1、1/29/2023黑客攻击与防范2l黑客攻击的目的、黑客攻击的三个阶段黑客攻击的目的、黑客攻击的三个阶段l黑客攻击的常用工具、黑客攻击的防备黑客攻击的常用工具、黑客攻击的防备l网络监听及其检测网络监听及其检测l扫描器及其使用扫描器及其使用l来自来自E-mail的攻击、的攻击、E-mail的安全策略的安全策略l特洛伊木马程序及其检测、删除特洛伊木马程序及其检测、删除1/29/2023黑客攻击与防范91黑客往往使用扫描器黑客往往使用扫描器2黑客经常利用一些别人使用过的并在安黑客经常利用一些别人使用过的并在安全领域广为人知的技术和工具。全领域广为人知的技术和工具。3黑客利用黑客利用Internet站
2、点上的有关文章站点上的有关文章4黑客利用监听程序黑客利用监听程序5黑客利用网络工具进行侦察黑客利用网络工具进行侦察6黑客自己编写工具黑客自己编写工具1/29/2023黑客攻击与防范10l网络监听网络监听l扫描器扫描器1/29/2023黑客攻击与防范111.网络监听简介网络监听简介 所谓网络监听就是获取在网络上传所谓网络监听就是获取在网络上传输的信息。通常,这种信息并不是特定输的信息。通常,这种信息并不是特定发给自己计算机的。一般情况下,系统发给自己计算机的。一般情况下,系统管理员为了有效地管理网络、诊断网络管理员为了有效地管理网络、诊断网络问题而进行网络监听。然而,黑客为了问题而进行网络监听。
3、然而,黑客为了达到其不可告人的目的,也进行网络监达到其不可告人的目的,也进行网络监听。听。1/29/2023黑客攻击与防范122.在以太网中的监听在以太网中的监听(1)以太网中信息传输的原理。)以太网中信息传输的原理。以太网协议的工作方式:发送信息时,发以太网协议的工作方式:发送信息时,发送方将对所有的主机进行广播,广播包的包头送方将对所有的主机进行广播,广播包的包头含有目的主机的物理地址,如果地址与主机不含有目的主机的物理地址,如果地址与主机不符,则该主机对数据包不予理睬,只有当地址符,则该主机对数据包不予理睬,只有当地址与主机自己的地址相同时主机才会接受该数据与主机自己的地址相同时主机才会
4、接受该数据包,但网络监听程序可以使得主机对所有通过包,但网络监听程序可以使得主机对所有通过它的数据进行接受或改变。它的数据进行接受或改变。1/29/2023黑客攻击与防范13(2)监听模式的设置)监听模式的设置 要使主机工作在监听模式下,需要向网络要使主机工作在监听模式下,需要向网络接口发送接口发送I/O控制命令;将其设置为监听模式。控制命令;将其设置为监听模式。在在UNIX系统中,发送这些命令需要超级用户系统中,发送这些命令需要超级用户的权限。在的权限。在UNIX系统中普通用户是不能进行系统中普通用户是不能进行网络监听的。但是,在上网的网络监听的。但是,在上网的Windows 95中,中,则
5、没有这个限制。只要运行这一类的监听软件则没有这个限制。只要运行这一类的监听软件即可,而且具有操作方便,对监听到信息的综即可,而且具有操作方便,对监听到信息的综合能力强的特点。合能力强的特点。1/29/2023黑客攻击与防范14(3)网络监听所造成的影响)网络监听所造成的影响 网络监听使得进行监听的机器响应网络监听使得进行监听的机器响应速度变得非常慢速度变得非常慢 1/29/2023黑客攻击与防范15(1)snoop snoop可以截获网络上传输的数据包,并显可以截获网络上传输的数据包,并显示这些包中的内容。它使用网络包过滤功能和示这些包中的内容。它使用网络包过滤功能和缓冲技术来提供有效的对网络
6、通信过滤的功能。缓冲技术来提供有效的对网络通信过滤的功能。那些截获的数据包中的信息可以在它们被截获那些截获的数据包中的信息可以在它们被截获时显示出来,也可以存储在文件中,用于以后时显示出来,也可以存储在文件中,用于以后的检查。的检查。Snoop可以以单行的形式只输出数据包的可以以单行的形式只输出数据包的总结信息,也可以以多行的形式对包中信息详总结信息,也可以以多行的形式对包中信息详细说明。细说明。1/29/2023黑客攻击与防范162Sniffit软件软件Sniffit是由是由Lawrence Berkeley实验室开发实验室开发的,运行于的,运行于Solaris、SGI和和Linux等平台等
7、平台的一种免费网络监听软件,具有功能强的一种免费网络监听软件,具有功能强大且使用方便的特点。使用时,用户可大且使用方便的特点。使用时,用户可以选择源、目标地址或地址集合,还可以选择源、目标地址或地址集合,还可以选择监听的端口、协议和网络接口等。以选择监听的端口、协议和网络接口等。1/29/2023黑客攻击与防范17方法一:方法一:对于怀疑运行监听程序的机器,用正确的对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去地址和错误的物理地址去ping,运行监听程序,运行监听程序的机器会有响应。这是因为正常的机器不接收的机器会有响应。这是因为正常的机器不接收错误的物理地址,处于监听状态的机
8、器能接收。错误的物理地址,处于监听状态的机器能接收。如果他的如果他的IP stack不再次反向检查的话,就会不再次反向检查的话,就会响应。这种方法依赖于系统的响应。这种方法依赖于系统的IP stack,对一,对一些系统可能行不通。些系统可能行不通。1/29/2023黑客攻击与防范18方法二:方法二:往网上发大量不存在的物理地址的包,由于往网上发大量不存在的物理地址的包,由于监听程序将处理这些包,将导致性能下降。通监听程序将处理这些包,将导致性能下降。通过比较前后该机器性能(过比较前后该机器性能(icmp echo delay等方法)等方法)加以判断。这种方法难度比较大。加以判断。这种方法难度比
9、较大。方法三:方法三:一个看起来可行的检查监听程序的方法是搜一个看起来可行的检查监听程序的方法是搜索所有主机上运行的进程。那些使用索所有主机上运行的进程。那些使用DOS、Windows for Workgroup或者或者Windows 95的机器的机器很难做到这一点。而使用很难做到这一点。而使用UNIX和和Windows NT的机器可以很容易地得到当前进程的清单。的机器可以很容易地得到当前进程的清单。1/29/2023黑客攻击与防范19方法四:方法四:另外一个办法就是去搜索监听程序,另外一个办法就是去搜索监听程序,入侵者很可能使用的是一个免费软件。入侵者很可能使用的是一个免费软件。管理员就可以
10、检查目录,找出监听程序,管理员就可以检查目录,找出监听程序,但这很困难而且很费时间。在但这很困难而且很费时间。在UNIX系统系统上,人们可能不得不自己编写一个程序。上,人们可能不得不自己编写一个程序。另外,如果监听程序被换成另一个名字,另外,如果监听程序被换成另一个名字,管理员也不可能找到这个监听程序。管理员也不可能找到这个监听程序。1/29/2023黑客攻击与防范201.扫描器简介扫描器简介 扫描器是自动检测远程或本地主机安全性漏洞的程扫描器是自动检测远程或本地主机安全性漏洞的程序包。序包。使用扫描器,不仅可以很快地发现本地主机系统配使用扫描器,不仅可以很快地发现本地主机系统配置和软件上存在
11、的安全隐患,而且还可以不留痕迹地置和软件上存在的安全隐患,而且还可以不留痕迹地发现远在另一个半球的一台主机的安全性漏洞,这种发现远在另一个半球的一台主机的安全性漏洞,这种自动检测功能快速而准确。自动检测功能快速而准确。扫描器和监听工具一样,不同的人使用会有不同的扫描器和监听工具一样,不同的人使用会有不同的结果:如果系统管理员使用了扫描器,它将直接有助结果:如果系统管理员使用了扫描器,它将直接有助于加强系统安全性;而对于黑客来说,扫描器是他们于加强系统安全性;而对于黑客来说,扫描器是他们进行攻击入手点,不过,由于扫描器不能直接攻击网进行攻击入手点,不过,由于扫描器不能直接攻击网络漏洞,所以黑客使
12、用扫描器找出目标主机上各种各络漏洞,所以黑客使用扫描器找出目标主机上各种各样的安全漏洞后,利用其他方法进行恶意攻击。样的安全漏洞后,利用其他方法进行恶意攻击。1/29/2023黑客攻击与防范212.端口扫描端口扫描()端口()端口 许多许多TCP/IP程序可以通过程序可以通过Internet启动,启动,这些程序大都是面向客户这些程序大都是面向客户/服务器的程序。当服务器的程序。当inetd接收到一个连接请求时,它便启动一个服接收到一个连接请求时,它便启动一个服务,与请求客户服务的机器通讯。为简化这一务,与请求客户服务的机器通讯。为简化这一过程,每个应用程序(比如过程,每个应用程序(比如FTP、
13、Telnet)被)被赋予一个唯一的地址,这个地址称为端口。在赋予一个唯一的地址,这个地址称为端口。在一般的一般的Internet服务器上都有数千个端口,为服务器上都有数千个端口,为了简便和高效,为每个指定端口都设计了一个了简便和高效,为每个指定端口都设计了一个标准的数据帧。换句话说,尽管系统管理员可标准的数据帧。换句话说,尽管系统管理员可以把服务绑定(以把服务绑定(bind)到他选定的端口上,但)到他选定的端口上,但服务一般都被绑定到指定的端口上,它们被称服务一般都被绑定到指定的端口上,它们被称为公认端口。为公认端口。1/29/2023黑客攻击与防范22()端口扫描简介()端口扫描简介 端口扫
14、描是一种获取主机信息的好方法。端口扫描是一种获取主机信息的好方法。端口扫描程序对于系统管理人员,是一端口扫描程序对于系统管理人员,是一个非常简便实用的工具。个非常简便实用的工具。如果扫描到一些标准端口之外的端口,如果扫描到一些标准端口之外的端口,系统管理员必须清楚这些端口提供了一系统管理员必须清楚这些端口提供了一些什么服务,是不是允许的。些什么服务,是不是允许的。1/29/2023黑客攻击与防范233.常用的扫描工具()网络分析工具SATAN SATAN是一个分析网络的安全管理和测试、报告工具。它用来收集网络上主机的许多信息,并可以识别且自动报告与网络相关的安全问题。对所发现的每种问题类型,S
15、ATAN都提供对这个问题的解释以及它可能对系统和网络安全造成的影响的程度。通过所附的资料,它还解释如何处理这些问题。1/29/2023黑客攻击与防范24()网络安全扫描器()网络安全扫描器NSS 网络安全扫描器是一个非常隐蔽的扫网络安全扫描器是一个非常隐蔽的扫描器。如果你用流行的搜索程序搜索它,描器。如果你用流行的搜索程序搜索它,你所能发现的入口不超过你所能发现的入口不超过20个。这并非个。这并非意味着意味着NSS使用不广泛,而是意味着多使用不广泛,而是意味着多数载有该扫描器的数载有该扫描器的FTP的站点处在暗处,的站点处在暗处,或无法通过或无法通过WWW搜索器找到它们。搜索器找到它们。1/2
16、9/2023黑客攻击与防范25()()Strobe 超级优化超级优化TCP端口检测程序端口检测程序Strobe是是一个一个TCP端口扫描器。它具有在最大带端口扫描器。它具有在最大带宽利用率和最小进程资源需求下,迅速宽利用率和最小进程资源需求下,迅速地定位和扫描一台远程目标主机或许多地定位和扫描一台远程目标主机或许多台主机的所有台主机的所有TCP“监听监听”端口的能力。端口的能力。1/29/2023黑客攻击与防范26(4)Internet Scanner Internet Scanner可以说是可得到的可以说是可得到的最快和功能最全的安全扫描工具,用于最快和功能最全的安全扫描工具,用于UNIX和
17、和Windows NT。它容易配置,扫。它容易配置,扫描速度快,并且能产生综合报告。描速度快,并且能产生综合报告。1/29/2023黑客攻击与防范27(5)Port Scanner Port Scanner是一个运行于是一个运行于Windows 95和和Windows NT上的端口扫描工具,其上的端口扫描工具,其开始界面上显示了两个输入框,上面的开始界面上显示了两个输入框,上面的输入框用于要扫描的开始主机输入框用于要扫描的开始主机IP地址,地址,下面的输入框用于输入要扫描的结束主下面的输入框用于输入要扫描的结束主机机IP地址。在这两个地址。在这两个IP地址之间的主机地址之间的主机将被扫描。将被
18、扫描。1/29/2023黑客攻击与防范28l E-mail E-mail攻击攻击l 特洛伊木马攻击特洛伊木马攻击1/29/2023黑客攻击与防范291.E-mail工作原理工作原理 一个邮件系统的传输实际包含了三个方一个邮件系统的传输实际包含了三个方面,它们是用户代理(面,它们是用户代理(User Agent)、传输代)、传输代理(理(Transfer Agent)及接受代理()及接受代理(Delivery Agent)三大部分。)三大部分。用户代理是一个用户端发信和收信的应用用户代理是一个用户端发信和收信的应用程序,它负责将信按照一定的标准包装,然后程序,它负责将信按照一定的标准包装,然后送
19、至邮件服务器,将信件发出或由邮件服务器送至邮件服务器,将信件发出或由邮件服务器收回。收回。传输代理则负责信件的交换和传输,将信传输代理则负责信件的交换和传输,将信件传送至适当的邮件主机。件传送至适当的邮件主机。1/29/2023黑客攻击与防范30 接受代理则是负责将信件根据信件的信息接受代理则是负责将信件根据信件的信息而分发至不同的邮件信箱。而分发至不同的邮件信箱。传输代理要求能够接受用户邮件程序送来传输代理要求能够接受用户邮件程序送来的信件,解读收信人的具体地址,根据的信件,解读收信人的具体地址,根据SMTP(Simple Mail Transport Protocol)协议将它)协议将它正
20、确无误地传递到目的地。而接收代理正确无误地传递到目的地。而接收代理POP(Post Office Protocol,网络邮局协议或网络,网络邮局协议或网络中转协议)则必须能够把用户的邮件被用户读中转协议)则必须能够把用户的邮件被用户读取至自己的主机。取至自己的主机。1/29/2023黑客攻击与防范312.E-mail的安全漏洞的安全漏洞(1)Hotmail Service存在漏洞存在漏洞(2)sendmail存在安全漏洞存在安全漏洞(3)用)用Web浏览器查看邮件带来的漏洞浏览器查看邮件带来的漏洞(4)E-mail服务器的开放性带来的威胁服务器的开放性带来的威胁(5)E-mail传输形式的潜在
21、威胁传输形式的潜在威胁1/29/2023黑客攻击与防范323.匿名转发匿名转发 所谓匿名转发,就是电子邮件的发送所谓匿名转发,就是电子邮件的发送者在发送邮件时,使接收者搞不清邮件者在发送邮件时,使接收者搞不清邮件的发送者是谁,邮件从何处发送,采用的发送者是谁,邮件从何处发送,采用这种邮件发送的方法称为匿名转发,用这种邮件发送的方法称为匿名转发,用户接收到的邮件又叫匿名邮件。户接收到的邮件又叫匿名邮件。1/29/2023黑客攻击与防范334.来自来自E-mail的攻击的攻击(1)E-mail欺骗欺骗(2)E-mail轰炸轰炸1/29/2023黑客攻击与防范345.E-mail安全策略安全策略 保
22、护保护E-mail的有效方法是使用加密的有效方法是使用加密签字,如签字,如“Pretty Good Privacy”(PGP),来验证),来验证E-mail信息。通过验信息。通过验证证E-mail信息,可以保证信息确实来自信息,可以保证信息确实来自发信人,并保证在传送过程中信息没有发信人,并保证在传送过程中信息没有被修改。被修改。1/29/2023黑客攻击与防范351.特洛伊木马程序简介特洛伊木马程序简介(1)什么是特洛伊木马)什么是特洛伊木马 特洛伊木马来自于希腊神话,这里指的是特洛伊木马来自于希腊神话,这里指的是一种黑客程序,它一般有两个程序,一个是服一种黑客程序,它一般有两个程序,一个是
23、服务器端程序,一个是控制器端程序。如果用户务器端程序,一个是控制器端程序。如果用户的电脑安装了服务器端程序,那么黑客就可以的电脑安装了服务器端程序,那么黑客就可以使用控制器端程序进入用户的电脑,通过命令使用控制器端程序进入用户的电脑,通过命令服务器断程序达到控制用户电脑的目的。服务器断程序达到控制用户电脑的目的。1/29/2023黑客攻击与防范36(2)木马服务端程序的植入)木马服务端程序的植入 攻击者要通过木马攻击用户的系统,攻击者要通过木马攻击用户的系统,一般他所要作的第一步就是要把木马的一般他所要作的第一步就是要把木马的服务器端程序植入用户的电脑里面。植服务器端程序植入用户的电脑里面。植
24、入的方法有:入的方法有:下载的软件下载的软件 通过交互脚本通过交互脚本 通过系统漏洞通过系统漏洞1/29/2023黑客攻击与防范37(3)木马将入侵主机信息发送给攻击者)木马将入侵主机信息发送给攻击者 木马在被植入攻击主机后,他一般木马在被植入攻击主机后,他一般会通过一定的方式把入侵主机的信息、会通过一定的方式把入侵主机的信息、如主机的如主机的IP地址、木马植入的端口等发地址、木马植入的端口等发送给攻击者,这样攻击者就可以与木马送给攻击者,这样攻击者就可以与木马里应外合控制受攻击主机。里应外合控制受攻击主机。1/29/2023黑客攻击与防范38(4)木马程序启动并发挥作用)木马程序启动并发挥作
25、用 黑客通常都是和用户的电脑中木马程序联系,当木黑客通常都是和用户的电脑中木马程序联系,当木马程序在用户的电脑中存在的时候,黑客就可以通过控马程序在用户的电脑中存在的时候,黑客就可以通过控制器断的软件来命令木马做事。这些命令是在网络上传制器断的软件来命令木马做事。这些命令是在网络上传递的,必须要遵守递的,必须要遵守TCP/IP协议。协议。TCP/IP协议规定电脑的协议规定电脑的端口有端口有256X256=65536个,从个,从0到到65535号端口,木马可号端口,木马可以打开一个或者几个端口,黑客使用的控制器断软件就以打开一个或者几个端口,黑客使用的控制器断软件就是通过木马的端口进入用户的电脑
26、的。是通过木马的端口进入用户的电脑的。特洛伊木马要能发挥作用必须具备三个因素:特洛伊木马要能发挥作用必须具备三个因素:木马需要一种启动方式,一般在注册表启动组中;木马需要一种启动方式,一般在注册表启动组中;木马需要在内存中才能发挥作用;木马需要在内存中才能发挥作用;木马会打开特别的端口,以便黑客通过这个端口木马会打开特别的端口,以便黑客通过这个端口和木马联系。和木马联系。1/29/2023黑客攻击与防范392.特洛伊程序的存在形式特洛伊程序的存在形式(1)大部分的特洛伊程序存在于编译过的二大部分的特洛伊程序存在于编译过的二进制文件中。进制文件中。(2)特洛伊程序也可以在一些没有被编译的特洛伊程
27、序也可以在一些没有被编译的可执行文件中发现。可执行文件中发现。1/29/2023黑客攻击与防范403.特洛伊程序的检测特洛伊程序的检测(1)通过检查文件的完整性来检测特洛伊程序。)通过检查文件的完整性来检测特洛伊程序。(2)检测特洛伊程序的技术)检测特洛伊程序的技术MD5 MD5属于一个叫做报文摘要算法的单向散属于一个叫做报文摘要算法的单向散列函数中的一种。这种算法对任意长度的输入列函数中的一种。这种算法对任意长度的输入报文都产生一个报文都产生一个128位的位的“指纹指纹”或或“报文摘报文摘要要”作为输出。它的一个假设前提是:要产生作为输出。它的一个假设前提是:要产生具有同样报文摘要的两个报文
28、或要产生给定报具有同样报文摘要的两个报文或要产生给定报文摘要的报文是不可能的。文摘要的报文是不可能的。1/29/2023黑客攻击与防范414.特洛伊程序的删除特洛伊程序的删除 删除木马最简单的方法是删除木马最简单的方法是安装安装杀毒软件,杀毒软件,现在很多杀毒软件都能删除多种木马。但是由现在很多杀毒软件都能删除多种木马。但是由于木马的种类和花样越来越多,所以手动删除于木马的种类和花样越来越多,所以手动删除还是最好的办法。木马在启动后会被加载到注还是最好的办法。木马在启动后会被加载到注册表的启动组中,它会先进入内存,然后打开册表的启动组中,它会先进入内存,然后打开端口。所以在查找木马时要先使用端
29、口。所以在查找木马时要先使用TCPVIEW,而后开始查找开放的可疑端口。而后开始查找开放的可疑端口。1/29/2023黑客攻击与防范42l 发现黑客发现黑客l 发现黑客入侵后的对策发现黑客入侵后的对策1/29/2023黑客攻击与防范431.在黑客正在活动时,捉住他在黑客正在活动时,捉住他2.根据系统发生的一些改变推断系统已被入侵根据系统发生的一些改变推断系统已被入侵3.根据系统中一些奇怪的现象判断根据系统中一些奇怪的现象判断4.一个用户登录进来许多次一个用户登录进来许多次5.一个用户大量地进行网络活动,或者其他一些一个用户大量地进行网络活动,或者其他一些很不正常的网络操作很不正常的网络操作6.
30、一些原本不经常使用的账户,突然变得活跃起一些原本不经常使用的账户,突然变得活跃起来来1/29/2023黑客攻击与防范441.估计形势估计形势 当证实遭到入侵时,采取的第一步行动是当证实遭到入侵时,采取的第一步行动是尽可能快地估计入侵造成的破坏程度。尽可能快地估计入侵造成的破坏程度。2.采取措施采取措施 (1)杀死这个进程来切断黑客与系统的连接。)杀死这个进程来切断黑客与系统的连接。(2)使用)使用write或者或者talk工具询问他们究竟想要工具询问他们究竟想要做什么。做什么。(3)跟踪这个连接,找出黑客的来路和身份。)跟踪这个连接,找出黑客的来路和身份。这时候,这时候,nslookup、fi
31、nger等工具很有用。等工具很有用。1/29/2023黑客攻击与防范45(4)管理员可以使用一些工具来监视黑客,观)管理员可以使用一些工具来监视黑客,观察他们在做什么。这些工具包括察他们在做什么。这些工具包括snoop、ps、lastcomm和和ttywatch等。等。(5)ps、w和和who这些命令可以报告每一个用户这些命令可以报告每一个用户使用的终端。如果黑客是从一个终端访问系统,使用的终端。如果黑客是从一个终端访问系统,这种情况不太好,因为这需要事先与电话公司这种情况不太好,因为这需要事先与电话公司联系。联系。(6)使用使用who和和netstat可以发现入侵者从哪个可以发现入侵者从哪个
32、主机上过来,然后可以使用主机上过来,然后可以使用finger命令来查看命令来查看哪些用户登录进远程系统。哪些用户登录进远程系统。(7)修复安全漏洞并恢复系统,不给黑客留有)修复安全漏洞并恢复系统,不给黑客留有可乘之机。可乘之机。1/29/2023黑客攻击与防范46 网络上黑客的攻击越来越猖獗,对网络安网络上黑客的攻击越来越猖獗,对网络安全造成了很大的威胁。本章主要讲述了黑客攻全造成了很大的威胁。本章主要讲述了黑客攻击的目的、黑客攻击的三个阶段、黑客攻击的击的目的、黑客攻击的三个阶段、黑客攻击的常用工具以及黑客攻击的防备,并介绍了黑客常用工具以及黑客攻击的防备,并介绍了黑客攻击常用的网络监听和扫描器。同时,讲述了攻击常用的网络监听和扫描器。同时,讲述了来自来自E-mail的攻击及其安全策略、特洛伊木马的攻击及其安全策略、特洛伊木马程序及其检测删除。程序及其检测删除。47 结束语结束语
