计算机网络安全技术讲座

计算机网络平安技术讲座江苏技术师范学院计算机科学与工程学院潘瑜Mail:ypan@

2006年7月1网络平安管理员必须十分了解网络面临的威胁和可能受到的攻击知己知彼、百战百胜2006年7月2背景介绍关于黑客普通用户可能受到的攻击网络或主机可能受到的攻击常见问题结束语内容提要2006年7月3报告内容提要背景介绍2006年7月4网络中存在的平安威胁网络内部、外部泄密拒绝效劳攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丧失、篡改、销毁后门、隐蔽通道蠕虫2006年7月5这就是黑客？2006年7月6什么是黑客？黑客〔hacker〕是那些检查〔网络〕系统完整性和平安性的人，他们通常非常精通计算机硬件和软件知识，并有能力通过创新的方法剖析系统。“黑客〞通常会去寻找网络中漏洞，但是往往并不去破坏计算机系统。正是因为黑客的存在，人们才会不断了解计算机系统中存在的平安问题。入侵者〔Cracker〕只不过是那些利用网络漏洞破坏网络的人，他们往往会通过计算机系统漏洞来入侵，他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。真正的黑客应该是一个负责任的人，他们认为破坏计算机系统是不正当的。现在hacker和Cracker已经混为一谈，人们通常将入侵计算机系统的人统称为黑客。2006年7月7黑客们通常遵守的标准不恶意破坏任何系统,这样做只会带来麻烦。恶意破坏它人的软件或系统将导致法律刑责,如果只是使用别人的电脑,那仅为非法使用绝不修改任何系统文件,除非认为有绝对把握的文件，或者有绝对的必要。3不要将已破解的任何信息与人分享，除非此人可以信赖。4当发送相关信息到BBS时，对于当前所做的黑事尽可能说的模糊一些，以防止BBS受到警告。5在BBS上Post文章的时候不要使用真名和真实的号码。2006年7月8黑客们通常遵守的标准6如果黑了某个系统，绝对不要留下任何的蛛丝马迹。〔绝对不要留下大名或者是绰号之类的，这时由于成功的兴奋所导致的个人过度表现欲望会害死黑客的。〕7不要侵入或破坏政府机关的主机。8不在家庭中谈论你Hack的任何事情。9将黑客资料放在平安的地方。10想真正成为黑客，你必须真枪实弹去做黑客应该做的事情。不能仅仅靠坐在家里读些黑客之类的文章或者从BBS中扒点东西，就能成为黑客，这不是黑客的真正含义。目前黑客在信息平安范畴内特指：对电脑系统的非法侵入者。2006年7月9黑客入侵和破坏的危险黑客在网上的攻击活动每年以十倍速增长。修改网页进行恶作剧、窃取网上信息兴风作浪。非法进入主机破坏程序、阻塞用户、窃取密码。串入银行网络转移金钱、进行电子邮件骚扰。黑客可能会试图攻击网络设备，使网络设备瘫痪。美国每年因黑客而造成的经济损失近百亿美元他们利用网络平安的脆弱性，无孔不入！2006年7月10我国信息平安事件统计年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756总数47711CERT有关平安事件的统计2001526582002（上）431362006年7月1111/29/96CIAHOMEPAGEDOJHOMEPAGEUSAFHOMEPAGE被黑的WEB页面举例2006年7月12因特网上常见的黑客站点INTERNET上有超过30,000个黑客站点：黑客咨询站黑暗魔域黑客专家黑客工作室中国红客黑客俱乐部……来自于黑客站点主页上的一些目录兴旺的一伙：为了兴趣和利益击破隐藏的口令保护发送EMAIL的漏洞列表如何成为一个UNIX黑客你曾经想成为特权用户吗？怎样隐藏你的痕迹或破坏……G.MarkHardy2006年7月13哪些人会成为黑客？黑客的态度〔黑客技术与网络平安书〕做一名黑客有很多乐趣，但却是些要费很多气力方能得到的乐趣。这些努力需要动力。一个问题不应该被解决两次〔共享信息〕黑客们应该从来不会被愚蠢的重复性劳动所困扰黑客们是天生的反权威主义者。态度不能替代能力2006年7月14哪些人会成为黑客？对操作系统有深入的研究得到一个开放源码的Unix并学会使用、运行它熟悉网络协议，特别是精通TCP/IP协议学习如何编程Python,C,Perl,andLISP学会如何使用WWW和写HTML收集相关系统漏洞，对漏洞的分析能帮助发现新漏洞和提高防护能力2006年7月15报告内容提要普通用户可能受到的攻击2006年7月16普通用户可能受到的攻击侵入系统获取机密信息计算机病毒逻辑炸弹特洛伊木马网络攻击平安防范2006年7月17侵入系统侵入Win9X系统新建用户取消用户登录文件共享网络邻居运行命令：\\17\c$侵入windows2000/windowsXP输入法Guest用户文件共享突破屏幕保护2006年7月18获取机密信息文件拷贝用户密码窃取安装专用软件获取计算机登录密码：Cmos密码、Windows密码、屏幕保护口令密码如CmosPwd、award、Screen、ntkd、pwltool、openpass等加密文件的破译如ZipPass、CrackArj、Recovers、Wwprt11d等安装木马，记录键盘信息等，如KeyKey、HookDump破坏计算机文件2006年7月19计算机病毒破坏计算机正常运行的程序具有传染性、隐蔽性、潜伏性、破坏性等特点包括引导型、文件型、和混合型2006年7月20逻辑炸弹

逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。2006年7月21特洛伊木马木马的工作原理;木马的分类：远程访问型；密码发送型；键盘记录型；毁坏型。常见的几种木马：BO2000；冰河；SubSeven；2006年7月22木马常用欺骗法捆绑欺骗：如把木马效劳端和某个游戏捆绑成一个文件在邮件中发给别人；危险下载点：攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载；或直接将木马改名上载到FTP网站上，等待别人下载；文件夹惯性点击：把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹；zip伪装：将一个木马和一个损坏的zip包捆绑在一起，然后指定捆绑后的文件为zip图标；网页木马法2006年7月23常见木马程序Inet20：可以发送密码出去的木马，启动位置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\InetHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Send

Indoc：可把对方的机器信息，OUTLOOK，ICQ，硬盘，以及网络消息发送出去的木马，启动位置

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]"Msgsrv16"="Msgsrv16"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]"Msgsrv16"="Msgsrv16"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"Msgsrv16"="Msgsrv16"[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"Msgsrv16"="Msgsrv16"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]"Msgsrv16"="Msgsrv16"Fatalerr：骗取别人密码的东西，出现错误的提示窗口，让你从新输入密码，然后将密码保存到c:\os32779.sys

Eps：偷别人E-MAIL密码的木马。删除方法Winstart.bat:@cttynul2006年7月24冰河介绍国内黑客组织编写；分为效劳器端和客户端：G_Server.exe和G_Client.exe功能齐全：跟踪屏幕变化；记录各种口令；获取系统信息；控制系统；注册表操作；文件操作；点对点通信缺省使用7626端口2006年7月25冰河介绍2006年7月26冰河介绍启动冰河2006年7月27木马的防范木马首先会隐藏自己：在任务栏中隐藏；在任务管理器中隐形；悄没声息地启动：如启动组、win.ini、system.ini、注册表等；注意自己的端口；伪装成驱动程序及动态链接库：如Kernl32.dll，sysexlpr.exe等。防范：端口扫描；查看连接；检查注册表；查找文件；杀病毒软件或木马去除软件。2006年7月28流行木马大去除BO2000：查看注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicse中是否存在Umgr32.exe的键值。有那么将其删除。重新启动电脑，并将\Windows\System中的Umgr32.exe删除。NetSpy：查看注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中是否有“Spynotify.exe〞和“Netspy.exe〞。有那么将其删除。重新启动电脑后将\Windows\System中的相应文件删除。Happy99：此程序运行时，会在翻开一个名为“Happynewyear1999〞的窗口，并出现美丽的烟花，它会复制到Windows主文件夹的“System〞目录下，更名为Ska.exe，并创立文件Ska.dll，同时修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。检查注册\HEKY-LOCAL-MACHINE\Softwre\Microsoft\Windows\CurrentVersion\RunOnce中有无键值Ska.exe。有那么将其删除。删除\Windows\System中的Ska.exe和Ska.dll两个文件，将Wsock32.ska更名为Wscok32.dll。NetBus：在MS-DOS方式下用“Netstat-a〞命令查看12345端口是否开启；在注册表相应位置中是否有可疑文件。去除注册表中的NetBus的主键。重新启动电脑，删除可执行文件即可。2006年7月29流行木马大去除Asylum：这个木马程序是修改了system.ini、win.ini两个文件；查一下system.ini文件下面的[BOOT]项，看看“shell=explorer.exe〞，如不是那么删除它，用回上面的设置，并记下原来的文件名以便回过头去在纯DOS下删除它。再翻开win.ini文件，看在[windows]项下的“run=〞是不是有什么文件名，一般情况下是没有任何加载值的，如有记下它以便回过头过在纯DOS下删除相应的文件名。冰河：用纯DOS启动进入系统，删除你安装的windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件删除后进入windows系统进入注册表中，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]两项，然后查找kernel32.exe和sysexplr.exe两个键值。再找到[HKEY_CLASSES_ROOT\txtfile\open\command],看在键值中是不是已改为“sysexplr.exe%1〞，如是改回"notepad.exe%1〞2006年7月30流行木马大去除GOP：GOP木马会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键下添加一个键值让自己自动运行。首先要禁止该项。点击“开始〞→“运行〞，输入“msinfo32〞，查看其中的“软件环境〞→“正在运行的任务〞，如果发现哪个工程只有程序名和路径，而没有版本、厂商和说明，就应该提高警惕了。一般说来，GOP木马在这里显示的版本为“不能用〞。运行regedit，进入到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键，记住刚刚那个身份不明的运行工程，找到后删除该键值。然后关闭计算机，稍候一下启动计算机。还记得刚刚查看到的工程路径吧？那就是木马的程序的藏身之处！删除木马程序本身。2006年7月31恶意代码聊天室或浏览网页时发生，主要是Script代码默认主页被修改IE标题栏被修改开机时出现提示框IE地址栏下多出了文字在注册表中对IE相关的注册表项如默认主页等修改无效InternetExploer中点击右键，菜单中出现非法站点的链接修改了操作系统实例：<imgsrc=“javascript:n=1;do{window.open(‘’)}while(n==1)〞width=“1〞>令浏览器端翻开无数个窗口。预防：关闭javaHtml页面格式化客户端硬盘等。Html翻开本地一个超长文件名所指的文件，致使Windows死机2006年7月32网络攻击拒绝效劳型炸弹OOB攻击IGMP炸弹2006年7月33OOB攻击OOB(OutOfBand)，是TCP/IP的一种传输模式对Win95/WinNt4.0以前的版本起作用向139端口发送0字节的数据包，系统会尽力恢复该数据包，导致系统资源费尽常见工具WinNuke、VOOB、IPHacker等2006年7月34OOB攻击WinNukeVOOB2006年7月35IGMP炸弹IGMP是一种类似于ICMP的协议，尚处于试验阶段；系统收到畸形的IGMP包时，会出现蓝屏、死机；如:NewIgmp、Ping-g、IcmpFlooder等；防范：可以使用个人防火墙。2006年7月36IPHacker启动IpHacker2006年7月37电子邮件炸弹发送地址不详、数量巨大、容量庞大、充满乱码或脏话的恶意邮件，即垃圾邮件；如KaBoom!、HakTek等2006年7月38KaBoom2006年7月39黑客是否光临过你的电脑计算机有时死机，有时重新启动；在没有什么特殊操作时，却拼命读写硬盘；莫名其妙的对软驱进行操作；没有运行大程序，但系统速度运行减慢；系统运行了你没有运行的非必要的程序；出现了你想不到的网络连接。2006年7月40检查系统日志〔Windows〕应用程序日志、平安日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB平安日志文件：%systemroot%\system32\config\SecEvent.EVT系统日志文件：%systemroot%\system32\config\SysEvent.EVT应用程序日志文件：%systemroot%\system32\config\AppEvent.EVTInternet信息效劳FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志Internet信息效劳WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志Scheduler效劳日志默认位置：%systemroot%\schedlgu.txt2006年7月41检查系统日志〔Unix〕系统LOG目录：/usr/adm：早期版本的UNIX/var/adm：新一点的版本使用这个位置/var/log：一些版本的Solaris，LinuxBSD，FreeBSD使用这个位置/etc：大多数UNIX版本把utmp放在此处，一些也把wtmp放在这里，这也是syslog.conf的位置下面的一些文件根据你所在的目录不同而不同：acct或pacct：记录每个用户使用的命令记录；access_log：主要使用来效劳器运行了NCSAHTTPD，这记录文件会有什么站点连接过你的效劳器；aculog：保存着你拨出去的MODEMS记录；lastlog：记录了用户最近的LOGIN记录和每个用户的最初目的地，有时是最后不成功LOGIN的记录；loginlog：记录一些不正常的LOGIN记录；messages：记录输出到系统控制台的记录，另外的信息由syslog来生成；security：记录一些使用UUCP系统企图进入限制范围的事例；sulog：记录使用su命令的记录；utmp：记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不断变化；utmpx：UTMP的扩展；wtmp：记录用户登录和退出事件；syslog：最重要的日志文件，使用syslogd守护程序来获得日志信息；/dev/log：一个UNIX域套接字，接受在本地机器上运行的进程所产生的消息；/dev/klog：一个从UNIX内核接受消息的设备；2006年7月42平安防范为win98加把锁按照正常方式在win98中添加一个用户名和密码；重新启动计算机,在登录时按esc键，采用默认方式进入系统；启动注册表管理程序；进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\currentversion\policies\explorer新建NoResttrictRun、NoDesktop、NoFind、NoSetFolders、NoRun、NoTaskbar等六个DWORD值，其值为1；删除缺省用户开始菜单“程序〞菜单及“文档〞菜单所显示的所有内容；关闭注册表编辑器；重启系统。2006年7月43平安防范Windows2000下修改注册表加强PC平安设置生存时间位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters值：DefaultTTLREG_DWORD0-0xff(0-255十进制,默认值128)说明：指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达目标前在网络中生存的最大时间。它实际上限定了IP数据包在丢弃前允许通过的路由器数量。有时利用此数值来探测远程主机操作系统。防止ICMP重定向报文的攻击Y_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersEnableICMPRedirectsREG_DWORD0x0(默认值为0x1)说明：该参数控制Windows2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息，有时会被利用来干坏事.Win2000中默认值为1，表示响应ICMP重定向报。2006年7月44平安防范禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interfacePerformRouterDiscoveryREG_DWORD0x0(默认值为0x2)说明：“ICMP路由公告〞功能可造成他人计算机的网络连接异常、数据被窃听、计算机被用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积，长时间的网络异常。因此建议关闭响应ICMP路由通告报文。Win2000中默认值为2，表示当DHCP发送路由器发现选项时启用。防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersSynAttackProtectREG_DWORD0x2(默认值为0x0)说明：SYN攻击保护包括减少SYN-ACK重新传输次数，,以减少分配资源所保存的时间。路由缓存项资源分配延迟，直到建立连接为止。如果synattackprotect=2，那么AFD的连接指示一直延迟到三路握手完成为止。注意，仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时，保护机制才会采取措施。2006年7月45平安防范禁止C$、D$一类的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareServer、REG_DWORD、0x0禁止ADMIN$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareWks、REG_DWORD、0x0限制IPC$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsarestrictanonymousREG_DWORD0x0缺省0x1匿名用户无法列举本机用户列表0x2匿名用户无法连接本机IPC$共享说明:不建议使用2，否那么可能会造成你的一些效劳无法启动，如SQLServer2006年7月46平安防范不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersIGMPLevelREG_DWORD0x0(默认值为0x2)说明：Win9x下有个bug，就是用可以用IGMP使别人蓝屏，修改注册表可以修正这个bug。Win2000虽然没这个bug了，但IGMP并不是必要的，因此照样可以去掉。不支持路由功能HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersIPEnableRouterREG_DWORD0x0(默认值为0x0)说明：把值设置为0x1可以使Win2000具备路由功能，由此带来不必要的问题。2006年7月47报告内容提要网络或主机可能受到的攻击2006年7月48网络或主机可能受到的攻击网络攻击的一般步骤扫描器缓冲区溢出口令攻击Sniffer利用Web进行攻击拒绝效劳攻击欺骗攻击2006年7月49攻击的三个阶段准备阶段：寻找目标，收集信息实施阶段：获得初始的访问控制权与特权善后工作：去除踪迹，留下后门。G.MarkHardy2006年7月50攻击的目的获取控制权好奇、恶作剧、证明实力执行进程获取文件和传输中的数据获取超级用户权限、越权使用资源对系统进行非法访问进行不许可操作、越权使用拒绝效劳涂改信息、暴露信息G.MarkHardy2006年7月51信息收集 突破网络系统的第一步是各种形式的信息收集。黑客可以使用下面几种工具来收集这些信息：SNMP协议，用来查阅非平安路由器的路由表，从而了解目标机构网络拓扑的内部细节。TraceRoute程序能够得出到达目标主机所要经过的网络数和路由器数。Whois协议是一种信息效劳，能够提供有关所有DNS域和负责各个域的系统管理员数据。不过这些数据常常是过时的。DNS效劳器可以访问主机的IP地址表和它们对应的主机名。Finger协议能够提供特定主机上用户们的详细信息〔注册名、号码、最后一次注册的时间等〕。Ping程序可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中，可以Ping网络上每个可能的主机地址，从而可以构造出实际驻留在网络上的主机的清单。2006年7月52平安弱点的探测 通过漏洞扫描，找出主机上可以利用的漏洞。收集到目标机构的网络信息之后，黑客会探测每个主机以寻求一个平安上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机。由于已经知道的效劳脆弱性较少，水平高的黑客能够写出短小的程序来试图连接到目标主机上特定的效劳端口上。而程序的输出那么是支持可攻击的效劳的主机清单。有几种公开的工具，如ISS(InternetSecurityScanner,Internet平安扫描程序〕，SATAN(SecurityAnalysisToolforAuditingNetworks，审计网络用的平安分析工具〕，可以对整个域或子网进行扫描并寻找平安上的漏洞。这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的平安弱点并确定那个主机需要用新的软件补丁〔Patches〕进行升级。2006年7月53善后工作隐藏踪迹：完整的删除日志；留下后门：建立帐号：如使用CronTab实现定时地添加或删除帐号。上载木马：如使用ICMP木马穿越防火墙的包过滤等。修改内核。2006年7月54典型的网络攻击示意图选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。2006年7月55常用的扫描工具ping判断主机死活tcp/udpscan结合常规效劳约定，根据端口判断提供效劳OSindentify发送奇怪的tcp包,不同的操作系统反响不同，queso,nmap(portscan)Accountscans利用Email，finger等工具获得系统账号消息〔用户名、最后一次登陆时间〕retina由eEye最新推出的严重威胁NTserver的平安的扫描工具,它对扫描的目标NT主机的威胁是极其大的，通过扫描可以得到许多关于目标主机的系统弱点和信息，其中信息包括有：NetBios、CGI、UDP、ASP、FTP、DNS、D.O.S、POP、SMTP、注册表、效劳、用户帐号、密码、SQLserver、Proxyserver以及Firewall和router十多个模块的弱点扫描TWWWscanv0.2基于WWW的扫描器，能扫162个WWW/CGI漏洞，显示网站的头部，以及效劳器信息2006年7月56常用的扫描工具DomainScan扫描主机断口开放情况，以及网上公共效劳器有没有后门等。小营流光：国内最棒的猜解密码软件，对ftp、、代理效劳器、Email信箱等都可以。ipseeker根据对方的IP地址查到他的位置和ISP.可以轻松的查出给你发信人的位置,你就可以知道你的那些通过E-mail交流的网友都是哪里的人了以及他的ISPipscanIP扫描工具tcpview快速的列出你已经建立了的TCP连接sitescan搜寻网络上有漏洞的主机etherboy是以太网的数据包截取和分析工具voideye扫描78个CGI漏洞,并可自己添加漏洞扫描ISS迄今最为完善的漏洞扫描工具，可以自己定义扫描策略Sniffer网络数据包检测工具NetXray网络流量分析工具。可以抓取网络数据包，分析网络通信协议2006年7月57网络监听网络监听的作用：可以截获用户口令；可以截获秘密的或专用的信息；可以用来攻击相邻的网络；可以对数据包进行详细的分析；可以分析出目标主机采用了哪些协议。2006年7月58常用网络监听工具工具名称操作系统功能简介SniffitSunOS,Solaris针对TCP/IP协议的不安全性进行监听TcpdumpUnix,FreeBSD可以从以太网上监听并截获数据包nfswatchHP/UX,SunOS监控在以太网上传输的NFS数据包ethermanSGIIrix监听以太网上的通信SnoopSunOS,Solaris用来侦听本网段数据包，常用作错误诊断NetstatUNIX、WinNT显示当前的TCP/IP连接和协议统计etherfindSunOS监听局域网上的通信的主机LanwatchDOS监听外部主机对本机的访问2006年7月59缓冲区溢出什么是缓冲区溢出？简单地说，缓冲区溢出就是向堆栈中分配的局部数据块中写入了超出其实际分配大小的数据，导致数据越界，结果覆盖了原先的堆栈数据缓冲区溢出可以使得主机系统瘫痪；可以获取系统的登录账号；可以获得系统的超级用户权限。2006年7月60缓冲区溢出原理例如:intmain(){charname[8]; printf(“Yournameis:〞); gets(name); printf(“%s〞,name); return0;}内存底部内存顶部NameEBPret[][][][Tom\0][][][AAAAAAAA][AAAA][AAAA]…CPU将执行0x41414141，非法指令！如果使用存在的合法指令代替以上非法指令，那么CPU将会继续执行！2006年7月61逻辑炸弹

逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。2006年7月62口令攻击Clear-textsniffing大量的应用程序都是传送明文密码Encryptedsniffing窃听加密密码并解密Passwordfilestealing窃取密码文件，利用工具破解SocialEngineering社会诈骗2006年7月63密码攻击软件JohnTheRipper这个软件由著名的黑客组织--UCF出的,它支持Unix,Dos,Windows,速度超快,可以说是目前同类中最杰出的作品。对于老式的passwd档(就是没shadow的那种,任何人能看的都可以把passwd密文存下来),John可以直接读取并用字典穷举击破。对于现代的passwd+shadow的方式,John提供了UNSHADOW程序直接把两者合成出老式passwd文件。WebCrack加了密码的web网站的破解工具PasswordUnmask是一个可以将*号密码显示出来的软件。能够帮助电脑使用者解出ISP、电子邮件、FTP等*号密码背后的真正信息，也就是能够让你得知真正的密码。Wwprt11d破解WORD文件的工具LophtCrackWinNT的克星,专门解NT的密码e-pwdcache运行在WINDOWS9x的小工具,能在本地机器找出所有cached中的密码fastzip快速破解ZIP文件的密码hackftp针对IIS的FTP效劳暴力破解工具,IIS没有密码传输的加密机制小萤流光密码在线破解，可以破解Web、FTP、POP3、Proxy的登录密码2006年7月64Unix密码文件的存放位置AIX3/etc/security/passwd!或/tcb/auth/<firstletter#ofusername>/<username>HP-UX/.secure/etc/passwd*Linux1.1/etc/shadow*SunOs4.1+c2/etc/security/passwd.adjunct##usernameSunOs5.0/etc/shadowSCOUnix#.2.x/tcb/auth/files/<firstletter#ofusername>/<username>Ultrix4/etc/auth[.dir|.pag]UNICOS/etc/udb*2006年7月65密码设计原那么不用中文拼音、英文单词不用生日、纪念日、有意义的字符串使用大小写字母、符号、数字的组合2006年7月66保持口令平安的要点*不要将口令写下来。*不要将口令存于电脑文件中。*不要让别人知道。*不要在不同系统上使用同一口令。*为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边。定期改变口令,至少6个月要改变一次。2006年7月67蠕虫蠕虫是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝〔复制品〕传给其他的计算机。蠕虫可以修改、删除别的程序，但它也可以通过疯狂的自我复制来占尽网络资源，从而使网络瘫痪。2006年7月68后门与隐蔽通道调试后门：为方便调试而设置的机关，系统调试完成后未能及时消除。维护后门：为方便远程维护所设置的后门，被黑客恶意利用。恶意后门：由设计者成心设置的机关，用以监视用户的秘密乃至破坏用户的系统隐蔽通道：是一种允许违背合法的平安策略的方式进行操作系统进程间通信〔IPC〕的通道。隐蔽通道又分为隐蔽存储通道与隐蔽时间通道。隐蔽通道的重要参数是带宽。2006年7月69路由攻击注入假的路由到路由选择系统重定向业务流到黑洞重定向业务流到慢的链接重定向业务流到可以分析与修改的地点2006年7月70利用Web进行攻击CGI为用户提供数据交互效劳器对用户数据的解释可能会带来问题编程语言本身的缺陷ASP存在泄漏源代码的可能常见的CGI和ASP程序存在漏洞2006年7月71CGI的平安性非正常的表单数据：如超长等不合理的数据来源：如用POST方法给WEB效劳器发送上百兆字节数据处理HTML问题零字节毒药2006年7月72ASP的平安性泄漏源代码IIS中，使用以下URL将会泄漏ASP的源代码：://www/my.asp::$DATA://www/my.asp.或82或e8编程问题FileSystemObject数据库密码验证问题饱含文件.inc：<!--#includefile=“adovbs.inc〞-->2006年7月73网络协议攻击WinNuke攻击原理当WindowsNT和Windows95系统的某些端口，如139号NetBIOS端口，接收到Out-of-Band数据时，系统不能正确地处理这些数据，造成系统的死机。LAND攻击原理当对113或139号端口发送一个伪造的SYN报文时，如果报文中的源端主机的IP地址和端口与目的主机的IP地址和端口相同，例如从:139发送到:139，这时目标主机将会死机。2006年7月74UDP攻击UDP攻击原理UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP效劳都产生输出，然后让这两种UDP效劳〔例如chargen效劳(UDP)和echo效劳(UDP)〕之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主时机瘫痪。2006年7月75PING、SMURF攻击ICMP/PING攻击原理ICMP/PING攻击是利用一些系统不能接受超大的IP包或需要资源处理这一特性。如在Linux下输入Ping-t66510IP〔未打补丁的Win95/98的机器〕，机器就会瘫痪。ICMP/SMURF攻击原理ICMP/SMURF攻击利用的是网络播送的原理来发送大量的地址，而包的源地址就是要攻击的机器本身的地址。因而所有接收到此包的主机都将给发包的地址发送一个ICMP回复包。2006年7月76Smurf攻击检测：如果在网络内检测到目标地址为播送地址的icmp包。证明内部有人发起了这种攻击〔或者是被用作攻击，或者是内部人员所为〕；如果icmp包的数量在短时间内上升许多(正常的ping程序每隔一秒发一个ICMPecho请求)，证明有人在利用这种方法攻击系统。2006年7月77Teardrop:许多系统在处理分片组装时存在漏洞，发送异常的分片包会使系统运行异常，teardrop便是一个经典的利用这个漏洞的攻击程序。其原理如下〔以linux为例〕：发送两个分片IP包，其中第二个IP包完全与第一个在位置上重合。在linux(2.0内核)中有以下处理:当发现有位置重合时〔offset2<end1〕,将offset向后调到end1〔offset2=end1〕,然后更改len2的值：len2=end2-offset2;注意此时len2变成了一个小于零的值，在以后处理时假设不加注意便会出现溢出。检测：组装时检查len2的值便可，这样可以发现所有的变种〔如newtear〕。网络攻击举例2006年7月78网络攻击举例TARGA3攻击(IP堆栈突破)原理TARGA3攻击的根本原理是发送TCP/UDP/ICMP的碎片包，其大小、标记、包数据等都是随机的。一些有漏洞的系统内核由于不能正确处理这些极端不标准数据包，便会使其TCP/IP堆栈出现崩溃，从而导致无法继续响应网络请求〔即拒绝效劳〕。Jolt2:jolt2是2000年五月份出现的新的利用分片进行的攻击程序，几乎可以造成当前所有的windows平台〔95,98,NT,2000〕死机。原理是发送许多相同的分片包，且这些包的offset值(65520bytes)与总长度(48bytes)之和超出了单个IP包的长度限制〔65536bytes〕。检测：组装时检查这种超出IP包最长限度的情况。2006年7月79OSdetection

描述：在攻击发起之前，攻击者会尽可能的收集对方系统的信息,检测出对方操作系统的类型甚至版本尤为重要。nmap和queso等工具均可通过发送各种异常的数据包，并通过观察系统的不同反映来准确的鉴定远端的操作系统类型。检测：因为其发出的数据包本身比较特殊，通过观察此特征可检查此类行为。如queso利用了TCP中未定义的标志，Linux系统的返回包将包含这个标志，而其他系统那么会关闭连接。nmap向端口发出只有FIN标记的TCP数据包，许多系统如Windows，BSDI，CISCO，HP/UX和IRIX返回RESET。2006年7月80拒绝效劳攻击什么是拒绝效劳攻击？为什么要进行Dos攻击放置木马需要重启使用IP欺骗，使冒用主机瘫痪使得被攻击的目标主机的日志系统失效DoS攻击land,teardrop,SYNfloodICMP:smurf2006年7月81拒绝效劳：LAND攻击攻击者InternetCode目标欺骗性的IP包源地址

2Port139目的地址

2Port139TCPOpenG.MarkHardy2006年7月82拒绝效劳:LAND攻击攻击者InternetCode目标IP包欺骗源地址

2Port139目的地址

2Port139包被送回它自己崩溃G.MarkHardy2006年7月83防范:代理类的防火墙攻击者InternetCode目标IP包欺骗源地址2Port139目标地址2Port139TCPOpen防火墙防火墙把有危险的包阻隔在网络外G.MarkHardy2006年7月84TCP同步泛滥攻击者InternetCode目标欺骗性的IP包源地址不存在目标地址是TCPOpenG.MarkHardy2006年7月85TCPSYN泛滥攻击者InternetCode目标同步应答响应源地址目标地址不存在TCPACK崩溃G.MarkHardy2006年7月86分布式拒绝效劳〔DDOS〕以破坏系统或网络的可用性为目标常用的工具：Trin00,TFN/TFN2K,Stacheldraht很难防范伪造源地址，流量加密，因此很难跟踪clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFlood2006年7月87分布式拒绝效劳攻击网络结构图客户端客户端主控端主控端主控端主控端代理端代理端代理端代理端代理端代理端代理端代理端2006年7月88分布式拒绝效劳攻击步骤1ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet2006年7月89Hacker被控制的计算机(代理端)黑客设法入侵有平安漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet分布式拒绝效劳攻击步骤22006年7月90Hacker

黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机〔代理端〕MasterServerInternet分布式拒绝效劳攻击步骤32006年7月91Hacker

UsingClientprogram,

黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机〔代理端〕TargetedSystemMasterServerInternet分布式拒绝效劳攻击步骤42006年7月92InternetHacker

主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerTargetedSystem被控制计算机〔代理端〕分布式拒绝效劳攻击步骤52006年7月93TargetedSystemHacker目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDeniedInternet被控制计算机〔代理端〕分布式拒绝效劳攻击步骤62006年7月94分布式拒绝效劳攻击DDOS攻击的效果由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部号码。2006年7月95分布式拒绝效劳攻击预防DDOS攻击的措施确保主机不被入侵且是平安的；周期性审核系统；检查文件完整性；优化路由和网络结构；优化对外开放访问的主机；在网络上建立一个过滤器〔filter〕或侦测器〔sniffer〕，在攻击信息到达网站效劳器之前阻挡攻击信息。2006年7月96分布式拒绝效劳攻击分布式拒绝效劳攻击的今后的开展趋势：如何增强自身的隐蔽性和攻击能力；采用加密通讯通道、ICMP协议等方法避开防火墙的检测；采用对自身进行数字签名等方法研究自毁机制，在被非攻击者自己使用时自行消毁拒绝效劳攻击数据包，以消除证据。2006年7月97对付DDoS攻击的方法1．定期扫描现有的网络主节点，清查可能存在的平安漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用最正确位置，因此对这些主机本身加强主机平安是非常重要的。2．在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDOS攻击和其它一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样保护真正的主机不被瘫痪。3．用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿。4．充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。假设其他效劳器死掉，其中的数据会丧失，而且重启效劳器又是一个漫长的过程。2006年7月98对付DDoS攻击的方法5．使用Inexpress、ExpressForwarding过滤不必要的效劳和端口，即在路由器上过滤假IP。比方Cisco公司的CEF〔CiscoExpressForwarding〕可以针对封包SourceIP和RoutingTable做比较，并加以过滤。6．使用UnicastReversePathForwarding检查访问者的来源。它通过反向路由表查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处，因此，利用UnicastReversePathForwarding可减少假IP地址的出现，有助于提高网络平安性。7．过滤所有RFC1918IP地址。RFC1918IP地址是内部网的IP地址，像，它们不是某个网段的固定IP地址，而是Internet内部保存的区域性IP地址，应该把它们过滤掉。8．限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。2006年7月99怎样对付正在进行的DDOS攻击?如果用户正在遭受攻击，他所能做的抵御工作非常有限。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能用户在还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住时机寻求一线希望的。首先，检查攻击来源，通常黑客会通过很多假的IP地址发起攻击，此时，用户假设能够分辨出哪些是真IP地址，哪些是假IP地址，然后了解这些IP来自哪些网段，再找网段管理员把机器关掉，即可消除攻击。其次，找出攻击者所经过的路由，把攻击屏蔽掉。假设黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以狙击入侵。最后一种比较折衷的方法是在路由器上滤掉ICMP。2006年7月100欺骗攻击纯技术性利用了TCP/IP协议的缺陷不涉及系统漏洞较为罕见，凯文.米特尼克利用IP欺骗技术攻破了SanDiego计算中心1999年，RSASecurity公司网站遭受DNS欺骗攻击1998年，台湾某电子商务网站遭受Web欺骗攻击，造成大量客户的信用卡密码泄漏欺骗攻击的主要类型：IP欺骗攻击Web欺骗攻击DNS欺骗攻击2006年7月101IP欺骗攻击利用主机间的信任关系在admin的home目录中创立.rhosts文件，在A上使用echo“Badmin〞>~/.rhosts，实现A与B的信任关系从主机B上可以调用所有远程调用命令该信任关系基于IP地址A:adminB:adminLoginLoginRPC2006年7月102IP欺骗攻击理论依据(TCP/IP建立连接之前的三次握手)第一步：BSYN1A第二步：BSYN2+ACK1A第三步：BACK2ASYN〔数据序列〕ACK〔确认标识〕ISN〔连接初始值〕ACK1=SYN1+1SYN2=ISN2ACK2=SYN2+12006年7月103IP欺骗攻击过程：1、屏蔽主机B。方法：Dos攻击，如Land攻击、SYN洪水攻击2、序列号采样和猜测。猜测ISN的基值和增加规律3、将源地址伪装成被信任主机，发送SYN数据请求建立连接4、等待目标主机发送SYN+ACK，黑客看不到该数据包5、再次伪装成被信任主机发送ACK，并带有预测的目标机的ISN+16、建立连接，通过其它漏洞获得Root权限，安装后门并去除Log2006年7月104IP欺骗攻击攻击的难点：ISN的预测TCP使用32位计数器每一个连接选择一个ISN不同的系统的ISN有不同的变化规律ISN每秒增加128000，出现连接增加64000无连接情况下每9.32小时复位一次2006年7月105Web欺骗何谓Web欺骗？创造一个Web站点的映像，使得用户的连接被接入到Hacker的效劳器，到达欺骗网络用户的目的。为什么会受到Web欺骗？监控网络用户；窃取帐户信息；损坏网站形象；失效SSL连接。2006年7月106Web欺骗原理Web欺骗原理改写Web页面的URL。如发布自己的网站：热门站点、搜索引擎、电子邮件等；用户单击错误连接；向请求文档；://sina向返回文档；改写文档中的所有连接；向用户返回改写后的文档；2006年7月107Web欺骗预防Web欺骗的预防：浏览器状态显示连接为；鼠标连接目标提示；攻击者可以凭借JavaScript或VBScript修改以上信息；但可以通过禁止执行Script功能来揭露其面目；Sourcecode可以完全泄漏攻击者的信息2006年7月108DNS欺骗比较复杂；使用起来比IP欺骗简单RSASecurity网站曾被成功攻击DNS欺骗原理IP与域名的关系DNS的域名解析RandPorttoDNS’s532006年7月109DNS欺骗原理Hack.bupt/ns.buptns.buptrsans.bupt请问com的权威效劳器ns.buptns.bupt请问rsa的子网DNSns.buptns.bupt的ip地址ns.buptHack.buptns.bupt1:2:3:4:5:6:7:8:Hacker2006年7月110后门程序BO、netbusService/Daemon其他2006年7月111插入一个后门改变登录程序到一个后门程序后门象正常的登录程序一样的工作，但它捕获用户口令能使用与其它系统相类似的技术问题:由于后门象正常的登录程序一样的工作，因此用户不能区分出来。解决方案:使用工具来主动监视关键文件以获取被纂改的迹象G.MarkHardy2006年7月112是登录屏还是特洛伊木马?G.MarkHardy2006年7月113吃惊吗!G.MarkHardy2006年7月114保护网络平安的常用手段1〕制定详细的平安策略。2〕安装防火墙。3〕加强主机平安。4〕采用加密和认证技术。5〕加强入侵检测。6〕安装备份恢复与审计报警系统。2006年7月115怎样才能发现入侵者