返回
4网络入侵与检测系统

4网络入侵与检测系统

ID:43268273

大小:332.01 KB

页数:4页

时间:2019-09-29

4网络入侵与检测系统_第1页
4网络入侵与检测系统_第2页
4网络入侵与检测系统_第3页
4网络入侵与检测系统_第4页
资源描述:

《4网络入侵与检测系统》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第四章网络入侵与检测系统4.1.1黑客文化:Hacker创造新东西,Cracker破坏东西4.1.2技术基础:OS方面:UNIX的基本操作;Linux的基本操作;日志;Windows9x的MSdos.sys及NT的注册表Internet与TCP/IP协议方面网络编程方面:Linux网络编程;套接字系统调用如Socket();Windows网络编程,Winsock如Socket()打开一个流套接字;VC++的MFC,CSocket类4.1.3入侵基本思想:①确认攻击目标任务:收集有用信息。如目标计算机的硬件信息、操作系统信息、应用软件信息、所在网络的信息、用户信息、存

2、在的漏洞等。使用的工具:端口扫描,网络命令等。②选用合适方法入侵利用口令猜测,重复登录,直至合法登录;发现漏洞(当然要有方法如缓冲区溢出法),直接登录;用IP欺骗取得目标计算机的信任③留后门(木马),删除入侵记录,继续收集有用信息(如用sniffer收集数据)等4.1.4IDS引入:①被动防御:加密、身份认证、访问控制、安全OS、安全路由器、防火墙;②主动防范:入侵检测有三种主要部件:1、事件产生器:EventGenerator;2、活动记录器:ActivityProfile;3、规则集:RuleSet4.2典型入侵攻击端口扫描网络监听IP电子欺骗DoS木马E-ma

3、il炸弹缓冲区溢出4.2.1端口扫描1、系统的信息服务器可能提供一些入侵需要的信息,如finger、正上机的用户名、使用的终端、空闲的时间、登录时间、从哪登录等。2、但有些攻击者还需要进一步的分析工具,如端口扫描3、扫描对象:TCP,UDP优点:操作方便,能发现已知的安全隐患缺点:无法发现未被扫描工具包含的安全隐患及新的隐患4.2.2网络监听(sniffer)1、网络监听的原理:当信息以明文的形式在网络上传播时,黑客就可以使用监听的方式来进行攻击。只要将网络接口设置为监听模式,便可以源源不断地将网上传输的信息截获。监听只能是同一个网段的主机。这里同一个网段是指物理上

4、的连接,因为不是同一个网段的数据包,在网关就被滤掉了,传不到该网段来。网络监听的最大用处是获得用户口令。2、可监听的传输介质:(1)Ethernet(2)FDDI,Token-Ring(3)电话线(4)IP通过电线电视信道(5)微波,无线电3、防范(1)方法1:对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处于监听状态的机器能接收。(2)方法2:往网上发大量不存在的物理地址的包,由于监听程序将处理这些包,会导致性能下降。通过比较前后该机器性能加以判断。(3)方法3:—般能够

5、接受的击败网络监听的方法是使用安全的拓扑结构。这种技术通常被称为分段技术。(4)方法4:对网上传输的信息进行加密,可以有效地防止网络监听的攻击。4.2.3IP欺骗(IPSpoofing)1、欺骗的类型:(1)邮件欺骗:冒充发送者:如冒充管理者要求用户发信改指定口令;来自SMTP协议的漏洞(SMTP的信息源信息可以控制;虽然系统管理员可以从连接关系来确定,但是可能因为多次中继、转发而无法确定。)(2)IP欺骗:如伪造源地址的IP包,可突破IP防火墙,源于IP协议的漏洞(3)路由欺骗:伪造路由(4)WWW服务器欺骗等:攻击者构造一个网站的完整拷贝,并且把客户旁路到该拷贝

6、上,修改一切可能导致用户察觉的上下文信息,使用户作出错误的安全相关决定。该攻击的关键技术是“重写URL”,即将页面中的所有URL都重写。IP欺骗是攻击的手段,而不是攻击的结果2、IP欺骗的原理:1、基于IP的信任关系:IP只发送数据包,面向非连接的,不保持任何连接状态的信息2、可对IP堆栈进行修改,在源地址和目的地址中放入任意满足要求的IP地址,即提供虚假的IP地址;3、TCP提供可靠传输:由数据包中的控制字提供3、IP欺骗的过程:选定目标主机à发现信任模式à找到一个被目标主机信任的主机à使被信任的主机丧失工作能力(方法:TCPSYN淹没)à采样目标主机发出的TCP

7、序列号,猜测出它的数据序列号à伪装成被信任的主机à建立与目标主机基于地址验证的应用连接à成功连接后,设置系统后门后门的种类(1)利用系统本身的缺陷:①Rhost++②引导区后门(2)利用用户的疏忽:①攻击用户口令的后门②间谍方式(3)利用特洛伊木马程序:①校验和与时标②login后门(获得login.c)③telnetd后门④library(后门)⑤文件系统后门(4)利用传输协议:①网络流量后门②TCP端口③UDP④ICMP报文(5)利用服务的漏洞4、IP欺骗的防范:对于来自网络外部的欺骗来说,只要在路由器里面设置不允许声称来自内部网络的外部计算机的包通过就行了

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。