第六章網絡攻擊和入侵檢測1PPT課件學習目標了解黑客與網絡攻擊的基礎知識；掌握口令攻擊、端口掃描、緩沖區溢出、網絡監聽、特洛伊木馬等攻擊方式的原理、方法及危害；掌握入侵檢測技術和入侵檢測系統原理2PPT課件6.1網絡攻擊概述6.1.1關于黑客6.1.2黑客攻擊的步驟6.1.3網絡入侵的對象6.1.4主要的攻擊方法6.1.5攻擊的新趨勢

3PPT課件6.1.1關于黑客黑客(hacker)源于20世紀50年代麻省理工學院獨立思考、奉公守法的計算機迷駭客(Cracker)懷不良企圖，非法侵入他人系統進行偷窺、破壞活動的人

4PPT課件6.1.2黑客攻擊的步驟1．收集信息Ping程序：可以測試一個主機是否處于活動狀態、到達主機的時間等。Tracert程序：可以用該程序來獲取到達某一主機經過的網絡及路由器的列表。Finger協議：可以用來取得某一主機上所有用戶的詳細信息。DNS服務器：該服務器提供了系統中可以訪問的主機的IP地址和主機名列表。SNMP協議：可以查閱網絡系統路由器的路由表，從而了解目標主機所在網絡的拓撲結構及其它內部細節。Whois協議：該協議的服務信息能提供所有有關的DNS域和相關的管理參數。5PPT課件6.1.2黑客攻擊的步驟2．探測系統安全弱點利用“補丁”找到突破口

用戶沒有及時地使用“補丁”程序，這就給了攻擊者可趁之機。利用掃描器發現安全漏洞

掃描器可以對整個網絡或子網進行掃描，尋找安全漏洞。比較流行的掃描器:x-san

6PPT課件6.1.2黑客攻擊的步驟3．實施攻擊（1）掩蓋行跡，預留后門。攻擊者潛入系統后，會盡量銷毀可能留下的痕跡，并在受損害系統中找到新的漏洞或留下后門，以備下次光顧時使用。（2）安裝探測程序。

攻擊者退出去以后，探測軟件仍可以窺探所在系統的活動，收集攻擊者感興趣的信息，如：用戶名、賬號、口令等，并源源不斷地把這些秘密傳給幕后的攻擊者。（3）取得特權，擴大攻擊范圍。

如果攻擊者獲得根用戶或管理員的權限……

7PPT課件6.1.3網絡入侵的對象網絡入侵對象（1）固有的安全漏洞

協議的安全漏洞、弱口令、緩沖區溢出等

（2）系統維護措施不完善的系統。系統維護；軟件更新或升級；路由器及防火墻的過濾規則。（3）缺乏良好安全體系的系統建立有效的、多層次的防御體系

8PPT課件6.1.4主要的攻擊方法1.掃描技術2．口令攻擊3．欺騙技術4．放置特洛伊木馬5．DoS9PPT課件6.3掃描器6.3.1

端口與服務6.3.2掃描技術10PPT課件6.3.1端口與服務（1）公認端口（WellKnownPorts）：從0到1023，它們緊密綁定于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如：80端口實際上總是HTTP通訊。（2）注冊端口（RegisteredPorts）：從1024到49151。它們松散地綁定于一些服務。（3）動態和/或私有端口（Dynamicand/orPrivatePorts）：從49152到65535。理論上，不應為服務分配這些端口11PPT課件6.3.2掃描技術1.端口掃描端口掃描技術是向目標主機的TCP/IP服務端口發送探測數據包，并記錄目標主機的響應的技術。12PPT課件6.3.2掃描技術對85的計算機進行端口掃描，在Scan文本框中輸入IP地址，點擊按鈕“START”13PPT課件6.3.2掃描技術2.共享目錄掃描14PPT課件6.3.2掃描技術該軟件可以掃描一個IP地址段的共享信息。在起始IP框輸入和終止IP框中輸入55，點擊按鈕“開始查找”就可以得到對方的共享目錄了15PPT課件6.3.2掃描技術3.系統用戶掃描 目前計算機系統一般都支持多用戶操作。這些帳號的存在都是黑客掃描的重點。系統用戶掃描軟件NTscan。16PPT課件6.3.2掃描技術對IP為4的計算機進行掃描，首先將該IP段添加到掃描配置中（軟件的左上角），輸入需要掃描的IP段17PPT課件6.3.2掃描技術4.漏洞掃描漏洞即任何會引起系統的安全性受到破壞的事物，包括不恰當的操作指導、病毒、沒有被正確配置的系統、弱密碼或者寫在紙條上的密碼等。18PPT課件6.3.2掃描技術可以利用該軟件對系統存在的一些漏洞進行掃描，選擇菜單欄設置下的菜單項“設置--掃描參數”,接著需要確定要掃描主機的IP地址或者IP地址段，選擇菜單欄設置下的菜單項“掃描參數”，掃描一臺主機，在指定IP范圍框中輸入：-5519PPT課件6.3.2掃描技術選中你需要檢測的漏洞，點擊按鈕“確定”。20PPT課件6.3.2掃描技術設置完畢后，進行漏洞掃描，點擊工具欄上的圖標“開始”，開始對目標主機進行掃描21PPT課件攻擊實施技術6.4口令攻擊6.5欺騙攻擊6.6拒絕服務攻擊22PPT課件6.4口令攻擊6.4.1獲取口令的一些方法6.4.2設置安全的口令6.4.3一次性口令23PPT課件6.4.1獲取口令的一些方法窮舉(暴力)攻擊如果字典攻擊仍然不能夠成功，入侵者會采取窮舉攻擊，即暴力攻擊。(1)暴力破解操作系統密碼24PPT課件6.4.1獲取口令的一些方法進入“設置-掃描參數”，輸入需要檢測的主機IP。25PPT課件6.4.1獲取口令的一些方法然后點擊“全局設置—掃描模塊”，將“NT-Server弱口令”選項勾選上，點擊確定完成26PPT課件6.4.1獲取口令的一些方法點擊開始掃描，一段時間后會顯示結果和一份掃描報告。27PPT課件6.4.1獲取口令的一些方法(2)暴力破解應用程序密碼暴力破解郵箱密碼，可以用工具軟件：流光Fluxay28PPT課件6.4.1獲取口令的一些方法只破解用戶dnizoy1的郵箱密碼為例，用鼠標右擊POP3主機并選擇“編輯”→“添加”命令，進入“添加用戶”對話框；在對話框中輸入用戶名dnizoy1，然后單擊“確定”按鈕，把用戶dnizoy1列在主機下的用戶列表29PPT課件6.4.1獲取口令的一些方法用同樣的方法，在”解碼字典或方案”下添加一個密碼字典文件，該文件里的密碼可以選用流光默認給出的密碼，也可以使用自己設置的密碼，比如社工得到的特殊字符。最后，只要再次選擇“探測”→“標準模式”命令，“流光”就可以開始進行密碼破解了。30PPT課件6.4.2設置安全的口令（1）口令的選擇：字母數字及標點的組合，如：Ha,Pp@y!和w/(X,y)*;使用一句話的開頭字母做口令，如：由Afoxjumpsoveralazydog!產生口令：AfJoAld!。（2）口令的保存：記住、放到安全的地方，加密最好。（3）口令的使用：輸入口令不要讓別人看到；不要在不同的系統上使用同一口令；定期改變口令。31PPT課件6.4.3一次性口令

（OTP，One-TimePassword）OTP的主要思路是：在登錄過程中加入不確定因素，使每次登錄過程中的生成的口令不相同。口令列表，每次登錄使用完一個口令后就將它從列表明中刪除；用戶也可以使用IC卡或其他的硬件卡來存儲用戶的秘密信息，這些信息再隨機數、系統時間等參數一起通過散列得到一個一次性口令。

32PPT課件6.5欺騙攻擊1.ARP欺騙攻擊ARP是地址解析協議，負責將IP地址轉換為MAC地址。為了減少網絡流量，當一臺主機的ARP處理機制中接收到一個ARP應答的時候，該主機不進行驗證，即使該主機從未發出任何的ARP請求，仍然會把接收的MAC地址(網卡地址)映射信息放人ARP緩沖，也就是說，一臺主機從網上接收到的任何ARP應答都會更新自己的地址映射表，而不管其是否真實。2.IP欺騙攻擊

IP欺騙攻擊的原理是：假設主機A和主機B是相互信任的，攻擊者C冒充主機B的IP，就可以使用命令遠程登錄到主機A，而不需任何口令驗證，從而達到攻擊的目的。33PPT課件6.5.1IP欺騙的工作原理（1）使被信任主機喪失工作能力TCPSYN-Flood：t1:Z（X）－－－SYN－－－>BZ（X）－－－SYN－－－＞BZ（X）－－－SYN－－－＞B

……………t2:X＜－－－SYN/ACK--------BX＜－－－SYN/ACK--------B

……………t3:X＜－－－RST－－－B34PPT課件6.5.1IP欺騙的工作原理（2）序列號猜測方法攻擊者先與被攻擊主機的一個端口建立起正常的連接。通常，這個過程被重復若干次，并將目標主機最后所發送的ISN（初始序列號）存儲起來。攻擊者還需要估計他的主機與被信任主機之間的RTT時間（往返時間），這個RTT時間是通過多次統計平均求出的。35PPT課件6.5.1IP欺騙的工作原理（3）實施欺騙Z偽裝成A信任的主機B攻擊目標A的過程如下：t1:Z（B）－－SYN－－－>At2:B＜－－－SYN/ACK－－－At3:Z（B）－－－ACK－－－＞At4:Z（B）－－－—PSH－－－＞A36PPT課件6.5.2IP欺騙的防止（1）拋棄基于地址的信任策略（2）進行包過濾（3）使用加密方法（4）使用隨機化的初始序列號37PPT課件補充：ARP安全ARP（AddressResolutionProtocol，地址解析協議）用來將IP地址映射到MAC地址，以便設備能夠在共享介質的網絡（如以太網）中通信。在ARP協議的實現中還有一些應該注意的事項：（1）每臺計算機上都有一個ARP緩沖，它保存了一定數量的從IP地址到MAC地址的映射。當一個ARP廣播到來時，雖然這個ARP廣播可能與它無關，但ARP協議軟件也會把其中的物理地址與IP地址的映射記錄下來，這樣做的好處是能夠減少ARP報文在局域網上發送的次數。2023年6月9日網絡實驗室38PPT課件（2）按照缺省設置，ARP高速緩存中的項目是動態的。ARP緩沖中IP地址與物理地址之間的映射并不是一旦生成就永久有效的，每一個ARP映射表項都有自己的壽命，如果在一段時間內沒有使用，那么這個ARP映射就會從緩沖中被刪除，這一點和交換機MAC地址表的原理一樣。這種老化機制，大大減少了ARP緩存表的長度，加快了查詢速度。2023年6月9日網絡實驗室39PPT課件在以太網中，當主機要確定某個IP地址的MAC地址時，它會先檢查自己的ARP緩沖表，如果目標地址不包含在該緩沖表中，主機就會發送一個ARP請求（廣播形式），網段上的任何主機都可以接收到該廣播，但是只有目標主機才會響應此ARP請求。由于目標主機在收到ARP請求時可以學習到發送方的IP地址到MAC地址的映射，因此它采用一個單播消息來回應請求。圖ARP請求的過程

2023年6月9日網絡實驗室40PPT課件主機B、主機D收到主機A發來的ARP請求時，它們發現這個請求不是發給自己的，因此它們忽略這個請求，但是它們還是將主機A的IP地址到MAC地址的映射記錄到自己的ARP表中。當主機C收到主機A發來的ARP請求時，它發現這個ARP請求是發給自己的，于是它用單播消息回應ARP請求，同時記錄下其IP地址到MAC地址的映射。圖ARP回應的過程

2023年6月9日網絡實驗室41PPT課件ARP欺騙1．ARP欺騙的概念和現狀由于ARP協議在設計中存在的主動發送ARP報文的漏洞，使得主機可以發送虛假的ARP請求報文或響應報文，報文中的源IP地址和源MAC地址均可以進行偽造。在局域網中，即可以偽造成某一臺主機（如服務器）的IP地址和MAC地址的組合，也可以偽造成網關的IP地址和MAC地址的組合，等等。

2023年6月9日網絡實驗室42PPT課件2．針對計算機的ARP欺騙假設主機A向主機B發送數據。在主機A中，主機A在ARP緩存表中查找是否有主機B的MAC地址（其實是主機B的IP地址與MAC地址的對應關系），如果有，則直接將該MAC地址（22-22-22-22-22-22）作為目的MAC地址添加到數據單元的網絡首部（位于網絡接口層），成為數據幀。在局域網（同一IP網段，如本例的192.168.1.x）中，主機利用MAC地址作為尋址的依據，所以主機A根據主機B的MAC地址，將數據幀發送給主機B。2023年6月9日網絡實驗室43PPT課件圖5-8主機中IP地址與MAC地址的對應關系示意圖2023年6月9日網絡實驗室44PPT課件如果主機A在ARP緩存表中沒有找到目標主機B的IP地址對應的MAC地址，主機A就會在網絡上發送一個廣播幀，該廣播幀的目的MAC地址是“FF.FF.FF.FF.FF.FF”，表示向局域網內的所有主機發出這樣的詢問：IP地址為的MAC地址是什么？在局域網中所有的主機都會接收到該廣播幀，但在正常情況下因為只有主機B的IP地址是，所以主機B會對該廣播幀進行ARP響應，即向主機A發送一個ARP響應幀：我（IP地址是）的MAC地址是22-22-22-22-22-22。

2023年6月9日網絡實驗室45PPT課件如果現在主機D要對主機A進行ARP欺騙，冒充自己是主機C。具體實施中，當主機A要與主機C進行通信時，主機D主動告訴主機A自己的IP地址和MAC地址的組合是“+44-44-44-44-44-44”，這樣當主機A要發送給主機C數據時，會將主機D的MAC地址44-44-44-44-44-44添加到數據幀的目的MAC地址中，從而將本來要發給主機C的數據發給了主機D，實現了ARP欺騙。在整個ARP欺騙過程中，主機D稱為“中間人”（maninthemiddle），對這一中間人的存在主機A根本沒有意識到。2023年6月9日網絡實驗室46PPT課件通過以上的ARP欺騙，使主機A與主機C之間斷開了聯系。現在假設主機C是局域網中的網關，而主機D為ARP欺騙者。當局域網中的計算機要與其他網絡進行通信（如訪問Internet）時，所有發往其他網絡的數據全部發給了主機D，而主機D并非真正的網關，這樣整個網絡將無法與其他網絡進行通信。2023年6月9日網絡實驗室47PPT課件圖ARP欺騙的實現過程2023年6月9日網絡實驗室48PPT課件6.6

拒絕服務10.6.1什么是拒絕服務10.6.2分布式拒絕服務49PPT課件6.6.1什么是拒