第5章 统攻击及人侵
第5章 系统攻击及入侵检测
本章学习目标 本章主要讲解系统入侵的基本原理 主要方法以及如何实现入侵检测,进 行主动防御。通过本章学习,读者应 该掌握以下内容 系统入侵的概念 几种系统攻击方法的原理 入侵检测的原理 入侵检测系统的组成及结构
本章学习目标 本章主要讲解系统入侵的基本原理、 主要方法以及如何实现入侵检测,进 行主动防御。通过本章学习,读者应 该掌握以下内容: l 系统入侵的概念 l 几种系统攻击方法的原理 l 入侵检测的原理 l 入侵检测系统的组成及结构
51系统攻击概述 系统攻击或入侵是指利用系统安全漏洞,非授权进入他人 系统(主机或网络)的行为。了解自己系统的漏洞及入侵 者的攻击手段,才能更好的保护自己的系统。 511黑客与入侵者 512系统攻击的三个阶段 (1)收集信息 (2)探测系统安全弱点 (3)实施攻击
5.1 系统攻击概述 系统攻击或入侵是指利用系统安全漏洞,非授权进入他人 系统(主机或网络)的行为。了解自己系统的漏洞及入侵 者的攻击手段,才能更好的保护自己的系统。 5.1.1 黑客与入侵者 5.1.2系统攻击的三个阶段 (1)收集信息 (2)探测系统安全弱点 (3)实施攻击
口513网络入侵的对象 固有的安全漏洞 2.系统维护措施不完善的系统 3.缺乏良好安全体系的系统
5.1.3网络入侵的对象 1. 固有的安全漏洞 2. 系统维护措施不完善的系统 3.缺乏良好安全体系的系统
52系统攻击方法 521口令攻击 1.获取口令的一些方法 (1)是通过网络监听非法得到用户口令 (2)口令的穷举攻击 (3)利用系统管理员的失误 2.设置安全的口令 (1)口令的选择:字母数字及标点的组合,如: Ha,Ppay!和w/(X2y);使用一句话的开头字母做口令,如: 由 A fox jumps over a lazy dog!产生口令: AfJoAld!。 (2)口令的保存:记住、放到安全的地方,加密最好。 (3)口令的使用:输入口令不要让别人看到;不要在不同 的系统上使用同一口令;定期改变口令
5.2 系统攻击方法 5.2.1 口令攻击 1.获取口令的一些方法 (1)是通过网络监听非法得到用户口令 (2)口令的穷举攻击 (3)利用系统管理员的失误 2.设置安全的口令 (1) 口 令 的 选 择 : 字 母 数 字 及 标 点 的 组 合 , 如 : Ha,Pp@y!和w/(X,y)*;使用一句话的开头字母做口令,如: 由A fox jumps over a lazy dog!产生口令:AfJoAld!。 (2)口令的保存:记住、放到安全的地方,加密最好。 (3)口令的使用:输入口令不要让别人看到;不要在不同 的系统上使用同一口令;定期改变口令
3.一次性口令 cotP, One-Time Password 所谓的一次性口令就是一个口令仅使用一次 ,能有效地抵制重放攻击,这样窃取系统的口令 文件、窃听网络通信获取口令及穷举攻击猜测口 令等攻击方式都不能生效。OTP的主要思路是: 在登录过程中加入不确定因素,使每次登录过程 中的生成的口令不相同。 使用一次性口令的系统中,用户可以得到一个口令列表 ,每次登录使用完一个口令后就将它从列表明中删除; 用户也可以使用IC卡或其他的硬件卡来存储用户的秘密 信息,这些信息再随机数、系统时间等参数一起通过散 列得到一个一次性口令
3.一次性口令 (OTP,One-Time Password)。 所谓的一次性口令就是一个口令仅使用一次 ,能有效地抵制重放攻击,这样窃取系统的口令 文件、窃听网络通信获取口令及穷举攻击猜测口 令等攻击方式都不能生效。OTP的主要思路是: 在登录过程中加入不确定因素,使每次登录过程 中的生成的口令不相同。 使用一次性口令的系统中,用户可以得到一个口令列表 ,每次登录使用完一个口令后就将它从列表明中删除; 用户也可以使用IC卡或其他的硬件卡来存储用户的秘密 信息,这些信息再随机数、系统时间等参数一起通过散 列得到一个一次性口令
522|P欺骗 1.IP软骗的工作原理 (1)使被信任主机丧失工作能力 TCP SYN-Flood t1: Z SYN Z(X) SYN >B Z(Ⅹ) SYN > B t2:X< SYNACK X< SYNACK BB t3:X< RST B
5.2.2 IP欺骗 1.IP欺骗的工作原理 (1)使被信任主机丧失工作能力 TCP SYN-Flood : t1: Z (X) ---SYN ---> B Z (X) ---SYN ---> B Z (X) ---SYN ---> B …………………………… t2: X <---SYN/ACK--------B X <---SYN/ACK--------B …………………………… t3: X <--- RST --- B
(2)序列号猜测 序列号的猜测方法如下:攻击者先与被攻击主机 的一个端口(SMTP是一个很好的选择)建立起 正常的连接。通常,这个过程被重复若干次,并 将目标主机最后所发送的ISN(初始序列号)存 储起来。攻击者还需要估计他的主机与被信任主 机之间的RTT时间(往返时间),这个RTT时间 是通过多次统计平均求出的。RTT对于估计下 个ISN是非常重要的。一般每秒钟ISN增加128000, 每次连接增加64000。现在就不难估计出ISN的大 小了,它是128000乘以RTT的一半,如果此时目 标主机刚刚建立过一个连接,那么再加上一个 64000
(2)序列号猜测 序列号的猜测方法如下:攻击者先与被攻击主机 的一个端口(SMTP是一个很好的选择)建立起 正常的连接。通常,这个过程被重复若干次,并 将目标主机最后所发送的ISN(初始序列号)存 储起来。攻击者还需要估计他的主机与被信任主 机之间的RTT时间(往返时间),这个RTT时间 是通过多次统计平均求出的。RTT对于估计下一 个ISN是非常重要的。一般每秒钟ISN增加128000, 每次连接增加64000。现在就不难估计出ISN的大 小了,它是128000乘以RTT的一半,如果此时目 标主机刚刚建立过一个连接,那么再加上一个 64000
(3)实施欺骗 Z伪装成A信任的主机B攻击目标A的 过程如下: t1: Z(B--SYN >A t2. BA t4:Z(B) PSH-——>A
(3)实施欺骗 Z伪装成A信任的主机B攻击目标A的 过程如下: t1: Z(B)--SYN ---> A t2: B <---SYN/ACK--- A t3: Z(B)---ACK---> A t4: Z(B)---—PSH---> A
2.IP欺骗的防止 (1)抛弃基于地址的信任策略 (2)进行包过滤 (3)使用加密方法 (4)使用随机化的初始序列号
2. IP欺骗的防止 (1)抛弃基于地址的信任策略 (2)进行包过滤 (3)使用加密方法 (4)使用随机化的初始序列号