网络安全介绍

❖TFN2K：是由TFN 发展而来的，新增了一些特 性，它的主控端和傀儡机的通信是经过加密的
❖Stacheldraht：也是从TFN 派生出来的，增加
了主控端与傀儡机的加密通信能力。可以防范一
些基于路由器的过滤机制，且存在内嵌傀儡机升
级模块
第三十五页，共73页。
❖常用攻击(gōngjī)方法
网络层 SYN Flood ICMP Flood UDP Flood Ping of Death 应用层 垃圾邮件 CGI资源耗尽 针对(zhēnduì)操作系统 winnuke
内容： 删除日志 修补明显的漏洞 植入后门木马 进一步渗透扩展 进入潜伏状态
第十九页，共73页。
第二十页，共73页。
2、常见(chánɡ jiàn)攻击及原理
（1）端口扫描 扫描原理
扫描程序是自 动检测远端主机 (zhǔjī)或者本地主 机(zhǔjī)安全脆弱 性的程序。
第二十一页，共73页。
❖ 口令防御：用户登录失败的次数；特殊字符的8字节以上的长口令，并且要定期更换 口令；要保证(bǎozhèng)口令文件的存储安全。
❖ 口令分析方法 ❖ 穷举法 ❖ 分析破译法：数学归纳分析或统计 ❖ 密码破解 ❖ John () ❖ L0pht Crack5 () ❖ Word 密码破解 ❖ Advanced Office XP Password Recovery
❖ 通常情况下，攻击者通过多级跳板登录到一个或多 个主控端(即客户机)，主控端以多对多的形式控制 了大量的傀儡主机（即服务器）。攻击者通过主控 端主机，控制傀儡机。傀儡机上运行的服务器程序 接收来自主控端的指令并向受害主机发动攻击
第三十三页，共73页。
第三十四页，共73页。
❖DDoS 攻击工具
❖
❖A = 4 ❖B = 8 ❖E = 3 ❖G =9
❖常见(chánɡ jiàn) 缩写
❖CK = x ❖You = u ❖Are = r
❖l = 1
❖See = c
❖O = 0
❖And = n / &
❖S = 5
❖Not = !
❖t = 7
第十八页，共73页。
2、攻击阶段( jiēduàn)划分和思路及
第十页，共73页。
（3）著名(zhùmíng)黑客
❖罗伯特·莫里斯
❖
1988年，莫
里斯蠕虫病毒震撼
了整个世界。由原
本寂寂无名的大学
生罗伯特·莫里斯制
造的这个蠕虫病毒
入侵了大约6000个
大学和军事机构的
计算机，使之瘫痪。
此后，从CIH到美丽
第十一页，共73页。
❖ 凯文·米特尼克
❖ 美国20世纪最著名的黑 客之一，《社会 (shèhuì)工程学》的创 始人
② 扫描的一般步骤 ③ 获取主机名与IP 地址：使用whois与
nslookup等工具 ④ 获得操作系统类型信息：最快方法是试图telnet
该系统 ⑤ FTP 信息：攻击者将测试是否开放FTP 服务，匿
名FTP 是否可用，若可用，则试图发掘更多的潜 在问题(wèntí) ⑥ TCP/UDP扫描：对于TCP，telnet可以用来试 图与某一特定端口连接，这也是手工扫描的基本方 法。从中再分析系统是否开放了rpc 服务、 finger、rusers 和rwho等比较危险的服务
第二十四页，共73页。
第二十五页，共73页。
（3）放置(fàngzhì)特洛伊木马程序
特洛伊木马源自于希腊神话，在网络安全领域专指一种黑客程序，它可以直接侵入 用户的电脑并进行破坏
它一般包括两个部分，控制端软件和被控端软件。被控端软件常被伪装成工具程序 或者游戏等，诱使用户打开带有该软件的邮件(yóujiàn)附件或从网上直接下载。 一旦用户打开了这些邮件(yóujiàn)的附件或者执行了这些程序之后，它们就会 在目标计算机系统中隐藏一个可以在系统启动时悄悄执行的程序。当用户连接 到因特网上时，这个程序可以通知攻击者，报告用户的IP地址以及预先设定的 端口。攻击者在收到这些信息后，再利用事先潜伏在其中的程序，任意地修改 用户的计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等，从而达 到控制用户的计算机的目的。
第二十二页，共73页。
③ 扫描程序收集的目标主机的信息 ④ 当前主机正在进行什么服务？ ⑤ 哪些用户拥有这些服务？ ⑥ 是否(shìfǒu)支持匿名登录？ ⑦ 是否(shìfǒu)有某些网络服务需要鉴别？ ⑧ 常用扫描软件 ⑨ Nmap (http://) ⑩ Superscan (http://) ⑪ Sl (http://)
冰河 Wollf （) winshell
第二十六页，共73页。
第二十七页，共73页。
（4）网络(wǎngluò)钓鱼
❖ 网络钓鱼(Phishing) ❖ “Fishing”和“Phone”的综合词，它利用
欺骗性的E-mail和伪造的Web站点来进行诈骗活 动，使受骗者泄露自己的重要数据，如信用卡号、 用户名和口令等 ❖ 实例 ❖ 一恶意(è yì)网站，伪装成中国工商银行主页 ❖ QQ欺骗
1、黑客(hēi kè)简史
（1）影视(yǐnɡ shì)中的黑客
第五页，共73页。
※《黑客帝国》
(làngmàn zhǔ yì)(làngmàn zhǔ yì)
浪 电 浪 漫 影 漫
主
义主 的义 黑 客 电的
黑
影客
第六页，共73页。
(xiěshí zhǔyì)
※《箭鱼( jiàn yú)行动》 的写 黑实 客主 电义 影
❖ 1979年他和他的伙伴侵 入了北美空防指挥部。
❖ 1983年的电影《战争游 戏》演绎了同样的故事， 在片中，以凯文为原型 的少年黑客几乎引发了 第三次世界大战
第十二页，共73页。
（4）中国的“黑客(hēi kè)文化”
❖ 中国缺乏欧美抚育黑客文化的土壤 ❖ 缺少庞大(pángdà)的中产阶层 ❖ 缺少丰富的技术积累 ❖ 中国的黑客文化的“侠” ❖ 侠之大者，为国为民 ❖ 侠之小者，除暴安良
❖ Trinoo：较早期的DDoS攻击工具，向受害主机 随机端口发送大量全零4字节长度(chángdù)的 UDP包，处理这些垃圾数据包的过程中，受害主 机的网络性能不断下降，直至发生拒绝服务，乃 至崩溃。Trinoo 并不伪造源IP 地址，不使用主 控端
❖ TFN：由主控端和傀儡机两部分组成，主要攻击 方式有：TCP SYN 洪泛攻击、ICMP 洪泛攻击、 UDP 攻击和类Smurf 型的攻击，能够伪造源地 址。
网络安全介绍(jièshào)
第一页，共73页。
一、我国网络(wǎngluò)现状
1、上网人数(rén shù)激增
中国网民人数(rén shù)增长情况
第二页，共73页。
2、网络安全事件(shìjiàn)频发
第三页，共73页。
3、攻击手段(shǒuduàn)多样
第四页，共73页。
二、网络攻击方法(fāngfǎ)及原 理
第七页，共73页。
※《虎胆龙威4》
电恐 影怖
主 义 的 黑 客
(hēi kè)
第八页，共73页。
※《黑客(hēi kè)悲情》
黑中 客国 电 影
(zhōnɡ ɡuó)
第九页，共73页。
特 色
（2）黑客(hēi kè)起源的背景
❖ 起源地： ❖ 美国 ❖ 精神支柱： ❖ 对技术的渴求 ❖ 对自由(zìyóu)的渴求 ❖ 历史背景： ❖ 越战与反战活动 ❖ 马丁·路德金与自由(zìyóu) ❖ 嬉皮士与非主流文化 ❖ 电话飞客与计算机革命
第十四页，共73页。
❖1999年南联盟事件
❖中国黑客袭击了美国能源部、内政部及其所属的 美国家公园管理处的网站
❖大规模的攻击致使白宫网站三天失灵
❖绿色兵团南北分拆事件
❖1997年，中国最老牌的黑客组织“绿色兵团”成 立，黑客从此有了自己(zìjǐ)的江湖
❖2000年3月，“绿色兵团”与中联公司合作投资， 并在北京招募成员注册了北京中联绿盟信息技术 公司
第十三页，共73页。
（5）中国“黑客(hēi kè)”重要历史事 件
❖1998年印尼事件 ❖以八至六人为单位，向印尼政府网站的信箱中
发送垃圾邮件 ❖用Ping的方式攻击印尼网站 ❖中国黑客最初的团结与坚强的精神，为后来的
中国红客的形成铺垫了基础 ❖技术性黑客牵头组建了“中国黑客紧急会议中
心”负责对印尼网站攻击期间(qījiān)的协调 工作
第二十八页，共73页。
第二十九页，共73页。
第三十页，共73页。
（5）僵尸( jiāngshī)网络
❖ 原理
❖ 由大量能够实现恶意功能的Bot（主机感染 bot程序，僵尸程序） 、Command & Control Server和控制(kòngzhì)者组成，能够受攻击者控 制(kòngzhì)的网络。攻击者在公开或秘密的IRC 服务器上开辟私有的聊天频道作为控制(kòngzhì) 频道，僵尸程序中预先已经设定好这些信息，当僵 尸计算机运行时，僵尸程序就自动搜索并连接到这 些控制(kòngzhì)频道，接收频道中的所有信息， 这样就构成了一个IRC协议的僵尸网络。攻击者通 过IRC服务器，向整个僵尸网络内的受控节点发送 控制(kòngzhì)命令，操纵这些“僵尸”进行破坏 或者窃取行为。
❖同年7月，由于商业问题，北京绿盟与上海绿盟 因内部原因合作破裂
第十五页，共73页。
❖中美五一黑客大战事件 ❖04年初，四川站开始负责美国IP段的收集，扫
描NT主机与UNIX主机，并启动的四十多台跳 板主机全速扫描一些美国IP段的网站。 ❖使用一些常见的系统漏洞，在三个小时 (xiǎoshí)之内入侵了五个网站，其中三个被更 换了页面，另外两个作了跳板 ❖5月1日，中国鹰派“‘五月之鹰’行动指挥中 心”正式成立 ❖晚11时，山东站成员扫描出IP段的美国主机漏 洞，然后，上传木马和被黑页面。几小时 (xiǎoshí)后，这些主机“都见上帝去了” ❖美黑客以嚣张的气焰攻击国内的网站。至5月3 日，国内已有400多个网站沦陷。入侵者破坏
第三十一页，共73页。
第三十二页，共73页。
（6）DDoS攻击(gōngjī)
❖分布(fēnbù)式拒绝服务(DDoS)攻击是DoS 攻击 的演进。它的主要特征是利用可能广泛分布 (fēnbù)于不同网络中的多台主机针对一台目标主 机进行有组织的DoS 攻击。多个攻击源的分布 (fēnbù)式特性使得DDoS攻击较传统的DoS 攻击 有着更强的破坏性
•随意使用资源 •恶意破坏 •散播蠕虫病毒 •商业间谍
计算机
人不为己，
为人民服务
天诛地灭
漏洞发现 - Flashsky 入侵者-K.米特尼克
软件破解 - 0 Day CIH - 陈盈豪
工具提供 - Glacier 攻击Yahoo者 -匿名
第十七页，共73页。
（7）所谓(suǒwèi)黑客语言
❖常见(chánɡ jiàn) 替换
第三十六页，共73页。
❖解剖( jiěpōu)SYN Flood
就是让 你白等
攻击者
伪造地址进行SYN请求
SYN （我可以连接吗？） ACK （可以）/SYN（请确认！）
不能建立正常的连接
第三十七页，共73页。
为何还 没回应
受害者
攻击者 正常用户
大量的tcp connection
正常tcp connect 正常tcp connect 正常tcp connect 正常tcp connect 正常tcp connect
第二十三页，共73页。
（2）获取(huòqǔ)口 令
❖ 口令攻击程序有很多，用于攻击UNIX平台的有Crack、CrackerJack、 PaceCrack95、Qcrack、John the Ripper、Hades等等；用于攻击Windows 平台的有10phtCrack2.0、ScanNT、NTCrack、Passwd NT等等。
操作
预攻击
攻击
后攻击
目的： 收集信息，进行进 一步攻击决策
内容： 获得域名及IP分布 获得拓扑及OS等 获得端口和服务 获得应用系统情况 跟踪新漏洞发布
目的： 进行攻击，获得系 统的一定权限
内容： 获得程权限 进入远程系统 提升本地权限 进一步扩展权限 进行实质性操作
目的： 消除痕迹，长期维 持一定的权限
第十六页，共73页。
（6）黑客(hēi kè)的分类
善
渴求(kěqiú)自由
恶
白帽子创新者
•设计新系统 •打破常规 •精研技术 •勇于创新
没有最好， 只有更好
MS -Bill Gates
GNU -R.Stallman
Linux -Linus
灰帽子破解者
黑帽子破坏者
破解已有系统
发现问题/漏洞 突破(tūpò)极限/禁制 展现自我