搜索
江门职业技术学院网络安全技术1第7章黑客攻击与防护策略本章要点:黑客常用的攻击针对攻击的基本防护策略介绍一此扫描器、嗅探器及抗DoS产品江门职业技术学院网络安全技术2本章教学目标了解黑客攻击的目的及攻击步骤熟悉黑客常用的攻击方法掌握防范黑客的措施掌握黑客攻击过程,并防御黑客攻击江门职业技术学院网络安全技术3攻击事件2005年,三季黑客攻击事件比同期增加150%2007-06-21,五角大楼电子邮件系统遭黑客入侵,美国国防部的电脑系统每天可能遭到数百次的黑客攻击.新华网洛杉矶2007年3月21日赛门铁克公司日前发布的报告指出,美国是全球网络黑客的大本营,其每年产生的恶意电脑攻击行为远高于其他国家,占全球网络黑客攻击行为总数的约31%。江门职业技术学院网络安全技术4什么是黑客?江门职业技术学院网络安全技术5黑客的定义黑客这个名词是由英文“hacker”音译来过的。而“hacker”又是源于英文动词“hack”。(“hack”在字典里的意思为:劈砍,引申为“干了一件不错的事情”)黑客并不是指入侵者。黑客起源与50年代麻省立功学院的实验室里。他们喜欢追求新的技术,新的思维,热充解决问题。但到了90年代,黑客渐渐变成“入侵者”。因为,人们的心态一直在变,而黑客的本质也一直在变。许多所谓的黑客,学会技术后,干起犯法的事情。例如,进入银行系统盗取信用卡密码,利用系统漏洞进入服务器后进行破坏,利用黑客程序(特洛伊木马)控制别人的机子。这些都是可耻的。也因为一件件可耻的事情暴光后,传媒把“黑客”这个名词强加在“入侵者”身上。令人们认为黑客=入侵者!江门职业技术学院网络安全技术6真正的黑客是指真正了解系统,对电脑有创造有贡献的人们。而不是以破坏为目的的入侵者。能否成功当一名黑客,最重要的是心态,而不是技术。江门职业技术学院网络安全技术7真正耻辱“黑客”的是:某个人利用学到的黑客技术,非法进入主机后,更改,删除和破坏主机的资料。黑客技术正如一把刀。落在警察里是好工具,落在歹徒里就是一个作案工具。江门职业技术学院网络安全技术8数千黑客聚会美国讨论电脑安全问题数千名职业黑客、政府探员和电脑安全的热心人士2007年8月1日聚集在美国拉斯韦加斯开会,讨论最新发现的电脑安全薄弱环节,并敦促大公司采取措施加强防范。报道说,与会人士将重点讨论今年的两大网络袭击事件,一是爱沙尼亚的银行、媒体和政府机构的网站遭到计划周密的侵袭;二是T.J.Maxx母公司和玛莎百货商店的电脑信息泄露,导致至少4500万个信用卡和借方卡的信息可能被犯罪分子用于诈骗。江门职业技术学院网络安全技术9红客可以说是中国黑客起的名字。英文“honker”是红客的译音。红客,是一群为捍卫中国的主权而战的黑客们!他们的精神是令人敬佩的!江门职业技术学院网络安全技术10破解者Cracker喜欢探索软件程序!他们的目标是一些需要注册的软件。他们通常利用Debug,找出内存中的密码。江门职业技术学院网络安全技术11江门职业技术学院网络安全技术12江门职业技术学院网络安全技术13江门职业技术学院网络安全技术14主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播,或导致拒绝服务以及数据的篡改。江门职业技术学院网络安全技术15被动攻击包括分析通信流,监视未被保护的通信,解密弱加密通信,获取鉴别信息(比如口令)。被动攻击可能造成在没有得到用户同意的情况下,将信息或文件泄露给攻击者,如泄露个人的信用卡号码和医疗档案等。江门职业技术学院网络安全技术16物理临近攻击是指未被授权的个人,在物理意义上接近网络、系统或设备,试图改变、收集信息或拒绝他人对信息的访问。江门职业技术学院网络安全技术17内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当使用,或使他人的访问遭到拒绝;后者指由于粗心、无知以及其他非恶意的原因而造成的破坏。江门职业技术学院网络安全技术18软硬件装配分发攻击指在工厂生产或分销过程中对硬件和软件进行的恶意修改,这种攻击可能是在产品里引入恶意代码,比如后门。江门职业技术学院网络安全技术19江门职业技术学院网络安全技术20黑客的常用攻击手法江门职业技术学院网络安全技术21目标探测探测叫扫描,确定目标,并收集相关的周边信息之后,探测一台主机包括是否活动、主机系统、正在使用哪些端口、提供了哪些服务、相关服务的软件版本等等,为进一步的攻击行为作准备.扫描工具也非常的多,从一般的PortScanner到可以穿透防火墙的Scan工具,比如强大的nmap,国内的X-Scanner、流光等等。江门职业技术学院网络安全技术22江门职业技术学院网络安全技术23利用已知漏洞攻击恶意程序利用了某个已知漏洞去攻击系统很多windows计算机的攻击是针对那些微软不再支持的老版本的,如果这些系统无法更新,用户就得用防火墙以及防毒软件来保护系统。维持彻底而迅速的补丁更新机制.江门职业技术学院网络安全技术24特洛伊木马完整的木马程序一般由两个部分组成:一个是服务器端,一个是控制器端。“中了木马”就是指安装了木马的客户端程序,若你的电脑被安装了客户端程序,则拥有相应服务器端的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了。江门职业技术学院网络安全技术25拒绝服务攻击拒绝服务(DoS)——任何对服务的干涉如果使得其可用性降低或者失去可用性均称为拒绝服务。如果一个计算机系统崩溃或其带宽耗尽或其硬盘被填满,导致其不能提供正常的服务,就构成拒绝服务。拒绝服务(DoS)攻击——是指攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。江门职业技术学院网络安全技术26缓冲区溢出攻击缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上.缓冲区溢出攻击是通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间想匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区又被称为堆栈.在各个操作进程之间,指令会被临时储存在堆栈当中,堆栈也会出现缓冲区溢出。江门职业技术学院网络安全技术27嗅探Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。Sniffer分为软件和硬件两种,软件的Sniffer有NetXray、Packetboy、Netmonitor等,其优点是物美价廉,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪,一般都是商业性的,价格也比较贵。江门职业技术学院网络安全技术28无线网络安全无线网络可能受到的攻击分为两类,一类是关于网络访问控制、数据机密性保护和数据完整性保护进行的攻击.这类攻击在有线环境下也会发生;另一类则是由无线介质本身的特性决定的,基于无线通信网络设计、部署和维护的独特方式而进行的攻击。江门职业技术学院网络安全技术29社会工程学一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。江门职业技术学院网络安全技术30社会工程攻击一种利用“社会工程学”来实施的网络攻击行为。最近流行的免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等,都是近来社会工程学的代表应用。江门职业技术学院网络安全技术31怎样避免成为受害者?小心从个人发出的询问员工或其他内部资料的来路不明的电话,访问或者电子邮件信息。如果一个不认识的个人声称来自某合法机构,请设法直接向该机构确认他或她的身份。除非你能够确定某人有权得到此类资料,否则不要供个人信息或者你所在机构的信息给他,包括你所在机构的组织结构和网络方面的信息。不要在电子邮件中泄露私人的或财务方面的信息,不要回应征求此类信息的邮件,也包括不要点击此类邮件中的链接。在检查某个网站的安全性之前不要在网络上发送机密信息。注意一个网站的URL地址。恶意网站可以看起来和合法网站一样,但是它的URL地址可能使用了修改过的拼写或域名(例如将.com变为.net)。江门职业技术学院网络安全技术32如果你认为已受危害该如何做?如果你确信已经泄露了你所在机构的机密信息,请向你所在机构的适当人员报告,包括网络管理员。这样他们就能够对可疑的或不正常的活动提高警惕。如果你确信你的财务账号被侵害了,请迅速联系你的财务机构并关闭可能被侵害的账号。观察你的账号中任何无法解释的收费。请考虑将攻击报告给警察,并发送一份报告给相关安全机构。江门职业技术学院网络安全技术337.2.1黑客攻击的目的窃取信息获取口令控制中间站点获得超级用户权限江门职业技术学院网络安全技术34江门职业技术学院网络安全技术357.2.2攻击前奏——踩点搜集汇总各种与目标系统相关的信息.信息工具或方法网页信息用浏览器域名信息NSlookup命令网络结构VisualRoute工具路径信息Tracert命令江门职业技术学院网络安全技术367.2.2攻击前奏——扫描端口扫描:探测主机开放的端口漏洞扫描:用漏洞扫描工具江门职业技术学院网络安全技术37常用的扫描器P1901.Suprescan:(示范)TCP端口扫描器、Ping和域名解析器.2.X-scan3.Nmap4.流光:江门职业技术学院网络安全技术387.2.2攻击前奏——嗅探以非常隐藏方式获取网络中的大量敏感信息基本原理是以太网基于广播方式传送数据,所有的物理信号都会被传送到每一个主机节点.网卡设为混杂模式,无论监听的地址,网卡都能接收.江门职业技术学院网络安全技术39江门职业技术学院网络安全技术40江门职业技术学院网络安全技术41江门职业技术学院网络安全技术42嗅探器---Tcpdump/windumpWindump是Windows环境下一款经典的网络协议分析软件,其Unix版本名称为Tcpdump。它可以捕捉网络上两台电脑之间所有的数据包,供网络管理员/入侵分析员做进一步流量分析和入侵检测。在这种监视状态下,任何两台电脑之间都没有秘密可言,所有的流量、所有的数据都逃不过你的眼睛.江门职业技术学院网络安全技术43嗅探器---snifferpronifferpro,NAI公司出品的可能是目前最好的网络协议分析软件之一支持各种平台,性能优越它们适用于有完整的专家分析和Sniffer先进的协议解释功能要求的网络。SnifferPro对LAN和WAN网段上的网络传输的所有层进行监测,揭示性能问题,分析反常情况,并推荐解决方案---所有这些功能都可以自动地实时实现。演示操作江门职业技术学院网络安全技术44反嗅探器---Antisnifferantisniffer是一个安全监视工具,用来监测网络内的主机的网卡是否处于混杂模式,以识别是否该主机正在运行sniffer程序。•江门职业技术学院网络安全技术457.2.3攻击破坏性攻击获取访问权攻击“网络钓鱼”式攻击江门职业技术学院网络安全技术46设置6位以上的密码江门职业技术学院网络