Download
1 / 124
1.25k likes | 1.38k Views
学习情景 2. 黑客攻击与防范. 陈晓红. www.xjqg.edu.cn. 学习任务. 任务 2-1 :网络扫描. 任务 2-2 :网络嗅探. 任务 2-3 :拒绝服务攻击. 任务 2-4 :电子欺骗. 任务 2-5 :特洛伊木马. 任务 2-6 :网络攻击的步骤. 任务 2-1 :网络扫描. 学习目标 : 了解扫描技术 会用常见的扫描器 学习内容 : 什么是网络扫描 网络扫描的主要技术 常见扫描器介绍. 什么是网络扫描.
E N D
学习情景2 黑客攻击与防范 陈晓红 www.xjqg.edu.cn
学习任务 任务2-1:网络扫描 任务2-2:网络嗅探 任务2-3:拒绝服务攻击 任务2-4:电子欺骗 任务2-5:特洛伊木马 任务2-6:网络攻击的步骤
任务2-1:网络扫描 • 学习目标: • 了解扫描技术 • 会用常见的扫描器 • 学习内容 : • 什么是网络扫描 • 网络扫描的主要技术 • 常见扫描器介绍
什么是网络扫描 • 扫描就是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查,目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。 • 扫描是攻击者进行攻击的第一步。
目的: • 检测连接,准备攻击. • 一般步骤 • 确定主机存活 --〉ICMP包 • 确定运行着的服务 --〉TCP,UDP端口扫描 • 获取系统信息(如操作系统,用户,计算机名等等) --〉办法很多
网络扫描的主要技术 • 网络扫描的主要技术 • 主机扫描技术 • 端口扫描技术 • 漏洞扫描
主机扫描技术 • 主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段,其效果直接影响到后续的扫描。 • 常用的传统扫描手段有: • ICMP Echo扫描 • ICMP Sweep扫描 • Broadcast ICMP扫描 • Non-Echo ICMP扫描
ICMP echo扫描 • 实现原理:Ping的实现机制,在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMP Echo Request (type 8)数据包,等待回复的ICMP Echo Reply 包(type 0) 。如果能收到,则表明目标系统可达,否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。 • 优点:简单,系统支持 • 缺点:很容易被防火墙限制 • 可以通过并行发送,同时探测多个目标主机,以提高探测效率(ICMP Sweep扫描)。
Broadcast ICMP扫描 • 实现原理:将ICMP请求包的目标地址设为广播地址或网络地址,则可以探测广播域或整个网络范围内的主机。 • 缺点: • 只适合于UNIX/Linux系统,Windows 会忽略这种请求包; • 这种扫描方式容易引起广播风暴
Non-Echo ICMP扫描 • 一些其它ICMP类型包也可以用于对主机或网络设备的探测,如: • Stamp Request(Type 13) • Reply(Type 14) • Information Request(Type 15) • Reply(Type 16) • Address Mask Request (Type 17) • Reply(Type 18)
端口扫描技术 • 当确定了目标主机可达后,就可以使用端口扫描技术,发现目标主机的开放端口,包括网络协议和各种应用监听的端口。端口扫描技术主要包括三类: • 开放扫描 会产生大量的审计数据,容易被对方发现,但其可靠性高; • 隐蔽扫描 能有效的避免对方入侵检测系统和防火墙的检测,但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息; • 半开放扫描
开放扫描技术- TCP Connect 扫描 • 实现原理:通过调用socket函数connect()连接到目标计算机上,完成一次完整的三次握手过程。如果端口处于侦听状态,那么connect()就能成功返回。否则,这个端口不可用,即没有提供服务。 • 优点:稳定可靠,不需要特殊的权限 • 缺点:扫描方式不隐蔽,服务器日志会记录下大量密集的连接和错误记录 ,并容易被防火墙发现和屏蔽
半开放扫描技术- TCP SYN 扫描 • 实现原理:扫描器向目标主机端口发送SYN包。如果应答是RST包,那么说明端口是关闭的;如果应答中包含SYN和ACK包,说明目标端口处于监听状态,再传送一个RST包给目标机从而停止建立连接。由于在SYN扫描时,全连接尚未建立,所以这种技术通常被称为半连接扫描 • 优点:隐蔽性较全连接扫描好,一般系统对这种半扫描很少记录 • 缺点:通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用
隐蔽扫描技术- TCP FIN 扫描 • 实现原理:扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且返回一个RST数据包。否则,若是打开的端口,数据包只是简单的丢掉(不返回RST)。 • 优点:由于这种技术不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而比SYN扫描隐蔽得多,FIN数据包能够通过只监测SYN包的包过滤器。 • 缺点: • 跟SYN扫描类似,需要自己构造数据包,要求由超级用户或者授权用户访问专门的系统调用; • 通常适用于UNIX目标主机,除少量应当丢弃数据包却发送RST包的操作系统(包括CISCO,HP/UX,MVS和IRIX)。但在Windows环境下,该方法无效,因为不论目标端口是否打开,操作系统都返回RST包。
扫描器 • 扫描器工作流程 • 主机扫描 • 端口扫描 • 识别系统及服务程序的类型 • 根据已知漏洞信息,分析系统脆弱点 • 生成扫描结果报告 • 常见扫描器介绍 • Nmap • Xscan(演示) • Shadow security scanner • Fluxay(流光)
实验: • 实验2-1:使用X-Scan扫描密码
任务2-2:网络嗅探 • 学习目标: • 了解嗅探器工作的原理 • 知道交换网络环境如何实现嗅探 • 会使用嗅探工具抓包并进行分析 • 学习内容 : • 什么是嗅探器 • 嗅探器的作用 • 嗅探器的工作原理 • 交换环境下的嗅探 • 嗅探器攻击的危害 • Sniffer防治及检测 • 嗅探器工具介绍
什么是嗅探器 • 嗅探器 (Sniffer)是能够从网络设备上捕获网络报文的一种工具。它利用网卡的混杂模式来监听网络中的数据报。 Host A Host B Router A Router B
嗅探器的作用 • 协议分析 • 分析网络 我的网络为什么总这么慢? 是不是网络里面有病毒? 是不是有谁在下载电影? …… • 查找故障及问题 网络发生了什么? 是什么导致路由器的频繁重启? …… • 嗅探攻击
嗅探器的工作原理 • 嗅探器工作的前提 • 网络中使用的是共享式HUB • 本机的网卡设为混杂模式 • 本机安装Sniffer软件
数据包 本地接口硬件地址 数据包MAC地址 产生中断,通知CPU 广播地址 其他硬件地址 混杂模式 接口配置模式 产生中断,通知CPU 非混杂模式 不处理,丢弃 网卡的工作原理
HUB的工作原理 共享式HUB It’s for c It’s for c e It’s for c It’s for c It’s for c a d c b
I know who is c 交换机 e It’s for c a d c b 交换机的工作原理
客户机 网关 To gateway 转发数据 ARP欺骗 我是网关 中间人 交换环境下的Sniffer攻击 • 伪装成网关
交换环境下Sniffer攻击的对策 • 在关键设备上设置静态ARP ARP –S IP地址 MAC地址 • 检测ARP欺骗 ARPWatch
嗅探器攻击的危害 • Sniffer可以用于嗅探网络中的明文口令信息: • Telnet • FTP • SNMP • POP
Sniffer防治及检测 • 规划网络(嗅探器不能跨越交换机,路由器,网桥) • 加密——最为有效的防范手段 • 使用检测工具(Trip-ware, Awti-sniffer) • 手动检测 • 异常情况观察
嗅探器工具介绍 • 目前,有二种主要的嗅探工具 • 通用的嗅探器,例如Sniffer Pro,Iris等 • 特定嗅探攻击工具,例如Password Sniffer。
实验: • 实验2-2:使用ethereal软件捕获和分析报文
任务2-3:拒绝服务攻击 • 学习目标: • 了解拒绝服务攻击原理 • 知道拒绝服务攻击种类 • 掌握常见拒绝服务攻击的解决措施 • 学习内容 : • 什么是拒绝服务攻击 • 常见拒绝服务攻击种类 • 拒绝服务攻击原理 • 分布式拒绝服务攻击 • 分布式拒绝服务攻击工具 • 解决措施
什么是拒绝服务攻击 • 所谓拒绝服务攻击(Denial of Service)是指利用系统与程序本身设计缺陷占用系统资源,从而造成系统运行的迟缓和瘫痪。拒绝服务攻击降低了资源的可用性,这些资源可以是处理器、磁盘空间、CPU、打印机、调制解调器,甚至是系统管理员的时间,攻击的结果是使系统减少或者失去服务能力。 • 它的目的是使被攻击的目标无法提供正常的服务 。
常见拒绝服务攻击种类 • 拒绝服务只是攻击的目的,要完成拒绝服务攻击可以有很多途径: 1 OOB篮屏攻击death) 2 死亡之ping (ping of 3 泪滴(teardrop) 4 UDP洪水(UDP flood) 5 SYN洪水(SYN flood) 6 Land攻击 7 Smurf攻击 8 Fraggle攻击 9 电子邮件炸弹 10 针对漏洞攻击
0 byte Win95 win97 netbios OOB(Out_of_Band) • 这是利用NETBIOS中一个OOB(Out of Band)的漏洞而来进行的,它的原理是通过TCP/IP协议传递一个数据包到计算机某个开放的端口上(一般是137、138和139),当计算机收到这个数据包之后就会瞬间死机或者蓝屏现象,不重新启动计算机就无法继续使用TCP/IP协议来访问网络。 • 攻击结果:目标主机蓝屏,重启
Ping of death Ping –l 65536 victim 结果:对方主机当机或重启 补丁包: • 限制ping 发送包的大小(65500) • 设置系统或防火墙丢弃ping数据包
泪滴(teardrop) SYN 试图重组时 主机崩溃 SYN +ACK ACK PSH 1:1025…… PSH 1:1025…… PSH 1000:2049…… PSH 1025:2049…… PSH 2049:3073…… PSH 2049:3073…… FIN ACK
UDP Flood chargen (udp) Echo (udp) … chargen (udp) Echo (udp) …
SYN Flood 三次握手 SYN 1415531521: 1415531521 客 户 机 服 务 器 SYN 1835230821: 1835230821 ack 1415531522 ACK 1835230822
SYN Flood ? (syn) Hello ,I’m here (syn+ack) I’m ready I’m waiting…… ? (syn) Hello ,I’m here I’m waiting…… I’m waiting…… …… I’m waiting…… (syn) Hello ,I’m here I’m waiting……
Syn+Ack Ack Land (SYN) hello,I’m 11.11.11.11 11.11.11.11
Smurf&Fraggle Please replay 1.1.1.1 广播地址 X 1.1.1.1 ICMP -- Smurf UDP -- Fraggle 分类:x
邮件炸弹 伪造发送者 快速发送大量邮件
畸形假消息攻击 Winnt IIS 80 http://victim/….(超长URL)……/test.htm http://victim/…..(25KB)……/.idq http://victime/…… (25KB)……/null.htw
“分布式拒绝服务”攻击 • 所谓“分布式拒绝服务”攻击,就是攻击者在客户端控制大量的攻击源、并且同时向攻击目标发起的一种拒绝服务攻击。
DDoS 1.扫描. 客户端系统 2.安装扫描器和攻击代理器. 4.黑客控制大量的代理发起DDOS攻击. 僵尸机 3.在代理上面安装控制端软件.
解决方法 • 请求网络供应商协作 • 优化路由器和网络结构 • 优化提供服务的主机 • 关注最新安全漏洞情况 • 经常对系统进行审核
实验: • 实验2-3:拒绝服务攻击 • 实验2-4:洪水攻击
任务2-4:电子欺骗 • 学习目标: • 了解常见电子欺骗的种类及原理 • 掌握常见电子欺骗的防范措施 • 学习内容 : • IP电子欺骗 • TCP会话劫持 • ARP电子欺骗 • DNS电子欺骗 • 路由欺骗
电子欺骗 • 电子欺骗(Spoofing)是指通过伪造源于可信任地址的数据包以使一台机器认证另一台机器的复杂技术 B Hello,I’m B! C A
IP电子欺骗 • IPspoof即IP电子欺骗,是一台主机设备冒充另外一台主机的IP地址,与其它设备通信,从而达到某种目的的技术。 • IP欺骗--伪装IP包头 • IP欺骗通常发生在需要与可信主机通信的时候。 • 常见的IP欺骗技术: • 利用可信主机IP进行欺骗 • 利用已授权IP进行欺骗
客户 服务器 连接请求 Syn send Syn+ack 回应(ISN) 确认(ISN+1) 会话过程 IP电子欺骗 • IP电子欺骗并不容易: • 此技术只适用于少数平台 • 这项技术复杂难懂,甚至对高手也是如此。 • 用户可以很容易防范IP欺骗攻击
