42第八章 黑客攻击与防范

第八章黑客攻击与防范2020年2月15日星期六学习目的了解黑客的分类及攻击的动机。了解黑客入侵攻击的一般过程。了解黑客常用的入侵途径。了解黑客攻击的常用手段，掌握各类扫描器的使用。了解网络监听的原理，掌握防御网络监听的方法。了解拒绝服务攻击的原理，掌握防御拒绝服务攻击的方法。了解缓冲区溢出的原理，掌握防御缓冲区溢出的方法。本章主要内容8.1黑客概述8.2黑客攻击的过程8.3黑客攻击的常用方法8.4入侵检测技术8.5小结8.1.1黑客由来8.1.2黑客分类8.1.3黑客攻击的动机8.1黑客概述“头号电脑黑客”凯文•米特尼克1964年出生。3岁父母离异，导致性格内向、沉默寡言。4岁玩游戏达到专家水平。13岁喜欢上无线电活动，开始与世界各地爱好者联络。编写的电脑程序简洁实用、倾倒教师。中学时，使用学校的计算机闯入了其他学校的网络，因而不得不退学。15岁闯入“北美空中防务指挥系统”主机，翻阅了美国所有的核弹头资料，令大人不可置信。不久破译了美国“太平洋电话公司”某地的改户密码，随意更改用户的电话号码，并与中央联邦调查局的特工恶作剧。被“电脑信息跟踪机”发现第一次被逮捕。出狱后，又连续非法修改多家公司电脑的财务帐单。1988年再次入狱，被判一年徒刑，成了世界上第一名“电脑网络少年犯”。“头号电脑黑客”凯文•米特尼克1993年（29岁）打入联邦调查局的内部网，逃脱其设下的圈套。1994年向圣地亚哥超级计算机中心发动攻击，该中心安全专家下村勉决心将其捉拿归案。期间米特尼克还入侵了美国摩托罗拉、NOVELL、SUN公司及芬兰NOKIA公司的电脑系统，盗走各种程序和数据（价4亿美金）。下村勉用“电子隐形化”技术跟踪，最后准确地从无线电话中找到行迹，并抄获其住处电脑。1995年2月被送上法庭，“到底还是输了”。2000年1月出狱，3年内被禁止使用电脑、手机及互联网。（材料引自《骇世黑客》余开亮张兵编）凯文•米特尼克代表作：《欺骗的艺术》、《入侵的艺术》“黑客”一词源于英文hack的译音，“砍、伐、劈”，美国俚语中“恶作剧”的意思，尤其指那些技术高明的恶作剧。“黑客”原是指人们是对那些迷恋于电脑程序的设计者，对于任何计算机操作系统的奥秘都有强烈兴趣的人的称谓。早期许多非常出名的黑客一方面做了一些破坏，另一方面也推到着计算机技术的发展，有些甚至成为了IT的著名企业家或者安全专家。现在的黑客各种各样，一部分成了真正的计算机入侵者与破坏者，以进入他人防范严密的计算机系统为生活的乐趣，从而构成了一个复杂的黑客群体，对国内外的计算机系统和信息网络构成极大的威胁。1、黑客的由来8.1.1黑客的由来2、黑客定义美国《发现》杂志对黑客的定义：研究计算机程序并以此增长自身技巧的人。对编程有无穷兴趣和热忱的人。能快速编程的人。某专门系统的专家，如“UNIX系统黑客”。恶意闯入他人计算机或系统，意图盗取敏感信息的人。《中华人民共和国公共安全行业标准GA163—1997》中定义：黑客，英文名为Hacker，是指对计算机信息系统进行非授权访问的人员。黑客的分类：白帽黑客（hacker）——勇于创新黑帽黑客/骇客（cracker）——恶意破坏目前也有将黑客的分成三类：第一类：破坏者；第二类：红客；第三类：间谍。8.1.2黑客的分类灰帽子破解者•破解已有系统•发现问题/漏洞•突破极限/禁制•展现自我计算机为人民服务漏洞发现-袁哥等软件破解-0Day工具提供-Numega白帽子创新者•设计新系统•打破常规•精研技术•勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者•随意使用资源•恶意破坏•散播蠕虫病毒•商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈盈豪攻击Yahoo者-匿名恶渴求自由黑客的分类网站遭越南黑客入侵后截图据了解，该黑客自称“Mr.N-Cubi11”，他在入侵我国地方政府网站后，还在网站中发表留言，叫嚣“越南黑客是第一”，“越南人民愿意牺牲来保护海洋，天空和国家”。黑客守则1.不恶意破坏任何的系统,这样作只会给你带来麻烦。恶意破坏它人的软件将导致法律责任,如果你只是使用电脑,那仅为非法使用。注意:千万不要破坏别人的文件或数据。2.不修改任何系统文件,如果你是为了要进入系统而修改它,请在达到目的后将它还原。3.不要轻易的将你要Hack的站点告诉你不信任的朋友。4.不要在bbs/论坛上谈论关于你Hack的任何事情。5.在Post文章的时候不要使用真名。6.入侵期间,不要随意离开你的电脑。7.不要入侵或攻击电信/政府机关的主机。8.不在电话中谈论关于你Hack的任何事情。9.将你的笔记放在安全的地方。10.读遍所有有关系统安全或系统漏洞的文件(英文快点学好)!11.已侵入电脑中的帐号不得删除或修改。12.不得修改系统文件,如果为了隐藏自己的侵入而作的修改则不在此限,但仍须维持原来系统的安全性,不得因得到系统的控制权而破坏原有的安全性。13.不将你已破解的帐号分享与你的朋友。14.不要侵入或破坏政府机关的主机。8.1.3黑客攻击的动机贪心－偷窃或者敲诈恶作剧–无聊的计算机程序员名声–显露出计算机经验与才智，以便证明他们的能力和获得名气报复/宿怨–解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人无知/好奇–失误和破坏了信息还不知道破坏了什么黑客道德-这是许多构成黑客人物的动机仇恨-国家和民族原因间谍－政治和军事目的谍报工作商业－商业竞争，商业间谍8.2黑客攻击的过程踩点（FootPrinting）扫描（Scanning）查点（Enumeration）获取访问权（GainingAccess）权限提升（EscalatingPrivilege）窃取（Pilfering）掩盖踪迹（CoveringTrack）创建后门（CreatingBackDoors）拒绝服务攻击（DenialofServics）黑客攻击流程图Whois域名查询工具Whois查询：Whois是Internet域名数据库。通过查询可获得用于发起攻击的重要信息。通过对Whois数据库的查询，黑客能够得到以下用于发动攻击的重要信息：♦注册机构，得到特定的注册信息和相关的whois服务器；♦机构本身，得到与特定目标相关的全部信息；♦域名，得到与某个域名相关的全部信息；♦网络，得到与某个网络或IP相关的全部信息；♦联系点（POC），得到与某个人（一般是管理联系人）的相关信息。163.Net域名查询结果163.com域名查询结果8.3黑客攻击的常用方法8.3.1端口扫描技术8.3.2口令攻击8.3.3网络监听技术8.3.4特洛伊木马8.3.5拒绝服务攻击8.3.6缓冲区溢出攻击8.3.1网络安全扫描技术网络安全扫描技术在网络安全行业中扮演的角色（1）扫描软件是入侵者分析被入侵系统的必备工具（2）扫描软件是系统管理员掌握系统安全状况的必备工具（3）扫描软件是网络安全工程师修复系统漏洞的主要工具（4）扫描软件在网络安全的家族中可以说是扮演着医生的角色1.合法使用：检测自己服务器端口，以便给自己提供更好的服务；2.非法使用：查找服务器的端口，选取最快的攻击端口常用的扫描器一.一般的端口扫描器二.功能强大的特殊端口扫描器三.其他系统敏感信息的扫描器X-Scan-v3.3-cn（综合扫描器）AspScannerCGIScanner其他扫描器：快速Ping扫描工具:080525ipsmgj多线程ARP扫描工具网络安全扫描工具Nessus（forLinux）流光5.0（）=all&k=%B6%CB%BF%DA+%C9%A8%C3%E8网络安全扫描技术分类一.一般的端口扫描器二.功能强大的特殊端口扫描器三.其他系统敏感信息的扫描器端口扫描一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描能得到许多有用的信息。进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。手工进行扫描需要熟悉各种命令，对命令执行后的输出进行分析。用扫描软件进行扫描时，许多扫描器软件都有分析数据的功能。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。关闭Windows下不用的端口默认情况下Windows有很多端口是开放的，一旦你上网，黑客可以通过这些端口连上你的电脑，因此应该封闭这些端口。主要有：TCP139、445、593、1025端口和UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如TCP2513、2745、3127、6129端口)，以及远程服务访问端口3389。①137、138、139、445端口：它们都是为共享而开放的，如果需要禁止别人共享你的机器，就要把这些端口全部关闭。②关闭UDP123端口，可以防范某些蠕虫病毒。③关闭UDP1900端口，可以防范DDoS攻击。关闭的方法见本页备注。网络数据流窃听：由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名和口令。口令被盗也就是用户在这台机器上的一切信息将全部丧失，并且危及他人信息安全，计算机只认口令不认人。最常见的是电子邮件被非法截获。认证信息截取/重放(Record/Replay)：有的系统会将认证信息进行简单加密后进行传输，如果攻击者无法用第一种方式推算出密码，可以使用截取/重放方式。攻击者仍可以采用离线方式对口令密文实施字典攻击。8.3.2口令攻击字典攻击：由于多数用户习惯使用有意义的单词或数字作为密码，某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符，以增加口令的安全性。穷举尝试(BruteForce)：这是一种特殊的字典攻击，它使用字符串的全集作为字典。如果用户的密码较短，很容易被穷举出来，因而很多系统都建议用户使用长口令。窥探：攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程，以得到口令。社交工程：攻击者冒充合法用户发送邮件或打电话给管理人员，以骗取用户口令。比如，在终端上发现如下信息：Pleaseenteryourusernametologon:Yourpassword:这很可能是一个模仿登录信息的特洛伊木马程序，他会记录口令，然后传给入侵者。垃圾搜索：攻击者通过搜索被攻击者的废弃物，得到与攻击系统有关的信息，如果用户将口令写在纸上又随便丢弃，则很容易成为垃圾搜索的。口令破解防范措施1、系统启动采用登录方式，并且不能以空密码方式进入。2、登录用户名不要显示上次登录过的用户信息。3、经常更换口令，口令最好是字母或数字或符号的组合。4、对于网络服务器工作人员更应该做到密码不能随便告诉别人。5、可以给系统增加administrator身份的用户，但设置德权限应该最低，为的是能够利用系统的审核策略查看出来异常的行为发生。8.3.3网络监听技术（1）网卡工作原理网卡先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理（2）网卡的工作模式广播方式：能够接收网络中的广播信息。组播方式：能够接收组播数据。