1、主要内容 黑客概述黑客概述 网络扫描工具原理与使用网络扫描工具原理与使用 网络监听原理与工具网络监听原理与工具 木马木马 拒绝服务攻击拒绝服务攻击 缓冲区溢出缓冲区溢出 第2章 黑客常用的系统攻击方法 2.1 黑客的由来 一名黑客(hacker)是一个喜欢用智力通过创造性方法来挑战脑力极限的人,特别是他们所感兴趣的领域,例如电脑编程或电器工程。黑客最早源自英文hacker,早期在美国的电脑界是带有褒义的。但在媒体报导中,黑客一词往往指那些“软件骇客”(software cracker)。黑客一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。黑客原理与防范措施 黑客发展的历史
2、网络威胁 网络扫描 网络监听 常用黑客技术的原理(木马、缓冲区溢出等)黑客攻击的防范 信息安全威胁的发展趋势信息安全威胁的发展趋势 攻击复杂度与所需入侵知识关系图 2.1.2 2.1.2 黑客攻击的动机黑客攻击的动机 贪心贪心 偷窃或者敲诈,金融案件偷窃或者敲诈,金融案件 恶作剧恶作剧 无聊的计算机程序员无聊的计算机程序员 名声名声 显露出计算机经验与才智,以便证明他们的能力和获显露出计算机经验与才智,以便证明他们的能力和获得名气得名气 报复报复/宿怨宿怨 解雇、受批评或者被降级的雇员,或者其他解雇、受批评或者被降级的雇员,或者其他任何认为其被不公平地对待的人任何认为其被不公平地对待的人 无知
3、无知 失误和破坏了信息还不知道破坏了什么失误和破坏了信息还不知道破坏了什么 黑客道德黑客道德 -这是许多构成黑客人物的动机这是许多构成黑客人物的动机 仇恨仇恨 -国家和民族原因国家和民族原因 间谍间谍 政治和军事目的谍报工作政治和军事目的谍报工作 商业商业 商业竞争,商业间谍商业竞争,商业间谍 黑客守则黑客守则 1)不恶意破坏系统不恶意破坏系统 2)不修改系统文档不修改系统文档 3)不在不在bbs上谈论入侵事项上谈论入侵事项 4)不把要侵入的站点告诉不信任的朋友不把要侵入的站点告诉不信任的朋友 5)在在post文章时不用真名文章时不用真名 6)入侵时不随意离开用户主机入侵时不随意离开用户主机
4、7)不入侵政府机关系统不入侵政府机关系统 8)不在电话中谈入侵事项不在电话中谈入侵事项 9)将笔记保管好将笔记保管好 10)要成功就要实践要成功就要实践 11)不删除或涂改已入侵主机的帐号不删除或涂改已入侵主机的帐号 12)不与朋友分享已破解的帐号不与朋友分享已破解的帐号 2.1.3 2.1.3 黑客入侵攻击的一般过程黑客入侵攻击的一般过程 确定攻击的目标。确定攻击的目标。收集被攻击对象的有关信息。收集被攻击对象的有关信息。被攻击对象所在网络类型、被攻击对象所在网络类型、IP地址、操作系统类型和版地址、操作系统类型和版本、系统管理员的邮件地址等。本、系统管理员的邮件地址等。利用适当的工具进行扫
5、描。利用适当的工具进行扫描。扫描后对截获的数据进行分析,找出安全漏洞。扫描后对截获的数据进行分析,找出安全漏洞。建立模拟环境,进行模拟攻击。建立模拟环境,进行模拟攻击。进行模拟攻击,检查被攻击方的日志,攻击者确定删除进行模拟攻击,检查被攻击方的日志,攻击者确定删除哪些文件来消除攻击过程中留下的哪些文件来消除攻击过程中留下的“痕迹痕迹”。实施攻击。实施攻击。清除痕迹。清除痕迹。口令攻击口令攻击 通过猜测或获取口令文件等方式获得系统认证口令通过猜测或获取口令文件等方式获得系统认证口令 从而进入系统从而进入系统 危险口令类型危险口令类型 1 1)用户名)用户名 2 2)用户名变形)用户名变形 3 3
6、)生日)生日 4 4)常用英文单词)常用英文单词 5)5位位以下长度的口令以下长度的口令暴力破解:举例暴力破解:举例 NAT 网络安全扫描技术在网络安全行业中扮演的角色网络安全扫描技术在网络安全行业中扮演的角色(1 1)扫描软件是入侵者分析将被入侵系统的必备工)扫描软件是入侵者分析将被入侵系统的必备工具具 (2 2)扫描软件是系统管理员掌握系统安全状况的必)扫描软件是系统管理员掌握系统安全状况的必备工具备工具(3 3)扫描软件是网络安全工程师修复系统漏洞的主)扫描软件是网络安全工程师修复系统漏洞的主要工具要工具(4 4)扫描软件在网络安全的家族中可以说是扮演着)扫描软件在网络安全的家族中可以说
7、是扮演着医生的角色医生的角色 2.2 2.2 网络安全扫描技术网络安全扫描技术 网络安全扫描技术分类网络安全扫描技术分类 一一般的端口扫描器一一般的端口扫描器 二功能强大的特殊端口扫描器二功能强大的特殊端口扫描器 三三.其他系统敏感信息的扫描器其他系统敏感信息的扫描器 1.合法使用:检测自己服务器端口,以便给自合法使用:检测自己服务器端口,以便给自己提供更好的服务;己提供更好的服务;2.非法使用:查找服务器的端口,选取最快的非法使用:查找服务器的端口,选取最快的攻击端口攻击端口 预备知识-OSI模型和TCP/IP协议栈 TCP包首部 IP数据包16位总长度8位服务类型4位版本4位首部长度16位
8、标识32位源IP地址8位生存时间协议首部校验和13位片偏移标志32位目的IP地址IP选项(可选)填充数据 常用的扫描软件 X-scan nmap Fluxay ipscan 端口扫描程序Nmap Nmap简介简介 NmapNmap支持的四种最基本的扫描方式:支持的四种最基本的扫描方式:(1 1)PingPing扫描(扫描(-sP-sP参数)。参数)。(2 2)TCP connect()TCP connect()端口扫描(端口扫描(-sT-sT参数)。参数)。(3 3)TCPTCP同步(同步(SYNSYN)端口扫描()端口扫描(-sS-sS参数)。参数)。(4)UDP端口扫描(端口扫描(-sU参
9、数)。参数)。NMAP的介绍 Nmap是一个网络探测和安全扫描程序,系统是一个网络探测和安全扫描程序,系统管理者和个人可以使用这个软件扫描大型的网络,管理者和个人可以使用这个软件扫描大型的网络,获取那台主机正在运行以及提供什么服务等信息。获取那台主机正在运行以及提供什么服务等信息。nmap支持很多扫描技术,例如:支持很多扫描技术,例如:UDP、TCP connect()、TCP SYN(半开扫描半开扫描)、ftp代理代理(bounce攻击攻击)、反向标志、反向标志、ICMP、FIN、ACK扫扫描、圣诞树描、圣诞树(Xmas Tree)、SYN扫描和扫描和null扫描。扫描。从扫描类型一节可以得
10、到细节。从扫描类型一节可以得到细节。nmap还提供了一还提供了一些高级的特征,例如:通过些高级的特征,例如:通过TCP/IP协议栈特征探测协议栈特征探测操作系统类型,秘密扫描,动态延时和重传计算,操作系统类型,秘密扫描,动态延时和重传计算,并行扫描,通过并行并行扫描,通过并行ping扫描探测关闭的主机,诱扫描探测关闭的主机,诱饵扫描,避开端口过滤检测,直接饵扫描,避开端口过滤检测,直接RPC扫描扫描(无须无须端口影射端口影射),碎片扫描,以及灵活的目标和端口设定,碎片扫描,以及灵活的目标和端口设定.Nmap运行通常会得到被扫描主机端口的列表。运行通常会得到被扫描主机端口的列表。nmap总会给出
11、总会给出well known端口的服务名端口的服务名(如果可如果可能能)、端口号、状态和协议等信息。每个端口的状态、端口号、状态和协议等信息。每个端口的状态有:有:open、filtered、unfiltered。open状态意味状态意味着目标主机能够在这个端口使用着目标主机能够在这个端口使用accept()系统调用系统调用接受连接。接受连接。filtered状态表示:防火墙、包过滤和其状态表示:防火墙、包过滤和其它的网络安全软件掩盖了这个端口,禁止它的网络安全软件掩盖了这个端口,禁止 nmap探探测其是否打开。测其是否打开。unfiltered表示:这个端口关闭,表示:这个端口关闭,并且没有
12、防火墙并且没有防火墙/包过滤软件来隔离包过滤软件来隔离nmap的探测企的探测企图。通常情况下,端口的状态基本都是图。通常情况下,端口的状态基本都是unfiltered状态,只有在大多数被扫描的端口处于状态,只有在大多数被扫描的端口处于filtered状态状态下,才会显示处于下,才会显示处于unfiltered状态的端口。状态的端口。nmap sP IP地址地址 ping扫描,有时用户只想知道某一时段的扫描,有时用户只想知道某一时段的哪些主机正在运行。哪些主机正在运行。Nmap通过向用户指定通过向用户指定的网络内的每个的网络内的每个IP地址发送地址发送ICMP request请请求数据包,若主正
13、在运行就会作出相应。求数据包,若主正在运行就会作出相应。ICMP包本身是一个广播包,无端口概念,非包本身是一个广播包,无端口概念,非常适合用来检测指定网段内正在运行的主机常适合用来检测指定网段内正在运行的主机数量。数量。Nmap扫描类型(dos系统)nmap sT IP地址地址 TCP connect()扫描:这是最基本的扫描:这是最基本的TCP扫描方式。扫描方式。connect()是一种系统调用,是一种系统调用,由操作系统提供,用来打开一个连接。如果由操作系统提供,用来打开一个连接。如果目标端口有程序监听,目标端口有程序监听,connect()就会成功就会成功返回,否则这个端口是不可达的。任
14、何返回,否则这个端口是不可达的。任何UNIX用户都可以自由使用这个系统调用。这种扫用户都可以自由使用这个系统调用。这种扫描很容易被检测到,在目标主机的日志中会描很容易被检测到,在目标主机的日志中会记录大批的连接请求以及错误信息。记录大批的连接请求以及错误信息。nmap sS IP地址地址 TCP同步扫描同步扫描(TCP SYN):因为不必全部打开:因为不必全部打开一个一个TCP连接,所以这项技术通常称为半开扫描连接,所以这项技术通常称为半开扫描(half-open)。你可以发出一个。你可以发出一个TCP同步包同步包(SYN),然后等待回应。如果对方返回然后等待回应。如果对方返回SYN|ACK(
15、响应响应)包就包就表示目标端口正在监听;如果返回表示目标端口正在监听;如果返回RST数据包,就数据包,就表示目标端口没有监听程序;如果收到一个表示目标端口没有监听程序;如果收到一个SYN|ACK包,源主机就会马上发出一个包,源主机就会马上发出一个RST(复位复位)数据包断开和目标主机的连接,这实际上有我们的数据包断开和目标主机的连接,这实际上有我们的操作系统内核自动完成的。这项技术最大的好处是,操作系统内核自动完成的。这项技术最大的好处是,很少有系统能够把这记入系统日志。不过,你需要很少有系统能够把这记入系统日志。不过,你需要root权限来定制权限来定制SYN数据包。数据包。nmap sU I
16、P地址地址 UDP扫描。此扫描方式用来确定被测目标扫描。此扫描方式用来确定被测目标主机哪个主机哪个UDP端口开启。这一技术以发送零端口开启。这一技术以发送零字节的字节的UDP信息包到目标主机的各个端口,信息包到目标主机的各个端口,若收到一个若收到一个ICMP端口无法到达的回应,那么端口无法到达的回应,那么此端口是关闭的,否则可以认为此端口是开此端口是关闭的,否则可以认为此端口是开启的。启的。windows系统 (1 1)CGI ScannerCGI Scanner(2 2)Asp ScannerAsp Scanner(3 3)从各个主要端口取得服务信息的)从各个主要端口取得服务信息的Scann
17、erScanner(4 4)获取操作系统敏感信息的)获取操作系统敏感信息的ScannerScanner(5 5)数据库)数据库ScannerScanner(6 6)远程控制系统扫描器)远程控制系统扫描器专用扫描器的介绍专用扫描器的介绍 企业级扫描系统企业级扫描系统一优秀网络安全扫描系统的介绍:一优秀网络安全扫描系统的介绍:(1 1)ISS ISS 公司的公司的Internet ScannerInternet Scanner (2 2)NAI NAI 公司的公司的cybercop Scannercybercop Scanner二系统(本地)扫描器和远程扫描器二系统(本地)扫描器和远程扫描器 (1
18、 1)速度)速度 (2 2)对系统的负面影响)对系统的负面影响 (3 3)能够发现的漏洞数量)能够发现的漏洞数量 (4 4)清晰性和解决方案的可行性)清晰性和解决方案的可行性 (5 5)更新周期)更新周期 (6 6)所需软硬件环境要求)所需软硬件环境要求 (7 7)界面的直观性和易用性)界面的直观性和易用性 (8 8)覆盖范围)覆盖范围 网络安全扫描软件的局限性网络安全扫描软件的局限性(1 1)扫描器难以智能化)扫描器难以智能化 ,不能完全代替,不能完全代替人工分析人工分析 (2 2)扫描器依赖升级工作,才能确保长期)扫描器依赖升级工作,才能确保长期的有效性的有效性 (3 3)使用扫描器,必须
19、考虑到有关法律的)使用扫描器,必须考虑到有关法律的规定和限制,不能滥用规定和限制,不能滥用 总结总结(1 1)扫描器和其它产品一样,只是一个工具,扫描器和其它产品一样,只是一个工具,我们不能完全依赖他的工作,人的因素也是我们不能完全依赖他的工作,人的因素也是至关重要的。至关重要的。(2 2)扫描器能够发挥的功能取决于人,人的扫描器能够发挥的功能取决于人,人的工作是大量的同时是必不可少的。只有人的工作是大量的同时是必不可少的。只有人的努力才能够确保扫描器功能的强大。努力才能够确保扫描器功能的强大。(3 3)扫描器质量的好坏,在于开发公司在安扫描器质量的好坏,在于开发公司在安全实践中积累的经验和更
20、新能力。全实践中积累的经验和更新能力。补充:补充:数据进入协议栈时的封装过程数据进入协议栈时的封装过程 SMB:Server Message Block protocol 服务器信息块(SMB)协议是一种IBM协议,用于在计算机间共享文件、打印机、串口等。SMB 协议可以用在因特网的TCP/IP协议之上,也可以用在其它网络协议如IPX(互联网分组交换协议)和NetBEUI(NetBios Enhanced User Interface,或NetBios增强用户接口)之上。SMB 一种客户机/服务器、请求/响应协议。通过 SMB 协议,客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及
21、对服务器程序提出服务请求。在 TCP/IP 环境下,客户机通过 NetBIOS over TCP/IP(或 NetBEUI/TCP 或 SPX/IPX)连接服务器。一旦连接成功,客户机可发送 SMB 命令到服务器上,从而客户机能够访问共享目录、打开文件、读写文件,以及一切在文件系统上能做的所有事情。从 Windows 95 开始,Microsoft Windows 操作系统(operating system)都包括了客户机和服务器 SMB 协议支持。TCP工作过程TCP分三个阶段分三个阶段第一阶段:连接建立(三次握手)第一阶段:连接建立(三次握手)第二阶段:数据传输第二阶段:数据传输第三阶段:
22、连接拆除(四次握手)第三阶段:连接拆除(四次握手)TCP三次握手三次握手 传输控制协议传输控制协议(Transport Control Protocol)是一种面向连接的,可靠的传输层是一种面向连接的,可靠的传输层协议。面向连接是指一次正常的协议。面向连接是指一次正常的TCP传输需传输需要通过在要通过在TCP客户端和客户端和TCP服务端建立特定服务端建立特定的的虚电路虚电路连接来完成,该过程通常被称为连接来完成,该过程通常被称为“三次握手三次握手”。此处可靠性数据序列和确认。此处可靠性数据序列和确认提供保证。提供保证。TCP通过数据分段通过数据分段(Segment)中中的序列号保证所有传输的数
23、据可以在远端按的序列号保证所有传输的数据可以在远端按照正常的次序进行重组,而且通过确认保证照正常的次序进行重组,而且通过确认保证数据传输的完整性。要通过数据传输的完整性。要通过TCP传输数据,传输数据,必须在两端主机之间建立连接。必须在两端主机之间建立连接。FINFIN的的ACK FINFIN的的ACK客户端客户端服务器端服务器端TCP连接的拆除连接的拆除TCP连接是全双工(数据在两个方向上能同时传输)连接是全双工(数据在两个方向上能同时传输)TCP和UDP区别 TCP的传输是可靠的,的传输是可靠的,UDP的传输是不可靠的。的传输是不可靠的。TCP在发送数据包前都在通信双方有一个三次在发送数据
24、包前都在通信双方有一个三次握手机制,确保双方准备好,在传输数据包期间,握手机制,确保双方准备好,在传输数据包期间,TCP会根据链路中数据流量的大小来调节传送的速会根据链路中数据流量的大小来调节传送的速率,传输时如果发现有丢包,会有严格的重传机制,率,传输时如果发现有丢包,会有严格的重传机制,从而以保证数据包可靠的传输。从而以保证数据包可靠的传输。对对UDP来说,发送端有数据包我就发送,不会来说,发送端有数据包我就发送,不会去理会对端的承受能力和链路状况。去理会对端的承受能力和链路状况。不同的应用层协议可能基于不同的传输层协议,不同的应用层协议可能基于不同的传输层协议,如如FTP、TELNET、
25、SMTP、HTTP协议基于可靠的协议基于可靠的TCP协议。协议。TFTP、SNMP、RIP基于不可靠的基于不可靠的UDP协议。协议。TCP和和UDP的端口号的编号都是独立的,都是的端口号的编号都是独立的,都是065535。例如。例如DNS,可以是,可以是TCP的的53号端口,也号端口,也可以是可以是UDP的的53号端口。端口号只具有本地意义,号端口。端口号只具有本地意义,是拿来标识程序的。只有是拿来标识程序的。只有01023是公认的系统占用,是公认的系统占用,其他在通信过程中是随机生成,此次传输完成即撤其他在通信过程中是随机生成,此次传输完成即撤消。消。Echo Protocol应答协议应答协
26、议注解:主要用于调试和检测中。它可以基于注解:主要用于调试和检测中。它可以基于TCP协协议,服务器就在议,服务器就在TCP端口端口7检测有无消息,如果使检测有无消息,如果使用用UDP协议,基本过程和协议,基本过程和TCP一样,检测的端口也一样,检测的端口也是是7。是路由也是网络中最常用的数据包,可以通。是路由也是网络中最常用的数据包,可以通过发送过发送echo包知道当前的连接节点有那些路径,并包知道当前的连接节点有那些路径,并且通过往返时间能得出路径长度。且通过往返时间能得出路径长度。TCP和和UDP的端口号的端口号 补充:网卡工作原理补充:网卡工作原理 网卡工作在数据链路层,数据以帧为单位网
27、卡工作在数据链路层,数据以帧为单位传输。(帧头包括源和目的传输。(帧头包括源和目的MAC地址)地址)网卡先接收数据头的目的网卡先接收数据头的目的MAC地址,根地址,根据计算机上的网卡驱动程序设置的接收模式判据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就在接收后产生中断该不该接收,认为该接收就在接收后产生中断信号通知断信号通知CPU,认为不该接收就丢弃不管。,认为不该接收就丢弃不管。CPU得到中断信号产生中断,操作系统就根据得到中断信号产生中断,操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放
28、入驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。信号堆栈让操作系统处理。2.3 网络监听原理与工具网络监听原理与工具 网卡的工作模式网卡的工作模式 普通方式:前面所讲。普通方式:前面所讲。混杂模式(混杂模式(promiscuouspromiscuous):能够接收到):能够接收到所有通过它的数据。网卡不管数据包头所有通过它的数据。网卡不管数据包头的内容,让所有经过的数据包都传给操的内容,让所有经过的数据包都传给操作系统处理,这样网卡就可以捕获所有作系统处理,这样网卡就可以捕获所有经过网卡的数据帧。经过网卡的数据帧。Sniffer原理原理 SnifferSniffer,中文可以
29、翻译为嗅探器,中文可以翻译为嗅探器,也就是我也就是我们所说的数据包捕获器。们所说的数据包捕获器。采用这种技术,我们可以监视网络的状态、采用这种技术,我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。数据流动情况以及网络上传输的信息等等。Username:herma009Password:hiHKK234 以太网(以太网(HUB)v FTPv Loginv Mail普通用户A服务器C嗅探者B网网络络监监听听原原理理Username:herma009Password:hiHKK234 网络监听原理网络监听原理一个一个sniffer需要做的工作:需要做的工作:把网卡置于混杂模式。把网卡置
30、于混杂模式。捕获数据包。捕获数据包。1.1.分析数据包分析数据包 HUB工作原理 交换机的工作原理:存储/转发 转发数据包前,交换机首先发送广播,转发数据包前,交换机首先发送广播,让所有与交换机相连的主机都把自己的让所有与交换机相连的主机都把自己的mac地址发送给他,这样交换机就知道哪个地址发送给他,这样交换机就知道哪个mac地址对应哪个端口(地址对应哪个端口(mac地址表地址表),假如你要,假如你要给端口给端口8发信息,你先把信息发给交换机,交发信息,你先把信息发给交换机,交换机先接收并存储起来,然后他通过换机先接收并存储起来,然后他通过mac地地址表,查找与端口址表,查找与端口8相连的电脑
31、,然后把信息相连的电脑,然后把信息传给相应的端口,这样就完成了信息的转发。传给相应的端口,这样就完成了信息的转发。交换机不支持镜像时的SNIFF 交换机支持镜像时的SNIFF ARP spoofUsername:herma009Password:hiHKK234 switchv FTP普通用户AIP:10.1.1.2MAC:20-53-52-43-00-02服务器CIP:10.1.1.1MAC:20-53-52-43-00-01 嗅探者BIP:10.1.1.3MAC:20-53-52-43-00-03Switch的的MAC地址表地址表router 常用的常用的SNIFF (1)windows环
32、境下环境下:图形界面的图形界面的SNIFF netxray sniffer pro(2)UNUX环境下环境下:UNUX环境下的环境下的sniff可以说是百花齐放,他们都有一个好处就是可以说是百花齐放,他们都有一个好处就是发布源代码,当然也都是免费的发布源代码,当然也都是免费的。如如sniffit,snoop,tcpdump,dsniff Ettercap(交换环境下交换环境下)常用的常用的SNIFF Sniffer Pro Ethereal Net monitor EffTech HTTP Sniffer Iris 如何防止SNIFF 进行合理的网络分段进行合理的网络分段 用用SSH(Secu
33、re Socket Layer)加密)加密 Sniffer往往是入侵系统后使用的,用来收集往往是入侵系统后使用的,用来收集信息,因此防止系统被突破。信息,因此防止系统被突破。防止内部攻击。防止内部攻击。AntiSniff 工具用于检测局域网中是否有机器工具用于检测局域网中是否有机器处于混杂模式处于混杂模式(不是免费的)(不是免费的)Ethereal/Wireshark分析数据包步骤:分析数据包步骤:(1)选择数据包)选择数据包 (2)分析数据包)分析数据包 (3)分析数据包内容)分析数据包内容 2.4 木马(Trojan horse)木马是一种基于远程控制的黑客工具木马是一种基于远程控制的黑客
34、工具 隐蔽性隐蔽性 潜伏性潜伏性 危害性危害性 非授权性非授权性 木马与病毒的区别 病毒程序是以病毒程序是以自发性自发性的败坏为目的的败坏为目的 木马程序是依照黑客的命令来运作,主要目木马程序是依照黑客的命令来运作,主要目的是偷取文件、机密数据、个人隐私等行为。的是偷取文件、机密数据、个人隐私等行为。2.4.1 木马的工作原理 常见木马是常见木马是C/S(Client/Server)C/S(Client/Server)模式的程模式的程序(里应外合)序(里应外合)操作系统被植入木马的PC(server程序)TCP/IP协议端口被植入木马的PC(client程序)操作系统TCP/IP协议端口端口处
35、于监听状态端口处于监听状态控制端控制端 Server程序通过打开特定的端口(后门)程序通过打开特定的端口(后门)进行进行监听监听(Listen),攻击者掌握的,攻击者掌握的client程序程序向该端口发出请求向该端口发出请求(connect request),木马,木马便和他连接起来,攻击者就可以使用便和他连接起来,攻击者就可以使用控制器控制器进入计算机,通过进入计算机,通过client程序命令对服务器端程序命令对服务器端进行控制。进行控制。2.4.2 木马的分类 远程访问型木马远程访问型木马 远程访问被攻击者的硬盘、进行屏幕监远程访问被攻击者的硬盘、进行屏幕监视等,当运行视等,当运行serv
36、er程序时,若程序时,若client获知服获知服务器端务器端IP地址,就可以实行远程控制。利用地址,就可以实行远程控制。利用程序可以实现观察程序可以实现观察“受害者受害者”正在干什么,正在干什么,当然这个程序完全可以用在正道上的,比如当然这个程序完全可以用在正道上的,比如监视学生机的操作。监视学生机的操作。密码发送型木马密码发送型木马 找到隐藏的密码,在被攻击者不知情的找到隐藏的密码,在被攻击者不知情的情况下将密码发到指定的邮箱。情况下将密码发到指定的邮箱。键盘记录木马键盘记录木马 记录被攻击者的键盘敲击并在记录被攻击者的键盘敲击并在LOG文件文件查找密码。查找密码。破坏型木马破坏型木马 惟一
37、的功能就是破坏、删除文件,可以惟一的功能就是破坏、删除文件,可以自动的删除电脑上的自动的删除电脑上的DLL、INI、EXE文件。文件。(威胁计算机安全)(威胁计算机安全)代理木马代理木马 黑客找到一台毫不知情的计算机,给它黑客找到一台毫不知情的计算机,给它种上代理木马,让该计算机变成攻击者发动种上代理木马,让该计算机变成攻击者发动攻击的跳板。黑客会隐藏自己的踪迹。攻击的跳板。黑客会隐藏自己的踪迹。FTP木马木马 打开打开21端口,等待用户连接。端口,等待用户连接。2.4.3 木马实施攻击的步骤 配置木马配置木马 (1 1)木马伪装:木马配置程序在服务器端采用)木马伪装:木马配置程序在服务器端采
38、用修改图标、捆绑文件、定制端口等伪装手段将自修改图标、捆绑文件、定制端口等伪装手段将自己隐藏。己隐藏。(2 2)信息反馈:木马配置程序对信息反馈或地)信息反馈:木马配置程序对信息反馈或地址进行设置(邮件地址、址进行设置(邮件地址、IRCIRC号(号(Internet Relay Chat)、ICQICQ号号(聊天软件,名称来自聊天软件,名称来自I seek you))。)。传播木马传播木马 传播方式主要有两种:一种是通过传播方式主要有两种:一种是通过E-MAIL,控制,控制端将木马程序以附件的形式夹在邮件中发送出去,收端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木
39、马;另一种是软件信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,一运行这些程木马捆绑在软件安装程序上,下载后,一运行这些程序,木马就会自动安装。序,木马就会自动安装。启动木马启动木马 服务端用户运行木马或捆绑木马的程序后,木马服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到就会自动进行安装。首先将自身拷贝到WINDOWS的的系统文件夹中系统文件夹中(C:WINDOWS或或C:WINDOWSSYSTEM目录下目录下),然后在注册表,启动组,非启动
40、组中设置好,然后在注册表,启动组,非启动组中设置好木马的木马的触发条件触发条件,这样木马的安装就完成了。安装后就这样木马的安装就完成了。安装后就可以启动木马了。可以启动木马了。建立连接建立连接 木马连接的建立首先必须满足两个条件:木马连接的建立首先必须满足两个条件:一是服务端已安装了木马程序;一是服务端已安装了木马程序;二是控制端,服务端都要在线二是控制端,服务端都要在线。在此基础上控制。在此基础上控制端可以通过木马端口与服务端建立连接。端可以通过木马端口与服务端建立连接。假设假设A机为控制端,机为控制端,B机为服务端,对于机为服务端,对于A机机来说要与来说要与B机建立连接必须知道机建立连接必
41、须知道B机的木马端口和机的木马端口和IP地地 址,由于木马端口是址,由于木马端口是A机事先设定的,为已机事先设定的,为已知项,所以最重要的是如何获得知项,所以最重要的是如何获得B机的机的IP地址。获地址。获得得B机的机的IP地址的方法主要有两种:信息反馈和地址的方法主要有两种:信息反馈和IP扫描。扫描。远程控制远程控制 远程控制远程控制 木马连接建立后,控制端端口和木马端口之间木马连接建立后,控制端端口和木马端口之间将会出现一条通道。将会出现一条通道。控制端上的控制端程序可借这条通道与服务端控制端上的控制端程序可借这条通道与服务端上的木马程序取得联系,并通过木马程序对服务上的木马程序取得联系,
42、并通过木马程序对服务端进行远程控制,实现窃取密码、文件操作、修端进行远程控制,实现窃取密码、文件操作、修改注册表、系统操作、锁住服务器等。改注册表、系统操作、锁住服务器等。2.4.4 木马伪装方法1.1.木马文件的隐藏与伪装木马文件的隐藏与伪装 (1 1)文件的位置)文件的位置 木马的服务器程序文件一般在系统文件所处的木马的服务器程序文件一般在系统文件所处的目录下,这样不敢随意删除,如果误删会导致计算目录下,这样不敢随意删除,如果误删会导致计算机崩溃。机崩溃。(2 2)文件的属性文件的属性 木马文件属性设置为隐藏。木马文件属性设置为隐藏。(3 3)捆绑到其他文件上捆绑到其他文件上 将木马捆绑到
43、一个安装程序上,当安装程序运将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。被捆绑的文件一般是可执行文件了系统。被捆绑的文件一般是可执行文件(即即EXE,COM一类的文件一类的文件)。(4 4)文件的名字文件的名字 木马文件名使用常见的文件名和扩展名,木马文件名使用常见的文件名和扩展名,或者仿制一些不易被区别的文件名(如仿制或者仿制一些不易被区别的文件名(如仿制系统文件名系统文件名kernel32.dllkernel32.dll)。)。(5 5)文件的图标文件的图标 木马运行中的隐藏木马运行中的隐藏(1 1
44、)在任务栏里隐藏)在任务栏里隐藏(2 2)在任务管理器里隐藏)在任务管理器里隐藏 木马将自己设为木马将自己设为“系统服务系统服务”就不会出就不会出现在任务管理器了。现在任务管理器了。(3 3)隐藏端口)隐藏端口 由木马的服务端主动连接客户端所在由木马的服务端主动连接客户端所在IP对应的电脑的对应的电脑的80端口。相信没有哪个防火墙端口。相信没有哪个防火墙会拦截这样的连接(因为它们一般认为这是会拦截这样的连接(因为它们一般认为这是用户在浏览网页),所以反弹端口型木马可用户在浏览网页),所以反弹端口型木马可以穿过防火墙。以穿过防火墙。木马木马启动方式启动方式 win.ini system.ini
45、启动组启动组 注册表注册表 捆绑方式启动捆绑方式启动 伪装在普通文件中伪装在普通文件中 设置在超级连接中设置在超级连接中 2.4.6 木马的检测 查看端口查看端口 检查注册表检查注册表 检查配置文件检查配置文件 发现木马的方法 系统的异常情况系统的异常情况 打开文件,打开文件,没有任何反应没有任何反应 查看打开的端口查看打开的端口 检查注册表检查注册表 查看进程查看进程 防御 发现木马:检查系统文件、注册表、端口发现木马:检查系统文件、注册表、端口 不要轻易使用来历不明的软件不要轻易使用来历不明的软件 不熟悉的不熟悉的E-MAIL不打开不打开 常用杀毒软件并及时升级常用杀毒软件并及时升级 查在
46、安装新的软件之前,请先备份注册表在安装完查在安装新的软件之前,请先备份注册表在安装完软件以后,立即用杀毒软件查杀软件以后,立即用杀毒软件查杀Windows文件夹和文件夹和所安装的软件的所在文件夹。如果杀毒软件报告有所安装的软件的所在文件夹。如果杀毒软件报告有病毒,这时请将它杀掉,杀毒完成后,重新启动计病毒,这时请将它杀掉,杀毒完成后,重新启动计算机算机 木马传播方式主动与被动:主动与被动:主动种入主动种入 通过通过Email 文件下载文件下载 浏览网页浏览网页 流行木马简介流行木马简介 冰冰 河河 back orificeback orifice SubsevenSubseven 网络公牛网络
47、公牛(Netbull)(Netbull)网络神偷网络神偷(Nethief)(Nethief)Netspy(Netspy(网络精灵网络精灵)拒绝服务攻击即攻击者想办法让目标机拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之。器停止提供服务,是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。属于拒绝服务攻击。攻击者进行拒绝服务攻攻击者进行拒绝服务攻击,实际上
48、让服务器实现两种效果:一是迫击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二使服务器的缓冲区满,不接收新的请求;二是使用是使用IP欺骗,迫使服务器把合法用户的连欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。接复位,影响合法用户的连接。2.5 拒绝服务攻击拒绝服务攻击(DoS)从网络攻击的各种方法和所产生的破坏从网络攻击的各种方法和所产生的破坏情况来看,情况来看,DoS攻击对攻击对ISP、电信部门、电信部门、DNS服务器、服务器、Web服务器、防火墙的影响非服务器、防火墙的影响非常大。常大。DoS攻击的目的就是拒绝服务访问,破攻击的目的就是拒绝服务访问,破
49、坏组织的正常运行,最终使部分坏组织的正常运行,最终使部分Internet连连接和网络系统失效。接和网络系统失效。黑客黑客DoS攻击的目的:攻击的目的:(1)使服务器崩溃,其他人不能访问)使服务器崩溃,其他人不能访问 (2)黑客为了冒充某个服务器,将之瘫痪)黑客为了冒充某个服务器,将之瘫痪 (3)DoS攻击重启服务器,便于安装的攻击重启服务器,便于安装的木马启动木马启动 DoS-Denial of Service DoS攻击的事件攻击的事件:2000年年2月份的月份的Yahoo、亚马逊、亚马逊、CNN被被DoS攻击攻击 2002年年10月全世界月全世界13台台DNS服务器同时受到服务器同时受到了
50、了DDoS(分布式拒绝服务)攻击。(分布式拒绝服务)攻击。2003年年1月月25日的日的“2003蠕虫王蠕虫王”病毒病毒 2004年年8月,月,共同社报道:日本近期共有上共同社报道:日本近期共有上百网站遭到黑客袭击。百网站遭到黑客袭击。DoS攻击分类 死亡之死亡之ping:“ICMP风暴风暴”SYN Flood攻击:攻击:疯狂发疯狂发SYN包,不返回包,不返回ACK包包 Land攻击:特别的攻击:特别的SYN包(源包(源IP地址和目的地址和目的IP地址设置成被攻击服务器的地址设置成被攻击服务器的IP)泪珠攻击(泪珠攻击(Teardrop)拒绝服务攻击拒绝服务攻击(DoS)(DoS)(控制控制)
