第4章 黑客攻防与检测技术

4.3 常用的黑客攻防技术
4.3.1 端口扫描攻防
4.端口扫描的防范对策
端口扫描的防范又称系统“加固”。网络的关键之处使用 防火墙对来源不明的有害数据进行过滤可以有效减轻端口扫描 攻击防范端口扫描的主要方法有两种： (1) 关闭闲置及有潜在危险端口 方式一：定向关闭指定服务的端口。计算机的一些网络服务会 有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的 端口也会被关闭了。
“骇客”是英文“Cacker”的译音，意为“破译者和搞破 坏的人”。是指那些在计算机技术上有一定特长，非法闯入远程 计算机及其网络系统，获取和破坏重要数据，或为私利而制造麻 烦的具有恶意行为特征的人。骇客的出现玷污了黑客，使人们把 “黑客”和“骇客”混为一体。
4.1
网络黑客概述
2. 中国黑客的形成与发展
4.3 常用的黑客攻防技术
4.3.4 特洛伊木马攻防
2．特洛伊木马攻击过程
木马攻击的基本过程分为6个Байду номын сангаас骤：
配置木马
传播木马
运行木马
泄露信息
建立连接
远程控制
4.3 常用的黑客攻防技术
4.3.4 特洛伊木马攻防
3. 特洛伊木马程序的防范对策 提高防范意识，在打开或下载文件之前，一定要确认文件 的来源是否可靠；阅读readme.txt，并注意readme.exe；使用 杀毒软件；发现有不正常现象出现立即挂断；监测系统文件和 注册表的变化；备份文件和注册表。 特别需要注意不要轻易运行来历不明软件或从网上下载的软 件（即使通过了一般反病毒软件的检查）；不要轻易相信熟人 发来的E-Mail不会有黑客程序；不要在聊天室内公开自己的EMail 地址，对来历不明的E-Mail 应立即清除；不要随便下载 软件，特别是不可靠的FTP 站点；不要将重要密码和资料存放 在上网的计算机中，以免被破坏或窃取。
教学目标
重点
● 掌握黑客基础知识、入侵检测概念 ● 熟悉黑客常用的攻击方法及攻击步骤 ● 掌握黑客攻防措施和方法 ● 掌握入侵检测系统功能、工作原理、特点及应用 ● 了解入侵检测与防范技术的发展趋势
4.1
4.1.1 黑客概念及类型
1. 黑客及其演变
网络黑客概述
“黑客”是英文“Hacker”的译音，源于Hack，本意为“干 了一件非常漂亮的事”。原指一群专业技能超群、聪明能干、精 力旺盛、对计算机信息系统进行非授权访问的人。后来成为专门 利用计算机进行破坏或入侵他人计算机系统的人的代言词。
黑客行为：盗窃资料；攻击网站；进行恶作剧；告知漏洞；
获取目标主机系统的非法访问权等。
4.2 黑客攻击的目的及步骤
4.2.2 黑客攻击的步骤
黑客攻击步骤变幻莫测，但其整个攻击过程有一定规律， 一般可分为“攻击五部曲”。
隐藏IP 踩点扫描 获得特权 种植后门 就是隐藏黑客的位置，以免被发现。 主要是通过各种途径对所要攻击的目标进 行多方了解，确保信息准确，确定攻击时 间和地点。 即获得管理权限。 黑客利用程序的漏洞进入系统后安 装后门程序，以便日后可以不被察 觉地再次进入系统。 黑客一旦确认自己是安全的，就开始 侵袭网络，为了避免被发现，黑客在 入侵完毕后会及时清除登录日志以 及其他相关日志，隐身退出。
4.1
网络黑客概述
课堂讨论:
1. 什么是安全漏洞？为什么网络存在着的安全漏洞？ 2. 计算机网络安全面临的黑客攻击方法有哪些？举例说明。 3. 网络黑客通道 -- 端口有哪些？特点是什么？
4.2 黑客攻击的目的及步骤
4.2.1 黑客攻击的目的
黑客攻击目的：
其一，为了得到物质利益。物质利益是指获取金钱和财物； 其二，为了满足精神需求。精神需求是指满足个人心理欲望
4.3 常用的黑客攻防技术
4.3.1 端口扫描攻防
方式二：只开放允许端口。可以利用系统的“TCP/IP筛选”功 能实现，设置的时候，“只允许”系统的一些基本网络通讯需 要的端口即可。 (2) 屏蔽出现扫描症状的端口 检查各端口，有端口扫描症状时，立即屏蔽该端口。
4.3 常用的黑客攻防技术
4.3.2 网络监听攻防
隐身退出
4.2
黑客攻击的目的及步骤
课堂讨论：
1. 黑客攻击的目的与步骤？
2. 黑客找到攻击目标后,会继续那几步的攻击操作？
3. 黑客的行为有哪些？
4.3 常用的黑客攻防技术
4.3.1 端口扫描攻防
端口扫描是管理员发现系统的安全漏洞，加强系统的安全 管理，提高系统安全性能的有效方法。但是，端口扫描也成为 黑客发现获得主机信息的一种最佳手段。
高等院校计算机与 信息类规划教材
清华大学出版社
第4章 黑客攻防与检测技术
目
1 2 3 4 5 6 7
4.1 4.2 4.3 4.4 4.5 4.6 4.7
录
网络黑客概述 黑客攻击的目的及步骤 常见黑客攻防技术 防范攻击的措施和步骤 入侵检测概述 Sniffer检测实验 本章小结
目
录
本章要点
● ● ● ● 黑客基础知识及防范攻击的措施和方法 常见黑客攻防技术及应用 常用入侵检测技术及防御系统概念、功能与应用 Sniffer检测实验
4.3 常用的黑客攻防技术
关闭DNS端口服务
操作方法与步骤： 1）打开“控制面板”窗口。 鼠标单击“状态栏”左边“开始”按钮，弹出开始菜单。在开始 菜单上选择“设置”→ “控制面板”。 2）打开“服务”窗口。 在“控制面板”窗口上，双击“管理工具”。在“管理工具”窗 口上，双击“服务”。在“服务”窗口上的右侧，选择DNS。 3）关闭DNS服务 在“DNS Client 的属性”窗口。启动类型项：选择“自动”。 服务状态项：选择 <停止>。选择<确定>。在服务选项中选择关闭掉 计算机的一些没有使用的服务，如FTP服务、DNS服务、IIS Admin服 务等，它们对应的端口也被停用了。
2. 端口扫描方式 端口扫描的方式有手工命令行方式和扫描器扫描方式。 手工扫描，需要熟悉各种命令，对命令执行后的输出进行分 析。如，Ping命令、Tracert命令、rusers和finger命令（后两 个是Unix命令）。 扫描器扫描，许多扫描软件都有分析数据的功能。如， SuperScan、Angry IP Scanner、、X-Scan、X-Scan、SAINT (Security Administrator's Integrated Network Tool，安 全管理员集成网络工具)、 Nmap、TCP connect 、TCP SYN 等
4.3 常用的黑客攻防技术
4.3.3 密码破解攻防

1. 密码破解攻击的方法
（1）通过网络监听非法得到用户口令 （2）利用Web页面欺骗 （3）强行破解用户口令 （4）密码分析的攻击 （5) 放置木马程序
4.3 常用的黑客攻防技术
4.3.3 密码破解攻防
2. 密码破解防范对策 通常保持密码安全应注意如下要点： 1) 不要将密码写下来，以免遗失； 2) 不要将密码保存在电脑文件中； 3) 不要选取显而易见的信息做密码； 4) 不要让他人知道； 5) 不要在不同系统中使用同一密码； 6) 在输入密码时应确认身边无人或其他人在1米线外看不到 输入密码的地方； 7) 定期改变密码，至少2—5 个月改变一次。
4.1
3. 黑客的类型
网络黑客概述
把黑客大分为“正”、“邪”两类，也就是我 们经常听说的“黑客”和“红客”。
把黑客分红客、破坏者和间谍三种类型，红客 是指“国家利益至高无上”的、正义的“网络大 侠”；破坏者也称“骇客”；间谍是指“利益至上” 的计算机情报“盗猎者”。
4.1
4.1.2 黑客概念及类型
1.端口扫描及扫描器
（1）端口扫描。使用端口扫描工具（程序）检查目标主机在哪 些端口可以建立TCP 连接，如果可以建立连接，则说明主机在 那个端口被监听。 （2）扫描器。扫描器也称扫描工具或扫描软件，是一种自动检测 远程或本地主机安全性弱点的程序。
4.3 常用的黑客攻防技术
4.3.1 端口扫描攻防
网络监听的检测 在Linux 下对嗅探攻击检测方法：一般只要检查网卡是否 处于混杂模式就可以了；而在Windows 平台中，可以执行“C ：\Windows\Drwatson.exe”程序检查一下是否有嗅探程序在 运行即可。 另外，还有几种方法也可以帮助检测或预防网络监听。如 对于怀疑运行监听程序的机器，可以使用正确的IP地址和错误 的物理地址ping，运行监听程序的机器会有响应；从逻辑或物 理上对网络分段；运用VLAN(虚拟局域网)技术，将以太网通信 变为点到点通信，可以防止大部分基于网络监听的入侵等。使 用软件监听。如：Sniffer软件等
1994年4月20日，中国国家计算与网络设施工程（The National Computing and Networking Facility of China ， NCFC)通过美国Sprint公司，连入Internet的64K国际专线并 开通，实现了与Internet的全功能连接。中国成为直接接入 Internet的国家，互联网终于面向中国人民开放了。从那时起， 中国黑客开始了原始萌动。 时至今日，国内黑客中却是为了谋取暴利而散发木马等 行为的“毒客”占主流。中国互联网形成了惊人完善的黑客 病毒产业链，制造木马、传播木马、盗窃账户信息、第三方 平台销赃、洗钱，分工明确。从反传统反商业、带着理想主 义和政治热情的红客占主流到近年非法牟利的毒客横行，这 是一个无奈的变化。
4.1
网络黑客概述
2. 黑客入侵通道 — 端口
计算机通过端口实现与外部通信的连接，黑客攻击是将 系统和网络设置中的各种端口作为入侵通道。这里所指的端 口是逻辑意义上的端口，是指网络中面向连接服务和无连接 服务的通信协议端口（Protocol port），是一种抽象的软件 结构，包括一些数据结构和I/O（输入/输出）缓冲区。 端口号：端口通过端口号标记（只有整数），范围： 0~65535（216-1） 目的端口号：用来通知传输层协议将数据送给哪个软件来处 理。 源端口号：一般是由操作系统自己动态生成的一个从1024～ 65535的号码。
网络黑客概述
1. 黑客攻击的主要原因 — 漏洞 漏洞又称缺陷。漏洞是在硬件、软件、协议的具 体实现或系统安全策略上存在的缺陷，从而可使攻击 者能够在未授权的情况下访问或破坏系统。
造成漏洞的原因分析如下： 1）计算机网络协议本身的缺陷。 2）系统开发的缺陷。 3）系统配置不当。 4）系统安全管理中的问题。
4.3 常用的黑客攻防技术
4.3.4 特洛伊木马攻防
1．特洛伊木马 特洛伊木马（Trojan horse），简称“木马”。黑客借用 古希腊神话《木马屠城记》其名，将隐藏在正常程序中的一段 恶意代码称作特洛伊木马。 木马系统组成：由硬件部分、软件部分和具体连接部分组 成。一般的木马程序都包括客户端和服务端两个程序，客户端 用于远程控制植入木马，服务器端即是木马程序。 木马特点：伪装成一个实用工具、可爱的游戏，诱使用户 将其安装在PC或者服务器上；侵入用户电脑并进行破坏；没有 复制能力；一般木马执行文件非常小，如果把木马捆绑到其他 正常文件上，你很难发现；木马可以和最新病毒、漏洞利用工 具一起使用，几乎可以躲过各大杀毒软件。
4.1
3. 端口分类
网络黑客概述
按端口号分布可分为三段： 1）公认端口 ( 0～1023 )，又称常用端口，为已经公认定义或 为将要公认定义的软件保留的。这些端口紧密绑定一些服务 且明确表示了某种服务协议。如80端口表示HTTP协议。 2）注册端口 ( 1024～49151 )，又称保留端口, 这些端口松散 绑定一些服务。 3）动态/私有端口（49152～65535)。理论上不应为服务器分 配这些端口。 按协议类型将端口划分为TCP和UDP端口： 1）TCP端口是指传输控制协议端口，需要在客户端和服务器 之间建立连接，提供可靠的数据传输。如Telnet服务的23端 口。 2）UDP端口是指用户数据包协议端口，不需要在客户端和服 务器之间建立连接。常见的端口有DNS服务的53端口。
4.3 常用的黑客攻防技术
4.3.1 端口扫描攻防
3．端口扫描攻击 端口扫描攻击采用探测技术，攻击者可将它用于寻找他们 能够成功攻击的服务。连接在网络中的所有计算机都会运行许 多使用 TCP 或 UDP 端口的服务，而所提供的已定义端口达 6000个以上。通常，端口扫描不会造成直接的损失。然而，端 口扫描可让攻击者找到可用于发动各种攻击的端口。