第2章黑客常用的系統(tǒng)攻擊方法課件

主要內(nèi)容

黑客概述網(wǎng)絡(luò)掃描工具原理與使用 網(wǎng)絡(luò)監(jiān)聽原理與工具木馬拒絕服務(wù)攻擊緩沖區(qū)溢出

第2章

黑客常用的系統(tǒng)攻擊方法^^主要內(nèi)容

黑客概述第2章黑客常用的系統(tǒng)攻擊方法^^12.1黑客的由來

一名黑客(hacker)是一個喜歡用智力通過創(chuàng)造性方法來挑戰(zhàn)腦力極限的人，特別是他們所感興趣的領(lǐng)域，例如電腦編程或電器工程。黑客最早源自英文hacker，早期在美國的電腦界是帶有褒義的。但在媒體報導(dǎo)中，黑客一詞往往指那些“軟件駭客”(softwarecracker)。黑客一詞，原指熱心于計算機(jī)技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計人員。^^2.1黑客的由來一名黑客(hacker)是一2黑客原理與防范措施黑客發(fā)展的歷史網(wǎng)絡(luò)威脅網(wǎng)絡(luò)掃描網(wǎng)絡(luò)監(jiān)聽常用黑客技術(shù)的原理（木馬、緩沖區(qū)溢出等）黑客攻擊的防范^^黑客原理與防范措施黑客發(fā)展的歷史^^3信息安全威脅的發(fā)展趨勢^^信息安全威脅的發(fā)展趨勢^^4攻擊復(fù)雜度與所需入侵知識關(guān)系圖^^攻擊復(fù)雜度與所需入侵知識關(guān)系圖^^52.1.2黑客攻擊的動機(jī)貪心－偷竊或者敲詐，金融案件惡作劇–無聊的計算機(jī)程序員名聲–顯露出計算機(jī)經(jīng)驗與才智，以便證明他們的能力和獲得名氣報復(fù)/宿怨–解雇、受批評或者被降級的雇員，或者其他任何認(rèn)為其被不公平地對待的人無知–失誤和破壞了信息還不知道破壞了什么黑客道德-這是許多構(gòu)成黑客人物的動機(jī)仇恨-國家和民族原因間諜－政治和軍事目的諜報工作商業(yè)－商業(yè)競爭，商業(yè)間諜^^2.1.2黑客攻擊的動機(jī)貪心－偷竊或者敲詐，金融案件^6黑客守則1)不惡意破壞系統(tǒng)2)不修改系統(tǒng)文檔3)不在bbs上談?wù)撊肭质马?)不把要侵入的站點告訴不信任的朋友5)在post文章時不用真名6)入侵時不隨意離開用戶主機(jī)7)不入侵政府機(jī)關(guān)系統(tǒng)8)不在電話中談入侵事項9)將筆記保管好10)要成功就要實踐11)不刪除或涂改已入侵主機(jī)的帳號12)不與朋友分享已破解的帳號^^黑客守則1)不惡意破壞系統(tǒng)^^72.1.3黑客入侵攻擊的一般過程

確定攻擊的目標(biāo)。收集被攻擊對象的有關(guān)信息。被攻擊對象所在網(wǎng)絡(luò)類型、IP地址、操作系統(tǒng)類型和版本、系統(tǒng)管理員的郵件地址等。利用適當(dāng)?shù)墓ぞ哌M(jìn)行掃描。掃描后對截獲的數(shù)據(jù)進(jìn)行分析，找出安全漏洞。建立模擬環(huán)境，進(jìn)行模擬攻擊。進(jìn)行模擬攻擊，檢查被攻擊方的日志，攻擊者確定刪除哪些文件來消除攻擊過程中留下的“痕跡”。實施攻擊。清除痕跡。^^2.1.3黑客入侵攻擊的一般過程確定攻擊的目標(biāo)。^^8口令攻擊通過猜測或獲取口令文件等方式獲得系統(tǒng)認(rèn)證口令從而進(jìn)入系統(tǒng)危險口令類型1）用戶名2）用戶名變形3）生日4）常用英文單詞5）5位以下長度的口令暴力破解：舉例NAT^^口令攻擊通過猜測或獲取口令文件等方式獲得系統(tǒng)認(rèn)證口令^^9網(wǎng)絡(luò)安全掃描技術(shù)在網(wǎng)絡(luò)安全行業(yè)中扮演的角色（1）掃描軟件是入侵者分析將被入侵系統(tǒng)的必備工具（2）掃描軟件是系統(tǒng)管理員掌握系統(tǒng)安全狀況的必備工具（3）掃描軟件是網(wǎng)絡(luò)安全工程師修復(fù)系統(tǒng)漏洞的主要工具（4）掃描軟件在網(wǎng)絡(luò)安全的家族中可以說是扮演著醫(yī)生的角色2.2網(wǎng)絡(luò)安全掃描技術(shù)^^網(wǎng)絡(luò)安全掃描技術(shù)在網(wǎng)絡(luò)安全行業(yè)中扮演的角色（1）掃描軟件是入10網(wǎng)絡(luò)安全掃描技術(shù)分類一．一般的端口掃描器二．功能強(qiáng)大的特殊端口掃描器三.其他系統(tǒng)敏感信息的掃描器

1.合法使用：檢測自己服務(wù)器端口，以便給自己提供更好的服務(wù)；2.非法使用：查找服務(wù)器的端口，選取最快的攻擊端口^^網(wǎng)絡(luò)安全掃描技術(shù)分類一．一般的端口掃描器1.合法11預(yù)備知識-OSI模型和TCP/IP協(xié)議棧^^預(yù)備知識-OSI模型和TCP/IP協(xié)議棧^^12TCP包首部^^TCP包首部^^13IP數(shù)據(jù)包16位總長度8位服務(wù)類型4位版本4位首部長度16位標(biāo)識32位源IP地址8位生存時間協(xié)議首部校驗和13位片偏移標(biāo)志32位目的IP地址IP選項（可選）填充數(shù)據(jù)……^^IP數(shù)據(jù)包16位總長度8位服務(wù)類型4位版本4位首部長度16位14常用的掃描軟件X-scannmapFluxayipscan^^常用的掃描軟件X-scan^^15端口掃描程序Nmap

Nmap簡介Nmap支持的四種最基本的掃描方式：（1）Ping掃描（-sP參數(shù)）。（2）TCPconnect()端口掃描（-sT參數(shù)）。（3）TCP同步（SYN）端口掃描（-sS參數(shù)）。（4）UDP端口掃描（-sU參數(shù)）。

^^端口掃描程序NmapNmap簡介^^16NMAP的介紹Nmap是一個網(wǎng)絡(luò)探測和安全掃描程序，系統(tǒng)管理者和個人可以使用這個軟件掃描大型的網(wǎng)絡(luò)，獲取那臺主機(jī)正在運行以及提供什么服務(wù)等信息。nmap支持很多掃描技術(shù)，例如：UDP、TCP

connect()、TCP

SYN(半開掃描)、ftp代理(bounce攻擊)、反向標(biāo)志、ICMP、FIN、ACK掃描、圣誕樹(Xmas

Tree)、SYN掃描和null掃描。從掃描類型一節(jié)可以得到細(xì)節(jié)。nmap還提供了一些高級的特征，例如：通過TCP/IP協(xié)議棧特征探測操作系統(tǒng)類型，秘密掃描，動態(tài)延時和重傳計算，并行掃描，通過并行ping掃描探測關(guān)閉的主機(jī)，誘餌掃描，避開端口過濾檢測，直接RPC掃描(無須端口影射)，碎片掃描，以及靈活的目標(biāo)和端口設(shè)定.^^NMAP的介紹Nmap是一個網(wǎng)絡(luò)探測和17Nmap運行通常會得到被掃描主機(jī)端口的列表。nmap總會給出well

known端口的服務(wù)名(如果可能)、端口號、狀態(tài)和協(xié)議等信息。每個端口的狀態(tài)有：open、filtered、unfiltered。open狀態(tài)意味著目標(biāo)主機(jī)能夠在這個端口使用accept()系統(tǒng)調(diào)用接受連接。filtered狀態(tài)表示：防火墻、包過濾和其它的網(wǎng)絡(luò)安全軟件掩蓋了這個端口，禁止

nmap探測其是否打開。unfiltered表示：這個端口關(guān)閉，并且沒有防火墻/包過濾軟件來隔離nmap的探測企圖。通常情況下，端口的狀態(tài)基本都是unfiltered狀態(tài)，只有在大多數(shù)被掃描的端口處于filtered狀態(tài)下，才會顯示處于unfiltered狀態(tài)的端口。^^Nmap運行通常會得到被掃描主機(jī)端口的列表。18nmap–sPIP地址ping掃描，有時用戶只想知道某一時段的哪些主機(jī)正在運行。Nmap通過向用戶指定的網(wǎng)絡(luò)內(nèi)的每個IP地址發(fā)送ICMPrequest請求數(shù)據(jù)包，若主正在運行就會作出相應(yīng)。ICMP包本身是一個廣播包，無端口概念，非常適合用來檢測指定網(wǎng)段內(nèi)正在運行的主機(jī)數(shù)量。Nmap掃描類型（dos系統(tǒng)）^^nmap–sPIP地址Nmap掃描類型（dos系統(tǒng)）^19^^^^20nmap–sTIP地址

TCP

connect()掃描：這是最基本的TCP掃描方式。connect()是一種系統(tǒng)調(diào)用，由操作系統(tǒng)提供，用來打開一個連接。如果目標(biāo)端口有程序監(jiān)聽，

connect()就會成功返回，否則這個端口是不可達(dá)的。任何UNIX用戶都可以自由使用這個系統(tǒng)調(diào)用。這種掃描很容易被檢測到，在目標(biāo)主機(jī)的日志中會記錄大批的連接請求以及錯誤信息。^^nmap–sTIP地址

TCP

connect()21^^^^22nmap–sSIP地址

TCP同步掃描(TCP

SYN)：因為不必全部打開一個TCP連接，所以這項技術(shù)通常稱為半開掃描(half-open)。你可以發(fā)出一個TCP同步包(SYN)，然后等待回應(yīng)。如果對方返回SYN|ACK(響應(yīng))包就表示目標(biāo)端口正在監(jiān)聽；如果返回RST數(shù)據(jù)包，就表示目標(biāo)端口沒有監(jiān)聽程序；如果收到一個SYN|ACK包，源主機(jī)就會馬上發(fā)出一個RST(復(fù)位)數(shù)據(jù)包斷開和目標(biāo)主機(jī)的連接，這實際上有我們的操作系統(tǒng)內(nèi)核自動完成的。這項技術(shù)最大的好處是，很少有系統(tǒng)能夠把這記入系統(tǒng)日志。不過，你需要root權(quán)限來定制SYN數(shù)據(jù)包。^^nmap–sSIP地址

TCP同步掃描(TCP

S23^^^^24nmap–sUIP地址UDP掃描。此掃描方式用來確定被測目標(biāo)主機(jī)哪個UDP端口開啟。這一技術(shù)以發(fā)送零字節(jié)的UDP信息包到目標(biāo)主機(jī)的各個端口，若收到一個ICMP端口無法到達(dá)的回應(yīng)，那么此端口是關(guān)閉的，否則可以認(rèn)為此端口是開啟的。^^nmap–sUIP地址^^25^^^^26windows系統(tǒng)^^windows系統(tǒng)^^27^^^^28^^^^29^^^^30^^^^31^^^^32^^^^33（1）CGIScanner（2）AspScanner（3）從各個主要端口取得服務(wù)信息的Scanner（4）獲取操作系統(tǒng)敏感信息的Scanner（5）數(shù)據(jù)庫Scanner（6）遠(yuǎn)程控制系統(tǒng)掃描器專用掃描器的介紹^^（1）CGIScanner專用掃描器的介紹^^34企業(yè)級掃描系統(tǒng)一．優(yōu)秀網(wǎng)絡(luò)安全掃描系統(tǒng)的介紹：（1）ISS公司的InternetScanner（2）NAI公司的cybercopScanner二．系統(tǒng)（本地）掃描器和遠(yuǎn)程掃描器^^企業(yè)級掃描系統(tǒng)一．優(yōu)秀網(wǎng)絡(luò)安全掃描系統(tǒng)的介紹：^^35企業(yè)級掃描系統(tǒng)要素（1）速度（2）對系統(tǒng)的負(fù)面影響（3）能夠發(fā)現(xiàn)的漏洞數(shù)量（4）清晰性和解決方案的可行性（5）更新周期（6）所需軟硬件環(huán)境要求（7）界面的直觀性和易用性（8）覆蓋范圍^^企業(yè)級掃描系統(tǒng)要素^^36網(wǎng)絡(luò)安全掃描軟件的局限性（1）掃描器難以智能化，不能完全代替人工分析（2）掃描器依賴升級工作，才能確保長期的有效性（3）使用掃描器，必須考慮到有關(guān)法律的規(guī)定和限制，不能濫用^^網(wǎng)絡(luò)安全掃描軟件的局限性（1）掃描器難以智能化，不能完全代37總結(jié)（1）掃描器和其它產(chǎn)品一樣，只是一個工具，我們不能完全依賴他的工作，人的因素也是至關(guān)重要的。（2）掃描器能夠發(fā)揮的功能取決于人，人的工作是大量的同時是必不可少的。只有人的努力才能夠確保掃描器功能的強(qiáng)大。（3）掃描器質(zhì)量的好壞，在于開發(fā)公司在安全實踐中積累的經(jīng)驗和更新能力。^^總結(jié)（1）掃描器和其它產(chǎn)品一樣，只是一個工具，我們不能完全38補(bǔ)充：數(shù)據(jù)進(jìn)入?yún)f(xié)議棧時的封裝過程^^補(bǔ)充：數(shù)據(jù)進(jìn)入?yún)f(xié)議棧時的封裝過程^^39^^^^40SMB：ServerMessageBlockprotocol服務(wù)器信息塊（SMB）協(xié)議是一種IBM協(xié)議，用于在計算機(jī)間共享文件、打印機(jī)、串口等。SMB協(xié)議可以用在因特網(wǎng)的TCP/IP協(xié)議之上，也可以用在其它網(wǎng)絡(luò)協(xié)議如IPX（互聯(lián)網(wǎng)分組交換協(xié)議）和NetBEUI（NetBiosEnhancedUserInterface，或NetBios增強(qiáng)用戶接口）之上。SMB一種客戶機(jī)/服務(wù)器、請求/響應(yīng)協(xié)議。通過SMB協(xié)議，客戶端應(yīng)用程序可以在各種網(wǎng)絡(luò)環(huán)境下讀、寫服務(wù)器上的文件，以及對服務(wù)器程序提出服務(wù)請求。在TCP/IP環(huán)境下，客戶機(jī)通過NetBIOSoverTCP/IP（或NetBEUI/TCP或SPX/IPX）連接服務(wù)器。一旦連接成功，客戶機(jī)可發(fā)送SMB命令到服務(wù)器上，從而客戶機(jī)能夠訪問共享目錄、打開文件、讀寫文件，以及一切在文件系統(tǒng)上能做的所有事情。從Windows95開始，MicrosoftWindows操作系統(tǒng)（operatingsystem）都包括了客戶機(jī)和服務(wù)器SMB協(xié)議支持。^^SMB：ServerMessageBlockproto41TCP工作過程TCP分三個階段

第一階段：連接建立（三次握手）

第二階段：數(shù)據(jù)傳輸

第三階段：連接拆除（四次握手）

^^TCP工作過程TCP分三個階段

第一階段：連接建立（三次握手42TCP三次握手

傳輸控制協(xié)議(TransportControlProtocol)是一種面向連接的，可靠的傳輸層協(xié)議。面向連接是指一次正常的TCP傳輸需要通過在TCP客戶端和TCP服務(wù)端建立特定的虛電路連接來完成，該過程通常被稱為“三次握手”。此處可靠性數(shù)據(jù)序列和確認(rèn)提供保證。TCP通過數(shù)據(jù)分段(Segment)中的序列號保證所有傳輸?shù)臄?shù)據(jù)可以在遠(yuǎn)端按照正常的次序進(jìn)行重組，而且通過確認(rèn)保證數(shù)據(jù)傳輸?shù)耐暾?。要通過TCP傳輸數(shù)據(jù)，必須在兩端主機(jī)之間建立連接。

^^TCP三次握手

傳輸控制協(xié)議(Tran43^^^^44^^^^45FINFIN的ACK

FINFIN的ACK客戶端服務(wù)器端TCP連接的拆除TCP連接是全雙工（數(shù)據(jù)在兩個方向上能同時傳輸）^^FINFIN的ACKFINFIN的ACK客戶端服務(wù)46TCP和UDP區(qū)別

TCP的傳輸是可靠的，UDP的傳輸是不可靠的。

TCP在發(fā)送數(shù)據(jù)包前都在通信雙方有一個三次握手機(jī)制，確保雙方準(zhǔn)備好，在傳輸數(shù)據(jù)包期間，TCP會根據(jù)鏈路中數(shù)據(jù)流量的大小來調(diào)節(jié)傳送的速率，傳輸時如果發(fā)現(xiàn)有丟包，會有嚴(yán)格的重傳機(jī)制，從而以保證數(shù)據(jù)包可靠的傳輸。

對UDP來說，發(fā)送端有數(shù)據(jù)包我就發(fā)送，不會去理會對端的承受能力和鏈路狀況。不同的應(yīng)用層協(xié)議可能基于不同的傳輸層協(xié)議，如FTP、TELNET、SMTP、HTTP協(xié)議基于可靠的TCP協(xié)議。TFTP、SNMP、RIP基于不可靠的UDP協(xié)議。^^TCP和UDP區(qū)別TCP的傳輸是可靠的，47

TCP和UDP的端口號的編號都是獨立的，都是0~65535。例如DNS，可以是TCP的53號端口，也可以是UDP的53號端口。端口號只具有本地意義，是拿來標(biāo)識程序的。只有0~1023是公認(rèn)的系統(tǒng)占用，其他在通信過程中是隨機(jī)生成，此次傳輸完成即撤消。EchoProtocol應(yīng)答協(xié)議

注解：主要用于調(diào)試和檢測中。它可以基于TCP協(xié)議，服務(wù)器就在TCP端口7檢測有無消息，如果使用UDP協(xié)議，基本過程和TCP一樣，檢測的端口也是7。是路由也是網(wǎng)絡(luò)中最常用的數(shù)據(jù)包，可以通過發(fā)送echo包知道當(dāng)前的連接節(jié)點有那些路徑，并且通過往返時間能得出路徑長度。

TCP和UDP的端口號^^TCP和UDP的端口號的編號都是獨立的，48補(bǔ)充：網(wǎng)卡工作原理

網(wǎng)卡工作在數(shù)據(jù)鏈路層，數(shù)據(jù)以幀為單位傳輸。（幀頭包括源和目的MAC地址）網(wǎng)卡先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)計算機(jī)上的網(wǎng)卡驅(qū)動程序設(shè)置的接收模式判斷該不該接收，認(rèn)為該接收就在接收后產(chǎn)生中斷信號通知CPU，認(rèn)為不該接收就丟棄不管。CPU得到中斷信號產(chǎn)生中斷，操作系統(tǒng)就根據(jù)網(wǎng)卡驅(qū)動程序中設(shè)置的網(wǎng)卡中斷程序地址調(diào)用驅(qū)動程序接收數(shù)據(jù)，驅(qū)動程序接收數(shù)據(jù)后放入信號堆棧讓操作系統(tǒng)處理。2.3網(wǎng)絡(luò)監(jiān)聽原理與工具^^補(bǔ)充：網(wǎng)卡工作原理網(wǎng)卡工作在數(shù)據(jù)鏈路層，49網(wǎng)卡的工作模式普通方式：前面所講?；祀s模式（promiscuous）：能夠接收到所有通過它的數(shù)據(jù)。網(wǎng)卡不管數(shù)據(jù)包頭的內(nèi)容，讓所有經(jīng)過的數(shù)據(jù)包都傳給操作系統(tǒng)處理，這樣網(wǎng)卡就可以捕獲所有經(jīng)過網(wǎng)卡的數(shù)據(jù)幀。^^網(wǎng)卡的工作模式^^50Sniffer原理Sniffer，中文可以翻譯為嗅探器,也就是我們所說的數(shù)據(jù)包捕獲器。采用這種技術(shù)，我們可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌鹊?。^^Sniffer原理Sniffer，中文可以翻譯為嗅探器,也就51Username:herma009<cr>Password:hiHKK234<cr>以太網(wǎng)（HUB）

FTPLoginMail普通用戶A服務(wù)器C嗅探者B網(wǎng)絡(luò)監(jiān)聽原理Username:herma009<cr>Password:hiHKK234<cr>^^Username:herma009<cr>Passwor52網(wǎng)絡(luò)監(jiān)聽原理一個sniffer需要做的工作：把網(wǎng)卡置于混雜模式。捕獲數(shù)據(jù)包。分析數(shù)據(jù)包^^網(wǎng)絡(luò)監(jiān)聽原理一個sniffer需要做的工作：^^53HUB工作原理^^HUB工作原理^^54交換機(jī)的工作原理：存儲/轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)數(shù)據(jù)包前，交換機(jī)首先發(fā)送廣播，讓所有與交換機(jī)相連的主機(jī)都把自己的mac地址發(fā)送給他，這樣交換機(jī)就知道哪個mac地址對應(yīng)哪個端口（mac地址表)，假如你要給端口8發(fā)信息，你先把信息發(fā)給交換機(jī)，交換機(jī)先接收并存儲起來，然后他通過mac地址表，查找與端口8相連的電腦，然后把信息傳給相應(yīng)的端口，這樣就完成了信息的轉(zhuǎn)發(fā)。^^交換機(jī)的工作原理：存儲/轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)數(shù)據(jù)包前55交換機(jī)不支持鏡像時的SNIFF^^交換機(jī)不支持鏡像時的SNIFF^^56交換機(jī)支持鏡像時的SNIFF^^交換機(jī)支持鏡像時的SNIFF^^57ARPspoofUsername:herma009<cr>Password:hiHKK234<cr>switch

FTP普通用戶AIP:MAC:20-53-52-43-00-02服務(wù)器CIP:MAC:20-53-52-43-00-01

嗅探者BIP:MAC:20-53-52-43-00-03Switch的MAC地址表router^^ARPspoofUsername:herma009<c58常用的SNIFF

（1）windows環(huán)境下：圖形界面的SNIFFnetxraysnifferpro（2）UNUX環(huán)境下：UNUX環(huán)境下的sniff可以說是百花齊放，他們都有一個好處就是發(fā)布源代碼，當(dāng)然也都是免費的。如sniffit，snoop,tcpdump,dsniffEttercap(交換環(huán)境下)^^常用的SNIFF（1）windows環(huán)境下：圖形界面的S59常用的SNIFFSnifferProEtherealNetmonitorEffTechHTTPSnifferIris^^常用的SNIFFSnifferPro^^60如何防止SNIFF進(jìn)行合理的網(wǎng)絡(luò)分段

用SSH（SecureSocketLayer）加密Sniffer往往是入侵系統(tǒng)后使用的，用來收集信息，因此防止系統(tǒng)被突破。防止內(nèi)部攻擊。AntiSniff工具用于檢測局域網(wǎng)中是否有機(jī)器處于混雜模式（不是免費的）^^如何防止SNIFF進(jìn)行合理的網(wǎng)絡(luò)分段^^61Ethereal/Wireshark分析數(shù)據(jù)包步驟：（1）選擇數(shù)據(jù)包（2）分析數(shù)據(jù)包（3）分析數(shù)據(jù)包內(nèi)容^^Ethereal/Wireshark分析數(shù)據(jù)包步驟：^^62^^^^63^^^^64^^^^65^^^^66^^^^67^^^^68^^^^69^^^^70^^^^71^^^^72^^^^73^^^^742.4木馬（Trojanhorse）木馬是一種基于遠(yuǎn)程控制的黑客工具隱蔽性潛伏性危害性非授權(quán)性^^2.4木馬（Trojanhorse）木馬是一種75木馬與病毒的區(qū)別病毒程序是以自發(fā)性的敗壞為目的木馬程序是依照黑客的命令來運作，主要目的是偷取文件、機(jī)密數(shù)據(jù)、個人隱私等行為。^^木馬與病毒的區(qū)別病毒程序是以自發(fā)性的敗壞為目的^^762.4.1木馬的工作原理常見木馬是C/S(Client/Server)模式的程序（里應(yīng)外合）操作系統(tǒng)被植入木馬的PC（server程序）TCP/IP協(xié)議端口被植入木馬的PC（client程序）操作系統(tǒng)TCP/IP協(xié)議端口端口處于監(jiān)聽狀態(tài)控制端^^2.4.1木馬的工作原理常見木馬是C/S(Client/S77

Server程序通過打開特定的端口（后門）進(jìn)行監(jiān)聽(Listen)，攻擊者掌握的client程序向該端口發(fā)出請求(connectrequest)，木馬便和他連接起來，攻擊者就可以使用控制器進(jìn)入計算機(jī)，通過client程序命令對服務(wù)器端進(jìn)行控制。^^Server程序通過打開特定的端口（后門）進(jìn)782.4.2木馬的分類遠(yuǎn)程訪問型木馬遠(yuǎn)程訪問被攻擊者的硬盤、進(jìn)行屏幕監(jiān)視等，當(dāng)運行server程序時，若client獲知服務(wù)器端IP地址，就可以實行遠(yuǎn)程控制。利用程序可以實現(xiàn)觀察“受害者”正在干什么，當(dāng)然這個程序完全可以用在正道上的，比如監(jiān)視學(xué)生機(jī)的操作。密碼發(fā)送型木馬找到隱藏的密碼，在被攻擊者不知情的情況下將密碼發(fā)到指定的郵箱。^^2.4.2木馬的分類遠(yuǎn)程訪問型木馬^^79鍵盤記錄木馬記錄被攻擊者的鍵盤敲擊并在LOG文件查找密碼。破壞型木馬惟一的功能就是破壞、刪除文件，可以自動的刪除電腦上的DLL、INI、EXE文件。（威脅計算機(jī)安全）^^鍵盤記錄木馬^^80代理木馬黑客找到一臺毫不知情的計算機(jī)，給它種上代理木馬，讓該計算機(jī)變成攻擊者發(fā)動攻擊的跳板。黑客會隱藏自己的蹤跡。FTP木馬打開21端口，等待用戶連接。^^代理木馬^^81^^^^822.4.3木馬實施攻擊的步驟

配置木馬（1）木馬偽裝：木馬配置程序在服務(wù)器端采用修改圖標(biāo)、捆綁文件、定制端口等偽裝手段將自己隱藏。（2）信息反饋：木馬配置程序?qū)π畔⒎答伝虻刂愤M(jìn)行設(shè)置（郵件地址、IRC號（InternetRelayChat）、ICQ號(聊天軟件，名稱來自Iseekyou

)）。^^2.4.3木馬實施攻擊的步驟配置木馬^^83傳播木馬傳播方式主要有兩種：一種是通過E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開附件系統(tǒng)就會感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，一運行這些程序，木馬就會自動安裝。

啟動木馬服務(wù)端用戶運行木馬或捆綁木馬的程序后，木馬就會自動進(jìn)行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下)，然后在注冊表，啟動組，非啟動組中設(shè)置好木馬的觸發(fā)條件,這樣木馬的安裝就完成了。安裝后就可以啟動木馬了。^^傳播木馬^^84建立連接

木馬連接的建立首先必須滿足兩個條件：一是服務(wù)端已安裝了木馬程序；二是控制端，服務(wù)端都要在線。在此基礎(chǔ)上控制端可以通過木馬端口與服務(wù)端建立連接。

假設(shè)A機(jī)為控制端，B機(jī)為服務(wù)端，對于A機(jī)來說要與B機(jī)建立連接必須知道B機(jī)的木馬端口和IP地址，由于木馬端口是A機(jī)事先設(shè)定的，為已知項，所以最重要的是如何獲得B機(jī)的IP地址。獲得B機(jī)的IP地址的方法主要有兩種：信息反饋和IP掃描。遠(yuǎn)程控制^^建立連接^^85遠(yuǎn)程控制木馬連接建立后，控制端端口和木馬端口之間將會出現(xiàn)一條通道。控制端上的控制端程序可借這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制，實現(xiàn)竊取密碼、文件操作、修改注冊表、系統(tǒng)操作、鎖住服務(wù)器等。^^遠(yuǎn)程控制^^862.4.4木馬偽裝方法1.木馬文件的隱藏與偽裝（1）文件的位置木馬的服務(wù)器程序文件一般在系統(tǒng)文件所處的目錄下，這樣不敢隨意刪除，如果誤刪會導(dǎo)致計算機(jī)崩潰。（2）文件的屬性木馬文件屬性設(shè)置為隱藏。（3）

捆綁到其他文件上將木馬捆綁到一個安裝程序上，當(dāng)安裝程序運行時，木馬在用戶毫無察覺的情況下，偷偷地進(jìn)入了系統(tǒng)。被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的文件)。

^^2.4.4木馬偽裝方法1.木馬文件的隱藏與偽裝^^87（4）

文件的名字木馬文件名使用常見的文件名和擴(kuò)展名，或者仿制一些不易被區(qū)別的文件名（如仿制系統(tǒng)文件名kernel32.dll）。（5）

文件的圖標(biāo)^^（4）

文件的名字^^88木馬運行中的隱藏（1）在任務(wù)欄里隱藏（2）在任務(wù)管理器里隱藏木馬將自己設(shè)為“系統(tǒng)服務(wù)”就不會出現(xiàn)在任務(wù)管理器了。（3）隱藏端口由木馬的服務(wù)端主動連接客戶端所在IP對應(yīng)的電腦的80端口。相信沒有哪個防火墻會攔截這樣的連接（因為它們一般認(rèn)為這是用戶在瀏覽網(wǎng)頁），所以反彈端口型木馬可以穿過防火墻。

^^木馬運行中的隱藏^^89木馬啟動方式

win.inisystem.ini啟動組注冊表捆綁方式啟動偽裝在普通文件中設(shè)置在超級連接中^^木馬啟動方式win.ini^^902.4.6木馬的檢測查看端口檢查注冊表檢查配置文件^^2.4.6木馬的檢測查看端口^^91^^^^92發(fā)現(xiàn)木馬的方法系統(tǒng)的異常情況打開文件，沒有任何反應(yīng)

查看打開的端口檢查注冊表查看進(jìn)程^^發(fā)現(xiàn)木馬的方法系統(tǒng)的異常情況^^93防御

發(fā)現(xiàn)木馬：檢查系統(tǒng)文件、注冊表、端口不要輕易使用來歷不明的軟件不熟悉的E-MAIL不打開常用殺毒軟件并及時升級查在安裝新的軟件之前，請先備份注冊表在安裝完軟件以后，立即用殺毒軟件查殺Windows文件夾和所安裝的軟件的所在文件夾。如果殺毒軟件報告有病毒，這時請將它殺掉，殺毒完成后，重新啟動計算機(jī)^^防御發(fā)現(xiàn)木馬：檢查系統(tǒng)文件、注冊表、端口^^94木馬傳播方式主動與被動：主動種入通過E－mail文件下載瀏覽網(wǎng)頁^^木馬傳播方式主動與被動：^^95^^^^96流行木馬簡介冰河backorificeSubseven網(wǎng)絡(luò)公牛(Netbull)網(wǎng)絡(luò)神偷(Nethief)Netspy(網(wǎng)絡(luò)精靈)^^流行木馬簡介冰河^^97拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)，是黑客常用的攻擊手段之。其實對網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機(jī)死機(jī)，都屬于拒絕服務(wù)攻擊。攻擊者進(jìn)行拒絕服務(wù)攻擊，實際上讓服務(wù)器實現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請求；二是使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。2.5拒絕服務(wù)攻擊(DoS)^^拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止98從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS攻擊對ISP、電信部門、DNS服務(wù)器、Web服務(wù)器、防火墻的影響非常大。DoS攻擊的目的就是拒絕服務(wù)訪問，破壞組織的正常運行，最終使部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。黑客DoS攻擊的目的：（1）使服務(wù)器崩潰，其他人不能訪問（2）黑客為了冒充某個服務(wù)器，將之癱瘓（3）DoS攻擊重啟服務(wù)器，便于安裝的木馬啟動^^從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況99DoS--DenialofServiceDoS攻擊的事件：2000年2月份的Yahoo、亞馬遜、CNN被DoS攻擊2002年10月全世界13臺DNS服務(wù)器同時受到了DDoS（分布式拒絕服務(wù)）攻擊。2003年1月25日的“2003蠕蟲王”病毒2004年8月，共同社報道：日本近期共有上百網(wǎng)站遭到黑客襲擊。^^DoS--DenialofService^^100DoS攻擊分類死亡之ping：“ICMP風(fēng)暴”SYNFlood攻擊：瘋狂發(fā)SYN包，不返回ACK包Land攻擊：特別的SYN包（源IP地址和目的IP地址設(shè)置成被攻擊服務(wù)器的IP）淚珠攻擊（Teardrop）^^DoS攻擊分類死亡之ping：“ICMP風(fēng)暴”^^101拒絕服務(wù)攻擊(DoS)(控制)....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機(jī)SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待應(yīng)答SYN/ACK.........SYN：同步SYN/ACK:同步/確認(rèn)^^拒絕服務(wù)攻擊(DoS)(控制)....SYN/ACKSYN/102分布式拒絕服務(wù)攻擊DDoSDDoS全名是DistributedDenialofservice(分布式拒絕服務(wù)攻擊),很多DoS攻