1.網(wǎng)絡(luò)掃描在實施網(wǎng)絡(luò)攻擊前，對攻擊目標(biāo)的信息掌握得越全面、具體，越能合理、有效地根據(jù)目標(biāo)的實際情況確定攻擊策略和攻擊方法，網(wǎng)絡(luò)攻擊的成功率也越高。網(wǎng)絡(luò)掃描技術(shù)是獲取攻擊目標(biāo)信息的一種重要技術(shù)，能夠為攻擊者提供大量攻擊所需的信息。主機發(fā)現(xiàn)、端口掃描、操作系統(tǒng)檢測和漏洞掃描是網(wǎng)絡(luò)掃描的四種主要類型。主要通過對目標(biāo)地址以及特定端口發(fā)送特定分組，如ICMP探測分組、TCP連接請求、UDP報文等，分析接收到的應(yīng)答分組來判斷目標(biāo)主機的工作狀態(tài)、操作系統(tǒng)類型、運行的程序以及存在的漏洞。課件制作人：謝鈞謝希仁1.網(wǎng)絡(luò)掃描在實施網(wǎng)絡(luò)攻擊前，對攻擊目標(biāo)的信息掌握得越全面、具體，越能合理、有效地根據(jù)目標(biāo)的實際情況確定攻擊策略和攻擊方法，網(wǎng)絡(luò)攻擊的成功率也越高。網(wǎng)絡(luò)掃描技術(shù)是獲取攻擊目標(biāo)信息的一種重要技術(shù)，能夠為攻擊者提供大量攻擊所需的信息。主機發(fā)現(xiàn)、端口掃描、操作系統(tǒng)檢測和漏洞掃描是網(wǎng)絡(luò)掃描的四種主要類型。主要通過對目標(biāo)地址以及特定端口發(fā)送特定分組，如ICMP探測分組、TCP連接請求、UDP報文等，分析接收到的應(yīng)答分組來判斷目標(biāo)主機的工作狀態(tài)、操作系統(tǒng)類型、運行的程序以及存在的漏洞。課件制作人：謝鈞謝希仁網(wǎng)絡(luò)掃描的防范關(guān)閉閑置及危險端口，只打開確實需要的端口。使用NAT屏蔽內(nèi)網(wǎng)主機地址，限制外網(wǎng)主機主動與內(nèi)網(wǎng)主機進行通信。設(shè)置防火墻，嚴(yán)格控制進出分組，過濾不必要的ICMP報文。使用入侵檢測系統(tǒng)及時發(fā)現(xiàn)網(wǎng)絡(luò)掃描行為和攻擊者IP地址，并對該地址的分組進行阻斷。2.網(wǎng)絡(luò)監(jiān)聽課件制作人：謝鈞謝希仁網(wǎng)絡(luò)監(jiān)聽是攻擊者直接獲取信息的有效手段。如果數(shù)據(jù)在網(wǎng)絡(luò)中明文傳輸（絕大部分情況都是這樣），攻擊者可以從截獲的分組中分析出賬號、口令等敏感信息。即使網(wǎng)絡(luò)通信經(jīng)過了加密，攻擊者還可以嘗試密碼破譯。如果通信用戶的加密算法比較脆弱或密鑰過于簡單，攻擊者很可能破譯出明文。攻擊者主要采用局域網(wǎng)分組嗅探、交換機毒化攻擊、ARP欺騙等攻擊手段。課件制作人：謝鈞謝希仁交換機毒化攻擊在共享式局域網(wǎng)中，分組嗅探器（類似Wireshark）將適配器設(shè)置為混雜方式，就可以監(jiān)聽到網(wǎng)絡(luò)中所有的通信。但是現(xiàn)在的局域網(wǎng)基本上都是使用交換機的交換式局域網(wǎng)，分組嗅探器通常僅能接收到發(fā)送給自己的幀或廣播幀。交換機轉(zhuǎn)發(fā)表空間有限且總是保留最新記錄。攻擊者向交換機發(fā)送大量具有不同虛假源MAC地址的幀，這些虛假MAC地址表項會填滿交換機的轉(zhuǎn)發(fā)表。這樣該交換機就不得不廣播大多數(shù)的幀。從而，分組嗅探器就能監(jiān)聽到網(wǎng)絡(luò)中其他主機的通信了。2.網(wǎng)絡(luò)監(jiān)聽課件制作人：謝鈞謝希仁ARP欺騙攻擊攻擊者可以廣播或向特定主機發(fā)送一個ARP請求報文或響應(yīng)報文，并聲稱被攻擊主機的IP地址對應(yīng)的MAC地址就是自己的MAC地址，收到該ARP報文的主機將會信以為真。攻擊者往往利用ARP欺騙將自己偽裝成某個路由器，從而能監(jiān)聽到所有流經(jīng)該路由器的所有通信，其危害極大。2.網(wǎng)絡(luò)監(jiān)聽PC1R1Attack互聯(lián)網(wǎng)我是R1我是PC12.網(wǎng)絡(luò)監(jiān)聽課件制作人：謝鈞謝希仁盡量使用交換機，劃分更細(xì)的VLAN。為某些交換機端口設(shè)置允許學(xué)習(xí)的源MAC地址數(shù)量的上限。將IP地址、MAC地址與交換機的端口進行靜態(tài)綁定。對于要重點保護的主機或路由器使用靜態(tài)ARP表。進行數(shù)據(jù)加密和實體鑒別技術(shù)，避免使用Telnet這些不安全的軟件網(wǎng)絡(luò)監(jiān)聽的防范3.拒絕服務(wù)攻擊課件制作人：謝鈞謝希仁拒絕服務(wù)DoS(DenialofService)攻擊是攻擊者最常使用的一種行之有效且難以防范的攻擊手段是針對系統(tǒng)可用性的攻擊，主要通過消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷，以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)或使服務(wù)質(zhì)量顯著降低主要以網(wǎng)站、路由器、域名服務(wù)器等網(wǎng)絡(luò)基礎(chǔ)設(shè)施為攻擊目標(biāo)，危害極大分布式拒絕服務(wù)攻擊課件制作人：謝鈞謝希仁如果處于不同位置的多個攻擊者同時向一個或多個目標(biāo)發(fā)起拒絕服務(wù)攻擊，或者一個或多個攻擊者控制了位于不同位置的多臺主機，并利用這些主機對目標(biāo)同時實施拒絕服務(wù)攻擊，則稱這種攻擊為分布式拒絕服務(wù)DDoS(DistributedDenialofService)攻擊，它是拒絕服務(wù)攻擊最主要的一種形式。01OPTION利用網(wǎng)絡(luò)防火墻對惡意分組進行過濾02OPTION在入口路由器進行源端控制03OPTION對路由器流經(jīng)的IP數(shù)據(jù)報首部進行自動標(biāo)記，以追溯攻擊源，然后隔離攻擊源或采取相應(yīng)的法律手段04OPTION通過分析分組首部特征和流量特征檢測正在發(fā)生的DoS攻擊，并進行預(yù)警DoS攻擊的防范以下措施可以部分地減