【正文】 Server) 1 C打開 IP轉(zhuǎn)發(fā)功能 2 C發(fā)送假冒的 arp包給 B,聲稱自己是 GW的 IP地址 3 B給外部發(fā)送數(shù)據(jù)，首先發(fā)給 C 4 C再轉(zhuǎn)發(fā)給 GW 普通用戶 B 嗅探者 C ARP欺騙 + Sniffer (一種中間人攻擊 ) 交換環(huán)境中的嗅探器 Sniffer 危害 ?嗅探器能夠捕獲口令 ?能夠捕獲專用的或者機(jī)密的信息 ?危害網(wǎng)絡(luò)鄰居的安全 ?獲取更高級別的訪問權(quán)限 ?獲得進(jìn)一步進(jìn)行攻擊需要的信息 網(wǎng)絡(luò)監(jiān)聽安全對策 ?規(guī)劃網(wǎng)絡(luò) 合理分段，采用交換機(jī)、路由器、網(wǎng)橋等設(shè)備，相互信任的主機(jī)處于同一網(wǎng)段 ?采用加密會(huì)話 對安全性要求高的數(shù)據(jù)通訊進(jìn)行加密傳輸 例如采用目前比較流行的 SSL協(xié)議以及使用 SSH這樣的安全產(chǎn)品傳送敏感 ?使用一次性口令技術(shù) (OTP) ?為了防止 ARP欺騙，使用永久的 ARP緩存條目 ?使用檢測工具 TripWar AntiSniffer（ L0pht， not free） 拒絕服務(wù)攻擊 (DOS) ? 拒絕服務(wù)攻擊的簡稱是： DoS（ Denial of Service）攻擊，凡是造成目標(biāo)計(jì)算機(jī)拒絕提供服務(wù)的攻擊都稱為 DoS攻擊，其目的是使目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。 是登錄屏還是特洛伊木馬 ? G. Mark Hardy 吃驚嗎 ! G. Mark Hardy GINA木馬！ 木馬的分類 1) 遠(yuǎn)程訪問型特洛伊木馬 2) 鍵盤記錄型特洛伊木馬 3) 密碼發(fā)送型特洛伊木馬 4) 破壞型特洛伊木馬 5) 代理木馬 6) FTP型特洛伊木馬 7) 網(wǎng)頁型木馬 8) ?? 常見的 Trojans 木馬的植入方式 利用系統(tǒng)漏洞安裝 電子郵件附件、瀏覽網(wǎng)頁、FTP文件下載、 等方式傳播 手工放置 木馬的查殺 ?安裝殺毒軟件和防火墻 ?檢查 INI文件 ?查看 “ run=”、 “ load=” ?查看 “ shell= 程序名 ”后面所加載的程序。傳說希臘人圍攻特洛伊城，久久不能攻克，后來軍師想出了一個(gè)特洛伊木馬計(jì)，讓士兵藏在巨大的特洛伊木馬中部隊(duì)假裝撤退而將特洛伊木馬丟棄在特洛伊城下，讓敵人將其作為戰(zhàn)利品拖入城中，到了夜里，特洛伊木馬內(nèi)的士兵便趁著夜里敵人慶祝勝利、放松警惕的時(shí)候從特洛伊木馬里悄悄地爬出來，與城外的部隊(duì)里應(yīng)外合攻下了特洛伊城。 ? 木馬程序在表面上看上去沒有任何的損害，實(shí)際上隱藏著可以控制用戶整個(gè)計(jì)算機(jī)系統(tǒng)、打開后門等危害系統(tǒng)安全的功能。 ? 駐留在對方服務(wù)器的稱之為木馬的服務(wù)器端，遠(yuǎn)程的可以連到木馬服務(wù)器的程序稱之為客戶端。 ? 案例 電子郵箱暴力破解： 工具軟件： 黑雨 ——POP3郵箱密碼暴力破解器 木 馬 ? 木馬是一種 可以駐留在對方系統(tǒng)中 的一種程序。 暴力破解郵箱密碼 ? 郵箱的密碼一般需要設(shè)置到八位以上，否則七位以下的密碼容易被破解。 ?緩沖區(qū)溢出可以 : ?使主機(jī)系統(tǒng)癱瘓； ?獲取系統(tǒng)的登錄賬號； ?獲得系統(tǒng)的超級用戶權(quán)限。 ?亂序掃描的 端口號的順序是隨機(jī) 生產(chǎn)的，這種方式能有效的欺騙某些入侵檢測系統(tǒng)而不會(huì)被入侵檢測系統(tǒng)發(fā)覺 掃描器 ?SATAN ?SAINT ?SSS ?Strobe ?XScan ?…… ?ISS (安氏 ) ?Pinger ?Portscan ?Superscan ?流光 ? 掃描工具： ? 掃描內(nèi)容包括： ? 遠(yuǎn)程操作系統(tǒng)類型及版本 ? 標(biāo)準(zhǔn)端口狀態(tài)及端口 Banner信息 ? SNMP信息， CGI漏洞， IIS漏洞， RPC漏洞， SSL漏洞 ? SQLSERVER、 FTPSERVER、 SMTPSERVER、 POP3SERVER ? NTSERVER弱口令用戶， NT服務(wù)器 NETBIOS信息 ? 注冊表信息等。 ? 例如： ? 操作系統(tǒng)漏洞 ? 弱口令用戶 ? 應(yīng)用程序漏洞 ? 配置錯(cuò)誤等 高級掃描術(shù)－慢速掃描 ?如果掃描是對 非連續(xù)性 端口、 源地址不一致、時(shí)間間隔很長 且 沒有規(guī)律 的掃描的話，這些掃描的記錄就會(huì)淹沒在其他眾多雜亂的日志內(nèi)容中 ?使用慢速掃描的目的就是騙過防火墻和入侵檢測系統(tǒng)而收集信息。然后入侵者才能針對這些服務(wù)進(jìn)行相應(yīng)的攻擊。 截獲 篡改 偽造 中斷 被動(dòng)攻擊 主 動(dòng) 攻 擊 目的站 源站 源站 源站 源站 目的站 目的站 目的站 被動(dòng)攻擊：（破壞保密性） ? 消息內(nèi)容分析 ? 通信量分析 主動(dòng)攻擊 ? 中斷（破壞可用性） ? 篡改（破壞完整性） ? 偽造（破壞真實(shí)性） 典型的網(wǎng)絡(luò)攻擊方式和分類 !!! —— 利用 Windows NT/2022 空會(huì)話 ? 原理 ? 利用 Windows NT/2022 對 NetBIOS的缺省信賴 ? 通過 TCP端口 139 返回主機(jī)的大量信息 ? 實(shí)例 ? 如果通過端口掃描獲知 TCP端口 139已經(jīng)打開 ? use \\\IPC$ “口令 ” /USER: “用戶名 ? 在攻擊者和目標(biāo)主機(jī)間建立連接 ? use z: \\\c$ ? copy \\\admin$\system32 ? time \\ ? at \\ 21:05 ? Windows 2022還有另一個(gè) SMB端口 445 針對 Win系統(tǒng)的網(wǎng)絡(luò)攻擊術(shù)常識 !!! 常用攻擊手段 ——分別介紹 ?漏洞掃描 ?特洛伊木馬 ?網(wǎng)絡(luò)嗅探（ Sniffer）技術(shù) ?拒絕服務(wù)（ DOS）和分布式拒絕服務(wù) ?口令猜測 ?欺騙技術(shù) ?緩沖區(qū)溢出 系統(tǒng)信息收集 掃描目的 遠(yuǎn)程操作系統(tǒng)識別 網(wǎng)絡(luò)結(jié)構(gòu)分析 其他敏感信息收集 漏洞檢測 錯(cuò)誤的配置 系統(tǒng)安全漏洞 弱口令檢測 常用攻擊手段－漏洞掃描 掃描類型－地址掃描 Ping Reply 掃描類型－端口掃描 ? 主機(jī)可使用的端口號為 0～ 65535，前 1024個(gè)端口是保留端口，這些端口被提供給特定的服務(wù)使用。 TCP/IP協(xié)議體系結(jié)構(gòu) 傳輸層端 端通信協(xié)議數(shù)據(jù)鏈路層網(wǎng)絡(luò)層物理層傳輸層應(yīng)用層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層物理層網(wǎng)絡(luò)層協(xié)議數(shù)據(jù)鏈路層網(wǎng)絡(luò)層物理層傳輸層應(yīng)用層通信子網(wǎng)主機(jī)A 主機(jī)B數(shù)據(jù)鏈路層協(xié)議物理層協(xié)議網(wǎng)絡(luò)層協(xié)議數(shù)據(jù)鏈路層協(xié)議物理層協(xié)議TCP協(xié)議的三次“握手” 1 7 2 . 1 8 . 2 5 . 1 1 0 1 7 2 . 1 8 . 2 5 . 1 0 9我 可 以 連 接 到 你 嗎 ？當(dāng) 然 可 以那 我 就 不 客 氣 了TCP協(xié)議的四次“揮手” 1 7 2 . 1 8 . 2 5 . 1 1 0 1 7 2 . 1 8 . 2 5 . 1 0 9我 要 結(jié) 束 連 接當(dāng) 然 可 以好 ， 收 到終 止 了分布式進(jìn)程通信的 c/s模式 通信子網(wǎng)應(yīng)用程序進(jìn)程應(yīng)用程序進(jìn)程網(wǎng)絡(luò)層協(xié)議作用范圍傳輸層協(xié)議作用范圍客戶端 Client 服務(wù)器端 Server 常見攻擊手段及防御措施 二 . 黑客常用攻擊手段及防御措施 網(wǎng)絡(luò)攻防技術(shù)基礎(chǔ) 系統(tǒng)安全性配置指南 成功的攻擊 = 目的 + 手段 + 系統(tǒng)漏洞 Attacker 攻擊的目的 ?獲取控制權(quán) ?好奇、惡作劇、證明實(shí)力 ?執(zhí)行進(jìn)程 ?獲取文件和傳輸中的數(shù)據(jù) ?獲取超級用戶權(quán)限、越權(quán)使用資源 ?對系統(tǒng)進(jìn)行非法訪問 ?進(jìn)行不許可操作、越權(quán)使用 ?拒絕服務(wù) ?涂改信息、暴露信息 G. Mark Hardy 常用攻擊手段 ?漏洞掃描 ?特洛伊木馬 ?網(wǎng)絡(luò)嗅探（ Sniffer）技術(shù) ?拒絕服務(wù)和分布式拒絕服務(wù) ?口令猜測 ?欺騙技術(shù) ?緩沖區(qū)溢出 常用攻擊工具 ? 標(biāo)準(zhǔn)的 TCP/IP工具 (ping, tel? ) ? 端口掃描和漏洞掃描 (ISSSafesuit, Nmap, portscaner? ) ? 網(wǎng)絡(luò)包分析儀 (snifferPro, work monitor) ? 口令破解工具 (lc4, fakegina) ? 木馬 (BO2k, 冰河 , ? ) 攻擊的三個(gè)階段 ?準(zhǔn)備階段：尋找目標(biāo)，收集信息 ?實(shí)施階段：獲得初始的訪問控制權(quán)與特權(quán) ?善后工作：清除蹤跡，留下后門 G. Mark Hardy 攻擊的五個(gè)步驟 ?一次成功的攻擊，都可以歸納成基本的五步驟，但是根據(jù)實(shí)際情況可以隨時(shí)調(diào)整。 ? 在這樣的一個(gè)格局中 ， 我們只有一個(gè)定位： 反對信息霸權(quán) ， 保衛(wèi)信息主權(quán) ！ 關(guān)注網(wǎng)絡(luò)安全的必要性 一 . 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全現(xiàn)狀概述 導(dǎo)致網(wǎng)絡(luò)安全問題的原因 導(dǎo)致網(wǎng)絡(luò)信息安全問題的原因 內(nèi)因： ——人們的認(rèn)識能力和實(shí)踐能力的局限性 （ 1） 設(shè)計(jì)上 的問題： Inter 從一開始就缺乏安全的總體構(gòu)想和設(shè)計(jì)， TCP/IP 協(xié)議是在可信環(huán)境下，為網(wǎng)絡(luò)互聯(lián)而專門設(shè)計(jì)的，缺乏安全措施的考慮。 ? 在白宮 Inter安全會(huì)議上，克林頓一次宣布撥款$900萬，用于資助訓(xùn)練 Inter安全專家和建立聯(lián)邦 Inter安全所， 拔款 $20億 用于建設(shè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施以打擊網(wǎng)絡(luò)恐怖活動(dòng)。 ? 同樣的方法還應(yīng)用到 南聯(lián)盟首領(lǐng)米洛舍維奇 的頭上 ， 美軍雇傭黑客闖入瑞士銀行系統(tǒng) ， 調(diào)查米氏的存款情況并加以刪除 ， 從心理上給予米氏以沉重的打擊 。 當(dāng)南聯(lián)盟軍官在計(jì)算機(jī)屏幕上看到敵機(jī)目標(biāo)的時(shí)候 ， 天空上其實(shí)什么也沒有 。 多國部隊(duì)運(yùn)用精湛的信息技術(shù) ,僅以傷亡百余人的代價(jià)取得了殲敵十多萬的成果 。 網(wǎng)絡(luò)信息安全問題涉及國家安全 ——信息戰(zhàn) ? 有組織 、 大規(guī)模的網(wǎng)絡(luò)攻擊預(yù)謀行為：國家級 、 集團(tuán)級 ? 無硝煙的戰(zhàn)爭： 跨國界 、 隱蔽性 、 低花費(fèi) 、 跨領(lǐng)域 、 高技術(shù)性 、 情報(bào)不確定性 ? 美國的 “ 信息戰(zhàn)執(zhí)行委員會(huì) ” ： ? 網(wǎng)絡(luò)防護(hù)中心 （ 1999年 ） ? 信息作戰(zhàn)中心 （ 2022年 ） ? 網(wǎng)絡(luò)攻擊演練 （ 2022年 ） 《 MC02演習(xí) 》 ? 要害目標(biāo)： ? 金融支付中心 、 證券交易中心 ? 空中交管中心 、 鐵路調(diào)度中心 ? 電信網(wǎng)管中心 、 軍事指揮中心 網(wǎng)絡(luò)信息安全問題涉及國家安全 ——信息戰(zhàn) 因特網(wǎng) 信息戰(zhàn)的威脅在增加 電力 交通 通訊 控制 廣播 工業(yè) 金融 醫(yī)療 網(wǎng)絡(luò)信息安全問題涉及國家安全 ——信息戰(zhàn) 信息戰(zhàn)重要實(shí)例 ? 1990年 海灣戰(zhàn)爭 ， 被稱為 “ 世界上首次全面信息戰(zhàn) ” ， 充分顯示了現(xiàn)代高技術(shù)條件下 “ 制信息權(quán) ” 的關(guān)鍵作用 。 其手段有：計(jì)算機(jī)病毒 、 邏輯炸彈 、 后門 （ Back Door） 、黑客 、 電磁炸彈 、 納米機(jī)器人和芯片細(xì)菌等 。 ? 網(wǎng)上治安問題，民事問題， 人身侮辱 事件 …… – 來自上海，四川的舉報(bào) ? 網(wǎng)上賭博，網(wǎng)上色情 信息戰(zhàn) —— 敵對雙方為爭奪對于信息的獲取權(quán)、控制權(quán)和使用權(quán)而展開的斗爭。 ——新華社 /路透 編寫病毒的黑客 編寫病毒的黑客 病毒造成的損失程度 ? 2022年計(jì)算機(jī)病毒攻擊給全球造成損失 130億美元 ? 2022年電腦病毒攻擊造成大約 200300億美元損失 ? 2022年的損失則達(dá)到 550億美元 ? 2022年僅 MyDoom病毒的損失就高達(dá) 300億美元 ?? 惡意代碼攻擊的年度損失 0246810121416181996 1997 1998 1999 2022 2022網(wǎng)絡(luò)安全問題涉及國家安全 ——社會(huì)穩(wěn)定 ——互連網(wǎng)上散布的虛假信息、有害信息對社會(huì)管理秩序造成的危害，要比現(xiàn)實(shí)社會(huì)中一個(gè) 造謠 要大的多。李 ? 令全世界聞風(fēng)喪膽、令所有企業(yè)深惡痛絕的“ 沖擊波 ”病毒 2022年 7月發(fā)作，使得大量網(wǎng)絡(luò)癱瘓，造成了數(shù)十億美金的損失。在這三個(gè)時(shí)間段中恰好是“ 歡樂時(shí)光 ”病毒、“ 尼姆達(dá) ”病毒、“求職信”病毒和 GOP等病毒的高發(fā)期。 —— 愛蟲病毒造成的損失超過 100億美元！ 安全事件造成的經(jīng)濟(jì)損失 (4) ? 在 2022年 7月開始發(fā)作的“ 紅色代碼 ”病毒造成大面積網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失超過 2