第2章黑客常用的系统攻击方法课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,主要内容,黑客概述,网络扫描工具原理与使用,网络监听原理与工具,木马,拒绝服务攻击,缓冲区溢出,第,2,章,黑客常用的系统攻击方法,主要内容黑客概述第2章 黑客常用的系统攻击方法,1,2.1 黑客的由来,一名黑客(hacker)是一个喜欢用智力通过创造性方法来挑战脑力极限的人，特别是他们所感兴趣的领域，例如电脑编程或电器工程。,黑客最早源自英文hacker，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“软件骇客”(software cracker)。,黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。,2.1 黑客的由来 一名黑客(hacker)是一,2,黑客原理与防范措施,黑客发展的历史,网络威胁,网络扫描,网络监听,常用黑客技术的原理,（木马、缓冲区溢出等）,黑客攻击的防范,黑客原理与防范措施黑客发展的历史,3,信息安全威胁的发展趋势,信息安全威胁的发展趋势,4,攻击复杂度与所需入侵知识关系图,攻击复杂度与所需入侵知识关系图,5,2.1.2 黑客攻击的动机,贪心 ,偷窃或者敲诈，金融案件,恶作剧 ,无聊的计算机程序员,名声 ,显露出计算机经验与才智，以便证明他们的能力和获得名气,报复/宿怨 ,解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人,无知 ,失误和破坏了信息还不知道破坏了什么,黑客道德 -,这是许多构成黑客人物的动机,仇恨 -,国家和民族原因,间谍 ,政治和军事目的谍报工作,商业 ,商业竞争，商业间谍,2.1.2 黑客攻击的动机贪心 偷窃或者敲诈，金融案件,6,黑客守则,1),不恶意破坏系统,2),不修改系统文档,3),不在,bbs,上谈论入侵事项,4),不把要侵入的站点告诉不信任的朋友,5),在,post,文章时不用真名,6),入侵时不随意离开用户主机,7),不入侵政府机关系统,8),不在电话中谈入侵事项,9),将笔记保管好,10),要成功就要实践,11),不删除或涂改已入侵主机的帐号,12),不与朋友分享已破解的帐号,黑客守则1) 不恶意破坏系统,7,2.1.3 黑客入侵攻击的一般过程,确定攻击的目标。,收集被攻击对象的有关信息。,被攻击对象所在网络类型、IP地址、操作系统类型和版本、系统管理员的邮件地址等。,利用适当的工具进行扫描。,扫描后对截获的数据进行分析，找出安全漏洞。,建立模拟环境，进行模拟攻击。,进行模拟攻击，检查被攻击方的日志，攻击者确定删除哪些文件来消除攻击过程中留下的“痕迹”。,实施攻击。,清除痕迹。,2.1.3 黑客入侵攻击的一般过程 确定攻击的目标。,8,口令攻击,通过猜测或获取口令文件等方式获得系统认证口令,从而进入系统,危险口令类型,1）用户名,2）用户名变形,3,）生日,4）常用英文单词,5,）,5位,以下长度的口令,暴力破解：举例 NAT,口令攻击通过猜测或获取口令文件等方式获得系统认证口令,9,网络安全扫描技术在网络安全行业中扮演的角色,（1）扫描软件是入侵者分析将被入侵系统的必备工具,（2）扫描软件是系统管理员掌握系统安全状况的必备工具,（3）扫描软件是网络安全工程师修复系统漏洞的主要工具,（4）扫描软件在网络安全的家族中可以说是扮演着医生的角色,2.2 网络安全扫描技术,网络安全扫描技术在网络安全行业中扮演的角色（1）扫描软件是入,10,网络安全扫描技术分类,一一般的端口扫描器,二功能强大的特殊端口扫描器,三.其他系统敏感信息的扫描器,1.合法使用：检测自己服务器端口，以便给自己提供更好的服务；,2.非法使用：查找服务器的端口，选取最快的攻击端口,网络安全扫描技术分类一一般的端口扫描器 1.合法,11,预备知识-OSI模型和TCP/IP协议栈,预备知识-OSI模型和TCP/IP协议栈,12,TCP包首部,TCP包首部,13,IP数据包,16位总长度,8位服务类型,4位版本,4位首部长度,16位标识,32位源IP地址,8位生存时间,协议,首部校验和,13位片偏移,标志,32位目的IP地址,IP选项（可选）,填充,数据,IP数据包16位总长度8位服务类型4位版本4位首部长度16位,14,常用的扫描软件,X-scan,nmap,Fluxay,ipscan,常用的扫描软件X-scan,15,端口扫描程序,Nmap,Nmap,简介,Nmap支持的四种最基本的扫描方式：,（1）Ping扫描（-sP参数）。,（2）TCP connect()端口扫描（-sT参数）。,（3）TCP同步（SYN）端口扫描（-sS参数）。,（,4,）,UDP,端口扫描（,-sU,参数）。,端口扫描程序Nmap Nmap简介,16,NMAP的介绍,Nmap是一个网络探测和安全扫描程序，系统管理者和个人可以使用这个软件扫描大型的网络，获取那台主机正在运行以及提供什么服务等信息。nmap支持很多扫描技术，例如：UDP、TCPconnect()、TCPSYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(XmasTree)、SYN扫描和null扫描。从扫描类型一节可以得到细节。nmap还提供了一些高级的特征，例如：通过TCP/IP协议栈特征探测操作系统类型，秘密扫描，动态延时和重传计算，并行扫描，通过并行ping扫描探测关闭的主机，诱饵扫描，避开端口过滤检测，直接RPC扫描(无须端口影射)，碎片扫描，以及灵活的目标和端口设定.,NMAP的介绍 Nmap是一个网络探测和,17,Nmap运行通常会得到被扫描主机端口的列表。nmap总会给出wellknown端口的服务名(如果可能)、端口号、状态和协议等信息。每个端口的状态有：open、filtered、unfiltered。open状态意味着目标主机能够在这个端口使用accept()系统调用接受连接。filtered状态表示：防火墙、包过滤和其它的网络安全软件掩盖了这个端口，禁止nmap探测其是否打开。unfiltered表示：这个端口关闭，并且没有防火墙/包过滤软件来隔离nmap的探测企图。通常情况下，端口的状态基本都是unfiltered状态，只有在大多数被扫描的端口处于filtered状态下，才会显示处于unfiltered状态的端口。,Nmap运行通常会得到被扫描主机端口的列表。,18,nmap sP IP地址,ping扫描，有时用户只想知道某一时段的哪些主机正在运行。Nmap通过向用户指定的网络内的每个IP地址发送ICMP request请求数据包，若主正在运行就会作出相应。ICMP包本身是一个广播包，无端口概念，非常适合用来检测指定网段内正在运行的主机数量。,Nmap扫描类型（dos系统）,nmap sP IP地址Nmap扫描类型（dos系统）,19,20,nmap sT IP地址 TCPconnect()扫描：这是最基本的TCP扫描方式。connect()是一种系统调用，由操作系统提供，用来打开一个连接。如果目标端口有程序监听，connect()就会成功返回，否则这个端口是不可达的。任何UNIX用户都可以自由使用这个系统调用。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。,nmap sT IP地址 TCPconnect(),21,22,nmap sS IP地址 TCP同步扫描(TCPSYN)：因为不必全部打开一个TCP连接，所以这项技术通常称为半开扫描(half-open)。你可以发出一个TCP同步包(SYN)，然后等待回应。如果对方返回SYN|ACK(响应)包就表示目标端口正在监听；如果返回RST数据包，就表示目标端口没有监听程序；如果收到一个SYN|ACK包，源主机就会马上发出一个RST(复位)数据包断开和目标主机的连接，这实际上有我们的操作系统内核自动完成的。这项技术最大的好处是，很少有系统能够把这记入系统日志。不过，你需要root权限来定制SYN数据包。,nmap sS IP地址 TCP同步扫描(TCPS,23,24,nmap sU IP地址,UDP扫描。此扫描方式用来确定被测目标主机哪个UDP端口开启。这一技术以发送零字节的UDP信息包到目标主机的各个端口，若收到一个ICMP端口无法到达的回应，那么此端口是关闭的，否则可以认为此端口是开启的。,nmap sU IP地址,25,26,windows系统,windows系统,27,28,29,30,31,32,33,（1）CGI Scanner,（2）Asp Scanner,（3）从各个主要端口取得服务信息的Scanner,（4）获取操作系统敏感信息的Scanner,（5）数据库Scanner,（6）远程控制系统扫描器,专用扫描器的介绍,（1）CGI Scanner专用扫描器的介绍,34,企业级扫描系统,一优秀网络安全扫描系统的介绍：,（1）ISS 公司的Internet Scanner,（2）NAI 公司的cybercop Scanner,二系统（本地）扫描器和远程扫描器,企业级扫描系统一优秀网络安全扫描系统的介绍：,35,企业级扫描系统要素,（1）速度,（2）对系统的负面影响,（3）能够发现的漏洞数量,（4）清晰性和解决方案的可行性,（5）更新周期,（6）所需软硬件环境要求,（7）界面的直观性和易用性,（8）覆盖范围,企业级扫描系统要素,36,网络安全扫描软件的局限性,（1）扫描器难以智能化 ，不能完全代替人工分析,（2）扫描器依赖升级工作，才能确保长期的有效性,（3）使用扫描器，必须考虑到有关法律的规定和限制，不能滥用,网络安全扫描软件的局限性（1）扫描器难以智能化 ，不能完全代,37,总结,（1） 扫描器和其它产品一样，只是一个工具，我们不能完全依赖他的工作，人的因素也是至关重要的。,（2） 扫描器能够发挥的功能取决于人，人的工作是大量的同时是必不可少的。只有人的努力才能够确保扫描器功能的强大。,（3） 扫描器质量的好坏，在于开发公司在安全实践中积累的经验和更新能力。,总结（1） 扫描器和其它产品一样，只是一个工具，我们不能完全,38,补充： 数据进入协议栈时的封装过程,补充： 数据进入协议栈时的封装过程,39,40,SMB：Server Message Block protocol,服务器信息块（SMB）协议是一种IBM协议，用于在计算机间共享文件、打印机、串口等。SMB 协议可以用在因特网的TCP/IP协议之上，也可以用在其它网络协议如IPX（互联网分组交换协议 ）和NetBEUI （NetBios Enhanced User Interface，或NetBios增强用户接口 ）之上。,SMB 一种客户机/服务器、请求/响应协议。通过 SMB 协议，客户端应用程序可以在各种网络环境下读、写服务器上的文件，以及对服务器程序提出服务请求。,在 TCP/IP 环境下，客户机通过 NetBIOS over TCP/IP（或 NetBEUI/TCP 或 SPX/IPX）连接服务器。一旦连接成功，客户机可发送 SMB 命令到服务器上，从而客户机能够访问共享目录、打开文件、读写文件，以及一切在文件系统上能做的所有事情。,从 Windows 95 开始，Microsoft Windows 操作系统（operating system）都包括了客户机和服务器 SMB 协议支持。,SMB：Server Message Block proto,41,TCP工作过程,TCP分三个阶段第一阶段：连接建立（三次握手）第二阶段：数据传输第三阶段：连接拆除（四次握手）,TCP工作过程TCP分三个阶段第一阶段：连接建立（三次握手,42,TCP三次握手,传输控制协议(Transport Control Protocol)是一种面向连接的，可靠的传输层协议。面向连接是指一次正常的TCP传输需要通过在TCP客户端和TCP服务端建立特定的,虚电路,连接来完成，该过程通常被称为“三次握手”。此处可靠性数据序列和确认提供保证。TCP通过数据分段(Segment)中的序列号保证所有传输的数据可以在远端按照正常的次序进行重组，而且通过确认保证数据传输的完整性。要通过TCP传输数据，必须在两端主机之间建立连接。,TCP三次握手 传输控制协议(Tran,43,44,45,FIN,FIN的ACK,FIN,FIN的ACK,客户端,服务器端,TCP连接的拆除,TCP连接是全双工（数据在两个方向上能同时传输）,FINFIN的ACK FINFIN的ACK客户端服务,46,TCP和UDP区别,TCP的传输是可靠的，UDP的传输是不可靠的。 TCP在发送数据包前都在通信双方有一个三次握手机制，确保双方准备好，在传输数据包期间，TCP会根据链路中数据流量的大小来调节传送的速率，传输时如果发现有丢包，会有严格的重传机制，从而以保证数据包可靠的传输。 对UDP来说，发送端有数据包我就发送，不会去理会对端的承受能力和链路状况。,不同的应用层协议可能基于不同的传输层协议，如FTP、TELNET、SMTP、HTTP协议基于可靠的TCP协议。TFTP、SNMP、RIP基于不可靠的UDP协议。,TCP和UDP区别 TCP的传输是可靠的，,47,TCP和UDP的端口号的编号都是独立的，都是065535。例如DNS，可以是TCP的53号端口，也可以是UDP的53号端口。端口号只具有本地意义，是拿来标识程序的。只有01023是公认的系统占用，其他在通信过程中是随机生成，此次传输完成即撤消。,Echo Protocol应答协议注解：主要用于调试和检测中。它可以基于TCP协议，服务器就在TCP端口7检测有无消息，如果使用UDP协议，基本过程和TCP一样，检测的端口也是7。是路由也是网络中最常用的数据包，可以通过发送echo包知道当前的连接节点有那些路径，并且通过往返时间能得出路径长度。,TCP和UDP的端口号,TCP和UDP的端口号的编号都是独立的，,48,补充：网卡工作原理,网卡工作在数据链路层，数据以帧为单位传输。（帧头包括源和目的MAC地址）,网卡先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。,2.3,网络监听原理与工具,补充：网卡工作原理 网卡工作在数据链路层，,49,网卡的工作模式,普通方式：前面所讲。,混杂模式（promiscuous）：能够接收到所有通过它的数据。网卡不管数据包头的内容，让所有经过的数据包都传给操作系统处理，这样网卡就可以捕获所有经过网卡的数据帧。,网卡的工作模式,50,Sniffer原理,Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。,采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。,Sniffer原理Sniffer，中文可以翻译为嗅探器,也就,51,Username: herma009,Password: hiHKK234 ,以太网（HUB）,FTP,Login,Mail,普通用户A,服务器C,嗅探者B,网络监听原理,Username: herma009,Password: hiHKK234 ,Username: herma009Passwor,52,网络监听原理,一个sniffer需要做的工作：,把网卡置于混杂模式。,捕获数据包。,分析数据包,网络监听原理一个sniffer需要做的工作：,53,HUB工作原理,HUB工作原理,54,交换机的工作原理：存储/转发,转发数据包前，交换机首先发送广播，让所有与交换机相连的主机都把自己的mac地址发送给他，这样交换机就知道哪个mac地址对应哪个端口（mac地址表)，假如你要给端口8发信息，你先把信息发给交换机，交换机先接收并存储起来，然后他通过mac地址表，查找与端口8相连的电脑，然后把信息传给相应的端口，这样就完成了信息的转发。,交换机的工作原理：存储/转发 转发数据包前,55,交换机不支持镜像时的SNIFF,交换机不支持镜像时的SNIFF,56,交换机支持镜像时的SNIFF,交换机支持镜像时的SNIFF,57,ARP spoof,Username: herma009,Password: hiHKK234 ,switch,FTP,普通用户A,IP:10.1.1.2,MAC:,20-53-52-43-00-02,服务器C,IP:10.1.1.1,MAC:,20-53-52-43-00-01,嗅探者B,IP:10.1.1.3,MAC:20-53-52-43-00-03,Switch的MAC地址表,router,ARP spoofUsername: herma009c,58,常用的,SNIFF,（,1,）,windows,环境下,：,图形界面的,SNIFF,netxray,sniffer pro,（,2,）,UNUX,环境下,：UNUX,环境下的,sniff,可以说是百花齐放，他们都有一个好处就是发布源代码，当然也都是免费的,。,如,sniffit,，,snoop, tcpdump, dsniff,Ettercap(交换环境下),常用的SNIFF （1）windows环境下 ：图形界面的S,59,常用的,SNIFF,Sniffer Pro,Ethereal,Net monitor,EffTech HTTP Sniffer,Iris,常用的SNIFFSniffer Pro,60,如何防止,SNIFF,进行合理的网络分段,用SSH（Secure Socket Layer）加密,Sniffer往往是入侵系统后使用的，用来收集信息，因此防止系统被突破。,防止内部攻击。,AntiSniff,工具用于检测局域网中是否有机器处于混杂模式,（不是免费的）,如何防止SNIFF 进行合理的网络分段 ,61,Ethereal/Wireshark,分析数据包步骤：,（1）选择数据包,（2）分析数据包,（3）分析数据包内容,Ethereal/Wireshark分析数据包步骤：,62,63,64,65,66,67,68,69,70,71,72,73,74,2.4,木马,（Trojan horse）,木马是一种基于远程控制的黑客工具,隐蔽性,潜伏性,危害性,非授权性,2.4 木马（Trojan horse） 木马是一种,75,木马与病毒的区别,病毒程序是以,自发性,的败坏为目的,木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。,木马与病毒的区别病毒程序是以自发性的败坏为目的,76,2.4.1 木马的工作原理,常见木马是C/S(Client/Server)模式的程序（里应外合）,操作系统,被植入木马的PC（server程序）,TCP/IP协议,端口,被植入木马的PC（client程序）,操作系统,TCP/IP协议,端口,端口处于监听状态,控制端,2.4.1 木马的工作原理常见木马是C/S(Client/S,77,Server程序通过打开特定的端口（后门）进行,监听,(Listen)，攻击者掌握的client程序向该端口发出请求(connect request)，木马便和他连接起来，攻击者就可以使用,控制器,进入计算机，通过client程序命令对服务器端进行控制。,Server程序通过打开特定的端口（后门）进,78,2.4.2 木马的分类,远程访问型木马,远程访问被攻击者的硬盘、进行屏幕监视等，当运行server程序时，若client获知服务器端IP地址，就可以实行远程控制。利用程序可以实现观察“受害者”正在干什么， 当然这个程序完全可以用在正道上的，比如监视学生机的操作。,密码发送型木马,找到隐藏的密码，在被攻击者不知情的情况下将密码发到指定的邮箱。,2.4.2 木马的分类远程访问型木马,79,键盘记录木马,记录被攻击者的键盘敲击并在LOG文件查找密码。,破坏型木马,惟一的功能就是破坏、删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。（威胁计算机安全）,键盘记录木马,80,代理木马,黑客找到一台毫不知情的计算机，给它种上代理木马，让该计算机变成攻击者发动攻击的跳板。黑客会隐藏自己的踪迹。,FTP木马,打开21端口，等待用户连接。,代理木马,81,82,2.4.3 木马实施攻击的步骤,配置木马,（1）木马伪装：木马配置程序在服务器端采用修改图标、捆绑文件、定制端口等伪装手段将自己隐藏。,（2）信息反馈：木马配置程序对信息反馈或地址进行设置（邮件地址、IRC号（,Internet Relay Chat,）,、ICQ号(,聊天软件，名称来自I seek you,)）。,2.4.3 木马实施攻击的步骤 配置木马,83,传播木马,传播方式主要有两种：一种是通过,E-MAIL,，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，一运行这些程序，木马就会自动安装。,启动木马,服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，然后在注册表，启动组，非启动组中设置好木马的,触发条件,这样木马的安装就完成了。安装后就可以启动木马了。,传播木马,84,建立连接,木马连接的建立首先必须满足两个条件：,一是服务端已安装了木马程序；,二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服务端建立连接。,假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP地址的方法主要有两种：信息反馈和IP扫描。,远程控制,建立连接,85,远程控制,木马连接建立后，控制端端口和木马端口之间将会出现一条通道。,控制端上的控制端程序可借这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现窃取密码、文件操作、修改注册表、系统操作、锁住服务器等。,远程控制,86,2.4.4 木马,伪装,方法,1.木马文件的隐藏与伪装,（1）文件的位置,木马的服务器程序文件一般在系统文件所处的目录下，这样不敢随意删除，如果误删会导致计算机崩溃。,（2）,文件的属性,木马文件属性设置为隐藏。,（3）捆绑到其他文件上,将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。,2.4.4 木马伪装方法1.木马文件的隐藏与伪装 ,87,（4）文件的名字,木马文件名使用常见的文件名和扩展名，或者仿制一些不易被区别的文件名（如仿制系统文件名kernel32.dll）。,（5）文件的图标,（4）文件的名字,88,木马运行中的隐藏,（1）在任务栏里隐藏,（2）在任务管理器里隐藏,木马将自己设为“,系统服务,”就不会出现在任务管理器了。,（3）隐藏端口,由木马的服务端主动连接客户端所在IP对应的电脑的80端口。相信没有哪个防火墙会拦截这样的连接（因为它们一般认为这是用户在浏览网页），所以反弹端口型木马可以穿过防火墙。,木马运行中的隐藏,89,木马,启动方式,win.ini,system.ini,启动组,注册表,捆绑方式启动,伪装在普通文件中,设置在超级连接中,木马启动方式 win.ini,90,2.4.6 木马的检测,查看端口,检查注册表,检查配置文件,2.4.6 木马的检测查看端口,91,92,发现木马的方法,系统的异常情况,打开文件，,没有任何反应,查看打开的端口,检查注册表,查看进程,发现木马的方法系统的异常情况,93,防御,发现木马：检查系统文件、注册表、端口,不要轻易使用来历不明的软件,不熟悉的E-MAIL不打开,常用杀毒软件并及时升级,查在安装新的软件之前，请先备份注册表在安装完软件以后，立即用杀毒软件查杀Windows文件夹和所安装的软件的所在文件夹。如果杀毒软件报告有病毒，这时请将它杀掉，杀毒完成后，重新启动计算机,防御 发现木马：检查系统文件、注册表、端口,94,木马传播方式,主动与被动：,主动种入,通过,E,mail,文件下载,浏览网页,木马传播方式主动与被动：,95,96,流行木马简介,冰 河,back orifice,Subseven,网络公牛(Netbull),网络神偷(Nethief),Netspy(网络精灵),流行木马简介冰 河,97,拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。 攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。,2.5 拒绝服务攻击(DoS),拒绝服务攻击即攻击者想办法让目标机器停止,98,从网络攻击的各种方法和所产生的破坏情况来看，DoS攻击对ISP、电信部门、DNS服务器、Web服务器、防火墙的影响非常大。,DoS攻击的目的就是拒绝服务访问，破坏组织的正常运行，最终使部分Internet连接和网络系统失效。,黑客DoS攻击的目的：,（1）使服务器崩溃，其他人不能访问,（2）黑客为了冒充某个服务器，将之瘫痪,（3） DoS攻击重启服务器，便于安装的木马启动,从网络攻击的各种方法和所产生的破坏情况,99,DoS-Denial of Service,DoS,攻击的事件 ：,2000年2月份的Yahoo、亚马逊、CNN被DoS攻击,2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。,2003年1月25日的“2003蠕虫王”病毒,2004年8月，,共同社报道：日本近期共有上百网站遭到黑客袭击。,DoS-Denial of Service,100,DoS攻击分类,死亡之ping： “ICMP风暴”,SYN Flood攻击： 疯狂发SYN包，不返回ACK包,Land攻击：特别的SYN包（源IP地址和目的IP地址设置成被攻击服务器的IP）,泪珠攻击（Teardrop）,DoS攻击分类死亡之ping： “ICMP风暴”,101,拒绝服务攻击(DoS)(控制),.,.,.,.,SYN/ACK,SYN/ACK,SYN/ACK,SYN,SYN,SYN,攻击者,目标主机,SYN,SYN/ACK,1,n,SYN/ACK,SYN/ACK,SYN/ACK,SYN/ACK,.,.,.,.,等待应答,SYN/ACK,.,.,.,.,.,.,.,.,.,SYN：同步,SYN/ACK:同步/确认,拒绝服务攻击(DoS)(控制).SYN/ACKSYN/,102,分布式拒绝服务攻击DDoS,DDoS全名是Distributed Denial of service (分布式拒绝服务攻击),很多DoS攻击源一起攻击某台服务器就组成了DDoS攻击。,分布式拒绝服务攻击DDoS DDoS全名是,103,1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。,攻击者,各种客户主机,目标系统,2,),攻击者进入其已经发现的最弱的客户主机之内(“肉机”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序,demon)。,攻击准备：,安置,代理,代理程序,DDoS,攻击时序,1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击,104,3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。,攻击者,目标系统,发起攻击：,指令,攻击的代理程序,4),包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。,虚假的连接请求,DDoS,攻击时序(分布式拒绝服务),3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的,105,一个病毒被发给许多的客户。只要他们打开并且启动该病毒，.,.该病毒将再继续传播，传送它本身到别的客户，诸如此类(病毒感染呈指数增长)。,按指数率增长,自我传播的电子邮件,e-mail,病毒,一个病毒被发给许多的客户。只要他们打开并且启动该病毒，.,106,缓冲区溢出是一种系统攻击的手段，通过往程序(数据)的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。利用缓冲区溢出攻击，可以导致程序运行失败、系统死机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。,2.6 缓冲区溢出（buffer overflow),缓冲区溢出是一种系统攻击的手段，通过往程序(,107,缓冲区溢出实例,void function(char *str), char buffer16;,strcpy(buffer,str); ,void main() char large_string256; int i; for( i = 0; i 256; i+) large_stringi = A; function(large_string); ,缓冲区溢出实例void function(char *str,108,程序中利用strcpy函数将szPara1中的内容拷贝到buff中，只要szPara1的长度大于16，就会造成缓冲区溢出。存在strcpy函数这样问题的C语言函数还有：strcat()、gets()、scanf()等。,在C/C+中，不对缓冲区、数组、指针进行边界检查。,程序中利用strcpy函数将szPara1中的内容拷贝到bu,109,缓冲区溢出原理,缓冲区溢出原理,110,缓冲,区,溢出,出现情况,缓冲溢出安全问题在下列环境中能出现：, 当直接往缓冲直接读入时, 当从一个大的缓存拷贝入小的缓存时, 当将其它进程的输入放入一个字符串缓存,缓冲区溢出出现情况缓冲溢出安全问题在下列环境中能出现：,111,课后作业,教材P56,练习题一大题、二大题的1、3、5、12、13小题。,课后作业教材P56,112,