火龍果黑客攻擊與防范技術(shù)

1、黑客攻擊與防范技術(shù)目錄目錄一、背景介紹二、黑客攻擊基本流程介紹三、黑客常見攻擊方法和防范措施四、網(wǎng)絡(luò)攻擊演示與實(shí)踐五、網(wǎng)絡(luò)安全整體解決方案六、結(jié)束語網(wǎng)絡(luò)中存在的安全威脅背景介紹什么是黑客黑客守則黑客守則黑客入侵和破壞的危險(xiǎn)針對(duì)我國的幾次主要黑客攻擊事件2001年中美黑客大戰(zhàn)這次事件中被利用的典型漏洞n用戶名泄露，缺省安裝的系統(tǒng)用戶名和密碼nUnicode編碼可穿越Firewall，執(zhí)行黑客指令nASP源代碼泄露可遠(yuǎn)程連接的數(shù)據(jù)庫用戶名和密碼nSQL Server缺省安裝nWindows2000登錄驗(yàn)證機(jī)制可被繞過n基于Bind漏洞的Lion蠕蟲n拒絕服務(wù)（SYN-Flood，ping）這次事件

2、中被利用的典型漏洞這次事件中被利用的典型漏洞PoizonB0 x、pr0phet更改的網(wǎng)頁中國網(wǎng)數(shù)據(jù)有限公司中國科學(xué)院心理研究所國內(nèi)某大型商業(yè)網(wǎng)站國內(nèi)某政府網(wǎng)站國內(nèi)黑客組織更改的網(wǎng)站頁面Internet 上有超過30,000 個(gè)黑客站點(diǎn)黑客攻擊基本流程消除所有入侵腳印，以免被管理員發(fā)現(xiàn)消除所有入侵腳印，以免被管理員發(fā)現(xiàn)典型的攻擊步驟圖解 黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)2、漏洞掃描和攻擊3、木馬與后門攻擊4、拒絕服務(wù)攻擊5、欺騙攻擊6、病毒蠕蟲攻擊7、其他攻擊8、總結(jié)黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)主機(jī)掃描網(wǎng)絡(luò)結(jié)構(gòu)發(fā)現(xiàn)端口和服務(wù)掃描操作系統(tǒng)識(shí)別資源和用戶信息掃描防范措施主機(jī)掃描

3、n操作系統(tǒng)本身的ping工具，在windows安裝光盤中有一個(gè)我們不太注意工具集（super tools） Windows平臺(tái)Pinger、Ping Sweep、WS_Ping ProPackping工具：Pingerping工具：Ping SweepPing Sweep是基于ICMP協(xié)議的IP掃描，是網(wǎng)絡(luò)掃描的較早期的工具，掃描速度比較慢。黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)主機(jī)掃描網(wǎng)絡(luò)結(jié)構(gòu)發(fā)現(xiàn)端口和服務(wù)掃描操作系統(tǒng)識(shí)別資源和用戶信息掃描防范措施網(wǎng)絡(luò)結(jié)構(gòu)發(fā)現(xiàn)n盡可能多的獲取對(duì)方網(wǎng)絡(luò)拓?fù)湫畔分析對(duì)方網(wǎng)絡(luò)結(jié)構(gòu)n為進(jìn)一步入侵做準(zhǔn)備Tracert命令n用于路由跟蹤，判斷從你的主機(jī)到目標(biāo)主機(jī)經(jīng)過

4、哪些路由器、跳計(jì)數(shù)、響應(yīng)時(shí)間等等n可以推測(cè)出網(wǎng)絡(luò)物理布局n判斷出響應(yīng)較慢的節(jié)點(diǎn)和數(shù)據(jù)包在路由過程中的跳數(shù)Tracert路由跟蹤原理Tracert路由跟蹤原理Tracert路由跟蹤原理Tracert路由跟蹤原理Tracert使用立體圖形化路由跟蹤工具VisualRoute黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)主機(jī)掃描網(wǎng)絡(luò)結(jié)構(gòu)發(fā)現(xiàn)端口和服務(wù)掃描操作系統(tǒng)識(shí)別資源和用戶信息掃描防范措施端口掃描基礎(chǔ)TCP是一個(gè)面向連接的可靠傳輸協(xié)議。面向連接表示兩個(gè)應(yīng)用端在利用TCP傳送數(shù)據(jù)前必須先建立TCP連接。TCP的可靠性通過校驗(yàn)和、定時(shí)器、數(shù)據(jù)序號(hào)和應(yīng)答來提供。通過給每個(gè)發(fā)送的字節(jié)分配一個(gè)序號(hào)，接收端接收到數(shù)

5、據(jù)后發(fā)送應(yīng)答，TCP協(xié)議保證了數(shù)據(jù)的可靠傳輸。數(shù)據(jù)序號(hào)用來保證數(shù)據(jù)的順序，剔除重復(fù)的數(shù)據(jù)。在一個(gè)TCP會(huì)話中，有兩個(gè)數(shù)據(jù)流（每個(gè)連接端從另外一端接收數(shù)據(jù)，同時(shí)向?qū)Ψ桨l(fā)送數(shù)據(jù)），因此在建立連接時(shí)，必須要為每一個(gè)數(shù)據(jù)流分配ISN（初始序號(hào)）。為了了解實(shí)現(xiàn)過程，我們假設(shè)客戶端C希望跟服務(wù)器端S建立連接，然后分析連接建立的過程（這通常稱作三階段握手TCP/IP協(xié)議簇 TCP三次握手機(jī)制TCP/IP相關(guān)問題一個(gè)TCP頭包含6個(gè)標(biāo)志位。它們的意義如下所述：SYNSYN：標(biāo)志為用來建立連接，讓連接雙方同步序列號(hào)。如果：標(biāo)志為用來建立連接，讓連接雙方同步序列號(hào)。如果SYN=1SYN=1而而ACK=0ACK=0

6、，則表示該數(shù)據(jù)包為連接請(qǐng)求，如果則表示該數(shù)據(jù)包為連接請(qǐng)求，如果SYN=1SYN=1而而ACK=1ACK=1則表示接受連接；則表示接受連接；FINFIN：表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，希望釋放連接；：表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，希望釋放連接；RSTRST：用來復(fù)位一個(gè)連接。：用來復(fù)位一個(gè)連接。RSTRST標(biāo)志位置的數(shù)據(jù)包稱為復(fù)位包。一般情況標(biāo)志位置的數(shù)據(jù)包稱為復(fù)位包。一般情況下，如果下，如果TCPTCP收到的一個(gè)分段明顯不是屬于該主機(jī)上的任何一個(gè)連接，則收到的一個(gè)分段明顯不是屬于該主機(jī)上的任何一個(gè)連接，則向遠(yuǎn)端發(fā)送一個(gè)復(fù)位包；向遠(yuǎn)端發(fā)送一個(gè)復(fù)位包；URGURG：為緊急數(shù)據(jù)標(biāo)志。如果它為

7、：為緊急數(shù)據(jù)標(biāo)志。如果它為1 1，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時(shí)緊急數(shù)據(jù)指針有效；時(shí)緊急數(shù)據(jù)指針有效；ACKACK：為確認(rèn)標(biāo)志位。如果為：為確認(rèn)標(biāo)志位。如果為1 1，表示包中的確認(rèn)號(hào)是有效的。否則，包，表示包中的確認(rèn)號(hào)是有效的。否則，包中的確認(rèn)號(hào)無效；中的確認(rèn)號(hào)無效；PSHPSH：如果置位，接受端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層：如果置位，接受端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層大部分TCP/IP遵循的原則(1)大部分TCP/IP遵循的原則(2)大部分TCP/IP遵循的原則(3)端口掃描原理端口掃描基礎(chǔ)全TCP連接TCPSYN掃描TCPFIN掃描端口掃描工具（Windows 平

8、臺(tái)）nNetScanTools nWinScan nSuperScan nNmapNT端口掃描工具：NetScanTools端口掃描工具：WinScan端口掃描工具：SuperScan端口掃描工具：NmapNT黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)主機(jī)掃描網(wǎng)絡(luò)結(jié)構(gòu)發(fā)現(xiàn)端口和服務(wù)掃描操作系統(tǒng)識(shí)別資源和用戶信息掃描防范措施掃描基礎(chǔ)利用IP協(xié)議項(xiàng)來探測(cè)主機(jī)使用哪些協(xié)議利用IP協(xié)議項(xiàng)來探測(cè)主機(jī)使用哪些協(xié)議利用組裝超時(shí)ICMP錯(cuò)誤消息探測(cè)協(xié)議高級(jí)掃描技術(shù)慢速掃描高級(jí)掃描技術(shù)亂序掃描n普通的掃描器在掃描遠(yuǎn)程系統(tǒng)的端口時(shí)，對(duì)端口掃描的順序是有序的，這種按照一定的順序掃描端口的方式很容易被入侵檢測(cè)系統(tǒng)發(fā)覺。

9、n亂序掃描的端口號(hào)的順序是隨機(jī)生產(chǎn)的，這種方式能有效的欺騙某些入侵檢測(cè)系統(tǒng)而不會(huì)被入侵檢測(cè)系統(tǒng)發(fā)覺黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)主機(jī)掃描網(wǎng)絡(luò)結(jié)構(gòu)發(fā)現(xiàn)端口和服務(wù)掃描操作系統(tǒng)識(shí)別資源和用戶信息掃描防范措施黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)主機(jī)掃描網(wǎng)絡(luò)結(jié)構(gòu)發(fā)現(xiàn)端口和服務(wù)掃描操作系統(tǒng)識(shí)別資源和用戶信息掃描防范措施資源和用戶信息掃描除前面介紹的ping掃射、端口掃描和操作類型掃描外，還有一類掃描和探測(cè)也非常重要，這就是資源掃描和用戶掃描。這些掃描都是攻擊目標(biāo)系統(tǒng)的很有價(jià)值的信息，而Windows系統(tǒng)，特別是Windows NT/2000在這些方面存在著嚴(yán)重的漏洞，很容易讓非法入侵者獲取到

10、關(guān)于該目標(biāo)系統(tǒng)的很多有用信息，如共享資源、Netbios名和用戶組等。資源掃描：用戶掃描網(wǎng)絡(luò)資源和共享資源，如目標(biāo)網(wǎng)絡(luò)計(jì)算機(jī)名、域名和共享文件等等；用戶掃描：用戶掃描目標(biāo)系統(tǒng)上合法用戶的用戶名和用戶組名。NetBIOS協(xié)議CIFS/SMB協(xié)議空會(huì)話資源掃描和查找nNet View windowswindows自帶工具自帶工具nNbtstatwindowswindows自帶工具自帶工具n NbtscannWindows NT/2000資源工具箱Net view用戶和用戶組查找利用前面介紹的方法，可以很容易獲取遠(yuǎn)程Windows NT/2000主機(jī)的共享資源、NetBIOS名和所處的域信息等。但黑

11、客和非法入侵者更感興趣的是通過NetBIOS掃描，獲取目標(biāo)主機(jī)的用戶名列表。如果知道了系統(tǒng)中的用戶名（即賬號(hào)）后，就可以對(duì)該賬號(hào)對(duì)應(yīng)的口令進(jìn)行猜測(cè)攻擊（有些口令往往很簡(jiǎn)單），從而對(duì)遠(yuǎn)程目標(biāo)主機(jī)進(jìn)行更深入的控制。在Windows NT/2000的資源工具箱NTRK中提供了眾多的工具用于顯示遠(yuǎn)程主機(jī)用戶名和組信息，如前面介紹的nbtstat和nbtscan,另外還有其他工具（后續(xù)介紹）黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)主機(jī)掃描網(wǎng)絡(luò)結(jié)構(gòu)發(fā)現(xiàn)端口和服務(wù)掃描操作系統(tǒng)識(shí)別資源和用戶信息掃描防范措施針對(duì)預(yù)攻擊探測(cè)的防范措施Ping sweep安裝防火墻或相關(guān)工具軟件，禁止某些ICMP ping，使用N

12、AT隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)Port scan安裝防火墻或相關(guān)工具軟件，禁止訪問不該訪問的服務(wù)端口OS fingerprint安裝防火墻或相關(guān)工具軟件，只允許訪問少量服務(wù)端口，由于攻擊者缺乏必要的信息，無法判斷OS類型資源和用戶掃描防范NetBIOS掃描的最直接方法就是不允許對(duì)TCP/UDP 135到139端口的訪問，如通過防火墻或路由器的配置等。另 外，對(duì)單獨(dú)的主機(jī)，可使用NetBIOS over TCP/IP項(xiàng)失效或 注冊(cè)表配置來實(shí)現(xiàn)。黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)2、漏洞掃描和攻擊3、木馬與后門攻擊4、拒絕服務(wù)攻擊5、欺騙攻擊6、病毒蠕蟲攻擊7、其他攻擊8、總結(jié)漏洞掃描和攻擊概述漏洞掃

13、描是一種最常見的攻擊模式，用于探測(cè)系統(tǒng)和網(wǎng)絡(luò)漏洞，如獲取系統(tǒng)和應(yīng)用口令，嗅探敏感信息，利用緩存區(qū)溢出直接攻擊等。我們可以從以下網(wǎng)站進(jìn)行查詢目前已經(jīng)公布的漏洞信息：針對(duì)某一類型的漏洞，都有專門的攻擊工具。另外，也有一些功能強(qiáng)大綜合掃描工具，針對(duì)系統(tǒng)進(jìn)行全面探測(cè)和漏洞掃描，如流光等。黑客常見攻擊方法和防范措施漏洞掃描和攻擊n口令破解nIPC$漏洞n緩沖區(qū)溢出nIIS漏洞n綜合漏洞掃描黑客常見攻擊方法和防范措施口令破解n弱口令掃描n暴力窮舉n完全取決于機(jī)器的運(yùn)算速度n字典破解n大大減少運(yùn)算的次數(shù)，提高成功率n密碼監(jiān)聽n通過嗅探器監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包n社交工程學(xué)n木馬和

14、鍵盤記錄程序黑客常見攻擊方法和防范措施口令攻擊演示：“*”密碼查看黑客常見攻擊方法和防范措施口令攻擊演示：ZIP密碼破解黑客常見攻擊方法和防范措施口令攻擊演示：XP/2000密碼口令破解n弱口令掃描流光CNIPC NTCNIPC NTn暴力窮舉/字典破解LC4 Fluxay5流光針對(duì)口令破解攻擊的防范措施n安裝入侵檢測(cè)系統(tǒng)，檢測(cè)口令破解行為n安裝安全評(píng)估系統(tǒng)，先于入侵者進(jìn)行模擬口令破解，以便及早發(fā)現(xiàn)弱口令并解決n提高安全意識(shí)，避免弱口令n使用檢測(cè)工具 Anti-SnifferAnti-Sniffer網(wǎng)絡(luò)嗅探破解口令n如果兩臺(tái)主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具，例如Ethere

15、al,SnifferPro,NetXray，tcpdump，Dsniff等就可以輕而易舉地截取包括口令、帳號(hào)等敏感信息網(wǎng)絡(luò)嗅探破解口令n共享信道廣播型以太網(wǎng)n協(xié)議不加密口令明文傳輸n混雜模式處于這種模式的網(wǎng)卡接受網(wǎng)絡(luò)中所有數(shù)據(jù)包針對(duì)網(wǎng)絡(luò)嗅探攻擊的防范措施n安裝VPN網(wǎng)關(guān)，防止對(duì)網(wǎng)間網(wǎng)信道進(jìn)行嗅探n對(duì)內(nèi)部網(wǎng)絡(luò)通信采取加密處理n采用交換設(shè)備進(jìn)行網(wǎng)絡(luò)分段n采取技術(shù)手段發(fā)現(xiàn)處于混雜模式的主機(jī)，發(fā)掘“鼴鼠”漏洞掃描和攻擊nIPC$漏洞IPC$(Internet Process Connection)是共享“命名管道”的資源，它是為了讓進(jìn)程間通信而開放的命名管道，可以通過驗(yàn)證用戶名和密碼獲得相應(yīng)的權(quán)限,在

16、遠(yuǎn)程管理計(jì)算機(jī)和查看計(jì)算機(jī)的共享資源時(shí)使用。 利用IPC$,連接者甚至可以與目標(biāo)主機(jī)建立一個(gè)空的連接而無需用戶名與密碼(當(dāng)然,對(duì)方機(jī)器必須開了ipc$共享,否則你是連接不上的)，而利用這個(gè)空的連接，連接者還可以得到目標(biāo)主機(jī)上的用戶列表。 漏洞掃描和攻擊緩沖區(qū)溢出十年來最大的安全問題這是一種系統(tǒng)攻擊手段，通過向程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。這種攻擊可以使得一個(gè)匿名的Internet用戶有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)。緩沖區(qū)溢出基本原理受攻擊程序vulnerable.cvoid main(int argc,

17、char *argv) char buff1024; if (argc 1) strcpy(buff,argv1); 緩沖區(qū)溢出基本原理攻擊程序exploit.c#include #includevoid main( ) char string2000; for(i=0;i (0 xss - 0 xc0) * 0 x40 + 0 xhh 例如：%c1%1c按照上面的解碼公式可解成： %c1%1c=（0 xc1-0 xc0）*0 x40+0 x1c=0 x5c=“/” %c0%2f=(0 xc0-0 xc0)*0 x40+0 x2f=0 x2f=“”下面的1/s

18、cript/.%c1%1c./winnt/system32/cmd.exe?/c+dir將產(chǎn)生什么樣的結(jié)果？綜合掃描n安全掃描審計(jì)分類網(wǎng)絡(luò)安全掃描系統(tǒng)安全掃描優(yōu)點(diǎn)較全面檢測(cè)流行漏洞降低安全審計(jì)人員的勞動(dòng)強(qiáng)度防止最嚴(yán)重的安全問題缺點(diǎn)無法跟上安全技術(shù)的發(fā)展速度只能提供報(bào)告，無法實(shí)際解決可能出現(xiàn)漏報(bào)和誤報(bào)綜合掃描器的使用綜合掃描和攻擊工具演示n流光nX-Scan 從哪些方面對(duì)系統(tǒng)進(jìn)行安全評(píng)估為堵死安全策略和安全措施之間的缺口,必須從以下三方面對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行評(píng)估:從企業(yè)外部進(jìn)行評(píng)估:考察企業(yè)計(jì)算機(jī)基礎(chǔ)設(shè)施中的防火墻;從企業(yè)內(nèi)部進(jìn)行評(píng)估:考察內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的計(jì)算機(jī)；從應(yīng)用系統(tǒng)進(jìn)行評(píng)估:考察每臺(tái)硬件設(shè)

19、備上運(yùn)行的操作系統(tǒng)。漏洞利用周期圖表漏洞攻擊的防范措施n安裝防火墻，禁止訪問不該訪問的服務(wù)端口，使用NAT隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)n安裝入侵檢測(cè)系統(tǒng)，檢測(cè)漏洞攻擊行為n安裝安全評(píng)估系統(tǒng)，先于入侵者進(jìn)行模擬漏洞攻擊，以便及早發(fā)現(xiàn)漏洞并解決n提高安全意識(shí)，經(jīng)常給操作系統(tǒng)和應(yīng)用軟件打補(bǔ)丁黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)2、漏洞掃描和攻擊3、木馬與后門攻擊4、拒絕服務(wù)攻擊5、欺騙攻擊6、病毒蠕蟲攻擊7、其他攻擊8、總結(jié)木馬與后門攻擊特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些

20、程序之后，它們就會(huì)在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在啟動(dòng)時(shí)悄悄執(zhí)行的程序。這種遠(yuǎn)程控制工具可以完全控制受害主機(jī)，危害極大。Windows下：Netbus、subseven、BO、冰河、網(wǎng)絡(luò)神偷等UNIX下：Rhost +、Login后門、rootkit等木馬組成n對(duì)木馬程序而言，它一般包括兩個(gè)部分：客戶端和服務(wù)器端。n服務(wù)器端安裝在被控制的計(jì)算機(jī)中，它一般通過電子郵件或其他手段讓用戶在其計(jì)算機(jī)中運(yùn)行，以達(dá)到控制該用戶計(jì)算機(jī)的目的。n客戶端程序是控制者所使用的，用于對(duì)受控的計(jì)算機(jī)進(jìn)行控制。服務(wù)器端程序和客戶端程序建立起連接就可以實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的控制了。n木馬運(yùn)行時(shí)，首先服務(wù)器端程序獲得本地計(jì)算機(jī)的最

21、高操作權(quán)限，當(dāng)本地計(jì)算機(jī)連入網(wǎng)絡(luò)后，客戶端程序可以與服務(wù)器端程序直接建立起連接，并可以向服務(wù)器端程序發(fā)送各種基本的操作請(qǐng)求，并由服務(wù)器端程序完成這些請(qǐng)求，也就實(shí)現(xiàn)對(duì)本地計(jì)算機(jī)的控制了。n木馬本身不具備繁殖性和自動(dòng)感染的功能。木馬分類n遠(yuǎn)程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬，它可以訪問受害人的硬盤，并對(duì)其進(jìn)行控制。這種木馬用起來非常簡(jiǎn)單，只要某用戶運(yùn)行一下服務(wù)端程序，并獲取該用戶的IP地址，就可以訪問該用戶的計(jì)算機(jī)。這種木馬可以使遠(yuǎn)程控制者在本地機(jī)器上做任意的事情，比如鍵盤記錄、上傳和下載功能、截取屏幕等等。這種類型的木馬有著名的BO（Back Office）和國產(chǎn)的冰河等。n密碼發(fā)送型木馬的目

22、的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類的木馬不會(huì)在每次的Windows重啟時(shí)重啟，而且它們大多數(shù)使用25端口發(fā)送E-mail。n鍵盤記錄型木馬非常簡(jiǎn)單的，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著Windows的啟動(dòng)而啟動(dòng)，知道受害者在線并且記錄每一件事。n毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡(jiǎn)單，并且很容易被使用。它們可以自動(dòng)地刪除用戶計(jì)算機(jī)上的所有的.DLL、INI或EXE文件。nFTP 型木馬打開用戶計(jì)算機(jī)的21端口（FTP所使用的默認(rèn)端口），使每一個(gè)人都可以用一個(gè)FTP 客

23、戶端程序來不用密碼連接到該計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳下載。木馬分類n第二代木馬冰河、廣外女生n第三代木馬灰鴿子反彈端口技術(shù)n第四代木馬廣外幽靈、廣外男生線程插入n第五代木馬進(jìn)程、端口、文件、注冊(cè)表隱藏冰河試驗(yàn)?zāi)抉R常用欺騙法n 捆綁欺騙：如把木馬服務(wù)端和某個(gè)游戲捆綁成一個(gè)文件在郵件中發(fā) 給別人 n危險(xiǎn)下載點(diǎn)：攻破一些下載站點(diǎn)后，下載幾個(gè)下載量大的軟件，捆 綁上木馬，再悄悄放回去讓別人下載 ；或直接將木馬改名上載到 FTP 網(wǎng)站上，等待別人下載； n文件夾慣性點(diǎn)擊：把木馬文件偽裝成文件夾圖標(biāo)后，放在一個(gè)文件 夾中，然后在外面再套三四個(gè)空文件夾； nzip 偽裝：將一個(gè)木馬和一個(gè)損壞的 zi

24、p 包捆綁在一起，然后指定捆綁 后的文件為 zip 圖標(biāo)； n木馬隱藏方式： 文件隱藏； 在專用文件夾中隱藏 在任務(wù)管理器中隱形 悄沒聲息地啟動(dòng) ：如啟動(dòng)組、 win. ini system. ini 注冊(cè)表等； 偽裝成驅(qū)動(dòng)程序及動(dòng)態(tài)鏈接庫：如 Kernl32. dll sysexlpr .exe 等。木馬的激活方式n在win.ini中啟動(dòng)n修改關(guān)聯(lián)文件n文件捆綁n在System.ini中啟動(dòng)n利用注冊(cè)表加載運(yùn)行n在autoexec.bat和Config.sys中加載運(yùn)行n在Windows .bat中啟動(dòng)木馬防殺技術(shù)n加殼與脫殼后門程序（一種類型的木馬）nBO netbus 、nService

25、/Daemon n其他 是登錄屏還是特洛伊木馬?吃驚嗎!針對(duì)木馬攻擊的防范措施n安裝防火墻，禁止訪問不該訪問的服務(wù)端口，使用NAT隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)n安裝防病毒軟件n提高安全意識(shí)，盡量避免使用來歷不明的軟件黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)2、漏洞掃描和攻擊3、木馬與后門攻擊4、拒絕服務(wù)攻擊5、欺騙攻擊6、病毒蠕蟲攻擊7、其他攻擊8、總結(jié)拒絕服務(wù)攻擊（DoS, DDos）nDenial of Service (DoS)此類攻擊指一個(gè)用戶占據(jù)了大量的共享資源，使得系統(tǒng)沒有剩余的資源給其他用戶可用的一種攻擊方式。這是一類危害極大的攻擊方式，嚴(yán)重的時(shí)候可以使一個(gè)網(wǎng)絡(luò)癱瘓。Flooding攻擊-發(fā)

26、送垃圾數(shù)據(jù)或者響應(yīng)主機(jī)的請(qǐng)求來阻塞服務(wù)SYN （Synchronize）Flooding攻擊利用TCP 實(shí)現(xiàn)中的漏洞（有限的緩存）來阻塞外來的連接請(qǐng)求smurf攻擊-利用IP的廣播系統(tǒng)的反射功能來增強(qiáng)Flooding 攻擊SYN-Flooding攻擊概述(1)nSYN Flood是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。TCP與UDP不同，它是基于連接的，也就是說，為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個(gè)虛擬電路，也就是TC

27、P連接，建立TCP連接的標(biāo)準(zhǔn)過程如下：n首先，請(qǐng)求端（客戶端）發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN即同步（Synchronize），同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號(hào)。n服務(wù)器在收到客戶端的SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示客戶端的請(qǐng)求被接受，同時(shí)TCP序號(hào)被加一，ACK即確認(rèn)（Acknowledgement）。n最后，客戶端也返回一個(gè)確認(rèn)報(bào)文ACK給服務(wù)器端，同樣TCP序列號(hào)被加1，到此一個(gè)TCP連接完成。n以上的連接過程在TCP協(xié)議中被稱為三次握手（Three-way Handshake）SYN-Flooding攻擊概述(2)n假設(shè)一個(gè)用戶向服務(wù)器

28、發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的（第三次握手無法完成），這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長度稱為SYN 超時(shí)（Timeout），一般來說這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（大約為30秒到2分鐘）.n如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源：數(shù)以萬計(jì)的半連接，即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存.。n服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無暇理睬客戶的正常請(qǐng)求（畢竟客戶端的正

29、常請(qǐng)求比率非常之小）。最后的結(jié)果往往是堆棧溢出崩潰.SYN-Flooding攻擊SYN-Flooding攻擊攻擊者攻擊者受害者受害者不能建立正常的連接不能建立正常的連接其它正常用戶得不到響應(yīng)其它正常用戶得不到響應(yīng)SYN-Flooding攻擊SYN洪水攻擊/DDoS攻擊針對(duì)SYN-Flooding攻擊的防范措施（一）SYN Defender針對(duì)SYN-Flooding攻擊的防范措施（二）SYN proxyUDP-Flood攻擊UDP-Flood攻擊預(yù)防杜絕UDPFlood攻擊的最好辦法是關(guān)掉不必要的TCP/IP服務(wù)，或者配置防火墻以阻斷來自Internet的UDP服務(wù)請(qǐng)求，不過這可能會(huì)阻斷一些正

30、常的UDP服務(wù)請(qǐng)求。Teardrop攻擊Teardrop攻擊預(yù)防防御淚滴攻擊的最好辦法是升級(jí)服務(wù)包軟件，如下載操作系統(tǒng)補(bǔ)丁或升級(jí)操作系統(tǒng)等。另外，在設(shè)置防火墻時(shí)對(duì)分組進(jìn)行重組，而不進(jìn)行轉(zhuǎn)發(fā)，這樣也可以防止這種攻擊。Land攻擊一個(gè)特別打造的SYN包中的源地址和目標(biāo)地址都被設(shè)置成同一個(gè)服務(wù)器地址，這時(shí)將導(dǎo)致目標(biāo)服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)掉。對(duì)Land攻擊反應(yīng)不同，許多種類的UNIX將崩潰，而Windows NT會(huì)變得極其緩慢（大約持續(xù)五分鐘）。目前流行的操作系統(tǒng)都已解決了此問題。Land攻擊Land攻

31、擊Land攻擊預(yù)防預(yù)防LAND攻擊最好的辦法是配置防火墻，對(duì)哪些在外部接口入站的含有內(nèi)部源地址的數(shù)據(jù)包過濾。防范:代理類的防火墻防火墻把有危險(xiǎn)的包阻隔在網(wǎng)絡(luò)外PING 、SMURF攻擊nICMP/PING 攻擊原理ICMP/PING攻擊是利用一些系統(tǒng)不能接受超大的IP包或需要資源處理這一特性。如在Linux下輸入Ping -t 66510 IP（未打補(bǔ)丁的Win95/98的機(jī)器），機(jī)器就會(huì)癱瘓。nICMP/SMURF 攻擊原理Smurf是一種具有放大效果的DoS攻擊，具有很大的危害性。這種攻擊形式利用了TCP/IP中的定向廣播特性，共有三個(gè)參與角色：受害者、幫兇（放大網(wǎng)絡(luò)，即具有廣播特性的網(wǎng)絡(luò)

32、）和攻擊者。攻擊者向放大網(wǎng)絡(luò)中的廣播地址發(fā)送源地址（假冒）為受害者系統(tǒng)的ICMP回射請(qǐng)求，由于廣播的原因，放大網(wǎng)絡(luò)上的所有系統(tǒng)都會(huì)向受害者系統(tǒng)做出回應(yīng)，從而導(dǎo)致受害者不堪重負(fù)而崩潰。Smuff攻擊示意圖Smurf攻擊Smurf攻擊預(yù)防n為了防止成為DoS的幫兇，最好關(guān)閉外部路由器或防火墻的廣播地址特性；為了防止被攻擊，在防火墻的設(shè)置規(guī)則中可丟棄ICMP包。nSmurf還有一個(gè)變種為Fraggle攻擊，它利用UDP來代替ICMP包。針對(duì)拒絕服務(wù)攻擊的防范措施n安裝防火墻，禁止訪問不該訪問的服務(wù)端口，過濾不正常的畸形數(shù)據(jù)包，使用NAT隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)n安裝入侵檢測(cè)系統(tǒng)，檢測(cè)拒絕服務(wù)攻擊行為n安裝安

33、全評(píng)估系統(tǒng)，先于入侵者進(jìn)行模擬攻擊，以便及早發(fā)現(xiàn)問題并解決n提高安全意識(shí)，經(jīng)常給操作系統(tǒng)和應(yīng)用軟件打補(bǔ)丁分布式拒絕服務(wù)（DDOS）分布式拒絕服務(wù)攻擊（DDoS）nDDoS攻擊由三部分組成客戶端程序（黑客主機(jī)）控制端（Master）代理端（Zombie），或者稱為攻擊點(diǎn)（daemon）分布式拒絕服務(wù)攻擊（DDoS）DDoS攻擊的第一步黑客黑客DDoS攻擊的第二步DDoS攻擊的第三步DDoS攻擊的第四步DDoS攻擊的第五步DDoS攻擊的第六步2000年Yahoo受攻擊過程SYN洪水攻擊/DDoS攻擊針對(duì)DDoS攻擊的防范措施n防火墻設(shè)置n路由器設(shè)置n增強(qiáng)操作系統(tǒng)的TCP/IP棧n安裝入侵檢測(cè)系統(tǒng)，

34、檢測(cè)DDoS攻擊通信針對(duì)DDoS攻擊的防范措施n企業(yè)網(wǎng)管理員主機(jī)上的設(shè)置幾乎所有的主機(jī)平臺(tái)都有抵御DoS的設(shè)置關(guān)閉不必要的服務(wù)限制同時(shí)打開的Syn半連接數(shù)目新建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect DWORDParametersSynAttackProtect DWORD值=2=2縮短Syn半連接的time out 時(shí)間及時(shí)更新系統(tǒng)補(bǔ)丁針對(duì)DDoS攻擊的防范措施n防

35、火墻禁止對(duì)主機(jī)的非開放服務(wù)的訪問限制同時(shí)打開的SYN最大連接數(shù)限制特定IP地址的訪問啟用防火墻的防DDoS的屬性n路由器訪問控制列表（ACL）過濾設(shè)置SYN數(shù)據(jù)包流量速率升級(jí)版本過低的IOS 針對(duì)DDoS攻擊的防范措施nISP / ICP管理員ISP / ICP為很多中小型企業(yè)提供了各種規(guī)模的主機(jī)托管業(yè)務(wù)在防DDoS時(shí)，與企業(yè)網(wǎng)管理員一樣的手段還要特別注意自己管理范圍內(nèi)的客戶托管主機(jī)不要成為傀儡機(jī)n骨干網(wǎng)絡(luò)運(yùn)營商每家運(yùn)營商在自己的出口路由器上進(jìn)行源IP地址的驗(yàn)證，如果在自己的路由表中沒有到這個(gè)數(shù)據(jù)包源IP的路由，就丟掉這個(gè)包可以阻止黑客利用偽造的源IP來進(jìn)行DDoS攻擊這樣做會(huì)降低路由器的效率

36、對(duì)付DDoS攻擊的方法1定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)，清查可能存在的安全漏洞。對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理。骨干節(jié)點(diǎn)的計(jì)算機(jī)因?yàn)榫哂休^高的帶寬，是黑客利用最佳位置，因此對(duì)這些主機(jī)本身加強(qiáng)主機(jī)安全是非常重要的。2在骨干節(jié)點(diǎn)上的防火墻的配置至關(guān)重要。防火墻本身能抵御DDOS攻擊和其它一些攻擊。在發(fā)現(xiàn)受到攻擊的時(shí)候，可以將攻擊導(dǎo)向一些犧牲主機(jī)，這樣保護(hù)真正的主機(jī)不被癱瘓。3用足夠的機(jī)器承受黑客攻擊。這是一種較為理想的應(yīng)對(duì)策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時(shí)，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒。4充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源。所謂網(wǎng)

37、絡(luò)設(shè)備是指路由器、防火墻等負(fù)載均衡設(shè)備，它們可將網(wǎng)絡(luò)有效地保護(hù)起來。當(dāng)網(wǎng)絡(luò)被攻擊時(shí)最先死掉的是路由器，但其他機(jī)器沒有死。死掉的路由器經(jīng)重啟后會(huì)恢復(fù)正常，而且啟動(dòng)起來還很快，沒有什么損失。若其他服務(wù)器死掉，其中的數(shù)據(jù)會(huì)丟失，而且重啟服務(wù)器又是一個(gè)漫長的過程。對(duì)付DDoS攻擊的方法5使用Inexpress、Express Forwarding過濾不必要的服務(wù)和端口，即在路由器上過濾假IP。比如Cisco公司的CEF（Cisco Express Forwarding）可以針對(duì)封包Source IP 和Routing Table 做比較，并加以過濾。6使用UnicastReverse Path For

38、warding檢查訪問者的來源。它通過反向路由表查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處，因此，利用UnicastReverse Path Forwarding可減少假IP地址的出現(xiàn)，有助于提高網(wǎng)絡(luò)安全性。7過濾所有RFC1918 IP地址。RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址，像、和，它們不是某個(gè)網(wǎng)段的固定IP地址，而是Internet內(nèi)部保留的區(qū)域性IP地址，應(yīng)該把它們過濾掉。8限制SYN/ICMP流量。用戶應(yīng)在路由器上配置SYN/ICMP的

39、最大流量來限制SYN/ICMP 封包所能占有的最高頻寬，這樣，當(dāng)出現(xiàn)大量的超過所限定的SYN/ICMP流量時(shí)，說明不是正常的網(wǎng)絡(luò)訪問，而是有黑客入侵。怎樣對(duì)付正在進(jìn)行的DDOS? n如果用戶正在遭受攻擊，他所能做的抵御工作非常有限。因?yàn)樵谠緵]有準(zhǔn)備好的情況下有大流量的災(zāi)難性攻擊沖向用戶，很可能用戶在還沒回過神之際，網(wǎng)絡(luò)已經(jīng)癱瘓。但是，用戶還是可以抓住機(jī)會(huì)尋求一線希望的。n首先，檢查攻擊來源，通常黑客會(huì)通過很多假的IP地址發(fā)起攻擊，此時(shí)，用戶若能夠分辨出哪些是真IP地址，哪些是假IP地址，然后了解這些IP來自哪些網(wǎng)段，再找網(wǎng)段管理員把機(jī)器關(guān)掉，即可消除攻擊。n其次，找出攻擊者所經(jīng)過的路由，把攻

40、擊屏蔽掉。若黑客從某些端口發(fā)動(dòng)攻擊，用戶可把這些端口屏蔽掉，以狙擊入侵。n最后一種比較折衷的方法是在路由器上濾掉ICMP。DDoS攻擊的深層防范n過濾：靜態(tài)和動(dòng)態(tài)的DDoS過濾器。靜態(tài)過濾器用來阻斷非必要的數(shù)據(jù)包，用戶可對(duì)其進(jìn)行配置，預(yù)先設(shè)定缺省值。動(dòng)態(tài)過濾器由其它模塊根據(jù)觀測(cè)到的行為和對(duì)業(yè)務(wù)流的詳細(xì)分析動(dòng)態(tài)嵌入，它能提供實(shí)時(shí)的升級(jí)來提高對(duì)可疑流的驗(yàn)證級(jí)別以及阻斷被確定為惡意的源頭和數(shù)據(jù)流。n反欺騙：用于核實(shí)進(jìn)入系統(tǒng)的數(shù)據(jù)包沒有欺騙信息。使用源鑒定機(jī)制來阻止欺騙的數(shù)據(jù)包到達(dá)受害者。n異常識(shí)別：監(jiān)測(cè)所有通過了過濾器和反欺騙的業(yè)務(wù)，并將其與隨時(shí)間紀(jì)錄的基準(zhǔn)行為相比，搜尋那些有偏差的業(yè)務(wù)，識(shí)別惡意包

41、的來源。n協(xié)議分析：處理反常事件識(shí)別，發(fā)現(xiàn)可疑數(shù)據(jù)流，目的是為了識(shí)別特定的應(yīng)用攻擊，例如http-error攻擊。然后，檢測(cè)出任何不正確的協(xié)議處理，包括不完全處理或錯(cuò)誤處理。n速率限制：通過更詳細(xì)的監(jiān)測(cè)來防止不正當(dāng)數(shù)據(jù)流攻擊目標(biāo)，實(shí)施每個(gè)數(shù)據(jù)流業(yè)務(wù)的修整，處罰長時(shí)間消耗大量資源的源頭。黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)2、漏洞掃描和攻擊3、木馬與后門攻擊4、拒絕服務(wù)攻擊5、欺騙攻擊6、病毒蠕蟲攻擊7、其他攻擊8、總結(jié)欺騙攻擊(IP,ARP, DNS)n純技術(shù)性n利用了TCP/IP協(xié)議的缺陷n不涉及系統(tǒng)漏洞n較為罕見1994.12.25，凱文.米特尼克利用IP欺騙技術(shù)攻破了San Dieg

42、o計(jì)算中心1999年，RSA Security公司網(wǎng)站遭受DNS欺騙攻擊1998年，臺(tái)灣某電子商務(wù)網(wǎng)站遭受Web欺騙攻擊，造成大量客戶的信用卡密碼泄漏n欺騙攻擊的主要類型：ARP欺騙IP欺騙攻擊Web欺騙攻擊DNS欺騙攻擊ARP欺騙攻擊ARP欺騙攻擊nMeet-in-Middle:Hacker發(fā)送偽裝的ARP Reply告訴A，計(jì)算機(jī)B的MAC地址是Hacker計(jì)算機(jī)的MAC地址。Hacker發(fā)送偽裝的ARP Reply告訴B，計(jì)算機(jī)A的MAC地址是Hacker計(jì)算機(jī)的MAC地址。這樣A與B之間的通訊都將先經(jīng)過Hacker，然后由Hacker進(jìn)行轉(zhuǎn)發(fā)。于是Hacker可以捕獲到所有A與B之間的

43、數(shù)據(jù)傳輸（如用戶名和密碼）。這是一種典型的中間人攻擊方法。ARP欺騙攻擊ARP欺騙木馬n局域網(wǎng)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序會(huì)欺騙局域網(wǎng)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)，原來由路由器上網(wǎng)的計(jì)算機(jī)現(xiàn)在轉(zhuǎn)由病毒主機(jī)上網(wǎng)發(fā)作時(shí)，用戶會(huì)斷一次線 ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包，導(dǎo)致局域網(wǎng)通訊擁塞，用戶會(huì)感覺到上網(wǎng)的速度越來越慢當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換過程中用戶會(huì)再斷一次線ARP欺騙出現(xiàn)的癥狀n網(wǎng)絡(luò)時(shí)斷時(shí)通；n網(wǎng)絡(luò)中斷，重啟網(wǎng)關(guān)設(shè)備，網(wǎng)絡(luò)短暫連通；n內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通；n頻繁提示IP地址沖突；n硬件設(shè)備正常，局域網(wǎng)不通；n特

44、定IP網(wǎng)絡(luò)不通，更換IP地址，網(wǎng)絡(luò)正常；n禁用-啟用網(wǎng)卡，網(wǎng)絡(luò)短暫連通；n網(wǎng)頁被重定向。 針對(duì)ARP欺騙攻擊的防范措施n1 安裝入侵檢測(cè)系統(tǒng)，檢測(cè)ARP欺騙攻擊n2 MAC地址與IP地址雙向綁定所有機(jī)器上把網(wǎng)關(guān)的IP和MAC綁定一次編個(gè)批處理arp-darp-s 00-0A-EB-DB-03-D2路由器上再把用戶的IP地址和MAC綁定一次修改注冊(cè)表項(xiàng)，如：reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v StaticArp /d “arp s 00-0a-eb-db-03-d2”3

45、查找ARP欺騙木馬Antiarpnbtscann4 劃分VLANIP Spoofing（IP欺騙）:基礎(chǔ)TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，用一個(gè)32位整數(shù)對(duì)傳送的字節(jié)編號(hào)。初始序列號(hào)(ISN)在TCP握手時(shí)產(chǎn)生。攻擊者如果向目標(biāo)主機(jī)發(fā)送一個(gè)連接請(qǐng)求，即可獲得上次連接的ISN，再通過多次測(cè)量來回傳輸路徑，得到進(jìn)攻主機(jī)到目標(biāo)主機(jī)之間數(shù)據(jù)包傳送的來回時(shí)間RTT。利用ISN和RTT，就可以預(yù)測(cè)下一次連接的ISN。若攻擊者假冒信任主機(jī)向目標(biāo)主機(jī)發(fā)出TCP連接，并預(yù)測(cè)到目標(biāo)主機(jī)的TCP序列號(hào)，攻擊者就能使用有害數(shù)據(jù)包，從而蒙騙目標(biāo)主機(jī)IP Spoofing（IP欺騙）IP欺騙攻擊過程IP欺騙攻

46、擊過程n1、屏蔽主機(jī)B。方法：Dos攻擊，如Land攻擊、SYN洪水n2、序列號(hào)采樣和猜測(cè)。猜測(cè)ISN的基值和增加規(guī)律n3、將源地址偽裝成被信任主機(jī)，發(fā)送SYN請(qǐng)求建立連接n4、等待目標(biāo)主機(jī)發(fā)送SYN+ACK，黑客看不到該數(shù)據(jù)包n5、再次偽裝成被信任主機(jī)發(fā)送ACK，并帶有預(yù)測(cè)的目標(biāo)機(jī)的ISN+1n6、建立連接，通過其它已知漏洞獲得Root權(quán)限，安裝后門并清除LogIP欺騙攻擊n攻擊的難點(diǎn)：ISN的預(yù)測(cè)nTCP使用32位計(jì)數(shù)器n每一個(gè)連接選擇一個(gè)ISNn不同的系統(tǒng)的ISN有不同的變化規(guī)律nISN每秒增加128000，出現(xiàn)連接增加64000n無連接情況下每9.32小時(shí)復(fù)位一次針對(duì)IP欺騙攻擊的防范

47、措施n安裝VPN網(wǎng)關(guān)，實(shí)現(xiàn)加密和身份認(rèn)證n實(shí)施PKI CA,實(shí)現(xiàn)身份認(rèn)證n通信加密DNS欺騙n攻擊復(fù)雜，使用簡(jiǎn)單 nRSA Security 網(wǎng)站曾被成功攻擊 nDNS 欺騙原理 IP 與域名的關(guān)系 DNS 的域名解析 Rand Port to DNS s 53 DNS DNS欺騙原理黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)2、漏洞掃描和攻擊3、木馬與后門攻擊4、拒絕服務(wù)攻擊5、欺騙攻擊6、病毒蠕蟲攻擊7、其他攻擊8、總結(jié)病毒蠕蟲攻擊病毒與黑客手段的結(jié)合紅色代碼、尼姆達(dá)病毒等傳播速度極快，影響網(wǎng)絡(luò)的帶寬不僅入侵了受害主機(jī)，甚至引起網(wǎng)絡(luò)中斷近幾年危害嚴(yán)重的幾種蠕蟲病毒nCODE RED紅色代碼緩

48、沖區(qū)溢出漏洞、索引服務(wù)nCODE RED II紅色代碼二緩沖區(qū)溢出漏洞、索引服務(wù)nCODE BLUE蘭色代碼Unicode漏洞nNIMDA尼姆達(dá)蠕蟲IE異常處理MIME頭漏洞、Unicode漏洞、CGI文件名錯(cuò)誤解碼漏洞“紅色代碼”病毒的工作原理n1.病毒利用IIS的.ida漏洞進(jìn)入系統(tǒng)并獲得SYSTEM 權(quán)限(微軟在2001年6月份已發(fā)布修復(fù)程序MS01-033)n2.病毒產(chǎn)生100個(gè)新的線程99 個(gè)線程用于感染其它的服務(wù)器第100個(gè)線程用于檢查本機(jī), 并修改當(dāng)前首頁n3.在7/20/01 時(shí)所有被感染的機(jī)器回參與對(duì)白宮網(wǎng)站的自動(dòng)攻擊.尼母達(dá)Nimada的

49、工作原理n4 種不同的傳播方式IE瀏覽器: 利用IE的一個(gè)安全漏洞(微軟在2001年3月份已發(fā)布修復(fù)程序MS01-020)IIS服務(wù)器: 和紅色代碼病毒相同, 或直接利用它留下的木馬程序.(微軟在紅色代碼爆發(fā)后已在其網(wǎng)站上公布了所有的修復(fù)程序和解決方案)電子郵件附件: (已被使用過無數(shù)次的攻擊方式)文件共享: 針對(duì)所有未做安全限制的共享針對(duì)病毒蠕蟲攻擊的防范措施n安裝防火墻，禁止訪問不該訪問的服務(wù)端口n安裝入侵檢測(cè)系統(tǒng)，檢測(cè)病毒蠕蟲攻擊n安裝防病毒軟件，阻擋病毒蠕蟲的侵襲n提高安全意識(shí)，經(jīng)常給操作系統(tǒng)和應(yīng)用軟件打補(bǔ)丁病毒防范建議n對(duì)于從因特網(wǎng)上下載的可執(zhí)行文件和WORDEXECEL文件一定要非

50、常小心，在打開這些東西之前一定要進(jìn)行非常仔細(xì)的檢查。n不要相信任何人發(fā)來的郵件，即使是來自你的朋友，即使郵件的主題是“我愛你”，因?yàn)槟愕呐笥押芸赡芤呀?jīng)被病毒感染，打開郵件的附件之前一定要三思而后行。n局域網(wǎng)的管理員應(yīng)該特別注意的是，將所有共享目錄的可執(zhí)行文件設(shè)置成只讀文件，限制普通權(quán)限的用戶對(duì)這些目錄的文件擁有寫權(quán)限。在運(yùn)行新的軟件之前一定要使用反病毒軟件進(jìn)行仔細(xì)的檢測(cè)，最好在一臺(tái)和局域網(wǎng)隔離的電腦上首先安裝和運(yùn)行新的軟件以防止出現(xiàn)病毒或其他對(duì)局域網(wǎng)的破壞。n最好是購買正版的軟件，不要購買盜版軟件，特別是那種將多個(gè)正版軟件放在一張光盤上的所謂合集軟件。在網(wǎng)上下載軟件使用時(shí)一定要小心，到有大量用

51、戶的知名站點(diǎn)下載，這樣下載的軟件中包括病毒的可能性相對(duì)要小一些。n在任何時(shí)候都不要禁止你的病毒防火墻，如果病毒防火墻和你要使用的軟件有沖突，那么使用另外一種病毒防火墻代替它。病毒防范建議n定期備份你的數(shù)據(jù)，這是最重要的防患于未然的方法，在發(fā)生病毒感染時(shí)，備份你的數(shù)據(jù)可以最大限度的減小你的損失n將你的電腦的引導(dǎo)順序設(shè)置為“C：A：”，這樣可以防止軟盤中的引導(dǎo)病毒感染你的硬盤。n發(fā)現(xiàn)機(jī)器有異常表現(xiàn)，立即關(guān)機(jī)，然后進(jìn)行殺毒處理。如果沒有殺毒軟件，可在備份了數(shù)據(jù)之后重新安裝軟件，注意一定要使用一張確信沒有病毒的引導(dǎo)磁盤來引導(dǎo)機(jī)器之后在安裝軟件。n及時(shí)升級(jí)你的殺毒軟件，一周一次的升級(jí)頻率已經(jīng)無法滿足需要

52、，或許具有主動(dòng)才病毒代碼發(fā)送的升級(jí)方式是你的選擇。n不要過于相信廠商的宣傳，發(fā)現(xiàn)最多病毒的軟件不一定是最好的軟件，掌握足夠的病毒知識(shí)，擁有自己的判斷才能真正保護(hù)自己的電腦安全。n大多數(shù)的蠕蟲類病毒是通過Microsoft Outlook或Outlook Express進(jìn)行傳播的，如果你用的正是Outlook，建議最好到微軟站點(diǎn)下載最新的安全補(bǔ)丁，以便有效地提升系統(tǒng)的安全性。必要時(shí)可以使用第三方郵件程序取代Outlook Express，如Foxmail、The Bat!等，由于它們的地址薄與Outlook Express不同，所以被病毒利用的可能性比較小。病毒防范建議n在資源管理器中，選擇“工

53、具”|“文件夾選項(xiàng)”|“查看”，去掉“隱藏已知文件類型的擴(kuò)展名”前的對(duì)號(hào)，這樣就可以使那些想偽裝成正常文件的病毒文件原形畢露，發(fā)現(xiàn)有什么異常擴(kuò)展名的文件，應(yīng)該禁止使用或者直接刪除。n在控制面板中的“Internet選項(xiàng)”中，進(jìn)行合理的“安全”設(shè)置，不要隨意降低安全級(jí)別，以減少來自惡意代碼和ActiveX控件的威脅，在系統(tǒng)推薦的默認(rèn)設(shè)置級(jí)別“中”的基礎(chǔ)上，點(diǎn)擊“自定義級(jí)別”按鈕，可以進(jìn)一步進(jìn)行更嚴(yán)格的設(shè)置，建議嘗試著每次只更改一兩個(gè)項(xiàng)目，如果導(dǎo)致不能正常上網(wǎng)，或者上網(wǎng)不方便了，則適當(dāng)?shù)亟档桶踩O(shè)置，多試幾次直到找到適合自己的最佳安全設(shè)置組合n如果收到郵件附件中有可執(zhí)行文件（如.EXE、.COM等

54、）或者帶有“宏”的文檔（.doc等），不要直接打開，最好先用“另存為”把文件保存到磁盤上，然后用殺毒軟件查殺一遍，確認(rèn)沒有病毒后再打開。不要打開擴(kuò)展名為VBS、SHS或者PIF的附件，因?yàn)檫@類文件幾乎不會(huì)作為正常的附件發(fā)送，卻經(jīng)常地被病毒或蠕蟲所利用。另外，絕對(duì)不要打開帶有雙擴(kuò)展名的附件，如“.BMP.EXE”或者“.TXT.VBS”等。黑客常見攻擊方法和防范措施1、預(yù)攻擊探測(cè)2、漏洞掃描和攻擊3、木馬與后門攻擊4、拒絕服務(wù)攻擊5、欺騙攻擊6、病毒蠕蟲攻擊7、其他攻擊8、總結(jié)其他攻擊n瀏覽器騷擾針對(duì)瀏覽器騷擾的防范措施n使用IE Security等工具保護(hù)瀏覽器。n因?yàn)樾薷淖?cè)表設(shè)置都是用的J

55、avaScript腳本語言，所以只需禁用它即可。但這種腳本語言應(yīng)用廣泛，所以建議在IE的設(shè)置中將腳本設(shè)為“提示”。n使用IE6.0，可以防止網(wǎng)頁對(duì)注冊(cè)表的惡意修改。n對(duì)使用Win2000的用戶，只需在“控制面板”“管理工具”“服務(wù)”中禁用Remote Registry Service服務(wù)，這樣，網(wǎng)頁也無法來修改用戶的注冊(cè)表了，但可能會(huì)影響其他應(yīng)用。n使用Norton AntiVirus2002 v8.0殺毒軟件，這個(gè)版本新增Script Blocking功能，將通過IE修改注冊(cè)表的代碼定義為Trojan.Offensive予以攔截。社會(huì)工程n電話訪問欺騙n信任欺騙n教育電話訪問n一位憤怒的經(jīng)理打電話給下級(jí)，因?yàn)樗目诹钔蝗皇一位系統(tǒng)管理員打電話給一名職員，需要修補(bǔ)它的賬號(hào)，而這需要使用它的口令n一位新雇傭的遠(yuǎn)程管理員打電話給公司，詢問安全系統(tǒng)的配置資料n一位客戶打電話給供應(yīng)商，詢問公司的新計(jì)劃，發(fā)展方向和公司主要負(fù)責(zé)人信任欺騙n當(dāng)電話社交工程失敗的時(shí)候，攻擊者可能展開長達(dá)數(shù)月的信任欺騙n典型情況n通過熟人介紹