《第三章--常用的攻击方法最新版实施高级网络安全DCNSEppt课件.ppt》由会员分享,可在线阅读,更多相关《第三章--常用的攻击方法最新版实施高级网络安全DCNSEppt课件.ppt(48页珍藏版)》请在三一办公上搜索。
1、第三章 常用的攻击方法,一般攻击步骤端口扫描网络监听缓冲区溢出拒绝服务IP欺骗特洛伊木马,一般攻击步骤端口扫描网络监听缓冲区溢出拒绝服务IP欺骗特洛伊木马,一般的系统攻击步骤,隐藏黑客的位置,网络探测和资料收集,找出被信任的主机,找出有漏洞的网络成员,利用漏洞,获得控制权,窃取网络资源和特权,一般的系统攻击步骤,隐藏黑客的位置,网络探测和资料收集,找出被信任的主机,找出有漏洞的网络成员,利用漏洞,获得控制权,窃取网络资源和特权,什么是端口扫描TCP全扫描、TCP SYN扫描秘密扫描与间接扫描认证扫描和代理扫描栈指纹,TCP全扫描和TCP SYN扫描,秘密扫描和间接扫描,FIN,Drop,用欺骗
2、主机IP发动连接,回应给欺骗主机,欺骗主机,监控欺骗主机,秘密扫描和间接扫描,FIN,Drop,用欺骗主机IP发动连接,回应给欺骗主机,欺骗主机,监控欺骗主机,认证扫描和代理扫描,建立ftp会话,扫描端口,FTP Server,SYN,seq,SYN/ACK,seq+1,ACK,ack_seq+1,认证请求,某个端口上进程的用户名,栈指纹,Windows95/98,WindowsNT,Windows2000,Linux,FreeBSD,NetBSD,OpenBSD,Solaris,SunOS,HP-UX,AIX,Digital UNIX,常见安全扫描工具,NMAPNessusSATANNSSX
3、-ScanSuperscanStrobeJakalWhisker,防范端口扫描,关闭闲置和有潜在危险的端口检查各端口,有端口扫描的症状时,立即屏蔽该端口,网络监听,网络监听本来是提供给网络管理员对网络状况和网络流量进行检查和分析的一种管理手段。它指的是拦截网络上两台或者多台机器之间传递的数据,并对这些数据进行分析,从而得到有用信息的一种方法。但是,网络监听也是黑客们常用的方法。,以太网监听原理,网络监听工具Sniffer,如何检测并防范网络监听,检测网络监听防范网络监听-从逻辑或物理上对网络分段-以交换机代替共享式集线器-使用加密技术-划分VLAN,缓冲区溢出,缓冲区溢出指的是一种系统攻击的手
4、段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。,系统空间,用户进程空间,缓冲区溢出,void function(char*str)char buffer 16;strcpy(buffer,str);上面的strcpy()将直接把str中的内容copy到buffer中。这样只要str的长度大于16,就会造成buffer的溢出,使程序运行出错。但不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过 shell执行其它命令。,防范缓冲区溢出,程序员-编写正确的代码-非执行的缓冲区-数组边界
5、检查-程序指针完整性检查用户-经常检查你的操作系统和应用程序提供商的站点,一旦发现他们提供的补丁程序,就马上下载并且应用在系统上,这是最好的方法。,拒绝服务攻击(DoS),拒绝服务攻击的英文是Denial of Service,简称DoS。这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。,攻击者,受害者,带有虚假地址的请求,虚假地址,回复信息,服务器等待回传消息,拒绝服务攻击(DoS),拒绝服务攻击的英文是Denial of Service,简称DoS。这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽
6、或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。,攻击者,受害者,带有虚假地址的请求,虚假地址,回复信息,服务器等待回传消息,DDos攻击运行原理,DDoS攻击实例 Syn Flood攻击,攻击机,服务器,SYN,1,SYN+ACK,2,下一个SYN,3,DDoS攻击实例 Syn Flood攻击,攻击机,服务器,SYN,1,SYN+ACK,2,下一个SYN,3,常见拒绝服务攻击,Ping of deathTeardropUdp floodSyn floodLandSmurfFraggle,拒绝服务攻击工具,TrinooTFNTFN2KTargaStacheldraht,防
7、范拒绝服务攻击,“Hey,Im here!”,“Hey,Im here!”,“Hey,Im here!”,“These look suspicious.”,Filter,Web server,IP欺骗,信任关系,主机A,主机B,假冒主机A与B建立连接,IP欺骗步骤,找到要攻击的主机A,发现和它有关的被信任主机B,利用某种攻击方法使B瘫痪,对A的序列号进行取样,猜测新的可能的序列号,用这个序列号进行尝试连接,如果连接成功,留下一个后门,预防IP欺骗,抛弃基于地址的信任策略 进行包过滤 使用加密方法使用随机化的初始序列号,特洛伊木马,木马组成部分,硬件系统软件部分具体连接部分,木马原理,木马原理,
8、运行木马过程,电脑感染木马后,用NETSTAT命令查看端口的两个实例:(1)是服务端与控制端建立连接时的显示状态(2)是服务端与控制端还未建立连接时的显示状态。,信息泄漏,建立连接,远程控制,常见木马,BO(Back Orifice)BO2000Subseven冰河NetbusNetbus ProNetspyYAI,常见木马特征列表,经典木马功能列表,经典木马功能列表,木马的防御和删除,防御-软件下载-E-mail附件-使用杀毒软件删除-按照触发条件将其删除-使用端口扫描器,木马查杀BO,BO 只要检查注册表HEKY-LOCAL-MACHINESoftwareMicrosoftWindowsC
9、urrentVersion RunServices中有无.exe键值。如有,则将其删除,并进入MS-DOS方式,将WindowsSystem中的.exe文件删除(可运用开始菜单中的“搜索”程序帮助你进行查找这一文件)。BO2000 只要检查注册表HEKY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中有无Umgr32.exe的键值,如有,则将其删除。重新启动电脑,并将WindowsSystem中的Umgr32.exe删除。,木马查杀Netbus,用“Netstat-an”查看12345端口是否开启;在注册表HKEY
10、_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中有无patch.exe键值,将其删除;然后重新启动电脑,删除c:windows下对应的可执行文件即可。,木马查杀冰河,用纯DOS启动进入系统(以防木马的自动恢复),删除windowssystem下的kernel32.exesysexplr.exe两个木马文件;进入windows系统进入注册表中,找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和RunServices两项,然后查找kernel32.exe和sys
11、explr.exe两个键值,将其删除;在注册表中找到HKEY_CLASSES_ROOTtxtfileopencommand,看在键值中是不是已改为“sysexplr.exe%1”,如是改回notepad.exe%1”。,木马查杀Netspy,检查注册表HEKY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun中有无键值Spynotify.exe和Netspy.exe,如有将其删除;重新启动电脑后,将WindowsSystem中的文件netspy.exe删除。,木马查杀Subseven,进入注册表HKEY_LOCAL_MACHINESO
12、FTWAREMicrosoftWindowsCurrentVersionRun和RunService下,如果有加载文件,就删除右边的项目:加载器=“c:windowssystem*”。注:加载器和文件名是随意改变的。打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。重新启动Windows,删除相对应的木马程序,一般在c:windowssystem下,在本机上做实验时发现该文件名为vqpbk.exe。,木马查杀,广外女生黑洞2001WAY2.4Nethief聪明基因ShareQQ,
