黑客攻击原理和预防(精编文档).doc
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
【最新整理,下载后即可编辑】
§旧课回顾
①掌握利用系统本身和相关工具及时更新系统补丁。
②掌握MBSA 2.0.1的使用。
§教学重点和难点
①掌握黑客攻击的主要类型及各自的攻击原理。
②了解典型黑客攻击的主要步骤及各步所用的主要工具。第五章黑客攻击原理和预防
5.1 何谓黑客
【黑客】最早源自英文hacker,早期在美国的电脑界是带有褒义的。但在媒体报导中,黑客一词往往指那些“软件骇客”(software cracker)。黑客一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。
黑客和骇客根本的区别是:黑客们建设,而骇客们破坏。
【红客】——一个让人肃然起敬的名字!红客可以说是中国黑客起的名字。英文“honker”是红客的译音,红客,是一群为捍卫中国的主权而战的黑客们,他们的精神是令人敬佩的。
【蓝客】——特别喜欢蓝色的黑客们!蓝客,也属于黑客群,蓝客,是指一些利用或发掘系统漏洞,D.o.S (Denial Of Service)系统,或者令个人操作系统(Windows)
蓝屏。
“蓝客”一词由中国蓝客联盟在2001年9月提出。当初的蓝客联盟(中国蓝客联盟)是一个非商业性的民间网络技术机构,联盟进行有组织有计划的计算机与网络安全技术方面的研究、交流、整理与推广工作,提倡自由、开放、平等、互助的原则。
【飞客】——电信网络的先行者!飞客,经常利用程控交换机的漏洞,进入并研究电信网络,虽然他们不出名,但对电信系统作出了很大的贡献。
5.1.1 威胁的动机
①贪心-偷窃或者敲诈
②恶作剧–无聊的计算机程序员
③名声–显露出计算机经验与才智,以便证明他们的
能力和获得名气
④报复/宿怨–解雇、受批评或者被降级的雇员,或
者其他任何认为其被不公平地对待的人
⑤无知–失误和破坏了信息还不知道破坏了什么
⑥黑客道德- 这是许多构成黑客人物的动机
⑦仇恨- 国家和民族原因
⑧间谍-政治和军事目的谍报工作
⑨商业-商业竞争,商业间谍
5.1.2 黑客守则
①不恶意破坏系统
②不修改系统文档
③不在bbs上谈论入侵事项
④不把要侵入的站点告诉不信任的朋友
⑤在post文章时不用真名
⑥入侵时不随意离开用户主机
⑦不入侵政府机关系统
⑧不在电话中谈入侵事项
⑨将笔记保管好
⑩要成功就要实践
⑪不删除或涂改已入侵主机的帐号
⑫不与朋友分享已破解的帐号
5.1.3 黑客入侵攻击的一般过程
①确定攻击的目标。
②收集被攻击对象的有关信息。
③利用适当的工具进行扫描。
④建立模拟环境,进行模拟攻击。
⑤实施攻击。
⑥清除痕迹。
实例:例举对动网论坛6.0版本的上传漏洞进行注入攻击的操作。
5.1.4 黑客攻击的主要类型
➢目前黑客网络攻击的类型主要有以下几种。
➢利用监听嗅探技术获取对方网络上传输的有用信息。
➢利用拒绝服务攻击使目的网络暂时或永久性瘫痪。
➢利用网络协议上存在的漏洞进行网络攻击。
➢利用系统漏洞,如缓冲区溢出或格式化字符串等,以获得目的主机控制权。
➢利用网络数据库存在的安全漏洞,获取或破坏对方重要数据。
➢利用计算机病毒传播快、破坏范围广特性,开发合适的病毒破坏对方网络。
5.2 黑客攻击原理和预防
5.2.1 网络监听
网络监听也就是通常我们所说的“网络嗅探”,所利用的就是通常称之为“嗅探器”(Sniffer)的工具软件。嗅探器是利用计算机的网络接口,截获目的计算机数据报文的一种技术。
不同传输介质的网络的可监听性是不同的。一般来说,以太网被监听的可能性比较高,因为以太网是一个广播型的网络;FDDI Token被监听的可能性也比较高,尽管它不是一个广播型网络,但带有令牌的那些数据包在传输过程中,平均要经过网络上一半的计算机;微波和无线网被监听的可能性同样比较高,因为无线电本身是一个广播型的传输媒介,弥散在空中的无线电信号可以被很轻易地截获。
网络监听的原理就是通过截获网络中的数据包,然后对数据包进行分析,得到所需的信息,如连接所用的用户账户信息、IP地址、MAC地址等信息。然而,一般情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包,要能监听到网络上其他用户的通信,就需要把网卡
设置为混杂(promiscuous)模式。这样该网卡就可以接收传输在网络上的每一个数据包。
5.2.2 拒绝服务攻击
拒绝服务(Denial of Service,DoS)攻击是目前最常见的一种攻击类型。这类攻击和其他大部分攻击不同的是,它们不是以获得网络或网络上信息的访问权为目的,而是要使受攻击方耗尽网络、操作系统或应用程序有限的资源而崩溃,从而不能为其他正常用户提供服务。这就是这类攻击被称为“拒绝服务攻击”的真正原因。
DoS攻击方式有很多种,常见的DoS攻击方式有:同步洪流(SYNFlood)、死亡之Ping(Ping of Death)、Finger 炸弹、Land攻击、Ping洪流、Rwhod和Smurf等。
DoS攻击的基本过程如下:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息。由于地址是伪造的,所以服务器一直等不到回传的消息,然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。
5.2.3 源IP地址欺骗
IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性。许多应用程序认为如果数据包能够使其自身沿着路由到达目的地,而且应答包也可以回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻