常见网络攻击与防御剖析ppt课件

网络攻击与防御网络攻击与防御11网络安全基础知识n网络安全n信息安全n关键技术n安全威胁及分类n威胁来源1网络安全基础知识网络安全2网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛，这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。确保网络系统的信息安全是网络安全的目标，信息安全包括两个方面：信息的存储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全，如信息是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全，如信息是否被篡改、重放等。1.1网络安全&信息安全网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当31.2信息安全的概念信息安全是指确保以电磁信号为主要形式的、在计算机网络化（开放互连）系统中进行自动通信、处理和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性，与人、网络、环境有关的技术安全、结构安全和管理安全的总和。人指信息系统的主题，包括各类用户、支持人员，以及技术管理和行政管理人员。网络则指以计算机、网络互连设备、传输介质、信息内容及其操作系统、通信协议和应用程序所构成的物理的与逻辑的完整体系。环境则是系统稳定和可靠运行所需要的保障体系，包括建筑物、机房、动力保障与备份，以及应急与恢复体系。1.2信息安全的概念信息安全是指确保以电磁信号为主要形式的4信息窃取信息窃取信息传递信息传递信息冒充信息冒充信息篡改信息篡改信息抵赖信息抵赖加密技术加密技术完整性技术完整性技术认证技术认证技术数字签名数字签名1.3关键技术信息窃取信息传递信息冒充信息篡改信息抵赖加密技术完整性技术认51.4安全威胁拒绝服务攻击内部、外部泄密逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫Internet1.4安全威胁拒绝服务攻击内部、外部泄密逻辑炸弹特洛伊木6信息丢失信息战内部泄密外部泄密自然灾害、意外事故计算机犯罪网络协议中的缺陷，例如TCP/IP协议的缺陷电子谍报，比如信息流量分析、信息窃取等人为行为，比如使用不当，安全意识差等“黑客”行为，比如非法访问、非法连接主要分类：主要分类：信息丢失信息战内部泄密外部泄密自然灾害、意外事故计算机犯罪网7v内部人员（包括信息系统的管理者、使用者和决策者）v准内部人员（包括信息系统的开发者、维护者等）v特殊身份人员（具有特殊身份的人，比如，审计人员、稽查人员、记者等）v外部黑客或小组v竞争对手v网络恐怖组织v军事组织或国家组织等1.5安全威胁的主要来源内部人员（包括信息系统的管理者、使用者和决策者）1.5安全82远程攻击基础A攻击的位置（1）远程攻击（2）本地攻击（3）伪远程攻击2远程攻击基础A攻击的位置9B.攻击的层次n简单拒绝服务；n本地用户获得非授权读权限；n本地用户获得非授权写权限；n远程用户获得非授权帐号信息；n远程用户获得特权文件的读权限；n远程用户获得特权文件的写权限；n远程用户拥有了系统管理员权限。B.攻击的层次简单拒绝服务；10C.攻击分类在最高层次，攻击被分为两类：n主动攻击：包含攻击者访问他所需要信息的故意行为。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。n被动攻击：主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。C.攻击分类在最高层次，攻击被分为两类：11图1、攻击分类图1、攻击分类12就目前常见的攻击，大致可以分为几大类（参见图1）：n窃听：指攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的常用攻击方法有：键击记录：是植入操作系统内核的隐蔽软件，通常实现为一个键盘设备驱动程序，能够把每次键击都记录下来，存放到攻击者指定的隐藏的本地文件中。如Win32平台下适用的IKS等。网络监听：是攻击者一旦在目标网络上获得一个立足点之后刺探网络情报的最有效方法，通过设置网卡的混杂模式获得网络上所有的数据包，并从中抽取安全关键信息，如明文方式传输的口令。如Win32平台下的sniffer等免费工具，Unix平台下的libpcap网络监听工具库。非法访问数据：是攻击者或内部人员违反安全策略对其访问权限之外的数据进行非法访问。获取密码文件：攻击者进行口令破解获取特权用户或其他用户口令的必要前提。就目前常见的攻击，大致可以分为几大类（参见图1）：13n欺骗：指攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法，属于此类攻击的方法有：获取口令：通过缺省口令、口令猜测和口令破解三种途径。针对一些弱口令进行猜测。也可以使用专门的口令猜测工具进行口令破解，如遍历字典或高频密码列表从而找到正确的口令。如Win32平台的LOphtcrack等。恶意代码：包括特洛伊木马应用程序、邮件病毒、网页病毒等，通常冒充成有用的软件工具、重要的信息等，诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制，在启动后悄悄安装恶意程序，通常为攻击者给出能够完全控制该主机的远程连接。网络欺骗：攻击者通过向攻击目标发送冒充其信任主机的网络数据包，达到获取访问权或执行命令的攻击方法。具体的有IP欺骗、会话劫持、ARP重定向和RIP路由欺骗等。欺骗：指攻击者通过冒充正常用户以获取对攻击目标访问权或获取关14n拒绝服务：指终端或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法，其意图就是彻底破坏，这也是比较容易实现的攻击方法。特别是分布式拒绝服务攻击对目前的互联网构成了严重的威胁，造成的经济损失也极为庞大。拒绝服务攻击的类型按其攻击形式分为：导致异常型：利用软硬件实现上的编程缺陷，导致其出现异常，从而使其拒绝服务。如PingofDeath攻击等。资源耗尽型：通过大量消耗资源使得攻击目标由于资源耗尽不能提供正常的服务。视资源类型的不同可分为带宽耗尽和系统资源耗尽两类。带宽耗尽攻击的本质是攻击着通过放大等技巧消耗掉目标网络的所有带宽，如Smurf攻击等。系统资源耗尽型攻击指对系统内存、CPU或程序中的其他资源进行消耗，使其无法满足正常提供服务的需求。如SynFlood攻击等。欺骗型拒绝服务：指终端或者完全拒绝对合法用户、网络、系统和其他资源15n数据驱动攻击：通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，大致可分为：缓冲区溢出：通过往程序的缓冲区写入超出其边界的内容，造成缓冲区的溢出，使得程序转而执行其他攻击者指定的代码，通常是为攻击者打开远程连接的ShellCode，以达到攻击目标。如Windows平台下的Code-Red、Blaster、Sasser等都是通过缓冲区溢出攻击获得系统管理员权限后进行传播。格式化字符串攻击：主要是利用由于格式化函数的微妙程序设计错误造成的安全漏洞，通过传递精心编制的含有格式化指令的文本字符串，以使目标程序执行任意命令。输入验证攻击：针对程序未能对输入进行有效的验证的安全漏洞，使得攻击者能够让程序执行指令的命令。最著名的是1996年的PHF攻击。同步漏洞攻击：利用程序在处理同步操作时的缺陷，如竞争状态、信号处理等问题，以获得更高权限的访问。信任漏洞攻击：利用程序滥设的信任关系获取访问权的一种方法，如Win32平台下互为映象的本地和域Administrator凭证、LSA密码等。数据驱动攻击：通过向某个程序发送数据，以产生非预期结果的攻击163信息收集n信息收集分类n工具介绍3信息收集信息收集分类173.1信息收集分类分为三种：使用各种扫描工具对入侵目标进行大规模扫描，得到系统信息和运行的服务信息。利用第三方资源对目标进行信息收集,比如我们常见的收索引擎利用各种查询手段得到与被入侵目标相关的一些信息，如社会工程学。社会工程学（SocialEngineering）：通常是利用大众的疏于防范的诡计，让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式，从合法用户中套取敏感的信息。3.1信息收集分类分为三种：18qPing、fping、ping sweepqARP探测qFingerqWhoisqDNS/nslookupq搜索引擎（google、百度）qtelnet3.2信息收集的工具软件Ping、fping、pingsweep3.2信息收集19pingq作用和特点作用和特点用来判断目标是否活动；最常用；最简单的探测手段；Ping 程序一般是直接实现在系统内核中的，而不是一个用户进程。ping作用和特点用来判断目标是否活动；20q原理原理Type=8Type=0ping类型为类型为8，表示，表示“回响请求回响请求”类型为类型为0，表示，表示“回响应答回响应答”原理Type=8Type=0ping类型为8，表示“21主机在线情况主机在线情况主机不应答情况主机不应答情况1）主机不在线）主机不在线2）防火墙阻断）防火墙阻断ICMP探测探测主机在线情况主机不应答情况1）主机不在线22ping表示表示192.168.1.25机器不在线。机器不在线。ping表示192.168.1.25机器不在线。23举例举例1：Replyfrom192.168.3.10:bytes=32time1msTTL=32nReplyfrom192.168.3.10表示回应ping的ip地址是192.168.3.10。nbytes=32表示回应报文的大小，这里是32字节。ntime1ms表示回应所花费的时间，小于1毫秒。nTTL=32，TTL是生存时间，报文经过一个路由器就减一，如果减到0就会被抛弃。这里是32。举例2：Pingwar2.0群ping.举例1：24ARP探测探测能探测同一局域网内的主机，因为防火墙不能阻断能探测同一局域网内的主机，因为防火墙不能阻断ARP请求。请求。ARP探测能探测同一局域网内的主机，因为防火墙不能阻断AR25fingerq作用和特点作用和特点网络服务服务端口：tcp 79服务端程序fingerd,客户端程序finger不需要认证就提供用户信息finger作用和特点网络服务26姓名电话最后登录时间finger姓名电话最后登录时间finger27whoisq作用和特点作用和特点网络服务服务端口：tcp 43服务端程序whoisd,客户端程序finger提供目标系统的地址信息参考网站1http:/whois.webhosting.info参考网站2http:/samspade.org/whois作用和特点网络服务28常规信息收集网络域名网络域名网络网络Ip地址分配地址分配使用单位使用单位地址地址常规信息收集网络域名网络Ip地址分配使用单位地址29常见网络攻击与防御剖析ppt课件30DNSq作用和特点作用和特点网络服务服务端口：udp 53服务端程序bind,客户端程序nslookup提供目标系统域名与地址的转换DNS作用和特点网络服务31DNSDNS32telnetq作用和特点作用和特点网络服务服务端口：任意服务端程序任意,客户端程序telnet提供目标系统服务的版本信息瑞士军刀NCtelnet作用和特点网络服务334端口扫描n扫描基础n扫描分类n扫描工具介绍4端口扫描扫描基础344.1扫描基础nTCP数据报首部标志域nTCP连接的建立过程nTCP连接的释放过程nTCP/IP实现遵循的原则4.1扫描基础TCP数据报首部标志域35TCP数据报首部标志域URG：紧急数据标志，指明数据流中已经放置紧急数据，紧急指针有效；ACK：确认标志，用于对报文的确认；PSH：推标志，通知接收端尽可能的将数据传递给应用层，在telnet登陆时，会使用到这个标志；RST：复位标志，用于复位TCP连接；SYN：同步标志，用于三次握手的建立，提示接收TCP连接的服务端检查序号；FIN：结束标志，表示发送端已经没有数据再传输了，希望释放连接，但接收端仍然可以继续发送数据。TCP数据报首部标志域URG：紧急数据标志，指明数据流中已36TCP连接的建立过程TCP连接的建立过程37TCP连接的释放过程TCP连接的释放过程38TCP/IP实现遵循的原则u原则1：当一个SYN或者FIN数据包到达一个关闭了的端口，服务器丢弃该数据包，并返回一个RST数据包；TCP/IP实现遵循的原则原则1：39TCP/IP实现遵循的原则u原则2：当一个RST数据包到达一个监听端口或者关闭的端口，RST数据包都会服务器被丢弃。TCP/IP实现遵循的原则原则2：40TCP/IP实现遵循的原则u原则3：当一个ACK数据包到达一个监听的端口，服务器会丢弃这个数据包，并回应一个RST数据包。TCP/IP实现遵循的原则原则3：41TCP/IP实现遵循的原则u原则4：当一个FIN数据包到达一个监听端口时，数据包将会被丢弃。TCP/IP实现遵循的原则原则4：424.2端口扫描分类技术n端口扫描分类n扫描技术分析4.2端口扫描分类技术端口扫描分类43扫描分类扫描分类TCP全连接开放扫描半开放扫描TCP反向ident扫描IP头信息dumb扫描SYN扫描FIN扫描隐蔽扫描TCP分段ACK扫描XMAS扫描空扫描扫射扫描SYN/ACK扫描ping扫射其它扫描UDP/ICMP不可达FTP弹跳UDP扫射UDPrecvfrom/write扫描ACK扫射SYN扫射ICMP扫射扫描分类TCP全连接开放扫描半开放扫描TCP反向IP头信息S44扫描技术分析q完全连接扫描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口开放端口关闭扫描技术分析完全连接扫描ClientSYNClientS45扫描技术分析q半连接SYN扫描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口开放端口关闭*立即切断连接扫描技术分析半连接SYN扫描ClientSYNClient46扫描技术分析q隐蔽扫描：SYN/ACKClientSYN/ACKServerRSTClientSYNServer-端口开放端口关闭扫描技术分析隐蔽扫描：SYN/ACKClientSYN/A47扫描技术分析q隐蔽扫描：FINClientFINServerRSTClientFINServer-端口开放端口关闭扫描技术分析隐蔽扫描：FINClientFINClient48扫描技术分析q隐蔽扫描：ACKClientFINServer(TTL0)ClientFINServer(TTL64)Server(WIN=0)端口开放端口关闭扫描技术分析隐蔽扫描：ACKClientFINClient49扫描技术分析q其它扫描：ICMP*ICMP Usage in Scanning扫描技术分析其它扫描：ICMP*ICMPUsagein504.3端口扫描工具nNmapnXscannSuperScannShadowSecurityScannernMS06040Scanner4.3端口扫描工具Nmap51Nmap探测工具王n功能NMAP是探测网络主机和开放服务的佼佼者。是Linux下使用者的最爱，现在已经有Windows的版本。NMAP支持多种协议的扫描如UDP，TCPconnect,TCPSYN,ftpproxy(bounceattack),Reverse-ident,ICMP(pingsweep),FIN,ACKsweep,XmasTree,SYNsweep,和Null扫描。还提供一些实用功能，比如通过tcp/ip来甄别操作系统类型；秘密扫描、动态延迟和重发；欺骗扫描、端口过滤探测、分布扫描等。Nmap探测工具王功能52常见网络攻击与防御剖析ppt课件53n-sTTCPConnect()扫描这是对TCP的最基本形式的侦测。对目标主机端口进行试探，如果该端口开放，则连接成功，否则代表这个端口没有开放。n-sSTCPSYN扫描就是我们介绍的半开式的扫描，速度会比connect扫描快。n-sF-sXsNStealthFIN,XmasTree或者Null扫描模式。n-sPPing扫描对指定的IP发送ICMP，如果对方屏蔽了echorequest，nmap还能发送一个TCPack包到80端口探测。n-sUUDP扫描确定某个UDP端口是否打开。-sTTCPConnect()扫描54常见网络攻击与防御剖析ppt课件55xscan选择选择无条件扫描无条件扫描，才可以突破防火墙屏蔽，才可以突破防火墙屏蔽ping，进行端口扫描。，进行端口扫描。xscan选择无条件扫描，才可以突破防火墙屏蔽ping，56Superscan速度之王速度之王Superscan速度之王57MS06040Scanner专用的漏洞扫描器用于检测目标系统是否存在用于检测目标系统是否存在MS06040漏洞。漏洞。MS06040Scanner专用的漏洞扫描器用于检测目58MS06040Scanner的工作原理是首先是通过端口扫描和操作系统扫描获取操作系统类型和开放的端口，如果是windows2000系统，开放了TCP139或者TCP445端口，并且返回的数据包跟漏洞库里的定义相匹配，则说明该主机可能可能存在MS06040漏洞，我们就可以使用MS06040漏洞利用程序对其进行远程溢出攻击。MS06040Scanner的工作原理是首先是通过端口扫描和595脚本攻击与防御nSQL注入攻击nSQL注入防御nCookie注入攻击5脚本攻击与防御SQL注入攻击605.1SQL注入攻击n什么是SQL注入攻击？SQL注入即是指攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。n分析一个经典的SQL注入漏洞5.1SQL注入攻击什么是SQL注入攻击？61dimrsadmin1=request(admin)password1=request(password)setrs=server.CreateObject(ADODB.RecordSet)rs.openselect*from admin where admin=&admin1&and password=&password1&,conn,1ifrs.eofandrs.bofthenresponse.writealert(用户名或密码不正确！);response.writejavascript:history.go(-1)response.endelsesession(admin)=rs(admin)session(password)=rs(password)session(aleave)=rs(aleave)response.redirectadmin.aspendifrs.closesetrs=nothing一个经典的SQL注入漏洞dimrs一个经典的SQL注入漏洞62分析n在用户名和密码那里都填入OR=，nSQL语句被构造成select*fromadminwhereadmin=OR=andpassword=OR=n意思是当admin为空或者空等于空，password为空或者空等于空的时候整个查询语句就为真。分析在用户名和密码那里都填入OR=，63如何来修补漏洞？n过滤掉其中的特殊字符。n这里我们就过滤掉其中的“”，即是把程序的头两行改为：admin1=replace(trim(request(admin),)password1=replace(trim(request(password),)如何来修补漏洞？过滤掉其中的特殊字符。645.2防止SQL注入四种方法：(1)在服务端正式处理之前对提交数据的合法性进行检查；(2)封装客户端提交信息；(3)替换或删除敏感字符/字符串；(4)屏蔽出错信息。5.2防止SQL注入四种方法：65第一种方法DimTc_Post,Tc_Get,Tc_In,Tc_Inf,Tc_Xh定义需要过滤的字串Tc_In=|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|or|char|declareTc_Inf=split(Tc_In,|)处理post数据IfRequest.FormThenForEachTc_PostInRequest.FormForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.Form(Tc_Post),Tc_Inf(Tc_Xh)0ThenResponse.Writealert(请不要在参数中包含非法字符尝试注入！);处理get数据IfRequest.QueryStringThenForEachTc_GetInRequest.QueryStringForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.QueryString(Tc_Get),Tc_Inf(Tc_Xh)0ThenResponse.Writealert(请不要在参数中包含非法字符尝试注入！);第一种方法DimTc_Post,Tc_Get,Tc_In,665.3Cookie注入读源码：获取参数ID，但是没限制来源（关键）Setrsnews=Server.CreateObject(ADODB.RecordSet)sql=updatenewssethits=hits+1whereid=&cstr(request(id)conn.executesqlsql=select*fromnewswhereid=&owen将参数直接带入查询rsnews.Opensql,conn,1,1title=rsnews(title)ifrsnews.eofandrsnews.bofthenresponse.Write(数据库出错)else5.3Cookie注入读源码：67nrequest获取变量的方式：request.form获取的是post数据，request.querystring获取的get数据，request.cookies获取的是cookie中的数据。n呢？这个时候程序是按以下顺序来搜索集合：querystring，form，cookie，servervariable。request获取变量的方式：request.form获取的68构造cookie实现注入注意：n在cookie里各个变量间的是用“;”来区分的,所以注射语句里面不要含有“;”,如果含有的话,可能会导致你的注射语句出错。n在cookie里，会自动过滤掉空格，所以注射语句里面要注意转换。构造cookie实现注入注意：69举例说明cookie注入n首先提交正常的新闻页面http:/localhost/leichi/onews.asp?id=39举例说明cookie注入首先提交正常的新闻页面http:/70n接着在浏览器输入javascript:alert(document.cookie=“id=”+escape(“39and1=1”);提交。弹出框表明cookie修改成功。接着在浏览器输入javascript:alert(docum71n接着刷新，然后直接访问http:/localhost/leichi/onews.asp接着刷新，然后直接访问http:/localhost/le72