計算機網絡安全技術黑客的攻擊與防范

北京大學出版社2020/5/8計算機網絡安全1計算機網絡安全技術主講：Email:電話：計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第1頁。北京大學出版社2020/5/8計算機網絡安全2第7章黑客的攻擊與防范?了解黑客攻擊的目的及攻擊步驟?熟悉黑客常用的攻擊方法?掌握防范黑客的措施?掌握黑客攻擊過程，并防御黑客攻擊本章要點：計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第2頁。北京大學出版社2020/5/8計算機網絡安全37.1網絡黑客概述?黑客，英文名為Hacker，是指對計算機信息系統(tǒng)進行非授權訪問的人員(《中華人民共和國公共安全行業(yè)標準GA163—1997》中定義)。人們通常認為黑客是指在計算機技術上有一定特長，并憑借自己掌握的技術知識，采用非法的手段逃過計算機網絡系統(tǒng)的存取控制，而獲得進入計算機網絡進行未授權的或非法的訪問的人。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第3頁。北京大學出版社2020/5/8計算機網絡安全47.2黑客攻擊的目的及步驟計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第4頁。北京大學出版社2020/5/8計算機網絡安全57.2.1黑客攻擊的目的?竊取信息?獲取口令?控制中間站點?獲得超級用戶權限計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第5頁。北京大學出版社2020/5/8計算機網絡安全67.2.2黑客攻擊的步驟黑客常用的攻擊步驟可以說變幻莫測，但縱觀其整個攻擊過程，還是有一定規(guī)律可循的，一般可以分：攻擊前奏、實施攻擊、鞏固控制、繼續(xù)深入幾個過程。下面具體了解一下這幾個過程：1.攻擊前奏黑客在發(fā)動攻擊前了解目標的網絡結構，搜集各種目標系統(tǒng)的信息等。(1)鎖定目標：(2)了解目標的網絡結構：計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第6頁。北京大學出版社2020/5/8計算機網絡安全7(3)搜集系統(tǒng)信息：(4)利用信息服務：2.實施攻擊3.鞏固控制4.繼續(xù)深入計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第7頁。北京大學出版社2020/5/8計算機網絡安全87.3常用的黑客攻擊方法計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第8頁。北京大學出版社2020/5/8計算機網絡安全97.3.1端口掃描?一個端口就是一個潛在的通信通道，也就是一個入侵通道。對目標計算機進行端口掃描能得到許多有用的信息。進行掃描的方法很多，可以是手工進行掃描，也可以用端口掃描軟件進行。手工進行掃描需要熟悉各種命令，對命令執(zhí)行后的輸出進行分析。用掃描軟件進行掃描時，許多掃描器軟件都有分析數(shù)據(jù)的功能。通過端口掃描，可以得到許多有用的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第9頁。北京大學出版社2020/5/8計算機網絡安全10下面首先介紹幾個常用網絡命令，對端口掃描原理進行介紹。1.常用的網絡相關命令1)Ping命令的基本格式Pinghostname其中hostname是目標計算機的地址。2)Tracert命令用來跟蹤一個消息從一臺計算機到另一臺計算機所走的路徑，比如從你的計算機走到其他計算機。3)Rusers和Finger計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第10頁。北京大學出版社2020/5/8計算機網絡安全11這兩個都是UNIX命令。通過這兩個命令,能搜集到目標計算機上的有關用戶的消息。2.端口掃描原理掃描器通過選用遠程TCP/IP不同的端口的服務，并記錄目標給予的回答，通過這種方法，可以搜集到很多關于目標主機的各種有用的信息(比如：是否能用匿名登陸，是否有可寫的FTP目錄，是否能用Telnet。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第11頁。北京大學出版社2020/5/8計算機網絡安全127.3.2口令破解?通過破解獲得系統(tǒng)管理員口令，進而掌握服務器的控制權是黑客的一個重要手段。破解獲得管理員口令的方法有很多，下面是3種最為常見的方法。(1)猜解簡單口令：(2)字典攻擊：(3)暴力猜解：計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第12頁。北京大學出版社2020/5/8計算機網絡安全137.3.3特洛伊木馬?特洛伊木馬是一個包含在一個合法程序中的非法的程序。該非法程序被用戶在不知情的情況下執(zhí)行。其名稱源于古希臘的特洛伊木馬神話，傳說希臘人圍攻特洛伊城，久久不能得手。后來想出了一個木馬計，讓士兵藏匿于巨大的木馬中。大部隊假裝撤退而將木馬“丟棄”于特洛伊城，讓敵人將其作為戰(zhàn)利品拖入城內。木馬內的慶祝勝利而放松警惕的時候從木馬中爬出來，與城外的部隊里應外合而攻下了特洛伊城。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第13頁。北京大學出版社2020/5/8計算機網絡安全141.特洛伊木馬的隱藏方式1)在任務欄里隱藏2)在任務管理器里隱藏3)端口4)隱藏通信5)隱藏加載方式6)最新隱身技術2.特洛伊木馬的工作原理?第一步：木馬服務端程序的植入。?第二步：木馬將入侵主機信息發(fā)送給攻擊者。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第14頁。北京大學出版社2020/5/8計算機網絡安全15?第三步：木馬程序啟動并發(fā)揮作用。特洛伊木馬要能發(fā)揮作用必須具備3個因素。(1)木馬需要一種啟動方式，一般在注冊表啟動組中。(2)木馬需要在內存中才能發(fā)揮作用。(3)木馬會打開特別的端口，以便黑客通過這個端口和木馬聯(lián)系。3.特洛伊木馬程序的存在形式(1)Win.ini：run=、load=項目中的程序名。(2)System.ini：Shell=Explorer.exe項后的程序名。(3)注冊表：Run項中的程序。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第15頁。北京大學出版社2020/5/8計算機網絡安全164.特洛伊木馬的特性1)隱蔽性2)自動運行性3)功能的特殊性4)自動恢復功能5)能自動打開特別的端口5.特洛伊木馬種類1)破壞型特洛伊木馬2)密碼發(fā)送型特洛伊木馬3)遠程訪問型特洛伊木馬4)鍵盤記錄特洛伊木馬計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第16頁。北京大學出版社2020/5/8計算機網絡安全175)DoS攻擊特洛伊木馬6)代理特洛伊木馬7)FTP特洛伊木馬8)程序殺手特洛伊木馬9)反彈端口型特洛伊木馬6.特洛伊木馬的入侵1)集成到程序中2)隱藏在配置文件中3)潛伏在Win.ini中4)偽裝在普通文件中5)內置到注冊表中計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第17頁。北京大學出版社2020/5/8計算機網絡安全186)在System.ini中藏身7)隱形于啟動組中8)隱蔽在Winstart.bat中9)捆綁在啟動文件中10)設置在超鏈接中計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第18頁。北京大學出版社2020/5/8計算機網絡安全197.3.4緩沖區(qū)溢出攻擊1.緩沖溢出攻擊的原理緩沖區(qū)是程序運行的時候機器內存中的一個連續(xù)塊，它保存了給定類型的數(shù)據(jù)，隨著動態(tài)分配變量會出現(xiàn)問題。大多數(shù)時候為了不占用多的內存，一個有動態(tài)分配變量的程序在程序運行時才決定給它們分配多少內存。這樣下去的話，如果說要給程序在動態(tài)分配緩沖區(qū)放入超長的數(shù)據(jù)，它就會溢出了。2.緩沖區(qū)溢出攻擊的方法1)植入法計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第19頁。北京大學出版社2020/5/8計算機網絡安全202)利用已經存在的代碼3.緩沖區(qū)溢出攻擊的防范技術1)編寫正確的代碼2)非執(zhí)行的緩沖區(qū)3)數(shù)組邊界檢查4)程序指針完整性檢查計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第20頁。北京大學出版社2020/5/8計算機網絡安全217.3.5拒絕服務攻擊1.拒絕服務攻擊原理拒絕服務即DenialofService，簡稱DoS，由于它的不易覺察性和簡易性，因而一直是網絡安全的重大隱患。它是一種技術含量低，攻擊效果明顯的攻擊方法，受到攻擊時，服務器在長時間內不能提供服務，使得合法用戶不能得到服務，特別是分布式拒絕服務DDoS，它的效果很明顯，并且難以找到真正的攻擊源，很難找到行之有效的解決方法。2.分布式拒絕服務攻擊計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第21頁。北京大學出版社2020/5/8計算機網絡安全22?分布式拒絕服務攻擊手段是在傳統(tǒng)的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般采用一對一的方式，隨著計算機與網絡技術的發(fā)展，計算機的處理能力迅速增長，內存大大增加，同時也出現(xiàn)了千兆級別的網絡，這使得DoS攻擊的效果不明顯，攻擊的難度加大了，目標系統(tǒng)對惡意攻擊包有足夠的消化處理能力。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第22頁。北京大學出版社2020/5/8計算機網絡安全237.3.6網絡監(jiān)聽?網絡監(jiān)聽技術本來是提供給網絡安全管理人員進行管理的工具，可以用來監(jiān)視網絡的狀態(tài)、數(shù)據(jù)流動情況以及網絡上傳輸?shù)男畔⒌?。當信息以明文的形式在網絡上傳輸時，使用監(jiān)聽技術進行攻擊并不是一件難事，只要將網絡接口設置成監(jiān)聽模式，便可以源源不斷地將網上傳輸?shù)男畔⒔孬@。網絡監(jiān)聽可以在網上的任何一個位置實施，如局域網中的一臺主機、網關上或遠程網的調制解調器之間等。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第23頁。北京大學出版社2020/5/8計算機網絡安全247.4攻擊實例計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第24頁。北京大學出版社2020/5/8計算機網絡安全257.4.1網絡監(jiān)聽實例?本實例介紹的是使用Cain軟件進行Sniffer，軟件版本號是Cain2.5，Cain2.5主界。用Cain可以進行非交換環(huán)境下的Sniffer和交換環(huán)境下的Sniffer。下面就分別對這兩種方法進行介紹。1.交換環(huán)境下的Sniffer?首先，先設定好被監(jiān)聽的網卡，如圖7.3所示，再打開Sniffer的開關就可以了實行Sniffer了，這種方法用于Sniffer同在HUB下的其他機器(包括本機)的各種通信。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第25頁。北京大學出版社2020/5/8計算機網絡安全26圖7.2Cain2.5主界面圖7.3設定被監(jiān)聽的網卡計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第26頁。北京大學出版社2020/5/8計算機網絡安全272．交換環(huán)境下的Sniffer?這里和68是互相信任而且已被控制的兩臺機器。試試能不能監(jiān)聽它們之間的通信。Telnet命令界面如圖7.4所示，首先Telnet到上去再執(zhí)行netuse\\68\IPC$/user：administrator命令。?在Cain中是不會看到它記下這次SMB協(xié)議的會話，如圖7.5所示，這說明和、68是處在交換環(huán)境下的。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第27頁。北京大學出版社2020/5/8計算機網絡安全28圖7.4Telnet命令界面圖7.5Cain沒有記錄下這次會話計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第28頁。北京大學出版社2020/5/8計算機網絡安全297.4.2口令破解實例?破解軟件CrackFTP的使用。CrackFTP是一款FTP破解軟件，可破解FTP用戶的密碼。破解前必須先知道此FTP中的一個用戶名。?首先介紹該軟件主界面，如圖7.10所示。?當各項參數(shù)都設置完畢之后，單擊Crack按鈕便開始破解，如圖7.11所示。?在使用這款軟件時，需要注意的一點是連接間歇，由于每個FTP設置了不同的連接間歇，如果設置不當，你的IP會被FTP禁止，所以要盡量設置得大一些。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第29頁。北京大學出版社2020/5/8計算機網絡安全30圖7.10主界面圖7.11破解出FTP密碼計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第30頁。北京大學出版社2020/5/8計算機網絡安全317.5防黑措施1.防范黑客入侵的措施2.防范黑客入侵的步驟1)第一步：選好操作系統(tǒng)2)第二步：補丁升級3)第三步：關閉無用的服務4)第四步：隱藏IP地址5)第五步：查找本機漏洞6)第六步：防火墻軟件保平安計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第31頁。北京大學出版社2020/5/8計算機網絡安全327.6常用攻擊和防御軟件的應用實驗?實驗說明：特洛伊木馬是一種基于遠程控制的病毒程序，該程序具有很強的隱蔽性和危害性，它可以在并不知情的的狀態(tài)下控制或者監(jiān)視用戶的電腦。下面通過分別學習如何使用常用的木馬程序和如何使用防范木馬入侵的程序，從正反兩個方面來加深了解黑客入侵的手段，使大家能夠更好地保護自己的電腦不受黑客攻擊。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第32頁。北京大學出版社2020/5/8計算機網絡安全337.6.1“冰河”使用說明1.實訓目的和內容(1)掌握木馬的原理和攻擊方法。(2)了解“冰河”的配置及使用方法。(3)掌握清除“冰河”的方法。2.實訓步驟1)各模塊簡要說明?安裝好服務器端監(jiān)控程序后，運行客戶端程序就可以對遠程計算機進行監(jiān)控了，客戶端執(zhí)行程序的各模塊功能如圖7.20所示。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第33頁。北京大學出版社2020/5/8計算機網絡安全34圖7.20“冰河”功能模塊計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第34頁。北京大學出版社2020/5/8計算機網絡安全352）命令控制臺主要命令(1)口令類命令：系統(tǒng)信息及口令、歷史口令、擊鍵記錄，如圖7.23所示。圖7.23口令類命令界面及展示信息計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第35頁。北京大學出版社2020/5/8計算機網絡安全36(2)控制類命令：捕獲屏幕、發(fā)送信息、進程管理、窗口管理、鼠標控制、系統(tǒng)控制、其他控制(如鎖定注冊表等)，如圖7.24所示。圖7.24控制類命令界面及發(fā)送信息演示計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第36頁。北京大學出版社2020/5/8計算機網絡安全37(3)網絡類命令：創(chuàng)建共享、刪除共享、查看網絡信息，如圖7.25所示。圖7.25網絡類命令界面計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第37頁。北京大學出版社2020/5/8計算機網絡安全383）手動清除“冰河”方法表述如下。①刪除C：\Windows\system下的Kernel32.exe和sy***plr.exe文件。②刪除注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的鍵值C：\Windows\system\Kernel32.exe。③刪除注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runs-ervices下的鍵值C：\Windows\system\Kernel32.exe。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第38頁。北京大學出版社2020/5/8計算機網絡安全397.6.2RegRun的使用說明1.實訓目的和內容(1)掌握防范黑客攻擊的方法；(2)了解RegRun的配置及使用方法。2.實訓步驟?木馬程序一般會改變系統(tǒng)的啟動設置、系統(tǒng)服務、可執(zhí)行文件的關聯(lián)、注冊表信息等方式來運行木馬，而RegRun則分別對這幾種方式做了嚴格的監(jiān)控來防止系統(tǒng)被木馬程序攻擊，如圖7.30所示。計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第39頁。北京大學出版社2020/5/8計算機網絡安全40圖7.30RegRun主菜單計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第40頁。北京大學出版社2020/5/8計算機網絡安全41(1)執(zhí)行木馬分析器后出現(xiàn)如圖7.31所示的界面，可以選擇要分析的可疑進程，并通過分析報告來判斷該進程是否對系統(tǒng)做出了惡意的修改、增刪等操作。圖7.31木馬分析器界面計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第41頁。北京大學出版社2020/5/8計算機網絡安全42(2)執(zhí)行運行防衛(wèi)器后出現(xiàn)如下配置界面，在運行防衛(wèi)器中可以設置禁止運行的程序，當一些惡意程序如木馬的后門程序運行時RegRun就會提示警告信息，如圖7.33所示。圖7.33運行防衛(wèi)設置界面計算機網絡安全技術黑客的攻擊與防范全文共48頁，當前為第42頁。北京大學出版社2020/5/8計算機網絡安全43(3)執(zhí)行文件保護器后RegRun會列出比較重要的系統(tǒng)文件，如圖7.35所示，并將這些文件保存在一個備份的目錄里，RegRun會通過比較知道這些文件是否被篡改過，如果被改動過可以通過備份目錄恢復原來的文件。圖7.35文件保護器界面計算機網絡安全技術黑客的攻擊與防范全