网络攻击行为区分. ppt

基本内容网络信息安全技术和黑客攻击技术都起源于同一技术核心，即网络协议和底层编程技术. 不同之处在于如何使用这些技术. 许多软件或设备可以为网络管理和安全性提供安全性，但是当被别有用心的人使用时，它就变成了黑客工具，就像一把刀，一种基本的生活工具和谋杀武器一样. 我们需要“了解自己并彼此了解”才能具有竞争力. 我们对黑客的攻击方法，方法，方法和工具了解得越多，就越有利于保护网络和信息的安全. 在介绍信息安全技术之前，本章首先分析与黑客攻击有关的知识. 计算机网络系统面临的威胁大致可分为两种: 一种是对网络中信息的威胁；另一种是对网络中信息的威胁. 第二是对网络中设备的威胁. 根据威胁的目的和性质，它可以分为四类: 第一类是针对硬件物理设施的，第二类是针对软件，数据和文档的. 第三类是攻击和消灭前两个类. 第四类是计算机. 软件“后门”和漏洞安全威胁主要来自以下几个方面: 承包商，临时雇员和Gu攻击者的脚本小子通用技能攻击者高级技能攻击者安全专家杰出的攻击者可以为计算机提供扩展功能超越黑客原始设计的能力是英文“ Hacker”的英文音译，在中国台湾地区被译为“黑客”. 它起源于麻省理工学院的计算机实验室.

早期的黑客是那些充满活力，聪明并且具有出色编程技能的计算机程序员. 他们的行为主要包括设计黑客软件，拨打长途电话以及使用电话进行欺诈. 目前，根据部1997年4月21日发布的“计算机信息系统安全专用产品分类原则”中的术语定义，黑客是指未经授权访问计算机信息系统的人. 其他人则认为，黑客是指使用通信软件通过网络非法进入公共和其他计算机系统，拦截或篡改计算机中信息并危害信息系统安全的计算机入侵者. 他们的入侵称为黑客入侵. 恶意攻击计算机系统的人（黑客）10黑客的特征（1）大多数充当黑客的年轻人通常在10到30岁之间，并且有许多子女，例如美国， “世界第一计算机”黑客的凯文·米特尼克（Kevin Mitnick）在13岁时就迷上了计算机，在15岁时闯入了“北美防空指挥系统”；英国的Mathew Bevan于14岁时入侵了这家英国电信公司；呼和浩特市一名10岁的初中学生破译了该市的通讯公司系统管理员等的帐户. （2）人员组成相对集中黑客事件的70％以上是由内部人员或内部与外部之间的串谋. 通常，外部黑客攻击的目的主要是破坏系统，大多数内部或内部串通入侵都是为了获取信息. 外部骇客只能入侵一个网站一次，而内部或内部串通入侵可能是连续数次.

（3）黑客活动时间相对固定. 黑客活动主要是从晚上到清晨，周末或节假日. 由于黑客很少，大多数黑客都有自己的工作，并且需要利用休息时间来实施黑客活动邮件攻击主要是( )，并且由于在这段时间里工作场所的人很少，因此便于隐瞒. （4）从发展趋势的角度来看，黑客正朝着系统的，有组织的，年轻的黑客迈进，甚至定期召开会议. 例如，他们每四年在荷兰举行一次Hack Tic会议，并每年在纽约举行一次“ 2600官方文件”. 拉斯维加斯在加利福尼亚的太浩湖举行了DefCon会议并举行了“黑客会议”. 11黑客攻击造成的损害程度的分类黑客攻击使用的方法不同，并且所产生的损害程度也不同. 它们通常分为八个级别: 第一层: 邮件攻击；第二层: 简单的拒绝服务；第三层: 本地用户获得未授权的读取访问权限；级别4: 本地用户获得未经授权的文件写入权限；级别5: 远程用户获得未经授权的帐户；级别6: 远程用户获得特权文件的读取权限；第七层: 远程用户已获得特权文件的写许可；第八层: 远程用户具有root权限（黑客已经征服了系统）. 在这八层中，随着层数的增加，危害程度也会增加. 12黑客手段当前，黑客攻击网络的手段有很多种，并且出现了新的方法. 黑客攻击可以分为以下两类: 第一种是主动攻击. 这种类型的攻击以各种方式获得有关攻击目标的相关信息. 为了找出系统漏洞并入侵系统，它将有选择地破坏信息的有效性和完整性.

例如: 邮件. 另一种类型是被动攻击. 这种攻击是在不影响网络正常工作的情况下拦截，窃取和解密重要的机密信息，包括和通信流量分析. 例如: 扫描仪. 当前黑客攻击的主要方法是利用当前网络系统和各种网络软件漏洞，例如基于TCP / IP协议本身的缺陷，操作系统中的各种缺陷等；防火墙设置不正确；电子欺诈；拒绝服务（包括DDoS）；网络病毒；使用黑客工具软件；使用用户自身薄弱的安全意识邮件攻击主要是( )，例如密码设置不正确； 13黑客常用的几种方法（1）扫描程序所谓的扫描程序实际上是一个程序，可以自动检测目标计算机的安全漏洞. 通过使用扫描程序，黑客可以发现远程服务器的各种TCP端口的分布以及所提供的服务，所使用的软件版本以及其他服务信息，而不会留下任何痕迹. （2）密码破解黑客的攻击通常始于破解用户密码. （3）攻击和病毒攻击是指黑客使用自制的攻击程序或工具软件在一段时间内向受攻击的目标计算机发送大量信息，从而导致计算机过载并网络被阻止，最终导致系统崩溃的网络攻击方法. （4）电子欺骗（欺骗14种常用的黑客手段）电子欺骗通常包括使用计算机进行欺骗的任何行为.

（5）监视方法网络监视是局域网中的一种黑客技术. 由于网络监视在监视时不会与其他主机交换信息或修改密码，因此它是一种被动攻击方法，仅在局域网中使用. （6）拒绝服务攻击（Denial Service）拒绝服务攻击是指攻击者占用大量共享资源，使系统无法为其他用户提供资源或导致请求过多的“溢出”，从而使服务器或路由器超载，甚至被迫服务器关闭并终止为用户提供服务的攻击方法. 拒绝服务攻击是一种主动的破坏性攻击. 按造成的损害划分，拒绝服务攻击可以分为两类. 一种是破坏或破坏系统资源，使用户不可用. 第二类是使系统服务超载或消耗系统资源，以防止其他用户使用这些服务. 15欺骗16网络攻击（P22）的级别第1层攻击: 第1层攻击基于应用程序层的操作. 这些攻击的目的仅仅是干扰目标的正常工作. 第二层攻击: 第二层攻击是指本地用户获得不应获得的文件（或目录）的读取权限. 第三层攻击: 在第二层的基础上进行开发，以使用户能够获取不应获得的写许可权的文件（或目录）. 第六层攻击: 第六层攻击是指未经授权的用户获得系统管理员权限或root用户权限. 17网络攻击阶段和分阶段的工具攻击侦查扫描，使用应用程序和操作系统来获得访问权的决定性服务攻击，以掩盖痕迹和隐藏攻击，使用网络攻击来获得访问权以维护访问权限18（网络继续）攻击阶段和工具，侦察扫描绝对服务攻击掩盖了痕迹，并隐藏了使用应用程序和操作系统来获得访问权限，使用网络攻击来获得访问权限并维护访问权限的攻击. 19侦察是利用公共和可用信息来调查攻击目标. 通用目标侦察工具20低级在黑客理论中，技术侦察的社会工程学是指利用人的弱点并利用人际沟通中的漏洞非法获取信息的行为.

您能找到垃圾邮件搜索示例吗？ 21 Web搜索Usenet（新闻组）22 Whois搜索whois是什么: 包括有关Internet地址分配，域名和个人联系信息的各种. WHOIS是一种由国防数据网络（DDN）信息中心（NIC）Internet维护的有关用户，主机系统，网络和域的. 该中的信息仅包括已通过NIC在Internet上注册的用户和主机系统. 您可以搜索此以确定用户的电子邮件地址. 该过程是第一次在nic中进行. ddn. 登录mil的WHOIS，然后使用WHOIS命令进行查询. 在提示符下键入HELP以获取更多信息. （百度）.com，.net，.org域名研究非.com，.net和.org域名研究（.edu）: 军事代码（.mit）: whois.nic.mit政府（. gov）: whois. nic.gov 23 Whois搜索（续）搜索目标域名24 Whois搜索（续）美国互联网注册机构: 中国互联网信息中心: 亚太网络信息中心26 DNS搜索Nslookup使用DNS故障排除工具nslookup，您可以使用从Whois查询到的信息将调查更多的网络状况.

例如，使用nslookup命令将您的主机伪装成辅助DNS服务器. 如果成功，则可以从主DNS服务器请求区域传输. 如果传输成功，您将获得很多有用的信息，包括: a）使用此DNS服务器将域名解析映射到所有主机名和IP地址b）公司的网络和子网状况c）使用网络中主机的数量. 许多公司使用描述性主机名，例如mail.companya.com和print.companyc.com. 27 DNS搜索使用nslookup实施区域传输过程（1）使用whois命令查询目标网络，例如，在提示符下输入whois webmaster.com.cn（2）您将获得主DNS服务器和从DNS服务器目标网络的信息. 例如，假设主DNS服务器的名称为ns.w??ebmaster.com.cn. （3）使用交互式查询模式. 默认情况下，nslookup将使用默认的DNS服务器进行域名解析. 键入命令服务器ns.webmaster.com.cn来定位目标网络的DNS服务器. （4）列出目标网络的DNS服务器的内容，例如ls webmaster.com.cn. 此时，DNS服务器会将数据发送给您. 当然，管理员可以禁止DNS服务器执行区域传输. 当前，许多公司将DNS服务器置于防火墙的保护之下，并严格将区域传输设置为某些主机.

一旦您从区域传输中获得了有用的信息，就可以在每个主机上执行端口扫描，以确定它们提供的服务. 如果您无法实现区域传输，则还可以使用ping和端口扫描工具，当然也可以使用traceroute. 28通用工具SamSpade工具29网络攻击阶段和工具（续）侦察扫描使用应用程序和操作系统进行拒绝服务攻击涵盖跟踪和隐藏攻击获得访问权限使用网络攻击获得访问权限以维护访问权限30扫描扫描需要花费大量时间31扫描内容以避免IDS32战争拨号查找电话号码: 电话簿，互联网，whois，网站，社会工程学THC-scan2.0 33网络映射Cheops: 34端口扫描TCPSYN TCPFIN Xma: 发送TCP URG，PSH和其他TCP空扫描TCPACK工具: Nmap35目标协议栈的指纹（指纹）36漏洞扫描结果和报告生成工具漏洞用户配置工具扫描引擎活动知识库结果和报告生成37漏洞扫描工具SARA，www-arc.com / sara. SANT，Nessus，38岁，避免使用NIDS NIDS是Network Intrusion Detection System的缩写，即网络入侵检测系统，主要用于检测通过网络的Hacker或Cracker入侵.

有两种方法可以运行NIDS，一种是在目标主机上运行以监视其自身的通信信息，另一种是在单独的计算机上运行以监视所有网络设备（例如Hub）的通信信息. 路由器. NIDS功能: 网络管理人员实时监控网络运行状况，以便随时发现可能的入侵行为，进行具体分析，并及时主动地进行干预，以达到预防事故的效果. 目前，NIDS产品可分为硬件和软件两种类型. 如何避免？ 39 IDS 40如何避免IDS？应用层规避41网络层规避工具: fragroute42 Fragrouter 43应用层规避IDSCGI: whisker（）会话拼接（网络层的分裂）44网络攻击阶段和工具侦察扫描决定性的服务攻击，以掩盖痕迹并隐藏应用程序的使用操作系统攻击获得访问权限. 使用网络攻击获得访问权限以维护访问权限. 45使用应用程序和操作系统攻击来获取访问权限. 在获得目标中的潜在漏洞之后，攻击者将尝试获取对目标系统的访问权限. 真正的攻击者: 自己动手！ 46常用攻击方法网络应用程序攻击47网络攻击阶段和分阶段的工具攻击侦查扫描拒绝服务扫描以使用应用程序和操作系统掩盖痕迹并隐藏攻击获取访问权限使用网络攻击获得访问权限维护访问权限48使用网络攻击获得访问权限网络工具攻击: NetCat49主动嗅探: 通过交换机嗅探50被动嗅探Tcpdump，Windump，netgroup-serv.polito.it / windump / Snort，Ethereal，Dsniff，?dugsong / dsniff / SnifferPro51主动嗅探和被动嗅探仅对共享网络有效. 如何在交换网络中嗅探？集线器交换机52活动嗅探（续）嗅探HTTPS和SSH 53使用网络攻击获得对源路由欺骗的访问权54会话劫持（续）IPWatcher: TTYWatcher: ftp.cerias.purdue.edu TTYSnoop: packetstorm.security.com 55网络攻击阶段和工具侦察扫描拒绝服务攻击掩盖了踪迹，并使用应用程序和操作系统来隐藏攻击，以获取访问权限；使用网络攻击来获取访问权限，以维护访问权限56拒绝服务攻击；拒绝服务攻击分类；杀死进程；重新配置系统因此进程崩溃填充进程表以填充整个文件系统恶意数据包攻击（例如Land攻击，Teardrop攻击）数据包泛洪（SYN泛洪，Smurf，DDoS）本地网络停止服务并消耗资源57 Land攻击发送虚假数据包，它的源IP地址和端口号与目标主机相同.

对于这种未知情况，旧的TCP / IP协议栈将引起混乱甚至崩溃. 58泪珠攻击发送重叠的数据包片段. 数据包头中的片段长度设置为不正确的值，因此主机在组装它们时无法正确排队这些数据包片段. 某些TCP / IP协议栈在收到此类碎片时会崩溃. 还包括Newtear攻击，Bonk攻击，Syndrop攻击59SYN泛洪，发送大量SYN数据包，无法接受正常的服务请求，连接队列已满60个Smurf攻击放大器广播伪造的Ping，源地址是IP地址y61 DDoS主站客户端僵尸62网络攻击阶段和工具侦察扫描决定性的服务攻击，以利用应用程序和操作系统获取访问权限来覆盖跟踪并隐藏攻击，以使用网络攻击获取访问权限以维护访问权限63维护访问权限Trojan Horse BackOrifice 2000（ BO2K）: ps64网络攻击阶段和工具侦察扫描果断的服务攻击，使用应用程序和操作系统攻击来获取痕迹和隐藏，并通过操作系统攻击来获取访问权限使用网络攻击来获取访问权限来维护访问权限65掩盖痕迹和隐藏工具: winzapper， ntsecurity.nu/toolbox/winzapper/ lastlog66覆盖跟踪和隐藏（续）VanHauser: HTTP隧道隐藏通道（CovertChannel）IP标识符TCP序列号TCPack编号Covert_TCP67摘要

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-257125-1.html