版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
SCAUEconomicandManagementCollege主講人:經(jīng)濟(jì)管理學(xué)院營銷系彭思喜電子商務(wù)安全與保密
第3章:常見的網(wǎng)絡(luò)攻擊與防范技術(shù)本章主要內(nèi)容六、拒絕服務(wù)式攻擊與對策一、黑客二、IP欺騙與防范四、端口掃描技術(shù)五、特洛伊木馬三、Sniffer探測與防范3.1黑客
源于英文“黑客”(hacker)一詞,本來有“惡作劇”之意,現(xiàn)在特指電腦系統(tǒng)的非法進(jìn)入者。黑客們公開在Internet網(wǎng)上提出“黑客宣言”,其觀點(diǎn)是:通往電腦的路不止一條所有信息都應(yīng)該免費(fèi)共享打破電腦集權(quán)在電腦上創(chuàng)造藝術(shù)和美信息無疆界,任何人都可以在任何時間和地點(diǎn)獲取任何他認(rèn)為有必要了解的信息反對國家和政府部門對信息的壟斷和封鎖。3.1.1什么是黑客3.1黑客
(1)惡作劇者(2)隱蔽攻擊者(3)定時炸彈(4)矛盾制作者(5)職業(yè)殺手(6)竊密高手(7)業(yè)余愛好者3.1.2黑客的行為特征3.1黑客對計算機(jī)歷史有一定了解的人,相信對凱文·米特尼克一定不會陌生,美國司法部曾經(jīng)將米特尼克稱為“美國歷史上被通緝的頭號計算機(jī)罪犯”,他的所作所為已經(jīng)被記錄在兩部好萊塢電影中。
3.1.2黑客案例3.1黑客闖入北美空空中防務(wù)指揮系統(tǒng):黑客歷史上一次經(jīng)典之作入侵太平洋公司撞入聯(lián)邦調(diào)查局憑借最新式的“電腦網(wǎng)絡(luò)信息跟蹤機(jī)”,特工人員還是將米特尼克捕獲了。連續(xù)進(jìn)入了美國5家大公司的網(wǎng)絡(luò)
(Sun、Novell、NEC、Nokia和Motorola)1988年他再次被執(zhí)法當(dāng)局逮捕(DEC1年)1993年,聯(lián)邦調(diào)查局收買黑客同伙,誘捕米特尼克。1994年圣誕節(jié),米特尼克向圣迭戈超級計算機(jī)中心發(fā)動了一次攻擊1995年情人節(jié)之際發(fā)現(xiàn)了米特尼克再次被逮捕
3.1.2黑客案例:凱文.米特尼克3.1黑客美國國防部、五角大樓、中央情報局、北美防空系統(tǒng)、美國國家稅務(wù)局、紐約花旗銀行、Sun、摩托羅拉,這些美國防守最嚴(yán)密的網(wǎng)絡(luò)系統(tǒng)都曾是他閑庭信步的地方。他15歲時入侵北美空中防務(wù)指揮系統(tǒng),翻遍了美國指向前蘇聯(lián)及其盟國的所有核彈頭的數(shù)據(jù)資料。由于竊取國家核心機(jī)密,他受到美國聯(lián)邦調(diào)查局FBI的通緝,并于1995年被逮捕,經(jīng)受了五年牢獄之災(zāi),2023年重獲自由。現(xiàn)在米特尼克的身份是一位計算機(jī)安全作家、顧問和演講者。3.1.2黑客案例:凱文.米特尼克凱文米特尼克闖入北美空空中防務(wù)指揮系統(tǒng):黑客歷史上一次經(jīng)典之作入侵太平洋公司撞入聯(lián)邦調(diào)查局憑借最新式的“電腦網(wǎng)絡(luò)信息跟蹤機(jī)”,特工人員還是將米特尼克捕獲了。連續(xù)進(jìn)入了美國5家大公司的網(wǎng)絡(luò)
(Sun、Novell、NEC、Nokia和Motorola)1988年他再次被執(zhí)法當(dāng)局逮捕(DEC1年)1993年,聯(lián)邦調(diào)查局收買黑客同伙,誘捕米特尼克。1994年圣誕節(jié),米特尼克向圣迭戈超級計算機(jī)中心發(fā)動了一次攻擊1995年情人節(jié)之際發(fā)現(xiàn)了米特尼克再次被逮捕
黑客案例3.1黑客于米特尼克一案,我們不能不注意的是,這位天才的年輕人的所作所為與通常的人們熟悉的犯罪不同,他所做的這一切似乎都不是為了錢,當(dāng)然也不僅僅是為了報復(fù)他人或社會。他是一個自由的電腦編程人員,用的是舊車,住的也是他母親的舊公寓。他也并沒有利用他在電腦方面公認(rèn)的天才,或利用他的超人技藝去弄錢,盡管這對他并不是十分困難的事。而且,他也沒有想過利用自己解密進(jìn)入某些系統(tǒng)后,竊取的重要情報來賣錢。對于DEC公司的指控,他說:“我從沒有動過出售他們的軟件來賺錢的念頭?!彼骐娔X、入侵網(wǎng)絡(luò)似乎僅僅是為了獲得一種強(qiáng)大的權(quán)力,他對一切秘密的東西、對解密入侵電腦系統(tǒng)十分癡迷,為此可以放棄一切。他對電腦有一種異乎常人的特殊感情,當(dāng)洛杉磯的檢察官控告他損害了他進(jìn)入的計算機(jī)時,他甚至流下了眼淚。一位辦案人員說,“電腦與他的靈魂之間似乎有一條臍帶相連。這就是為什么只要他在計算機(jī)面前,他就會成為巨人的原因?!?.1黑客他在一次轉(zhuǎn)機(jī)的間隙,寫下了以下十條經(jīng)驗與大家分享。
●備份資料。記住你的系統(tǒng)永遠(yuǎn)不會是無懈可擊的,災(zāi)難性的數(shù)據(jù)損失會發(fā)生在你身上———只需一條蟲子或一只木馬就已足夠。
●選擇很難猜的密碼。不要沒有腦子地填上幾個與你有關(guān)的數(shù)字,在任何情況下,都要及時修改默認(rèn)密碼。
●安裝防毒軟件,并讓它每天更新升級。
●及時更新操作系統(tǒng),時刻留意軟件制造商發(fā)布的各種補(bǔ)丁,并及時安裝應(yīng)用。
●在IE或其它瀏覽器中會出現(xiàn)一些黑客魚餌,對此要保持清醒,拒絕點(diǎn)擊,同時將電子郵件客戶端的自動腳本功能關(guān)閉。
●在發(fā)送敏感郵件時使用加密軟件,也可用加密軟件保護(hù)你的硬盤上的數(shù)據(jù)。
3.1.2黑客案例3.1黑客
●安裝一個或幾個反間諜程序,并且要經(jīng)常運(yùn)行檢查。
●使用個人防火墻并正確設(shè)置它,阻止其它計算機(jī)、網(wǎng)絡(luò)和網(wǎng)址與你的計算機(jī)建立連接,指定哪些程序可以自動連接到網(wǎng)絡(luò)。
●關(guān)閉所有你不使用的系統(tǒng)服務(wù),特別是那些可以讓別人遠(yuǎn)程控制你的計算機(jī)的服務(wù),如RemoteDesktop、RealVNC和NetBIOS等。
●保證無線連接的安全。在家里,可以使用無線保護(hù)接入WPA和至少20個字符的密碼。正確設(shè)置你的筆記本電腦,不要加入任何網(wǎng)絡(luò),除非它使用WPA。要想在一個充滿敵意的因特網(wǎng)世界里保護(hù)自己,的確是一件不容易的事。你要時刻想著,在地球另一端的某個角落里,一個或一些毫無道德的人正在刺探你的系統(tǒng)漏洞,并利用它們竊取你最敏感的秘密。希望你不會成為這些網(wǎng)絡(luò)入侵者的下一個犧牲品。
3.1.2黑客案例3.1黑客莫里斯蠕蟲1988年11月2日下午5點(diǎn),互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。它們仿佛是網(wǎng)絡(luò)中的超級間諜,狡猾地不斷截取用戶口令等網(wǎng)絡(luò)中的“機(jī)密文件”,利用這些口令欺騙網(wǎng)絡(luò)中的“哨兵”,長驅(qū)直入互聯(lián)網(wǎng)中的用戶電腦。入侵得手,立即反客為主,并閃電般地自我復(fù)制,搶占地盤。用戶目瞪口呆地看著這些不請自來的神秘入侵者迅速擴(kuò)大戰(zhàn)果,充斥電腦內(nèi)存,使電腦莫名其妙地"死掉",只好急如星火地向管理人員求援,哪知,他們此時四面楚歌,也只能眼睜睜地看著網(wǎng)絡(luò)中電腦一批又一批地被病毒感染而"身亡"。不計其數(shù)的數(shù)據(jù)和資料毀于這一夜之間。造成一場損失近億美元的空前大劫難!
3.1.2黑客案例3.1黑客莫里斯的偉大目標(biāo)3.1黑客1972年,科幻小說家大衛(wèi)·杰羅德(DavidGerrold)首次使用“病毒”一詞來指有害的電腦代碼。80年代初,病毒開始困擾個人計算機(jī),1983年,弗雷德·科恩(FredCohen)第一個給出了電腦病毒的科學(xué)定義。但直到1987年,公眾才普遍感知這一問題。那一年,一起襲擊了賓夕法尼亞州勒海大學(xué)(LehighUniversity)的病毒事件引起了全美國的注意。一年后,病毒相繼成為《時代》和《商業(yè)周刊)的封面故事。它之所以惹人注目,是因為它帶有一種神秘感,并且與生物學(xué)上的病毒非常相像。計算機(jī)也會被“感染”,需要接種“疫苗”,這些都令普通人感到好奇和恐懼。很快人們就把電腦病毒與艾滋病毒相提并論。
莫里斯的偉大目標(biāo)3.1黑客一般人都認(rèn)為,所有的病毒都是有害的,都會損壞數(shù)據(jù)。但內(nèi)行人知道,實(shí)情并非如此。事實(shí)上,寫一個微妙而無害的程序,同時又使它有能力大規(guī)模擴(kuò)散。是一件比制造那些破壞性的病毒更有趣的事情。
一個看不見的軟件在由成千上萬臺計算機(jī)組成的電子宇宙中不斷向前推進(jìn),緩慢地、不為人覺察地擴(kuò)張它的疆土,任何想要摧毀它的人都無計可施,這一病毒由此獲得了永生。實(shí)現(xiàn)的步驟3.1黑客目標(biāo):每次感染以大網(wǎng)(局域網(wǎng))上的3臺機(jī)器
只在所有用戶都停止工作的時候運(yùn)行
繞開速度慢的機(jī)器
檢查主機(jī)表,尋找已知的網(wǎng)關(guān),然后找出該網(wǎng)的主機(jī)
偷偷進(jìn)入口令文件,破解口令,再重新運(yùn)行
實(shí)驗?zāi)繕?biāo)的手段3.1黑客第一、建立口令庫第二、發(fā)現(xiàn)ftp,sendmail,finger的漏洞。。病毒特征及難題3.1黑客首先,它必須能夠潛入網(wǎng)絡(luò)中的許多不同的機(jī)器,還得盡可能地不引人注目,以防系統(tǒng)管理員懷疑;其次,它立足之后,必須想法發(fā)現(xiàn)是否已有自己的其他拷貝在機(jī)器上,它應(yīng)該有自我控制能力,對每臺機(jī)器上的拷貝數(shù)進(jìn)行限制。但有一個難題仍未解決:如何在不停止病毒運(yùn)行的前提下控制其蔓延。
難題的解決辦法設(shè)想3.1黑客病毒將從他發(fā)現(xiàn)的Unix漏洞中進(jìn)入計算機(jī),然后在系統(tǒng)中尋找有無其他拷貝。如果有的話,兩個程序?qū)⒒ハ唷敖徽劇?,在理想情況下,其中之一將自動停止運(yùn)行,從而達(dá)到控制病毒繁殖的目的。但如果有人發(fā)現(xiàn)了侵入的病毒,那又該怎么辦呢?程序員可以寫作一個欺騙性的程序,使病毒誤以為在這臺機(jī)器上已有自己的拷貝了,這種“疫苗”程序?qū)⒂行У刈柚共《镜臄U(kuò)散。用什么辦法擊敗“疫苗”程序呢?
隨機(jī)性來對付疫苗程序3.1黑客當(dāng)病毒進(jìn)入計算機(jī)并發(fā)現(xiàn)另一個拷貝時,它可以扔一個“電子硬幣”決定誰生誰死。
羅伯特還想出了另外一種保證病毒生存的辦法。病毒在N次嘗試進(jìn)入一臺計算機(jī)后,給自己下一個永不停止運(yùn)行的指令。
莫里斯蠕蟲的缺陷3.1黑客新到來的病毒與已經(jīng)在機(jī)器中立足的病毒難以對話,因為后者并沒有足夠的耐心聽前者說話,從而承認(rèn)它的到來。因而,每個病毒都認(rèn)為自己是唯一的,羅伯特設(shè)計的用以促使病毒拷貝自我毀滅的“電子硬幣”投擲,根本就不會發(fā)生。這是該病毒的致命傷。由于這個缺陷,不要說作者把復(fù)制參數(shù)誤設(shè)為1/7,就是設(shè)定為1/10,也是無濟(jì)干事。
辯護(hù)律師3.1黑客1.動機(jī)
簡單地瀏覽一下他的程序就會發(fā)現(xiàn),他把蠕蟲設(shè)計得盡量無害,只是要它在盡可能多的電腦內(nèi)落腳。他還在程序內(nèi)設(shè)置了限制其繁殖的辦法。在吉多博尼看來,這是一張原告可能獲勝的王牌。他認(rèn)為司法部用以起訴的條文針對的是蓄意破壞的行為,因而對他的客戶不適用。策略:把羅伯特描述成一個用心良好的無辜者,在一次無害的試驗中犯了錯誤
辯護(hù)律師3.1黑客2.優(yōu)點(diǎn)
吉多博尼然后列舉了羅伯特的優(yōu)點(diǎn)。在哈佛的時候,他暑期拼命工作,對計算機(jī)安全事業(yè)作出了重要貢獻(xiàn)。他撰寫了一些論文,提醒電腦社區(qū)填補(bǔ)安全漏洞
辯護(hù)律師3.1黑客3.提出證據(jù)
吉多博尼說,他將提出證據(jù),表明羅伯特有意限制了病毒的范圍,想讓它緩慢地、不為人知地滲入網(wǎng)絡(luò)?!暗噶艘粋€錯誤,一個關(guān)鍵的錯誤,”最終,“他提醒電腦社區(qū),系統(tǒng)并不安全,大家需要采取措施,改進(jìn)這種狀況。這使許多人臉上無光。但一個簡單的錯誤,加上丟臉和一點(diǎn)不方便,并不等于重罪?!?/p>
辯護(hù)律師———精彩片段3.1黑客“由于蠕蟲,sendmail程序是不是比原來完善了一些?”吉多博尼問。
“是,”波斯蒂克回答。
“它當(dāng)然也更安全了?!?/p>
“是?!辈ㄋ沟倏宋⑿ζ饋怼?/p>
“對finger來說情況也是如此,對嗎?”
“對”
“既然FTP和finger程序允許用戶在一臺電腦上運(yùn)行另一臺電腦的程序,那么它們是不是給了用戶使用其他任何能運(yùn)行這種程序的電腦的權(quán)利?波斯蒂克搖搖頭,似乎頭一次想到這個問題。”“是。”他回答。那么,從某種意義上說,只要一臺電腦能運(yùn)行FTP和finger,羅伯特·莫里斯就有權(quán)使用,對嗎?波斯蒂克同意:羅伯特的確擁有使用權(quán)。辯護(hù)律師———精彩片段3.1黑客“由于蠕蟲,sendmail程序是不是比原來完善了一些?”吉多博尼問。
“是,”波斯蒂克回答。
“它當(dāng)然也更安全了?!?/p>
“是?!辈ㄋ沟倏宋⑿ζ饋?。
“對finger來說情況也是如此,對嗎?”
“對”
“既然FTP和finger程序允許用戶在一臺電腦上運(yùn)行另一臺電腦的程序,那么它們是不是給了用戶使用其他任何能運(yùn)行這種程序的電腦的權(quán)利?波斯蒂克搖搖頭,似乎頭一次想到這個問題。”“是。”他回答。那么,從某種意義上說,只要一臺電腦能運(yùn)行FTP和finger,羅伯特·莫里斯就有權(quán)使用,對嗎?波斯蒂克同意:羅伯特的確擁有使用權(quán)??卦V方3.1黑客1.犯罪事實(shí)
“1988年11月2日,被告羅伯特·泰潘·莫里斯向全美各地的計算機(jī)發(fā)動了一場大規(guī)模的攻擊?!薄斑@一攻擊是蓄意的、經(jīng)過周密準(zhǔn)備和算計的,”拉什說。“它試圖突破盡可能多的不同的計算機(jī),以達(dá)到法律所稱的‘未經(jīng)授權(quán)進(jìn)入’的目的?!?/p>
(
美國國會于1984年立法,首次把未經(jīng)授權(quán)進(jìn)入電腦系統(tǒng)的行為認(rèn)定為犯罪。1986年又通過了該法的修正案,認(rèn)定對未經(jīng)授權(quán)進(jìn)入后獲得的信息進(jìn)行修改、銷毀或公開的行為也屬犯罪。)
控訴方3.1黑客2.像電腦罪犯一樣思考
距開庭只有兩個星期的時候,起訴方突然提出要在法庭上播放羅伯特在國家安全局的報告錄像,而且只播放“如何不被抓住”那段。這個哈佛學(xué)生是否像一個電腦罪犯一樣思考?仔細(xì)地觀看錄像片就會發(fā)現(xiàn),在某些地方,這位22歲的青年確實(shí)好像鉆到了電腦罪犯的腦子里。并且,他清楚地知道,一些行為是違法的。在討論“如何不被抓住”時,羅伯特開門見山他說:“每一個黑客心里想的都是:怎樣避免進(jìn)班房?!苯酉聛恚_列了電腦犯罪分子用以掩蓋罪證的一些巧妙方法:隱藏入侵路徑、盜用他人、遠(yuǎn)離作案現(xiàn)場,等等。羅伯特經(jīng)常站在黑客的立場上。“如果你有遠(yuǎn)見的話,”他談起如何騙過監(jiān)視裝置,“你就應(yīng)該在干壞事前占滿監(jiān)視程序所需要的磁盤空間,這樣,當(dāng)程序想記錄某些東西時,會發(fā)現(xiàn)磁盤已滿,監(jiān)視功能失效??卦V方3.1黑客3.尋找證人
學(xué)院實(shí)驗室和其他政府機(jī)構(gòu)的證人。他們一個接一個地走上證人席,講述了大同小異的故事——怎樣發(fā)現(xiàn)病毒的侵襲、怎樣切斷與網(wǎng)絡(luò)的聯(lián)系、怎樣爬到桌子底下拔出電腦的插頭,造成的損失有多大。判決結(jié)構(gòu)3.1黑客陪審團(tuán)在經(jīng)過長時間討論后,12人說了同樣的話:“有罪?!?/p>
感嘆:本來,這位計算機(jī)科學(xué)家和他年輕的兒子可以作為美國最優(yōu)秀、最聰明的精英中的一分子,安靜地享受美好的生活。而現(xiàn)在,父親鮑勃,神秘莫測的國家安全局頭號專家,被暴露于大庭廣眾之下;兒子莫里斯,一度似乎注定要成為全國最耀眼的軟件明星之一,成了一個罪犯。
3.1黑客3.1.2黑客案例3.1黑客3.1.4黑客攻擊的一般過程
預(yù)攻擊內(nèi)容:獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的:收集信息,進(jìn)行進(jìn)一步攻擊決策攻擊內(nèi)容:獲得遠(yuǎn)程權(quán)限進(jìn)入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進(jìn)一步擴(kuò)展權(quán)限進(jìn)行實(shí)質(zhì)性操作目的:進(jìn)行攻擊,獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容:植入后門木馬刪除日志修補(bǔ)明顯的漏洞進(jìn)一步滲透擴(kuò)展目的:消除痕跡,長期維持一定的權(quán)限3.1黑客3.1.4黑客攻擊的一般過程3.2IP欺騙與防范3.2.1IP欺騙原理IP欺騙是利用不同主機(jī)間的信任關(guān)系而進(jìn)行欺騙攻擊的一種手段,這種信任關(guān)系是以IP地址驗證為基礎(chǔ)的。
信任關(guān)系
在Unix領(lǐng)域中,信任關(guān)系能夠很容易得到。假如在主機(jī)A和B上各有一個帳戶,在使用當(dāng)中會發(fā)現(xiàn),在主機(jī)A上使用時需要輸入在A上的相應(yīng)帳戶,在主機(jī)B上使用時必須輸入在B上的帳戶,主機(jī)A和B把你當(dāng)作兩個互不相關(guān)的用戶,顯然有些不便。為了減少這種不便,可以在主機(jī)A和主機(jī)B中建立起兩個帳戶的相互信任關(guān)系。這樣,A和B主機(jī)就可以毫無阻礙地使用任何以r*開頭的遠(yuǎn)程登錄對方如:rlogin,rcall,rsh等,而無口令驗證的煩惱。這些命令將允許以地址為基礎(chǔ)的驗證,或者允許或者拒絕以IP地址為基礎(chǔ)的存取服務(wù)這里的信任關(guān)系是基于IP地址的。3.2IP欺騙與防范3.2.1IP欺騙原理
RloginRlogin是一個簡單的客戶/服務(wù)器程序,它利用TCP傳輸。Rlogin允許用戶從一臺主機(jī)登錄到另一臺主機(jī)上,并且,如果目標(biāo)主機(jī)信任它,Rlogin將允許在不應(yīng)答口令的情況下使用目標(biāo)主機(jī)上的資源。安全驗證完全是基于源主機(jī)的IP地址。因此,根據(jù)以上所舉的例子,我們能利用Rlogin來從B遠(yuǎn)程登錄到A,而且不會被提示輸入口令。3.2IP欺騙與防范3.2.1IP欺騙原理IP欺騙
IP欺騙由若干步驟組成,簡要地描述如下:先做以下假定:首先,目標(biāo)主機(jī)已經(jīng)選定。其次,信任模式已被發(fā)現(xiàn),并找到了一個被目標(biāo)主機(jī)信任的主機(jī)。黑客為了進(jìn)行IP欺騙,進(jìn)行以下工作:使得被信任的主機(jī)喪失工作能力,同時采樣目標(biāo)主機(jī)發(fā)出的TCP序列號,猜測出它的數(shù)據(jù)序列號。然后,偽裝成被信任的主機(jī),同時建立起與目標(biāo)主機(jī)基于地址驗證的應(yīng)用連接。如果成功,黑客可以使用一種簡單的命令放置一個系統(tǒng)后門,以進(jìn)行非授權(quán)操作。3.2IP欺騙與防范3.2.1IP欺騙的防范1.改變間隔2.禁止基于IP地址的驗證3.使用包過濾技術(shù)4.使用加密方法5.使用隨機(jī)化的初始序列號3.3Sniffer探測與防范3.3.1Snifer原理數(shù)據(jù)報嗅探是一種協(xié)議分析軟件,它利用網(wǎng)卡的混雜模式來監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)報。Sniffer可以用于嗅探網(wǎng)絡(luò)中的明文口令信息:TelnetFTPSNMPPOP數(shù)據(jù)報嗅探工具必須與監(jiān)聽對象在同一個沖突域里面。3.3Sniffer探測與防范3.3.1Snifer原理在一個共享式網(wǎng)絡(luò),可以聽取所有的流量是一把雙刃劍管理員可以用來監(jiān)聽網(wǎng)絡(luò)的流量情況開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況黑客可以用來刺探網(wǎng)絡(luò)情報目前有大量商業(yè)的、免費(fèi)的監(jiān)聽工具,俗稱嗅探器(sniffer)3.3Sniffer探測與防范3.3.1Snifer原理3.3Sniffer探測與防范3.3.1Snifer原理3.3Sniffer探測與防范Snifer的防范主要的防范手段:認(rèn)證—使用強(qiáng)認(rèn)證方式,例如使用一次性口令。反嗅探工具—利用反嗅探工具來發(fā)現(xiàn)網(wǎng)絡(luò)中的嗅探行為。加密—這是最為有效的防范手段。
3.3Sniffer探測與防范Windows下常用的抓包工具Buttsniffer簡單,不需要安裝,可以在WindowsNT下運(yùn)行,適合于后臺運(yùn)作NetMon友好的圖形界面,分析功能強(qiáng)NetXRay界面友好,統(tǒng)計分析功能強(qiáng),過濾器功能基于WinPcap的工具WinDump(tcpdump的Windows版本)Analyzer3.4端口掃描技術(shù)掃描技術(shù)主機(jī)掃描:確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá),同時盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),主要利用ICMP數(shù)據(jù)包端口掃描:發(fā)現(xiàn)遠(yuǎn)程主機(jī)開放的端口以及服務(wù)操作系統(tǒng)指紋掃描:根據(jù)協(xié)議棧判別操作系統(tǒng)3.4端口掃描技術(shù)傳統(tǒng)的主機(jī)掃描ICMPEchoRequest和EchoReply通過簡單地向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest數(shù)據(jù)包,并等待回復(fù)的ICMPEchoReply包,如PingICMPSweep(PingSweep)使用ICMPEchoRequest一次探測多個目標(biāo)主機(jī)。通常這種探測包會并行發(fā)送,以提高探測效率BroadcastICMP設(shè)置ICMP請求包的目標(biāo)地址為廣播地址或網(wǎng)絡(luò)地址,則可以探測廣播域或整個網(wǎng)絡(luò)范圍內(nèi)的主機(jī),這種情況只適合于UNIX/Linux系統(tǒng)3.4端口掃描技術(shù)主機(jī)掃描對策使用可以檢測并記錄ICMP掃描的工具使用入侵檢測系統(tǒng)在防火墻或路由器中設(shè)置允許進(jìn)出自己網(wǎng)絡(luò)的ICMP分組類型3.4端口掃描技術(shù)端口掃描技術(shù)開放掃描(OpenScanning)需要掃描方通過三次握手過程與目標(biāo)主機(jī)建立完整的TCP連接可靠性高,產(chǎn)生大量審計數(shù)據(jù),容易被發(fā)現(xiàn)半開放掃描(Half-OpenScanning)掃描方不需要打開一個完全的TCP連接秘密掃描(StealthScanning)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分
隱蔽性好,但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時容易被丟棄從而產(chǎn)生錯誤的探測信息
3.4端口掃描技術(shù)TCPConnect()掃描原理掃描器調(diào)用socket的connect()函數(shù)發(fā)起一個正常的連接如果端口是打開的,則連接成功否則,連接失敗優(yōu)點(diǎn)簡單,不需要特殊的權(quán)限缺點(diǎn)服務(wù)器可以記錄下客戶的連接行為,如果同一個客戶輪流對每一個端口發(fā)起連接,則一定是在掃描3.4端口掃描技術(shù)TCPSYN掃描原理向目標(biāo)主機(jī)的特定端口發(fā)送一個SYN包如果應(yīng)答包為RST包,則說明該端口是關(guān)閉的否則,會收到一個SYN|ACK包。于是,發(fā)送一個RST,停止建立連接優(yōu)點(diǎn)很少有系統(tǒng)會記錄這樣的行為缺點(diǎn)在UNIX平臺上,需要root權(quán)限才可以建立這樣的SYN數(shù)據(jù)包3.4端口掃描技術(shù)TCPFin掃描原理掃描器發(fā)送一個FIN數(shù)據(jù)包如果端口關(guān)閉的,則遠(yuǎn)程主機(jī)丟棄該包,并送回一個RST包否則的話,遠(yuǎn)程主機(jī)丟棄該包,不回送優(yōu)點(diǎn)不是TCP建立連接的過程,所以比較隱蔽缺點(diǎn)與SYN掃描類似,也需要構(gòu)造專門的數(shù)據(jù)包在Windows平臺無效,總是發(fā)送RST包3.4端口掃描技術(shù)端口掃描對策設(shè)置防火墻過濾規(guī)則,阻止對端口的掃描例如可以設(shè)置檢測SYN掃描而忽略FIN掃描使用入侵檢測系統(tǒng)禁止所有不必要的服務(wù),把自己的暴露程度降到最低Unix或linux中,在/etc/inetd.conf中注釋掉不必要的服務(wù),并在系統(tǒng)啟動腳本中禁止其他不必要的服務(wù)Windows中通過Services禁止敏感服務(wù),如IIS3.4端口掃描技術(shù)端口掃描工具3.5特洛伊木馬什么是特洛伊木馬定義:特洛伊木馬是一個程序,它駐留在目標(biāo)計算機(jī)里。在目標(biāo)計算機(jī)系統(tǒng)啟動的時候,特洛伊木馬自動啟動。然后在某一端口進(jìn)行偵聽。如果在該端口受到數(shù)據(jù),對這些數(shù)據(jù)進(jìn)行識別,然后按識別后的命令,在目標(biāo)計算機(jī)上執(zhí)行一些操作。
因此,木馬應(yīng)該符合三個條件:
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 五年級下冊人教版語文教學(xué)計劃
- 公司搬遷計劃規(guī)劃方案規(guī)劃方案
- 農(nóng)林牧漁業(yè)商業(yè)計劃書
- 2025年幼兒教師學(xué)年工作計劃模板
- 綜合二教學(xué)計劃
- 公司計劃生育目標(biāo)責(zé)任書公司目標(biāo)責(zé)任書
- 《復(fù)合材料講》課件
- 《比昂的精神分析》課件
- 合活種植合作協(xié)議書合同模板
- 工程項目合同管理自測
- 幼兒游戲的課件
- 2025年重慶貨運(yùn)從業(yè)資格證考試題及答案詳解
- 三三制薪酬設(shè)計
- 【MOOC】中國近現(xiàn)代史綱要-武漢理工大學(xué) 中國大學(xué)慕課MOOC答案
- 【新教材】蘇教版小學(xué)科學(xué)三年級上冊:全冊單元試卷、期中期末總復(fù)習(xí)試卷
- 屋面板的拆除與更換施工方案
- GB/Z 44047-2024漂浮式海上風(fēng)力發(fā)電機(jī)組設(shè)計要求
- 2024版統(tǒng)編版一年級道德與法治上冊《2 我向國旗敬個禮》教學(xué)課件
- 國開(內(nèi)蒙古)2024年《漢語中的中國文化》形成性考核1-3終結(jié)性考核答案
- 司法臨床司法鑒定培訓(xùn)
- 第47屆世界技能大賽江蘇省選拔賽計算機(jī)軟件測試項目樣題
評論
0/150
提交評論