黑客入侵与防范
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7:拒绝服务攻击(DoS)
什么叫拒绝服务攻击 DOS是使计算机或网络无法提供正常的服务。 DOS攻击种类: 带宽攻击 连通性攻击 带宽攻击:指以极大的通信量冲击网络,使得所有可用网络 资源都被消耗殆尽,最后导致合法的用户请求无法通过。 连通性攻击:指用大量的连接请求冲击计算机,使得所有可 用的操作系统资源都被消耗殆尽,最终计算机无法再处理 合法用户的请求。 在上述攻击原理下,针对所攻击的服务和协议不同,它又有 许多种不同的攻击方式。
端口反弹技术
反弹技术,该技术解决了传统的远程控制软件不能访问装有防火墙和
控制局域网内部的远程计算机的难题。 反弹端口型软件的原理是,客户端首先到FTP服务器,编辑在木马软 件中预先设置的主页空间上面的一个文件,并打开端口监听,等待服 务端的连接,服务端定期用HTTP协议读取这个文件的内容,当发现 是客户端让自己开始连接时,就主动连接,如此就可完成连接工作。 因此在互联网上可以访问到局域网里通过 NAT (透明代理)代理上 网的电脑,并且可以穿过防火墙。与传统的远程控制软件相反,反弹 端口型软件的服务端会主动连接客户端,客户端的监听端口一般开为 80(即用于网页浏览的端口),这样,即使用户在命令提示符下使用 "netstat -a"命令检查自己的端口,发现的也是类似"TCP UserIP:3015 ControllerIP:http ESTABLISHED"的情况,稍微疏 忽一点你就会以为是自己在浏览网页,而防火墙也会同样这么认为的。 于是,与一般的软件相反,反弹端口型软件的服务端主动连接客户端, 这样就可以轻易的突破防火墙的限制。
6:木马(Trojan)
木马是一种基于远程控制的黑客工具,具有如下性质:
隐蔽性 潜伏性 危害性 非授权性
木马的工作原理
常见的普通木马一般是客户端/服务器端(C/S)模式,
客户端/服务器端之间采用TCP/UDP的通信方式,攻击 者控制的是相应的客户端程序,服务器程序是木马程 序,木马程序被植入了毫不知情的用户的计算机中。 以“里应外合”的工作方式,服务程序通过打开特定 的端口并进行监听,这些端口好像“后门”一样,所 以也有人把特洛伊木马叫做后门工具。攻击者所掌握 的客户端程序向该端口发出请求(Connect Request), 木马便和它连接起来了,攻击者就可以使用控制器进 入计算机,通过客户程序命令达到控服务器端的目的。
死亡之ping防御
防御死亡之ping攻击的基本方法:现在所有的标准TCP/IP
协议都已具有对付超过64kB大小数据包的能力,并且大
多数防火墙能够通过对数据包中的信息和时间 间隔的分析自动过滤这些攻击。
TCP SYN 洪水攻击
TCP SYN Flood:
TCP SYN 洪水攻击应用最广、最容易
扫描器的主要功能
检测主机是否在线 扫描目标系统开放的端口,测试端口的服务信
息。 获取目标系统的敏感信息。 破解系统口令。 扫描其他系统敏感信息,如:CGI Scaner、 ASP Scaner、从各个主要端口取得服务信息 的Scaner、数据库Scaner以及木马Scaner等。
主要的技术和攻击手段
端口扫描 网络监听 口令破译
IP欺骗
木马 拒绝服务攻击
电子邮件攻击
缓冲区溢出
2:网络安全扫描技术
网络安全扫描技术在网络安全行业中扮演的角色
(1)扫描软件是入侵者分析被入侵系统的必备工具 (2)扫描软件是系统管理员掌握系统安全状况的必备 工具 (3)扫描软件是网络安全工程师修复系统漏洞的主要 工具 (4)扫描软件在网络安全的家族中可以说是扮演着医 生的角色
FTP
Username: herma009<cr> Password: hiHKK234 <cr>
网 络 监 听 原 理
嗅探者B
服务器C
网络监听原理
一个sniffer需要作的:
1. 把网卡置于混杂模式。 2. 捕获数据包。 3. 分析数据包
HUB工作原理
在共享式网络
中很容易实现 网络监听。
实现
TCP SYN 洪水攻击原理:TCP/IP栈只能等待有限数量的
ACK应答消息,因为每台计算机里用于创建TCP/IP连接 的内存缓冲区都是非常有限的。如果这一缓冲区冲满 了等待响应的初始信息,则该计算机就会对接下来的 连接停止响应,直到缓冲区里的连接超时。 TCP SYN 洪水攻击利用了TCP/IP协议的这一系统漏洞 来进行攻击。要明白其具体的攻击过程,需理解TCP协 议建立连接的三次握手过程。
黑客(骇客)攻击的动机
贪心 - 偷窃或者敲诈 恶作剧 – 无聊的计算机程序员 名声 – 显露出计算机经验与才智,以便证明他们的能力和获得名气 报复/宿怨 – 解雇、受批评或者被降级的雇员,或者其他任何认为其
被不公平地对待的人
无知 – 失误和破坏了信息还不知道破坏了什么
3:网络监听(嗅探)
Sniffer,中文可以翻译为嗅探器,也就是我们
所说的数据包捕获器。 采用这种技术,我们可以监视网络的状态、数 据流动情况以及网络上传输的信息等等。
网卡工作原理
网卡内的单片程序先接收数据头的目的MAC地
址,根据计算机上的网卡驱动程序设置的接收模 式判断该不该接收,认为不该接收就丢弃不管; 认为该接收就在接收后产生中断信号通知CPU, CPU得到中断信号产生中断,操作系统就根据 网卡驱动程序中设置的网卡中断程序地址调用驱 动程序接收数据,驱动程序接收数据后放入信 号堆栈让操作系统处理。
网卡的工作模式
普通方式: 混杂模式(promiscuous):能够接收到
一切通过它的数据 如果一台网卡被配置成混杂模式,它(包 括其软件)就是一个嗅探器。
以太网(HUB)
Username: herma009<cr> Password: hiHKK234 <cr>
普通用户A Login
黑客入侵与防范
1:黑客入侵概述
黑客常用的攻击手段、工具及技术
黑客攻击复杂度与所需入侵知识关系图
黑客发展的历史
Hacker的由来:黑客一诩来自于英语HACK,在美国麻省理工
学院校园俚语中是”恶作剧”的意思,尤其是指那些技术 高明的恶作剧。因此,黑客是人们对那些编程高手、迷恋 计算机代码的程序设计人员的称谓。真正的黑客有自己独 特的文化和精神,他们并不破坏别人的系统,他们崇拜技 术,对计算机系统的最大潜力进行智力上的自由探索。 骇客(Cracker):恶意闯入他人计算机或系统,意图盗 取敏感信息的人,对于这类人最合适的用词是Cracker。 二者不同:Hacker们创造新东西,Cracker们破坏东西。 试图破解某系统或网络以提醒该系统所有者的系统安全漏 洞的人被称做“白帽黑客”。
网络安全扫描技术分类
一.一般的端口扫描器
二.功能强大的特殊端口扫描器
三.其他系统敏感信息的扫描器
网络安全扫描技术的应用
1.合法使用:
(1)检测自己服务器端口,以便给自己提供更好的服务; (2)扫描软件是网络安全工程师修复系统漏洞的主要工具。 如:一个系统存在“ASP源代码暴露”的漏洞,防火墙发现 不了这些漏洞,入侵检测系统也只有在发现有试图获取ASP 文件源代码的时候才报警,而通过扫描工具,可以提前发 现系统的漏洞,打好补丁,做好防范。 2.非法使用:查找服务器的端口,选取最快的攻击端口。
黑客道德 - 这是许多构成黑客人物的动机 仇恨 - 国家和民族原因 间谍 -政治和军事目的谍报工作 商业 -商业竞争,商业间谍
黑客入侵攻击Βιβλιοθήκη Baidu一般过程
1. 2. 3.
4.
5. 6.
确定攻击的目标。 收集被攻击对象的有关信息。 利用适当的工具进行扫描。 建立模拟环境,进行模拟攻击。 实施攻击。 清除痕迹。
木马的工作原理
实际就是一个C/S模式的程序(里应外合)
被植入木马的PC(server程序)
操作系统 TCP/IP协议 端口
端口处于监听状态
端口 TCP/IP协议 操作系统
被植入木马的PC(client程序)
控制端
木马实施攻击的步骤
1. 配置木马:成熟的木马都有木马配置程序以实现下
交换环境下的SNIFF
由于交换机的
镜像的监控端口
工作原理与 HUB不同,如 果在B计算机 上安装了 Sniffer软件, 它也只能收到 发给自己的广 播数据包无法 监听别人的数 据。
交换环境下的监听
那么,在交换环境下就不会被别人监听了吗?答案是否
定的。 原因:现在许多交换机都支持镜像的功能,能够把进入 交换机的所有数据都映射到监控端口,这样就可以监听 所有的数据包,从而进行数据分析。镜像的目的主要是 为了网络管理员掌握网络运行情况,而采用的手段就是 监控数据包。 要实现上述功能必须对交换机进行设置才可以,所以在 交换环境下对于黑客来说很难实现监听,但他们也有其 他的办法,如ARP欺骗;破坏交换机的工作模式,使其 广播式处理数据;等等。
TCP协议建立连接的三次握手过程
三次握手: (1)建立发起者向目标计算机发送一个TCP SYN报文。 (2)目标计算机收到这个SYN报文后,在内存中创建TCP连接 控制块(TCB),然后向发起者回送一个TCP ACK报文, 等待发起者的回应。 (3)发起者收到TCP ACK报文后,再回应一个ACK报文。 攻击原理:攻击过程与TCP连接的三次握手过程基本一样,只是在最后 一步发起者收到TCP ACK报文后不向目标计算机回应ACK报文,这 样导致目标计算机一直处于等待状态;如果目标计算机接收到大量的 TCP SYN报文,而没有收到发起者的ACK回应,会一直等待,处于这 种尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB控制 结构,TCB一般情况下是有限的)耗尽,而不能响应正常的TCP连接 请求。 注:TCB,线程控制块,PCB,进程控制块
4:口令攻击
通过猜测或获取口令文件等方式获得系统认证口令 从而进入系统 危险口令类型 . 用户名 . 用户名变形 . 生日 . 常用英文单词 . 5位以下长度的口令 暴力破解:举例 NAT
5:IP地址欺骗
一般情况下,路由器在转发报文的时候,只根据报文的目的地址查路
行行色色的DOS攻击
死 亡 之 ping,TCP SYN Flood,Land 攻 击 , 泪 珠
(Teardrop)攻击……
死亡之ping
死亡之ping原理:在早期,路由器对包的大小是
有限制的,许多操作系统TCP/IP栈规定ICMP包 的大小限制在64KB以内。根据ICMP数据包的标 题头里包含的信息来有效生成缓冲区。当ICMP 包大小超过64kB,就会出现内存分配错误,导 致TCP/IP堆栈崩溃,从而使接受方计算机宕机。
由表,而不管报文的源地址是什么,因此,这样就 可能面临一种危险: 如果一个攻击者向一台目标计算机发出一个报文,而把报文的源地址 填写为第三方的一个IP地址,这样这个报文在到达目标计算机后,目 标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的IP地 址欺骗攻击。 比较著名的SQL Server蠕虫病毒,就是采用了这种原理。该病毒 (可以理解为一个攻击者)向一台运行SQL Server解析服务的服务器 发送一个解析服务的UDP报文,该报文的源地址填写为另外一台运行 SQL Server解析程序(SQL Server 2000以后版本)的服务器,这样 由于SQL Server 解析服务的一个漏洞,就可能使得该UDP报文在这两 台服务器之间往复,最终导致服务器或网络瘫痪。
木马与病毒、远程控制的区别
病毒程序是以自发性的败坏为目的。
木马程序是依照黑客的命令来运作,主要目的是偷取文件、机密
数据、个人隐私等行为。 木马程序和远程控制的相同点:都是一种在远程计算机之间建立 起连接,使远程计算机能够通过网络控制本地计算机的程序,它 们的运行都遵照TCP/IP协议。其程序编制技术和攻击系统的手段 也几乎没有什么区别。 木马与远程控制的最大区别:就是木马具有隐蔽性而远程控制软 件没有。例如,国内血蜘蛛,国外的PCAnywhere等都是远程控 制软件,血蜘蛛等server端在目标机器上运行时,目标机器上会 出现很醒目的标志。而木马类的软件的server端在运行的时候应 用各种手段隐藏自己。
述两个功能。 (1)木马伪装:如修改图标、捆绑文件、定制端口、 自我销毁等。 (2)信息反馈: 2. 传播木马:有两种方式,一种是通过E-mail,另一 种是通过软件下载。 3. 启动木马:捆绑木马的程序只要运行,木马就运行 了。 4. 建立连接:需要满足两个条件,一是服务器端安装 了木马程序,二是控制端、服务器端都要在线。 5. 远程控制:控制服务器端,实现窃取密码、文件操 作、修改注册表、锁住服务器端等。