網(wǎng)絡(luò)安全第2章黑客與攻擊技術(shù)

1、第2章 黑客與攻擊技術(shù) 2.1黑客概述 2.1.1 黑客 1什么是黑客 黑客是“Hacker”的音譯，源于動(dòng)詞Hack，其引申意義是指“干了一件非常漂亮的事”。這里說(shuō)的黑客是指那些精于某方面技術(shù)的人。對(duì)于計(jì)算機(jī)而言，黑客是指既具有高超的專(zhuān)業(yè)技術(shù)（精通網(wǎng)絡(luò)、系統(tǒng)、外設(shè)以及軟硬件技術(shù)），又能遵守黑客行為準(zhǔn)則的人。 通常所說(shuō)的“黑客”指的是駭客（Cracker，破壞者），是那些懷有不良企圖，強(qiáng)行闖入他人系統(tǒng)或以某種惡意目的干擾他人的網(wǎng)絡(luò)，運(yùn)用自己的知識(shí)去做出有損他人權(quán)益的事情的人，也稱(chēng)入侵者。 任何職業(yè)都有相關(guān)的職業(yè)道德，黑客也有其“行規(guī)”，一些守則是必須遵守的，歸納起來(lái)就是“黑客守則”。 （1）不

2、要惡意破壞任何系統(tǒng)，否則會(huì)給自己帶來(lái)麻煩。 （2）不要破壞別人的軟件和資料。 （3）不要修改任何系統(tǒng)文件，如果是由于進(jìn)入系統(tǒng)的需要，則應(yīng)該在目的達(dá)到后將其恢復(fù)原狀。 （4）不要輕易地將你要黑的或者黑過(guò)的站點(diǎn)告訴不信任的朋友。 （5）在發(fā)表黑客文章時(shí)不要用自己的真實(shí)名字。 2黑客守則 2黑客守則 （6）正在入侵的時(shí)候，不要隨意離開(kāi)自己的電腦。 （7）不要入侵或破壞政府機(jī)關(guān)的主機(jī)。 （8）將自己的筆記放在安全的地方。 （9）已侵入的電腦中的賬號(hào)不得清除或修改。 （10）可以為隱藏自己的侵入而作一些修改，但要盡量保持原系統(tǒng)的安全性，不能因?yàn)榈玫较到y(tǒng)的控制權(quán)而將門(mén)戶(hù)大開(kāi)。 （11）勿做無(wú)聊、單調(diào)并且愚

3、蠢的重復(fù)性工作。 （12）要做真正的黑客，讀遍所有有關(guān)系統(tǒng)安全或系統(tǒng)漏洞的書(shū)籍。3.黑客的威脅趨勢(shì)1980 1985 1990 1995 2001 2003時(shí)間（年）高各種攻擊者的綜合威脅程度低對(duì)攻擊者技術(shù)知識(shí)和技巧的要求黑客攻擊越來(lái)越容易實(shí)現(xiàn)，威脅程度越來(lái)越高4.黑客攻擊的目標(biāo)針對(duì)基礎(chǔ)設(shè)施、安全設(shè)備的攻擊終端、用戶(hù)系統(tǒng)基礎(chǔ)設(shè)施危害范圍更大、造成損失更大、負(fù)面影響更大主機(jī)、服務(wù)器安全設(shè)備安全設(shè)備“后面”往往毫無(wú)戒備，用戶(hù)對(duì)安全設(shè)備的依賴(lài)性更大針對(duì)業(yè)務(wù)流程、信息內(nèi)容的安全威脅垃圾信息（垃圾郵件、垃圾廣告、）有害信息（反動(dòng)、色情、暴力、）針對(duì)業(yè)務(wù)系統(tǒng)設(shè)計(jì)漏洞的攻擊5.黑客攻擊的演變（1）攻擊手段在

4、快速改變 如今各種黑客工具唾手可得，各種各樣的黑客網(wǎng)站到處都是。網(wǎng)絡(luò)攻擊的自動(dòng)化程度和攻擊速度不斷提高，利用分工協(xié)同的掃描方式、配合靈活的任務(wù)配置和加強(qiáng)自身隱蔽性，來(lái)實(shí)現(xiàn)大規(guī)模、高效率的安全掃描。安全脆弱的系統(tǒng)更容易受到損害；從以前需要依靠人啟動(dòng)軟件工具發(fā)起的攻擊，發(fā)展到攻擊工具可以自己發(fā)動(dòng)新的攻擊；攻擊工具的開(kāi)發(fā)者正在利用更先進(jìn)的技術(shù)武裝攻擊工具，攻擊工具的特征比以前更難發(fā)現(xiàn)，攻擊工具越來(lái)越復(fù)雜。（2）漏洞被利用的速度越來(lái)越快 安全問(wèn)題的技術(shù)根源是軟件和系統(tǒng)的安全漏洞，正是一些別有用心的人利用了這些漏洞，才造成了安全問(wèn)題。 新發(fā)現(xiàn)的各種系統(tǒng)與網(wǎng)絡(luò)安全漏洞每年都要增加一倍，每年都會(huì)發(fā)現(xiàn)安全漏洞

5、的新類(lèi)型，網(wǎng)絡(luò)管理員需要不斷用最新的軟件補(bǔ)丁修補(bǔ)這些漏洞。黑客經(jīng)常能夠搶在廠(chǎng)商修補(bǔ)這些漏洞前發(fā)現(xiàn)這些漏洞并發(fā)起攻擊。（3）有組織的攻擊越來(lái)越多 攻擊的群體在改變，從個(gè)體到有組織的群體，各種各樣黑客組織不斷涌現(xiàn)，進(jìn)行協(xié)同作戰(zhàn)。 在攻擊工具的協(xié)調(diào)管理方面，隨著分布式攻擊工具的出現(xiàn)，黑客可以容易地控制和協(xié)調(diào)分布在Internet上的大量已部署的攻擊工具。目前，分布式攻擊工具能夠更有效地發(fā)動(dòng)拒絕服務(wù)攻擊，掃描潛在的受害者，危害存在安全隱患的系統(tǒng)。（4）攻擊的目的和目標(biāo)在改變從早期的以個(gè)人表現(xiàn)的無(wú)目的的攻擊，到有意識(shí)有目的的攻擊，攻擊目標(biāo)在改變；從早期的以軍事敵對(duì)為目標(biāo)向民用目標(biāo)轉(zhuǎn)變，民用計(jì)算機(jī)受到越來(lái)

6、越多的攻擊，公司甚至個(gè)人的電腦都成為了攻擊目標(biāo)。更多的職業(yè)化黑客的出現(xiàn)，使網(wǎng)絡(luò)攻擊更加有目的性。黑客們已經(jīng)不再滿(mǎn)足于簡(jiǎn)單、虛無(wú)飄渺的名譽(yù)追求，更多的攻擊背后是豐厚的經(jīng)濟(jì)利益。（5）攻擊行為越來(lái)越隱密 攻擊者已經(jīng)具備了反偵破、動(dòng)態(tài)行為、攻擊工具更加成熟等特點(diǎn)。反偵破是指黑客越來(lái)越多地采用具有隱蔽攻擊特性的技術(shù)，使安全專(zhuān)家需要耗費(fèi)更多的時(shí)間來(lái)分析新出現(xiàn)的攻擊工具和了解新的攻擊行為。動(dòng)態(tài)行為是指現(xiàn)在的自動(dòng)攻擊工具可以根據(jù)隨機(jī)選擇、預(yù)先定義的決策路徑或通過(guò)入侵者直接管理，來(lái)變化它們的模式和行為，而不是像早期的攻擊工具那樣，僅能夠以單一確定的順序執(zhí)行攻擊步驟。（6）攻擊的破壞效果增大 由于用戶(hù)越來(lái)越多地

7、依賴(lài)計(jì)算機(jī)網(wǎng)絡(luò)提供各種服務(wù)，完成日常業(yè)務(wù)，黑客攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成的破壞影響越來(lái)越大。 由于攻擊技術(shù)的進(jìn)步，攻擊者可以較容易地利用分布式攻擊技術(shù)，對(duì)受害者發(fā)動(dòng)破壞性攻擊。隨著黑客軟件部署自動(dòng)化程度和攻擊工具管理技巧的提高，安全威脅的不對(duì)稱(chēng)性將繼續(xù)增加。攻擊者的數(shù)量也不斷增加。1信息收集 黑客首先要確定攻擊的目標(biāo)，然后利用社會(huì)學(xué)攻擊、黑客技術(shù)等方法和手段，收集目標(biāo)主機(jī)的各種信息。收集信息并不會(huì)對(duì)目標(biāo)主機(jī)造成危害，只是為進(jìn)一步攻擊提供有價(jià)值的信息。2入侵并獲得初始訪(fǎng)問(wèn)權(quán) 黑客要想入侵一臺(tái)主機(jī)，必須要有該主機(jī)的賬號(hào)和密碼，所以黑客首先要設(shè)法盜取賬戶(hù)文件，并進(jìn)行破解，以獲得用戶(hù)的賬號(hào)和密碼，然后以合法

8、的身份登錄到被攻擊的主機(jī)上。3獲得管理員權(quán)限，實(shí)施攻擊 有了普通賬號(hào)就可以侵入到目標(biāo)主機(jī)之中，由于普通賬號(hào)的權(quán)限有限，所以黑客會(huì)利用系統(tǒng)的漏洞、監(jiān)聽(tīng)、欺騙、口令攻擊等技術(shù)和手段獲取管理員的權(quán)限，然后實(shí)施對(duì)該主機(jī)的絕對(duì)控制。2.1.2黑客攻擊的步驟 2.1.2黑客攻擊的步驟4種植后門(mén) 為了保持對(duì)“勝利果實(shí)”長(zhǎng)期占有的欲望，在已被攻破的主機(jī)上種植供自己訪(fǎng)問(wèn)的后門(mén)程序。5隱藏自己 當(dāng)黑客實(shí)施攻擊以后，通常會(huì)在被攻擊主機(jī)的日志中留下相關(guān)的信息，所以黑客一般會(huì)采用清除系統(tǒng)日志或者偽造系統(tǒng)日志等方法來(lái)銷(xiāo)毀痕跡，以免被跟蹤。 2.1.2黑客攻擊的步驟攻擊主機(jī)確定目標(biāo)信息收集漏洞挖掘攻擊網(wǎng)絡(luò)留下后門(mén)清除日志結(jié)

9、束攻擊2.1.3黑客常用的攻擊手段 目前常見(jiàn)的黑客攻擊手段主要有以下幾種： 1社會(huì)工程學(xué)攻擊 社會(huì)工程學(xué)攻擊是指利用人性的弱點(diǎn)、社會(huì)心理學(xué)等知識(shí)來(lái)獲得目標(biāo)系統(tǒng)敏感信息的行為。 攻擊者如果沒(méi)有辦法通過(guò)物理入侵直接取得所需要的資料，就會(huì)通過(guò)計(jì)策或欺騙等手段間接獲得密碼等敏感信息，通常使用電子郵件、電話(huà)等形式對(duì)所需要的資料進(jìn)行騙取，再利用這些資料獲取主機(jī)的權(quán)限以達(dá)到其攻擊的目的。 1社會(huì)工程學(xué)攻擊 （1）打電話(huà)請(qǐng)求密碼 盡管不像前面討論的策略那樣聰明，但打電話(huà)尋問(wèn)密碼卻經(jīng)常奏效。在社會(huì)工程中那些黑客冒充失去密碼的合法雇員，經(jīng)常通過(guò)這種簡(jiǎn)單的方法重新獲得密碼。 （2）偽造Email 通過(guò)使用telne

10、t，黑客可以截取任何用戶(hù)Email的全部信息，這樣的Email消息是真實(shí)的，因?yàn)樗l(fā)自于合法的用戶(hù)。利用這種機(jī)制，黑客可以任意進(jìn)行偽造，并冒充系統(tǒng)管理員輕松地獲得大量的信息，以實(shí)施他們的惡意陰謀。 信息收集就是對(duì)目標(biāo)主機(jī)及其相關(guān)設(shè)施、管理人員進(jìn)行非公開(kāi)的了解，用于對(duì)攻擊目標(biāo)安全防衛(wèi)工作情況的掌握。 （1）簡(jiǎn)單信息收集?？梢酝ㄟ^(guò)一些網(wǎng)絡(luò)命令對(duì)目標(biāo)主機(jī)進(jìn)行信息查詢(xún)。如，Ping、Finger、Whois、Tracerroute等。 （2）網(wǎng)絡(luò)掃描。使用掃描工具對(duì)網(wǎng)絡(luò)地址、開(kāi)放端口等情況掃描。 （3）網(wǎng)絡(luò)監(jiān)聽(tīng)。使用監(jiān)聽(tīng)工具對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)聽(tīng)，以獲得口令等敏感信息。 2信息收集型攻擊3欺騙型攻擊 通

11、常利用實(shí)體之間的信任關(guān)系而進(jìn)行的一種攻擊方式，主要形式有： （1）IP欺騙。使用其它主機(jī)的IP地址來(lái)獲得信息或者得到特權(quán)。 （2）Web欺騙。通過(guò)主機(jī)間的信任關(guān)系，以Web形式實(shí)施的一種欺騙行為。 （3）郵件欺騙。用冒充的Email地址進(jìn)行欺騙。 （4）非技術(shù)類(lèi)欺騙。主要是針對(duì)人力因素的攻擊，通過(guò)社會(huì)工程技術(shù)來(lái)實(shí)現(xiàn)。 通常是利用系統(tǒng)漏洞或缺陷進(jìn)行的攻擊。 （1）緩沖區(qū)溢出：是指通過(guò)有意設(shè)計(jì)而造成緩沖區(qū)溢出的現(xiàn)象，目的是使程序運(yùn)行失敗，或者為了獲得系統(tǒng)的特權(quán)。 （2）拒絕服務(wù)攻擊：如果一個(gè)用戶(hù)占用大量資源，系統(tǒng)就沒(méi)有剩下的資源再提供服務(wù)，導(dǎo)致死機(jī)等現(xiàn)象的發(fā)生，如，死亡之Ping、淚滴（Teard

12、rop）、UDP洪水、SYN洪水、Land攻擊、郵件炸彈、Fraggle攻擊等。 （3）分布式拒絕服務(wù)攻擊：攻擊者通常控制多個(gè)分布的“傀儡”主機(jī)，對(duì)某一目標(biāo)發(fā)動(dòng)拒絕服務(wù)的攻擊。 4漏洞與缺陷攻擊5利用型攻擊 利用型攻擊是指試圖直接對(duì)主機(jī)進(jìn)行控制的攻擊，常見(jiàn)有： （1）猜口令。通過(guò)分析或暴力攻擊等手段獲取合法賬戶(hù)的口令。 （2）木馬攻擊。這里的“木馬”是潛在威脅的意思，種植過(guò)木馬的主機(jī)將會(huì)完全被攻擊者掌握和控制。 6病毒攻擊 致使目標(biāo)主機(jī)感染病毒，從而造成系統(tǒng)損壞、數(shù)據(jù)丟失、拒絕服務(wù)、信息泄密、性能下降等現(xiàn)象的攻擊。 病毒攻擊是當(dāng)今網(wǎng)絡(luò)信息安全的主要威脅之一。 2.1.4黑客入侵后的應(yīng)對(duì)措施 1

13、發(fā)現(xiàn)黑客 發(fā)現(xiàn)信息系統(tǒng)是否被入侵不是件容易的事，即使已經(jīng)有黑客入侵，也可能永遠(yuǎn)發(fā)現(xiàn)不了。如果黑客破壞了站點(diǎn)的安全性，則追蹤他們，方法有：借助工具來(lái)發(fā)現(xiàn)，如：掃描、監(jiān)聽(tīng)等對(duì)可疑行為進(jìn)行檢查，如檢查系統(tǒng)命令等查看屢次失敗的訪(fǎng)問(wèn)口令2應(yīng)急操作（1）估計(jì)形勢(shì) 估計(jì)入侵造成的破壞程度，如，是否已經(jīng)入侵？是否還滯留？是否來(lái)自?xún)?nèi)部等。（2）切斷連接 立即采取行動(dòng)，切斷連接，如，關(guān)閉服務(wù)器，追蹤黑客等。（3）分析問(wèn)題 分析新近發(fā)生的安全事件，并制定一個(gè)計(jì)劃。（4）采取行動(dòng) 實(shí)施緊急反應(yīng)計(jì)劃，修補(bǔ)漏洞，恢復(fù)系統(tǒng)。3抓住入侵者遵循一定的原則，有利于抓住入侵者定期檢查登錄文件注意不尋常的登錄注意突然活躍的賬號(hào)預(yù)判入

14、侵者的活動(dòng)時(shí)間2.1.5黑客與信息安全 進(jìn)入21世紀(jì)，黑客的行為又呈現(xiàn)出新的特點(diǎn)，主要表現(xiàn)為：（1）群體組織化（2）地域全球化（3）構(gòu)成大眾化（4）陣容年輕化（5）技術(shù)智能化（6）手段多樣化（7）動(dòng)機(jī)商業(yè)化（8）身份合法化（9）行為軍事化2.2網(wǎng)絡(luò)掃描 2.2.1掃描的概念網(wǎng)絡(luò)掃描就是對(duì)計(jì)算機(jī)系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進(jìn)行與安全相關(guān)的檢測(cè)，以找出目標(biāo)系統(tǒng)所放開(kāi)放的端口信息、服務(wù)類(lèi)型以及安全隱患和可能被黑客利用的漏洞。它是一種系統(tǒng)檢測(cè)、有效防御的工具。如果被黑客掌握，它也可以成為一種有效的入侵工具。 2.2.2網(wǎng)絡(luò)掃描的原理 網(wǎng)絡(luò)掃描的基本原理是通過(guò)網(wǎng)絡(luò)向目標(biāo)系統(tǒng)發(fā)送一些特征信息，然后根據(jù)反饋情況，獲

15、得有關(guān)信息。網(wǎng)絡(luò)掃描通常采用兩種策略：第一種是被動(dòng)式策略，所謂被動(dòng)式策略就是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他與安全規(guī)則抵觸的對(duì)象進(jìn)行檢查；第二種是主動(dòng)式策略，主動(dòng)式策略是基于網(wǎng)絡(luò)的，它通過(guò)執(zhí)行一些腳本文件，模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。利用被動(dòng)式策略?huà)呙璺Q(chēng)為安全掃描，利用主動(dòng)式策略?huà)呙璺Q(chēng)為網(wǎng)絡(luò)安全掃描。 1.端口掃描端口掃描是指通過(guò)檢測(cè)遠(yuǎn)程或本地系統(tǒng)的端口開(kāi)放情況，來(lái)判斷系統(tǒng)所安裝的服務(wù)和相關(guān)信息。其原理是向目標(biāo)工作站、服務(wù)器發(fā)送數(shù)據(jù)包，根據(jù)信息反饋來(lái)分析當(dāng)前目標(biāo)系統(tǒng)的端口開(kāi)放情況和更多細(xì)節(jié)信息。主要的目的是：判斷目標(biāo)主機(jī)中開(kāi)放了哪些服務(wù)判

16、斷目標(biāo)主機(jī)的操作系統(tǒng)（1）TCP connect() 掃描 這是最基本的TCP掃描。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，用來(lái)與每一個(gè)感興趣的目標(biāo)主機(jī)的端口進(jìn)行連接。如果端口處于偵聽(tīng)狀態(tài)，那么connect()就能成功。否則，這個(gè)端口是不能用的，即沒(méi)有提供服務(wù)。 （2）TCP SYN掃描這種技術(shù)通常認(rèn)為是“半開(kāi)放”掃描，因?yàn)閽呙璩绦虿槐匾蜷_(kāi)一個(gè)完全的TCP連接。掃描程序發(fā)送的是一個(gè)SYN數(shù)據(jù)包，好象準(zhǔn)備打開(kāi)一個(gè)實(shí)際的連接并等待反應(yīng)一樣。一個(gè)ACK的返回信息表示端口處于偵聽(tīng)狀態(tài)；一個(gè)RST返回，表示端口沒(méi)有處于偵聽(tīng)?wèi)B(tài)。（2）TCP SYN掃描客戶(hù)端服務(wù)器端客戶(hù)端服務(wù)器端正常過(guò)程半開(kāi)連接SY

17、NSYN/ACKACKSYNSYN/ACKSYN/ACKSYN Timeout（3）TCP FIN 掃描有的時(shí)候可能SYN掃描都不夠秘密。一些防火墻和包過(guò)濾器會(huì)對(duì)一些指定的端口進(jìn)行監(jiān)視，有的程序能檢測(cè)到這些掃描。FIN數(shù)據(jù)包可能會(huì)沒(méi)有任何麻煩的通過(guò)。這種掃描方法的思想是，關(guān)閉的端口會(huì)用適當(dāng)?shù)腞ST來(lái)回復(fù)FIN數(shù)據(jù)包。這種方法和系統(tǒng)的實(shí)現(xiàn)有一定的關(guān)系。有的系統(tǒng)不管端口是否打開(kāi)，都回復(fù)RST，這樣，這種掃描方法就不適用了。這種方法在區(qū)分Unix和NT時(shí)，是十分有用的。 （4）UDP ICMP端口不能到達(dá)掃描這種方法使用的是UDP。由于這個(gè)協(xié)議很簡(jiǎn)單，所以?huà)呙柘鄬?duì)比較困難。因?yàn)榇蜷_(kāi)的端口對(duì)掃描探測(cè)并

18、不發(fā)送一個(gè)確認(rèn)，關(guān)閉的端口也并不需要發(fā)送一個(gè)錯(cuò)誤數(shù)據(jù)包。但是，許多主機(jī)在你向一個(gè)未打開(kāi)的UDP端口發(fā)送一個(gè)數(shù)據(jù)包時(shí)，會(huì)返回一個(gè)ICMP_PORT_UNREACH錯(cuò)誤。這樣你就能發(fā)現(xiàn)哪個(gè)端口是關(guān)閉的。 （5）IP包分段掃描這種不能算是新方法，只是其它技術(shù)的變化。它并不是直接發(fā)送TCP探測(cè)數(shù)據(jù)包，而是將數(shù)據(jù)包分成幾個(gè)較小的IP段。這樣就將一個(gè)TCP頭分成好幾個(gè)數(shù)據(jù)包，從而過(guò)濾器就很難探測(cè)到。（6）慢速掃描由于一般掃描檢測(cè)器的實(shí)現(xiàn)是通過(guò)監(jiān)視某個(gè)時(shí)間段里一臺(tái)特定主機(jī)被連接的數(shù)目來(lái)決定是否在被掃描，因此，攻擊者可以通過(guò)使用掃描速度慢一些的掃描軟件進(jìn)行掃描，這樣檢測(cè)軟件就不會(huì)判別出他在進(jìn)行掃描了。 2.漏

19、洞掃描漏洞掃描是指檢測(cè)遠(yuǎn)程或本地系統(tǒng)中存在的安全缺陷。其原理是，采用模擬攻擊的形式，對(duì)工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用等各種對(duì)象可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查，根據(jù)掃描結(jié)果形成安全性分析報(bào)告。漏洞掃描一般分為3類(lèi)：操作系統(tǒng)掃描網(wǎng)絡(luò)安全掃描數(shù)據(jù)庫(kù)安全掃描2.漏洞掃描基于網(wǎng)絡(luò)的漏洞掃描技術(shù)：通過(guò)網(wǎng)絡(luò)來(lái)測(cè)試主機(jī)安全性，它檢測(cè)主機(jī)當(dāng)前可用的服務(wù)及其開(kāi)放端口，查找可能被遠(yuǎn)程試圖惡意訪(fǎng)問(wèn)者攻擊的大量漏洞、隱患及安全脆弱點(diǎn)?；谥鳈C(jī)的漏洞掃描技術(shù)：用于掃描本地主機(jī)，查找安全漏洞，查殺病毒、木馬、蠕蟲(chóng)等危害系統(tǒng)安全的惡意程序，主要是針對(duì)操作系統(tǒng)的掃描檢測(cè)，通常涉及系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等問(wèn)題

20、，還包括口令解密等。 2.漏洞掃描通過(guò)使用安全掃描器，可以：收集信息：包括遠(yuǎn)程操作系統(tǒng)識(shí)別、網(wǎng)絡(luò)結(jié)構(gòu)分析、端口開(kāi)放情況以及其他敏感信息，例如，提供的服務(wù)、軟件版本等。檢測(cè)漏洞：包括已知安全漏洞的檢測(cè)、錯(cuò)誤的配置檢測(cè)、弱口令檢測(cè)。2.2.3網(wǎng)絡(luò)掃描的防范 預(yù)防端口掃描的檢測(cè)是一個(gè)大的難題，因?yàn)槊總€(gè)網(wǎng)站的服務(wù)（端口）都是公開(kāi)的，所以一般無(wú)法判斷是否有人在進(jìn)行端口掃描。但是根據(jù)端口掃描的原理，掃描器一般都只是查看端口是否開(kāi)通，然后在端口列表中顯示出相應(yīng)的服務(wù)。因此，網(wǎng)絡(luò)管理員可以把服務(wù)開(kāi)在其他端口上，如可以將HTTP服務(wù)固定的80端口改為其他端口，這樣就容易區(qū)別合法的連接請(qǐng)求和掃描現(xiàn)象。2.2.3網(wǎng)

21、絡(luò)掃描的防范對(duì)于端口掃描的防范需要進(jìn)行統(tǒng)計(jì)分析，即在單位時(shí)間內(nèi)統(tǒng)計(jì)，當(dāng)發(fā)現(xiàn)接收到超過(guò)上限數(shù)目的以?huà)呙瓒丝跒槟康牡臄?shù)據(jù)包請(qǐng)求時(shí)，可以判斷為發(fā)現(xiàn)了端口掃描攻擊。對(duì)于慢掃描，可以在一段較長(zhǎng)時(shí)間內(nèi)對(duì)此類(lèi)請(qǐng)求數(shù)據(jù)包進(jìn)行聯(lián)合分析，若發(fā)現(xiàn)某特定時(shí)間段內(nèi)，主機(jī)較為均勻地接受到此類(lèi)數(shù)據(jù)包請(qǐng)求，則判斷為慢速掃描。2.2.3網(wǎng)絡(luò)掃描的防范 防范掃描可行的方法是： （1）關(guān)閉掉所有閑置的和有潛在威脅的端口。 （2）通過(guò)防火墻或其它安全系統(tǒng)檢查各端口，如果有端口掃描的癥狀時(shí)，就立即屏蔽該端口。 （3）利用特殊軟件在一些端口上欺騙黑客，讓其掃描和攻擊“陷阱”端口。 2.3網(wǎng)絡(luò)監(jiān)聽(tīng)2.3.1監(jiān)聽(tīng)的概念1什么是監(jiān)聽(tīng) 網(wǎng)絡(luò)監(jiān)聽(tīng)

22、也被稱(chēng)作網(wǎng)絡(luò)嗅探（Sniffer）。 它工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來(lái)，黑客一般都是利用該技術(shù)來(lái)截取用戶(hù)口令的。 網(wǎng)絡(luò)監(jiān)聽(tīng)是一種常用的被動(dòng)式網(wǎng)絡(luò)攻擊方法，能幫助入侵者輕易獲得用其他方法很難獲得的信息，包括用戶(hù)口令、賬號(hào)、敏感數(shù)據(jù)、IP地址、路由信息、TCP套接字號(hào)等。 網(wǎng)絡(luò)監(jiān)聽(tīng)通常在網(wǎng)絡(luò)接口處截獲計(jì)算機(jī)之間通信的數(shù)據(jù)流，是進(jìn)行網(wǎng)絡(luò)攻擊最簡(jiǎn)單、最有效的方法。它具有以下特點(diǎn)： （1）隱蔽性強(qiáng)。進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)的主機(jī)只是被動(dòng)地接收在網(wǎng)絡(luò)中傳輸?shù)男畔?，沒(méi)有任何主動(dòng)的行為，既不修改在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，也不往鏈路中插入任何數(shù)據(jù)，很難被網(wǎng)絡(luò)管理員覺(jué)察到。 （2）手段靈活。網(wǎng)絡(luò)監(jiān)聽(tīng)可以在網(wǎng)絡(luò)

23、中的任何位置實(shí)施，可以是網(wǎng)絡(luò)中的一臺(tái)主機(jī)、路由器，也可以是調(diào)制解調(diào)器。其中，網(wǎng)絡(luò)監(jiān)聽(tīng)效果最好的地方是在網(wǎng)絡(luò)中某些具有戰(zhàn)略意義的位置，如網(wǎng)關(guān)、路由器、防火墻之類(lèi)的設(shè)備或重要網(wǎng)段；而使用最方便的地方是在網(wǎng)絡(luò)中的一臺(tái)主機(jī)中。 2監(jiān)聽(tīng)的特點(diǎn) 監(jiān)聽(tīng)雖然沒(méi)有直接對(duì)系統(tǒng)發(fā)動(dòng)破壞性攻擊，但是其依舊是危險(xiǎn)的，主要危害有： （1）能夠捕獲口令。 （2）能夠捕獲專(zhuān)用的或者機(jī)密的信息。 （3）可以用來(lái)危害網(wǎng)絡(luò)鄰居的安全，或者用來(lái)獲取更高級(jí)別的訪(fǎng)問(wèn)權(quán)限。 （4）分析網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)行網(wǎng)絡(luò)滲透。 3監(jiān)聽(tīng)的危害2.3.2監(jiān)聽(tīng)的原理 正常情況下，網(wǎng)卡只接收發(fā)給自己的信息，但是如果將網(wǎng)卡模式設(shè)置為Promiscuous（混雜模式）

24、，網(wǎng)卡進(jìn)行的數(shù)據(jù)包過(guò)濾將不同于普通模式。 在普通模式下，只有本地地址的數(shù)據(jù)包或者廣播才會(huì)被網(wǎng)卡提交給系統(tǒng)核心；否則這些數(shù)據(jù)包就直接被網(wǎng)卡拋棄。 混合模式讓所有經(jīng)過(guò)的數(shù)據(jù)包都傳遞給系統(tǒng)核心；然后被Sniffer等程序利用。 2.3.2監(jiān)聽(tīng)的原理 所謂混雜接收模式是指網(wǎng)卡可以接收網(wǎng)絡(luò)中傳輸?shù)乃袌?bào)文，無(wú)論其目的MAC地址是否為該網(wǎng)卡的MAC地址。 由于網(wǎng)卡支持混雜模式，才使網(wǎng)卡驅(qū)動(dòng)程序支持MAC地址的修改成為可能；否則，就算修改了MAC地址，但是網(wǎng)卡根本無(wú)法接收相應(yīng)地址的報(bào)文，該網(wǎng)卡就變得只能發(fā)送，無(wú)法接收，通信也就無(wú)法正常進(jìn)行了。 要使機(jī)器成為一個(gè)嗅探器，需要一個(gè)特殊的軟件（以太網(wǎng)卡的廣播驅(qū)動(dòng)程

25、序）或者需要一種能使網(wǎng)絡(luò)處于混雜模式的網(wǎng)絡(luò)軟件。網(wǎng)絡(luò)監(jiān)聽(tīng)器Sniffer就是這樣的軟件。 1檢測(cè)網(wǎng)絡(luò)嗅探 網(wǎng)絡(luò)嗅探的檢測(cè)其實(shí)是很麻煩的，由于嗅探器需要將網(wǎng)絡(luò)中入侵的網(wǎng)卡設(shè)置為混雜模式才能工作，所以可以通過(guò)檢測(cè)混雜模式網(wǎng)卡的工具來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)嗅探。 還可以通過(guò)網(wǎng)絡(luò)帶寬出現(xiàn)反常來(lái)檢測(cè)嗅探。通過(guò)某些帶寬控制器，可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺(tái)機(jī)器長(zhǎng)時(shí)間的占用了較大的帶寬，這臺(tái)機(jī)器就有可能在監(jiān)聽(tīng)。通過(guò)帶寬控制器也可以察覺(jué)出網(wǎng)絡(luò)通信速度的變化。 2.3.3監(jiān)聽(tīng)的防范 1檢測(cè)網(wǎng)絡(luò)嗅探 對(duì)于SunOS和其他的BSD Unix系統(tǒng)可以使用Lsof命令來(lái)檢測(cè)嗅探器的存在。 Lsof的最初的設(shè)計(jì)目的并非為

26、了防止嗅探器入侵，但因?yàn)樵谛崽狡魅肭值南到y(tǒng)中，嗅探器會(huì)打開(kāi)Lsof來(lái)輸出文件，并不斷傳送信息給該文件，這樣該文件的內(nèi)容就會(huì)越來(lái)越大。 如果利用Lsof發(fā)現(xiàn)有文件的內(nèi)容不斷地增大，就可以懷疑系統(tǒng)被嗅探。 最好的辦法就是使網(wǎng)絡(luò)嗅探不能達(dá)到預(yù)期的效果，使嗅探價(jià)值降低，可以使用的方法包括： （1）采用安全的拓?fù)浣Y(jié)構(gòu)，如，網(wǎng)絡(luò)分段越細(xì)，嗅探器收集到的信息就越少。 （2）加密通信會(huì)話(huà)，如采用SSH將傳輸?shù)臄?shù)據(jù)進(jìn)行加密。 （3）采用靜態(tài)的ARP或者IP-MAC對(duì)應(yīng)表，可防止利用ARP欺騙進(jìn)行的嗅探。2主動(dòng)防御網(wǎng)絡(luò)嗅探2.4Web欺騙 2.4.1Web欺騙的概念 Web欺騙是指攻擊者建立一個(gè)使人相信的Web站

27、點(diǎn)的“拷貝”，這個(gè)Web站點(diǎn)“拷貝”就像真的一樣，它具有原頁(yè)面幾乎所有頁(yè)面元素。 然而，攻擊者控制了這個(gè)Web站點(diǎn)的“拷貝”，被攻擊對(duì)象和真的Web站點(diǎn)之間的所有信息流動(dòng)都被攻擊者所控制了。 2.4.2Web攻擊的原理 Web欺騙攻擊的原理是打斷從被攻擊者主機(jī)到目標(biāo)服務(wù)器之間的正常連接，并建立一條從被攻擊主機(jī)到攻擊主機(jī)再到目標(biāo)服務(wù)器的連接。 雖然這種攻擊并不會(huì)直接造成被攻擊者主機(jī)的軟、硬件損壞，但是它所帶來(lái)的危害也是不能忽視的。 2.4.2Web攻擊的原理改寫(xiě)URL：攻擊者改寫(xiě)某個(gè)頁(yè)面上的URL，使這些連接都指向攻擊者機(jī)器，而不是真正的服務(wù)器。開(kāi)始攻擊：誘惑被攻擊對(duì)象連接到攻擊者的假的Web頁(yè)

28、面上。制造假象：消除所有可能會(huì)留下的攻擊線(xiàn)索。2.4.3Web欺騙的防范 1短期的解決辦法 （1）上網(wǎng)瀏覽時(shí)，最好關(guān)掉瀏覽器的 JavaScript，只有當(dāng)訪(fǎng)問(wèn)熟悉的網(wǎng)站時(shí)才打開(kāi)它，目的是使攻擊者不能隱藏攻擊的跡象。 （2）不從自己不熟悉的網(wǎng)站上鏈接到其他網(wǎng)站，特別是鏈接那些需要輸入個(gè)人賬戶(hù)名和密碼的有關(guān)電子商務(wù)的網(wǎng)站。 （3）要養(yǎng)成從地址欄中直接輸入網(wǎng)址來(lái)實(shí)現(xiàn)瀏覽網(wǎng)站的好習(xí)慣。 2長(zhǎng)期的方法 （1）IP地址、子網(wǎng)、域的限制：它可以保護(hù)單個(gè)的文檔，也可以保護(hù)整個(gè)的目錄。如果瀏覽器的IP不在授權(quán)的IP地址之列，則它是無(wú)法與該文檔進(jìn)行連接的，即通過(guò)授權(quán)的方式對(duì)IP地址、子網(wǎng)和域進(jìn)行保護(hù)。 （2）用

29、戶(hù)名和密碼：為獲取對(duì)文檔或目錄的訪(fǎng)問(wèn)，需輸入用戶(hù)名和密碼。 （3）加密：這是通過(guò)公開(kāi)密鑰技術(shù)實(shí)現(xiàn)的，所有傳送的內(nèi)容都是加密的，除了接收者之外無(wú)人可以讀懂。 2.5IP地址欺騙 2.5.1IP地址欺騙的概念 1 IP地址盜用 IP地址盜用是指一臺(tái)主機(jī)有目的地使用他人合法的IP地址，而不用自己的IP地址的行為。 帶有假冒的IP地址的IP包既可能來(lái)自同一網(wǎng)段內(nèi)部，也可能來(lái)自網(wǎng)段外部。不同的情況有不同的結(jié)果。2IP地址欺騙所謂IP地址欺騙，就是偽造某臺(tái)主機(jī)的IP地址的技術(shù)。其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來(lái)扮演另一臺(tái)機(jī)器，以達(dá)到蒙混過(guò)關(guān)的目的。被偽造的主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任。由于IP協(xié)議不對(duì)數(shù)

30、據(jù)包中的IP地址進(jìn)行認(rèn)證，因此任何人不經(jīng)授權(quán)就可偽造IP包的源地址。IP地址欺騙通常通過(guò)編程來(lái)實(shí)現(xiàn)。2.5.2IP欺騙的原理 IP欺騙是利用主機(jī)之間的正常的信任關(guān)系來(lái)發(fā)動(dòng)的，這種信任是有別于用戶(hù)間的信任和應(yīng)用層的信任的。黑客可以通過(guò)命令方式或掃描技術(shù)、監(jiān)聽(tīng)技術(shù)來(lái)確定主機(jī)之間的信任關(guān)系。 2.5.2IP欺騙的原理 假如一個(gè)局域網(wǎng)內(nèi)的主機(jī)間存在著某種信任關(guān)系，如果主機(jī)A信任主機(jī)B，主機(jī)B信任主機(jī)C，為了侵入該網(wǎng)絡(luò)，黑客可以采用以下方法： （1）通過(guò)假冒主機(jī)B來(lái)欺騙主機(jī)A和主機(jī)C； （2）通過(guò)假冒主機(jī)A和主機(jī)C來(lái)欺騙主機(jī)B。 為了假冒C去欺騙主機(jī)B，首要的任務(wù)是攻擊主機(jī)C，使其癱瘓，即先實(shí)施拒絕服務(wù)

31、攻擊。值得注意的是，并不是在任何情況下都要使被假冒的主機(jī)癱瘓，但在Ethernet網(wǎng)上的IP欺騙必須要這么做，否則會(huì)引起網(wǎng)絡(luò)掛起。2.5.3IP欺騙的防范 （1）放棄基于地址的信任策略 IP欺騙是建立在信任的基礎(chǔ)之上的，防止IP欺騙的最好的方法就是放棄以地址為基礎(chǔ)的驗(yàn)證。當(dāng)然，這是以喪失系統(tǒng)功能、犧牲系統(tǒng)性能為代價(jià)的。（2）對(duì)數(shù)據(jù)包進(jìn)行限制 對(duì)于來(lái)自網(wǎng)絡(luò)外部的欺騙來(lái)說(shuō)，防止這種攻擊的方法很簡(jiǎn)單，可以在局域網(wǎng)的對(duì)外路由器上加一個(gè)限制來(lái)實(shí)現(xiàn)。只要在路由器中設(shè)置不允許聲稱(chēng)來(lái)自于內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)包通過(guò)就行了。當(dāng)實(shí)施欺騙的主機(jī)在同一網(wǎng)段，攻擊容易得手，且不容易防范。一般通過(guò)路由器對(duì)數(shù)據(jù)包的監(jiān)控來(lái)防范IP

32、地址欺騙。 （3）應(yīng)用加密技術(shù) 對(duì)數(shù)據(jù)進(jìn)行加密傳輸和驗(yàn)證也是防止IP欺騙的好方法。IP地址可以盜用，但現(xiàn)代加密技術(shù)在理論上是很難可破解的。2.6緩沖區(qū)溢出 2.6.1緩沖區(qū)溢出的概念 緩沖區(qū)溢出攻擊是一種系統(tǒng)攻擊的手段，通過(guò)往緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。 2.6.2緩沖區(qū)溢出的原理緩沖區(qū)溢出的根本原因來(lái)自C語(yǔ)言（C+）本質(zhì)的不安全性：數(shù)組和指針的引用沒(méi)有邊界檢查；標(biāo)準(zhǔn)C函數(shù)庫(kù)中存在許多非安全字符串操作，如strcpy() 、gets() 等。當(dāng)程序?qū)懭氤^(guò)緩沖區(qū)的邊界時(shí)，就發(fā)生所謂的“緩沖區(qū)溢出”。2.6.2緩沖區(qū)溢出

33、的原理 void functon（char *str） char buffer16 ； strcpy（buffer，str）； 該程序的功能是通過(guò)strcpy函數(shù)把str中的字符串拷貝到數(shù)組buffer16中去，如果str的長(zhǎng)度超過(guò)16就會(huì)造成數(shù)組buffer的溢出，使程序出錯(cuò)。 2.6.2緩沖區(qū)溢出的原理向一個(gè)有限空間的緩沖區(qū)中植入超長(zhǎng)字符串，可能出現(xiàn)兩個(gè)結(jié)果：一是過(guò)長(zhǎng)的字符串會(huì)覆蓋下一個(gè)相鄰的內(nèi)存塊，導(dǎo)致一些不可預(yù)料的結(jié)果：也許程序可以繼續(xù)，也許程序的執(zhí)行出現(xiàn)奇怪現(xiàn)象，也許程序完全失?。涣硪环N結(jié)果就是利用這種漏洞可以執(zhí)行任意指令，甚至可以得到超級(jí)用戶(hù)（管理員）權(quán)限。C語(yǔ)言把這一艱巨任務(wù)交給

34、了開(kāi)發(fā)人員，要求他們進(jìn)行邊界檢查，編寫(xiě)安全的程序。然而這一要求往往被人們忽視，從而給黑客有機(jī)可乘。2.6.3緩沖區(qū)溢出的防范 （1）編寫(xiě)正確的代碼 編寫(xiě)安全的程序代碼是解決緩沖區(qū)溢出漏洞的最根本辦法。在程序開(kāi)發(fā)時(shí)就要考慮可能的安全問(wèn)題，杜絕緩沖區(qū)溢出的可能性，尤其在C程序中使用數(shù)組時(shí)，只要數(shù)組邊界不溢出，那么緩沖區(qū)溢出攻擊就無(wú)從談起，所以對(duì)所有數(shù)組的讀寫(xiě)操作都應(yīng)控制在正確的范圍內(nèi)，通?？赏ㄟ^(guò)優(yōu)化技術(shù)來(lái)實(shí)現(xiàn)。 （2）非執(zhí)行的緩沖區(qū) 非執(zhí)行的緩沖區(qū)技術(shù)是指通過(guò)使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行被攻擊程序輸入緩沖區(qū)的代碼。 2.6.3緩沖區(qū)溢出的防范 （3）指針完整性檢查

35、 堆棧保護(hù)是一種提供程序指針完整性檢查的編譯器技術(shù)，通過(guò)檢查函數(shù)活動(dòng)記錄中的返回地址來(lái)實(shí)現(xiàn)。指針完整性檢查是指在程序指針被引用之前先檢測(cè)它是否被改變，一旦改變就不會(huì)被使用。 （4）用好安全補(bǔ)丁 實(shí)際上，讓普通用戶(hù)解決其遇到的安全問(wèn)題是不現(xiàn)實(shí)的，用補(bǔ)丁修補(bǔ)缺陷則是一個(gè)不錯(cuò)的、也是可行的解決方法。 2.7拒絕服務(wù)攻擊 2.7.1拒絕服務(wù)攻擊的概念 DoS攻擊是一種簡(jiǎn)單有效的攻擊方式，其目的是使服務(wù)器拒絕正常的訪(fǎng)問(wèn)，破壞系統(tǒng)的正常運(yùn)行，最終使部分網(wǎng)絡(luò)連接失敗，甚至網(wǎng)絡(luò)系統(tǒng)失效。 從廣義上來(lái)講，任何導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊都叫做拒絕服務(wù)攻擊。2.7.2拒絕服務(wù)攻擊的原理 DoS攻擊的基本原理是

36、：首先，攻擊者向服務(wù)器發(fā)送大量的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后，等待回傳信息由于地址是偽造的，所以服務(wù)器一直等不到回傳的信息，分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷攻擊者會(huì)再傳送一批請(qǐng)求。在這種反復(fù)發(fā)送地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。 2.7.2拒絕服務(wù)攻擊的原理最典型的DOS攻擊是Synflood.原理：TCP連接的三次握手和半開(kāi)連接攻擊者：發(fā)送大量偽造的TCP連接請(qǐng)求 方法1：偽裝成當(dāng)時(shí)不在線(xiàn)的IP地址發(fā)動(dòng)攻擊 方法2：在主機(jī)或路由器上阻截目標(biāo)機(jī)的SYN/ACK分組目標(biāo)機(jī)：堆棧溢出崩潰或無(wú)法處理正常請(qǐng)求防御：縮短SYN Tim

37、eout時(shí)間 （設(shè)置為20秒以下 ）設(shè)置SYN Cookie 設(shè)置路由器和防火墻,在給定的時(shí)間內(nèi)只允許數(shù)量有限的半開(kāi)TCP連接發(fā)往主機(jī)2.7.2拒絕服務(wù)攻擊的原理.SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機(jī)SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK.等待應(yīng)答SYN/ACK.2.7.3分布式拒絕服務(wù)攻擊 DDoS（Distributed Denial of Service）攻擊是一種基于DoS攻擊的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，攻擊者控制多個(gè)傀儡發(fā)起攻擊，主要瞄準(zhǔn)比較大的站點(diǎn)。 被分布式拒絕服務(wù)攻擊

38、時(shí)會(huì)出現(xiàn)下列現(xiàn)象：被攻擊主機(jī)上有大量等待的TCP連接。網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假。制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊。利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，不斷地向目標(biāo)主機(jī)發(fā)出服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求。嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。1. DDoS攻擊的一般原理分布式拒絕服務(wù)攻擊借助于客戶(hù)/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)，將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間，主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在I

39、nternet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶(hù)/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。 1. DDoS攻擊的一般原理一個(gè)完整的DDoS攻擊體系分成4部分攻擊者所在機(jī) 控制機(jī)（用來(lái)控制傀儡機(jī)） 傀儡機(jī) 受害者1. DDoS攻擊的一般原理DDoS攻擊的基本過(guò)程是：攻擊者連接到安裝了控制程序的計(jì)算機(jī)，啟動(dòng)控制程序，然后根據(jù)一個(gè)IP地址的列表，由控制程序負(fù)責(zé)啟動(dòng)所有的代理程序。接著，代理程序用數(shù)據(jù)包沖擊網(wǎng)絡(luò)，攻擊目標(biāo)。在攻擊之前，侵入者為了安裝軟件，已經(jīng)控制了裝有控制程序的計(jì)算機(jī)和所有裝有代理程序的計(jì)算機(jī)。對(duì)受害者的攻擊是從擊傀儡機(jī)上發(fā)出的，控制機(jī)只發(fā)布

40、命令而不參與實(shí)際的攻擊。DDoS攻擊可以利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻，以更大的規(guī)模來(lái)進(jìn)攻受害者。 1. DDoS攻擊的一般原理在一般的情況下，DDoS可能使用多臺(tái)控制機(jī)：2. DDoS攻擊步驟1)攻擊者攻擊諸客戶(hù)主機(jī)以求分析他們的安全水平和脆弱性。2)攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶(hù)主機(jī)之內(nèi)(“肉機(jī)”)，并且秘密地安置一個(gè)其可遠(yuǎn)程控制的代理程序(端口監(jiān)督程序)。3)攻擊者使他的全部代理程序同時(shí)發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請(qǐng)求送至目標(biāo)系統(tǒng)。4)包括虛假的連接請(qǐng)求在內(nèi)的大量殘缺的數(shù)字包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信淤塞而崩潰。3. DDoS攻擊的防御策略DDoS攻擊的隱蔽性極強(qiáng)，迄今為止人們還沒(méi)有

41、找到對(duì)DDoS攻擊行之有效的解決方法。加強(qiáng)安全防范意識(shí)、提高網(wǎng)絡(luò)系統(tǒng)的安全性，還是當(dāng)前最為有效的辦法?？刹扇〉陌踩烙胧┯幸韵聨追N：及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序；對(duì)一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機(jī)制；對(duì)一些特權(quán)帳號(hào)（例如管理員帳號(hào)）的密碼設(shè)置要謹(jǐn)慎。在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)；建立邊界安全界限，確保輸出的包受到正確限制；經(jīng)常檢測(cè)系統(tǒng)配置信息，并注意查看每天的安全日志。2.7.4拒絕服務(wù)攻擊的防范 （1）與ISP合作 與ISP配合，對(duì)路由訪(fǎng)問(wèn)進(jìn)行控制、對(duì)網(wǎng)絡(luò)流量的監(jiān)視，以實(shí)現(xiàn)對(duì)帶寬總量的限制，以及不同的訪(fǎng)問(wèn)地址在同一

42、時(shí)間對(duì)帶寬的占有率。 （2）漏洞檢查 定期使用漏洞掃描軟件，對(duì)內(nèi)部網(wǎng)現(xiàn)有的、潛在的漏洞進(jìn)行檢查，以提高系統(tǒng)安全的性能。 2.7.4拒絕服務(wù)攻擊的防范 （3）服務(wù)器優(yōu)化 確保服務(wù)器的安全，使攻擊者無(wú)法獲得更多內(nèi)部主機(jī)的信息，從而無(wú)法發(fā)動(dòng)有效的攻擊。 （4）應(yīng)急響應(yīng) 建立應(yīng)急機(jī)構(gòu)和制度，制定緊急應(yīng)對(duì)策略，以便拒絕服務(wù)攻擊發(fā)生時(shí)能夠迅速恢復(fù)系統(tǒng)和服務(wù)。同時(shí)還要注意對(duì)員工進(jìn)行相關(guān)的培訓(xùn)，使其掌握必要的應(yīng)對(duì)措施和方法。2.8木馬 2.8.1木馬的概念 1什么是木馬 特洛伊木馬（Trojan horse）其名稱(chēng)取自希臘神話(huà)的特洛伊木馬，它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。所謂隱蔽性

43、是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆；所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括修改文件，修改注冊(cè)表，控制鼠標(biāo)，鍵盤(pán)等等。這些權(quán)力并不是服務(wù)端賦予的，而是通過(guò)木馬程序竊取的。 1什么是木馬木馬與病毒的區(qū)別：病毒程序是以自發(fā)性的敗壞為目的；木馬程序是依照黑客的命令來(lái)運(yùn)作，主要目的是偷取文件、機(jī)密數(shù)據(jù)、個(gè)人隱私等行為。2木馬的種類(lèi)（1）破壞型（2）密碼發(fā)送型（3）遠(yuǎn)程訪(fǎng)問(wèn)型（4）鍵盤(pán)記錄木馬（5）DoS攻擊木馬（6）代理木馬（7）FTP木馬（8）程序殺手木馬（9

44、）反彈端口型木馬（1）破壞型木馬大部分木馬程序只竊取信息，不做破壞性的事件，但破壞型木馬卻以毀壞并且刪除文件為目的。它們可以自動(dòng)刪除受控計(jì)算機(jī)上所有的.ini .exe .dll文件，甚至格式化受害者的硬盤(pán)，系統(tǒng)中的信息會(huì)在頃刻間“灰飛煙滅”。（2）密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類(lèi)木馬程序不會(huì)在每次系統(tǒng)重啟時(shí)都自動(dòng)加載，它們大多數(shù)使用25號(hào)端口發(fā)送電子郵件。（3）遠(yuǎn)程訪(fǎng)問(wèn)型木馬遠(yuǎn)程訪(fǎng)問(wèn)型木馬是現(xiàn)在最廣泛的特洛伊木馬。這種木馬起著遠(yuǎn)程控制的功能，用起來(lái)非常簡(jiǎn)單，只需先運(yùn)行服務(wù)端程序，同時(shí)獲得遠(yuǎn)程主機(jī)的IP地址，控

45、制者就能任意訪(fǎng)問(wèn)被控制端的計(jì)算機(jī)。這種木馬可以使遠(yuǎn)程控制者在本地機(jī)器上做任何事情，比如鍵盤(pán)記錄、上傳和下載功能、發(fā)送一個(gè)“截取屏幕”等等。這種類(lèi)型的木馬有著名的BO (Back Office)和國(guó)產(chǎn)的冰河等。（4）鍵盤(pán)記錄型木馬鍵盤(pán)記錄型木馬非常簡(jiǎn)單的，它只做一種事情，就是記錄受害者的鍵盤(pán)敲擊，并且在Log文件里做完整的記錄。這種木馬程序隨著系統(tǒng)的啟動(dòng)而啟動(dòng)，知道受害者在線(xiàn)并記錄每一個(gè)用戶(hù)事件，然后通過(guò)郵件或其他方式發(fā)送給控制者。（5）DoS攻擊木馬當(dāng)攻擊者入侵了一臺(tái)主機(jī)，并種上DoS攻擊木馬，這臺(tái)主機(jī)就會(huì)成為攻擊者進(jìn)行DoS攻擊的得力助手。這種木馬的危害不是體現(xiàn)在被感染的主機(jī)上，而是攻擊者用它做“跳板”來(lái)攻擊其它的主機(jī)。（6）代理木馬給被控制的主機(jī)種上代理木馬，讓其變成攻擊者發(fā)動(dòng)攻擊的跳板通過(guò)代理木馬，攻擊者可以隱蔽自己的蹤跡（7） FTP型木馬FTP 型木馬打開(kāi)被控制計(jì)算機(jī)的21號(hào)端口，使任何人無(wú)需密碼就可以用一個(gè)FTP客戶(hù)端程序連接到受控制端計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳和下載，竊取受害者的機(jī)密文件。（8）程序殺手木馬程序殺手木馬的功能是關(guān)閉對(duì)方主機(jī)上運(yùn)行的防木馬軟件，讓其他的木馬更好的發(fā)揮作用。（9）反彈端口型