第2-章网络攻击与防范课件.ppt

1、第 2 章网络攻击与防范 第 2 章网络攻击与防范 2.1黑客概述黑客概述2.2常见的网络攻击常见的网络攻击2.3攻击步骤攻击步骤2.4网络攻击的实施网络攻击的实施2.5留后门与清痕迹的防范方法留后门与清痕迹的防范方法2.1黑客概述 l2.1.1 黑客的由来黑客的由来l1.黑客的发展史黑客的发展史l2.黑客的含义黑客的含义l所谓黑客，是指利用通信软件，通过网络非法进入他人所谓黑客，是指利用通信软件，通过网络非法进入他人计算机系统，获取或篡改各种数据，危害信息安全的入计算机系统，获取或篡改各种数据，危害信息安全的入侵者或入侵行为。侵者或入侵行为。l在日本在日本新黑客词典新黑客词典中，对黑客的定义

2、是中，对黑客的定义是“喜欢探索喜欢探索软件程序奥秘，并从中增长了其个人才干的人。他们不软件程序奥秘，并从中增长了其个人才干的人。他们不像绝大多数电脑使用者那样，只规规矩矩地了解别人指像绝大多数电脑使用者那样，只规规矩矩地了解别人指定了解的狭小部分知识。定了解的狭小部分知识。”l在在中华人民共和国公共安全行业标准中华人民共和国公共安全行业标准（GA 163-1997）中，黑客被定义为）中，黑客被定义为“对计算机系统进行非授权访对计算机系统进行非授权访问的人员问的人员”。这也是目前大多数人对黑客的理解。这也是目前大多数人对黑客的理解。2.1.2 黑客文化 l黑客们充分利用互联网跟那些兴趣相同的人成

3、为朋友和伙伴。在互联网还不是很普及的时候，黑客们通过访问他们自己建立的留言板系统（BBS），来与其他黑客联系。黑客可以将BBS放在自己的计算机上，让人们登陆系统去发送消息、共享信息、玩游戏以及下载程序。2.1.3 知名黑客知名黑客l史蒂夫乔布斯和斯蒂芬沃兹尼克，苹果公司创始人，都是黑客。他们早期的一些活动很像一些恶意黑客的行为。但是，乔布斯和沃兹尼亚克超越了恶意行为，开始专心开发计算机硬件和软件。他们的努力开辟了个人电脑的时代。l李纳斯托沃兹，Linux之父，一名正直的著名黑客。在黑客圈里，Linux系统非常受欢迎。托沃兹促进了开放源代码软件观念的形成，向人们证明了只要你向所有人公开信息，你就

4、可以收获不可思议的财富。l理查德斯托尔曼，人称RMS，是自由软件运动，GNU计划和自由软件基金的创始人。他促进了免费软件和自由访问计算机的理念的推广。同时他与一些组织（比如免费软件基金会）一起合作，反对诸如数字版权管理这样的政策。l乔纳森詹姆斯，他在16岁的时候成为了首位被监禁的青少年黑客，并因此恶名远播。他曾经入侵过很多著名组织的站点，包括美国国防部下设的国防威胁降低局（DTRA）。通过此次黑客行动，他捕获了用户名和密码，并浏览高度机密的电子邮件。詹姆斯还曾入侵过美国宇航局的计算机，并窃走价值170万美元的软件。据美国司法部长称，他所窃取的软件主要用于维护国际空间站的物理环境，包括对湿度和温

5、度的控制。当詹姆斯的入侵行为被发现后，美国宇航局被迫关闭了整个计算机系统，并因此花费了纳税人的4.1万美元。目前，詹姆斯正计划成立一家计算机安全公司。2.1.3 知名黑客知名黑客l凯文米特尼克，在上世纪八十年代他可谓是恶名昭著，17岁的时候他潜入了北美空中防御指挥部（NORAD）。美国司法部曾经将米特尼克称为“美国历史上被通缉的头号计算机罪犯”，他的所作所为已经被记录在两部好莱坞电影中，分别是Takedown和Freedom Downtime。米特尼克最初破解了洛杉矶公交车打卡系统，因此他得以免费乘车。在此之后，他也同苹果联合创始人斯蒂芬沃兹尼克（Steve Wozniak）一样，试图盗打电话

6、。米特尼克首次被判有罪是因为非法侵入Digital Equipment公司的计算机网络，并窃取软件。之后的两年半时间里，米特尼克展开了疯狂的黑客行动。他开始侵入计算机，破坏电话网络，窃取公司商业秘密，并最终闯入了美国国防部预警系统。后来，他因为入侵计算机专家、黑客Tsutomu Shimomura的家用计算机而落网。在长达5年零8个月的单独监禁之后，米特尼克现在的身份是一位计算机安全作家、顾问和演讲者。2.1.3 知名黑客知名黑客l凯文鲍尔森，也叫“黑暗但丁”，他因非法入侵洛杉矶KIIS-FM电话线路而闻名全美，同时也因此获得了一辆保时捷汽车。美国联邦调查局（FBI）也曾追查鲍尔森，因为他闯入

7、了FBI数据库和联邦计算机，目的是获取敏感信息。鲍尔森的专长是入侵电话线路，他经常占据一个基站的全部电话线路。鲍尔森还经常重新激活黄页上的电话号码，并提供给自己的伙伴用于出售。他最终在一家超市被捕，并被处以五年监禁。在监狱服刑期间，鲍尔森担任了Wired杂志的记者，并升任高级编辑。l阿德里安阿德里安拉莫拉莫，他热衷入侵各大公司的内部网络，比如微软公司等。他喜欢利用咖啡店、复印店或图书馆的网络来从事黑客行为，因此获得了一个“不回家的黑客”的绰号。拉莫经常能发现安全漏洞，并对其加以利用。通常情况下，他会通知企业有关漏洞的信息。在拉莫拉莫的入侵名单上包括雅虎、花旗银行、美洲银行和Cingular等知

8、名公司。由于侵入纽约时报内部网络，拉莫成为顶尖数码罪犯之一。也正是因为这一罪行，他被处以6.5万美元罚款，以及六个月家庭禁闭和两年缓刑。拉莫现在是一位著名公共发言人，同时还是一名获奖记者。2.1.3 知名黑客知名黑客2.1.4 近10年著名黑客事件 l2000年，年仅15岁，绰号黑手党男孩的黑客在2000年2月6日到2月14日情人节期间成功侵入包括雅虎、eBay和Amazon在内的大型网站服务器，他成功阻止服务器向用户提供服务，他于同年被捕。l2000年，l2001年5月，l2002年11月，l2006年10月16日，l2007年4月27日，l2007年，l2008年，l2009年7月7日，2

9、.1.5 黑客的行为发展趋势 l1黑客组织化黑客组织化l2黑客技术的工具化、智能化黑客技术的工具化、智能化l（1）黑客开发的工具。l（2）很多网络安全工具可以当作黑客工具来使用，同样是扫描器，网络管理员可以用它来检查系统漏洞，防患于未然，黑客也可以用它来寻找攻击入口，为实施攻击做好准备，另外还有很多常用的网络工具也能当作黑客工具来用，如Telnet、Ftp等等。l主要表现在以下3个方面。l（1）反检测技术l攻击者采用了能够隐藏攻击工具的技术，这使得安全专家通过各种分析方法来判断新的攻击的过程变得更加困难和耗时。l（2）动态行为l以前的攻击工具按照预定的单一步骤发起进攻，现在的自动攻击工具能够按

10、照不同的方法更改它们的特征，如随机选择预定的决策路径，或者通过入侵者直接控制。l（3）攻击工具的模块化黑客技术智能化的表现 3黑客技术普及化 l黑客技术普及化的原因有以下三个方面：l（1）黑客组织的形成，使黑客的人数迅速扩大，如美国的“大屠杀2600”的成员就曾达到150万人，这些黑客组织还提供大量的黑客工具，使掌握黑客技术的人数剧增。l（2）黑客站点的大量出现。通过Internet，任何人都能访问到这些站点，学习黑客技术也不再是一件困难的事。l（3）计算机教育的普及，很多人在学习黑客技术上不再存在太多的专业障碍。4黑客年轻化黑客年轻化 l由于中国互联网的普及，形成全球一体化，甚至连很多偏远的

11、地方也可以从网络上接触到世界各地的信息资源，所以越来越多对这方面感兴趣的中学生，也已经踏足到这个领域。l有资料统计，我国计算机犯罪者主要是1930岁的男性，平均年龄约为23岁，而央视中国法治报道则将这个年龄拉低到19岁。这种现象反映出我们的网络监管及相关法律部门的管理存在着极大的漏洞。5黑客的破坏力扩大化 l随着Internet的高速发展，政府、军事、银行、邮电、企业、教育等等部门纷纷接入互联网，电子商务也在蓬勃发展，全社会对互联网的依赖性日益增加，黑客的破坏力也日益扩大化。l2009年6月2日，公安部发布消息称，造成5月19日中国六省市互联网大面积瘫痪、一手炮制“暴风断网门”（由于“暴风影音

12、”网站的域名解析系统受到黑客攻击，导致电信DNS服务器访问量突增，网络处理性能下降。私服网站的“领头羊”DNSpod服务器 ）的4名黑客已经落网。沸沸扬扬的“断网事件”告一段落，但一条“黑色产业链”因“暴风断网门”而浮出水面。有数据显示，目前，我国黑客产业链已达10多亿元规模，其破坏性则至少达到数百亿元。2.2常见的网络攻击常见的网络攻击l1窃听窃听l2数据篡改数据篡改 l3身份欺骗（身份欺骗（IP地址欺骗）地址欺骗）l4盗用口令攻击（盗用口令攻击（Password-Based Attacks）l5拒绝服务攻击（拒绝服务攻击（Denial-of-Service Attack）l6中间人攻击（中

13、间人攻击（Man-in-the-Middle Attack）l7盗取密钥攻击（盗取密钥攻击（Compromised-Key Attack）l8Sniffer 攻击（攻击（Sniffer Attack）l9应用层攻击（应用层攻击（Application-Layer Attack）9应用层攻击（应用层攻击（Application-Layer Attack）（1）阅读、添加、删除、修改用户数据或操作系统（2）在用户应用系统中引入病毒程序（3）引入Sniffer，对用户网络进行分析，以获取所需信息，并导致用户网络的崩溃或瘫痪（4）引起用户应用系统的异常终止（5）解除用户系统中的其他安全控制，为其新一轮

14、攻击打开方便之门应用层攻击应用层攻击2.2.1攻击目的攻击目的 l网络攻击正朝着具有更多的商业动机发展。随着动机改变，质量也在改变。在许多情况下，网络攻击都是专业软件开发人员所为。他们的主要目的有：l窃取信息l获取口令l控制中间站点l获得超级用户权限2.2.2攻击事件分类攻击事件分类 在信息系统中，存在3类安全威胁：l外部攻击：攻击者来自系统外部。l内部攻击：内部越权行为。l行为滥用：合法用户滥用特权。l可将攻击事件分为以下5类 l1破坏型攻击（破坏型攻击（SYN flood）l2利用型攻击（特洛伊木马，缓冲区溢出）利用型攻击（特洛伊木马，缓冲区溢出）l3信息收集型攻击（地址扫描，端口扫描）信

15、息收集型攻击（地址扫描，端口扫描）l4垃圾信息攻击（广告，垃圾邮件）垃圾信息攻击（广告，垃圾邮件）l5网络欺骗攻击（网络欺骗攻击（DNS欺骗，欺骗，IP欺骗）欺骗）2.3 攻击步骤攻击步骤 1确定攻击的目标确定攻击的目标2收集被攻击对象的有关信息（收集被攻击对象的有关信息（P25）3利用适当的工具进行扫描，寻找系统的安全利用适当的工具进行扫描，寻找系统的安全漏洞。漏洞。4实施攻击（毁掉入侵痕迹，创建新的安全漏实施攻击（毁掉入侵痕迹，创建新的安全漏洞或后门，以便先前漏洞被发现仍可继续访问）洞或后门，以便先前漏洞被发现仍可继续访问）5巩固控制（提升权限）巩固控制（提升权限）6继续深入（安装后门，修

16、补漏洞）继续深入（安装后门，修补漏洞）7清除痕迹（清理入侵痕迹，清理日志）清除痕迹（清理入侵痕迹，清理日志）2.3 攻击步骤攻击步骤 2.4网络攻击的实施 1调查、收集和判断目标网络系统的网络调查、收集和判断目标网络系统的网络结构等信息结构等信息2制定攻击策略和确定攻击目标制定攻击策略和确定攻击目标3扫描目标系统扫描目标系统4攻击目标系统攻击目标系统2.4.1网络信息搜集 1用用ping识别操作系统识别操作系统C:ping Pinging 10.1.1.2 with 32 bytes of data:Reply from 10.1.1.2:bytes=32 time10ms TTL=128 R

17、eply from 10.1.1.2:bytes=32 time10ms TTL=128 Reply from 10.1.1.2:bytes=32 time10ms TTL=128 Reply from 10.1.1.2:bytes=32 time C:ping Pinging 10.1.1.6 with 32 bytes of data:Request timed out.Reply from 10.1.1.6:bytes=32 time=250ms TTL=237 Reply from 10.1.1.6:bytes=32 time=234ms TTL=237 Reply from 10.1

18、.1.6:bytes=32 time=234ms TTL=237Ping statistics for 10.1.1.6:Packets:Sent=4，Received=3，Lost=1(25%loss)，Approximate round trip times in milli-seconds:Minimum=234ms，Maximum=250ms，Average=179msuTTL 是由发送主机设置的，指被路由器丢弃之前允许通过的网段数量。以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时，要求路由器至少将 TTL 减小 1 uLINUX 64 WIN2K/NT 12

19、8 WINDOWS 系列 32 UNIX 系列 255 u可以修改注册表，来掩饰ttl泄露系统类型2.直接通过联接端口根据其返回的信息直接通过联接端口根据其返回的信息Microsoft Windows 2000 Version 5.00.2195 版权所有 1985-1998 Microsoft Corp.C:telnet 10.1.1.2 80 输入get 回车 如果返回，HTTP/1.1 400 Bad Request Server:Microsoft-IIS/5.0Date:Fri，11 Jul 2003 02:31:55 GMT Content-Type:text/html Conte

20、nt-Length:87The parameter is incorrect.遗失对主机的连接。C:那么这台就肯定是indows的系统了。如果返回：Method Not Implementedget to/not supported.Invalid method in request getApache/1.3.27 Server at Port 80遗失对主机的连接。C:那么多数就是UINX的系统了。如果返回，Connected to 10.1.1.3.220 ready，dude(vsFTPd 1.1.0:beat me，break me)User(10.1.1.3none):那么这就是一

21、台UINX的机子了。如果开了23端口，这个就简单了，直接telnet上去。如果返回，Microsoft Windows Version 5.00(Build 2195)Welcome to Microsoft Telnet Service Telnet Server Build 5.00.99201.1 login:那么这肯定是一台windows的机子了如果返回，SunOS 5.8 login:不用说了，这当然是一台UINX的机子了，并且版本是SunOS 5.8的。telnet 3.利用专门的软件来识别利用专门的软件来识别（1）著名的nmap，它采用的是主动式探测，探测时会主动向目标系统发送探

22、测包，根据目标目标机回应的数据包来，叛断对方机器的操作系统。（2）天眼，采用的是被动式的探测方法。不向目标系统发送数据包，只是被动地探测网络上的通信数据，通过分析这些数据来判断操作系统的类型。配合superscan使用，效果很好。具体的使用方法，在此就不具体介绍了。有兴趣的学生可以到网上搜索一下关于天眼使用方法的文章。2.4.2端口扫描 1.什么是扫描器（程序，检测安全性弱点，发现服务器的各种TCP端口的分配及提供的服务）原理：试用远程TCP/IP不同端口的服务，记录应答（ftp）2.扫描器能干什么（发现目标主机提供的服务及潜在弱点）3.常用的端口扫描技术（1）TCP connect()扫描。

23、系统调用connect()，对可能处于监听状态的计算机端口进行连接。优点：不需要特殊权限，速度快 缺点：易被发现，会被过滤掉（2）TCP SYN扫描。“半开放”扫描，无需打开一个完全的TCP连接。发送SYN数据包，根据ACK返回信息进行判断 优点：不会留下记录 缺点：需要root权限才能建立SYN数据包（3）TCP FIN 扫描。原理是：关闭的端口会用适当的RST来恢复FIN数据包，打开的端口会忽略对FIN数据包的回复。（4）IP段扫描。不直接发送TCP探测数据包，而是将数据包纷呈两个较小的IP段后进行发送。即一个TCP包分为多个数据包，不易被过滤器探测。（5）TCP 反向 ident扫描。I

24、dent协议允许看到通过TCP连接的任何进程拥有者的用户名。P32例子（6）FTP 返回攻击。通过代理ftp攻击，难以跟踪220 FTP server(Version wu-2.4(3)Wed Dec 14)ready.220 xxx.xxx.xxx.edu FTP server ready.220 xx.Telcom.xxxx.EDU FTP server(Version wu-2.4(3)Tue Jun 11)ready.220 lem FTP server(SunOS 4.1)ready.220 xxx.xxx.es FTP server(Version wu-2.4(11)Sat Ap

25、r 27)ready.220 elios FTP server(SunOS 4.1)ready 这种方法不能成功的情景：220 FTP server(Version DG-2.0.39 Sun May 4)ready.220 xxx.xx.xxxxx.EDU Version wu-2.4.2-academBETA-12(1)Fri Feb 7 220 ftp Microsoft FTP Service(Version 3.0).220 xxx FTP server(Version wu-2.4.2-academBETA-11(1)Tue Sep 3)ready.220 xxx.unc.edu

26、FTP server(Version wu-2.4.2-academBETA-13(6)ready.3.常用的端口扫描技术（7）UDP ICMP端口不能到达扫描。使用udp协议，无状态协议，扫描困难，速度慢（8）UDP recvfrom()和write()扫描。利用系统IPC接口函数的返回状态进行判断。（9）ICMP echo扫描。略2.4.3基于认证的入侵防范 1.IPC$入侵入侵 IPC$本来主要是用来远程管理计算机的，但实际上往往被入侵者用来与远程主机实现通信和控制。入侵者能够利用它做到：建立、拷贝、删除远程计算机文件；在远程计算机上执行命令。1）远程文件操作2）留后门账号3）IPC$空

27、连接漏洞4）IPC$入侵常见问题2.远程管理计算机远程管理计算机1）远程管理（通过远程登录软件（telnet，ssh，远程桌面），映射到本地）2）查看信息：日志（应用程序，安全，系统），共享信息和会话，用户和组3）开启远程主机服务的其他办法l编写开启远程服务的bat脚本l通过ipc建立连接，把bat脚本复制到远程计算机l查看net time，为远程计算机建立计划任务，定时执行bat脚本以开启服务4）常见问题：略2.4.4信息隐藏技术（1）数字水印技术(Digital Watermark)将一些标识信息（即数字共享水印）直接嵌入数字载体当中，但不影响原载体的使用价值，也不容易被人的感知系统注意到

28、和再次修改。（2）隐写术(Steganography)将秘密信息隐藏到看上去普通的信息中进行传递。（3）可视密码技术 恢复秘密图像时不需要任何复杂的密码学技术，而是以人的视觉即可将秘密图像辨别出来。产生n张具有一定意义的胶片，通过某种叠加来还原出隐藏在其中的秘密信息。2.4.5安全解决方案（自己看）安全解决方案（自己看）1.删除默认共享删除默认共享（1）首先了解本机共享资源，在cmd窗口输入“net share”命令；（2）删除共享资源：l2.禁止空连接进行枚举攻击的方法禁止空连接进行枚举攻击的方法l有了有了IPC$空连接作为连接基础，入侵者可以进行反复的试探性连接，空连接作为连接基础，入侵者

29、可以进行反复的试探性连接，直到连接成功、获取密码，这就为入侵者暴力破解提供了可能性，直到连接成功、获取密码，这就为入侵者暴力破解提供了可能性，被入侵只是时间问题。被入侵只是时间问题。l为了解决这个问题，打开注册表编辑器，在：为了解决这个问题，打开注册表编辑器，在：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA中把中把Restrict Anonymous=DWORD的键值改为：的键值改为：00000001(也可以改为也可以改为2，不过改为，不过改为2后可能造成一些服务不能正常后可能造成一些服务不能正常工作工作)。修改完毕重起计算机，这样便禁

30、止了空连接进行枚举攻击。修改完毕重起计算机，这样便禁止了空连接进行枚举攻击。l要说明的是，这种方法并不能禁止建立空连接。现在再使用要说明的是，这种方法并不能禁止建立空连接。现在再使用X-Scan对计算机进行安全检测，便会发现该主机不再泄露用户列表和共享对计算机进行安全检测，便会发现该主机不再泄露用户列表和共享列表，操作系统类型也不会被列表，操作系统类型也不会被X-Scan识别。识别。3.关闭关闭Server服务服务lServer服务是IPC$和默认共享所依赖的服务，如果关闭它，IPC$和默认共享便不存在，但同时也使服务器丧失其他一些服务功能，因此该方法不适合服务器使用，只适合个人计算机使用。l

31、通过“控制面板”“管理工具”“服务”打开服务管理器，在服务列表中找到Server服务，鼠标右击，在弹出菜单中选择“属性”，然后选择“禁用”，重起生效。还可使用Dos命令“net stop server/y来关闭，但只能当前生效一次，计算机重起后Server服务还是会自动开启。2.5留后门与清痕迹的防范方法（1）应用程序日志 包含由应用程序或系统程序记录的事件。例如，数据库程序可在应用日志中记录文件错误。程序开发人员决定记录哪一个事件。（2）系统日志 包含Windows系统组件记录的事件。例如，在启动过程中将加载的驱动程序或其他系统组件的失败信息记录在系统日志中。（3）安全日志 可以记录安全事件

32、，如有效的和无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。l1.清除系统日志工具清除系统日志工具clearlog.exel使用方法:lUsage:clearlogs computername l-app 应用程序日志l-sec 安全日志l-sys 系统日志2.清除iis日志工具cleaniis.exel使用方法：liisantidote liisantidote stoplstop opiton will stop iis before clearing the files and restart it afterl exemple:c:winntsystem32logfi

33、lesw3svc1 dont forget the3.清除历史记录及运行的日志工具cleaner.exe（1）保护本地安全策略系统关闭时删除所有临时文件，启动时利用杀毒软件检查重要的系统文件。实施用户账户封锁策略。正确配置用户权限将阻止恶意系统用户访问其他用户文件。（2）保护系统文件和目录权限，可以有效地保护日志文件，从而使未授权用户不能访问这些文件夹。（3）限制空连接，保护共享文件，可以通过启用防火墙监视网络连接情况。（4）禁用不必要的服务。小结l本章主要介绍了黑客的由来、黑客行为的发展趋势，系统介绍了黑客攻击事件的分类，全面介绍了黑客攻击常用的手段。通过本章的学习，学生可以了解有关黑客的相关知识，掌握常用的网络攻击与防范的方法，同时提高网络安全意识，自觉维护网络安全。