[精选]978-7-03-030368-4《计算机网络安全(第三版)》第7章计.pptx

《[精选]978-7-03-030368-4《计算机网络安全(第三版)》第7章计.pptx》由会员分享，可在线阅读，更多相关《[精选]978-7-03-030368-4《计算机网络安全(第三版)》第7章计.pptx（43页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第七章黑客攻击与入侵检测1本章导言 知 识 点：黑客定义 黑客攻击入侵检测 难 点：黑客攻击原理与防范 入侵追踪技术 要 求熟练掌握以下内容：熟知黑客攻击手段 熟知入侵检测技术 熟练掌握黑客攻击防范措施了解以下内容：了解入侵检测的分类与工具使用27.1 黑客攻击-1.什么是黑客黑客的开展黑客的分类网络黑客计算机朋客网络骇客3-7.1 黑客攻击-2.黑客常用的攻击方法和防范措施黑客攻击黑客攻击黑客攻击的原因黑客攻击的一般过程黑客攻击防范措施黑客攻击防范措施协议欺骗类的攻击与防范拒绝效劳类的攻击与防范网络嗅探攻击与防范缓冲区溢出攻击与防范SQL注入式攻击与防范木马攻击与检查防范4黑客攻击的原因黑客

2、攻击的原因由于少数高水平的黑客可以随意入侵他人电脑，呗在被攻击者毫不知情的情况下窃取电脑中的信息后悄悄退出，于是，很多人对此产生较强的好奇心和学习黑客技术的欲望，并在了解了黑客攻击技术后不计后果地进行尝试，给网络造成极大的平安威胁。黑客常见攻击的理由如下：想在别人面前炫耀自己的技术，如进入别人电脑修改一下文件和系统，算是打个招呼，也会让对方对自己更加崇拜；看不惯他人的某些做法，又不方便当面指责，于是攻击他的电脑教训一下；好玩，恶作剧，这是许多人或者学生入侵或破坏的主要原因，除了有练功的效果外还有探险的感觉；窃取数据，偷取他人的QQ、网游密码等，然后从事商业活动；对某个单位或者组织表示抗议。5黑

3、客攻击的一般过程第一步，收集被攻击方的有关信息。第二步，建立模拟环境。第三步，利用适当的工具进行扫描。第四步，实施攻击。第五步，清理痕迹。为了到达长期控制目标主机的目的，黑客灾区的管理员权限之后会立刻在其中建立后门，这样就可以随时登录该主机。为了防止被目标主机管理员发现，在完成入侵之后需要清楚其中的系统日志文件、应用程序日志文件和防火墙日志文件等，清理完毕即可从目标主机中退出。到达全身而退的效果是经验老到的黑客的基本技能。6协议欺骗类的攻击与防范-1.源IP地址欺骗攻击与防范-许多应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可回到源地址，那么源IP地址一定是有效的，而这恰

4、恰使得源IP地址欺骗成为可能的前提。假定同一网段内两台主机A和B，另一网段内有主机X。X为了获得与A、B相同的特权，所做的欺骗攻击如下：首先，X冒充A向主机B发送一个带有随机序列号的SYS包。主机B相应，回送一个应答包给A，该应答号为原序列号加1。可是，此时的主机A已经被X用拒绝效劳攻击给“淹没了，导致主机A的效劳失效。结果，主机A将B发来的包丢弃。为了完成传输层三次握手的协议，X还需向B回送一个应答包，其应答号为B向A发送的数据包的序列号加1。此时，主机X并不能检测到主机B的数据包，因为二者不在同一网段内，只有利用TCP顺序号估算法来预测应答的顺序号并将其发送给目标主机B。如果猜测正确，B则

5、认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上享有的特权，并开始对这些效劳实施攻击。7-1.源IP地址欺骗攻击与防范为防止源端IP地址欺骗，可以采取以下措施来加以防范，尽可能地保护系统免受这类攻击。第一，放弃基于地址的信任策略。抵御这种攻击的一种简易方法就是抛弃以地址为基础的验证。不允许remote类别的远程调用命令的使用，这将迫使所有用户使用其它远程通信手段。第二，数据包加密。在数据包发送到网络之前对数据包加密，能在很大程度上保证数据的完整性和真实性。第三，数据包过滤。利用网络设备的配置来进行数据包过滤，比方配置路由器，使其能够拒绝来自网络外部但具有网络内部IP地址的数据

6、包的连接请求。8-协议欺骗类的攻击与防范2.源路由器欺骗攻击与防范源路由器欺骗攻击与防范-一般情况下，信息报从起点到终点走过的路径是由位于此两点间的路由器决定的，数据包本身只是知道从哪里出发，到达目的地是哪里，不知道也不关心沿途经过的具体路径。源路由可以使信息包的发送者将此信息包经过的路径写在数据包里，是数据包沿着一个对方不可预料的途径到达目的主机。仍以上面源IP地址欺骗例子说明如下：9-2.源路由器欺骗攻击与防范源路由器欺骗攻击与防范-主机A享有主机B的某些特权，主机X想冒充主机A从主机B获得某些效劳，主机B的IP 地址为xxx.xxx.xxx.xxx。首先，攻击者修改距离X最近的路由器，使

7、得到达此路由器且包含目的地址xxx.xxx.xxx.xxx的数据包以主机X的所在的网络为目的地；然后，攻击者X利用IP欺骗向主机B发送源路由制定最近的路由器数据包。当B回送数据包时，就传送到被更改正的路由器，这就使得入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护的效劳和数据。10-2.源路由器欺骗攻击与防范为防范路由器欺骗攻击，一般采用的措施如下。第一，配置好网络互联设备路由器。使得它能抛弃那些来自外部网络却冒充内部网络来的报文，这是对付这种攻击的最好的方法。第二，在路由器上关闭源路由使用。源路由默认是被开启的，可以在路由器上用全局配置命令 no ip source-route

8、来关闭。11拒绝效劳类的攻击与防范1拒绝效劳攻击，顾名思义，就是攻击者加载过多的效劳将被攻击者资源全部耗尽，使其没有多余的资源来供其他用户使用，从而实现不了效劳。SYNFlood攻击是典型的拒绝效劳攻击。它常常是源IP地址的前奏，也叫做半开式连接攻击。正常情况下，一次标准的TCP连接，会有一个三次握手的情况。然而这个SYNFlood在其实现过程中，只有前两个步骤，当效劳方收到请求方的SYN并回送SYN-ACKnowledege Character确认报文后，请求方由于采用源IP地址欺骗等手段，使得效劳方得不到ACK回应，这样，效劳方会在一定时间内处于等待接收请求方ACK报文的状态，一台效劳器可

9、用的TCP连接效劳时有限的，如果恶意攻击方快速连续的发送此类请求，则效劳器的系统可用资源、网络可用带宽将急剧下降，导致无法向用户提供正常的网络效劳。12拒绝效劳类的攻击与防范2为防范拒绝效劳攻击,可采用如下措施：第一，对于信息淹没攻击，采取措施是关掉可能产生无限序列的效劳。比方，可以在效劳器端拒绝所有的ICMP包，或者在该网段内，对路由器上的ICMP包进行带宽限制，控制其在一定范围内。第二，防止SYN数据段攻击。采取措施是对系统设定相应的内核参数，使得系统强制对超时的SYN请求连接数据包复位，同时通过缩短超时常数和加长等候队列来使得系统能迅速处理无效的SYN请求数据包。第三，调整该网段的路由器

10、配置。比方限制SYN半开数据包的流量和个数。第四，在路由器前端进行TCP拦截。在路由器的前端对TCP做必要拦截，使得只有完成TCP三次握手的数据包才可以进入网段，可以有效地保护本网段内的效劳器不受此类攻击。13网络嗅探攻击与防范1网络嗅探对于一般的网络来说，操作极其简单但威胁却是巨大的。很多黑客使用嗅探器进行网络入侵。网络嗅探器对信息平安的威胁来自其被动性和非干扰性，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密而不易被发现。嗅探器Sniffer就像一个安装在计算机上的窃听器，可以窃听计算机在网络上的产生的信息。嗅探器的工作原理如下。14网络嗅探攻击与防范2以太网的数据传输都是基于信道共享的

11、原理，所有同一本地网范围内的计算机共同接收到相同的数据包，以太网卡构造了硬件过滤，将与自己无关的网络信息过滤掉，实现了忽略掉与自身MAC地址不符的信息。网络嗅探就是利用这个特点将过滤器关闭掉，把网卡设置为混杂模式，成为杂错节点，嗅探程序就能接收整个以太网上的包括不属于本机的数据信息。嗅探器工作在网络的底层，把网络传输的全部数据记录下来。它可以帮助网络管理员查找网络漏洞和监测网络性能，可以分析网络流量。嗅探器对播送型网络可监听能力比较高。15网络嗅探攻击与防范3网络嗅探器一般具有几个威胁。首先，它能够捕获密码。这是绝大多数非法使用Sniffer者的原因。其次，它能捕获专用机密信息。通过拦截数据包

12、，可以方便的记录敏感信息。第三，可以分析网络数据，实现更大威胁的网络攻击的前奏。这在前面已经提到。16网络嗅探攻击与防范4对于网络嗅探攻击，可以采用以下措施来实现防范主动检测嗅探器网络通信丢包率很高网络带宽分配反常被动隐藏数据网络分段加密一次性口令技术禁用杂错节点ARP或者IP-MAC映射表用静态代替动态17缓冲区溢出攻击与防范1许多程序都是用C语言编写的，而C语言不做缓冲区下届检查;假设用户输入数据长度超过应用程序给定的缓冲区，则会覆盖其他数据区，这就是缓冲区溢出，也叫做堆栈溢出缓冲区溢出攻击时一种系统攻击手段，通过向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程

13、序转而执行其他指令，以到达攻击的目的。当然，普通的缓冲区内容是达不到攻击的目的的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户Shell，再通过Shell执行其他命令。如果该程序具有root权限，攻击者就可以对系统就行任意操作了18缓冲区溢出攻击与防范2要有效防止该种攻击，应做到以下几点程序指针完整性检查-在程序指针被引用之前，检测它是否改变。即使一个攻击者成功改变了程序指针，由于系统实现检测到了指针改变，因此指针也不会被使用。保护堆栈-这是一种提供程序指针完整性检查的编译器技术。通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面增加了附加的字节，在函数返回时，首先检查附加

14、的字节是否被改动过。如果发生过缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。数组边界检查-所有对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。最直接的方法是检查所有的数组操作，通常可以采用一些优化的技术来减少检查单次数。19SQL注入式攻击与防范注入式攻击与防范SQL注入式攻击是目前比较流行，也是研究最多的一种黑客攻击技术。它主要是针对网页进行的一种攻击。详细的描述见本书关于Web的平安一章介绍。20木马攻击与检查防范木马攻击与检查防范1木马又称特洛伊木马，是一种用于窃取用户的密码资料、破坏硬盘内的数据或程序的软件。其入侵方式与荷马史诗中记载的特洛伊木马及其类似。黑客

15、的主要攻击手段之一，就是使用木马技术渗透到对方的主机系统中，从而实现对远程目标主机的控制。但凡在外表上伪装成正常的程序，而实际上却偷偷把正常的程序换掉，并留下一些特殊的系统后门，以方便以后可以控制主机运行或者执行破坏行为的程序，就是一种特洛伊木马程序，俗称后门Backdoor程序或者木马Trojan程序。21木马攻击与检查防范木马攻击与检查防范2黑客利用木马入侵网络中的电脑，从而到达操作被入侵电脑的目的。功过控制被入侵的电脑，黑客可以任意在其中浏览信息，上传下载文件以及窃取密码信息等，而且还可以通过该电脑向其他电脑进行攻击，到达既能攻击更多主机又能隐藏自身信息的目的，所以木马已经成为黑客攻击电

16、脑的首选工具。22木马攻击与检查防范木马攻击与检查防范3黑客常将已经被木马入侵的主机成为效劳器，而将用于接收或控制木马运行的电脑称为客户端，因此一个完整的木马软件一般是由两局部组成，即入侵软件和控制软件，它们的关系如图7-1所示。23木马攻击与检查防范木马攻击与检查防范4根据木马的原理和危害，可知木马具有伪装性、隐蔽性和顽固性的特点。伪装性伪装性由于人们对于病毒以及木马警觉性的提高，木马通常需要将自己伪装成其他程序才能消除用户的戒心，使用户不会认为它是来历不明的程序，到达不知不觉进入主机的目的。隐蔽性隐蔽性目前不少木马在传播时，大多会与一些常见的软件一起被用户存储到电脑中，很难被发现，当用户使

17、用该软件时，木马就自动运行了。顽固性顽固性某些木马会在系统文件中留下备份文件，当用户用杀毒软件去除木马时，备份文件很难被去除掉，使这些病毒具有了“死灰复燃的能力。另外，木马一般都随系统启动而启动，并且有进程保护设置，所以查杀木马非常麻烦。24木马攻击与检查防范木马攻击与检查防范5防治木马，常用简单使用措施如下：安装杀毒软件和个人防火墙，并及时升级；将个人防火墙设置好平安等级，防治未知程序向外传送数据；考虑使用平安性比较好的浏览器和电子邮件客户端工具；如果使用IE浏览器，应该看装一些平安助手，防止恶意网站在自己的电脑上安装不明软件和浏览器插件，以免被木马乘机侵入。25木马攻击与检查防范木马攻击与

18、检查防范6进一步帮助判断是否被植入木马的方法软件软件Hash值校验值校验此方法就是检验文件是否被篡改。无论何时，当用户从网站上下载一个软件的时候，都应该生成相应文件的Hash值，之后与发布厂商网站上的Hash值进行比较。如，从某网站下载软件时，软件连接旁边看到软件的MD5值，下载之后，利用MD5工具生成下载文件的MD5散列值，两个散列值进行比较，假设相等说明软件没有被篡改，假设不等则要疑心软件的真实性。进程和端口监控进程和端口监控监控端口指监控系统当前哪些端口是处于监听、连接状态，哪些进程在使用哪些端口，即进行进程与端口的关联。通过监视计算机上翻开的非常用端口，能够检测出等待建立连接的木马。常

19、用的netstat na命令就可以实现这一功能。267.2 入侵检测入侵检测1.入侵检测的定义2.入侵响应3.入侵追踪4.入侵检测工具介绍271入侵检测的定义入侵检测Intrusion Detection就是对入侵行为的觉察。它通过对计算机网络或计算机系统中假设干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反平安策略的行为和被攻击的迹象。防火墙之后的第二道平安闸门，在不影响网络性能的情况下能对网络进行监测。这些都通过它执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；

20、操作系统的审计跟踪管理，并识别用户违反平安策略的行为282入侵检测系统入侵检测系统入侵检测系统简称“IDS是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反响措施的网络平安设备。它与其他网络平安设备的不同之处便在于，IDS是一种积极主动的平安防护技术。293 入侵检测的分类入侵检测的分类1按照分析方法检测方法异常检测Anomaly Detection 误用检测Misuse Detection2按照数据来源基于主机基于网络混合型3按系统各模块的运行方式集中式分布式4根据时效性脱机分析联机分析302.入侵响应入侵响应入侵响应 Intrusion Response 是指当检测到入侵

21、或攻击时，采取适当的措施阻止入侵和攻击的进行；入侵响应系统Intrusion Response System是指实施入侵响应的系统。31入侵响应系统的分类入侵响应系统的分类1按响应类型分类报警型响应系统人工响应系统自动响应系统2按响应方式分类基于主机的响应基于网络的响应3按照响应范围分类本地响应系统网络协同响应系统32入侵响应的方式入侵响应的方式，根据严厉程度不同，可以分为以下几个级别第一级别，较温和的被动响应方式，包括以下几种响应：记录平安事件 产生报警信息 记录附加日志 激活附参加侵检测工具 第二，介于温和与严厉之间的主动响应方式：隔离入侵者IP 禁止被攻击对象的特定端口和效劳 隔离被攻击

22、对象第三级别，较为严厉的主动响应方式：警告攻击者 跟踪攻击者 断开危险连接 攻击攻击者 33自动入侵响应入侵预防、入侵检测和容忍入侵在解决网络入侵问题上都发挥了很大的作用，但这些方法都是被动地解决入侵问题。而入侵响应系统在入侵发生后能够主动保护受害系统，阻击入侵者。目前，入侵防范研究的重点还是在入侵预防和入侵检测上，入侵响应还大都只是在IDS系统中实现，其响应方式和响应能力受到一定限制。3435自动入侵响应系统的模型如图7-2所示，系统的输入是入侵检测系统输出的平安 事件；响应决策模块依据响应决策知识库，决定对于输入的平安事件做出什么响应，产生响应策略响应某种中间语言描述，然后由响应执行模块解

23、释执行，并调用响应工具库中预先编制好的响应工具；响应评估模块对作出的响应进行评估，评估结果再反响到响应决策模块，调整和改进响应决策机制。在自动入侵响应中，响应决策模块是整个系统的核心，因为及时、有效、合理的响应策略是提高系统响应性能的关键。36常见自动入侵响应有以下几种类型基于代理自适应响应系统AAIRSAdaptive Agent-based Intrusion Response System基于移动代理Mobile Agent的入侵响应系统基于IDIP协议的响应系统IDIPIntruder Detection and Isolation Protocol 基于主动网络Active Netw

24、ork的响应系统373.入侵追踪网络攻击的追踪是对网络攻击做出的正确响应的前提。一旦网络遭到攻击，如何追踪入侵者并将其绳之以法，是十分必要的。入侵追踪一般包括两个各方面的工作。第一，发现入侵者的IP地址、MAC地址或是认证的主机名。第二，追踪攻击源，确定入侵者的真实位置。38 1 IP地址追踪地址追踪使用使用netstat命令命令：发现入侵者的IP地址是很基础的一项追踪技术。使用netstat命令可以获得所有连接被测主机的网络用户的IP地址。Windows系列系统、Unix系统、Linux系统等常用操作系统都可以使用该命令。日志数据日志数据：系统的日志数据提供了详细的用户登录信息。在追踪网络攻

25、击时，这些数据是最直接最有效的证据。原始数据报文原始数据报文：由于系统主机有被攻陷的可能，因此，利用系统日志获取攻击者信息有时候就不可靠。捕获原始数据报文并对数据进行分析，是确定攻击源的另一个比较重要的可靠方法。搜索引擎搜索引擎：此方法是人为因素较多。黑客们经常可能在论坛等网络社区炫耀自己的攻击成果，借助搜索引擎，可以搜集这些信息，获取被攻击证据。392 攻击源追踪攻击源追踪在追踪网络攻击中，大局部网络攻击者都采用IP地址欺骗技术，这样，采用IP地址追踪方法难以实现追踪目的。因此，网络攻击追踪技术研究重点就转为如何重构攻击路径，或者说如何真实定位攻击源地址和攻击路径。攻击源追踪技术大致可以分为

26、两类被动追踪技术：只在被攻击的主机或网络嗅探到攻击现象发生后才启动追踪。主动追踪技术：在攻击尚未发生时，转发数据报文的节点将自身的标识信息发送给报文的接收方。被攻击方在检测到被攻击时，利用这些报文重构攻击路径。40入口过滤入口过滤通过配置路由器来组织那些具有非法源地址的报文。链路测试链路测试链路测试又包含输入检测和受控泛洪两种措施。输入检测方法要求被攻击的系统从所有报文中描述出攻击报文标志。管理员逐层上流出口端配置适宜的输入检测并检测攻击来源。受控泛洪方法就是制造泛洪攻击，通过观察路由器的状态来判断攻击路径。日志记载日志记载在传输路径上的一些重要路由器中队国王的报文做日志记录，并使用数据挖掘的

27、方法来分析报文传输的真实路径。ICMP追踪追踪ICMP追踪技术是在路由器中增加追踪机制，这种路由器成为itrace路由器。发送特殊ICMP报文，记录发送它的路由器IP地址、前一跳和后一跳地址。该路由器向源和目的地址都转发该特殊报文。受害者收集足够报文，就可以找出攻击路由。报文标记报文标记通过将信息写入到IP报文头来追踪泛洪攻击。414.入侵检测工具1Fport 2.02windows平安基准分析器MBSA3Lsof4Snort5Namp429、静夜四无邻，荒居旧业贫。11月-2311月-23Sunday,November 26,202310、雨中黄叶树，灯下白头人。02:48:4202:48:

28、4202:4811/26/2023 2:48:42 AM11、以我独沈久，愧君相见频。11月-2302:48:4202:48Nov-2326-Nov-2312、故人江海别，几度隔山川。02:48:4202:48:4202:48Sunday,November 26,202313、乍见翻疑梦，相悲各问年。11月-2311月-2302:48:4202:48:42November 26,202314、他乡生白发，旧国见青山。26 十一月 20232:48:42 上午02:48:4211月-2315、比不了得就不比，得不到的就不要。十一月 232:48 上午11月-2302:48November 26,

29、202316、行动出成果，工作出财富。2023/11/26 2:48:4202:48:4226 November 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。2:48:42 上午2:48 上午02:48:4211月-239、没有失败，只有暂时停止成功！。11月-2311月-23Sunday,November 26,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。02:48:4202:48:4202:4811/26/2023 2:48:42 AM11、成功就是日复一日那一点点小小努力的积累。11月-2302:48:4202:48Nov-23

30、26-Nov-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。02:48:4202:48:4202:48Sunday,November 26,202313、不知香积寺，数里入云峰。11月-2311月-2302:48:4202:48:42November 26,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26 十一月 20232:48:42 上午02:48:4211月-2315、楚塞三湘接，荆门九派通。十一月 232:48 上午11月-2302:48November 26,202316、少年十五二十时，步行夺得胡马骑。2023/11/26 2:48:4202:48

31、:4226 November 202317、空山新雨后，天气晚来秋。2:48:42 上午2:48 上午02:48:4211月-239、杨柳散和风，青山澹吾虑。11月-2311月-23Sunday,November 26,202310、阅读一切好书如同和过去最杰出的人谈话。02:48:4202:48:4202:4811/26/2023 2:48:42 AM11、越是没有本领的就越加自命非凡。11月-2302:48:4202:48Nov-2326-Nov-2312、越是无能的人，越喜欢挑剔别人的错儿。02:48:4202:48:4202:48Sunday,November 26,202313、知人

32、者智，自知者明。胜人者有力，自胜者强。11月-2311月-2302:48:4202:48:42November 26,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26 十一月 20232:48:42 上午02:48:4211月-2315、最具挑战性的挑战莫过于提升自我。十一月 232:48 上午11月-2302:48November 26,202316、业余生活要有意义，不要越轨。2023/11/26 2:48:4202:48:4226 November 202317、一个人即使已登上顶峰，也仍要自强不息。2:48:42 上午2:48 上午02:48:4211月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉