第2講 黑客攻擊技術(shù)

第2講黑客攻擊技術(shù)§2.1黑客概述§2.2網(wǎng)絡(luò)掃描§2.3網(wǎng)絡(luò)監(jiān)聽§2.4密碼破解攻擊§2.5緩沖區(qū)溢出攻擊§2.6拒絕服務(wù)攻擊§2.7網(wǎng)絡(luò)后門和木馬§2.8物理攻擊與防范§2.9社會(huì)工程學(xué)攻擊信息安全概論22023/2/5§2.1黑客概述黑客(Hacker)源于英語動(dòng)詞Hack，意為“劈、砍”，引申為“辟出、開辟”，進(jìn)一步的意思是“干了一件非常漂亮的工作”。在20世紀(jì)早期的麻省理工學(xué)院校園口語中，黑客則有“惡作劇”之意，尤其是指手法巧妙、技術(shù)高明的惡作劇。有一部分人認(rèn)為，黑客是“熱愛并精通計(jì)算機(jī)技術(shù)的網(wǎng)絡(luò)狂熱者”，并賦予他們“網(wǎng)上騎士”桂冠；相反，另一部分人則認(rèn)為黑客是“企圖非法獲取計(jì)算機(jī)系統(tǒng)訪問權(quán)的人”，甚至將其描述為“網(wǎng)絡(luò)恐怖主義分子”；大多數(shù)人則認(rèn)為，黑客是“試圖通過網(wǎng)絡(luò)非法獲取他人計(jì)算機(jī)系統(tǒng)訪問權(quán)并濫用計(jì)算機(jī)技術(shù)的人”。信息安全概論32023/2/5§2.1黑客概述根據(jù)我國現(xiàn)行法律的有關(guān)規(guī)定，對(duì)黑客可以給出兩個(gè)定義：廣義的黑客是指利用計(jì)算機(jī)技術(shù)，非法侵入或擅自操作他人(包括國家機(jī)關(guān)、社會(huì)組織及個(gè)人)計(jì)算機(jī)信息系統(tǒng)，對(duì)電子信息交流安全具有不同程度的威脅性和危害性的人；狹義的黑客，是指利用計(jì)算機(jī)技術(shù)，非法侵入并擅自操作他人計(jì)算機(jī)信息系統(tǒng)，對(duì)系統(tǒng)功能、數(shù)據(jù)或者程序進(jìn)行干擾、破壞，或者非法侵入計(jì)算機(jī)信息系統(tǒng)并擅自利用系統(tǒng)資源，實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的人。狹義的黑客包括在廣義的黑客之中，前者基本上是計(jì)算機(jī)犯罪的主體，后者的行為不一定都構(gòu)成犯罪。信息安全概論42023/2/5§2.1黑客概述黑客入侵和破壞的危險(xiǎn)黑客”在網(wǎng)上的攻擊活動(dòng)每年以十倍速增長。修改網(wǎng)頁進(jìn)行惡作劇、竊取網(wǎng)上信息興風(fēng)作浪。非法進(jìn)入主機(jī)破壞程序、阻塞用戶、竊取密碼。串入銀行網(wǎng)絡(luò)轉(zhuǎn)移金錢、進(jìn)行電子郵件騷擾。黑客可能會(huì)試圖攻擊網(wǎng)絡(luò)設(shè)備，使網(wǎng)絡(luò)設(shè)備癱瘓。信息安全概論52023/2/5典型的攻擊步驟§2.1黑客概述預(yù)攻擊探測發(fā)現(xiàn)漏洞，采取攻擊行為獲得攻擊目標(biāo)的控制權(quán)系統(tǒng)安裝系統(tǒng)后門繼續(xù)滲透網(wǎng)絡(luò)，直至獲取機(jī)密數(shù)據(jù)消滅蹤跡收集信息，如OS類型，提供的服務(wù)端口等破解口令文件，或利用緩存溢出漏洞獲得系統(tǒng)帳號(hào)權(quán)限，并提升為root權(quán)限方便以后使用以此主機(jī)為跳板，尋找其他主機(jī)的漏洞消除所有入侵腳印，以免被管理員發(fā)覺隱藏自身信息安全概論62023/2/5§2.1黑客概述預(yù)攻擊探測Ping掃描：用于發(fā)現(xiàn)攻擊目標(biāo)操作系統(tǒng)識(shí)別掃描：對(duì)目標(biāo)主機(jī)運(yùn)行的操作系統(tǒng)進(jìn)行識(shí)別端口掃描：用于查看攻擊目標(biāo)處于監(jiān)聽或運(yùn)行狀態(tài)的服務(wù)漏洞掃描：掃描對(duì)方系統(tǒng)有什么漏洞可以利用目前主流的掃描工具包括流光、Nmap、Nessus、SSS等都實(shí)現(xiàn)了這些技術(shù)。信息安全概論72023/2/5§2.1黑客概述黑客入侵的行為模型信息安全概論82023/2/5掃描器是自動(dòng)檢測遠(yuǎn)程或本地主機(jī)安全性漏洞的程序包。使用掃描器，不僅可以很快地發(fā)現(xiàn)本地主機(jī)系統(tǒng)配置和軟件上存在的安全隱患，而且還可以不留痕跡地發(fā)現(xiàn)遠(yuǎn)在另一個(gè)半球的一臺(tái)主機(jī)的安全性漏洞，這種自動(dòng)檢測功能快速而準(zhǔn)確。不同的人使用掃描器會(huì)有不同的結(jié)果：如果系統(tǒng)管理員使用了掃描器，它將直接有助于加強(qiáng)系統(tǒng)安全性；而對(duì)于黑客來說，掃描器是他們進(jìn)行攻擊入手點(diǎn)，不過，由于掃描器不能直接攻擊網(wǎng)絡(luò)漏洞，所以黑客使用掃描器找出目標(biāo)主機(jī)上各種各樣的安全漏洞后，利用其他方法進(jìn)行惡意攻擊。§2.2網(wǎng)絡(luò)掃描信息安全概論92023/2/5操作系統(tǒng)本身的ping工具

C:\>ping

Pingingwith32bytesofdata:Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128Pingstatisticsfor:

Packets:Sent=4,Received=4,Lost=0(0%loss),

Approximateroundtriptimesinmilli-seconds:

Minimum=0ms,Maximum=0ms,Average=0ms

TTL=125左右的主機(jī)應(yīng)該是Windows系列的§2.2網(wǎng)絡(luò)掃描信息安全概論102023/2/5操作系統(tǒng)本身的ping工具

C:\>ping

Pingingwith32bytesofdata:Requesttimedout.

Replyfrom:bytes=32time=250msTTL=237

Replyfrom:bytes=32time=234msTTL=237

Replyfrom:bytes=32time=234msTTL=237Pingstatisticsfor:

Packets:Sent=4,Received=3,Lost=1(25%loss),

Approximateroundtriptimesinmilli-seconds:

Minimum=234ms,Maximum=250ms,Average=179ms

TTL=235左右的主機(jī)應(yīng)該是Unix系列的§2.2網(wǎng)絡(luò)掃描信息安全概論112023/2/5主機(jī)掃描——工具軟件：SuperScan

主界面§2.2網(wǎng)絡(luò)掃描信息安全概論122023/2/5主機(jī)掃描——工具軟件：SuperScan

§2.2網(wǎng)絡(luò)掃描信息安全概論132023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser主要功能：掃描出NT主機(jī)上存在的用戶名。自動(dòng)猜測空密碼和與用戶名相同的密碼?？梢允褂弥付艽a字典猜測密碼。可以使用指定字符來窮舉猜測密碼。§2.2網(wǎng)絡(luò)掃描信息安全概論142023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser主界面§2.2網(wǎng)絡(luò)掃描信息安全概論152023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser設(shè)置掃描的目標(biāo)主機(jī)§2.2網(wǎng)絡(luò)掃描信息安全概論162023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser

獲得用戶列表§2.2網(wǎng)絡(luò)掃描信息安全概論172023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser§2.2網(wǎng)絡(luò)掃描信息安全概論182023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser設(shè)置字典文件§2.2網(wǎng)絡(luò)掃描信息安全概論192023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser§2.2網(wǎng)絡(luò)掃描信息安全概論202023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser使用字典文件對(duì)用戶口令

進(jìn)行測試§2.2網(wǎng)絡(luò)掃描信息安全概論212023/2/5系統(tǒng)用戶掃描——工具軟件：GetNTUser

§2.2網(wǎng)絡(luò)掃描信息安全概論222023/2/5端口掃描工具PortScan

SuperScanNetScanToolsWinScanNTOScannerWUPSNmapNT§2.2網(wǎng)絡(luò)掃描信息安全概論232023/2/5開放端口掃描——工具軟件：PortScan主界面§2.2網(wǎng)絡(luò)掃描信息安全概論242023/2/5開放端口掃描——工具軟件：PortScan設(shè)置目標(biāo)主機(jī)和端口范圍后單擊Start

§2.2網(wǎng)絡(luò)掃描信息安全概論252023/2/5開放端口掃描——工具軟件：PortScan§2.2網(wǎng)絡(luò)掃描信息安全概論262023/2/5開放端口掃描——工具軟件：SuperScan

主界面§2.2網(wǎng)絡(luò)掃描信息安全概論272023/2/5開放端口掃描——工具軟件：SuperScan端口掃描§2.2網(wǎng)絡(luò)掃描信息安全概論282023/2/5開放端口掃描——工具軟件：SuperScan

§2.2網(wǎng)絡(luò)掃描信息安全概論292023/2/5開放端口掃描——工具軟件：SuperScan§2.2網(wǎng)絡(luò)掃描信息安全概論302023/2/5開放端口掃描——工具軟件：SuperScan

§2.2網(wǎng)絡(luò)掃描信息安全概論312023/2/5共享目錄掃描——工具軟件：Shed主界面§2.2網(wǎng)絡(luò)掃描信息安全概論322023/2/5共享目錄掃描——工具軟件：Shed設(shè)置掃描的主機(jī)范圍§2.2網(wǎng)絡(luò)掃描信息安全概論332023/2/5共享目錄掃描——工具軟件：Shed

§2.2網(wǎng)絡(luò)掃描信息安全概論342023/2/5共享目錄掃描——工具軟件：Shed§2.2網(wǎng)絡(luò)掃描信息安全概論352023/2/5針對(duì)預(yù)攻擊探測的防范措施Pingsweep：安裝防火墻或相關(guān)工具軟件，禁止某些ICMPping，使用NAT隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)Portscan：安裝防火墻或相關(guān)工具軟件，禁止訪問不該訪問的服務(wù)端口OSfingerprint：安裝防火墻或相關(guān)工具軟件，只允許訪問少量服務(wù)端口，缺乏必要的信息，無法判斷OS類型資源和用戶掃描：防范NetBIOS掃描的最直接方法就是不允許對(duì)TCP/UDP135到139端口的訪問，如通過防火墻或路由器的配置等。對(duì)單獨(dú)的主機(jī)，可使用NetBIOSoverTCP/IP項(xiàng)失效或注冊(cè)表配置來實(shí)現(xiàn)?！?.2網(wǎng)絡(luò)掃描信息安全概論362023/2/5漏洞掃描漏洞掃描是一種最常見的攻擊模式，用于探測系統(tǒng)和網(wǎng)絡(luò)漏洞，如獲取系統(tǒng)和應(yīng)用口令，嗅探敏感信息，利用緩存區(qū)溢出直接攻擊等。針對(duì)某一類型的漏洞，都有專門的攻擊工具。也有一些功能強(qiáng)大綜合掃描工具，對(duì)系統(tǒng)進(jìn)行全面探測和漏洞掃描。綜合漏洞掃描和攻擊工具X-Scan流光SSS§2.2網(wǎng)絡(luò)掃描信息安全概論372023/2/5漏洞掃描——工具軟件：X-Scan主界面§2.2網(wǎng)絡(luò)掃描信息安全概論382023/2/5漏洞掃描——工具軟件：X-Scan

§2.2網(wǎng)絡(luò)掃描信息安全概論392023/2/5漏洞掃描——工具軟件：X-Scan

§2.2網(wǎng)絡(luò)掃描信息安全概論402023/2/5漏洞掃描——工具軟件：X-Scan

§2.2網(wǎng)絡(luò)掃描信息安全概論412023/2/5漏洞掃描——工具軟件：X-Scan

§2.2網(wǎng)絡(luò)掃描信息安全概論422023/2/5漏洞掃描——工具軟件：Fluxay主界面§2.2網(wǎng)絡(luò)掃描信息安全概論432023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡(luò)掃描信息安全概論442023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡(luò)掃描信息安全概論452023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡(luò)掃描信息安全概論462023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡(luò)掃描信息安全概論472023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡(luò)掃描信息安全概論482023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡(luò)掃描信息安全概論492023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡(luò)掃描信息安全概論502023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡(luò)掃描信息安全概論512023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡(luò)掃描信息安全概論522023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網(wǎng)絡(luò)掃描信息安全概論532023/2/5漏洞掃描——工具軟件：SSS主界面§2.2網(wǎng)絡(luò)掃描掃描主機(jī)漏洞掃描某種特定的漏洞文本編輯形式拒絕服務(wù)攻擊測試信息安全概論542023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡(luò)掃描掃描所有的標(biāo)準(zhǔn)端口，除了Dostests掃描所有的端口(1~65355)，除了Dostests只掃描標(biāo)準(zhǔn)端口信息安全概論552023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡(luò)掃描信息安全概論562023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡(luò)掃描信息安全概論572023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡(luò)掃描信息安全概論582023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡(luò)掃描信息安全概論592023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡(luò)掃描信息安全概論602023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡(luò)掃描信息安全概論612023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡(luò)掃描信息安全概論622023/2/5漏洞掃描——工具軟件：SSS

§2.2網(wǎng)絡(luò)掃描信息安全概論632023/2/5漏洞攻擊的防范措施安裝防火墻，禁止訪問不該訪問的服務(wù)端口，使用NAT隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)安裝入侵檢測系統(tǒng)，檢測漏洞攻擊行為安裝安全評(píng)估系統(tǒng)，先于入侵者進(jìn)行模擬漏洞攻擊，以便及早發(fā)現(xiàn)漏洞并解決提高安全意識(shí)，經(jīng)常給操作系統(tǒng)和應(yīng)用軟件打補(bǔ)丁§2.2網(wǎng)絡(luò)掃描信息安全概論642023/2/5§2.3網(wǎng)絡(luò)監(jiān)聽所謂網(wǎng)絡(luò)監(jiān)聽就是獲取在網(wǎng)絡(luò)上傳輸?shù)男畔?。通常，這種信息并不是特定發(fā)給自己計(jì)算機(jī)的。一般情況下，系統(tǒng)管理員為了有效地管理網(wǎng)絡(luò)、診斷網(wǎng)絡(luò)問題而進(jìn)行網(wǎng)絡(luò)監(jiān)聽。然而，黑客為了達(dá)到其不可告人的目的，也進(jìn)行網(wǎng)絡(luò)監(jiān)聽。以太網(wǎng)中信息傳輸?shù)脑恚喊l(fā)送信息時(shí)，發(fā)送方將對(duì)所有的主機(jī)進(jìn)行廣播，廣播包的包頭含有目的主機(jī)的物理地址，如果地址與主機(jī)不符，則該主機(jī)對(duì)數(shù)據(jù)包不予理睬，只有當(dāng)?shù)刂放c主機(jī)自己的地址相同時(shí)主機(jī)才會(huì)接受該數(shù)據(jù)包，但網(wǎng)絡(luò)監(jiān)聽程序可以使得主機(jī)對(duì)所有通過它的數(shù)據(jù)進(jìn)行接收或改變。網(wǎng)絡(luò)監(jiān)聽使得進(jìn)行監(jiān)聽的機(jī)器響應(yīng)速度變得非常慢。

信息安全概論652023/2/5網(wǎng)絡(luò)監(jiān)聽的作用可以截獲用戶口令可以截獲秘密的或?qū)Ｓ玫男畔⒖梢杂脕砉粝噜彽木W(wǎng)絡(luò)可以對(duì)數(shù)據(jù)包進(jìn)行詳細(xì)的分析可以分析出目標(biāo)主機(jī)采用了哪些協(xié)議§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論662023/2/5常用的監(jiān)聽工具SnifferProIrisWinSnifferpswmonitorfssniffer§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論672023/2/5網(wǎng)絡(luò)嗅探——工具軟件SnifferPro主界面§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論682023/2/5網(wǎng)絡(luò)嗅探——工具軟件SnifferPro捕獲定義過濾器§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論692023/2/5網(wǎng)絡(luò)嗅探——工具軟件SnifferPro設(shè)置捕獲條件IP地址條件§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論702023/2/5網(wǎng)絡(luò)嗅探——工具軟件SnifferPro設(shè)置捕獲條件協(xié)議捕獲編輯§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論712023/2/5網(wǎng)絡(luò)嗅探——工具軟件SnifferPro如捕獲http數(shù)據(jù)包§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論722023/2/5網(wǎng)絡(luò)嗅探——工具軟件SnifferPro保存過濾規(guī)則條件§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論732023/2/5網(wǎng)絡(luò)嗅探——工具軟件SnifferPro監(jiān)視器儀表板，顯示捕包的個(gè)數(shù)§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論742023/2/5網(wǎng)絡(luò)嗅探——工具軟件SnifferPro捕獲面板，查看捕獲報(bào)文的數(shù)量和緩沖區(qū)的利用率§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論752023/2/5網(wǎng)絡(luò)嗅探——工具軟件SnifferPro監(jiān)視器矩陣，出現(xiàn)主機(jī)所在局域網(wǎng)的所有通信連接

§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論762023/2/5網(wǎng)絡(luò)嗅探——工具軟件SnifferPro選中要監(jiān)視的IP地址，右擊選擇“捕獲”§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論772023/2/5網(wǎng)絡(luò)嗅探——工具軟件SnifferPro專家分析系統(tǒng)進(jìn)行數(shù)據(jù)包分析§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論782023/2/5網(wǎng)絡(luò)嗅探——工具軟件SnifferPro

§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論792023/2/5捕獲的報(bào)文報(bào)文解碼二進(jìn)制內(nèi)容信息安全概論802023/2/5針對(duì)網(wǎng)絡(luò)嗅探攻擊的防范措施安裝VPN網(wǎng)關(guān)，防止對(duì)網(wǎng)間網(wǎng)信道進(jìn)行嗅探對(duì)內(nèi)部網(wǎng)絡(luò)通信采取加密處理采用交換設(shè)備進(jìn)行網(wǎng)絡(luò)分段采取技術(shù)手段發(fā)現(xiàn)處于混雜模式的主機(jī)，發(fā)掘“鼴鼠”§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論812023/2/5網(wǎng)絡(luò)監(jiān)聽的檢測方法

對(duì)于懷疑運(yùn)行監(jiān)聽程序的機(jī)器，用正確的IP地址和錯(cuò)誤的物理地址去ping，運(yùn)行監(jiān)聽程序的機(jī)器會(huì)有響應(yīng)。這是因?yàn)檎５臋C(jī)器不接收錯(cuò)誤的物理地址，處于監(jiān)聽狀態(tài)的機(jī)器能接收。往網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序?qū)⑻幚磉@些包導(dǎo)致性能下降。通過比較前后該機(jī)器性能加以判斷。這種方法難度比較大。搜索所有主機(jī)上運(yùn)行的進(jìn)程。搜索監(jiān)聽程序。若入侵者使用的是免費(fèi)軟件。管理員就可以檢查目錄，找出監(jiān)聽程序，但這很困難且費(fèi)時(shí)。§2.3網(wǎng)絡(luò)監(jiān)聽信息安全概論822023/2/5密碼與用戶賬戶的有效利用是網(wǎng)絡(luò)安全性的最大問題之一。密碼破解是描述在使用或不使用工具的情況下滲透網(wǎng)絡(luò)、系統(tǒng)或資源以解鎖用密碼保護(hù)的資源的一個(gè)術(shù)語。密碼破解不一定涉及復(fù)雜的工具。它可能與找一張寫有密碼的貼紙一樣簡單，而這張紙就貼在顯示器上或者藏在鍵盤底下。另一種暴力技術(shù)稱為“垃圾搜尋”（DumpsterDiving），它基本上就是一個(gè)攻擊者把垃圾搜尋一遍以找出可能含有密碼的廢棄文檔。§2.4密碼破解攻擊信息安全概論832023/2/5密碼破解的常見技術(shù)字典攻擊混合攻擊暴力攻擊§2.4密碼破解攻擊信息安全概論842023/2/5密碼破解的常見技術(shù)字典攻擊到目前為止，一個(gè)簡單的字典攻擊（DictionaryAttack）是闖入機(jī)器的最快方法。字典文件（一個(gè)充滿字典文字的文本文件）被裝入破解應(yīng)用程序（如L0phtCrack），它是根據(jù)由應(yīng)用程序定位的用戶賬戶運(yùn)行的。因?yàn)榇蠖鄶?shù)密碼通常是簡單的，所以運(yùn)行字典攻擊通常足以實(shí)現(xiàn)目的?；旌瞎舯┝簟?.4密碼破解攻擊信息安全概論852023/2/5密碼破解的常見技術(shù)字典攻擊

混合攻擊混合攻擊將數(shù)字和符號(hào)添加到文件名以成功破解密碼。許多人只通過在當(dāng)前密碼后加一個(gè)數(shù)字來更改密碼。其模式通常采用這一形式：第一月的密碼是“cat”；第二個(gè)月的密碼是“cat1”；第3個(gè)月的密碼是“cat2”，依次類推。暴力攻擊§2.4密碼破解攻擊信息安全概論862023/2/5密碼破解的常見技術(shù)字典攻擊

混合攻擊

暴力攻擊暴力攻擊（BruteForceAttack）是最全面的攻擊形式，雖然它通常需要很長的時(shí)間工作，這取決于密碼的復(fù)雜程度。根據(jù)密碼的復(fù)雜程度，某些暴力攻擊可能花費(fèi)一個(gè)星期的時(shí)間?！?.4密碼破解攻擊信息安全概論872023/2/5破解操作系統(tǒng)口令——工具軟件GetNTUser§2.4密碼破解攻擊信息安全概論882023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack主界面§2.4密碼破解攻擊Demo信息安全概論892023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論902023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論912023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論922023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論932023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論942023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論952023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論962023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論972023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論982023/2/5破解操作系統(tǒng)口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論992023/2/5破解Word文檔密碼——工具軟件AOXPPRAdvancedOfficeXPPasswordRecovery§2.4密碼破解攻擊Demo信息安全概論1002023/2/5破解Word文檔密碼——工具軟件PasswordRecoveryForMicrosoftWord§2.4密碼破解攻擊Demo信息安全概論1012023/2/5破解PPT文檔密碼——工具軟件PasswordRecoveryForMicrosoftPowerpoint§2.4密碼破解攻擊信息安全概論1022023/2/5破解ACCESS文檔密碼——工具軟件PasswordRecoveryForMicrosoftACCESS§2.4密碼破解攻擊信息安全概論1032023/2/5破解各種Office文檔密碼——工具軟件PasswordRecoveryForMicrosoftOffice§2.4密碼破解攻擊信息安全概論1042023/2/5緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)當(dāng)機(jī)、重新啟動(dòng)等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。緩沖區(qū)溢出的原理是通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，以達(dá)到攻擊的目的。造成緩沖區(qū)溢出的原因是程序中沒有仔細(xì)檢查用戶輸入的參數(shù)?！?.5緩沖區(qū)溢出攻擊信息安全概論1052023/2/5例如：voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}strcpy()直接把str的內(nèi)容copy到buffer中。這樣只要str的長度大于16，就會(huì)造成buffer的溢出，使程序運(yùn)行出錯(cuò)。存在象strcpy這樣的問題的標(biāo)準(zhǔn)函數(shù)還有strcat()、sprintf()、vsprintf()、gets()、scanf()等?！?.5緩沖區(qū)溢出攻擊信息安全概論1062023/2/5緩沖區(qū)溢出攻擊之所以成為一種常見的安全攻擊手段，其原因在于緩沖區(qū)溢出漏洞太普遍了，并且攻擊易于實(shí)現(xiàn)。而且，緩沖區(qū)溢出成為遠(yuǎn)程攻擊的主要手段其原因在于緩沖區(qū)溢出漏洞給予了攻擊者他所想要的一切：植入并且執(zhí)行攻擊代碼。被植入的攻擊代碼以一定的權(quán)限運(yùn)行有緩沖區(qū)溢出漏洞的程序，從而得到被攻擊主機(jī)的控制權(quán)?！?.5緩沖區(qū)溢出攻擊信息安全概論1072023/2/5拒絕服務(wù)攻擊，簡稱DoS（DenialofService）攻擊。DoS攻擊通過搶占目標(biāo)主機(jī)系統(tǒng)資源使系統(tǒng)過載或崩潰，破壞和拒絕合法用戶對(duì)網(wǎng)絡(luò)、服務(wù)器等資源的訪問，達(dá)到阻止合法用戶使用系統(tǒng)的目的，是常用的一種攻擊方式。DoS屬于破壞型攻擊。它對(duì)目標(biāo)系統(tǒng)本身的破壞性并不是很大，但影響了正常的工作和生活秩序，間接損失嚴(yán)重，社會(huì)效應(yīng)惡劣。凡是造成目標(biāo)計(jì)算機(jī)拒絕提供服務(wù)的攻擊都稱為DoS攻擊。DoS可能由網(wǎng)絡(luò)部件的物理損壞引起，也可能由網(wǎng)絡(luò)負(fù)荷超載所引起，還可能由不正確的使用網(wǎng)絡(luò)協(xié)議而引起?！?.6拒絕服務(wù)攻擊信息安全概論1082023/2/5DoS攻擊的兩種基本形式計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊。以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉，最后導(dǎo)致合法用戶的請(qǐng)求無法通過。連通性攻擊。用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，最終導(dǎo)致計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。DoS攻擊發(fā)生時(shí)的特點(diǎn)消耗系統(tǒng)或網(wǎng)絡(luò)資源，使系統(tǒng)過載或崩潰。難以辨別真假。使用不應(yīng)存在的非法數(shù)據(jù)包來達(dá)到拒絕服務(wù)攻擊的目的。有大量的數(shù)據(jù)包來自相同的源?！?.6拒絕服務(wù)攻擊信息安全概論1092023/2/5DoS攻擊類型SYNfloodSmurflandPingofdeathUDPFloodteardrop§2.6拒絕服務(wù)攻擊信息安全概論1102023/2/5SYNflood（同步風(fēng)暴）攻擊當(dāng)前最流行的DoS與DDoS的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡的攻擊方式。TCP是基于連接的，為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立TCP連接。建立TCP連接的標(biāo)準(zhǔn)過程：請(qǐng)求端發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號(hào)服務(wù)器收到SYN報(bào)文后，返回一個(gè)SYN+ACK的報(bào)文，表示客戶端的請(qǐng)求被接受，同時(shí)TCP序號(hào)被加1客戶端也返回一個(gè)ACK給服務(wù)器端，同樣TCP序列號(hào)被加1§2.6拒絕服務(wù)攻擊信息安全概論1112023/2/5SYNflood（同步風(fēng)暴）攻擊假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的。在這種情況下服務(wù)器端會(huì)重試，再次發(fā)送SYN+ACK給客戶端，并等待一段時(shí)間，判定無法建立連接后，丟棄這個(gè)未完成的連接。這段等待時(shí)間稱為SYN中止時(shí)間（Timeout），一般為30秒～2分鐘。如果攻擊者大量模擬這種情況，服務(wù)器端為了維護(hù)非常大的半連接列表就會(huì)消耗非常多的資源。此時(shí)從正常客戶的角度來看，服務(wù)器已經(jīng)喪失了對(duì)正常訪問的響應(yīng)，這便是SYNFlood攻擊的機(jī)理?！?.6拒絕服務(wù)攻擊信息安全概論1122023/2/5SYNflood（同步風(fēng)暴）攻擊§2.6拒絕服務(wù)攻擊SYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)！）ACK（確認(rèn)連接）發(fā)起方應(yīng)答方信息安全概論1132023/2/5SYNflood（同步風(fēng)暴）攻擊§2.6拒絕服務(wù)攻擊SYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)！）攻擊者受害者偽造地址進(jìn)行SYN請(qǐng)求為何還沒回應(yīng)不能建立正常的連接其它正常用戶得不到響應(yīng)就是讓你白等？？？信息安全概論1142023/2/5正常tcpconnect攻擊者受害者大量的tcpconnect這么多需要處理？不能建立正常的連接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用戶正常tcpconnectSYNflood（同步風(fēng)暴）攻擊§2.6拒絕服務(wù)攻擊信息安全概論1152023/2/5針對(duì)SYNflood攻擊的防范措施優(yōu)化系統(tǒng)配置優(yōu)化路由器配置完善基礎(chǔ)設(shè)施使用防火墻主動(dòng)監(jiān)視§2.6拒絕服務(wù)攻擊縮短超時(shí)時(shí)間，增加板連接隊(duì)列長度，關(guān)閉不必要的服務(wù)等配置路由器的外網(wǎng)卡，丟棄那些來自外部網(wǎng)而源IP地址具有內(nèi)部網(wǎng)絡(luò)地址的包；配置路由器的內(nèi)網(wǎng)卡，丟棄那些即將發(fā)到外部網(wǎng)而源IP地址不具有內(nèi)部網(wǎng)絡(luò)地址的包。這種方法可以有效地減少攻擊的可能。在網(wǎng)絡(luò)關(guān)鍵點(diǎn)上安裝監(jiān)視軟件，監(jiān)視TCP/IP流量，收集通信控制信息，分析狀態(tài)，辨別攻擊行為現(xiàn)有的網(wǎng)絡(luò)體系結(jié)構(gòu)沒有對(duì)源IP地址進(jìn)行檢查的機(jī)制，也不具備追蹤網(wǎng)絡(luò)數(shù)據(jù)包的物理傳輸路徑的機(jī)制，使得發(fā)現(xiàn)攻擊者困難。而且許多攻擊手段都是利用現(xiàn)有網(wǎng)絡(luò)協(xié)議的缺陷。因此對(duì)整個(gè)網(wǎng)絡(luò)體系結(jié)構(gòu)的再改造十分重要。采用半透明網(wǎng)關(guān)技術(shù)的防火墻能有效防范SYNflood攻擊信息安全概論1162023/2/5Smurf攻擊該攻擊向一個(gè)子網(wǎng)的廣播地址發(fā)一組ICMP回應(yīng)請(qǐng)求數(shù)據(jù)包,并且將源地址偽裝成想要攻擊的主機(jī)地址。子網(wǎng)中所有主機(jī)都將向被偽裝的源地址發(fā)回ICMP回應(yīng)應(yīng)答。攻擊者通過幾百個(gè)數(shù)據(jù)包就可以產(chǎn)生成千上萬的數(shù)據(jù)包，這樣不僅可以造成目標(biāo)主機(jī)的拒絕服務(wù)，而且還會(huì)使目標(biāo)子網(wǎng)的網(wǎng)絡(luò)本身也遭到DoS攻擊?！?.6拒絕服務(wù)攻擊信息安全概論1172023/2/5Land攻擊IP協(xié)議中IP源地址和目標(biāo)地址相同操作系統(tǒng)如WindowNT不知道該如何處理這種情況，就可能造成死機(jī)。Land攻擊向UDP目標(biāo)端口135發(fā)送偽裝的RPC的UDP數(shù)據(jù)包，使之看上去像一個(gè)RPC服務(wù)器在向另一個(gè)RPC服務(wù)器發(fā)送數(shù)據(jù)，目標(biāo)服務(wù)器將返回一個(gè)REJECT數(shù)據(jù)包，而源服務(wù)器用另一個(gè)REJECT數(shù)據(jù)包應(yīng)答，結(jié)果就會(huì)造成死循環(huán)，只有當(dāng)數(shù)據(jù)包作為異常處理被丟掉時(shí)循環(huán)才會(huì)中止。如果將偽裝的UDP數(shù)據(jù)包發(fā)送至多臺(tái)主機(jī)，就會(huì)產(chǎn)生多個(gè)循環(huán)，將消耗大量處理器資源和網(wǎng)絡(luò)帶寬?！?.6拒絕服務(wù)攻擊信息安全概論1182023/2/5Pingofdeath攻擊根據(jù)有關(guān)IP協(xié)議規(guī)定的RFC791，占有16位的總長度控制字確定了IP包的總長度為65535字節(jié)，其中包括IP數(shù)據(jù)包的包頭長度。Pingtodeath攻擊發(fā)送超大尺寸的ICMP數(shù)據(jù)包，使得封裝該ICMP數(shù)據(jù)包的IP數(shù)據(jù)包大于65535字節(jié)，目標(biāo)主機(jī)無法重新組裝這種數(shù)據(jù)包分片，可能造成緩沖區(qū)溢出、系統(tǒng)崩潰?！?.6拒絕服務(wù)攻擊信息安全概論1192023/2/5UDPFlood攻擊用Chargen和Echo來傳送毫無用處的數(shù)據(jù)來占用所有的帶寬。在攻擊過程中，通過偽造與某一主機(jī)的Chargen服務(wù)之間的一次UDP連接，回復(fù)地址指向開著Echo服務(wù)的一臺(tái)主機(jī)，這樣就生成在兩臺(tái)主機(jī)之間的足夠多的無用數(shù)據(jù)流，如果足夠多的數(shù)據(jù)流就會(huì)導(dǎo)致針對(duì)帶寬消耗的拒絕服務(wù)攻擊。杜絕UDPFlood攻擊的最好辦法是關(guān)掉不必要的TCP/IP服務(wù)，或者配置防火墻以阻斷來自Internet的UDP服務(wù)請(qǐng)求，不過這可能會(huì)阻斷一些正常的UDP服務(wù)請(qǐng)求?！?.6拒絕服務(wù)攻擊信息安全概論1202023/2/5UDPFlood攻擊——工具軟件UDPFlooder一種采用UDP-Flood攻擊方式的DoS軟件，它可以向特定的IP地址和端口發(fā)送UDP包§2.6拒絕服務(wù)攻擊信息安全概論1212023/2/5UDPFlood攻擊——工具軟件UDPFlooder控制面板管理工具性能§2.6拒絕服務(wù)攻擊信息安全概論1222023/2/5UDPFlood攻擊——工具軟件UDPFlooder

在“性能對(duì)象”框中選擇UDP協(xié)議，在“從列表選擇計(jì)數(shù)器”中，選擇“DatagramReceived/Sec”即對(duì)收到的UDP數(shù)據(jù)包進(jìn)行計(jì)數(shù)，添加對(duì)UDP數(shù)據(jù)包的計(jì)數(shù)器§2.6拒絕服務(wù)攻擊信息安全概論1232023/2/5UDPFlood攻擊——工具軟件UDPFlooder

§2.6拒絕服務(wù)攻擊信息安全概論1242023/2/5UDPFlood攻擊——工具軟件UDPFlooder系統(tǒng)監(jiān)視器對(duì)UDP的監(jiān)測圖§2.6拒絕服務(wù)攻擊信息安全概論1252023/2/5UDPFlood攻擊——工具軟件UDPFlooder

在被攻擊的計(jì)算機(jī)上打開snifferpro，可以捕捉UDP數(shù)據(jù)包，看到大量內(nèi)容為“UDPFlood.Serverstresstest”的UDP數(shù)據(jù)包§2.6拒絕服務(wù)攻擊信息安全概論1262023/2/5Teardrop（淚滴）攻擊它利用的是系統(tǒng)在實(shí)現(xiàn)時(shí)的一個(gè)錯(cuò)誤，即攻擊特定的IP協(xié)議棧實(shí)現(xiàn)片段重組代碼存在的缺陷。當(dāng)網(wǎng)絡(luò)分組穿越不同的網(wǎng)絡(luò)時(shí)，有時(shí)候需要根據(jù)網(wǎng)絡(luò)最大傳輸單元MTU來把它們分割成較小的片，早期的Linux系統(tǒng)在處理IP分片重組問題時(shí)，盡管對(duì)片段是否過長進(jìn)行檢查，但對(duì)過短的片段卻沒有進(jìn)行驗(yàn)證，所以導(dǎo)致了淚滴形式的攻擊，會(huì)造成系統(tǒng)的死機(jī)或重新啟動(dòng)防御淚滴攻擊的最好辦法是升級(jí)服務(wù)包軟件，如下載操作系統(tǒng)補(bǔ)丁或升級(jí)操作系統(tǒng)等。另外，在設(shè)置防火墻時(shí)對(duì)分組進(jìn)行重組而不進(jìn)行轉(zhuǎn)發(fā)，也可以防止這種攻擊。§2.6拒絕服務(wù)攻擊信息安全概論1272023/2/5分布式拒絕服務(wù)攻擊，簡稱DDoS（DistributedDenialofService）攻擊。一種基于DoS的特殊形式的拒絕服務(wù)攻擊。攻擊者將多臺(tái)受控制的計(jì)算機(jī)聯(lián)合起來向目標(biāo)計(jì)算機(jī)發(fā)起DoS攻擊，它是一種大規(guī)模協(xié)作的攻擊方式，主要瞄準(zhǔn)比較大的商業(yè)站點(diǎn)，具有較大的破壞性§2.6拒絕服務(wù)攻擊信息安全概論1282023/2/5DDoS攻擊網(wǎng)絡(luò)結(jié)構(gòu)DDoS攻擊由攻擊者、主控端（master）、代理端(zombie)三部分組成，三者在攻擊中扮演不同的角色。攻擊者是整個(gè)DDoS攻擊發(fā)起的源頭，它事先已經(jīng)取得了多臺(tái)主控端計(jì)算機(jī)的控制權(quán)主控端計(jì)算機(jī)分別控制著多臺(tái)代理端計(jì)算機(jī)。在主控端計(jì)算機(jī)上運(yùn)行著特殊的控制進(jìn)程，可以接收攻擊者發(fā)來的控制指令，操作代理端計(jì)算機(jī)對(duì)目標(biāo)計(jì)算機(jī)發(fā)起DDoS攻擊?！?.6拒絕服務(wù)攻擊信息安全概論1292023/2/5§2.6拒絕服務(wù)攻擊clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFlood信息安全概論1302023/2/5DDoS的攻擊步驟黑客使用掃描工具探測掃描大量主機(jī)尋找潛在入侵目標(biāo)。黑客設(shè)法入侵有安全漏洞的主機(jī)并獲取控制權(quán)。這些主機(jī)將被用于放置后門、sniffer或守護(hù)程序甚至是客戶程序。黑客在得到入侵計(jì)算機(jī)清單后，從中選出滿足建立網(wǎng)絡(luò)所需要的主機(jī)，放置已編譯好的守護(hù)程序，并對(duì)被控制的計(jì)算機(jī)發(fā)送命令。黑客發(fā)送控制命令給主機(jī)，準(zhǔn)備啟動(dòng)對(duì)目標(biāo)系統(tǒng)的攻擊主機(jī)發(fā)送攻擊信號(hào)給被控制計(jì)算機(jī)開始對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊。目標(biāo)系統(tǒng)被無數(shù)的偽造的請(qǐng)求所淹沒，從而無法對(duì)合法用戶進(jìn)行響應(yīng)，DDOS攻擊成功。§2.6拒絕服務(wù)攻擊信息安全概論1312023/2/5DDoS攻擊的防范增強(qiáng)系統(tǒng)安全性，例如加固系統(tǒng)用戶和口令的安全性；及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序；禁止所有不必要的服務(wù)；周期性的對(duì)系統(tǒng)進(jìn)行安全性審核等。利用防火墻、路由器等網(wǎng)絡(luò)和網(wǎng)絡(luò)安全設(shè)備加固網(wǎng)絡(luò)的安全性，如禁止對(duì)主機(jī)非開放服務(wù)的連接、限制同時(shí)打開的SYN半連接數(shù)量、嚴(yán)格限制服務(wù)程序的對(duì)外訪問請(qǐng)求等。強(qiáng)化路由器等網(wǎng)絡(luò)設(shè)備的訪問控制功能，配置好訪問控制列表的過濾規(guī)則，禁止網(wǎng)絡(luò)不用的UDP和ICMP包通過。§2.6拒絕服務(wù)攻擊信息安全概論1322023/2/5DDoS攻擊的防范加強(qiáng)與ISP的合作，當(dāng)發(fā)現(xiàn)攻擊現(xiàn)象時(shí)，與ISP協(xié)商實(shí)施嚴(yán)格的路由訪問控制策略，以保護(hù)帶寬資源和內(nèi)部網(wǎng)絡(luò)。采用DDoS監(jiān)測工具，加強(qiáng)對(duì)DDoS攻擊的監(jiān)測，例如DDoSPing、ZombieZapper和wtrinscan等，它們可以檢測具有代表性的攻擊，比如Wintrinoo，Stacheldraht和TFN等。§2.6拒絕服務(wù)攻擊信息安全概論1332023/2/5對(duì)付正在進(jìn)行的DDOS攻擊首先，檢查攻擊來源，通常黑客會(huì)通過很多假的IP地址發(fā)起攻擊，此時(shí)，用戶若能夠分辨出哪些是真IP地址，哪些是假IP地址，然后了解這些IP來自哪些網(wǎng)段，再找網(wǎng)段管理員把機(jī)器關(guān)掉，即可消除攻擊。其次，找出攻擊者所經(jīng)過的路由，把攻擊屏蔽掉。若黑客從某些端口發(fā)動(dòng)攻擊，用戶可把這些端口屏蔽掉，以狙擊入侵。最后一種比較折衷的方法是在路由器上濾掉ICMP。§2.6拒絕服務(wù)攻擊信息安全概論1342023/2/5DDOS攻擊——工具DDoSer軟件分為生成器(DDoSMaker.exe)與DDoS攻擊者程序(DDoSer.exe)兩部分DDoS攻擊程序通過生成器DDoSMaker.exe生成。生成時(shí)可以自定義一些設(shè)置（攻擊目標(biāo)域名或IP地址、端口等）DDoS攻擊程序默認(rèn)的文件名DDoSer.exe，可改名。攻擊程序類似木馬軟件的服務(wù)器端程序，程序運(yùn)行后不會(huì)顯示任何界面，看上去好象沒有反應(yīng)，其實(shí)它已經(jīng)將自己復(fù)制到系統(tǒng)里面了，并且會(huì)在每次開機(jī)時(shí)自動(dòng)運(yùn)行，此時(shí)可以將拷過去的安裝程序刪除。DDoSer使用的攻擊手段是SYNFlood方式?！?.6拒絕服務(wù)攻擊信息安全概論1352023/2/5DDOS攻擊——工具DDoSer§2.6拒絕服務(wù)攻擊信息安全概論1362023/2/5DDOS攻擊——工具DDoSer軟件就會(huì)自動(dòng)生成一個(gè)DDoSer.exe的可執(zhí)行文件，這個(gè)文件就是攻擊程序運(yùn)行DDoSer.exe后，這臺(tái)主機(jī)就成了攻擊者的代理端，主機(jī)會(huì)自動(dòng)發(fā)出大量的半連接SYN請(qǐng)求，可以通過netstat命令來查看網(wǎng)絡(luò)狀態(tài)§2.6拒絕服務(wù)攻擊信息安全概論1372023/2/5DDOS攻擊——CC攻擊CC主要是用來攻擊頁面的對(duì)于論壇，訪問的人越多，論壇的頁面越多，數(shù)據(jù)庫就越大，被訪問的頻率也越高，占用的系統(tǒng)資源也就相當(dāng)可觀CC就是充分利用這個(gè)特點(diǎn)，模擬多個(gè)用戶(多少線程就是多少用戶)不停的進(jìn)行訪問(訪問那些需要大量數(shù)據(jù)操作，就是需要大量CPU時(shí)間的頁面)代理可以有效地隱藏身份，也可以繞開所有的防火墻，因?yàn)閹缀跛械姆阑饓Χ紩?huì)檢測并發(fā)的TCP/IP連接數(shù)目，超過一定數(shù)目一定頻率就會(huì)被認(rèn)為是Connection-Flood§2.6拒絕服務(wù)攻擊信息安全概論1382023/2/5代理查找和驗(yàn)證軟件——“花刺代理”§2.6拒絕服務(wù)攻擊信息安全概論1392023/2/5代理查找和驗(yàn)證軟件——“花刺代理”§2.6拒絕服務(wù)攻擊信息安全概論1402023/2/5代理查找和驗(yàn)證軟件——“花刺代理”§2.6拒絕服務(wù)攻擊信息安全概論1412023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務(wù)攻擊信息安全概論1422023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務(wù)攻擊信息安全概論1432023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務(wù)攻擊信息安全概論1442023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務(wù)攻擊信息安全概論1452023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務(wù)攻擊信息安全概論1462023/2/5§2.7網(wǎng)絡(luò)后門與木馬為了保持對(duì)已經(jīng)入侵的主機(jī)長久的控制，需要在主機(jī)上建立網(wǎng)絡(luò)后門，以后可以直接通過后門入侵系統(tǒng)。網(wǎng)絡(luò)后門是保持對(duì)目標(biāo)主機(jī)長久控制的關(guān)鍵策略?？梢酝ㄟ^建立服務(wù)端口和克隆管理員帳號(hào)來實(shí)現(xiàn)。只要能不通過正常登錄進(jìn)入系統(tǒng)的途徑都稱之為網(wǎng)絡(luò)后門。后門的好壞取決于被管理員發(fā)現(xiàn)的概率。只要是不容易被發(fā)現(xiàn)的后門都是好后門。留后門的原理和選間諜是一樣的，讓管理員看了感覺沒有任何特別的。信息安全概論1472023/2/5一、遠(yuǎn)程啟動(dòng)Telnet服務(wù)利用主機(jī)上的Telnet服務(wù)，有管理員密碼就可以登錄到對(duì)方的命令行，進(jìn)而操作對(duì)方的文件系統(tǒng)。如果Telnet服務(wù)是關(guān)閉的，就不能登錄了。默認(rèn)情況下，Windows2000Server的Telnet是關(guān)閉的啟動(dòng)本地Telnet服務(wù)方法一：運(yùn)行窗口輸入tlntadmn.exe命令§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1482023/2/5一、遠(yuǎn)程啟動(dòng)Telnet服務(wù)利用主機(jī)上的Telnet服務(wù)，有管理員密碼就可以登錄到對(duì)方的命令行，進(jìn)而操作對(duì)方的文件系統(tǒng)。如果Telnet服務(wù)是關(guān)閉的，就不能登錄了。默認(rèn)情況下，Windows2000Server的Telnet是關(guān)閉的啟動(dòng)本地Telnet服務(wù)方法二：程序管理工具Telnet服務(wù)器管理§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1492023/2/5一、遠(yuǎn)程啟動(dòng)Telnet服務(wù)在隨后啟動(dòng)的DOS窗口中輸入4啟動(dòng)本地Telnet服務(wù)§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1502023/2/5一、遠(yuǎn)程啟動(dòng)Telnet服務(wù)——工具RTCS.vbe使用該工具需要知道對(duì)方具有管理員權(quán)限的用戶名和密碼命令的語法是：“cscriptRTCS.vbe對(duì)方IP用戶名密碼123”，其中cscript是操作系統(tǒng)自帶的命令，RTCS.vbe是該工具軟件腳本文件，1是登錄系統(tǒng)的驗(yàn)證方式，23是Telnet開放的端口該命令根據(jù)網(wǎng)絡(luò)的速度，執(zhí)行的時(shí)候需要一段時(shí)間§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1512023/2/5一、遠(yuǎn)程啟動(dòng)Telnet服務(wù)——工具RTCS.vbe開啟遠(yuǎn)程主機(jī)Telnet服務(wù)的過程§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1522023/2/5一、遠(yuǎn)程啟動(dòng)Telnet服務(wù)——工具RTCS.vbe執(zhí)行完成后，對(duì)方的Telnet服務(wù)就被開啟了。在DOS提示符下，登錄目標(biāo)主機(jī)的Telnet服務(wù)輸入命令“Telnet對(duì)方IP”，因?yàn)門elnet的用戶名和密碼是明文傳遞的，出現(xiàn)確認(rèn)發(fā)送信息對(duì)話框§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1532023/2/5一、遠(yuǎn)程啟動(dòng)Telnet服務(wù)——工具RTCS.vbe輸入字符“y”，進(jìn)入Telnet的登錄界面，需要輸入主機(jī)的用戶名和密碼如果用戶名和密碼沒有錯(cuò)誤，將進(jìn)入對(duì)方主機(jī)的命令行§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1542023/2/5一、遠(yuǎn)程啟動(dòng)Telnet服務(wù)——工具RTCS.vbe§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1552023/2/5二、建立Web服務(wù)和Telnet服務(wù)——工具wnc.exe工具軟件wnc.exe可以在對(duì)方的主機(jī)上開啟兩個(gè)服務(wù)：Web服務(wù)和Telnet服務(wù)。其中Web服務(wù)的端口是808，Telnet服務(wù)的端口是707。只要在對(duì)方的命令行下執(zhí)行wnc.exe就可以§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1562023/2/5二、建立Web服務(wù)和Telnet服務(wù)——工具wnc.exe

執(zhí)行完畢后，利用命令“netstat-an”來查看開啟的808和707端口§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1572023/2/5二、建立Web服務(wù)和Telnet服務(wù)——工具wnc.exe

說明服務(wù)端口開啟成功，可以連接該目標(biāo)主機(jī)提供的這兩個(gè)服務(wù)了。首先測試Web服務(wù)808端口，在瀏覽器地址欄中輸入“http://對(duì)方IP:808”，出現(xiàn)主機(jī)的盤符列表§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1582023/2/5二、建立Web服務(wù)和Telnet服務(wù)——工具wnc.exe

可以向?qū)Ψ椒?wù)器下載和上傳文件§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1592023/2/5二、建立Web服務(wù)和Telnet服務(wù)——工具wnc.exe

可以利用命令“telnet對(duì)方IP707”登錄到對(duì)方的命令行§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1602023/2/5二、建立Web服務(wù)和Telnet服務(wù)——工具wnc.exe

不用任何的用戶名和密碼就登錄了對(duì)方主機(jī)的命令行§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1612023/2/5二、建立Web服務(wù)和Telnet服務(wù)——工具wnc.exe

通過707端口也可以方便的獲得對(duì)方的管理員權(quán)限。wnc.exe的功能強(qiáng)大，但是該程序不能自動(dòng)加載執(zhí)行，需要將該文件加到自啟動(dòng)程序列表中。一般將wnc.exe文件放到對(duì)方的winnt目錄或者winnt/system32目錄下，這兩個(gè)目錄是系統(tǒng)環(huán)境目錄，執(zhí)行這兩個(gè)目錄下的文件不需要給出具體的路徑。§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1622023/2/5二、建立Web服務(wù)和Telnet服務(wù)——工具wnc.exe將wnc.exe文件加入自啟動(dòng)程序列表的方法首先將wnc.exe和reg.exe文件拷貝對(duì)方的winnt目錄下然后利用reg.exe文件將wnc.exe加載到注冊(cè)表的自啟動(dòng)項(xiàng)目中，命令的格式為：“reg.exeaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vservice/dwnc.exe”§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1632023/2/5二、建立Web服務(wù)和Telnet服務(wù)——工具wnc.exe

如果可以進(jìn)入對(duì)方主機(jī)的圖形界面，可以查看一下對(duì)方的注冊(cè)表的自啟動(dòng)項(xiàng)，已經(jīng)被修改§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1642023/2/5三、讓禁用的Guest具有管理員權(quán)限操作系統(tǒng)所有的用戶信息都保存在注冊(cè)表中但是如果直接使用“regedit”命令打開注冊(cè)表，該鍵值是隱藏的§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1652023/2/5三、讓禁用的Guest具有管理員權(quán)限可以利用工具軟件psu.exe得到該鍵值的查看和編輯權(quán)將psu.exe拷貝對(duì)方主機(jī)的C盤下，并在任務(wù)管理器查看對(duì)方主機(jī)winlogon.exe進(jìn)程的ID號(hào)或者使用pulist.exe文件查看該進(jìn)程的ID號(hào)§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1662023/2/5三、讓禁用的Guest具有管理員權(quán)限該進(jìn)程號(hào)為192，下面執(zhí)行命令“psu-pregedit-ipid”其中pid為Winlogon.exe的進(jìn)程號(hào)§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1672023/2/5三、讓禁用的Guest具有管理員權(quán)限在執(zhí)行該命令的時(shí)候必須將注冊(cè)表關(guān)閉，執(zhí)行完命令以后，注冊(cè)表編輯器被自動(dòng)打開，查看SAM下的鍵值§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1682023/2/5三、讓禁用的Guest具有管理員權(quán)限查看Administrator和guest默認(rèn)的鍵值Windows2000操作系統(tǒng)上，Administrator一般為0x1f4，§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1692023/2/5三、讓禁用的Guest具有管理員權(quán)限查看Administrator和guest默認(rèn)的鍵值Windows2000操作系統(tǒng)上，Administrator一般為0x1f4，guest一般為0x1f5§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1702023/2/5三、讓禁用的Guest具有管理員權(quán)限帳戶配置信息：根據(jù)“0x1f4”和“0x1f5”找到Administrator和guest帳戶的配置信息，右欄目F鍵值中保存了帳戶的密碼信息§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1712023/2/5三、讓禁用的Guest具有管理員權(quán)限拷貝管理員配置信息：雙擊“000001F4”目錄下鍵值“F”，將看到的這些二進(jìn)制信息全選，并拷貝到出來?！?.7網(wǎng)絡(luò)后門與木馬信息安全概論1722023/2/5三、讓禁用的Guest具有管理員權(quán)限覆蓋Guest用戶的配置信息：將拷貝出來的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中，Guest帳戶就具有管理員權(quán)限了?！?.7網(wǎng)絡(luò)后門與木馬信息安全概論1732023/2/5三、讓禁用的Guest具有管理員權(quán)限保存鍵值：為了能夠使Guest帳戶在禁用的狀態(tài)登錄，需要將Guest帳戶信息導(dǎo)出注冊(cè)表。選擇User目錄，然后選擇菜單欄“注冊(cè)表”下的菜單項(xiàng)“導(dǎo)出注冊(cè)表文件”，將該鍵值保存為一個(gè)配置文件§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1742023/2/5三、讓禁用的Guest具有管理員權(quán)限刪除Guest帳戶信息：打開計(jì)算機(jī)管理對(duì)話框，并在注冊(cè)表中分別刪除Guest和“00001F5”兩個(gè)目錄§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1752023/2/5三、讓禁用的Guest具有管理員權(quán)限刷新用戶列表：這個(gè)刷新對(duì)方主機(jī)的用戶列表，會(huì)出現(xiàn)用戶找不到的對(duì)話框§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1762023/2/5三、讓禁用的Guest具有管理員權(quán)限將剛才導(dǎo)出的信息文件導(dǎo)入注冊(cè)表然后刷新用戶列表就不會(huì)出現(xiàn)剛才的對(duì)話框了§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1772023/2/5三、讓禁用的Guest具有管理員權(quán)限接著在對(duì)方主機(jī)的命令行下修改Guest的用戶屬性首先修改Guest帳戶的密碼，比如改成“wantao”，并將Guest帳戶開啟和停止§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1782023/2/5三、讓禁用的Guest具有管理員權(quán)限查看guest帳戶屬性：再查看一下計(jì)算機(jī)管理窗口中的Guest帳戶，發(fā)現(xiàn)該帳戶是禁用的§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1792023/2/5三、讓禁用的Guest具有管理員權(quán)限利用禁用的guest帳戶登錄注銷退出系統(tǒng)然后用用戶名：“guest”，密碼：“wantao”登錄系統(tǒng)可以登錄，并且該帳戶是管理員權(quán)限§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1802023/2/5四、連接終端服務(wù)的軟件終端服務(wù)是Windows操作系統(tǒng)自帶的，可以遠(yuǎn)程通過圖形界面操縱服務(wù)器。在默認(rèn)的情況下終端服務(wù)的端口號(hào)是3389?？梢栽谙到y(tǒng)服務(wù)中查看終端服務(wù)是否啟動(dòng)§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1812023/2/5四、連接終端服務(wù)的軟件服務(wù)默認(rèn)的端口是3389，可以利用命令“netstat-an”來查看該端口是否開放§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1822023/2/5四、連接終端服務(wù)的軟件管理員為了遠(yuǎn)程操作方便，服務(wù)器上的該服務(wù)一般都是開啟的。這就給黑客們提供一條可以遠(yuǎn)程圖形化操作主機(jī)的途徑。利用該服務(wù)，目前常用的有三種方法連接到對(duì)方主機(jī)使用Windows2000的遠(yuǎn)程桌面連接工具使用WindowsXP的遠(yuǎn)程桌面連接工具使用基于瀏覽器方式的連接工具§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1832023/2/5四、連接終端服務(wù)的軟件——Windows2000自帶的終端服務(wù)工具mstsc.exe該工具只要設(shè)置要連接主機(jī)的IP地址和連接桌面的分辨率就可以§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1842023/2/5四、連接終端服務(wù)的軟件——Windows2000自帶的終端服務(wù)工具mstsc.exe如果目標(biāo)主機(jī)的終端服務(wù)是啟動(dòng)的，可以直接登錄到對(duì)方的桌面，在登錄框輸入用戶名和密碼就可以在圖形化界面種操縱對(duì)方主機(jī)了§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1852023/2/5四、連接終端服務(wù)的軟件——Windows2000自帶的終端服務(wù)工具mstsc.exe§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1862023/2/5四、連接終端服務(wù)的軟件

——WindowsXP自帶的終端服務(wù)工具mstsc.exe界面簡單，只要輸入對(duì)方的IP地址就可以了§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1872023/2/5五、安裝并啟動(dòng)終端服務(wù)——工具軟件djxyxs.exe假設(shè)對(duì)方不僅沒有開啟終端服務(wù)，而且沒有安裝終端服務(wù)所需要的軟件。工具軟件djxyxs.exe可以給對(duì)方安裝并開啟該服務(wù)。在該工具軟件中已經(jīng)包含了安裝終端服務(wù)所需要的所有文件§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1882023/2/5五、安裝并啟動(dòng)終端服務(wù)——工具軟件djxyxs.exe將該文件上傳并拷貝到對(duì)方服務(wù)器的Winnt\temp目錄下然后執(zhí)行djxyxs.exe文件，該文件會(huì)自動(dòng)進(jìn)行解壓將文件全部放置到當(dāng)前的目錄下§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1892023/2/5木馬是一種可以駐留在對(duì)方系統(tǒng)中的一種程序。木馬一般由兩部分組成：服務(wù)器端和客戶端。服務(wù)器端程序安裝在被控制計(jì)算機(jī)中，一般通過電子郵件等手段讓用戶在其計(jì)算機(jī)中運(yùn)行，達(dá)到控制該計(jì)算機(jī)的目的?？蛻舳顺绦蚴强刂普咚褂玫?，用于對(duì)受控的計(jì)算機(jī)進(jìn)行控制。服務(wù)器端程序和客戶端程序建立起連接就可以實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的控制了。木馬運(yùn)行時(shí)，首先服務(wù)器端獲得本地計(jì)算機(jī)的最高操作權(quán)限，當(dāng)本地計(jì)算機(jī)連入網(wǎng)絡(luò)后，客戶端可與服務(wù)器端建立連接，并向服務(wù)器端發(fā)送各種基本的操作請(qǐng)求，由服務(wù)器端完成這些請(qǐng)求，即實(shí)現(xiàn)對(duì)本地計(jì)算機(jī)的控制了。§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1902023/2/5木馬本身不具備繁殖性和自動(dòng)感染的功能。木馬程序表面上看上去沒有任何的損害，實(shí)際隱藏著可以控制用戶整個(gè)計(jì)算機(jī)系統(tǒng)、打開后門等危害系統(tǒng)安全的功能Windows下的木馬有：Netbus、subseven、BO、冰河、網(wǎng)絡(luò)神偷等。Unix下的木馬有：Rhost++、Login后門、rootkit等§2.7網(wǎng)絡(luò)后門與木馬信息安全概論1912023/2/5木馬分類：遠(yuǎn)