单元网络攻击与防范.ppt

1、项目3,网络攻击与防范,课 前 导 入,了解什么是黑客，了解入侵攻击系统的过程知道网络监听、木马、拒绝服务攻击的工作原理学会如拒绝服务攻击、木马、网络监听、扫描器等常见攻击方式的使用方法掌握常见攻击方式的防御和清除方法,知识目标,技能目标,掌握常见攻击方式的使用熟练掌握防御和清除木马等攻击学会在尝试攻击和监听的过程中保护自身计算机的安全培养良好的职业道德,项目描述,为了保证局域网的基本安全，网络管理员小明需要掌握局域网的工作状态，如局域网的开放端口系统是否存在漏洞是否受到别人的窥探和破坏有没有病毒和木马入侵等。有的很容易发现，但有的却很难被察觉，这就需要借助一些工具和协议来进行分析，并通过日志

2、等信息中的蛛丝马迹来追查，然后做出应有的响应。,项目分解,任务一：扫描器的应用 任务1-1使用端口扫描器扫描网段 任务1-2使用综合扫描器扫描网段 任务二：拒绝服务攻击与防护 任务2-1了解DDOS攻击的现象与步骤 任务2-2常见拒绝服务攻击与防御 任务三：木马的清除与防护 任务3-1识别感染木马症状 任务3-2木马查杀与清除 任务3-3 预防恶意网页 任务四：网络监听工具应用 任务4-1运行环境及安装 任务4-2捕捉数据包查看TCP报文头部 任务4-3 捕捉FTP明文密码任务4-4 捕捉Telnet明文密码,任务实施过程,任务一：扫描器的应用 任务1-1使用端口扫描器扫描网段端口扫描工具Po

3、rtScanner端口扫描工具SuperScan未下载成功，自行下载，试验说明文件,输入本机或网关的IP地址,输入想要扫描的端口号,确定扫描,显示扫描的结果,扫描进度条,任务实施过程,任务1-2 使用综合扫描器扫描网段 X-Scan功能简介说明文件操作界面,打开软件，看到如图所示的说明界面，请细看,任务实施过程,任务1-2 使用综合扫描器扫描网段 X-Scan功能简介,选择“设置”“扫描参数”，出现如图所示的界面。,在“指定IP范围”内输入想要查看的IP地址范围，然后点击“确定”。如果是本机的话，则输入“localhost”,任务实施过程,任务1-2 使用综合扫描器扫描网段 X-Scan功能简

4、介,WinPcap = Pcap for windows 是windows下的捕获网络包的开发库 。目前最新版本为4.1.2,任务实施过程,任务1-2 使用综合扫描器扫描网段 X-Scan功能简介,载入运行的插件，插件软件本自自带，不需要下载,注：此软件请在2000 server以上的版本实验，在xp下实验未成功,任务实施过程,任务二：拒绝服务攻击与防护 任务2-1了解DDOS攻击的现象与步骤 DDOS概念DDOS全名是Distributed Denial of service (分布式拒绝服务)DDOS攻击方式很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击 如图示,任务实施过程,任务

5、二：拒绝服务攻击与防护 任务2-1了解DDOS攻击的现象与步骤 攻击步骤搜集攻击目标的情况。被攻击者的目标主机数目、地址情况、目标主机的配置性能、目标主机的带宽等。如：攻击某台站点，则需要了解到底有多少主机支持这个站点。获得控制机和攻击机。根据收集到的信息，确定攻击机的数据，能过扫描等方式获取这些机器的高高管理权限。发起攻击。 通过控制机向所有攻击机发出攻击命令。,只发布命令而不参于实际的攻击,实际发起的攻击，在没有受到控制时，并没有什么异常，一旦黑客连接到它们并对其进行控制，攻击机将在收到命令时发起攻击。,任务实施过程,任务二：拒绝服务攻击与防护 任务2-1了解DDOS攻击的现象与步骤 受攻

6、击者现象被攻击主机上有大量等待的TCP连接;网络中充斥着大量的无用的数据包，源地址为假地址或私网中才可能出现的地址;制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯;利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求;严重时会造成系统运行缓慢或假死、甚至死机,任务实施过程,任务2-2 常见拒绝服务攻击与防御 常见拒绝服务攻击SYN FooldIP欺骗DOS攻击 UDP洪水攻击Ping洪流攻击泪滴(teardrop)攻击Land攻击 Fraggle攻击,任务实施过程,任务2-2 常见拒绝服务攻击与防御 常见拒绝服务攻击SYN

7、Foold概念是一种通过向目标服务器发送SYN报文，消耗其系统资源，削弱目标服务器的服务提供能力的行为。攻击方式SYN Flood攻击是在采用IP源地址欺骗行为的基础上，利用TCP连接建立时的三次握手过程形成的。攻击时机在半开连接时，黑客利用不对称的资源分布形成SYN Flood攻击。攻击详解,任务实施过程,任务2-2 常见拒绝服务攻击与防御 常见拒绝服务攻击SYN Foold攻击详解：正确的三次握手客户端向服务器发送一个SYN 消息；如果服务器同意建立连接，则响应客户端一个对SYN 消息的回应消息（SYN/ACK）；客户端收到服务器的SYN/ACK 以后，再向服务器发送一个ACK 消息进行确

8、认。当服务器收到客户端的ACK消息以后，一个TCP的连接成功完成。连接的建立过程。如图,第一次握手,当服务器收到SYN报文后，在发送SYN/ACK回应客户端之前，需要分配一个数据区记录这个未完成的TCP连接，这个数据区通常称为TCB资源,任务实施过程,任务2-2 常见拒绝服务攻击与防御 常见拒绝服务攻击SYN Foold攻击详解：攻击过程,此时的TCP连接也称为：半开连接,半开连接仅在收到客户端响应报文或连接超时后才断开，而客户端在收到SYN/ACK报文之后才会分配TCB资源,任务实施过程,SYN Foold攻击详解：攻击过程攻击者使用一个并不存在的源IP地址向目标服务器发起连接，该服务器回应

9、SYN/ACK消息作为响应，由于应答消息的目的地址并不是攻击者的实际地址，所以这个地址将无法对服务器进行响应。因此，TCP握手的最后一个步骤将永远不可能发生，该连接就一直处于半开状态直到连接超时后被删除。如果攻击者用快于服务器TCP连接超时的速度，连续对目标服务器开放的端口发送SYN报文，服务器的所有TCB资源都将被消耗，以至于不能再接受其他客户端的正常连接请求。,任务实施过程,SYN Foold攻击详解：防御为保证服务器能够正常提供基于TCP协议的业务，防火墙必须能够利用有效的技术瓦解以及主动防御SYN Flood攻击。技术文件请看：SYN Flood攻击防范技术白皮书攻击实例：,任务实施过

10、程,SYN Foold攻击实例1：,任务实施过程,SYN Foold攻击实例2：,任务实施过程,SYN Foold攻击工具：HGod V0.4 DDOS攻击工具主要攻击的目标,可以是计算机名,域名或者IP地址.主要攻击的目标端口. IGMP/ICMP攻击模式可以随便设置一个端口.如果是SYN Flood可以支持多端口同时攻击.如SYN Flood攻击20-80的端口,则设为 20-80如SYN Flood攻击21,23,80端口,则设为 21,23,80. 端口总数不能多于100个.地址：http:/ Flood流量要较大才会对服务器造成影响,ACK （你得查查我连过你没）,攻击者,受害者,查

11、查看表内有没有,ACK Flood 攻击原理,攻击表象,ACK/RST（我没有连过你呀）,任务实施过程,ACK Flood攻击原理攻击的时机：在TCP连接建立之后攻击方式：向主机发送大量带有ACK标志的数据包，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。服务器操作服务器要做两个动作：查表、回应ACK/RST,任务实施过程,大量ACK冲击服务器受害

12、者资源消耗查表回应ACK/RSTACK Flood流量要较大才会对服务器造成影响,攻击者,受害者,ACK Flood 攻击原理,攻击表象,攻击者,受害者,大量tcp connect,不能建立正常的连接,正常用户,正常tcp connect,攻击表象,利用真实 IP 地址（代理服务器、广告页面）在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应 蠕虫传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源，如防火墙的连接数,Connection Flood 攻击原理,任务实施过程,任务实施过程,Connect

13、ion Flood 攻击原理利用真实的IP地址向服务器发起大量的连接，并且建立连接之后很长时间不释放，占用服务器的资源，造成服务器服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应其他客户所发起的连接。 攻击方式：一种攻击方法是每秒钟向服务器发起大量的连接请求 预防：在防火墙上限制每个源IP地址每秒钟的连接数来达到防护目的 一种攻击方式是蠕虫大规模爆发的时候 预防：定期查毒、更新,攻击者,受害者,大量tcp connect,不能建立正常的连接,正常用户,正常tcp connect,攻击表象,利用真实 IP 地址（代理服务器、广告页面）在服务器上建立大量连接 服务器上残余连接

14、(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应 蠕虫传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源，如防火墙的连接数,Connection Flood 攻击原理,任务实施过程,Connection Flood 案例,任务实施过程,攻击工具SYNbingdun,针对这种攻击如何防护呢？,任务实施过程,Connection Flood防护?主动清除残余连接。对恶意连接的IP进行封禁。限制每个源IP的连接数。可以对特定的URL进行防护。反查Proxy后面发起HTTP Get Flood的源。,任务实施过程,UDP DNS FLOOD攻击方

15、式首先攻击者向被攻击的服务器发送大量的域名解析请求通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，其次被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层DNS服务器递归查询域名信息。结果域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。,任务实施过程,UDP DNS FLOOD的防护防护方法根据域名 IP 自学习结果主动回应，减轻服务器负载(使用 DNS Cache)对突然发起大量频度较低的域名解析请求的源 IP 地

16、址进行带宽限制? 在攻击发生时降低很少发起域名解析请求的源 IP 地址的优先级限制每个源 IP 地址每秒的域名解析请求次数,任务实施过程,UDP DNS FLOOD的案例,任务实施过程,UDP DNS FLOOD的案例,攻击者,受害者(Web Server),正常HTTP Get请求,不能建立正常的连接,正常用户,正常HTTP Get Flood,攻击表象,利用代理服务器向受害者发起大量HTTP Get请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求,受害者(DB Server),DB连接池用完啦！,DB连接池,占用,占用,占用,HTTP Get

17、Flood 攻击原理,任务实施过程,任务实施过程,HTTP Get Flood 攻击原理这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用典型的以小博大的攻击方法 攻击方式：只需通过Proxy代理向主机服务器大量递交查询指令,攻击者,受害者(Web Server),正常HTTP Get请求,不能建立正常的连接,正常用户,正常HTTP Get Flood,攻击表象,利用代理服务器向受害者发起大量HT

18、TP Get请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求,受害者(DB Server),DB连接池,占用,占用,占用,HTTP Get Flood 攻击原理,任务实施过程,路由器优化,DDoS攻击者,入侵检测,防火墙,退让策略,1.ACL2.RPF3.QoS,?,可检测某些攻击的类型,1.DNS轮询2.冗余设备,?,?,1.抗DDoS模块2.访问控制措施,?,防不了抓不到,系统优化,1.参数配置2.协议禁止,?,安全设备面对DDoS的尴尬,任务实施过程,主机上的设置 关闭不必要的服务 XP不必要的服务.doc关闭XP十大隐患 提高系统的安全性.

19、dochttp:/ 限制同时打开的Syn半连接数目 缩短Syn半连接的time out 时间 及时更新系统补丁,任务实施过程,网络设备上的设置 企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对你来说是否值得。 防火墙 禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问此项主要是防止自己的服务器被当做工具去害人,任务实施过程,网络设备上的设置 企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外

20、界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对你来说是否值得。 .路由器 -以Cisco路由器为例 Cisco Express Forwarding（CEF） 使用 unicast reverse-path 访问控制列表（ACL）过滤 设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server,任务实施过程,任务三 木马的清除与防护任务3-1 识别感染木马症状查看系统文件查看C:windowswin.ini文件查看C:windowssystem.ini文件查看启动程序。查看注册表随意弹出窗口鼠标乱动,用记事本打开该文件，看到如下内容。

21、注：每一台机器上的文件内容不相同。,任务实施过程,任务三 木马的清除与防护任务3-1 识别感染木马症状查看系统文件查看C:windowswin.ini文件查看c:windowssystem.ini文件查看系统启动文件查看注册表随意弹出窗口鼠标乱动,有关该文件的说明可以到以下网址查看。http:/ 木马的清除与防护任务3-1 识别感染木马症状查看系统文件查看C:windowswin.ini文件查看注册表随意弹出窗口鼠标乱动,查看该文件下内的“run=”和“load=”是否有加载“木马程序”。,任务实施过程,任务三 木马的清除与防护任务3-1 识别感染木马症状查看系统文件查看C:windowswi

22、n.ini文件查看C:windowssystem.ini文件查看启动程序。查看注册表随意弹出窗口鼠标乱动,双击打开,该文件中【boot】下面的个“shell=explorer.exe”，如果改成了“expiorer.exe”则就是“木马”了,任务实施过程,任务三 木马的清除与防护任务3-1 识别感染木马症状查看系统文件查看注册表HKEY_LOCAL_MACHINEsoftwarewindowscurrentversionrunHKEY-CURRENT-USREsoftwaremicrosoftwindowscurrentversionrun随意弹出窗口鼠标乱动,任务实施过程,任务三 木马的清除

23、与防护任务3-1 识别感染木马症状查看系统文件查看注册表随意弹出窗口用户未打开浏览器，但会突然弹出上网窗口或网站在操作计算机过程中突然弹出警告框或信息提示框。鼠标乱动,任务实施过程,任务3-2 木马查杀与清除 预防木马关闭不必要的端口，如135、137、138、139、445等端口。不要随意下载、执行任何来历不明的软件，软件下载后要杀毒谨慎使用电子邮件不要轻易打开广告邮件不要打开垃圾邮件加强浏览器安全性能使用最新版的浏览器，及时更新恰当设置浏览器属性。启动系统自带的防火墙，安装正版的防火墙+杀毒软件+防黑软件定期杀毒、查杀木马、清理系统垃圾、查看启动项。及时更新系统及软件。查杀木马手动查杀 工

24、具查杀,任务实施过程,任务3-2 木马查杀与清除 预防木马查杀木马手动查杀 工具查杀 QQ电脑管家实用防护360安全卫士木马克星木马专杀木马清道夫,任务四 网络监听工具应用任务4-1 运行环境及安装例：SnifferPro_4_70_530安装步骤如下：,任务实施过程,任务四 网络监听工具应用任务4-1 运行环境及安装例：SnifferPro_4_70_530安装步骤如下：,任务实施过程,任务四 网络监听工具应用任务4-1 运行环境及安装例：SnifferPro_4_70_530安装步骤如下：,任务实施过程,输入用户名,输入公司名,任务四 网络监听工具应用任务4-1 运行环境及安装例：Snif

25、ferPro_4_70_530安装步骤如下：,任务实施过程,确定软件安装目录,任务四 网络监听工具应用任务4-1 运行环境及安装例：SnifferPro_4_70_530安装步骤如下：,任务实施过程,依次输入以下内容：名：姓：公司名：公司地址：方向：邮箱：,任务四 网络监听工具应用任务4-1 运行环境及安装例：SnifferPro_4_70_530安装步骤如下：,任务实施过程,邮政,任务四 网络监听工具应用任务4-1 运行环境及安装例：SnifferPro_4_70_530安装步骤如下：,任务实施过程,是否愿意接收有关该产品的信息？是否可能将你的名字共享给其它的进程？,任务四 网络监听工具应用

26、任务4-1 运行环境及安装例：SnifferPro_4_70_530安装步骤如下：,任务实施过程,如果你是以拨号方式连接到互联网络，那么现在链接吗？如果你是连接在一个局域网，您可能需要通过代理服务器进行联络。请咨询您的系统管理员如果您无法连接到互联网，您的注册信息可以打印和保存,任务四 网络监听工具应用任务4-1 运行环境及安装例：SnifferPro_4_70_530安装步骤如下：,任务实施过程,任务四 网络监听工具应用任务4-1 运行环境及安装例：SnifferPro_4_70_530安装步骤如下：,任务实施过程,任务四 网络监听工具应用任务4-1 运行环境及安装例：SnifferPro_4_70_530应用：,任务实施过程,任务四 网络监听工具应用任务4-1 运行环境及安装例：SnifferPro_4_70_530应用：,任务实施过程,任务4-2 捕捉数据包查看TCP报文头部1Sniffer Pro捕获功能2使用Sniffer Pro捕捉数据包，查看TCP报文头部信息,学生演示+学生实践+教师小结,分组实施，查看结果,拓 展 任 务,学生自主完成,