计算系统与网络安全

计算系统与网络安全

ComputerSystemandNetworkSecurity2023/6/5​计算系统与网络安全全文共131页，当前为第1页。第9章网络攻防技术结论网络攻击阶段及相关工具网络安全常识操作系统简介(自学)网络简介2023/6/5​计算系统与网络安全全文共131页，当前为第2页。第9章网络攻防技术结论网络攻击阶段及相关工具网络安全常识操作系统简介(自学)网络简介2023/6/5​计算系统与网络安全全文共131页，当前为第3页。

开始任何攻击或探测之前，请注意你自己也将暴露在攻击目标或监管系统面前，并请遵守信息安全职业道德！ －周世杰2023/6/5​计算系统与网络安全全文共131页，当前为第4页。网络简介协议分层协议层N＋1协议层N协议层N－1协议层N＋1协议层N协议层N－1发送方计算机接收方计算机2023/6/5​计算系统与网络安全全文共131页，当前为第5页。OSI七层模型2023/6/5​计算系统与网络安全全文共131页，当前为第6页。TCP/IP分层模型ARPRARPTCPUDPIPICMPIGMPSMTPHTTPTELNETDNSSNMP应用层传输层网络层网络接口层2023/6/5​计算系统与网络安全全文共131页，当前为第7页。TCP/IP网络传输层网络层数据链路层物理层应用层传输层网络层数据链路层物理层应用层网络层数据链路层物理层2023/6/5​计算系统与网络安全全文共131页，当前为第8页。TCP/IP数据封装2023/6/5​计算系统与网络安全全文共131页，当前为第9页。TCP/IP进一步讨论传输控制协议TCP用户数据报UDP网际协议IPInternet控制消息协议ICMP传输层网络层2023/6/5​计算系统与网络安全全文共131页，当前为第10页。TCPTCP源端口（16）TCP目的端口（16）序列号（32）确认号（32）数据偏移（4）保留（6）控制位（6）窗口（16）校验和（16）紧急指针（16）选项（如果有）填充位数据2023/6/5​计算系统与网络安全全文共131页，当前为第11页。TCP（续）控制字段：每一位代表一种控制功能从左至右为：紧急指针URG、ACK应答域有效、立即发送PSH、复位RST、同步序列号SYN、释放连接FIN2023/6/5​计算系统与网络安全全文共131页，当前为第12页。TCP（续）校验和包括TCP协议头、数据和一个伪头部伪头部组成源地址目的址00000000协议号TCP数据长度伪头部2023/6/5​计算系统与网络安全全文共131页，当前为第13页。TCP（续）三次握手带有初始序列号的SYNaACKSYNa，且带有初始序列号的SYNbACKSYNbConnection2023/6/5​计算系统与网络安全全文共131页，当前为第14页。TCP（续）问题：6位保留位用来作什么？2023/6/5​计算系统与网络安全全文共131页，当前为第15页。UDPTCP源端口（16）TCP目的端口（16）消息长度（16）数据校验和UDP＝UnreliableDamnProtocolUDP＝UserDatagramProtocol2023/6/5​计算系统与网络安全全文共131页，当前为第16页。IP2023/6/5​计算系统与网络安全全文共131页，当前为第17页。IP（续）IP地址子网掩码路由器交换机集线器网关网闸（NetworkAirGap）2023/6/5​计算系统与网络安全全文共131页，当前为第18页。IP（续）IP分片3位标志：是否分片2023/6/5​计算系统与网络安全全文共131页，当前为第19页。IP（续）问题：8位服务类型一般没有使用，我们可以用它来做什么？2023/6/5​计算系统与网络安全全文共131页，当前为第20页。ICMPICMP是TCP/IP中重要的协议之一ICMP使用与IP相同的首部格式，在首部之后，在IP数据包的数据部分，ICMP加入一个ICMP类型字段，ICMP余下的格式依赖于ICMP类型字段ICMP的类型：响应应答（0）、目的不可到达（3）、源抑制（6）、重定向（5）、响应（8）、超时（11）、参数问题（12）、时间戳（13）、时间戳应答（14）、消息请求（15）、消息应答（16）2023/6/5​计算系统与网络安全全文共131页，当前为第21页。数据链路层以太网数据帧格式2023/6/5​计算系统与网络安全全文共131页，当前为第22页。数据链路层（续）以太网地址介质访问控制（MAC）地址（简称MAC地址）是48位地址当数据包要通过LAN发送到另外一个系统时，它必须知道哪个物理节点应该接收数据数据到达以太网后，不能发送到IP地址，而必须发送到物理网卡（NIC）实现IP地址和MAC解析的协议是地址解析协议（ARP）2023/6/5​计算系统与网络安全全文共131页，当前为第23页。ARP当一个系统有数据需要发送到LAN上时，它发送一个ARP请求ARP被广播到LAN上知道该IP的计算机发送ARP响应收到ARP响应之后，IP地址和MAC地址的映射信息会在本地缓存（ARP地址解析表）ARP地址解析表会周期性的被清空ARP一般不会通过路由器广播2023/6/5​计算系统与网络安全全文共131页，当前为第24页。第9章网络攻防技术结论网络攻击阶段及相关工具网络安全常识操作系统简介(自学)网络简介2023/6/5​计算系统与网络安全全文共131页，当前为第25页。网络安全常识潜在的攻击者竞争对手黑客政治家有组织的罪犯恐怖主义者政府雇佣杀手虚伪朋友不满的员工客户供应商厂商商务伙伴契约者、临时雇员和顾问2023/6/5​计算系统与网络安全全文共131页，当前为第26页。攻击者的水平脚本小孩（ScriptKiddies）普通技能攻击者高级技能攻击者安全专家杰出攻击者2023/6/5​计算系统与网络安全全文共131页，当前为第27页。两个概念黑客能赋予计算机扩展的能力，使其超越最初设计的人计算机窃贼恶意攻击计算机系统的人2023/6/5​计算系统与网络安全全文共131页，当前为第28页。建立攻击环境Alice双启动：windows＋LinuxEve双启动：windows＋LinuxBob双启动：windows＋Linux2023/6/5​计算系统与网络安全全文共131页，当前为第29页。第9章网络攻防技术结论网络攻击阶段及相关工具网络安全常识操作系统简介(自学)网络简介2023/6/5​计算系统与网络安全全文共131页，当前为第30页。网络攻击阶段及工具攻击的阶段性侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023/6/5​计算系统与网络安全全文共131页，当前为第31页。网络攻击阶段及工具（续）侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023/6/5​计算系统与网络安全全文共131页，当前为第32页。侦察侦察是攻击的第一步，这就如同匪徒一般侦察是利用公开的、可利用的信息来调查攻击目标侦察包括以下技术低级技术侦察Web搜索Whois数据库域名系统（DNS）侦察通用的目标侦察工具2023/6/5​计算系统与网络安全全文共131页，当前为第33页。低级技术侦察社交工程物理闯入垃圾搜寻你能找出垃圾搜寻的例子吗？2023/6/5​计算系统与网络安全全文共131页，当前为第34页。Web搜索搜索一个组织自己的web站点有电话号码的职员联系信息关于公司文化和语言的信息商务伙伴最近的合并和兼并公司正使用的技术使用搜索引擎搜索论坛BBS（电子公告栏）Usenet（新闻组）2023/6/5​计算系统与网络安全全文共131页，当前为第35页。Whois数据库搜索什么是whois数据库：包括各种关于Internet地址分配、域名和个人联系方式的数据库研究.com,.net,.org域名研究非.com,.net和.org域名国家代码:教育（.edu):军事代码（.mit):whois.nic.mit政府(.gov):2023/6/5​计算系统与网络安全全文共131页，当前为第36页。Whois数据库搜索(续)搜索目标域名2023/6/5​计算系统与网络安全全文共131页，当前为第37页。Whois数据库搜索(续)搜索目标IP美国Internet注册局：欧洲网络协调中心：亚太网络协调中心：中国互联网络信息中心：2023/6/5​计算系统与网络安全全文共131页，当前为第38页。亚太网络信息中心2023/6/5​计算系统与网络安全全文共131页，当前为第39页。DNS搜索nslookup2023/6/5​计算系统与网络安全全文共131页，当前为第40页。通用工具SamSpade工具Netscantools基于web的工具.......2023/6/5​计算系统与网络安全全文共131页，当前为第41页。网络攻击阶段及工具（续）侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023/6/5​计算系统与网络安全全文共131页，当前为第42页。扫描扫描是在侦察之后，企图发现目标的漏洞扫描需要花费许多时间2023/6/5​计算系统与网络安全全文共131页，当前为第43页。扫描内容战争拨号网络测绘端口扫描漏洞扫描躲避IDS2023/6/5​计算系统与网络安全全文共131页，当前为第44页。战争拨号战争拨号是搜寻调制解调器查找电话号码：电话薄、Intenet、whois、web站点、社交工程工具THC－scan2.02023/6/5​计算系统与网络安全全文共131页，当前为第45页。网络测绘网络测绘是绘制目标的网络拓扑结构发现活跃主机PingTCP或UDP数据包扫描跟踪路由：Traceroute（UNIX）Tracert（Windows）网络测绘工具Cheops：2023/6/5​计算系统与网络安全全文共131页，当前为第46页。端口扫描端口扫描类型TCP连接扫描：三次握手TCPSYNTCPFINXma：发送TCPURG、PSH等TCP空扫描TCPACKFTP跳跃UDPICMP工具：nmap2023/6/5​计算系统与网络安全全文共131页，当前为第47页。FTP跳跃支持FTP转发的FTP服务器FTP控制连接2023/6/5​计算系统与网络安全全文共131页，当前为第48页。扫描的目的发现活跃的主机发现开放的端口确定目标使用的操作系统协议栈指纹（Fingerprint）2023/6/5​计算系统与网络安全全文共131页，当前为第49页。如何扫描防火墙NMAP扫描目标主机开放端口如何扫描防火墙，确定其开放端口呢？firewall2023/6/5​计算系统与网络安全全文共131页，当前为第50页。Firewall路由器路由器防火墙TTL=4Port=1,TTL=4Port=2,TTL=4Port=3,TTL=4Port=4,TTL=4超时消息2023/6/5​计算系统与网络安全全文共131页，当前为第51页。漏洞扫描漏洞扫描寻找以下漏洞一般的配置错误默认的配置缺点知名系统的漏洞漏洞扫描的组成漏洞数据库用户配置工具扫描引擎当前活跃的知识库结果库和报告生成工具漏洞数据库用户配置工具扫描引擎活跃的知识库结果库和报告生成2023/6/5​计算系统与网络安全全文共131页，当前为第52页。漏洞扫描工具SARA，.SANT,Nessus,......2023/6/5​计算系统与网络安全全文共131页，当前为第53页。NessusNessus以插件形式提供漏洞检查Nessus基于客户/服务器结构客户服务器2023/6/5​计算系统与网络安全全文共131页，当前为第54页。躲避IDS上述扫描均存在“网络噪音”，易被IDS识别出来如何躲避IDS？IDS如何工作？如何躲避？2023/6/5​计算系统与网络安全全文共131页，当前为第55页。IDS如何工作IDS2023/6/5​计算系统与网络安全全文共131页，当前为第56页。如何躲避IDS？弄乱流量改变数据的结构或语法弄乱上下文IDS无法识别完整的会话方法：网络层躲避应用层躲避2023/6/5​计算系统与网络安全全文共131页，当前为第57页。网络层躲避只使用片断发送片断泛洪以意想不到的方式对数据包分段微小片段攻击片段重叠工具：fragroute2023/6/5​计算系统与网络安全全文共131页，当前为第58页。Fragrouter2023/6/5​计算系统与网络安全全文共131页，当前为第59页。应用层躲避躲避IDSCGI：whisker()URL编码/./目录插入过早结束的URL长URL假参数TAB分隔大小写敏感Windows分隔符(‘\’)空方法会话拼接（在网络层分片）2023/6/5​计算系统与网络安全全文共131页，当前为第60页。网络攻击阶段及工具侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023/6/5​计算系统与网络安全全文共131页，当前为第61页。使用应用程序和操作系统的攻击获得访问权在获得目标潜在的漏洞之后，攻击者将设法获得对目标系统的访问权脚本小孩的攻击过程：查找漏洞数据库下载工具发送攻击真正的攻击者：自己动手！2023/6/5​计算系统与网络安全全文共131页，当前为第62页。常用的攻击方法基于堆栈的缓冲区溢出密码猜测网络应用程序攻击2023/6/5​计算系统与网络安全全文共131页，当前为第63页。基于堆栈的缓冲区溢出攻击什么是堆栈？堆栈是一种数据结构，用来存储计算机上运行进程的重要信息堆栈的操作表现位LIFO：后进先出什么数据存储在堆栈中？存放与函数调用有关的信息2023/6/5​计算系统与网络安全全文共131页，当前为第64页。进程内存布局内存低端内存高端文本区（包括程序代码和只读数据）（已初始化区）数据区（未初始化区）栈区大小固定对应可执行文件的文本区大小可变对应可执行文件的数据区大小动态变化临时存储区典型操作为push，pop2023/6/5​计算系统与网络安全全文共131页，当前为第65页。栈内存低端内存高端填充方向栈底是固定地址栈顶指针（栈指针）SP栈帧指针FP：指向栈的固定数据块栈帧:包含函数的参数、局部变量以及恢复前一个栈帧的数据信息(如指令指针的值）2023/6/5​计算系统与网络安全全文共131页，当前为第66页。栈（续）当发生函数调用时，进程要做的第一件事情是保存以前的栈帧指针（FP），以便以后可以恢复它所指向的栈帧,随后，进程将创建一个新的栈帧，并将SP指针指向该新的的栈帧(该过程称之为过程调用开始procedureprolog)当别调用的函数结束时，以前存储的FP将被恢复（该过程称之为过程调用结束procedureepilog)2023/6/5​计算系统与网络安全全文共131页，当前为第67页。栈例子(1)voidfunction(inta,intb,inc) { charbuffer1[5]; charbuffer2[10]; }voidmain(intargc,char**argv) { charlarge_string[256]; function(1,2,3); }程序从此开始执行程序流程转到此函数2023/6/5​计算系统与网络安全全文共131页，当前为第68页。Main函数栈Large_string（局部变量）保存的框架指针（上一个FP）返回的指令指针argv内存低端内存高端填充方向argcSPMain函数的栈帧2023/6/5​计算系统与网络安全全文共131页，当前为第69页。Function函数被调用后Large_string（局部变量）保存的框架指针（上一个FP）返回的指令指针argv内存低端内存高端填充方向argcSPMain函数的栈帧cba返回的指令指针上一个FP(main函数的FP）buffer1buffer2Function函数的栈帧2023/6/5​计算系统与网络安全全文共131页，当前为第70页。栈例子(2)voidfunction(char*str) { charbuffer[16]; strcpy(buffer,str); }voidmain() { charlarge_string[256]; inti; for(i=0;i<256;i++) large_buffer[i]=‘A’ function(large_string); }程序从此开始执行程序流程转到此函数2023/6/5​计算系统与网络安全全文共131页，当前为第71页。Function函数被调用后i,large_string（局部变量）保存的框架指针（上一个FP）返回的指令指针内存低端内存高端填充方向SPMain函数的栈帧*str返回的指令指针上一个FP(main函数的FP）bufferfunction函数的栈帧2023/6/5​计算系统与网络安全全文共131页，当前为第72页。strcpy函数被调用后AAAAAAAAAAAAAAAA内存低端内存高端填充方向SPMain函数的栈帧?AAAAAAAAAAAAbufferfunction函数的栈帧?返回的指令指针2023/6/5​计算系统与网络安全全文共131页，当前为第73页。缓冲区溢出组成发现缓冲区测试（Try！！！）字符串操作函数Web搜索编写shell代码：将要被执行的程序编写exploit代码（植入代码）：启动shell代码的程序2023/6/5​计算系统与网络安全全文共131页，当前为第74页。缓冲区溢出之后一旦溢出并产生了一个命令外壳之后，攻击者采取的动作可能有：使用inetd创建后门使用tftp或netcat进行后门攻击回击xterm2023/6/5​计算系统与网络安全全文共131页，当前为第75页。密码猜测攻击猜测缺省密码通过登录脚本猜测密码密码破解Windows：L0phtCrackunix:： JohntheRipper关键：如何获得密码文件？2023/6/5​计算系统与网络安全全文共131页，当前为第76页。网络应用程序攻击收集帐号不断输入错误帐号和口令破坏web应用程序的会话跟踪猜测会话ID，通过获取HTML页面修改后重放修改cookies如果会话ID不能手工修改？Web代理工具：AchillesSQLPiggybacking2023/6/5​计算系统与网络安全全文共131页，当前为第77页。AchillesAchilles代理IEorNetscapeWebServer2023/6/5​计算系统与网络安全全文共131页，当前为第78页。SQLPiggybackingSQL语句特殊字符‘’;*%_.....2023/6/5​计算系统与网络安全全文共131页，当前为第79页。SQLPiggybackingSQLPiggybackingSelect*fromtablewhereuser=‘admin’andpwd=‘SdfG#345!’Select*fromtablewhereuser=‘admin’andpwd=‘123’or‘1=1’adminSdfG#345!admin123’or‘1=12023/6/5​计算系统与网络安全全文共131页，当前为第80页。网络攻击阶段及工具攻击的阶段性侦察扫描拒绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023/6/5​计算系统与网络安全全文共131页，当前为第81页。使用网络攻击获得访问权网络攻击方式嗅探IP地址欺骗会话劫持多功能网络工具攻击：NetCat2023/6/5​计算系统与网络安全全文共131页，当前为第82页。嗅探被动嗅探：通过集线器进行嗅探主动嗅探：通过交换机进行嗅探2023/6/5​计算系统与网络安全全文共131页，当前为第83页。被动嗅探嗅探工具Tcpdump,Windump,netgroup-serv.polito.it/windump/Snort,Ethereal，Dsniff,SnifferPro2023/6/5​计算系统与网络安全全文共131页，当前为第84页。主动嗅探被动嗅探仅对共享式网络有效，如何在交换式网络中进行嗅探呢？集线器交换机2023/6/5​计算系统与网络安全全文共131页，当前为第85页。主动嗅探（续）主动嗅探类型泛洪对付交换机用ARP欺骗信息对付交换机嗅探和欺骗DNS对HTTPS和SSH进行嗅探2023/6/5​计算系统与网络安全全文共131页，当前为第86页。主动嗅探（续）泛洪对付交换机(1)交换机2023/6/5​计算系统与网络安全全文共131页，当前为第87页。主动嗅探（续）泛洪对付交换机(2)交换机内存耗尽！！2023/6/5​计算系统与网络安全全文共131页，当前为第88页。主动嗅探（续）用ARP欺骗信息对付交换机（ARPSpoof）交换机外部网络LAN的缺省路由2023/6/5​计算系统与网络安全全文共131页，当前为第89页。主动嗅探（续）用ARP欺骗信息对付交换机（ARPSpoof）交换机外部网络LAN的缺省路由1.配置IP转发将数据包送到缺省路由器2.发送假的ARP回应，使受害者主机的ARP表中的条目被污染，将路由器的IP地址映射为攻击者的MAC地址3.受害者的数据实际发向了攻击者4.攻击者进行嗅探5.攻击者转发数据包2023/6/5​计算系统与网络安全全文共131页，当前为第90页。主动嗅探（续）嗅探和欺骗DNS交换机外部网络LAN的缺省路由1.攻击者启动DNS嗅探2.受害者发送DNS解析消息3.攻击者截获DNS解析消息4.攻击者快速回送一个假的域名解析：225.受害者发送的数据将送往外部攻击者222023/6/5​计算系统与网络安全全文共131页，当前为第91页。主动嗅探（续）对HTTPS和SSH进行嗅探中间人中间人攻击2023/6/5​计算系统与网络安全全文共131页，当前为第92页。主动嗅探对HTTPS和SSH进行嗅探交换机外部网络LAN的缺省路由1.攻击者启动DNS嗅探2.受害者发送DNS解析消息3.攻击者截获DNS解析消息4.攻击者快速回送一个假的域名解析：55.受害者发送的数据将送往攻击者56.攻击者转发SSL或SSH消息提示用户2023/6/5​计算系统与网络安全全文共131页，当前为第93页。使用网络攻击获得访问权IP地址欺骗简单IP地址欺骗复杂IP地址欺骗源路由欺骗2023/6/5​计算系统与网络安全全文共131页，当前为第94页。简单IP地址欺骗IP:xIP:y伪造一个来自于IP地址为y的数据包2023/6/5​计算系统与网络安全全文共131页，当前为第95页。复杂IP地址欺骗5.使用猜测的序列号响应BobEveAlice1.打开到Bob的TCP连接以观察回应中使用的初始序列号Bob2.对Alice发送拒绝服务攻击，使得Alice不能响应任何消息3.使用Alice的地址与Bob建立连接4.Bob的响应被发送到Alice2023/6/5​计算系统与网络安全全文共131页，当前为第96页。使用源路由进行IP地址欺骗EveAliceBob3.Eve窃听数据，并修改后发送给Alice1.发送源路由数据包，其中从Bob到Alice的路径包括Eve2.Bob发送到Alice的数据将经过Eve2023/6/5​计算系统与网络安全全文共131页，当前为第97页。使用网络攻击获得访问权会话劫持EveAliceBob1.AliceTelnetBob2.Alice与Bob之间的Telnet连接3.Eve窃听并分析TCP序列号4.Eve伪装Alice的IP地址发送数据包给Bob2023/6/5​计算系统与网络安全全文共131页，当前为第98页。会话劫持（续）工具：DsniffIPWatcher：TTYWatcher:TTYSnoop:2023/6/5​计算系统与网络安全全文共131页，当前为第99页。使用网络攻击获得访问权多功能工具NetCat:

两种工作模式：客户模式和侦听模式通过标准输入设备进行输入客户模式的netcat输出被通过网络发送到任意系统的TCP或者UDP端口输出到标准输出设备侦听模式的netcat从任意TCP或UDP端口上收到的输入客户模式侦听模式2023/6/5​计算系统与网络安全全文共131页，当前为第100页。NetcatNetcat主要功能：文件传输端口扫描建立到开放端口的连接创建被动的后门命令shell主动地推动一个后门命令shell流量中继2023/6/5​计算系统与网络安全全文共131页，当前为第101页。网络攻击阶段及工具侦察扫描拒绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023/6/5​计算系统与网络安全全文共131页，当前为第102页。拒绝服务攻击拒绝服务攻击分类杀死进程重新配置系统使进程崩溃填充进程表填充整个文件系统恶意数据包攻击（如Land攻击，Teardrop攻击）数据包泛洪（SYN泛洪，Smurf，DDoS）本地网络停止服务消耗资源2023/6/5​计算系统与网络安全全文共131页，当前为第103页。Land攻击发送假的数据包，它的源IP地址和端口号与目标主机相同。旧的TCP/IP协议栈对这种未知情况就会造成混乱，甚至崩溃。2023/6/5​计算系统与网络安全全文共131页，当前为第104页。Teardrop攻击发送重叠的数据包碎片。在数据包头内碎片的长度被设置为不正确的值，所以主机对这些数据包碎片组装时就不能对其正确排队。一些TCP/IP协议栈收到这样的碎片就会崩溃。还包括Newtear攻击，Bonk攻击，Syndrop攻击2023/6/5​计算系统与网络安全全文共131页，当前为第105页。SYN泛洪发送大量的SYN包无法接受正常的服务请求连接队列被填满2023/6/5​计算系统与网络安全全文共131页，当前为第106页。Smurf攻击放大器广播假的Ping，源地址采用YIP地址为y2023/6/5​计算系统与网络安全全文共131页，当前为第107页。DDoSMasterClientZombie2023/6/5​计算系统与网络安全全文共131页，当前为第108页。网络攻击阶段及工具侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023/6/5​计算系统与网络安全全文共131页，当前为第109页。维护访问权木马（TrojanHorse）BackOrifice2000(BO2K):.......后门（Backdoor）RootKits:修改系统命令甚至内核dufindlsIfconfignetstatps2023/6/5​计算系统与网络安全全文共131页，当前为第110页。网络攻击阶段及工具侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023/6/5​计算系统与网络安全全文共131页，当前为第111页。掩盖踪迹和隐藏安装RootKits或者backdoor修改事件日志Windows：*.evt工具：winzapper,ntsecurity.nu/toolbox/winzapper/UNIX:utmpwtmplastlog2023/6/5​计算系统与网络安全全文共131页，当前为第112页。掩盖踪迹和隐藏（续）利用秘密通道技术来隐藏证据隧道技术loki：ICMP隧道VanHauser：HTTP隧道隐蔽通道（CovertChannel）利用IP或者利用tcp头IPidentifierTCPSequencenumberTCPacknumber工具：Covert_TCP2023/6/5​计算系统与网络安全全文共131页，当前为第113页。CaseStudySourceCodeDBMonstrousSoftware电子办公MonstrousSoftware2023/6/5​计算系统与网络安全全文共131页，当前为第114页。CaseStudyStep1：寻找跳离点跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware2023/6/5​计算系统与网络安全全文共131页，当前为第115页。CaseStudy跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware2023/6/5​计算系统与网络安全全文共131页，当前为第116页。CaseStudyStep2：搜速MonstrousSoftware跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware2023/6/5​计算系统与网络安全全文共131页，当前为第117页。CaseStudyStep3：发送带病毒的、有吸引人的垃圾邮件SourceCodeDB跳离点（前苏联）跳离点（日本）MonstrousSoftware电子办公MonstrousSoftwareSPAM2023/6/5​计算系统与网络安全全文共131页，当前为第118页。CaseStudyStep3：发送带病毒的、有吸引人的垃圾邮件跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware下载电子邮件VPN2023/6/5​计算系统与网络安全全文共131页，当前为第119页。CaseStudyStep4：下载病毒代码跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware下载木马后门2023/6/5​计算系统与网络安全全文共131页，当前为第120页。CaseStudyStep5：木马后门利用VPN搜索windows共享跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware木马后门VPN2023/6/5​计算系统与网络安全全文共131页，当前为第121页。CaseStudyStep6：上传病毒代码，并替换为notepad等程序跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware木马后门VPN木马后门木马后门2023/6/5​计算系统与网络安全全文共131页，当前为第122页。CaseStudyStep7：回传口令信息跳离点（前苏联）跳离点（日本）SourceCodeDBMonstrousSoftware电子办公MonstrousSoftware木马后门NetcatL0phCrackNetcat木马后门木马后门2023/6/5​计算系统与网络安全全文共131页，当前为第123页。CaseStudyStep8：利用隐蔽信道传送命令和解密口令SourceCodeDB跳离点（前苏联）跳离点（日本）MonstrousSoftware电子办公MonstrousSoftware木马后门NetcatL0phCrackCovert_TCP通信量大的电子商务网站Netcat木马后门木马后门2023/6/5​计算系统与网络安全全文共131页，当前为第124页。CaseStudyStep9：利用破解后的口令建立VPN连接，并扫描网络SourceCodeDBMonstrousSoftware跳离点（前苏联）跳离点（日本）MonstrousSoftware电子办公木马后门NetcatL0phCrackCovert_TCP通信量大的电子商务网站NetcatVPN木马后门木马后门2023/6/5​计算系统与网络安全全文共131页，当前为第125页。CaseStudyStep10：回传源代码SourceCodeDBMonstrousSoftware跳离点（前苏联）跳离点（日本）MonstrousSoftware电子办公木马后门NetcatL0phCrackCovert_TCP通信量大的电子商务网站NetcatVPN木马后门木马后门源代码Main(){....}2023