網絡安全第2章黑客與攻擊技術

1、第2章 黑客與攻擊技術 2.1黑客概述 2.1.1 黑客 1什么是黑客 黑客是“Hacker”的音譯，源于動詞Hack，其引申意義是指“干了一件非常漂亮的事”。這里說的黑客是指那些精于某方面技術的人。對于計算機而言，黑客是指既具有高超的專業(yè)技術（精通網絡、系統(tǒng)、外設以及軟硬件技術），又能遵守黑客行為準則的人。 通常所說的“黑客”指的是駭客（Cracker，破壞者），是那些懷有不良企圖，強行闖入他人系統(tǒng)或以某種惡意目的干擾他人的網絡，運用自己的知識去做出有損他人權益的事情的人，也稱入侵者。 任何職業(yè)都有相關的職業(yè)道德，黑客也有其“行規(guī)”，一些守則是必須遵守的，歸納起來就是“黑客守則”。 （1）不

2、要惡意破壞任何系統(tǒng)，否則會給自己帶來麻煩。 （2）不要破壞別人的軟件和資料。 （3）不要修改任何系統(tǒng)文件，如果是由于進入系統(tǒng)的需要，則應該在目的達到后將其恢復原狀。 （4）不要輕易地將你要黑的或者黑過的站點告訴不信任的朋友。 （5）在發(fā)表黑客文章時不要用自己的真實名字。 2黑客守則 2黑客守則 （6）正在入侵的時候，不要隨意離開自己的電腦。 （7）不要入侵或破壞政府機關的主機。 （8）將自己的筆記放在安全的地方。 （9）已侵入的電腦中的賬號不得清除或修改。 （10）可以為隱藏自己的侵入而作一些修改，但要盡量保持原系統(tǒng)的安全性，不能因為得到系統(tǒng)的控制權而將門戶大開。 （11）勿做無聊、單調并且愚

3、蠢的重復性工作。 （12）要做真正的黑客，讀遍所有有關系統(tǒng)安全或系統(tǒng)漏洞的書籍。3.黑客的威脅趨勢1980 1985 1990 1995 2001 2003時間（年）高各種攻擊者的綜合威脅程度低對攻擊者技術知識和技巧的要求黑客攻擊越來越容易實現(xiàn)，威脅程度越來越高4.黑客攻擊的目標針對基礎設施、安全設備的攻擊終端、用戶系統(tǒng)基礎設施危害范圍更大、造成損失更大、負面影響更大主機、服務器安全設備安全設備“后面”往往毫無戒備，用戶對安全設備的依賴性更大針對業(yè)務流程、信息內容的安全威脅垃圾信息（垃圾郵件、垃圾廣告、）有害信息（反動、色情、暴力、）針對業(yè)務系統(tǒng)設計漏洞的攻擊5.黑客攻擊的演變（1）攻擊手段在

4、快速改變 如今各種黑客工具唾手可得，各種各樣的黑客網站到處都是。網絡攻擊的自動化程度和攻擊速度不斷提高，利用分工協(xié)同的掃描方式、配合靈活的任務配置和加強自身隱蔽性，來實現(xiàn)大規(guī)模、高效率的安全掃描。安全脆弱的系統(tǒng)更容易受到損害；從以前需要依靠人啟動軟件工具發(fā)起的攻擊，發(fā)展到攻擊工具可以自己發(fā)動新的攻擊；攻擊工具的開發(fā)者正在利用更先進的技術武裝攻擊工具，攻擊工具的特征比以前更難發(fā)現(xiàn)，攻擊工具越來越復雜。（2）漏洞被利用的速度越來越快 安全問題的技術根源是軟件和系統(tǒng)的安全漏洞，正是一些別有用心的人利用了這些漏洞，才造成了安全問題。 新發(fā)現(xiàn)的各種系統(tǒng)與網絡安全漏洞每年都要增加一倍，每年都會發(fā)現(xiàn)安全漏洞

5、的新類型，網絡管理員需要不斷用最新的軟件補丁修補這些漏洞。黑客經常能夠搶在廠商修補這些漏洞前發(fā)現(xiàn)這些漏洞并發(fā)起攻擊。（3）有組織的攻擊越來越多 攻擊的群體在改變，從個體到有組織的群體，各種各樣黑客組織不斷涌現(xiàn)，進行協(xié)同作戰(zhàn)。 在攻擊工具的協(xié)調管理方面，隨著分布式攻擊工具的出現(xiàn)，黑客可以容易地控制和協(xié)調分布在Internet上的大量已部署的攻擊工具。目前，分布式攻擊工具能夠更有效地發(fā)動拒絕服務攻擊，掃描潛在的受害者，危害存在安全隱患的系統(tǒng)。（4）攻擊的目的和目標在改變從早期的以個人表現(xiàn)的無目的的攻擊，到有意識有目的的攻擊，攻擊目標在改變；從早期的以軍事敵對為目標向民用目標轉變，民用計算機受到越來

6、越多的攻擊，公司甚至個人的電腦都成為了攻擊目標。更多的職業(yè)化黑客的出現(xiàn)，使網絡攻擊更加有目的性。黑客們已經不再滿足于簡單、虛無飄渺的名譽追求，更多的攻擊背后是豐厚的經濟利益。（5）攻擊行為越來越隱密 攻擊者已經具備了反偵破、動態(tài)行為、攻擊工具更加成熟等特點。反偵破是指黑客越來越多地采用具有隱蔽攻擊特性的技術，使安全專家需要耗費更多的時間來分析新出現(xiàn)的攻擊工具和了解新的攻擊行為。動態(tài)行為是指現(xiàn)在的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為，而不是像早期的攻擊工具那樣，僅能夠以單一確定的順序執(zhí)行攻擊步驟。（6）攻擊的破壞效果增大 由于用戶越來越多地

7、依賴計算機網絡提供各種服務，完成日常業(yè)務，黑客攻擊網絡基礎設施造成的破壞影響越來越大。 由于攻擊技術的進步，攻擊者可以較容易地利用分布式攻擊技術，對受害者發(fā)動破壞性攻擊。隨著黑客軟件部署自動化程度和攻擊工具管理技巧的提高，安全威脅的不對稱性將繼續(xù)增加。攻擊者的數量也不斷增加。1信息收集 黑客首先要確定攻擊的目標，然后利用社會學攻擊、黑客技術等方法和手段，收集目標主機的各種信息。收集信息并不會對目標主機造成危害，只是為進一步攻擊提供有價值的信息。2入侵并獲得初始訪問權 黑客要想入侵一臺主機，必須要有該主機的賬號和密碼，所以黑客首先要設法盜取賬戶文件，并進行破解，以獲得用戶的賬號和密碼，然后以合法

8、的身份登錄到被攻擊的主機上。3獲得管理員權限，實施攻擊 有了普通賬號就可以侵入到目標主機之中，由于普通賬號的權限有限，所以黑客會利用系統(tǒng)的漏洞、監(jiān)聽、欺騙、口令攻擊等技術和手段獲取管理員的權限，然后實施對該主機的絕對控制。2.1.2黑客攻擊的步驟 2.1.2黑客攻擊的步驟4種植后門 為了保持對“勝利果實”長期占有的欲望，在已被攻破的主機上種植供自己訪問的后門程序。5隱藏自己 當黑客實施攻擊以后，通常會在被攻擊主機的日志中留下相關的信息，所以黑客一般會采用清除系統(tǒng)日志或者偽造系統(tǒng)日志等方法來銷毀痕跡，以免被跟蹤。 2.1.2黑客攻擊的步驟攻擊主機確定目標信息收集漏洞挖掘攻擊網絡留下后門清除日志結

9、束攻擊2.1.3黑客常用的攻擊手段 目前常見的黑客攻擊手段主要有以下幾種： 1社會工程學攻擊 社會工程學攻擊是指利用人性的弱點、社會心理學等知識來獲得目標系統(tǒng)敏感信息的行為。 攻擊者如果沒有辦法通過物理入侵直接取得所需要的資料，就會通過計策或欺騙等手段間接獲得密碼等敏感信息，通常使用電子郵件、電話等形式對所需要的資料進行騙取，再利用這些資料獲取主機的權限以達到其攻擊的目的。 1社會工程學攻擊 （1）打電話請求密碼 盡管不像前面討論的策略那樣聰明，但打電話尋問密碼卻經常奏效。在社會工程中那些黑客冒充失去密碼的合法雇員，經常通過這種簡單的方法重新獲得密碼。 （2）偽造Email 通過使用telne

10、t，黑客可以截取任何用戶Email的全部信息，這樣的Email消息是真實的，因為它發(fā)自于合法的用戶。利用這種機制，黑客可以任意進行偽造，并冒充系統(tǒng)管理員輕松地獲得大量的信息，以實施他們的惡意陰謀。 信息收集就是對目標主機及其相關設施、管理人員進行非公開的了解，用于對攻擊目標安全防衛(wèi)工作情況的掌握。 （1）簡單信息收集?？梢酝ㄟ^一些網絡命令對目標主機進行信息查詢。如，Ping、Finger、Whois、Tracerroute等。 （2）網絡掃描。使用掃描工具對網絡地址、開放端口等情況掃描。 （3）網絡監(jiān)聽。使用監(jiān)聽工具對網絡數據包進行監(jiān)聽，以獲得口令等敏感信息。 2信息收集型攻擊3欺騙型攻擊 通

11、常利用實體之間的信任關系而進行的一種攻擊方式，主要形式有： （1）IP欺騙。使用其它主機的IP地址來獲得信息或者得到特權。 （2）Web欺騙。通過主機間的信任關系，以Web形式實施的一種欺騙行為。 （3）郵件欺騙。用冒充的Email地址進行欺騙。 （4）非技術類欺騙。主要是針對人力因素的攻擊，通過社會工程技術來實現(xiàn)。 通常是利用系統(tǒng)漏洞或缺陷進行的攻擊。 （1）緩沖區(qū)溢出：是指通過有意設計而造成緩沖區(qū)溢出的現(xiàn)象，目的是使程序運行失敗，或者為了獲得系統(tǒng)的特權。 （2）拒絕服務攻擊：如果一個用戶占用大量資源，系統(tǒng)就沒有剩下的資源再提供服務，導致死機等現(xiàn)象的發(fā)生，如，死亡之Ping、淚滴（Teard

12、rop）、UDP洪水、SYN洪水、Land攻擊、郵件炸彈、Fraggle攻擊等。 （3）分布式拒絕服務攻擊：攻擊者通常控制多個分布的“傀儡”主機，對某一目標發(fā)動拒絕服務的攻擊。 4漏洞與缺陷攻擊5利用型攻擊 利用型攻擊是指試圖直接對主機進行控制的攻擊，常見有： （1）猜口令。通過分析或暴力攻擊等手段獲取合法賬戶的口令。 （2）木馬攻擊。這里的“木馬”是潛在威脅的意思，種植過木馬的主機將會完全被攻擊者掌握和控制。 6病毒攻擊 致使目標主機感染病毒，從而造成系統(tǒng)損壞、數據丟失、拒絕服務、信息泄密、性能下降等現(xiàn)象的攻擊。 病毒攻擊是當今網絡信息安全的主要威脅之一。 2.1.4黑客入侵后的應對措施 1

13、發(fā)現(xiàn)黑客 發(fā)現(xiàn)信息系統(tǒng)是否被入侵不是件容易的事，即使已經有黑客入侵，也可能永遠發(fā)現(xiàn)不了。如果黑客破壞了站點的安全性，則追蹤他們，方法有：借助工具來發(fā)現(xiàn)，如：掃描、監(jiān)聽等對可疑行為進行檢查，如檢查系統(tǒng)命令等查看屢次失敗的訪問口令2應急操作（1）估計形勢 估計入侵造成的破壞程度，如，是否已經入侵？是否還滯留？是否來自內部等。（2）切斷連接 立即采取行動，切斷連接，如，關閉服務器，追蹤黑客等。（3）分析問題 分析新近發(fā)生的安全事件，并制定一個計劃。（4）采取行動 實施緊急反應計劃，修補漏洞，恢復系統(tǒng)。3抓住入侵者遵循一定的原則，有利于抓住入侵者定期檢查登錄文件注意不尋常的登錄注意突然活躍的賬號預判入

14、侵者的活動時間2.1.5黑客與信息安全 進入21世紀，黑客的行為又呈現(xiàn)出新的特點，主要表現(xiàn)為：（1）群體組織化（2）地域全球化（3）構成大眾化（4）陣容年輕化（5）技術智能化（6）手段多樣化（7）動機商業(yè)化（8）身份合法化（9）行為軍事化2.2網絡掃描 2.2.1掃描的概念網絡掃描就是對計算機系統(tǒng)或者其他網絡設備進行與安全相關的檢測，以找出目標系統(tǒng)所放開放的端口信息、服務類型以及安全隱患和可能被黑客利用的漏洞。它是一種系統(tǒng)檢測、有效防御的工具。如果被黑客掌握，它也可以成為一種有效的入侵工具。 2.2.2網絡掃描的原理 網絡掃描的基本原理是通過網絡向目標系統(tǒng)發(fā)送一些特征信息，然后根據反饋情況，獲

15、得有關信息。網絡掃描通常采用兩種策略：第一種是被動式策略，所謂被動式策略就是基于主機之上，對系統(tǒng)中不合適的設置、脆弱的口令以及其他與安全規(guī)則抵觸的對象進行檢查；第二種是主動式策略，主動式策略是基于網絡的，它通過執(zhí)行一些腳本文件，模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應，從而發(fā)現(xiàn)其中的漏洞。利用被動式策略掃描稱為安全掃描，利用主動式策略掃描稱為網絡安全掃描。 1.端口掃描端口掃描是指通過檢測遠程或本地系統(tǒng)的端口開放情況，來判斷系統(tǒng)所安裝的服務和相關信息。其原理是向目標工作站、服務器發(fā)送數據包，根據信息反饋來分析當前目標系統(tǒng)的端口開放情況和更多細節(jié)信息。主要的目的是：判斷目標主機中開放了哪些服務判

16、斷目標主機的操作系統(tǒng)（1）TCP connect() 掃描 這是最基本的TCP掃描。操作系統(tǒng)提供的connect()系統(tǒng)調用，用來與每一個感興趣的目標主機的端口進行連接。如果端口處于偵聽狀態(tài)，那么connect()就能成功。否則，這個端口是不能用的，即沒有提供服務。 （2）TCP SYN掃描這種技術通常認為是“半開放”掃描，因為掃描程序不必要打開一個完全的TCP連接。掃描程序發(fā)送的是一個SYN數據包，好象準備打開一個實際的連接并等待反應一樣。一個ACK的返回信息表示端口處于偵聽狀態(tài)；一個RST返回，表示端口沒有處于偵聽態(tài)。（2）TCP SYN掃描客戶端服務器端客戶端服務器端正常過程半開連接SY

17、NSYN/ACKACKSYNSYN/ACKSYN/ACKSYN Timeout（3）TCP FIN 掃描有的時候可能SYN掃描都不夠秘密。一些防火墻和包過濾器會對一些指定的端口進行監(jiān)視，有的程序能檢測到這些掃描。FIN數據包可能會沒有任何麻煩的通過。這種掃描方法的思想是，關閉的端口會用適當的RST來回復FIN數據包。這種方法和系統(tǒng)的實現(xiàn)有一定的關系。有的系統(tǒng)不管端口是否打開，都回復RST，這樣，這種掃描方法就不適用了。這種方法在區(qū)分Unix和NT時，是十分有用的。 （4）UDP ICMP端口不能到達掃描這種方法使用的是UDP。由于這個協(xié)議很簡單，所以掃描相對比較困難。因為打開的端口對掃描探測并

18、不發(fā)送一個確認，關閉的端口也并不需要發(fā)送一個錯誤數據包。但是，許多主機在你向一個未打開的UDP端口發(fā)送一個數據包時，會返回一個ICMP_PORT_UNREACH錯誤。這樣你就能發(fā)現(xiàn)哪個端口是關閉的。 （5）IP包分段掃描這種不能算是新方法，只是其它技術的變化。它并不是直接發(fā)送TCP探測數據包，而是將數據包分成幾個較小的IP段。這樣就將一個TCP頭分成好幾個數據包，從而過濾器就很難探測到。（6）慢速掃描由于一般掃描檢測器的實現(xiàn)是通過監(jiān)視某個時間段里一臺特定主機被連接的數目來決定是否在被掃描，因此，攻擊者可以通過使用掃描速度慢一些的掃描軟件進行掃描，這樣檢測軟件就不會判別出他在進行掃描了。 2.漏

19、洞掃描漏洞掃描是指檢測遠程或本地系統(tǒng)中存在的安全缺陷。其原理是，采用模擬攻擊的形式，對工作站、服務器、交換機、數據庫應用等各種對象可能存在的安全漏洞進行逐項檢查，根據掃描結果形成安全性分析報告。漏洞掃描一般分為3類：操作系統(tǒng)掃描網絡安全掃描數據庫安全掃描2.漏洞掃描基于網絡的漏洞掃描技術：通過網絡來測試主機安全性，它檢測主機當前可用的服務及其開放端口，查找可能被遠程試圖惡意訪問者攻擊的大量漏洞、隱患及安全脆弱點?；谥鳈C的漏洞掃描技術：用于掃描本地主機，查找安全漏洞，查殺病毒、木馬、蠕蟲等危害系統(tǒng)安全的惡意程序，主要是針對操作系統(tǒng)的掃描檢測，通常涉及系統(tǒng)的內核、文件的屬性、操作系統(tǒng)的補丁等問題

20、，還包括口令解密等。 2.漏洞掃描通過使用安全掃描器，可以：收集信息：包括遠程操作系統(tǒng)識別、網絡結構分析、端口開放情況以及其他敏感信息，例如，提供的服務、軟件版本等。檢測漏洞：包括已知安全漏洞的檢測、錯誤的配置檢測、弱口令檢測。2.2.3網絡掃描的防范 預防端口掃描的檢測是一個大的難題，因為每個網站的服務（端口）都是公開的，所以一般無法判斷是否有人在進行端口掃描。但是根據端口掃描的原理，掃描器一般都只是查看端口是否開通，然后在端口列表中顯示出相應的服務。因此，網絡管理員可以把服務開在其他端口上，如可以將HTTP服務固定的80端口改為其他端口，這樣就容易區(qū)別合法的連接請求和掃描現(xiàn)象。2.2.3網

21、絡掃描的防范對于端口掃描的防范需要進行統(tǒng)計分析，即在單位時間內統(tǒng)計，當發(fā)現(xiàn)接收到超過上限數目的以掃描端口為目的的數據包請求時，可以判斷為發(fā)現(xiàn)了端口掃描攻擊。對于慢掃描，可以在一段較長時間內對此類請求數據包進行聯(lián)合分析，若發(fā)現(xiàn)某特定時間段內，主機較為均勻地接受到此類數據包請求，則判斷為慢速掃描。2.2.3網絡掃描的防范 防范掃描可行的方法是： （1）關閉掉所有閑置的和有潛在威脅的端口。 （2）通過防火墻或其它安全系統(tǒng)檢查各端口，如果有端口掃描的癥狀時，就立即屏蔽該端口。 （3）利用特殊軟件在一些端口上欺騙黑客，讓其掃描和攻擊“陷阱”端口。 2.3網絡監(jiān)聽2.3.1監(jiān)聽的概念1什么是監(jiān)聽 網絡監(jiān)聽

22、也被稱作網絡嗅探（Sniffer）。 它工作在網絡的底層，能夠把網絡傳輸的全部數據記錄下來，黑客一般都是利用該技術來截取用戶口令的。 網絡監(jiān)聽是一種常用的被動式網絡攻擊方法，能幫助入侵者輕易獲得用其他方法很難獲得的信息，包括用戶口令、賬號、敏感數據、IP地址、路由信息、TCP套接字號等。 網絡監(jiān)聽通常在網絡接口處截獲計算機之間通信的數據流，是進行網絡攻擊最簡單、最有效的方法。它具有以下特點： （1）隱蔽性強。進行網絡監(jiān)聽的主機只是被動地接收在網絡中傳輸的信息，沒有任何主動的行為，既不修改在網絡中傳輸的數據包，也不往鏈路中插入任何數據，很難被網絡管理員覺察到。 （2）手段靈活。網絡監(jiān)聽可以在網絡

23、中的任何位置實施，可以是網絡中的一臺主機、路由器，也可以是調制解調器。其中，網絡監(jiān)聽效果最好的地方是在網絡中某些具有戰(zhàn)略意義的位置，如網關、路由器、防火墻之類的設備或重要網段；而使用最方便的地方是在網絡中的一臺主機中。 2監(jiān)聽的特點 監(jiān)聽雖然沒有直接對系統(tǒng)發(fā)動破壞性攻擊，但是其依舊是危險的，主要危害有： （1）能夠捕獲口令。 （2）能夠捕獲專用的或者機密的信息。 （3）可以用來危害網絡鄰居的安全，或者用來獲取更高級別的訪問權限。 （4）分析網絡結構，進行網絡滲透。 3監(jiān)聽的危害2.3.2監(jiān)聽的原理 正常情況下，網卡只接收發(fā)給自己的信息，但是如果將網卡模式設置為Promiscuous（混雜模式）

24、，網卡進行的數據包過濾將不同于普通模式。 在普通模式下，只有本地地址的數據包或者廣播才會被網卡提交給系統(tǒng)核心；否則這些數據包就直接被網卡拋棄。 混合模式讓所有經過的數據包都傳遞給系統(tǒng)核心；然后被Sniffer等程序利用。 2.3.2監(jiān)聽的原理 所謂混雜接收模式是指網卡可以接收網絡中傳輸的所有報文，無論其目的MAC地址是否為該網卡的MAC地址。 由于網卡支持混雜模式，才使網卡驅動程序支持MAC地址的修改成為可能；否則，就算修改了MAC地址，但是網卡根本無法接收相應地址的報文，該網卡就變得只能發(fā)送，無法接收，通信也就無法正常進行了。 要使機器成為一個嗅探器，需要一個特殊的軟件（以太網卡的廣播驅動程

25、序）或者需要一種能使網絡處于混雜模式的網絡軟件。網絡監(jiān)聽器Sniffer就是這樣的軟件。 1檢測網絡嗅探 網絡嗅探的檢測其實是很麻煩的，由于嗅探器需要將網絡中入侵的網卡設置為混雜模式才能工作，所以可以通過檢測混雜模式網卡的工具來發(fā)現(xiàn)網絡嗅探。 還可以通過網絡帶寬出現(xiàn)反常來檢測嗅探。通過某些帶寬控制器，可以實時看到目前網絡帶寬的分布情況，如果某臺機器長時間的占用了較大的帶寬，這臺機器就有可能在監(jiān)聽。通過帶寬控制器也可以察覺出網絡通信速度的變化。 2.3.3監(jiān)聽的防范 1檢測網絡嗅探 對于SunOS和其他的BSD Unix系統(tǒng)可以使用Lsof命令來檢測嗅探器的存在。 Lsof的最初的設計目的并非為

26、了防止嗅探器入侵，但因為在嗅探器入侵的系統(tǒng)中，嗅探器會打開Lsof來輸出文件，并不斷傳送信息給該文件，這樣該文件的內容就會越來越大。 如果利用Lsof發(fā)現(xiàn)有文件的內容不斷地增大，就可以懷疑系統(tǒng)被嗅探。 最好的辦法就是使網絡嗅探不能達到預期的效果，使嗅探價值降低，可以使用的方法包括： （1）采用安全的拓撲結構，如，網絡分段越細，嗅探器收集到的信息就越少。 （2）加密通信會話，如采用SSH將傳輸的數據進行加密。 （3）采用靜態(tài)的ARP或者IP-MAC對應表，可防止利用ARP欺騙進行的嗅探。2主動防御網絡嗅探2.4Web欺騙 2.4.1Web欺騙的概念 Web欺騙是指攻擊者建立一個使人相信的Web站

27、點的“拷貝”，這個Web站點“拷貝”就像真的一樣，它具有原頁面幾乎所有頁面元素。 然而，攻擊者控制了這個Web站點的“拷貝”，被攻擊對象和真的Web站點之間的所有信息流動都被攻擊者所控制了。 2.4.2Web攻擊的原理 Web欺騙攻擊的原理是打斷從被攻擊者主機到目標服務器之間的正常連接，并建立一條從被攻擊主機到攻擊主機再到目標服務器的連接。 雖然這種攻擊并不會直接造成被攻擊者主機的軟、硬件損壞，但是它所帶來的危害也是不能忽視的。 2.4.2Web攻擊的原理改寫URL：攻擊者改寫某個頁面上的URL，使這些連接都指向攻擊者機器，而不是真正的服務器。開始攻擊：誘惑被攻擊對象連接到攻擊者的假的Web頁

28、面上。制造假象：消除所有可能會留下的攻擊線索。2.4.3Web欺騙的防范 1短期的解決辦法 （1）上網瀏覽時，最好關掉瀏覽器的 JavaScript，只有當訪問熟悉的網站時才打開它，目的是使攻擊者不能隱藏攻擊的跡象。 （2）不從自己不熟悉的網站上鏈接到其他網站，特別是鏈接那些需要輸入個人賬戶名和密碼的有關電子商務的網站。 （3）要養(yǎng)成從地址欄中直接輸入網址來實現(xiàn)瀏覽網站的好習慣。 2長期的方法 （1）IP地址、子網、域的限制：它可以保護單個的文檔，也可以保護整個的目錄。如果瀏覽器的IP不在授權的IP地址之列，則它是無法與該文檔進行連接的，即通過授權的方式對IP地址、子網和域進行保護。 （2）用

29、戶名和密碼：為獲取對文檔或目錄的訪問，需輸入用戶名和密碼。 （3）加密：這是通過公開密鑰技術實現(xiàn)的，所有傳送的內容都是加密的，除了接收者之外無人可以讀懂。 2.5IP地址欺騙 2.5.1IP地址欺騙的概念 1 IP地址盜用 IP地址盜用是指一臺主機有目的地使用他人合法的IP地址，而不用自己的IP地址的行為。 帶有假冒的IP地址的IP包既可能來自同一網段內部，也可能來自網段外部。不同的情況有不同的結果。2IP地址欺騙所謂IP地址欺騙，就是偽造某臺主機的IP地址的技術。其實質就是讓一臺機器來扮演另一臺機器，以達到蒙混過關的目的。被偽造的主機往往具有某種特權或者被另外的主機所信任。由于IP協(xié)議不對數

30、據包中的IP地址進行認證，因此任何人不經授權就可偽造IP包的源地址。IP地址欺騙通常通過編程來實現(xiàn)。2.5.2IP欺騙的原理 IP欺騙是利用主機之間的正常的信任關系來發(fā)動的，這種信任是有別于用戶間的信任和應用層的信任的。黑客可以通過命令方式或掃描技術、監(jiān)聽技術來確定主機之間的信任關系。 2.5.2IP欺騙的原理 假如一個局域網內的主機間存在著某種信任關系，如果主機A信任主機B，主機B信任主機C，為了侵入該網絡，黑客可以采用以下方法： （1）通過假冒主機B來欺騙主機A和主機C； （2）通過假冒主機A和主機C來欺騙主機B。 為了假冒C去欺騙主機B，首要的任務是攻擊主機C，使其癱瘓，即先實施拒絕服務

31、攻擊。值得注意的是，并不是在任何情況下都要使被假冒的主機癱瘓，但在Ethernet網上的IP欺騙必須要這么做，否則會引起網絡掛起。2.5.3IP欺騙的防范 （1）放棄基于地址的信任策略 IP欺騙是建立在信任的基礎之上的，防止IP欺騙的最好的方法就是放棄以地址為基礎的驗證。當然，這是以喪失系統(tǒng)功能、犧牲系統(tǒng)性能為代價的。（2）對數據包進行限制 對于來自網絡外部的欺騙來說，防止這種攻擊的方法很簡單，可以在局域網的對外路由器上加一個限制來實現(xiàn)。只要在路由器中設置不允許聲稱來自于內部網絡中的數據包通過就行了。當實施欺騙的主機在同一網段，攻擊容易得手，且不容易防范。一般通過路由器對數據包的監(jiān)控來防范IP

32、地址欺騙。 （3）應用加密技術 對數據進行加密傳輸和驗證也是防止IP欺騙的好方法。IP地址可以盜用，但現(xiàn)代加密技術在理論上是很難可破解的。2.6緩沖區(qū)溢出 2.6.1緩沖區(qū)溢出的概念 緩沖區(qū)溢出攻擊是一種系統(tǒng)攻擊的手段，通過往緩沖區(qū)寫超出其長度的內容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉而執(zhí)行其它指令，以達到攻擊的目的。 2.6.2緩沖區(qū)溢出的原理緩沖區(qū)溢出的根本原因來自C語言（C+）本質的不安全性：數組和指針的引用沒有邊界檢查；標準C函數庫中存在許多非安全字符串操作，如strcpy() 、gets() 等。當程序寫入超過緩沖區(qū)的邊界時，就發(fā)生所謂的“緩沖區(qū)溢出”。2.6.2緩沖區(qū)溢出

33、的原理 void functon（char *str） char buffer16 ； strcpy（buffer，str）； 該程序的功能是通過strcpy函數把str中的字符串拷貝到數組buffer16中去，如果str的長度超過16就會造成數組buffer的溢出，使程序出錯。 2.6.2緩沖區(qū)溢出的原理向一個有限空間的緩沖區(qū)中植入超長字符串，可能出現(xiàn)兩個結果：一是過長的字符串會覆蓋下一個相鄰的內存塊，導致一些不可預料的結果：也許程序可以繼續(xù)，也許程序的執(zhí)行出現(xiàn)奇怪現(xiàn)象，也許程序完全失敗；另一種結果就是利用這種漏洞可以執(zhí)行任意指令，甚至可以得到超級用戶（管理員）權限。C語言把這一艱巨任務交給

34、了開發(fā)人員，要求他們進行邊界檢查，編寫安全的程序。然而這一要求往往被人們忽視，從而給黑客有機可乘。2.6.3緩沖區(qū)溢出的防范 （1）編寫正確的代碼 編寫安全的程序代碼是解決緩沖區(qū)溢出漏洞的最根本辦法。在程序開發(fā)時就要考慮可能的安全問題，杜絕緩沖區(qū)溢出的可能性，尤其在C程序中使用數組時，只要數組邊界不溢出，那么緩沖區(qū)溢出攻擊就無從談起，所以對所有數組的讀寫操作都應控制在正確的范圍內，通常可通過優(yōu)化技術來實現(xiàn)。 （2）非執(zhí)行的緩沖區(qū) 非執(zhí)行的緩沖區(qū)技術是指通過使被攻擊程序的數據段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行被攻擊程序輸入緩沖區(qū)的代碼。 2.6.3緩沖區(qū)溢出的防范 （3）指針完整性檢查

35、 堆棧保護是一種提供程序指針完整性檢查的編譯器技術，通過檢查函數活動記錄中的返回地址來實現(xiàn)。指針完整性檢查是指在程序指針被引用之前先檢測它是否被改變，一旦改變就不會被使用。 （4）用好安全補丁 實際上，讓普通用戶解決其遇到的安全問題是不現(xiàn)實的，用補丁修補缺陷則是一個不錯的、也是可行的解決方法。 2.7拒絕服務攻擊 2.7.1拒絕服務攻擊的概念 DoS攻擊是一種簡單有效的攻擊方式，其目的是使服務器拒絕正常的訪問，破壞系統(tǒng)的正常運行，最終使部分網絡連接失敗，甚至網絡系統(tǒng)失效。 從廣義上來講，任何導致服務器不能正常提供服務的攻擊都叫做拒絕服務攻擊。2.7.2拒絕服務攻擊的原理 DoS攻擊的基本原理是

36、：首先，攻擊者向服務器發(fā)送大量的帶有虛假地址的請求，服務器發(fā)送回復信息后，等待回傳信息由于地址是偽造的，所以服務器一直等不到回傳的信息，分配給這次請求的資源就始終沒有被釋放當服務器等待一定的時間后，連接會因超時而被切斷攻擊者會再傳送一批請求。在這種反復發(fā)送地址請求的情況下，服務器資源最終會被耗盡。 2.7.2拒絕服務攻擊的原理最典型的DOS攻擊是Synflood.原理：TCP連接的三次握手和半開連接攻擊者：發(fā)送大量偽造的TCP連接請求 方法1：偽裝成當時不在線的IP地址發(fā)動攻擊 方法2：在主機或路由器上阻截目標機的SYN/ACK分組目標機：堆棧溢出崩潰或無法處理正常請求防御：縮短SYN Tim

37、eout時間 （設置為20秒以下 ）設置SYN Cookie 設置路由器和防火墻,在給定的時間內只允許數量有限的半開TCP連接發(fā)往主機2.7.2拒絕服務攻擊的原理.SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標主機SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK.等待應答SYN/ACK.2.7.3分布式拒絕服務攻擊 DDoS（Distributed Denial of Service）攻擊是一種基于DoS攻擊的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，攻擊者控制多個傀儡發(fā)起攻擊，主要瞄準比較大的站點。 被分布式拒絕服務攻擊

38、時會出現(xiàn)下列現(xiàn)象：被攻擊主機上有大量等待的TCP連接。網絡中充斥著大量的無用的數據包，源地址為假。制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊。利用受害主機提供的服務或傳輸協(xié)議上的缺陷，不斷地向目標主機發(fā)出服務請求，使受害主機無法及時處理所有正常請求。嚴重時會造成系統(tǒng)死機。1. DDoS攻擊的一般原理分布式拒絕服務攻擊借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號，將DDoS主控程序安裝在一個計算機上，在一個設定的時間，主控程序將與大量代理程序通訊，代理程序已經被安裝在I

39、nternet上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。 1. DDoS攻擊的一般原理一個完整的DDoS攻擊體系分成4部分攻擊者所在機 控制機（用來控制傀儡機） 傀儡機 受害者1. DDoS攻擊的一般原理DDoS攻擊的基本過程是：攻擊者連接到安裝了控制程序的計算機，啟動控制程序，然后根據一個IP地址的列表，由控制程序負責啟動所有的代理程序。接著，代理程序用數據包沖擊網絡，攻擊目標。在攻擊之前，侵入者為了安裝軟件，已經控制了裝有控制程序的計算機和所有裝有代理程序的計算機。對受害者的攻擊是從擊傀儡機上發(fā)出的，控制機只發(fā)布

40、命令而不參與實際的攻擊。DDoS攻擊可以利用更多的傀儡機來發(fā)起進攻，以更大的規(guī)模來進攻受害者。 1. DDoS攻擊的一般原理在一般的情況下，DDoS可能使用多臺控制機：2. DDoS攻擊步驟1)攻擊者攻擊諸客戶主機以求分析他們的安全水平和脆弱性。2)攻擊者進入其已經發(fā)現(xiàn)的最弱的客戶主機之內(“肉機”)，并且秘密地安置一個其可遠程控制的代理程序(端口監(jiān)督程序)。3)攻擊者使他的全部代理程序同時發(fā)送由殘缺的數字包構成的連接請求送至目標系統(tǒng)。4)包括虛假的連接請求在內的大量殘缺的數字包攻擊目標系統(tǒng)，最終將導致它因通信淤塞而崩潰。3. DDoS攻擊的防御策略DDoS攻擊的隱蔽性極強，迄今為止人們還沒有

41、找到對DDoS攻擊行之有效的解決方法。加強安全防范意識、提高網絡系統(tǒng)的安全性，還是當前最為有效的辦法?？刹扇〉陌踩烙胧┯幸韵聨追N：及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序；對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機制；對一些特權帳號（例如管理員帳號）的密碼設置要謹慎。在網絡管理方面，要經常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網絡服務；建立邊界安全界限，確保輸出的包受到正確限制；經常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。2.7.4拒絕服務攻擊的防范 （1）與ISP合作 與ISP配合，對路由訪問進行控制、對網絡流量的監(jiān)視，以實現(xiàn)對帶寬總量的限制，以及不同的訪問地址在同一

42、時間對帶寬的占有率。 （2）漏洞檢查 定期使用漏洞掃描軟件，對內部網現(xiàn)有的、潛在的漏洞進行檢查，以提高系統(tǒng)安全的性能。 2.7.4拒絕服務攻擊的防范 （3）服務器優(yōu)化 確保服務器的安全，使攻擊者無法獲得更多內部主機的信息，從而無法發(fā)動有效的攻擊。 （4）應急響應 建立應急機構和制度，制定緊急應對策略，以便拒絕服務攻擊發(fā)生時能夠迅速恢復系統(tǒng)和服務。同時還要注意對員工進行相關的培訓，使其掌握必要的應對措施和方法。2.8木馬 2.8.1木馬的概念 1什么是木馬 特洛伊木馬（Trojan horse）其名稱取自希臘神話的特洛伊木馬，它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。所謂隱蔽性

43、是指木馬的設計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣服務端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆；所謂非授權性是指一旦控制端與服務端連接后，控制端將享有服務端的大部分操作權限，包括修改文件，修改注冊表，控制鼠標，鍵盤等等。這些權力并不是服務端賦予的，而是通過木馬程序竊取的。 1什么是木馬木馬與病毒的區(qū)別：病毒程序是以自發(fā)性的敗壞為目的；木馬程序是依照黑客的命令來運作，主要目的是偷取文件、機密數據、個人隱私等行為。2木馬的種類（1）破壞型（2）密碼發(fā)送型（3）遠程訪問型（4）鍵盤記錄木馬（5）DoS攻擊木馬（6）代理木馬（7）FTP木馬（8）程序殺手木馬（9

44、）反彈端口型木馬（1）破壞型木馬大部分木馬程序只竊取信息，不做破壞性的事件，但破壞型木馬卻以毀壞并且刪除文件為目的。它們可以自動刪除受控計算機上所有的.ini .exe .dll文件，甚至格式化受害者的硬盤，系統(tǒng)中的信息會在頃刻間“灰飛煙滅”。（2）密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數這類木馬程序不會在每次系統(tǒng)重啟時都自動加載，它們大多數使用25號端口發(fā)送電子郵件。（3）遠程訪問型木馬遠程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬。這種木馬起著遠程控制的功能，用起來非常簡單，只需先運行服務端程序，同時獲得遠程主機的IP地址，控

45、制者就能任意訪問被控制端的計算機。這種木馬可以使遠程控制者在本地機器上做任何事情，比如鍵盤記錄、上傳和下載功能、發(fā)送一個“截取屏幕”等等。這種類型的木馬有著名的BO (Back Office)和國產的冰河等。（4）鍵盤記錄型木馬鍵盤記錄型木馬非常簡單的，它只做一種事情，就是記錄受害者的鍵盤敲擊，并且在Log文件里做完整的記錄。這種木馬程序隨著系統(tǒng)的啟動而啟動，知道受害者在線并記錄每一個用戶事件，然后通過郵件或其他方式發(fā)送給控制者。（5）DoS攻擊木馬當攻擊者入侵了一臺主機，并種上DoS攻擊木馬，這臺主機就會成為攻擊者進行DoS攻擊的得力助手。這種木馬的危害不是體現(xiàn)在被感染的主機上，而是攻擊者用它做“跳板”來攻擊其它的主機。（6）代理木馬給被控制的主機種上代理木馬，讓其變成攻擊者發(fā)動攻擊的跳板通過代理木馬，攻擊者可以隱蔽自己的蹤跡（7） FTP型木馬FTP 型木馬打開被控制計算機的21號端口，使任何人無需密碼就可以用一個FTP客戶端程序連接到受控制端計算機，并且可以進行最高權限的上傳和下載，竊取受害者的機密文件。（8）程序殺手木馬程序殺手木馬的功能是關閉對方主機上運行的防木馬軟件，讓其他的木馬更好的發(fā)揮作用。（9）反彈端口型