网络攻击技术原理课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,计算机网络安全基础（第三版）,*,主要讲授：,1、网络欺骗,2、嗅探技术,3、扫描技术,4、口令破解技术,5、缓冲区溢出,6、拒绝服务攻击,网络攻击技术原理,1,计算机网络安全基础（第三版）,网络欺骗,一、IP欺骗,二、电子邮件欺骗,三、Web欺骗,四、非技术类欺骗,五、网络欺骗的防范,网络欺骗是指攻击者通过伪造自己在网络上的身份，从而得到目标主机或者网络的访问权限。,2,计算机网络安全基础（第三版）,网络欺骗,一、IP欺骗,使用虚假IP地址来达到欺骗目的。,1、基本地址变化；,2、使用源路由选项截取数据包；,3、利用UNIX主机上的信任关系；,4、TCP会话劫持,3,计算机网络安全基础（第三版）,网络欺骗,1、基本地址变化,发送的数据包带有假冒的源地址,(攻击者可得到被假冒放的权限；不能根据IP找到攻击源),。,修改数据包的IP地址必须通过底层的网络编程实现。,Windows平台使用原始套接字可以手工构造IP包。,4,计算机网络安全基础（第三版）,网络欺骗,2、源路由攻击,源路由：TCP/IP协议提供的一种机制，可让源主机指定通过互联网的路径。,如果攻击者使用源路由选项并保证自己在所指定的路径上，那么他就能得到应答包。,5,计算机网络安全基础（第三版）,一个IP数据包由包头和数据体两部分组成。包头由20字节的固定部分和变长的可选项成。,6,计算机网络安全基础（第三版）,网络欺骗,3、信任关系,UNIX中，用户为方便同时使用多个主机，经常在主机之间建立信任关系。,远程用户启动rlogin访问本地Linux主机。,在/home/.rhosts找远程主机名及用户名；,7,计算机网络安全基础（第三版）,网络欺骗,1) 编辑xinetd配置文件rsh, rexec, rlogin,；,2)配置securetty,echo “rsh” /etc/securetty,；,echo “pts/0” /etc/securetty,；,3)配置.rhosts这个文件存放在每个用户的根目录中，包含了允许客户端登陆的IP地址和用户名，如：echo 192.168.4.49 root /root/.rhosts 表示允许192.168.4.49的IP地址以root用户登陆本机,。,8,计算机网络安全基础（第三版）,网络欺骗,4)重新启动xinetd # service xinetd restart,；,5)测试,在192.168.4.49的机器上使用rlogin命令远程登陆：,# rlogin 192.168.4.18,9,计算机网络安全基础（第三版）,网络欺骗,欺骗过程：,1)选定目标主机，挖掘信任模式，找到被目标主机信任的主机；,2)采用某种方法使得被信任的主机丧失工作能力；,3)伪装成倍信任的主机，建立于目标主机的机遇地址验证的连接。,欺骗过程：,1)选定目标主机，挖掘信任模式，找到被目标主机信任的主机；,2)采用某种方法使得被信任的主机丧失工作能力；,3)伪装成被信任的主机，建立与目标主机的基于地址验证的连接。,10,计算机网络安全基础（第三版）,1.5 TCPIP协议基础,4、,TCP会话劫持,TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击，如HTTP、FTP、Telnet等。,11,计算机网络安全基础（第三版）,1.5 TCPIP协议基础,SEQ：,当前数据包第一个字节序号；,ACK：,期望收到对方数据包第一个字节序号；,12,计算机网络安全基础（第三版）,网络欺骗,在每一个数据包中，都有两段序列号，它们分别为:,SEQ:当前数据包中的第一个字节的序号,ACK:期望收到对方数据包中第一个字节的序号,13,计算机网络安全基础（第三版）,网络欺骗,A和B进行一次TCP会话，C为攻击者，劫持过程如下:,A向B发送一个数据包,SEQ : X ACK : Y 包大小为:60,B回应A一个数据包,SEQ: Y ACK: X+60 包大小为:50,A向B回应一个数据包,SEQ : X+60 ACK : Y+50包大小为:40,B向A回应一个数据包,SEQ : Y+50 ACK : X+100包大小为:30,攻击者C冒充主机A给主机B发送一个数据包,SEQ : X+100 ACK : Y+80 包大小为:20,B向A回应一个数据包,SEQ: Y+80 ACK : X+120 包大小为:10,14,计算机网络安全基础（第三版）,网络欺骗,Hunt软件：能进行嗅探、截取、会话劫持；,tar zxvf hunt-1.5.tgz,cd hunt-1.5,make,./hunt,lwsa,15,计算机网络安全基础（第三版）,网络欺骗,Hunt软件：测试；,Winxp: 192.168.13.130;,Linux1: 192.168.13.131;,Linux2: 192.168.13.132;,实验：Winxp telnet Linux1;Linux2作为攻击者；,Linux2启动./hunt；测试lwsa；,Linux需要安装telnet-server包；,16,计算机网络安全基础（第三版）,网络欺骗,Linux上Telnet服务开启；,检测telnet、telnet-server的rpm包是否安装 rootlocalhost root#rpm -qa telnettelnet-0.17-25,/telnet*.rpm是默认安装的,rootlocalhost root#rpm -qa telnet-server空,/telnet*.rpm是默认没有安装的,安装telnet-server rootlocalhost root#rpm -ivh telnet-server*.i386.rpm,17,计算机网络安全基础（第三版）,网络欺骗,Linux上Telnet服务开启；,修改telnet服务配置文件vi/etc/xinetd.d/telnet disable=no,重新启动xinetd守护进程由于telnet服务也是由xinetd守护的，所以安装完telnet-server，要启动telnet服务就必须重新启动xinetdrootlocalhost root#service xinetd restart,18,计算机网络安全基础（第三版）,网络欺骗, ARP欺骗：,利用ARP协议的缺陷，把自己伪装成“中间人”；,ARP地址解析协议用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)，属于链路层协议。,在以太网中，数据帧从一个主机到达局域网内的另一台主机是根据MAC地址来确定接口的。,19,计算机网络安全基础（第三版）,网络欺骗,(1)ARP协议有两种数据包：,请求包(含有目的IP的以太网广播数据包)、应答包(目标主机收到请求包，发现与本机IP相同，则返回ARP应答包)；,(2)ARP缓存表,用于存储其他主机或网关的IP地址与MAC地址的对应关系，每台主机、网关都有一个ARP缓存表(动态、静态;arp -a)；,20,计算机网络安全基础（第三版）,网络欺骗,21,计算机网络安全基础（第三版）,网络欺骗,22,计算机网络安全基础（第三版）,网络欺骗, ARP欺骗的原理：,主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP地址对应的关系替换掉原有的ARP缓存表里相应信息。,23,计算机网络安全基础（第三版）,网络欺骗,24,计算机网络安全基础（第三版）,网络欺骗, 防范ARP欺骗,*,MAC地址绑定；,*,使用静态的ARP缓存表；,*,使用ARP欺骗防护软件；,25,计算机网络安全基础（第三版）,网络欺骗, 防范IP欺骗：,*,防范地址变化欺骗(限制用户修改网络配置、入口过滤、出口过滤)；,*,防范源路由欺骗；,*,防范信任关系欺骗；,*,防范会话劫持攻击(加密、使用安全协议、限制保护措施)；,26,计算机网络安全基础（第三版）,网络欺骗,二、电子邮件欺骗,1、电子邮件欺骗的原理及实现方法,2、电子邮件欺骗的防御,27,计算机网络安全基础（第三版）,网络欺骗,1、电子邮件欺骗的原理及实现方法,*,利用相似的电子邮件地址；,*,远程登录到25端口；,*,修改邮件客户软件设置；,28,计算机网络安全基础（第三版）,网络欺骗,MDaemon Mail Server,：,*,md.exe，安装；,*,Start MDaemon；,*,域名：setup/Extra Domains；,*,账户名：Accounts/New Account；,29,计算机网络安全基础（第三版）,网络欺骗,MDaemon Mail Server,：,*,http:/192.168.19.5:3000,；,*,http:/192.168.19.5:3001,；,30,计算机网络安全基础（第三版）,网络欺骗,远程登录到25端口：,*,telnet 192.168.19.5 25；,*,helo test；,*,Mail from:test；,*,Rcpt to:network；,*,data；,*,to:network；,*,from:test；,*,subject:test-mail；,*,. /结束,31,计算机网络安全基础（第三版）,网络欺骗,Outlook设置：,*,“工具”、”账户”、”添加邮件”；,*,设置显示用户名、回复地址；,*,设置邮件服务器地址；,*,属性：回复地址；服务器选项卡：身份认证；,32,计算机网络安全基础（第三版）,网络欺骗,2、电子邮件欺骗的防御,*,邮件接收者；,*,邮件发送者；,*,邮件服务器；,*,邮件加密；,33,计算机网络安全基础（第三版）,网络欺骗,三、Web欺骗,1、基本的网站欺骗,2、中间人攻击,3、URL重写,34,计算机网络安全基础（第三版）,网络欺骗,1、基本的网站欺骗,目前在互联网上注册一个域名没有严格的审查，攻击者可以注册一个非常类似的有欺骗性的站点。,典型的例子是假冒金融机构的网站，偷盗客户的信用卡、银行卡等信息。例如，中国工商银行网站为“www.,icbc,”，有人注册了网站“www.,lcbc,”，,35,计算机网络安全基础（第三版）,网络欺骗,这种欺骗方式被专家定义为网络陷井程序，也叫做网络钩鱼程序（phishing），多以欺骗用户信用卡号、银行帐号、股票信息等获取经济利益为目的。,防止基本的网站欺骗是使用站点,服务器认证,。,服务器认证是服务器向客户提供的一个有效证书，它能证明谁是谁，可以把证书看作服务器的一张身份证。,36,计算机网络安全基础（第三版）,网络欺骗,2、中间人攻击,在中间人攻击中，攻击者找到一个位置，使进出受害方的所有流量都经过他。,攻击者通过某种方法把,目标机器的域名对应的IP,更改为攻击者所控制的机器，这样所有外界对目标机器的请求将发给攻击者的机器。,37,计算机网络安全基础（第三版）,网络欺骗,DNS欺骗,DNS域名服务器，当一台主机发送要求解析某个域名时，首先把解析请求发到自己的DNS服务器上；,DNS的功能就是把域名转换成IP地址；,DNS服务器中存储了主机的域名和IP地址的对应；,38,计算机网络安全基础（第三版）,网络欺骗,DNS欺骗就是在服务器中伪造解析记录；,39,计算机网络安全基础（第三版）,网络欺骗,攻击者可以控制本地的域名服务器；,攻击者无法控制DNS服务器；,40,计算机网络安全基础（第三版）,网络欺骗,3、URL重写,URL重写是指修改（或重写）Web内容中的URL，例如指向与原始URL不同位置的结果URL的过程。,41,计算机网络安全基础（第三版）,网络欺骗,浏览器的地址栏和状态栏可以显示连接中的Web站点地址及其相关的传输信息，用户可以由此发现URL重写的问题。,攻击者往往在URL地址重写的同时，也要重写地址栏和状态栏，以达到其掩盖欺骗的目的。,42,计算机网络安全基础（第三版）,网络欺骗,ASP中，安装IIS Rewrite组件后就可设置URL重写；,下载一个ISAPI Rewrite的安装包；,URL重写的配置文件默认为C:Program FilesHeliconISAPI_Rewrite目录下的httpd.ini文件，在此文件中输入Rewrite的规则即可。,RewriteRule,/books/index.html /books/secret/hello.asp,43,计算机网络安全基础（第三版）,网络欺骗,四、非技术类欺骗,其目标是搜集信息来侵入计算机系统，其他目标包括侦察环境，找出安装了什么硬件和软件、服务器上装载了什么补丁等信息。,社交工程的核心是，攻击者设法伪装自己的身份并设计让受害人泄密私人信息。,44,计算机网络安全基础（第三版）,网络欺骗,攻击者打电话给帮助台要求建立一个新帐号。例如，攻击者假装是一名新员工，要求尽快建立一个新帐号。,攻击者打电话给IT部门，假装成一个查询公司正在运行何种软件的卖主。,攻击者假冒经理让员工给他发建议书。,45,计算机网络安全基础（第三版）,嗅探技术,一、以太网的嗅探原理,二、嗅探器的实现,三、嗅探器的检测与防范,嗅探器（Sniffer）是一种网络管理工具，它通过捕获网络上传送的数据包来收集敏感数据，这些敏感数据可能是用户的账号和密码。Sniffer在形式上可以是硬件产品或作为软件程序运行。,46,计算机网络安全基础（第三版）,一、以太网的嗅探原理,以太网中，如采用共享集线器作为网络互联设备，则任两台主机的所有网络数据包都在总线上进行传送，而总线上的任何一台主机都能够侦听到这些数据包。,嗅探技术,47,计算机网络安全基础（第三版）,在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：,帧的目标MAC地址等于自己的MAC地址的帧。,帧的目标地址为“广播地址”的帧。,嗅探技术,如果局域网中某台机器的网络接口处于,混杂（promiscuous）模式,，即网卡可以接收其听到的所有数据包，那么它就可以捕获网络上所有的报文，,48,计算机网络安全基础（第三版）,通常将嗅探器放置在被攻击机器或网络附近；或者将其放在网关路由器上；,嗅探技术,49,计算机网络安全基础（第三版）,嗅探技术,二、嗅探器的实现,例：,使用原始套接字在Windows平台上编写一个捕获数据包的sniffer程序 ，mysniffer;,50,计算机网络安全基础（第三版）,嗅探技术,三、,嗅探器的检测与防范,Sniffer 不会在网络上主动发送数据包，所以不易被发现。可以检查计算机上当前正在运行的程序列表，检查是否有来历不明的程序正在运行。,在系统中搜索查找可疑的记录文件，该文件的特点是其大小不断增加且时间不断更新；,可检查系统中的网卡是否工作在混杂模式。,51,计算机网络安全基础（第三版）,嗅探技术,为防止网络上的数据被Sniffer， 特别是一些比较敏感的数据如用户ID 或口令等等，可以使用加密手段。,使用安全拓扑结构,。将网络分为不同的网络段，一个网络段是仅由能互相信任的计算机组成的，网络段上的计算机通过以太网(Hub)连接，各网络段之间通过交换机(Switch)相互连接，交换机不会将所有的网络数据包广播到各个网络段。,52,计算机网络安全基础（第三版）,嗅探技术,Sniffer 往往是攻击者在侵入系统后用来收集有用信息的工具，因此防止系统被突破是关键。系统安全管理员要定期对网络进行安全测试，及时安装系统安全补丁，防止安全隐患。要控制高级权限的用户的数量，同时也要注意许多Sniffer 攻击往往来自网络内部。,53,计算机网络安全基础（第三版）,扫描技术,扫描器,是一种自动检测远程或本地主机安全性弱点的程序。扫描器通过发送特定的网络数据包，并记录目标主机的应答消息，可收集到关于目标主机的各种信息。,例如目标主机是否支持匿名登录、是否开放telnet服务等；,54,计算机网络安全基础（第三版）,扫描技术,可以手工进行扫描,，,也可以使用扫描软件自动进行,。在手工进行扫描时，需熟悉各种网络命令，对命令执行后的输出进行分析。用扫描软件进行扫描时，扫描软件一般都有分析数据的功能。,55,计算机网络安全基础（第三版）,扫描技术,一、网络扫描诊断命令,二、端口扫描,三、操作系统探测,四、漏洞扫描,56,计算机网络安全基础（第三版）,扫描技术,一、网络扫描诊断命令,1、ping,可以判断目标主机是否在运行，了解网络延时；,2、tracert/traceroute,跟踪一个数据包发送到目标主机所经过的路由；,57,计算机网络安全基础（第三版）,扫描技术,3、telnet命令,telnet命令缺省使用TCP 23号端口，可登录到目标计算机上进入shell状态。,4、rusersfingerhost命令,58,计算机网络安全基础（第三版）,扫描技术,二、端口扫描,端口,是传输层的TCP/IP协议与上层应用程序之间的接口点，不同的应用程序可以使用不同的端口调用传输层的服务。,端口扫描,就是向目标主机的指定端口发送数据包，根据目标端口的反应确定哪些端口是开放的，即哪些服务处于监听状态。,59,计算机网络安全基础（第三版）,扫描技术,端口扫描,TCP connect扫描(全连接扫描),TCP SYN扫描(半连接扫描),秘密扫描,其他端口扫描技术,60,计算机网络安全基础（第三版）,扫描技术,TCP connect扫描(全连接扫描),与目标主机的某个端口建立TCP连接。,如果目标主机上的某个端口处于侦听状态，则连接成功，若目标主机未开放该端口，则connect操作失败。,61,计算机网络安全基础（第三版）,62,计算机网络安全基础（第三版）,for(i=1;itot-len) ihl;,如果发现当前包的段偏移在前一包数据内部,if (prev!=NULL & offsetend),i = prev-end - offset;,offset += i; /*调整分片的偏移*/,ptr += i; /*调整分片的指针*/,/*重新填写分片结构*/,fp-offset = offset;,fp-end = end;,fp-len = end - offset; /fp-len是一个有符号整数,129,计算机网络安全基础（第三版）,130,计算机网络安全基础（第三版）,当前,offset,当前的,end,当前长度,上个片段的end,新end,新offset,上个片段的end,131,计算机网络安全基础（第三版）,Teardrop攻击,防范,许多早期的Linux实现中都有这个错误，向Linux发送很少几个这样的数据包，便可以引起Linux停机。,向Windows 95、Windows NT发送1015个这样的包，也会引起死机。,最新的TCP/IP协议已经充分考虑了这种情况，他们一般会将这些分片丢弃。,132,计算机网络安全基础（第三版）,DDoS 攻击,DDoS中，攻击者将攻击工具驻留在其他众多主机上，利用这些主机来对同一个目标发送大量的请求。,这种攻击的根本原理就是人多力量大。,99年后半年开始，DDoS攻击在Internet上不断出现，并在应用的过程中不断得到完善，截至目前在Unix或Windows环境上已有一系列比较成熟的软件产品。,133,计算机网络安全基础（第三版）,Trinoo攻击,Trinoo是基于UDP flood的攻击软件；,它向被攻击目标主机随机端口发送全零的4字节UDP包，被攻击主机的网络性能在处理这些超出其处理能力的垃圾数据包的过程中不断下降，直至不能提供正常服务甚至崩溃。,134,计算机网络安全基础（第三版）,Trinoo攻击功能的实现，是通过攻击守护进程、攻击控制进程以及客户端三个模块付诸实施。,135,计算机网络安全基础（第三版）,Trinoo攻击,攻击守护进程（Ns）：,Ns是真正实施攻击的程序 。Ns运行时，会首先向攻击控制进程(Master)所在主机的31335端口发送内容为HELLO的UDP包，标示它自身的存在，随后攻击守护进程即处于对端口27444的侦听状态，等待Master攻击指令的到来。,136,计算机网络安全基础（第三版）,Trinoo攻击,攻击控制进程(Master) ：,Master在收到攻击守护进程的HELLO包后，主服务器会记录并维护已激活的守护程序清单 。Master成功启动后，它一方面侦听端口31335，等待攻击守护进程的HELLO包，另一方面侦听端口27665，等待客户端对其的连接。当客户端连接成功并发出指令时， Master所在主机将向攻击守护进程Ns所在主机的27444端口传递指令。,137,计算机网络安全基础（第三版）,Trinoo攻击,客户端 ：,连接Master所在主机的27665端口，输入密码后，即完成了连接工作，进入攻击控制可操作的提示状态 。,138,计算机网络安全基础（第三版）,trinoo有六个命令,mtimer：设定攻击时长，如mtimer 60，攻击60秒，如果不设置的话，默认是无限,dos：对某一目标主机实施攻击，如dos 12.34.45.56,mdie：停止正在实施的攻击，使用这一功能需要输入口令killme,mping：请求攻击守护进程Ns回应，监测Ns是否工作,mdos：对多个目标主机实施攻击,msize：设置攻击UDP包的大小,139,计算机网络安全基础（第三版）,DDoS的预防,检测自己的系统是否被植入了攻击守护程序，最简单的办法，检测上述提到的udp端口，如果处于监听状态，就要引起注意。或者用专门的检测软件发现攻击守护进程。,封掉不必要的UDP服务，如echo、chargen等，减少udp攻击的入口。,在敏感主机如www服务器使用IP 过滤软件。,140,计算机网络安全基础（第三版）,口令破解（Password Crack）,口令是很多系统认证用户的唯一标识；,口令破解,就是尝试猜测或者解密用户的口令,离线口令破解:,攻击者首先通过其他手段获取目标主机上的用户口令文件（通常是加密的），然后脱离目标主机进行破解。,在线破解：,在线破解就是通过网络反复登录系统或者服务，直到猜中口令为止。,141,计算机网络安全基础（第三版）,口令破解器,口令破解器,不是对加密后的口令执行解密操作以获取口令，因为很多系统对口令的加密使用了不可逆的算法。,142,计算机网络安全基础（第三版）,口令破解器,口令加密过程：,就是用加密算法对从口令候选器送来的候选口令进行加密运算而得到密文。,加密算法要采用和目标主机一致的加密算法，加密算法有多种，通常与操作系统的类型和版本相关。,口令比较,就是将从候选口令计算得到的密文和文件中的保存的口令信息相比较，如果一致，那么口令破解成功，可以使用候选口令和对应的帐号登录目标主机；如果不一致，则尝试下一个候选口令。,143,计算机网络安全基础（第三版）,候选口令的选择,根据候选口令的产生办法不同，口令破解可以分为,暴力破解和字典破解。,暴力破解：,就是利用无穷列举的方法尝试帐号或口令。暴力破解仅对非常简单的密码有效。,口令字典，就是攻击者认为一些网络用户经常使用的口令，将这些常用的口令集合在一起的一个文本文件。,所谓字典破解,就是对字典中的口令逐一进行测试发现口令的方法。,144,计算机网络安全基础（第三版）,本章内容,1、网络欺骗,2、嗅探技术,3、扫描技术,4、口令破解技术,5、缓冲区溢出,6、拒绝服务攻击,145,计算机网络安全基础（第三版）,本章内容,1、什么是IP欺骗？,2、电子邮件欺骗的基本方法有哪些？,3、为什么通过以太网可以获取许多信息？,4、什么是扫描器，其主要功能是什么？,5、什么是漏洞？通过漏洞扫描可以实现哪些目的？,6、什么是缓冲区溢出？缓冲区溢出攻击都有哪些方法？,146,计算机网络安全基础（第三版）,9,、,春去春又回，新桃换旧符。在那桃花盛开的地方，在这醉人芬芳的季节，愿你生活像春天一样阳光，心情像桃花一样美丽，日子像桃子一样甜蜜,。,2024/9/16,2024/9/16,Monday, September 16, 2024,10,、,人的志向通常和他们的能力成正比例,。,2024/9/16,2024/9/16,2024/9/16,9/16/2024 11:39:39 AM,11,、,夫学须志也，才须学也，非学无以广才，非志无以成学,。,2024/9/16,2024/9/16,2024/9/16,Sep-24,16-Sep-24,12,、越是无能的人，越喜欢挑剔别人的错儿。,2024/9/16,2024/9/16,2024/9/16,Monday, September 16, 2024,13,、,志不立，天下无可