1、常见网络攻击与防范,提纲,常见的网络攻击方法 常用的安全防范措施,常见的网络攻击方法,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,工具,攻击者,入侵者水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,2002,高,入侵技术的发展,采用 漏洞 扫描 工具,选择 会用 的 方式 入侵,获取 系统 一定 权限,提 升 为 最 高 权 限,安装 系统 后门,获取敏感信息 或者 其他攻击目的,入侵系统的常用步骤,端
2、口 判断,判断 系统,选择 最简 方式 入侵,分析 可能 有漏 洞的 服务,获取 系统 一定 权限,提 升 为 最 高 权 限,安装 多个 系统 后门,清除 入侵 脚印,攻击其 他系统,获取敏 感信息,作为其 他用途,较高明的入侵步骤,常见的安全攻击方法,直接获取口令进入系统:网络监听,暴力破解 利用系统自身安全漏洞 特洛伊木马程序:伪装成工具程序或者游戏等诱使用户打开或下载,然后使用户在无意中激活,导致系统后门被安装 WWW欺骗:诱使用户访问纂改过的网页 电子邮件攻击:邮件炸弹、邮件欺骗 网络监听:获取明文传输的敏感信息 通过一个节点来攻击其他节点:攻击者控制一台主机后,经常通过IP欺骗或者
3、主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S),IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。,获取信息,1. 收集主机信息,Ping命令判断计算机是否开着,或者数据包发送到返回需要多少时间 Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径 Finger和Rusers命令收集用户信息,应用的方法:,获取网络服务的端口作为入侵通道。,2. 端口扫瞄,1.TCP Connect() 2.TCP SYN 3.TCP FIN 4.IP段扫瞄 5.TCP反向Ident扫瞄 6
4、.FTP代理扫瞄 7.UDP ICMP不到达扫瞄,7种扫瞄类型:,NSS(网络安全扫描器)。Strobe(超级优化TCP端口检测程序),可记录指定机器上的所有开放端口,快速识别指定机器上运行的服务,提示可以被攻击的服务。SATAN(安全管理员的网络分析工具),SATAN用于扫描远程主机,发现漏洞,包括FTPD漏洞和可写的FTP目录,扫瞄软件举例:,3.Sniffer扫瞄,原理:sniffer类的软件能把本地网卡设置成工作在“混杂” (promiscuous)方式,使该网卡能接收所有数据帧,从而获取别人的口令、金融帐号或其他敏感机密信息等。 方法与对策: 1、用交换机替换HUB,交换机是两两接通
5、,比普通HUB安全。 2、使用检测的软件,如CPM Antisniff等,检测网络中是否有网卡工作在混杂状态(基本原理是发送本网中并不存在的MAC地址,看看是否有回应,如有回应,则说明有计算机网卡工作在混杂模式。)。,网络监听及防范技术,网络窃听是指通过截获他人网络上通信的数据流,并非法从中提取重要信息的一种方法 间接性利用现有网络协议的一些漏洞来实现,不直接对受害主机系统的整体性进行任何操作或破坏 隐蔽性网络窃听只对受害主机发出的数据流进行操作,不与主机交换信息,也不影响受害主机的正常通信,网络监听及防范技术 共享式局域网下,共享式局域网采用的是广播信道,每一台主机所发出的帧都会被全网内所有
6、主机接收到 一般网卡具有以下四种工作模式:广播模式、多播模式、直接模式和混杂模式 网卡的缺省工作模式是广播模式和直接模式,即只接收发给自己的和广播的帧,网络监听及防范技术 共享式局域网下,使用MAC地址来确定数据包的流向若等于自己的MAC地址或是广播MAC地址,则提交给上层处理程序,否则丢弃此数据 当网卡工作于混杂模式的时候,它不做任何判断,直接将接收到的所有帧提交给上层处理程序 共享式网络下窃听就使用网卡的混杂模式,网络监听及防范技术 共享式局域网下,网络监听及防范技术 交换式局域网下,在数据链路层,数据帧的目的地址是以网卡的MAC地址来标识 ARP协议实现的配对寻址 ARP请求包是以广播的
7、形式发出,正常情况下只有正确IP地址与的主机才会发出ARP响应包,告知查询主机自己的MAC地址。 局域网中每台主机都维护着一张ARP表,其中存放着地址对。,网络监听及防范技术 交换式局域网下,ARP改向的中间人窃听,A发往B:(MACb,MACa, PROTOCOL,DATA) B发往A:(MACa,MACb, PROTOCOL,DATA),A发往B:(MACx,MACa, PROTOCOL,DATA) B发往A:(MACx,MACb, PROTOCOL,DATA),网络监听及防范技术 交换式局域网下,X分别向A和B发送ARP包,促使其修改ARP表 主机A的ARP表中B为 主机B的ARP表中A
8、为 X成为主机A和主机B之间的“中间人”,网络监听及防范技术 网络窃听的被动防范,分割网段细化网络会使得局域网中被窃听的可能性减小 使用静态ARP表手工输入地址对 采用第三层交换方式取消局域网对MAC地址、ARP协议的依赖,而采用基于IP地址的交换 加密SSH、SSL、IPSec,网络监听及防范技术 网络窃听的主动防范,交换式局域网下的主动防范措施 监听ARP数据包 监听通过交换机或者网关的所有ARP数据包,与预先建立的数据库相比较 定期探测数据包传送路径 使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查,并与备份的合法路径作比较,IP欺骗及防范技术 会
9、话劫持,一般欺骗,会话劫持,IP欺骗及防范技术 会话劫持,会话劫持攻击的基本步骤 发现攻击目标 确认动态会话 猜测序列号关键一步,技术难点 使被冒充主机下线伪造FIN包,拒绝服务攻击 接管会话,IP欺骗及防范技术防范技术,没有有效的办法可以从根本上防范会话劫持攻击 所有会话都加密保护实现困难 使用安全协议(SSH、VPN)保护敏感会话,电子邮件欺骗及防范技术 案例,2003年6月初,一些在中国工商银行进行过网上银行注册的客户,收到了一封来自网络管理员的电子邮件,宣称由于网络银行系统升级,要求客户重新填写用户名和密码。 这一举动随后被工行工作人员发现,经证实是不法分子冒用网站公开信箱,企图窃取客
10、户的资料。 虽然没有造成多大的损失,但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波,刺激人们针对信息安全问题展开了更加深切的讨论。,电子邮件欺骗及防范技术 原理,发送邮件使用SMTP(即简单邮件传输协议) SMTP协议的致命缺陷:过于信任原则 SMTP假设的依据是:不怀疑邮件的使用者的身份和意图 伪装成为他人身份向受害者发送邮件 可以使用电子邮件客户端软件,也可以远程登录到25端口发送欺骗邮件,电子邮件欺骗及防范技术 防范,查看电子邮件头部信息不仅指出了是否有人欺骗了电子邮件,而且指出了这个信息的来源 采用SMTP身份验证机制使用与POP协议收取邮件时相同的用户名/密码
11、 PGP邮件加密以公钥密码学(Public Key Cryptology) 为基础的,Web欺骗及防范技术 概念,口令攻击,方法与对策: 1、限制同一用户的失败登录次数 2、限制口令最短长度,要求特权指令使用复杂的字母、数字组合。 3、定期更换口令,不要将口令存放到计算机文件中,1 口令暴力攻击:生成口令字典,通过程序试探口令。,2 窃取口令文件后解密:窃取口令文件(UNIX环境下的Passwd文件和Shadow文件) ,通过软件解密。,MAC地址攻击,交换机的转发原理。攻击者生成大量源地址各不相同的数据包,这些MAC地址就会充满交换机的交换地址映射表空间,则正常的数据包到达时都被洪泛出去,致
12、使交换机的查表速度严重下降,不能继续工作。,?,ARP欺骗,MAC 地址:就是网卡的地址(48位),具唯一性。 0080c81c2996(16进制)帧(frame):数据链路层的数据单元,帧中有源MAC地址和目的MAC地址。 ARP协议是获得对方的MAC地址,才行进行帧的封装。,Arp协议,厂家代号,流水号,ARP请求:是以广播形式发送 IP地址为192.168.0.10的计算机MAC是多少啊?,ARP工作原理,ARP工作原理(续),ARP应答:只有IP地址符合的计算机会应答 我的MAC为0080c81c2996,以单播形式,地址解析方法,查表(table lookup):将地址绑定信息存放在
13、内存的一张表中,当要进行地址解析时,可以查表找到所需的结果,常用用于WAN。(集中解析),ARP欺骗,基本思想:由于ARP是无状态的协议,在没有请求时也可以发送应答的包。入侵者可以利用这一点,向网络上发送自己定义的包,包中包括源IP地址、目的IP地址以及硬件地址,不过它们都是伪造的数据,会修改网络上主机中的ARP高速缓存。,Arp缓存表,查看ARP高速缓存中的记录,解析对象的IP地址,解析所得的MAC地址,此记录产生的方式,删除ARP高速缓存中的记录,原来有4个记录,删除这个记录,203.74.205.11这个记录被删除了,向ARP高速缓存中增加静态记录,新增的记录,注意Type是static
14、,ARP欺骗举例,例:主机名 IP地址 硬件地址 A IPA AAAAB IPB BBBBC IPC CCCC 说明:B是一台被入侵者控制了的主机,而A信任C。入侵者的目的就是伪装成C获得A的信任,以便获得一些无直接获得的信息等。,欺骗过程,入侵者控制主机B向主机A发送一个ARP应答,ARP应答中包括:源IP地址(IPC),源硬件地址(BBBB),目标IP地址(IPA)、目标硬件地址(AAAA),这条应答被A接受后,就被保存到A主机的ARP高速缓存中了。问题:由于C也是活动的,也有可能向A发出自己的ARP应答,将的A的ARP缓存改回正确的硬件地址。如何解决?,A根据ARP缓存中的缓存记录,将发
15、往C(IPC)的数据报文,发向了B(IPB,BBBB),ARP欺骗的防范,MAC地址绑定,使网络中每一台计算机的IP地址与硬件地址一一对应,不可更改。 使用静态ARP缓存,用手工方法更新缓存中的记录,使ARP欺骗无法进行。 使用ARP服务器,使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。,ARP病毒,ARP病毒,10.1.14.254,10.1.14.125,10.1.14.126 中ARP病毒,10.1.14.254的MAC是什么? 10.1.14.254的MAC为bb-bb-bb,10.1.14.254的MAC为cc-cc-cc,中了ARP病毒的计算机冒充网关发送ARP响应,
16、导致其他计算机无法上Internet。,什么情况下表明局域网内有ARP攻击,校园网登陆系统频繁掉线 网速突然变慢 使用ARP a命令发现网关的MAC地址不停的变换 使用sniffer软件发现局域网内存在大量的ARP reply包,目前已知的ARP病毒的传播途径,通过外挂程序传播 通过网页传播 通过其他木马程序传播 通过即时通讯软件传播(QQ、MSN) 通过共享传播(网络共享、P2P软件共享),ARP-防御: 在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC并自我防御,未中毒而只是被攻击的电脑,防护办法如下:下载AntiArpSniffer3.zip在本机运行,在“网关地址”中输入
17、本机网关地址,然后点击“获取网关MAC地址”按钮,再点击“自动防护”即可,查看本机网关地址IPCONFIG/ALL,作业: 1.请详述你对“网络嗅探技术”的理解,及其应对方法。 2.简述“MAC地址欺骗”,“ARP欺骗”,“ARP病毒”的原理。,拒绝服务攻击(DoS),拒绝服务攻击,利用系统缺陷攻击耗尽连接攻击利用放大原理 Smurf攻击 利用放大系统攻击分布式拒绝服务攻击DDoS,2. 耗尽连接攻读LAND攻击:向被攻击者发送一个个源地址和目标地址都被设 置成为被攻击者的地址的SYN包,导致被攻击者自己与自己建立 一个空连接,直到超时。 TCP/SYN攻击:攻击者向目标主机不断发送带有虚假源
18、地址 的SYN包,目标主机发送ACK/SYN回应,因为源地址是虚假的, 所以不会收到ACK回应,导致耗费大量资源等待ACK上,直止 系统资源耗尽。,这些攻击都是利用系统的漏洞,因此补救的办法是升级或下载补丁,对策,Smurf攻击,攻击者用广播的方式发送回复地址为受害者地址的ICMP请求数据包,每个收到这个数据包的主机都进行回应,大量的回复数据包发给受害者,导致受害主机崩溃。,Smurf攻击原理,利用放大系统攻击,某些类型的操作系统,在一定情况下,对一个请求所返回的信息比请求信息量大几十倍(如Macintosh),攻击者伪装成目标主机进行请求,导致大量数据流发向目标主机,加重了攻击效果。,DoS
19、攻击技术DDoS技术,分布式拒绝服务攻击,攻击者在客户端通过telnet之类的常用连接软件,向(master)主控端发送发送对目标主机的攻击请求命令。主控端(master)侦听接收攻击命令,并把攻击命令传到分布端,分布端是执行攻击的角色,收到命令立即发起flood攻击。,DDoS攻击原理,特洛伊木马,木马不同于病毒,但经常被视作病毒处理,随计算机自动启动并在某一端口进行侦听;木马的实质只是一个通过端口进行通信的网络客户/服务程序 特洛伊木马的种类 远程控制型 输出shell型 信息窃取型 其它类型,Netbus客户端程序,NetBus传输,NetBus使用TCP建立会话。缺省情况下用12345
20、端口进行连接,12346端口进行数据传输 跟踪NetBus的活动比较困难。 可以通过检查12346端口数据来确定 许多类似的程序使用固定的端口,你可以扫描整个的网络监测可疑的活动。 简单方法 netstat -an,反弹型特洛伊木马,可穿透防火墙,控制局域网机器 服务器端主动发起连接,控制端监听80端口 自动上线通知 Email发送 读取主页空间的某个文件 网络神偷、灰鸽子、魔法控制 解决方法 安装防病毒软件和个人防火墙 检查可疑的进程和监听端口 提高安全警惕性,TCP/IP的每个层次都存在攻击,混合型、自动的攻击,Workstation Via Email,Workstation,Inter
21、net,混合型攻击:蠕虫,Workstation,攻击的发展趋势,攻击的发展趋势,漏洞趋势 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码) 混合型威胁趋势 将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏洞结合起来而发起、传播和扩散的攻击,例:红色代码和尼姆达等。 主动恶意代码趋势 制造方法:简单并工具化 技术特征:智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身,躲避甚至攻击防御检测软件. 表现形式:多种多样,没有了固定的端口,没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽,复制传播,难以检测。
22、受攻击未来领域 即时消息:MSN,Yahoo,ICQ,OICQ等 对等程序(P2P) 移动设备,常见的安全防范措施,常用的安全防范措施,物理层 网络层 路由交换策略 VLAN划分 防火墙、隔离网闸 入侵检测 抗拒绝服务 传输加密 系统层 漏洞扫描 系统安全加固 SUS补丁安全管理 应用层 防病毒 安全功能增强 管理层 独立的管理队伍 统一的管理策略,常用的安全防护措施防火墙,入侵检测系统,Firewall,Servers,DMZ,Intranet,监控中心,router,攻击者,报警,报警,漏洞扫描系统,地方网管,监控中心,地方网管,地方网管,市场部,工程部,router,开发部,Server
23、s,Firewall,漏洞扫描产品应用,系统安全加固,基本安全配置检测和优化 密码系统安全检测和增强 系统后门检测 提供访问控制策略和工具 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级与补丁安装,Windows系统安全加固,使用Windows update安装最新补丁; 更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全; 卸载不需要的服务; 将暂时不需要开放的服务停止; 限制特定执行文件的权限; 设置主机审核策略; 调整事件日志的大小、覆盖策略; 禁止匿名用户连接; 删除主机管理共享; 限制Guest用户权限; 安装防病毒软件、及时更新病毒代码库; 安装个人防火墙。,Windows系统安全加固,使用Windows update安装最新补丁; 更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全; 将默认Administrator用户和组改名,禁用Guests并将Guest改名; 开启安全审核策略; 卸载不需要的服务; 将暂时不需要开放的服务停止; 限制特定执行文件的权限; 调整事件日志的大小、覆盖策略; 禁止匿名用户连接; 删除主机管理共享; 安装防病毒软件、个人防火墙。,
