当前位置:文档之家 › 常见网络攻击与防范

常见网络攻击与防范

  • 格式:ppt
  • 大小:3.11 MB
  • 文档页数:76

下载文档原格式

  / 76
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

电子邮件欺骗及防范技术



——原理 发送邮件使用SMTP(即简单邮件传输协议) SMTP协议的致命缺陷:过于信任原则 SMTP假设的依据是:不怀疑邮件的使用者 的身份和意图 伪装成为他人身份向受害者发送邮件 可以使用电子邮件客户端软件,也可以远 程登录到25端口发送欺骗邮件
电子邮件欺骗及防范技术
提 升 为 最 高 权 限 攻击其 他系统
端口 判断 分析 可能 有漏 洞的 服务
安装 多个 系统 后门
清除 入侵 脚印
获取敏 感信息
作为其 他用途
常见的安全攻击方法
直接获取口令进入系统:网络监听,暴力破解 利用系统自身安全漏洞 特洛伊木马程序:伪装成工具程序或者游戏等诱使用

欺骗过程
入侵者控制主机B向主机A发送一个ARP应答,ARP
应答中包括:源IP地址(IPC),源硬件地址 (BBBB),目标IP地址(IPA)、目标硬件地址 (AAAA),这条应答被A接受后,就被保存到A主 机的ARP高速缓存中了。 问题:由于C也是活动的,也有可能向A发出自己的 ARP应答,将的A的ARP缓存改回正确的硬件地址。 如何解决?
网络监听及防范技术
——网络窃听的被动防范
分割网段
细化网络会使得局域网中被窃听的可能性减小
使用静态ARP表
手工输入<IP—MAC>地址对
采用第三层交换方式
取消局域网对MAC地址、ARP协议的依赖,而采用基于IP 地址的交换
加密
SSH、SSL、IPSec
IP欺骗及防范技术
——会话劫持
A根据ARP缓存中的缓存记录,将发往C
(IPC)的数据报文,发向了B(IPB, BBBB)
ARP欺骗的防范
MAC地址绑定,使网络中每一台计算机
的IP地址与硬件地址一一对应,不可更 改。 使用静态ARP缓存,用手工方法更新缓 存中的记录,使ARP欺骗无法进行。 使用ARP服务器,使其他计算机的ARP 配臵只接受来自ARP服务器的ARP响应。
享)
ARP-防御: 在局域居于网中部署Sniffer工具,定位 ARP攻击源的MAC并自我防御
获取信息
1. 收集主机信息
IP地址、主机是否运行、到要入侵点的路由、主机操作系 统与用户信息等。
应用的方法:
• Ping命令判断计算机是否开着,或者数据包发送到返回 需要多少时间 • Tracert/Tracerout命令跟踪从一台计算机到另外一台 计算机所走的路径 • Finger和Rusers命令收集用户信息
Arp缓存表
查看ARP高速缓存中的记录
解析对象的IP地址
解析所得的MAC地址
此记录产生的方式
删除ARP高速缓存中的记录
原来有4个记录
删除这个记录
203.74.205.11这个记录被删除了
向ARP高速缓存中增加静态记录
新增的记录,注意Type是static
ARP欺骗举例
例:主机名 IP地址 硬件地址 A IPA AAAA B IPB BBBB C IPC CCCC 说明: B是一台被入侵者控制了的主机,而A信任C。 入侵者的目的就是伪装成C获得A的信任,以 便获得一些无直接获得的信息等。
窃取口令文件后解密: 窃取口令文件(UNIX环境下的Passwd文件和Shadow文 件) ,通过软件解密。
方法与对策: 1、限制同一用户的失败登录次数 2、限制口令最短长度,要求特权指令使用复杂的字母、 数字组合。 3、定期更换口令,不要将口令存放到计算机文件中
MAC地址攻击
交换机的转发原理。 攻击者生成大量源地址各不相同的数据
2. 端口扫瞄
获取网络服务的端口作为入侵通道。
7种扫瞄类型:
1.TCP Connect() 3.TCP FIN 5.TCP反向Ident扫瞄 7.UDP ICMP不到达扫瞄
2.TCP SYN 4.IP段扫瞄 6.FTP代理扫瞄
扫瞄软件举例:
1. NSS(网络安全扫描器)。 2. Strobe(超级优化TCP端口检测程序),可记录指定机器上 的所有开放端口,快速识别指定机器上运行的服务,提示 可以被攻击的服务。 3. SATAN(安全管理员的网络分析工具),SATAN用于扫描远程 主机,发现漏洞,包括FTPD漏洞和可写的FTP目录
帧中有源MAC地址和目的MAC地址。 ARP协议是获得对方的MAC地址,才行 进行帧的封装。
ARP工作原理
ARP请求:是以广播形式发送 IP地址为192.168.0.10的计算机MAC是多少啊?
ARP工作原理(续)
ARP应答:只有IP地址符合的计算机会应答
我的MAC为0080c81c2996,以单播形式
计算机 C C为直接模式 接收该数据
计算机 D D为直接模式 拒绝接收
计算机 E E为混杂模式 接收该数据
பைடு நூலகம்
网络监听及防范技术
——交换式局域网下
在数据链路层,数据帧的目的地址是以网
卡的MAC地址来标识 ARP协议实现<IP—MAC>的配对寻址 ARP请求包是以广播的形式发出,正常情 况下只有正确IP地址与的主机才会发出 ARP响应包,告知查询主机自己的MAC地址。 局域网中每台主机都维护着一张ARP表, 其中存放着<IP—MAC>地址对。
——防范 查看电子邮件头部信息
不仅指出了是否有人欺骗了电子邮件,而且指出了这 个信息的来源
采用SMTP身份验证机制
使用与POP协议收取邮件时相同的用户名/密码
PGP邮件加密
以公钥密码学(Public Key Cryptology) 为基础的
Web欺骗及防范技术
——概念
口令攻击
1 2 口令暴力攻击: 生成口令字典,通过程序试探口令。
包,这些MAC地址就会充满交换机的交换 地址映射表空间,则正常的数据包到达 时都被洪泛出去,致使交换机的查表速 度严重下降,不能继续工作。
ARP欺骗
Arp协议
MAC 地址:就是网卡的地址(48位),具
唯一性。 0080c81c2996(16进制)
厂家代号 流水号
帧(frame):数据链路层的数据单元,
工具
入侵者水平
嗅探 擦除痕迹
攻击手法
1980
攻击者
1995 2000 2002
1985
1990
入侵系统的常用步骤
提 升 为 最 高 权 限
采用 漏洞 扫描 工具
选择 会用 的 方式 入侵
获取 系统 一定 权限
安装 系统 后门
获取敏感信息 或者 其他攻击目的
较高明的入侵步骤
判断 系统 选择 最简 方式 入侵 获取 系统 一定 权限
若等于自己的MAC地址或是广播MAC地址,则提交给上层 处理程序,否则丢弃此数据
当网卡工作于混杂模式的时候,它不做任
何判断,直接将接收到的所有帧提交给上 层处理程序 共享式网络下窃听就使用网卡的混杂模式
网络监听及防范技术
——共享式局域网下
集线器(HUB)
A向C发送数 据
计算机 A
计算机 B B为直接模式 拒绝接收
ARP病毒
ARP病毒
10.1.14.125 10.1.14.254的MAC是什么? 10.1.14.254的MAC为bb-bb-bb
10.1.14.254的MAC为cc-cc-cc
10.1.14.254 10.1.14.126 中ARP病毒
中了ARP病毒的计算机冒充网 关发送ARP响应,导致其他计 算机无法上Internet。
3.Sniffer扫瞄
原理: sniffer类的软件能把本地网卡设置成工作在 “混杂” (promiscuous)方式,使该网卡能接 收所有数据帧,从而获取别人的口令、金融帐号或 其他敏感机密信息等。 方法与对策: 1、用交换机替换HUB,交换机是两两接通,比普 通HUB安全。 2、使用检测的软件,如CPM Antisniff等,检测网 络中是否有网卡工作在混杂状态(基本原理是发送 本网中并不存在的MAC地址,看看是否有回应,如 有回应,则说明有计算机网卡工作在混杂模式。)。
——共享式局域网下
共享式局域网采用的是广播信道,每一台
主机所发出的帧都会被全网内所有主机接 收到 一般网卡具有以下四种工作模式:广播模 式、多播模式、直接模式和混杂模式 网卡的缺省工作模式是广播模式和直接模 式,即只接收发给自己的和广播的帧
网络监听及防范技术
——共享式局域网下
使用MAC地址来确定数据包的流向

户打开或下载,然后使用户在无意中激活,导致系统 后门被安装 WWW欺骗:诱使用户访问纂改过的网页 电子邮件攻击:邮件炸弹、邮件欺骗 网络监听:获取明文传输的敏感信息 通过一个节点来攻击其他节点:攻击者控制一台主机 后,经常通过IP欺骗或者主机信任关系来攻击其他节 点以隐蔽其入侵路径和擦除攻击证据 拒绝服务攻击和分布式拒绝服务攻击(D.o.S 和D.D.o.S)
被冒充者 A 你好,我是A 服务器 受害者
一般 欺骗
攻击者
正常会话 A 被冒充者 下线! 你好,我是 A 服务器 受害者
会话 劫持
攻击者
IP欺骗及防范技术
——会话劫持
会话劫持攻击的基本步骤
发现攻击目标 确认动态会话 猜测序列号
关键一步,技术难点
使被冒充主机下线
伪造FIN包,拒绝服务攻击
什么情况下表明局域网内有ARP攻击
1. 校园网登陆系统频繁掉线
2. 网速突然变慢
3. 使用ARP –a命令发现网关的MAC地址
不停的变换 4. 使用sniffer软件发现局域网内存在大量 的ARP reply包
目前已知的ARP病毒的传播途径
1. 通过外挂程序传播
2. 通过网页传播
3. 通过其他木马程序传播 4. 通过即时通讯软件传播(QQ、MSN) 5. 通过共享传播(网络共享、P2P软件共
地址解析方法
查表(table lookup):
将地址绑定信息存放在内存的一张表 中,当要进行地址解析时,可以查表找 到所需的结果,常用用于WAN。(集中解 析)
ARP欺骗
基本思想:由于ARP是无状态的协议,在没
有请求时也可以发送应答的包。入侵者可以 利用这一点,向网络上发送自己定义的包, 包中包括源IP地址、目的IP地址以及硬件地 址,不过它们都是伪造的数据,会修改网络 上主机中的ARP高速缓存。
网络监听及防范技术
——交换式局域网下
ARP改向的中间人窃听
交换式局域网 交换式局域网 数据流 主机A (正常通信状态) 主机B 主机A 数据流 主机X (存在窃听的通信状态) 数据流 主机B
A发往B:(MACb,MACa, PROTOCOL,DATA) B发往A:(MACa,MACb, PROTOCOL,DATA)
接管会话
IP欺骗及防范技术——防范技术
没有有效的办法可以从根本上防范会话
劫持攻击 所有会话都加密保护——实现困难 使用安全协议(SSH、VPN)——保护敏 感会话
电子邮件欺骗及防范技术
——案例
2003年6月初,一些在中国工商银行进行过网
上银行注册的客户,收到了一封来自网络管 理员的电子邮件,宣称由于网络银行系统升 级,要求客户重新填写用户名和密码。 这一举动随后被工行工作人员发现,经证实 是不法分子冒用网站公开信箱,企图窃取客 户的资料。 虽然没有造成多大的损失,但是这宗典型的 电子邮件欺骗案例当时曾在国内安全界和金 融界掀起了轩然大波,刺激人们针对信息安 全问题展开了更加深切的讨论。
A发往B:(MACx,MACa, PROTOCOL,DATA) B发往A:(MACx,MACb, PROTOCOL,DATA)
网络监听及防范技术
——交换式局域网下
X分别向A和B发送ARP包,促使其修改ARP
表 主机A的ARP表中B为<IPb—MACx> 主机B的ARP表中A为<IPa—MACx> X成为主机A和主机B之间的“中间人”
常见网络攻击与防范
提纲
常见的网络攻击方法
常用的安全防范措施
常见的网络攻击方法
入侵技术的发展

包欺骗 半开放隐蔽扫描 拒绝服务 DDOS 攻击 www 攻击 自动探测扫描 GUI远程控制 后门 破坏审计系统 会话劫持 控制台入侵 利用已知的漏洞 密码破解 可自动复制的代码 密码猜测 检测网络管理
网络监听及防范技术
网络窃听是指通过截获他人网络上通信的
数据流,并非法从中提取重要信息的一种 方法 间接性
利用现有网络协议的一些漏洞来实现,不直接对受害主 机系统的整体性进行任何操作或破坏
隐蔽性
网络窃听只对受害主机发出的数据流进行操作,不与主 机交换信息,也不影响受害主机的正常通信
网络监听及防范技术

相关主题