预览加载中,请您耐心等待几秒...
1/10
2/10
3/10
4/10
5/10
6/10
7/10
8/10
9/10
10/10

亲,该文档总共34页,到这已经超出免费预览范围,如果喜欢就直接下载吧~

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

第5章本章学习目标 本章主要讲解系统入侵的基本原理、主要方法以及如何实现入侵检测,进行主动防御。通过本章学习,读者应该掌握以下内容: l,,,,,系统入侵的概念 l,,,,,几种系统攻击方法的原理 l,,,,,入侵检测的原理 l,,,,,入侵检测系统的组成及结构5.1,,,,,系统攻击概述 系统攻击或入侵是指利用系统安全漏洞,非授权进入他人系统(主机或网络)的行为。了解自己系统的漏洞及入侵者的攻击手段,才能更好的保护自己的系统。 5.1.1,,,,,黑客与入侵者 5.1.2系统攻击的三个阶段 (1)收集信息 (2)探测系统安全弱点,,,,, (3)实施攻击,,,,, 5.1.3网络入侵的对象 1.,,,,,,,,,,,,,,,固有的安全漏洞,,,,, 2.,,,,,,,,,,系统维护措施不完善的系统,,,,, 3.缺乏良好安全体系的系统 5.2,,,,,系统攻击方法3.一次性口令 (OTP,One-Time,,,,,Password)。 ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,所谓的一次性口令就是一个口令仅使用一次,能有效地抵制重放攻击,这样窃取系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。OTP的主要思路是:在登录过程中加入不确定因素,使每次登录过程中的生成的口令不相同。 使用一次性口令的系统中,用户可以得到一个口令列表,每次登录使用完一个口令后就将它从列表明中删除;用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息,这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。,,,,,,,,,,5.2.2,,,,,IP欺骗(2)序列号猜测 序列号的猜测方法如下:攻击者先与被攻击主机的一个端口(SMTP是一个很好的选择)建立起正常的连接。通常,这个过程被重复若干次,并将目标主机最后所发送的ISN(初始序列号)存储起来。攻击者还需要估计他的主机与被信任主机之间的RTT时间(往返时间),这个RTT时间是通过多次统计平均求出的。RTT对于估计下一个ISN是非常重要的。一般每秒钟ISN增加128000,每次连接增加64000。现在就不难估计出ISN的大小了,它是128000乘以RTT的一半,如果此时目标主机刚刚建立过一个连接,那么再加上一个64000。,,,,,(3)实施欺骗 Z伪装成A信任的主机B攻击目标A的过程如下: t1:,,,,,,,,,,Z(B)--SYN,,,,,--->,,,,,A t2:,,,,,,,,,,B,,,,,<---SYN/ACK---,,,,,A t3:,,,,,,,,,,Z(B)---ACK--->,,,,,A t4:,,,,,,,,,,Z(B)---—PSH--->,,,,,A 2.,,,,,IP欺骗的防止 (1)抛弃基于地址的信任策略,,,,, (2)进行包过滤,,,,, (3)使用加密方法,,,,, (4)使用随机化的初始序列号,,,,, 5.2.3,,,,,端口扫描2.端口扫描 ,,,,,,,,,,,,,,,,,,,,端口扫描是获取主机信息的一种常用方法。 ,,,,,,,,,,,,,,,,,,,,利用端口扫描程序可以了解远程服务器提供的各种服务及其TCP端口分配,了解服务器的操作系统及目标网络结构等信息。作为系统管理员使用扫描工具,可以及时检查和发现自己系统存在的安全弱点和安全漏洞,是非很常用的网络管理工具,许多安全软件都提供扫描功能。,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,端口扫描也广泛被入侵者用来寻找攻击线索和攻击入口。通过这种方法,还可以搜集到很多关于目标主机的各种有用的信息,比如:是否能用匿名登陆,是否有可写的FTP目录,是否能用TELNET等等。端口扫描程序在网上很容易找到,因而许多人认为扫描工具是入侵工具中最危险的一类。,,,,,5.2.4,,,,,网络监听 ,,,,,,,,,,,,,,,,,,,,,,,,,网络监听可以监视网络的状态、数据流动情况以及网络上传输的信息,是网络管理员的一种监视和管理网络的一种方法,但网络监听工具也常是黑客们经常使用的工具。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。只要将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获。 ,,,,,,,,,,,,,,,,,,,,,,,,,网络监听可以在网上的任何一个位置实施,如局域网中的主机、网关或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。,,,,,,,,,,1.网络监听的原理,,,,, 以太网协议的工作方式为将要发送的数据帧发往物理连接在一起的所有主机。在帧头中包含着应该接收数据包的主机的地址。数据帧到达一台主机的网络接口时,在正常情况下,网络接口读入数据