《网络安全与实训教程电子教案5》

第5章黑客攻击及防范5.1黑客概述5.2个人计算机的网络安全5.3黑客常用工具和防御5.4入侵检测系统5.1黑客概述5.1.1黑客文化简史5.1.2黑客攻击的目的和3个阶段5.1.1黑客文化简史步入21世纪以后，黑客群体又有了新的变化和新的特征，主要表现在以下几个方面。1．黑客群体扩大化2．黑客的组织化和集团化3．黑客行为的商业化4．黑客行为的政治化5.1.1黑客文化简史虽然黑客团体随着时代的变化发生日新月异的变化，但有一点需要特别注明的是，在现代黑客团体中，有两大类截然不同的阵营：一类是本节所讨论的黑客，另一类就是从事破坏活动的骇客（Cracker），有时也将其称为破译者或入侵者。两者从定义上的根本区别在于：是否给他人的系统和数据带来破坏。5.1.2黑客攻击的目的和3个阶段黑客的攻击目标也会多种多样，但大致上可以归纳总结如下。1．窃取信息2．获取口令3．控制中间站点4．获得超级用户权限5.1.2黑客攻击的目的和3个阶段黑客攻击可以分为以下3个阶段。（1）确定目标（2）搜集与攻击目标相关的信息，并找出系统的安全漏洞（3）实施攻击5.2个人计算机的网络安5.2.1口令安全5.2.2特洛伊木马5.2.3Windows2000的安全5.2.4QQ的安全5.2.5电子邮件的安全5.2.1口令安全（1）第一种破解口令的方法是利用口令破解器。图5.1口令破解器候选口令产生器字典口令加密加密算法密文比较器待破解的口令密文输出结果5.2.1口令安全（2）另一种产生候选口令的方法是使用枚举法。5.2.1口令安全容易选择而且又缺乏安全性的口令包括以下几种。（1）使用与用户名相同的口令，或使用用户名的变换形式作口令。（2）使用生日作为口令。（3）使用常用的英文单词作为口令。（4）使用较短的字符串作为口令，比如选择8位以下的字符串作口令。5.2.1口令安全要选择安全有效的口令，应该遵循以下规则。（1）选择长的口令，口令越长，黑客猜中的可能性就越低。（2）最好的口令包括大小写英文字母和数字的组合。（3）定期更换口令。5.2.1口令安全在使用口令的过程中要注意以下事项。（1）不要将口令写下来，或存放于存储器中。（2）不要在不同系统上使用同一个口令。（3）不要让其他人看见自己输入口令。（4）如果口令在网上传输，则应对口令加密或在系统中安装相关软件或硬件来使用一次性口令。5.2.2特洛伊木马特洛伊木马是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。木马在网络上的传播和攻击过程大致可分为以下6步。5.2.2特洛伊木马1．配置木马在这个阶段的主要目的是实现木马的伪装和信息反馈两个功能。木马的伪装形式包括以下几种。①修改图标。②捆绑文件。5.2.2特洛伊木马③出错提示。④定制端口。⑤自我销毁。⑥木马更名。5.2.2特洛伊木马2．传播木马3．运行木马4．信息泄露5．建立连接6．远程控制5.2.2特洛伊木马控制端能享有的控制权限有以下几种。①窃取密码。②文件操作。③修改注册表。④系统操作。5.2.3Windows2000的安全Windows2000要求每个用户提供惟一的用户名和口令来登录到计算机，这种强制性登录过程是不能关闭的。5.2.3Windows2000的安全这种强制性登录和使用Ctrl+Alt+Delete启动登录过程的好处包括以下几点。（1）确定用户身份是否合法，从而确定用户对系统资源的访问权限。（2）在强制性登录期间，挂起对用户模式程序的访问，可以防止创建或偷窃用户账号和口令。（3）强制登录过程允许不同用户具有单独的配置，包括桌面和网络连接等。5.2.3Windows2000的安全在Windows2000中有两个默认用户，一个是Guest，另一个是Administrator。5.2.3Windows2000的安全图5.2在本地安全设置中设置安全选项5.2.3Windows2000的安全图5.3在本地安全设置中设置密码策略5.2.3Windows2000的安全图5.4没有使用NTFS的安全性网络用户访问共享目录共享许可证服务器文件和目录本地用户访问硬盘5.2.3Windows2000的安全图5.5使用了NTFS的安全性网络用户访问共享目录共享许可证服务器文件和目录本地用户访问硬盘NTFS许可权5.2.3Windows2000的安全图5.6文件夹的权限分配5.2.3Windows2000的安全图5.7文件的权限分配5.2.3Windows2000的安全Windows2000中所提供的各权限的具体含义如表5.1所示。表5.1Windows2000的安全权限NTFS权限文件夹文件读（R）显示文件夹的名称、属性、所有者和许可权显示文件数据、属性、所有者和许可权写（W）添加文件和文件夹、改变文件夹的属性、显示所有者和许可权显示所有者和许可权，修改文件属性以及创建或修改文件数据执行（X）显示文件夹属性，改变文件夹中的子文件夹，显示所有者和许可显示文件属性，所有者和许可权。如果是个可执行文件的话就可以运行。删除（D）删除文件夹删除文件修改（M）改变文件夹的许可权改变文件的许可权成为所有者（O）成为文件夹的所有者成为文件的所有者拒绝访问无任何权限无任何权限列出文件夹目录有RX的权限没有这个应用读取RR读取及运行RXRX写入WW修改RWXDRWXD完全控制所有权限所有权限5.2.3Windows2000的安全NTFS对远程用户的文件和文件夹的访问控制是通过共享提供的。可供选择的共享权限与具体的含义如表5.2所示。设计Windows2000的访问权限时应将本地和远程的权限进行组合。5.2.3Windows2000的安全表5.2远程访问许可权限权限允许完全控制改变文件许可权限；成为文件的所有者；因可改变权限而执行的所有操作修改创建文件夹添加文件；改变、添加数据至某个文件；改变文件属性；删除文件夹和文件；通过读许可来完成所允许的任务读取和执行显示文件夹和文件的名称；显示文件数据和属性；运行程序文件；改变文件夹内的文件夹拒绝访问仅创建一个共享文件夹的链接。不能访问文件夹，不显示内容。5.2.4QQ的安全QQ采用的是C/S模型，使用的是UDP协议。常见的QQ攻击和防御方法。1．在QQ中显示对方的IP地址2．QQ密码破解3．QQ消息炸弹5.2.5电子邮件的安全对于电子邮件的攻击主要有电子邮箱的密码破解与电子邮件炸弹两种。5.3黑客常用工具和防御5.3.1探测与扫描5.3.2Sniffer5.3.3拒绝服务5.3.1探测与扫描目标探测是通过自动或人工查询方法，获得与目标网络相关的物理和逻辑的参数，构建一个完整的目标剖析档案。目标探测是成功地防范黑客攻击行为的重要保证，因此目标探测的可靠性、准确性和完整性显得尤为重要，它需要丰富的技术和经验。5.3.1探测与扫描目标探测所包括的内容基本上有以下两类。（1）外网信息，包括域名、管理员信息、域名注册机构、DNS主机、网络地址范围、网络位置、网络地址分配机构信息、系统提供的各种服务和网络安全配置等。（2）内网信息，包括内部网络协议、拓朴结构、系统体系结构和安全配置等。5.3.1探测与扫描目标探测主要利用以下4种检测技术。（1）基于应用的检测技术。（2）基于主机的检测技术。（3）基于目标的漏洞检测技术。（4）基于网络的检测技术。5.3.1探测与扫描系统存在薄弱环节主要有以下3个方面的原因。（1）软件自身安全性差。（2）安全策略不当。（3）操作人员缺乏安全意识。5.3.1探测与扫描目标探测软件最初只有一些专门为UNIX系统编写的、具有简单功能的小程序，到现在已经出现了多种运行在各种操作系统平台上的、具有复杂功能的程序，而且还在技术上快速发展着。5.3.1探测与扫描目标探测软件具有以下发展趋势。（1）使用插件或者叫做功能模块技术。（2）使用专用脚本语言。（3）探测功能的综合化和系统化发展。5.3.1探测与扫描进行目标探测的过程。（1）确定目标范围（2）分析目标网络信息（3）目标网络路由途径5.3.1探测与扫描图5.8通过对APNICWhoisDatabase查询可获得该IP地址的详细信息5.3.1探测与扫描图5.9利用VisualRoute显示目标网络详细的信息5.3.2SnifferISS对Sniffer的定义是：Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。5.3.2Sniffer1．MicrosoftNetworkMonitor图5.10用网络监视器查看到感染了震荡波病毒的系统疯狂连接目标主机的445端口5.3.2SnifferSnifferPro的主要功能如下。（1）为网络协议分析捕获网络数据包（2）分析论断网络故障（3）实时监控网络的活动情况5.3.2Sniffer（4）收集单个工作站、会话，或者网络中的任何一部分的详细的网络利用情况和错误统计（5）保存网络情况的历史记录和错误信息，建立基线（6）当检测到网络故障的时候，生成直观的实时警报并通知网络管理员（7）模拟网络数据来探测网络，衡量响应时间，路由跳数计数并排错5.3.2SnifferSnifferPro的工作界面如图5.11所示。图5.11SnifferPro的工作界面5.3.2Sniffer网络监听的检测和防范。1．对可能存在的网络监听的检测2．对网络监听的防范措施（1）从逻辑或物理上对网络分段（2）以交换式集线器代替共享式集线器（3）使用加密技术（4）划分VLAN5.3.3拒绝服务1．拒绝服务的基本概念拒绝服务（DenialofService，DoS）。造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。5.3.3拒绝服务分布式拒绝服务（DistributedDenialofService，DDoS），它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点。DDoS攻击分为3层：攻击者、主控端和代理端，3者在攻击中扮演着不同的角色。5.3.3拒绝服务2．DDoS攻击使用的常用工具（1）Trinoo（2）TFN（3）TFN2K（4）Stacheldraht5.3.3拒绝服务3．DDoS的监测检测DDoS攻击的主要方法有以下几种。（1）根据异常情况分析（2）使用DDoS检测工具5.3.3拒绝服务4．DDoS攻击的防御策略（1）及早发现系统存在的攻击漏洞，及时安装系统补丁程序。（2）在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。5.3.3拒绝服务（3）利用网络安全设备（例如，防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉所有可能的伪造数据包。（4）比较好的防御措施就是和你的网络服务提供商协调工作，让他们帮助你实现路由的访问控制和对带宽总量的限制。5.3.3拒绝服务（5）当你发现自己正在遭受DDoS攻击时，应当启动你的应付策略，尽可能快地追踪攻击包，并且要及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡已知攻击节点的流量。5.3.3拒绝服务（6）当你是潜在的DDoS攻击受害者，发现你的计算机被攻击者用作主控端和代理端时，不能因为你的系统暂时没有受到损害而掉以轻心，攻击者已发现你系统的漏洞，这对于你的系统是一个很大的威胁。所以一旦发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。5.4入侵检测系统5.4.1入侵检测系统概述5.4.2利用系统日志做入侵检测5.4.3常用的入侵检测工具介绍5.4.4入侵检测系统的发展趋势5.4.1入侵检测系统概述入侵检测（IntrusionDetection），是对入侵行为的检测。它通过收集和分析计算机网络或计算机