第4章 黑客攻防技术

第4章 黑客攻防技术
4.2.4 特洛伊木马攻防
1．什么是木马
古希腊诗人荷马（Homer）在其史诗依利雅得 （The Iliad）中，描述了一个故事：希腊王的王妃海伦 被特洛伊（Troy）的王子掠走，希腊王在攻打Troy城 时，使用了木马计（the stratagem of Trojan horse）， 在巨大的木马内装满了士兵，然后假装撤退，把木马 （Trojan horse）留下。特洛伊人把木马当作战利品拉 回特洛伊城内。到了夜间，木马内的士兵，钻出来作为 内应，打开城门。希腊王得以攻下特洛伊城。此后，人 们就把特洛伊木马作为伪装的内部颠覆者的代名词。 特洛伊木马是指隐藏在正常程序中的一段具有特殊 功能的恶意代码，是具备破坏和删除文件、发送密码、 记录键盘和攻击Dos等特殊功能的后门程序。
第4章 黑客攻防技术
1）方法一 对于怀疑运行监听程序的机器，用正确的IP地址 和错误的物理地址去ping，运行监听程序的机器 会有响应。这是因为正常的机器不接收错误的物 理地址，处于监听状态的机器能接收。 2）方法二 往网上发大量不存在的物理地址的包，由于监听 程序将处理这些包，会导致性能下降。通过比较 前后该机器性能（icmp echo delay等方法）加 以判断。
第4章 黑客攻防技术
3）获得管理员权限，实施攻击 有了普通账号就可以侵入到目标主机之中，由于普通账 号的权限有限，所以黑客会利用系统的漏洞、监听、欺骗、 口令攻击等技术和手段获取管理员的权限，然后实施对该 主机的绝对控制。 4）种植后门 为了保持对“胜利果实”长期占有的欲望，在已被攻破 的主机上种植供自己访问的后门程序。 5）隐藏自己 当黑客实施攻击以后，通常会在被攻击主机的日志中留 下相关的信息，所以黑客一般会采用清除系统日志或者伪 造系统日志等方法来销毁痕迹，以免被跟踪。
第4章 黑客攻防技术
(2)黑客守则
任何职业都有相关的职业道德，黑客也有其“ 行规”，一些守则是必须遵守的，归纳起来就是“黑 客守则”。 1 ）不要恶意破坏任何系统，否则会给自己带来麻 烦。 2）不要破坏别人的软件和资料。 3 ）不要修改任何系统文件，如果是由于进入系统 的需要，则应该在目的达到后将其恢复原状。 4 ）不要轻易地将你要黑的或者黑过的站点告诉不 信任的朋友。 5）在发表黑客文章时不要用自己的真实名字。 6）正在入侵的时候，不要随意离开自己的电脑。
第4章 黑客攻防技术
4.2.3 密码破解攻防 1. 密码攻防的方法 一般密码攻击有3种方法： (1) 通过网络监听非法得到用户密码 (2) 密码破解 (3) 放置木马程序
第4章 黑客攻防技术
2. 密码攻防对策 通常保持密码安全的要点： (1) 不要将密码写下来，以免遗失； (2) 不要将密码保存在电脑文件中； (3) 不要选取显而易见的信息做密码； (4) 不要让他人知道； (5) 不要在不同系统中使用同一密码； (6) 在输入密码时应确认身边无人或其他人 在1米线外看不到输入密码的地方； (7) 定期改变密码，至少2—5 个月改变一 次。
第4章 黑客攻防技术
(1) 端口扫描方式 进行扫描的方法很多，可以是手工命令 行方式进行扫描，也可以用端口扫描工具 进行扫描时，许多扫描器软件都有分析数 据的功能。
第4章 黑客攻防技术
(2) 端口扫描的作用
端口扫描程序使系统管理员能够及时发现网 络的弱点，有助于进一步加强系统的安全性。一 般各种网络服务和管理都是通过端口进行的，对 目标计算机进行端口扫描能获得许多重要信息， 从而发现系统的安全漏洞防患于未然。 端口扫描往往也成为黑客发现获得主机信息 的一种最佳途径。
第4章 黑客攻防技术
4. 端口扫描的防范对策
端口扫描的防范也称为系统“加固”，主 要有两种方法。 (1) 关闭闲置及危险端口
(2) 屏蔽出现扫描症状的端口
第4章 黑客攻防技术
4.2.2 网络监听攻防 网络监听工具Sniffer (也称嗅探器)和 NetXRay等原本是用于网络检测管理的工具，主 要是分析网络的流量，以便找出所关注网络中潜 在的问题。但也可以被黑客用于窃听网络，因此 也属于一种攻击手段。 1. 网络监听的概念及原理 Sniffer 是利用计算机的网络接口截获目的地 为其他计算机的数据报文的一种工具。可以作为 能够捕捉网络报文的设备，也可以被理解为一种 安装在计算机上的监听设备。可以用于监听计算 机在网络上所产生的多种信息。
第4章 黑客攻防技术
下面介绍入侵者们如何利用上述这些信息， 来隐藏自己的端口扫描。 （1）TCP connect( )扫描 （2）TCP SYN扫描 （3）TCP FIN扫描 （4）Fragmentation 扫描 （5）UDP recfrom( )和write( )扫描
第4章 黑客攻防技术
3 端口扫描的工具
2．监听的可能性
下表描述了在通常的一些传输介质上，信息被监听的可能性。 数据链路 监听的可能性 说 明
Ethernet网是一个广播型的网络，Internet的大多数包监听事件 都是一些运行在一台计算机中的包监听程序的结果，这台计算机 和其他计算机，一个网关或者路由器形成一个以太网 尽管令牌网内在的并不是一个广播网络，但实际上，带有令牌的 那些包在传输过程中，平均也要经过网络上一半的计算机 电话线可以被一些与电话公司协作的人或者—些有机会在物理上 访问到线路的人搭线窃听，在微波线路上的信息也会被截获；在 实际中，高速的调制解调器将比低速的调制解调器搭线窃听困难 一些，因为高速调制解调器中引入了许多频率 许多已经开发出来的、使用有线电视信号发送IP数据包的系统都 依靠RF调制解调器，RF调制解调器使用—个TV通道用于上行； 一个用于下行；在这些线路上传输的信息没有加密，因此，可以 被一些能在物理上访问到TV电缆的人截听 无线电本来就是一个广播型的传输媒介，任何有一个无线电接收 机的人都可以截获那些传输的信息
第4章 黑客攻防技术
计算机网络嗅探器可以监听计算机程序在 网络上发送和接收的信息，包括用户的账号、 密码和机密数据资料等。 计算机直接所传输的数据是大量的二进制 数据。因此，一个网络窃听程序必须也使用特 定的网络协议来分析嗅探到的数据，监听工具 也能够识别出协议对应的数据片段，以便进行 正确解码。 一般情况下，大多数的监听工具可以分析 下面的协议： (1) 标准以太网 (2) TCP/IP (3) IPX (4) DECNet
第4章 黑客攻防技术
• 非法入侵者为了有效地隐蔽自己，又能进行端口 扫描,需要寻找有效的方法。有许多利用TCP/IP本 身的特征，实现隐身的技巧可以共其利用。 • 在TCP数据包的包头中有6位，其中5位分别是：
– – – – – ACK：确认 PSH：不缓存数据 RST：重置一个连接 SYN：建立一个连接 FIN：释放一个连接
1．NSS
NSS，即网络安全扫描器，是一个非常隐蔽的扫描器。
2．SATAN
SATAN的英文全称为Security Administrator Tool for Analyzing Networks，即安全管理员的网络分析工具。 SATAN是一个分析网络的安全管理、测试与报告工具。
3．Strobe
Strobe是一个超级优化TCP端口检测程序，能快速地识 别指定机器上正运行什么服务，用于扫描网络漏洞。它 可以记录指定机器的所有开放端口。
第4章 黑客攻防技术
4.2 常用的黑客攻击方法
4.2.1 端口扫描攻防 1. 端口扫描方式及作用
扫描器是一种自动检测远程或本地主机 安全性弱点的程序，通过使用它扫描TCP端 口，并记录反馈信息，可以不留痕迹地发现 远程服务器中各种TCP端口的分配、提供的 服务和它们的软件版本。这就能直观地或间 接地了解到远程主机存在的安全问题。
第4章 黑客攻防技术
(1) 黑客攻击的动机(续) 5) 宿怨报复：被解雇、受批评或者被降 级的雇员，或者其他任何认为其被不公平地对 待的人员，利用网络进行肆意报复； 6) 黑客道德：这是许多构成黑客人物的 动机； 7) 仇恨义愤：国家和民族利益和情感因 素的原因； 8) 获取机密：以政治、军事、商业经济 竞争为目的的间谍窃取机密工作。
第4章 黑客攻防技术
7）不要入侵或破坏政府机关的主机。 8）将自己的笔记放在安全的地方。 9）已侵入的电脑中的账号不得清除或修改。 10 ）可以为隐藏自己的侵入而作一些修改，但 要尽量保持原系统的安全性，不能因为得到系统 的控制权而将门户大开。 11）勿做无聊、单调并且愚蠢的重复性工作。 12 ）要做真正的黑客，读遍所有有关系统安全 或系统漏洞的书籍。
第4章 黑客攻防技术
(2) 黑客攻击的分类
按攻击的行为主动性分为：主动攻击 被动攻击 按攻击的位置情况可分为: 远程攻击 本地攻击 伪远程攻击
第4章 黑客攻防技术
（3）黑客攻击的步骤
1）信息收集 黑客首先要确定攻击的目标，然后利用社会工程学 、黑客技术等方法和手段收集目标主机的各种信息。收 集信息并不会对目标主机造成危害，只是为进一步攻击 提供有价值的信息。 2）入侵并获得初始访问权 黑客要想入侵一台主机，必须要有该主机的账号和 密码，所以黑客首先要设法盗取账户文件，并进行破解 ，以获得用户的账号和密码，然后以合法的身份登录到 被攻击的主机上。
源自文库
第4章 黑客攻防技术
2. 端口扫描原理
最简单的端口扫描程序仅仅是检查目标 主机在哪些端口可以建立TCP 连接，如果可 以建立连接，则说明主机在那个端口被监听。 对于非法入侵者而言，要想知道端口上 具体提供的服务，必须用相应的协议来验证 才能确定，因为一个服务进程总是为了完成 某种具体的工作而设计的。
信息安全技术
第4章 黑客攻防技术
第4章 黑客攻防技术
教学目标
●了解黑客攻击的目的及攻击步骤 ●熟悉黑客常用的攻击方法 ●理解防范黑客的措施 ●掌握黑客攻击过程，并防御黑客攻击
第4章 黑客攻防技术
4.1 黑客概述
1. 黑客与黑客守则 (1)什么是黑客
黑客是“Hacker”的音译，源于动词Hack，其引 申意义是指“干了一件非常漂亮的事”。这里说的黑 客是指那些精于某方面技术的人。对于计算机而言， 黑客是指既具有高超的专业技术（精通网络、系统、 外设以及软硬件技术），又能遵守黑客行为准则的人 。 通常所说的“黑客”指的是骇客（ Cracker ，破 坏者），是那些怀有不良企图，强行闯入他人系统或 以某种恶意目的干扰他人的网络，运用自己的知识去 做出有损他人权益的事情的人，也称入侵者。
第4章 黑客攻防技术
2.黑客攻击的目的及步骤
(1) 黑客攻击的动机 随着时间的变化，黑客攻击的动机变得越 来越多样化，主要有以下几种： 1) 好奇心：对网络系统、网站或数据内容 的好奇而窥视； 2) 贪欲：偷窃或者敲诈财物和重要资料； 3) 恶作剧：无聊的计算机程序员，通过网 络进行戏弄； 4) 名声显露：显示计算机经验与才智，以 便证明自己的能力和获得名气；
第4章 黑客攻防技术
3. 网络嗅探的防范对象 网络嗅探就是使网络接口接收不属于本主 机的数据。通常账户和密码等信息都以明文 的形式在以太网上传输，一旦被黑客在杂错 节点上嗅探到，用户就可能会遭到损害。 对于网络嗅探攻击，可以采取以下一些措 施进行防范。 (1) 网络分段 (2) 加密 (3)ifstatus工具
第4章 黑客攻防技术
2．木马的种类 （1）远程控制型
远程控制型是木马程序的主流。所谓远程控 制就是在计算机间通过某种协议（如TCP/IP协 议）建立起一个数据通道。通道的一端发送命 令，另一端解释并执行该命令，并通过该通道 返回信息。简单地说，就是采用Client/Server （客户机/服务器，简称C/S）工作模式。
Ethernet FDDI Token_ring
高
高
电话线
中等
IP通过有线电 视
高
微波和无线电
高
第4章 黑客攻防技术
2. 网络监听的检测
(1) 网络监听的威胁 网络监听能够捕获密码，这大概是绝大多 数人非法使用监听工具的理由 。网络监听还 能够捕获专用的或者机密的信息。 (2) 网络监听的检测方法 在Linux 下对嗅探攻击的程序检测方法比 较简单，一般只要检查网卡是否处于混杂模 式就可以了；而在Windows 平台中，并没有 现成的函数可供实现这个功能，只要可以执 行“c：\windows\Drwatson.exe”程序检查 一下是否有嗅探程序在运行即可。