黑客入侵与防范

7:拒绝服务攻击(DoS)
什么叫拒绝服务攻击 DOS是使计算机或网络无法提供正常的服务。 DOS攻击种类： 带宽攻击 连通性攻击 带宽攻击：指以极大的通信量冲击网络，使得所有可用网络 资源都被消耗殆尽，最后导致合法的用户请求无法通过。 连通性攻击：指用大量的连接请求冲击计算机，使得所有可 用的操作系统资源都被消耗殆尽，最终计算机无法再处理 合法用户的请求。 在上述攻击原理下，针对所攻击的服务和协议不同，它又有 许多种不同的攻击方式。
端口反弹技术
反弹技术，该技术解决了传统的远程控制软件不能访问装有防火墙和
控制局域网内部的远程计算机的难题。 反弹端口型软件的原理是，客户端首先到FTP服务器，编辑在木马软 件中预先设置的主页空间上面的一个文件，并打开端口监听，等待服 务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发现 是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。 因此在互联网上可以访问到局域网里通过 NAT （透明代理）代理上 网的电脑，并且可以穿过防火墙。与传统的远程控制软件相反，反弹 端口型软件的服务端会主动连接客户端，客户端的监听端口一般开为 80（即用于网页浏览的端口），这样，即使用户在命令提示符下使用 "netstat -a"命令检查自己的端口，发现的也是类似"TCP UserIP:3015 ControllerIP：http ESTABLISHED"的情况，稍微疏 忽一点你就会以为是自己在浏览网页，而防火墙也会同样这么认为的。 于是，与一般的软件相反，反弹端口型软件的服务端主动连接客户端， 这样就可以轻易的突破防火墙的限制。
6:木马（Trojan）
木马是一种基于远程控制的黑客工具,具有如下性质:
隐蔽性 潜伏性 危害性 非授权性
木马的工作原理
常见的普通木马一般是客户端/服务器端（C/S）模式，
客户端/服务器端之间采用TCP/UDP的通信方式，攻击 者控制的是相应的客户端程序，服务器程序是木马程 序，木马程序被植入了毫不知情的用户的计算机中。 以“里应外合”的工作方式，服务程序通过打开特定 的端口并进行监听，这些端口好像“后门”一样，所 以也有人把特洛伊木马叫做后门工具。攻击者所掌握 的客户端程序向该端口发出请求（Connect Request）, 木马便和它连接起来了，攻击者就可以使用控制器进 入计算机，通过客户程序命令达到控服务器端的目的。
死亡之ping防御
防御死亡之ping攻击的基本方法：现在所有的标准TCP/IP
协议都已具有对付超过64kB大小数据包的能力，并且大
多数防火墙能够通过对数据包中的信息和时间 间隔的分析自动过滤这些攻击。
TCP SYN 洪水攻击
TCP SYN Flood：
TCP SYN 洪水攻击应用最广、最容易
扫描器的主要功能
检测主机是否在线 扫描目标系统开放的端口，测试端口的服务信
息。 获取目标系统的敏感信息。 破解系统口令。 扫描其他系统敏感信息，如：CGI Scaner、 ASP Scaner、从各个主要端口取得服务信息 的Scaner、数据库Scaner以及木马Scaner等。
主要的技术和攻击手段
端口扫描 网络监听 口令破译
IP欺骗
木马 拒绝服务攻击
电子邮件攻击
缓冲区溢出
2:网络安全扫描技术
网络安全扫描技术在网络安全行业中扮演的角色
（1）扫描软件是入侵者分析被入侵系统的必备工具 （2）扫描软件是系统管理员掌握系统安全状况的必备 工具 （3）扫描软件是网络安全工程师修复系统漏洞的主要 工具 （4）扫描软件在网络安全的家族中可以说是扮演着医 生的角色
Mail
FTP
Username: herma009<cr> Password: hiHKK234 <cr>
网 络 监 听 原 理
嗅探者B
服务器C
网络监听原理
一个sniffer需要作的：
1. 把网卡置于混杂模式。 2. 捕获数据包。 3. 分析数据包
HUB工作原理
在共享式网络
中很容易实现 网络监听。
实现
TCP SYN 洪水攻击原理：TCP/IP栈只能等待有限数量的
ACK应答消息，因为每台计算机里用于创建TCP/IP连接 的内存缓冲区都是非常有限的。如果这一缓冲区冲满 了等待响应的初始信息，则该计算机就会对接下来的 连接停止响应，直到缓冲区里的连接超时。 TCP SYN 洪水攻击利用了TCP/IP协议的这一系统漏洞 来进行攻击。要明白其具体的攻击过程，需理解TCP协 议建立连接的三次握手过程。
黑客(骇客)攻击的动机

贪心 － 偷窃或者敲诈 恶作剧 – 无聊的计算机程序员 名声 – 显露出计算机经验与才智，以便证明他们的能力和获得名气 报复/宿怨 – 解雇、受批评或者被降级的雇员，或者其他任何认为其
被不公平地对待的人
无知 – 失误和破坏了信息还不知道破坏了什么

3:网络监听(嗅探)
Sniffer，中文可以翻译为嗅探器,也就是我们
所说的数据包捕获器。 采用这种技术，我们可以监视网络的状态、数 据流动情况以及网络上传输的信息等等。
网卡工作原理
网卡内的单片程序先接收数据头的目的MAC地
址，根据计算机上的网卡驱动程序设置的接收模 式判断该不该接收，认为不该接收就丢弃不管； 认为该接收就在接收后产生中断信号通知CPU， CPU得到中断信号产生中断，操作系统就根据 网卡驱动程序中设置的网卡中断程序地址调用驱 动程序接收数据，驱动程序接收数据后放入信 号堆栈让操作系统处理。
网卡的工作模式
普通方式： 混杂模式（promiscuous）：能够接收到
一切通过它的数据 如果一台网卡被配置成混杂模式，它（包 括其软件）就是一个嗅探器。
以太网（HUB）
Username: herma009<cr> Password: hiHKK234 <cr>
普通用户A Login
黑客入侵与防范
1:黑客入侵概述
黑客常用的攻击手段、工具及技术
黑客攻击复杂度与所需入侵知识关系图
黑客发展的历史
Hacker的由来:黑客一诩来自于英语HACK,在美国麻省理工
学院校园俚语中是”恶作剧”的意思,尤其是指那些技术 高明的恶作剧。因此，黑客是人们对那些编程高手、迷恋 计算机代码的程序设计人员的称谓。真正的黑客有自己独 特的文化和精神，他们并不破坏别人的系统，他们崇拜技 术，对计算机系统的最大潜力进行智力上的自由探索。 骇客（Cracker）：恶意闯入他人计算机或系统，意图盗 取敏感信息的人，对于这类人最合适的用词是Cracker。 二者不同:Hacker们创造新东西,Cracker们破坏东西。 试图破解某系统或网络以提醒该系统所有者的系统安全漏 洞的人被称做“白帽黑客”。
网络安全扫描技术分类
一．一般的端口扫描器
二．功能强大的特殊端口扫描器
三.其他系统敏感信息的扫描器
网络安全扫描技术的应用
1.合法使用：
（1）检测自己服务器端口，以便给自己提供更好的服务； （2）扫描软件是网络安全工程师修复系统漏洞的主要工具。 如：一个系统存在“ASP源代码暴露”的漏洞，防火墙发现 不了这些漏洞，入侵检测系统也只有在发现有试图获取ASP 文件源代码的时候才报警，而通过扫描工具，可以提前发 现系统的漏洞，打好补丁，做好防范。 2.非法使用：查找服务器的端口，选取最快的攻击端口。
黑客道德 - 这是许多构成黑客人物的动机 仇恨 - 国家和民族原因 间谍 －政治和军事目的谍报工作 商业 －商业竞争，商业间谍
黑客入侵攻击Βιβλιοθήκη Baidu一般过程
1. 2. 3.
4.
5. 6.
确定攻击的目标。 收集被攻击对象的有关信息。 利用适当的工具进行扫描。 建立模拟环境，进行模拟攻击。 实施攻击。 清除痕迹。
木马的工作原理
实际就是一个C/S模式的程序（里应外合）
被植入木马的PC（server程序）
操作系统 TCP/IP协议 端口
端口处于监听状态
端口 TCP/IP协议 操作系统
被植入木马的PC（client程序）
控制端
木马实施攻击的步骤
1. 配置木马：成熟的木马都有木马配置程序以实现下

交换环境下的SNIFF
由于交换机的
镜像的监控端口
工作原理与 HUB不同，如 果在B计算机 上安装了 Sniffer软件， 它也只能收到 发给自己的广 播数据包无法 监听别人的数 据。
交换环境下的监听
那么，在交换环境下就不会被别人监听了吗？答案是否
定的。 原因：现在许多交换机都支持镜像的功能，能够把进入 交换机的所有数据都映射到监控端口，这样就可以监听 所有的数据包，从而进行数据分析。镜像的目的主要是 为了网络管理员掌握网络运行情况，而采用的手段就是 监控数据包。 要实现上述功能必须对交换机进行设置才可以，所以在 交换环境下对于黑客来说很难实现监听，但他们也有其 他的办法，如ARP欺骗；破坏交换机的工作模式，使其 广播式处理数据；等等。
TCP协议建立连接的三次握手过程
三次握手： （1）建立发起者向目标计算机发送一个TCP SYN报文。 （2）目标计算机收到这个SYN报文后，在内存中创建TCP连接 控制块（TCB），然后向发起者回送一个TCP ACK报文， 等待发起者的回应。 （3）发起者收到TCP ACK报文后，再回应一个ACK报文。 攻击原理：攻击过程与TCP连接的三次握手过程基本一样，只是在最后 一步发起者收到TCP ACK报文后不向目标计算机回应ACK报文，这 样导致目标计算机一直处于等待状态；如果目标计算机接收到大量的 TCP SYN报文，而没有收到发起者的ACK回应，会一直等待，处于这 种尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制 结构，TCB一般情况下是有限的）耗尽，而不能响应正常的TCP连接 请求。 注：TCB，线程控制块，PCB，进程控制块
4:口令攻击
通过猜测或获取口令文件等方式获得系统认证口令 从而进入系统 危险口令类型 . 用户名 . 用户名变形 . 生日 . 常用英文单词 . 5位以下长度的口令 暴力破解：举例 NAT

5:IP地址欺骗
一般情况下，路由器在转发报文的时候，只根据报文的目的地址查路
行行色色的DOS攻击
死 亡 之 ping,TCP SYN Flood,Land 攻 击 , 泪 珠
（Teardrop）攻击……
死亡之ping
死亡之ping原理：在早期，路由器对包的大小是
有限制的，许多操作系统TCP/IP栈规定ICMP包 的大小限制在64KB以内。根据ICMP数据包的标 题头里包含的信息来有效生成缓冲区。当ICMP 包大小超过64kB，就会出现内存分配错误，导 致TCP/IP堆栈崩溃，从而使接受方计算机宕机。
由表，而不管报文的源地址是什么，因此，这样就 可能面临一种危险： 如果一个攻击者向一台目标计算机发出一个报文，而把报文的源地址 填写为第三方的一个IP地址，这样这个报文在到达目标计算机后，目 标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的IP地 址欺骗攻击。 比较著名的SQL Server蠕虫病毒，就是采用了这种原理。该病毒 （可以理解为一个攻击者）向一台运行SQL Server解析服务的服务器 发送一个解析服务的UDP报文，该报文的源地址填写为另外一台运行 SQL Server解析程序（SQL Server 2000以后版本）的服务器，这样 由于SQL Server 解析服务的一个漏洞，就可能使得该UDP报文在这两 台服务器之间往复，最终导致服务器或网络瘫痪。
木马与病毒、远程控制的区别
病毒程序是以自发性的败坏为目的。
木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密
数据、个人隐私等行为。 木马程序和远程控制的相同点：都是一种在远程计算机之间建立 起连接，使远程计算机能够通过网络控制本地计算机的程序，它 们的运行都遵照TCP/IP协议。其程序编制技术和攻击系统的手段 也几乎没有什么区别。 木马与远程控制的最大区别：就是木马具有隐蔽性而远程控制软 件没有。例如，国内血蜘蛛，国外的PCAnywhere等都是远程控 制软件，血蜘蛛等server端在目标机器上运行时，目标机器上会 出现很醒目的标志。而木马类的软件的server端在运行的时候应 用各种手段隐藏自己。
述两个功能。 （1）木马伪装：如修改图标、捆绑文件、定制端口、 自我销毁等。 （2）信息反馈： 2. 传播木马：有两种方式，一种是通过E-mail，另一 种是通过软件下载。 3. 启动木马：捆绑木马的程序只要运行，木马就运行 了。 4. 建立连接：需要满足两个条件，一是服务器端安装 了木马程序，二是控制端、服务器端都要在线。 5. 远程控制：控制服务器端，实现窃取密码、文件操 作、修改注册表、锁住服务器端等。