黑客常用的攻击方法
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
黑客常用的攻击方法
木马(Trojan horse)
• • • • • 木马是一种基于远程控制的黑客工具 隐蔽性 潜伏性 危害性 非授权性
木马与病毒、远程控制的区别
• 病毒程序是以自发性的败坏为目的 • 木马程序是依照黑客的命令来运作,主要 目的是偷取文件、机密数据、个人隐私等 行为。 • 木马和一般的远程控制软件的区别在于其 隐蔽、非授权性。
SYN攻击的原理(2)
.
SYN SYN SYN SYN
. .
. . 目标主机
.
攻击者
不应答
不应答
. . 等待ACK应答 . . . . . . . . . SYN/ACK SYN/ACK SYN/ACK SYN/ACK n 重新发送
SYN/ACK SYN/ACK SYN/ACK SYN/ACK 1
以windows 为例SYN攻击
花费时间 (秒) 3 第一次,失败 尝试第1 次,失败 6 尝试第2 次,失败 12 尝试第3 次,失败 24 尝试第4 次,失败 48 尝试第5 次,失败 96 累计花费时间(秒) 3 9 21 45 93 189
行行色色的DOS攻击
• • • • 死亡之ping SYN Flood Land攻击 泪珠(Teardrop)攻击
缓冲区溢出的基本原理(1)
• 目前最流行的一种攻击技术就是缓冲区溢出攻击。当目标 操作系统收到了超过了它的最大能接收的信息量的时候, 将发生缓冲区溢出。这些多余的数据将使程序的缓冲区溢 出,然后覆盖了实际的程序数据,缓冲区溢出使目标系统 的程序被修改,经过这种修改的结果使在系统上产生一个 后门。 • 这项攻击对技术要求比较高,但是攻击的过程却非常简单。 缓冲区溢出原理很简单,比如程序:
木马的工作原理
• 实际就是一个C/S模式的程序(里应外合)
被植入木马的PC(server程序)
控制端 端口 TCP/IP协议 操作系统
控制木马的PC(client程序)
操作系统 TCP/IP协议 端口
端口处于监听状态
木马的分类
• • • • • • 1.远程访问型 2.键盘记录型 3.密码发送型 4.破坏型 5.代理型 6.FTP木马
防范缓冲区溢出攻击的有效措施
•
–
通过操作系统设置缓冲区的堆栈段为不可执行,从而阻止 攻击者向其中植入攻击代码。
例如:微软的DEP(数据执行保护)技术 (Windows XP SP2、 Windows Server 2003 SP1及其更高版本的Windows操作系统中)
•
–
强制程序开发人员书写正确的、安全的代码。
木马实施攻击的步骤
• 1.配置木马
木马伪装: 信息反馈:
• • • •
2.传播木马 3.启动木马 4.建立连接 5.远程控制
课堂演练一:冰河木马的使用
• 服务器端程序:G-server.exe • 客户端程序:G-client.exe
• 进行服务器配置 • 远程控制 • 如何清除?
课堂演练二:灰鸽子的使用
目前,可以借助grep、FaultInjection、PurifyPlus等工具帮助开发 人员发现程序中的安全漏洞。
•
–
通过对数组的读写操作进行边界检查来实现缓冲区的保护, 使得缓冲区溢出不可能出现,从而完全消除了缓冲区溢出 的威胁。
常见的对数组操作进行检查的工具有Compaq C编译器,Richard Jones和Paul Kelly开发的gcc补丁等。
• 反弹端口类型的木马 • • • • 服务器的配置 服务器的工作方式 远程控制 如何清除?
• 【视频教学】观看视频教学录像——―灰鸽子的配 置”
木马文件的隐藏和伪装
• • • • • • (1)文件的位置 (2)文件的属性 (3)捆绑到其他文件上 (4)文件的名字 (5)文件的扩展名 (6)文件的图标
木马运行时伪装方法
• (1)在任务栏里隐藏 • (2)在任务管理器里隐藏 • (3)隐藏端口
木马的启动方式
• • • • • • • win.ini system.ini 启动组 注册表 捆绑方式启动 伪装在普通文件中 设置在超级连接中
发现木马的方法
• • • • • 系统的异常情况 打开文件,没有任何反应 查看打开的端口 检查注册表 查看进程
• 第一次大规模的缓冲区溢出攻击是发生在1988年 的Morris蠕虫,它造成了6000多台机器被瘫痪, 损失在$100 000至$10 000 000之间,利用的攻 击方法之一就是fingerd的缓冲区溢出。
• 缓冲区溢出攻击已经占了网络攻击的绝大多数, பைடு நூலகம்统计,大约80%的安全事件与缓冲区溢出攻击 有关。
DDoS (分布式拒绝服务)攻击(1)
代理程序
各种客户主机
目标系统
攻击者
攻击准备: 1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。
2)攻击者进入其已经发现的最弱的客户主机之内(“肉鸡”),并且秘密地 安置一个其可远程控制的代理程序(端口监督程序demon)。
DDoS (分布式拒绝服务)攻击(2)
木马传播方式
主动与被动: • 主动种入 • 通过E-mail • 文件下载 • 浏览网页
流行木马简介
• • • • • • • 冰 河 back orifice Subseven 网络公牛(Net bull) 网络神偷(Net thief) 广外男生(是广外女生的一个变种) Netspy(网络精灵)
自我传播的电子邮件e-mail病毒
按指数率增长
一个病毒被发给许多的客户。只要他们打开并且启动该病毒,...
...该病毒将再继续传播,传送它本身到别的客户,诸如此类(病毒感 染呈指数增长)。
缓冲区溢出(buffer
从一个对话框说起……
overflow)
认识缓冲区溢出
【引例】把1升的水注入容量为0.5升的容量中……
DoS 攻击的分类
1. 以消耗目标主机的可用资源为目的(例如: 死亡之ping、SYN攻击、Land攻击、泪珠 攻击等)
2. 以消耗服务器链路的有效带宽为目的(例 如:蠕虫)
SYN攻击的原理(1)
SYN
攻击者
目标主机
SYN/ACK
SYN:同步 SYN/ACK:同步/确认 ACK:确认
等待应答
ACK
拒绝服务攻击(DoS)
• DoS--Denial of Service:现在一般指导致服务器 不能正常提供服务的攻击。 • DoS攻击的事件 : ◎2005年2月份的Yahoo、亚马逊、CNN被DoS攻击。 ◎2006年10月全世界13台DNS服务器同时受到了 DDoS(分布式拒绝服务)攻击。 ◎2007年1月25日的“2003蠕虫王”病毒。 ◎2008年8月,共同社报道:日本近期共有上百网 站遭到黑客袭击。
攻击的代理程序
攻击者
目标系统
发起攻击: 3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请 求送至目标系统。
4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统,最终将 导致它因通信淤塞而崩溃。
视频教学
• 自行观看视频教学录像——―独裁者DDoS 动画教程” • 进一步理解DDoS攻击的过程和效果。
缓冲区溢出的基本原理(2)
• 缓冲区溢出是由于系统和软件本身存在脆 弱点所导致的。
流行的缓冲区溢出攻击病毒
(1)冲击波 利用漏洞:RPC缓冲区溢出 135/TCP (2)震荡波 利用漏洞:LSASS漏洞 1025/TCP (3)极速波 利用漏洞:UPNP漏洞 445/TCP (4)高波 利用多种漏洞,非常危险
木马(Trojan horse)
• • • • • 木马是一种基于远程控制的黑客工具 隐蔽性 潜伏性 危害性 非授权性
木马与病毒、远程控制的区别
• 病毒程序是以自发性的败坏为目的 • 木马程序是依照黑客的命令来运作,主要 目的是偷取文件、机密数据、个人隐私等 行为。 • 木马和一般的远程控制软件的区别在于其 隐蔽、非授权性。
SYN攻击的原理(2)
.
SYN SYN SYN SYN
. .
. . 目标主机
.
攻击者
不应答
不应答
. . 等待ACK应答 . . . . . . . . . SYN/ACK SYN/ACK SYN/ACK SYN/ACK n 重新发送
SYN/ACK SYN/ACK SYN/ACK SYN/ACK 1
以windows 为例SYN攻击
花费时间 (秒) 3 第一次,失败 尝试第1 次,失败 6 尝试第2 次,失败 12 尝试第3 次,失败 24 尝试第4 次,失败 48 尝试第5 次,失败 96 累计花费时间(秒) 3 9 21 45 93 189
行行色色的DOS攻击
• • • • 死亡之ping SYN Flood Land攻击 泪珠(Teardrop)攻击
缓冲区溢出的基本原理(1)
• 目前最流行的一种攻击技术就是缓冲区溢出攻击。当目标 操作系统收到了超过了它的最大能接收的信息量的时候, 将发生缓冲区溢出。这些多余的数据将使程序的缓冲区溢 出,然后覆盖了实际的程序数据,缓冲区溢出使目标系统 的程序被修改,经过这种修改的结果使在系统上产生一个 后门。 • 这项攻击对技术要求比较高,但是攻击的过程却非常简单。 缓冲区溢出原理很简单,比如程序:
木马的工作原理
• 实际就是一个C/S模式的程序(里应外合)
被植入木马的PC(server程序)
控制端 端口 TCP/IP协议 操作系统
控制木马的PC(client程序)
操作系统 TCP/IP协议 端口
端口处于监听状态
木马的分类
• • • • • • 1.远程访问型 2.键盘记录型 3.密码发送型 4.破坏型 5.代理型 6.FTP木马
防范缓冲区溢出攻击的有效措施
•
–
通过操作系统设置缓冲区的堆栈段为不可执行,从而阻止 攻击者向其中植入攻击代码。
例如:微软的DEP(数据执行保护)技术 (Windows XP SP2、 Windows Server 2003 SP1及其更高版本的Windows操作系统中)
•
–
强制程序开发人员书写正确的、安全的代码。
木马实施攻击的步骤
• 1.配置木马
木马伪装: 信息反馈:
• • • •
2.传播木马 3.启动木马 4.建立连接 5.远程控制
课堂演练一:冰河木马的使用
• 服务器端程序:G-server.exe • 客户端程序:G-client.exe
• 进行服务器配置 • 远程控制 • 如何清除?
课堂演练二:灰鸽子的使用
目前,可以借助grep、FaultInjection、PurifyPlus等工具帮助开发 人员发现程序中的安全漏洞。
•
–
通过对数组的读写操作进行边界检查来实现缓冲区的保护, 使得缓冲区溢出不可能出现,从而完全消除了缓冲区溢出 的威胁。
常见的对数组操作进行检查的工具有Compaq C编译器,Richard Jones和Paul Kelly开发的gcc补丁等。
• 反弹端口类型的木马 • • • • 服务器的配置 服务器的工作方式 远程控制 如何清除?
• 【视频教学】观看视频教学录像——―灰鸽子的配 置”
木马文件的隐藏和伪装
• • • • • • (1)文件的位置 (2)文件的属性 (3)捆绑到其他文件上 (4)文件的名字 (5)文件的扩展名 (6)文件的图标
木马运行时伪装方法
• (1)在任务栏里隐藏 • (2)在任务管理器里隐藏 • (3)隐藏端口
木马的启动方式
• • • • • • • win.ini system.ini 启动组 注册表 捆绑方式启动 伪装在普通文件中 设置在超级连接中
发现木马的方法
• • • • • 系统的异常情况 打开文件,没有任何反应 查看打开的端口 检查注册表 查看进程
• 第一次大规模的缓冲区溢出攻击是发生在1988年 的Morris蠕虫,它造成了6000多台机器被瘫痪, 损失在$100 000至$10 000 000之间,利用的攻 击方法之一就是fingerd的缓冲区溢出。
• 缓冲区溢出攻击已经占了网络攻击的绝大多数, பைடு நூலகம்统计,大约80%的安全事件与缓冲区溢出攻击 有关。
DDoS (分布式拒绝服务)攻击(1)
代理程序
各种客户主机
目标系统
攻击者
攻击准备: 1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。
2)攻击者进入其已经发现的最弱的客户主机之内(“肉鸡”),并且秘密地 安置一个其可远程控制的代理程序(端口监督程序demon)。
DDoS (分布式拒绝服务)攻击(2)
木马传播方式
主动与被动: • 主动种入 • 通过E-mail • 文件下载 • 浏览网页
流行木马简介
• • • • • • • 冰 河 back orifice Subseven 网络公牛(Net bull) 网络神偷(Net thief) 广外男生(是广外女生的一个变种) Netspy(网络精灵)
自我传播的电子邮件e-mail病毒
按指数率增长
一个病毒被发给许多的客户。只要他们打开并且启动该病毒,...
...该病毒将再继续传播,传送它本身到别的客户,诸如此类(病毒感 染呈指数增长)。
缓冲区溢出(buffer
从一个对话框说起……
overflow)
认识缓冲区溢出
【引例】把1升的水注入容量为0.5升的容量中……
DoS 攻击的分类
1. 以消耗目标主机的可用资源为目的(例如: 死亡之ping、SYN攻击、Land攻击、泪珠 攻击等)
2. 以消耗服务器链路的有效带宽为目的(例 如:蠕虫)
SYN攻击的原理(1)
SYN
攻击者
目标主机
SYN/ACK
SYN:同步 SYN/ACK:同步/确认 ACK:确认
等待应答
ACK
拒绝服务攻击(DoS)
• DoS--Denial of Service:现在一般指导致服务器 不能正常提供服务的攻击。 • DoS攻击的事件 : ◎2005年2月份的Yahoo、亚马逊、CNN被DoS攻击。 ◎2006年10月全世界13台DNS服务器同时受到了 DDoS(分布式拒绝服务)攻击。 ◎2007年1月25日的“2003蠕虫王”病毒。 ◎2008年8月,共同社报道:日本近期共有上百网 站遭到黑客袭击。
攻击的代理程序
攻击者
目标系统
发起攻击: 3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请 求送至目标系统。
4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统,最终将 导致它因通信淤塞而崩溃。
视频教学
• 自行观看视频教学录像——―独裁者DDoS 动画教程” • 进一步理解DDoS攻击的过程和效果。
缓冲区溢出的基本原理(2)
• 缓冲区溢出是由于系统和软件本身存在脆 弱点所导致的。
流行的缓冲区溢出攻击病毒
(1)冲击波 利用漏洞:RPC缓冲区溢出 135/TCP (2)震荡波 利用漏洞:LSASS漏洞 1025/TCP (3)极速波 利用漏洞:UPNP漏洞 445/TCP (4)高波 利用多种漏洞,非常危险