北京大学：《网络信息安全》课程教学资源（讲稿）第八讲 网络威胁与攻击分析

《网络与信息安全》教程 第八饼网络威胁与攻击分析 主讲:段云所副教授 北京大学计算机系 does(.edu.cn

网络与信息安全 网络与信息安全 教程 第八讲 网络威胁与攻击分析 网络威胁与攻击分析 主讲 段云所 副教授 北京大学计算机系 北京大学计算机系 doyes@pku.edu.cn doyes@pku.edu.cn

认识黑客( Hacker lacker起源 Hack:() cut roughly or clumsily,chop(砍、辟) 2) horse may be hired 3)person paid to do hard and uninteresting work as a writer 引伸义:干了一件漂亮的事 Hacker:也指恶作剧 Hacker differs from cracker

认识黑客 Hacker) Hacker起源 Hack: (1) cut roughly or clumsily, chop(砍 辟 (2) horse may be hired (3) person paid to do hard and uninteresting work as a writer 引伸义 干了一件漂亮的事 Hacker: 也指恶作剧 Hacker differs from Cracker

黑客守 1)不恶意破坏系统 2)不修改系统文档 )不在bs上谈论入侵事项 4)不把要侵入的站点告诉不信任的朋友 5)在pst文章时不用真名 6)入侵时不随意离开用户主机 7)不入侵政府机关系统 )不在电话中谈入侵事项 )将笔记保管好 0)要成功就要实践 不删除或涂改已入侵主机的帐号 12)不与朋友分享已破解的帐号

黑客守则 1) 不恶意破坏系统 2) 不修改系统文档 3) 不在bbs上谈论入侵事项 4) 不把要侵入的站点告诉不信任的朋友 5) 在post文章时不用真名 6) 入侵时不随意离开用户主机 7) 不入侵政府机关系统 8) 不在电话中谈入侵事项 9) 将笔记保管好 10) 要成功就要实践 11) 不删除或涂改已入侵主机的帐号 12) 不与朋友分享已破解的帐号

网络攻击三部曲(踩点→扫描->攻击) 踩点(信息收集 SNMP协议 TraceRoute序 Whois协议 DNS服务器 Finger协议 Ping实用程序

网络攻击三部曲 踩点->扫描->攻击 踩点 信息收集 SNMP协议 TraceRoute程序 Whois协议 DNS服务器 Finger协议 Ping实用程序

网络攻击三部曲(踩点→扫描->攻击) 扫描(漏洞侦测 使用自制工具 使用专用工具( SATAN等) 攻击 建立帐户 安装远程控制器 发现信任关系,全面攻击 获取特权

网络攻击三部曲 踩点->扫描->攻击 扫描 漏洞侦测 使用自制工具 使用专用工具 SATAN 等 攻击 建立帐户 安装远程控制器 发现信任关系 全面攻击 获取特权 …

Q网络攻击概览 按照攻击的性质及其手段,可将通常的 网络攻击分为以下四大类型: ◆口令攻击 ◆拒绝服务攻击(也叫业务否决攻击) ◆利用型攻击 ◆信息收集型攻击 ◆假消息攻击

网络攻击概览 按照攻击的性质及其手段 可将通常的 网络攻击分为以下四大类型 ♦口令攻击 ♦拒绝服务攻击 也叫业务否决攻击 ♦利用型攻击 ♦信息收集型攻击 ♦假消息攻击

口令攻击 通过猜测或获取口令文件等方式获得系统认证口令, 从而进入系统。 危险口令类型: 用户名 用户名变形 生日 常用英文单词 ◆5为以下长度的口令 无口令、默认口令

口令攻击 通过猜测或获取口令文件等方式获得系统认证口令 从而进入系统 危险口令类型 ♦ 用户名 ♦ 用户名变形 ♦ 生日 ♦ 常用英文单词 ♦ 5为以下长度的口令 ♦ 无口令 默认口令

服务拒绝攻击 拒绝服务攻击通过使计算机功能或性能崩溃来阻止 提供服务;是常见实施的攻击行为。主要包括: ◆死ping( ping of death) ◆泪滴( teardrop) ◆UDP洪流( UDP flood ◆N洪水(SYNf1od ◆Land攻击 ◆ Smurf.攻击 ◆ raggle攻击 ◆电子邮件炸弹 ◆畸形消息攻击

服务拒绝攻击 拒绝服务攻击通过使计算机功能或性能崩溃来阻止 提供服务 是常见实施的攻击行为 主要包括 ♦ 死ping ping of death ♦泪滴 teardrop ♦UDP洪流 UDP flood ♦SYN洪水 SYN flood ♦Land攻击 ♦Smurf攻击 ♦Fraggle攻击 ♦电子邮件炸弹 ♦畸形消息攻击

服务拒绝攻击 死 iping(ping of death 概览:在早期版本中,许多操作系统对网络数据包的最大尺寸 有限制,对TCPP栈的实现在ICMP包上规定为64KB。在读取包的 报头后,要根据该报头里包含的信息来为有效载荷生成缓冲区。 发送ping请求的数据包声称自己的尺寸超过CMP上限,也就是 加载的尺寸超过64K上限时,就会使ping请求接收方出现内存分配 错误,导致 TCP/IP堆栈崩溃,致使接受方当机。 防御:现在所有的标准 TCP/IP实现都已实现对付超大尺寸的包, 并且大多数防火墙能够自动过滤这些攻击,包括:从 windows98 后的 windows, Nt(service pack3之后,inux、 Solaris、和 Mac Os都 具有抵抗一般 ping of death攻击的能力。此外,对防火墙进行配置, 阻断ICMP以及任何未知协议,都将防止此类攻击

服务拒绝攻击 ♦ 死ping ping of death 概览 在早期版本中 许多 操作系统 对网络数据包的 最 大尺寸 有限 制 对TCP/IP 栈的实现在ICMP包上规定 为64KB 在 读取包的 报头后 要根据该报头里 包 含的信息来为有效载荷生成缓冲区 当 发 送ping请求 的数据 包声称 自 己 的尺寸超 过ICMP 上 限 也就是 加载 的尺寸超 过64K 上 限 时 就 会 使ping请求接收方 出 现内存 分 配 错误 导致TCP/IP堆栈崩溃 致 使接受 方 当 机 防御 现在所有 的标准TCP/IP实现 都已实现对付超 大尺寸的包 并且大多数防火墙 能 够 自 动 过滤这些攻击 包括 从windows98 之 后 的windows,NT(service pack 3之后 ) linux Solaris 和Mac OS 都 具有抵抗 一 般ping of death攻击的能 力 此外 对防火墙进行配置 阻 断ICMP以及任何未知协议 都 将 防 止 此类攻击

服务拒绝攻击 泪滴( teardrop) 概览:泪滴攻击利用那些在TCP/P堆栈实现中 信任IP碎片中的包的标题头所包含的信息来实现攻击。 IP分段含有指示该分段所包含的是原包的哪一段的信息, 某些TCPP(包括 service pack4以前的NT)在收到含 有重叠偏移的伪造分段时将崩溃。 防御:服务器应用最新的服务包,或者在设置 防火墙时对分段进行重组,而不是转发它们

服务拒绝攻击 ♦泪滴 teardrop 概览 泪滴攻击利用那些 在TCP/IP堆栈实现中 信任IP碎片中的包的标题头所 包 含的信息来实现攻击 IP分段含有 指示该分段 所 包 含的是 原包的 哪一段的信息 某些TCP/IP 包括service pack 4 以 前 的NT 在收到含 有重叠偏移 的伪造分段时将崩溃 防御 服务器 应 用最新的服务包 或 者 在设置 防火墙 时 对分段进行重组 而不是 转 发它们