主机B不在工作状态,若其在工作状态,也可使用SYN flooding等攻击手段使其处于拒绝服务状态。 步骤二,攻击者X伪造数据包:B -> A : SYN(ISN C),源IP地址使用B,初始序列号ISN为C,给目标主机发送TCP的SYN包请求建立连接。 步骤三,目标主机回应数据包:A -> B : SYN(ISN S) , ACK(ISN C),初始序列号为S,确认序号为C。由于B处于拒绝服务状态,不会发出响应包。攻击者X使用嗅探器捕获TCP报文段,得到初始序列号S。 步骤四,攻击者X伪造数据包:B ->A : ACK(ISN S),完成三次握手建立TCP连接。 步骤五,攻击者X一直使用B的IP地址与A进行通信。null盲攻击与非盲攻击: 非盲攻击:攻击者和被欺骗的目的主机在同一个网络上,攻击者可以简单地使用分析器(嗅探器)捕获TCP报文段,从而获得需要的序列号。见上述流程。 盲攻击:由于攻击者和被欺骗的目标主机不在同一个网络上,攻击者无法使用嗅探器捕获TCP报文段。其攻击步骤与非盲攻击几乎相同,只不过在步骤三无法使用嗅探器,可以使用TCP初始序列号预测技术得到初始序列号。在步骤五,攻击者X可以发送第一个数据包,但收不到A的响应包,较难实现交互。Unicode输入验证攻击Unicode输入验证攻击Unicode:统一的字符编码标准,采用双字节对字符进行编码。 当微软IIS 4.0/5.0(远东地区版本)在处理包含有不完整的双字节编码字符的HTTP命令请求时,会导致Web目录下的文件内容被泄漏给远程攻击者。 利用这种IIS的漏洞,攻击者就可以通过这些特殊字符绕过IIS的目录审计远程执行任意命令。null一般实例: http://server/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ http://server/index.asp/..%c1%1c../..%c1%1c../winnt/win.ini   注意:以上“+”代表空格。2 典型系统安全威胁2 典型系统安全威胁2.1 SQL注入攻击 2.2 缓冲区溢出2.1 SQL注入攻击2.1 SQL注入攻击问题简介 用用户的输入创建一个动态的SQL请求有可能让攻击者控制SQL语句的意思。 null Example 1: 下面的C# 代码动态的创建SQL语句查询属于当前使用者的 物品的名称。 ... string userName = ctx.getAuthenticatedUserName(); string query = "SELECT * FROM items WHERE owner = '" + userName + "' AND itemname = '" + ItemName.Text + "'"; sda = new SqlDataAdapter(query, conn); DataTable dt = new DataTable(); sda.Fill(dt); ... 查询语句预期被写为 SELECT * FROM items WHERE owner = AND itemname = ; 但是如果攻击者输入"name' OR 'a'='a" ,SQL语句就会变成 SELECT * FROM items WHERE owner = 'wiley' AND itemname = 'name' OR 'a'='a'; 于是可以简化成 SELECT * FROM items; 这样攻击者就可以查询到不属于当前用户下的items 了,而是查询到所有用户的items 。null Example 2:如果用户输入 "name'; DELETE FROM items; --" SQL语句变为: SELECT * FROM items WHERE owner = 'hacker' AND itemname = 'name'; DELETE FROM items; --'2.2 缓冲区溢出2.2 缓冲区溢出非常普遍、非常危险 后果: 程序运行失败 系统当机、重新启动 执行非授权指令,取得系统特权 概括:对可用性、完整性和机密性的攻击 渊源: Morris Worm 1988 针对fingerd CERT/CC(计算机紧急事件响应组/协调中心) Computer Emergency Response Team/Coordination Center3 计算机木马3 计算机木马3.1 计算机木马概述 3.2 计算机木马原理 3.3 计算机木马防御 3.4 流行木马简介3.1 计算机木马概述3.1 计算机木马概述木马( Trojan horse )是一种基于远程控制的黑客工具,具有:隐蔽性、潜伏性、危害性、非授权性。 木马与病毒、远程控制的区别 病毒程序是以自发性的败坏为目的 木马程序是依照黑客的命令来运作,主要目的是偷取文件、机密数据、个人隐私等行为。 隐蔽、非授权性 null发现木马的方法 系统的异常情况 打开文件,没有任何反应 查看打开的端口 检查注册表 查看进程null木马实施攻击的步骤 1.配置木马 木马伪装: 信息反馈: 2.传播木马 3.启动木马 4.建立连接 5.远程控制3.2 计算机木马原理3.2 计算机木马原理实际就是一个C/S模式的程序(里应外合)操作系统被植入木马的PC(server程序)TCP/IP协议端口被植入木马的PC(client程序)操作系统TCP/IP协议端口控制端端口处于监听状态null木马文件的隐藏与伪装 (1)文件的位置 (2)文件的属性 (3)捆绑到其他文件上 (4)文件的名字 (5)文件的的扩展名 (6)文件的图标null木马运行中的隐藏与伪装 (1)在任务栏里隐藏 (2)在任务管理器里隐藏 (3)隐藏端口null木马启动方式 win.ini system.ini 启动组 注册表 捆绑方式启动 : 伪装在普通文件中 设置在超级连接中null木马传播方式(主动与被动): 主动种入 通过E-mail 文件下载 浏览网页 3.3 计算机木马防御 3.3 计算机木马防御 发现木马:检查系统文件、注册表、端口 不要轻易使用来历不明的软件 不熟悉的E-MAIL不打开 常用杀毒软件并及时升级 查在安装新的软件之前,请先备份注册表在安装完软件以后,立即用杀毒软件查杀Windows文件夹和所安装的软件的所在文件夹。如果杀毒软件有病毒,这时请将它杀掉,杀毒完成后,重新启动计算机 3.4 流行木马简介3.4 流行木马简介冰 河(它既可当作植入被攻击端的木马,也可作为正当的网络远程管理利器。黄鑫 ) back orifice Subseven 网络公牛(Netbull) 网络神偷(Nethief) 广外女生 Netspy(网络精灵)4 拒绝服务攻击4 拒绝服务攻击4.1 拒绝服务攻击实例 4.2 分布式拒绝服务攻击 4.3 一次DDoS攻击过程 4.4 计算机蠕虫4.1 拒绝服务攻击实例4.1 拒绝服务攻击实例Ping of Death Jolt2 LandPing of DeathPing of Death原理: 攻击者:发送长度超过65535的ICMP Echo Request的碎片分组, 目标机:重组分片时会造成事先分配的65535字节缓冲区溢出,导致TCP/IP堆栈崩溃 防御: Win98之后的系统都能够应对超大尺寸的包 配置防火墙阻断ICMP以及任何未知协议分组Land Land 原理:发送一个特别定制的SYN分组 源地址和目的地址都设为目标机地址 源端口号和目的端口号相同 防御: 为操作系统安装最新的补丁 配置防火墙,过滤从外部接口进入的、含有内部源地址的分组 SYN FloodSYN Flood原理:TCP连接的三次握手和半开连接 攻击者:发送大量伪造的TCP连接请求 方法1:伪装成当时不在线的IP地址发动攻击 方法2:在主机或路由器上阻截目标机的SYN/ACK分组 目标机:堆栈溢出崩溃或无法处理正常请求 防御: 缩短SYN Timeout时间 (设置为20秒以下 ) 设置SYN Cookie 缺陷:依赖于对方使用真实的IP地址 设置路由器和防火墙,在给定的时间内只允许数量有限的半开TCP连接发往主机给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续收到某IP的重复SYN报文,就认定受到了攻击,从此IP地址来的后继包被丢弃。 null正常过程半开连接SYN TimeoutSYN Flood 之 TCP三次握手null攻击者目标主机1n等待应答SYN/ACK4.2 分布式拒绝服务攻击分布式拒绝服务(Distributed Denial of Service,DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。 4.2 分布式拒绝服务攻击Smurf一个将目的地址设置成广播地址(以太网地址为FF:FF:FF:FF:FF:FF:FF)后,将会被网络中所有主机接收并处理。显然,如果攻击者假冒目标主机的地址发出广播信息,则所有主机都会向目标主机回复一个应答使目标主机淹没在大量信息中,无法提供新的服务。这两个攻击就是利用广播地址的这一特点将攻击放大而实施的拒绝服务攻击。其中,Smurf是用广播地址发送ICMP ECHO包,而Fraggle是用广播地址发送UDP包。 显然,smurf为了能工作,必须要找到攻击平台,这个平台就是:其路由器上启动了IP广播功能——允许smurf 发送一个伪造的ping信息包,然后将它传播到整个计算机网络中。另一方面,为防止系统成为smurf攻击的平台,要将所有路由器上IP的广播功能都禁止(一般来讲,IP广播功能并不需要)。但是,攻击者若从LAN内部发动一个smurf攻击,在这种情况下,禁止路由器上的IP 广播功能就没有用了。为了避免这样一个攻击,许多操作系统都提供了相应设置,防止计算机对IP广播请求做出响应。 挫败一个smurf 攻击的最简单方法对边界路由器的回音应答(echo reply)信息包进行过滤,然后丢弃它们,使网络避免被淹没。 Smurfnull目标机攻击者放大器放大器源地址:目标机 目的地址:广播地址 (放大器网络)Smurf 之 放大器DDoS的一般原理图2.15 DDoS的一般原理 DDoS的一般原理null 一个比较完善的DDoS攻击体系分成4部分: · 攻击者所在机 · 控制机(用来控制傀儡机) · 傀儡机 · 受害者。 对受害者的攻击是从击傀儡机上发出的,控制机只发布命令而不参与实际的攻击。 trinoo DDoS攻击的基本过程是:攻击者连接到安装了master程序的计算机,启动master程序,然后根据一个IP地址的列表,由master程序负责启动所有的代理程序。接着,代理程序用UDP信息包冲击网络,攻击目标。在攻击之前,侵入者为了安装软件,已经控制了装有master程序的计算机和所有装有代理程序的计算机。 DDoS就是利用更多的傀儡机来发起进攻,以更大的规模来进攻受害者。 null2. DDoS系统的一般结构 在更一般的情况下,DDoS可能使用多台控制机,形成图2.16所示的结构。 图2.16 DDoS攻击原理 DDoS攻击时序1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者各种客户主机目标系统2)攻击者进入其已经发现的最弱的客户主机之内(“肉机”),并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。攻击准备:安置代理代理程序DDoS攻击时序null 3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。攻击者目标系统发起攻击:指令攻击的代理程序4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统,最终将导致它因通信淤塞而崩溃。虚假的连接请求DDoS工具DDoS工具TFN2K TFN2K由客户端和守护程序两部分组成。其中,客户端运行在主控端计算机上,是用于发动攻击的应用程序,攻击者通过它来发送各种命令;守护程序运行在代理端计算机上,是一个用于接收和响应来自主控端(即客户端)命令的进程 nullTF2K特征 主控端和代理端之间的信息通讯都是经过加密 可以用多种拒绝服务攻击方法对受害者发起攻击,比如说SYN洪水攻击、Ping洪水攻击、Smurf攻击等 TFN2K守护程序的进程名是在编译时指定的,因此在不同的代理端计算机上,TFN2K守护进程的名字都有可能不同 nullgrc.com 攻击null攻击者向一些正常的网络路由器发送带有连接请求的SYN数据包,这些数据包都带有一个相同的虚假IP 地址,而且这个虚假的IP地址就是攻击目标grc.com 的。 网络路由器接收这个请求连接的数据包,并做出应答,向grc.com网站发送应答数据包,作为建立TCP连接三次握手过程中的第二步。这些路由器不会向攻击者发送应答数据包。DDoS攻击的防御策略DDoS攻击的防御策略DDoS攻击的隐蔽性极强,迄今为止人们还没有找到对DDoS攻击行之有效的解决方法。所以加强安全防范意识、提高网络系统的安全性,还是当前最为有效的办法。可采取的安全防御措施有以下几种: (1)及早发现系统存在的攻击漏洞,及时安装系统补丁程序。对一些重要的信息(例如系统配置信息)建立和完善备份机制。对一些特权帐号(例如管理员帐号)的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。 (2)在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全界限,确保输出的包受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志。4.3 一次DDoS攻击过程这里用“组织”这个词,是因为DDoS并不象入侵一台主机那样简单。一般来说,黑客进行DDoS攻击时会经过如下几个步骤。 (1)搜集了解目标的情况 下列情况是黑客非常关心的情报: · 被攻击目标主机数目、地址情况 · 目标主机的配置、性能 · 目标的带宽 4.3 一次DDoS攻击过程null对于DDoS攻击者来说,攻击互联网上的某个站点,如http://www.WWWW.com,有一个重点就是确定到底有多少台主机在支持这个站点,一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例,一般会有下列地址都是提供http://www.WWW.com服务的: 66.218.71.87 66.218.71.88 66.218.71.89 66.218.71.80 66.218.71.81 66.218.71.83 66.218.71.84 66.218.71.86 对一个网站实施DDoS攻击,就要让这个网站中所有IP地址的机器都瘫掉。所以事先搜集情报对DDoS攻击者来说是非常重要的,这关系到使用多少台傀儡机才能达到效果的问题。 null(2)占领傀儡机 黑客最感兴趣的是有下列情况的主机: · 链路状态好的主机 · 性能好的主机 · 安全管理水平差的主机 首先,黑客做的工作一般是扫描,随机地或者是有针对性地利用扫描器去发现网络上那些有漏洞的机器,象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊),都是黑客希望看到的扫描结果。随后就是尝试入侵了。 黑客在占领了一台傀儡机后,除了要进行留后门、擦脚印这些基本工作之外,还要把DDoS攻击用的程序上载过去,一般是利用ftp。在攻击机上,会有一个DDoS的发包程序,黑客就是利用它来向受害目标发送恶意攻击包的。 null(3)实际攻击 前面的准备做得好的话,实际攻击过程反而是比较简单的。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击。高明的攻击者还要一边攻击一边用各种手段来监视攻击的效果,以便需要的时候进行一些调整。简单些的办法就是开个窗口不断地ping目标主机,在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。 null4. DDoS的监测 现在网上DDoS攻击日益增多,只有及时检测,及早发现自己受到攻击才能避免遭受惨重的损失。检测DDoS攻击的主要方法有以下几种: (1)根据异常情况分析 异常情况包括: · 网络的通讯量突然急剧增长,超过平常的极限值时; · 网站的某一特定服务总是失败; · 发现有特大型的ICP和UDP数据包通过或数据包内容可疑。 (2)使用DDoS检测工具 扫描系统漏洞是攻击者最常进行的攻击准备。目前市面上的一些网络入侵检测系统,可以杜绝攻击者的扫描行为。另外,一些扫描器工具可以发现攻击者植入系统的代理程序,并可以把它从系统中删除。 4.4 计算机蠕虫4.4 计算机蠕虫计算机蠕虫是指一种利用安全漏洞,在网络中主动传播,并造成信息泄漏、系统破坏或拒绝服务等后果的有害程序。 原理原理null举例举例红色代码 红色代码依赖的系统:装Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000系统;安装Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系统 红色代码的感染:通过IIS漏洞,使IIS服务程序处理请求数据包时溢出,导致把此“数据包”当作代码运行。蠕虫驻留后再次通过此漏洞感染其它服务器。 红色代码的发作:强行重起计算机防范防范1.一旦检测发现蠕虫迹象,应首先立即切断网络。这样可以防止蠕虫再次传播,同时可以减少蠕虫造成的网络负担。 2.将系统和应用软件打上最新补丁。很多蠕虫是通过系统和应用软件的漏洞进行传播的,将这些可能存在问题的软件打上最新补丁后,很大程度上可以从根本上解决问题。 3.升级杀毒软件并杀毒。当蠕虫发作时,大部分杀毒软件厂商都能够查杀这类蠕虫,更新最新的病毒库同时进行查杀工作能将大部分蠕虫清除。 4.如果仍然存在问题,尝试手动杀毒。不可避免地,某些蠕虫可以逃过杀毒软件的查杀,此时可以针对相应情况进行手动杀毒。 5.检查系统是否被开启后门,若有即清除。很多情况下,虽然计算机蠕虫被清除干净,但是蠕虫开启的隐蔽后门仍然存在,此时需要将蠕虫开启的后门也一同清除干净。 6.如果必要的话,启用备份系统。当数据被破坏或者怀疑计算机被开启后门且无法清除时,可以启用备份系统。 7.问题解决后连通网络并重新开启服务。问题解决后,重新接通网络,必要时重启相应服务。 8.查看日志。必要时,检查系统和网络日志,追查攻击来源。 9.评估损失并商讨问题产生的原因。评估损失及被蠕虫攻击的原因,可以最大限度地防止再次被攻击。5 小结——威胁发展新趋势5 小结——威胁发展新趋势网络攻击手段智能化 对基础设施、安全设备进行攻击 业务与内容安全威胁 与传统犯罪行为的结合null思考题: 设计并实现基于TCP欺骗的木马植入系统
/
本文档为【第三章 网络安全威胁】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索