路由與交換應用技術

網絡攻擊與防御

一些技術，既是黑客技術,

也是網絡管理技術，

或者是網絡防護技術。

可能受到威脅的網絡資源

-硬件設備，如服務器、交換機、路由器、

集線器和存儲設備等；

-軟件，如操作系統、應用軟件、開發工

具等；

-數據或信息。

、現場范例

網絡被攻擊的表現：

1.根據系統發生的一些改變推斷系統已被入侵

2.根據系統中一些奇怪的現象判斷

3.一個用戶登錄進來許多次

4.一個用戶大量地進行網絡活動，或者其他一些

很不正常的網絡操作

5.一些原本不經常使用的賬戶，突然變得活躍起

來

八處理思路

1.估計形勢

當證實遭到入侵時，采取的第一步行動是盡可

能快地估計入侵造成的破壞程度。

2.采取措施

(1)殺死這個進程來切斷黑客與系統的連接。

(2)使用工具詢問他們究竟想要做什么。

(3)跟蹤這個連接，找出黑客的來路和身份。

八處理思路

(4)管理兵可以使用一些工具來監視黑客，觀察他們在

做什么。這些工具包括snoop、ps>lastcomm和ttywatch

等。

(5)ps>w和who這些命令可以報告每一個用戶使用的

終端。如果黑客是從一個終端訪問系統，這種情況不

太好，因為這需要事先與電話公司聯系。

(6)使用who和netstat可以發現入侵者從哪個主機上過

來，然后可以使用finger命令來查看哪些用戶登錄進遠

程系統。

(7)修復安全漏洞并恢復系統，不給黑客留有可乘之機。

3、預備知識

網絡攻擊的類別

常見的攻擊方法及入侵技術的發展

常見的網絡攻擊方法

常見的攻擊步驟

物理攻擊與防范

容易被利用的典型漏洞

網絡攻擊的類別

?從網絡高層協議的角度，攻擊方法可以概括的分

為兩大類：服務攻擊與非服務攻擊。服務攻擊是

針對某種特定網絡服務的攻擊；非服務攻擊不針

對某項具體應用服務。而是基于網絡層等低層協

議進行的。

常見的攻擊方法及

入侵技術的發展

半開放隱蔽掃描工具

高

包欺騙拒絕服務

DDOS攻擊

嗅探

入侵者水平隼WWW攻擊

擦除痕跡■T自動探測掃描

GUI遠程控制

后門

破壞審計系統.?檢測網絡管理

??會話劫持

控制臺入侵

利用已知的漏洞

.密碼破解

攻擊手法可自動復制的代碼攻擊者

密碼猜測

198019851990199520002002

常見的網絡攻擊方法

?直接獲取口令進入系統：網絡監聽，暴力破解

?利用系統自身安全漏洞

?特洛伊木馬程序：偽裝成工具程序或者游戲等誘使用戶打開或下

載，然后使用戶在無意中激活，導致系統后門被安裝

?WWW欺騙：誘使用戶訪問纂改過的網頁

?電子郵件攻擊：郵件炸彈、郵件欺騙

?網絡監聽：獲取明文傳輸的敏感信息

?通過一個節點來攻擊其他節點：攻擊者控制一臺主機后，經常通

過IP欺騙或者主機信任關系來攻擊其他節點以隱蔽其入侵路徑和

擦除攻擊證據

?拒絕服務攻擊和分布式拒絕服務攻擊(D.o.s和D.D.o.S)

常見的攻擊步驟

whois

Ping

信息收集traceroute

http

常叔信息獲取方式

netcraft

nmap

預攻擊階段端口掃描superscan

r~

Zessus^b畫展示)

漏洞掃描一八

X-ScanG?^)

google

接索弓I擎

----------------:baidu

J」通常黑客的攻擊思路與操作

社會工程學

遠程謚出

緩沖區溢出本地滿中

口令猜測

攻擊階段SQU主人

WebProxy

應用攻擊工具

SPIKEProxy

實驗(Webgoat)

特洛伊木馬

后攻擊階段嗅探

需碼破解

物理攻擊與防范

?物理安全是保護一些比較重要的設備不被接觸。

?物理安全比較難防，因為攻擊往往來自能夠接觸

到物理設備的用戶。

容易被利用的典型漏洞

■用戶名泄漏，缺省安裝的系統用戶名和密碼

?Unicode編碼可穿越firewall,執行黑客指令

?ASP源代碼泄露可遠程連接的數據庫用戶名和密碼

?SQLserver缺省安裝

?微軟Windows2000登錄驗證機制可被繞過

?Bind遠程溢出，Lion蠕蟲

?SUNrpc.sadmind遠程溢出，sadmin/IIS蠕蟲

?Wu-Ftpd格式字符串錯誤遠程安全漏洞

?拒絕服務(syn-flood,ping)

容易被利用的典型漏洞

?用戶名泄漏，缺省安裝的系統用戶名和密碼

?

入侵者利用黑客工具獲得用戶名

掃描系統用戶和簡單密碼

容易被利用的典型漏洞

?Windows2000登錄驗證機制可被繞過

紀全那，入法■助

目錄?|索引@)|搜索9|□Dj

里概述bkDocumentsInetpub

回字符集andSettings

三碼元鬃

_J_J_J

習編碼規則

明宜詢鍵

mysqlphp4ProgramFites

國操作舉例

」

WINNT

TCP/IP的每個層次都存在

TelnetFTPDNSSMTP應用程序攻擊

TCPUDP數據監聽和竊取

IP拒絕服務攻擊

ARPNETSATNET無線網絡旦云同?^■11@硬件設備破壞

電磁監聽

四、操作過程

?網絡攻擊常見的形式及其應對措施

?社會工程學攻擊

?E-mail攻擊

?特洛伊木馬攻擊

?拒絕服務攻擊

網絡攻擊技術：社會工程學攻工

?社交工程是使用計謀和假情報去獲

得密碼和其他敏感信息的科學，研

究一個站點的策略其中之一就是盡

可能多的了解這個組織的個體，因

此攻擊者不斷試圖尋找更加精妙的

方法從他們希望滲透的組織那里獲

得信息。

網絡攻擊技術：社會工程學攻工

?假冒權威

-黑客冒充公司的領導人員

-在大公司中，不認識所有上司的情況非常普通

-在Internet上，黑客可以通過郵件列表發出入侵的安全

警一告一，并提供解決問題的「日v，、「一計.成能使黑

客訪問系統。足^顯眼的標題和時髦的行話

?假扮

-電話、電子郵件、聊天室和短消息里假扮你的熟人

-如果你是新來的職員，冒充你的同事

?同情

-如果一個人打電話來，講述他的困難，你不幫助他嗎?

?個人利益

-假冒來自財務部門的員工，訪問系統管理員

如何避免受到社交工程攻工

?極度警惕

-Donottrustanystranger

-即使是很友好的人

?懷疑一切

-聲稱并不代表他有權這樣做

-詢問他們的權限

-絕大多數社交工程在高度警惕下破產

?驗證出處

-當某人電子郵件要求時，要求來電話確證

-對于電話里的請求，要求回電號碼并確證

-員工號碼或者身份證

網絡攻擊技術：￡-111@1.1攻：

?電子郵件欺騙：

?為什么要進行電子郵件欺騙

-隱藏發件人的身份，例如匿名信

-挑撥離間，唯恐世界不亂

-騙取敏感信息

?欺騙的形式

-使用類似的電子郵件地址

-修改郵件客戶端軟件的賬號配置

-直接連到SMTP服務器上發信

?電子郵件欺騙的方法

-與現實郵局進行比較

-基本郵件協議沒有認證機制

-發信可以要求認證

網絡攻擊技術：E-mail攻工

?使用類似的郵件地址

-發信人使用被假冒者的名字注冊一個賬號，然

網絡攻擊技術：￡-111@1.1攻：

?對于類似郵件地址的解決

-使用數字簽名

?修改郵件客戶端軟件的賬號設置

-姓名（Name）屬性，會出現在“From”和

“Reply-T。”字段中，然后顯示在“發件人”信

息中

-電子郵件地址，會出現在“From”字段中

-回復地址，會出現在“Reply-To”字段中，可以

不填

?保護用戶免受修改郵件客戶的攻擊

-杳看完整的審干郵件頭部信息

網絡攻擊技術：￡-111@1.1攻：

…接連到SMTP服務器上發信

-telnet連到SMTP服務器的25端口，然后發送命令，常

川的命令為：

?Helo>Mailfrom>Rcptto>Data>Quit

-保護措施

■郵件服務器的驗證

-Smtp服務器驗證發送者的身份，以及發送的郵

件地址是否與郵件服務器屬于相同的域

-驗證接收方的域名與郵件服務器的域名是否相同

-有的也驗證發送者的域名是否有效，通過反向

DNS解析

-攻擊者可以運行自己的smtp郵件服務器

?不能防止一個內部用戶冒充另一個內部用戶發送郵

件

網絡攻擊技術：E-mail攻擊

E-mail安全策略

保護E-mail的有效方法是使用加密簽字，如

“PrettyGoodPrivacy”(PGP),來驗證E-mail信

息。通過驗證E-mail信息，可以保證信息確實來

自發信人，并保證在傳送過程中信息沒有被修改。

網絡攻擊技術：特洛伊木馬

1.特洛伊木馬程序簡介

(1)什么是特洛伊木馬

特洛伊木馬來自于希臘神話，這里指的是一種黑客程序,

它一般有兩個程序，一個是服務器端程序，一個是控制器

端程序。如果用戶的電腦安裝了服務器端程序，那么黑客

就可以使用控制器端程序進入用戶的電腦，通過命令服務

器斷程序達到控制用戶電腦的目的。

網絡攻擊技術：特洛伊木馬

(2)木馬服務端程序的植入

攻擊者要通過木馬攻擊用戶的系統，一般他所

要作的第一步就是要把木馬的服務器端程序植入

用戶的電腦里面。植入的方法有：

①下載的軟件

②通過交互腳本

③通過系統漏洞

網絡攻擊技術：特洛伊木馬

（3）木馬將入侵主機信息發送給攻擊者

木馬在被植入攻擊主機后，他一般會通過一

定的方式把入侵主機的信息、如主機的IP地址、

木馬植入的端口等發送給攻擊者，這樣攻擊者就

可以與木馬里應外合控制受攻擊主機。

網絡攻擊技術：特洛伊木馬

（4）木馬程序啟動并發揮作用

黑客通常都是和用戶的電腦中木馬程序聯系，當木馬程序在用戶

的電腦中存在的時候，黑客就可以通過控制器斷的軟件來命令木馬做

事。這些命令是在網絡上傳遞的，必須要遵守TCP/IP協議。TCP/IP

協議規定電腦的端口有256X256=65536個，從0到65535號端口，木

馬可以打開一個或者幾個端口，黑客使用的控制器斷軟件就是通過木

馬的端口進入用戶的電腦的。

特洛伊木馬要能發揮作用必須具備三個因素：

①木馬需要一種啟動方式，一般在注冊表啟動組中；

②木馬需要在內存中才能發揮作用；

③木馬會打開特別的端口，以便黑客通過這個端口和木馬聯系。

網絡攻擊技術：特洛伊木馬

2.特洛伊程序的存在形式

(1)大部分的特洛伊程序存在于編譯過的二進制

文件中。

(2)特洛伊程序也可以在一些沒有被編譯的可執

行文件中發現。

網絡攻擊技術：特洛伊木馬

3.特洛伊程序的檢測

(1)通過檢查文件的完整性來檢測特洛伊程序。

(2)檢測特洛伊程序的技術MD5

MD5屬于一個叫做報文摘要算法的單向散列函數中的

一種。這種算法對任意長度的輸入報文都產生一個128位

的“指紋”或“報文摘要”作為輸出。它的一個假設前提

是：要產生具有同樣報文摘要的兩個報文或要產生給定報

文摘要的報文是不可能的。

網絡攻擊技術：特洛伊木馬

4.特洛伊程序的刪除

刪除木馬最簡單的方法是安裝殺毒軟件，現在很

多殺毒軟件都能刪除多種木馬。但是由于木馬的種類

和花樣越來越多，所以手動刪除還是最好的辦法。木

馬在啟動后會被加載到注冊表的啟動組中，它會先進

入內存，然后打開端口。所以在查找木馬時要先使用

TCPVIEW,而后開始查找開放的可疑端口。

網絡攻擊技術拒絕服務攻擊

?拒絕服務攻擊的簡稱是：DoS(DenialofService)攻擊，

凡是造成目標計算機拒絕提供服務的攻擊都稱為DoS攻擊,

其目的是使目標計算機或網絡無法提供正常的服務。

?最常見的DoS攻擊是：計算機網絡帶寬攻擊和連通性攻擊。

帶寬攻擊是以極大的通信量沖擊網絡，使網絡所有可用的

帶寬都被消耗掉，最后導致合法用戶的請求無法通過。連

通性攻擊指用大量的連接請求沖擊計算機，最終導致計算

機無法再處理合法用戶的請求。

網絡攻擊技術拒絕服務攻擊

(DoS/DDoS)

?DoS攻擊的三種形式：

?形式：分為消耗有限的物理資源

?網絡資源

?帶寬資源

?其他資源衰竭，如磁盤空間、進程數

-合法用戶可登錄嘗試的次數有限，攻擊者可以用掉這些嘗

試次數

-修改配置信息造成DoS

?比如，修改路由器信息，造成不能訪問網絡；修改NT注冊表，

也可以關掉某些功能

-物理部件的移除，或破壞。

網絡攻擊技術拒絕服務攻擊

（DoS/DDoS）

?DoS的技術分類

從表現形式來看：

帶寬消耗

用足夠的資源消耗掉有限的資源

利用網絡上的其他資源（惡意利用Internet

共享資源），達到消耗目標系統或網絡的

目的

系統資源消耗，針對操作系統中有限的資源,

如進程數、磁盤、CPU、內存、文件句柄，

維維

----L----1

程序實現上的缺陷，異常行為處理不正確，

比如PingofDeath

修改（篡改）系統策略，使得它不能提供正常

網絡攻擊技術：拒絕服務攻擊

(DoS/DDoS)

?DoS的技術分類

從攻擊原理來看

通用類型的DoS攻擊，這類攻擊往往是與具

體系統無關的，比如針對協議設計上的缺陷

的攻^擊^

系統相關的攻擊，這類攻擊往往與具體的實

現有關

說明：最終，所有的攻擊都是系統相關的，

因為有些系統可以針對協議的缺陷提供一些

補救措施，從而免受此類攻擊

典型的DoS攻擊：SYNFlood

?SYNFlood

?攻擊特征

-目標主機的網絡上出現大量的SYN包，而沒有相應的應答包

-SYN包的源地址可能是偽造的，甚至無規律可循

?防止措施

-針對網絡

?防火墻或者路由器可以在給定時間內只允許有限數量的半

開連接

?入侵檢測，可以發現這樣的DoS攻擊行為

-打補丁

?Linux和Solaris使用了一種被稱為SYNcookie的技術來解

決SYNFlood攻擊：在半開連接隊列之外另設置了一套機

制，使得合法連接得以正常繼續。

典型的DoS攻擊：SYNFlood

正常的三次握手建立通訊的過程

SYNFlood原理

攻擊者不能建立正常的連接受害者

連接耗盡

大量的

tcpconnect這么多

需要處

正常tenconnect

正常tcpconnect

正常tcpconnect

正常tcpconnect

不能建立正常的連接

正常用戶

拒絕服務攻擊的對抗

?網絡層

-升級系統防止pingofdeath等攻擊

-通過帶寬限制來防止flood攻擊

?應用層拒絕服務的抵抗

-通常需要在應用層進行特定的設計

?SYNFlood與連接耗盡是難點

黑客攻擊常用工具

網絡監聽

掃描器

網絡監聽簡介

什么是網絡監聽

所謂網絡監聽就是獲取在網絡上傳輸的信息。

通常，這種信息并不是特定發給自己計算機的。

一般情況下，系統管理員為了有效地管理網絡、

診斷網絡問題而進行網絡監聽。然而，黑客為了

達到其不可告人的目的，也進行網絡監聽。

網絡監聽簡介

2.在以太網中的監聽

（1）以太網中信息傳輸的原理。

以太網協議的工作方式：發送信息時，發送方將對所

有的主機進行廣播，廣播包的包頭含有目的主機的物理地

址，如果地址與主機不符，則該主機對數據包不予理睬，

只有當地址與主機自己的地址相同時主機才會接受該數據

包，但網絡監聽程序可以使得主機對所有通過它的數據進

行接受或改變。

網絡監聽簡介

(2)監聽模式的設置

要使主機工作在監聽模式下，需要向網絡接口發送

I/O控制命令；將其設置為監聽模式。在UNIX系統中，

發送這些命令需要超級用戶的權限。在UNIX系統中普

通用戶是不能進行網絡監聽的。但是，在上網的

Windows95中，則沒有這個限制。只要運行這一類的

監聽軟件即可，而且具有操作方便，對監聽到信息的

綜合能力強的特點。

網絡監聽簡介

(3)網絡監聽所造成的影響

網絡監聽使得進行監聽的機器響應速度變得

非常慢

常用的監聽工具

(1)snoop

snoop可以截獲網絡上傳輸的數據包，并顯示這些包中

的內容。它使用網絡包過濾功能和緩沖技術來提供有效的

對網絡通信過濾的功能。那些截獲的數據包中的信息可以

在它們被截獲時顯示出來，也可以存儲在文件中，用于以

后的檢查。

Snoop可以以單行的形式只輸出數據包的總結信息，

也可以以多行的形式對包中信息詳細說明。

常用的監聽工具

2.Sniffit軟件

Sniffit是由LawrenceBerkeley實驗室開發的，運

行于Solaris、SGI和Linux等平臺的一種免費網

絡監聽軟件，具有功能強大且使用方便的特點。

使用時，用戶可以選擇源、目標地址或地址集

合，還可以選擇監聽的端口、協議和網絡接口

等。

網絡監聽的檢測

方法一：

對于懷疑運行監聽程序的機器，用正確的IP地址和錯誤

的物理地址去ping,運行監聽程序的機器會有響應。這是

因為正常的機器不接收錯誤的物理地址，處于監聽狀態的

機器能接收。如果他的IPstack不再次反向檢查的話，就會

響應。這種方法依賴于系統的IPstack,對一些系統可能行

不通。

網絡監聽的檢測

方法二：

往網上發大量不存在的物理地址的包，由于

監聽程序將處理這些包，將導致性能下降。通過

比較前后該機器性能（icmpechodelay等方法）

加以判斷。這種方法難度比較大。

網絡監聽的檢測

方法二：

一個看起來可行的檢查監聽程序的方法是搜索

所有主機上運行的進程。那些使用DOS、

WindowsforWorkgroup或者Windows95的機器彳艮

難做到這一點。而使用UNIX和WindowsNT的機

器可以很容易地得到當前進程的清單。

網絡監聽的檢測

方法四：

另外一個辦法就是去搜索監聽程序，入侵者

很可能使用的是一個免費軟件。管理員就可以檢

查目錄，找出監聽程序，但這很困難而且很費時

間。在UNIX系統上，人們可能不得不自己編寫一

個程序。另外，如果監聽程序被換成另一個名字,

管理員也不可能找到這個監聽程序。

掃描器

1.掃描器簡介

掃描器是自動檢測遠程或本地主機安全性漏洞的程序包。

使用掃描器，不僅可以很快地發現本地主機系統配置和軟件上存在的安全

隱患，而且還可以不留痕跡地發現遠在另一個半球的一臺主機的安全性漏

洞，這種自動檢測功能快速而準確。

掃描器和監聽工具一樣，不同的人使用會有不同的結果：如果系統管理員

使用了掃描器，它將直接有助于加強系統安全性；而對于黑客來說，掃描

器是他們進行攻擊入手點，不過，由于掃描器不能直接攻擊網絡漏洞，所

以黑客使用掃描器找出目標主機上各種各樣的安全漏洞后，利用其他方法

進行惡意攻擊。

掃描器

2.端口掃描

(1)端口

許多TCP/IP程序可以通過Internet啟動，這些程序大都是

面向客戶/服務器的程序。當inetd接收到一個連接請求時，它

便啟動一個服務，與請求客戶服務的機器通訊。為簡化這一

過程，每個應用程序(比如FTP、Telnet)被賦予一個唯一的

地址，這個地址稱為端口。在一般的Internet服務器上都有數

千個端口，為了簡便和高效，為每個指定端口都設計了一個

標準的數據幀。換句話說，盡管系統管理員可以把服務綁定

(bind)到他選定的端口上，但服務一般都被綁定到指定的

端口上，它們被稱為公認端口。

（2）端口掃描簡介

①端口掃描是一種獲取主機信息的好方法。

②端口掃描程序對于系統管理人員，是一個非常簡

便實用的工具。

③如果掃描到一些標準端口之外的端口，系統管理

員必須清楚這些端口提供了一些什么服務，是不

是允許的。

3.常用的掃描工具

(1)網絡分析工具SATAN

SATAN是一個分析網絡的安全管理和測試、報告工具。

它用來收集網絡上主機的許多信息，并可以識別且自動報

告與網絡相關的安全問題。對所發現的每種問題類型，

SATAN都提供對這個問題的解釋以及它可能對系統和網

絡安全造成的影響的程度。通過所附的資料，它還解釋如

何處理這些問題。

(2)網絡安全掃描器NSS

網絡安全掃描器是一個非常隱蔽的掃描器。如

果你用流行的搜索程序搜索它，你所能發現的入

口不超過20個。這并非意味著NSS使用不廣泛，

而是意味著多數載有該掃描器的FTP的站點處在

暗處，或無法通過WWW搜索器找到它們。

(3)Strobe

超級優化TCP端口檢測程序Strobe是一個TCP

端口掃描器。它具有在最大帶寬利用率和最小進

程資源需求下，迅速地定位和掃描一臺遠程目標

主機或許多臺主機的所有TCP“監聽”端口的能力。

(4)InternetScanner

InternetScanner可以說是可得到的最快和功能

最全的安全掃描工具，用于UNIX和WindowsNT。

它容易配置，掃描速度快，并且能產生綜合報告。

(5)PortScanner

PortScanner是一個運行于Windows95和

WindowsNT上的端口掃描工具，其開始界面上顯

示了兩個輸入框，上面的輸入框用于要掃描的開

始主機IP地址，下面的輸入框用于輸入要掃描的

結束主機IP地址。在這兩個IP地址之間的主機將

被掃描。

網絡攻擊的發展趨勢

MailServer

MailGateway混合型、自動的攻擊

攻擊的發展趨勢

?漏洞趨勢

-嚴重程度中等或較高的漏洞急劇增加，

新漏洞被利用越來越容易（大約60%不

需或很少需用代碼）

■混合型威脅趨勢

-將病毒、蠕蟲、特洛伊木馬和惡意代

碼的特性與服務器和Internet漏洞結

合起來而發起、傳播和擴散的攻擊,例:

紅色代碼和尼姆達等。

攻擊的發展趨勢

主動惡意代碼趨勢

-制造方法：簡單并工具化

-技術特征：智能性、攻擊性和多態性，采用加密、變

換、插入等技術手段巧妙地偽裝自身，躲避甚至攻

擊防御檢測軟件.

-表現形式：多種多樣,沒有了固定的端口，沒有了更

多的連接,甚至發展到可以在網絡的任何一層生根發

芽，復制傳播，難以檢測。

攻擊的發展趨勢

■受攻擊未來領域

-即時消息:MSN,Yahoo,ICQ,OICQ等

-對等程序(P2P)

-移動設備

常見的安全技術防范措施

常用的安全防護措施

防火墻

入侵檢測

漏洞掃描

抗拒絕服務

防病毒

系統安全加固

SUS補丁安全管理

常用的安全防護措施一防火墻

防火墻的局限性

?防火墻不能防止通向站點的后門。

?防火墻一般不提供對內部的保護。

?防火墻無法防范數據驅動型的攻擊。

?防火墻本身的防攻擊能力不夠，容易成為被攻擊

的首要目標。

?防火墻不能根據網絡被惡意使用和攻擊的情況動

態調整自己的策略。

防火墻與IDS

PL防護時間》Dt-檢測時間+Rt-響應時間

防火墻與IDS聯動

?一個黑客在到達攻擊目標之前需要攻破很多的

設備（路由器，交換機）、系統（NT,UNIX）

和放火墻的障礙，在黑客達到目標之前的時間,

我們稱之為防護時間Pt；

?在黑客攻擊過程中，我們檢測到他的活動的

所用時間稱之為Dt,檢測到黑客的行為后，我

們需要作出響應，這段時間稱之為Rt.假如能

做到Dt+RtvPt,那么我們可以說我們的目標系

統是安全的。

入侵檢測系統

入侵檢測系統的作用

?實時檢測

-實時地