(2019春季 课程编号:011184) 曾凡平 信息安全导论 29信安导论 第7章网络与系统攻去技术 中国科学技术大学曾凡平 billzeng@ustc.edu.cn
信息安全导论 第7章 网络与系统攻击技术 中国科学技术大学 曾凡平 billzeng@ustc.edu.cn (2019春季 课程编号:011184)
第7章网络与系统攻击技术 ·7.1网络攻击概述 ·网络攻击的概念,网络攻击的一般流程 、7.2网络探测 ·网络踩点,网络扫描,常见的扫描工具 ·7.3缓冲区溢出攻击 ·缓冲区溢出的基本原理,缓冲区溢出的防范 ·7.4拒绝服务攻击 ·常见的拒绝服务攻击 ·分布式拒绝服务攻击,拒绝服务攻击的防范 ·7.5僵尸网络 ·7.6缓冲区溢出漏洞的分析与利用(补充) 信息安全导论07 3
第7章 网络与系统攻击技术 • 7.1 网络攻击概述 • 网络攻击的概念,网络攻击的一般流程 • 7.2 网络探测 • 网络踩点,网络扫描,常见的扫描工具 • 7.3 缓冲区溢出攻击 • 缓冲区溢出的基本原理,缓冲区溢出的防范 • 7.4 拒绝服务攻击 • 常见的拒绝服务攻击 • 分布式拒绝服务攻击,拒绝服务攻击的防范 • 7.5 僵尸网络 • 7.6 缓冲区溢出漏洞的分析与利用(补充) 信息安全导论07 3
第7章网络与系统攻击技术 网络与系统攻击技术,即针对企业网络或重要计 算机系统进行攻击的技术 。 网络与系统攻击是利用网络与系统中存在的漏洞 和缺陷实施入侵和破坏,实质上是一系列方法和 手段的集合。 近几年来,随着计算机网络的迅速普及和网络技 ● 术的快速发展,攻击手段也在不断发展变化。 分析并熟悉常见攻击技术的原理和方法,是构建 。 安全信息系统的基础,也是及时检测和响应的前 提。 信息安全导论07 4
第7章 网络与系统攻击技术 • 网络与系统攻击技术,即针对企业网络或重要计 算机系统进行攻击的技术。 • 网络与系统攻击是利用网络与系统中存在的漏洞 和缺陷实施入侵和破坏,实质上是一系列方法和 手段的集合。 • 近几年来,随着计算机网络的迅速普及和网络技 术的快速发展,攻击手段也在不断发展变化。 • 分析并熟悉常见攻击技术的原理和方法,是构建 安全信息系统的基础,也是及时检测和响应的前 提。 信息安全导论07 4
7.1网络攻击概述 目前造成网络不安全的主要因素是系统、协议及数据库 等在设计上存在漏洞和缺陷。漏洞的3种常见定义: 在计算机安全中,(漏洞)是系统安全步骤、管理控 制、内部控制等处的一个缺陷,有可能被攻击者利用 获取对信息的非授权访问或破坏关键任务; 在计算机安全中,(漏洞)是物理设施、人员、管理、 硬件或软件上的缺陷,这些缺陷可能被利用并给系统 带来危害。漏洞是一种或一组可能使系统受到攻击的 状态。 在计算机安全中,(漏洞)是系统中存在的任何错误 或缺陷。 一} 般认为,软件漏洞是软件设计或配置中能被攻击者利 用的错误或缺陷。 信息安全导论07 5
7.1 网络攻击概述 • 目前造成网络不安全的主要因素是系统、协议及数据库 等在设计上存在漏洞和缺陷。漏洞的3种常见定义: ① 在计算机安全中,(漏洞)是系统安全步骤、管理控 制、内部控制等处的一个缺陷,有可能被攻击者利用 获取对信息的非授权访问或破坏关键任务; ② 在计算机安全中,(漏洞)是物理设施、人员、管理、 硬件或软件上的缺陷,这些缺陷可能被利用并给系统 带来危害。漏洞是一种或一组可能使系统受到攻击的 状态。 ③ 在计算机安全中,(漏洞)是系统中存在的任何错误 或缺陷。 • 一般认为,软件漏洞是软件设计或配置中能被攻击者利 用的错误或缺陷。 信息安全导论07 5
7.1.1网络攻击的概念 网络攻击是指攻击者利用网络存在的漏洞和安全 缺陷对网络系统的硬件、软件及其系统中的数据 进行的攻击 目前网络互连一般采用TCPP,它是一个工业标 准的协议簇,但该协议簇在制定之初对安全问题 考虑不多,协议中有很多的安全漏洞。同样,数 据库管理系统(DBMS)也存在数据的安全性、权 限管理及远程访问等方面问题。 在DBMS或应用程序中可以预先安置从事情报收 集、受控激发、定时发作等破坏程序 。 如果应用软件设计不当,恶意用户可以通过输入 特定的数据达到攻击目的。 信息安全导论07
7.1.1 网络攻击的概念 • 网络攻击是指攻击者利用网络存在的漏洞和安全 缺陷对网络系统的硬件、软件及其系统中的数据 进行的攻击。 • 目前网络互连一般采用TCP/IP,它是一个工业标 准的协议簇,但该协议簇在制定之初对安全问题 考虑不多,协议中有很多的安全漏洞。同样,数 据库管理系统(DBMS)也存在数据的安全性、权 限管理及远程访问等方面问题。 • 在DBMS或应用程序中可以预先安置从事情报收 集、受控激发、定时发作等破坏程序。 • 如果应用软件设计不当,恶意用户可以通过输入 特定的数据达到攻击目的。 信息安全导论07 6
网络攻击的概念 由此可见,针对系统、网络协议及数据库等,无 论是其自身的设计缺陷,还是由于人为的因素产 生的各种安全漏洞,都可能被一些另有图谋的攻 击者所利用并发起攻击。 因此,若要保证网络安全可靠,必须熟知攻击者 实施网络攻击的技术原理和一般过程。只有这样 才能做好必要的安全防备,从而确保网络运行的 安全和可靠 信息安全导论07
网络攻击的概念 • 由此可见,针对系统、网络协议及数据库等,无 论是其自身的设计缺陷,还是由于人为的因素产 生的各种安全漏洞,都可能被一些另有图谋的攻 击者所利用并发起攻击。 • 因此,若要保证网络安全可靠,必须熟知攻击者 实施网络攻击的技术原理和一般过程。只有这样, 才能做好必要的安全防备,从而确保网络运行的 安全和可靠。 信息安全导论07 7
7.1.2网络攻击的一般流程 攻击者在实施网络攻击时的一般流程包括系统调 查、系统安全缺陷探测、实施攻击、巩固攻击成 果和痕迹清理五个阶段。 ·()系统调查:攻击者选取攻击目标主机后,利 用公开的协议或工具通过网络收集目标主机相关 信息的过程。例如,攻击者可以通对SNMP查阅 网络系统路由器的路由表从而了解目标主机所在 网络的拓扑结构及其内部细节 。 。1 这个阶段实质上是一个信息搜集的过程,这一过 程并不对目标主机产生直接的影响,而是为进一 步的入侵提供有用信息。 信息安全导论07 8
7.1.2 网络攻击的一般流程 • 攻击者在实施网络攻击时的一般流程包括系统调 查、系统安全缺陷探测、实施攻击、巩固攻击成 果和痕迹清理五个阶段。 • (1)系统调查:攻击者选取攻击目标主机后,利 用公开的协议或工具通过网络收集目标主机相关 信息的过程。例如,攻击者可以通对SNMP查阅 网络系统路由器的路由表从而了解目标主机所在 网络的拓扑结构及其内部细节。 • 这个阶段实质上是一个信息搜集的过程,这一过 程并不对目标主机产生直接的影响,而是为进一 步的入侵提供有用信息。 信息安全导论07 8
网络攻击的一般流程 (2)系统安全缺陷探测:在收集到攻击目标的相 关信息后,攻击者通常会利用一些自行编制或特 定的软件扫描攻击目标,寻找攻击目标系统内部 的安全漏洞,为实施真正的攻击做准备。 扫描采取模拟攻击的形式对目标可能存在的已知 安全漏洞逐项进行检查,目标可能是工作站、服 务器、路由器、交换机等,根据扫描结果向攻击 者提供周密可靠的分析报告。 ·步骤1)和(2)也称为网络侦察。 信息安全导论07 9
网络攻击的一般流程 • (2)系统安全缺陷探测:在收集到攻击目标的相 关信息后,攻击者通常会利用一些自行编制或特 定的软件扫描攻击目标,寻找攻击目标系统内部 的安全漏洞,为实施真正的攻击做准备。 • 扫描采取模拟攻击的形式对目标可能存在的已知 安全漏洞逐项进行检查,目标可能是工作站、服 务器、路由器、交换机等,根据扫描结果向攻击 者提供周密可靠的分析报告。 • 步骤(1)和(2)也称为网络侦察。 信息安全导论07 9
网络攻击的一般流程 (3)实施攻击:当获取到足够的信息后,攻击者就可 以结合自身的水平及经验总结制定出相应的攻击方 法,实施真正的网络攻击。这一阶段的核心任务是 解决如何进入目标系统的问题,常用手段包括破解 口令直接获取权限,或利用软件漏洞植入恶意软件 (4巩固攻击成果:基于前期的侵入结果,控制目标 系统,完成既定攻击任务。这一阶段的重点是长期 隐蔽潜伏,并完成攻击任务。常见手段是利用木马 等控制软件 ·(⑤)痕迹清理:在成功实施攻击后,攻击者往往会利 用获取到的目标主机的控制权,清除系统中的日志 记录和留下后门,消除攻击过程的痕迹,以便日后 能不被觉察地再次进入系统。 信息安全导论07 10
网络攻击的一般流程 • (3)实施攻击:当获取到足够的信息后,攻击者就可 以结合自身的水平及经验总结制定出相应的攻击方 法,实施真正的网络攻击。这一阶段的核心任务是 解决如何进入目标系统的问题,常用手段包括破解 口令直接获取权限,或利用软件漏洞植入恶意软件。 • (4)巩固攻击成果:基于前期的侵入结果,控制目标 系统,完成既定攻击任务。这一阶段的重点是长期 隐蔽潜伏,并完成攻击任务。常见手段是利用木马 等控制软件。 • (5)痕迹清理:在成功实施攻击后,攻击者往往会利 用获取到的目标主机的控制权,清除系统中的日志 记录和留下后门,消除攻击过程的痕迹,以便日后 能不被觉察地再次进入系统。 信息安全导论07 10
7.2网络探测 ·网络探测也称为网络侦察 由于初始信息的未知性,网络攻击通常具备一定 的难度。因此,探测是攻击者在攻击开始前必需 的情报收集工作,攻击者通过这个过程需要尽可 能多地了解攻击目标安全相关的各方面信息,以 便能够实施针对攻击。 ·探测可以分为三个基本步骤:踩点、扫描和查点。 信息安全导论07 11
7.2 网络探测 • 网络探测也称为网络侦察。 • 由于初始信息的未知性,网络攻击通常具备一定 的难度。因此,探测是攻击者在攻击开始前必需 的情报收集工作,攻击者通过这个过程需要尽可 能多地了解攻击目标安全相关的各方面信息,以 便能够实施针对攻击。 • 探测可以分为三个基本步骤:踩点、扫描和查点。 信息安全导论07 11