第2-章网络攻击与防范ppt课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第 2 章网络攻击与防范,第 2 章网络攻击与防范,1,第 2 章网络攻击与防范,2.1黑客概述,2.2常见的网络攻击,2.3攻击步骤,2.4网络攻击的实施,2.5留后门与清痕迹的防范方法,第 2 章网络攻击与防范 2.1黑客概述,2.1黑客概述,2.1.1 黑客的由来,1.黑客的发展史,2.黑客的含义,所谓黑客，是指利用通信软件，通过网络非法进入他人计算机系统，获取或篡改各种数据，危害信息安全的入侵者或入侵行为。,在日本新黑客词典中，对黑客的定义是“喜欢探索软件程序奥秘，并从中增长了其个人才干的人。他们不像绝大多数电脑使用者那样，只规规矩矩地了解别人指定了解的狭小部分知识。”,在中华人民共和国公共安全行业标准（GA 163-1997）中，黑客被定义为“对计算机系统进行非授权访问的人员”。这也是目前大多数人对黑客的理解。,2.1黑客概述 2.1.1 黑客的由来,2.1.2 黑客文化,黑客们充分利用互联网跟那些兴趣相同的人成为朋友和伙伴。在互联网还不是很普及的时候，黑客们通过访问他们自己建立的留言板系统（BBS），来与其他黑客联系。黑客可以将BBS放在自己的计算机上，让人们登陆系统去发送消息、共享信息、玩游戏以及下载程序。,2.1.2 黑客文化 黑客们充分利用互联网跟那些兴趣相同的,2.1.3 知名黑客,史蒂夫乔布斯和斯蒂芬沃兹尼克，苹果公司创始人，都是黑客。他们早期的一些活动很像一些恶意黑客的行为。但是，乔布斯和沃兹尼亚克超越了恶意行为，开始专心开发计算机硬件和软件。他们的努力开辟了个人电脑的时代。,李纳斯托沃兹，Linux之父，一名正直的著名黑客。在黑客圈里，Linux系统非常受欢迎。托沃兹促进了开放源代码软件观念的形成，向人们证明了只要你向所有人公开信息，你就可以收获不可思议的财富。,理查德斯托尔曼，人称RMS，是自由软件运动，GNU计划和自由软件基金的创始人。他促进了免费软件和自由访问计算机的理念的推广。同时他与一些组织（比如免费软件基金会）一起合作，反对诸如数字版权管理这样的政策。,2.1.3 知名黑客史蒂夫乔布斯和斯蒂芬沃兹尼克，苹果,乔纳森詹姆斯，他在16岁的时候成为了首位被监禁的青少年黑客，并因此恶名远播。他曾经入侵过很多著名组织的站点，包括美国国防部下设的国防威胁降低局（DTRA）。通过此次黑客行动，他捕获了用户名和密码，并浏览高度机密的电子邮件。詹姆斯还曾入侵过美国宇航局的计算机，并窃走价值170万美元的软件。据美国司法部长称，他所窃取的软件主要用于维护国际空间站的物理环境，包括对湿度和温度的控制。当詹姆斯的入侵行为被发现后，美国宇航局被迫关闭了整个计算机系统，并因此花费了纳税人的4.1万美元。目前，詹姆斯正计划成立一家计算机安全公司。,2.1.3 知名黑客,乔纳森詹姆斯，他在16岁的时候成为了首位被监禁的青少年黑客,凯文米特尼克，在上世纪八十年代他可谓是恶名昭著，17岁的时候他潜入了北美空中防御指挥部（NORAD）。美国司法部曾经将米特尼克称为“美国历史上被通缉的头号计算机罪犯”，他的所作所为已经被记录在两部好莱坞电影中，分别是Takedown和Freedom Downtime。米特尼克最初破解了洛杉矶公交车打卡系统，因此他得以免费乘车。在此之后，他也同苹果联合创始人斯蒂芬沃兹尼克（Steve Wozniak）一样，试图盗打电话。米特尼克首次被判有罪是因为非法侵入Digital Equipment公司的计算机网络，并窃取软件。之后的两年半时间里，米特尼克展开了疯狂的黑客行动。他开始侵入计算机，破坏电话网络，窃取公司商业秘密，并最终闯入了美国国防部预警系统。后来，他因为入侵计算机专家、黑客Tsutomu Shimomura的家用计算机而落网。在长达5年零8个月的单独监禁之后，米特尼克现在的身份是一位计算机安全作家、顾问和演讲者。,2.1.3 知名黑客,凯文米特尼克，在上世纪八十年代他可谓是恶名昭著，17岁的时,凯文鲍尔森，也叫“黑暗但丁”，他因非法入侵洛杉矶KIIS-FM电话线路而闻名全美，同时也因此获得了一辆保时捷汽车。美国联邦调查局（FBI）也曾追查鲍尔森，因为他闯入了FBI数据库和联邦计算机，目的是获取敏感信息。鲍尔森的专长是入侵电话线路，他经常占据一个基站的全部电话线路。鲍尔森还经常重新激活黄页上的电话号码，并提供给自己的伙伴用于出售。他最终在一家超市被捕，并被处以五年监禁。在监狱服刑期间，鲍尔森担任了Wired杂志的记者，并升任高级编辑。,阿德里安,拉莫,，他热衷入侵各大公司的内部网络，比如微软公司等。他喜欢利用咖啡店、复印店或图书馆的网络来从事黑客行为，因此获得了一个“不回家的黑客”的绰号。拉莫经常能发现安全漏洞，并对其加以利用。通常情况下，他会通知企业有关漏洞的信息。在,拉莫,的入侵名单上包括雅虎、花旗银行、美洲银行和Cingular等知名公司。由于侵入纽约时报内部网络，拉莫成为顶尖数码罪犯之一。也正是因为这一罪行，他被处以6.5万美元罚款，以及六个月家庭禁闭和两年缓刑。拉莫现在是一位著名公共发言人，同时还是一名获奖记者。,2.1.3 知名黑客,凯文鲍尔森，也叫“黑暗但丁”，他因非法入侵洛杉矶KIIS-,2.1.4 近10年著名黑客事件,2000年，年仅15岁，绰号黑手党男孩的黑客在2000年2月6日到2月14日情人节期间成功侵入包括雅虎、eBay和Amazon在内的大型网站服务器，他成功阻止服务器向用户提供服务，他于同年被捕。,2000年，,2001年5月，,2002年11月，,2006年10月16日，,2007年4月27日，,2007年，,2008年，,2009年7月7日，,2.1.4 近10年著名黑客事件 2000年，年仅15岁，,2.1.5 黑客的行为发展趋势,1黑客组织化,2黑客技术的工具化、智能化,（1）黑客开发的工具。,（2）很多网络安全工具可以当作黑客工具来使用，同样是扫描器，网络管理员可以用它来检查系统漏洞，防患于未然，黑客也可以用它来寻找攻击入口，为实施攻击做好准备，另外还有很多常用的网络工具也能当作黑客工具来用，如Telnet、Ftp等等。,2.1.5 黑客的行为发展趋势 1黑客组织化,主要表现在以下3个方面。,（1）反检测技术,攻击者采用了能够隐藏攻击工具的技术，这使得安全专家通过各种分析方法来判断新的攻击的过程变得更加困难和耗时。,（2）动态行为,以前的攻击工具按照预定的单一步骤发起进攻，现在的自动攻击工具能够按照不同的方法更改它们的特征，如随机选择预定的决策路径，或者通过入侵者直接控制。,（3）攻击工具的模块化,黑客技术智能化的表现,主要表现在以下3个方面。黑客技术智能化的表现,3黑客技术普及化,黑客技术普及化的原因有以下三个方面：,（1）黑客组织的形成，使黑客的人数迅速扩大，如美国的“大屠杀2600”的成员就曾达到150万人，这些黑客组织还提供大量的黑客工具，使掌握黑客技术的人数剧增。,（2）黑客站点的大量出现。通过Internet，任何人都能访问到这些站点，学习黑客技术也不再是一件困难的事。,（3）计算机教育的普及，很多人在学习黑客技术上不再存在太多的专业障碍。,3黑客技术普及化 黑客技术普及化的原因有以下三个方面：,4黑客年轻化,由于中国互联网的普及，形成全球一体化，甚至连很多偏远的地方也可以从网络上接触到世界各地的信息资源，所以越来越多对这方面感兴趣的中学生，也已经踏足到这个领域。,有资料统计，我国计算机犯罪者主要是1930岁的男性，平均年龄约为23岁，而央视中国法治报道则将这个年龄拉低到19岁。这种现象反映出我们的网络监管及相关法律部门的管理存在着极大的漏洞。,4黑客年轻化 由于中国互联网的普及，形成全球一体化，甚至连,5黑客的破坏力扩大化,随着Internet的高速发展，政府、军事、银行、邮电、企业、教育等等部门纷纷接入互联网，电子商务也在蓬勃发展，全社会对互联网的依赖性日益增加，黑客的破坏力也日益扩大化。,2009年6月2日，公安部发布消息称，造成5月19日中国六省市互联网大面积瘫痪、一手炮制“暴风断网门”（,由于“暴风影音”网站的域名解析系统受到黑客攻击，导致电信DNS服务器访问量突增，网络处理性能下降。,私服网站的“领头羊”DNSpod服务器,）的4名黑客已经落网。沸沸扬扬的“断网事件”告一段落，但一条“黑色产业链”因“暴风断网门”而浮出水面。有数据显示，目前，我国黑客产业链已达10多亿元规模，其破坏性则至少达到数百亿元。,5黑客的破坏力扩大化 随着Internet的高速发展，政府,2.2常见的网络攻击,1窃听,2数据篡改,3身份欺骗（IP地址欺骗）,4盗用口令攻击（Password-Based Attacks）,5拒绝服务攻击（Denial-of-Service Attack）,6中间人攻击（Man-in-the-Middle Attack）,7盗取密钥攻击（Compromised-Key Attack）,8Sniffer 攻击（Sniffer Attack）,9应用层攻击（Application-Layer Attack）,2.2常见的网络攻击1窃听,9应用层攻击（Application-Layer Attack）,（1）阅读、添加、删除、修改用户数据或操作系统,（2）在用户应用系统中引入病毒程序,（3）引入Sniffer，对用户网络进行分析，以获取所需信息，并导致用户网络的崩溃或瘫痪,（4）引起用户应用系统的异常终止,（5）解除用户系统中的其他安全控制，为其新一轮攻击打开方便之门,应用层攻击,9应用层攻击（Application-Layer Atta,2.2.1攻击目的,网络攻击正朝着具有更多的商业动机发展。随着动机改变，质量也在改变。在许多情况下，网络攻击都是专业软件开发人员所为。他们的主要目的有：,窃取信息,获取口令,控制中间站点,获得超级用户权限,2.2.1攻击目的 网络攻击正朝着具有更多的商业动机发展。,2.2.2攻击事件分类,在信息系统中，存在3类安全威胁：,外部攻击：攻击者来自系统外部。,内部攻击：内部越权行为。,行为滥用：合法用户滥用特权。,2.2.2攻击事件分类 在信息系统中，存在3类安全威胁：,可将攻击事件分为以下5类,1破坏型攻击（SYN flood）,2利用型攻击（特洛伊木马，缓冲区溢出）,3信息收集型攻击（地址扫描，端口扫描）,4垃圾信息攻击（广告，垃圾邮件）,5网络欺骗攻击（DNS欺骗，IP欺骗）,可将攻击事件分为以下5类,2.3 攻击步骤,2.3 攻击步骤,1确定攻击的目标,2收集被攻击对象的有关信息（P25）,3利用适当的工具进行扫描，寻找系统的安全漏洞。,4实施攻击（毁掉入侵痕迹，创建新的安全漏洞或后门，以便先前漏洞被发现仍可继续访问）,5巩固控制（提升权限）,6继续深入（安装后门，修补漏洞）,7清除痕迹（清理入侵痕迹，清理日志）,2.3 攻击步骤,1确定攻击的目标2.3 攻击步骤,2.4网络攻击的实施,1调查、收集和判断目标网络系统的网络结构等信息,2制定攻击策略和确定攻击目标,3扫描目标系统,4攻击目标系统,2.4网络攻击的实施 1调查、收集和判断目标网络系统的网络,2.4.1网络信息搜集,1用ping识别操作系统,C:ping ,Pinging 10.1.1.2 with 32 bytes of data:,Reply from 10.1.1.2:bytes=32 time10ms TTL=128,Reply from 10.1.1.2:bytes=32 time10ms TTL=128,Reply from 10.1.1.2:bytes=32 time10ms TTL=128,Reply from 10.1.1.2:bytes=32 time,C:ping ,Pinging 10.1.1.6 with 32 bytes of data:,Request timed out.,Reply from 1