搜索
1黑客入侵技术2端口扫描网络监听IP电子欺骗拒绝服务攻击特洛伊木马E-mail炸弹缓冲区溢出3黑客攻击介绍黑客与入侵者黑客攻击的目的黑客攻击的三个阶段黑客攻击手段4黑客与入侵者黑客的行为没有恶意,而入侵者的行为具有恶意。在网络世界里,要想区分开谁是真正意义上的黑客,谁是真正意义上的入侵者并不容易,因为有些人可能既是黑客,也是入侵者。而且在大多数人的眼里,黑客就是入侵者。所以,在以后的讨论中不再区分黑客、入侵者,将他们视为同一类。5黑客攻击的目的1.窃取信息2.获取口令3.控制中间站点4.获得超级用户权限6黑客攻击的3个阶段1.确定目标2.搜集与攻击目标相关的信息,并找出系统的安全漏洞3.实施攻击7黑客攻击手段1.黑客往往使用扫描器2.黑客经常利用一些别人使用过的并在安全领域广为人知的技术和工具。3.黑客利用Internet站点上的有关文章4.黑客利用监听程序5.黑客利用网络工具进行侦察6.黑客自己编写工具86.1端口扫描扫描器简介扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用它扫描TCP端口,并记录反馈信息,可以不留痕迹地发现远程服务器中各种TCP端口的分配、提供的服务和它们的软件版本。这就能直观地或间接地了解到远程主机存在的安全问题。9扫描器简介扫描器和监听工具一样,不同的人使用会有不同的结果:如果系统管理员使用了扫描器,它将直接有助于加强系统安全性;而对于黑客来说,扫描器是他们进行攻击入手点,不过,由于扫描器不能直接攻击网络漏洞,所以黑客使用扫描器找出目标主机上各种各样的安全漏洞后,利用其他方法进行恶意攻击。10(1)端口许多TCP/IP程序可以通过Internet启动,这些程序大都是面向客户/服务器的程序。当inetd接收到一个连接请求时,它便启动一个服务,与请求客户服务的机器通讯。为简化这一过程,每个应用程序(比如FTP、Telnet)被赋予一个唯一的地址,这个地址称为端口。在一般的Internet服务器上都有数千个端口,为了简便和高效,为每个指定端口都设计了一个标准的数据帧。换句话说,尽管系统管理员可以把服务绑定(bind)到他选定的端口上,但服务一般都被绑定到指定的端口上,它们被称为公认端口。6.1.2端口扫描的原理11(2)端口扫描简介①端口扫描是一种获取主机信息的好方法。②端口扫描程序对于系统管理人员,是一个非常简便实用的工具。③如果扫描到一些标准端口之外的端口,系统管理员必须清楚这些端口提供了一些什么服务,是不是允许的。12(3)端口扫描的原理下面介绍入侵者们如何利用上述这些信息,来隐藏自己的端口扫描。1.TCPconnect()扫描2.TCPSYN扫描3.TCPFIN扫描4.Fragmentation扫描5.UDPrecfrom()和write()扫描6.ICMP扫描136.1.3常用的扫描工具(1)网络分析工具SATANSATAN是一个分析网络的安全管理和测试、报告工具。它用来收集网络上主机的许多信息,并可以识别且自动报告与网络相关的安全问题。对所发现的每种问题类型,SATAN都提供对这个问题的解释以及它可能对系统和网络安全造成的影响的程度。通过所附的资料,它还解释如何处理这些问题。(扫描器的鼻祖,perl编写)14(2)网络安全扫描器NSS网络安全扫描器是一个非常隐蔽的扫描器。如果你用流行的搜索程序搜索它,你所能发现的入口不超过20个。这并非意味着NSS使用不广泛,而是意味着多数载有该扫描器的FTP的站点处在暗处,或无法通过搜索器找到它们。(它最根本的价值在于它的速度,它运行速度非常快)15(3)Strobe超级优化TCP端口检测程序Strobe是一个TCP端口扫描器。它具有在最大带宽利用率和最小进程资源需求下,迅速地定位和扫描一台远程目标主机或许多台主机的所有TCP“监听”端口的能力。16(4)InternetScannerInternetScanner可以说是可得到的最快和功能最全的安全扫描工具,用于UNIX和WindowsNT。它容易配置,扫描速度快,并且能产生综合报告。17(5)PortScannerPortScanner是一个运行于Windows95和WindowsNT上的端口扫描工具,其开始界面上显示了两个输入框,上面的输入框用于要扫描的开始主机IP地址,下面的输入框用于输入要扫描的结束主机IP地址。在这两个IP地址之间的主机将被扫描。18(6)Nmap世界上最受黑客欢迎的扫描器,能实现秘密扫描、动态延迟、重发与平行扫描、欺骗扫描、端口过滤探测、RPC直接扫描、分布扫描等,灵活性非常好,功能强大196.2网络监听6.2.1网络监听的原理当信息以明文的形式在网络上传播时,黑客就可以使用监听的方式来进行攻击。只要将网络接口设置为监听模式,便可以源源不断地将网上传输的信息截获。监听只能是同一个网段的主机。这里同一个网段是指物理上的连接,因为不是同一个网段的数据包,在网关就被滤掉了,传不到该网段来。网络监听的最大用处是获得用户口令。201.监听的可能性网络监听是黑客们常用的一种方法。表6.1描述了在通常的一些传输介质上,信息被监听的可能性。21表6.1不同的数据链路上传输的信息被监听的可能性数据链路监听的可能性说明Ethernet高Ethernet网是一个广播型的网络,Internet的大多数包监听事件都是一些运行在一台计算机中的包监听程序的结果,这台计算机和其他计算机,一个网关或者路由器形成一个以太网FDDIToken_ring高尽管令牌网内在的并不是一个广播网络,但实际上,带有令牌的那些包在传输过程中,平均也要经过网络上一半的计算机,高的数据传输率可以使监听变得困难电话线中等电话线可以被一些与电话公司协作的人或者—些有机会在物理上访问到线路的人搭线窃听,在微波线路上的信息也会被截获;在实际中,高速的调制解调器将比低速的调制解调器搭线窃听困难一些,因为高速调制解调器中引入了许多频率IP通过有线电视高许多已经开发出来的、使用有线电视信号发送IP数据包的系统都依靠RF调制解调器,RF调制解调器使用—个TV通道用于上行;一个用于下行;在这些线路上传输的信息没有加密,因此,可以被一些能在物理上访问到TV电缆的人截听微波和无线电高无线电本来就是一个广播型的传输媒介,任何有一个无线电接收机的人都可以截获那些传输的信息222.以太网中可以监听的原因当主机工作在监听模式下,那么,无论数据包中的目标物理地址是什么,主机都将接收。如果一台主机处于监听模式下,它还能接收到发向与自己不在同—子网(使用了不同的掩码、IP地址和网关)的主机的那些信息包。233.监听模式的设置要使主机工作在监听模式下,需要向网络接口发送I/O控制命令;将其设置为监听模式。在UNIX系统中,发送这些命令需要超级用户的权限。在UNIX系统中普通用户是不能进行网络监听的。但是,在上网的Windows95中,则没有这个限制。只要运行这一类的监听软件即可,而且具有操作方便,对监听到信息的综合能力强的特点。244.常用的监听工具(1)snoopsnoop可以截获网络上传输的数据包,并显示这些包中的内容。它使用网络包过滤功能和缓冲技术来提供有效的对网络通信过滤的功能。那些截获的数据包中的信息可以在它们被截获时显示出来,也可以存储在文件中,用于以后的检查。Snoop可以以单行的形式只输出数据包的总结信息,也可以以多行的形式对包中信息详细说明。25(2).Sniffit软件Sniffit是由LawrenceBerkeley实验室开发的,运行于Solaris、SGI和Linux等平台的一种免费网络监听软件,具有功能强大且使用方便的特点。使用时,用户可以选择源、目标地址或地址集合,还可以选择监听的端口、协议和网络接口等。266.2.2网络监听的检测1.简单的检测方法(1)方法一对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处于监听状态的机器能接收。(2)方法二往网上发大量不存在的物理地址的包,由于监听程序将处理这些包,会导致性能下降。通过比较前后该机器性能(icmpechodelay等方法)加以判断。27(3)方法三一个看起来可行的检查监听程序的方法是搜索所有主机上运行的进程。那些使用DOS、WindowsforWorkgroup或者Windows95的机器很难做到这一点。而使用UNIX和WindowsNT的机器可以很容易地得到当前进程的清单。28方法四:另外一个办法就是去搜索监听程序,入侵者很可能使用的是一个免费软件。管理员就可以检查目录,找出监听程序,但这很困难而且很费时间。在UNIX系统上,人们可能不得不自己编写一个程序。另外,如果监听程序被换成另一个名字,管理员也不可能找到这个监听程序。用于要扫描的开始主机IP地址,下面的输入框用于输入要扫描的结束主机IP地址。在这两个IP地址之间的主机将被扫描。292.对付一个监听3.其他防范监听的方法4.ifstatus工具306.3IP电子欺骗6.3.1关于盗用IP地址惟一留下马脚的是物理地址有可能被记录下来,如果盗用的是另一网段—台主机的IP地址,一般情况下是不行的,因为在正常通信时,将收不到从对方返回的IP数据包。31因此,只能盗用本网段的IP地址。原因很简单:一个最简单的网段,也要有一个路由器作为出口。在路由器的配置中,要指定这个网段的网络地址和掩码。如果这个网段的主机使用了其他网段的IP地址,则路由器不认为这个IP地址是属于它的网段,所以不给转发。防止盗用IP地址可以绑定IP地址和物理地址。326.3.2IP电子欺骗的原理1.IP电子欺骗过程IP电子欺骗就是伪造某台主机的IP地址的技术,通过IP地址的伪装使得某台主机能够伪装成另外的一台主机。关于IP欺骗技术有如下3个特征:(1)只有少数平台能够被这种技术攻击。(2)这种技术出现的可能性比较小。(3)这种攻击方法很容易防备。332.可以实施欺骗的对象(1)运行SunRPC的计算机。(2)基于IP地址认证的网络服务。(3)MIT的X视窗系统。(4)提供R系列服务(如提供rlogin、rsh与rcp等服务)的计算机。346.3.3IP电子欺骗的实施1.关于信任关系几乎所有的欺骗都是基于某些计算机之间的相互信任的,黑客可以通过很多命令、端口扫描技术与监听技术来确定计算机之间的信任关系。352.IP欺骗技术攻击方式(1)通过假冒为计算机B来欺骗计算机A和C;(2)通过假冒为计算机A或C来欺骗计算机B为了假冒C去欺骗B,首先是攻击原来的C,使得C瘫痪。主机C主机A信任B主机B信任C363.攻击的几个过程(1)使计算机C的网络部分不能正常工作(2)找到计算机B发出的包的系列号(3)实施攻击(4)建立一个更好的后门37正常的三次握手计算机1服务器计算机2初始序列号ISN=N1,SYN初始序列号ISN=N2,SYN,ACK=N1+1初始序列号SYN=N1+1,ACK=N2+138黑客假冒计算机1黑客服务器计算机2初始序列号ISN=N1,SYN初始序列号SYN=?,ACK=N1+1初始序列号SYN=N1+1,ACK=?需要猜出服务器的序列号394.IP电子欺骗出现的频率较少,技术要求较高,需要准确猜出序列号,还需要知道某网络内部计算机之间的信任关系。一些专用的算法,技术得到应用,并产生了一些专用的c程序,如SEQ-scan,yaas等。当黑客得到这些c程序时,一切问题都将迎刃而解406.3.4IP电子欺骗的防范对于来自网络外部的欺骗来说,只要在路由器里面设置不允许声称来自内部网络的外部计算机的包通过就行了。当实施欺骗的主机在同一网络内时,攻击往往容易得手,并且不容易防范。416.4拒绝服务攻击6.4.1概述拒绝服务是一种简单的破坏性攻击,攻击者使得攻击目标失去工作能力,使得系统不可访问因而合法用户不能及时得到应得的服务或系统资源,它最本质的特征是延长正常的应用服务的等待时间。42主要表现为以下几个方面:(1)企图湮灭一个网络