第8章-网络的攻击与防范ppt课件

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络安全应用技术,全国高等职业教育计算机类规划教材,实例与实训教程系列,第8章 网络的攻击与防范,网络安全应用技术全国高等职业教育计算机类规划教材第8章 网络,1,你将学习,网络攻击的方法、攻击目的、攻击实例。,端口扫描、密码破解、特洛伊木马、缓冲区溢出、拒绝服务、网络监听等。,常用攻击工具及攻击的防备。,你将获取,防范用户密码被破解的技能。,网络监听及其检测方法。,检测与删除特洛伊木马程序的方法。,在这一章中,你将学习在这一章中,2,8.1 案例问题,8.1.1 案例说明,8.1.2 思考与讨论,8.1 案例问题8.1.1 案例说明,3,8.1.1 案例说明,1.黑客现象,摆在各国国家安全部门面前的重大挑战。,2.黑客分析,掌握了高科技，专门用来窥视别人在网络上的秘密。,3.,对付黑客攻击的简单办法,做好防范，让黑客无从下手。,发现黑客估计形势切断连接采取行动抓住侵入者,8.1.1 案例说明1.黑客现象,4,8.1.2 思考与讨论,阅读案例并思考以下问题,（1）黑客攻击对网络系统有哪些安全威胁？,（2）为了提高安全防范能力，如何站在黑客的,角度审查网络系统呢？,（3）你想成为一名黑客吗？,8.1.2 思考与讨论阅读案例并思考以下问题,5,8.1.2 思考与讨论,专题讨论,（1）根据你的了解，说明网络面临的几种安全攻击。,（2）根据你的分析，说明黑客与入侵者的不同。,8.1.2 思考与讨论专题讨论,6,8.2 技术视角,8.2.1,网络攻击的三个阶段,8.2.2,网络攻击的手段与防范,8.2 技术视角8.2.1 网络攻击的三个阶段,7,8.2.1,网络攻击的三个阶段,1.信息收集,2.系统安全弱点的探测,（1）自编程序。,（2）利用公开的工具。,3.实施攻击,网络攻击是指可能导致一个网络受到破坏、,网络服务受到影响的所有行为。,8.2.1 网络攻击的三个阶段1.信息收集,8,攻击的动机和目的是为了牟取超越目标网络安全策略所限定的服务，或者为了使目标网络服务受到影响甚至停止。,（1）攻击的动机,（2）攻击的来源,（3）攻击的方法和类型,8.2.1 网络攻击的三个阶段,攻击的动机和目的是为了牟取超越目标网络安全策略所限定的服务，,9,攻击的方法和类型,假冒欺骗,指定路由,否认服务,数据截取,修改数据,8.2.1 网络攻击的三个阶段,攻击的方法和类型8.2.1 网络攻击的三个阶段,10,8.2.2,网络攻击的手段与防范,1.密码破解攻击与防范,所谓密码破解攻击，是指使用某些合法用户帐号和密码登录到目的主机，然后再实施攻击。,（1）密码攻击原理,（2）破解用户的密码,8.2.2 网络攻击的手段与防范1.密码破解攻击与防范,11,8.2.2,网络攻击的手段与防范,（2）破解用户的密码,通过网络监听非法得到用户密码，这类方法有一定的局限性，但危害性极大。,再知道用户的帐号后（如电子邮件前面的部分），利用一些专门软件强行破解用户密码，这种方法不受到网段限制，但攻击者要有足够的耐心和时间。,由于为数不少的操作系统都存在许多安全漏洞或一些其他设计缺陷，这些缺陷一旦被找出，黑客就可以长驱直入。,8.2.2 网络攻击的手段与防范（2）破解用户的密码,12,8.2.2,网络攻击的手段与防范,（3）密码攻击类型,字典攻击,强行攻击,组合攻击,（4）密码的防范,使自己的密码不在英语字典中，且不可能被别人猜测出，定期改变密码。,8.2.2 网络攻击的手段与防范（3）密码攻击类型,13,8.2.2,网络攻击的手段与防范,2.特洛伊木马攻击与防范,凡是非法驻留在目标计算机里，在目标计算机系统启动的时候自动运行，并在目标计算机上执行一些事先约定的操作，比如窃取密码等，这类程序都可以称为特洛伊木马程序。,木马除了拥有强大的远程控制功能外，还包括极强的破坏性。学习它，只是为了了解它的技术与方法，而不是用于盗窃密码等破坏行为。,8.2.2 网络攻击的手段与防范2.特洛伊木马攻击与防范,14,8.2.2,网络攻击的手段与防范,3.拒绝服务攻击与防范,拒绝服务（Denial of Service，DoS），利用协议或系统的缺陷，采用欺骗的策略进行网络击，最终目的是使目标主机因为资源全部被占用而不能处理合法用户提出的请求，即对外表现为拒绝服务。,常见的DoS攻击：,网络带宽攻击和连通性攻击。,8.2.2 网络攻击的手段与防范3.拒绝服务攻击与防范,15,8.2.2,网络攻击的手段与防范,3.拒绝服务攻击与防范,（1）Smurf 攻击,（2）SYN Flood 攻击,（3）Land 攻击,（4）UDP Flood 攻击,（5）分布式拒绝服务攻击,8.2.2 网络攻击的手段与防范3.拒绝服务攻击与防范,16,8.2.2,网络攻击的手段与防范,4.端口扫描攻击与防范,端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。,（1）端口扫描,（2）阻止端口扫描,关闭闲置和潜在危险的端口。,检查各端口，有端口扫描的症状时，立即屏蔽该端口。,8.2.2 网络攻击的手段与防范4.端口扫描攻击与防范,17,8.2.2,网络攻击的手段与防范,5.网络监听攻击与防范,（1）网络监听的基本原理,网络监听原来是提供给网络管理员，监视网络的状态、数据流动情况以及网络上传输的信息等。,（2）网络监听的简单实现,网络监听是主机的一种工作模式，在这种工作模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。,（3）如何检查并防范网络监听,对可能存在的网络监听的检测,对网络监听的防范措施,8.2.2 网络攻击的手段与防范5.网络监听攻击与防范,18,8.2.2,网络攻击的手段与防范,6.缓冲区溢出攻击与防范,（1）缓冲区溢出攻击的原理,缓冲区是程序运行的时候机器内存中的一个连续块，它保存了给类型的数据，随着动态分配变量会出现问题。大多数时候，为了不占用太多的内存，一个有动态分配变量的程序在程序运行时才决定给它们分配多少内存。这样下去的话，如果说要给程序在动态分配缓冲区放入超长的数据，它就会溢出了。,缓冲区溢出是非常普遍和危险的漏洞，在各种操作系统、应用软件中广泛存在。,缓冲区溢出攻击指的是一种系统攻击手段，通过往程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序程序转而执行其他指令，以达到攻击的目的。,8.2.2 网络攻击的手段与防范6.缓冲区溢出攻击与防范,19,8.2.2,网络攻击的手段与防范,（2）缓冲区溢出攻击的方法,缓冲区溢出攻击的目的在于扰乱具有某些特权的运行程序的运行，这样可以让黑客取得程序的控权，如果该程序具有足够的权限，那么整个主机就被控制了。,在被攻击程序地址空间安排攻击代码有两种方法可以实现。,一是黑客向被攻击的程序输入以一个字符串，程序会把这个字符串放在缓冲区里。,二是利用已经存在的代码。,控制程序转移到攻击代码的方法可以分为以下几种,激活记录。函数指针。长跳转缓冲区。,8.2.2 网络攻击的手段与防范（2）缓冲区溢出攻击的方法,20,8.2.2,网络攻击的手段与防范,（3）缓冲区溢出攻击的防范技术,目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响。,编写正确的代码,非执行的缓冲区,数组边界检查,程序指针完整性检查,8.2.2 网络攻击的手段与防范（3）缓冲区溢出攻击的防范技,21,8.3,常用攻击和防御软件的,实验,8.3.1 流光软件的使用,8.3.2 密码破解工具的使用,8.3.3“冰河”木马攻击与防范,8.3.4 拒绝服务的攻击练习,8.3.5 安全保护攻击的使用,8.3常用攻击和防御软件的实验8.3.1 流光软件的使用,22,8.3.1,流光软件的使用,实验目的,学会使用流光软件,Fluxay5,了解端口扫描和密码破解的途径，学会采用模拟攻击方法，对目的主机系统进行攻击性的安全漏洞扫描。,具体实验条件、内容和步骤参看教材P217。,8.3.1 流光软件的使用实验目的,23,8.3.2,密码破解工具的使用,实验目的,通过使用密码破解工具,LOphtCrack5.02,，模拟攻击者闯入系统破解账号和密码的过程，来认识用户账号和安全密码的重要性，以及掌握安全密码的设置策略。,具体实验条件、内容和步骤参看教材P220。,8.3.2 密码破解工具的使用实验目的,24,8.3.3,“冰河”木马攻击与防范,实验目的,通过实验，了解“冰河”的配置及使用方法，以及木马对远程目标主机进行控制的过程，理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马攻击的相关知识。,具体实验条件、内容和步骤参看教材P222。,8.3.3“冰河”木马攻击与防范实验目的,25,8.3.4,拒绝服务的攻击练习,实验目的,通过实验，了解DoS/DDoS工具对目标主机攻击的方法；理解DoS/DDoS攻击的原理及其实施过程；掌握检测和防范DoS/DDoS攻击的措施。,具体实验条件、内容和步骤参看教材P229。,8.3.4 拒绝服务的攻击练习实验目的,26,8.3.5,安全保护攻击的使用,实验目的,通过实验，了解系统安全保护工具,RegRun,的使用方法，以及检测隐藏在系统中的木马、病毒或其他来路不明程序的过程；学会通过严格监控来防止系统被木马程序攻击。,具体实验条件、内容和步骤参看教材P230。,8.3.5 安全保护攻击的使用实验目的,27,8.4 超越与提高,8.4.1,黑客对系统识别的基本方法,8.4.2,对抗黑客的措施,8.4 超越与提高8.4.1 黑客对系统识别的基本方法,28,8.4.1,黑客对系统识别的基本方法,黑客入侵的基本过程：判断入侵对象的操作系统扫描端口，判断开发了哪些服务（这两步有可能同时进行）根据操作系统和所开放的服务选择入侵方法，通常有“溢出”和“弱口猜测”两种方法获得系统的最高权利安放后门、清除日志。,1.用ping来识别操作系统,2.直接通过连接端口根据其返回的信息来判别操作系统,3.利用专门的软件来识别,8.4.1 黑客对系统识别的基本方法黑客入侵的基本过程：判断,29,8.4.2,对抗黑客的措施,1.防范黑客入侵的措施,（1）安全密码,（2）实施存取控制,（3）确保数据的安全,（4）定期分析系统日志,（5）不断完善服务器系统的安全性能,（6）进行动态监控,（7）用安全管理软件测试,（8）配置与使用防火墙,8.4.2 对抗黑客的措施1.防范黑客入侵的措施,30,8.4.2,对抗黑客的措施,2.封死黑客入侵的“后门”,黑客攻击“后门”的几种最主要的类型。,（1）禁用Guest帐户和更改管理员帐户名,（2）给系统管理员账号改名,（3）删掉不必要的协议,（4）关闭不必要的端口,（5）关闭无用的服务,（6）隐藏IP地址,8.4.2 对抗黑客的措施2.封死黑客入侵的“后门”,31,