第5章网络入侵
第五章入侵检测系统
历史 用户当前操作
入侵 检测
专家 知识
断开连接
收集证据 数据恢复
图2 事后入侵检测原理
8.1.3 入侵检测一般步骤
入侵检测的一般过程包括数据提取、数据分析和事件响应。 1.入侵数据提取(信息收集) 主要是为系统提供数据,提取的内容包括系统、网络、 数据及用户活动的状态和行为。需要在计算机网络系统中的 若干不同关键点(不同网段和不同主机)收集信息。一是尽 可能扩大检测范围,二是检测不同来源的信息的一致性。入 侵检测很大程度上依赖于收集信息的可靠性和正确性。 入侵检测数据提取可来自以下4个方面。 (1)系统和网络日志; (2)目录和文件中的的改变; (3)程序执行中的不期望行为; (4)物理形式的入侵信息。
8.1.2入侵检测原理
入侵检测可分为实时入 侵检测和事后入侵检测, 其原理分别如图1和图2 所示。 实时入侵检测在网络连 接过程中进行,系统根 据用户的历史行为模型、 存储在计算机中的专家 知识以及神经网络模型 对用户当前的操作进行 判断,一旦发现入侵迹 象立即断开入侵者与主 机的连接,并收集证据 和实施数据恢复。
8.1.1 入侵检测系统的产生
审计技术:产生、记录并检查按时间顺序排列的系统事件记 录的过程。 国际上在20世纪70年代就开始了对计算机和网络遭受攻击进 行防范的研究,审计跟踪是当时的主要方法。1980年4月, James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算 机安全威胁监控与监视)的技术报告,这份报告被公认为是 入侵检测的开山之作,报告里第一次详细阐述了入侵检测的 概念。他提出了一种对计算机系统风险和威胁的分类方法, 并将威胁分为外部渗透、内部渗透和不法行为三种,还提出 了利用审计跟踪数据,监视入侵活动的思想。 1984~1986年入侵检测专家系统产生。 商业的入侵检测系统一直到了20世纪80年代后期才出现,但 总的看来,现在对IDS的研究还不够深入,产品的性能也有 待提高。
第5章 黑客攻防与检测防御
⑥
用Legion扫描局域网
⑦
植入特洛伊木马
图 5-4 黑客攻击企业内部局域网的过程示意框图
讨论思考:
(1)黑客攻击的目的与种类有哪些? (2)黑客确定攻击目标后,将采用哪些攻击过程? (3)建立说明黑客攻击的具体步骤?
5.3 常用黑客攻防技术
5.3.1 端口扫描攻防
端口扫描是管理员发现系统的安全漏洞,加强系统的安全 管理,提高系统安全性能的有效方法。端口扫描成为黑客发现 获得主机信息的一种最佳手段。 1.端口扫描及扫描器 (1)端口扫描.是使用端口扫描工 具检查目标主机在哪些端口可建 立TCP连接,若可连接,则表明 主机在那个端口被监听。 (2)扫描器。扫描器也称扫描工具或扫描软件,是一种自动检测 远程或本地主机安全性弱点的程序。
(Security Administrator's Integrated Network Tool, 安全管理员 集成网络工具)、 Nmap、TCP connect 、TCP SYN 等.
图5-5 用X-scan的扫端口
5.3 常用黑客攻防技术
5.3.1 端口扫描攻防
(1)什么是安全漏洞和隐患?为什么网络存在着的安全漏洞和隐患? (2)举例说明,计算机网络安全面临的黑客攻击问题。 (3)黑客通道——端口主要有哪些?特点是什么?
5.2 黑客攻击的目的及过程
5.2.1 黑客攻击的目的及种类
最大网络攻击案件幕后黑手被 捕.2013年荷兰男子SK因涉嫌有史以来最大 的网络攻击案件而被捕.SK对国际反垃圾邮 件组织Spamhaus等网站,进行了前所未有的 一系列的大规模分布式拒绝服务攻击,在高峰 期攻击达到每秒300G比特率,导致欧洲的某 些局部地区互联网缓慢,同时致使成千上万相 关网站无法正常运行服务。 黑客攻击其目的: 一是为了得到物质利益;是指获取金钱财物; 二是为了满足精神需求。是指满足个人心理欲望.
网络入侵检测系统的安装与配置手册
网络入侵检测系统的安装与配置手册第一章:介绍网络入侵是指未经授权的用户或系统对网络资源的非法访问、修改、删除或者使用。
为了提高网络的安全级别,我们需要安装和配置网络入侵检测系统(IDS)。
本手册将为您详细介绍网络入侵检测系统的安装与配置步骤,以及如何确保系统的有效性和稳定性。
第二章:准备工作在开始安装和配置网络入侵检测系统之前,您需要进行一些准备工作:1. 确认您的计算机符合系统要求,包括硬件和软件规格。
2. 下载最新版本的网络入侵检测系统软件,并保证其完整性。
3. 确保您的计算机已经连接到互联网,并具有正常的网络连接。
4. 确定您的网络拓扑结构和系统域。
第三章:安装网络入侵检测系统在本章中,我们将为您介绍网络入侵检测系统的安装步骤:1. 解压下载的网络入侵检测系统软件包。
2. 打开安装程序,并按照提示完成安装过程。
3. 选择您所需要的组件和功能,并根据您的需求进行配置。
4. 安装完成后,根据系统指引完成系统初始化设置。
5. 配置系统的管理员账户和密码,并确保其安全性。
第四章:配置网络入侵检测系统在本章中,我们将为您介绍网络入侵检测系统的配置步骤:1. 设定系统的网络参数,包括IP地址、子网掩码、网关等。
2. 配置系统的安全策略,包括过滤规则、用户权限等。
3. 配置系统的监控规则,以便检测和报告任何潜在的入侵行为。
4. 确保系统的日志记录功能正常运行,并设置相关参数。
5. 配置系统的警报机制,包括警报方式、警报级别等。
6. 定期更新系统的规则库和软件补丁,以确保系统的正常运行和最新的威胁识别能力。
第五章:测试和优化网络入侵检测系统在本章中,我们将为您介绍如何测试和优化网络入侵检测系统:1. 进行系统的功能测试,确保系统的所有功能和组件正常工作。
2. 使用测试工具模拟不同类型的入侵行为,并观察系统的检测和警报机制。
3. 根据测试结果,调整系统的监控规则和警报机制,以提高系统的准确性和反应速度。
4. 分析系统的日志信息,发现和排除可能存在的问题。
网络安全技术简答题
第1章网络安全概述与环境配置1. 网络攻击和防御分别包括哪些内容答:攻击技术主要包括以下几个方面。
(1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
(2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
(3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
(4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
(5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括以下几个方面。
(1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
(2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
(3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
(4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
(5)网络安全协议:保证传输的数据不被截获和监听。
2. 从层次上,网络安全可以分成哪几层每层有什么特点答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联网安全。
物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。
逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全,操作系统必须能区分用户,以便防止相互干扰。
操作系统不允许一个用户修改由另一个账户产生的数据。
联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。
(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。
(2)通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
(感觉如果说是特点的话这样回答有点别扭。
)3. 为什么要研究网络安全答:网络需要与外界联系,同时也就受到许多方面的威胁:物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。
网络安全课后简答题部分参考答案
第1章网络安全概述与环境配置1. 网络攻击和防御分别包括哪些内容?答:攻击技术主要包括以下几个方面。
(1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
(2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
(3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
(4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
(5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括以下几个方面。
(1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
(2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
(3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
(4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
(5)网络安全协议:保证传输的数据不被截获和监听。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联网安全。
物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。
逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全,操作系统必须能区分用户,以便防止相互干扰。
操作系统不允许一个用户修改由另一个账户产生的数据。
联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。
(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。
(2)通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
第2章网络安全协议基础1. 简述OSI参考模型的结构答:OSI参考模型是国际标准化组织(International Standards Organization,ISO)制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层,自顶向下分别为应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。
入侵检测及预警技术
3.网络入侵检测信息分析 三种分析技术手段: (1)模式匹配 (2)统计分析 (3)完整性分析 4.入侵检测的基本技术 基本方法: (1)审计跟踪分析 (2)网络包监控与分析 (3)实时活动监控
基本服务功能: (1)异常检测 (2)误用检测 (3)攻击告警 5.4 入侵检测的基本方法 1.基于用户行为概率统计模型的入侵检测方法 2.基于神经网络的入侵检测方法 3.基于专家系统的入侵检测技术 4.基于模型推理的入侵检测技术
5.3 入侵检测系统的基本原理 1.入侵检测框架简介 IETF/IDWG安全检测框架模型,如图5.2所示。
图5.2 IETF/IDWGห้องสมุดไป่ตู้全检测框架模型
术语:数据源、活动、传感器、事件、分析器、安全策略、告警、 管理器、通告、管理员、操作员、响应、特征表示、入侵检测系 统 简单入侵检测系统示意图,如图5.3所示。
5.2 网络入侵攻击的典型过程 攻击过程示意图,如图5.1所示。
图5.1 攻击过程示意图
1.确定攻击目标并获取目标系统的信息 2.获取目标系统的一般权限 3.获取目标系统的管理权限 4.隐藏自己在目标系统中的行踪 5.对目标系统或其他系统发起攻击 6.在目标系统中留下下次入侵的后门
图5.3 简单入侵检测系统示意图
模块:数据采集模块、入侵分析引擎模块、管 理配置模块、响应处理模块、辅助模块。 2.网络入侵检测的信息来源 (1)网络和系统日志文件 (2)目录和文件中的不期望的改变 (3)程序执行中的不期望行为 (4)物理形式的入侵信息 (5)其他信息
第五章 网络入侵
第五章网络入侵内容提要本章是攻击技术中最重要的一章,介绍目前常用的网络攻击手段:⏹社会工程学攻击⏹物理攻击⏹暴力攻击⏹利用Unicode漏洞攻击⏹利用缓冲区溢出漏洞进行攻击等技术。
并结合实际,介绍流行的攻击工具的使用以及部分工具的代码实现。
一、社会工程学攻击1、社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。
举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。
利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。
目前社会工程学攻击主要包括两种方式:打电话请求密码和伪造Email1、打电话请求密码尽管不像前面讨论的策略那样聪明,打电话寻问密码也经常奏效。
在社会工程中那些黑客冒充失去密码的合法雇员,经常通过这种简单的方法重新获得密码。
2、伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息,这样的Email消息是真的,因为它发自于一个合法的用户。
在这种情形下这些信息显得是绝对的真实。
黑客可以伪造这些。
一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息,黑客就能实施他们的恶意阴谋。
2、物理攻击与防范物理安全是保护一些比较重要的设备不被接触。
物理安全比较难防,因为攻击往往来自能够接触到物理设备的用户。
案例5-1得到管理员密码用户登录以后,所有的用户信息都存储在系统的一个进程中,这个进程是:―winlogon.exe‖,可以利用程序将当前登录用户的密码解码出来,如图5-1所示。
使用FindPass等工具可以对该进程进行解码,然后将当前用户的密码显示出来。
第 5 章 入侵检测与蜜罐技术
(3)全面的安全防御方案
5.2 建立一个入侵检测系统
Snort是一个强大的轻量级的网络入侵检测系统。 它具有实时数据流量分析和日志Ip网络数据包 的能力,能够进行协议分析,对内容搜索/匹 配。它能够检测各种不同的攻击方式,对攻击 进行实时警报。只要遵守GPL,任何组织和个 人都可以自由使用Snort。 Snort虽然功能强大,但是其代码极为简洁,其 源代码压缩包只有200KB不到。此外,Snort 具有很好的扩展性和可移植性,跨平台性能极 佳,目前已经支持Linux系列、Solaris、BSD 系列、IRIX,HP-UX、Windows系列,Sco Openserver、Unixware等。
(1)模式匹配 模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违 背安全策略的行为。该方法的一大优点是只需 收集相关的数据集合,显著减少系统负担,且 技术已相当成熟。它与病毒防火墙采用的方法 一样,检测准确率和效率都相当高。但是,该 方法存在的弱点是需要不断的升级以对付不断 出现的黑客攻击手法,不能检测到从未出现过 的黑客攻击手段。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而 具有较高检出率与可用性。但是它的“学习”能力也给入侵者 以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,
(5)专家系统 用专家系统对入侵进行检测,经常是针对有特征入侵行 为。所谓的规则,即是知识,不同的系统与设臵具有 不同的规则,且规则之间往往无通用性。专家系统的 建立依赖于知识库的完备性,知识库的完备性又取决 于审计记录的完备性与实时性。入侵的特征抽取与表 达,是入侵检测专家系统的关键。在系统实现中,将 有关入侵的知识转化为if-then结构(也可以是复合结 构),条件部分为入侵特征,then部分是系统防范措 施。运用专家系统防范有特征入侵行为的有效性完全 取决于专家系统知识库的完备性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
13
暴力破解软件密码
目前许多软件都具有加密的功能,比如 文档、 目前许多软件都具有加密的功能,比如Office文档、 文档 Winzip文档和 文档和Winrar文档等等。这些文档密码可以有 文档等等。 文档和 文档等等 效的防止文档被他人使用和阅读。 效的防止文档被他人使用和阅读。但是如果密码位数 不够长的话,同样容易被破解。 不够长的话,同样容易被破解。 案例5-5 Office文档暴力破解 案例 文档暴力破解
18
检查缓冲区溢出漏洞
19
利用RPC漏洞建立超级用户 漏洞建立超级用户 利用
利用工具软件attack.exe对172.18.25.109进行攻 对 利用工具软件 进行攻 击。攻击的结果将在对方计算机上建立一个具有 管理员权限的用户,并终止了对方的RPC服务。 服务。 管理员权限的用户,并终止了对方的 服务 新建用户的用户名和密码都是qing10,这样就可 , 新建用户的用户名和密码都是 以登录对方计算机了, 以登录对方计算机了,RPC服务停止操作系统将 服务停止操作系统将 有许多功能不能使用,非常容易被管理员发现, 有许多功能不能使用,非常容易被管理员发现, 使用工具软件OpenRpcSs.exe来给对方重启 来给对方重启RPC 使用工具软件 来给对方重启 服务。 服务。
10
三.暴力攻击 暴力攻击
暴力攻击的一个具体例子是, 暴力攻击的一个具体例子是,一个黑客试图使用 的一个具体例子是 计算机和信息去破解一个密码。 计算机和信息去破解一个密码。 一个黑客需要破解—段单一的被用非对称密钥加 一个黑客需要破解 段单一的被用非对称密钥加 密的信息,为了破解这种算法, 密的信息,为了破解这种算法,一个黑客需要求 助于非常精密复杂的方法,它使用120个工作站, 个工作站, 助于非常精密复杂的方法,它使用 个工作站 两个超级计算机利用从三个主要的研究中心获得 的信息,即使拥有这种配备,它也将花掉八天 八天的 的信息,即使拥有这种配备,它也将花掉八天的 时间去破解加密算法, 时间去破解加密算法,实际上破解加密过程八天 已是非常短暂的时间了。 非常短暂的时间了 已是非常短暂的时间了。
2
本章教学目标
了解社会工程学攻击的基本方法、 了解社会工程学攻击的基本方法、学会防范物 理攻击。 理攻击。 掌握暴力攻击下的暴力破解、字典攻击; 掌握暴力攻击下的暴力破解、字典攻击; 掌握缓冲区溢出攻击的原理以及防御的手段。 掌握缓冲区溢出攻击的原理以及防御的手段。 理解拒绝服务攻击的原理以及防御的手段。 理解拒绝服务攻击的原理以及防御的手段。
22
攻击方法: 常见的DoS攻击方法: 攻击方法 SYN风暴 Smurf攻击 Land攻击
23
SYN风暴 风暴
原理 在SYN Flood攻击中,利用TCP三次握手协议的缺陷, 攻击者向目标主机发送大量伪造源地址的TCP SYN报文 目标主机分配必要的资源,然后向源地址返回SYN+ACK 包,并等待源端返回ACK包。 由于源地址是伪造的,所以源端永远都不会返回ACK报文, 受害主机继续发送SYN+ACK包,并将半连接放入端口的 积压队列中 虽然一般的主机都有超时机制和默认的重传次数,但由于 端口的半连接队列的长度是有限的,如果不断的向受害主 机发送大量的TCP SYN报文,半连接队列就会很快填满, 服务器拒绝新的连接,将导致该端口无法响应其他机器进 行的连接请求,最终使受害主机的资源耗尽。
5
二.物理攻击与防范 物理攻击与防范
物理安全是保护一些比较重要的设备不被接触。 物理安全是保护一些比较重要的设备不被接触。 物理安全比较难防, 物理安全比较难防,因为攻击往往来自能够接 触到物理设备的用户。 触到物理设备的用户。
6
案例5-1得到管理员密码 案例 得到管理员密码
用户登录以后, 用户登录以后,所有的用户信息都存储在系统的一个 进程中,这个进程是: 进程中,这个进程是:“winlogon.exe”,可以利用 , 程序将当前登录用户的密码解码出来,如图5-1所示 所示。 程序将当前登录用户的密码解码出来,如图 所示。
17
利用RPC漏洞建立超级用户 漏洞建立超级用户 利用
RPC溢出漏洞,对SP4也适用,必须打专用补丁。利 溢出漏洞, 也适用, 溢出漏洞 也适用 必须打专用补丁。 用工具scanms.exe文件检测 文件检测RPC漏洞,该工具是 漏洞, 用工具 文件检测 漏洞 该工具是ISS 安全公司2003年7月30日发布的,运行在命令行下用 日发布的, 安全公司 年 月 日发布的 来检测指定IP地址范围内机器是否已经安装了 来检测指定 地址范围内机器是否已经安装了 接口远程缓冲区溢出漏洞( “DCOM RPC 接口远程缓冲区溢出漏洞(823980MS03-026)”补丁程序。 ) 补丁程序。 如果没有安装补丁程序, 如果没有安装补丁程序,该IP地址就会显示出 地址就会显示出 盘根目录, “[VULN]”。首先拷贝该文件到 盘根目录,现在要检 。首先拷贝该文件到C盘根目录 查地址段172.18.25.109到172.18.25.110的主机,执 查地址段 到 的主机, 的主机 行命令“ 行命令“scanms.exe 172.18.25.109-172.18.25.110”
20
缓冲பைடு நூலகம்溢出攻击防范措施
安装安全补丁 编写安全的代码 基于一定的安全策略设置系统。 基于一定的安全策略设置系统。
21
五.拒绝服务攻击 拒绝服务攻击
拒绝服务攻击的简称是: 拒绝服务攻击的简称是:DoS(Denial of 的简称是 ( Service)攻击,凡是造成目标计算机拒绝提供服 )攻击, 务的攻击都称为DoS攻击,其目的是使目标计算 攻击, 务的攻击都称为 攻击 机或网络无法提供正常的服务。 机或网络无法提供正常的服务。 最常见的DoS攻击是:计算机网络带宽攻击和连 攻击是: 最常见的 攻击是 通性攻击。 通性攻击。 带宽攻击是以极大的通信量冲击网络,使网络 带宽攻击 所有可用的带宽都被消耗掉,最后导致合法用 户的请求无法通过。 连通性攻击指用大量的连接请求冲击计算机, 连通性攻击 最终导致计算机无法再处理合法用户的请求。
8
权限提升
有时候,管理员为了安全, 有时候,管理员为了安全,给其他用户建立一 个普通用户帐号,认为这样就安全了。 个普通用户帐号,认为这样就安全了。 其实不然,用普通用户帐号登录后, 其实不然,用普通用户帐号登录后,可以利用 工具GetAdmin.exe将自己加到管理员组或者 工具 将自己加到管理员组或者 新建一个具有管理员权限的用户。 新建一个具有管理员权限的用户。
7
案例5-1得到管理员密码 案例 得到管理员密码
使用FindPass等工具可以对该进程进行解码,然后将 等工具可以对该进程进行解码, 使用 等工具可以对该进程进行解码 当前用户的密码显示出来。 拷贝到C 当前用户的密码显示出来。将FindPass.exe拷贝到 拷贝到 盘根目录,执行该程序,将得到当前用户得登录名, 盘根目录,执行该程序,将得到当前用户得登录名, 如图5-2所示 所示。 如图 所示。
16
RPC漏洞溢出 漏洞溢出
远程过程调用RPC(Remote Procedure Call),是操 ( 远程过程调用 , 作系统的一种消息传递功能, 作系统的一种消息传递功能,允许应用程序呼叫网络 上的计算机。当系统启动的时候,自动加载RPC服务。 服务。 上的计算机。当系统启动的时候,自动加载 服务 可以在服务列表中看到系统的RPC服务,如图 服务, 可以在服务列表中看到系统的 服务 如图5-35所 所 示。
14
四.缓冲区溢出攻击 缓冲区溢出攻击
目前最流行的一种攻击技术就是缓冲区溢出攻击。 目前最流行的一种攻击技术就是缓冲区溢出攻击。 当目标操作系统收到了超过了它的最大能接收的 信息量的时候,将发生缓冲区溢出。 信息量的时候,将发生缓冲区溢出。这些多余的 数据将使程序的缓冲区溢出, 数据将使程序的缓冲区溢出,然后覆盖了实际的 程序数据,缓冲区溢出使目标系统的程序被修改, 程序数据,缓冲区溢出使目标系统的程序被修改, 经过这种修改的结果使在系统上产生一个后门。 经过这种修改的结果使在系统上产生一个后门。 这项攻击对技术要求比较高, 这项攻击对技术要求比较高,但是攻击的过程却 非常简单。缓冲区溢出原理很简单,比如程序: 非常简单。缓冲区溢出原理很简单,比如程序:
计算机网络安全
主讲: 主讲:刘玉仙 E-mail:nyliuyuxian@ 办公室: 电话: 办公室:HA206 电话:3622865
1
第5章 网络入侵 章
1.社会工程学攻击 社会工程学攻击 2.物理攻击与防范 物理攻击与防范 3.暴力攻击 暴力攻击 4.缓冲区溢出攻击 缓冲区溢出攻击 5.拒绝服务攻击 拒绝服务攻击
9
案例5-2 普通用户建立管理员帐号 案例
利用Hacker帐户登录系统,在系统中执行程序 帐户登录系统, 利用 帐户登录系统 GetAdmin.exe,程序自动读取所有用户列表,在对话框 ,程序自动读取所有用户列表, 中点击按钮“New”,在框中输入要新建的管理员组的用 中点击按钮“ , 户名,如图5-5所示 所示。 户名,如图 所示。
4
社会工程学攻击
目前社会工程学攻击主要包括两种方式: 目前社会工程学攻击主要包括两种方式:打电话请求 密码和伪造Email 密码和伪造 1、打电话请求密码 、 尽管不像前面讨论的策略那样聪明,打电话寻问密 码也经常奏效。在社会工程中那些黑客冒充失去密 码的合法雇员,经常通过这种简单的方法重新获得 密码。 2、伪造 、伪造Email 使用telnet一个黑客可以截取任何一个身份证发送 Email的全部信息,这样的Email消息是真的,因为 它发自于一个合法的用户。在这种情形下这些信息 显得是绝对的真实。黑客可以伪造这些。一个冒充 系统管理员或经理的黑客就能较为轻松的获得大量 的信息,黑客就能实施他们的恶意阴谋。
15
缓冲区溢出攻击
void function(char * szPara1) { char buff[16]; strcpy(buffer, szPara1); } 程序中利用strcpy函数将 函数将szPara1中的内容拷贝到 中的内容拷贝到buff 程序中利用strcpy函数将szPara1中的内容拷贝到buff 只要szPara1的长度大于 的长度大于16, 中,只要szPara1的长度大于16,就会造成缓冲区溢 存在strcpy函数这样问题的 语言函数还有: 函数这样问题的C语言函数还有 出。存在 函数这样问题的 语言函数还有: strcat()、gets()、scanf()等。 、 、 等