黑客攻击与防范1ppt课件

1、本章主要内容：本章主要内容：第一节第一节 黑客攻击引见黑客攻击引见 第二节第二节 黑客攻击常用工具黑客攻击常用工具 第三节第三节 黑客攻击常见的两种方式黑客攻击常见的两种方式 第四节第四节 黑客攻击的防备黑客攻击的防备 l黑客攻击的目的、黑客攻击的三个阶段黑客攻击的目的、黑客攻击的三个阶段l黑客攻击的常用工具、黑客攻击的防备黑客攻击的常用工具、黑客攻击的防备l网络监听及其检测网络监听及其检测l扫描器及其运用扫描器及其运用l来自的攻击、的平安战略来自的攻击、的平安战略l特洛伊木马程序及其检测、删除特洛伊木马程序及其检测、删除 黑客攻击的防备黑客攻击的防备 网络监听及其检测网络监听及其检测 特洛伊

2、木马程序及其检测、删除特洛伊木马程序及其检测、删除熟练掌握以下内容：熟练掌握以下内容： 什么是黑客？黑客攻击的目的、常用工具及攻击什么是黑客？黑客攻击的目的、常用工具及攻击的防备的防备 网络监听及其检测方法网络监听及其检测方法 来自的攻击、的平安战略来自的攻击、的平安战略 特洛伊木马程序及其检测、删除特洛伊木马程序及其检测、删除了解以下内容：了解以下内容： 的平安破绽的平安破绽特洛伊木马的存在方式特洛伊木马的存在方式l 黑客与入侵者黑客与入侵者l 黑客攻击的目的黑客攻击的目的l 黑客攻击的三个阶段黑客攻击的三个阶段l 黑客攻击手段黑客攻击手段 黑客的行为没有恶意，而入侵者的行为具黑客的行为没有

3、恶意，而入侵者的行为具有恶意。有恶意。 在网络世界里，要想区分开谁是真正意义在网络世界里，要想区分开谁是真正意义上的黑客，谁是真正意义上的入侵者并不容易，上的黑客，谁是真正意义上的入侵者并不容易，由于有些人能够既是黑客，也是入侵者。而且由于有些人能够既是黑客，也是入侵者。而且在大多数人的眼里，黑客就是入侵者。所以，在大多数人的眼里，黑客就是入侵者。所以，在以后的讨论中不再区分黑客、入侵者，将他在以后的讨论中不再区分黑客、入侵者，将他们视为同一类。们视为同一类。 1窃取信息窃取信息2获取口令获取口令3控制中间站点控制中间站点4获得超级用户权限获得超级用户权限1确定目的确定目的 2搜集与攻击目的相

4、关的信息，并找出系搜集与攻击目的相关的信息，并找出系统的平安破绽统的平安破绽 3实施攻击实施攻击1黑客往往运用扫描器黑客往往运用扫描器2黑客经常利用一些他人运用过的并在平黑客经常利用一些他人运用过的并在平安领域广为人知的技术和工具。安领域广为人知的技术和工具。3黑客利用黑客利用Internet站点上的有关文章站点上的有关文章4黑客利用监听程序黑客利用监听程序5黑客利用网络工具进展侦查黑客利用网络工具进展侦查6黑客本人编写工具黑客本人编写工具l网络监听网络监听l扫描器扫描器1.网络监听简介网络监听简介 所谓网络监听就是获取在网络上传所谓网络监听就是获取在网络上传输的信息。通常，这种信息并不是特定

5、输的信息。通常，这种信息并不是特定发给本人计算机的。普通情况下，系统发给本人计算机的。普通情况下，系统管理员为了有效地管理网络、诊断网络管理员为了有效地管理网络、诊断网络问题而进展网络监听。然而，黑客为了问题而进展网络监听。然而，黑客为了到达其不可告人的目的，也进展网络监到达其不可告人的目的，也进展网络监听。听。 2. 在以太网中的监听在以太网中的监听1以太网中信息传输的原理。以太网中信息传输的原理。 以太网协议的任务方式：发送信息时，发以太网协议的任务方式：发送信息时，发送方将对一切的主机进展广播，广播包的包头送方将对一切的主机进展广播，广播包的包头含有目的主机的物理地址，假设地址与主机不含

6、有目的主机的物理地址，假设地址与主机不符，那么该主机对数据包不予理睬，只需当地符，那么该主机对数据包不予理睬，只需当地址与主机本人的地址一样时主机才会接受该数址与主机本人的地址一样时主机才会接受该数据包，但网络监听程序可以使得主机对一切经据包，但网络监听程序可以使得主机对一切经过它的数据进展接受或改动。过它的数据进展接受或改动。 2监听方式的设置监听方式的设置 要使主机任务在监听方式下，需求向网络要使主机任务在监听方式下，需求向网络接口发送接口发送I/O控制命令；将其设置为监听方式。控制命令；将其设置为监听方式。在在UNIX系统中，发送这些命令需求超级用户系统中，发送这些命令需求超级用户的权限

7、。在的权限。在UNIX系统中普通用户是不能进展系统中普通用户是不能进展网络监听的。但是，在上网的网络监听的。但是，在上网的Windows 95中，中，那么没有这个限制。只需运转这一类的监听软那么没有这个限制。只需运转这一类的监听软件即可，而且具有操作方便，对监听到信息的件即可，而且具有操作方便，对监听到信息的综合才干强的特点。综合才干强的特点。 3网络监听所呵斥的影响网络监听所呵斥的影响 网络监听使得进展监听的机器呼应网络监听使得进展监听的机器呼应速度变得非常慢速度变得非常慢 1snoop snoop可以截获网络上传输的数据包，并显可以截获网络上传输的数据包，并显示这些包中的内容。它运用网络包

8、过滤功能和示这些包中的内容。它运用网络包过滤功能和缓冲技术来提供有效的对网络通讯过滤的功能。缓冲技术来提供有效的对网络通讯过滤的功能。那些截获的数据包中的信息可以在它们被截获那些截获的数据包中的信息可以在它们被截获时显示出来，也可以存储在文件中，用于以后时显示出来，也可以存储在文件中，用于以后的检查。的检查。 Snoop可以以单行的方式只输出数据包的可以以单行的方式只输出数据包的总结信息，也可以以多行的方式对包中信息详总结信息，也可以以多行的方式对包中信息详细阐明。细阐明。 2Sniffit软件软件Sniffit是由是由Lawrence Berkeley实验室开发实验室开发的，运转于的，运转于

9、Solaris、SGI和和Linux等平台等平台的一种免费网络监听软件，具有功能强的一种免费网络监听软件，具有功能强大且运用方便的特点。运用时，用户可大且运用方便的特点。运用时，用户可以选择源、目的地址或地址集合，还可以选择源、目的地址或地址集合，还可以选择监听的端口、协议和网络接口等。以选择监听的端口、协议和网络接口等。方法一：方法一： 对于疑心运转监听程序的机器，用正确的对于疑心运转监听程序的机器，用正确的IP地址和错误的物理地址去地址和错误的物理地址去ping，运转监听程序，运转监听程序的机器会有呼应。这是由于正常的机器不接纳的机器会有呼应。这是由于正常的机器不接纳错误的物理地址，处于监

10、听形状的机器能接纳。错误的物理地址，处于监听形状的机器能接纳。假设他的假设他的IP stack不再次反向检查的话，就会不再次反向检查的话，就会呼应。这种方法依赖于系统的呼应。这种方法依赖于系统的IP stack，对一，对一些系统能够行不通。些系统能够行不通。方法二：方法二： 往网上发大量不存在的物理地址的包，由于往网上发大量不存在的物理地址的包，由于监听程序将处置这些包，将导致性能下降。经监听程序将处置这些包，将导致性能下降。经过比较前后该机器性能过比较前后该机器性能icmp echo delay等方法等方法加以判别。这种方法难度比较大。加以判别。这种方法难度比较大。方法三：方法三： 一个看起

11、来可行的检查监听程序的方法是搜一个看起来可行的检查监听程序的方法是搜索一切主机上运转的进程。那些运用索一切主机上运转的进程。那些运用DOS、Windows for Workgroup或者或者Windows 95的机器的机器很难做到这一点。而运用很难做到这一点。而运用UNIX和和Windows NT的机器可以很容易地得到当前进程的清单。的机器可以很容易地得到当前进程的清单。方法四：方法四： 另外一个方法就是去搜索监听程序，另外一个方法就是去搜索监听程序，入侵者很能够运用的是一个免费软件。入侵者很能够运用的是一个免费软件。管理员就可以检查目录，找出监听程序，管理员就可以检查目录，找出监听程序，但这

12、很困难而且很费时间。在但这很困难而且很费时间。在UNIX系统系统上，人们能够不得不本人编写一个程序。上，人们能够不得不本人编写一个程序。另外，假设监听程序被换成另一个名字，另外，假设监听程序被换成另一个名字，管理员也不能够找到这个监听程序。管理员也不能够找到这个监听程序。 1. 扫描器简介扫描器简介 扫描器是自动检测远程或本地主机平安性破绽的程扫描器是自动检测远程或本地主机平安性破绽的程序包。序包。 运用扫描器，不仅可以很快地发现本地主机系统配运用扫描器，不仅可以很快地发现本地主机系统配置和软件上存在的平安隐患，而且还可以不留痕迹地置和软件上存在的平安隐患，而且还可以不留痕迹地发现远在另一个半

13、球的一台主机的平安性破绽，这种发现远在另一个半球的一台主机的平安性破绽，这种自动检测功能快速而准确。自动检测功能快速而准确。 扫描器和监听工具一样，不同的人运用会有不同的扫描器和监听工具一样，不同的人运用会有不同的结果：假设系统管理员运用了扫描器，它将直接有助结果：假设系统管理员运用了扫描器，它将直接有助于加强系统平安性；而对于黑客来说，扫描器是他们于加强系统平安性；而对于黑客来说，扫描器是他们进展攻击入手点，不过，由于扫描器不能直接攻击网进展攻击入手点，不过，由于扫描器不能直接攻击网络破绽，所以黑客运用扫描器找出目的主机上各种各络破绽，所以黑客运用扫描器找出目的主机上各种各样的平安破绽后，利

14、用其他方法进展恶意攻击。样的平安破绽后，利用其他方法进展恶意攻击。2. 端口扫描端口扫描端口端口 许多许多TCP/IP程序可以经过程序可以经过Internet启动，启动，这些程序大都是面向客户这些程序大都是面向客户/效力器的程序。当效力器的程序。当inetd接纳到一个衔接恳求时，它便启动一个效接纳到一个衔接恳求时，它便启动一个效力，与恳求客户效力的机器通讯。为简化这一力，与恳求客户效力的机器通讯。为简化这一过程，每个运用程序比如过程，每个运用程序比如FTP、Telnet被被赋予一个独一的地址，这个地址称为端口。在赋予一个独一的地址，这个地址称为端口。在普通的普通的Internet效力器上都有数

15、千个端口，为效力器上都有数千个端口，为了简便和高效，为每个指定端口都设计了一个了简便和高效，为每个指定端口都设计了一个规范的数据帧。换句话说，虽然系统管理员可规范的数据帧。换句话说，虽然系统管理员可以把效力绑定以把效力绑定bind到他选定的端口上，但到他选定的端口上，但效力普通都被绑定到指定的端口上，它们被称效力普通都被绑定到指定的端口上，它们被称为公认端口。为公认端口。 端口扫描简介端口扫描简介 端口扫描是一种获取主机信息的好方法。端口扫描是一种获取主机信息的好方法。 端口扫描程序对于系统管理人员，是一端口扫描程序对于系统管理人员，是一个非常简便适用的工具。个非常简便适用的工具。 假设扫描到

16、一些规范端口之外的端口，假设扫描到一些规范端口之外的端口，系统管理员必需清楚这些端口提供了一系统管理员必需清楚这些端口提供了一些什么效力，是不是允许的。些什么效力，是不是允许的。 3. 常用的扫描工具网络分析工具SATAN SATAN是一个分析网络的平安管理和测试、报告工具。它用来搜集网络上主机的许多信息，并可以识别且自动报告与网络相关的平安问题。对所发现的每种问题类型，SATAN都提供对这个问题的解释以及它能够对系统和网络平安呵斥的影响的程度。经过所附的资料，它还解释如何处置这些问题。网络平安扫描器网络平安扫描器NSS 网络平安扫描器是一个非常隐蔽的扫网络平安扫描器是一个非常隐蔽的扫描器。假

17、设他用流行的搜索程序搜索它，描器。假设他用流行的搜索程序搜索它，他所能发现的入口不超越他所能发现的入口不超越20个。这并非个。这并非意味着意味着NSS运用不广泛，而是意味着多运用不广泛，而是意味着多数载有该扫描器的数载有该扫描器的FTP的站点处在暗处，的站点处在暗处，或无法经过或无法经过WWW搜索器找到它们。搜索器找到它们。 Strobe 超级优化超级优化TCP端口检测程序端口检测程序Strobe是是一个一个TCP端口扫描器。它具有在最大带端口扫描器。它具有在最大带宽利用率和最小进程资源需求下，迅速宽利用率和最小进程资源需求下，迅速地定位和扫描一台远程目的主机或许多地定位和扫描一台远程目的主机

18、或许多台主机的一切台主机的一切TCP“监听端口的才干。监听端口的才干。 4Internet Scanner Internet Scanner可以说是可得到的可以说是可得到的最快和功能最全的平安扫描工具，用于最快和功能最全的平安扫描工具，用于UNIX和和Windows NT。它容易配置，扫。它容易配置，扫描速度快，并且能产生综合报告。描速度快，并且能产生综合报告。 5Port Scanner Port Scanner是一个运转于是一个运转于Windows 95和和Windows NT上的端口扫描工具，其上的端口扫描工具，其开场界面上显示了两个输入框，上面的开场界面上显示了两个输入框，上面的输入框

19、用于要扫描的开场主机输入框用于要扫描的开场主机IP地址，地址，下面的输入框用于输入要扫描的终了主下面的输入框用于输入要扫描的终了主机机IP地址。在这两个地址。在这两个IP地址之间的主机地址之间的主机将被扫描。将被扫描。 l 攻击攻击l 特洛伊木马攻击特洛伊木马攻击1. 任务原理任务原理 一个邮件系统的传输实践包含了三个方一个邮件系统的传输实践包含了三个方面，它们是用户代理面，它们是用户代理User Agent、传输代、传输代理理Transfer Agent及接受代理及接受代理Delivery Agent三大部分。三大部分。 用户代理是一个用户端发信和收信的运用用户代理是一个用户端发信和收信的运

20、用程序，它担任将信按照一定的规范包装，然后程序，它担任将信按照一定的规范包装，然后送至邮件效力器，将信件发出或由邮件效力器送至邮件效力器，将信件发出或由邮件效力器收回。收回。 传输代理那么担任信件的交换和传输，将传输代理那么担任信件的交换和传输，将信件传送至适当的邮件主机。信件传送至适当的邮件主机。 接受代理那么是担任将信件根据信件的信接受代理那么是担任将信件根据信件的信息而分发至不同的邮件信箱。息而分发至不同的邮件信箱。 传输代理要求可以接受用户邮件程序送来传输代理要求可以接受用户邮件程序送来的信件，解读收信人的详细地址，根据的信件，解读收信人的详细地址，根据SMTPSimple Mail

21、Transport Protocol协议将它协议将它正确无误地传送到目的地。而接纳代理正确无误地传送到目的地。而接纳代理POPPost Office Protocol，网络邮局协议或网络，网络邮局协议或网络中转协议那么必需可以把用户的邮件被用户中转协议那么必需可以把用户的邮件被用户读取至本人的主机。读取至本人的主机。2. 的平安破绽的平安破绽1Hotmail Service存在破绽存在破绽2sendmail存在平安破绽存在平安破绽3用用Web阅读器查看邮件带来的破绽阅读器查看邮件带来的破绽4效力器的开放性带来的要挟效力器的开放性带来的要挟5 传输方式的潜在要挟传输方式的潜在要挟3. 匿名转发匿

22、名转发 所谓匿名转发，就是电子邮件的发送所谓匿名转发，就是电子邮件的发送者在发送邮件时，使接纳者搞不清邮件者在发送邮件时，使接纳者搞不清邮件的发送者是谁，邮件从何处发送，采用的发送者是谁，邮件从何处发送，采用这种邮件发送的方法称为匿名转发，用这种邮件发送的方法称为匿名转发，用户接纳到的邮件又叫匿名邮件。户接纳到的邮件又叫匿名邮件。4. 来自的攻击来自的攻击1 欺骗欺骗2 轰炸轰炸5. 平安战略平安战略 维护的有效方法是运用加密签字，维护的有效方法是运用加密签字，如如“Pretty Good PrivacyPGP，来，来验证信息。经过验证信息，可以保证信验证信息。经过验证信息，可以保证信息确实来

23、自发信人，并保证在传送过程息确实来自发信人，并保证在传送过程中信息没有被修正。中信息没有被修正。 1. 特洛伊木马程序简介特洛伊木马程序简介1什么是特洛伊木马什么是特洛伊木马 特洛伊木马来自于希腊神话，这里指的是特洛伊木马来自于希腊神话，这里指的是一种黑客程序，它普通有两个程序，一个是效一种黑客程序，它普通有两个程序，一个是效力器端程序，一个是控制器端程序。假设用户力器端程序，一个是控制器端程序。假设用户的电脑安装了效力器端程序，那么黑客就可以的电脑安装了效力器端程序，那么黑客就可以运用控制器端程序进入用户的电脑，经过命令运用控制器端程序进入用户的电脑，经过命令效力器断程序到达控制用户电脑的目

24、的。效力器断程序到达控制用户电脑的目的。2木马效力端程序的植入木马效力端程序的植入 攻击者要经过木马攻击用户的系统，攻击者要经过木马攻击用户的系统，普通他所要作的第一步就是要把木马的普通他所要作的第一步就是要把木马的效力器端程序植入用户的电脑里面。植效力器端程序植入用户的电脑里面。植入的方法有：入的方法有： 下载的软件下载的软件 经过交互脚本经过交互脚本 经过系统破绽经过系统破绽3木马将入侵主机信息发送给攻击者木马将入侵主机信息发送给攻击者 木马在被植入攻击主机后，他普通会木马在被植入攻击主机后，他普通会经过一定的方式把入侵主机的信息、如经过一定的方式把入侵主机的信息、如主机的主机的IP地址、

25、木马植入的端口等发送地址、木马植入的端口等发送给攻击者，这样攻击者就可以与木马里给攻击者，这样攻击者就可以与木马里应外合控制受攻击主机。应外合控制受攻击主机。 4木马程序启动并发扬作用木马程序启动并发扬作用 黑客通常都是和用户的电脑中木马程序联络，黑客通常都是和用户的电脑中木马程序联络，当木马程序在用户的电脑中存在的时候，黑客就当木马程序在用户的电脑中存在的时候，黑客就可以经过控制器断的软件来命令木马做事。这些可以经过控制器断的软件来命令木马做事。这些命令是在网络上传送的，必需求遵守命令是在网络上传送的，必需求遵守TCP/IP协议。协议。TCP/IP协议规定电脑的端口有协议规定电脑的端口有25

26、6X256=65536个，个，从从0到到65535号端口，木马可以翻开一个或者几个号端口，木马可以翻开一个或者几个端口，黑客运用的控制器断软件就是经过木马的端口，黑客运用的控制器断软件就是经过木马的端口进入用户的电脑的。端口进入用户的电脑的。 特洛伊木马要能发扬作用必需具备三个要素：特洛伊木马要能发扬作用必需具备三个要素： 木马需求一种启动方式，普通在注册表启木马需求一种启动方式，普通在注册表启动组中；动组中； 木马需求在内存中才干发扬作用；木马需求在内存中才干发扬作用； 木马会翻开特别的端口，以便黑客经过这木马会翻开特别的端口，以便黑客经过这个端口和木马联络。个端口和木马联络。 2. 特洛伊

27、程序的存在方式特洛伊程序的存在方式(1) 大部分的特洛伊程序存在于编译过的二大部分的特洛伊程序存在于编译过的二进制文件中。进制文件中。(2) 特洛伊程序也可以在一些没有被编译的特洛伊程序也可以在一些没有被编译的可执行文件中发现。可执行文件中发现。3. 特洛伊程序的检测特洛伊程序的检测1经过检查文件的完好性来检测特洛伊程序。经过检查文件的完好性来检测特洛伊程序。2检测特洛伊程序的技术检测特洛伊程序的技术MD5 MD5属于一个叫做报文摘要算法的单向散属于一个叫做报文摘要算法的单向散列函数中的一种。这种算法对恣意长度的输入列函数中的一种。这种算法对恣意长度的输入报文都产生一个报文都产生一个128位的

28、位的“指纹或指纹或“报文摘要报文摘要作为输出。它的一个假设前提是：要产生具作为输出。它的一个假设前提是：要产生具有同样报文摘要的两个报文或要产生给定报文有同样报文摘要的两个报文或要产生给定报文摘要的报文是不能够的。摘要的报文是不能够的。 4. 特洛伊程序的删除特洛伊程序的删除 删除木马最简单的方法是安装杀毒软件，删除木马最简单的方法是安装杀毒软件，如今很多杀毒软件都能删除多种木马。但是由如今很多杀毒软件都能删除多种木马。但是由于木马的种类和花样越来越多，所以手动删除于木马的种类和花样越来越多，所以手动删除还是最好的方法。木马在启动后会被加载到注还是最好的方法。木马在启动后会被加载到注册表的启动组中，它会先进入内存，然后翻开册表的启动组中，它会先进入内存，然后翻开端口。所以在查找木马时要先运用端口。所以在查找木马时要先运用TCPVIEW，而后开场查找开放的可疑端口。而后开场查找开放的可疑端口。 l 发现黑客发现黑客l 发现黑客入侵后的对策发现黑客入侵后的对策1. 在黑客正在活动时，捉住他在黑客正在活动时，捉住他2. 根据系统发生的一些改动推断系统已被入侵根据系统发生的一些改动推断系统已被入侵3. 根据系统中一些奇异的景象判别根据系统中一些奇异的景象判别4. 一个用户登录进来许多次一个用户登录进来许多次5. 一个用户大量地进展网络