1、第六章 黑客原理与防范措施第六章 黑客原理与防范措施n黑客n黑客攻击n常用网络命令和端口号n扫描n监听与嗅探n口令安全第一节 黑客n黑客与骇客n黑客历史一、黑客与骇客n黑客,Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。黑客们精通计算机硬件和软件知识,并有能力通过创新的方法剖析系统。他们通常会去寻找网络中的漏洞,但是往往并不去破坏计算机系统。一、黑客与骇客n入侵者,Cracker,“骇客”,是指那些利用网络漏洞破坏系统的人,他们往往会通过计算机系统漏洞来入侵。他们也具备广泛的电脑知识,但与黑客不同的是,他们以破坏为目的。黑客历史n20世纪60年代初,MIT的人工智
2、能实验室,黑客初显身手。n1987,美国联邦执法部门指控17岁高中生赫尔伯特齐恩闯入美国电话电报公司的内部网络和中心交换系统。齐恩是美国1986年“计算机欺诈与滥用法案”生效后被判有罪的第一人。他因为自己在BBS中吹嘘自己攻击过AT&A而或罪。n1988,康奈尔大学的22岁研究生罗伯特莫里斯向互联网上传了第一个“蠕虫”病毒。n1991,海湾战争时期,荷兰少年侵入国防部的计算机,修改和复制了一些非保密的与战争有关的敏感情报。n2019,美国国防部宣布黑客向五角大楼网站发动了有史以来最大规模、最系统性的行动,打入了许多政府形非保密性的敏感电脑网络。n2000年2月,黑客采用“拒绝服务式”攻击,使数
3、家世界顶级互联网站(雅虎、亚马逊)陷入瘫痪。n2019年4月,中美黑客大战随着中美撞机事件的发生而开始,并在5月1日左右达到高峰。第二节 黑客攻击n黑客攻击的类型n黑客攻击的一般步骤一、黑客攻击的类型n主动攻击n被动攻击n其它分类方法n从攻击的目的来看,可以分为:拒绝服务攻击、获取系统权限的攻击、获取敏感信息的攻击。n从攻击的切入点来看,有缓冲区溢出攻击、系统设置漏洞的攻击。n从攻击的纵向实施过程来看,有获取初级权限攻击、提高最高权限的攻击、后门攻击、跳板攻击。n从攻击的类型来看,有对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击。二、黑客攻击的一般步骤 n黑客入侵的级别n黑客攻击
4、系统的步骤n收集目标计算机的信息(扫描、监听与嗅探)n寻找目标计算机的漏洞和选择合适的入侵方式(漏洞入侵、口令猜测入侵)n留下“后门”。n清除入侵记录。n入侵攻击。n隐藏。n对付黑客入侵的措施n了解黑客入侵后的特征n对付黑客的应急方法第三节第三节 常用网络命令和端口号常用网络命令和端口号n一、常用网络命令 n二、常用端口号一、常用网络命令nPing:用于确定本地主机是否能与另一台主机交换(发送与接收)数据报。nping 127.0.0.1 nping 本机IP nping 局域网内其他IP nping 网关IP nping 远程IP nping yahoo 一、常用网络命令nping IP-t
5、-连续对IP地址执行Ping命令,直到被用户以Ctrl+C中断。nping IP-l 2000-指定Ping命令中的数据长度为2000字节,而不是缺省的32字节。nping IP-n-执行特定次数的Ping命令。一、常用网络命令nIPconfig:用于显示当前的TCP/IP配置的设置值。nipconfig nipconfig/all 一、常用网络命令nNetstat:用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。nnetstat s:本选项能够按照各个协议分别显示其统计数据。nnetstat-e-本选项用于显示关于以太网的统计数据。nnets
6、tat-r-本选项可以显示关于路由表的信息。nnetstat-a-本选项显示一个所有的有效连接信息列表。nnetstat-n-显示所有已建立的有效连接。一、常用网络命令nnslookup命令的功能是查询一台机器的IP地址和其对应的域名。nNslookup一、常用网络命令nTracert命令可以用来跟踪数据报使用的路由(路径)nTracert ip/URL一、常用网络命令nRoute:用于设置路由表nroute add-使用本命令,可以将信路由项目添加给路由表。n例如,如果要设定一个到目的网络209.98.32.33的路由,其间要经过5个路由器网段,首先要经过本地网络上的一个路由器,IP为202
7、.96.123.5,子网掩码为255.255.255.224,那么你应该输入以下命令:nroute add 209.98.32.33 mask 255.255.255.224 202.96.123.5 metric 5 一、常用网络命令nroute change-你可以使用本命令来修改数据的传输路由,不过,你不能使用本命令来改变数据的目的地。n例:将数据的路由改到另一个路由器,它采用一条包含3个网段的更直的路径:nroute change 209.98.32.33 mask 255.255.255.224 202.96.123.250 metric 3 nroute delete-使用本命令可
8、以从路由表中删除路由。例如:route delete 209.98.32.33 一、常用网络命令nNBTStat(TCP/IP上的NetBIOS统计数据)用于提供关于NetBIOS的统计数据。nnbtstat a现实远程计算机的用户名一、常用网络命令nNet命令有很多函数用于实用和核查计算机之间的NetBIOS连接。nnet view UNC-运用此命令,你可以查看目标服务器上的共享点名字。例如,net view lx就是查看主机名为lx的计算机的共享点。nnet use 本地盘符 目标计算机共享点本命令用于建立或取消到达特定共享点的映像驱动器的连接。例如,你输入net use f:lxmp3
9、。二、常用端口号nFTP:20、21nssh:22ntelnet:23nsmtp:25nhttp:80nNetBIOS:139第四节 扫描n一、扫描的类型n二、端口扫描n三、系统扫描n四、漏洞扫描n五、手工扫描n六、扫描器的使用一、扫描的类型一、扫描的类型n按扫描的内容,可分为端口扫描、系统扫描、漏洞扫描。n按扫描的范围,可分为单机扫描、网断扫描。二、端口扫描二、端口扫描n“端口扫描”指用同一信息对目标计算机的所有所需扫描的端口进行发送,然后根据返回的端口状态来分析目标计算机的端口是否打开、是否可用。n端口扫描的功能:n发现一个计算机或网络的能力。n发现计算机上运行的服务的能力。n发现计算机上
10、存在的漏洞的能力。二、端口扫描n常用的扫描类型包括:nTCP SYN扫描nTCP FIN扫描nICMP扫描nUDP扫描n常用的端口扫描工具有SuperScanner、Pinger、hostname、reslover等。三、系统扫描三、系统扫描n系统扫描的目的是对目标的操作系统、提供各项服务所使用的软件、用户、系统配置信息等进行扫描。n系统扫描工具有:LANguard Network Security Scanner(LNSS)。四、漏洞扫描四、漏洞扫描n通过漏洞扫描器,系统管理员能够发现所维护服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的
11、安全漏洞。四、漏洞扫描四、漏洞扫描n所谓“漏洞”,是指非法用户未经授权获得访问或提高其访问层次的硬件或软件特征。n根据网络漏洞或脆弱性给系统带来的危害性的大小,漏洞可分为:允许拒绝服务的漏洞(C类)、允许有限的本地用户未经授权提高其权限的漏洞(B类)、允许外来团体(在远程主机上)未经授权访问网络的漏洞(A类)。四、漏洞扫描四、漏洞扫描n漏洞扫描工具分为主机漏洞扫描器和网络漏洞扫描器。n主机漏洞扫描器是指在本地运行检测系统漏洞的程序,如COPS、tripwire、tiger。n网络漏洞扫描器是指基于Internet远程检测目标网络和主机系统漏洞的程序,如Satan、ISS Internet Sc
12、anner等。五、手工扫描五、手工扫描nPingnnetstatntracert六、扫描器的使用六、扫描器的使用nNmapnXscanner一、NmapnNmap的安装。安装nmap之前,必须安装winpcap,它是一个“windows包捕获库”程序。nNmap的扫描方式nTCP connect端口扫描 nTCP同步端口扫描 nPing扫描 nUDP端口扫描一、Nmapn网段扫描。n设置扫描的超时时间。n设置扫描端口。二、X-Scanner n扫描模块n扫描参数n扫描日志第五节 监听与嗅探n一、监听的基本原理n二、监听的分类n三、本机监听n四、网段监听n五、嗅探器的使用一、监听的基本原理一、监
13、听的基本原理n将网卡设置成promiscuous“混杂”模式。n监听只能监听同一网断中的数据。一般嗅探、监听都安装在路由器或具有路由功能的主机上。或者,进入侵入另外一个网断。n防止监听:nSSH(security shell),在一个应用程序中提供安全通讯的协议。n划分网段,减少信任主机。二、监听的分类二、监听的分类n按分析的数据划分,可分为本机监听、网段监听、密文监听。n本机监听是对从本机网卡流入流出的数据进行监听。n网段监听是通过获取流过的数据包来分析网络通信状态。n密文监听是根据一定的过滤规则则获取密文。三、本机监听三、本机监听nnetstatnNetstat a nn天网防火墙的监听。
14、四、网段监听四、网段监听n确定监听获悉网络通信状况,分析网络中的数据流量,确定网络中通信、控制中枢。n发现主机之间的频繁、大量的数据传输,推测网段之间的信任关系。五、嗅探器的使用五、嗅探器的使用n1、NetXRayn2、SnifferPron选择嗅探的报文:地址、协议、关键字、报文大小。第六节第六节 口令破解口令破解n一、口令破解的方法n二、利用系统漏洞进行破解n三、利用字典进行破解n四、设置安全的口令一、口令破解的方法一、口令破解的方法n应用系统漏洞进行破解。n应用字典进行破解。n应用加密算法的逆算法进行破解。二、利用系统漏洞进行破解二、利用系统漏洞进行破解nwindow9x的共享目录漏洞。
15、n不区分大小写。n对口令的验证不是对整个字符串进行匹配验证,而是逐个字符进行验证。nFTP、Web站点的登陆口令。监听、嗅探工具,木马。三、利用字典进行破解三、利用字典进行破解n从字典中选择一次词,进行加密,将密文和密码进行比较,相同,则破解完成。n攻击时经常使用的口令形成一个字典。字典攻击效率的高低在于字典的安排。n按英文字母的规律编排。nLinux、Unix的密码至少是7位。(P252)nWinNT系统的口令缺陷:填充为14位密码,然后分成两个两个7位,分别进行加密,然后再串在一起。n口令破解工具有:PWDump,NTCrack,Lophtcrack。四、设置安全的口令四、设置安全的口令n不要使用用户名及其变形作为口令。n不要使用亲友的生日、名字、身份证件号码等作为口令。n不要只使用数字。n不要使用英文单词及其变形作为口令。n不要使用对称性密码。n不要使用小于7位的口令。n不要在所有系统中使用同一个口令。n口令要经常更新。
