第4章-黑客攻防与检测防御

第4章黑客攻防与检测防御上海教育高地建设项目高等院校规划教材（第2版）上海市精品课程网络安全技术目录4.2黑客攻击的目的及过程24.3常用的黑客攻防技术34.4网络攻击的防范措施44.1黑客概念及攻击途径14.5入侵检测与防御系统概述54.6Sniffer网络监测实验64.7本章小结7目录教学目标●了解黑客攻击的目的及攻击步骤●熟悉黑客常用的攻击方法●理解防范黑客的措施●掌握黑客攻击过程，并防御黑客攻击●掌握入侵检测与防御系统的概念、功能、特点和应用方法重点重点4.1黑客概念及攻击途径4.1.1黑客概念及形成1.黑客及其演变“黑客”是英文“Hacker”的译音,源于Hack,本意为“干了一件非常漂亮的事”。原指一群专业技能超群、聪明能干、精力旺盛、对计算机信息系统进行非授权访问的人。后来成为专门利用计算机进行破坏或入侵他人计算机系统的人的代言词。“骇客”是英文“Cacker”的译音，意为“破译者和搞破坏的人”。骇客的出现玷污了黑客，使人们把“黑客”和“骇客”混为一体。中国网络遭攻击瘫痪，涉事IP指向美国公司。据环球时报2014年1月综合报道，中国互联网部分用户1月21日遭遇大范围“瘫痪”性极为严重的攻击现象，国内通用顶级根域名服务器解析出现异常，部分国内用户无法访问.cn或.com等域名网站。据初步统计，全国有2/3的网站和数十亿企事业机构或个人用户访问受到极大影响，绝大多数网站无法打开浏览，导致系统处于瘫痪状态。案例4-12.黑客的类型把黑客分为“正”、“邪”两类，也就是经常听说的“黑客”和“红客”。把黑客分为红客、破坏者和间谍三种类型，红客是指“国家利益至高无上”的、正义的“网络大侠”；破坏者也称“骇客”；间谍是指“利益至上”情报“盗猎者”。4.1黑客概念及攻击途径3.黑客的形成与发展20世纪60年代，在美国麻省理工学院的人工智能实验室里，有一群自称为黑客的学生们以编制复杂的程序为乐趣，当初并没有功利性目的。此后不久，连接多所大学计算机实验室的美国国防部实验性网络APARNET建成，黑客活动便通过网络传播到更多的大学乃至社会。后来，有些人利用手中掌握的“绝技”，借鉴盗打免费电话的手法，擅自闯入他人的计算机系统，干起隐蔽活动。随着APARNET逐步发展成为因特网，黑客们的活动天地越来越广阔，人数也越来越多，形成鱼目混珠的局面。案例4-24.1黑客概念及攻击途径4.1.2黑客攻击的主要途径1.黑客攻击的漏洞系统漏洞又称缺陷。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可使攻击者能够在未授权的情况下访问或破坏系统。造成漏洞的原因分析如下：1）计算机网络协议本身的缺陷。2）系统研发的缺陷。3）系统配置不当。4）系统安全管理中的问题。其他:协议、系统、路由、传输、DB、技术、管理及法规等4.1黑客概念及攻击途径2.黑客入侵通道—端口端口是指网络中面向连接/无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和I/O缓冲区。计算机通过端口实现与外部通信的连接/数据交换,黑客攻击是将系统和网络设置中的各种(逻辑)端口作为入侵通道.端口号：端口通过端口号标记（只有整数）,范围：0~65535（216-1）目的端口号:用于通知传输层协议将数据送给具体处理软件源端口号：一般是由操作系统动态生成的号码：1024～655354.1黑客概念及攻击途径3.端口分类按端口号分布可分为三段：1）公认端口(0～1023),又称常用端口,为已经或将要公认定义的软件保留的.这些端口紧密绑定一些服务且明确表示了某种服务协议.如80端口表示HTTP协议(Web服务).2）注册端口(1024～49151),又称保留端口,这些端口松散绑定一些服务。3）动态/私有端口(49152～65535).理论上不为服务器分配.按协议类型将端口划分为TCP和UDP端口：1）TCP端口需要在客户端和服务器之间建立连接,提供可靠的数据传输.如Telnet服务的23端口,SMTP默认25。2）UDP端口不需要在客户端和服务器之间建立连接.常见的端口有DNS服务的53端口。讨论思考：（1）什么是安全漏洞和隐患？为什么网络存在安全漏洞和隐患？（2）举例说明，计算机网络安全面临的黑客攻击问题。（3）黑客通道--端口主要有哪些？特点是什么？FTP服务通过TCP传输,默认端口20数据传输,21命令传输4.1黑客概念及攻击途径4.2.1黑客攻击的目的及种类1.黑客攻击的目的及行为4.2黑客攻击的目的及过程最大网络攻击案件幕后黑手被捕。2013年一荷兰男子SK因涉嫌有史以来最大的网络攻击案件而被捕。SK对国际反垃圾邮件组织Spamhaus等网站，进行了前所未有的一系列的大规模分布式拒绝服务攻击(DDoS)，在高峰期攻击达到每秒300G比特率，导致欧洲的某些局部地区互联网速度缓慢，同时致使成千上万相关网站无法正常运行服务。黑客攻击其目的：其一，为了得到物质利益；是指获取金钱财物；其二，为了满足精神需求。是指满足个人心理欲望.黑客行为：攻击网站；盗窃资料；进行恶作剧；告知漏洞；获取目标主机系统的非法访问权等。案例4-34.2.1黑客攻击的目的及种类2.黑客攻击手段及种类4.2黑客攻击的目的及过程大量木马病毒伪装成“东莞艳舞视频”网上疯传。2014年2月，央视《新闻直播间》曝光了东莞的色情产业链，一时间有关东莞信息点击量剧增，与之有关的视频、图片信息也蜂拥而至。仅过去的24小时内，带有“东莞”关键词的木马色情网站（伪装的“钓鱼网站”）拦截量猛增11.6%，相比平时多出近10万次。大量命名为“东莞艳舞视频”、“东莞桑拿酒店视频”的木马和广告插件等恶意软件出现，致使很多用户机密信息被盗。1）网络监听。2）拒绝服务攻击3）欺骗攻击。①源IP地址欺骗②源路由欺骗攻击。4）缓冲区溢出。5）病毒及密码攻击6）应用层攻击。案例4-44.2.2黑客攻击的过程黑客攻击步骤各异,但其整个攻击过程有一定规律,一般可分为“攻击五部曲”。隐藏IP踩点扫描黑客利用程序的漏洞进入系统后安装后门程序，以便日后可以不被察觉地再次进入系统。就是隐藏黑客的位置，以免被发现。通过各种途径对所要攻击目标进行多方了解,确保信息准确,确定攻击时间和地点.篡权攻击种植后门隐身退出即获得管理/访问权限,进行攻击。为避免被发现,在入侵完后及时清除登录日志和其他相关日志,隐身退出.4.2黑客攻击的目的及过程黑客攻击企业内部局域网过程，图4-1是攻击过程的示意图.讨论思考：（1）黑客攻击的目的与步骤？（2）黑客找到攻击目标后,可以继续那几步的攻击操作？（3）黑客的行为有哪些？①用Ping查询企业内部网站服务器的IP③用PortScan扫描企业内部局域网PORT④用⑥用Legion扫描局域网⑦植入特洛伊木马⑤破解Internet账号与口令（或密码）②用IPNetworkBrowser扫描企业内部局域网IP图4-1黑客攻击企业内部局域网的过程示意图4.2黑客攻击的目的及过程4.3.1端口扫描的攻防端口扫描是管理员发现系统的安全漏洞，加强系统的安全管理，提高系统安全性能的有效方法。端口扫描成为黑客发现获得主机信息的一种最佳手段。1.端口扫描及扫描器（1）端口扫描.是使用端口扫描工具检查目标主机在哪些端口可建立TCP连接,若可连接，则表明主机在那个端口被监听。（2）扫描器。扫描器也称扫描工具或扫描软件,是一种自动检测远程或本地主机安全性弱点的程序。4.3常用的黑客攻防技术4.3.1端口扫描攻防2.端口扫描方式方法端口扫描的方式有手工命令行方式和扫描器扫描方式。端口扫描工具及方式有：1）TCPconnect扫描。2）TCPSYN扫描。端口扫描工具的功能：1）通过Ping来检验IP是否在线；2）IP和域名相互转换；3）检验目标计算机提供的服务类别；4）检验一定范围目标计算机是否在线和端口情况；5）工具自定义列表检验目标计算机是否在线和端口情况；6）自定义要检验的端口，并可以保存为端口列表文件；7）自带一个木马端口列表trojans.lst，通过这个列表用户可以检测目标计算机是否有木马；同时，也可以自定义修改这个木马端口列表。4.3常用的黑客攻防技术4.3.1端口扫描攻防3．端口扫描攻击端口扫描攻击采用探测技术，攻击者可将其用于寻找能够成功攻击的服务。连接在网络中的计算机都会运行许多使用TCP或UDP端口的服务,而所提供的已定义端口达6000个以上.端口扫描可让攻击者找到可用于发动各种攻击的端口。4.端口扫描的防范对策端口扫描的防范又称系统“加固”.网络的关键处使用防火墙对来源不明的有害数据进行过滤,可有效减轻端口扫描攻击,防范端口扫描的主要方法有两种：(1)关闭闲置及有潜在危险端口方式一：定向关闭指定服务的端口。计算机的一些网络服务为系统分配默认的端口，应将闲置服务-端口关闭。4.3常用的黑客攻防技术操作方法与步骤：1）打开“控制面板”窗口。2）打开“服务”窗口。“控制面板”→“管理工具”→“服务”,选择DNS。3）关闭DNS服务在“DNSClient的属性”窗口.启动类型项:选择“自动”服务状态项：选停止-确定。在服务选项中选择关闭掉一些没使用的服务，如FTP服务、DNS服务、IISAdmin服务等，对应的端口也停用。4.3常用的黑客攻防技术案例关闭DNS端口服务方式二：只开放允许端口.可用系统的“TCP/IP筛选”功能实现,设置时只允许系统的一些基本网络通讯需要的端口.(2)屏蔽出现扫描症状的端口检查各端口，有端口扫描症状时，立即屏蔽该端口。4.3.2网络监听攻防1.网络监听网络监听是指通过某种手段监视网络状态、数据流以及网络上传输信息的行为。网络监听是主机的一种工作模式。2．网络监听的检测Sniffer主要功能：1）监听计算机在网络上所产生的多种信息；2）监听计算机程序在网络上发送和接收的信息，包括用户的账号、密码和机密数据资料等。这是一种常用的收集有用数据的方法。3）在以太网中，Sniffer将系统的网络接口设定为混杂模式，可监听到所有流经同一以太网网段的数据包，而且不管其接受者或发送者是否运行Sniffer的主机。预防网络监听所采用方法有很多种。4.3常用的黑客攻防技术4.3.3密码破解的攻防1.密码破解攻击的方法1）通过网络监听非法得到用户口令2）利用Web页面欺骗3）强行破解用户口令4）密码分析的攻5)放置木马程序4.3常用的黑客攻防技术2.密码破解防范对策通常保持密码安全应注意的要点：1)不要将密码写下来，以免遗失；2)不要将密码保存在电脑文件中；3)不要选取显而易见的信息做密码；4)不要让他人知道；5)不要在不同系统中使用同一密码；4.3.4特洛伊木马的攻防1．特洛伊木马概述特洛伊木马（Trojanhorse）简称“木马”。黑客借用古希腊神话《木马屠城记》其名，将隐藏在正常程序中的一段恶意代码称作特洛伊木马。木马系统组成：由硬件部分、软件部分和连接控制部分组成。一般都包括客户端和服务端两个程序，客户端用于远程控制植入木马，服务器端即是木马程序。木马特点：伪装成一个实用工具、游戏等,诱使用户下载并将其安装在PC或服务器上;侵入用户电脑并进行破坏;一般木马执行文件较小,若将木马捆绑到其他正常文件上很难发现;木马可与最新病毒、漏洞工具一起使用,几乎可躲过杀毒软件.4.3常用的黑客攻防技术4.3.4特洛伊木马攻防2．特洛伊木马攻击过程利用微软Scripts脚本漏洞对浏览者硬盘格式化的HTML页面.若攻击者将木马执行文件下载到被攻击主机的一个可执行目录夹在,则可通过编制CGI程序在攻击主机上执行木马目录。木马攻击的基本过程分为6个步骤：4.3常用的黑客攻防技术配置木马传播木马运行木马泄露信息建立连接远程控制案例4-54.3.4特洛伊木马攻防3.木马的防范对策必须提高防范意识，在打开或下载文件之前，一定要确认文件的来源是否可靠；阅读readme.txt，并注意readme.ex