返回
计算机信息安全课件(07081-7) 第6章 鉴别与防御“黑客”入侵

计算机信息安全课件(07081-7) 第6章 鉴别与防御“黑客”入侵

ID:40342953

大小:961.50 KB

页数:48页

时间:2019-07-31

计算机信息安全课件(07081-7) 第6章 鉴别与防御“黑客”入侵_第1页
计算机信息安全课件(07081-7) 第6章 鉴别与防御“黑客”入侵_第2页
计算机信息安全课件(07081-7) 第6章 鉴别与防御“黑客”入侵_第3页
计算机信息安全课件(07081-7) 第6章 鉴别与防御“黑客”入侵_第4页
计算机信息安全课件(07081-7) 第6章 鉴别与防御“黑客”入侵_第5页
资源描述:

《计算机信息安全课件(07081-7) 第6章 鉴别与防御“黑客”入侵》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第6章鉴别与防御“黑客”入侵内容提要最简单的“黑客”入侵TCP协议劫持入侵嗅探入侵主动的非同步入侵另一种嗅探——冒充入侵关于作假的详述关于劫持会话入侵超级链接欺骗:SSL服务器认证中的一种入侵网页作假第页共44页6.1最简单的“黑客”入侵一般来说,“黑客”进行TCP/IP顺序号预测攻击分两步:第一,得到服务器的IP地址。黑客一般通过网上报文嗅探,顺序测试号码,由Web浏览器连接到节点上并在状态栏中寻找节点的IP地址。因为黑客知道其他计算机有一个与服务器IP地址部分公用的IP地址,他便致力模拟一个能让其通过路

2、由器和作为网络用户访问系统的IP号码。黑客在试过网上IP地址之后,便开始监视网上传送包的序列号,然后,黑客将试图推测服务器能产生的下一个序列号,再将自己有效地插入服务器和用户之间。因为黑客有服务器的IP地址,就能产生有正确IP地址和顺序码的包裹以截获用户的传递。黑客通过顺序号预测取得系统访问之后,便可访问通信系统传给服务器的任何信息,包括密钥文件、日志名、机密数据,或在网上传送的任何信息。典型地,黑客将利用顺序号预测作为一个实际入侵服务器的准备,或者说为入侵网上相关服务器提供一个基础。第页共44页6.2TC

3、P协议劫持入侵破坏客户端连接模仿的客户端(黑客)黑客通过断开和模仿实际客户端的连接来实施TCP劫持入侵第页共44页6.3嗅探入侵利用嗅探者的被动入侵已在Internet上频繁出现,被动嗅探入侵是一个黑客实施一次实际劫持或IP模仿入侵的第一步。要开始一个嗅探入侵,黑客要拥有用户IP和合法用户的口令,而用一个用户的信息注册于一个分布式网络上。进入网之后,黑客嗅探传送的包并试图尽可能多地获取网上资料。第页共44页6.3嗅探入侵NetworkTCP数据包原始TCP数据包原始TCP数据包TCP数据包的拷贝黑客黑客如何

4、实施一个被动嗅探入侵第页共44页6.4主动的非同步入侵黑客或骗取或迫使双方中止TCP连接并进入一个非同步状态,以使得两个系统再也不能交换任何数据。黑客再用第三方主机(换句话说,另一个连接于物理媒介并运送。TCP包的计算机)来截取实际中的数据包和为最初连接的两台计算机创建可接受的替代包。第三方产生数据包以模仿连接中的系统本应交换的数据包。第页共44页6.4.1非同步后劫持入侵假设黑客已成功地非同步了TCP部分,且黑客发送了一个包头中包含以下代码的包:SEG_SEQ=CLT_SEQSEG_ACK=CLT_ACK

5、TCP包服务器真正客户机黑客包包头域中的第一行,SEG_SEQ=CLT_SEQ,指明了包的顺序号是客户机系列的下一个顺序号(SEG代表数据段);第二行,SEG_ACK=CLT_ACK,把数据包的确认值赋给下一个确认值。因为黑客非同步了TCP连接,客户机的包顺序号(CLT_SEQ)与前面期望顺序号不相等,服务器不接收数据且将包放弃,黑客拷贝服务器放弃的包。第页共44页6.4.1非同步后劫持入侵在服务器放弃包之后短暂延迟时间,黑客将与客户机一样发送同样的包,只是改变SEG_SEQ和SEG_ACK命令(和包的记数

6、值),以使包头域词条变成下面代码:SEG_SEQ=SVR_ACKSEG_ACK=SVR_SEQ因为包头域的顺序号是正确的(SVR_ACK等于SEG_SEQ),服务器接受包头域部分词条同时接受包且处理数据,另外,依据客户机传送但服务器放弃的包的数目,原客户机仍会不断传送包。如果定义CLT_TO_SVR_OFFSET等于SVR_ACK减CLT_SEQ的结果(即服务器期待的顺序号和客户机实际的顺序号的相异数),SVR_TO_CLT_OFFSET等于CLF_ACK减去SVR_SEG,黑客一定会重写客户机送给服务器的

7、TCP包,让包代表SEG_SEQ和SEG_ACK之值。第页共44页6.4.1非同步后劫持入侵SEG_SEG=(SEG_SEQ+CLT_TO_SVR_OFFSET)SEG_ACP=(SEG_ACK_SVR_TO_CLT_OFFSET)因为所有的传送都经过黑客,它便可以在传送流中加任何数据或删除任何数据。例如,如果连接是一个远程登录使用的Telnet,黑客能代表用户添加任何命令(UNIX命令echojamsa.com,它将产生一个所有连接于jamsa.com服务器的网络的主机列表,就是一个黑客发出命令的范例)第

8、页共44页6.4.2TCPACK风暴前面部分详述的后期非同步劫持入侵有一个基本的不足,即它将大量地产生TCPACK包,网络专家称这些大量的ACK包为TCPACK风暴。当一个主机(无论客户机或服务器)收到一个不能接受的包时,主机将向产生包的主机发送期待的顺序号来认证这个不能接收的包。这是一个认证包或叫TCPACK包。在以前详述的主动的TCP入侵的情况下,第一个TCPACK包将包含服务器的顺序号。客户机因为没有送出请

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。