計算機安全加密第九章.ppt

1、1,本章主要內(nèi)容： 什么是黑客 黑客的攻擊手段 電腦黑客的防治對策。 本章重點:電腦黑客的防治對策 本章難點:黑客攻擊利用的技術(shù)漏洞,2,一、黑客是誰 “黑客”，英文名稱為Hacker，是動詞Hack（砍、劈）的擬人化，意為“劈，砍”，被進一步引申為“干了一件非常漂亮的工作”。黑客一詞，原指熱心于計算機技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計人員。但到了今天，黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的人。黑客是基于特定目的在未經(jīng)允許的情況下擅自進入他人計算機系統(tǒng)的人。,第一節(jié)黑客是誰,3,在電腦尚未普及的年代里，闖入系統(tǒng)并不被認為是一件違法或不道德的事情，相反是光榮的，至多被認為

2、是一種學習過程中的無意過失，不會受到任何處罰或指責。 隨著時間的推移，后來有的黑客開始由好奇向惡意破壞轉(zhuǎn)變。一度在公眾中具有褒義、甚至光榮含義的“黑客”開始使人們談之色變。1988年，德國漢諾威大學計算機系學生佩爾，通過自己的個人計算機同美國軍方和軍工承包商的計算機聯(lián)網(wǎng)，收集到美國大量的國防秘密，其中包括“星球大戰(zhàn)”計劃、北美防空司令部、核武器和通信衛(wèi)星等方面的情報。,4,二、黑客的特征 隨著計算機網(wǎng)絡(luò)滲入各個領(lǐng)域，尤其是因特網(wǎng)的迅速發(fā)展，使計算機信息系統(tǒng)受黑客侵擾的可能性越來越大，黑客的行為方式也越來越多樣化。 .黑客行為的本身特征 一是遠離現(xiàn)場，既可能跨地區(qū) ，又可能跨國。 二是時間短，在

3、幾分、幾秒、甚至不到秒的時間內(nèi)即能進行一次侵入，完成一次攻擊，實施一次破壞。 三是隱蔽性強，不論采取什么手段，反映在網(wǎng)絡(luò)和系統(tǒng)中都是稍縱即逝的電子脈沖，看不見、摸不著、抓不到。 四是技術(shù)性強，侵入的手段技術(shù)特征明顯，用傳統(tǒng)的方法難以防范和查證。盡管許多計算機網(wǎng)絡(luò)都安裝了防火墻，信息的存儲和傳輸都采取了加密技術(shù)，但網(wǎng)絡(luò)遭受黑客攻擊的事件卻不見減少，信息泄露事件仍屢見不鮮。,5,黑客行為的后果特征 一是時空跨度大。今天實施的侵入可能間隔一段時間才產(chǎn)生危害后果，如在系統(tǒng)中植入特洛伊木馬或邏輯炸彈等，規(guī)定在一定的條件下觸發(fā)；在甲地實施的侵入，可能在乙地產(chǎn)生危害后果。 二是波及面廣。一個黑客行為往往能使

4、一臺服務(wù)器、一個計算機中心、一個局域網(wǎng)、一個遠程網(wǎng)、甚至是整個因特網(wǎng)癱瘓。目前，黑客攻擊已涉及政治、軍事、經(jīng)濟、文化及社會生活的各個方面。一個企業(yè)、一個行業(yè)、一個部門不能正常運轉(zhuǎn)，經(jīng)常會產(chǎn)生連鎖反應(yīng)，直至造成整個社會運轉(zhuǎn)不靈。 三是危害程度大。黑客的惡意破壞，不但能使客戶辛苦多年積累起來的數(shù)據(jù)毀于一旦，而且也可使整個企業(yè)、整個行業(yè)、甚至整個國家不能正常運轉(zhuǎn)，在戰(zhàn)時不戰(zhàn)而敗，重演沒有硝煙的“珍珠港事件”。,6,三、黑客的主體趨勢 .非專業(yè)化趨勢 在計算機技術(shù)應(yīng)用初期，由于計算機的復雜性和應(yīng)用的高難度性，比如，操作語言是非常難的機器代碼，操作程序非常復雜，如果不是這方面的專家，電腦擺在你面前也無法

5、操作，因而，一般人很難成為“黑客”。,7,20世紀80年代以后，隨著計算機的廣泛應(yīng)用及操作的日益簡便，政府、金融、經(jīng)濟等部門都開始使用計算機，操作計算機的人雖然并非具有專業(yè)化知識，但也有可能成為黑客。20世紀90年代以來，隨著計算機網(wǎng)絡(luò)、特別是因特網(wǎng)的飛速發(fā)展，計算機開始進入社會的各個領(lǐng)域和普通家庭，與此同時，計算機操作越來越方便，人們的受教育程度越來越高，因而對計算機的操作越來越不需要特別的知識和技能，一般人都有可能成為黑客。 普通的計算機愛好者，只要擁有一臺電腦、一部調(diào)制解調(diào)器和一條通信線路，就可以上網(wǎng)。網(wǎng)上不但有大量有用的信息，也有數(shù)不勝數(shù)的有害信息，甚至還有黑客學校、黑客教材。,8,2

6、.低齡化趨勢。隨著因特網(wǎng)的發(fā)展，“黑客”活動日益猖獗，據(jù)我國公安機關(guān)掌握的情況，“黑客”多為青少年，多為好奇或滿足表現(xiàn)欲，一般無特殊犯罪動機。 3.定罪量刑處罰的少,9,黑 客 之所以 頻頻 得手 ，主 要有 兩 個原 因， 一是 系統(tǒng)漏 洞多 ，二 是 黑客攻 擊手 段多 并越 來越 精明。 一、 黑客攻擊 利用的 技術(shù)漏 洞 1.操作系統(tǒng)的漏洞 (1)操作系統(tǒng)的體系結(jié)構(gòu)造成操作系統(tǒng)本身的不安全性，這 是計算機系統(tǒng)不安全的根本原因。操作系統(tǒng)的程序是可以動態(tài)連接的，包括I/O的驅(qū)動程序與服務(wù)系統(tǒng)，都可以用打補丁的方式進行動態(tài)連接。如許多操作系統(tǒng)的版本升級開發(fā)都是采用打補丁的方式進行的。廠商可以

7、利用這種方法修補自己的漏洞，“黑客”也可以利用這種手段侵入系統(tǒng)實施破壞。一個靠滲透與打補丁開發(fā)的操作系統(tǒng)是不可能從根本上解決安全問題的。此外，操作系統(tǒng)的動態(tài)連接環(huán)境也有利于計算機病毒的傳播。,第二節(jié)電腦黑客的攻擊手段,10,(2)操作系統(tǒng)支持在網(wǎng)絡(luò)上傳輸文件，包括可以執(zhí)行的文件映象，即在網(wǎng)絡(luò)上加載程序，為黑客遠程安裝邏輯炸彈或特洛伊木馬提供了可能。 (3)操作系統(tǒng)不安全的另一個因素在于它可以創(chuàng)建進程，甚至支持在網(wǎng)絡(luò)的節(jié)點上進行遠程進程的創(chuàng)建與激活，被創(chuàng)建的進程可以繼續(xù)繼承創(chuàng)建進程的權(quán)力，為在遠端服務(wù)器上安裝“間諜”軟件創(chuàng)造了條件。 (4)操作系統(tǒng)通常都提供守護程序，這種軟件實質(zhì)上是一些 系統(tǒng)進

8、程，在UNIX以及WINDOWS NT操作系統(tǒng)上具有與操作系統(tǒng)核心層軟件同等的權(quán)利，它們總在等待一些條件的出現(xiàn)。這樣的軟件都是“黑客”可以利用的。,11,(5)操作系統(tǒng)提供遠程調(diào)用服務(wù)，為黑客遠程作案提供方便。 (6)操作系統(tǒng)安排的無口令入口是為系統(tǒng)開發(fā)人員提供的便捷入口，但它也是黑客的通道。 2.計算機網(wǎng)絡(luò)的漏洞 因特網(wǎng)運行需要眾多的協(xié)議，而眾多協(xié)議的本身就包含許多不安全因素，存在許多漏洞。很多人都知道，1988年一個叫羅伯特.莫里斯的人用語言編寫了一個根據(jù)搜索來的用戶名字猜測機器密碼口令的程序，結(jié)果自1988年11月開始在網(wǎng)絡(luò)上傳播以來，幾乎每年都給因特網(wǎng)系統(tǒng)用戶造成上億美元的損失。 黑客

9、通常采用序列預測（如Source Porting）或者使用遠程訪問（RPC）進行直接掃描等方法對防火墻進行攻擊。,12,3.數(shù)據(jù)庫的漏洞 數(shù)據(jù)庫的安全必須與操作系統(tǒng)的安全配套，例如，數(shù)據(jù)庫的安全級別是B2級，那么操作系統(tǒng)的安全級別也應(yīng)當是B2級。由于數(shù)據(jù)庫的安全管理同樣建立在分級管理的概念之上，因此數(shù)據(jù)庫的安全也是脆弱的。 4.應(yīng)用系統(tǒng)的漏洞 路由器錯誤的路由配置、隱蔽的調(diào)制解調(diào)器、缺省的路由配置等，這些都可以成為黑客成功攻擊的途徑。 防火墻它的出發(fā)點是防止外部黑客的攻擊，防外不防內(nèi)。此外，防火墻也不是堅不可破的，據(jù)美國有關(guān)部門調(diào)查，所有的防火墻都不同程度地被黑客攻擊過。,13,二、黑客攻擊的

10、目標 不論是善意的黑客還是惡意的黑客，實施攻擊都有一定的目 標，歸納起來有以下幾類： 獲取系統(tǒng)處理數(shù)據(jù)或口令文件 系統(tǒng)中存儲或傳輸?shù)臄?shù)據(jù)往往是黑客攻擊的主要目標。這類 數(shù)據(jù)包括兩方面內(nèi)容，一是系統(tǒng)處理的可調(diào)用的數(shù)據(jù)，二是系統(tǒng) 自身的指令和口令等。黑客登錄目標主機后，使用網(wǎng)絡(luò)監(jiān)聽一類 的程序即能輕而易舉地監(jiān)聽到所需的信息，也能獲取用戶口令文 件?？诹钍且粋€非常重要的數(shù)據(jù)，當黑客獲知口令后，便可順利 地登錄別的主機，或訪問有一定限制的信息資源。,14,獲取超級用戶權(quán)限 黑客們普遍都青睞超級用戶權(quán)限，因為有了它，可以完全隱藏自己的行蹤，在系統(tǒng)中設(shè)置一個后門，隨時修改資源配置，做任何自己想做的事。如在

11、系統(tǒng)中運行網(wǎng)絡(luò)監(jiān)聽程序，就必須取得這種權(quán)限。因此，在一個局域網(wǎng)或一個計算機系統(tǒng)中，只要掌握了主機的超級用戶權(quán)限，就可以控制整個網(wǎng)絡(luò)。 對系統(tǒng)的非法訪問 有許多系統(tǒng)是不允許其他用戶訪問的，因此要訪問該系統(tǒng)，首先必須以一定的非常行為來得到訪問權(quán)限。黑客的這種攻擊并不一定是要做什么，有時僅僅是為了瀏覽、尋找自己感興趣的東西。當然，有的黑客在獲得訪問權(quán)后，可能進行惡意破壞，如刪除、篡改文件等。,15,對系統(tǒng)的非法操作 有的系統(tǒng)是允許用戶訪問的，但不允許對系統(tǒng)進行非授權(quán)操作。黑客們?yōu)榱诉_到實施非法操作的目的，總是通過尋找系統(tǒng)設(shè)置的漏洞，或者用一些黑客工具等辦法，突破系統(tǒng)安全防線，對 系統(tǒng)實施非法操作。

12、破壞系統(tǒng)功能或數(shù)據(jù) 有的黑客侵入系統(tǒng)的目的是對系統(tǒng)功能進行修改、增加或干 擾，使系統(tǒng)不能正常工作，直到癱瘓；對系統(tǒng)中存儲或處理的數(shù) 據(jù)進行刪除、修改、增加，使數(shù)據(jù)失去真實性、可靠性，給用戶 造成很大損失。 泄露秘密信息 黑客入侵有時是為了獲取秘密信息。如果是黑客自己需要的 信息，他們因害怕直接取走會暴露自己的身份和地址，往往將秘 密信息和數(shù)據(jù)送到一個公開的站點，或利用電子郵件寄往一 個可以拿到的地方，以后再從這些地方取走，以隱藏自己。,16,三、黑客攻擊的步驟 1.尋找目標，收集信息 尋找目標是黑客實施攻擊的第一步，但除非攻擊者已有明確的目的和動機，在大多數(shù)情況下，選定目標實際上是一個比較盲目

13、的過程。有的通過窺視系統(tǒng)管理員的口令記錄，以發(fā)現(xiàn)容易侵入的目標，有的通過黑客工具在網(wǎng)上漫無目的地搜尋以捕捉目標，如攻擊者可能在主服務(wù)器上找到域名系統(tǒng)表，通過域名系統(tǒng)表確定要攻擊的機器名、因特網(wǎng)地址、機器類型等。當然，也有用戶將自己的口令等信息張貼在電腦旁，讓身旁的黑客毫不費力地獲取目標。,17,獲得初始的訪問權(quán)，進而設(shè)法獲得目標特權(quán)。 黑客攻擊信息網(wǎng)絡(luò)系統(tǒng)最初大多都是從攻擊網(wǎng)絡(luò)上某臺主機開始的。攻擊者要先進入某臺主機，設(shè)法獲得該主機的操作特權(quán)，這樣就在網(wǎng)絡(luò)上打開了一個缺口。 留下后門，攻擊其他系統(tǒng)，甚至整個網(wǎng)絡(luò)。 攻擊者為了達到目的，往往不是只攻擊網(wǎng)絡(luò)的一臺主機，而是要攻擊整個網(wǎng)絡(luò)，直到控制這

14、個網(wǎng)絡(luò)。,18,四、黑客攻擊的常用技術(shù)手段 1.竊聽,通過搭線、接受電磁波等非法手段竊取信息的行為； 2.偷閱，侵入系統(tǒng)內(nèi)部非法閱讀信息的行為； 3.冒名頂替，冒充合法使用者從事欺騙或其他犯罪活動； 4.借道，借用合法用戶的信道侵入系統(tǒng)內(nèi)部的行為； 5.數(shù)據(jù)欺騙，非法篡改輸入、輸出數(shù)據(jù)或輸入錯誤數(shù)據(jù)； 6.特洛伊木馬術(shù)，在計算機程序中隱藏作案所需要的計算機指令以實施犯罪的辦法；,19,7. 病毒，將病毒隱藏在可執(zhí)行程序或數(shù)據(jù)文件中，在一定條件下自動觸發(fā)的干擾或破壞計算機系統(tǒng)的程序； 8.意大利香腸術(shù)，采取不易察覺的手段逐步實施犯罪的方法，通常指金融系統(tǒng)中的犯罪嫌疑人采取截留四舍五入的利息尾數(shù)零

15、頭，轉(zhuǎn)移到一個虛設(shè)的賬號上，集少成多，實施盜竊的方法； 9.活動天窗，利用事先設(shè)置的查錯、修改時使用的指令實施犯罪； 10.邏輯炸彈，在操作系統(tǒng)中有意設(shè)置并插入某些程序的編碼，在特定時間、特定條件下自動激活執(zhí)行而產(chǎn)生破壞性的程序； 11數(shù)據(jù)泄露，轉(zhuǎn)移或竊取數(shù)據(jù)的手段；,20,12.數(shù)據(jù)欺騙，非法存取數(shù)據(jù)，如篡改輸入、輸出數(shù)據(jù)及輸入假數(shù)據(jù)，或偽造、冒充輸入文件，用事先準備好的假內(nèi)容替換原有的正常輸入內(nèi)容等； 13.超級沖殺,利用在特殊情況下使用的高級干預程序，實施破壞系統(tǒng)的犯罪活動; 14.拾垃圾，從廢棄的資料、磁帶、磁盤中搜尋具有潛在價值的數(shù)據(jù)和信息、密碼等； 15.寄生術(shù)，用某種方式緊跟享有

16、特權(quán)的用戶侵入系統(tǒng)，或者在系統(tǒng)中裝入“寄生蟲”程序； 16.瀏覽，采用合法手段搜尋不允許訪問的文件； 17.偽造，用事先準備好的數(shù)據(jù)或文件替換正常輸入、輸出 18.異步攻擊，同時進行兩個以上的攻擊，希望至少有一個會在其它攻擊受到處理時獲得成功； 19.提取和重用，提取是指搜取殘余信息，試圖非法獲取數(shù)據(jù)的行為；重用是指重復使用某種數(shù)據(jù)的做法。,21,五、黑客攻擊的類型 電腦黑客攻擊手段形形色色，可根據(jù)有關(guān)分類法分為不同的攻擊類型。如從犯罪學的角度分，就有危害國家安全型、破壞社會經(jīng)濟秩序型、侵財型、侵害民主權(quán)利型、侵害知識財產(chǎn)型等等；本篇主要從技術(shù)角度，將黑客攻擊劃分為六大類型。,22,1.拒絕服

17、務(wù)型 拒絕服務(wù)型主要是指一個用戶占據(jù)了大量的共享資源，而使其他用戶沒有剩余資源可用。攻擊對象主要是域名服務(wù)器、路由器以及其他網(wǎng)絡(luò)服務(wù)，降低處理器、磁盤空間、打印機、調(diào)制解調(diào)器等資源的可用性，使被攻擊者無法提供正常的服務(wù)，嚴重的可以使整個網(wǎng)絡(luò)癱瘓。 拒絕服務(wù)型可分兩類：第一種攻擊是試圖破壞或毀壞系統(tǒng)資源，使資源無法可用。第二種攻擊是過載一些系統(tǒng)服務(wù)，或者消耗一些系統(tǒng)資源，如填滿一個磁盤分區(qū)，使用戶和系統(tǒng)程序無法再生成新的文件。 拒絕服務(wù)型的攻擊手段還有很多，如磁盤攻擊、樹結(jié)構(gòu)攻擊、交換空間攻擊、消息流、信號接地等。,23,系統(tǒng)過載型 系統(tǒng)過載型是指一個用戶產(chǎn)生許多進程，消耗大量的時間，以此減少其

18、他用戶可用的處理時間，使系統(tǒng)響應(yīng)速度緩慢，不能滿足正常工作需求。,24,服務(wù)過載型 當大量的服務(wù)請求發(fā)向一臺計算機中的服務(wù)守護進程時，就會發(fā)生服務(wù)過載。在分時機制中，這些潮水般的請求，使得計算機忙碌地處理這些不斷到來的服務(wù)請求，以至于無法處理許多常規(guī)的任務(wù)。同時，許多新到來的請求因為沒有空間來存放而被迫丟棄。如果攻擊的是一個基于協(xié)議的服務(wù)，那么這些請求的包還會被重發(fā)，結(jié)果更加重了網(wǎng)絡(luò)的負擔。這種攻擊也可能是一個攻擊者為了掩蓋自己的痕跡，阻止對攻擊者的記錄和登錄請求的系統(tǒng)記賬審計。這種攻擊會阻止系統(tǒng)提供的一種特定服務(wù)。 系統(tǒng)管理員可以使用一個網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種類型的攻擊，甚至發(fā)現(xiàn)攻擊的來源。,25,掃描攻擊型 許多網(wǎng)絡(luò)入侵是從掃描開始的。利用掃描工具能找山日標主機上各種各樣的漏洞，并借此漏洞入侵系統(tǒng)。掃描工具的應(yīng)用最初是為了檢查網(wǎng)絡(luò)安全的，但由于它的兩面性，落在黑客手中即很容易變?yōu)楣羰侄?，因而，?yīng)加強管理。,26,IP地址欺騙型 欺騙術(shù)就是通過地址的偽裝使得某臺主機能夠偽裝成另外一臺主機的技術(shù)，而這臺主機往往具有某種特權(quán)或者被另外的主機所信任。例如主機信任主機，攻擊者主機設(shè)法冒充主機的地址去獲取主機的信任，從而獲取非授權(quán)訪