計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)第2章黑客常用的攻擊方法課件

第2章黑客常用的攻擊方法第2章黑客常用的攻擊方法1能力CAPACITY要求熟悉TCP/IP。了解黑客攻擊的常用手段和方法，掌握常用網(wǎng)絡(luò)安全技術(shù)。具有良好的職業(yè)道德。能力CAPACITY要求熟悉TCP/IP。了解黑客攻擊的常用2常用黑客技術(shù)的原理黑客發(fā)展的歷史黑客攻擊的防范常用黑客技術(shù)的原理黑客發(fā)展的歷史黑客攻擊的防范3一、黑客發(fā)展的歷史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震撼了整個(gè)世界。由原本寂寂無名的大學(xué)生羅伯特·莫里斯（22歲）制造的這個(gè)蠕蟲病毒入侵了大約6000個(gè)大學(xué)和軍事機(jī)構(gòu)的計(jì)算機(jī)，使之癱瘓。此后，從CIH到美麗殺病毒，從尼姆達(dá)到紅色代碼，病毒、蠕蟲的發(fā)展愈演愈烈。一、黑客發(fā)展的歷史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震4一、黑客發(fā)展的歷史凱文?米特尼克是美國20世紀(jì)最著名的黑客之一，他是《社會(huì)工程學(xué)》的創(chuàng)始人1979年（15歲）他和他的伙伴侵入了“北美空中防務(wù)指揮系統(tǒng)”，翻閱了美國所有的核彈頭資料，令大人不可置信。不久破譯了美國“太平洋電話公司”某地的改戶密碼，隨意更改用戶的電話號(hào)碼?！镀垓_的藝術(shù)》凱文?米特尼克一、黑客發(fā)展的歷史凱文?米特尼克是美國20世紀(jì)最著名的黑客之5一、黑客發(fā)展的歷史安全威脅發(fā)展趨勢(shì)一、黑客發(fā)展的歷史安全威脅發(fā)展趨勢(shì)6一、黑客發(fā)展的歷史攻擊復(fù)雜度與所需入侵知識(shí)關(guān)系圖一、黑客發(fā)展的歷史攻擊復(fù)雜度與所需入侵知識(shí)關(guān)系圖7一、黑客發(fā)展的歷史黑客入侵攻擊的一般過程目標(biāo)地址范圍確定、名字空間查詢對(duì)目標(biāo)系統(tǒng)的監(jiān)聽和評(píng)估分析收集足夠的信息，得以成功訪問目標(biāo)從對(duì)用戶級(jí)的訪問權(quán)限到對(duì)系統(tǒng)的完全控制信息進(jìn)一步攝取取一旦目標(biāo)系統(tǒng)已全部控制，掩蹤滅跡不同部位布置陷阱和后門，需要時(shí)獲得特權(quán)訪問踩點(diǎn)掃描查點(diǎn)獲取訪問特權(quán)提升偷盜竊取掩蹤滅跡創(chuàng)建后門如果入侵不成功，可用漏洞代碼來使目標(biāo)系統(tǒng)癱瘓拒絕服務(wù)打開源查詢；whois；whois的Web接口；ARINwhios；DNA區(qū)域傳送Pingsweep；TCP/UDP端口掃描；OS檢測(cè)列出用戶賬號(hào)；列出共享文件；確定各種應(yīng)用密碼竊聽；共享文件的蠻力攻擊；攫取密碼；文件緩沖區(qū)溢出密碼破解；利用已知漏洞和脆弱點(diǎn)評(píng)估可信系統(tǒng)的堅(jiān)固度；搜索明文密碼清除日志記錄；掩藏工具創(chuàng)建“無賴”賬號(hào)，；安排批處理作業(yè)；感染初啟動(dòng)文件；植入遠(yuǎn)程控制程序；安裝監(jiān)控機(jī)制；利用特洛伊木馬替換應(yīng)用SYNflood；ICMP技術(shù)；統(tǒng)一scr/dstSYN請(qǐng)求；重疊fragment/offset錯(cuò)誤（bugs）；OutofboundsTCPoption（008）；DDoS針對(duì)有效用戶賬號(hào)或共享資源，進(jìn)行更多入侵探詢一、黑客發(fā)展的歷史黑客入侵攻擊的一般過程目標(biāo)地址范圍確定、8常用黑客技術(shù)的原理黑客發(fā)展的歷史黑客攻擊的防范常用黑客技術(shù)的原理黑客發(fā)展的歷史黑客攻擊的防范9二、常用黑客技術(shù)的原理網(wǎng)絡(luò)踩點(diǎn)：收集IP地址范圍、域名信息等。網(wǎng)絡(luò)掃描：探測(cè)系統(tǒng)開放端口、操作系統(tǒng)類型、所運(yùn)行的網(wǎng)絡(luò)服務(wù)，以及是否存在可利用的安全漏洞等。網(wǎng)絡(luò)查點(diǎn)：獲得用戶賬號(hào)、網(wǎng)絡(luò)服務(wù)類型和版本號(hào)等更細(xì)致的信息。常用的網(wǎng)絡(luò)信息收集技術(shù)【實(shí)驗(yàn)】whois查詢二、常用黑客技術(shù)的原理網(wǎng)絡(luò)踩點(diǎn)：收集IP地址范圍、域名信息等10二、常用黑客技術(shù)的原理漏洞掃描的內(nèi)容漏洞掃描123456系統(tǒng)開放的服務(wù)（端口掃描）各種弱口令漏洞、后門操作系統(tǒng)類型及版本網(wǎng)絡(luò)設(shè)備漏洞應(yīng)用服務(wù)漏洞拒絕服務(wù)漏洞等網(wǎng)絡(luò)掃描器作用探測(cè)目標(biāo)網(wǎng)絡(luò)結(jié)構(gòu)，獲取目標(biāo)系統(tǒng)的開放端口、操作系統(tǒng)類型、運(yùn)行的網(wǎng)絡(luò)服務(wù)、存在的安全弱點(diǎn)等信息。二、常用黑客技術(shù)的原理漏洞掃描的內(nèi)容漏洞掃描123411二、常用黑客技術(shù)的原理端口掃描器原理-預(yù)備知識(shí)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層應(yīng)用程序應(yīng)用程序傳輸層網(wǎng)絡(luò)層鏈路層TCPUDPICMPIPARP硬件接口RARP二、常用黑客技術(shù)的原理端口掃描器原理-預(yù)備知識(shí)應(yīng)用層表示層會(huì)12二、常用黑客技術(shù)的原理預(yù)備知識(shí)-IP頭預(yù)備知識(shí)-TCP頭二、常用黑客技術(shù)的原理預(yù)備知識(shí)-IP頭預(yù)備知識(shí)-TCP頭13二、常用黑客技術(shù)的原理常用的掃描軟件Nmap（端口掃描器）NessusX-scan（綜合掃描器）ipscanNmap簡(jiǎn)介(NetworkMapper)官方下載及文檔地址：/nmap/詳細(xì)操作步驟參見教材課堂演練一：端口掃描器Nmap二、常用黑客技術(shù)的原理常用的掃描軟件Nmap（端口掃描器）N14二、常用黑客技術(shù)的原理其他掃描方式：案例02OPTION01OPTION03OPTION04OPTIONPing掃描（-sP參數(shù)）TCPconnect()端口掃描（-sT參數(shù)）TCP同步（SYN）端口掃描（-sS參數(shù)）UDP端口掃描（-sU參數(shù)）02OPTION01OPTION03OPTIONFIN掃描（-sF）圣誕樹掃描（-sX）空掃描（-sN）二、常用黑客技術(shù)的原理其他掃描方式：案例02OPTION0115二、常用黑客技術(shù)的原理全連接掃描TCPconnect()掃描半連接掃描TCPSYN()掃描二、常用黑客技術(shù)的原理全連接掃描TCPconnect(16二、常用黑客技術(shù)的原理端口掃描的防范防火墻防火墻是不是能防范所有的端口掃描？提問二、常用黑客技術(shù)的原理端口掃描的防范防火墻防火墻是不是能防范17二、常用黑客技術(shù)的原理本部分內(nèi)容安排學(xué)生自己完成詳細(xì)操作步驟參見教材課堂演練二：綜合掃描器X-scanNessus也是一款典型的綜合掃描器，其被認(rèn)為是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件。

Nessus軟件采用C/S架構(gòu)：詳細(xì)操作步驟參見教材課堂演練三：Nessus二、常用黑客技術(shù)的原理本部分內(nèi)容安排學(xué)生自己完成課堂演練二：18二、常用黑客技術(shù)的原理口令破解01PRAT02PRAT03PRAT口令破解概述口令破解方法口令破解實(shí)驗(yàn)（詳細(xì)操作步驟參見教材）二、常用黑客技術(shù)的原理口令破解01PRAT02PRAT03P19二、常用黑客技術(shù)的原理口令破解的防范標(biāo)題關(guān)閉139端口強(qiáng)壯的密碼administrator賬戶重命名設(shè)置賬戶鎖定策略口令破解的防范二、常用黑客技術(shù)的原理口令破解的防范標(biāo)題關(guān)閉139端口強(qiáng)壯的20二、常用黑客技術(shù)的原理Sniffer，中文可以翻譯為嗅探器,也就是我們所說的數(shù)據(jù)包捕獲器。采用這種技術(shù)，我們可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌鹊?。網(wǎng)絡(luò)監(jiān)聽技術(shù)Sniffer原理什么是Sniffer?網(wǎng)絡(luò)通信監(jiān)視軟件網(wǎng)絡(luò)故障診斷分析工具網(wǎng)絡(luò)性能優(yōu)化、管理系統(tǒng)它幫助你迅速隔離和解決網(wǎng)絡(luò)通訊問題、分析和優(yōu)化網(wǎng)絡(luò)性能和規(guī)劃網(wǎng)絡(luò)的發(fā)展。二、常用黑客技術(shù)的原理Sniffer，中文可以翻譯為嗅探器,21二、常用黑客技術(shù)的原理夢(mèng)幻西游在網(wǎng)維大師無盤上容易掉線的問題（備注：41是夢(mèng)幻西游的服務(wù)器）分析原因產(chǎn)生：

1、服務(wù)器發(fā)現(xiàn)客戶端非法，比如有外掛什么的，踢掉了客戶機(jī)；

2、服務(wù)器壓力大，踢掉了客戶機(jī)；

3、總之不是客戶端問題導(dǎo)致的掉線；案例二、常用黑客技術(shù)的原理夢(mèng)幻西游在網(wǎng)維大師無盤上容易掉線的問題22二、常用黑客技術(shù)的原理網(wǎng)卡先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)計(jì)算機(jī)上的網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式判斷該不該接收，認(rèn)為該接收就在接收后產(chǎn)生中斷信號(hào)通知CPU，認(rèn)為不該接收就丟棄不管。CPU得到中斷信號(hào)產(chǎn)生中斷，操作系統(tǒng)就根據(jù)網(wǎng)卡驅(qū)動(dòng)程序中設(shè)置的網(wǎng)卡中斷程序地址調(diào)用驅(qū)動(dòng)程序接收數(shù)據(jù)，驅(qū)動(dòng)程序接收數(shù)據(jù)后放入信號(hào)堆棧讓操作系統(tǒng)處理。網(wǎng)卡工作原理二、常用黑客技術(shù)的原理網(wǎng)卡先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)23二、常用黑客技術(shù)的原理網(wǎng)卡的工作模式能夠接收網(wǎng)絡(luò)中的廣播信息。廣播方式在此添加標(biāo)題組播方式直接方式混雜模式（promiscuous）能夠接收組播數(shù)據(jù)。只有目的網(wǎng)卡才能接收該數(shù)據(jù)。能夠接收到一切通過它的數(shù)據(jù)。二、常用黑客技術(shù)的原理網(wǎng)卡的工作模式能夠接收網(wǎng)絡(luò)中的廣播信息24二、常用黑客技術(shù)的原理HUB工作原理二、常用黑客技術(shù)的原理HUB工作原理25二、常用黑客技術(shù)的原理交換環(huán)境下的SNIFF二、常用黑客技術(shù)的原理交換環(huán)境下的SNIFF26二、常用黑客技術(shù)的原理一個(gè)sniffer需要作的：網(wǎng)絡(luò)監(jiān)聽原理123把網(wǎng)卡置于混雜模式捕獲數(shù)據(jù)包分析數(shù)據(jù)包123二、常用黑客技術(shù)的原理一個(gè)sniffer需要作的：網(wǎng)絡(luò)監(jiān)聽原27二、常用黑客技術(shù)的原理常用的SNIFFwindows環(huán)境下UNUX環(huán)境下圖形界面的SNIFF、netxray、

snifferproUNUX環(huán)境下的sniff可以說是百花齊放，他們都有一個(gè)好處就是發(fā)布源代碼，當(dāng)然也都是免費(fèi)的。如sniffit、snoop、tcpdump、dsniff1、SnifferPro2、WireShark（06年夏天前稱為Ethereal）3、Netmonitor4、EffTechHTTPSniffer5、Iris二、常用黑客技術(shù)的原理常用的SNIFFwindows環(huán)境下28二、常用黑客技術(shù)的原理Wireshark的使用Wireshark的語法Sniffer演示實(shí)驗(yàn)二、常用黑客技術(shù)的原理Wireshark的使用Sniffe29二、常用黑客技術(shù)的原理捕捉過濾器可以使用6種比較運(yùn)算符：邏輯運(yùn)算符（Logicale-xpressions）:二、常用黑客技術(shù)的原理捕捉過濾器可以使用6種比較運(yùn)算符：邏輯30二、常用黑客技術(shù)的原理1.tcpdstport80

//捕捉目的TCP端口為80的封包。問題：怎么捕捉DNS包？2.host48

//捕捉目的或來源IP地址為48的封包。3.ipsrchost10.3.40.*

//捕捉來源IP地址為10.3.40.*

的封包。

4.etherhoste0-05-c5-44-b1-3c

//捕捉目的或來源MAC地址為e0-05-c5-44-b1-3c的封包。5.srcportrange2000-2500

//捕捉來源為UDP或TCP，并且端口號(hào)在2000至2500范圍內(nèi)的封包。6.（srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8

//捕捉來源IP為2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。練習(xí)二、常用黑客技術(shù)的原理1.tcpdstport8031二、常用黑客技術(shù)的原理練習(xí)1.ip.addr==

//顯示來源或目的IP地址為的封包。2.ip.src!=orip.dst!=

//顯示來源不為或者目的不為的封包。3.tcp.port==80

//顯示來源或目的TCP端口號(hào)為80的封包。4.tcp.dstport==25

//顯示目的TCP端口號(hào)為25的封包。顯示過濾器二、常用黑客技術(shù)的原理練習(xí)顯示過濾器32二、常用黑客技術(shù)的原理【例1】嗅探FTP過程【例2】嗅探HTTP登錄郵箱的過程【例3】嗅探POP郵箱密碼的過程詳細(xì)操作步驟參見教材課堂演練使用WireShark分析TCP/IP建立連接的三次握手過程的數(shù)據(jù)包使用WireShark分析nmap各種掃描方式的數(shù)據(jù)包綜合演練二、常用黑客技術(shù)的原理【例1】嗅探FTP過程課堂演練使用W33常用黑客技術(shù)的原理黑客發(fā)展的歷史黑客攻擊的防范常用黑客技術(shù)的原理黑客發(fā)展的歷史黑客攻擊的防范34三、黑客攻擊的防范進(jìn)行合理的網(wǎng)絡(luò)分段。用SSH/SSL建立加密連接，保證數(shù)據(jù)傳輸安全。Sniffer往往是入侵系統(tǒng)后使用的，用來收集信息，因此防止系統(tǒng)被突破。防止內(nèi)部攻擊。AntiSniff工具用于檢測(cè)局域網(wǎng)中是否有機(jī)器處于混雜模式（不是免費(fèi)的）。如何防止SNIFF三、黑客攻擊的防范進(jìn)行合理的網(wǎng)絡(luò)分段。如何防止SNIFF35三、黑客攻擊的防范ARP欺騙的工作原理ARP欺騙攻擊三、黑客攻擊的防范ARP欺騙的工作原理ARP欺騙攻擊36三、黑客攻擊的防范交換環(huán)境下的ARP欺騙攻擊及其嗅探演示實(shí)驗(yàn)實(shí)驗(yàn)拓?fù)洌篈RP欺騙工具：SwitchSniffer詳細(xì)步驟參見教材三、黑客攻擊的防范交換環(huán)境下的ARP欺騙攻擊及其嗅探演示實(shí)驗(yàn)37三、黑客攻擊的防范ARP命令靜態(tài)綁定網(wǎng)關(guān)ARP防火墻通過加密傳輸數(shù)據(jù)、使用VLAN技術(shù)細(xì)分網(wǎng)絡(luò)拓?fù)涞确椒?，以降低ARP欺騙攻擊的危害后果ARP欺騙的防御三、黑客攻擊的防范ARP命令靜態(tài)綁定網(wǎng)關(guān)ARP欺騙的防御38三、黑客攻擊的防范木馬是一種基于遠(yuǎn)程控制的黑客工具隱蔽性潛伏性危害性非授權(quán)性木馬（Trojanhorse）三、黑客攻擊的防范木馬是一種基于遠(yuǎn)程控制的黑客工具木馬（Tr39三、黑客攻擊的防范木馬與病毒、遠(yuǎn)程控制的區(qū)別40213病毒程序是以自發(fā)性的敗壞為目的木馬程序是依照黑客的命令來運(yùn)作，主要目的是偷取文件、機(jī)密數(shù)據(jù)、個(gè)人隱私等行為。木馬和一般的遠(yuǎn)程控制軟件的區(qū)別在于其隱蔽、非授權(quán)性。三、黑客攻擊的防范木馬與病毒、遠(yuǎn)程控制的區(qū)別40213病毒程三、黑客攻擊的防范木馬的工作原理實(shí)際就是一個(gè)C/S模式的程序（里應(yīng)外合）操作系統(tǒng)被植入木馬的PC（server程序）TCP/IP協(xié)議端口控制木馬的PC（client程序）操作系統(tǒng)TCP/IP協(xié)議端口控制端端口處于監(jiān)聽狀態(tài)三、黑客攻擊的防范木馬的工作原理實(shí)際就是一個(gè)C/S模式的程序41三、黑客攻擊的防范木馬的分類代理型FTP型下載型木馬遠(yuǎn)程訪問型鍵盤記錄型密碼發(fā)送型破壞型三、黑客攻擊的防范木馬的分類代理型FTP型下載型木馬遠(yuǎn)程訪問42三、黑客攻擊的防范木馬實(shí)施攻擊的步驟木馬偽裝信息反饋配置木馬啟動(dòng)木馬遠(yuǎn)程控制傳播木馬建立連接0102030405三、黑客攻擊的防范木馬實(shí)施攻擊的步驟木馬偽裝配置木馬啟動(dòng)木馬43三、黑客攻擊的防范服務(wù)器端程序：G-server.exe客戶端程序：G-client.exe詳細(xì)步驟參見教材課堂演練一：冰河木馬的使用反彈端口類型的木馬服務(wù)器的配置服務(wù)器的工作方式遠(yuǎn)程控制如何清除？課堂演練二：灰鴿子的使用三、黑客攻擊的防范服務(wù)器端程序：G-server.exe課堂44三、黑客攻擊的防范木馬文件的隱藏和偽裝文件的屬性捆綁到其他文件上文件的名字文件的位置文件的擴(kuò)展名文件的圖標(biāo)三、黑客攻擊的防范木馬文件的隱藏和偽裝文件的屬性捆綁45三、黑客攻擊的防范木馬運(yùn)行時(shí)偽裝方法123在任務(wù)欄里隱藏在任務(wù)管理器里隱藏隱藏端口三、黑客攻擊的防范木馬運(yùn)行時(shí)偽裝方法123在任務(wù)欄里隱藏在任46三、黑客攻擊的防范木馬的啟動(dòng)方式win.inisystem.ini啟動(dòng)組注冊(cè)表捆綁方式啟動(dòng)偽裝在普通文件中設(shè)置在超級(jí)連接中三、黑客攻擊的防范木馬的啟動(dòng)方式win.inisystem47三、黑客攻擊的防范查看端口檢查注冊(cè)表檢查DLL木馬檢查配置文件木馬的檢測(cè)發(fā)現(xiàn)木馬：檢查系統(tǒng)文件、注冊(cè)表、端口不要輕易使用來歷不明的軟件不熟悉的E-MAIL不打開常用殺毒軟件并及時(shí)升級(jí)合理使用防火墻木馬的防御三、黑客攻擊的防范查看端口木馬的檢測(cè)發(fā)現(xiàn)木馬：檢查系統(tǒng)文件、48三、黑客攻擊的防范流行木馬簡(jiǎn)介流行木馬backorificeSubseven網(wǎng)絡(luò)公牛(Netbull)網(wǎng)絡(luò)神偷(Nethief)廣外男生（是廣外女生的一個(gè)變種）Netspy(網(wǎng)絡(luò)精靈)冰河三、黑客攻擊的防范流行木馬簡(jiǎn)介流行木馬backorific49三、黑客攻擊的防范DoS--DenialofService：現(xiàn)在一般指導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊。拒絕服務(wù)攻擊(DoS)1232002年10月全世界13臺(tái)DNS服務(wù)器同時(shí)受到了DDoS（分布式拒絕服務(wù)）攻擊。2009年5月19日，由于暴風(fēng)影音軟件而導(dǎo)致“暴風(fēng)門”全國斷網(wǎng)事件。2014年6月20日起，香港公投網(wǎng)站PopVote遭遇超大規(guī)模的DDoS攻擊DoS攻擊的事件3三、黑客攻擊的防范DoS--DenialofServic50三、黑客攻擊的防范DoS攻擊的分類0102以消耗目標(biāo)主機(jī)的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊等）以消耗服務(wù)器鏈路的有效帶寬為目的（例如：蠕蟲）三、黑客攻擊的防范DoS攻擊的分類0102以消耗目標(biāo)主機(jī)的51三、黑客攻擊的防范SYN攻擊的原理（1）目標(biāo)主機(jī)SYNSYN/ACKACK等待應(yīng)答SYN：同步SYN/ACK:同步/確認(rèn)ACK：確認(rèn)三、黑客攻擊的防范SYN攻擊的原理（1）目標(biāo)主機(jī)SYNSYN52三、黑客攻擊的防范SYN攻擊的原理（2）....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機(jī)SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK應(yīng)答.........不應(yīng)答不應(yīng)答重新發(fā)送三、黑客攻擊的防范SYN攻擊的原理（2）....SYN/AC53三、黑客攻擊的防范以windows為例SYN攻擊花費(fèi)時(shí)間（秒）累計(jì)花費(fèi)時(shí)間（秒）第一次，失敗33嘗試第1次，失敗69嘗試第2次，失敗1221嘗試第3次，失敗2445嘗試第4次，失敗4893嘗試第5次，失敗96189三、黑客攻擊的防范以windows為例SYN攻擊花費(fèi)時(shí)間（54三、黑客攻擊的防范synkiller（圖形界面工具）syn等（DOS界面工具）【攻擊效果】可通過抓包和查看CPU的利用率來觀看攻擊效果思考題

掃描器中的半連接掃描是不是也構(gòu)成SYN攻擊？課堂演練——SYN攻擊三、黑客攻擊的防范synkiller（圖形界面工具）課堂演55三、黑客攻擊的防范行行色色的DOS攻擊DOS攻擊1234SYNFlood淚珠（Teardrop）攻擊死亡之pingLand攻擊三、黑客攻擊的防范行行色色的DOS攻擊DOS攻擊1234SY56三、黑客攻擊的防范DDoS攻擊案例案例12012年2月巴西銀行成為了分布式拒絕服務(wù)攻擊的目標(biāo)。巴西匯豐銀行、巴西銀行、ItauUnibancoMultiploSA銀行和布拉德斯科銀行都遭到了大規(guī)模攻擊。攻擊中，黑客利用的正是DDoS。2015年某網(wǎng)絡(luò)游戲進(jìn)行上線公測(cè)，公測(cè)前10分鐘，主力機(jī)房遭遇DDoS攻擊，帶寬瞬間被占滿，上游路由節(jié)點(diǎn)被打癱，游戲發(fā)行商被迫宣布停止公測(cè)。案例2三、黑客攻擊的防范DDoS攻擊案例案例12012年2月巴西57三、黑客攻擊的防范DDOS攻擊的威力2015年DDoS阿里云云盾防御的最大攻擊峰值流量為477Gbps。2015預(yù)測(cè)2016年整個(gè)互聯(lián)網(wǎng)可能會(huì)發(fā)生流量在800Gbps－1TGbps之間的攻擊事件。2016三、黑客攻擊的防范DDOS攻擊的威力2015年DDoS阿里云58三、黑客攻擊的防范DDoS(分布式拒絕服務(wù))攻擊攻擊者各種客戶主機(jī)目標(biāo)系統(tǒng)安置代理代理程序1、攻擊者攻擊諸客戶主機(jī)以求分析他們的安全水平和脆弱性。2、攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機(jī)之內(nèi)(“肉雞”)，并且秘密地安置一個(gè)其可遠(yuǎn)程控制的代理程序(端口監(jiān)督程序demon)。攻擊準(zhǔn)備：三、黑客攻擊的防范DDoS(分布式拒絕服務(wù))攻擊攻擊者各種59三、黑客攻擊的防范DDoS(分布式拒絕服務(wù))攻擊目標(biāo)系統(tǒng)攻擊者指令攻擊的代理程序虛假的連接請(qǐng)求

3、攻擊者使他的全部代理程序同時(shí)發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請(qǐng)求送至目標(biāo)系統(tǒng)。發(fā)起攻擊：4、包括虛假的連接請(qǐng)求在內(nèi)的大量殘缺的數(shù)字包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信淤塞而崩潰。三、黑客攻擊的防范DDoS(分布式拒絕服務(wù))攻擊目標(biāo)系統(tǒng)攻60三、黑客攻擊的防范實(shí)驗(yàn)拓?fù)洌涸敿?xì)步驟參見教材TFN分布式拒絕服務(wù)攻擊實(shí)驗(yàn)三、黑客攻擊的防范TFN分布式拒絕服務(wù)攻擊實(shí)驗(yàn)61三、黑客攻擊的防范詳細(xì)步驟參見教材冰盾防火墻的演示實(shí)驗(yàn)三、黑客攻擊的防范詳細(xì)步驟參見教材冰盾防火墻的演示實(shí)驗(yàn)62三、黑客攻擊的防范DNS反射攻擊的原理中小貸款攻擊者/僵尸主機(jī)偽造受害者發(fā)起大量DNS查詢請(qǐng)求開放DNS遞歸服務(wù)器DNS服務(wù)器回應(yīng)大量查詢響應(yīng)1M的流量發(fā)出大量模擬被攻擊者的DNS請(qǐng)求被攻擊者100M的流量100M的流量1M的流量發(fā)出大量模擬被攻擊者的DNS請(qǐng)求三、黑客攻擊的防范DNS反射攻擊的原理中小貸款攻擊者/僵63三、黑客攻擊的防范針對(duì)應(yīng)用程序---2013年25%的DDOS攻擊將是基于應(yīng)用程序。利用高速帶寬---在2012年下半年美國銀行遭受到一類新的破壞性DDoS攻擊，有時(shí)高達(dá)70Gbps的網(wǎng)絡(luò)流量沖擊了銀行自有互聯(lián)網(wǎng)管道。個(gè)性化攻擊三、黑客攻擊的防范針對(duì)應(yīng)用程序---2013年25%的DDO64三、黑客攻擊的防范緩沖區(qū)溢出（bufferoverflow)從一個(gè)對(duì)話框說起……三、黑客攻擊的防范緩沖區(qū)溢出（bufferoverflow65三、黑客攻擊的防范【引例】把1升的水注入容量為0.5升的容量中……認(rèn)識(shí)緩沖區(qū)溢出第一次大規(guī)模的緩沖區(qū)溢出攻擊是發(fā)生在1988年的Morris蠕蟲，它造成了6000多臺(tái)機(jī)器被癱瘓，損失在$100000至$10000000之間，利用的攻擊方法之一就是fingerd的緩沖區(qū)溢出。緩沖區(qū)溢出攻擊已經(jīng)占了網(wǎng)絡(luò)攻擊的絕大多數(shù)，據(jù)統(tǒng)計(jì)，大約80%的安全事件與緩沖區(qū)溢出攻擊有關(guān)。三、黑客攻擊的防范【引例】把1升的水注入容量為0.5升的容量66三、黑客攻擊的防范緩沖區(qū)溢出原理Windows系統(tǒng)的內(nèi)存結(jié)構(gòu)三、黑客攻擊的防范緩沖區(qū)溢出原理Windows系統(tǒng)的內(nèi)存結(jié)構(gòu)67三、黑客攻擊的防范計(jì)算機(jī)運(yùn)行時(shí)，系統(tǒng)將內(nèi)存劃分為3個(gè)段，分別是代碼段、數(shù)據(jù)段和堆棧段。 Windows系統(tǒng)的內(nèi)存結(jié)構(gòu)數(shù)據(jù)只讀，可執(zhí)行。在代碼段一切數(shù)據(jù)不允許更改。在代碼段中的數(shù)據(jù)是在編譯時(shí)生成的2進(jìn)制機(jī)器代碼，可供CPU執(zhí)行。放置程序運(yùn)行時(shí)動(dòng)態(tài)的局部變量，即局部變量的空間被分配在堆棧里面?？勺x、寫。靜態(tài)全局變量是位于數(shù)據(jù)段并且在程序開始運(yùn)行的時(shí)候被加載?？勺x、寫。代碼段堆棧段數(shù)據(jù)段三、黑客攻擊的防范計(jì)算機(jī)運(yùn)行時(shí)，系統(tǒng)將內(nèi)存劃分為3個(gè)段，分別68三、黑客攻擊的防范緩沖區(qū)溢出源于程序執(zhí)行時(shí)需要存放數(shù)據(jù)的空間，也即我們所說的緩沖區(qū)。緩沖區(qū)的大小是程序執(zhí)行時(shí)固定申請(qǐng)的。然而，某些時(shí)候，在緩沖區(qū)內(nèi)裝載的數(shù)據(jù)大小是用戶輸入的數(shù)據(jù)決定的。程序開發(fā)人員偶爾疏忽了對(duì)用戶輸入的這些數(shù)據(jù)作長(zhǎng)度檢查，由于用戶非法操作或者錯(cuò)誤操作，輸入的數(shù)據(jù)占滿了緩沖區(qū)的所有空間，且超越了緩沖區(qū)邊界延伸到緩沖區(qū)以外的空間。我們稱這個(gè)動(dòng)作為緩沖區(qū)溢出。緩沖區(qū)溢出的基本原理（1）緩沖區(qū)溢出是由于系統(tǒng)和軟件本身存在脆弱點(diǎn)所導(dǎo)致的。例如目前被廣泛使用的C和C++，這些語言在編譯的時(shí)候沒有做內(nèi)存檢查，即數(shù)組的邊界檢查和指針的引用檢查，也就是開發(fā)人員必須做這些檢查，可是這些事情往往被開發(fā)人員忽略了；標(biāo)準(zhǔn)C庫中還存在許多不安全的字符串操作函數(shù)，包括：strcpy()，sprintf()，gets()等等，從而帶來了很多脆弱點(diǎn)，這些脆弱點(diǎn)也便成了緩沖區(qū)溢出漏洞。緩沖區(qū)溢出的基本原理（2）三、黑客攻擊的防范緩沖區(qū)溢出源于程序執(zhí)行時(shí)需要存放數(shù)據(jù)的空間69三、黑客攻擊的防范/**文件名：overflow.cpp*功能：演示W(wǎng)indows緩沖區(qū)溢出的機(jī)制*/#include<stdio.h>#include<string.h>charbigbuff[]=“aaaaaaaaaa";//10個(gè)avoidmain(){

charsmallbuff[5];//只分配了5字節(jié)的空間strcpy(smallbuff,bigbuff);}Windows緩沖區(qū)溢出實(shí)例分析利用OllyDbg調(diào)試工具加載overflow.exe文件三、黑客攻擊的防范/*Windows緩沖區(qū)溢出實(shí)例分析利用70三、黑客攻擊的防范調(diào)用strcpy()函數(shù)時(shí)堆棧的填充情況三、黑客攻擊的防范調(diào)用strcpy()函數(shù)時(shí)堆棧的填充情況71三、黑客攻擊的防范執(zhí)行strcpy()函數(shù)的過程溢出結(jié)果三、黑客攻擊的防范執(zhí)行strcpy()函數(shù)的過程溢出結(jié)果72三、黑客攻擊的防范可以導(dǎo)致程序運(yùn)行失敗、重新啟動(dòng)等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。而緩沖區(qū)溢出中，最為危險(xiǎn)的是堆棧溢出，因?yàn)槿肭终呖梢岳枚褩Ｒ绯?，在函?shù)返回時(shí)改變返回程序的地址，讓其跳轉(zhuǎn)到任意地址，帶來的危害一種是程序崩潰導(dǎo)致拒絕服務(wù)，另外一種就是跳轉(zhuǎn)并且執(zhí)行一段惡意代碼，比如得到shell，然后為所欲為。緩沖區(qū)溢出的危害三、黑客攻擊的防范可以導(dǎo)致程序運(yùn)行失敗、重新啟動(dòng)等后果。更為73三、黑客攻擊的防范2000年1月，Cerberus安全小組發(fā)布了微軟的IIS4/5存在的一個(gè)緩沖區(qū)溢出漏洞。攻擊該漏洞，可以使Web服務(wù)器崩潰，甚至獲取超級(jí)權(quán)限執(zhí)行任意的代碼。目前，微軟的IIS4/5是一種主流的Web服務(wù)器程序；因而，該緩沖區(qū)溢出漏洞對(duì)于網(wǎng)站的安全構(gòu)成了極大的威脅；它的描述如下：瀏覽器向IIS提出一個(gè)HTTP請(qǐng)求，在域名（或IP地址）后，加上一個(gè)文件名，該文件名以“.htr”做后綴。于是IIS認(rèn)為客戶端正在請(qǐng)求一個(gè)“.htr”文件，“.htr”擴(kuò)展文件被映像成ISAPI（InternetServiceAPI）應(yīng)用程序，IIS會(huì)復(fù)位向所有針對(duì)“.htr”資源的請(qǐng)求到ISM.DLL程序，ISM.DLL打開這個(gè)文件并執(zhí)行之。瀏覽器提交的請(qǐng)求中包含的文件名存儲(chǔ)在局部變量緩沖區(qū)中，若它很長(zhǎng)，超過600個(gè)字符時(shí)，會(huì)導(dǎo)致局部變量緩沖區(qū)溢出，覆蓋返回地址空間，使IIS崩潰。緩沖區(qū)溢出攻擊的實(shí)驗(yàn)分析三、黑客攻擊的防范2000年1月，Cerberus安全小組74三、黑客攻擊的防范上述的緩沖區(qū)溢出例子中，只是出現(xiàn)了一般的拒絕服務(wù)的效果。但是，實(shí)際情況往往并不是這么簡(jiǎn)單。當(dāng)黑客精心設(shè)計(jì)這一EIP，使得程序發(fā)生溢出之后改變正常流程，轉(zhuǎn)而去執(zhí)行他們?cè)O(shè)計(jì)好的一段代碼（也即ShellCode），攻擊者就能獲取對(duì)系統(tǒng)的控制，利用ShellCode實(shí)現(xiàn)各種功能，比如，監(jiān)聽一個(gè)端口，添加一個(gè)用戶，等等。這也正是緩沖區(qū)溢出攻擊的基本原理。目前流行的緩沖區(qū)溢出病毒，如沖擊波蠕蟲、震蕩波蠕蟲等，就都是采用同樣的緩沖區(qū)溢出攻擊方法對(duì)用戶的計(jì)算機(jī)進(jìn)行攻擊的。緩沖區(qū)溢出攻擊三、黑客攻擊的防范上述的緩沖區(qū)溢出例子中，只是出現(xiàn)了一般的拒75三、黑客攻擊的防范流行的緩沖區(qū)溢出攻擊病毒利用漏洞：RPC緩沖區(qū)溢出135/TCP沖擊波在此添加標(biāo)題震蕩波極速波高波利用漏洞：LSASS漏洞1025/TCP利用漏洞：UPNP漏洞445/TCP利用多種漏洞,非常危險(xiǎn)三、黑客攻擊的防范流行的緩沖區(qū)溢出攻擊病毒利用漏洞：RPC緩76三、黑客攻擊的防范防范緩沖區(qū)溢出攻擊的有效措施強(qiáng)制程序開發(fā)人員書寫正確的、安全的代碼。目前，可以借助grep、FaultInjection、PurifyPlus等工具幫助開發(fā)人員發(fā)現(xiàn)程序中的安全漏洞。通過對(duì)數(shù)組的讀寫操作進(jìn)行邊界檢查來實(shí)現(xiàn)緩沖區(qū)的保護(hù)，使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除了緩沖區(qū)溢出的威脅。常見的對(duì)數(shù)組操作進(jìn)行檢查的工具有CompaqC編譯器，RichardJones和PaulKelly開發(fā)的gcc補(bǔ)丁等。三、黑客攻擊的防范防范緩沖區(qū)溢出攻擊的有效措施強(qiáng)制程序開發(fā)77三、黑客攻擊的防范通過操作系統(tǒng)設(shè)置緩沖區(qū)的堆棧段為不可執(zhí)行，從而阻止攻擊者向其中植入攻擊代碼。微軟的DEP（數(shù)據(jù)執(zhí)行保護(hù)）技術(shù)微軟的DEP（數(shù)據(jù)執(zhí)行保護(hù)）技術(shù)（WindowsXPSP2、WindowsServer2003SP1及其更高版本的Windows操作系統(tǒng)中）三、黑客攻擊的防范通過操作系統(tǒng)設(shè)置緩沖區(qū)的堆棧段為不可執(zhí)行，78三、黑客攻擊的防范經(jīng)典溢出流程啟用DEP后流程三、黑客攻擊的防范經(jīng)典溢出流程啟用DEP后流程79三、黑客攻擊的防范TCP會(huì)話劫持的工作原理：TCP會(huì)話劫持實(shí)驗(yàn)拓?fù)洌喝?、黑客攻擊的防范TCP會(huì)話劫持的工作原理：TCP會(huì)話劫持實(shí)80三、黑客攻擊的防范檢測(cè)：查看網(wǎng)絡(luò)中是否存在ACK風(fēng)暴TCP會(huì)話劫持攻擊的檢測(cè)和防范防范：采用加密機(jī)制加密客戶端和服務(wù)器之間的通信過程：例如使用SSH代替Telnet、使用SSL代替HTTP，使用IPSec/VPN避免攻擊者成為客戶端和服務(wù)器通信雙方的中間人：采用靜態(tài)綁定MAC地址方法以防范ARP欺騙；過濾ICMP路由重定向報(bào)文以防范ICMP路由重定向攻擊三、黑客攻擊的防范檢測(cè)：TCP會(huì)話劫持攻擊的檢測(cè)和防范防范：81THANKSTHANKS82第2章黑客常用的攻擊方法第2章黑客常用的攻擊方法83能力CAPACITY要求熟悉TCP/IP。了解黑客攻擊的常用手段和方法，掌握常用網(wǎng)絡(luò)安全技術(shù)。具有良好的職業(yè)道德。能力CAPACITY要求熟悉TCP/IP。了解黑客攻擊的常用84常用黑客技術(shù)的原理黑客發(fā)展的歷史黑客攻擊的防范常用黑客技術(shù)的原理黑客發(fā)展的歷史黑客攻擊的防范85一、黑客發(fā)展的歷史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震撼了整個(gè)世界。由原本寂寂無名的大學(xué)生羅伯特·莫里斯（22歲）制造的這個(gè)蠕蟲病毒入侵了大約6000個(gè)大學(xué)和軍事機(jī)構(gòu)的計(jì)算機(jī)，使之癱瘓。此后，從CIH到美麗殺病毒，從尼姆達(dá)到紅色代碼，病毒、蠕蟲的發(fā)展愈演愈烈。一、黑客發(fā)展的歷史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震86一、黑客發(fā)展的歷史凱文?米特尼克是美國20世紀(jì)最著名的黑客之一，他是《社會(huì)工程學(xué)》的創(chuàng)始人1979年（15歲）他和他的伙伴侵入了“北美空中防務(wù)指揮系統(tǒng)”，翻閱了美國所有的核彈頭資料，令大人不可置信。不久破譯了美國“太平洋電話公司”某地的改戶密碼，隨意更改用戶的電話號(hào)碼?！镀垓_的藝術(shù)》凱文?米特尼克一、黑客發(fā)展的歷史凱文?米特尼克是美國20世紀(jì)最著名的黑客之87一、黑客發(fā)展的歷史安全威脅發(fā)展趨勢(shì)一、黑客發(fā)展的歷史安全威脅發(fā)展趨勢(shì)88一、黑客發(fā)展的歷史攻擊復(fù)雜度與所需入侵知識(shí)關(guān)系圖一、黑客發(fā)展的歷史攻擊復(fù)雜度與所需入侵知識(shí)關(guān)系圖89一、黑客發(fā)展的歷史黑客入侵攻擊的一般過程目標(biāo)地址范圍確定、名字空間查詢對(duì)目標(biāo)系統(tǒng)的監(jiān)聽和評(píng)估分析收集足夠的信息，得以成功訪問目標(biāo)從對(duì)用戶級(jí)的訪問權(quán)限到對(duì)系統(tǒng)的完全控制信息進(jìn)一步攝取取一旦目標(biāo)系統(tǒng)已全部控制，掩蹤滅跡不同部位布置陷阱和后門，需要時(shí)獲得特權(quán)訪問踩點(diǎn)掃描查點(diǎn)獲取訪問特權(quán)提升偷盜竊取掩蹤滅跡創(chuàng)建后門如果入侵不成功，可用漏洞代碼來使目標(biāo)系統(tǒng)癱瘓拒絕服務(wù)打開源查詢；whois；whois的Web接口；ARINwhios；DNA區(qū)域傳送Pingsweep；TCP/UDP端口掃描；OS檢測(cè)列出用戶賬號(hào)；列出共享文件；確定各種應(yīng)用密碼竊聽；共享文件的蠻力攻擊；攫取密碼；文件緩沖區(qū)溢出密碼破解；利用已知漏洞和脆弱點(diǎn)評(píng)估可信系統(tǒng)的堅(jiān)固度；搜索明文密碼清除日志記錄；掩藏工具創(chuàng)建“無賴”賬號(hào)，；安排批處理作業(yè)；感染初啟動(dòng)文件；植入遠(yuǎn)程控制程序；安裝監(jiān)控機(jī)制；利用特洛伊木馬替換應(yīng)用SYNflood；ICMP技術(shù)；統(tǒng)一scr/dstSYN請(qǐng)求；重疊fragment/offset錯(cuò)誤（bugs）；OutofboundsTCPoption（008）；DDoS針對(duì)有效用戶賬號(hào)或共享資源，進(jìn)行更多入侵探詢一、黑客發(fā)展的歷史黑客入侵攻擊的一般過程目標(biāo)地址范圍確定、90常用黑客技術(shù)的原理黑客發(fā)展的歷史黑客攻擊的防范常用黑客技術(shù)的原理黑客發(fā)展的歷史黑客攻擊的防范91二、常用黑客技術(shù)的原理網(wǎng)絡(luò)踩點(diǎn)：收集IP地址范圍、域名信息等。網(wǎng)絡(luò)掃描：探測(cè)系統(tǒng)開放端口、操作系統(tǒng)類型、所運(yùn)行的網(wǎng)絡(luò)服務(wù)，以及是否存在可利用的安全漏洞等。網(wǎng)絡(luò)查點(diǎn)：獲得用戶賬號(hào)、網(wǎng)絡(luò)服務(wù)類型和版本號(hào)等更細(xì)致的信息。常用的網(wǎng)絡(luò)信息收集技術(shù)【實(shí)驗(yàn)】whois查詢二、常用黑客技術(shù)的原理網(wǎng)絡(luò)踩點(diǎn)：收集IP地址范圍、域名信息等92二、常用黑客技術(shù)的原理漏洞掃描的內(nèi)容漏洞掃描123456系統(tǒng)開放的服務(wù)（端口掃描）各種弱口令漏洞、后門操作系統(tǒng)類型及版本網(wǎng)絡(luò)設(shè)備漏洞應(yīng)用服務(wù)漏洞拒絕服務(wù)漏洞等網(wǎng)絡(luò)掃描器作用探測(cè)目標(biāo)網(wǎng)絡(luò)結(jié)構(gòu)，獲取目標(biāo)系統(tǒng)的開放端口、操作系統(tǒng)類型、運(yùn)行的網(wǎng)絡(luò)服務(wù)、存在的安全弱點(diǎn)等信息。二、常用黑客技術(shù)的原理漏洞掃描的內(nèi)容漏洞掃描123493二、常用黑客技術(shù)的原理端口掃描器原理-預(yù)備知識(shí)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層應(yīng)用程序應(yīng)用程序傳輸層網(wǎng)絡(luò)層鏈路層TCPUDPICMPIPARP硬件接口RARP二、常用黑客技術(shù)的原理端口掃描器原理-預(yù)備知識(shí)應(yīng)用層表示層會(huì)94二、常用黑客技術(shù)的原理預(yù)備知識(shí)-IP頭預(yù)備知識(shí)-TCP頭二、常用黑客技術(shù)的原理預(yù)備知識(shí)-IP頭預(yù)備知識(shí)-TCP頭95二、常用黑客技術(shù)的原理常用的掃描軟件Nmap（端口掃描器）NessusX-scan（綜合掃描器）ipscanNmap簡(jiǎn)介(NetworkMapper)官方下載及文檔地址：/nmap/詳細(xì)操作步驟參見教材課堂演練一：端口掃描器Nmap二、常用黑客技術(shù)的原理常用的掃描軟件Nmap（端口掃描器）N96二、常用黑客技術(shù)的原理其他掃描方式：案例02OPTION01OPTION03OPTION04OPTIONPing掃描（-sP參數(shù)）TCPconnect()端口掃描（-sT參數(shù)）TCP同步（SYN）端口掃描（-sS參數(shù)）UDP端口掃描（-sU參數(shù)）02OPTION01OPTION03OPTIONFIN掃描（-sF）圣誕樹掃描（-sX）空掃描（-sN）二、常用黑客技術(shù)的原理其他掃描方式：案例02OPTION0197二、常用黑客技術(shù)的原理全連接掃描TCPconnect()掃描半連接掃描TCPSYN()掃描二、常用黑客技術(shù)的原理全連接掃描TCPconnect(98二、常用黑客技術(shù)的原理端口掃描的防范防火墻防火墻是不是能防范所有的端口掃描？提問二、常用黑客技術(shù)的原理端口掃描的防范防火墻防火墻是不是能防范99二、常用黑客技術(shù)的原理本部分內(nèi)容安排學(xué)生自己完成詳細(xì)操作步驟參見教材課堂演練二：綜合掃描器X-scanNessus也是一款典型的綜合掃描器，其被認(rèn)為是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件。

Nessus軟件采用C/S架構(gòu)：詳細(xì)操作步驟參見教材課堂演練三：Nessus二、常用黑客技術(shù)的原理本部分內(nèi)容安排學(xué)生自己完成課堂演練二：100二、常用黑客技術(shù)的原理口令破解01PRAT02PRAT03PRAT口令破解概述口令破解方法口令破解實(shí)驗(yàn)（詳細(xì)操作步驟參見教材）二、常用黑客技術(shù)的原理口令破解01PRAT02PRAT03P101二、常用黑客技術(shù)的原理口令破解的防范標(biāo)題關(guān)閉139端口強(qiáng)壯的密碼administrator賬戶重命名設(shè)置賬戶鎖定策略口令破解的防范二、常用黑客技術(shù)的原理口令破解的防范標(biāo)題關(guān)閉139端口強(qiáng)壯的102二、常用黑客技術(shù)的原理Sniffer，中文可以翻譯為嗅探器,也就是我們所說的數(shù)據(jù)包捕獲器。采用這種技術(shù)，我們可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌鹊?。網(wǎng)絡(luò)監(jiān)聽技術(shù)Sniffer原理什么是Sniffer?網(wǎng)絡(luò)通信監(jiān)視軟件網(wǎng)絡(luò)故障診斷分析工具網(wǎng)絡(luò)性能優(yōu)化、管理系統(tǒng)它幫助你迅速隔離和解決網(wǎng)絡(luò)通訊問題、分析和優(yōu)化網(wǎng)絡(luò)性能和規(guī)劃網(wǎng)絡(luò)的發(fā)展。二、常用黑客技術(shù)的原理Sniffer，中文可以翻譯為嗅探器,103二、常用黑客技術(shù)的原理夢(mèng)幻西游在網(wǎng)維大師無盤上容易掉線的問題（備注：41是夢(mèng)幻西游的服務(wù)器）分析原因產(chǎn)生：

1、服務(wù)器發(fā)現(xiàn)客戶端非法，比如有外掛什么的，踢掉了客戶機(jī)；

2、服務(wù)器壓力大，踢掉了客戶機(jī)；

3、總之不是客戶端問題導(dǎo)致的掉線；案例二、常用黑客技術(shù)的原理夢(mèng)幻西游在網(wǎng)維大師無盤上容易掉線的問題104二、常用黑客技術(shù)的原理網(wǎng)卡先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)計(jì)算機(jī)上的網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式判斷該不該接收，認(rèn)為該接收就在接收后產(chǎn)生中斷信號(hào)通知CPU，認(rèn)為不該接收就丟棄不管。CPU得到中斷信號(hào)產(chǎn)生中斷，操作系統(tǒng)就根據(jù)網(wǎng)卡驅(qū)動(dòng)程序中設(shè)置的網(wǎng)卡中斷程序地址調(diào)用驅(qū)動(dòng)程序接收數(shù)據(jù)，驅(qū)動(dòng)程序接收數(shù)據(jù)后放入信號(hào)堆棧讓操作系統(tǒng)處理。網(wǎng)卡工作原理二、常用黑客技術(shù)的原理網(wǎng)卡先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)105二、常用黑客技術(shù)的原理網(wǎng)卡的工作模式能夠接收網(wǎng)絡(luò)中的廣播信息。廣播方式在此添加標(biāo)題組播方式直接方式混雜模式（promiscuous）能夠接收組播數(shù)據(jù)。只有目的網(wǎng)卡才能接收該數(shù)據(jù)。能夠接收到一切通過它的數(shù)據(jù)。二、常用黑客技術(shù)的原理網(wǎng)卡的工作模式能夠接收網(wǎng)絡(luò)中的廣播信息106二、常用黑客技術(shù)的原理HUB工作原理二、常用黑客技術(shù)的原理HUB工作原理107二、常用黑客技術(shù)的原理交換環(huán)境下的SNIFF二、常用黑客技術(shù)的原理交換環(huán)境下的SNIFF108二、常用黑客技術(shù)的原理一個(gè)sniffer需要作的：網(wǎng)絡(luò)監(jiān)聽原理123把網(wǎng)卡置于混雜模式捕獲數(shù)據(jù)包分析數(shù)據(jù)包123二、常用黑客技術(shù)的原理一個(gè)sniffer需要作的：網(wǎng)絡(luò)監(jiān)聽原109二、常用黑客技術(shù)的原理常用的SNIFFwindows環(huán)境下UNUX環(huán)境下圖形界面的SNIFF、netxray、

snifferproUNUX環(huán)境下的sniff可以說是百花齊放，他們都有一個(gè)好處就是發(fā)布源代碼，當(dāng)然也都是免費(fèi)的。如sniffit、snoop、tcpdump、dsniff1、SnifferPro2、WireShark（06年夏天前稱為Ethereal）3、Netmonitor4、EffTechHTTPSniffer5、Iris二、常用黑客技術(shù)的原理常用的SNIFFwindows環(huán)境下110二、常用黑客技術(shù)的原理Wireshark的使用Wireshark的語法Sniffer演示實(shí)驗(yàn)二、常用黑客技術(shù)的原理Wireshark的使用Sniffe111二、常用黑客技術(shù)的原理捕捉過濾器可以使用6種比較運(yùn)算符：邏輯運(yùn)算符（Logicale-xpressions）:二、常用黑客技術(shù)的原理捕捉過濾器可以使用6種比較運(yùn)算符：邏輯112二、常用黑客技術(shù)的原理1.tcpdstport80

//捕捉目的TCP端口為80的封包。問題：怎么捕捉DNS包？2.host48

//捕捉目的或來源IP地址為48的封包。3.ipsrchost10.3.40.*

//捕捉來源IP地址為10.3.40.*

的封包。

4.etherhoste0-05-c5-44-b1-3c

//捕捉目的或來源MAC地址為e0-05-c5-44-b1-3c的封包。5.srcportrange2000-2500

//捕捉來源為UDP或TCP，并且端口號(hào)在2000至2500范圍內(nèi)的封包。6.（srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8

//捕捉來源IP為2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。練習(xí)二、常用黑客技術(shù)的原理1.tcpdstport80113二、常用黑客技術(shù)的原理練習(xí)1.ip.addr==

//顯示來源或目的IP地址為的封包。2.ip.src!=orip.dst!=

//顯示來源不為或者目的不為的封包。3.tcp.port==80

//顯示來源或目的TCP端口號(hào)為80的封包。4.tcp.dstport==25

//顯示目的TCP端口號(hào)為25的封包。顯示過濾器二、常用黑客技術(shù)的原理練習(xí)顯示過濾器114二、常用黑客技術(shù)的原理【例1】嗅探FTP過程【例2】嗅探HTTP登錄郵箱的過程【例3】嗅探POP郵箱密碼的過程詳細(xì)操作步驟參見教材課堂演練使用WireShark分析TCP/IP建立連接的三次握手過程的數(shù)據(jù)包使用WireShark分析nmap各種掃描方式的數(shù)據(jù)包綜合演練二、常用黑客技術(shù)的原理【例1】嗅探FTP過程課堂演練使用W115常用黑客技術(shù)的原理黑客發(fā)展的歷史黑客攻擊的防范常用黑客技術(shù)的原理黑客發(fā)展的歷史黑客攻擊的防范116三、黑客攻擊的防范進(jìn)行合理的網(wǎng)絡(luò)分段。用SSH/SSL建立加密連接，保證數(shù)據(jù)傳輸安全。Sniffer往往是入侵系統(tǒng)后使用的，用來收集信息，因此防止系統(tǒng)被突破。防止內(nèi)部攻擊。AntiSniff工具用于檢測(cè)局域網(wǎng)中是否有機(jī)器處于混雜模式（不是免費(fèi)的）。如何防止SNIFF三、黑客攻擊的防范進(jìn)行合理的網(wǎng)絡(luò)分段。如何防止SNIFF117三、黑客攻擊的防范ARP欺騙的工作原理ARP欺騙攻擊三、黑客攻擊的防范ARP欺騙的工作原理ARP欺騙攻擊118三、黑客攻擊的防范交換環(huán)境下的ARP欺騙攻擊及其嗅探演示實(shí)驗(yàn)實(shí)驗(yàn)拓?fù)洌篈RP欺騙工具：SwitchSniffer詳細(xì)步驟參見教材三、黑客攻擊的防范交換環(huán)境下的ARP欺騙攻擊及其嗅探演示實(shí)驗(yàn)119三、黑客攻擊的防范ARP命令靜態(tài)綁定網(wǎng)關(guān)ARP防火墻通過加密傳輸數(shù)據(jù)、使用VLAN技術(shù)細(xì)分網(wǎng)絡(luò)拓?fù)涞确椒ǎ越档虯RP欺騙攻擊的危害后果ARP欺騙的防御三、黑客攻擊的防范ARP命令靜態(tài)綁定網(wǎng)關(guān)ARP欺騙的防御120三、黑客攻擊的防范木馬是一種基于遠(yuǎn)程控制的黑客工具隱蔽性潛伏性危害性非授權(quán)性木馬（Trojanhorse）三、黑客攻擊的防范木馬是一種基于遠(yuǎn)程控制的黑客工具木馬（Tr121三、黑客攻擊的防范木馬與病毒、遠(yuǎn)程控制的區(qū)別122213病毒程序是以自發(fā)性的敗壞為目的木馬程序是依照黑客的命令來運(yùn)作，主要目的是偷取文件、機(jī)密數(shù)據(jù)、個(gè)人隱私等行為。木馬和一般的遠(yuǎn)程控制軟件的區(qū)別在于其隱蔽、非授權(quán)性。三、黑客攻擊的防范木馬與病毒、遠(yuǎn)程控制的區(qū)別40213病毒程三、黑客攻擊的防范木馬的工作原理實(shí)際就是一個(gè)C/S模式的程序（里應(yīng)外合）操作系統(tǒng)被植入木馬的PC（server程序）TCP/IP協(xié)議端口控制木馬的PC（client程序）操作系統(tǒng)TCP/IP協(xié)議端口控制端端口處于監(jiān)聽狀態(tài)三、黑客攻擊的防范木馬的工作原理實(shí)際就是一個(gè)C/S模式的程序123三、黑客攻擊的防范木馬的分類代理型FTP型下載型木馬遠(yuǎn)程訪問型鍵盤記錄型密碼發(fā)送型破壞型三、黑客攻擊的防范木馬的分類代理型FTP型下載型木馬遠(yuǎn)程訪問124三、黑客攻擊的防范木馬實(shí)施攻擊的步驟木馬偽裝信息反饋配置木馬啟動(dòng)木馬遠(yuǎn)程控制傳播木馬建立連接0102030405三、黑客攻擊的防范木馬實(shí)施攻擊的步驟木馬偽裝配置木馬啟動(dòng)木馬125三、黑客攻擊的防范服務(wù)器端程序：G-server.exe客戶端程序：G-client.exe詳細(xì)步驟參見教材課堂演練一：冰河木馬的使用反彈端口類型的木馬服務(wù)器的配置服務(wù)器的工作方式遠(yuǎn)程控制如何清除？課堂演練二：灰鴿子的使用三、黑客攻擊的防范服務(wù)器端程序：G-server.exe課堂126三、黑客攻擊的防范木馬文件的隱藏和偽裝文件的屬性捆綁到其他文件上文件的名字文件的位置文件的擴(kuò)展名文件的圖標(biāo)三、黑客攻擊的防范木馬文件的隱藏和偽裝文件的屬性捆綁127三、黑客攻擊的防范木馬運(yùn)行時(shí)偽裝方法123在任務(wù)欄里隱藏在任務(wù)管理器里隱藏隱藏端口三、黑客攻擊的防范木馬運(yùn)行時(shí)偽裝方法123在任務(wù)欄里隱藏在任128三、黑客攻擊的防范木馬的啟動(dòng)方式win.inisystem.ini啟動(dòng)組注冊(cè)表捆綁方式啟動(dòng)偽裝在普通文件中設(shè)置在超級(jí)連接中三、黑客攻擊的防范木馬的啟動(dòng)方式win.inisystem129三、黑客攻擊的防范查看端口檢查注冊(cè)表檢查DLL木馬檢查配置文件木馬的檢測(cè)發(fā)現(xiàn)木馬：檢查系統(tǒng)文件、注冊(cè)表、端口不要輕易使用來歷不明的軟件不熟悉的E-MAIL不打開常用殺毒軟件并及時(shí)升級(jí)合理使用防火墻木馬的防御三、黑客攻擊的防范查看端口木馬的檢測(cè)發(fā)現(xiàn)木馬：檢查系統(tǒng)文件、130三、黑客攻擊的防范流行木馬簡(jiǎn)介流行木馬backorificeSubseven網(wǎng)絡(luò)公牛(Netbull)網(wǎng)絡(luò)神偷(Nethief)廣外男生（是廣外女生的一個(gè)變種）Netspy(網(wǎng)絡(luò)精靈)冰河三、黑客攻擊的防范流行木馬簡(jiǎn)介流行木馬backorific131三、黑客攻擊的防范DoS--DenialofService：現(xiàn)在一般指導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊。拒絕服務(wù)攻擊(DoS)1232002年10月全世界13臺(tái)DNS服務(wù)器同時(shí)受到了DDoS（分布式拒絕服務(wù)）攻擊。2009年5月19日，由于暴風(fēng)影音軟件而導(dǎo)致“暴風(fēng)門”全國斷網(wǎng)事件。2014年6月20日起，香港公投網(wǎng)站PopVote遭遇超大規(guī)模的DDoS攻擊DoS攻擊的事件3三、黑客攻擊的防范DoS--DenialofServic132三、黑客攻擊的防范DoS攻擊的分類0102以消耗目標(biāo)主機(jī)的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊等）以消耗服務(wù)器鏈路的有效帶寬為目的（例如：蠕蟲）三、黑客攻擊的防范DoS攻擊的分類0102以消耗目標(biāo)主機(jī)的133三、黑客攻擊的防范SYN攻擊的原理（1）目標(biāo)主機(jī)SYNSYN/ACKACK等待應(yīng)答SYN：同步SYN/ACK:同步/確認(rèn)ACK：確認(rèn)三、黑客攻擊的防范SYN攻擊的原理（1）目標(biāo)主機(jī)SYNSYN134三、黑客攻擊的防范SYN攻擊的原理（2）....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機(jī)SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK應(yīng)答.........不應(yīng)答不應(yīng)答重新發(fā)送三、黑客攻擊的防范SYN攻擊的原理（2）....SYN/AC135三、黑客攻擊的防范以windows為例SYN攻擊花費(fèi)時(shí)間（秒）累計(jì)花費(fèi)時(shí)間（秒）第一次，失敗33嘗試第1次，失敗69嘗試第2次，失敗1221嘗試第3次，失敗2445嘗試第4次，失敗4893嘗試第5次，失敗96189三、黑客攻擊的防范以windows為例SYN攻擊花費(fèi)時(shí)間（136三、黑客攻擊的防范synkiller（圖形界面工具）syn等（DOS界面工具）【攻擊效果】可通過抓包和查看CPU的利用率來觀看攻擊效果思考題

掃描器中的半連接掃描是不是也構(gòu)成SYN攻擊？課堂演練——SYN攻擊三、黑客攻擊的防范synkiller（圖形界面工具）課堂演137三、黑客攻擊的防范行行色色的DOS攻擊DOS攻擊1234SYNFlood淚珠（Teardrop）攻擊死亡之pingLand攻擊三、黑客攻擊的防范行行色色的DOS攻擊DOS攻擊1234SY138三、黑客攻擊的防范DDoS攻擊案例案例12012年2月巴西銀行成為了分布式拒絕服務(wù)攻擊的目標(biāo)。巴西匯豐銀行、巴西銀行、ItauUnibancoMultiploSA銀行和布拉德斯科銀行都遭到了大規(guī)模攻擊。攻擊中，黑客利用的正是DDoS。2015年某網(wǎng)絡(luò)游戲進(jìn)行上線公測(cè)，公測(cè)前10分鐘，主力機(jī)房遭遇DDoS攻擊，帶寬瞬間被占滿，上游路由節(jié)點(diǎn)被打癱，游戲發(fā)行商被迫宣布停止公測(cè)。案例2三、黑客攻擊的防范DDoS攻擊案例案例12012年2月巴西139三、黑客攻擊的防范DDOS攻擊的威力2015年DDoS阿里云云盾防御的最大攻擊峰值流量為477Gbps。2015預(yù)測(cè)2016年整個(gè)互聯(lián)網(wǎng)可能會(huì)發(fā)生流量在800Gbps－1TGbps之間的攻擊事件。2016三、黑客攻擊的防范DDOS攻擊的威力2015年DDoS阿里云140三、黑客攻擊的防范DDoS(分布式拒絕服務(wù))攻擊攻擊者各種客戶主機(jī)目標(biāo)系統(tǒng)安置代理代理程序1、攻擊者攻擊諸客戶主機(jī)以求分析他們的安全水平和脆弱性。2、攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機(jī)之內(nèi)(“肉雞”)，并且秘密地安置一個(gè)其可遠(yuǎn)程控制的代理程序(端口監(jiān)督程序demon)。攻擊準(zhǔn)備：三、黑客攻擊的防范DDoS(分布式拒絕服務(wù))攻擊攻擊者各種141三、黑客攻擊的防范DDoS(分布式拒絕服務(wù))攻擊目標(biāo)系統(tǒng)攻擊者指令攻擊的代理程序虛假的連接請(qǐng)求

3、攻擊者使他的全部代理程序同時(shí)發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請(qǐng)求送至目標(biāo)系統(tǒng)。發(fā)起攻擊：4、包括虛假的連接請(qǐng)求在內(nèi)的大量殘缺的數(shù)字包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信淤塞而崩潰。三、黑客攻擊的防范DDoS(分布式拒絕服務(wù))攻擊目標(biāo)系統(tǒng)攻142三、黑客攻擊的防范實(shí)驗(yàn)拓?fù)洌涸敿?xì)步驟參見教材TFN分布式拒絕服務(wù)攻擊實(shí)驗(yàn)三、黑客攻擊的防范TFN分布式拒絕服務(wù)攻擊實(shí)驗(yàn)143三、黑客攻擊的防范詳細(xì)步驟參見教材冰盾防火墻的演示實(shí)驗(yàn)三、黑客攻擊的防范詳細(xì)步驟參見教材冰盾防火墻的演示實(shí)驗(yàn)144三、黑客攻擊的防范DNS反射攻擊的原理中小貸款攻擊者/僵尸主機(jī)偽造受害者發(fā)起大量DNS查詢請(qǐng)求開放DNS遞歸服務(wù)器DNS服務(wù)器回應(yīng)大量查詢響應(yīng)1M的流量發(fā)出大量模擬被攻擊者的DNS請(qǐng)求被攻擊者100M的流量100M的流量1M的流量發(fā)出大量模擬被攻擊者的DNS請(qǐng)求三、黑客攻擊的防范DNS反射攻擊的原理中小貸款攻擊者/僵145三、黑客攻擊的防范針對(duì)應(yīng)用程序---2013年25%的DDOS攻擊將是基于應(yīng)用程序。利用高速帶寬---在2012年下半年美國銀行遭受到一類新的破壞性DDoS攻擊，有時(shí)高達(dá)70Gbps的網(wǎng)絡(luò)流量沖擊了銀行自有互聯(lián)網(wǎng)管道。個(gè)性化攻擊三、黑客攻擊的防范針對(duì)應(yīng)用程序---2013年25%的DDO146三、黑客攻擊的防范緩沖區(qū)溢出（bufferoverflow)從一個(gè)對(duì)話框說起……三、黑客攻擊的防范緩沖區(qū)溢出（bufferoverflow147三、黑客攻擊的防范【引例】把1升的水注入容量為0.5升的容量中……認(rèn)識(shí)緩沖區(qū)溢出第一次大規(guī)模的緩沖區(qū)溢出攻擊是發(fā)生在1988年的Morris蠕蟲，它造成了6000多臺(tái)機(jī)器被癱瘓，損失在$100000至$10000000之間，利用的攻擊方法之一就是fingerd的緩沖區(qū)溢出。緩沖區(qū)溢出攻擊已經(jīng)占了網(wǎng)絡(luò)攻擊的絕大多數(shù)，據(jù)統(tǒng)計(jì)，大約80%的安全事件與緩沖區(qū)溢出攻擊有關(guān)。三、黑客攻擊的防范【引例】把1升的水注入容量為0.5升的容量148三、黑客攻擊的防范緩沖區(qū)溢出原理Windows系統(tǒng)的內(nèi)存結(jié)構(gòu)三、黑客攻擊的防范緩沖區(qū)溢出原理Windows系統(tǒng)的內(nèi)存結(jié)構(gòu)149三、黑客攻擊的防范計(jì)算機(jī)運(yùn)行時(shí)，系統(tǒng)將內(nèi)存劃分為3個(gè)段，分別是代碼段、數(shù)據(jù)段和堆棧段。 Windows系統(tǒng)的內(nèi)存結(jié)構(gòu)數(shù)據(jù)只讀，可執(zhí)行。在代碼段一切數(shù)據(jù)不允許更改。在代碼段中的數(shù)據(jù)是在編譯時(shí)生成的2進(jìn)制機(jī)器代碼，可供CPU執(zhí)行。放置程序運(yùn)行時(shí)動(dòng)態(tài)的局部變量，即局部變量的空間被分配在堆棧里面?？勺x、寫。靜態(tài)全局變量是位于數(shù)據(jù)段并且在程序開始運(yùn)行的時(shí)候被加載?？勺x、寫。代碼段堆棧段數(shù)據(jù)段三、黑客攻擊的防范計(jì)算機(jī)運(yùn)行時(shí)，系統(tǒng)將內(nèi)存劃分為3個(gè)段，分別150三、黑客攻擊的防范緩沖區(qū)溢出源于程序執(zhí)行時(shí)需要存放數(shù)據(jù)的空間，也即我們所說的緩沖區(qū)。緩沖區(qū)的大小是程序執(zhí)行時(shí)固定申請(qǐng)的。然而，某些時(shí)候，在緩沖區(qū)內(nèi)裝載的數(shù)據(jù)大小是用戶輸入的數(shù)據(jù)決定的。程序開發(fā)人員偶爾疏忽了對(duì)用戶輸入的這些數(shù)據(jù)作長(zhǎng)度檢查，由于用戶非法操作或者錯(cuò)誤操作，輸入的數(shù)據(jù)占滿了緩沖區(qū)的所有空間，且超越了緩沖區(qū)邊界延伸到緩沖區(qū)以外的空間。我們稱這個(gè)動(dòng)作為緩沖區(qū)溢出。緩沖區(qū)溢出的基本原理（1）緩沖區(qū)溢出是由于系統(tǒng)和軟件本身存在脆弱點(diǎn)所導(dǎo)致的。例如目前被廣泛使用的C和C++，這些語言在編譯的時(shí)候沒有做內(nèi)存檢查，即數(shù)組的邊界檢查和指針的引用檢查，也就是開發(fā)人員必須做這些