网络攻击与防御1网络安全基础知识网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛，这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。 确保网络系统的信息安全是网络安全的目标，信息安全包括两个方面：信息的存储安全和信息的传输安全。 信息的存储安全是指信息在静态存放状态下的安全，如信息是否会被非授权调用等。 信息的传输安全是指信息在动态传输过程中安全，如信息是否被篡改、重放等。1.2信息安全的概念信息窃取1.4安全威胁信息丢失内部人员（包括信息系统的管理者、使用者和决策者） 准内部人员（包括信息系统的开发者、维护者等） 特殊身份人员（具有特殊身份的人，比如，审计人员、稽查人员、记者等） 外部黑客或小组 竞争对手 网络恐怖组织 军事组织或国家组织等2远程攻击基础B.攻击的层次C.攻击分类图1、攻击分类就目前常见的攻击，大致可以分为几大类（参见图1）： 窃听：指攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的常用攻击方法有： 键击记录：是植入操作系统内核的隐蔽软件，通常实现为一个键盘设备驱动程序，能够把每次键击都记录下来，存放到攻击者指定的隐藏的本地文件中。如Win32平台下适用的IKS等。 网络监听：是攻击者一旦在目标网络上获得一个立足点之后刺探网络情报的最有效方法，通过设置网卡的混杂模式获得网络上所有的数据包，并从中抽取安全关键信息，如明文方式传输的口令。如Win32平台下的sniffer等免费工具，Unix平台下的libpcap网络监听工具库。 非法访问数据：是攻击者或内部人员违反安全策略对其访问权限之外的数据进行非法访问。 获取密码文件：攻击者进行口令破解获取特权用户或其他用户口令的必要前提。欺骗：指攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法，属于此类攻击的方法有： 获取口令：通过缺省口令、口令猜测和口令破解三种途径。针对一些弱口令进行猜测。也可以使用专门的口令猜测工具进行口令破解，如遍历字典或高频密码列表从而找到正确的口令。如Win32平台的LOphtcrack等。 恶意代码：包括特洛伊木马应用程序、邮件病毒、网页病毒等，通常冒充成有用的软件工具、重要的信息等，诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制，在启动后悄悄安装恶意程序，通常为攻击者给出能够完全控制该主机的远程连接。 网络欺骗：攻击者通过向攻击目标发送冒充其信任主机的网络数据包，达到获取访问权或执行命令的攻击方法。具体的有IP欺骗、会话劫持、ARP重定向和RIP路由欺骗等。拒绝服务：指终端或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法，其意图就是彻底破坏，这也是比较容易实现的攻击方法。特别是分布式拒绝服务攻击对目前的互联网构成了严重的威胁，造成的经济损失也极为庞大。拒绝服务攻击的类型按其攻击形式分为： 导致异常型：利用软硬件实现上的编程缺陷，导致其出现异常，从而使其拒绝服务。如PingofDeath攻击等。 资源耗尽型：通过大量消耗资源使得攻击目标由于资源耗尽不能提供正常的服务。视资源类型的不同可分为带宽耗尽和系统资源耗尽两类。带宽耗尽攻击的本质是攻击着通过放大等技巧消耗掉目标网络的所有带宽，如Smurf攻击等。系统资源耗尽型攻击指对系统内存、CPU或程序中的其他资源进行消耗，使其无法满足正常提供服务的需求。如SynFlood攻击等。 欺骗型数据驱动攻击：通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，大致可分为： 缓冲区溢出：通过往程序的缓冲区写入超出其边界的内容，造成缓冲区的溢出，使得程序转而执行其他攻击者指定的代码，通常是为攻击者打开远程连接的ShellCode，以达到攻击目标。如Windows平台下的Code-Red、Blaster、Sasser等都是通过缓冲区溢出攻击获得系统管理员权限后进行传播。 格式化字符串攻击：主要是利用由于格式化函数的微妙程序设计错误造成的安全漏洞，通过传递精心编制的含有格式化指令的文本字符串，以使目标程序执行任意命令。 输入验证攻击：针对程序未能对输入进行有效的验证的安全漏洞，使得攻击者能够让程序执行指令的命令。最著名的是1996年的PHF攻击。 同步漏洞攻击：利用程序在处理同步操作时的缺陷，如竞争状态、信号处理等问题，以获得更高权限的访问。 信任漏洞攻击：利用程序滥设的信任关系获取访问权的一种方法，如Win32平台下互为映象的本地和域Administrator凭证、LSA密码等。3信息收集3.1信息收集分类ping原理主机在线情况ping举例1： Replyfrom19