网
络层(OSI参考模型中的第3层)是在因特网上分组数据端到端路由和交付的主要机制。
本书主要关注的是基于IPv4网络协议的攻击,当然还存在着许多其他网络协议,如IPX、X.25和未来的IPv6协议。
本章我们将首先关注iptables是如何在输出的日志信息中记录网络层数据包的首部的。然后将看到如何利用这些日志来捕获可疑的网络层活动。
2.1使用iptables记录网络层首部信息
通过使用iptables的LOG目标,利用iptables建立的防火墙可以将几乎IPv4首部①中的每个字段记录到syslog中。因为iptables的日志记录格式相当的完备,所以iptables日志非常适合用于许多网络层首部滥用的检测。
记录IP首部
IP首部由RFC 791定义,它描述了IP首部的结构。图2-1显示了IP的首部,阴影方块代表iptables 的日志信息中包括的首部字段。每个阴影方块中包含IP首部字段名,其后跟随着iptables在日志信息中用于标记该字段的标识字符串。例如,总长度字段是由字符串LEN=作为前缀,其后跟随数据包中实际的总长度值,而生存时间(TTL)字段的前缀为TTL=,其后为TTL值。
图2-1中深灰色方块所表示的字段总是被iptables记录②。白色方块所表示的首部字段在任何情况下都不会被iptables记录。浅灰色方块表示的是IP首部中的选项部分,它之所以不用深灰色是因为只有在使用了--log-ip-options命令行参数将LOG规则添加到iptables策略时,iptables才会记录IP选项。
下面是一个iptables日志信息的示例,它是当从ext_scanner系统发送一个ICMP回显请求给
①对IPv6首部也是一样,但本书并不讨论IPv6的内容。
② IP片偏移字段是一个例外——只有当它的值非零时,它才会被iptables记录。
2.1使用iptables记录网络层首部信息 25 iptablesfw系统时生成的(请参考图1-2):
1
2
版本首部长度
服务类型
(TOS=,PREC=)总长度(LEN=)
标识(ID=) 标记
(DF, MF)片偏移(FRAG=)
生存时间(TTL=) 协议(PROTO=)首部校验和
源IP地址(SRC=)
目的IP地址(DST=)
选项(OPT=,未解码,需要--log-ip-options)填充
图2-1IP首部和相应的iptables日志信息字段
上面日志信息中的IP首部以源IP地址(被扩展为标准的点分十进制表示法)开始①。其他的
IP首部字段(如目的IP地址、TTL值和协议字段)都以粗体显示。服务类型字段(TOS)被分为
优先级子字段和服务类型子字段并以单独的十六进制值形式分别记录到PREC和TOS字段中。首部
的Flags字段在本例中被记录为字符串DF(Don’t Fragment,不分片)以表明不允许IP网关将数据
包分成多个小块。最后,PROTO字段表示的是在IP首部中封装的协议——在本例中是ICMP协议。
在上面日志信息中包括的其余字段有ICMP TYPE、CODE、ID和SEQ,它们都是由ping命令发送的
ICMP回显请求数据包中的字段,而不属于IP首部。
11
1. 记录IP选项
I P选项提供了针对IP通信的各种控制功能,包括时间戳、某些安全功能和一些特定路由特性
的规定。IP选项的长度可变,而且在因特网上的使用并不多。如果IP数据包不包含IP选项,那么
①为方便阅读,iptables的LOG目标自动将内核中对IP地址的整数表示转换为syslog日志信息中的点分十进制表示。
这类转换的例子还有很多,如将在第3章中看到的针对TCP标记的转换。iptables LOG目标的内核部分实现见内核源
代码中的linux/net/ipv4/netfilter/ipt_LOG.c文件。
26第2章 网络层的攻击与防御
它的首部长度总是20个字节。iptables需要使用如下命令(注意用粗体表示的--log-ip-options 参数)来记录IP首部中的选项部分:
由第1章的iptables.sh脚本所构建策略中的默认LOG规则都使用了--log-ip-options命令行参数,这是因为IP选项中所包含的信息会提供一些安全提示。
现在,为了阐明包含IP选项的iptables日志信息,我们再次对iptablesfw系统使用ping命令,但这次对ping命令设置了时间戳选项tsonly(only timestamp,只使用时间戳):
在上面的粗体显示内容中,字符串OPT后跟一长串十六进制字节序列。这些字节是包含在IP 首部中的完整IP选项,但iptables LOG目标并没有将其解码,我们将在第7章中看到如何使用psad 来了解它的含义。
2. 记录ICMP
iptables的LOG目标中有专门的代码用于记录ICMP,既然ICMP出现在网络层①,我们就在这里对它进行介绍。ICMP(由RFC 792定义)有一个很简单的32位长的首部。图2-2显示了ICMP的首部。这个首部包括3个字段:类型(8位)、代码(8位)和校验和(16位),其余字段属于ICMP 分组的数据部分。
数据部分中的具体字段取决于ICMP的类型值和代码值。例如,与ICMP回显请求(类型 8,代码 0)相关联的字段包括一个标识符和一个序列值。
和IP首部一样,LOG目标总是记录ICMP的类型字段和代码字段,但不会记录ICMP的校验和
①有些人倾向于将ICMP与传输层协议(如TCP和UDP)放在一层中,但事实与此相反,ICMP被认为是网络层协议。
请见W.Richard Stevens所著的《TCP/IP详解》卷1第69页(Addison-Wesley,1994)。
2.2网络层攻击的定义 27 字段。iptables中没有命令行参数会影响到LOG目标如何记录ICMP数据包的数据部分中的字段①。
本章中第一个回显请求数据包中的ICMP字段出现在下面的最后一行:
1 2
类型(TYPE=)代码(CODE=)校验和
数据:::(取决于类型值和字段值,它是可变长的——LOG目标将根据具体情况进行记录)
图2-2ICMP首部和相应的iptables日志信息字段
2.2网络层攻击的定义
网络层攻击定义为:通过发送滥用网络层首部字段的一个或一系列数据包以利用端主机的网
络栈实现中的漏洞、消耗网络层资源或隐藏针对更高层协议的攻击。
网络层攻击的类型可以分为如下3种。
首部滥用——包含恶意构造的、损坏的或非法改装的网络层首部的数据包。如带有伪造源地址或包含虚假片偏移值的IP数据包。
利用网络栈漏洞——在数据包中包含经过特别设计的组件以利用端主机的网络栈实现中的漏洞。也就是说,专门负责处理网络层信息的代码本身成为攻击的目标。一个很好的
例子是在Linux内核(版本2.6.9和之前的版本)中发现的因特网组管理协议(IGMP)拒绝
服务(DoS)漏洞。②
带宽饱和——经过特别设计以消耗目标网络中所有可用带宽的数据包。通过ICMP发送的
分布式拒绝服务(DDoS)攻击就是一个很好的例子。11
说明虽然本章重点讨论的是滥用网络层的技术,但值得注意的是许多这样的技术都可以和其他层的攻击技术结合在一起使用。例如,一个应用层攻击(比如,利用缓冲区溢出漏洞的攻
击)可以通过分片IP数据包发送以努力避免被入侵检测系统发现。在这种情况下,通过使
用网络层的分片技术来发送实际利用应用层漏洞的攻击数据包,将使得应用层攻击的检测
① Linux内核中的LOG目标源代码文件linux/net/ipv4/netfilter/ipt_LOG.c从第249行开始的switch语句揭示了这一点。
② Linux内核IGMP漏洞在公共漏洞和暴露(CVE)数据库中分配的名称是CAN-2004-1137,该数据库是目前最好
的针对漏洞的跟踪机制之一,关于它的更多信息请见https://www.doczj.com/doc/4017616706.html,/cve。
28第2章 网络层的攻击与防御
变得更加困难。
2.3滥用网络层
网络层提供了将数据包路由到世界各地的能力,它同时也提供了攻击世界各地目标的能力。因为IPv4没有任何验证的概念(这项工作留给了IPSec协议或位于更高层的机制),所以攻击者可以很容易地使用操纵的首部或数据来手工构造IP数据包并将它们放入网络。虽然这种数据包可能会在到达它们的预定目标之前被线内的过滤设备——如防火墙或带有访问控制列表(ACL)的路由器——过滤掉,但它们常常也能躲过这些过滤而到达目的地。
2.3.1Nmap ICMP Ping
当Nmap被用于扫描不在同一子网中的系统时,它将通过发送一个ICMP回显请求数据包和一个目标端口为80的TCP ACK数据包到目标主机来完成主机发现(主机发现可以使用Nmap的-P0命令行参数来禁用,但它默认是启用的)。由Nmap生成的ICMP回显请求数据包与ping程序生成的回显请求数据包不同,Nmap回显请求在ICMP首部之后不包括任何数据。因此,如果这样的数据包被iptables记录,它的IP总长度字段应为28(不带选项的20字节长的IP首部,加上8字节长的ICMP首部,再加上0字节长的数据,如下面的粗体所示):
说明p ing程序通过使用-s 0命令行参数将有效载荷的长度设置为0的方法也可以生成不带应用层数据的报文,但在默认情况下,ping程序将包括几十字节的有效载荷数据。
虽然在一个ICMP数据包中不包括应用层数据本身并不能表明这是一种对网络层的滥用,但如果你看到这类数据包和表明端口扫描或端口扫射这类活动(见第3章)的数据包相结合,这就表明有人正在使用Nmap对你的网络进行侦察。
2.3.2IP欺骗
在计算机安全领域,没有比欺骗特别是IP欺骗带来更多混乱和夸张效果的技术了。欺骗是一种愚弄或恶作剧,而IP欺骗指的是故意构造一个带有伪造源地址的IP数据包。
2.3 滥用网络层 29
说明I P 数据包的NAT (网络地址转换)操作(如常见的由防火墙提供的将整个内部网络置于单个外网IP 地址保护之下)是一个例外。NAT 与IP 欺骗不同,前者是一个合法的网络功能,而使用伪造的源地址隐藏攻击则不是。 1
2
当通过IP 协议进行通信时,IP 协议对数据包中的源地址并没有内置的限制。通过使用一个原始套接字(一个底层编程API ,它按照某种标准构造数据包),我们可以发送带有任意源地址的IP 数据包。如果源地址对于本地网络是无意义的(例如,如果源IP 地址属于Verizon 网络,但该数据包却来自Comcast 网络),那么我们就说该数据包是伪造的。管理员可以通过配置路由器和防火墙来禁止转发源地址不在内部网络范围内的数据包(使得伪造的数据包不能出去),但许多网络都缺乏这样的控制。我们在第1章中介绍的默认iptables 策略内置了反欺骗规则。
从安全角度来看,对于伪造数据包(以及通常意义上的IP 数据包),我们所需要知道的最重要的事情是它的源地址是不可信任的。事实上,有时候一个完整的攻击甚至可以通过单个伪造数据包来完成(请见第8章中关于Witty 蠕虫的讨论)。
说明 任何带有伪造源地址的数据包纯粹都属于“fire and forget ”(发射后不理),这是因为从目标地址返回的针对该数据包的任何响应都直接发送给了伪造的地址。但是值得安慰的是任何需要
双向通信的协议(如传输层的TCP )将不能通过伪造IP 地址正常工作。①许多安全软件(攻击的和防御的)都包括伪造源IP 地址的能力。DDoS 工具通常都会将IP 欺骗作为其必备功能,一些著名的工具(如hping 和Nmap )也可以伪造源地址。
11
使用PERL 语言实现IP 欺骗
我们可以很轻松地使用如hping 这样的工具或自己的欺骗工具构造带有伪造源地址的数据包。下面是一个简单的Perl 代码段,它构造了一个带有伪造源地址的UDP 数据包,该数据包中还包括你所选择的应用层数据(这个例子中的“滥用”部分就是伪造的源地址)。脚本使用了Net::RawIP Perl 模块,源IP 地址从命令行读取,见,然后它在处被设置进IP 的首部:
① 成功预测TCP 序号的攻击将导致TCP 连接被中断或导致来自伪造源地址的数据被注入现有的连接。
30第2章 网络层的攻击与防御
2.3.3IP分片
将IP数据包分解为一系列较小的数据包是IP协议的一个基本功能。每当一个IP数据包被路由到一个数据链路层MTU(最大传输单元)的大小不足以容纳整个数据包的网络时,就有必要分解IP数据包,这个过程就是分片。任何连接两个具备不同MTU大小的数据链路层的路由器都有责任确保在这两个数据链路层之间传输的IP数据包大小绝不会超过任何一方MTU的值。目标主机的IP 协议栈将重组IP分片以还原最初的数据包,然后在该数据包中封装的协议将交给上一层的协议栈。
一个攻击者可以利用IP分片技术(通过构建攻击数据包并故意将该数据包分解为多个IP分片)来逃避IDS(入侵检测系统)的检查。任何完整实现的IP协议栈都能够重组被分片的报文,为了检测攻击,IDS也不得不使用与目标主机的IP协议栈相同的算法来重组数据包。但因为不同的IP协议栈所实现的重组算法略有不同(例如,对于重叠的分片,Cisco IOS的IP协议栈根据最新分片策略进行重组,而Windows XP的协议栈则根据最早分片策略进行重组),这就给IDS带来了挑战①。生成分片数据包的黄金标准是Dug Song的fragroute工具(见https://www.doczj.com/doc/4017616706.html,)。
2.3.4低TTL值
①以主机为中心的入侵检测观点被称为是基于目标的入侵检测,它要求一个IDS实现目标系统的具体细节,更多
信息见第8章。
2.3 滥用网络层 31
每个IP 路由器都会将经过它转发的IP 数据包的IP 首部中的TTL 值减1①。如果在本地子网中出现的数据包有一个为1的TTL 值,那么这很可能表明有人正在对IP 地址使用traceroute 程序(或它的一个变体程序,如tcptraceroute ),这个IP 地址可能存在于本地子网中,也可能是在一个通过本地子网路由到的子网中。通常情况下,这只是表示有人正在排除网络连接故障,但它也可能表示有人正在对该网络执行侦察工作,想找出到一个潜在目标的跳数。 1 2 说明 目标地址为组播地址的数据包(在224.0.0.0到239.255.255.255范围内的所有地址,由RFC
1112定义)通常将TTL 设置为1。因此如果目标地址是一个组播地址,这类通信可能和
traceroute 的网络映射努力没有关系,而是合法的组播通信。
由traceroute 产生的UDP 数据包被iptables 记录如下(注意由粗体显示的TTL 部分):
使用分片和有针对性的TTL 值隐藏攻击
路由路径信息与分片重组技巧相结合对隐藏网络攻击很有用处。例如,假设攻击者发现在目标主机前存在一个路由器(由traceroute 确定),并且攻击者还怀疑有一个IDS 正处于目标主机的子网之前并在监视着目标主机所在的子网。如果情况确实如此,那么目标主机可以被由3个IP 分片(f1、f2和f3)所组成的数据包攻击,而且这里采用的攻击方式还不会被IDS 检测到。攻击者首先对第2个分片(f2)创建一个重叠分片,将该分片的有效载荷替换为无效数据,然后修改它的TTL 值,正好让该分片到达路由器时分片的TTL 值为1。我们将这个重叠分片称为f2'。接下来,攻击者发送第1个分片(f1),其次是这个新的分片(f2'),然后是f3,最后是原来的f2分片。IDS (位于路由器之前)看到了所有4个分片,但第3个分片的到达就已可以重组整个数据包了,因此IDS 将3个分片重组为f1+f2'+f3。
因为f2'包含的是无效数据,所以这3个分片重组在一起构成的数据包对IDS 来说并不像是一个攻击。于是,f2'到达路由器,但在它被路由器转发之前它的TTL 值被减为0,因此它被路由器丢弃,目标IP 地址不会看到分片f2'。但该主机会看到分片f1和f3,由于在没有接收到f2之前,它无法将f1和f3重组为一个有意义的数据包,所以它将等待f2的到达。
11 当f2最终到达(攻击者最后发送了它),目标主机在重组了所有3个分片后将遭受真正的攻击。这个技术由Vern Paxson 最先在“Bro: A System for Detecting Network Intruders in Real-Time ”(Bro :实时检测网络入侵者的系统)中提出(见https://www.doczj.com/doc/4017616706.html,/vern/papers/bro-CN99.html ),它提供了一种很聪明的方式以利用网络层来逃避IDS 的检查。
① 如果路由器在转发一个数据包前持有该数据包的时间超过1秒,那么它有可能将TTL 值减2或更多,RFC 791规定一个路由器至少要将TTL 值减1。
32第2章 网络层的攻击与防御
说明若本地子网的数据分组的TTL值是零,则该TTL值应该值得怀疑。因为只有当一个有着严重漏洞的路由器将这样的数据包转发进子网或该数据包来自位于同一子网中的系统时,它才会存在。
2.3.5Smurf攻击
S murf攻击是一个古老的、但又十分优雅的攻击技术,即攻击者伪造源地址发送ICMP回显请求到一个网络广播地址。这个伪造的地址就是预定的攻击目标,攻击的目的是试图使用尽可能多的对发往广播地址的回显请求的响应来淹没目标主机。如果网络没有针对这种发往广播地址的ICMP回显请求进行控制(如在Cisco路由器中使用no ip directed-broadcast命令),那么所有接收到该回显请求的主机都将返回响应给伪造的源地址。通过使用针对一个大型网络的广播地址,攻击者可以放大攻击目标主机的数据包数。
与使用专用控制信道并且还没有简单的路由器配置对策的DDoS攻击(2.3.6节讨论)相比,Smurf攻击已经过时。但它仍值得一提,这是因为Smurf攻击易于执行,并且其最初的源代码很容易获得(见https://www.doczj.com/doc/4017616706.html,/archives/exploits/denial/smurf.c)。
2.3.6DDoS攻击
位于网络层的DDoS攻击利用许多系统(可能数以千计)向目标IP地址同时发送攻击数据包。这种攻击的目的是使用垃圾数据尽可能地消耗光目标网络的带宽以阻止合法的通信。DDoS攻击是最难应付的网络层攻击之一,因为现在有太多的系统是通过宽带连接到因特网的。当一个攻击者成功侵入一些具备高速因特网连接的系统时,他就有可能对因特网上的大多数站点发动毁灭性的DDoS攻击。
由于DDoS代理端创建的数据包可以被伪造,所以在数据包到达受害者时通过指定源IP地址的方式来过滤攻击通常是徒劳的。
例如,根据Snort的签名规则集(在后面的章节中讨论),Stacheldraht DDoS代理(见https://www.doczj.com/doc/4017616706.html,/dittrich)将ICMP数据包的源地址伪造为3.3.3.3。所以如果你看到一个数据包的源IP地址为3.3.3.3,并且目标IP地址为一个外网的地址,那么你就知道在本地网络中有一个系统已成为Stacheldraht僵尸。由Stacheldraht发送的数据包在被iptables记录时,其形式如下所示(源IP地址为3.3.3.3,见;ICMP类型为0,见;ICMP标识符为666,见,来自Snort规则ID 224):
2.4网络层回应 33
一般而言,尝试检测与DDoS代理相关联的控制通信比检测洪泛数据包本身要更有效。例如,
检测通过隐匿的端口从主控端发往僵尸节点的命令就是一个好的策略(Snort规则集中的一些签名就是用来查找这类通信——见Snort签名集中的dos.rules文件)。这同时也有助于从一个网络中移除DDoS代理,因为通过控制通信可以发现受感染的系统。1 2
2.3.7Linux内核IGMP攻击
利用Linux内核中因特网组管理协议(IGMP)处理代码中的某一特定漏洞进行的攻击,可
以看作是专门针对负责处理网络层通信代码实施的攻击的一个范例。这个漏洞存在于Linux内核
从2.4.22~2.4.28和2.6~2.6.9的版本中,它既可以被远程利用也可以被本地用户利用(某些安全
漏洞只能被本地利用,所以这个漏洞令人厌恶)。通过网络从远程系统实施的攻击如果得手将导
致内核崩溃,更详细的讨论见http://isec.pl/vulnerabilities/isec-0018-igmp.txt。内核代码有时会有
安全漏洞,这些漏洞可以存在于任一层次,甚至存在于低层的网络层处理代码中或位于设备驱
动程序中。
2.4网络层回应
规范网络层回应的定义与规范网络层攻击的定义一样有用。这是因为这类回应不应涉及位于
传输层或更高层的信息,我们只限于以下列3种方式之一来操纵网络层首部:
通过防火墙或路由器这样的设备引导的过滤操作来阻止攻击者的源IP地址;
重新配置路由协议以“route blackholing”(黑洞路由)的方式拒绝攻击者将数据包路由到预定的攻击目标——数据包被发送到黑洞,就好像从来没有到过一样;
基于使用的带宽允许通过防火墙或路由器的流量应用阈值逻辑。
一个纯粹来自网络层的回应可以被用于对付在应用层检测到的攻击,但这类回应不应涉及如
生成一个TCP RST数据包这样的事情——这属于传输层回应,我们将在第3章中介绍它。
2.4.1网络层过滤回应11
当检测到某攻击来自某一特定的IP地址时,你可以使用如下的iptables规则作为网络层的回
应,这些规则属于iptables的过滤类,被添加到INPUT、OUTPUT和FORWARD链中,它们将屏蔽来自
或发往IP地址144.202.X.X的所有数据包(不管这个数据包使用的是什么协议、什么端口):
在FORWARD链中有两个规则,它们分别用于屏蔽来自144.202.X.X的数据包(-s
34第2章 网络层的攻击与防御
144.202.X.X)和来自内网系统并且目标为144.202.X.X的响应(-d 144.202.X.X)。如果使用iptables作为网络哨兵,那么上述规则将针对144.202.X.X地址提供一个有效的网络屏蔽点。
2.4.2网络层阈值回应
为iptables目标应用阈值逻辑是通过iptables的limit扩展功能完成的。例如,我们可以在ACCEPT规则中使用limit扩展来限制在给定时间中允许从某个特定源地址接收的数据包数目。下面的iptables规则只允许每秒接受10个来自或发往144.202.X.X这个IP地址的数据包。
每一个使用了limit匹配的ACCEPT规则都有一个对应的DROP规则。这主要是针对那些到达的速率超过了limit匹配所允许的最大每秒10个的数据包,一旦数据包到达的速率超过了这个阈值,它们将不再匹配ACCEPT规则,而将和iptables策略中其余的规则进行比较。通常更好的做法是直接拒绝和攻击者之间的通信,而不是允许速率在某个阈值之下的数据包通过。
你还可以使用limit匹配来限制由默认的日志记录规则记录的iptables日志信息数目。但除非你特别关注磁盘空间的使用,否则对LOG规则应用limit阈值通常是不需要的,因为内核在LOG目标内部使用了一个环缓冲区,所以每当数据包匹配LOG规则的速度要快于它们通过syslog记录的速度时,日志信息就将被覆盖。
2.4.3结合多层的回应
正如攻击所做的那样,回应也可以结合多层。例如,我们可以结合如fwsnort和psad这样的工具(见第11章),在发送一个TCP RST报文的同时立即启用一个防火墙规则来阻止攻击者。
挫败恶意TCP连接的一种方法是使用iptables的REJECT目标,然后立即针对攻击的源地址启用一个持久的拦截规则。这个持久的拦截规则属于网络层回应,它将屏蔽任何来自攻击者当前IP 地址到最初攻击目标的进一步通信。
虽然这听起来好像很有效,但请注意,攻击者可以通过洋葱路由器(The Onion Router,Tor)网络①将攻击数据包路由到目标主机以绕开防火墙中的拦截规则。通过Tor发送攻击,目标主机无
① Tor以加密和随机的方式通过被称为洋葱路由器的节点云发送数据包以隐藏网络通信。Tor只支持TCP,所以它不
能用于隐藏使用其他协议(如UDP)的攻击。
2.4网络层回应 35
法预测攻击的源地址。
1 对伪造源IP地址的攻击来说也同样如此。欺骗攻击并不需要双向通信,所以回应这样的数据
包很危险。如果这样做,实际上是把谁将被防火墙拦截的控制权交给了攻击者!因为我们不太可
2 能将所有重要的IP地址(如DNS服务器、上游路由器、远程VPN隧道终端等)都放入防火墙策略
的白名单中,所以将控制权交给攻击者是很危险的。本章前面的一些可疑通信示例,如伪造的
UDP字符串、带有低TTL值的数据包和Nmap ICMP回显请求都是不适宜做出积极回应的很好范
例。
后面章节中可以看到,只有少数几种通信类型适宜自动回应。
11
山东华宇工学院 《网络攻击与防御》 课程教学大纲 适用专业:计算机网络工程 编制单位:网络教研室 编制日期:2017年7月20日 电子信息工程学院制
《网络攻击与防御》课程教学大纲 一、教学目标 《网络攻击与防御》通过本课程的教学,使学生能熟练掌握信息安全的基本概念、框架和技术,使学生掌握常见的信息安全技术、加密技术、防火墙技术、入侵检测与预警技术、防病毒技术、拒绝服务攻击、欺骗攻击、常见的系统漏洞等安全方面的内容。通过学习,学生能够主动构建信息安全框架,并从内容安全和管理安全的角度掌握信息安全的方法和技术。通过该课程的学习,学生可以了解到信息安全的发展现状和网络安全的各种相关技术,通过实验还可以学会有关网络安全方面的分析与设计。 二、本课程与专业人才培养目标的关系——网络工程专业 三、学时安排
课程内容与学时分配表 四、课程教学内容与基本要求 第一章信息安全概述 教学目的与要求:通过本章的学习,了解信息的概念,性质与功能会计的产生、信息技术与信息安全的关系、息安全主要事件及形势的严峻性、信息安全的含义。 主要知识点: 1.信息与信息技术概述 2.网络体系结构与协议基础 3.信息安全的重要性与严峻性 4.信息安全的目标 教学重点与难点:信息与信息技术概述、信息安全的目标 第二章攻击信息安全的行为分析 教学目的与要求:通过本章的学习,了解信息安全问题的起源及常见威胁、了解影响信息安全的人员分析、理解网络攻击的手段与步骤、熟悉常见的网络攻击技术、熟悉网络
防御与信息安全保障的相关知识。 主要知识点: 1.信息安全问题的起源和常见威胁 2.影响信息安全的人员分析 3.网络攻击的手段与步骤 4.网络攻击技术 5.网络防御与信息安全保障 教学重点与难点:网络攻击的手段与步骤、网络攻击技术 第三章信息安全体系结构 教学目的与要求:熟悉开放系统互连安全体系结构,了解安全体系框架三维图、了解信息安全技术的相关知识、了解信息安全的等级划分及认证方法。 主要知识点: 1.开放系统互连安全体系结构 2.信息安全体系框架 3.信息安全技术 4.信息安全的产品类型 5.信息系统安全等级保护与分级认证 教学重点与难点:信息安全体系框架、信息系统安全等级保护与分级认证 第四章物理安全技术 教学目的与要求:了解物理安全的定义,掌握计算机房场地环境的安全要求,掌握电源安全技术的实现方法,掌握电磁防护的常用方法,理解通信线路安全的概念和保护方法。 主要知识点: 1.物理安全概述 2.物理安全等级要求 3.设备安全技术要求 4.环境安全技术要求 5.系统物理安全技术要求 教学重点与难点:物理安全等级要求 第五章灾难备份与恢复技术 教学目的与要求:掌握灾难恢复的关键技术,熟悉灾难恢复的规划与实施,了解灾难备
计算机网络攻击常见手法及防范措施 一、计算机网络攻击的常见手法 互联网发展至今,除了它表面的繁荣外,也出现了一些不良现象,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。 (一)利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。 对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。 (二)通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。 对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。 (三)解密攻击 在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。 为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,并且不要以自己的生日和电话甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。 (四)后门软件攻击 后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力
网络工程专业 实验报告 课程:网络攻击与防御题目:远程FTP密码破解学生姓名:张爽 学号:2008122083 班级:信息安全083班 实验时间:2011-6-12 地点:6302 评分:_____________
第一部分:嗅探 一、实验目的 ●掌握远程破解ftp帐号口令破解技术的基本原理、常用方法及相关工具 ●掌握如何有效防范类似攻击的方法和措施 二、实验内容 1.安装工具Cain V2.5。 2.点击进入,选择sniffer下的hosts页。 3.根据嗅探得到的FTP账号和密码,用FTP客户端登录,找到一个ip.txt 文件,获得靶机P2的IP地址。 三、实验仪器(涉及到的服务器及其配置、设计软件名称、版本等) 测试服务器P1的配置为:操作系统Windows2000 Professional SP4或者windows XP sp2,安装了ftp客户端CuteFTP;靶机上的虚拟机P3的配置为:Windows2000 server SP4,安装了serv-u,提供ftp服务;靶机服务器P2的配置为:windows xp sp2。 注意: a. 选择安装路径,在此直接默认安装到C:\Program Files\Cain目录; b. 继续安装winpcap,单击Install按钮; c. 直接默认安装即可。安装完成后会要求重启系统。
四、实验步骤(实验关键操作步骤,关键指令注释等) 1.安装工具Cain V2.5。 进入安装界面: 2.点击进入,选择sniffer下的hosts页,如下图所示: 然后点击上方的“sniffer”和“add to list”按钮,列出当前交换环境中的所
网络攻击与防御技术期末考试试卷及答案 考试时间: 120 分钟 试卷页数(A4): 2 页 考试方式:闭卷(开卷或闭卷) 考试内容: 一、选择题(每小题1分,共30分) 1、假冒网络管理员,骗取用户信任,然后获取密码口令信息的攻击方式被称为()。 A、密码猜解攻击 B、社会工程攻击 C、缓冲区溢出攻击 D、网络监听攻击 2、下列哪一项软件工具不是用来对网络上的数据进行监听的?() A、Xsniff B、TcpDump C、Sniffit D、UserDump 3、在进行微软数据库(Microsoft SQL Database)口令猜测的时候,我们一般会猜测拥有数据库最高权 限登录用户的密码口令,这个用户的名称是()? A、admin B、administrator C、sa D、root 4、常见的Windows NT系统口令破解软件,如L0phtCrack(简称LC),支持以下哪一种破解方式?() A.字典破解B、混合破解C、暴力破解D、以上都支持 5、著名的John the Ripper软件提供什么类型的口令破解功能? () A、Unix系统口令破解 B、Windows系统口令破解 C、邮件帐户口令破解 D、数据库帐户口令破解 6、下列哪一种网络欺骗技术是实施交换式(基于交换机的网络环境)嗅探攻击的前提? () A、IP欺骗 B、DNS欺骗 C、ARP欺骗 D、路由欺骗 7、通过TCP序号猜测,攻击者可以实施下列哪一种攻击?() A、端口扫描攻击 B、ARP欺骗攻击 C、网络监听攻击 D、TCP会话劫持攻击 8、目前常见的网络攻击活动隐藏不包括下列哪一种?() A、网络流量隐藏 B、网络连接隐藏 C、进程活动隐藏 D、目录文件隐藏 9、在Windows系统中可用来隐藏文件(设置文件的隐藏属性)的命令是()。 A、dir B、attrib C、ls D、move 10、在实现ICMP协议隐蔽通道,常需要将发送出去的数据包伪装成下列哪一种类型?() A、ICMP请求信息,类型为0x0 B、ICMP请求信息,类型为0x8 C、ICMP应答信息,类型为0x0 D、ICMP应答信息,类型为0x8 11、Unix系统中的last命令用来搜索____来显示自从文件创建以来曾经登录过的用户,包括登录/退出 时间、终端、登录主机IP地址。() A、utmp/utmpx文件 B、wtmp/wtmpx文件 C、lastlog文件 D、attc文件 12、Unix系统中的w和who命令用来搜索____来报告当前登录的每个用户及相关信息。() A、utmp/utmpx文件 B、wtmp/wtmpx文件 C、lastlog文件 D、attc文件 13、流行的Wipe工具提供什么类型的网络攻击痕迹消除功能? () A、防火墙系统攻击痕迹清除 B、入侵检测系统攻击痕迹清除 C、Windows NT系统攻击痕迹清除 D、Unix系统攻击痕迹清除 14、流行的elsave工具提供什么类型的网络攻击痕迹消除功能? () A、防火墙系统攻击痕迹清除 B、WWW服务攻击痕迹清除 C、Windows NT系统攻击痕迹清除 D、Unix系统攻击痕迹清除 15、为了清除攻击Apache WWW服务时的访问记录,攻击者需要读取下列Apache的哪一种配置文件 来确定日志文件的位置和文件名。()
西安电子科技大学 本科生实验报告 姓名:王东林 学院:计算机科学院 专业:信息安全 班级:13级本科班 实验课程名称:网络攻击与防御 实验日期:2015年10月15日 指导教师及职称:金涛 实验成绩: 开课时间: 2016-2017 学年第一学期
实验题目网络攻击与防御小组合作否 姓名王东林班级13级信息安全本科班学号201383030115 一、实验目的 1.了解网络连通测试的方法和工作原理。 2.掌握ping命令的用法。 3.了解网络扫描技术的基本原理。 4.掌握xscan工具的使用方法和各项功能。 5.通过使用xscan工具,对网络中的主机安全漏洞信息等进行探测。 6.掌握针对网络扫描技术的防御方法。 7.了解路由的概念和工作原理。 8.掌握探测路由的工具的使用方法和各项功能,如tracert等。 9.通过使用tracert工具,对网络中的路由信息等进行探测,学会排查网络故 障。 10.了解网络扫描技术的基本原理。 11.掌握nmap工具的使用方法和各项功能。 12.通过使用nmap工具,对网络中的主机信息等进行探测。 13.掌握针对网络扫描技术的防御方法。 14.掌握Linux帐号口令破解技术的基本原理、常用方法及相关工具 15.掌握如何有效防范类似攻击的方法和措施 16.掌握帐号口令破解技术的基本原理、常用方法及相关工具 17.掌握如何有效防范类似攻击的方法和措施 18.掌握帐号口令破解技术的基本原理、常用方法及相关工具 19.掌握如何有效防范类似攻击的方法和措施
二.实验环境 1、实验环境 1)本实验需要用到靶机服务器,实验网络环境如图1所示。 靶机服务器配置为Windows2000 Server,安装了IIS服务组件,并允许FTP匿名登录。由于未打任何补丁,存在各种网络安全漏洞。在靶机服务器上安装有虚拟机。该虚拟机同样是Windows2000 Professional系统,但进行了主机加固。做好了安全防范措施,因此几乎不存在安全漏洞。 2)学生首先在实验主机上利用Xscan扫描靶机服务器P3上的漏洞,扫描结束发现大量漏洞之后用相同方法扫描靶机服务器上的虚拟机P4。由于该靶机服务器上的虚拟机是安装了各种补丁和进行了主机加固的,因此几乎没有漏洞。在对比明显的实验结果中可见,做好安全防护措施的靶机服务器虚拟机上的漏洞比未做任何安全措施的靶机服务器少了很多,从而加强学生的网络安全意识。实验网络拓扑如图1。 三. 实验内容与步棸 Ping命令是一种TCP/IP实用工具,在DOS和UNIX系统下都有此命令。它将您的计算机与目标服务器间传输一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通。 1.在命令提示符窗口中输入:ping。了解该命令的详细参数说明。
实验4:拒绝式服务攻击与防范 【实验目的】 熟悉SYNflood的攻击原理与过程,及IPv4所存在的固有缺陷。 【实验准备】 准备xdos.exe拒绝服务工具。 【注意事项】 实验后将DoS黑客软件从机器彻底删除,避免恶意应用影响网络运行。 【实验步骤】 一、拒绝式服务攻击 拒绝服务攻击的英文意思是Denial of Service,简称DoS。这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷直至瘫痪而停止提供正常的网络服务。 SYN-Flood是当前最常见的一种Dos攻击方式,它利用了TCP协议的缺陷进行攻击
用黑客软件xdos.exe对目标计算机进行拒绝服务攻击并运行测试。(1)计算机a登录到windows 2000,打开sniffer pro,在sniffer pro中配置好捕捉从任意 主机发送给本机的ip数据包,并启动捕捉进程。
(2)在计算机B上登录Windows 2000,打开命令提示窗口,运行xdos.exe,命令的格式:‖xdos<目标主机IP>端口号–t 线程数[-s <插入随机IP>’]‖(也可以用―xdos?‖命令查看使用方法)。输入命令:xdos 192.168.19.42 80 –t 200 –s* 确定即可进行攻击,192.168.19.42 是计 算机A的地址。
(3)在A端可以看到电脑的处理速度明显下降,甚至瘫痪死机,在Sniffer Pro的Traffic Map 中看到最大伪造IP的主机请求与A的电脑建立连接。 (4)B停止攻击后,A的电脑恢复快速响应。打开捕捉的数据包,可以看到有大量伪造IP地址的主机请求与A的电脑连接的数据包,且都是只请求不应答。以至于A的电脑保持有大量的半开连接。运行速度下降直至瘫痪死机,拒绝为合法的请求服务。 二、拒绝式服务防范 几乎所有的主机平台都有抵御DoS的设置,常见的有以下几种。(1)关闭不必要的服务。 Windows XP系统步骤如下:
网络攻击防御技术考题答 案 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
选择题(单选) 1.假冒网络管理员,骗取用户信任,然后获取密码口令信息的攻击方式被称 为___B_。 A.密码猜解攻击 B.社会工程攻击 C.缓冲区溢出攻击 D.网络监听攻击 2.下列哪一项软件工具不是用来对网络上的数据进行监听的?D A.XSniff B.TcpDump C.Sniffit https://www.doczj.com/doc/4017616706.html,erDump 3.Brutus是一个常用的Windows平台上的远程口令破解工具,它不支持以下 哪一种类型的口令破解A A.SMTP B.POP3 C.Telnet D.FTP 4.在进行微软数据库(Microsoft SQL Database)口令猜测的时候,我们一般 会猜测拥有数据库最高权限登录用户的密码口令,这个用户的名称是__C__ 5. A.admin B.administrator C.sa D.root 6.常见的Windows NT系统口令破解软件,如L0phtCrack(简称LC),支持 以下哪一种破解方式?D A.字典破解 B.混合破解 C.暴力破解 D.以上都支持 7.著名的John the Ripper软件提供什么类型的口令破解功能?B A.Windows系统口令破解
B.Unix系统口令破解 C.邮件帐户口令破解 D.数据库帐户口令破解 8.下列哪一种网络欺骗技术是实施交换式(基于交换机的网络环境)嗅探攻 击的前提?C A.IP欺骗 B.DNS欺骗 C.ARP欺骗 D.路由欺骗 9.通过TCP序号猜测,攻击者可以实施下列哪一种攻击?D A.端口扫描攻击 B.ARP欺骗攻击 C.网络监听攻击 D.TCP会话劫持攻击 10.目前常见的网络攻击活动隐藏不包括下列哪一种?A A.网络流量隐藏 B.网络连接隐藏 C.进程活动隐藏 D.目录文件隐藏 11.在Windows系统中可用来隐藏文件(设置文件的隐藏属性)的命令是 ____。B A.dir B.attrib
网络攻击与防范实验报告 姓名:_ ___ 学号:__ 所在班级: 实验名称:缓冲区溢出实验实验日期:2014 年11 月9 日指导老师:张玉清实验评分: 验收评语: 实验目的: 1、掌握缓冲区溢出的原理 2、掌握常用的缓冲区溢出方法 3、理解缓冲区溢出的危害性 4、掌握防范和避免缓冲区溢出攻击的方法 实验环境: 主机系统:Windows8 x64位 虚拟机系统:Windows XP(SP3)(IP:192.168.137.128) 溢出对象:war-ftpd 1.65 调试工具:CDB(Debugging Tools for Windows); 开发环境:Visual Studio 2013 开发语言:C语言 缓冲区溢出原理: 在metasploit中搜索war-ftp可以发现war-ftpd1.65在windows下有以下漏洞username overflow,也就是在用户使用user username这个指令时,如果username 过长就会发生缓冲区溢出。 计算机在调用函数function(arg1,…,argm)时,函数栈的布局如图1所示,首先将函数的实参从右往左依次压栈,即argm,…,arg1。然后将函数返回地址RET压栈。这时EBP 指向当前函数的基地址,ESP指向栈顶,将此时的EBP压栈,然后ESP的值赋给EBP,这样EBP就指向新的函数栈的基地址。调用函数后,再将局部变量依次压栈,这时ESP始终指向栈顶。 另外还有一个EIP寄存器,EIP中存放的是下一个要执行的指令的地址,程序崩溃时EIP的值就是RET。通过构造特殊的字符串,即两两都不相同的字符串,我们可以根据EIP 的值定位RET的位置。 知道了RET的位置以后,我们只要在RET这个位置放上我们想要执行的跳转指令就可以实现跳转。为了方便我们找一个系统中现成的指令jmp esp来实现跳转。jmp esp指令在内存中的通用地址是0x7ffa4512,可以通过CDB的U 7ffa4512来确定该地址中存放的是否为jmp esp。 jmp esp将EIP指向了esp指向的位置,我们用定位RET的办法同样定位ESP指向的位置,然后用shellcode替换这块字符串,这样计算机就会执行shellcode,从而实现攻击。 当然,我们还可以用其他的指令,如jmp esi,同样得到jmp esi指令在系统内存中的地址,以及esi指向的内存,我们就可以执行shellcode。也可以使用多次跳转。
《网络攻击与防御》课程教学大纲 一、课程说明 二、课程的地位及作用 《网络攻击与防御》课程是网络工程本科专业四年级第一学期开设的一门专业方向课程,共32学时。 随着计算机技术和网络通信技术的飞速发展,Internet的规模正在不断增长。Internet的迅猛发展不仅带动了信息产业和国民经济的快速增长,也为企业的发展带来了勃勃生机,但随着计算机网络的广泛应用,与 Internet 有关的安全事件也越来越多,安全问题日益突出,各种计算机犯罪层出不穷,越来越多的组织开始利用Internet 处理和传输敏感数据,Internet 上也到处传播和蔓延入侵方法与脚本程序,使得连入 Internet 的任何系统都处于将被攻击的风险之中。因此如何保障网络与信息资源的安全就一直是人们关注的焦点,如何对各种网络攻击手段进行检测和预防,是计算机安全中的重中之重。 面对严峻的网络安全形势,国家明确提出要大力加强信息安全专门人才的培养,以满足社会对信息安全专门人才日益增长的需求,目前大多数高等院校都陆续开设了信息安全方面的课程,了解和掌握网络攻防知识具有重要的现实意义。一方面,研究网络攻击,是因为网络安全防范不仅要从正面去进行防御,还要从反面入手,从攻击者的角度设计更坚固的安全保障系统。另一方面,攻击方法的不断演进,防范措施也必须与时俱进。随着网络安全新技术的出现,有助于加强传统安全技术的防御功能,提升网络安全的等级。 三、课程教学目标 本课程从原理与应用两个角度掌握网络攻击与防御技术,通过实践使学生进一步理解网络攻击与防御的基本理论、方法、技术和基本知识。通过本课程教学,学习者应达到下列教学目标: 1.了解和掌握现代各种网络攻击与防御技术和主要发展方向,掌握网络攻击与防御的基本思想、基本概念与分析方法;
网络攻击与防御技术实验报告 姓名:____刘冰__ ___ 学号:__ 所在班级: 实验名称:网络数据包的捕获与分析实验日期:_2007_年_10 _月_15 _日指导老师:实验评分: 验收评语: 参与人员: 实验目的: 本实验通过研究Winpcap中常用的库函数的使用方式来实现了一个小型的网络数据包抓包器,并通过对原始包文的分析来展示当前网络的运行状况。 实验内容: 1.实现对网络基本数据包的捕获 2.分析捕获到的数据包的详细信息 实验环境: 1.WpdPack_4_0_1支持库 2.VC++6.0开发环境 3.Windows操作系统 实验设计: 系统在设计过程中按照MVC的设计模式,整体分为三层。第一层为Control层即控制层,这里为简化设计,将Control层分为两个部分,一部分为网络报文输入,另一部分为用户输入;第二层是Model层即模型层;第三层为View层即显示层。 系统的整体运行过程为:从Control层得到数据,交到Model层进行处理,将处理完的结果交View层进行显示。Control层主要用于网络数据包的捕获以及获得用户的输入;Model层主要用于分析数据包,处理用户的输入;View层主要用于对处理后的结果进行显示。
详细过程: 程序在执行过程中有两个核心的工作,一是调用Winpcap函数库实现下层抓包。二是对抓到的包文进行分析。下面分别列出两个核心过程的基本算法与相关的实现代码。 抓包算法: 第一:初始化Winpcap开发库 第二:获得当前的网卡列表,同时要求用户指定要操作的网卡 第三:获得当前的过滤规则,可为空 第四:调用库函数,pcap_loop(),同时并指定其回调函数,其中其回调函数为数据包分析过程。 对应的相应核心代码为: I f((pCap=pcap_open_live(getDevice()->name,65536,1,1000,strErrorBuf))==NULL) { return -1; } If(pcap_compile(pCap, &fcode, filter, 1, NetMask) < 0) { return -1; } if(pcap_setfilter(pCap, &fcode)<0) { return -1; } do{ pcap_loop(pCap,1,pcap_handle,NULL); }while(nFlag); 分析算法: 第一:得到数据包,先将其转存到内存里,以备以后再用。 第二:分析当前的数据包,分析过程如下: 1.数据包的前14个字节(Byte)代表数据链路层的报文头,其报文格式是前6Byte 为目的MAC地址,随后的6个Byte为源Mac地址,最后的2Byte代表上层 协议类型这个数据很重要,是我们分析上层协议的依据。 2.根据1所分析到的协议类型进行类似1的迭代分析。这样就可以得到各层中 的报文头信息和数据信息。 第三:结束本次分析。 分析算法部分实现代码: m_pktHeaders.Add(pHeader); m_pktDatas.Add(pData); CFramePacket *pFramePacket = new CFramePacket(pData,14); if(pFramePacket->GetType() == 0x0800) { CIPPacket ipPacket(pData+14,pHeader->len-14); if(ipPacket.GetProtocol() == "UDP") { CUDPPacket*pUDPPacket = new CUDPPacket(ipPacket.GetTData(),ipPacket.GetDataLength()); } else if(ipPacket.GetProtocol() == "TCP") { CTCPPacket *pTCPPacket = new
实验四:DoS/DDoS攻击与防范 一、实验目的 通过本实验对DoS/DDoS攻击的深入介绍和实验操作,了解DoS/DDoS攻击的原理和危害,并且具体掌握利用TCP、UDP、ICMP等协议的DoS/DDoS攻击原理。了解针对DoS/DDoS攻击的防范措施和手段。 实验具体目的如下: 1.了解SYN-FLOOD攻击的原理、特点 2.了解UDP-FLOOD攻击的原理、特点 3.了解DDoS攻击的原理、特点 4.了解针对DoS/DDoS攻击的防御手段 二、实验准备 1.要求实验室内网络是连通的,组内每台计算机均可以访问另外一台计算机。 2.下载相关工具和软件包 3.在计算机中安装相应的软件。 三、实验涉及到的相关软件下载: a.wireshark:这是一款网络封包分析软件,撷取网络封包,并尽可能显示出最为详细的网络封包资料。 b.SuperDDoS:这是一款简单的SYN攻击器,能对设定好的目标发送大量非法的SYN数据包。 c.UDPFLOOD:这是一款功能较为完善的UDP攻击器,可以设置攻击时间、攻击速度等,攻击方式是向目标机发送大量UDP数据包。 d.独裁者DDoS:这是一款功能齐全的DDoS攻击器,除了能够联合肉鸡发动攻击,还具有控制攻击时间,启动信使服务等众多功能,并且有四种攻击方式可供选择。 e.Tomcat:这是一款功能较为常用的服务器 f.java_jdk:这是java运行环境,运行tomcat服务器必须安装jdk。 四、实验原理 1、DoS攻击: DoS是Denial of Service的简称,即拒绝服务,目的是使计算机或网络无法提供正常的服务。其攻击方式众多,常见的有SYN-FLOOD,UDP-FLOOD。 2、A.SYN-FLOOD攻击:
《网络攻击与防御技术》期末复习提纲: 1.网络安全问题主要表现在哪些方面?常用防范措施有哪些? 整体网络的安全问题主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 防范措施:*物理措施*防问措施*数据加密*病毒防范*其他措施。包括信息过滤、容错、数据镜像、数据备份和审计等。 2.简述数据报文的传送过程。 在进行数据传输时,相邻层之间通过接口进行通信,发送方由高层到低层逐层封装数据,接收方由低层到高层逐层解包数据。 如果接收方与方送方位于同一网段,则不需要进行路由选路,不经路由设备直达接收方。如果通信双方不在同一网段,例如我们访问互联网,则需要进行路由选路,经过若干路由设备。报文经过路由设备时进行的处理过程是这样的:在路由设备的物理层接收报文,然后向上传递到数据链路层、网络层。在网络层路由设备会判断报文的目的IP地址是否是本地网络,然后将报文重新打包下发到数据链路层和物理层发送出去。在这个过程中网络层的目的IP地址始终保持不变,而数据链路层的MAC地址更改成本地目的主机的MAC地址或下一个路由器的MAC地址。 3.在网络中定位一台计算机的方法是使用____IP地址____或_____域名DN___。 4.私有IP地址通常由路由器使用___NAT_____协议来转换为公有地址。 5. ping命令是用于检测____网络连接性_______和__主机可到达性_________的主要TCP/IP 命令。使用ping命令默认情况下将发送__4_________次ICMP数据包,每个数据包的大小为_____32_______个字节。 6. ping命令的常用参数的含义:-n,-t,-l。 -n 指定发送数据包的数目,默认为4个。-t 对目标持续不断地发送ICMP数据包,按Ctrl+C 组键停止。-l 指定发包时,单个数据包的大小,默认是32KB。 7.ping命令出现“Request timed out.”信息的可能原因有哪些? * 与对方网络连接有问题(对方关机、此IP不存在、网络有问题)。 * 双方网络连接慢,网速卡、数据不能及时传递。 * 对方安装了防火墙,过滤了ICMP数据包。 * 本地安装了防火墙,过滤了ICMP数据包(在企业用的比较多,ISA服务器过滤内部的ICMP数据包)。 8.简述tracert命令的工作原理。 通过向目标主机发送不同IP生存时间值的ICMP回应数据包,Tracert诊断程序确定到目标主机所经过的路由。在数据包传输中所经过的每个路由在转发数据报之前要将数据包上的TTL值减1。当数据包上的TTL值减为0时,路由器应该将“ICMP已超时”的消息发回源系统。 Tracert先发送TTL为1 的回应数据包,并在随后的每次发送过程中将TTL值递增1,直到目标响应或TTL值达到最大值,从而确定路由。通过检查中间路由发回的“ICMP已超时”的消息确定路由。某些路由不经询问直接丢弃TTL过期的数据包,这在Tracert实用程序中看不到。Tracert命令按顺序打印出返回“ICMP已超时”消息的路径中的近端路由器接口列表。如果使用“-d”选项,则Tracert实用程序不在每个IP地址上查询DNS。 https://www.doczj.com/doc/4017616706.html,stat命令常用参数-a,-b,-n,-r的含义。 -a 显示所有连接和监听端口。-b 显示包含于创建每个连接或监听端口的可执行组件。-n 以数字形式显示地址和端口号。-r 显示路由表。 https://www.doczj.com/doc/4017616706.html, user、net localgroup命令的常用用法。
选择题(单选) 1.假冒网络管理员,骗取用户信任,然后获取密码口令信息的攻击方式被称为___B_。 A.密码猜解攻击 B.社会工程攻击 C.缓冲区溢出攻击 D.网络监听攻击 2.下列哪一项软件工具不是用来对网络上的数据进行监听的?D A.XSniff B.TcpDump C.Sniffit https://www.doczj.com/doc/4017616706.html,erDump 3.Brutus是一个常用的Windows平台上的远程口令破解工具,它不支持以下哪一种类型 的口令破解A A.SMTP B.POP3 C.Telnet D.FTP 4.在进行微软数据库(Microsoft SQL Database)口令猜测的时候,我们一般会猜测拥有数 据库最高权限登录用户的密码口令,这个用户的名称是__C__? A.admin B.administrator C.sa D.root 5.常见的Windows NT系统口令破解软件,如L0phtCrack(简称LC),支持以下哪一种破 解方式?D A.字典破解 B.混合破解 C.暴力破解 D.以上都支持 6.著名的John the Ripper软件提供什么类型的口令破解功能?B A.Windows系统口令破解 B.Unix系统口令破解 C.邮件帐户口令破解 D.数据库帐户口令破解 7.下列哪一种网络欺骗技术是实施交换式(基于交换机的网络环境)嗅探攻击的前提?C A.IP欺骗 B.DNS欺骗 C.ARP欺骗 D.路由欺骗 8.通过TCP序号猜测,攻击者可以实施下列哪一种攻击?D A.端口扫描攻击 B.ARP欺骗攻击 C.网络监听攻击 D.TCP会话劫持攻击
9.目前常见的网络攻击活动隐藏不包括下列哪一种?A A.网络流量隐藏 B.网络连接隐藏 C.进程活动隐藏 D.目录文件隐藏 10.在Windows系统中可用来隐藏文件(设置文件的隐藏属性)的命令是____。B A.dir B.attrib C.ls D.move 11.在实现ICMP协议隐蔽通道,常需要将发送出去的数据包伪装成下列哪一种类型?C A.ICMP请求信息,类型为0x0 B.ICMP请求信息,类型为0x8 C.ICMP应答信息,类型为0x0 D.ICMP应答信息,类型为0x8 12.相对来说,下列哪一种后门最难被管理员发现?D A.文件系统后门 B.rhosts++后门 C.服务后门 D.内核后门 13.常见的网络通信协议后门不包括下列哪一种?A A.IGMP B.ICMP C.IP D.TCP 14.Unix系统中的last命令用来搜索____来显示自从文件创建以来曾经登录过的用户,包 括登录/退出时间、终端、登录主机IP地址。B A.utmp/utmpx文件 B.wtmp/wtmpx文件 https://www.doczj.com/doc/4017616706.html,stlog文件 D.attc文件 15.Unix系统中的w和who命令用来搜索____来报告当前登录的每个用户及相关信息。A A.utmp/utmpx文件 B.wtmp/wtmpx文件 https://www.doczj.com/doc/4017616706.html,stlog文件 D.attc文件 16.流行的Wipe工具提供什么类型的网络攻击痕迹消除功能?D A.防火墙系统攻击痕迹清除 B.入侵检测系统攻击痕迹清除 C.Windows NT系统攻击痕迹清除 D.Unix系统攻击痕迹清除 17.流行的elsave工具提供什么类型的网络攻击痕迹消除功能?C A.防火墙系统攻击痕迹清除 B.WWW服务攻击痕迹清除
关于网络攻击与防御技术实验教程 最近有网友想了解下《网络攻击与防御技术实验教程》张玉清写的这本书,所以小编就整理了相关资料分享给大家,具体内容如下.希望大家参考参考!!! 《网络攻击与防御技术实验教程》 《网络攻击与防御技术实验教程》内容简介 网络攻击与防御技术是网络安全的核心和焦点,也是确保网络安全实际动手能力的综合体现。全书共分11章,第1章介绍如何进行系统安全配置并搭建一个用于网络攻防实验的虚拟机,在接下来的各章中,在回顾理论知识的同时,结合动手实验介绍网络典型攻防技术,这些网络典型攻防技术包括扫描技术、网络监听及防御技术、口令攻击、欺骗攻击及防御、拒绝服务攻击与防范、缓冲区溢出攻击及防御、Web攻击及防范、木马攻击及防御、病毒与蠕虫攻击及防御和典型网络攻击防御技术。通过这种理论与实践相结合的网络攻防技术的学习,读者会对网络攻击与防御技术有更直观和深刻的理解。 书中各章内容安排方式为:理论知识回顾、基本实验指导
和巩固提高型实验。 本书可以作为信息安全、计算机、通信等相关专业研究生、本科生的教材,也可供从事网络安全研发的工程技术人员和热衷网络攻防技术的读者参考。 《网络攻击与防御技术实验教程》前言/序言 “知彼知己,百战不殆。" --孙子兵法网络安全已成为人们在信息空间中生存与发展的重要保证条件,与国家的政治安全、经济安全、军事安全、社会稳定以及人们的日常生活密切相关。由于兴趣爱好和经济利益的驱使,黑客攻击事件层出不穷。公司和国家只有积极防御,才能在攻击环境下生存。 攻击与防御是一对相互制约和相互发展的网络安全技术。 本实验教程的目标是帮助安全人员理解黑客的攻击方法和步骤,事实一次又一次地证明,理解敌人的策略、技巧和工具对保护自己是多么的重要。同时,本教程还让安全人员了解能采取哪些策略来防范各类攻击。
实验6网络攻击与防范实验 6.1 实验目的 1、理解Dos/Ddos/ARP攻击的原理及实施过程,掌握检测和防范Dos/DDoS/ARP攻击的措施; 2、理解缓冲区溢出攻击的原理及实施过程,掌握防范和避免措施。 6.2 实验环境 实验室所有机器安装了Windows操作系统,并组成了一个局域网; Dos/DDoS/ARP攻击软件; 每4-5个学生为一组:互相进行攻击或防范。 6.3 实验原理 6.3.1 DoS的原理 拒绝服务(DoS)攻击利用系统或协议的缺陷,采用欺骗的策略进行网络攻击,目的是使目标主机因为资源全部被占用而不能处理合法用户提出的请求,即对外表现为拒绝提供服务。 常见的DoS攻击方法: (1)Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。 (2)Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,被攻击主机与自己建立空连接并保留连接,从而很大程度地降低了系统性能。 (3)UDP洪水(UDP flood) :echo服务会显示接收到的每一个数据包,而chargen服务会在收到每一个数据包时随机反馈一些字符。UDP flood假冒攻击就是利用这两个简单的TCP/IP 服务的漏洞进行恶意攻击,通过伪造与某一主机的Chargen服务之间的一次的UDP 连接,回复地址指向开着Echo 服务的一台主机,通过将Chargen和Echo服务互指,来回传送毫无用处且占满带宽的垃圾数据,在两台主机之间生成足够多的无用数据流,这一拒绝服务攻击飞快地导致网络可用带宽耗尽。 (4)Smurf、UDP-Flood、Teardrop、PingSweep、Pingflood、Ping of Death等。 6.3.2 DDOS的原理 分布式拒绝服务(DDoS)是基于DoS攻击的一种特殊形式。攻击者将多台受控制的计算机联合起来向目标计算机发起DoS攻击。 DDoS攻击分为3层:攻击者、主控端、代理端。1、攻击者:攻击者所用的计算机是攻击主控台,攻击者操纵整个攻击过程,它向主控端发送攻击命令。2、主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。3、代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发送攻击。 攻击者发起DDoS攻击的第一步,就是寻找在Internet上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵的主机越多,他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序,其中一部
常见网络攻击的手段与防范 侯建兵 赤峰学院计算机科学与技术系,赤峰024000 摘要:现在,Intemet上的网络攻击越来越猖獗,攻击手段也越来越先进,一旦被攻破,导致的损失也会越来越严重。如何有效地防止网络攻击已成为一个全球性的研究课题,受到全世界网络工作者的普遍重视,因此,针对黑客的网络攻击,提高网络的防护能力,保证信息安全已成为当务之急。为此本文列举了一些典型的网络攻击,将它们进行了分类,在分析其攻击原理的基础上,针对网络攻击的具体防御措施进行了 讨论和分析。 关键词:网络安全;网络攻击;安全策略;手段;措施;黑客攻击;防范技术 一.引言 随着Intemet的发展.高信息技术像一把双刃剑,带给我们无限益处的同时也带给网络更大的风险。网络安全已成为重中之重,攻击者无处不在。因此网络管理人员应该对攻击手段有一个全面深刻的认识,制订完善安全防护策略。孙子兵法上说,知己知彼,百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动的安装防火墙是显然不够的。我们必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解,针对不同的方法采取不同的措施,做到有的放矢。只有这样才能更有效、更具有针对性的进行主动防护。 二.相关基本概念和网络攻击的特点 1.计算机网络安全的含义 从本质上来讲.网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性.使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。 2. 网络攻击概念性描述 网络攻击是利用信息系统自身存在的安全漏洞,进入对方网络系统或者是摧毁其硬件设施。其目的就是破坏网络安全的各项指标,破坏扰乱对方信息系统的正常运行,致使对方计算机网络和系统崩溃、失效或错误工作。 3. 计算机网络攻击的特点 计算机网络攻击具有下述特点:(1)损失巨大。由于攻击和入侵的对象是网络上的计算机。所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。(2)威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。 (3)手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的
目录 一.生活中黑客常用的攻击技术 (1) 2.拒绝服务攻击 (2) 3.缓冲区溢出 (2) 二.生活中常见的网络防御技术3 1.常见的网络防御技术 (3) 1.防火墙技术 (3) 2.访问控制技术 (4) 三.总结 (5) 一.生活中黑客常用的攻击技术 黑客攻击其实质就是指利用被攻击方信息系统自身存在安全漏洞,通过使用网络命令和专用软件进入对方网络系统的攻击。目前总结出黑客网络攻击的类型主要有以下几种: 1.对应用层攻击。 应用层攻击能够使用多种不同的方法来实现,最常见的方法是使用服务器上通常可找到的应用软件(如SQL Server、PostScript和FTP)缺陷,通过使用这些缺
陷,攻击者能够获得计算机的访问权,以及在该计算机上运行相应应用程序所需账户的许可权。 应用层攻击的一种最新形式是使用许多公开化的新技术,如HTML规范、Web 浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序,包括Java applet和Active X控件等,并通过用户的浏览器调用它们,很容易达到入侵、攻击的目的。 2.拒绝服务攻击 拒绝服务(Denial of Service, DoS)攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单,但又很有效的进攻方式。它的目的就是拒绝服务访问,破坏组织的正常运行,最终使网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。 攻击的基本过程如下:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息。由于地址是伪造的,所以服务器一直等不到回传的消息,然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。 被DDoS攻击时出现的现象主要有如下几种。被攻击主机上有大量等待的TCP 连接。网络中充斥着大量的无用的数据包,源地址为假。制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通信。利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。严重时会造成系统死机。要避免系统遭受Do S攻击,网络管理员要积极谨慎地维护整个系统,确保无安全隐患和漏洞,而针对更加恶意的攻击方式则需要安装防火墙等安全设备过滤D O S攻击,同时建议网络管理员定期查看安全设备的日志,及时发现对系统构成安全威胁的行为。 3.缓冲区溢出 通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令。如果这些指令是放在有Root权限的内存中,那么一旦这些指令得到了运行,黑客就以Root权限控制了系统,达到入侵的目的;缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。 缓冲区溢出的一般攻击步骤为:在程序的地址空间里安排适当的代码——通过适当的地址初始化寄存器和存储器,让程序跳到黑客安排的地址空间中执行。缓冲区溢出对系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点。必须及时发现缓冲区溢出这类漏洞:在一个系统中,比如UNIX操作系统,这类漏洞是非常多的,系统管理员应经常和系统供应商联系,及时对系统升级以堵塞缓冲区溢出漏洞。程序指针完整性检查:在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测