黑客大曝光第一周

1、*黑客攻击与防范1*黑客攻击与防范2主要内容：主要内容： 一一. . 黑客介绍黑客介绍 二二. . 常见黑客攻击举例常见黑客攻击举例 三三. . 黑客攻击的防范黑客攻击的防范*黑客攻击与防范3l常用扫描工具及其使用常用扫描工具及其使用l常见黑客攻击常见黑客攻击l黑客入侵的防范*黑客攻击与防范4 常见的黑客攻击常见的黑客攻击 安全防范及其对策安全防范及其对策*黑客攻击与防范5掌握以下内容掌握以下内容：l 黑客的起源及分类，常见的黑客攻击方黑客的起源及分类，常见的黑客攻击方法及入侵技术的发展法及入侵技术的发展l 常见的黑客攻击与防范常见的黑客攻击与防范*黑客攻击与防范6 月11日上午8点多，中国移

2、动的网站首页显示的不是“移动信息专家”，而是一行涂鸦：“恳请移动的话费能便宜点不”原来是中国移动网站遭到黑客突袭。 l黑客事件黑客事件*黑客攻击与防范79月月12日日17点点30分，有北京、重庆等地的网友反映百度无法正常使用，分，有北京、重庆等地的网友反映百度无法正常使用，出现出现“请求超时请求超时”（）的信息。这次（）的信息。这次攻击造成了百度搜索服务在全国各地出现了近攻击造成了百度搜索服务在全国各地出现了近30分钟的故障。随后，百分钟的故障。随后，百度技术部门的员工们快速反应，将问题解决并恢复百度服务。度技术部门的员工们快速反应，将问题解决并恢复百度服务。9月月12日晚日晚上上11时时37

3、分，百度空间发表了针对不明攻击事件的声明。分，百度空间发表了针对不明攻击事件的声明。“今天下午，今天下午，百度遭受有史以来最大规模的不明身份黑客攻击，导致百度搜索服务在百度遭受有史以来最大规模的不明身份黑客攻击，导致百度搜索服务在全国各地出现了近全国各地出现了近30分钟的故障。分钟的故障。”百度首席技术官刘建国对记者说，百度首席技术官刘建国对记者说，“黑客使用的攻击手段是同步泛滥黑客使用的攻击手段是同步泛滥（），这是一种分布式服务拒绝（）（），这是一种分布式服务拒绝（）方法。就是通过大量的虚假地址，建立不完整连接，使服务超载，方法。就是通过大量的虚假地址，建立不完整连接，使服务超载，从而不能提

4、供正常的服务。从而不能提供正常的服务。”经过百度技术工程师与不明身份的黑客斗争，百度的搜索服务已经在经过百度技术工程师与不明身份的黑客斗争，百度的搜索服务已经在12日傍晚恢复正常。日傍晚恢复正常。l黑客事件黑客事件2*黑客攻击与防范8l 黑客起源的背景黑客起源的背景l 黑客分类黑客分类l 黑客攻击的目的黑客攻击的目的l 常见的黑客攻击方法及入侵技术的发展常见的黑客攻击方法及入侵技术的发展l 黑客攻击策略步骤黑客攻击策略步骤*黑客攻击与防范9l起源地：起源地： 美国美国l精神支柱：精神支柱： 对技术的渴求对技术的渴求 对自由的渴求对自由的渴求l历史背景：历史背景： 越战与反战活动越战与反战活动

5、马丁马丁路德金与自由路德金与自由 嬉皮士与非主流文化嬉皮士与非主流文化 电话飞客与计算机革命电话飞客与计算机革命中国黑客发展历史1998年印尼事件1999年南联盟事件绿色兵团南北分拆事件中美五一黑客大战事件*黑客攻击与防范10灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机计算机 为人民服务为人民服务漏洞发现 - Flashsky软件破解 - 0 Day工具提供 - Glacier白帽子创新者白帽子创新者设计新系统设计新系统打破常规打破常规精研技术精研技术勇于创新勇于创新没有最好，没有最好， 只有更好只有更好MS -Bill GatesGNU -R.StallmanLinux

6、 -Linus善善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己，人不为己， 天诛地灭天诛地灭入侵者-K.米特尼克CIH - 陈盈豪攻击Yahoo者 -匿名恶恶渴求自由*黑客攻击与防范11 黑客的行为没有恶意，而入侵者的行为具黑客的行为没有恶意，而入侵者的行为具有恶意。有恶意。 在网络世界里，要想区分开谁是真正意义在网络世界里，要想区分开谁是真正意义上的黑客，谁是真正意义上的入侵者并不容易，上的黑客，谁是真正意义上的入侵者并不容易，因为有些人可能既是黑客，也是入侵者。而且因为有些人可能既是黑客，也是入侵者。而且在大多数人的眼里，黑客就是入侵者。所以，在大多数人的眼里，黑客就是入侵

7、者。所以，在以后的讨论中不再区分黑客、入侵者，将他在以后的讨论中不再区分黑客、入侵者，将他们视为同一类。们视为同一类。 *黑客攻击与防范121窃取信息窃取信息2获取口令获取口令3控制中间站点控制中间站点4获得超级用户权限获得超级用户权限*黑客攻击与防范1319801985199019952000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门会话劫持会话劫持擦除痕迹擦除痕迹嗅探嗅探包欺骗包欺骗GUI远程控制远程控制自动探测扫描自动探测扫描拒绝服务拒绝服务www 攻击攻击工具工具攻击者攻击者入侵者水平入侵者水平攻击手法攻

8、击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS 攻击攻击2002高高2005*黑客攻击与防范14*黑客攻击与防范15端口端口判断判断判断判断系统系统选择选择最简最简方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的服务服务获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装多个多个系统系统后门后门清除清除入侵入侵脚印脚印攻击其攻击其他系统他系统获取敏获取敏感信息感信息作为其作为其他用途他用途*黑客攻击与防范16l. 扫描工具推荐介绍扫描工具推荐介绍l. 系统攻击之致命攻击和系统攻击之致命攻击和“缓冲区溢出缓冲区溢出”l 3.网络攻击之上传漏

9、洞和拒绝服务网络攻击之上传漏洞和拒绝服务l 4. 软件攻击之软件攻击之特洛伊木马特洛伊木马*黑客攻击与防范17（） Nmap(Network mapper)。这个号称是目前最好的扫描工具，功能强大，用途多样，支持多种平台，灵活机动，方便易用，携带性强，留迹极少；不但能扫描出TCP/UDP端口，还能用于扫描/侦测大型网络。 它在unix下的扫描速度极快,而且每一项均可达专业水准,特别是他根据指纹对操作系统的判断.现在nmap有for nt版,而且有图形界面,在国内是nuke根据nmap的源码编译好的,在 。*黑客攻击与防范18（） shadow security 目前非常红火，功能非常强大。几点

10、缺点：占目前非常红火，功能非常强大。几点缺点：占用的系统资源很大；不适合进行大规模扫描；所有版用的系统资源很大；不适合进行大规模扫描；所有版本均有一个本均有一个bug，就是在扫到，就是在扫到8383端口的端口的imail server时，会大规模误报，而在检测主机类型时也会有一定时，会大规模误报，而在检测主机类型时也会有一定偏差。但其作为一个非商业性的扫描器偏差。但其作为一个非商业性的扫描器,已经难能可贵已经难能可贵了。可以在了。可以在下载到最新版和注册机。下载到最新版和注册机。*黑客攻击与防范19l使用的工具软件是：使用的工具软件是：SMBDie V1.0，该软件对打了，该软件对打了SP3、

11、SP4的计算机依然有效，必须打专门的的计算机依然有效，必须打专门的SMB补补丁，软件的主界面如图所示。丁，软件的主界面如图所示。 *黑客攻击与防范20l攻击的时候，需要两个参数：对方的攻击的时候，需要两个参数：对方的IP地址和对方的地址和对方的机器名，窗口中分别输入这两项，如图所示。机器名，窗口中分别输入这两项，如图所示。*黑客攻击与防范21l然后再点按钮然后再点按钮“Kill”，如果参数输入没有错误的话，对方，如果参数输入没有错误的话，对方计算机立刻重启或蓝屏，命中率几乎计算机立刻重启或蓝屏，命中率几乎100%，被攻击的计，被攻击的计算机蓝屏界面如图所示。算机蓝屏界面如图所示。*黑客攻击与防

12、范22l系统是否就系统是否就安全了呢？安全了呢？*黑客攻击与防范23讨厌的讨厌的Windows又出错了！又出错了！0 x41414141 ?到底表示什么到底表示什么意思呢？意思呢？不知道不知道.点确定，关掉算了！点确定，关掉算了！*黑客攻击与防范24刻意调整这个地址，刻意调整这个地址，使它能指向一段系统调用程序，使它能指向一段系统调用程序，如如CMD.EXE*黑客攻击与防范25*黑客攻击与防范26*黑客攻击与防范27*黑客攻击与防范28*黑客攻击与防范29l（）扫描找到有漏洞的地址后，直接用老兵的上传工具（）扫描找到有漏洞的地址后，直接用老兵的上传工具来把复杂的步骤变简单，只要修改几个数据就可

13、以。工具来把复杂的步骤变简单，只要修改几个数据就可以。工具界面如下图：界面如下图：*黑客攻击与防范30l（）根据要求填写相关数据，设置好后点击（）根据要求填写相关数据，设置好后点击Submit按钮。按钮。*黑客攻击与防范31 （）至此已经成功的拿到webshell，如果服务器权限没有限制即可以修改网站服务器上的任意文件。 *黑客攻击与防范32l拒绝服务攻击的简称是：拒绝服务攻击的简称是：DoS（Denial of Service）攻击，凡是造成目标计算机拒绝提供服务的攻击都称攻击，凡是造成目标计算机拒绝提供服务的攻击都称为为DoS攻击，其目的是使目标计算机或网络无法提供攻击，其目的是使目标计算

14、机或网络无法提供正常的服务。正常的服务。l最常见的最常见的DoS攻击是：计算机网络带宽攻击和连通性攻击是：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。算机，最终导致计算机无法再处理合法用户的请求。*黑客攻击与防范33l正常的三次握手建立通讯的过程SYN （我可以连接吗？）（我可以连接吗？）ACK

15、 （可以）（可以）/SYN（请确（请确认！）认！）ACK （确认连接）（确认连接）发起方发起方应答方应答方*黑客攻击与防范34SYN （我可以连接吗？）（我可以连接吗？）ACK （可以）（可以）/SYN（请确认！）（请确认！）攻击者攻击者受害者受害者伪造地址进行伪造地址进行SYN请求请求为何为何还没还没回应回应就是就是让你让你白等白等不能建立正常的连接不能建立正常的连接*黑客攻击与防范35正常正常tcp connect攻击者攻击者受害者受害者大量的大量的tcp connect这么多这么多需要处需要处理？理？不能建立正常的连接不能建立正常的连接正常正常tcp connect正常正常tcp con

16、nect正常正常tcp connect正常正常tcp connect正常用户正常正常tcp connect*黑客攻击与防范36 灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软

17、件。时，灰鸽子是一款优秀的远程控制软件。 *黑客攻击与防范37客户端主界面如图所示： *黑客攻击与防范38特点：端口反弹木马的工作原理，使防火墙形同虚设 ：在传输层，和传统的木马恰恰相反，被控端（服务端）执行客户端的命令，但它不监听一个端口，而是主动去连接客户端；客户端给服务端下达命令，但它不主动去连接服务端，而是开一个端口监听服务端的连接。 反向连接，被控制电脑“自动上线”：灰鸽子是反向连接的木马，也就是说，被控制电脑会主动连接控制端电脑。冰河、BO 2000这些传统的木马要连接被控端电脑必须告知客户端被控电脑的IP地址和端口等信息，而灰鸽子则不同，灰鸽子的客户端启动后，被控制电脑会争先连接

18、到客户端，如同好友上线。*黑客攻击与防范39功能：功能：l1)模枋Windows资源管理器，可以对被控制电脑上的文件进行复制、粘贴、删除、重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用；l2)可以查看被控制电脑的系统信息、剪切板上的信息等；可以远程操作被控制电脑的进程、服务；可以远程禁用被控制电脑的共享和创建新的共享，还可以把被控制电脑设置为一台代理服务器；l3)不但可以连继的捕获远程电脑屏幕，还能把本地的鼠标及键盘操作传送到被控制电脑，实现远程实时控制功能；l4)可以监控被控电脑上的摄像头,还有语音监听和发送功能，可以和被控电脑进行语音对话。l5)灰鸽子还能模拟注册表编辑器，操作

19、远程注册表就像操作本地注册表一样方便；l6)命令广播，如关机、重启或打开网页等，这样单击一个按钮就可以让多台机器同时关机、重启或打开网页等。*黑客攻击与防范40l 防火墙防火墙l 入侵检测入侵检测l 漏洞扫描漏洞扫描l 发现黑客发现黑客l 发现黑客入侵后的对策发现黑客入侵后的对策*黑客攻击与防范41 访问访问控制控制 认证认证 NAT 加密加密 防病毒、内容防病毒、内容过滤过滤 流量管理流量管理*黑客攻击与防范42 Firewall FirewallServersDMZDMZIDS AgentIntranetIntranet监控中心监控中心router攻击者攻击者发现攻击发现攻击发现攻击发现攻

20、击发现攻击发现攻击报警报警报警报警IDS Agent*黑客攻击与防范43地方网管地方网管scanner监控中心监控中心地方网管地方网管地方网管地方网管地方网管地方网管地方网管地方网管*黑客攻击与防范44市场部市场部工程部工程部routerouter r开发部开发部ServersServersFirewallFirewall*黑客攻击与防范451. 在黑客正在活动时，捉住他在黑客正在活动时，捉住他2. 根据系统发生的一些改变推断系统已被入侵根据系统发生的一些改变推断系统已被入侵3. 根据系统中一些奇怪的现象判断根据系统中一些奇怪的现象判断4. 一个用户登录进来许多次一个用户登录进来许多次5. 一

21、个用户大量地进行网络活动，或者其他一些一个用户大量地进行网络活动，或者其他一些很不正常的网络操作很不正常的网络操作6. 一些原本不经常使用的账户，突然变得活跃起一些原本不经常使用的账户，突然变得活跃起来来*黑客攻击与防范461.估计形势估计形势 当证实遭到入侵时，采取的第一步行动是当证实遭到入侵时，采取的第一步行动是尽可能快地估计入侵造成的破坏程度。尽可能快地估计入侵造成的破坏程度。 2. 采取措施采取措施 （1）杀死这个进程来切断黑客与系统的连接。）杀死这个进程来切断黑客与系统的连接。 （2）使用工具询问他们究竟想要做什么。）使用工具询问他们究竟想要做什么。 （3）跟踪这个连接，找出黑客的来路和身份。）跟踪这个连接，找出黑客的来路和身份。 *黑客攻击与防范47（4）管理员可以使用一些工具来监视黑客，观）管理员可以使用一些工具来监视黑客，观察他们在做什么。这些工具包括察他们在做什么。这些工具包括snoop、ps、lastcomm和和ttywatch等。等。 （5）ps、w和和who这些命令可以报告每一个用户这些命令可以报告每一个用户使用的终端。如果黑客是从一个