2020/1/19网络安全李章兵1/35第四章黑客常用的攻击技术4.1攻击方法概述4.2口令安全4.3端口扫描4.4网络监听4.5特洛依木马4.6拒绝服务攻击4.7IP欺骗2020/1/19网络安全李章兵2/35本章学习目标(1)了解口令安全的破解方法(2)熟悉端口扫描、网络监听原理及技术(3)了解特洛伊木马、IP电子欺骗的原理及特点(4)了解拒绝服务攻击的原理和种类2020/1/19网络安全李章兵3/354.1攻击方法概述4.1.1信息收集4.1.2系统安全弱点的探测4.1.3网络攻击2020/1/19网络安全李章兵4/354.1.1信息收集信息收集的目的是为了进入所要攻击的目标网络的相关信息,黑客常常利用一些协议和工具,收集驻留在网络中各个站点主机的细节。(1)SNMP协议:通过简单网络管理协议,能够查看网络系统中路由器的路由信息,从而了解目标主机所在网络的拓扑结构。(2)Tracert程序:通过Tracert程序可以获得到达目标主机的路由跳数和网络参数。(3)Whois协议:该协议的服务信息能提供所有有关的DNS域和相关的管理参数。(4)DNS服务器:该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的域名。(5)Finger协议:用来获取一个指定主机上的所有用户的详细信息,如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等。(6)Ping程序:该命令主要用来检查路由是否能够到达某站点。2020/1/19网络安全李章兵5/354.1.2系统安全弱点的探测通过前期收集到的一些网络及主机信息,黑客会通过扫描软件探测每台主机,寻找该系统的安全漏洞和弱点。这些软件能够对整个网络或主机进行扫描,主要扫描目标主机上某范围内的典型端口,收集目标主机的哪些端口是否开放,还有的直接根据已知的系统漏洞进行探测扫描,并将扫描出来的结果形成详细的报表,以便下一步实施攻击。2020/1/19网络安全李章兵6/354.1.3网络攻击当扫描出系统的漏洞和弱点后,黑客就会对目标系统实施攻击。一般会在目标系统中安装探测器软件或后门程序,包括特洛伊木马程序和病毒程序,用来窥探系统的所有活动和信息,得到自己所感兴趣的信息。例如FTP账号、系统管理员口令、Web站点管理员口令等。2020/1/19网络安全李章兵7/354.2口令安全4.2.1口令破解方法4.2.2口令破解机制4.2.3安全口令的设置原则2020/1/19网络安全李章兵8/354.2.1口令破解的方法1.直接猜解简单口令2.字典攻击3.强力破解4.组合攻击5.Web欺骗方法2020/1/19网络安全李章兵9/354.2.2口令破解机制口令的破解过程首先是字符表被送到加密进程加密,通常是一次加密一个单词。加密过程中使用了各种规则,每加密一个单词,就把它与目标口令(同样是加密的)对比,如果不匹配,就开始处理下一个单词。有些破解软件的破解过程与此不同,它们取出整个字符表,应用一条规则进行加密,从而生成下一个字符表,这个字符表再加密,再与目标口令匹配。这两种方法没有实质性的区别,只是第二种方法可能更快些。2020/1/19网络安全李章兵10/354.2.3安全口令的设置原则(l)设置的口令尽可能复杂,口令至少包含字母、数字和标点符号、一些其他的字符组合。(2)口令的长度至少8位,不要将口令写下来。(3)不要将口令存于终端功能键或调制解调器的字符串存储器中。(4)不要选取显而易见的信息作口令。(5)不要让人知道,不要让人看见自己在输入口令。(6)不要交替使用两个口令。(7)不要在不同系统上使用同一口令。(8)定期更改口令2020/1/19网络安全李章兵11/354.3端口扫描4.3.1端口扫描简介4.3.2端口扫描的原理4.3.3扫描工具介绍2020/1/19网络安全李章兵12/354.3.1端口扫描简介扫描器是一种自动探测远程或本地主机安全性弱点的程序,掌握了Socket编程知识,就可以比较容易地编写出端口扫描软件。通过使用扫描器扫描TCP端口并记录反馈信息。通过扫描可以发现远程服务器中各种TCP端口的分配、提供的服务和软件版本等。这能快速地了解远程主机存在的安全问题。2020/1/19网络安全李章兵13/354.3.2端口扫描的原理1.TCPconnect()扫描2.TCPSYN扫描3.TCPFIN扫描4.IP段扫描5.TCP反向ident扫描6.FTP返回攻击7.UDPICMP端口不能到达扫描8.UDPrecvfrom()和write()扫描9.ICMPecho扫描2020/1/19网络安全李章兵14/354.3.3扫描工具介绍1.SATAN2.NSS(网络安全扫描器)3.流光4.Nmap2020/1/19网络安全李章兵15/354.4网络监听4.4.1网络监听的原理4.4.2网络监听的实现4.4.3网络监听的检测与防范4.4.4网络监听工具介绍2020/1/19网络安全李章兵16/354.4.1网络监听的原理一般情况下,要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,一般只有与数据包中目标地址一致的那台主机才能接收。然而,当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说,在同一条物理信道上传输的所有信息都可以被接收到。2020/1/19网络安全李章兵17/354.4.2网络监听的实现要使主机工作在监听模式下,需要向网络接口发出I/O控制命令,将其设置为监听模式。在UNIX系统中,发送这些命令需要超级用户的权限。在Windows系列操作系统中,则没有这个限制。要实现网络监听,可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序,也可以使用一些现成的监听软件,在很多黑客网站或从事网络安全管理的网站都有此类软件下载。2020/1/19网络安全李章兵18/354.4.3网络监听的检测与防范1.网络监听的检测(1)在UnixOS下,可以用ps-aun或ps-augx查看系统所有进程的清单,通过清单可以看到每个进程占用的CPU时间与内存等。在Windows平台下,除了可以通过“任务管理器”查看进程信息外,可以在命令行模式下用Netstat-a查看当前系统的哪些TCP端口正在使用或被监听。(2)可以用正确的IP地址和错误的物理地址去ping被怀疑的主机,运行监听程序的机器会有响应。(3)在被监听的计算机上向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降。通过比较前后该机器性能加以判断。(4)许多网络监听软件都会尝试进行地址反向解析,在怀疑有网络监听发生时,可以在DNS系统上观测有没有明显增多的解析请求。(5)使用反监听工具(如antisniffer)等进行检测。2020/1/19网络安全李章兵19/354.4.3网络监听的检测与防范2.对网络监听的防范措施(1)从逻辑或物理上对网络分段。(2)以交换式集线器代替共享式集线器。(3)使用加密技术。(4)划分VLAN。2020/1/19网络安全李章兵20/354.4.4网络监听工具介绍目前监听的工具很多,比较知名的有SnifferPro、Iris。SnifferPro介绍2020/1/19网络安全李章兵21/354.5特洛伊木马4.5.1特洛伊木马概述4.5.2特洛依木马的原理4.5.3特洛伊木马的种类4.5.4特洛依木马的检测与清除4.5.5特洛依木马防范2020/1/19网络安全李章兵22/354.5.1特洛伊木马概述特洛伊木马是一种恶意的程序,它隐藏在正常的程序里。一旦被引入到用户的系统中,木马程序便会运行在系统中。完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码就无安全可言了。2020/1/19网络安全李章兵23/354.5.2特洛伊木马的原理1.特洛伊木马的执行方式2.特洛伊木马的隐藏方式2020/1/19网络安全李章兵24/354.5.3特洛伊木马的种类1.破坏型2.密码发送型3.远程访问型4.键盘记录木马5.DoS攻击木马6.代理木马7.FTP木马8.程序杀手木马9.反弹端口型木马2020/1/19网络安全李章兵25/354.5.4特洛依木马的检测与清除1.系统命令检测2.文件属性检测3.系统配置文件检测4.检测工具检测2020/1/19网络安全李章兵26/354.5.5特洛伊木马的防范1.必须提高防范意识2.系统加固3.定时检查2020/1/19网络安全李章兵27/354.6拒绝服务攻击7.6.1拒绝服务攻击概述及原理7.6.2DoS的攻击方法与防范措施7.6.3分布式拒绝服务概念及原理7.6.4DDoS攻击方法、检测与防范2020/1/19网络安全李章兵28/354.6.1拒绝服务攻击概述及原理1.利用软件实现的缺陷2.利用协议的漏洞3.资源消耗2020/1/19网络安全李章兵29/354.6.2DoS的攻击方法与防范措施1.SYNFlood2.死亡之Ping和Ping哄骗3.Smurf和Fraggle4.UDPFlood5.Land(结合攻击)2020/1/19网络安全李章兵30/354.6.3分布式拒绝服务概念及原理分布式拒绝服务(DDoS,DistributedDenialofService)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上,在一个设定的时间,主控程序将与大量代理程序通信,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。2020/1/19网络安全李章兵31/354.6.4DDoS攻击方法、检测与防范1.DDoS的攻击工具2.DDoS的检测3.DDoS的防范措施2020/1/19网络安全李章兵32/354.7IP欺骗4.7.1IP电子欺骗概述4.7.2IP电子欺骗对象及实施4.7.3IP电子欺骗防范2020/1/19网络安全李章兵33/354.7.1IP欺骗概述所谓IP电子欺骗,就是伪造某台主机的IP地址的技术。其实质就是让一台机器来扮演另一台机器,以达到蒙混过关的目的。被伪造的主机往往具有某种特权或者被另外的主机所信任IP欺骗通常都要用编写的程序实现。IP欺骗者通过使用RAWSocket编程,发送带有假冒的源IP地址的IP数据包,来达到自己的目的。另外,在现在的网上,也有大量的可以发送伪造的IP地址的工具可用。使用它可以任意指定源IP地址,以免留下自己的痕迹。2020/1/19网络安全李章兵34/354.7.2IP电子欺骗对象及实施1.IP欺骗的对象2.IP欺骗的实施2020/1/19网络安全李章兵35/354.7.3网络监听的原理1.抛弃基于地址的信任策略2.进行包过滤3.使用加密方法4.使用随机化的初始序列号2020/1/19网络安全李章兵36/35THANKYOUVERYMUCH!本章到此结束,•谢谢您的光临!