nis4-网络攻击和其防范.ppt

第5章 网络攻击及其防范; 网络攻击是指对网络系统的机密性?完整性?可用性?可控性和抗抵赖性产生危害的行为? 攻击行为从攻击者开始在接触目标机的那个时刻起可以说就已经开始了。比如，获得了没有授权的读写特权，或者滥用权限对系统的数据进行破坏，或者使得系统不能正常为其他用户提供服务的行为。 ;; 所谓网络的入侵是指对接入网络的计算机系统的非法入侵，即攻击者未经合法的手段和程序而取得了使用该系统资源的权限? 网络入侵的目的有多种： 1.取得使用系统的存储能力?处理能力以及访问其存储内容的权限； 2.作为进入其他系统的跳板； 3.破坏这个系统（使其毁坏或丧失服务能力）? ;黑客--恶意网络攻击者;黑客--恶意网络攻击者;黑客--恶意网络攻击者;黑客--恶意网络攻击者;黑客--恶意网络攻击者;黑客--恶意网络攻击者;攻击的分类; 攻击的分类; 攻击的分类;;网络攻击步骤; 网络攻击的步骤： （1）攻击者的身份和位置隐藏：利用被侵入的主机作为跳板，如在安装Windows的计算机内利用Wingate软件作为跳板，利用配置不当的Proxy作为踏板、电话转接技术、盗用他人的账号、代理、伪造IP地址、假冒用户账号。 （2）收集攻击目标信息：主要方法有口令攻击、端口扫描、漏洞检测、对目标系统进行整体安全性分析，还可利用如ISS、SATAN和NESSUS等报告软件来收集目标信息。 （3）挖掘漏洞信息：常用的技术有系统或应用服务软件漏洞、主机信任关系漏洞、目标网络的使用者漏洞、通信协议漏洞和网络业务系统漏洞。 （4）获取目标访问权限：通过一切办法获得管理员口令。; （5）隐蔽攻击行为：包括连接隐藏、进程隐藏和文件隐藏等。 （6）实施攻击：攻击主要包括修改删除重要数据、窃听敏感数据、停止网络服务和下载敏感数据等。 （7）开辟后门：主要有放宽文件许可权、重新开放不安全的服务如TFTP等、修改系统的配置如系统启动文件、替换系统本身的共享库文件、修改系统的源代码、安装各种特洛伊木马、安装Sniffers和建立隐蔽信道等。 （8）清除攻击痕迹：主要方法有篡改日志文件中的审计信息、改变系统时间造成日志文件数据紊乱以迷惑系统管理员、删除或停止审计服务进程、干扰入侵检测系统正常运行和修改完整性检测标签等。 ; 这些行为可抽象地分为四个基本情形：信息泄漏攻击、完整性破坏攻击、拒绝服务攻击和非法使用攻击? 攻击类型主要有：拒绝服务攻击，分布式拒绝服务攻击，利用型攻击，信息收集型攻击，假消息攻击等等。 ; 拒绝服务攻击（Denial of Service，DoS） DoS攻击是目前最常见的一种攻击类型。 从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单，但又很有效的进攻方式。它的目的就是拒绝用户的服务访问，破坏组织的正常运行，最终使网络连接堵塞，或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃，无法给合法用户提供服务。 ; DoS攻击的基本过程为：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。 ;2.4.5 SYN Flood攻击原理;2.4.5 SYN Flood攻击原理;2.4.5 连接耗尽;针对SYN-Flooding攻击的防范措施（一）SYN Defender;针对SYN-Flooding攻击的防范措施（二）SYN proxy;3.9 Land 攻击;“拒绝服务”的例子: LAND 攻击;“拒绝服务”的例子: LAND 攻击;“拒绝服务”的保护: 代理类的防火墙;TCP 同步 泛滥;TCP SYN 泛滥;SYN攻击示意图;Smuff攻击示意图;分布式拒绝服务（DDOS）;分布式拒绝服务攻击网络结构图;分布式拒绝服务攻击步骤1; ; ;Hacker;Internet;Targeted System;Master;（分布式）拒绝服务攻击; 利用型攻击是一类试图直接对用户的机器进行控制的攻击，最常见的有三种： （1）口令猜测 (2) 特洛伊木马:特洛伊木马是一种或是直接由一个黑客、或是通过一个不会令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。 （3）缓冲区溢出?