图解网络入侵的过程.docx
- 文档编号:26571690
- 上传时间:2023-06-20
- 格式:DOCX
- 页数:7
- 大小:428.61KB
图解网络入侵的过程.docx
《图解网络入侵的过程.docx》由会员分享,可在线阅读,更多相关《图解网络入侵的过程.docx(7页珍藏版)》请在冰豆网上搜索。
图解网络入侵的过程
图解网络入侵的过程
图解网络入侵的过程
引言
经济社会的发展要求各用户之间的通信和资源共享,需要将一批计算机连成网络,这样就隐含着很大的风险,包含了极大的脆弱性和复杂性,特别是对当今最大的网络——国际互联网,很容易遭到别有用心者的恶意攻击和破坏。
随着国民经济的信息化程度的提高,有关的大量情报和商务信息都高度集中地存放在计算机中,随着网络应用范围的扩大,信息的泄露问题也变得日益严重,因此,计算机网络的安全性问题就越来越重要。
本文主要是写了网络上几种入侵的过程
一、简单的"黑客"入侵
TCP/IP协议顺序号预测攻击是最简单的"黑客"入侵,也是系统安全的最大威胁。
在网络上,每台计算机有惟一的IP地址,计算机把目标IP地址和一个惟一的顺序号加载于传输的每一个数据包上。
在一个TCP连接中,接收机只收到具有正确IP地址和顺序号的那个包裹。
许多安全设备,如路由器,只允许有一定IP地址的计算机收发传送。
TCP/IP顺序号预测入侵将使用网络给计算机赋址的方式和包裹交换的顺序来企图访问网络。
一般来说,"黑客"进行TCP/IP顺序号预测攻击分两步:
第一,得到服务器的IP地址。
黑客一般通过网上报文嗅探,顺序测试号码,由WEB浏览器连接到结点上并在状态栏中寻找结点的IP地址。
因为黑客知道其他计算机有一个与服务器IP地址部分公用的IP地址,他便尽力模拟一个能让其通过路由器和作为网络用户访问系统的IP号码。
例如,如果系统的IP地址为192.0.0.15,黑客便知有近256台计算机可以连入一个C级网,并猜出所有最后位在序列中出现过的地址号码。
IP地址指示了一个网络连接的计算机数,同时上述地址的高字节中两个最重要的位设定指出了该网为C级网,下图显示了黑客是怎祥预测C级网的IP号码的。
"黑客"用服务器的IP地址来猜测其他网络地址
第二,黑客在试过网上IP地址之后,便开始监视网下传送包的序列号,然后,黑客将试图推测服务器能产生的下一个序列号,再将自己有效地插入服务器和用户之间。
因为黑客有服务器的IP地址,就能产生有正确IP地址和顺序码的包裹以截获用户的传递,下图指明了怎样模仿IP地址及包裹序列号以愚弄服务器,使之信任黑客为合法网络用户。
黑客模拟一个TCP/IP通讯愚弄服务器
二、嗅探入侵
利用嗅探者的被动入侵已在Internet上频繁出现,如被动嗅探入侵是一个黑客实施一次实际劫持或IP模仿入侵的第一步。
要开始一个嗅探入侵,黑客要拥有用户IP和合法用户的口令,而用一个用户的信息注册于一个分布式网络上。
进入网之后,黑客嗅探传送的包并试图尽可能多地获取网上资料。
黑客如何实施一个被劫嗅探入侵
为了防止分布式网络上的嗅探入侵,系统管理员一般用一次性口令系统或票据认证系统(如Kerberos)等识别方案。
例如,一些一次性口令系统向用户提供在每次退出登录后的下次登录口令。
尽管一次性口令系统和Kerberos方案能让黑客对口令的嗅探在不安全的网络上变得更加困难,但如果它们既未加密又未指明数据流时仍将面临实际的被入侵风险。
下图显示了黑客如何实施被动的嗅探入侵。
下面描述黑客将TCP流定向到自己机器上的针对TCP的实际入侵。
在黑客重新定向了TCP流之后,黑客能通过无论是一次性口令系统或票据认证系统提供的保护安全线,这样TCP连接对任何一个在连接路径上拥有TCP包嗅探器和TCP包发生器的人来说都变得非常脆弱。
在后面,您将了解到一个TCP包在到达目的系统之前要经过许多系统,换句话说,只要拥有一个放置好了的嗅探器和发生器,黑客能访问任何包--它们可能包括您在Internet上传送的包。
在后面一部分里,我们详述了一些您可以用来检测实际入侵的方案和一些您可以用来防卫入侵的方法。
黑客能用这一章节中所述的最简单的方法来侵入Internet主机系统,而且,黑客可以实施一次和被动嗅探所需资源一样少的主动非同步攻击。
三、嗅探--冒充入侵
您已了解到实际的嗅探入侵的基础,包括一些组成部分。
本部分详述的冒充入侵中,黑客用客户机IP地址作为源址向服务器发送一个SYN包以初始化通话。
黑客传送的地址必须是冒充成可信任主机地址。
服务器将用一个SYN/ACK包来确认SYN包,它包含以下行:
SEG_SEQ=SVR_SEQ_O
黑客因此可以用自己的包来确认服务器的SYN/ACK包。
黑客数据包中包含了黑客所猜的SVR_SEQ_O的值即顺序号。
如果成功,那么黑客不必嗅探客户包,因为黑客能预测SVR_SEQ_O且确认它。
1.冒充入侵的两个主要缺点
(1)黑客冒充的客户机将收到来自服务器的SYN/ACK包,而向服务器回发一个RST(复位)包,因为在客户机看来,通话不存在。
而黑客可能阻止客户机的复位包产生,或当客户机未按入网络时入侵,或使客户机的TCP队列溢出,如此,客户机将在往服务器上发送数据中丢失包。
(2)黑客不能从服务器上得到数据,然而黑客可以发送一些足以危害主机的数据。
2.冒充入侵和非同步后劫持入侵的不同点
冒充入侵和您以前了解到的非同步后劫持入侵的四个不同之处在于:
(1)非同步后劫持入侵让黑客实行并控制连接的鉴别阶段,而冒充入侵依靠于可信任主机的鉴别方案。
(2)非同步后劫持入侵让黑客对于TCP流有很大的访问权。
换句话说,黑客可以同时收发数据,而不是像冒充入侵那样仅能发送数据。
(3)非同步后劫持入侵利用以太网嗅探来预测或得到SVR-SEQ-O。
(4)黑客可以用非同步后劫持入侵法攻击任何类型主机。
因为冒充入侵时要倚赖于UNIX可信任主机的模式,所以它仅能对UNIX主机进行攻击。
(5)为完成TELNET会话入侵,黑客实施前面详述的步骤,直到黑客成为TELNET会话连接的中间人
如果Telnet会话可以传送空数据的话,黑客只能利用前面详述的五个步骤的TELNET截获方式。
纵使如此,黑客对于选择合适时间发送空数据仍有困难。
如果时间不正确,入侵将很容易破坏Telnet会话,或者会引起会话干扰,而不能让黑客控制会话。
当您参与TELNET会话,预料不到的结果将表明黑客正在截获会话。
五.空数据非同步入侵
黑客利用在连接的早期阶段截获一个TCP连接来实施一次前期非同步入侵,非同步一个TCP连接后,黑客能实施一次空数据非同步入侵。
空数据指不会影晌服务器的任何东西,不会改变TCP认证号,黑客通过同时向服务器和客户端发送大量数据来实施一次空数据入侵。
黑客发送的数据对客户端来说是不可见的。
相反,空数据迫使TCP会话中连接的两台计算机切换到非同步状态,因为纯粹的空数据干预到了计算机维护TCP连接的能力。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 图解 网络 入侵 过程