彭思喜電商安全第3章常見的網(wǎng)絡(luò)攻擊與防范技術(shù)和我國物流產(chǎn)業(yè)與電子商務(wù)分析報告

SCAUEconomicandManagementCollege主講人：經(jīng)濟(jì)管理學(xué)院營銷系彭思喜電子商務(wù)安全與保密

第3章：常見的網(wǎng)絡(luò)攻擊與防范技術(shù)本章主要內(nèi)容六、拒絕服務(wù)式攻擊與對策一、黑客二、IP欺騙與防范四、端口掃描技術(shù)五、特洛伊木馬三、Sniffer探測與防范3.1黑客

源于英文“黑客”（hacker）一詞，本來有“惡作劇”之意，現(xiàn)在特指電腦系統(tǒng)的非法進(jìn)入者。黑客們公開在Internet網(wǎng)上提出“黑客宣言”，其觀點(diǎn)是：通往電腦的路不止一條所有信息都應(yīng)該免費(fèi)共享打破電腦集權(quán)在電腦上創(chuàng)造藝術(shù)和美信息無疆界，任何人都可以在任何時間和地點(diǎn)獲取任何他認(rèn)為有必要了解的信息反對國家和政府部門對信息的壟斷和封鎖。3.1.1什么是黑客3.1黑客

（1）惡作劇者（2）隱蔽攻擊者（3）定時炸彈（4）矛盾制作者（5）職業(yè)殺手（6）竊密高手（7）業(yè)余愛好者3.1.2黑客的行為特征3.1黑客對計算機(jī)歷史有一定了解的人，相信對凱文·米特尼克一定不會陌生，美國司法部曾經(jīng)將米特尼克稱為“美國歷史上被通緝的頭號計算機(jī)罪犯”，他的所作所為已經(jīng)被記錄在兩部好萊塢電影中。

3.1.2黑客案例3.1黑客闖入北美空空中防務(wù)指揮系統(tǒng)：黑客歷史上一次經(jīng)典之作入侵太平洋公司撞入聯(lián)邦調(diào)查局憑借最新式的“電腦網(wǎng)絡(luò)信息跟蹤機(jī)”，特工人員還是將米特尼克捕獲了。連續(xù)進(jìn)入了美國5家大公司的網(wǎng)絡(luò)

（Sun、Novell、NEC、Nokia和Motorola）1988年他再次被執(zhí)法當(dāng)局逮捕（DEC1年）1993年，聯(lián)邦調(diào)查局收買黑客同伙，誘捕米特尼克。1994年圣誕節(jié)，米特尼克向圣迭戈超級計算機(jī)中心發(fā)動了一次攻擊1995年情人節(jié)之際發(fā)現(xiàn)了米特尼克再次被逮捕

3.1.2黑客案例：凱文.米特尼克3.1黑客美國國防部、五角大樓、中央情報局、北美防空系統(tǒng)、美國國家稅務(wù)局、紐約花旗銀行、Sun、摩托羅拉，這些美國防守最嚴(yán)密的網(wǎng)絡(luò)系統(tǒng)都曾是他閑庭信步的地方。他15歲時入侵北美空中防務(wù)指揮系統(tǒng)，翻遍了美國指向前蘇聯(lián)及其盟國的所有核彈頭的數(shù)據(jù)資料。由于竊取國家核心機(jī)密，他受到美國聯(lián)邦調(diào)查局FBI的通緝，并于1995年被逮捕，經(jīng)受了五年牢獄之災(zāi)，2023年重獲自由。現(xiàn)在米特尼克的身份是一位計算機(jī)安全作家、顧問和演講者。3.1.2黑客案例：凱文.米特尼克凱文米特尼克闖入北美空空中防務(wù)指揮系統(tǒng)：黑客歷史上一次經(jīng)典之作入侵太平洋公司撞入聯(lián)邦調(diào)查局憑借最新式的“電腦網(wǎng)絡(luò)信息跟蹤機(jī)”，特工人員還是將米特尼克捕獲了。連續(xù)進(jìn)入了美國5家大公司的網(wǎng)絡(luò)

（Sun、Novell、NEC、Nokia和Motorola）1988年他再次被執(zhí)法當(dāng)局逮捕（DEC1年）1993年，聯(lián)邦調(diào)查局收買黑客同伙，誘捕米特尼克。1994年圣誕節(jié)，米特尼克向圣迭戈超級計算機(jī)中心發(fā)動了一次攻擊1995年情人節(jié)之際發(fā)現(xiàn)了米特尼克再次被逮捕

黑客案例3.1黑客于米特尼克一案，我們不能不注意的是，這位天才的年輕人的所作所為與通常的人們熟悉的犯罪不同，他所做的這一切似乎都不是為了錢，當(dāng)然也不僅僅是為了報復(fù)他人或社會。他是一個自由的電腦編程人員，用的是舊車，住的也是他母親的舊公寓。他也并沒有利用他在電腦方面公認(rèn)的天才，或利用他的超人技藝去弄錢，盡管這對他并不是十分困難的事。而且，他也沒有想過利用自己解密進(jìn)入某些系統(tǒng)后，竊取的重要情報來賣錢。對于DEC公司的指控，他說：“我從沒有動過出售他們的軟件來賺錢的念頭?！彼骐娔X、入侵網(wǎng)絡(luò)似乎僅僅是為了獲得一種強(qiáng)大的權(quán)力，他對一切秘密的東西、對解密入侵電腦系統(tǒng)十分癡迷，為此可以放棄一切。他對電腦有一種異乎常人的特殊感情，當(dāng)洛杉磯的檢察官控告他損害了他進(jìn)入的計算機(jī)時，他甚至流下了眼淚。一位辦案人員說，“電腦與他的靈魂之間似乎有一條臍帶相連。這就是為什么只要他在計算機(jī)面前，他就會成為巨人的原因?！?.1黑客他在一次轉(zhuǎn)機(jī)的間隙，寫下了以下十條經(jīng)驗與大家分享。

●備份資料。記住你的系統(tǒng)永遠(yuǎn)不會是無懈可擊的，災(zāi)難性的數(shù)據(jù)損失會發(fā)生在你身上———只需一條蟲子或一只木馬就已足夠。

●選擇很難猜的密碼。不要沒有腦子地填上幾個與你有關(guān)的數(shù)字，在任何情況下，都要及時修改默認(rèn)密碼。

●安裝防毒軟件，并讓它每天更新升級。

●及時更新操作系統(tǒng)，時刻留意軟件制造商發(fā)布的各種補(bǔ)丁，并及時安裝應(yīng)用。

●在IE或其它瀏覽器中會出現(xiàn)一些黑客魚餌，對此要保持清醒，拒絕點(diǎn)擊，同時將電子郵件客戶端的自動腳本功能關(guān)閉。

●在發(fā)送敏感郵件時使用加密軟件，也可用加密軟件保護(hù)你的硬盤上的數(shù)據(jù)。

3.1.2黑客案例3.1黑客

●安裝一個或幾個反間諜程序，并且要經(jīng)常運(yùn)行檢查。

●使用個人防火墻并正確設(shè)置它，阻止其它計算機(jī)、網(wǎng)絡(luò)和網(wǎng)址與你的計算機(jī)建立連接，指定哪些程序可以自動連接到網(wǎng)絡(luò)。

●關(guān)閉所有你不使用的系統(tǒng)服務(wù)，特別是那些可以讓別人遠(yuǎn)程控制你的計算機(jī)的服務(wù)，如RemoteDesktop、RealVNC和NetBIOS等。

●保證無線連接的安全。在家里，可以使用無線保護(hù)接入WPA和至少20個字符的密碼。正確設(shè)置你的筆記本電腦，不要加入任何網(wǎng)絡(luò)，除非它使用WPA。要想在一個充滿敵意的因特網(wǎng)世界里保護(hù)自己，的確是一件不容易的事。你要時刻想著，在地球另一端的某個角落里，一個或一些毫無道德的人正在刺探你的系統(tǒng)漏洞，并利用它們竊取你最敏感的秘密。希望你不會成為這些網(wǎng)絡(luò)入侵者的下一個犧牲品。

3.1.2黑客案例3.1黑客莫里斯蠕蟲1988年11月2日下午5點(diǎn)，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。它們仿佛是網(wǎng)絡(luò)中的超級間諜，狡猾地不斷截取用戶口令等網(wǎng)絡(luò)中的“機(jī)密文件”，利用這些口令欺騙網(wǎng)絡(luò)中的“哨兵”，長驅(qū)直入互聯(lián)網(wǎng)中的用戶電腦。入侵得手，立即反客為主，并閃電般地自我復(fù)制，搶占地盤。用戶目瞪口呆地看著這些不請自來的神秘入侵者迅速擴(kuò)大戰(zhàn)果，充斥電腦內(nèi)存，使電腦莫名其妙地"死掉"，只好急如星火地向管理人員求援，哪知，他們此時四面楚歌，也只能眼睜睜地看著網(wǎng)絡(luò)中電腦一批又一批地被病毒感染而"身亡"。不計其數(shù)的數(shù)據(jù)和資料毀于這一夜之間。造成一場損失近億美元的空前大劫難！

3.1.2黑客案例3.1黑客莫里斯的偉大目標(biāo)3.1黑客1972年，科幻小說家大衛(wèi)·杰羅德（DavidGerrold）首次使用“病毒”一詞來指有害的電腦代碼。80年代初，病毒開始困擾個人計算機(jī)，1983年，弗雷德·科恩（FredCohen）第一個給出了電腦病毒的科學(xué)定義。但直到1987年，公眾才普遍感知這一問題。那一年，一起襲擊了賓夕法尼亞州勒海大學(xué)（LehighUniversity）的病毒事件引起了全美國的注意。一年后，病毒相繼成為《時代》和《商業(yè)周刊）的封面故事。它之所以惹人注目，是因為它帶有一種神秘感，并且與生物學(xué)上的病毒非常相像。計算機(jī)也會被“感染”，需要接種“疫苗”，這些都令普通人感到好奇和恐懼。很快人們就把電腦病毒與艾滋病毒相提并論。

莫里斯的偉大目標(biāo)3.1黑客一般人都認(rèn)為，所有的病毒都是有害的，都會損壞數(shù)據(jù)。但內(nèi)行人知道，實(shí)情并非如此。事實(shí)上，寫一個微妙而無害的程序，同時又使它有能力大規(guī)模擴(kuò)散。是一件比制造那些破壞性的病毒更有趣的事情。

一個看不見的軟件在由成千上萬臺計算機(jī)組成的電子宇宙中不斷向前推進(jìn)，緩慢地、不為人覺察地擴(kuò)張它的疆土，任何想要摧毀它的人都無計可施，這一病毒由此獲得了永生。實(shí)現(xiàn)的步驟3.1黑客目標(biāo)：每次感染以大網(wǎng)（局域網(wǎng)）上的3臺機(jī)器

只在所有用戶都停止工作的時候運(yùn)行

繞開速度慢的機(jī)器

檢查主機(jī)表，尋找已知的網(wǎng)關(guān)，然后找出該網(wǎng)的主機(jī)

偷偷進(jìn)入口令文件，破解口令，再重新運(yùn)行

實(shí)驗?zāi)繕?biāo)的手段3.1黑客第一、建立口令庫第二、發(fā)現(xiàn)ftp，sendmail，finger的漏洞。。病毒特征及難題3.1黑客首先，它必須能夠潛入網(wǎng)絡(luò)中的許多不同的機(jī)器，還得盡可能地不引人注目，以防系統(tǒng)管理員懷疑；其次，它立足之后，必須想法發(fā)現(xiàn)是否已有自己的其他拷貝在機(jī)器上，它應(yīng)該有自我控制能力，對每臺機(jī)器上的拷貝數(shù)進(jìn)行限制。但有一個難題仍未解決：如何在不停止病毒運(yùn)行的前提下控制其蔓延。

難題的解決辦法設(shè)想3.1黑客病毒將從他發(fā)現(xiàn)的Unix漏洞中進(jìn)入計算機(jī)，然后在系統(tǒng)中尋找有無其他拷貝。如果有的話，兩個程序?qū)⒒ハ唷敖徽劇?，在理想情況下，其中之一將自動停止運(yùn)行，從而達(dá)到控制病毒繁殖的目的。但如果有人發(fā)現(xiàn)了侵入的病毒，那又該怎么辦呢？程序員可以寫作一個欺騙性的程序，使病毒誤以為在這臺機(jī)器上已有自己的拷貝了，這種“疫苗”程序?qū)⒂行У刈柚共《镜臄U(kuò)散。用什么辦法擊敗“疫苗”程序呢？

隨機(jī)性來對付疫苗程序3.1黑客當(dāng)病毒進(jìn)入計算機(jī)并發(fā)現(xiàn)另一個拷貝時，它可以扔一個“電子硬幣”決定誰生誰死。

羅伯特還想出了另外一種保證病毒生存的辦法。病毒在N次嘗試進(jìn)入一臺計算機(jī)后，給自己下一個永不停止運(yùn)行的指令。

莫里斯蠕蟲的缺陷3.1黑客新到來的病毒與已經(jīng)在機(jī)器中立足的病毒難以對話，因為后者并沒有足夠的耐心聽前者說話，從而承認(rèn)它的到來。因而，每個病毒都認(rèn)為自己是唯一的，羅伯特設(shè)計的用以促使病毒拷貝自我毀滅的“電子硬幣”投擲，根本就不會發(fā)生。這是該病毒的致命傷。由于這個缺陷，不要說作者把復(fù)制參數(shù)誤設(shè)為1／7，就是設(shè)定為1／10，也是無濟(jì)干事。

辯護(hù)律師3.1黑客1.動機(jī)

簡單地瀏覽一下他的程序就會發(fā)現(xiàn)，他把蠕蟲設(shè)計得盡量無害，只是要它在盡可能多的電腦內(nèi)落腳。他還在程序內(nèi)設(shè)置了限制其繁殖的辦法。在吉多博尼看來，這是一張原告可能獲勝的王牌。他認(rèn)為司法部用以起訴的條文針對的是蓄意破壞的行為，因而對他的客戶不適用。策略：把羅伯特描述成一個用心良好的無辜者，在一次無害的試驗中犯了錯誤

辯護(hù)律師3.1黑客2.優(yōu)點(diǎn)

吉多博尼然后列舉了羅伯特的優(yōu)點(diǎn)。在哈佛的時候，他暑期拼命工作，對計算機(jī)安全事業(yè)作出了重要貢獻(xiàn)。他撰寫了一些論文，提醒電腦社區(qū)填補(bǔ)安全漏洞

辯護(hù)律師3.1黑客3.提出證據(jù)

吉多博尼說，他將提出證據(jù)，表明羅伯特有意限制了病毒的范圍，想讓它緩慢地、不為人知地滲入網(wǎng)絡(luò)?！暗噶艘粋€錯誤，一個關(guān)鍵的錯誤，”最終，“他提醒電腦社區(qū)，系統(tǒng)并不安全，大家需要采取措施，改進(jìn)這種狀況。這使許多人臉上無光。但一個簡單的錯誤，加上丟臉和一點(diǎn)不方便，并不等于重罪?！?/p>

辯護(hù)律師———精彩片段3.1黑客“由于蠕蟲，sendmail程序是不是比原來完善了一些？”吉多博尼問。

“是，”波斯蒂克回答。

“它當(dāng)然也更安全了?！?/p>

“是?！辈ㄋ沟倏宋⑿ζ饋怼?/p>

“對finger來說情況也是如此，對嗎？”

“對”

“既然FTP和finger程序允許用戶在一臺電腦上運(yùn)行另一臺電腦的程序，那么它們是不是給了用戶使用其他任何能運(yùn)行這種程序的電腦的權(quán)利？波斯蒂克搖搖頭，似乎頭一次想到這個問題。”“是。”他回答。那么，從某種意義上說，只要一臺電腦能運(yùn)行FTP和finger，羅伯特·莫里斯就有權(quán)使用，對嗎？波斯蒂克同意：羅伯特的確擁有使用權(quán)。辯護(hù)律師———精彩片段3.1黑客“由于蠕蟲，sendmail程序是不是比原來完善了一些？”吉多博尼問。

“是，”波斯蒂克回答。

“它當(dāng)然也更安全了?！?/p>

“是?！辈ㄋ沟倏宋⑿ζ饋?。

“對finger來說情況也是如此，對嗎？”

“對”

“既然FTP和finger程序允許用戶在一臺電腦上運(yùn)行另一臺電腦的程序，那么它們是不是給了用戶使用其他任何能運(yùn)行這種程序的電腦的權(quán)利？波斯蒂克搖搖頭，似乎頭一次想到這個問題。”“是。”他回答。那么，從某種意義上說，只要一臺電腦能運(yùn)行FTP和finger，羅伯特·莫里斯就有權(quán)使用，對嗎？波斯蒂克同意：羅伯特的確擁有使用權(quán)?？卦V方3.1黑客1.犯罪事實(shí)

“1988年11月2日，被告羅伯特·泰潘·莫里斯向全美各地的計算機(jī)發(fā)動了一場大規(guī)模的攻擊?！薄斑@一攻擊是蓄意的、經(jīng)過周密準(zhǔn)備和算計的，”拉什說。“它試圖突破盡可能多的不同的計算機(jī)，以達(dá)到法律所稱的‘未經(jīng)授權(quán)進(jìn)入’的目的?！?/p>

（

美國國會于1984年立法，首次把未經(jīng)授權(quán)進(jìn)入電腦系統(tǒng)的行為認(rèn)定為犯罪。1986年又通過了該法的修正案，認(rèn)定對未經(jīng)授權(quán)進(jìn)入后獲得的信息進(jìn)行修改、銷毀或公開的行為也屬犯罪。）

控訴方3.1黑客2.像電腦罪犯一樣思考

距開庭只有兩個星期的時候，起訴方突然提出要在法庭上播放羅伯特在國家安全局的報告錄像，而且只播放“如何不被抓住”那段。這個哈佛學(xué)生是否像一個電腦罪犯一樣思考？仔細(xì)地觀看錄像片就會發(fā)現(xiàn)，在某些地方，這位22歲的青年確實(shí)好像鉆到了電腦罪犯的腦子里。并且，他清楚地知道，一些行為是違法的。在討論“如何不被抓住”時，羅伯特開門見山他說：“每一個黑客心里想的都是：怎樣避免進(jìn)班房?！苯酉聛恚_列了電腦犯罪分子用以掩蓋罪證的一些巧妙方法：隱藏入侵路徑、盜用他人、遠(yuǎn)離作案現(xiàn)場，等等。羅伯特經(jīng)常站在黑客的立場上。“如果你有遠(yuǎn)見的話，”他談起如何騙過監(jiān)視裝置，“你就應(yīng)該在干壞事前占滿監(jiān)視程序所需要的磁盤空間，這樣，當(dāng)程序想記錄某些東西時，會發(fā)現(xiàn)磁盤已滿，監(jiān)視功能失效?？卦V方3.1黑客3.尋找證人

學(xué)院實(shí)驗室和其他政府機(jī)構(gòu)的證人。他們一個接一個地走上證人席，講述了大同小異的故事——怎樣發(fā)現(xiàn)病毒的侵襲、怎樣切斷與網(wǎng)絡(luò)的聯(lián)系、怎樣爬到桌子底下拔出電腦的插頭，造成的損失有多大。判決結(jié)構(gòu)3.1黑客陪審團(tuán)在經(jīng)過長時間討論后，12人說了同樣的話：“有罪?！?/p>

感嘆：本來，這位計算機(jī)科學(xué)家和他年輕的兒子可以作為美國最優(yōu)秀、最聰明的精英中的一分子，安靜地享受美好的生活。而現(xiàn)在，父親鮑勃，神秘莫測的國家安全局頭號專家，被暴露于大庭廣眾之下；兒子莫里斯，一度似乎注定要成為全國最耀眼的軟件明星之一，成了一個罪犯。

3.1黑客3.1.2黑客案例3.1黑客3.1.4黑客攻擊的一般過程

預(yù)攻擊內(nèi)容：獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進(jìn)行進(jìn)一步攻擊決策攻擊內(nèi)容：獲得遠(yuǎn)程權(quán)限進(jìn)入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進(jìn)一步擴(kuò)展權(quán)限進(jìn)行實(shí)質(zhì)性操作目的：進(jìn)行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：植入后門木馬刪除日志修補(bǔ)明顯的漏洞進(jìn)一步滲透擴(kuò)展目的：消除痕跡，長期維持一定的權(quán)限3.1黑客3.1.4黑客攻擊的一般過程3.2IP欺騙與防范3.2.1IP欺騙原理IP欺騙是利用不同主機(jī)間的信任關(guān)系而進(jìn)行欺騙攻擊的一種手段，這種信任關(guān)系是以IP地址驗證為基礎(chǔ)的。

信任關(guān)系

在Unix領(lǐng)域中，信任關(guān)系能夠很容易得到。假如在主機(jī)A和B上各有一個帳戶，在使用當(dāng)中會發(fā)現(xiàn)，在主機(jī)A上使用時需要輸入在A上的相應(yīng)帳戶，在主機(jī)B上使用時必須輸入在B上的帳戶，主機(jī)A和B把你當(dāng)作兩個互不相關(guān)的用戶，顯然有些不便。為了減少這種不便，可以在主機(jī)A和主機(jī)B中建立起兩個帳戶的相互信任關(guān)系。這樣，A和B主機(jī)就可以毫無阻礙地使用任何以r*開頭的遠(yuǎn)程登錄對方如:rlogin，rcall，rsh等，而無口令驗證的煩惱。這些命令將允許以地址為基礎(chǔ)的驗證，或者允許或者拒絕以IP地址為基礎(chǔ)的存取服務(wù)這里的信任關(guān)系是基于IP地址的。3.2IP欺騙與防范3.2.1IP欺騙原理

RloginRlogin是一個簡單的客戶/服務(wù)器程序，它利用TCP傳輸。Rlogin允許用戶從一臺主機(jī)登錄到另一臺主機(jī)上，并且，如果目標(biāo)主機(jī)信任它，Rlogin將允許在不應(yīng)答口令的情況下使用目標(biāo)主機(jī)上的資源。安全驗證完全是基于源主機(jī)的IP地址。因此，根據(jù)以上所舉的例子，我們能利用Rlogin來從B遠(yuǎn)程登錄到A，而且不會被提示輸入口令。3.2IP欺騙與防范3.2.1IP欺騙原理IP欺騙

IP欺騙由若干步驟組成，簡要地描述如下：先做以下假定:首先，目標(biāo)主機(jī)已經(jīng)選定。其次，信任模式已被發(fā)現(xiàn)，并找到了一個被目標(biāo)主機(jī)信任的主機(jī)。黑客為了進(jìn)行IP欺騙，進(jìn)行以下工作:使得被信任的主機(jī)喪失工作能力，同時采樣目標(biāo)主機(jī)發(fā)出的TCP序列號，猜測出它的數(shù)據(jù)序列號。然后，偽裝成被信任的主機(jī)，同時建立起與目標(biāo)主機(jī)基于地址驗證的應(yīng)用連接。如果成功，黑客可以使用一種簡單的命令放置一個系統(tǒng)后門，以進(jìn)行非授權(quán)操作。3.2IP欺騙與防范3.2.1IP欺騙的防范1.改變間隔2.禁止基于IP地址的驗證3.使用包過濾技術(shù)4.使用加密方法5.使用隨機(jī)化的初始序列號3.3Sniffer探測與防范3.3.1Snifer原理數(shù)據(jù)報嗅探是一種協(xié)議分析軟件，它利用網(wǎng)卡的混雜模式來監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)報。Sniffer可以用于嗅探網(wǎng)絡(luò)中的明文口令信息：TelnetFTPSNMPPOP數(shù)據(jù)報嗅探工具必須與監(jiān)聽對象在同一個沖突域里面。3.3Sniffer探測與防范3.3.1Snifer原理在一個共享式網(wǎng)絡(luò)，可以聽取所有的流量是一把雙刃劍管理員可以用來監(jiān)聽網(wǎng)絡(luò)的流量情況開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況黑客可以用來刺探網(wǎng)絡(luò)情報目前有大量商業(yè)的、免費(fèi)的監(jiān)聽工具，俗稱嗅探器(sniffer)3.3Sniffer探測與防范3.3.1Snifer原理3.3Sniffer探測與防范3.3.1Snifer原理3.3Sniffer探測與防范Snifer的防范主要的防范手段：認(rèn)證—使用強(qiáng)認(rèn)證方式，例如使用一次性口令。反嗅探工具—利用反嗅探工具來發(fā)現(xiàn)網(wǎng)絡(luò)中的嗅探行為。加密—這是最為有效的防范手段。

3.3Sniffer探測與防范Windows下常用的抓包工具Buttsniffer簡單，不需要安裝，可以在WindowsNT下運(yùn)行，適合于后臺運(yùn)作NetMon友好的圖形界面，分析功能強(qiáng)NetXRay界面友好，統(tǒng)計分析功能強(qiáng)，過濾器功能基于WinPcap的工具WinDump(tcpdump的Windows版本)Analyzer3.4端口掃描技術(shù)掃描技術(shù)主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，主要利用ICMP數(shù)據(jù)包端口掃描：發(fā)現(xiàn)遠(yuǎn)程主機(jī)開放的端口以及服務(wù)操作系統(tǒng)指紋掃描：根據(jù)協(xié)議棧判別操作系統(tǒng)3.4端口掃描技術(shù)傳統(tǒng)的主機(jī)掃描ICMPEchoRequest和EchoReply通過簡單地向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest數(shù)據(jù)包，并等待回復(fù)的ICMPEchoReply包，如PingICMPSweep（PingSweep）使用ICMPEchoRequest一次探測多個目標(biāo)主機(jī)。通常這種探測包會并行發(fā)送，以提高探測效率BroadcastICMP設(shè)置ICMP請求包的目標(biāo)地址為廣播地址或網(wǎng)絡(luò)地址，則可以探測廣播域或整個網(wǎng)絡(luò)范圍內(nèi)的主機(jī)，這種情況只適合于UNIX/Linux系統(tǒng)3.4端口掃描技術(shù)主機(jī)掃描對策使用可以檢測并記錄ICMP掃描的工具使用入侵檢測系統(tǒng)在防火墻或路由器中設(shè)置允許進(jìn)出自己網(wǎng)絡(luò)的ICMP分組類型3.4端口掃描技術(shù)端口掃描技術(shù)開放掃描(OpenScanning)需要掃描方通過三次握手過程與目標(biāo)主機(jī)建立完整的TCP連接可靠性高，產(chǎn)生大量審計數(shù)據(jù)，容易被發(fā)現(xiàn)半開放掃描(Half-OpenScanning)掃描方不需要打開一個完全的TCP連接秘密掃描(StealthScanning)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分

隱蔽性好，但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時容易被丟棄從而產(chǎn)生錯誤的探測信息

3.4端口掃描技術(shù)TCPConnect（）掃描原理掃描器調(diào)用socket的connect()函數(shù)發(fā)起一個正常的連接如果端口是打開的，則連接成功否則，連接失敗優(yōu)點(diǎn)簡單，不需要特殊的權(quán)限缺點(diǎn)服務(wù)器可以記錄下客戶的連接行為，如果同一個客戶輪流對每一個端口發(fā)起連接，則一定是在掃描3.4端口掃描技術(shù)TCPSYN掃描原理向目標(biāo)主機(jī)的特定端口發(fā)送一個SYN包如果應(yīng)答包為RST包，則說明該端口是關(guān)閉的否則，會收到一個SYN|ACK包。于是，發(fā)送一個RST，停止建立連接優(yōu)點(diǎn)很少有系統(tǒng)會記錄這樣的行為缺點(diǎn)在UNIX平臺上，需要root權(quán)限才可以建立這樣的SYN數(shù)據(jù)包3.4端口掃描技術(shù)TCPFin掃描原理掃描器發(fā)送一個FIN數(shù)據(jù)包如果端口關(guān)閉的，則遠(yuǎn)程主機(jī)丟棄該包，并送回一個RST包否則的話，遠(yuǎn)程主機(jī)丟棄該包，不回送優(yōu)點(diǎn)不是TCP建立連接的過程，所以比較隱蔽缺點(diǎn)與SYN掃描類似，也需要構(gòu)造專門的數(shù)據(jù)包在Windows平臺無效，總是發(fā)送RST包3.4端口掃描技術(shù)端口掃描對策設(shè)置防火墻過濾規(guī)則，阻止對端口的掃描例如可以設(shè)置檢測SYN掃描而忽略FIN掃描使用入侵檢測系統(tǒng)禁止所有不必要的服務(wù)，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注釋掉不必要的服務(wù)，并在系統(tǒng)啟動腳本中禁止其他不必要的服務(wù)Windows中通過Services禁止敏感服務(wù)，如IIS3.4端口掃描技術(shù)端口掃描工具3.5特洛伊木馬什么是特洛伊木馬定義：特洛伊木馬是一個程序，它駐留在目標(biāo)計算機(jī)里。在目標(biāo)計算機(jī)系統(tǒng)啟動的時候，特洛伊木馬自動啟動。然后在某一端口進(jìn)行偵聽。如果在該端口受到數(shù)據(jù)，對這些數(shù)據(jù)進(jìn)行識別，然后按識別后的命令，在目標(biāo)計算機(jī)上執(zhí)行一些操作。

因此，木馬應(yīng)該符合三個條件：