彭思喜电商安全第3章常见的网络攻击与防范技术和我国物流产业与电子商务分析报告

SCAUEconomicandManagementCollege主讲人：经济管理学院营销系彭思喜电子商务安全与保密

第3章：常见的网络攻击与防范技术本章主要内容六、拒绝服务式攻击与对策一、黑客二、IP欺骗与防范四、端口扫描技术五、特洛伊木马三、Sniffer探测与防范3.1黑客

源于英文“黑客”（hacker）一词，本来有“恶作剧”之意，现在特指电脑系统的非法进入者。黑客们公开在Internet网上提出“黑客宣言”，其观点是：通往电脑的路不止一条所有信息都应该免费共享打破电脑集权在电脑上创造艺术和美信息无疆界，任何人都可以在任何时间和地点获取任何他认为有必要了解的信息反对国家和政府部门对信息的垄断和封锁。3.1.1什么是黑客3.1黑客

（1）恶作剧者（2）隐蔽攻击者（3）定时炸弹（4）矛盾制作者（5）职业杀手（6）窃密高手（7）业余爱好者3.1.2黑客的行为特征3.1黑客对计算机历史有一定了解的人，相信对凯文·米特尼克一定不会陌生，美国司法部曾经将米特尼克称为“美国历史上被通缉的头号计算机罪犯”，他的所作所为已经被记录在两部好莱坞电影中。

3.1.2黑客案例3.1黑客闯入北美空空中防务指挥系统：黑客历史上一次经典之作入侵太平洋公司撞入联邦调查局凭借最新式的“电脑网络信息跟踪机”，特工人员还是将米特尼克捕获了。连续进入了美国5家大公司的网络

（Sun、Novell、NEC、Nokia和Motorola）1988年他再次被执法当局逮捕（DEC1年）1993年，联邦调查局收买黑客同伙，诱捕米特尼克。1994年圣诞节，米特尼克向圣迭戈超级计算机中心发动了一次攻击1995年情人节之际发现了米特尼克再次被逮捕

3.1.2黑客案例：凯文.米特尼克3.1黑客美国国防部、五角大楼、中央情报局、北美防空系统、美国国家税务局、纽约花旗银行、Sun、摩托罗拉，这些美国防守最严密的网络系统都曾是他闲庭信步的地方。他15岁时入侵北美空中防务指挥系统，翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料。由于窃取国家核心机密，他受到美国联邦调查局FBI的通缉，并于1995年被逮捕，经受了五年牢狱之灾，2023年重获自由。现在米特尼克的身份是一位计算机安全作家、顾问和演讲者。3.1.2黑客案例：凯文.米特尼克凯文米特尼克闯入北美空空中防务指挥系统：黑客历史上一次经典之作入侵太平洋公司撞入联邦调查局凭借最新式的“电脑网络信息跟踪机”，特工人员还是将米特尼克捕获了。连续进入了美国5家大公司的网络

（Sun、Novell、NEC、Nokia和Motorola）1988年他再次被执法当局逮捕（DEC1年）1993年，联邦调查局收买黑客同伙，诱捕米特尼克。1994年圣诞节，米特尼克向圣迭戈超级计算机中心发动了一次攻击1995年情人节之际发现了米特尼克再次被逮捕

黑客案例3.1黑客于米特尼克一案，我们不能不注意的是，这位天才的年轻人的所作所为与通常的人们熟悉的犯罪不同，他所做的这一切似乎都不是为了钱，当然也不仅仅是为了报复他人或社会。他是一个自由的电脑编程人员，用的是旧车，住的也是他母亲的旧公寓。他也并没有利用他在电脑方面公认的天才，或利用他的超人技艺去弄钱，尽管这对他并不是十分困难的事。而且，他也没有想过利用自己解密进入某些系统后，窃取的重要情报来卖钱。对于DEC公司的指控，他说：“我从没有动过出售他们的软件来赚钱的念头。”他玩电脑、入侵网络似乎仅仅是为了获得一种强大的权力，他对一切秘密的东西、对解密入侵电脑系统十分痴迷，为此可以放弃一切。他对电脑有一种异乎常人的特殊感情，当洛杉矶的检察官控告他损害了他进入的计算机时，他甚至流下了眼泪。一位办案人员说，“电脑与他的灵魂之间似乎有一条脐带相连。这就是为什么只要他在计算机面前，他就会成为巨人的原因。”3.1黑客他在一次转机的间隙，写下了以下十条经验与大家分享。

●备份资料。记住你的系统永远不会是无懈可击的，灾难性的数据损失会发生在你身上———只需一条虫子或一只木马就已足够。

●选择很难猜的密码。不要没有脑子地填上几个与你有关的数字，在任何情况下，都要及时修改默认密码。

●安装防毒软件，并让它每天更新升级。

●及时更新操作系统，时刻留意软件制造商发布的各种补丁，并及时安装应用。

●在IE或其它浏览器中会出现一些黑客鱼饵，对此要保持清醒，拒绝点击，同时将电子邮件客户端的自动脚本功能关闭。

●在发送敏感邮件时使用加密软件，也可用加密软件保护你的硬盘上的数据。

3.1.2黑客案例3.1黑客

●安装一个或几个反间谍程序，并且要经常运行检查。

●使用个人防火墙并正确设置它，阻止其它计算机、网络和网址与你的计算机建立连接，指定哪些程序可以自动连接到网络。

●关闭所有你不使用的系统服务，特别是那些可以让别人远程控制你的计算机的服务，如RemoteDesktop、RealVNC和NetBIOS等。

●保证无线连接的安全。在家里，可以使用无线保护接入WPA和至少20个字符的密码。正确设置你的笔记本电脑，不要加入任何网络，除非它使用WPA。要想在一个充满敌意的因特网世界里保护自己，的确是一件不容易的事。你要时刻想着，在地球另一端的某个角落里，一个或一些毫无道德的人正在刺探你的系统漏洞，并利用它们窃取你最敏感的秘密。希望你不会成为这些网络入侵者的下一个牺牲品。

3.1.2黑客案例3.1黑客莫里斯蠕虫1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。它们仿佛是网络中的超级间谍，狡猾地不断截取用户口令等网络中的“机密文件”，利用这些口令欺骗网络中的“哨兵”，长驱直入互联网中的用户电脑。入侵得手，立即反客为主，并闪电般地自我复制，抢占地盘。用户目瞪口呆地看着这些不请自来的神秘入侵者迅速扩大战果，充斥电脑内存，使电脑莫名其妙地"死掉"，只好急如星火地向管理人员求援，哪知，他们此时四面楚歌，也只能眼睁睁地看着网络中电脑一批又一批地被病毒感染而"身亡"。不计其数的数据和资料毁于这一夜之间。造成一场损失近亿美元的空前大劫难！

3.1.2黑客案例3.1黑客莫里斯的伟大目标3.1黑客1972年，科幻小说家大卫·杰罗德（DavidGerrold）首次使用“病毒”一词来指有害的电脑代码。80年代初，病毒开始困扰个人计算机，1983年，弗雷德·科恩（FredCohen）第一个给出了电脑病毒的科学定义。但直到1987年，公众才普遍感知这一问题。那一年，一起袭击了宾夕法尼亚州勒海大学（LehighUniversity）的病毒事件引起了全美国的注意。一年后，病毒相继成为《时代》和《商业周刊）的封面故事。它之所以惹人注目，是因为它带有一种神秘感，并且与生物学上的病毒非常相像。计算机也会被“感染”，需要接种“疫苗”，这些都令普通人感到好奇和恐惧。很快人们就把电脑病毒与艾滋病毒相提并论。

莫里斯的伟大目标3.1黑客一般人都认为，所有的病毒都是有害的，都会损坏数据。但内行人知道，实情并非如此。事实上，写一个微妙而无害的程序，同时又使它有能力大规模扩散。是一件比制造那些破坏性的病毒更有趣的事情。

一个看不见的软件在由成千上万台计算机组成的电子宇宙中不断向前推进，缓慢地、不为人觉察地扩张它的疆土，任何想要摧毁它的人都无计可施，这一病毒由此获得了永生。实现的步骤3.1黑客目标：每次感染以大网（局域网）上的3台机器

只在所有用户都停止工作的时候运行

绕开速度慢的机器

检查主机表，寻找已知的网关，然后找出该网的主机

偷偷进入口令文件，破解口令，再重新运行

实验目标的手段3.1黑客第一、建立口令库第二、发现ftp，sendmail，finger的漏洞。。病毒特征及难题3.1黑客首先，它必须能够潜入网络中的许多不同的机器，还得尽可能地不引人注目，以防系统管理员怀疑；其次，它立足之后，必须想法发现是否已有自己的其他拷贝在机器上，它应该有自我控制能力，对每台机器上的拷贝数进行限制。但有一个难题仍未解决：如何在不停止病毒运行的前提下控制其蔓延。

难题的解决办法设想3.1黑客病毒将从他发现的Unix漏洞中进入计算机，然后在系统中寻找有无其他拷贝。如果有的话，两个程序将互相“交谈”，在理想情况下，其中之一将自动停止运行，从而达到控制病毒繁殖的目的。但如果有人发现了侵入的病毒，那又该怎么办呢？程序员可以写作一个欺骗性的程序，使病毒误以为在这台机器上已有自己的拷贝了，这种“疫苗”程序将有效地阻止病毒的扩散。用什么办法击败“疫苗”程序呢？

随机性来对付疫苗程序3.1黑客当病毒进入计算机并发现另一个拷贝时，它可以扔一个“电子硬币”决定谁生谁死。

罗伯特还想出了另外一种保证病毒生存的办法。病毒在N次尝试进入一台计算机后，给自己下一个永不停止运行的指令。

莫里斯蠕虫的缺陷3.1黑客新到来的病毒与已经在机器中立足的病毒难以对话，因为后者并没有足够的耐心听前者说话，从而承认它的到来。因而，每个病毒都认为自己是唯一的，罗伯特设计的用以促使病毒拷贝自我毁灭的“电子硬币”投掷，根本就不会发生。这是该病毒的致命伤。由于这个缺陷，不要说作者把复制参数误设为1／7，就是设定为1／10，也是无济干事。

辩护律师3.1黑客1.动机

简单地浏览一下他的程序就会发现，他把蠕虫设计得尽量无害，只是要它在尽可能多的电脑内落脚。他还在程序内设置了限制其繁殖的办法。在吉多博尼看来，这是一张原告可能获胜的王牌。他认为司法部用以起诉的条文针对的是蓄意破坏的行为，因而对他的客户不适用。策略：把罗伯特描述成一个用心良好的无辜者，在一次无害的试验中犯了错误

辩护律师3.1黑客2.优点

吉多博尼然后列举了罗伯特的优点。在哈佛的时候，他暑期拼命工作，对计算机安全事业作出了重要贡献。他撰写了一些论文，提醒电脑社区填补安全漏洞

辩护律师3.1黑客3.提出证据

吉多博尼说，他将提出证据，表明罗伯特有意限制了病毒的范围，想让它缓慢地、不为人知地渗入网络。“但他犯了一个错误，一个关键的错误，”最终，“他提醒电脑社区，系统并不安全，大家需要采取措施，改进这种状况。这使许多人脸上无光。但一个简单的错误，加上丢脸和一点不方便，并不等于重罪。”

辩护律师———精彩片段3.1黑客“由于蠕虫，sendmail程序是不是比原来完善了一些？”吉多博尼问。

“是，”波斯蒂克回答。

“它当然也更安全了。”

“是。”波斯蒂克微笑起来。

“对finger来说情况也是如此，对吗？”

“对”

“既然FTP和finger程序允许用户在一台电脑上运行另一台电脑的程序，那么它们是不是给了用户使用其他任何能运行这种程序的电脑的权利？波斯蒂克摇摇头，似乎头一次想到这个问题。”“是。”他回答。那么，从某种意义上说，只要一台电脑能运行FTP和finger，罗伯特·莫里斯就有权使用，对吗？波斯蒂克同意：罗伯特的确拥有使用权。辩护律师———精彩片段3.1黑客“由于蠕虫，sendmail程序是不是比原来完善了一些？”吉多博尼问。

“是，”波斯蒂克回答。

“它当然也更安全了。”

“是。”波斯蒂克微笑起来。

“对finger来说情况也是如此，对吗？”

“对”

“既然FTP和finger程序允许用户在一台电脑上运行另一台电脑的程序，那么它们是不是给了用户使用其他任何能运行这种程序的电脑的权利？波斯蒂克摇摇头，似乎头一次想到这个问题。”“是。”他回答。那么，从某种意义上说，只要一台电脑能运行FTP和finger，罗伯特·莫里斯就有权使用，对吗？波斯蒂克同意：罗伯特的确拥有使用权。控诉方3.1黑客1.犯罪事实

“1988年11月2日，被告罗伯特·泰潘·莫里斯向全美各地的计算机发动了一场大规模的攻击。”“这一攻击是蓄意的、经过周密准备和算计的，”拉什说。“它试图突破尽可能多的不同的计算机，以达到法律所称的‘未经授权进入’的目的。”

（

美国国会于1984年立法，首次把未经授权进入电脑系统的行为认定为犯罪。1986年又通过了该法的修正案，认定对未经授权进入后获得的信息进行修改、销毁或公开的行为也属犯罪。）

控诉方3.1黑客2.像电脑罪犯一样思考

距开庭只有两个星期的时候，起诉方突然提出要在法庭上播放罗伯特在国家安全局的报告录像，而且只播放“如何不被抓住”那段。这个哈佛学生是否像一个电脑罪犯一样思考？仔细地观看录像片就会发现，在某些地方，这位22岁的青年确实好像钻到了电脑罪犯的脑子里。并且，他清楚地知道，一些行为是违法的。在讨论“如何不被抓住”时，罗伯特开门见山他说：“每一个黑客心里想的都是：怎样避免进班房。”接下来，他罗列了电脑犯罪分子用以掩盖罪证的一些巧妙方法：隐藏入侵路径、盗用他人、远离作案现场，等等。罗伯特经常站在黑客的立场上。“如果你有远见的话，”他谈起如何骗过监视装置，“你就应该在干坏事前占满监视程序所需要的磁盘空间，这样，当程序想记录某些东西时，会发现磁盘已满，监视功能失效。控诉方3.1黑客3.寻找证人

学院实验室和其他政府机构的证人。他们一个接一个地走上证人席，讲述了大同小异的故事——怎样发现病毒的侵袭、怎样切断与网络的联系、怎样爬到桌子底下拔出电脑的插头，造成的损失有多大。判决结构3.1黑客陪审团在经过长时间讨论后，12人说了同样的话：“有罪。”

感叹：本来，这位计算机科学家和他年轻的儿子可以作为美国最优秀、最聪明的精英中的一分子，安静地享受美好的生活。而现在，父亲鲍勃，神秘莫测的国家安全局头号专家，被暴露于大庭广众之下；儿子莫里斯，一度似乎注定要成为全国最耀眼的软件明星之一，成了一个罪犯。

3.1黑客3.1.2黑客案例3.1黑客3.1.4黑客攻击的一般过程

预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：植入后门木马删除日志修补明显的漏洞进一步渗透扩展目的：消除痕迹，长期维持一定的权限3.1黑客3.1.4黑客攻击的一般过程3.2IP欺骗与防范3.2.1IP欺骗原理IP欺骗是利用不同主机间的信任关系而进行欺骗攻击的一种手段，这种信任关系是以IP地址验证为基础的。

信任关系

在Unix领域中，信任关系能够很容易得到。假如在主机A和B上各有一个帐户，在使用当中会发现，在主机A上使用时需要输入在A上的相应帐户，在主机B上使用时必须输入在B上的帐户，主机A和B把你当作两个互不相关的用户，显然有些不便。为了减少这种不便，可以在主机A和主机B中建立起两个帐户的相互信任关系。这样，A和B主机就可以毫无阻碍地使用任何以r*开头的远程登录对方如:rlogin，rcall，rsh等，而无口令验证的烦恼。这些命令将允许以地址为基础的验证，或者允许或者拒绝以IP地址为基础的存取服务这里的信任关系是基于IP地址的。3.2IP欺骗与防范3.2.1IP欺骗原理

RloginRlogin是一个简单的客户/服务器程序，它利用TCP传输。Rlogin允许用户从一台主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP地址。因此，根据以上所举的例子，我们能利用Rlogin来从B远程登录到A，而且不会被提示输入口令。3.2IP欺骗与防范3.2.1IP欺骗原理IP欺骗

IP欺骗由若干步骤组成，简要地描述如下：先做以下假定:首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作:使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。3.2IP欺骗与防范3.2.1IP欺骗的防范1.改变间隔2.禁止基于IP地址的验证3.使用包过滤技术4.使用加密方法5.使用随机化的初始序列号3.3Sniffer探测与防范3.3.1Snifer原理数据报嗅探是一种协议分析软件，它利用网卡的混杂模式来监听网络中的数据报。Sniffer可以用于嗅探网络中的明文口令信息：TelnetFTPSNMPPOP数据报嗅探工具必须与监听对象在同一个冲突域里面。3.3Sniffer探测与防范3.3.1Snifer原理在一个共享式网络，可以听取所有的流量是一把双刃剑管理员可以用来监听网络的流量情况开发网络应用的程序员可以监视程序的网络情况黑客可以用来刺探网络情报目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer)3.3Sniffer探测与防范3.3.1Snifer原理3.3Sniffer探测与防范3.3.1Snifer原理3.3Sniffer探测与防范Snifer的防范主要的防范手段：认证—使用强认证方式，例如使用一次性口令。反嗅探工具—利用反嗅探工具来发现网络中的嗅探行为。加密—这是最为有效的防范手段。

3.3Sniffer探测与防范Windows下常用的抓包工具Buttsniffer简单，不需要安装，可以在WindowsNT下运行，适合于后台运作NetMon友好的图形界面，分析功能强NetXRay界面友好，统计分析功能强，过滤器功能基于WinPcap的工具WinDump(tcpdump的Windows版本)Analyzer3.4端口扫描技术扫描技术主机扫描：确定在目标网络上的主机是否可达，同时尽可能多映射目标网络的拓扑结构，主要利用ICMP数据包端口扫描：发现远程主机开放的端口以及服务操作系统指纹扫描：根据协议栈判别操作系统3.4端口扫描技术传统的主机扫描ICMPEchoRequest和EchoReply通过简单地向目标主机发送ICMPEchoRequest数据包，并等待回复的ICMPEchoReply包，如PingICMPSweep（PingSweep）使用ICMPEchoRequest一次探测多个目标主机。通常这种探测包会并行发送，以提高探测效率BroadcastICMP设置ICMP请求包的目标地址为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机，这种情况只适合于UNIX/Linux系统3.4端口扫描技术主机扫描对策使用可以检测并记录ICMP扫描的工具使用入侵检测系统在防火墙或路由器中设置允许进出自己网络的ICMP分组类型3.4端口扫描技术端口扫描技术开放扫描(OpenScanning)需要扫描方通过三次握手过程与目标主机建立完整的TCP连接可靠性高，产生大量审计数据，容易被发现半开放扫描(Half-OpenScanning)扫描方不需要打开一个完全的TCP连接秘密扫描(StealthScanning)不包含标准的TCP三次握手协议的任何部分

隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息

3.4端口扫描技术TCPConnect（）扫描原理扫描器调用socket的connect()函数发起一个正常的连接如果端口是打开的，则连接成功否则，连接失败优点简单，不需要特殊的权限缺点服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则一定是在扫描3.4端口扫描技术TCPSYN扫描原理向目标主机的特定端口发送一个SYN包如果应答包为RST包，则说明该端口是关闭的否则，会收到一个SYN|ACK包。于是，发送一个RST，停止建立连接优点很少有系统会记录这样的行为缺点在UNIX平台上，需要root权限才可以建立这样的SYN数据包3.4端口扫描技术TCPFin扫描原理扫描器发送一个FIN数据包如果端口关闭的，则远程主机丢弃该包，并送回一个RST包否则的话，远程主机丢弃该包，不回送优点不是TCP建立连接的过程，所以比较隐蔽缺点与SYN扫描类似，也需要构造专门的数据包在Windows平台无效，总是发送RST包3.4端口扫描技术端口扫描对策设置防火墙过滤规则，阻止对端口的扫描例如可以设置检测SYN扫描而忽略FIN扫描使用入侵检测系统禁止所有不必要的服务，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注释掉不必要的服务，并在系统启动脚本中禁止其他不必要的服务Windows中通过Services禁止敏感服务，如IIS3.4端口扫描技术端口扫描工具3.5特洛伊木马什么是特洛伊木马定义：特洛伊木马是一个程序，它驻留在目标计算机里。在目标计算机系统启动的时候，特洛伊木马自动启动。然后在某一端口进行侦听。如果在该端口受到数据，对这些数据进行识别，然后按识别后的命令，在目标计算机上执行一些操作。

因此，木马应该符合三个条件：