第七章黑客的攻击与防范

2020/2/24计算机网络安全1第七章黑客的攻击与防范了解黑客攻击的目的及攻击步骤熟悉黑客常用的攻击方法掌握防范黑客的措施掌握黑客攻击过程，并防御黑客攻击2020/2/24计算机网络安全27.1网络黑客概述黑客，英文名为Hacker，是指对计算机信息系统进行非授权访问的人员(《中华人民共和国公共安全行业标准GA163—1997》中定义)。人们通常认为黑客是指在计算机技术上有一定特长，并凭借自己掌握的技术知识，采用非法的手段逃过计算机网络系统的存取控制，而获得进入计算机网络进行未授权的或非法的访问的人。2020/2/24计算机网络安全37.2黑客攻击的目的及步骤2020/2/24计算机网络安全47.2.1黑客攻击的目的窃取信息获取口令控制中间站点获得超级用户权限2020/2/24计算机网络安全57.2.2黑客攻击的步骤黑客常用的攻击步骤可以说变幻莫测，但纵观其整个攻击过程，还是有一定规律可循的，一般可以分：攻击前奏、实施攻击、巩固控制、继续深入几个过程。下面具体了解一下这几个过程：1.攻击前奏黑客在发动攻击前了解目标的网络结构，搜集各种目标系统的信息等。(1)锁定目标：(2)了解目标的网络结构：2020/2/24计算机网络安全6(3)搜集系统信息：(4)利用信息服务：2.实施攻击3.巩固控制4.继续深入2020/2/24计算机网络安全77.3常用的黑客攻击方法2020/2/24计算机网络安全87.3.1端口扫描一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描能得到许多有用的信息。进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。手工进行扫描需要熟悉各种命令，对命令执行后的输出进行分析。用扫描软件进行扫描时，许多扫描器软件都有分析数据的功能。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。2020/2/24计算机网络安全9下面首先介绍几个常用网络命令，对端口扫描原理进行介绍。1.常用的网络相关命令1)Ping命令的基本格式Pinghostname其中hostname是目标计算机的地址。2)Tracert命令用来跟踪一个消息从一台计算机到另一台计算机所走的路径，比如从你的计算机走到其他计算机。3)Rusers和Finger2020/2/24计算机网络安全10这两个都是UNIX命令。通过这两个命令,能搜集到目标计算机上的有关用户的消息。2.端口扫描原理扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息(比如：是否能用匿名登陆，是否有可写的FTP目录，是否能用Telnet。2020/2/24计算机网络安全117.3.2口令破解通过破解获得系统管理员口令，进而掌握服务器的控制权是黑客的一个重要手段。破解获得管理员口令的方法有很多，下面是3种最为常见的方法。(1)猜解简单口令：(2)字典攻击：(3)暴力猜解：2020/2/24计算机网络安全127.3.3特洛伊木马特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下执行。其名称源于古希腊的特洛伊木马神话，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马“丢弃”于特洛伊城，让敌人将其作为战利品拖入城内。木马内的庆祝胜利而放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。2020/2/24计算机网络安全131.特洛伊木马的隐藏方式1)在任务栏里隐藏2)在任务管理器里隐藏3)端口4)隐藏通信5)隐藏加载方式6)最新隐身技术2.特洛伊木马的工作原理第一步：木马服务端程序的植入。第二步：木马将入侵主机信息发送给攻击者。2020/2/24计算机网络安全14第三步：木马程序启动并发挥作用。特洛伊木马要能发挥作用必须具备3个因素。(1)木马需要一种启动方式，一般在注册表启动组中。(2)木马需要在内存中才能发挥作用。(3)木马会打开特别的端口，以便黑客通过这个端口和木马联系。3.特洛伊木马程序的存在形式(1)Win.ini：run=、load=项目中的程序名。(2)System.ini：Shell=Explorer.exe项后的程序名。(3)注册表：Run项中的程序。2020/2/24计算机网络安全154.特洛伊木马的特性1)隐蔽性2)自动运行性3)功能的特殊性4)自动恢复功能5)能自动打开特别的端口5.特洛伊木马种类1)破坏型特洛伊木马2)密码发送型特洛伊木马3)远程访问型特洛伊木马4)键盘记录特洛伊木马2020/2/24计算机网络安全165)DoS攻击特洛伊木马6)代理特洛伊木马7)FTP特洛伊木马8)程序杀手特洛伊木马9)反弹端口型特洛伊木马6.特洛伊木马的入侵1)集成到程序中2)隐藏在配置文件中3)潜伏在Win.ini中4)伪装在普通文件中5)内置到注册表中2020/2/24计算机网络安全176)在System.ini中藏身7)隐形于启动组中8)隐蔽在Winstart.bat中9)捆绑在启动文件中10)设置在超链接中2020/2/24计算机网络安全187.3.4缓冲区溢出攻击1.缓冲溢出攻击的原理缓冲区是程序运行的时候机器内存中的一个连续块，它保存了给定类型的数据，随着动态分配变量会出现问题。大多数时候为了不占用太多的内存，一个有动态分配变量的程序在程序运行时才决定给它们分配多少内存。这样下去的话，如果说要给程序在动态分配缓冲区放入超长的数据，它就会溢出了。2.缓冲区溢出攻击的方法1)植入法2020/2/24计算机网络安全192)利用已经存在的代码3.缓冲区溢出攻击的防范技术1)编写正确的代码2)非执行的缓冲区3)数组边界检查4)程序指针完整性检查2020/2/24计算机网络安全207.3.5拒绝服务攻击1.拒绝服务攻击原理拒绝服务即DenialofService，简称DoS，由于它的不易觉察性和简易性，因而一直是网络安全的重大隐患。它是一种技术含量低，攻击效果明显的攻击方法，受到攻击时，服务器在长时间内不能提供服务，使得合法用户不能得到服务，特别是分布式拒绝服务DDoS，它的效果很明显，并且难以找到真正的攻击源，很难找到行之有效的解决方法。2.分布式拒绝服务攻击2020/2/24计算机网络安全21分布式拒绝服务攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般采用一对一的方式，随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的效果不明显，攻击的难度加大了，目标系统对恶意攻击包有足够的消化处理能力。2020/2/24计算机网络安全227.3.6网络监听网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。2020/2/24计算机网络安全237.4攻击实例2020/2/24计算机网络安全247.4.1网络监听实例本实例介绍的是使用Cain软件进行Sniffer，软件版本号是Cain2.5，Cain2.5主界。用Cain可以进行非交换环境下的Sniffer和交换环境下的Sniffer。下面就分别对这两种方法进行介绍。1.交换环境下的Sniffer首先，先设定好被监听的网卡，如图7.3所示，再打开Sniffer的开关就可以了实行Sniffer了，这种方法用于Sniffer同在HUB下的其他机器(包括本机)的各种通信。2020/2/24计算机网络安全25图7.2Cain2.5主界面图7.3设定被监听的网卡2020/2/24计算机网络安全262．交换环境下的Sniffer这里192.108.0.5和192.168.0.168是互相信任而且已被控制的两台机器。试试能不能监听它们之间的通信。Telnet命令界面如图7.4所示，首先Telnet到192.108.0.5上去再执行netuse\\192.168.0.168\IPC$/user：administrator命令。在Cain中是不会看到它记下这次SMB协议的会话，如图7.5所示，这说明和192.108.0.5、192.168.0.168是处在交换环境下的。2020/2/24计算机网络安全27图7.4Telnet命令界面图7.5Cain没有记录下这次会话2020/2/24计算机网络安全287.4.2口令破解实例破解软件CrackFTP的使用。CrackFTP是一款FTP破解软件，可破解FTP用户的密码。破解前必须先知道此FTP中的一个用户名。首先介绍该软件主界面，如图7.10所示。当各项参数都设置完毕之后，单击Crack按钮便开始破解，如图7.11所示。在使用这款软件时，需要注意的一点是连接间歇，由于每个FTP设置了不同的连接间歇，如果设置不当，你的IP会被FTP禁止，所以要尽量设置得大一些。2020/2/24计算机网络安全29图7.10主界面图7.11破解出FTP密码2020/2/24计算机网络安全307.5防黑措施1.防范黑客入侵的措施2.防范黑客入侵的步骤1)第一步：选好操作系统2)第二步：补丁升级3)第三步：关闭无用的服务4)第四步：隐藏IP地址5)第五步：查找本机漏洞6)第六步：防火墙软件保平安2020/2/24计算机网络安全317.6常用攻击和防御软件的应用实验实验说明：特洛伊木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在并不知情的的状态下控制或者监视用户的电脑。下面通过分别学习如何使用常用的木马程序和如何使用防范木马入侵的程序，从正反两个方面来加深了解黑客入侵的手段，使大家能够更好地保护自己的电脑不受黑客攻击。2020/2/24计算机网络安全327.6.1“冰河”使用说明1.实训目的和内容(1)掌握木马的原理和攻击方法。(2)了解“冰河”的配置及使用方法。(3)掌握清除“冰河”的方法。2.实训步骤1)各模块简要说明安装好服务器端监控程序后，运行客户端程序就可以对远程计算机进行监控了，客户端执行程序的各模块功能如图7.20所示。2020/2/24计算机网络安全33图7.20“冰河”功能模块2020/2/24计算机网络安全342）命令控制台主要命令(1)口令类命令：系统信息及口令、历史口令、击键记录，如图7.23所示。图7.23口令类命令界面及展示信息2020/2/24计算机网络安全35(2)控制类命令：捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其他控制(如锁定注册表等)，如图7.24所示。图7.24控制类命令界面及发送信息演示2020/2/24计算机网络安全36(3)网络类命令：创建共享、删除共享、查看网络信息，如图7.25所示。图7.25网络类命令界面2020/2/24计算机网络安全373）手动清除“冰河”方法表述如下。①删除C：\Windows\system下的Kernel32.exe和sy***plr.exe文件。②删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的键值C：\Windows\system\Kernel32.exe。③删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runs-ervices下的键值C：\Windows\system\Kernel32.e