1、第1章 网络攻击概述第2章 网络攻击原理和防范,目录,第1章 网络攻击概述第1节 网络安全威胁第2节 常见攻击类型,内容介绍,常见的攻击类型,数据报嗅探IP脆弱性口令攻击拒绝服务攻击“中间人”攻击应用层的攻击信任机制的利用端口重定向病毒木马Layer2 攻击,第1章 网络攻击概述第2章 网络攻击原理和防范,目录,数据报嗅探(Sniffer),数据报嗅探是一种协议分析软件,它利用网卡的混杂模式来监听网络中的数据报。Sniffer可以用于嗅探网络中的明文口令信息:TelnetFTPSNMPPOP数据报嗅探工具必须与监听对象在同一个冲突域里面。,Host A,Host B,Router A,Rout
2、er B,数据报嗅探工具的分类,目前,有二种主要的嗅探工具类型通用的嗅探器,例如Sniffer Pro,Iris等特定嗅探攻击工具,例如Password Sniffer。,示例,示例,数据报嗅探的防范,主要的防范手段认证使用强认证方式,例如使用一次性口令。 反嗅探工具利用反嗅探工具来发现网络中的嗅探行为。 加密这是最为有效的防范手段。,Host A,Host B,Router A,Router B,IP伪装,IP伪装伪装IP包头IP伪装通常发生在需要与可信主机通信的时候。 常见的IP伪装技术:利用可信主机IP进行伪装利用已授权IP进行伪装IP伪装的危害:IP通常用于在一个已经连接的数据通道中,
3、注入有害数据或命令。黑客还可以改变路由表指向伪装地址,然后黑客就可以收到所有的数据报,在转发出去。,IP Spoofing 防范,对于IP伪装目前还没有有效根治的防范方法,只能是尽可能的降低这种风险:访问控制这是最为常用的防范手段. 根据RFC 2827进行过滤在入端口过滤使用内部IP地址的数据报。 附加的认证方式,而不依赖IP层的认证:加密认证(推荐),拒绝服务攻击DoS,拒绝服务攻击是导致服务瘫痪的一种攻击手段: 不同于旨在获得系统权限,窃取敏感信息的攻击手段易于发起最难以消除,基本过程,常见DoS攻击手段,SYN Flood攻击SYN Flood攻击是一种最常见的 DoS攻击手段,它利用
4、TCP/IP连接的“三次握手”过程,通过虚假IP, 源地址发送大量 SYN 数据包,请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后,等待对方连接,虚假的IP 源地址将不给予响应。这样,连接请求将一直保存在系统缓存中直到超时。如果系统资源被大量此类未完成的连接占用,系统性能自然会下降。后续正常的TCP 连接请求也会因等待队列填满而被丢弃,造成服务器拒绝服务的现象。,Land 攻击Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包,造成目标主机解析 Land包时占用大量系统资源,从而使网络功能完全瘫痪的攻击手段。其方法是将一个特别设计的
5、SYN包中的源地址和目标地址都设置成某个被攻击服务器的地 址,这样服务器接收到该数据包后会向自己发送一个SYNACK 回应包,SYNACK又引起一个发送给自己的ACK包,并创建一个空连接。每个这样的空连接到将暂存在服务器中,当队列足够长时,正常的连接请求将被丢 弃,造成服务器拒绝服务的现象。,UDP攻击UDP攻击是指通过发送UDP数据包来发动攻击的方式。在UDP Flood攻击中,攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包,从而使被攻击者不能提供正常的服务,甚至造成系统资源耗尽、系统死机。由 于UDP协议是一种无连接的服务,只要被攻击者开放有一个UDP服务端口,即可针对该服务发动
6、攻击。UDP攻击通常可分为UDP Flood 攻击、UDP Fraggle攻击和DNS Query Flood攻击。,僵尸机,客户端系统,4. 黑客控制大量的代理发起DDOS攻击.,1. 扫描.,3. 在代理上面安装控制端软件.,DDoS Example,2. 安装扫描器和攻击代理器.,DDOS攻击防范,可以通过下列方法来降低DDOS攻击的影响:防范IP伪装在防火墙和路由器是配置防范IP伪装的策略防范DOS功能在防火墙和路由器是配置防范DOS的策略流量限制,口令攻击,常见口令攻击的手段:暴力破解木马窃取IP伪装嗅探,口令攻击,(1)是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害
7、性极大。监听者往往采用中途截击的方法也是获取用户帐户和密码的一条有效途径。当 前,很多协议根本就没有采用任何加密或身份认证技术,如在Telnet、FTP、HTTP、SMTP等传输协议中,用户帐户和密码信息都是以明文格式传输 的,此时若攻击者利用数据包截取工具便可很容易收集到你的帐户和密码。还有一种中途截击攻击方法,它在你同服务器端完成三次握手建立连接之后,在通信 过程中扮演第三者的角色,假冒服务器身份欺骗你,再假冒你向服务器发出恶意请求,其造成的后果不堪设想。另外,攻击者有时还会利用软件和硬件工具时刻 监视系统主机的工作,等待记录用户登录信息,从而取得用户密码;或者编制有缓冲区溢出错误的SUI
8、D程序来获得超级用户权限。,(2)是在知道用户的账号后(如电子邮件前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但攻击者要有足够的耐心和时间。如:采 用字典穷举法(或称暴力法)来破解用户的密码。攻击者可以通过一些工具程序,自动地从电脑字典中取出一个单词,作为用户的口令,再输入给远端的主机,申请 进入系统;若口令错误,就按序取出下一个单词,进行下一个尝试,并一直循环下去,直到找到正确的口令或字典的单词试完为止。由于这个破译过程由计算机程序 来自动完成,因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。,口令攻击的示例,L0pht Crack 口令破解的常用手段:字
9、典攻击暴力破解,中间人攻击,中间人攻击的条件:攻击者能够“看到”网络数据报。中间人攻击实施网络数据报的嗅探(监听)路由和传输协议中间人攻击的危害:窃取信息会话劫持流量分析DoS篡改数据注入信息,Host A,Host B,Router A,Router B,明文数据,不可信任的陌生人会话劫持,“会话劫持”(Session Hijack)是一种结合了嗅探以及欺骗技术在内的攻击手段。广义上说,会话劫持就是在一次正常的通信过程中,攻击者作为第三方参与到其中,或者是在数据 里加入其他信息,甚至将双方的通信模式暗中改变,即从直接联系变成有攻击者参与的联系。简单地说,就是攻击者把自己插入到受害者和目标机器
10、之间,并设法让 受害者和目标机器之间的数据通道变为受害者和目标机器之间存在一个看起来像“中转站”的代理机器(攻击者的机器)的数据通道,从而干涉两台机器之间的数据 传输,例如监听敏感数据、替换数据等,应用层攻击,应用层攻击的特点:利用众所周知的漏洞, 例如协议漏洞 (for example, sendmail, HTTP, and FTP)通常是访问控制策略允许的服务 (例如,可以攻击防火墙后面的web服务器)可能永远都不能根除,因为每天都有新的漏洞,安全是动态的,应用层攻击,所谓应用层攻击是指攻击者故意在服务器操作系统或应用系统中制造一个后门,以便可以绕过正常的访问控制。特洛依木马就是一个非常
11、典型的应用层攻击程序,攻击者利用这个后门,可以控制整个用户应用系统,a. 阅读、添加、删除、修改用户数据或操作系统 b. 在用户应用系统中引入病毒程序 c. 引入Sniffer,对用户网络进行分析,以获取所需信息,并导致用户网络的崩溃或瘫痪 d. 引起用户应用系统的异常终止 e. 解除用户系统中的其他安全控制,为其新一轮攻击打开方便之门,应用层攻击的防范,常用降低应用层威胁的方法 定期查看和分析系统日志. 订阅系统漏洞信息.安装最新的系统补丁.必要时,在有条件的地方部署IDS,网络扫描和探测,利用公开的信息或者扫描手段,获取网络拓扑等信息。,网络扫描和探测示例,域信息查询,地址查询,网络扫描和
12、探测示例,Traceroute探测网络拓扑,Partnersite,Remote site,网络扫描和探测防范,目前,不太可能完全消除. 部署访问控制策略必要时,部署IDS,Trust Exploitation,黑客可以利用信任域做为攻击的跳板常见信任域Windows域活动目录Linux 和UNIXNFSNIS+,SystemAUser = psmith; Pat Smith,SystemB Compromised by hackerUser = psmith; Pat Smith,SystemA trusts SystemBSystemB trusts EveryoneSystemA tru
13、sts Everyone,Hackergains access to SystemA,信任域攻击的防范,防火墙内的主机绝对不能信任防火墙外部的主机.在做信任认证时,不要过分依赖IP地址,SystemAUser = psmith; Pat Smith,SystemB compromised by a hackerUser = psmith; Pat Smith,Hackerblocked,Layer 2 攻击,CAM 表泛洪(CAM table Flood)ARP/MAC poisoningARP 伪装,MAC 伪装,Source MAC: A,C,A,B,3,2,1,Oh,A is connected to 3,ARP伪装,A,192.168.0.3,B,2,1,192.168.0.2,192.168.0.1,C,Internet,其他 Layer 2 攻击,操控SPT协议(Spanning Tree Protocol Manipulation)利用错误或虚假的BPDU 报文DHCP Starvation利用虚假的MAC地址发送DHCP请求。 可以在交换机的端口上限制MAC地址数,来缓解此类攻击的影响。,总结,网络攻击的三个特点规模化隐蔽化综合化网络安全的三个特性整体性相对性动态性,
