第6章黑客入侵与防范

第6章黑客入侵与防范本章主要内容：1:黑客入侵概述重点:2:端口扫描重难点:3:网络监听4:口令破译5:IP欺骗重难点:6:木马重难点:7:拒绝服务攻击8:电子邮件攻击难点:9:缓冲区溢出网络技术应用网黑客常用的攻击手段、工具及技术1:黑客入侵概述网络技术应用网•Hacker的由来:黑客一诩来自于英语HACK,在美国麻省理工学院校园俚语中是”恶作剧”的意思,尤其是佛那些技术高明的恶作剧。因此，黑客是人们对那些编程高手、迷恋计算机代码的程序设计人员的称谓。真正的黑客有自己独特的文化和精神，他们并不破坏别人的系统，他们崇拜技术，对计算机系统的最大潜力进行智力上的自由探索。•骇客（Cracker）：恶意闯入他人计算机或系统，意图盗取敏感信息的人，对于这类人最合适的用词是Cracker。•二者不同:Hacker们创造新东西,Cracker们破坏东西。试图破解某系统或网络以提醒该系统所有者的系统安全漏洞的人被称做“白帽黑客”。黑客发展的历史网络技术应用网黑客(骇客)攻击的动机•贪心－偷窃或者敲诈•恶作剧–无聊的计算机程序员•名声–显露出计算机经验与才智，以便证明他们的能力和获得名气•报复/宿怨–解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人•无知–失误和破坏了信息还不知道破坏了什么•黑客道德-这是许多构成黑客人物的动机•仇恨-国家和民族原因•间谍－政治和军事目的谍报工作•商业－商业竞争，商业间谍网络技术应用网黑客入侵攻击的一般过程•1.确定攻击的目标。•2.收集被攻击对象的有关信息。•3.利用适当的工具进行扫描。•4.建立模拟环境，进行模拟攻击。•5.实施攻击。•6.清除痕迹。网络技术应用网网络安全扫描技术在网络安全行业中扮演的角色（1）扫描软件是入侵者分析被入侵系统的必备工具（2）扫描软件是系统管理员掌握系统安全状况的必备工具（3）扫描软件是网络安全工程师修复系统漏洞的主要工具（4）扫描软件在网络安全的家族中可以说是扮演着医生的角色2:网络安全扫描技术网络技术应用网网络安全扫描技术分类•一．一般的端口扫描器•二．功能强大的特殊端口扫描器•三.其他系统敏感信息的扫描器网络技术应用网网络安全扫描技术的应用•1.合法使用：（1）检测自己服务器端口，以便给自己提供更好的服务；（2）扫描软件是网络安全工程师修复系统漏洞的主要工具。如：一个系统存在“ASP源代码暴露”的漏洞，防火墙发现不了这些漏洞，入侵检测系统也只有在发现有试图获取ASP文件源代码的时候才报警，而通过扫描工具，可以提前发现系统的漏洞，打好补丁，做好防范。•2.非法使用：查找服务器的端口，选取最快的攻击端口。网络技术应用网扫描器的主要功能•检测主机是否在线•扫描目标系统开放的端口，测试端口的服务信息。•获取目标系统的敏感信息。•破解系统口令。•扫描其他系统敏感信息，如：CGIScaner、ASPScaner、从各个主要端口取得服务信息的Scaner、数据库Scaner以及木马Scaner等。网络技术应用网网络监听(嗅探)•Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。•采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。网络技术应用网网卡工作原理•网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为不该接收就丢弃不管；认为该接收就在接收后产生中断信号通知CPU，CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。网络技术应用网网卡的工作模式•普通方式：•混杂模式（promiscuous）：够接收到一切通过它的数据•如果一台网卡被配置成混杂模式，它（包括其软件）就是一个嗅探器。网络技术应用网:hiHKK234cr以太网（HUB）FTPLoginMail普通用户A服务器C嗅探者B网络监听原理Username:herma009crPassword:hiHKK234cr网络技术应用网需要作的：1.把网卡置于混杂模式。2.捕获数据包。3.分析数据包网络技术应用网工作原理•在共享式网络中很容易实现网络监听。网络技术应用网•由于交换机的工作原理与HUB不同，如果在B计算机上安装了Sniffer软件，它也只能收到发给自己的广播数据包无法监听别人的数据。镜像的监控端口网络技术应用网交换环境下的监听•那么，在交换环境下就不会被别人监听了吗？答案是否定的。•原因：现在许多交换机都支持镜像的功能，能够把进入交换机的所有数据都映射到监控端口，这样就可以监听所有的数据包，从而进行数据分析。镜像的目的主要是为了网络管理员掌握网络运行情况，而采用的手段就是监控数据包。•要实现上述功能必须对交换机进行设置才可以，所以在交换环境下对于黑客来说很难实现监听，但他们也有其他的办法，如ARP欺骗；破坏交换机的工作模式，使其广播式处理数据；等等。网络技术应用网口令攻击•通过猜测或获取口令文件等方式获得系统认证口令•从而进入系统•危险口令类型.用户名.用户名变形.生日.常用英文单词.5为以下长度的口令暴力破解：举例NAT网络技术应用网地址欺骗•一般情况下，路由器在转发报文的时候，只根据报文的目的地址查路由表，而不管报文的源地址是什么，因此，这样就可能面临一种危险：如果一个攻击者向一台目标计算机发出一个报文，而把报文的源地址填写为第三方的一个IP地址，这样这个报文在到达目标计算机后，目标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的IP地址欺骗攻击。比较著名的SQLServer蠕虫病毒，就是采用了这种原理。该病毒（可以理解为一个攻击者）向一台运行SQLServer解析服务的服务器发送一个解析服务的UDP报文，该报文的源地址填写为另外一台运行SQLServer解析程序（SQLServer2000以后版本）的服务器，这样由于SQLServer解析服务的一个漏洞，就可能使得该UDP报文在这两台服务器之间往复，最终导致服务器或网络瘫痪。网络技术应用网木马（Trojanhorse）•木马是一种基于远程控制的黑客工具,具有如下性质:隐蔽性潜伏性危害性非授权性网络技术应用网•常见的普通木马一般是客户端/服务器端（C/S）模式，客户端/服务器端之间采用TCP/UDP的通信方式，攻击者控制的是相应的客户端程序，服务器程序是木马程序，木马程序被植入了毫不知情的用户的计算机中。以“里应外合”的工作方式，服务程序通过打开特定的端口并进行监听，这些端口好像“后门”一样，所以也有人把特洛伊木马叫做后门工具。攻击者所掌握的客户端程序向该端口发出请求（ConnectRequest）,木马便和它连接起来了，攻击者就可以使用控制器进入计算机，通过客户程序命令达到控服务器端的目的。木马的工作原理网络技术应用网木马的工作原理•实际就是一个C/S模式的程序（里应外合）操作系统被植入木马的PC（server程序）TCP/IP协议端口被植入木马的PC（client程序）操作系统TCP/IP协议端口控制端端口处于监听状态网络技术应用网木马传播方式主动与被动：•主动种入•通过E－mail•文件下载•浏览网页网络技术应用网木马实施攻击的步骤•1.配置木马：成熟的木马都有木马配置程序以实现下述两个功能。（1）木马伪装：如修改图标、捆绑文件、定制端口、自我销毁等。（2）信息反馈：•2.传播木马：有两种方式，一种是通过E-mail，另一种是通过软件下载。•3.启动木马：捆绑木马的程序只要运行，木马就运行了。•4.建立连接：需要满足两个条件，一是服务器端安装了木马程序，二是控制端、服务器端都要在线。•5.远程控制：控制服务器端，实现窃取密码、文件操作、修改注册表、锁住服务器端等。网络技术应用网木马文件的隐藏与伪装•（1）文件的位置：C:\WINNT或C:\WINNT\system32或C:\WINNT\temp目录下。•（2）文件的属性：隐藏。•（3）捆绑到其他文件上：可执行文件.EXE或.COM上。•（4）文件的名字：如，冰河木马文件名kernl132.exe,Windows系统本身正常的文件名有kernel132.dll。注意0和o的区别•（5）文件的的扩展名：如.jpg.exe，显示*.jpg,Windows默认设置不显示文件扩展名。•（6）文件的图标：更改服务器端文件图标来伪装自己。网络技术应用网木马运行中的隐藏与伪装（1）在任务栏里隐藏：是最基本的隐藏方式，以VB为例，只要把from的visible属性设置为False,ShowInTaskBar设为False，程序就不会出现在任务栏里了。（2）在任务管理器里隐藏：按下Ctrl+Alt+Del打开任务管理器，查看正在运行的进程，可发现木马进程,木马把自己设为”系统服务”就不会出现在任务管理器里了.添加系统服务的工具有很多,最典型的netservice,可手工添加系统服务.（3）隐藏端口:大部分木马一般在1024以上的高端口驻留,易被防火墙发现.现在许多新木马采用端口反弹技术,客户端使用80端口、21端口等待服务器端（被控制端）主动连接客户端（控制端）。网络技术应用网端口反弹技术•反弹技术，该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。•反弹端口型软件的原理是，客户端首先到FTP服务器，编辑在木马软件中预先设置的主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。因此在互联网上可以访问到局域网里通过NAT（透明代理）代理上网的电脑，并且可以穿过防火墙。与传统的远程控制软件相反，反弹端口型软件的服务端会主动连接客户端，客户端的监听端口一般开为80（即用于网页浏览的端口），这样，即使用户在命令提示符下使用netstat-a命令检查自己的端口，发现的也是类似TCPUserIP:3015ControllerIP：httpESTABLISHED的情况，稍微疏忽一点你就会以为是自己在浏览网页，而防火墙也会同样这么认为的。于是，与一般的软件相反，反弹端口型软件的服务端主动连接客户端，这样就可以轻易的突破防火墙的限制。网络技术应用网、在配置文件中启动（1）在Win.ini中在一般情况下,C:\WINNT\Win.ini的”Windows”字段中有启动命令“load=”和”Run=”的后面是空白的,如果有后跟程序，例如：Run=C:\WINNT\File.exeload=C:\WINNT\File.exe,这个File.exe极可能是木马。（2）在system.ini中C:\WINNT\system.ini的网络技术应用网、启