《计算机网络与信息安全技术》电子课件CH02网络攻击行

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,网络攻击行为分析,第 2 章,基本内,容,容,网络信,息,息安全,技,技术与,黑,黑客攻,击,击技术,都,都源于,同,同一技,术,术核心,，,，即网,络,络协议,和,和底层,编,编程技,术,术，不,同,同的是,怎,怎么使,用,用这些,技,技术。,很多软,件,件或设,备,备可以,为,为网络,管,管理和,安,安全提,供,供保障,，,，但当,被,被别有,用,用心的,人,人所利,用,用时，,就,就成了,黑,黑客工,具,具，就,象,象刀具,，,，是基,本,本生活,用,用具，,又,又可成,为,为杀人,凶,凶器。,我,我们要,做,做到“,知,知己知,彼,彼”，,才,才能“,百,百战不,殆,殆”，,对,对黑客,的,的攻击,手,手段、,途,途径、,方,方法和,工,工具了,解,解得越,多,多，越,有,有利于,保,保护网,络,络和信,息,息的安,全,全。,在介绍,信,信息安,全,全技术,以,以前，,本,本章先,来,来分析,与,与黑客,攻,攻击相,关,关的知,识,识。,网络信,息,息安全,技,技术与黑客攻,击,击技术都源于,同,同一技,术,术核心,，,，即网,络,络协议,和,和底层,编,编程技,术,术，不,同,同的是,怎,怎么使,用,用这些,技,技术。,很多软,件,件或设,备,备可以,为,为网络,管,管理和,安,安全提,供,供保障,，,，但当,被,被别有,用,用心的,人,人所利,用,用时，,就,就成了,黑,黑客工,具,具。,刀，是,基,基本生,活,活用具,，,，但又,是,是杀人,凶,凶,计算机,网,网络系,统,统所面,临,临的威,胁,胁大体,可,可分为,两,两种：,一,一是针,对,对网络,中,中信息,的,的威胁,；,；二是,针,针对网,络,络中设,备,备的威,胁,胁。,2.1,影,影响,信,信息安,全,全的人,员,员分析,如果按,威,威胁的,对,对象、,性,性质则,可,可以细,分,分为四,类,类：,第一类,是,是针对,硬,硬件实,体,体设施,第二类,是,是针对,软,软件、,数,数据和,文,文档资,料,料,第三类,是,是兼对,前,前两者,的,的攻击,破,破坏,第四类,是,是计算,机,机犯罪,。,。,安全威,胁,胁的来,源,源,不可控,制,制的自,然,然灾害,，,，如地,震,震、雷,击,击,恶意攻,击,击、违,纪,纪、违,法,法和计,算,算机犯,罪,罪,人为的,无,无意失,误,误和各,种,种各样,的,的误操,作,作,计算机,硬,硬件系,统,统的故,障,障,软件的,“,“后门,”,”和漏,洞,洞,安全威,胁,胁主要,来,来自以,下,下几个,方,方面：,安全威,胁,胁的表,现,现形式,伪装,非法连,接,接,非授权,访,访问,拒绝服,务,务,抵赖,信息泄,露,露,业务流,分,分析,改动信,息,息流,篡改或,破,破坏数,据,据,推断或,演,演绎信,息,息,非法篡,改,改程序,实施安,全,全威胁,的,的人员,心存不,满,满的员,工,工,软硬件,测,测试人,员,员,技术爱,好,好者,好奇的,年,年青人,黑客（Hacker,）,）,破坏者,（,（Cracker）,以政治,或,或经济,利,利益为,目,目的的,间,间谍,互联网,上,上的黑,色,色产业,链,链,2.2,网,网络,攻,攻击的,层,层次,网络攻,击,击的途,径,径,针对端,口,口攻击,针对服,务,务攻击,针对第,三,三方软,件,件攻击,DOS,攻,攻击,针对系,统,统攻击,口令攻,击,击,欺骗,网络攻,击,击的层,次,次,网络攻,击,击的层,次,次,第一层,攻,攻击：第一层,攻,攻击基,于,于应用,层,层的操,作,作，,这,这些攻,击,击的目,的,的只是,为,为了干,扰,扰目标,的,的正常,工,工作。,第二层,攻,攻击：第二层,攻,攻击指,本,本地用,户,户获得,不,不应获,得,得的文,件,件(或,目,目录),读,读权限,。,。,第三层,攻,攻击：在第二,层,层的基,础,础上发,展,展成为,使,使用户,获,获得不,应,应获得,的,的文件,(,(或目,录,录)写,权,权限。,第四层,攻,攻击：第四层,攻,攻击主,要,要指外,部,部用户,获,获得访,问,问内部,文,文件的,权,权利。,第五层,攻,攻击：第五层,攻,攻击指,非,非授权,用,用户获,得,得特权,文,文件的,写,写权限,。,。,第六层,攻,攻击：第六层,攻,攻击指,非,非授权,用,用户获,得,得系统,管,管理员,的,的权限,或,或根权,限,限。,2.3,网,网络,攻,攻击的,一,一般步,骤,骤,（1）,隐,隐藏IP,（2）,踩,踩点扫,描,描,（3）,获,获得系,统,统或管,理,理员权,限,限,（4）,种,种植后,门,门,（5）,在,在网络,中,中隐身,2.4,网,网络,入,入侵技,术,术,任何以,干,干扰、,破,破坏网,络,络系统,为,为目的,的,的非授,权,权行为,都,都称之,为,为网络,攻,攻击。,网络攻,击,击实际,上,上是针,对,对安全,策,策略的,违,违规行,为,为、针,对,对授权,的,的滥用,行,行为与,针,针对正,常,常行为,特,特征的,异,异常行,为,为的总,和,和。,网络主,要,要攻击,手,手段,网站篡,改,改（占45.91%）,垃圾邮,件,件（占28.49%）,蠕虫（,占,占6.31%）,网页恶,意,意代码,（,（占0.51%）,木马（,占,占4.01%）,网络仿,冒,冒（占4.97%）,拒绝服,务,务攻击,（,（占0.58%）,主机入,侵,侵（占1.14%）,网络主,要,要攻击,手,手段,网络入,侵,侵技术,-,-,-,-漏洞,攻,攻击,漏洞攻,击,击：利,用,用软件,或,或系统,存,存在的,缺,缺陷实,施,施攻击,。,。漏洞是,指,指硬件,、,、软件,或,或策略,上,上存在,的,的的安,全,全缺陷,，,，从而,使,使得攻,击,击者能,够,够在未,授,授权的,情,情况下,访,访问、,控,控制系,统,统。,缓冲区,溢,溢出漏,洞,洞攻击,：,：通,过,过向程,序,序的缓,冲,冲区写,入,入超过,其,其长度,的,的数据,，,，造成,溢,溢出，,从,从而破,坏,坏程序,的,的堆栈,，,，转而,执,执行其,它,它的指,令,令，达,到,到攻击,的,的目的,。,。,RPC,漏,漏洞、SMB,漏,漏洞、,打,打印漏,洞,洞,缓冲区,溢,溢出,Bufferoverflowattack缓冲区,溢,溢出攻,击,击,缓冲区,溢,溢出漏,洞,洞大量,存,存在于,各,各种软,件,件中,利用缓,冲,冲区溢,出,出的攻,击,击，会,导,导致系,统,统当机,，,，获得,系,系统特,权,权等严,重,重后果,。,。,最早的,攻,攻击1988年UNIX下的Morrisworm,最近的,攻,攻击,Codered利用IIS漏洞,SQLServer Worm利用SQLServer漏洞,Blaster利用RPC漏洞,Sasser利用LSASS漏洞,向缓冲,区,区写入,超,超过缓,冲,冲区长,度,度的内,容,容，造,成,成缓冲,区,区溢出,，,，破坏,程,程序的,堆,堆栈，,使,使程序,转,转而执,行,行其他,的,的指令,，,，达到,攻,攻击的,目,目的。,原因：,程,程序中,缺,缺少错,误,误检测,:,:,void func,(,(char,*,*str),char buf16,;,;,strcpy,(,(buf,str),;,;,如果str的,内,内容多,于,于16,个,个非0,字,字符，,就,就会造,成,成buf的溢,出,出，使,程,程序出,错,错。,类似函,数,数有strcat、sprintf、vsprintf、gets,、,、scanf,等,等,一般溢,出,出会造,成,成程序,读,读/写,或,或执行,非,非法内,存,存的数,据,据，引,发,发segmentation fault异常,退,退出.,如果在,一,一个suid,程,程序中,特,特意构,造,造内容,，,，可以,有,有目的,的,的执行,程,程序，,如,如/bin/sh，,得,得到root,权,权限。,类似函,数,数有strcat、sprintf、vsprintf、gets,、,、scanf,等,等,一般溢,出,出会造,成,成程序,读,读/写,或,或执行,非,非法内,存,存的数,据,据，引,发,发segmentation fault异常,退,退出.,如果在,一,一个suid,程,程序中,特,特意构,造,造内容,，,，可以,有,有目的,的,的执行,程,程序，,如,如/bin/sh，,得,得到root,权,权限。,在进程,的,的地址,空,空间安,排,排适当,的,的代码,通过适,当,当的初,始,始化寄,存,存器和,内,内存，,跳,跳转到,以,以上代,码,码段执,行,行,利用进,程,程中存,在,在的代,码,码,传递一,个,个适当,的,的参数,如程序,中,中有exec,(,(arg)，,只,只要把arg,指,指向“,/,/bin/sh”就,可,可以了,植入法,把指令,序,序列放,到,到缓冲,区,区中,堆、栈,、,、数据,段,段都可,以,以存放,攻,攻击代,码,码，最,常,常见的,是,是利用,栈,栈,拒绝服,务,务攻击,（,（DoS）：,通,通过各,种,种手段,来,来消耗,网,网络带,宽,宽和系,统,统资源,，,，或者,攻,攻击系,统,统缺陷,，,，使系,统,统的正,常,常服务,陷,陷于瘫,痪,痪状态,，,，不能,对,对正常,用,用户进,行,行服务,，,，从而,实,实现拒,绝,绝正常,用,用户的,服,服务访,问,问。,分布式,拒,拒绝服,务,务攻击,：,：DDoS，,攻,攻击规,模,模更大,，,，危害,更,更严重,。,。,实例：SYN,-,-Flood,洪,洪水攻,击,击，Land,攻,攻击，Smurf攻,击,击，UDP,-,-Flood,攻,攻击，WinNuke攻击,（,（139）等,。,。,网络入,侵,侵技术,-,-,-,-拒绝,服,服务攻,击,击,典型的,拒,拒绝服,务,务攻击,有,有如下,两,两种形,式,式：资,源,源耗尽,和,和资源,过,过载。,当一个,对,对资源,的,的合理,请,请求大,大,大超过,资,资源的,支,支付能,力,力时就,会,会造成,拒,拒绝服,务,务攻击（例如,，,，对已,经,经满载,的,的Web服务,器,器进行,过,过多的,请,请求。,）,）拒绝,服,服务攻,击,击还有,可,可能是,由,由于软,件,件的弱,点,点或者,对,对程序,的,的错误,配,配置造,成,成的。,区分恶,意,意的拒,绝,绝服务,攻,攻击和,非,非恶意,的,的服务,超,超载依,赖,赖于请,求,求发起,者,者对资,源,源的请,求,求是否,过,过份，,从,从而使,得,得其他,的,的用户,无,无法享,用,用该服,务,务资源,。,。,以下的,两,两种情,况,况最容,易,易导致,拒,拒绝服,务,务攻击,：,：,由于程序员,对,对程序,错,错误的,编,编制，,导,导致系,统,统不停,的,的建立,进,进程，,最,最终耗,尽,尽资源，只能,重,重新启,动,动机器,。,。不同,的,的系统,平,平台都,会,会采取,某,某些方,法,法可以,防,防止一,些,些特殊,的,的用户,来,来占用,过,过多的,系,系统资,源,源，我,们,们也建,议,议尽量,采,采用资,源,源管理,的,的方式,来,来减轻,这,这种安,全,全威胁,。,。,还有一,种,种情况,是,是由磁盘,存,存储空,间,间引起的。假,如,如一个,用,用户有,权,权利存,储,储大量,的,的文件,的,的话，,他,他就有,可,可能只,为,为系统,留,留下很,小,小的空,间,间用来,存,存储日,志,志文件,等,等系统,信,信息。,这,这是一,种,种不良,的,的操作,习,习惯，,会,会给系,统,统带来,隐,隐患。,这,这种情,况,况下应,该,该对系,统,统配额,作,作出考,虑,虑。,Ping of Death：发,送,送长度,超,超过65535字节,的,的ICMPEcho Request,数,数据,包,包