南通通州住房和城乡建设网站,个人网站备案 服务内容怎么写,wordpress插件 手机版,哈尔滨php网站开发公司20169310 2016-2017-2 《网络攻防实践》第6周学习总结 教材学习内容总结 本周主要学习了《网络攻防---技术与实践》第5、6章的内容#xff0c;主要学习了 TCP/IP网络协议攻击 和 网络安全防范技术 TCP/IP网络协议攻击概述 网络安全的属性#xff1a;机密性 、完整性 、可用性… 20169310 2016-2017-2 《网络攻防实践》第6周学习总结 教材学习内容总结 本周主要学习了《网络攻防---技术与实践》第5、6章的内容主要学习了 TCP/IP网络协议攻击 和 网络安全防范技术 TCP/IP网络协议攻击概述 网络安全的属性机密性 、完整性 、可用性 、真实性 、不可抵赖性 。 网络攻击的基本模式分为截获嗅探 与 监听 、中断拒绝服务 、篡改数据包篡改 、伪造欺骗 。 TCP/IP网络协议栈在设计时采用了分层模型分为网络接口层 、互联层 、传输层 、应用层 每一层当中都有针对破坏网络安全属性为目的的攻击技术。以下列出每一层所涉及的主要协议 网络接口层以太网协议、PPP协议。 互联层IPv4、ICMP、ARP、DGP。 传输层TCP、UDP。 应用层HTTP、FTP、POP3/SMTP、DNS、SMB。 在TCP/IP网络协议栈的攻击技术当中除了网络嗅探与协议分析技术外最流行的是欺骗技术Spoofing。攻击者伪造出特制的网络数据报文发送给目标主机使其在接受处理这些伪造报文时遭受攻击。在类UNIX平台和Windows平台上攻击者都可以通过使用原始套接字(Raw Socket)绕过TCP/IP协议栈的报文封装处理和验证构造出任意的数据报文。除了自己编程实现伪造报文外还有一些可以实施各种网络欺骗攻击的工具软件如Netwox、Netwag。网络层协议攻击 1.IP源地址欺骗。根本原因在于IP协议在设计时只使用数据包中的目标地址进行路由转发而不对源地址进行真实性验证。它最普遍应用于拒绝服务攻击当中。防范措施有(1)使用随机化的初始序列号(2)使用网络层安全传输协议如IPsec(3)避免采用基于IP地址的信任策略以基于加密算法的用户身份认证机制来替代这些访问控制策略(4)在路由器和网关上实施包过滤。 2.ARP欺骗。根源在于ARP协议在设计时认为局域网内部的所有用户都是可信的是遵循协议涉及规范的。它的应用场景很多比如在交换是网络中利用ARP欺骗技术进行局域网的嗅探并通过进一步的协议分析窃取敏感信息或是利用ARP协议进行中间人攻击。防范措施(1)静态绑定关键主机IP地址与MAC地址映射关系(2)使用相应的ARP防范工具(3)使用VLAN虚拟子网细分网络拓扑并加密传输数据以降低ARP欺骗攻击的危害后果。 3.ICMP路由重定向攻击。就是利用ICMP路由重定向报文来改变主机的路由表向目标机器发送重定向消息自己写可以伪装成为路由器使目标机器的数据报发送至攻击机从而加强监听具体过程会与IP源地址欺骗技术结合实施。防范措施根据类型过滤一些ICMP数据包设置防火墙过滤对于ICMP重定向报文判断是不是来自本地路由器等。传输层协议攻击 1.TCP RST攻击。也称作TCP重置报文攻击是指一种假冒干扰TCP通信连接的技术方法。 2.TCP会话劫持攻击。目标是劫持通信双方已建立的TCP会话连接假冒其中一方通常是客户端的身份与另一方进行进一步通信。由于TCP会话劫持为攻击者提供了一种绕过应用层身份认证的技术途径因此得到了较高水平攻击者的青睐。目前比较普遍的方法是结合ARP欺骗来进行TCP会话劫持。防范措施(1)禁用主机上的源路由(2)采用静态绑定IP-MAC地址表以避免ARP欺骗(3)引用和过滤ICMP重定向报文(4)采用网络层加密机制即IPsec协议。 3.TCP SYN Flood 拒绝服务攻击。利用TCP三次握手协议的缺陷向目标主机发送大量的伪造源地址的SYN连接请求消耗目标主机的连接队列资源从而不能够为正常用户提供服务。防范措施(1)SYN-Cookie技术(2)防火墙地址状态监控技术。 4.UDP Flood拒绝服务攻击。利用UDP协议天然的无状态不可靠属性通过向目标主机和网络发送大量的UDP数据包造成目标主机显著的计算负载提升或者目标网络的网络拥塞从而使得目标主机和网络陷入不可用状态造成咀拒绝服务供给。防范措施(1)禁用或过滤监控和响应服务(2)禁用或过滤其他的UDP服务(3)网络关键位置使用防火墙和代理机制用来过滤一些非预期的网络流量。TCP/IP网络协议栈攻击防范措施 1.监测、预防与安全加固。 2.网络安全协议。如网络接口层上的WEP、WPA/WPA2、802.X网络互联层上的IPsec协议簇床数层上的TLS应用层的HTTPS、S/MIME、SET、SSH。 3.下一代互联网协议IPv6。安全模型 动态可适应网络安全模型基于闭环控制理论典型的是PDR模型及在其基础上的P2DR。PDR是一个基于时间的动态安全模型提出了安全性可量化和可计算的观点。P2DR的核心是安全策略所有的防护、监测、响应都是依据安全策略实施的安全策略为安全管理提供管理方向和支持手段。网络安全防范技术与系统 1.防火墙。指的是置于不同的网络安全域之间对网络流量或访问行为实施访问控制的安全组件或设备。它的基本功能是控制计算机网络中不同信任程度网络域之间传送的数据流。具体的为网络管理员提供(1)检查控制进出网络的网络流量(2)防止脆弱或不安全的协议和服务(3)防止内部网络信息的外泄(4)对网络存取和访问进行监控审计(5)防火墙可以强化网络安全策略并集成其他安全防御机制。而防火墙也有不足由于它的先天而无法防范的有(1)来自网络内部的安全威胁(2)通过非法外联的网络攻击(3)计算机病毒传播。由于技术瓶颈技术而无法防范的有(1)针对开放服务安全漏洞的渗透攻击(2)针对网络客户端程序的渗透攻击(3)基于隐蔽通道进行通信的特洛伊木马或僵尸网络。 2.防火墙技术包过滤技术、基于状态监测的包过滤或称动态包过滤技术、代理技术。防火墙产品集成包过滤功能的路由器、基于通用操作系统的防火墙软件产品、基于安全操作系统的防火墙、硬件防火墙设备。防火墙的部署方法有包过滤路由器、双宿主堡垒主机、屏蔽主机、屏蔽子网。 3.Linux开源防火墙:netfilter/iptable。netfilter是Linux内核中实现的防火墙功能模块iptables则是应用态的防火墙管理工具。 4.其他网络防御技术VPN、内网安全管理、内容安全管理SCM、统一威胁管理。网络监测技术与系统 1.入侵检测技术就是对入侵行为进行检测与发现它是防火墙之后的第二道安全屏障。评估入侵检测技术和系统的两个重要参数是检测率和误报率。理想的入侵检测系统应该同时具有较高的正确检出率和较低的误报率然而由于存在“基调悖论”现象提高检测率与降低误报率互为矛盾。入侵检测技术分为无用检测和异常检测。入侵检测系统可分为基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)这两者可以互相补充成为分布式入侵检测系统(DIDS)。入侵检测系统的体系结构分为集中式、层级式和协作式。入侵防御系统是在入侵检测系统基础上发展出来的一种网络安全技术和产品形态有时也称为内嵌式IDS它采用直接在网络边界位置内联连接的方式并在监测到入侵行为后直接对所关联的攻击网络连接进行阻断处理。 2.Snort是一款非常著名的开源网络入侵检测系统软件用c语言编写具有强大的功能数据包嗅探、数据包记录和分析以及各种入侵检测功能。Snort当中的4个主要部件是数据包嗅探与解码器、预处理器与插件、检测引擎与插件、输出模块与插件。网络安全事件响应技术 网络安全事件响应是P2DR模型中响应环节的关键技术手段。是指针对那些影响计算机系统和网络安全的不当行为所采取的措施和行动旨在阻止和减小事件所带来的影响。计算机安全事件响应小组CSIRT是进行网络安全事件应急响应和处理的专业团队。安全事件响应可分为6个阶段准备、检测、抑制、根除、回复和跟踪。响应过程当中所涉及的关键技术包括计算机取证、攻击追溯与归因、备份恢复与灾难恢复等。教材学习中的问题和解决过程 问题 在使用 Netwox 工具进行ARP欺骗时要用到 FTP 服务我选择在Ubuntu系统当中搭建FTP服务器IP 192.168.37.150,vsftpd服务安装完成后首先新建一个用于FTP服务目录 然后添加FTP用户用户名为 uftp 打开 /etc/vsftpd.conf 修改相应配置 建立允许用户名单即之前配置当中添加的文件allowed_users 编辑文件 /etc/ftpusers 由于该文件当中保存的是禁止登陆FTP的用户名所以要保证该文件当中没有已建立的用户名存在。 为了测试在服务器端新建了一个名为 1.txt 的文件然后在另一个系统IP 192.168.37.130当中登陆FTP服务器并get这个文件 至此测试环境已经搭建完毕。 为方便描述现命名主机A为客户端IP 192.168.37.130,B为服务器端192.168.37.150,C为攻击机IP 192.168.37.200,三者互相ping通后通过命令 arp -a 查看他们各自的ARP表 A: B: C: 这里通过A登录B的FTP服务器正常情况下数据包应该是 可以看到FTP数据在A和B之间交互现利用Netwox工具对B进行 ARP欺骗 让B误认为C是A命令如下 netwox 33 -b 00:0c:29:19:10:04 -g 192.168.37.130 -h 00:0c:29:19:10:04 -i 192.168.37.150 可以看到它将A的IP地址与C的MAC绑在了一起这样再在B上查看一下ARP表如下 可以看到B的ARP表中确实记录了一个被欺骗的映射同时C虚拟了一个不存在的MAC地址。 同理对A进行欺骗 因为数据包不会发向目标服务器进而在登录ftp时就会出现超时 作为中间人的C只要对数据包进行转发就可以达到中间人攻击的目的。 作为中间人进行转发的功能暂时无法实现所以换了个思路在A正常连接B后再通过C进行攻击首先连接正常情况下的数据包如之前所示但是出现攻击之后在B端可以看到 出现了大量显示深色的数据包查看这些数据包可以看到这些数据是由A发过来的但是A的IP所对应的MAC地址被解析成了C的MAC地址所以可以发现由于A得不到响应就一直发送直至B的ARP表更新正常才会继续交互。 下面利用该工具进行 SYN Flood攻击测试 首先在目标机B上打开xampp服务平台以便A能够在浏览器中访问它 正常情况下TCP的三次握手如下 断开连接之后利用如下命令进行SYN Flood攻击 netwox 76 -i 192.168.37.150 -p 80 这时可以在B端明显发现出现大量TCP数据包 很明显netwox工具虚拟了许多不同IP地址向B发送TCP包B端开始变得卡顿网络带宽被完全占据进而A端就不能再与之建立连接。这就达到了攻击的目的。 视频学习中的问题和解决过程 本周主要学习了KaliSecurity21-25学习了密码攻击当中的在线攻击工具、离线攻击工具、哈希传递及无线安全分析工具的使用。其中介绍了许多工具它们之间的有些功能是相互重合的这里主要对以下几个工具进行总结。 问题1 在线攻击当中的 Hydra 工具作为一个老牌破解工具可以使用各种参数来破解各种服务的账户用户名及密码但是在按照视频学习时出现了无法破解的情况具体问题及解决过程如下 以破解 SSH 服务的用户名及密码为例首先将SSH服务打开 可以使用如下命令查看当前ssh服务所监听的端口号 由于使用该工具需要密码字典因而可以手动编写一个名称为 passwd.txt 的简单字典用作测试 然后使用命令 hydra -l root -P ./passwd.txt -F ssh://127.0.0.1:22 对本机root用户的密码进行破解但是遇到如下情况 经过上网查找资料分析相关原因得到的结论是ssh服务默认禁止root用户登录所以查看ssh的配置文件sshd_config 可以看到在 Authentication 当中有一句 PermitRootLogin prohibit-password 说明确实在配置文件当中将root登录禁止了所以可以将其改为图中那样将 prohibit-password 改为 yes,然后再使用之前的命令就可以成功破解了 问题2 在使用 Hashid 工具进行哈希分析时发现用 Kali 1.0 与 Kali 2.0自带的hashid工具对同一段哈希值可能因为版本原因有着不同的分析结果 问题3 利用 john 工具对Linux Shadow账户密码进行破解 我们可以查看 /etc/shadow 中的内容 可以看到第一行当中包含了root用户密码的哈希值可以将它们先导入一个文件当中如下 然后执行 john testshadow 即可破解成功通过 --show 即可查看破解结果: 问题4 利用 Samdump2 与 BKhive 工具破解Windows下密码hash文件 这里选用的Windows是windows xp系统用户名是 administrator 密码是 frank 正常情况下系统的SAM文件与system文件在系统运行时是禁止被拷贝的所以我利用了冰刃(icesword) 1.22工具对这两个文件进行复制也可通过u盘启动的方法复制这两个文件 将这两个文件复制到Kali系统当中首先用bkhive工具从system文件当中生成一个bootkey文件 bkhive system bootkey 再用bootkey和SAM文件通过samdump2生成一个密码hash文件 samdump SAM bootkey hashes 再利用john工具直接 john hashes 即可。 但是在使用过程中遇到以下错误 暂时还无法解决。 错题分析与总结 1.SQL注入与XSS攻击的共同原理是: 输入检查不充分、数据和代码没有分离。 2.可以通过以下命令将 f1.txt 复制为 f2.txt: cp f1.txt f2.txt cat f1.txt f2.txt 感想体会 由于时间原因这次攻防实践做的比较仓促遇到了许多问题但总的来说通过实践确实掌握了几个工具的使用以后还要继续努力。 学习进度条 学习目标本学期 完成网络攻防课程的学习完成各种攻防实践操作。 本周完成内容 学习了《网络攻防---技术与实践》第5、6章的内容学习了KaliSecurity的21 - 25视频。 周次教材学习视频学习新增/累计博客新增/累计第1周实验楼学习(实验楼学习)1/1第2周第1、2章5/51/2第3周第3章5/102/4第4周第4章5/151/5第5周第11、12章5/201/6第6周第5、6章5/251/7转载于:https://www.cnblogs.com/zhanghanbing/p/6684006.html