进行模拟攻击.pptx

1、第2章黑客常用的系统攻击方法黑客原理与防范措施黑客发展的历史网络威胁网络扫描网络监听常用黑客技术的原理（木马、缓冲区溢出等）黑客攻击的防范黑客发展的历史Hacker的由来黑客、骇客（Cracker）信息安全受到的威胁信息安全受到的威胁攻击复杂度与所需入侵知识关系图威胁的动机贪心 偷窃或者敲诈恶作剧 无聊的计算机程序员名声 显露出计算机经验与才智，以便证明他们的能力和获得名气报复/宿怨 解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人无知 失误和破坏了信息还不知道破坏了什么黑客道德-这是许多构成黑客人物的动机仇恨-国家和民族原因间谍 政治和军事目的谍报工作商业 商业竞争，商业间

2、谍黑客守则1)不恶意破坏系统2)不修改系统文档3)不在bbs上谈论入侵事项4)不把要侵入的站点告诉不信任的朋友5)在post文章时不用真名6)入侵时不随意离开用户主机7)不入侵政府机关系统8)不在电话中谈入侵事项9)将笔记保管好10)要成功就要实践11)不删除或涂改已入侵主机的帐号12)不与朋友分享已破解的帐号黑客入侵攻击的一般过程1.确定攻击的目标。确定攻击的目标。2.收集被攻击对象的有关信息。收集被攻击对象的有关信息。3.利用适当的工具进行扫描。利用适当的工具进行扫描。4.建立模拟环境，进行模拟攻击。建立模拟环境，进行模拟攻击。5.实施攻击。实施攻击。6.6.清除痕迹。清除痕迹。口令攻击口

3、令攻击通过猜测或获取口令文件等方式获得系统认证口令从而进入系统危险口令类型.用户名.用户名变形.生日.常用英文单词.5为以下长度的口令暴力破解：举例NAT网络安全扫描技术网络安全扫描技术网络安全扫描技术在网络安全行业中扮演的角色网络安全扫描技术在网络安全行业中扮演的角色（1）扫描软件是入侵者分析将被入侵系统的必备工具（2）扫描软件是系统管理员掌握系统安全状况的必备工具（3）扫描软件是网络安全工程师修复系统漏洞的主要工具（4）扫描软件在网络安全的家族中可以说是扮演着医生的角色 1.合法使用：检测自己服务器端口，以便给自己提供更好的服务；2.非法使用：查找服务器的端口，选取最快的攻击端口网络安全扫

4、描技术分类网络安全扫描技术分类一一般的端口扫描器二功能强大的特殊端口扫描器三.其他系统敏感信息的扫描器扫描器原理-预备知识预备知识-TCP头预备知识-IP头常用的扫描软件X-scannmapFluxayipscan端口扫描程序NmapNmap简介Nmap支持的四种最基本的扫描方式：（1）Ping扫描（-sP参数）。（2）TCP connect()端口扫描（-sT参数）。（3）TCP同步（SYN）端口扫描（-sS参数）。（4）UDP端口扫描（-sU参数）。（1）CGI Scanner（2）Asp Scanner（3）从 各 个 主 要 端 口 取 得 服 务 信 息 的Scanner（4）获取操

5、作系统敏感信息的Scanner（5）数据库Scanner（6）远程控制系统扫描器专用扫描器的介绍专用扫描器的介绍代理猎手代理猎手企业级扫描系统企业级扫描系统一优秀网络安全扫描系统的介绍：（1）ISS 公司的Internet Scanner （2）NAI 公司的cybercop Scanner二系统（本地）扫描器和远程扫描器企业级扫描系统要素企业级扫描系统要素 （1）速度 （2）对系统的负面影响 （3）能够发现的漏洞数量 （4）清晰性和解决方案的可行性 （5）更新周期 （6）所需软硬件环境要求 （7）界面的直观性和易用性 （8）覆盖范围网络安全扫描软件的局限性网络安全扫描软件的局限性（1）扫描器

6、难以智能化，不能完全代替人工分析（2）扫描器依赖升级工作，才能确保长期的有效性（3）使用扫描器，必须考虑到有关法律的规定和限制，不能滥用 总结总结（1）扫描器和其它产品一样，只是一个工具，我们不能完全依赖他的工作，人的因素也是至关重要的。（2）扫描器能够发挥的功能取决于人，人的工作是大量的同时是必不可少的。只有人的努力才能够确保扫描器功能的强大。（3）扫描器质量的好坏，在于开发公司在安全实践中积累的经验和更新能力。Sniffer原理原理Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。网卡工作原理网卡

7、内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。网卡的工作模式网卡的工作模式普通方式：混杂模式（promiscuous）：够接收到一切通过它的数据 Username:herma009Password:hiHKK234以太网（以太网（HUB）vFTPvLoginvMail普通用户A服务器C嗅探者B网网络络监监听听原原理理Username

8、herma009Password:hiHKK234网络监听原理网络监听原理一个sniffer需要作的：1.把网卡置于混杂模式。2.捕获数据包。3.分析数据包HUB工作原理HUB工作原理交换环境下的SNIFF交换环境下的SNIFFARPspoofUsername:herma009Password:hiHKK234switchvFTP普通用户AIP:10.1.1.2MAC:20-53-52-43-00-02服务器CIP:10.1.1.1MAC:20-53-52-43-00-01嗅探者BIP:10.1.1.3MAC:20-53-52-43-00-03Switch的的MAC地址表地址表router常

9、用的常用的SNIFF （1）windows环境下：图形界面的SNIFFnetxraysnifferpro（2）UNUX环境下：UNUX环境下的sniff可以说是百花齐放，他们都有一个好处就是发布源代码，当然也都是免费的。如sniffit，snoop,tcpdump,dsniffEttercap(交换环境下)常用的常用的SNIFF（1）.Sniffer Pro（2）.Ethereal（3）.Net monitor（4）.EffTech HTTP Sniffer（5）.Iris如何防止SNIFF进行合理的网络分段用SSH加密Sniffer往往是入侵系统后使用的，用来收集信息，因此防止系统被突破。防

10、止内部攻击。AntiSniff工具用于检测局域网中是否有机器处于混杂模式（不是免费的）木马（Trojan horse）木马是一种基于远程控制的黑客工具隐蔽性潜伏性危害性 非授权性 木马与病毒、远程控制的区别病毒程序是以自发性的败坏为目的木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。隐蔽、非授权性 木马的工作原理实际就是一个C/S模式的程序（里应外合）操作系统被植入木马的PC（server程序）TCP/IP协议端口被植入木马的PC（client程序）操作系统TCP/IP协议端口控制端端口处于监听状态木马实施攻击的步骤1.配置木马木马伪装：信息反馈：2.传播木马3.

11、启动木马4.建立连接5.远程控制木马伪装方法1.木马文件的隐藏与伪装（1）文件的位置（2）文件的属性（3）捆绑到其他文件上（4）文件的名字：（5）文件的的扩展名（6）文件的图标发现木马的方法系统的异常情况打开文件，没有任何反应查看打开的端口检查注册表查看进程1.木马运行中的隐藏与伪装（1）在任务栏里隐藏（2）在任务管理器里隐藏（3）隐藏端口木马启动方式win.inisystem.ini启动组注册表捆绑方式启动:伪装在普通文件中设置在超级连接中 防御发现木马：检查系统文件、注册表、端口不要轻易使用来历不明的软件不熟悉的E-MAIL不打开常用杀毒软件并及时升级查在安装新的软件之前，请先备份注册表在

12、安装完软件以后，立即用杀毒软件查杀Windows文件夹和所安装的软件的所在文件夹。如果杀毒软件报告有病毒，这时请将它杀掉，杀毒完成后，重新启动计算机木马传播方式主动与被动：主动种入通过Email文件下载浏览网页流行木马简介流行木马简介冰 河back orificeSubseven网络公牛(Netbull)网络神偷(Nethief)广外女生Netspy(网络精灵)拒绝服务攻击(DoS)DoS-Denial of ServiceDoS攻击的事件：2000年2月份的Yahoo、亚马逊、CNN被DoS攻击 2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。2003年1月

13、25日的“2003蠕虫王”病毒2004年8月，共同社报道：日本近期共有上百网站遭到黑客袭击。攻击者 目标主机目标主机SYNSYN/ACKSYN/ACK等待应答等待应答SYN：同步SYN/ACK:同步/确认(DoS):拒绝服务攻击(DoS)(控制).SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK.等待应答等待应答SYN/ACK.以windows 为例SYN攻击花费时间（秒）累计花费时间（秒）第一次，失败33尝试第1次，失败 69尝试第2次，失败 1221尝试第3次，失败 2445尝

14、试第4次，失败 4893尝试第5次，失败 96189死亡之ping SYN FloodLand攻击泪珠（Teardrop）攻击 行行色色的行行色色的DOSDOS攻击攻击1)1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者攻击者各种客户主机各种客户主机目标系统目标系统2)攻击者进入其已经发现的最弱的客户主机之内攻击者进入其已经发现的最弱的客户主机之内(“肉机肉机”)，并且秘密地，并且秘密地安置一个其可远程控制的代理程序安置一个其可远程控制的代理程序(端口监督程序端口监督程序demon)demon)。攻击准备：攻击准备：安置代理代理

15、程序代理程序DDoS攻击时序(分布式拒绝服务)3)3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。求送至目标系统。攻击者目标系统目标系统发起攻击：发起攻击：指令指令攻击的代理程序4)4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。导致它因通信淤塞而崩溃。虚假的连接请求虚假的连接请求DDoS攻击时序(分布式拒绝服务)一个病毒被发给许多的客户。只要他们打开并且启动该病毒，.该病毒将再继续传播，传送它本身到别的客户

16、诸如此类(病毒感染呈指数增长)。按指数率增长按指数率增长自我传播的电子邮件e-mail病毒缓冲区溢出（buffer overflow)把1升的水注入容量为0.5升的容量中通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。缓冲区溢出实例voidfunction(char*str)charbuffer16;strcpy(buffer,str);voidmain()charlarge_string256;inti;for(i=0;i255;i+)large_stringi=A;function(large_string);缓冲区溢出原理缓冲区溢出原理什么是缓冲区溢出什么是缓冲区溢出缓冲区溢出缓冲区溢出指的是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。缓冲区区溢出出现情况缓冲溢出安全问题在下列环境中能出现：当直接往缓冲直接读入时当从一个大的缓存拷贝入小的缓存时当将其它进程的输入放入一个字符串缓存