黑客入侵与防范课程培训课件

PPT模板LFPPT网-WWW.LFPPT.COMPPTLFPPT网-WWW.LFPPT.COMLFPPT网-WWW.LFPPT.COM免费PPT模板下载LFPPT网-WWW.LFPPT.COMPPT模板LFPPT网-WWW.LFPPT.COMPPTLFPPT网-WWW.LFPPT.COMPPT模板下载LFPPT网-WWW.LFPPT.COMPPT模板免费下载LFPPT网-WWW.LFPPT.COMPPT教程LFPPT网-WWW.LFPPT.COMPPT素材LFPPT网-WWW.LFPPT.COMPPT课件网络安全课程黑客入侵与防范讲述人：XXXLOGOHERE时间：202XHackingandprevention黑客入侵概述O1网络安全扫描技术O2网络监听与口令破译O3IP欺骗与木马O4CONTENTS黑客入侵概述01网络安全课程黑客发展的历史黑客一诩来自于英语HACK,在美国麻省理工学院校园俚语中是”恶作剧”的意思,尤其是佛那些技术高明的恶作剧。因此，黑客是人们对那些编程高手、迷恋计算机代码的程序设计人员的称谓。真正的黑客有自己独特的文化和精神，他们并不破坏别人的系统，他们崇拜技术，对计算机系统的最大潜力进行智力上的自由探索。试图破解某系统或网络以提醒该系统所有者的系统安全漏洞的人被称做“白帽黑客”。创造新东西骇客（Cracker）的由来恶意闯入他人计算机或系统，意图盗取敏感信息的人，对于这类人最合适的用词是Cracker。破坏东西VS黑客（Hacker）的由来黑客(骇客)攻击的动机偷窃或者敲诈贪心解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人报复/宿怨国家和民族原因仇恨无聊的计算机程序员恶作剧失误和破坏了信息还不知道破坏了什么无知政治和军事目的谍报工作间谍显露出计算机经验与才智，以便证明他们的能力和获得名气名声这是许多构成黑客人物的动机黑客道德商业竞争，商业间谍商业黑客入侵攻击的一般过程)攻击的动机清除痕迹实施攻击建立模拟环境进行模拟攻击利用适当的工具进行扫描收集被攻击对象的有关信息确定攻击目标网络安全扫描技术02网络安全课程网络安全扫描技术在网络安全行业中扮演的角色攻击的动机入侵者入侵者分析被入侵系统的必备工具01网络安全工程师网络安全工程师修复系统漏洞的主要工具03系统管理员系统管理员掌握系统安全状况的必备工具02医生在网络安全的家族中可以说是扮演着医生的角色04网络安全扫描技术的应用查找服务器的端口，选取最快的攻击端口。非法使用合法使用（1）检测自己服务器端口，以便给自己提供更好的服务；（2）扫描软件是网络安全工程师修复系统漏洞的主要工具。如：一个系统存在“ASP源代码暴露”的漏洞，防火墙发现不了这些漏洞，入侵检测系统也只有在发现有试图获取ASP文件源代码的时候才报警，而通过扫描工具，可以提前发现系统的漏洞，打好补丁，做好防范。网络安全扫描技术分类功能强大的特殊端口扫描器其他系统敏感信息的扫描器一般的端口扫描器123扫描器的主要功能检测主机是否在线01扫描目标系统开放的端口，测试端口的服务信息02获取目标系统的敏感信息03破解系统口令04扫描其他系统敏感信息.05如：CGIScaner、ASPScaner、从各个主要端口取得服务信息的Scaner、数据库Scaner以及木马Scaner等网络监听与口令破译03网络安全课程网络监听(嗅探)Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为不该接收就丢弃不管；认为该接收就在接收后产生中断信号通知CPU，CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。网卡工作原理网卡的工作模式普通方式混杂模式够接收到一切通过它的数据如果一台网卡被配置成混杂模式它（包括其软件）就是一个嗅探器网络监听原理Username:herma009<cr>Password:hiHKK234<cr>嗅探者BFTPLoginMail普通用户A服务器CUsername:herma009<cr>Password:hiHKK234<cr>以太网（HUB）网络监听原理一个sniffer需要作的把网卡置于混杂模式捕获数据包分析数据包一个sniffer需要作的网络监听HUB工作原理在共享式网络中很容易实现网络监听以太网交换环境下的SNIFF答案是否定的。原因：现在许多交换机都支持镜像的功能，能够把进入交换机的所有数据都映射到监控端口，这样就可以监听所有的数据包，从而进行数据分析。镜像的目的主要是为了网络管理员掌握网络运行情况，而采用的手段就是监控数据包。那么，在交换环境下就不会被别人监听了吗？要实现上述功能必须对交换机进行设置才可以，所以在交换环境下对于黑客来说很难实现监听，但他们也有其他的办法，如ARP欺骗；破坏交换机的工作模式，使其广播式处理数据；等等。由于交换机的工作原理与HUB不同，如果在B计算机上安装了Sniffer软件，它也只能收到发给自己的广播数据包无法监听别人的数据。口令攻击通过猜测或获取口令文件等方式获得系统认证口从而进入系统危险口令的类型用户名用户名变形生日常用英文单词暴力破解(NAT)IP欺骗与木马04网络安全课程IP地址欺骗IP地址欺骗攻击一般情况下，路由器在转发报文的时候，只根据报文的目的地址查路由表，而不管报文的源地址是什么，因此，这样就可能面临一种危险：如果一个攻击者向一台目标计算机发出一个报文，而把报文的源地址填写为第三方的一个IP地址，这样这个报文在到达目标计算机后，目标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的IP地址欺骗攻击。

SQLServer蠕虫病毒比较著名的SQLServer蠕虫病毒，就是采用了这种原理。该病毒（可以理解为一个攻击者）向一台运行SQLServer解析服务的服务器发送一个解析服务的UDP报文，该报文的源地址填写为另外一台运行SQLServer解析程序（SQLServer2000以后版本）的服务器，这样由于SQLServer解析服务的一个漏洞，就可能使得该UDP报文在这两台服务器之间往复，最终导致服务器或网络瘫痪。

木马（Trojanhorse）木马是一种基于远程控制的黑客工具,具有如下性质危害性隐蔽性潜伏性非授权性木马的工作原理以“里应外合”的工作方式，服务程序通过打开特定的端口并进行监听，这些端口好像“后门”一样，所以也有人把特洛伊木马叫做后门工具。攻击者所掌握的客户端程序向该端口发出请求（ConnectRequest）,木马便和它连接起来了，攻击者就可以使用控制器进入计算机，通过客户程序命令达到控服务器端的目的。监听常见的普通木马一般是客户端/服务器端（C/S）模式，客户端/服务器端之间采用TCP/UDP的通信方式，攻击者控制的是相应的客户端程序，服务器程序是木马程序，木马程序被植入了毫不知情的用户的计算机中。植入实际就是一个C/S模式的程序（里应外合）端口处于监听状态被植入木马的PC（server程序）操作系统TCP/IP协议端口控制端端口TCP/IP协议操作系统被植入木马的PC（client程序）木马传播方式通过E－mail文件下载主动种入浏览网页木马实施攻击的步骤捆绑木马的程序只要运行，木马就运行了启动木马03有两种方式，一种是通过E-mail，另一种是通过软件下载传播木马02成熟的木马都有木马配置程序以实现下述两个功能。（1）木马伪装：如修改图标、捆绑文件、定制端口、自我销毁等。（2）信息反馈：配置木马01需要满足两个条件，一是服务器端安装了木马程序，二是控制端、服务器端都要在线建立连接04控制服务器端，实现窃取密码、文件操作、修改注册表、锁住服务器端等远程控制05木马伪装方法C:\WINNT或C:\WINNT\system32或C:\WINNT\temp目录下文件的位置01隐藏文件的属性02可执行文件.EXE或.COM上捆绑到其他文件上03如，冰河木马文件名kernl132.exe,Windows系统本身正常的文件名有kernel132.dll。注意0和o的区别文件的名字04如.jpg.exe，显示*.jpg,Windows默认设置不显示文件扩展名文件的的扩展名05更改服务器端文件图标来伪装自己文件的图标06木马运行中的隐藏与伪装任务栏里隐藏是最基本的隐藏方式，以VB为例，只要把from的visible属性设置为False,ShowInTaskBar设为False，程序就不会出现在任务栏里了任务管理器里隐藏按下Ctrl+Alt+Del打开任务管理器，查看正在运行的进程，可发现木马进程,木马把自己设为”系统服务”就不会出现在任务管理器里了.添加系统服务的工具有很多,最典型的netservice,可手工添加系统服务.隐藏端口大部分木马一般在1024以上的高端口驻留,易被防火墙发现.现在许多新木马采用端口反弹技术,客户端使用80端口、21端口等待服务器端（被控制端）主动连接客户端（控制端）。端口反弹技术反弹端口型软件的原理客户端首先到FTP服务器，编辑在木马软件中预先设置的主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。因此在互联网上可以访问到局域网里通过NAT（透明代理）代理上网的电脑，并且可以穿过防火墙。与传统的远程控制软件相反，反弹端口型软件的服务端会主动连接客户端，客户端的监听端口一般开为80（即用于网页浏览的端口），这样，即使用户在命令提示符下使用"netstat-a"命令检查自己的端口，发现的也是类似"TCP

UserIP:3015

ControllerIP：http

ESTABLISHED"的情况，稍微疏忽一点你就会以为是自己在浏览网页，而防火墙也会同样这么认为的。于是，与一般的软件相反，反弹端口型软件的服务端主动连接客户端，这样就可以轻易的突破防火墙的限制反弹技术该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题木马启动方式启动组注册表捆绑方式启动伪装在普通文件中设置在超级连接中（1）在Win.ini中在一般情况下,C:\WINNT\Win.ini的”Windows”字段中有启动命令“load=”和”Run=”的后面是空白的,如果有后跟程序，例如：Run=C:\WINNT\File.exeload=C:\WINNT\File.exe,这个File.exe极可能是木马。（2）在system.ini中C:\WINNT\system.ini的在配置文件中启动发现木马的方法系统的异常情况打开文件，没有任何反应查看打开的端口检查注册表查看进程防御不熟悉的E-MAIL不打开03查在安装新的软件之前，请先备份注册表在安装完软件以后，立即用杀毒软件查杀Windows文件夹和所安装的软件的所在文件夹。如果杀毒软件报告有病毒，这时请将它杀掉，杀毒完成后，重新启动计算机05不要轻易使用来历不明的软件02常用杀毒软件并及时升级04发现木马：检查系统文件、注册表、端口01木马与病毒、远程控制的区别木马程序和远程控制的相同点病毒程序是