七章黑客攻击与防范.ppt

2019年8月11日星期日8时54分25秒,黑客攻击与防范,1,第七章 黑客攻击与防范,本章主要内容： 第一节 黑客攻击介绍 第二节 黑客攻击常用工具 第三节 黑客攻击常见的两种形式 第四节 黑客攻击的防范,2019年8月11日星期日8时54分25秒,黑客攻击与防范,2,知识点,黑客攻击的目的、黑客攻击的三个阶段 黑客攻击的常用工具、黑客攻击的防备 网络监听及其检测 扫描器及其使用 来自E-mail的攻击、E-mail的安全策略 特洛伊木马程序及其检测、删除,2019年8月11日星期日8时54分25秒,黑客攻击与防范,3,难 点,黑客攻击的防备 网络监听及其检测 特洛伊木马程序及其检测、删除,2019年8月11日星期日8时54分25秒,黑客攻击与防范,4,要求,熟练掌握以下内容： 什么是黑客？黑客攻击的目的、常用工具及攻击的防备 网络监听及其检测方法 来自E-mail的攻击、E-mail的安全策略 特洛伊木马程序及其检测、删除 了解以下内容： E-mail的安全漏洞 特洛伊木马的存在形式,2019年8月11日星期日8时54分25秒,黑客攻击与防范,5,第一节 黑客攻击介绍,黑客与入侵者 黑客攻击的目的 黑客攻击的三个阶段 黑客攻击手段,2019年8月11日星期日8时54分25秒,黑客攻击与防范,6,7.1.1黑客与入侵者,黑客的行为没有恶意，而入侵者的行为具有恶意。 在网络世界里，要想区分开谁是真正意义上的黑客，谁是真正意义上的入侵者并不容易，因为有些人可能既是黑客，也是入侵者。而且在大多数人的眼里，黑客就是入侵者。所以，在以后的讨论中不再区分黑客、入侵者，将他们视为同一类。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,7,7.1.2 黑客攻击的目的,1窃取信息 2获取口令 3控制中间站点 4获得超级用户权限,2019年8月11日星期日8时54分25秒,黑客攻击与防范,8,7.1.3 黑客攻击的3个阶段,1确定目标 2搜集与攻击目标相关的信息，并找出系统的安全漏洞 3实施攻击,2019年8月11日星期日8时54分25秒,黑客攻击与防范,9,7.1.4黑客攻击手段,1黑客往往使用扫描器 2黑客经常利用一些别人使用过的并在安全领域广为人知的技术和工具。 3黑客利用Internet站点上的有关文章 4黑客利用监听程序 5黑客利用网络工具进行侦察 6黑客自己编写工具,2019年8月11日星期日8时54分25秒,黑客攻击与防范,10,第二节 黑客攻击常用工具,网络监听 扫描器,2019年8月11日星期日8时54分25秒,黑客攻击与防范,11,7.2.1 网络监听,1.网络监听简介 所谓网络监听就是获取在网络上传输的信息。通常，这种信息并不是特定发给自己计算机的。一般情况下，系统管理员为了有效地管理网络、诊断网络问题而进行网络监听。然而，黑客为了达到其不可告人的目的，也进行网络监听。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,12,2. 在以太网中的监听 （1）以太网中信息传输的原理。 以太网协议的工作方式：发送信息时，发送方将对所有的主机进行广播，广播包的包头含有目的主机的物理地址，如果地址与主机不符，则该主机对数据包不予理睬，只有当地址与主机自己的地址相同时主机才会接受该数据包，但网络监听程序可以使得主机对所有通过它的数据进行接受或改变。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,13,（2）监听模式的设置 要使主机工作在监听模式下，需要向网络接口发送I/O控制命令；将其设置为监听模式。在UNIX系统中，发送这些命令需要超级用户的权限。在UNIX系统中普通用户是不能进行网络监听的。但是，在上网的Windows 95中，则没有这个限制。只要运行这一类的监听软件即可，而且具有操作方便，对监听到信息的综合能力强的特点。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,14,（3）网络监听所造成的影响 网络监听使得进行监听的机器响应速度变得非常慢,2019年8月11日星期日8时54分25秒,黑客攻击与防范,15,3. 常用的监听工具,（1）snoop snoop可以截获网络上传输的数据包，并显示这些包中的内容。它使用网络包过滤功能和缓冲技术来提供有效的对网络通信过滤的功能。那些截获的数据包中的信息可以在它们被截获时显示出来，也可以存储在文件中，用于以后的检查。 Snoop可以以单行的形式只输出数据包的总结信息，也可以以多行的形式对包中信息详细说明。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,16,2Sniffit软件 Sniffit是由Lawrence Berkeley实验室开发的，运行于Solaris、SGI和Linux等平台的一种免费网络监听软件，具有功能强大且使用方便的特点。使用时，用户可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,17,4. 网络监听的检测,方法一： 对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。如果他的IP stack不再次反向检查的话，就会响应。这种方法依赖于系统的IP stack，对一些系统可能行不通。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,18,方法二： 往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能下降。通过比较前后该机器性能（icmp echo delay等方法）加以判断。这种方法难度比较大。 方法三： 一个看起来可行的检查监听程序的方法是搜索所有主机上运行的进程。那些使用DOS、Windows for Workgroup或者Windows 95的机器很难做到这一点。而使用UNIX和Windows NT的机器可以很容易地得到当前进程的清单。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,19,方法四： 另外一个办法就是去搜索监听程序，入侵者很可能使用的是一个免费软件。管理员就可以检查目录，找出监听程序，但这很困难而且很费时间。在UNIX系统上，人们可能不得不自己编写一个程序。另外，如果监听程序被换成另一个名字，管理员也不可能找到这个监听程序。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,20,7.2.2 扫描器,1. 扫描器简介 扫描器是自动检测远程或本地主机安全性漏洞的程序包。 使用扫描器，不仅可以很快地发现本地主机系统配置和软件上存在的安全隐患，而且还可以不留痕迹地发现远在另一个半球的一台主机的安全性漏洞，这种自动检测功能快速而准确。 扫描器和监听工具一样，不同的人使用会有不同的结果：如果系统管理员使用了扫描器，它将直接有助于加强系统安全性；而对于黑客来说，扫描器是他们进行攻击入手点，不过，由于扫描器不能直接攻击网络漏洞，所以黑客使用扫描器找出目标主机上各种各样的安全漏洞后，利用其他方法进行恶意攻击。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,21,2. 端口扫描 （）端口 许多TCP/IP程序可以通过Internet启动，这些程序大都是面向客户/服务器的程序。当inetd接收到一个连接请求时，它便启动一个服务，与请求客户服务的机器通讯。为简化这一过程，每个应用程序（比如FTP、Telnet）被赋予一个唯一的地址，这个地址称为端口。在一般的Internet服务器上都有数千个端口，为了简便和高效，为每个指定端口都设计了一个标准的数据帧。换句话说，尽管系统管理员可以把服务绑定（bind）到他选定的端口上，但服务一般都被绑定到指定的端口上，它们被称为公认端口。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,22,（）端口扫描简介 端口扫描是一种获取主机信息的好方法。 端口扫描程序对于系统管理人员，是一个非常简便实用的工具。 如果扫描到一些标准端口之外的端口，系统管理员必须清楚这些端口提供了一些什么服务，是不是允许的。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,23,3. 常用的扫描工具 （）网络分析工具SATAN SATAN是一个分析网络的安全管理和测试、报告工具。它用来收集网络上主机的许多信息，并可以识别且自动报告与网络相关的安全问题。对所发现的每种问题类型，SATAN都提供对这个问题的解释以及它可能对系统和网络安全造成的影响的程度。通过所附的资料，它还解释如何处理这些问题。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,24,（）网络安全扫描器NSS 网络安全扫描器是一个非常隐蔽的扫描器。如果你用流行的搜索程序搜索它，你所能发现的入口不超过20个。这并非意味着NSS使用不广泛，而是意味着多数载有该扫描器的FTP的站点处在暗处，或无法通过WWW搜索器找到它们。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,25,（）Strobe 超级优化TCP端口检测程序Strobe是一个TCP端口扫描器。它具有在最大带宽利用率和最小进程资源需求下，迅速地定位和扫描一台远程目标主机或许多台主机的所有TCP“监听”端口的能力。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,26,（4）Internet Scanner Internet Scanner可以说是可得到的最快和功能最全的安全扫描工具，用于UNIX和Windows NT。它容易配置，扫描速度快，并且能产生综合报告。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,27,（5）Port Scanner Port Scanner是一个运行于Windows 95和Windows NT上的端口扫描工具，其开始界面上显示了两个输入框，上面的输入框用于要扫描的开始主机IP地址，下面的输入框用于输入要扫描的结束主机IP地址。在这两个IP地址之间的主机将被扫描。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,28,第三节 黑客攻击常见的两种形式,E-mail攻击 特洛伊木马攻击,2019年8月11日星期日8时54分25秒,黑客攻击与防范,29,7.3.1 E-mail攻击,1. E-mail工作原理 一个邮件系统的传输实际包含了三个方面，它们是用户代理（User Agent）、传输代理（Transfer Agent）及接受代理（Delivery Agent）三大部分。 用户代理是一个用户端发信和收信的应用程序，它负责将信按照一定的标准包装，然后送至邮件服务器，将信件发出或由邮件服务器收回。 传输代理则负责信件的交换和传输，将信件传送至适当的邮件主机。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,30,接受代理则是负责将信件根据信件的信息而分发至不同的邮件信箱。 传输代理要求能够接受用户邮件程序送来的信件，解读收信人的具体地址，根据SMTP（Simple Mail Transport Protocol）协议将它正确无误地传递到目的地。而接收代理POP（Post Office Protocol，网络邮局协议或网络中转协议）则必须能够把用户的邮件被用户读取至自己的主机。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,31,2. E-mail的安全漏洞 （1）Hotmail Service存在漏洞 （2）sendmail存在安全漏洞 （3）用Web浏览器查看邮件带来的漏洞 （4）E-mail服务器的开放性带来的威胁 （5） E-mail传输形式的潜在威胁,2019年8月11日星期日8时54分25秒,黑客攻击与防范,32,3. 匿名转发 所谓匿名转发，就是电子邮件的发送者在发送邮件时，使接收者搞不清邮件的发送者是谁，邮件从何处发送，采用这种邮件发送的方法称为匿名转发，用户接收到的邮件又叫匿名邮件。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,33,4. 来自E-mail的攻击 （1） E-mail欺骗 （2） E-mail轰炸,2019年8月11日星期日8时54分25秒,黑客攻击与防范,34,5. E-mail安全策略 保护E-mail的有效方法是使用加密签字，如“Pretty Good Privacy”（PGP），来验证E-mail信息。通过验证E-mail信息，可以保证信息确实来自发信人，并保证在传送过程中信息没有被修改。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,35,7.3.2特洛伊木马攻击,1. 特洛伊木马程序简介 （1）什么是特洛伊木马 特洛伊木马来自于希腊神话，这里指的是一种黑客程序，它一般有两个程序，一个是服务器端程序，一个是控制器端程序。如果用户的电脑安装了服务器端程序，那么黑客就可以使用控制器端程序进入用户的电脑，通过命令服务器断程序达到控制用户电脑的目的。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,36,（2）木马服务端程序的植入 攻击者要通过木马攻击用户的系统，一般他所要作的第一步就是要把木马的服务器端程序植入用户的电脑里面。植入的方法有： 下载的软件 通过交互脚本 通过系统漏洞,2019年8月11日星期日8时54分25秒,黑客攻击与防范,37,（3）木马将入侵主机信息发送给攻击者 木马在被植入攻击主机后，他一般会通过一定的方式把入侵主机的信息、如主机的IP地址、木马植入的端口等发送给攻击者，这样攻击者就可以与木马里应外合控制受攻击主机。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,38,（4）木马程序启动并发挥作用 黑客通常都是和用户的电脑中木马程序联系，当木马程序在用户的电脑中存在的时候，黑客就可以通过控制器断的软件来命令木马做事。这些命令是在网络上传递的，必须要遵守TCP/IP协议。TCP/IP协议规定电脑的端口有256X256=65536个，从0到65535号端口，木马可以打开一个或者几个端口，黑客使用的控制器断软件就是通过木马的端口进入用户的电脑的。 特洛伊木马要能发挥作用必须具备三个因素： 木马需要一种启动方式，一般在注册表启动组中； 木马需要在内存中才能发挥作用； 木马会打开特别的端口，以便黑客通过这个端口和木马联系。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,39,2. 特洛伊程序的存在形式 (1) 大部分的特洛伊程序存在于编译过的二进制文件中。 (2) 特洛伊程序也可以在一些没有被编译的可执行文件中发现。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,40,3. 特洛伊程序的检测 （1）通过检查文件的完整性来检测特洛伊程序。 （2）检测特洛伊程序的技术MD5 MD5属于一个叫做报文摘要算法的单向散列函数中的一种。这种算法对任意长度的输入报文都产生一个128位的“指纹”或“报文摘要”作为输出。它的一个假设前提是：要产生具有同样报文摘要的两个报文或要产生给定报文摘要的报文是不可能的。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,41,4. 特洛伊程序的删除 删除木马最简单的方法是安装杀毒软件，现在很多杀毒软件都能删除多种木马。但是由于木马的种类和花样越来越多，所以手动删除还是最好的办法。木马在启动后会被加载到注册表的启动组中，它会先进入内存，然后打开端口。所以在查找木马时要先使用TCPVIEW，而后开始查找开放的可疑端口。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,42,发现黑客 发现黑客入侵后的对策,第四节 黑客攻击的防范,2019年8月11日星期日8时54分25秒,黑客攻击与防范,43,7.4.1发现黑客,1. 在黑客正在活动时，捉住他 2. 根据系统发生的一些改变推断系统已被入侵 3. 根据系统中一些奇怪的现象判断 4. 一个用户登录进来许多次 5. 一个用户大量地进行网络活动，或者其他一些很不正常的网络操作 6. 一些原本不经常使用的账户，突然变得活跃起来,2019年8月11日星期日8时54分25秒,黑客攻击与防范,44,7.4.2 发现黑客入侵后的对策,1.估计形势 当证实遭到入侵时，采取的第一步行动是尽可能快地估计入侵造成的破坏程度。 2. 采取措施 （1）杀死这个进程来切断黑客与系统的连接。 （2）使用write或者talk工具询问他们究竟想要做什么。 （3）跟踪这个连接，找出黑客的来路和身份。这时候，nslookup、finger等工具很有用。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,45,（4）管理员可以使用一些工具来监视黑客，观察他们在做什么。这些工具包括snoop、ps、lastcomm和ttywatch等。 （5）ps、w和who这些命令可以报告每一个用户使用的终端。如果黑客是从一个终端访问系统，这种情况不太好，因为这需要事先与电话公司联系。 （6） 使用who和netstat可以发现入侵者从哪个主机上过来，然后可以使用finger命令来查看哪些用户登录进远程系统。 （7）修复安全漏洞并恢复系统，不给黑客留有可乘之机。,2019年8月11日星期日8时54分25秒,黑客攻击与防范,46,小结：,网络上黑客的攻击越来越猖獗，对网络安全造成了很大的威胁。本章主要讲述了黑客攻击的目的、黑客攻击的三个阶段、黑客攻击的常用工具以及黑客攻击的防备，并介绍了黑客攻击常用的网络监听和扫描器。同时，讲述了来自E-mail的攻击及其安全策略、特洛伊木马程序及其检测删除。,