黑客攻擊手段和方式

1、2021/4/11網絡安全網絡安全2021/4/12課程的目的 給普通用戶提供有關安全方面的綜合信息 給系統(tǒng)管理人員提供參考 提高大家對安全知識的必要性的認識2021/4/13主要內容 網絡安全的基本概念 常見攻擊手段和工具 網絡安全的任務 保障網絡安全采取的措施2021/4/14網絡安全基礎知識 什么是網絡安全？ 網絡安全是一門涉及計算機科學、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科，是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護、不受偶然的或者惡意的原因而遭到破壞、更改、泄漏，系統(tǒng)連續(xù)可靠正常的運行，網絡服務不中斷。從本質上講，網絡安全就是網絡上的信

2、息安全。2021/4/15網絡安全基礎知識 為什么網絡安全變得非常重要 進行網絡攻擊變得越來越簡單 越來越多的個人或公司連入Internet 并不是所有的用戶都具有基本的安全知識2021/4/16國外網絡安全案例 94年末，俄羅斯黑客弗拉基米爾利文與其伙伴向美國CITYBANK銀行發(fā)動攻擊，以電子轉賬方式，竊取了1100萬美元。 96年初，據美國舊金山的計算機安全協(xié)會與聯(lián)邦調查局的一次聯(lián)合調查統(tǒng)計，有53%的企業(yè)受到過計算機病毒的侵害，42%的企業(yè)的計算機系統(tǒng)在過去的一年里被非法使用過。 96年，美國司法部、美國中央情報站、美國空軍的網絡相繼受到攻擊。 2000年由于電腦病毒以及黑客的攻擊，至

3、少給美國的企業(yè)帶來了2660億美元左右的損失。2021/4/17國內網絡安全案例 96年2月，剛開通不久的Chinanet受到攻擊，且攻擊得逞. 96年秋，北京某ISP的服務器受到其用戶的攻擊，致使服務中斷了數小時。 98年春節(jié)，華中理工大學的官方網站受到攻擊，主頁被修改達一個月之久。 2001年有中美撞擊事件引發(fā)的中美黑客大戰(zhàn)，中方據說攻擊美國網站超過1000個。美國黑客組織PoisonBOx襲擊了至少一百家中國網站。2021/4/18常見不安全因素物理因素物理因素網絡因素網絡因素系統(tǒng)因素系統(tǒng)因素應用因素應用因素管理因素管理因素2021/4/19常見攻擊手段和工具 網絡掃描 口令入侵 特洛伊

4、木馬 信息竊取 隱藏身份 破壞裝置 IP電子欺騙 平臺安全性2021/4/110掃描器 什么是掃描器 掃描器是自動監(jiān)測遠程或本地主機安全性弱點的程序。 掃描器如何工作 真正的掃描器是TCP端口掃描器，這種程序選通TCP/IP端口和服務，并記錄目標的回答。通過這種方法，可以搜集到關于目標主機的有用信息。2021/4/111掃描器 用于檢查系統(tǒng)中可能存在的缺陷和服務用于檢查系統(tǒng)中可能存在的缺陷和服務及及設置設置管理方面的弱點?？刹槌龉芾矸矫娴娜觞c?？刹槌鯫SOS類型、類型、開放的端口，可搜集本網段的開放的端口，可搜集本網段的IPIP地址，再地址，再對這些地址進行掃描來報告出對這些地址進行掃描來報告

5、出FTPDFTPD脆弱性、脆弱性、NFSNFS脆弱性、脆弱性、sendmailsendmail脆弱性、脆弱性、rexdrexd如何如何等。等。2021/4/112掃描器 為什么掃描器對Internet安全性很重要 掃描器對Internet安全性之所以很重要，是因為它們能發(fā)現網絡的弱點。至于這一信息是否被“黑客”或入侵者使用并不重要。如果系統(tǒng)管理人員使用了掃描器，它將直接有助于加強系統(tǒng)安全性；如果它被“入侵者”使用，也同樣有助于加強系統(tǒng)安全性。這是因為一旦某個漏洞被“入侵者”發(fā)現，那么人們最終是會發(fā)現的。如果一個系統(tǒng)管理人員不能使其網絡足夠安全，那么他的工作失誤就會以網絡安全漏洞的形式暴露出來。

6、2021/4/113掃描器 早期的掃描器-war dialer Toneloc 掃描器的屬性 尋找一臺主機或一個網絡 一旦發(fā)現一臺機器，可以找出機器正在運行的服務 測試具有有漏洞的那些服務2021/4/114掃描器 掃描器 Strobe - 能夠快速的識別指定機器上正在運行什么服務。 SATAN - 運行于Unix之上，掃描遠程主機已知的漏洞。 Network Toolbox - windows上的端口掃描器 ISS公司（）的Internet Security Scanner等。2021/4/115口令入侵 口令不會被解開，多數口令加密過程都是單向、不可逆的。 但是可以使用仿真工具，利用與原口

7、令程序相同的方法，通過對比分析，用不同的加密口令去取匹配原口令。2021/4/116口令入侵 采用“蠻力”的方法來分析指定用戶的口令。口令表加密系統(tǒng)比較成功不同找到找到NoImage字典字典2021/4/117口令設置的特別方法口令設置的特別方法 口令中加空格口令中加空格 不要用字頭加號碼的方法不要用字頭加號碼的方法 基于語句的口令：基于語句的口令：我是華工學人我是華工學人Ws Hg Xr，wH hO xE 基于鍵盤的口令：基于鍵盤的口令：6413714Yrq Euqr，Hfa Djaf口令入侵2021/4/118口令入侵 口令破解工具 John the Ripper 運行于DOS/Windo

8、wn95平臺 LC3 Windows2000/NT 口令破解 http:/ 一種未經授權的程序，或一種未經授權的程序，或在合法程序中有一段未經授權在合法程序中有一段未經授權的程序代碼，或在合法程序中的程序代碼，或在合法程序中包含有一段用戶不了解的程序包含有一段用戶不了解的程序功能功能。上述程序對用戶來說具上述程序對用戶來說具有惡意的行為有惡意的行為。 什么是特洛伊木馬程序？2021/4/120UNIX的特洛伊木馬對任意用戶進行對任意用戶進行FINGER請求請求對對FANG用戶進行用戶進行FINGER請求請求LOGOUT前釋放權限前釋放權限對一般用戶正常響對一般用戶正常響應應，保持原功能保持原功

9、能識別是用戶識別是用戶FANG，將之賦予將之賦予ROOT權限權限擁有ROOT權限LOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTFANG在退出前注銷在退出前注銷ROOT權限，以免被系統(tǒng)人員查出權限，以免被系統(tǒng)人員查出取消取消ROOT權限權限 對運行程序進行信息對運行程序進行信息簽名以識別其未被篡改。簽名以識別其未被篡改。 利用利用TA

10、MU之類的安之類的安全工具程序包來預防。全工具程序包來預防。2021/4/121特洛伊木馬 特洛伊程序的由來 特洛伊程序是由編程人員創(chuàng)造的。它的作者都有著自己的意圖。這種意圖可以是任意的。但是基于在Internet的安全的前題，一個特洛伊程序將要做的是下列兩件事中的一件（或兩者兼有）： 提供一些功能，這些功能可以泄露一些系統(tǒng)的私有信息給程序的作者或者控制該系統(tǒng)。 隱藏了一些功能，這些功能能夠將系統(tǒng)的私有信息泄露給程序的作者，或者能夠控制該系統(tǒng)。2021/4/122特洛伊木馬 特洛伊程序代表哪一級別的危險？ 特洛伊程序代表了一種很高級別的危險，主要是因為我們已經提到的幾中原因： 特洛伊程序很難以

11、被發(fā)現 在許多情況下，特洛伊程序是在二進制代碼中發(fā)現的，它們大多數以無法閱讀的形式存在 特洛伊程序可作用于許多機器中2021/4/123特洛伊木馬 用netstat對系統(tǒng)的守護進程端口號進行掃描，以檢測是否存在未知的守護進程。 利用ISS之類的掃描器進行檢測。2021/4/124特洛伊木馬 Back Orifice 工作于windows95/98，client/server結構，使被安裝計算機能夠從遠程控制 BoDetect v3.5 Back Orifice 2000 (All variations!) SubSeven (16 different variations) PrettyPar

12、k Internet Worm Hack Attack Back Orifice (6 different variations) Netbus (7 variations) 2021/4/125對特洛伊木馬程序的防范 利用利用TAMUTAMU之類的安全工之類的安全工具程序包來預防具程序包來預防所用的網絡相對封閉，輕易不所用的網絡相對封閉，輕易不 與外界聯(lián)系與外界聯(lián)系 檢查自己的文件，采用數字簽檢查自己的文件，采用數字簽 名技術名技術防住第一次進入是至關重要的 2021/4/126信息竊取搭線竊聽捕包收音機+MODEM建立屏蔽措施，防止硬件竊聽數據加密，防止破譯特定軟件可查獲竊聽者特定軟件可查

13、獲竊聽者2021/4/127信息竊取 sniffer既可以是硬件，也可以是軟件，它用來接收在網絡上傳輸的信息。 sniffer成為一種很大的危險，因為： 它們可以截獲口令 它們可以截獲秘密的或專有的信息 它們可以被用來攻擊相鄰的網絡2021/4/128信息竊取 Ethereal 最好的freeware sniffer http:/ NetXray 網絡協(xié)議分析工具 Analyzer: a public domain protocol analyzer http:/netgroup-serv.polito.it/analyzer/ http:/ 數據加密分為私鑰及公鑰密碼體數據加密分為私鑰及公鑰

14、密碼體制兩種，其中制兩種，其中私鑰密碼體制私鑰密碼體制用于存儲用于存儲和傳輸安全信息（如口令、密鑰、權和傳輸安全信息（如口令、密鑰、權限表和認證結果等）和文件內容（如限表和認證結果等）和文件內容（如電子郵件、數據傳輸、圖形聲音等）電子郵件、數據傳輸、圖形聲音等）的加密解密等。的加密解密等。公鑰密碼體制公鑰密碼體制用于進用于進行密鑰分配、身份認證等。行密鑰分配、身份認證等。 安全的加密方法是指對安全的加密方法是指對手找不到更好的攻擊方法，手找不到更好的攻擊方法，只能通過窮舉密鑰的手段進只能通過窮舉密鑰的手段進行解密，即解密的難度與密行解密，即解密的難度與密鑰空間成正比。鑰空間成正比。2021/4

15、/130隱藏身份 在設計Internet時，設計者假定所有的用戶都希望能被別人發(fā)現，覺得沒有人有理由把自己隱藏起來；同時研究人員能夠定位到每一個人的要求也是合理的。因此制造了有許多能夠提供方便的查詢方式的工具。2021/4/131隱藏身份 常見的Unix查詢服務 finger .plan whois /etc/passwd 危險的 ypcat2021/4/132隱藏身份 關于cookie Cookie現在主要用來存放當用戶瀏覽主頁是的一些信息。 “這個簡單的機制提供了一個強有力的工具，它使得一種新的基于Web環(huán)境的應用程序可以被開發(fā)出。網絡購物應用程序現在可以存儲當前選項的信息。對于免費的服務

16、，它可以送回注冊信息，從而客戶在重新連接使不比輸入userid，節(jié)點可以存儲每個用戶喜愛的懸想，而且使得每次連接到這個節(jié)點時，客戶端都支持這些選項?！?021/4/133隱藏身份 Cookie并不是無害的！ D.Krisol和L.Montulli在RFC2109中這樣解釋的：“原始的服務器可以設置一套cookie頭來跟蹤用戶在服務器上走過的路徑。用戶可以反對這種行為，因為這種積累信息的行為具有侵略性，即是他們的身份是不明顯的（身份可以通過發(fā)送一個填有身份信息的表格而明確起來）?！?021/4/134隱藏身份 用cookie做用戶權限控制是不安全的！ 一些Java腳本程序（或Perl腳本程序）被

17、設計來得到你的IP地址，這種類型的代碼也可以用來得到你用的瀏覽器類型、你的操作系統(tǒng)等等。2021/4/135隱藏身份 whois服務 Whois服務包含了所有Internet節(jié)點的登錄信息。 Whois主要位于. 登錄數據有每個Internet節(jié)點上的詳細信息，包括域名服務器、技術聯(lián)系、電話號碼以及地址。2021/4/136破壞裝置 破壞裝置 破壞裝置即可以是一種軟件，也可以是一種技術。其目的是達到下列目的： 使別人感到煩惱 破壞數據 這種裝置通常是底層的工具和技術，但是隨著GUI的廣泛應用，這種裝置越來越容易得到和便于使用。2021/4/137破壞裝置 最典型的四種裝置 邏輯炸彈 網絡炸彈

18、Denial of Service工具 病毒2021/4/138 邏輯炸彈 邏輯炸彈是程序邏輯炸彈是程序中的一部分，滿足一中的一部分，滿足一定條件時激活某種特定條件時激活某種特定的程序，并產生系定的程序，并產生系統(tǒng)自毀，并附帶破壞。統(tǒng)自毀，并附帶破壞。2021/4/139邏輯炸彈潛伏代碼潛伏代碼滿足條滿足條件否？件否？監(jiān)視監(jiān)視滿足而滿足而爆炸爆炸滿足而滿足而爆炸爆炸伊拉克的打印機伊拉克的打印機香港的銀行系統(tǒng)香港的銀行系統(tǒng)上海的控制系統(tǒng)上海的控制系統(tǒng)KV300 .2021/4/140網絡炸彈 以利用計算機協(xié)議處理的漏洞來攻擊網上計算機使之死機為目的的網絡程序。2021/4/141攻擊IP協(xié)議的網

19、絡炸彈IP協(xié)議處理死機假長度攻擊更新IP處理用Telnet向80口發(fā)也可摧毀Windows NT向139端口發(fā)0字節(jié)也可摧毀Windows95/NT必須對惡意攻擊的情況作假設必須對惡意攻擊的情況作假設2021/4/142郵件炸彈服務阻塞攻擊MAIL服務處理停止服務大量的Mail請求阻礙服務器.大量的Mail請求阻礙服務器返回類似MAIL信息。返回相應的Mail信息返回相應的返回相應的Mail信息信息2021/4/143拒絕服務攻擊 Denial of Service工具 Ping of Death 這是一個非常簡單的技術，通過發(fā)送異常的、大的用來進行ping操作的包，當目標收到這些包的時候，就

20、會“死掉”。在這種狀態(tài)下，機器只能重新啟動。早期的WindowsNT 3.51就受這種攻擊影響。 Syn Flooder 它采用的也是一種非常簡單的flooding技術，它通過向某個服務不斷發(fā)送請求，但是卻不真正完成它，來耗盡服務器的端口資源。從而讓服務器陷入癱瘓。2021/4/144拒絕服務攻擊 DNSkiller 用來殺掉WindowsNT 4.0 DNS服務的工具。 目前Linux等Unix平臺，已經可以防止單純的DoS攻擊。很多路由器和防火墻廠家也在路由器加入了這個功能。2021/4/145病毒 病毒 隨著Internet的出現，病毒比以往具有更大的危害性。Internet大大的加速了

21、病毒的傳播速度。 一個計算機病毒是一個程序，有時是破壞性的（但并不總是這樣）。它被設計為可以在計算機之間傳播，感染它所經過的每一個地方。“感染”的過程通常是病毒把自己附著于其他文件之中。2021/4/146病毒 這和特羅伊木馬有明顯不同。特羅伊木馬是一個靜態(tài)的程序，它存在于另外一個無害的程序之中。特羅伊木馬不能從一臺機器傳播到另外一臺機器，除非那個包含著特羅伊馬程序的程序被傳播。這些代碼執(zhí)行未經授權的功能，或者提供一個后門。后門指的是一種隱蔽的方法，通過它攻擊者可以進入那臺機器，并獲得控制權利。2021/4/147病毒 病毒是自我復制的。病毒的自我復制是通過把自己附著于某一類文件之中來進行的。

22、 編制病毒也變得越來越簡單！ 有許多可以使用的病毒制造工具 Virus Creation Laboratories Virus Factory Virus Creation 2000 Virus Construction Set The Windows Virus Engine2021/4/148病毒 目前在Unix上的病毒較少，Unix的結構決定了它不適合病毒的傳播。 病毒工具 Norton http:/ 等 目前也沒有根治病毒的有效方法，即使在采用了防病毒軟件之后，也一樣要經常進行備份。2021/4/149IP電子欺騙 IP電子欺騙就是偽造他人的源IP地址。其實質就是讓一臺機器扮演另一臺機

23、器。 常見的攻擊過程 讓被替代的機器A休眠 發(fā)現目標機器B的序列號規(guī)律 冒充機器A向機器B發(fā)出請求，算出機器應該發(fā)來什么序列號，給出機器B想要的回應。2021/4/150IP電子欺騙 這樣就可以利用機器B對機器A的信任關系進行攻擊。 IP電子欺騙并不容易： 此技術只適用于少數平臺 這項技術復雜難懂，甚至對接密高手也是如此。 用戶可以很容易防范IP欺騙攻擊2021/4/151IP電子欺騙 怎樣防止IP欺騙的攻擊 在路由器上通過配置你的網絡系統(tǒng)參數，拒絕網絡中聲明來自本地的數據包。 其它形式的電子欺騙 DNS欺騙2021/4/152平臺安全性 漏洞 漏洞是指任意的允許非法用戶未經授權獲得訪問許可或提高其訪問層次的硬件或軟件特征。 沒有一個系統(tǒng)是真正安全的，只能做到相對的安全。2021/4/153平臺安全性 存在不同類型的漏洞： 允許拒絕服務的漏洞 允許有權限的本地用戶未經授權提高其權限的漏洞 允許外來團體（在遠程主機上）為經受權訪問網絡2021/4/154平臺安全性 我們可以按照嚴重程度進行分級： C級 允許惡意侵入者訪問可能會破壞整個系統(tǒng)的漏洞 常見缺省的CGI腳本 B級 允許本地用戶提高訪問權限，可能允許其獲得系統(tǒng)控制的漏洞 rsh, 暴露的/etc/passwd文件 A級 允許任何用戶中斷、降低或妨礙系統(tǒng)操作的漏洞 DoS2021/4/155平