[互联网][培训]网络攻击与防御技术.ppt

Nuke类拒绝服务攻击 Win Nuke RPC Nuke SMB Die 分布式拒绝服务攻击 DDoS是DoS攻击的延伸，威力巨大，具体攻击方式多种多样。 分布式拒绝服务攻击就是利用一些自动化或半自动化的程序控制许多分布在各个地方的主机同时拒绝服务攻击同一目标 。 攻击一般会采用IP地址欺骗技术，隐藏自己的IP地址，所以很难追查。 分布式拒绝服务攻击示意图 分布式拒绝服务攻击步骤 探测扫描大量主机以寻找可入侵的目标； 入侵有安全漏洞的主机并获取控制权，在每台入侵主机中安装攻击程序； 构造庞大的、分布式攻击网络； 在同一时刻，由分布的成千上万台主机向同一目标地址发出攻击，目标系统全线崩溃； 典型的分布式拒绝服务攻击工具 Trinoo TFN Stacheldraht TFN2K 分布式拒绝服务攻击防御对策 对于分布式攻击，目前仍无非常有效的方法来防御 基本的防御对策 做好各种基本的拒绝服务攻击防御措施，打好补丁； 联系ISP对主干路由器进行限流措施； 利用各种安全防御系统进行辅助记录工作。 使用软件来帮助管理员搜索ddos客户端 find_ddos ZombieZapper ddosping 网络监听攻击 源 目的 sniffer 加密 解密 passwd $%@)*=-~`^,{ 网络监听攻击的环境 基于共享（HUB）环境的监听 比较普遍 实现较为简单 基于交换（Switch）环境的监听 基础是ARP欺骗技术 基于共享环境的监听 共享以太网环境中，所有物理信号都会被传送到每一个主机节点上去 如将系统的网络接口设定为混杂模式(Promiscuous)，则就能接受到一切监听到的数据帧，而不管其目的MAC地址是什么 共享环境监听的意义 积极意义：方便网络管理员进行管理和网络故障分析 消极意义：常被用来窃听在网络上以明文方式传输的口令和账号密码 POP3邮件口令 Ftp登录口令 Telnet登录口令 共享环境监听的检测 基于主机的检测 简单的ifconfig命令，包括各种UNIX系统 基于网络的检测 针对系统硬件过滤和软件过滤的检测 针对DNS反向域名解析的检测 针对网络和主机响应时间的检测 使用专业的检测工具 AntiSniff（有for win和for unix的版本） Promiscan AntiSniff（LOpht） 口令入侵 口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动 获取口令的途径有： 网络监听 口令猜测，暴力破解 利用系统管理员的失误 口令猜测攻击 口令猜测攻击原理 现行很多加密算法都单向不可逆 攻击者每次从攻击字典中取出一个条目作为口令，使用相同的加密算法进行加密，然后同密文进行比对，如不同则继续下一次尝试，否则则猜测成功。 口令猜测可分为 远程口令破解 本地口令破解 远程口令破解 许多网络服务，都是通过账号/口令来认证需要访问该服务的用户 POP3 Netbios Telnet FTP HTTP等 可以远程进行穷举字典的方式来猜解口令 破解效率很低，而且容易被记录 本地口令猜解 各种操作系统以自己各自的方式存放密码文件，而大多数的加密算法都比较脆弱，容易被猜解 本地破解速度非常快，具体的速度取决于系统的配置 在协同工作越来越发达的今天，本地口令破解可以说是“百发百中” Windows口令破解技术简介 在WinNT/2K系统中，使用一套较老的加密算法—LAN Manager LM散列算法存在着致命缺陷 用户密码缩短到14个字符，若不足则用0x00填补 前8个字节由用户密码的前7个字符推导而来 后续8个字节由密码的8-14个字符得来 Windows口令破解技术简介 Windows系统以sam文件格式存放密码文件，有多种方式可以获得 %SystemRoot%\system32\config\sam %SystemRoot%\repair\sam._ 使用pwdump3远程从注册表中导出 嗅探网络中SMB报文包含的口令散列值 破解工具 @stake的L0phcrack @stake L0phcrack Unix系统的口令破解 Unix系统的口令密文存放在/etc/passwd或/etc/shadow文件中 加密算法 传统加密沿用最多的是DES算法的口令加密机制 为了增强DES的加密强度，引入了被称作Salt的附加手段 猜测工具 John The Ripper 候选口令 产生器 字典 口令文件 口令 加密 口令比较 输出匹配 的口令 口令破解防御对策 制定正确的密码策略，并贯彻实施 密码长度，强度足够 定期更换密码 禁用类computer……这样的简单密码 提高人的安全意识很重要 攻击发展趋势 谢 谢 * Eg:ping Eg:tracert 通过