常见网络攻击与防范PPT资料.ppt

常见网络攻击与防范PPT资料.ppt

《常见网络攻击与防范PPT资料.ppt》由会员分享，可在线阅读，更多相关《常见网络攻击与防范PPT资料.ppt（76页珍藏版）》请在冰豆网上搜索。

,获取信息,1.收集主机信息,Ping命令判断计算机是否开着，或者数据包发送到返回需要多少时间Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径Finger和Rusers命令收集用户信息,应用的方法：

获取网络服务的端口作为入侵通道。

2.端口扫瞄,1.TCPConnect（）2.TCPSYN3.TCPFIN4.IP段扫瞄5.TCP反向Ident扫瞄6.FTP代理扫瞄7.UDPICMP不到达扫瞄,7种扫瞄类型：

NSS（网络安全扫描器）。

Strobe（超级优化TCP端口检测程序），可记录指定机器上的所有开放端口，快速识别指定机器上运行的服务，提示可以被攻击的服务。

SATAN（安全管理员的网络分析工具），SATAN用于扫描远程主机，发现漏洞，包括FTPD漏洞和可写的FTP目录,扫瞄软件举例：

3.Sniffer扫瞄,原理：

sniffer类的软件能把本地网卡设置成工作在“混杂”（promiscuous）方式，使该网卡能接收所有数据帧，从而获取别人的口令、金融帐号或其他敏感机密信息等。

方法与对策：

1、用交换机替换HUB，交换机是两两接通，比普通HUB安全。

2、使用检测的软件，如CPMAntisniff等，检测网络中是否有网卡工作在混杂状态（基本原理是发送本网中并不存在的MAC地址，看看是否有回应，如有回应，则说明有计算机网卡工作在混杂模式。

）。

网络监听及防范技术,网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法间接性利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏隐蔽性网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信,网络监听及防范技术共享式局域网下,共享式局域网采用的是广播信道，每一台主机所发出的帧都会被全网内所有主机接收到一般网卡具有以下四种工作模式：

广播模式、多播模式、直接模式和混杂模式网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的和广播的帧,网络监听及防范技术共享式局域网下,使用MAC地址来确定数据包的流向若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序共享式网络下窃听就使用网卡的混杂模式,网络监听及防范技术共享式局域网下,网络监听及防范技术交换式局域网下,在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识ARP协议实现的配对寻址ARP请求包是以广播的形式发出，正常情况下只有正确IP地址与的主机才会发出ARP响应包，告知查询主机自己的MAC地址。

局域网中每台主机都维护着一张ARP表，其中存放着地址对。

网络监听及防范技术交换式局域网下,ARP改向的中间人窃听,A发往B：

（MACb，MACa，PROTOCOL，DATA）B发往A：

（MACa，MACb，PROTOCOL，DATA）,A发往B：

（MACx，MACa，PROTOCOL，DATA）B发往A：

（MACx，MACb，PROTOCOL，DATA）,网络监听及防范技术交换式局域网下,X分别向A和B发送ARP包，促使其修改ARP表主机A的ARP表中B为主机B的ARP表中A为X成为主机A和主机B之间的“中间人”,网络监听及防范技术网络窃听的被动防范,分割网段细化网络会使得局域网中被窃听的可能性减小使用静态ARP表手工输入地址对采用第三层交换方式取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换加密SSH、SSL、IPSec,网络监听及防范技术网络窃听的主动防范,交换式局域网下的主动防范措施监听ARP数据包监听通过交换机或者网关的所有ARP数据包，与预先建立的数据库相比较定期探测数据包传送路径使用路径探测程序如tracert、traceroute等对发出数据包所经过的路径进行检查，并与备份的合法路径作比较,IP欺骗及防范技术会话劫持,一般欺骗,会话劫持,IP欺骗及防范技术会话劫持,会话劫持攻击的基本步骤发现攻击目标确认动态会话猜测序列号关键一步，技术难点使被冒充主机下线伪造FIN包，拒绝服务攻击接管会话,IP欺骗及防范技术防范技术,没有有效的办法可以从根本上防范会话劫持攻击所有会话都加密保护实现困难使用安全协议（SSH、VPN）保护敏感会话,电子邮件欺骗及防范技术案例,2003年6月初，一些在中国工商银行进行过网上银行注册的客户，收到了一封来自网络管理员的电子邮件，宣称由于网络银行系统升级，要求客户重新填写用户名和密码。

这一举动随后被工行工作人员发现，经证实是不法分子冒用网站公开信箱，企图窃取客户的资料。

虽然没有造成多大的损失，但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波，刺激人们针对信息安全问题展开了更加深切的讨论。

电子邮件欺骗及防范技术原理,发送邮件使用SMTP（即简单邮件传输协议）SMTP协议的致命缺陷：

过于信任原则SMTP假设的依据是：

不怀疑邮件的使用者的身份和意图伪装成为他人身份向受害者发送邮件可以使用电子邮件客户端软件，也可以远程登录到25端口发送欺骗邮件,电子邮件欺骗及防范技术防范,查看电子邮件头部信息不仅指出了是否有人欺骗了电子邮件，而且指出了这个信息的来源采用SMTP身份验证机制使用与POP协议收取邮件时相同的用户名/密码PGP邮件加密以公钥密码学（PublicKeyCryptology）为基础的,Web欺骗及防范技术概念,口令攻击,方法与对策：

1、限制同一用户的失败登录次数2、限制口令最短长度，要求特权指令使用复杂的字母、数字组合。

3、定期更换口令，不要将口令存放到计算机文件中,1口令暴力攻击：

生成口令字典，通过程序试探口令。

2窃取口令文件后解密：

窃取口令文件（UNIX环境下的Passwd文件和Shadow文件），通过软件解密。

MAC地址攻击,交换机的转发原理。

攻击者生成大量源地址各不相同的数据包，这些MAC地址就会充满交换机的交换地址映射表空间，则正常的数据包到达时都被洪泛出去，致使交换机的查表速度严重下降，不能继续工作。

ARP欺骗,MAC地址:

就是网卡的地址（48位），具唯一性。

0080c81c2996（16进制）帧（frame）：

数据链路层的数据单元，帧中有源MAC地址和目的MAC地址。

ARP协议是获得对方的MAC地址，才行进行帧的封装。

Arp协议,厂家代号,流水号,ARP请求：

是以广播形式发送IP地址为192.168.0.10的计算机MAC是多少啊？

ARP工作原理,ARP工作原理（续）,ARP应答：

只有IP地址符合的计算机会应答我的MAC为0080c81c2996,以单播形式,地址解析方法,查表（tablelookup）：

将地址绑定信息存放在内存的一张表中，当要进行地址解析时，可以查表找到所需的结果，常用用于WAN。

（集中解析）,ARP欺骗,基本思想：

由于ARP是无状态的协议，在没有请求时也可以发送应答的包。

入侵者可以利用这一点，向网络上发送自己定义的包，包中包括源IP地址、目的IP地址以及硬件地址，不过它们都是伪造的数据，会修改网络上主机中的ARP高速缓存。

Arp缓存表,查看ARP高速缓存中的记录,解析对象的IP地址,解析所得的MAC地址,此记录产生的方式,删除ARP高速缓存中的记录,原来有4个记录,删除这个记录,203.74.205.11这个记录被删除了,向ARP高速缓存中增加静态记录,新增的记录，注意Type是static,ARP欺骗举例,例：

主机名IP地址硬件地址AIPAAAAABIPBBBBBCIPCCCCC说明：

B是一台被入侵者控制了的主机，而A信任C。

入侵者的目的就是伪装成C获得A的信任，以便获得一些无直接获得的信息等。

欺骗过程,入侵者控制主机B向主机A发送一个ARP应答，ARP应答中包括：

源IP地址（IPC），源硬件地址（BBBB），目标IP地址（IPA）、目标硬件地址（AAAA），这条应答被A接受后，就被保存到A主机的ARP高速缓存中了。

问题：

由于C也是活动的，也有可能向A发出自己的ARP应答，将的A的ARP缓存改回正确的硬件地址。

如何解决？

A根据ARP缓存中的缓存记录，将发往C（IPC）的数据报文，发向了B（IPB，BBBB）,ARP欺骗的防范,MAC地址绑定，使网络中每一台计算机的IP地址与硬件地址一一对应，不可更改。

使用静态ARP缓存，用手工方法更新缓存中的记录，使ARP欺骗无法进行。

使用ARP服务器，使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。

ARP病毒,ARP病毒,10.1.14.254,10.1.14.125,10.1.14.126中ARP病毒,10.1.14.254的MAC是什么？

10.1.14.254的MAC为bb-bb-bb,10.1.14.254的MAC为cc-cc-cc,中了ARP病毒的计算机冒充网关发送ARP响应，导致其他计算机无法上Internet。

什么情况下表明局域网内有ARP攻击,校园网登陆系统频繁掉线网速突然变慢使用ARPa命令发现网关的MAC地址不停的变换使用sniffer软件发现局域网内存在大量的ARPreply包,目前已知的ARP病毒的传播途径,通过外挂程序传播通过网页传播通过其他木马程序传播通过即时通讯软件传播（QQ、MSN）通过共享传播（网络共享、P2P软件共享）,ARP-防御：

在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC并自我防御,未中毒而只是被攻击的电脑，防护办法如下：

下载AntiArpSniffer3.zip在本机运行，在“网关地址”中输入本机网关地址，然后点击“获取网关MAC地址”按钮，再点击“自动防护”即可,查看本机网关地址IPCONFIG/ALL,作业：

1.请详述你对“网络嗅探技术”的理解，及其应对方法。

2.简述“MAC地址欺骗”，“ARP欺骗”，“ARP病毒”的原理。

拒绝服务攻击（DoS）,拒绝服务攻击,利用系统缺陷攻击耗尽连接攻击利用放大原理Smurf攻击利用放大系统攻击分布式拒绝服务攻击DDoS,2.耗尽连接攻读LAND攻击：

向被攻击者发送一个个源地址和目标地址都被设置成为被攻击者的地址的SYN包，导致被攻击者自己与自己建立一个空连接，直到超时。

TCP/SYN攻击：

攻击者向目标主机不断发送带有虚假源地址的SYN包，目标主机发送ACK/SYN回应，因为源地址是虚假的，所以不会收到ACK回