计算机网络安全第4章 黑客攻防与入侵检测

2. 特洛伊木马程序的防范对策(2)
还要需要注意以下几点: (1) 不要轻易运行来历不明软件或从网上下载 的软件。即使通过了一般反病毒软件的检查也不要 轻易运行。 (2) 保持警惕性，不要轻易相信熟人发来的EMail不会有黑客程序。 (3) 不要在聊天室内公开自己的E-Mail 地址， 对来历不明的E-Mail 应立即清除。 (4) 不要随便下载软件，特别是不可靠的FTP 站点。 (5) 不要将重要密码和资料存放在上网的计算 机中，以免被破坏或窃取。
(2) 端口扫描的作用
端口扫描程序使系统管理员能够及时发 现网络的弱点，有助于进一步加强系统的安 全性。一般各种网络服务和管理都是通过端 口进行的，对目标计算机进行端口扫描能获 得许多重要信息，从而发现系统的安全漏洞 防患于未然。 端口扫描往往也成为黑客发现获得主机 信息的一种最佳途径。
2. 端口扫描原理
3. 分布式拒绝服务攻击(2) (2) 被DDoS 攻击时的现象 被攻击主机上出现大量等待的TCP 连接， 网络中充斥着大量的无用数据包，源地址为假 的，制造高流量无用数据，造成网络拥塞，使 受害主机无法正常和外界通讯，利用受害主机 提供的服务或传输协议上的缺陷，反复高速地 发出特定的服务请求，使受害主机无法及时处 理所有正常请求，严重时会造成系统死机。
4.2.5 缓冲区溢出攻防 1. 缓冲区溢出的原理 缓冲区溢出攻击是指通过往程序的缓冲区 写超出其长度的内容，造成缓冲区的溢出，从 而破坏程序的堆栈，使程序转而执行其他指令， 以达到攻击的目的。造成缓冲区溢出的原因是 没有仔细检查程序中用户输入的参数。 最常见的缓冲区溢出攻击手段是通过制造 缓冲区溢出使程序运行一个用户shell，再通过 shell 执行其他命令。如果该程序属于root 且 有suid 权限，攻击者就获得了一个有root 权 限的shell，可以对系统进行任意操作。
最简单的端口扫描程序仅仅是检查目标 主机在哪些端口可以建立TCP 连接，如果可 以建立连接，则说明主机在那个端口被监听。 对于非法入侵者而言，要想知道端口上 具体提供的服务，必须用相应的协议来验证 才能确定，因为一个服务进程总是为了完成 某种具体的工作而设计的。
3. 端口扫描的防范对策
端口扫描的防范也称为系统“加固”，主 要有两种方法。 (1) 关闭闲置及危险端口
计算机网络嗅探器可以监听计算机程序在 网络上发送和接收的信息，包括用户的账号、 密码和机密数据资料等。 计算机直接所传输的数据是大量的二进制 数据。因此，一个网络窃听程序必须也使用特 定的网络协议来分析嗅探到的数据，监听工具 也能够识别出协议对应的数据片段，以便进行 正确解码。 一般情况下，大多数的监听工具可以分析 下面的协议： (1) 标准以太网 (2) TCP/IP (3) IPX (4) DECNet
2. 密码攻防对策 通常保持密码安全的要点： (1) 不要将密码写下来，以免遗失； (2) 不要将密码保存在电脑文件中； (3) 不要选取显而易见的信息做密码； (4) 不要让他人知道； (5) 不要在不同系统中使用同一密码； (6) 在输入密码时应确认身边无人或其他人 在1米线外看不到输入密码的地方； (7) 定期改变密码，至少2—5 个月改变一 次。
2. 网络监听的检测
(1) 网络监听的威胁 网络监听能够捕获密码，这大概是绝大多 数人非法使用监听工具的理由 。网络监听还 能够捕获专用的或者机密的信息。 (2) 网络监听的检测方法 在Linux 下对嗅探攻击的程序检测方法比 较简单，一般只要检查网卡是否处于混杂模 式就可以了；而在Windows 平台中，并没有 现成的函数可供实现这个功能，只要可以执 行“c：\windows\Drwatson.exe”程序检查 一下是否有嗅探程序在运行即可。
3. 分布式拒绝服务攻击(4) (4) DDoS 攻击实例——目前最流行的DDoS 攻击手段SYN Flood 攻击 1) Syn Flood 原理与三次握手(1) Syn Flood 利用了TCP/IP协议的固有漏洞。 面向连接的TCP 三次握手是Syn Flood 存在的 基础。TCP 连接的三次握手过程，如图所示。
2. 拒绝服务模式分类
拒绝服务按照入侵方式分为:资源消耗型 配置修改型 物理破坏型 服务利用型
3. 分布式拒绝服务攻击(1) 分布式拒绝服务攻击(DDoS)是目前黑客 经常采用而难以防范的攻击手段。 (1) DDoS 攻击概念 最基本的DoS 攻击就是利用合理的服务 请求来占用过多的服务资源，从而使合法用 户无法得到服务的响应。 分布式拒绝服务攻击手段DDoS是通过网 络进行的多对一的攻击方式。
(6) 远程控制。通过木马程序对服务端进 行远程控制。 控制端口可以享有的控制权限： 窃取密 码、文件操作、修改注册表和系统操作。
2. 特洛伊木马程序的防范对策(1)
防范特洛伊木马程序，有以下几种办法。 (1) 必须提高防范意识在打开或下载文件之 前，一定要确认文件的来源是否可靠。 (2) 阅读readme.txt并注意readme.exe。 (3) 使用杀毒软件 (4) 立即挂断 (5) 监测系统文件和注册表的变化 (6) 备份文件和注册表
4.1 黑客攻击的目的及步骤
4.1.1 黑客攻击的动机 1. 黑客攻击的动机(1) 随着时间的变化，黑客攻击的动机变得越 来越多样化，主要有以下几种： (1) 好奇心：对网络系统、网站或数据内容 的好奇而窥视； (2) 贪欲：偷窃或者敲诈财物和重要资料； (3) 恶作剧：无聊的计算机程序员，通过网 络进行戏弄； (4) 名声显露：显示计算机经验与才智，以 便证明自己的能力和获得名气；
(1) 配置木马
(2) 传播木马 (3) 运行木马 (4) 泄露信息。收集一些服务端的软硬件 信息，并通过E-mail或ICQ 等告知控制端用 户。
1. 特洛伊木马攻击原理(2) 使用木马工具进行网络入侵，基本过程可 以分为6个步骤(续前)。
(5) 建立连接。服务端安装木马程序，且 控制端及服务端都要在线。控制端可以通过 木马端口与服务端建立连接。
1. 黑客攻击的动机(2) (5) 宿怨报复：被解雇、受批评或者被降 级的雇员，或者其他任何认为其被不公平地对 待的人员，利用网络进行肆意报复； (6) 黑客道德：这是许多构成黑客人物的 动机； (7) 仇恨义愤：国家和民族利益和情感因 素的原因； (8) 获取机密：以政治、军事、商业经济 竞争为目的的间谍窃取机密工作。
3. 分布式拒绝服务攻击(3)
(3) 攻击运行原理
如图所示，一个比较完善的DDoS 攻击体系分成4 大部分，最重要的第2 和第3 部分，它们分别用做控 制和实际发起攻击;对第4 部分的受害者来说，DDoS 的实际攻击包是从第3部分攻击傀儡机上发出的，第2 部分的控制机只发布命令而不参与实际的攻击。
4. DDoS攻击的防范(2) (3)利用网络安全设备如防火墙等来加固网 络的安全性。 (4)比较好的防御措施就是和你的网络服务 提供商协调工作，让他们帮助你实现路由的访 问控制和对带宽总量的限制。 (5)当发现自己正在遭受DDoS攻击时，应 当启动应付策略，尽快追踪攻击包，并及时联 系ISP和有关应急组织，分析受影响的系统， 确定涉及的其他节点，从而阻挡已知攻击节点 的流量。 (6)对于潜在的DDoS攻击，应当及时清除 ，以免留下后患。
2) Syn Flood 攻击者不会完成三次握手。 如图所示。
4. DDoS攻击的防范(1) 到目前为止，进行DDoS 攻击的防御还是 比较困难的。首先，这种攻击的特点是它利用 了TCP/IP协议的漏洞。 检测DDoS攻击的主要方法有以下几种： (1)根据异常情况分析 (2)使用DDoS检测工具 对DDoS攻击的主要防范策略包括： (1)尽早发现系统存在的攻击漏洞，及时安 装系统补丁程序。 (2)在网络管理方面，要经常检查系统的物 理环境，禁止那些不必要的网络服务。
2. 黑客攻击的分类
按攻击的行为主动性分为：主动攻击 被动攻击 按攻击的位置情况可分为: 远程攻击 本地攻击 伪远程攻击
4.1.2 黑客攻击的过程(1) 黑客常用的攻击步骤可以说变幻莫测，但 其整个攻击过程也具有一定规律，一般可以分 为“攻击五部曲”：隐藏IP、踩点扫描、获得 特权、种植后门、隐身退出。 黑客根据实际情况变化也可能进行调整， 掌握黑客攻击规律有助于进行有针对性的防范。 网络情况复杂，黑客个性各异，其攻击流程也 不尽完全相同，这5个攻击步骤是对一般情况而 言的，是绝大部分黑客在通常情况下的一般规 律。
4.2.4 特洛伊木马攻防 特洛伊木马是指隐藏在正常程序中的一段 具有特殊功能的恶意代码，是具备破坏和删除 文件、发送密码、记录键盘和攻击Dos等特殊 功能的后门程序。 一个完整的木马系统由硬件部分、软件部 分和具体连接部分组成。
1. 特洛伊木马攻击原理(1)
使用木马工具进行网络入侵，基本过程可 以分为6个步骤。
(2) 屏蔽出现扫描症状的端口
4.2.2 网络监听攻防 网络监听工具Sniffer (也称嗅探器)和 NetXRay等原本是用于网络检测管理的工具，主 要是分析网络的流量，以便找出所关注网络中潜 在的问题。但也可以被黑客用于窃听网络，因此 也属于一种攻击手段。 1. 网络监听的概念及原理 Sniffer 是利用计算机的网络接口截获目的地 为其他计算机的数据报文的一种工具。可以作为 能够捕捉网络报文的设备，也可以被理解为一种 安装在计算机上的监听设备。可以用于监听计算 机在网络上所产生的多种信息。
贾铁军 沈学东 苏庆刚等编著
机械工业出版社
本章要点
●黑客攻击的目的及攻击步骤 ●黑客常用的攻击方法 ●防范黑客的措施 ●黑客攻击过程，并防御黑客攻击 ●入侵检测系统概述
ຫໍສະໝຸດ Baidu
教学目标
●了解黑客攻击的目的及攻击步骤 ●熟悉黑客常用的攻击方法 ●理解防范黑客的措施 ●掌握黑客攻击过程，并防御黑客攻击 ●掌握入侵检测系统的概念、功能、特 点、分类、检测过程和常用检测方法
1) Syn Flood 原理与三次握手(2) TCP三次握手过程中，在第一步，客户端 向服务端提出连接请求。服务端收到该TCP 分 段后，在第二步以自己的ISN 回应(SYN 标志 置位)，同时确认收到客户端的第一个TCP 分 段(ACK 标志置位)。在第三步中，客户端确认 收到服务端的ISN(ACK标志置位)。到此为止 建立完整的TCP 连接，开始全双工模式的数据 传输过程。
3. 网络嗅探的防范对象 网络嗅探就是使网络接口接收不属于本主 机的数据。通常账户和密码等信息都以明文 的形式在以太网上传输，一旦被黑客在杂错 节点上嗅探到，用户就可能会遭到损害。 对于网络嗅探攻击，可以采取以下一些措 施进行防范。 (1) 网络分段 (2) 加密 (3) 一次性密码技术
4.2.3 密码破解攻防 1. 密码攻防的方法 一般密码攻击有3种方法： (1) 通过网络监听非法得到用户密码 (2) 密码破解 (3) 放置木马程序
4.1.2 黑客攻击的过程(2) 黑客攻击企业内部局域网的过程实例如gh 图所示。
4.2 常用的黑客攻击方法
4.2.1 端口描攻防 1. 端口扫描方式及作用 (1) 端口扫描方式 进行扫描的方法很多，可以是手工命令 行方式进行扫描，也可以用端口扫描工具进 行扫描时，许多扫描器软件都有分析数据的 功能。
2. 缓冲区溢出攻击的防范方法
(1) 编写正确的代码 (2) 非执行的缓冲区 (3) 数组边界检查 (4) 程序指针完整性检查
4.2.6 拒绝服务攻击与防范 1. 拒绝服务攻防概述(1) 拒绝服务攻击（Denial of Service，简称 DoS）是指黑客利用使网站服务器充斥巨量请 求和信息的手段，消耗网络带宽或系统资源， 最终导致网络系统难以运行，直至瘫痪而停止 提供正常的网络服务的攻击方式。 “拒绝服务”的一种攻击方式为：传送众多 要求确认的信息到服务器，使服务器里充斥着 大量无用的信息。所有的信息都有需回复的虚
1. 拒绝服务攻防概述(2) 假地址，以至于当服务器试图回传时，却无法 找到用户。服务器于是暂时等候，有时超过几 分钟，然后再切断连接。服务器切断连接时， 黑客再度传送新一批需要确认的信息，这个过 程周而复始，最终导致服务器瘫痪。经常遭受 攻击的主要目标包括：路由器、数据库、Web 服务器、FTP 服务器和与协议相关的服务。