常见网络攻击与防范.ppt

常见网络攻击与防范
IP地址、主机是否运行、到要入侵点的路由、主机操作系统与用户信息等。
获取信息
1.　收集主机信息
Ping命令判断计算机是否开着，或者数据包发送到返回需要多少时间
　Tracert/Tracero护敏感会话
电子邮件欺骗及防范技术 ——案例
2003年6月初，一些在中国工商银行进行过网上银行注册的客户，收到了一封来自网络管理员的电子邮件，宣称由于网络银行系统升级，要求客户重新填写用户名和密码。
这一举动随后被工行工作人员发现，经证实是不法分子冒用网站公开信箱，企图窃取客户的资料。
虽然没有造成多大的损失，但是这宗典型的电子邮件欺骗案例当时曾在国内安全界和金融界掀起了轩然大波，刺激人们针对信息安全问题展开了更加深切的讨论。
电子邮件欺骗及防范技术 ——原理
发送邮件使用SMTP（即简单邮件传输协议）
SMTP协议的致命缺陷：过于信任原则
SMTP假设的依据是：不怀疑邮件的使用者的身份和意图
伪装成为他人身份向受害者发送邮件
可以使用电子邮件客户端软件，也可以远程登录到25端口发送欺骗邮件
电子邮件欺骗及防范技术 ——防范
查看电子邮件头部信息
不仅指出了是否有人欺骗了电子邮件，而且指出了这个信息的来源
采用SMTP身份验证机制
使用与POP协议收取邮件时相同的用户名/密码
PGP邮件加密
以公钥密码学（Public Key Cryptology） 为基础的
Web欺骗及防范技术 ——概念
口令攻击
方法与对策：
1、限制同一用户的失败登录次数
2、限制口令最短长度，要求特权指令使用复杂的字母、数字组合。
3、定期更换口令，不要将口令存放到计算机文件中
1　口令暴力攻击：
　　生成口令字典，通过程序试探口令。
2　窃取口令文件后解密：
　　窃取口令文件（UNIX环境下的Passwd文件和Shadow文件） ，通过软件解密。
MAC地址攻击
交换机的转发原理。
攻击者生成大量源地址各不相同的数据包，这些MAC地址就会充满交换机的交换地址映射表空间，则正常的数据包到达时都被洪泛出去，致使交换机的查表速度严重下降，不能继续工作。
?
ARP欺骗
MAC 地址:就是网卡的地址（48位），具唯一性。
0080c81c2996（16进制）
帧（frame）：数据链路层的数据单元，帧中有源MAC地址和目的MAC地址。
ARP协议是获得对方的MAC地址，才行进行帧的封装。
Arp协议
厂家代号
流水号
ARP请求：是以广播形式发送
？
ARP工作原理
ARP工作原理（续）
ARP应答：只有IP地址符合的计算机会应答
我的MAC为0080c81c2996,以单播形式
地址解析方法
查表（table lookup)：
将地址绑定信息存放在内存的一张表中，当要进行地址解析时，可以查表找到所需的结果，常用用于WAN。（集中解析）
ARP欺骗
基本思想：由于ARP是无状态的协议，在没有请求时也可以发送应答的包。入侵者可以利用这一点，向网络上发送自己定义的包，包中包括源IP地址、目的IP地址以及硬件地址，不过它们都是伪造的数据，会修改网络上主机中的ARP高速缓存。
Arp缓存表
查看ARP高速缓存中的记录
解析对象的IP地址
解析所得的MAC地址
此记录产生的方式
删除ARP高速缓存中的记录
原来有4个记录
删除这个记录

向ARP高速缓存中增加静态记录
新增的记录，注意Type是static
ARP欺骗举例
例：主机名 IP地址 硬件地址
A IPA AAAA
B IPB BBBB
C IPC CCCC
说明：
B是一台被入侵者控制了的主机，而A信任C。入侵者的目的就是伪装成C获得A的信任，以便获得一些无直接获得的信息等。
欺骗过程
入侵者控制主机B向主机A发送一个ARP应答，ARP应答中包括：源IP地址（IPC），源硬件地址（BBBB），目标IP地址（IPA）、目标硬件地址（AAAA），这条应答被A接受后，就被保存到A主机的ARP高速缓存中了。
问题：由于C也是活动的，也有可能向A发出自己的ARP应答，将的A的ARP缓存改回正确的硬件地