黑客常用的系统攻击

《计算机应用基础》项目二黑客常用的系统攻击课堂教学要素授课时数：24学时授课日期:2014年3月5日---2014年3月28授课班级:1206班1207班目的与要求：黑客发展的历史网络威胁网络扫描网络监听常用黑客技术的原理（木马、缓冲区溢出等）黑客攻击的防范教学重点：了解黑客入侵攻击系统的过程；掌握扫描器使用的方法，能够通过扫描器写出系统漏洞的报告。教学难点：ARP欺骗、缓冲区溢出项目二黑客常用的系统攻击方法黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。目录2.2目标系统的探测方法2.3口令破解2.4网络监听2.5ARP欺骗攻击2.1黑客概述42.6木马2.7拒绝服务攻击2.8缓冲区溢出2.1.1黑客发展的历史5•Hacker的由来•黑客、骇客（Cracker）62.1.2黑客发展的历史2.1.3黑客发展的历史攻击复杂度与所需入侵知识关系图2.1.3黑客入侵攻击的一般过程•1.确定攻击的目标。•2.收集被攻击对象的有关信息。•3.利用适当的工具进行扫描。•4.建立模拟环境，进行模拟攻击。•5.实施攻击。•6.清除痕迹。2.2目标系统的探测方法9漏洞源自“vulnerability”（脆弱性）。一般认为，漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。标准化组织CVE（CommonVulnerabilitiesandExposures,即“公共漏洞与暴露”）致力于所有安全漏洞及安全问题的命名标准化，安全产品对漏洞的描述与调用一般都与CVE兼容。漏洞的概念2.2目标系统的探测方法漏洞扫描技术在网络安全行业中扮演的角色（1）扫描软件是入侵者分析将被入侵系统的必备工具（2）扫描软件是系统管理员掌握系统安全状况的必备工具（3）扫描软件是网络安全工程师修复系统漏洞的主要工具（4）扫描软件在网络安全的家族中可以说是扮演着医生的角色1.合法使用：检测自己服务器端口，以便给自己提供更好的服务；2.非法使用：查找服务器的端口，选取最快的攻击端口2.2目标系统的探测方法扫描技术分类•一.端口扫描器•二.漏洞扫描器系统敏感信息数据库脚本……2.2目标系统的探测方法扫描器原理-预备知识2.2目标系统的探测方法预备知识-TCP头2.2目标系统的探测方法预备知识-IP头2.2目标系统的探测方法常用的扫描软件•Nmap（端口扫描器）•X-scan（综合扫描器）•Fluxay•ipscan2.2目标系统的探测方法课堂演练一：端口扫描器Nmap•Nmap简介(NetworkMapper)官方下载及文档地址：•通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的ping侦测下属的主机、欺骗扫描、端口过滤探测、直接的rpc扫描、分布扫描、灵活的目标选择以及端口的描述Nmap支持的四种最基本的扫描方式：2.2目标系统的探测方法案例（1）Ping扫描（-sP参数）。（2）TCPconnect()端口扫描（-sT参数）。（3）TCP同步（SYN）端口扫描（-sS参数）。（4）UDP端口扫描（-sU参数）。其他扫描方式：（1）FIN扫描（-sF）。（2）圣诞树扫描（-sX）。（3）空扫描（-sN）。2.2目标系统的探测方法TCPconnect()扫描•1）SYN数据包被发往目标主机的扫描端口。•2）用户等待目标主机发送回来的包类型：如果收到的数据包是SYN／ACK类型，说明目标端口正在监听如果收到的数据包是RST／ACK类型，说明目标端口不处于监听状态，连接被复位。•3）如果收到SYN／ACK数据包则通过发送ACK信号完成三路握手。•4）当整个连接过程完成后，结束连接。2.2目标系统的探测方法漏洞扫描器工作原理•漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：–在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；–通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。2.2目标系统的探测方法课堂演练二：综合扫描器X-scan•本部分内容安排学生自己完成•扫描内容包括什么？•扫描参数的设置•扫描报告的分析2.2目标系统的探测方法•（1）CGIScanner•（2）AspScanner•（3）从各个主要端口取得服务信息的Scanner•（4）获取操作系统敏感信息的Scanner•（5）数据库Scanner•（6）远程控制系统扫描器专用扫描器的介绍2.2目标系统的探测方法CGI--CommonGatewayterface在物理上，CGI是一段程序，它运行在Server上，提供同客户段Html页面的接口。例子：现在的个人主页上大部分都有一个留言本。留言本的工作是这样的：先由用户在客户段输入一些信息，如名字之类的东西。接着用户按一下“留言”（到目前为止工作都在客户端），浏览器把这些信息传送到服务器的CGI目录下特定的cgi程序中，于是cgi程序在服务器上按照预定的方法进行处理。在本例中就是把用户提交的信息存入指定的文件中。然后cgi程序给客户端发送一个信息，表示请求的任务已经结束。此时用户在浏览器里将看到“留言结束”的字样。整个过程结束。2.3口令攻击•口令破解概述•口令破解方法•口令破解实验（教材p35）2.3.1口令攻击实验•通过猜测或获取口令文件等方式获得系统认证口令•从而进入系统•危险口令类型：–用户名–用户名变形–生日–常用英文单词–5位以下长度的口令【课堂实战】口令破解smbcrack2入侵系统psexec2.4网络监听Sniffer原理:•Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。•采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。2.4.1网络监听概述网卡工作原理•网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。2.4.1网络监听概述网卡的工作模式•普通方式：•混杂模式（promiscuous）：够接收到一切通过它的数据2.4.1网络监听概述Username:herma009crPassword:hiHKK234cr以太网（HUB）FTPLoginMail普通用户A服务器C嗅探者B网络监听原理Username:herma009crPassword:hiHKK234cr2.4.1网络监听概述网络监听原理一个sniffer需要作的：1.把网卡置于混杂模式。2.捕获数据包。3.分析数据包2.4.1网络监听概述HUB工作原理2.4.1网络监听概述HUB工作原理2.4.1网络监听概述交换环境下的SNIFF2.4.1网络监听概述交换环境下的SNIFF2.4.1Sniffer演示实验•Wireshark的使用2.4.1Sniffer演示实验课堂演练•【例1】嗅探FTP过程•【例2】嗅探HTTP登录邮箱的过程•【例3】嗅探POP邮箱密码的过程【问题】常见的邮箱中，哪些是加密的，哪些是不加密的？•扩展例子：嗅探网络信使（netsend）的过程2.4.1Sniffer演示实验如何防止SNIFF•进行合理的网络分段•用SSH加密•Sniffer往往是入侵系统后使用的，用来收集信息，因此防止系统被突破。•防止内部攻击。•AntiSniff工具用于检测局域网中是否有机器处于混杂模式（不是免费的）2.5ARP欺骗攻击•ARP欺骗的工作原理•交换环境下的ARP欺骗攻击及其嗅探演示实验（见教材P47）2.5ARP欺骗攻击被欺骗计算机10.3.40.5黑客计算机10.3.40.59网关10.3.40.254ARP欺骗前数据流向ARP欺骗后数据流向实验拓扑2.6木马•木马是一种基于远程控制的黑客工具•隐蔽性•潜伏性•危害性•非授权性2.6木马木马与病毒、远程控制的区别•病毒程序是以自发性的败坏为目的•木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。•隐蔽、非授权性2.6.1木马的工作原理•实际就是一个C/S模式的程序（里应外合）操作系统被植入木马的PC（server程序）TCP/IP协议端口被植入木马的PC（client程序）操作系统TCP/IP协议端口控制端端口处于监听状态2.6.2木马实施攻击的步骤•1.配置木马•木马伪装：•信息反馈：•2.传播木马•3.启动木马•4.建立连接•5.远程控制2.6.3木马伪装方法1.木马文件的隐藏与伪装•（1）文件的位置•（2）文件的属性•（3）捆绑到其他文件上•（4）文件的名字：•（5）文件的的扩展名•（6）文件的图标2.6.4发现木马的方法•系统的异常情况•打开文件，没有任何反应•查看打开的端口•检查注册表•查看进程•1.木马运行中的隐藏与伪装•（1）在任务栏里隐藏•（2）在任务管理器里隐藏•（3）隐藏端口2.6.5木马的隐藏与伪装方式2.6.6木马启动方式•win.ini•system.ini•启动组•注册表•捆绑方式启动:•伪装在普通文件中•设置在超级连接中2.6.7防御•发现木马：检查系统文件、注册表、端口•不要轻易使用来历不明的软件•不熟悉的E-MAIL不打开•常用杀毒软件并及时升级•查在安装新的软件之前，请先备份注册表在安装完软件以后，立即用杀毒软件查杀Windows文件夹和所安装的软件的所在文件夹。如果杀毒软件报告有病毒，这时请将它杀掉，杀毒完成后，重新启动计算机2.6.8木马传播方式主动与被动：•主动种入•通过E－mail•文件下载•浏览网页2.6.9流行木马简介•冰河•backorifice•Subseven•网络公牛(Netbull)•网络神偷(Nethief)•广外女生•Netspy(网络精灵)2.7拒绝服务攻击•DoS--DenialofService•DoS攻击的事件：2000年2月份的Yahoo、亚马逊、CNN被DoS攻击2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。2003年1月25日的“2003蠕虫王”病毒2004年8月，共同社报道：日本近期共有上百网站遭到黑客袭击。攻击者目标主机SYNSYN/ACKSYN/ACK等待应答SYN：同步SYN/ACK:同步/确认(DoS):2.7拒绝服务攻击2.7拒绝服务攻击拒绝服务攻击(DoS)(控制)....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACK....等待应答SYN/ACK.........2.7拒绝服务攻击以windows为例SYN攻击花费时间（秒）累计花费时间（秒）第一次，失败33尝试第1次，失败69尝试第2次，失败1221尝试第3次，失败2445尝试第4次，失败4893尝试第5次，失败961892.7拒绝服务攻击•死亡之ping•SYNFlood•Land攻击•泪珠（Teardrop）攻击行行色色的DOS攻击1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者各种客户主机目标系统攻击准备：代理程序2.7拒绝服务攻击2)攻击者进入其已经发现的最弱的客户主机之内(“肉机”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。DDoS攻击时序(分布式拒绝服务)2.7拒绝服务攻击3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。攻击者目标系统发起攻击：攻击的代理程