1、1 第2章 黑客常用的攻击方法第2章 黑客常用的攻击方法2 第2章 黑客常用的攻击方法能力CAPACITY要求熟悉TCP/IP。了解黑客攻击的常用手段和方法,掌握常用网络安全技术。具有良好的职业道德。3 第2章 黑客常用的攻击方法内容CONTENTS导航常用黑客技术的原理黑客发展的历史黑客攻击的防范4 第2章 黑客常用的攻击方法一、黑客发展的历史罗伯特莫里斯1988年,莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特莫里斯(22岁)制造的这个蠕虫病毒入侵了大约6000个大学和军事机构的计算机,使之瘫痪。此后,从CIH到美丽杀病毒,从尼姆达到红色代码,病毒、蠕虫的发展愈演愈烈。5 第2
2、章 黑客常用的攻击方法一、黑客发展的历史l凯文米特尼克是美国20世纪最著名的黑客之一,他是社会工程学的创始人l1979年(15岁)他和他的伙伴侵入了“北美空中防务指挥系统”,翻阅了美国所有的核弹头资料,令大人不可置信。l不久破译了美国“太平洋电话公司”某地的改户密码,随意更改用户的电话号码。欺骗的艺术凯文米特尼克6 第2章 黑客常用的攻击方法一、黑客发展的历史安全威胁发展趋势7 第2章 黑客常用的攻击方法一、黑客发展的历史攻击复杂度与所需入侵知识关系图8 第2章 黑客常用的攻击方法一、黑客发展的历史黑客入侵攻击的一般过程 目标地址范围确定、名字空间查询对目标系统的监听和评估分析收集足够的信息,
3、得以成功访问目标从对用户级的访问权限到对系统的完全控制信息进一步摄取取一旦目标系统已全部控制,掩踪灭迹不同部位布置陷阱和后门,需要时获得特权访问踩点扫描查点获取访问特权提升偷盗窃取掩踪灭迹创建后门如果入侵不成功,可用漏洞代码来使目标系统瘫痪拒绝服务打开源查询;whois;whois的Web接口;ARIN whios;DNA区域传送Ping sweep;TCP/UDP端口扫描;OS检测列出用户账号;列出共享文件;确定各种应用密码窃听;共享文件的蛮力攻击;攫取密码;文件缓冲区溢出密码破解;利用已知漏洞和脆弱点评估可信系统的坚固度;搜索明文密码清除日志记录;掩藏工具创建“无赖”账号,;安排批处理作业
4、;感染初启动文件;植入远程控制程序;安装监控机制;利用特洛伊木马替换应用SYN flood;ICMP技术;统一scr/dst SYN请求;重叠fragment/offset错误(bugs);Out of boundsTCP option(008);DDoS针对有效用户账号或共享资源,进行更多入侵探询9 第2章 黑客常用的攻击方法内容CONTENTS导航常用黑客技术的原理黑客发展的历史黑客攻击的防范10 第2章 黑客常用的攻击方法二、常用黑客技术的原理l网络踩点:收集IP地址范围、域名信息等。l网络扫描:探测系统开放端口、操作系统类型、所运行的网络服务,以及是否存在可利用的安全漏洞等。l网络查点
5、:获得用户账号、网络服务类型和版本号等更细致的信息。常用的网络信息收集技术【实验】whois查询11 第2章 黑客常用的攻击方法二、常用黑客技术的原理漏洞扫描的内容漏洞扫描 系统开放的服务(端口扫描)各种弱口令漏洞、后门操作系统类型及版本网络设备漏洞应用服务漏洞拒绝服务漏洞等网络扫描器作用探测目标网络结构,获取目标系统的开放端口、操作系统类型、运行的网络服务、存在的安全弱点等信息。12 第2章 黑客常用的攻击方法二、常用黑客技术的原理端口扫描器原理-预备知识应用层表示层会话层传输层网络层数据链路层物理层应用层应用程序应用程序传输层网络层链路层UDPICMPIPARP硬件接口RARP13 第2章
6、 黑客常用的攻击方法二、常用黑客技术的原理预备知识-IP头预备知识-TCP头14 第2章 黑客常用的攻击方法二、常用黑客技术的原理常用的扫描软件Nmap(端口扫描器)NessusX-scan(综合扫描器)ipscanlNmap简介 (Network Mapper )l官方下载及文档地址:http:/insecure.org/nmap/ l详细操作步骤参见教材课堂演练一:端口扫描器Nmap 15 第2章 黑客常用的攻击方法二、常用黑客技术的原理其他扫描方式:案例02OPTION01OPTION03OPTION04OPTIONPing扫描(-sP参数)TCP connect()端口扫描(-sT参数
7、)TCP同步(SYN)端口扫描(-sS参数)UDP端口扫描(-sU参数)02OPTION01OPTION03OPTIONFIN扫描(-sF)圣诞树扫描(-sX)空扫描(-sN)16 第2章 黑客常用的攻击方法二、常用黑客技术的原理l全连接扫描TCP connect()扫描l半连接扫描TCP SYN()扫描17 第2章 黑客常用的攻击方法二、常用黑客技术的原理端口扫描的防范防火墙防火墙是不是能防范所有的端口扫描?提问18 第2章 黑客常用的攻击方法二、常用黑客技术的原理l本部分内容安排学生自己完成l详细操作步骤参见教材课堂演练二:综合扫描器X-scanlNessus也是一款典型的综合扫描器,其被
8、认为是目前全世界最多人使用的系统漏洞扫描与分析软件。l Nessus软件采用C/S架构:l详细操作步骤参见教材课堂演练三: Nessus19 第2章 黑客常用的攻击方法二、常用黑客技术的原理口令破解01PRAT02PRAT03PRAT口令破解概述 口令破解方法口令破解实验(详细操作步骤参见教材)20 第2章 黑客常用的攻击方法二、常用黑客技术的原理口令破解的防范标题关闭139端口强壮的密码administrator账户重命名设置账户锁定策略口令破解的防范21 第2章 黑客常用的攻击方法二、常用黑客技术的原理lSniffer,中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。l采用这种技术,我
9、们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。网络监听技术Sniffer原理什么是 Sniffer ?l网络通信监视软件l网络故障诊断分析工具l网络性能优化、管理系统它帮助你迅速隔离和解决网络通讯问题、分析和优化网络性能和规划网络的发展。22 第2章 黑客常用的攻击方法二、常用黑客技术的原理l梦幻西游在网维大师无盘上容易掉线的问题 (备注:123.58.184.241是梦幻西游的服务器)l分析原因产生:1、服务器发现客户端非法,比如有外挂什么的,踢掉了客户机;2、服务器压力大,踢掉了客户机;3、总之不是客户端问题导致的掉线; 案例23 第2章 黑客常用的攻击方法二、常用黑客技术的
10、原理网卡先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就在接收后产生中断信号通知CPU,认为不该接收就丢弃不管。CPU得到中断信号产生中断,操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。网卡工作原理24 第2章 黑客常用的攻击方法二、常用黑客技术的原理网卡的工作模式能够接收网络中的广播信息。广播方式在此添加标题组播方式直接方式混杂模式(promiscuous)能够接收组播数据。只有目的网卡才能接收该数据。 能够接收到一切通过它的数据。25 第2章 黑客常用的攻击方法二、常用
11、黑客技术的原理HUB工作原理26 第2章 黑客常用的攻击方法二、常用黑客技术的原理交换环境下的SNIFF27 第2章 黑客常用的攻击方法二、常用黑客技术的原理一个sniffer需要作的:网络监听原理123把网卡置于混杂模式捕获数据包分析数据包12328 第2章 黑客常用的攻击方法二、常用黑客技术的原理常用的SNIFF windows环境下 UNUX环境下 图形界面的SNIFF 、netxray 、 sniffer proUNUX环境下的sniff可以说是百花齐放,他们都有一个好处就是发布源代码,当然也都是免费的 。 如sniffit、snoop、tcpdump、dsniff 1、Sniffer
12、 Pro2、WireShark(06年夏天前称为Ethereal)3、Net monitor4、EffTech HTTP Sniffer5、Iris29 第2章 黑客常用的攻击方法二、常用黑客技术的原理lWireshark的使用 lWireshark的语法Sniffer演示实验 30 第2章 黑客常用的攻击方法二、常用黑客技术的原理捕捉过滤器可以使用6种比较运算符:逻辑运算符( Logical e-xpressions ):31 第2章 黑客常用的攻击方法二、常用黑客技术的原理1. tcp dst port 80 /捕捉目的TCP端口为80的封包。 问题:怎么捕捉DNS包?2. host 10
13、.1.248.248 /捕捉目的或来源IP地址为10.1.248.248的封包。3. ip src host 10.3.40.* /捕捉来源IP地址为10.3.40.* 的封包。4. ether host e0-05-c5-44-b1-3c /捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。5. src portrange 2000-2500 /捕捉来源为UDP或TCP,并且端口号在2000至2500范围内的封包。6. (src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 an
14、d dst net 10.0.0.0/8 /捕捉来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络 10.0.0.0/8内的所有封包。练习32 第2章 黑客常用的攻击方法二、常用黑客技术的原理练习1.ip.addr = 10.1.1.1 /显示来源或目的IP地址为10.1.1.1的封包。2.ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 /显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。3.tcp.port = 80 /显示来源或目的TCP端口号为80的封包。4.tcp
15、.dstport = 25 /显示目的TCP端口号为25的封包。显示过滤器 33 第2章 黑客常用的攻击方法二、常用黑客技术的原理l【例1】嗅探FTP过程 l【例2】嗅探HTTP登录邮箱的过程 l【例3】嗅探POP邮箱密码的过程 详细操作步骤参见教材课堂演练l使用WireShark分析TCP/IP建立连接的三次握手过程的数据包l使用WireShark分析nmap各种扫描方式的数据包综合演练34 第2章 黑客常用的攻击方法内容CONTENTS导航常用黑客技术的原理黑客发展的历史黑客攻击的防范35 第2章 黑客常用的攻击方法三、黑客攻击的防范l进行合理的网络分段。l用SSH/SSL建立加密连接,保
16、证数据传输安全。lSniffer往往是入侵系统后使用的,用来收集信息,因此防止系统被突破。l防止内部攻击。lAntiSniff 工具用于检测局域网中是否有机器处于混杂模式 (不是免费的)。如何防止SNIFF 36 第2章 黑客常用的攻击方法三、黑客攻击的防范lARP欺骗的工作原理ARP欺骗攻击 37 第2章 黑客常用的攻击方法三、黑客攻击的防范交换环境下的ARP欺骗攻击及其嗅探演示实验l实验拓扑:lARP欺骗工具:SwitchSnifferl详细步骤参见教材38 第2章 黑客常用的攻击方法三、黑客攻击的防范lARP命令静态绑定网关lARP防火墙l通过加密传输数据、使用VLAN技术细分网络拓扑等
17、方法,以降低ARP欺骗攻击的危害后果ARP欺骗的防御39 第2章 黑客常用的攻击方法三、黑客攻击的防范l木马是一种基于远程控制的黑客工具l隐蔽性l潜伏性l危害性 l非授权性 木马(Trojan horse)40 第2章 黑客常用的攻击方法三、黑客攻击的防范木马与病毒、远程控制的区别213病毒程序是以自发性的败坏为目的木马程序是依照黑客的命令来运作,主要目的是偷取文件、机密数据、个人隐私等行为。木马和一般的远程控制软件的区别在于其隐蔽、非授权性。41 第2章 黑客常用的攻击方法三、黑客攻击的防范木马的工作原理实际就是一个C/S模式的程序(里应外合)操作系统被植入木马的PC(server程序)TC
18、P/IP协议端口控制木马的PC(client程序)操作系统TCP/IP协议端口控制端端口处于监听状态42 第2章 黑客常用的攻击方法三、黑客攻击的防范木马的分类代理型FTP型下载型木马远程访问型键盘记录型密码发送型破坏型43 第2章 黑客常用的攻击方法三、黑客攻击的防范木马实施攻击的步骤木马伪装信息反馈配置木马启动木马远程控制传播木马建立连接010203040544 第2章 黑客常用的攻击方法三、黑客攻击的防范l服务器端程序:G-server.exel客户端程序:G-client.exe详细步骤参见教材课堂演练一:冰河木马的使用l反弹端口类型的木马l服务器的配置l服务器的工作方式l远程控制l如
19、何清除?课堂演练二:灰鸽子的使用45 第2章 黑客常用的攻击方法三、黑客攻击的防范木马文件的隐藏和伪装 文件的属性 捆绑到其他文件上 文件的名字 文件的位置 文件的扩展名 文件的图标46 第2章 黑客常用的攻击方法三、黑客攻击的防范木马运行时伪装方法123在任务栏里隐藏在任务管理器里隐藏隐藏端口47 第2章 黑客常用的攻击方法三、黑客攻击的防范木马的启动方式 win.inisystem.ini启动组注册表捆绑方式启动 伪装在普通文件中设置在超级连接中 48 第2章 黑客常用的攻击方法三、黑客攻击的防范l查看端口l检查注册表l检查DLL木马l检查配置文件木马的检测l发现木马:检查系统文件、注册表
20、、端口l不要轻易使用来历不明的软件 l不熟悉的E-MAIL不打开l常用杀毒软件并及时升级l合理使用防火墙木马的防御 49 第2章 黑客常用的攻击方法三、黑客攻击的防范流行木马简介流行木马back orificeSubseven网络公牛(Netbull)网络神偷(Nethief)广外男生(是广外女生的一个变种)Netspy(网络精灵)冰 河50 第2章 黑客常用的攻击方法三、黑客攻击的防范DoS-Denial of Service:现在一般指导致服务器不能正常提供服务的攻击。拒绝服务攻击(DoS)1232002年10月全世界13台DNS服务器同时受到了DDoS(分布式拒绝服务)攻击。2009年5
21、月19日,由于暴风影音软件而导致“暴风门”全国断网事件。2014年6月20日起,香港公投网站PopVote遭遇超大规模的DDoS攻击DoS攻击的事件351 第2章 黑客常用的攻击方法三、黑客攻击的防范DoS 攻击的分类01010202以消耗目标主机的可用资源为目的(例如:死亡之ping、SYN攻击、Land攻击、泪珠攻击等) 以消耗服务器链路的有效带宽为目的(例如:蠕虫) 52 第2章 黑客常用的攻击方法三、黑客攻击的防范SYN攻击的原理(1)目标主机SYNSYN/ACKACK等待应答SYN:同步SYN/ACK:同步/确认ACK:确认53 第2章 黑客常用的攻击方法三、黑客攻击的防范SYN攻击
22、的原理(2).SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK.等待ACK应答.不应答不应答重新发送54 第2章 黑客常用的攻击方法三、黑客攻击的防范以windows 为例SYN攻击花费时间(秒)累计花费时间(秒)第一次,失败33尝试第1 次,失败69尝试第2 次,失败1221尝试第3次,失败2445尝试第4 次,失败4893尝试第5 次,失败9618955 第2章 黑客常用的攻击方法三、黑客攻击的防范lsynkiller(图形界面工具) lsyn等(DOS界面工具) 【攻击效果】
23、可通过抓包和查看CPU的利用率来观看攻击效果 思考题 扫描器中的半连接扫描是不是也构成SYN攻击?课堂演练SYN攻击56 第2章 黑客常用的攻击方法三、黑客攻击的防范行行色色的DOS攻击DOS攻击1234SYN Flood泪珠(Teardrop)攻击 死亡之ping Land攻击57 第2章 黑客常用的攻击方法三、黑客攻击的防范DDoS 攻击案例案例1 12012年2月巴西银行成为了分布式拒绝服务攻击的目标。巴西汇丰银行、巴西银行、Itau Unibanco Multiplo SA 银行和布拉德斯科银行都遭到了大规模攻击。攻击中,黑客利用的正是DDoS。2015年某网络游戏进行上线公测,公测前
24、10分钟,主力机房遭遇DDoS攻击,带宽瞬间被占满,上游路由节点被打瘫,游戏发行商被迫宣布停止公测。案例2 258 第2章 黑客常用的攻击方法三、黑客攻击的防范DDOS攻击的威力2015年DDoS阿里云云盾防御的最大攻击峰值流量为477Gbps。20152015预测2016年整个互联网可能会发生流量在800Gbps1TGbps之间的攻击事件。 2016201659 第2章 黑客常用的攻击方法三、黑客攻击的防范DDoS (分布式拒绝服务)攻击攻击者各种客户主机目标系统安置代理代理程序1、攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。2、攻击者进入其已经发现的最弱的客户主机之内(“肉鸡”),
25、并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。攻击准备:60 第2章 黑客常用的攻击方法三、黑客攻击的防范DDoS (分布式拒绝服务)攻击目标系统攻击者指令攻击的代理程序虚假的连接请求 3、攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请 求送至目标系统。发起攻击:4、包括虚假的连接请求在内的大量残缺的数字包攻击目标系统,最终将导致它因通信淤塞而崩溃。61 第2章 黑客常用的攻击方法三、黑客攻击的防范l实验拓扑:详细步骤参见教材TFN分布式拒绝服务攻击实验62 第2章 黑客常用的攻击方法三、黑客攻击的防范详细步骤参见教材冰盾防火墙的演示实验63 第2章 黑客常用
26、的攻击方法三、黑客攻击的防范DNS 反射攻击的原理 中小贷款攻击者/僵尸主机伪造受害者发起大量DNS查询请求开放DNS递归服务器DNS服务器回应大量查询响应1M的流量发出大量模拟被攻击者的DNS请求被攻击者100M的流量100M的流量1M的流量发出大量模拟被攻击者的DNS请求64 第2章 黑客常用的攻击方法三、黑客攻击的防范l针对应用程序-2013年25%的DDOS攻击将是基于应用程序 。l利用高速带宽-在2012年下半年美国银行遭受到一类新的破坏性DDoS攻击,有时高达70Gbps的网络流量冲击了银行自有互联网管道。 个性化攻击65 第2章 黑客常用的攻击方法三、黑客攻击的防范缓冲区溢出(b
27、uffer overflow)从一个对话框说起66 第2章 黑客常用的攻击方法三、黑客攻击的防范【引例】把1升的水注入容量为0.5升的容量中认识缓冲区溢出l第一次大规模的缓冲区溢出攻击是发生在1988年的Morris蠕虫,它造成了6000多台机器被瘫痪,损失在$100 000至$10 000 000之间,利用的攻击方法之一就是fingerd的缓冲区溢出。l缓冲区溢出攻击已经占了网络攻击的绝大多数,据统计,大约80%的安全事件与缓冲区溢出攻击有关。67 第2章 黑客常用的攻击方法三、黑客攻击的防范缓冲区溢出原理Windows系统的内存结构 68 第2章 黑客常用的攻击方法三、黑客攻击的防范计算机
28、运行时,系统将内存划分为3个段,分别是代码段、数据段和堆栈段。Windows 系统的内存结构数据只读,可执行。在代码段一切数据不允许更改。在代码段中的数据是在编译时生成的2进制机器代码,可供CPU执行。放置程序运行时动态的局部变量,即局部变量的空间被分配在堆栈里面。可读、写 。静态全局变量是位于数据段并且在程序开始运行的时候被加载。可读、写 。代码段 堆栈段数据段69 第2章 黑客常用的攻击方法三、黑客攻击的防范l缓冲区溢出源于程序执行时需要存放数据的空间,也即我们所说的缓冲区。l缓冲区的大小是程序执行时固定申请的。然而,某些时候,在缓冲区内装载的数据大小是用户输入的数据决定的。程序开发人员偶
29、尔疏忽了对用户输入的这些数据作长度检查,由于用户非法操作或者错误操作,输入的数据占满了缓冲区的所有空间,且超越了缓冲区边界延伸到缓冲区以外的空间。我们称这个动作为缓冲区溢出。缓冲区溢出的基本原理(1)l缓冲区溢出是由于系统和软件本身存在脆弱点所导致的。l例如目前被广泛使用的C和C+,这些语言在编译的时候没有做内存检查,即数组的边界检查和指针的引用检查,也就是开发人员必须做这些检查,可是这些事情往往被开发人员忽略了;标准C库中还存在许多不安全的字符串操作函数,包括:strcpy(),sprintf(),gets()等等,从而带来了很多脆弱点,这些脆弱点也便成了缓冲区溢出漏洞。缓冲区溢出的基本原理
30、(2)70 第2章 黑客常用的攻击方法三、黑客攻击的防范/* * 文件名:overflow.cpp* 功能:演示Windows缓冲区溢出的机制*/ #include #include char bigbuff=“aaaaaaaaaa; / 10个avoid main() char smallbuff5; / 只分配了5字节的空间 strcpy(smallbuff,bigbuff);Windows缓冲区溢出实例分析利用OllyDbg调试工具加载overflow.exe文件 71 第2章 黑客常用的攻击方法三、黑客攻击的防范调用strcpy()函数时堆栈的填充情况72 第2章 黑客常用的攻击方法三
31、、黑客攻击的防范执行strcpy()函数的过程溢出结果73 第2章 黑客常用的攻击方法三、黑客攻击的防范l可以导致程序运行失败、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。l而缓冲区溢出中,最为危险的是堆栈溢出,因为入侵者可以利用堆栈溢出,在函数返回时改变返回程序的地址,让其跳转到任意地址,带来的危害一种是程序崩溃导致拒绝服务,另外一种就是跳转并且执行一段恶意代码,比如得到shell,然后为所欲为。 缓冲区溢出的危害74 第2章 黑客常用的攻击方法三、黑客攻击的防范l2000年1月,Cerberus 安全小组发布了微软的IIS 4/5存在
32、的一个缓冲区溢出漏洞。攻击该漏洞,可以使Web服务器崩溃,甚至获取超级权限执行任意的代码。目前,微软的IIS 4/5 是一种主流的Web服务器程序;因而,该缓冲区溢出漏洞对于网站的安全构成了极大的威胁;它的描述如下: l浏览器向IIS提出一个HTTP请求,在域名(或IP地址)后,加上一个文件名,该文件名以“.htr”做后缀。于是IIS认为客户端正在请求一个“.htr”文件,“.htr”扩展文件被映像成ISAPI(Internet Service API)应用程序,IIS会复位向所有针对“.htr”资源的请求到 ISM.DLL程序 ,ISM.DLL 打开这个文件并执行之。 l浏览器提交的请求中包
33、含的文件名存储在局部变量缓冲区中,若它很长,超过600个字符时,会导致局部变量缓冲区溢出,覆盖返回地址空间,使IIS崩溃。缓冲区溢出攻击的实验分析75 第2章 黑客常用的攻击方法三、黑客攻击的防范l上述的缓冲区溢出例子中,只是出现了一般的拒绝服务的效果。但是,实际情况往往并不是这么简单。当黑客精心设计这一EIP,使得程序发生溢出之后改变正常流程,转而去执行他们设计好的一段代码(也即ShellCode),攻击者就能获取对系统的控制,利用ShellCode实现各种功能,比如,监听一个端口,添加一个用户,等等。这也正是缓冲区溢出攻击的基本原理。l目前流行的缓冲区溢出病毒,如冲击波蠕虫、震荡波蠕虫等,
34、就都是采用同样的缓冲区溢出攻击方法对用户的计算机进行攻击的。 缓冲区溢出攻击76 第2章 黑客常用的攻击方法三、黑客攻击的防范流行的缓冲区溢出攻击病毒利用漏洞:RPC缓冲区溢出 135/TCP冲击波 在此添加标题震荡波 极速波高波利用漏洞:LSASS漏洞 1025/TCP利用漏洞:UPNP漏洞 445/TCP利用多种漏洞,非常危险77 第2章 黑客常用的攻击方法三、黑客攻击的防范防范缓冲区溢出攻击的有效措施 强制程序开发人员书写正确的、安全的代码。目前,可以借助grep、FaultInjection、PurifyPlus等工具帮助开发人员发现程序中的安全漏洞。 通过对数组的读写操作进行边界检查
35、来实现缓冲区的保护,使得缓冲区溢出不可能出现,从而完全消除了缓冲区溢出的威胁。常见的对数组操作进行检查的工具有Compaq C编译器,Richard Jones和Paul Kelly开发的gcc补丁等。 78 第2章 黑客常用的攻击方法三、黑客攻击的防范通过操作系统设置缓冲区的堆栈段为不可执行,从而阻止攻击者向其中植入攻击代码。微软的DEP(数据执行保护)技术微软的DEP(数据执行保护)技术 (Windows XP SP2、Windows Server 2003 SP1及其更高版本的Windows操作系统中)79 第2章 黑客常用的攻击方法三、黑客攻击的防范经典溢出流程启用DEP后流程80 第2章 黑客常用的攻击方法三、黑客攻击的防范TCP会话劫持的工作原理:TCP会话劫持实验拓扑:81 第2章 黑客常用的攻击方法三、黑客攻击的防范l检测:查看网络中是否存在ACK风暴TCP会话劫持攻击的检测和防范l防范:采用加密机制加密客户端和服务器之间的通信过程:例如使用SSH代替Telnet、使用SSL代替HTTP,使用IPSec/VPN避免攻击者成为客户端和服务器通信双方的中间人:采用静态绑定MAC地址方法以防范ARP欺骗;过滤ICMP路由重定向报文以防范ICMP路由重定向攻击82 第2章 黑客常用的攻击方法THANKS