黑客攻击原理和预防(精编文档).doc

【最新整理，下载后即可编辑】

§旧课回顾

①掌握利用系统本身和相关工具及时更新系统补丁。

②掌握MBSA 2.0.1的使用。

§教学重点和难点

①掌握黑客攻击的主要类型及各自的攻击原理。

②了解典型黑客攻击的主要步骤及各步所用的主要工具。第五章黑客攻击原理和预防

5.1 何谓黑客

【黑客】最早源自英文hacker，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“软件骇客”(software cracker)。黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。

黑客和骇客根本的区别是：黑客们建设，而骇客们破坏。

【红客】——一个让人肃然起敬的名字!红客可以说是中国黑客起的名字。英文“honker”是红客的译音，红客，是一群为捍卫中国的主权而战的黑客们，他们的精神是令人敬佩的。

【蓝客】——特别喜欢蓝色的黑客们！蓝客，也属于黑客群，蓝客，是指一些利用或发掘系统漏洞，D.o.S （Denial Of Service）系统，或者令个人操作系统（Windows）

蓝屏。

“蓝客”一词由中国蓝客联盟在2001年9月提出。当初的蓝客联盟（中国蓝客联盟）是一个非商业性的民间网络技术机构，联盟进行有组织有计划的计算机与网络安全技术方面的研究、交流、整理与推广工作，提倡自由、开放、平等、互助的原则。

【飞客】——电信网络的先行者！飞客，经常利用程控交换机的漏洞，进入并研究电信网络，虽然他们不出名，但对电信系统作出了很大的贡献。

5.1.1 威胁的动机

①贪心－偷窃或者敲诈

②恶作剧–无聊的计算机程序员

③名声–显露出计算机经验与才智，以便证明他们的

能力和获得名气

④报复/宿怨–解雇、受批评或者被降级的雇员，或

者其他任何认为其被不公平地对待的人

⑤无知–失误和破坏了信息还不知道破坏了什么

⑥黑客道德- 这是许多构成黑客人物的动机

⑦仇恨- 国家和民族原因

⑧间谍－政治和军事目的谍报工作

⑨商业－商业竞争，商业间谍

5.1.2 黑客守则

①不恶意破坏系统

②不修改系统文档

③不在bbs上谈论入侵事项

④不把要侵入的站点告诉不信任的朋友

⑤在post文章时不用真名

⑥入侵时不随意离开用户主机

⑦不入侵政府机关系统

⑧不在电话中谈入侵事项

⑨将笔记保管好

⑩要成功就要实践

⑪不删除或涂改已入侵主机的帐号

⑫不与朋友分享已破解的帐号

5.1.3 黑客入侵攻击的一般过程

①确定攻击的目标。

②收集被攻击对象的有关信息。

③利用适当的工具进行扫描。

④建立模拟环境，进行模拟攻击。

⑤实施攻击。

⑥清除痕迹。

实例：例举对动网论坛6.0版本的上传漏洞进行注入攻击的操作。

5.1.4 黑客攻击的主要类型

➢目前黑客网络攻击的类型主要有以下几种。

➢利用监听嗅探技术获取对方网络上传输的有用信息。

➢利用拒绝服务攻击使目的网络暂时或永久性瘫痪。

➢利用网络协议上存在的漏洞进行网络攻击。

➢利用系统漏洞，如缓冲区溢出或格式化字符串等，以获得目的主机控制权。

➢利用网络数据库存在的安全漏洞，获取或破坏对方重要数据。

➢利用计算机病毒传播快、破坏范围广特性，开发合适的病毒破坏对方网络。

5.2 黑客攻击原理和预防

5.2.1 网络监听

网络监听也就是通常我们所说的“网络嗅探”，所利用的就是通常称之为“嗅探器”（Sniffer）的工具软件。嗅探器是利用计算机的网络接口，截获目的计算机数据报文的一种技术。

不同传输介质的网络的可监听性是不同的。一般来说，以太网被监听的可能性比较高，因为以太网是一个广播型的网络；FDDI Token被监听的可能性也比较高，尽管它不是一个广播型网络，但带有令牌的那些数据包在传输过程中，平均要经过网络上一半的计算机；微波和无线网被监听的可能性同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易地截获。

网络监听的原理就是通过截获网络中的数据包，然后对数据包进行分析，得到所需的信息，如连接所用的用户账户信息、IP地址、MAC地址等信息。然而，一般情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包，要能监听到网络上其他用户的通信，就需要把网卡

设置为混杂（promiscuous）模式。这样该网卡就可以接收传输在网络上的每一个数据包。

5.2.2 拒绝服务攻击

拒绝服务（Denial of Service，DoS）攻击是目前最常见的一种攻击类型。这类攻击和其他大部分攻击不同的是，它们不是以获得网络或网络上信息的访问权为目的，而是要使受攻击方耗尽网络、操作系统或应用程序有限的资源而崩溃，从而不能为其他正常用户提供服务。这就是这类攻击被称为“拒绝服务攻击”的真正原因。

DoS攻击方式有很多种，常见的DoS攻击方式有：同步洪流（SYNFlood）、死亡之Ping（Ping of Death）、Finger 炸弹、Land攻击、Ping洪流、Rwhod和Smurf等。

DoS攻击的基本过程如下：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息。由于地址是伪造的，所以服务器一直等不到回传的消息，然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

5.2.3 源IP地址欺骗

IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性。许多应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻