黑客常用攻擊技術(shù)課件

第七章黑客常用的攻擊技術(shù)7.1攻擊方法概述7.2口令安全7.37.4網(wǎng)絡(luò)監(jiān)聽7.5特洛依木馬7.6拒絕服務(wù)攻擊7.7IP欺騙本章學(xué)習(xí)目標(biāo)（1）了解口令安全的破解方法（2）熟悉端口掃描、網(wǎng)絡(luò)監(jiān)聽原理及技術(shù)（3）了解特洛伊木馬、IP電子欺騙的原理及特點(diǎn)（4）了解拒絕服務(wù)攻擊的原理和種類7.1攻擊方法概述7.1.1信息收集7.1.2系統(tǒng)安全弱點(diǎn)的探測(cè)7.1.3網(wǎng)絡(luò)攻擊7.1.2系統(tǒng)安全弱點(diǎn)的探測(cè)

通過前期收集到的一些網(wǎng)絡(luò)及主機(jī)信息，黑客會(huì)通過掃描軟件探測(cè)每臺(tái)主機(jī)，尋找該系統(tǒng)的安全漏洞和弱點(diǎn)。這些軟件能夠?qū)φ麄€(gè)網(wǎng)絡(luò)或主機(jī)進(jìn)行掃描，主要掃描目標(biāo)主機(jī)上某范圍內(nèi)的典型端口，收集目標(biāo)主機(jī)的哪些端口是否開放，還有的直接根據(jù)已知的系統(tǒng)漏洞進(jìn)行探測(cè)掃描，并將掃描出來的結(jié)果形成詳細(xì)的報(bào)表，以便下一步實(shí)施攻擊。7.1.3網(wǎng)絡(luò)攻擊

當(dāng)掃描出系統(tǒng)的漏洞和弱點(diǎn)后，黑客就會(huì)對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊。一般會(huì)在目標(biāo)系統(tǒng)中安裝探測(cè)器軟件或后門程序，包括特洛伊木馬程序和病毒程序，用來窺探系統(tǒng)的所有活動(dòng)和信息，得到自己所感興趣的信息。例如FTP賬號(hào)、系統(tǒng)管理員口令、Web站點(diǎn)管理員口令等。7.2

口令安全7.2.1

口令破解方法7.2.2口令破解機(jī)制7.2.3安全口令的設(shè)置原則7.2.2口令破解機(jī)制口令的破解過程首先是字符表被送到加密進(jìn)程加密，通常是一次加密一個(gè)單詞。加密過程中使用了各種規(guī)則，每加密一個(gè)單詞，就把它與目標(biāo)口令（同樣是加密的）對(duì)比，如果不匹配，就開始處理下一個(gè)單詞。有些破解軟件的破解過程與此不同，它們?nèi)〕稣麄€(gè)字符表，應(yīng)用一條規(guī)則進(jìn)行加密，從而生成下一個(gè)字符表，這個(gè)字符表再加密，再與目標(biāo)口令匹配。這兩種方法沒有實(shí)質(zhì)性的區(qū)別，只是第二種方法可能更快些。7.2.3安全口令的設(shè)置原則

（

l）設(shè)置的口令盡可能復(fù)雜，口令至少包含字母、數(shù)字和標(biāo)點(diǎn)符號(hào)、一些其他的字符組合。（2）口令的長(zhǎng)度至少8位，不要將口令寫下來。（3）不要將口令存于終端功能鍵或調(diào)制解調(diào)器的字符串存儲(chǔ)器中。（4）不要選取顯而易見的信息作口令。（5）不要讓人知道，不要讓人看見自己在輸入口令。（6）不要交替使用兩個(gè)口令。（7）不要在不同系統(tǒng)上使用同一口令。（8）定期更改口令7.3端口掃描7.3.1端口掃描簡(jiǎn)介7.3.2端口掃描的原理7.3.3掃描工具介紹7.3.2端口掃描的原理1．TCPconnect()掃描2．TCPSYN掃描3．TCPFIN掃描4．IP段掃描5．TCP反向ident掃描6．FTP返回攻擊7．UDPICMP端口不能到達(dá)掃描8．UDPrecvfrom()和write()掃描9．ICMPecho掃描7.3.3掃描工具介紹1．SATAN2．NSS（網(wǎng)絡(luò)安全掃描器）3．流光4．Nmap7.4網(wǎng)絡(luò)監(jiān)聽7.4.1網(wǎng)絡(luò)監(jiān)聽的原理7.4.2網(wǎng)絡(luò)監(jiān)聽的實(shí)現(xiàn)7.4.3網(wǎng)絡(luò)監(jiān)聽的檢測(cè)與防范7.4.4網(wǎng)絡(luò)監(jiān)聽工具介紹7.4.2網(wǎng)絡(luò)監(jiān)聽的實(shí)現(xiàn)要使主機(jī)工作在監(jiān)聽模式下，需要向網(wǎng)絡(luò)接口發(fā)出I/O控制命令，將其設(shè)置為監(jiān)聽模式。在UNIX系統(tǒng)中，發(fā)送這些命令需要超級(jí)用戶的權(quán)限。在Windows系列操作系統(tǒng)中，則沒有這個(gè)限制。要實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)聽，可以自己用相關(guān)的計(jì)算機(jī)語(yǔ)言和函數(shù)編寫出功能強(qiáng)大的網(wǎng)絡(luò)監(jiān)聽程序，也可以使用一些現(xiàn)成的監(jiān)聽軟件，在很多黑客網(wǎng)站或從事網(wǎng)絡(luò)安全管理的網(wǎng)站都有此類軟件下載。

7.4.3網(wǎng)絡(luò)監(jiān)聽的檢測(cè)與防范1．網(wǎng)絡(luò)監(jiān)聽的檢測(cè)

（1）在UnixOS下，可以用ps-aun或ps-augx查看系統(tǒng)所有進(jìn)程的清單，通過清單可以看到每個(gè)進(jìn)程占用的CPU時(shí)間與內(nèi)存等。在Windows2000平臺(tái)下，除了可以通過“任務(wù)管理器”查看進(jìn)程信息外，可以在命令行模式下用Netstat-a查看當(dāng)前系統(tǒng)的哪些TCP端口正在使用或被監(jiān)聽。（2）可以用正確的IP地址和錯(cuò)誤的物理地址去ping被懷疑的主機(jī)，運(yùn)行監(jiān)聽程序的機(jī)器會(huì)有響應(yīng)。（3）在被監(jiān)聽的計(jì)算機(jī)上向網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會(huì)占用很多的CPU資源，這將導(dǎo)致性能下降。通過比較前后該機(jī)器性能加以判斷。（4）許多網(wǎng)絡(luò)監(jiān)聽軟件都會(huì)嘗試進(jìn)行地址反向解析，在懷疑有網(wǎng)絡(luò)監(jiān)聽發(fā)生時(shí)，可以在DNS系統(tǒng)上觀測(cè)有沒有明顯增多的解析請(qǐng)求。（5）使用反監(jiān)聽工具（如antisniffer）等進(jìn)行檢測(cè)。2．對(duì)網(wǎng)絡(luò)監(jiān)聽的防范措施

（1）從邏輯或物理上對(duì)網(wǎng)絡(luò)分段。（2）以交換式集線器代替共享式集線器。（3）使用加密技術(shù)。（4）劃分VLAN。7.4.4網(wǎng)絡(luò)監(jiān)聽工具介紹目前監(jiān)聽的工具很多，比較知名的有SnifferPro、Iris。SnifferPro介紹7.5.1特洛伊木馬概述特洛伊木馬是一種惡意的程序，它隱藏在正常的程序里。一旦被引入到用戶的系統(tǒng)中，木馬程序便會(huì)運(yùn)行在系統(tǒng)中。完整的木馬程序一般由兩個(gè)部分組成：一個(gè)是服務(wù)器程序，一個(gè)是控制器程序?！爸辛四抉R”就是指安裝了木馬的服務(wù)器程序，若你的電腦被安裝了服務(wù)器程序，則擁有控制器程序的人就可以通過網(wǎng)絡(luò)控制你的電腦、為所欲為，這時(shí)你電腦上的各種文件、程序，以及在你電腦上使用的賬號(hào)、密碼就無(wú)安全可言了。7.5.2特洛伊木馬的原理

1．特洛伊木馬的執(zhí)行方式2．特洛伊木馬的隱藏方式

7.5.3特洛伊木馬的種類1．破壞型2．密碼發(fā)送型3．遠(yuǎn)程訪問型4．鍵盤記錄木馬5．DoS攻擊木馬6．代理木馬7．FTP木馬8．程序殺手木馬9．反彈端口型木馬7.5.5特洛伊木馬的防范

1．必須提高防范意識(shí)

2．系統(tǒng)加固3．定時(shí)檢查7.6

拒絕服務(wù)攻擊

7.6.1拒絕服務(wù)攻擊概述及原理7.6.2DoS的攻擊方法與防范措施7.6.3分布式拒絕服務(wù)概念及原理7.6.4DDoS攻擊方法、檢測(cè)與防范7.6.3分布式拒絕服務(wù)概念及原理分布式拒絕服務(wù)（DDoS，DistributedDenialofService）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊賬號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間，主控程序?qū)⑴c大量代理程序通信，代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。7.6.4DDoS攻擊方法、檢測(cè)與防范1．DDoS的攻擊工具2．DDoS的檢測(cè)3．DDoS的防范措施7.7IP欺騙7.7.1

IP電子欺騙概述7.7.2IP電子欺騙對(duì)象及實(shí)施7.7.3IP電子欺騙防范7.7.1IP欺騙概述所謂IP電子欺騙，就是偽造某臺(tái)主機(jī)的IP地址的技術(shù)。其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來扮演另一臺(tái)機(jī)器，以達(dá)到蒙混過關(guān)的目的。被偽造的主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任IP欺騙通常都要用編寫的程序?qū)崿F(xiàn)。IP欺騙者通過使用RAWSocket編程，發(fā)送帶有假冒的源IP地址的IP數(shù)據(jù)包，來達(dá)到自己的目的。另外，在現(xiàn)在的網(wǎng)上，也有大量的可以發(fā)送偽造的IP地