信息犯罪与计算机取证课件

信息犯罪与计算机取证第三章计算机入侵本章重点内容：计算机入侵、安全扫描的概念、特点、方法，主要攻击手段、攻击方法，针对攻击的相应的防护手段，针对木马、病毒、蠕虫的预防和防护等。本章学习要求：通过本章学习，掌握计算机入侵的特点和方法。掌握不同的攻击手段，掌握木马、病毒、蠕虫的特点、预防和防护；掌握计算机安全扫描的步骤和流程作。了解黑客攻击的最新手段和发展趋势，了解反计算机入侵的最新技术，以及木马、病毒、蠕虫的发展趋势。背景所谓计算机入侵是指黑客利用相关的工具通过对目标系统或目标网络，首先进行一系列的信息搜集、调查，找到目标系统的脆弱点，然后根据其漏洞或存在弱点实施相对应的攻击，待攻击成功后，一般都实施后门安装、木马嵌入等操作，以待下一次直接实施攻击，最后擦除相关的日志记录或审计信息，消除攻击痕迹。3.1入侵类型最常见的计算机入侵攻击类型：拒绝服务（DOS）攻击；电子邮件入侵；即时消息入侵；口令破解入侵；木马入侵；缓冲区溢出入侵；身份认证入侵；SQL注入入侵；Web跨站攻击。3.1.1拒绝服务攻击1．拒绝服务威胁（1）导致像带宽，路由器和系统等一些重要的基础资源的严重浪费。（2）合法的用户不能获得提供的重要服务。（3）客户在具体信息时，或是完全断线，或是网速很慢。（4）顾客、客户、合作伙伴和媒体代表不能访问你的网站时，可能会影响公司的公共形象。（5）由于DOS攻击可能临时的造成大多数服务的瘫痪，它们导致了开发、通信、研究及其他工作的混乱。（6）可以导致数据的丢失，时间以及资源的浪费，此外，可能会导致普遍的使用不便和客户不满。2．拒绝服务的步骤最简单的DOS攻击主要包括以下两步：攻击者→发送恶意\大量的代码→被攻击者被攻击者→不能及时地处理恶意代码→系统崩溃（1）攻击者使用数据报生成软件产生大量的恶意数据，这些数据包接着通过特定的协议组被发送到被攻击者的电脑中。（2）由于被攻击者的网络或电脑不能处理这些恶意数据，电脑会崩溃，中止运行或重新启动。被攻击者出现这种情况，主要是由于TCP/IP协议组中的数据缺乏有效的验证。3．PingofDeath（死亡之ping）Pingofdeath是一种传统的DOS攻击形式。因为它的实施非常简单，因而产生了大面积的破坏。PingofDeath的工作原理是建立在网络的输入验证漏洞基础上的，被发送的数据包的尺寸没有检查。攻击者将产生超过最大上限（65536字节）的数据包，发送给被攻击者。被攻击的机器不知道如何处理这个数据包，从而造成了系统的死机、运行中止或重新启动。4．Teardrop（泪珠攻击）Teardrop攻击是一种至今还危害Internet上数千个系统的DOS攻击。这个攻击是建立在TCP/IP协议栈漏洞，Internet上一些易受攻击的系统受到远程攻击，导致系统的中止、重新启动和死机。5．SYN泛洪SYN泛洪通常是Internet上危险的DOS攻击之一。这种DOS攻击不仅被广泛地用于瘫痪目标网络，而且有时是攻击者成功实施IP地址欺骗的前奏。6．Land攻击Land攻击也是另一种危险的DOS攻击，在Internet上这个攻击有一定的基础。这种类型的DOS攻击利用了存在于某些特定实现的TCP/IP协议的漏洞，响应这些易受攻击的网络不能处理这些特定的数据包。工作原理主要如下：攻击者→来自于目标系统的伪造的SYN包→目标7．Smurf攻击Smurf攻击是利用ICMP协议强迫目标电脑重新启动或死机的DOS攻击。步骤1:客户机→ICMPecho请求→主机步骤2:主机→ICMPecho应答→客户机（如果活跃）8．UDP泛洪当两个UDP服务相互连接（常用的是chargen端口与echo端口的互换），产生了大量的输出数据，这个会导致DOS攻击。9．混合DOS攻击Internet上的许多的系统管理员都使用很多的对策，近来，出现了混合形式的DOS攻击，在这种攻击中，攻击者联合两种或多种类型的攻击，形成了混合DOS攻击。一些混合DOS攻击的例子：（1）Teardrop哄骗DOS攻击（2）重叠land攻击（3）混合的SMURF攻击10．基于应用的特定DOS攻击在Internet上有许多的特定的DOS攻击。通过发送大量的恶意代码可以使大量的应用程序、后台程序和软件死机或运行缓慢。这些基于应用特定的DOS攻击和应用系统中存在的缺陷有千丝万缕的关系。11．分布式拒绝服务攻击由于通常的DOS攻击不足，后来发展为分布式DOS攻击或D-DOS攻击。（1）在一个分布式DOS攻击中，不是直接的攻击目标电脑，而是攻击者首先找到一个有较少安全防护的诱骗网络，攻击者用这种方式选择一个有大量电脑的，安全不健全的诱骗网络（100个系统）。（2）攻击者接着闯入这个安全不健全的诱骗网络，控制所有的系统（在本例中100）。在完成这步之后，攻击者接着在每个系统上安装分布式DOS工具或代理体，作为诱骗网络的一部分。（3）最后一步，攻击者使用诱骗网络的所有的100个系统（他已经完全控制）对真实的目标系统实施分布式DOS攻击。攻击者使用单命令行的工具就能够控制所有100攻击系统。3.1.2电子邮件入侵1．电子邮件威胁（1）几乎没有几家公司使用加密的电子邮件。（2）几乎所有基于ISP或者网络的正规电子邮件系统都依靠外部的未经认证的系统来发送从出发地到目的地的邮件。（3）对攻击者来说，给受害者发送匿名垃圾邮件非常容易。（4）大多数雇员使用主流电子邮件客户端程序来收发邮件，诸如OutlookExpress、MicrosoftOutlook、EudoraPro等等。电子邮件的流行也导致了病毒的大量孳生。（5）另一个电子邮件客户端的常见问题是：当用户在进行身份确认时，其用户名和密码一起以明文的形式送至邮件服务器，这样，攻击者很容易使用sniffer软件窃取密码并进行恶意犯罪。（6）伪造电子邮件已成为普遍的严重问题。。（7）攻击者通常针对人或者计算机两个方面，利用电子邮件可进行社会工程学攻击。他们通过社会工程学攻击等来获取更多信息。（8）大多在线电子邮件供应商对入侵式非法攻击束手无策，诸如DOS攻击、缓存器溢出等等一系列行为。（9）用户最头痛的要属垃圾邮件了。2．电子邮件攻击种类比较常见的攻击如下：（1）骚扰邮件；（2）伪造邮件；（3）垃圾邮件；（4）假冒邮件。3.1.3即时消息入侵1．即时消息入侵原因（1）现今主要即时消息软件对发送的消息内容不进行加密。。（2）多数IM系统中的消息都在不安全的因特网上传送。（3）一些IM系统使用Javascript、Jscript、VBScript等脚本语言，这些新功能提高了用户的聊天质量，但同时也带来了安全隐患。2．即时消息入侵手段（1）许多IM系统难以识别攻击者伪装成他人的诈骗技术。（2）多数IM软件的密码容易被破解。（3）IM系统存在安全隐患，容易受到诸如DOS和缓冲区溢出攻击。（4）由于即时消息软件日益受欢迎，而其安全性问题又不被重视，故成为病毒生成和传播的最佳途径。（5）IM系统为破坏分子大大地简化了社会工程学攻击过程。3.1.4口令破解入侵1．口令猜测口令猜测可能是在互联网上流行的一种最普通的口令破解技术。攻击者通常使用的口令是：◦（1）例如elizabeth0302，爱人的姓名+生日/电话号码。◦（2）例如mqh2405，被攻击者的姓名+生日/电话号码。2．默认口令相当数量的本地和在线应用程序在软件开发期间内，已经被注册上默认口令。禁止使用全部的默认口令是十分必要的。3．字典攻击基于字典的攻击是一种通过不断的试验来命中口令的破解技术，这种口令攻击技术，被攻击者大量的使用，攻击者使用自动化的工具，可以试验字典中所有的单词。这种技术最大的不足是需要消耗系统大量的资源，速度相对较慢。4．暴力口令攻击破解工具会试验所有可能的按键组合（键盘上的按键），一旦与口令正确匹配，工具将口令显示在屏幕上，这种通过不同的排列组合试验来破解被攻击者口令的方法，能够破解所有的口令。但是，由于口令可能的排列组合的规模太大，暴力口令攻击有时会消耗太长的时间。表3-1常用口令破解工具应用程序口令破解工具下载网址Zip文件AdvancedZIPPasswordRecovery即时通信（Messengers）AdvancedInstantMessengerPasswordRecovery登陆口令L0phtcrack文件AdvancedPDFPasswordRecovery微软Office口令OfficeKey所有的Windows口令AdvancedWindowsPasswordRecovery口令InternetExplorerPasswordRecovery文件FileMakerKey口令WebBrute应用程序口令破解工具下载网址Zip文件AdvancedZIPPasswordRecovery即时通信（Messengers）AdvancedInstantMessengerPasswordRecovery登陆口令L0phtcrack文件AdvancedPDFPasswordRecovery微软Office口令OfficeKey所有的Windows口令AdvancedWindowsPasswordRecovery口令InternetExplorerPasswordRecovery文件FileMakerKey口令WebBrute远程控制入侵1．网络游戏远程控制网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。2．网银木马远程控制网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。3．即时通讯软件远程控制（1）发送消息型。（2）盗号型。（3）传播自身型。4．网页点击类远程控制网页点击类木马会恶意模拟用户点击广告等动作，在短时间