黑客攻防与检测技术课件.ppt

1、第第4 4章章 黑客攻防与检测技术黑客攻防与检测技术 4.2 4.2 黑客攻击的目的及步骤黑客攻击的目的及步骤 2 4.3 4.3 常见黑客攻防技术常见黑客攻防技术 3 4.4 4.4 防范攻击的措施和步骤防范攻击的措施和步骤 4 4.1 4.1 网络黑客概述网络黑客概述 1 4.5 4.5 入侵检测概述入侵检测概述 5 4.6 4.6 Sniffer检测实验检测实验 6 4.7 4.7 本章小结本章小结 7目目 录录 黑客基础知识及防范攻击的措施和方法黑客基础知识及防范攻击的措施和方法 常见黑客常见黑客攻防技术及应用攻防技术及应用 常用入侵检测技术及防御系统概念、功能与应用常用入侵检测技术及

2、防御系统概念、功能与应用 Sniffer检测实验检测实验 掌握掌握黑客基础知识、入侵检测黑客基础知识、入侵检测概念概念 熟悉黑客常用的攻击方法及攻击步骤熟悉黑客常用的攻击方法及攻击步骤 掌握掌握黑客攻防措施和方法黑客攻防措施和方法 掌握掌握入侵检测系统功能、工作原理、特点及应用入侵检测系统功能、工作原理、特点及应用 了解了解入侵检测与防范技术的发展趋势入侵检测与防范技术的发展趋势4.1 网络黑客概述网络黑客概述4.1.1 4.1.1 黑客概念及类型黑客概念及类型 n 1.1. 黑客及其演变黑客及其演变 “黑客黑客”是英文是英文“Hacker”的译音，源于的译音，源于Hack，本意为，本意为“干

3、干了一件非常漂亮的事了一件非常漂亮的事”。原指一群专业技能超群、聪明能干、精。原指一群专业技能超群、聪明能干、精力旺盛、对计算机信息系统进行非授权访问的人。后来成为专门力旺盛、对计算机信息系统进行非授权访问的人。后来成为专门利用计算机进行破坏或入侵他人计算机系统的人的利用计算机进行破坏或入侵他人计算机系统的人的代言词代言词。 “骇客骇客”是英文是英文“Cacker”的译音，意为的译音，意为“破译者和搞破破译者和搞破坏的人坏的人”。是指那些在计算机技术上有一定特长，非法闯入远程。是指那些在计算机技术上有一定特长，非法闯入远程计算机及其网络系统，获取和破坏重要数据，或为私利而制造麻计算机及其网络系

4、统，获取和破坏重要数据，或为私利而制造麻烦的具有恶意行为特征的人。烦的具有恶意行为特征的人。骇客的出现玷污了黑客，使人们把骇客的出现玷污了黑客，使人们把“黑客黑客”和和“骇客骇客”混为一体。混为一体。 n 2. 2. 中国黑客的形成与发展中国黑客的形成与发展 4.1 网络黑客概述网络黑客概述 1994年年4月月20日日，中国国家计算与网络设施工程中国国家计算与网络设施工程（The National Computing and Networking Facility of China ，NCFC)通过美国通过美国Sprint公司，公司，连入连入Internet的的64K国际专线并国际专线并开通开

5、通，实现了与，实现了与Internet的全功能连接。中国成为直接接入的全功能连接。中国成为直接接入Internet的国家，互联网终于面向中国人民开放了。从那时起，的国家，互联网终于面向中国人民开放了。从那时起，中国黑客中国黑客开始了开始了原始萌动原始萌动。 时至今日，国内黑客中却是为了谋取暴利而散发木马等时至今日，国内黑客中却是为了谋取暴利而散发木马等行为的行为的“毒客毒客”占主流。中国互联网形成了惊人完善的黑客占主流。中国互联网形成了惊人完善的黑客病毒产业链，制造木马、传播木马、盗窃账户信息、第三方病毒产业链，制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱，分工明确。从反传统反商业、

6、带着理想主平台销赃、洗钱，分工明确。从反传统反商业、带着理想主义和政治热情的红客占主流到近年非法牟利的毒客横行，这义和政治热情的红客占主流到近年非法牟利的毒客横行，这是一个是一个无奈的变化无奈的变化。 n 3. 3. 黑客的类型黑客的类型 4.1 网络黑客概述网络黑客概述 把黑客大分为把黑客大分为“正正”、“邪邪”两类两类，也就是我，也就是我们经常听说的们经常听说的“黑客黑客”和和“红客红客”。 把黑客把黑客分红客、破坏者和间谍三种类型分红客、破坏者和间谍三种类型，红客红客是指是指“国家利益至高无上国家利益至高无上”的、正义的的、正义的“网络大网络大侠侠”；破坏者破坏者也称也称“骇客骇客”；间

7、谍间谍是指是指“利益至上利益至上”的计算机情报的计算机情报“盗猎者盗猎者”。4.1 网络黑客概述网络黑客概述4.1.2 4.1.2 黑客概念及类型黑客概念及类型 n 1.1. 黑客攻击的主要原因黑客攻击的主要原因 漏洞漏洞 漏洞又称缺陷。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可使攻击者能够在未授权的情况下访问或破坏系统。造成漏洞的原因分析如下：1）计算机网络协议本身的缺陷。 2）系统开发的缺陷。3）系统配置不当。4）系统安全管理中的问题。 n 2. 2. 黑客入侵通道黑客入侵通道 端口端口 4.1 网络黑客概述网络黑客概述 计算机通过端口实现与外部通信的连接，黑客攻

8、击是将计算机通过端口实现与外部通信的连接，黑客攻击是将系统和网络设置中的各种端口作为系统和网络设置中的各种端口作为入侵通道入侵通道。这里所指的端口。这里所指的端口是逻辑意义上的端口，是是逻辑意义上的端口，是指网络中面向连接服务和无连接服务指网络中面向连接服务和无连接服务的通信协议端口（的通信协议端口（Protocol portProtocol port），），是一种抽象的软件结构，是一种抽象的软件结构，包括一些数据结构和包括一些数据结构和I/OI/O（输入（输入/ /输出）缓冲区。输出）缓冲区。端口号：端口号：端口通过端口号标记（只有整数），范围：端口通过端口号标记（只有整数），范围： 065

9、535（216-1） 目的端口号：目的端口号：用来通知传输层协议将数据送给哪个软件来处用来通知传输层协议将数据送给哪个软件来处 理。理。源端口号：源端口号：一般是由操作系统自己动态生成的一个从一般是由操作系统自己动态生成的一个从1024 65535的号码。的号码。 n 3. 3. 端口分类端口分类4.1 网络黑客概述网络黑客概述 按端口号分布可分为三段：按端口号分布可分为三段：1）公认端口）公认端口 ( 01023 )，又称常用端口，为已经公认定义或，又称常用端口，为已经公认定义或 为将要公认定义的软件保留的。这些端口紧密绑定一些服务为将要公认定义的软件保留的。这些端口紧密绑定一些服务且明确表

10、示了某种服务协议。如且明确表示了某种服务协议。如80端口表示端口表示HTTP协议。协议。2）注册端口）注册端口 ( 102449151 )，又称保留端口，又称保留端口, 这些端口松散这些端口松散绑定一些服务。绑定一些服务。3）动态）动态/私有端口（私有端口（4915265535)。理论上不应为服务器分。理论上不应为服务器分配这些端口。配这些端口。 按协议类型将端口划分为按协议类型将端口划分为TCP和和UDP端口：端口：1）TCP端口是指传输控制协议端口，需要在客户端和服务器端口是指传输控制协议端口，需要在客户端和服务器之间建立连接，提供可靠的数据传输。之间建立连接，提供可靠的数据传输。如如Te

11、lnet服务的服务的23端口。端口。2）UDP端口是指用户数据包协议端口，不需要在客户端和服端口是指用户数据包协议端口，不需要在客户端和服务器之间建立连接。常见的端口有务器之间建立连接。常见的端口有DNS服务的服务的53端口。端口。 4.1 网络黑客概述网络黑客概述4.2.1 4.2.1 黑客攻击的目的黑客攻击的目的4.2 黑客攻击的目的及步骤黑客攻击的目的及步骤黑客行为黑客行为：盗窃资料；攻击网站；进行恶作剧；告知漏洞；：盗窃资料；攻击网站；进行恶作剧；告知漏洞；获取目标主机系统的非法访问权等。获取目标主机系统的非法访问权等。黑客攻击目的黑客攻击目的：其一，为了得到其一，为了得到物质物质利益

12、。物质利益是指获取金钱和财物；利益。物质利益是指获取金钱和财物；其二，为了满足其二，为了满足精神精神需求。精神需求是指满足个人心理欲望需求。精神需求是指满足个人心理欲望4.2.2 4.2.2 黑客攻击的步骤黑客攻击的步骤 黑客攻击步骤变幻莫测，但其整个攻击过程有一定规律，黑客攻击步骤变幻莫测，但其整个攻击过程有一定规律，一般可分为一般可分为“攻击五部曲攻击五部曲”。4.2 黑客攻击的目的及步骤黑客攻击的目的及步骤隐藏隐藏IP踩点扫描踩点扫描黑客利用程序的漏洞进入系统后安黑客利用程序的漏洞进入系统后安装后门程序，以便日后可以不被察装后门程序，以便日后可以不被察觉地再次进入系统。觉地再次进入系统。

13、就是隐藏黑客的就是隐藏黑客的位置位置，以免被发现。，以免被发现。主要是通过各种途径对所要攻击的目标进主要是通过各种途径对所要攻击的目标进行多方了解，确保信息准确，确定攻击时行多方了解，确保信息准确，确定攻击时间和地点。间和地点。获得特权获得特权种植后门种植后门隐身退出隐身退出即获得管理权限。即获得管理权限。 黑客一旦确认自己是安全的，就开始黑客一旦确认自己是安全的，就开始侵袭网络，为了避免被发现，黑客在侵袭网络，为了避免被发现，黑客在入侵完毕后会及时清除登录日志以入侵完毕后会及时清除登录日志以 及其他相关日志，隐身退出。及其他相关日志，隐身退出。1. 黑客攻击的目的与步骤？黑客攻击的目的与步骤

14、？2. 黑客找到攻击目标后黑客找到攻击目标后,会继续那几步的攻击操作？会继续那几步的攻击操作？3. 黑客的行为有哪些？黑客的行为有哪些？ 4.2 黑客攻击的目的及步骤黑客攻击的目的及步骤4.3.1 4.3.1 端口扫描攻防端口扫描攻防 端口扫描端口扫描是管理员发现系统的安全漏洞，加强系统的安全是管理员发现系统的安全漏洞，加强系统的安全管理，提高系统安全性能的有效方法。但是，端口扫描也成为管理，提高系统安全性能的有效方法。但是，端口扫描也成为黑客发现获得主机信息的一种最佳手段。黑客发现获得主机信息的一种最佳手段。n 1.1.端口扫描及扫描器端口扫描及扫描器 （1 1）端口扫描。端口扫描。使用端口

15、扫描工具（程序）检查目标主机在哪使用端口扫描工具（程序）检查目标主机在哪些端口可以建立些端口可以建立TCP TCP 连接，如果可以建立连接，则说明主机在连接，如果可以建立连接，则说明主机在那个那个端口被监听端口被监听。（2 2）扫描器扫描器。扫描器也称扫描工具或扫描软件，是一种自动检测。扫描器也称扫描工具或扫描软件，是一种自动检测远程或本地主机安全性弱点的程序。远程或本地主机安全性弱点的程序。4.3 常用的黑客攻防技术常用的黑客攻防技术4.3.1 4.3.1 端口扫描攻防端口扫描攻防n 2. 2. 端口扫描方式端口扫描方式 端口扫描的方式有端口扫描的方式有手工命令行方式和扫描器扫描方式手工命令

16、行方式和扫描器扫描方式。 手工扫描手工扫描，需要熟悉各种命令，对命令执行后的输出进行分，需要熟悉各种命令，对命令执行后的输出进行分析。如，析。如，PingPing命令、命令、TracertTracert命令、命令、rusersrusers和和fingerfinger命令（后两命令（后两个是个是UnixUnix命令）。命令）。 扫描器扫描扫描器扫描，许多扫描软件都有分析数据的功能。如，许多扫描软件都有分析数据的功能。如，SuperScanSuperScan、Angry IP ScannerAngry IP Scanner、X-ScanX-Scan、X-ScanX-Scan、SAINT SAINT

17、 (Security Administrators Integrated Network Tool(Security Administrators Integrated Network Tool，安全，安全管理员集成网络工具管理员集成网络工具) )、 NmapNmap、TCP connect TCP connect 、TCP SYN TCP SYN 等等4.3 常用的黑客攻防技术常用的黑客攻防技术4.3.1 4.3.1 端口扫描攻防端口扫描攻防n 3 3端口扫描攻击端口扫描攻击 端口扫描攻击采用探测技术端口扫描攻击采用探测技术，攻击者可将它用于寻找他们，攻击者可将它用于寻找他们能够成功攻击的服

18、务。连接在网络中的所有计算机都会运行许能够成功攻击的服务。连接在网络中的所有计算机都会运行许多使用多使用 TCP TCP 或或 UDP UDP 端口的服务，而所提供的已定义端口达端口的服务，而所提供的已定义端口达60006000个以上。通常，端口扫描不会造成直接的损失。然而，端个以上。通常，端口扫描不会造成直接的损失。然而，端口扫描可让攻击者找到可用于发动各种攻击的端口。口扫描可让攻击者找到可用于发动各种攻击的端口。4.3 常用的黑客攻防技术常用的黑客攻防技术4.3.1 4.3.1 端口扫描攻防端口扫描攻防n 4.4.端口扫描的防范对策端口扫描的防范对策 端口扫描的防范又称系统端口扫描的防范又

19、称系统“加固加固”。网络的关键之处使用。网络的关键之处使用防火墙对来源不明的有害数据进行过滤可以有效减轻端口扫描防火墙对来源不明的有害数据进行过滤可以有效减轻端口扫描攻击防范端口扫描的主要攻击防范端口扫描的主要方法方法有两种：有两种： (1) (1) 关闭闲置及有潜在危险端口关闭闲置及有潜在危险端口 方式一：方式一：定向关闭指定服务的端口。计算机的一些网络服务会定向关闭指定服务的端口。计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了。端口也会被关闭了。4.3 常用的黑客攻防技术常用的黑客攻防技术操

20、作方法与步骤操作方法与步骤：n 1 1）打开）打开“控制面板控制面板”窗口。窗口。 鼠标单击鼠标单击“状态栏状态栏”左边左边“开始开始”按钮，弹出开始菜单。在开始按钮，弹出开始菜单。在开始菜单上选择菜单上选择“设置设置” “” “控制面板控制面板”。n 2 2）打开）打开“服务服务”窗口。窗口。 在在“控制面板控制面板”窗口上，双击窗口上，双击“管理工具管理工具”。在。在“管理工具管理工具”窗窗口上，双击口上，双击“服务服务”。在。在“服务服务”窗口上的右侧，选择窗口上的右侧，选择DNSDNS。n 3 3）关闭关闭DNSDNS服务服务 在在“DNS Client DNS Client 的属性的

21、属性”窗口。启动类型项：选择窗口。启动类型项：选择“自动自动”。服务状态项：选择服务状态项：选择 。选择。选择 。在服务选项中选择关闭掉。在服务选项中选择关闭掉计算机的一些没有使用的服务，如计算机的一些没有使用的服务，如FTPFTP服务、服务、DNSDNS服务、服务、IIS AdminIIS Admin服服务等，它们对应的端口也被停用了。务等，它们对应的端口也被停用了。4.3 常用的黑客攻防技术常用的黑客攻防技术关闭关闭DNS端口服务端口服务4.3.1 4.3.1 端口扫描攻防端口扫描攻防 方式二：方式二：只开放允许端口。可以利用系统的只开放允许端口。可以利用系统的“TCP/IPTCP/IP筛

22、选筛选”功功能实现，设置的时候，能实现，设置的时候，“只允许只允许”系统的一些基本网络通讯需系统的一些基本网络通讯需要的端口即可。要的端口即可。 (2) (2) 屏蔽出现扫描症状的端口屏蔽出现扫描症状的端口 检查各端口，有端口扫描症状时，立即屏蔽该端口。检查各端口，有端口扫描症状时，立即屏蔽该端口。4.3 常用的黑客攻防技术常用的黑客攻防技术 4.3.2 4.3.2 网络监听攻防网络监听攻防 网络监听的检测网络监听的检测 在在Linux Linux 下对下对嗅探攻击检测方法嗅探攻击检测方法：一般只要检查网卡是否：一般只要检查网卡是否处于混杂模式就可以了；而在处于混杂模式就可以了；而在Windo

23、ws Windows 平台中，可以执行平台中，可以执行“C C：WindowsWindowsDrwatson.exeDrwatson.exe”程序检查一下是否有嗅探程序在运程序检查一下是否有嗅探程序在运行即可。行即可。 另外，还有另外，还有几种方法几种方法也可以帮助也可以帮助检测或预防网络监听检测或预防网络监听。如。如对于怀疑运行监听程序的机器，可以使用正确的对于怀疑运行监听程序的机器，可以使用正确的IPIP地址和错误地址和错误的物理地址的物理地址pingping，运行监听程序的机器会有响应；从逻辑或物，运行监听程序的机器会有响应；从逻辑或物理上对网络分段；运用理上对网络分段；运用VLAN(V

24、LAN(虚拟局域网虚拟局域网) )技术，将以太网通信技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵等。变为点到点通信，可以防止大部分基于网络监听的入侵等。使使用软件监听用软件监听。如：。如：SnifferSniffer软件等软件等 4.3 常用的黑客攻防技术常用的黑客攻防技术 4.3.3 4.3.3 密码破解攻防密码破解攻防n 1. 1. 密码破解攻击的方法密码破解攻击的方法 （1 1）通过网络监听非法得到用户口令）通过网络监听非法得到用户口令 （2 2）利用）利用WebWeb页面欺骗页面欺骗 （3 3）强行破解用户口令）强行破解用户口令 （4 4）密码分析的攻击）密码分析

25、的攻击 （5) 5) 放置木马程序放置木马程序 4.3 常用的黑客攻防技术常用的黑客攻防技术4.3.3 4.3.3 密码破解攻防密码破解攻防n 2. 2. 密码破解防范对策密码破解防范对策 通常保持密码安全应注意如下通常保持密码安全应注意如下要点：要点： 1) 1) 不要将密码写下来，以免遗失；不要将密码写下来，以免遗失； 2) 2) 不要将密码保存在电脑文件中；不要将密码保存在电脑文件中； 3) 3) 不要选取显而易见的信息做密码；不要选取显而易见的信息做密码； 4) 4) 不要让他人知道；不要让他人知道； 5) 5) 不要在不同系统中使用同一密码；不要在不同系统中使用同一密码； 6) 6)

26、 在输入密码时应确认身边无人或其他人在在输入密码时应确认身边无人或其他人在1 1米线外看不到米线外看不到 输入密码的地方；输入密码的地方； 7) 7) 定期改变密码，至少定期改变密码，至少25 25 个月改变一次。个月改变一次。4.3 常用的黑客攻防技术常用的黑客攻防技术4.3.4 4.3.4 特洛伊木马攻防特洛伊木马攻防n 1 1特洛伊木马特洛伊木马 特洛伊木马特洛伊木马（Trojan horseTrojan horse），简称），简称“木马木马”。黑客借用。黑客借用古希腊神话古希腊神话木马屠城记木马屠城记其名，将其名，将隐藏在正常程序中的一段隐藏在正常程序中的一段恶意代码恶意代码称作特洛伊

27、木马。称作特洛伊木马。 木马系统组成：木马系统组成：由硬件部分、软件部分和具体连接部分组由硬件部分、软件部分和具体连接部分组成。一般的成。一般的木马程序都包括客户端和服务端两个程序木马程序都包括客户端和服务端两个程序，客户端，客户端用于远程控制植入木马，服务器端即是木马程序。用于远程控制植入木马，服务器端即是木马程序。 木马特点：木马特点：伪装成一个实用工具、可爱的游戏，诱使用户伪装成一个实用工具、可爱的游戏，诱使用户将其安装在将其安装在PCPC或者服务器上；侵入用户电脑并进行破坏；没有或者服务器上；侵入用户电脑并进行破坏；没有复制能力；一般木马执行文件非常小，如果把木马捆绑到其他复制能力；一

28、般木马执行文件非常小，如果把木马捆绑到其他正常文件上，你很难发现；木马可以和最新病毒、漏洞利用工正常文件上，你很难发现；木马可以和最新病毒、漏洞利用工具一起使用，几乎可以躲过各大杀毒软件。具一起使用，几乎可以躲过各大杀毒软件。 4.3 常用的黑客攻防技术常用的黑客攻防技术4.3.4 4.3.4 特洛伊木马攻防特洛伊木马攻防n 2 2特洛伊木马攻击过程特洛伊木马攻击过程 木马攻击的基本过程分为木马攻击的基本过程分为6 6个步骤：个步骤： 4.3 常用的黑客攻防技术常用的黑客攻防技术配置配置木马传播木马传播木马运行木马运行木马泄露信息泄露信息建立连接建立连接远程控制远程控制4.3.4 4.3.4

29、特洛伊木马攻防特洛伊木马攻防3. 3. 特洛伊木马程序的防范对策特洛伊木马程序的防范对策 提高防范意识提高防范意识，在打开或下载文件之前，一定要确认文件，在打开或下载文件之前，一定要确认文件的来源是否可靠；阅读的来源是否可靠；阅读readme.txtreadme.txt，并注意，并注意readme.exereadme.exe；使用；使用杀毒软件；杀毒软件；发现有不正常现象出现立即挂断发现有不正常现象出现立即挂断；监测系统文件和监测系统文件和注册表的变化；备份文件和注册表。注册表的变化；备份文件和注册表。 特别需要注意特别需要注意不要轻易运行来历不明软件或从网上下载的软不要轻易运行来历不明软件或

30、从网上下载的软件（即使通过了一般反病毒软件的检查）；不要轻易相信熟人件（即使通过了一般反病毒软件的检查）；不要轻易相信熟人发来的发来的E-MailE-Mail不会有黑客程序；不要在聊天室内公开自己的不会有黑客程序；不要在聊天室内公开自己的E-E-Mail Mail 地址，对来历不明的地址，对来历不明的E-Mail E-Mail 应立即清除；不要随便下载应立即清除；不要随便下载软件，特别是不可靠的软件，特别是不可靠的FTP FTP 站点；不要将重要密码和资料存放站点；不要将重要密码和资料存放在上网的计算机中，以免被破坏或窃取。在上网的计算机中，以免被破坏或窃取。4.3 常用的黑客攻防技术常用的黑

31、客攻防技术4.3.5 4.3.5 缓冲区溢出攻防网络监听攻防缓冲区溢出攻防网络监听攻防n 1. 1. 缓冲区溢出缓冲区溢出 缓冲区溢出缓冲区溢出是指当计算机向缓冲区内填充数据时，超过了是指当计算机向缓冲区内填充数据时，超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。缓冲区本身的容量，溢出的数据覆盖在合法数据上。 缓冲区溢出的原理缓冲区溢出的原理。简单地说，缓冲区溢出的原因是由于。简单地说，缓冲区溢出的原因是由于字符串处理函数字符串处理函数( (gets,strcpygets,strcpy等等) )没有对数组的越界加以监视没有对数组的越界加以监视和限制，结果覆盖了老的堆栈数据。和限制，结果覆

32、盖了老的堆栈数据。n 2. 2. 缓冲区溢出攻击缓冲区溢出攻击 n 3 3缓冲区溢出攻击的防范方法缓冲区溢出攻击的防范方法 1 1） 编写程序中应该时刻注意的问题。编写程序中应该时刻注意的问题。 2 2） 改进编译器。改进编译器。 3 3） 利用人工智能的方法检查输入字段。利用人工智能的方法检查输入字段。 4 4） 程序指针完整性检查。程序指针完整性检查。 4.3 常用的黑客攻防技术常用的黑客攻防技术4.3.6 4.3.6 拒绝服务攻防拒绝服务攻防n 1. 1. 拒绝服务攻击拒绝服务攻击 拒绝服务拒绝服务是指通过反复向某个是指通过反复向某个WebWeb站点的设备发送过多的站点的设备发送过多的信

33、息请求信息请求, ,堵塞该站点上的系统，导致无法完成应有的网络服务。堵塞该站点上的系统，导致无法完成应有的网络服务。 拒绝服务按入侵方式可分拒绝服务按入侵方式可分：资源消耗型、配置修改型、物：资源消耗型、配置修改型、物理破坏型以及服务利用型。理破坏型以及服务利用型。 拒绝服务攻击拒绝服务攻击（Denial of ServiceDenial of Service，简称，简称DoSDoS），是指黑），是指黑客利用合理的服务请求来占用过多的服务资源，使合法用户无客利用合理的服务请求来占用过多的服务资源，使合法用户无法得到服务的响应，直至瘫痪而停止提供正常的网络服务的攻法得到服务的响应，直至瘫痪而停止

34、提供正常的网络服务的攻击方式。击方式。4.3 常用的黑客攻防技术常用的黑客攻防技术n 4.3.6 4.3.6 拒绝服务攻防拒绝服务攻防 分布式拒绝服务攻击分布式拒绝服务攻击（Distributed Denial of ServiceDistributed Denial of Service，DDoSDDoS) )，是在传统的，是在传统的DoSDoS攻击基础之上产生的一类攻击方式，是攻击基础之上产生的一类攻击方式，是指借助于客户指借助于客户/ /服务器技术，将多个计算机联合起来作为攻击平服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动台，对一个或多个目标发动DoSDoS攻击。攻

35、击。 DDoSDDoS攻击的类型攻击的类型。带宽型攻击和应用型攻击。带宽型攻击和应用型攻击。 DDoSDDoS攻击的方式攻击的方式。通过使网络过载来干扰甚至阻断正常的。通过使网络过载来干扰甚至阻断正常的网络通讯；通过向服务器提交大量请求，使服务器超负荷；阻网络通讯；通过向服务器提交大量请求，使服务器超负荷；阻断某一用户访问服务器；阻断某服务与特定系统或个人的通讯断某一用户访问服务器；阻断某服务与特定系统或个人的通讯4.3 常用的黑客攻防技术常用的黑客攻防技术4.3.6 4.3.6 拒绝服务攻防拒绝服务攻防n 2. 2. 常见的拒绝服务攻击常见的拒绝服务攻击 1 1）FloodingFloodi

36、ng攻击。攻击。 2 2） SYN floodSYN flood攻击。攻击。 3 3）LAND attackLAND attack攻击。攻击。 4 4） ICMP floods ICMP floods 是通过向设置不当的路由器发送广播信息占是通过向设置不当的路由器发送广播信息占 用系统资源的做法。用系统资源的做法。 5 5）Application level floods Application level floods 主要是针对应用软件层的。主要是针对应用软件层的。4.3 常用的黑客攻防技术常用的黑客攻防技术4.3.6 4.3.6 拒绝服务攻防拒绝服务攻防n 3. 3. 拒绝服务攻击检测与

37、防范拒绝服务攻击检测与防范 检测方法检测方法：根据异常情况分析和使用：根据异常情况分析和使用DDoSDDoS检测工具检测工具 防范策略防范策略： 1) 1)尽早发现系统存在的攻击漏洞，及时安装系统补丁程序；尽早发现系统存在的攻击漏洞，及时安装系统补丁程序； 2) 2)在网络管理方面，要经常检查系统的设置环境，禁止那些不必在网络管理方面，要经常检查系统的设置环境，禁止那些不必 要的网络服务；要的网络服务； 3) 3)利用网络安全设备（如防火墙）等来加固网络的安全性；利用网络安全设备（如防火墙）等来加固网络的安全性； 4) 4)比较好的防御措施就是与网络服务提供商协调工作，帮助用户比较好的防御措施

38、就是与网络服务提供商协调工作，帮助用户 实现路由的访问控制和对带宽总量的限制；实现路由的访问控制和对带宽总量的限制； 5) 5)当发现主机正在遭受当发现主机正在遭受DDoSDDoS攻击时，应当启动应付策略，尽快追攻击时，应当启动应付策略，尽快追 踪攻击包，并及时联系踪攻击包，并及时联系ISPISP和有关应急组织，分析受影响的系统，和有关应急组织，分析受影响的系统， 确定涉及的其他节点，从而阻挡已知攻击节点的流量；确定涉及的其他节点，从而阻挡已知攻击节点的流量； 6) 6)对于潜在的对于潜在的DDoSDDoS攻击，应当及时清除，以免留下后患。攻击，应当及时清除，以免留下后患。4.3 常用的黑客攻

39、防技术常用的黑客攻防技术4.3.7 4.3.7 其他攻防技术其他攻防技术n 1. WWW1. WWW的欺骗技术的欺骗技术 WWWWWW的欺骗的欺骗是指黑客篡改访问站点页面内容或将用户要浏览的网是指黑客篡改访问站点页面内容或将用户要浏览的网页页URLURL改写为指向黑客自己的服务器。改写为指向黑客自己的服务器。 “ “网络钓鱼网络钓鱼”（PhishingPhishing）是指利用欺骗性很强、伪造的）是指利用欺骗性很强、伪造的WebWeb站点站点来进行诈骗活动，目的在于钓取用户的账户资料，假冒受害者进行欺来进行诈骗活动，目的在于钓取用户的账户资料，假冒受害者进行欺诈性金融交易，从而获得经济利益。可

40、以被用作网络钓鱼的攻击技术诈性金融交易，从而获得经济利益。可以被用作网络钓鱼的攻击技术有：有：URLURL编码结合钓鱼技术，编码结合钓鱼技术，WebWeb漏洞结合钓鱼技术，伪造漏洞结合钓鱼技术，伪造EmailEmail地址地址结合钓鱼技术，浏览器漏洞结合钓鱼技术。结合钓鱼技术，浏览器漏洞结合钓鱼技术。 防范攻击可以分为两个方面防范攻击可以分为两个方面：其一，对钓鱼攻击利用的资源进行：其一，对钓鱼攻击利用的资源进行限制。如限制。如WebWeb漏洞是漏洞是Web Web 服务提供商可以直接修补的；邮件服务商可服务提供商可以直接修补的；邮件服务商可以使用域名反向解析邮件发送服务器提醒用户是否收到匿名

41、邮件以使用域名反向解析邮件发送服务器提醒用户是否收到匿名邮件. .；其二，及时修补漏洞。如浏览器漏洞，大家就必须打上补丁，防御攻其二，及时修补漏洞。如浏览器漏洞，大家就必须打上补丁，防御攻击者直接使用客户端软件漏洞发起钓鱼攻击。各安全软件厂商也可以击者直接使用客户端软件漏洞发起钓鱼攻击。各安全软件厂商也可以提供修补客户端软件漏洞的功能。提供修补客户端软件漏洞的功能。 4.3 常用的黑客攻防技术常用的黑客攻防技术4.3.7 4.3.7 其他攻防技术其他攻防技术n 2. 2. 电子邮件攻击电子邮件攻击 电子邮件欺骗是电子邮件欺骗是攻击方式之一，攻击方式之一，攻击者佯称自己为系统管攻击者佯称自己为系

42、统管理员，给用户发送邮件要求用户修改口令或在貌似正常的附件理员，给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序，这类欺骗只要用户提高警惕，一中加载病毒或其他木马程序，这类欺骗只要用户提高警惕，一般危害性不是太大。般危害性不是太大。 防范电子邮件攻击的方法：防范电子邮件攻击的方法： 1) 1) 解除电子邮件炸弹。解除电子邮件炸弹。 2) 2) 拒收某用户信件方法。拒收某用户信件方法。n 3 3通过一个节点来攻击其他节点通过一个节点来攻击其他节点 n 4 4利用缺省帐号进行攻击利用缺省帐号进行攻击 4.3 常用的黑客攻防技术常用的黑客攻防技术4.4.1 4.4.1 防范攻

43、击的策略防范攻击的策略 在在主观上重视主观上重视，客观上客观上积极采取积极采取措施措施。制定规章制度和管。制定规章制度和管理制度，普及网络安全教育，使用户需要掌握网络安全知识和理制度，普及网络安全教育，使用户需要掌握网络安全知识和有关的安全策略。有关的安全策略。在管理上在管理上应当明确安全对象，设置强有力的应当明确安全对象，设置强有力的安全保障体系，按照安全等级保护条例对网络实施保护与监督。安全保障体系，按照安全等级保护条例对网络实施保护与监督。认真制定有针对性的防攻措施，采用科学的方法和行之有效的认真制定有针对性的防攻措施，采用科学的方法和行之有效的技术手段，有的放矢，在网络中层层设防，使每

44、一层都成为一技术手段，有的放矢，在网络中层层设防，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。道关卡，从而让攻击者无隙可钻、无计可使。在技术上在技术上要注重要注重研发新方法，同时还必须做到未雨稠缪，预防为主，将重要的研发新方法，同时还必须做到未雨稠缪，预防为主，将重要的数据备份（如主机系统日志）、关闭不用的主机服务端口、终数据备份（如主机系统日志）、关闭不用的主机服务端口、终止可疑进程和避免使用危险进程、查询防火墙日志详细记录、止可疑进程和避免使用危险进程、查询防火墙日志详细记录、修改防火墙安全策略等等。修改防火墙安全策略等等。 4.4 防范攻击的策略和措施防范攻击的策略和措施4.

45、4.2 4.4.2 防范攻击的措施防范攻击的措施1 1）提高安全防范意识。）提高安全防范意识。2 2）及时下载、安装系统补丁程序。）及时下载、安装系统补丁程序。3 3）尽量避免从）尽量避免从InternetInternet下载不知名的软件、游戏程序。下载不知名的软件、游戏程序。4 4）不要随意打开来历不明的电子邮件及文件，不要随便运行不熟悉的人给用户）不要随意打开来历不明的电子邮件及文件，不要随便运行不熟悉的人给用户的程序。的程序。5 5）不随便运行黑客程序，不少这类程序运行时会发出用户的个人信息。）不随便运行黑客程序，不少这类程序运行时会发出用户的个人信息。6 6）在支持）在支持HTMLHT

46、ML的的BBSBBS上，如发现提交警告，先看源代码，可能是骗取密码的陷阱上，如发现提交警告，先看源代码，可能是骗取密码的陷阱7 7）设置安全密码。使用字母数字混排，常用的密码设置不同，重要密码最好经）设置安全密码。使用字母数字混排，常用的密码设置不同，重要密码最好经常更换。常更换。8 8）使用防病毒、防黑客等防火墙软件，以阻档外部网络的侵入。）使用防病毒、防黑客等防火墙软件，以阻档外部网络的侵入。 9 9）隐藏自已的）隐藏自已的IPIP地址。地址。 10) 10) 切实做好端口防范。安装端口监视程序，另一方面将不用的一些端口关闭。切实做好端口防范。安装端口监视程序，另一方面将不用的一些端口关闭

47、。11) 11) 加强加强IEIE浏览器对网页的安全防护。浏览器对网页的安全防护。12) 12) 上网前备份注册表。上网前备份注册表。1313）加强管理。）加强管理。 4.4 防范攻击的策略和措施防范攻击的策略和措施4.4 防范攻击的策略和措施防范攻击的策略和措施个人用户应通过对个人用户应通过对IE属性的设置来提高属性的设置来提高IE访问网页的安全性方法如下：访问网页的安全性方法如下： 提高提高IE安全级别。安全级别。操作方法：操作方法：打开打开IE“工具工具”“Internet选选项项”“安全安全”“Internet区域区域”，将安全级别设置为，将安全级别设置为“高高”。 禁止禁止Activ

48、eX控件和控件和JavaApplets的运行。的运行。操作方法：操作方法：打开打开IE “工工具具”“Intemet选项选项” “安全安全”“自定义级别自定义级别”，在，在“安全设置安全设置”对话框中找到对话框中找到ActiveX控件相关的设置，将其设为控件相关的设置，将其设为“禁用禁用”或或“提示提示”即可。即可。 禁止禁止Cookie。由于许多网站利用。由于许多网站利用Cookie记录网上客户的浏览行为及记录网上客户的浏览行为及电子邮件地址等信息，为确保个人隐私信息的安全，可将其禁用。电子邮件地址等信息，为确保个人隐私信息的安全，可将其禁用。操操作方法：作方法：在任一网站上选择在任一网站上

49、选择 “工具工具” “Internet选项选项” “安全安全” “自定义级别自定义级别”，在，在“安全设置安全设置”对话框中找到对话框中找到Cookie相关的设置，相关的设置，将其设为将其设为“禁用禁用”或或“提示提示”即可。即可。 将黑客网站列入黑名单，将其拒之门外。将黑客网站列入黑名单，将其拒之门外。操作方法：操作方法：在任一网站上选在任一网站上选择择“工具工具”“Internet选项选项” “内容内容”“分级审查分级审查”“启启用用”，在，在“分级审查分级审查”对话框的对话框的“许可站点许可站点”下输入黑客网站地址，下输入黑客网站地址，并设为并设为“从不从不”即可。即可。 及时安装补丁程

50、序，以强壮及时安装补丁程序，以强壮IE。应及时利用微软网站提供的补丁程序。应及时利用微软网站提供的补丁程序来消除这些漏洞，提高来消除这些漏洞，提高IE自身的防侵入能力。自身的防侵入能力。4.4 防范攻击的策略和措施防范攻击的策略和措施1 1. . 为什么要防范黑客攻击？如何防范黑客攻击？为什么要防范黑客攻击？如何防范黑客攻击？2. 2. 简述网络安全防范攻击的基本措施有哪些？简述网络安全防范攻击的基本措施有哪些？3. 3. 说出几种通过对说出几种通过对IEIE属性的设置来提高属性的设置来提高IEIE访问网页的安全性访问网页的安全性 的具体措施？的具体措施？4.5.1 4.5.1 入侵检测的概念