2020年2月24日星期一黑客攻击与防范1第七章黑客攻击与防范本章主要内容:第一节黑客攻击介绍第二节黑客攻击常用工具第三节黑客攻击常见的两种形式第四节黑客攻击的防范2020年2月24日星期一黑客攻击与防范2知识点黑客攻击的目的、黑客攻击的三个阶段黑客攻击的常用工具、黑客攻击的防备网络监听及其检测扫描器及其使用来自E-mail的攻击、E-mail的安全策略特洛伊木马程序及其检测、删除2020年2月24日星期一黑客攻击与防范3难点黑客攻击的防备网络监听及其检测特洛伊木马程序及其检测、删除2020年2月24日星期一黑客攻击与防范4要求熟练掌握以下内容:什么是黑客?黑客攻击的目的、常用工具及攻击的防备网络监听及其检测方法来自E-mail的攻击、E-mail的安全策略特洛伊木马程序及其检测、删除了解以下内容:E-mail的安全漏洞特洛伊木马的存在形式2020年2月24日星期一黑客攻击与防范5第一节黑客攻击介绍黑客与入侵者黑客攻击的目的黑客攻击的三个阶段黑客攻击手段2020年2月24日星期一黑客攻击与防范67.1.1黑客与入侵者黑客的行为没有恶意,而入侵者的行为具有恶意。在网络世界里,要想区分开谁是真正意义上的黑客,谁是真正意义上的入侵者并不容易,因为有些人可能既是黑客,也是入侵者。而且在大多数人的眼里,黑客就是入侵者。所以,在以后的讨论中不再区分黑客、入侵者,将他们视为同一类。2020年2月24日星期一黑客攻击与防范77.1.2黑客攻击的目的1.窃取信息2.获取口令3.控制中间站点4.获得超级用户权限2020年2月24日星期一黑客攻击与防范87.1.3黑客攻击的3个阶段1.确定目标2.搜集与攻击目标相关的信息,并找出系统的安全漏洞3.实施攻击2020年2月24日星期一黑客攻击与防范97.1.4黑客攻击手段1.黑客往往使用扫描器2.黑客经常利用一些别人使用过的并在安全领域广为人知的技术和工具。3.黑客利用Internet站点上的有关文章4.黑客利用监听程序5.黑客利用网络工具进行侦察6.黑客自己编写工具2020年2月24日星期一黑客攻击与防范10第二节黑客攻击常用工具网络监听扫描器2020年2月24日星期一黑客攻击与防范117.2.1网络监听1.网络监听简介所谓网络监听就是获取在网络上传输的信息。通常,这种信息并不是特定发给自己计算机的。一般情况下,系统管理员为了有效地管理网络、诊断网络问题而进行网络监听。然而,黑客为了达到其不可告人的目的,也进行网络监听。2020年2月24日星期一黑客攻击与防范122.在以太网中的监听(1)以太网中信息传输的原理。以太网协议的工作方式:发送信息时,发送方将对所有的主机进行广播,广播包的包头含有目的主机的物理地址,如果地址与主机不符,则该主机对数据包不予理睬,只有当地址与主机自己的地址相同时主机才会接受该数据包,但网络监听程序可以使得主机对所有通过它的数据进行接受或改变。2020年2月24日星期一黑客攻击与防范13(2)监听模式的设置要使主机工作在监听模式下,需要向网络接口发送I/O控制命令;将其设置为监听模式。在UNIX系统中,发送这些命令需要超级用户的权限。在UNIX系统中普通用户是不能进行网络监听的。但是,在上网的Windows95中,则没有这个限制。只要运行这一类的监听软件即可,而且具有操作方便,对监听到信息的综合能力强的特点。2020年2月24日星期一黑客攻击与防范14(3)网络监听所造成的影响网络监听使得进行监听的机器响应速度变得非常慢2020年2月24日星期一黑客攻击与防范153.常用的监听工具(1)snoopsnoop可以截获网络上传输的数据包,并显示这些包中的内容。它使用网络包过滤功能和缓冲技术来提供有效的对网络通信过滤的功能。那些截获的数据包中的信息可以在它们被截获时显示出来,也可以存储在文件中,用于以后的检查。Snoop可以以单行的形式只输出数据包的总结信息,也可以以多行的形式对包中信息详细说明。2020年2月24日星期一黑客攻击与防范162.Sniffit软件Sniffit是由LawrenceBerkeley实验室开发的,运行于Solaris、SGI和Linux等平台的一种免费网络监听软件,具有功能强大且使用方便的特点。使用时,用户可以选择源、目标地址或地址集合,还可以选择监听的端口、协议和网络接口等。2020年2月24日星期一黑客攻击与防范174.网络监听的检测方法一:对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处于监听状态的机器能接收。如果他的IPstack不再次反向检查的话,就会响应。这种方法依赖于系统的IPstack,对一些系统可能行不通。2020年2月24日星期一黑客攻击与防范18方法二:往网上发大量不存在的物理地址的包,由于监听程序将处理这些包,将导致性能下降。通过比较前后该机器性能(icmpechodelay等方法)加以判断。这种方法难度比较大。方法三:一个看起来可行的检查监听程序的方法是搜索所有主机上运行的进程。那些使用DOS、WindowsforWorkgroup或者Windows95的机器很难做到这一点。而使用UNIX和WindowsNT的机器可以很容易地得到当前进程的清单。2020年2月24日星期一黑客攻击与防范19方法四:另外一个办法就是去搜索监听程序,入侵者很可能使用的是一个免费软件。管理员就可以检查目录,找出监听程序,但这很困难而且很费时间。在UNIX系统上,人们可能不得不自己编写一个程序。另外,如果监听程序被换成另一个名字,管理员也不可能找到这个监听程序。2020年2月24日星期一黑客攻击与防范207.2.2扫描器1.扫描器简介扫描器是自动检测远程或本地主机安全性漏洞的程序包。使用扫描器,不仅可以很快地发现本地主机系统配置和软件上存在的安全隐患,而且还可以不留痕迹地发现远在另一个半球的一台主机的安全性漏洞,这种自动检测功能快速而准确。扫描器和监听工具一样,不同的人使用会有不同的结果:如果系统管理员使用了扫描器,它将直接有助于加强系统安全性;而对于黑客来说,扫描器是他们进行攻击入手点,不过,由于扫描器不能直接攻击网络漏洞,所以黑客使用扫描器找出目标主机上各种各样的安全漏洞后,利用其他方法进行恶意攻击。2020年2月24日星期一黑客攻击与防范212.端口扫描(1)端口许多TCP/IP程序可以通过Internet启动,这些程序大都是面向客户/服务器的程序。当inetd接收到一个连接请求时,它便启动一个服务,与请求客户服务的机器通讯。为简化这一过程,每个应用程序(比如FTP、Telnet)被赋予一个唯一的地址,这个地址称为端口。在一般的Internet服务器上都有数千个端口,为了简便和高效,为每个指定端口都设计了一个标准的数据帧。换句话说,尽管系统管理员可以把服务绑定(bind)到他选定的端口上,但服务一般都被绑定到指定的端口上,它们被称为公认端口。2020年2月24日星期一黑客攻击与防范22(2)端口扫描简介①端口扫描是一种获取主机信息的好方法。②端口扫描程序对于系统管理人员,是一个非常简便实用的工具。③如果扫描到一些标准端口之外的端口,系统管理员必须清楚这些端口提供了一些什么服务,是不是允许的。2020年2月24日星期一黑客攻击与防范233.常用的扫描工具(1)网络分析工具SATANSATAN是一个分析网络的安全管理和测试、报告工具。它用来收集网络上主机的许多信息,并可以识别且自动报告与网络相关的安全问题。对所发现的每种问题类型,SATAN都提供对这个问题的解释以及它可能对系统和网络安全造成的影响的程度。通过所附的资料,它还解释如何处理这些问题。2020年2月24日星期一黑客攻击与防范24(2)网络安全扫描器NSS网络安全扫描器是一个非常隐蔽的扫描器。如果你用流行的搜索程序搜索它,你所能发现的入口不超过20个。这并非意味着NSS使用不广泛,而是意味着多数载有该扫描器的FTP的站点处在暗处,或无法通过搜索器找到它们。2020年2月24日星期一黑客攻击与防范25(3)Strobe超级优化TCP端口检测程序Strobe是一个TCP端口扫描器。它具有在最大带宽利用率和最小进程资源需求下,迅速地定位和扫描一台远程目标主机或许多台主机的所有TCP“监听”端口的能力。2020年2月24日星期一黑客攻击与防范26(4)InternetScannerInternetScanner可以说是可得到的最快和功能最全的安全扫描工具,用于UNIX和WindowsNT。它容易配置,扫描速度快,并且能产生综合报告。2020年2月24日星期一黑客攻击与防范27(5)PortScannerPortScanner是一个运行于Windows95和WindowsNT上的端口扫描工具,其开始界面上显示了两个输入框,上面的输入框用于要扫描的开始主机IP地址,下面的输入框用于输入要扫描的结束主机IP地址。在这两个IP地址之间的主机将被扫描。2020年2月24日星期一黑客攻击与防范28第三节黑客攻击常见的两种形式E-mail攻击特洛伊木马攻击2020年2月24日星期一黑客攻击与防范297.3.1E-mail攻击1.E-mail工作原理一个邮件系统的传输实际包含了三个方面,它们是用户代理(UserAgent)、传输代理(TransferAgent)及接受代理(DeliveryAgent)三大部分。用户代理是一个用户端发信和收信的应用程序,它负责将信按照一定的标准包装,然后送至邮件服务器,将信件发出或由邮件服务器收回。传输代理则负责信件的交换和传输,将信件传送至适当的邮件主机。2020年2月24日星期一黑客攻击与防范30接受代理则是负责将信件根据信件的信息而分发至不同的邮件信箱。传输代理要求能够接受用户邮件程序送来的信件,解读收信人的具体地址,根据SMTP(SimpleMailTransportProtocol)协议将它正确无误地传递到目的地。而接收代理POP(PostOfficeProtocol,网络邮局协议或网络中转协议)则必须能够把用户的邮件被用户读取至自己的主机。2020年2月24日星期一黑客攻击与防范312.E-mail的安全漏洞(1)HotmailService存在漏洞(2)sendmail存在安全漏洞(3)用Web浏览器查看邮件带来的漏洞(4)E-mail服务器的开放性带来的威胁(5)E-mail传输形式的潜在威胁2020年2月24日星期一黑客攻击与防范323.匿名转发所谓匿名转发,就是电子邮件的发送者在发送邮件时,使接收者搞不清邮件的发送者是谁,邮件从何处发送,采用这种邮件发送的方法称为匿名转发,用户接收到的邮件又叫匿名邮件。2020年2月24日星期一黑客攻击与防范334.来自E-mail的攻击(1)E-mail欺骗(2)E-mail轰炸2020年2月24日星期一黑客攻击与防范345.E-mail安全策略保护E-mail的有效方法是使用加密签字,如“PrettyGoodPrivacy”(PGP),来验证E-mail信息。通过验证E-mail信息,可以保证信息确实来自发信人,并保证在传送过程中信息没有被修改。2020年2月24日星期一黑客攻击与防范357.3.2特洛伊木马攻击1.特洛伊木马程序简介(1)什么是特洛伊木马特洛伊木马来自于希腊神话,这里指的是一种黑客程序,它一般有两个程序,一个是服务器端程序,一个是控制器端程序。如果用户的电脑安装了服务器端程序,那么黑客就可以使用控制器端程序进入用户的电脑,通过命令服务器断程序达到控制用户电脑的目的。2020年2月24日星期一黑客攻击与防范36(2)木马服务端程序的植入攻击者要通过木马攻击用户的系统,一般他所要作的第一步就是要把木马的服务器端程序植入用户的电脑里面。植入的方法有:①下载的软件②通过交互脚本③通过系统漏洞2020年2月24日星期一黑客攻击与防范37(3)木马将入侵主机信息发