网络攻击检测和防御(一).ppt-道客多多

资源描述

1、网络攻击和网络安全,攻击原理、检测和防御,8042测试组,网络、攻击和安全,对网络的攻击和网络本身几乎是同时产生的。网络攻击和网络安全是矛和盾的关系。越开放的网络，应用越广泛，越容易受到攻击，没有不会被攻击的网络；任何攻击都可以被拦截，攻击的时效性。网络攻击要想成功会越来越困难，但是也没有绝对的安全，网络攻击和网络安全共同促进网络技术的进步。,网络攻击和安全的层次性,攻击物理层电气安全/电磁安全/防卫安全/ 远程灾难备份攻击链路层连接安全/介质安全攻击网络层协议安全/设备安全攻击传输层认证和授权/访问控制安全攻击表示层编码安全攻击应用层应用安全/数据安全攻击操作系

2、统操作系统安全攻击数据库数据库安全社会工程攻击管理安全,对网络不同层次的攻击对应不同层次的安全。可见网络安全是一个系统工程，网络安全是整体的安全。木桶容量由最短的木板决定。,我们关心的网络攻击,和数据传输有关的技术层面的网络攻击 1：针对网络设备本身的攻击：保证设备本身的安全性，健壮性；设备本身正确实现算法协议； 2：设备承载的服务安全性用户认证、加密等； 3：用户的需求推动IDS (Intrusion Detection System)入侵检测系统；网络攻击会破坏网络设备，干扰网络服务，对运营商和用户造成损失。抗攻击的网络设备。,攻击是异常的子集,从技术层面分析，网络攻击是网络异

3、常测试的子集，通过网络攻击可以有效验证： 1：协议本身的功能完备性、是否有漏洞 2：设备实现协议的完备性 3：设备的性能当网上发生攻击时，不同厂商设备的表现。在实验室里对网络设备进行攻击测试。,网络攻击和安全的分类学,网络攻击和网络安全是一门实践科学。研究分类标准和分类方法是一切科学研究的基础。下面我们对历史上一些有名的网络攻击进行分类，介绍网络攻击的原理、手段、检测和防御方法。,网络攻击的7要素(5WEH),Who 攻击者是谁 When 攻击发起的时间 Where 在何地发起攻击 Why 为什么要攻击网络 What 攻击的网络部位 Effect 攻击的危害 How 怎样攻击,简化的网络

4、模型,说明 Who / When / Where / Why 关系黑客攻击 / 网络病毒 / DDoS攻击,(What)攻击什么部位,攻击数据源 (黑网页/篡改数据/ DoS ) 攻击传输网络 (网络蠕虫/病毒) 攻击使用者 (TCP劫持) 无目标攻击有时候，攻击者自己并不知道自己在攻击什么（黑客工具泛滥造成攻击门槛降低）,(Effect)攻击的危害程度分类,1:控制或操纵（完全控制受害者） 2:篡改或窃取（利己） 3:阻塞或破坏（损人） 4:分析或监听（无法知道，危害性无法界定）1、2的攻击，出于利己利益最大化考虑，攻击者总是不希望被人察觉到。 4的攻击，防范方法是进行信息加密

5、，让窃听者在一定时间内无法理解窃听到的信息。,(HOW)怎样攻击、攻击手段,我们重点关注下面两种技术攻击方法：1:利用协议栈本身或协议栈实现的漏洞发动的攻击 2:耗尽网络资源的DoS攻击我们在这里，不讲解黑客攻击武器使用工具发动攻击，只是介绍一些攻击的方法、原理和相应的防御,(攻击的准备)扫描窥探,潜在攻击：了解网络的拓扑，寻找潜在的受害者。具备攻击的动机与实施具体攻击行为的界定。利用ping扫射（包括ICMP和TCP）寻找受害者，利用TCP和UCP端口扫描，检测出受害者的操作系统和潜在服务以及潜在的安全漏洞，为进一步侵入系统做准备。,1. 地址扫描 2. 端口扫描 3. IP源站选路

6、 4. IP路由记录选项 5. Tracert报文,(地址扫描) IP Scan,用来确定目标网络中存在哪些IP地址标识的设备。 1：使用ping探测目标地址，有回应表示IP地址存在。 2：使用pingWar自动大规模进行扫描。 3：使用tcpPing利用TCP报文对某个IP地址发起TCP连接，判断是否有应答报文来进行扫描。也可以使用udp报文进行IP地址扫描。,IP扫描工具,(端口扫描) Port Scan,使用portScan工具，向某个IP地址的主机的一系列TCP/UDP端口发起连接，根据应答报文判断主机是否使用这些端口提供服务。操作系统的缺省配置的开放端口。,Port Scan黑客工具

7、,(TCP/UDP嗅探) Sniffer,使用xSniffer类似的软件工具，可以监视某个网络所有的TCP连接和UDP会话。也可以设置过滤条件，嗅探某个用户的全部TCP/UDP会话。窥探该用户的网络操作模式，连接情况。,xSniffer黑客工具,(路由跟踪)Tracert,很多系统都提供Tracert应用。工作原理：它发送TTL为1、2、3等系列包，利用路由器收到TTL=0时返回ICMP超时报文来发现报文到达目的地所经过的路径。它被用来窥探网络的结构。,IP源站选路,IP源站选路：IP报文的发送方指定报文的传递路径，中间路由器只要执行这种路由选择就可以，不用路由器自己路由。该技术通常用于

8、网络故障诊断和某种特殊业务的临时传送。这种技术可能被用来刺探网络结构。,IP路由记录,IP路由记录：记录IP报文从源到目的过程中所经过的路径，也就是一个处理过此报文的路由器的列表。该技术通常用于网络路径的故障诊断，也会被利用来刺探网络结构。,攻击网络协议栈,当网络协议栈本身有缺陷，或者设备实现网络协议栈的方法有缺陷时，可能会导致系统异常。当这种缺陷比较严重时，攻击者发送几个异常包，就能让设备死机、重启甚至获得设备控制权。良好的设计，充分的测试可以使设备对这种形式的攻击具有良好的抵抗力。,(协议栈攻击)Ping of Death,早期对cisco路由器非常著名的攻击。攻击原理：IP首部的长

9、度字段共16bit，表明一个IP包最大为65535字节。所以早期的路由器对数据包的大小就要做了如此的限制。当接收到IP包时，先读取IP头，取得总长度，生成缓冲区，最大为65535字节。实际上，对于ICMP ECHO Request报文，如果数据长度大于65508，就会使ICMP数据IP头长度(20)ICMP头长度（8） 65535。这样，收到一个这样的包后，就会出现内存分配错误，造成TCP/IP栈崩溃。,(协议栈攻击)超大ICMP报文攻击,原理：Ping of Death的引申攻击。使用其它格式的ICMP报文进行的攻击。一般来说，网络中传输的ICMP报文都不大，而且不同的系统，能够发送和

10、接收的最大ICMP包长也是不一样的，因此出现超大的其它格式的ICMP报文，应该可以断定受到攻击。,(协议栈攻击) TearDrop,泪滴或者粘联攻击。原理：利用TCP/IP协议栈对IP分片包头信息的信任。IP报文中通过MF位、Offset字段、Length字段指示该分段所包含的是原包的哪一段的信息IP分片首部包含指示该片所包含信息是原包哪一段的信息。某些TCP/IP收到含有包含重叠偏移的伪造分段时崩溃。,(协议栈攻击) 异常分片,IP报文中有几个字段与分片有关：DF位、MF位，Fragment Offset 、Length 。如果上述字段的值出现矛盾，而设备处理不当，会对设备造成一定的影响

11、，甚至瘫痪。矛盾的情况有： DF位被置位，而MF位同时被置位或Fragment Offset不为0； DF位为0，而Fragment Offset + Length 65535；,(协议栈攻击) IGMP分片,一般情况下，IGMP报文是不会分片的，所以，不少系统对IGMP分片报文的处理可能会存在问题。对于检测系统来说，收到IGMP分片报文，应该可以断定受到了攻击。,(协议栈攻击)TCP标志1,TCP报文包含6个标志位：URG、ACK、PSH、RST、SYN、FIN ，6个标志全部为1，就是圣诞树攻击；探测操作系统： 6个标志全部为0，如果接受方端口关闭，回应一个RST | ACK消息；如果

14、络带宽、对其他网络的访问等。针对网络带宽的DoS攻击：流量攻击，洪流攻击，引发网络风暴攻击等。,(DoS攻击) ICMP重定向报文,原理：攻击者向受害主机主机发送ICMP重定向报文，请求主机改变路由。希望引起受害主机路由表的混乱，干扰主机正常的IP报文转发。一般攻击者和受害者需要在同一子网，恶意的攻击可能跨网段发送虚假的重定向报文。,(DoS攻击) ICMP不可达报文,原理：攻击者向受害主机主机发送ICMP不可达报文，希望引起受害主机路由表的混乱，干扰主机正常的IP报文转发。有些系统收到ICMP不网络可达报文（代码为0）或主机可达报文（代码为1）后，就会直接删除通往该目的地的路由。恶意的攻

15、击利用这点造成拒绝服务。,(DoS攻击) SYN flood,TCP半连接洪流攻击，是比较著名的DoS攻击。原理：任何系统的内存都不是无限的，协议栈能维护的半连接数也不是无限。攻击者制造SYN洪流，一直耗尽系统的半连接缓冲区，在缓冲区内的连接超时前，服务器就不会再响应任何连接请求。预防：减少TCP半连接的老化时间，状态防火墙过滤（ASPF/CBAC）,(DoS攻击) Land,所谓Land攻击，就是把TCP SYN包的源地址和目标地址都设置成某一个受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超

16、时掉。可以看到，这种攻击并不需要滚滚洪流，攻击者只需要拨号上网，64K的Modem链路发送的Land攻击就能让一个非常快的网络服务崩溃。因为攻击者和受害者的带宽不对称，这种攻击是非对称攻击预防方法：1：防火墙过滤掉源IP和目的IP地址都是保护主机的任何报文；2：状态防火墙也可以过滤掉；3：服务器的协议栈进行Land检测，防止和自己建立连接。,(DoS攻击) smurf,这是一种利用引发网络风暴进行的流量攻击。可以攻击一个网络：发送ICMP应答请求包，目标地址设置为受害网络的广播地址，这样该网络的所有主机都对此ICMP应答请求作出答复，形成网络风暴，导致网络阻塞。也可以用来攻击目标主机：方法

17、是将上述ICMP应答请求包的源地址改为受害主机的地址，让网络里的所有主机都给受害主机发包。攻击报文的发送需要一定的流量和持续时间，才能真正构成攻击。理论上讲，网络的主机越多，攻击的效果越明显。,(DoS攻击) Fraggle,攻击思路类似于Smurf攻击，只是使用UDP应答消息而非ICMP应答请求消息。UDP端口7(ECHO)收到报文后，会回应收到的内容；UDP端口19(Chargen)收到报文后，会产生一串字符流。它们都同ICMP一样，会产生大量无用的应答报文，占满网络带宽。攻击者可以向子网广播地址发送源地址为受害网络或受害主机的UDP包，端口号7或19。子网中所有启动UDP7或UDP19

18、服务的主机都会中招，引发网络风暴，导致受害网络阻塞或受害主机崩溃；而没有启动这些服务的系统会产生一个ICMP不可达消息，因而仍然消耗带宽。引申攻击：将源端口改为Chargen，目的端口为ECHO，这样会自动不停地产生回应报文，造成的网络风暴危害更大。,DoS攻击：洪流攻击,洪流攻击主要是一种对称攻击手段。攻击者首先控制一个和受害者相当的服务器，利用服务器产生攻击流量对另外的受害网络进行攻击。在这种攻击下，攻击者除了可利用前面叙述过的一切技术攻击手段外，甚至还可以使用正常的包进行大流量攻击。,ICMP Flood / UDP Flood,短时间内用大量的ICMP消息(如ping)向特定目标不断

19、请求回应，让受害者负担过重不能额外提供服务。短时间内向特定目标发送大量的UDP报文，让受害者负担过重不能对外提供服务。,DDoS,分布式DoS攻击：攻击者在客户端控制大量的攻击源，并同时向受害者发动攻击的一种形式。首先攻击者控制一台主机作为控制端，由控制端自动控制一些主机作攻击源。这个过程很快，攻击者只要控制几台控制端就能控制非常多的攻击源主机了。由攻击源向受害者进行DoS攻击。,一款DDoS黑客工具,欺骗和劫持,欺骗和劫持属于入侵性攻击。攻击者通过欺骗或劫持手段进入系统，一旦获得管理员特权，几乎可以作任何事，包括利用这台主机发送攻击。欺骗和劫持的手段很多，我们感兴趣的是通过分析数据流进行欺

20、骗和劫持的手段：,IP Spoofing,通过嗅探(sniffer)，如果了解到某个网络是通过源IP地址进行身份认证的，就可以采用伪造源IP的方法进行欺骗，获得访问权。因为源地址是伪造的，响应报文可能不能传送回攻击者，但是一旦系统接收并且认可了攻击者制造的某些报文，攻击者就有能力进入系统，对系统进行访问，灵巧设置的报文甚至能让攻击者获得root权限。即使攻击者不能控制系统，攻击者也可能会发送某些恶意的包对系统造成破坏。,TCP Hijacking/TCP Splicing,攻击者先嗅探某个用户的网络操作，监视tcp会话序号。等待合适时机，攻击者伪装成该用户使用猜测的tcp序号强行接管和服务器连

21、接，同时攻击该合法用户让他离开网络。这种攻击可以绕过用户登陆验证阶段。为了隐蔽，这种攻击一般发生在网络流量比较大的时候，被攻击用户一般会认为是网络故障。,口令猜测,口令猜测就是通过猜测用户和口令，入侵计算机系统，获得机密数据、或者删除修改文件，破坏计算机系统。,执行步骤,(1) 使用搜索软件搜索要攻击的网站。例如某个大学的网站。 (2) 使用scan软件。类似的软件很多，不过功能类似。假设一个网站的地址是x.x.x.6，那么从x.x.x.1到x.x.x.255开始搜索。 (3) 找到一台开了几个端口的主机，然后使用黑客软件(例如：流光)，猜测用户和口令。 (4) 使用用户和口令，登陆主机，查

22、找、删除、修改文件。,Scan扫描端口,端口扫描：扫描“21”“23”“80”“139”端口，开了21端口可以用FTP命令开了23端口可以用telnet命令开了80 端口可以知道它有HTTP服务开了139端口可以用软件扫描IPC,口令猜测软件,猜测用户和口令的软件，一般会使用一个字典，软件自动进行常用用户和口令的猜测。由于这是软件代替人进行用户和口令的试探，所以效率比较高。遇到用户和口令比较简单的用户，常常会被猜测出用户和密码。,攻击的防范,针对不同的攻击有不同的防范方法。比较通用的方法是搭建一个好的防火墙系统：细致配置的防火墙可以过滤掉大部分的攻击包。前面讲的大部分攻击，简单配置

23、一个包过滤规则就可以防范。例如Land攻击，禁止源和目的相同的包；禁止源地址是本网段的包进入网络；禁止超大的ICMP包；,口令猜测的防范,不要轻易开各种端口物理线路的隔离，例如对于机要系统，传输系统与外界隔离，不要连接到internet上面。 3次口令错误，就锁定用户和口令,防火墙技术,防火墙技术已经发展了5代： 1：包过滤技术(Packet Filter) 2：电路级网关(Circuit-level Gateway) 3：应用层网关(Application Gateway)2和3 统称代理防火墙(Proxy Firewall) 4：动态包过滤(Dynamic Packet Filte

24、r)又叫状态监视(Stateful inspection) 5：自适应代理(Adaptive proxy),入侵检测,防火墙技术定位在防范，并不能完全有效防止入侵。如果能准确定位入侵者，将会更好震慑对网络攻击。 ID(Intrusion Detection) 是利用入侵者留下的痕迹（例如试图登陆失败）有效发现入侵的技术。是防火墙的合理补充。核心技术： 1：探测和分析数据包，数据收集部件 2：发现入侵迹象的分析引擎 3：基于分析引擎的响应执行部件,入侵分析,入侵分析引擎的工作原理 1：过滤事件，用已知的网络攻击模式匹配 2：异常检测，搜索异常罕见的事件：入侵是异常活动的子集，发现未知的攻击。核心

25、技术： 1：模式匹配：在已知攻击模式库查找匹配。 2：统计分析：基于模型推理，神经网络等方式。 3：完整性分析：系统扫描，检查是否有更改。如何进行准确分析，降低误报率。,入侵防御,入侵检测系统IDS只能发现入侵，不能防御。IDS正再向入侵防御IPS发展。IPS的著名厂商有3COM收购的TIP POINT。,防火墙技术的新发展,攻击防范、防病毒、入侵检测、审计分析集成到一个防火墙里面。这个以fortinet为代表。,信息加密技术,采用密码不能防止信息被拦截和窃听，但可以保证一定时间内的信息保密性。数据加密技术包括： 1：数据传输加密 2：数据存储加密 3：数据完整性鉴别技术 4：密钥管理技术密码

26、的安全性：理论安全性和实际安全性。,总结,对网络的攻击和网络本身几乎是同时产生的。网络攻击和安全是一门实践科学。网络攻击的7要素(5WHE) 扫描窥探，攻击的准备IP Scan / Port Scan / Sniffer 等等利用协议栈本身或实现方法漏洞进行攻击Ping of Death / 重点介绍：耗尽资源的DoS攻击防火墙和IDS 信息加密技术,总结,对于网络攻击的理解 1：网络攻击首先是一种网络运行的异常 2：这种异常总是利用协议或者算法的漏洞 3：网络攻击技术的发展 4：保障网络安全的机遇和挑战,黑客攻击与安全技术,所谓的黑客攻击与防范只是安全技术的一个很小的子集。网络安全

27、和计算机安全博大精深，已经渗透到个人生活和社会活动的每一个角落，涉及的内容广泛而深刻。国家的整体安全技术战略。例如操作系统的安全，芯片的安全。是否在要害部门使用windows操作系统，intel CPU。是否需要扶持国产IT核心产业。这些都是社会学家和技术专家研究的课题。,加密和解密始终是安全技术的核心基础之一。在算法这个领域，学术界已经研究的非常深入了，有很多我们不知道的研究成果。安全芯片的研发。各种加密、攻击防范、入侵检测、内容过滤的功能都可以做到芯片内部，提高网络处理速度、降低开发难度。自主开发的安全算法集成到芯片里面，物理的安全保证算法的安全。攻击者不能轻易得到芯片。端到端，全方位的安全。安全计算机、安全交换机、安全路由器、安全手机、安全VOIP、桌面安全软件。,黑客攻防技术的研究和防火墙、VPN、IDS、IPS的开发是解决当前、具体、紧迫的问题，也是安全技术研究的重要基础。局部和整体始终是相互促进，共同发展的。,安全就是方法，安全就是整体，安全就是融合。技术的安全也需要与法律的约束配合使用。如果攻击和破坏不受到法律的制裁，任何人都没有办法保障网络安全。,谢谢大家,

展开阅读全文