5黑客攻击与防范技术

黑客攻击与防范技术ly目录一、背景介绍二、黑客攻击基本流程介绍三、黑客常见攻击方法和防范措施四、结束语网络中存在的安全威胁背景介绍什么是黑客黑客是那些检查(网络)系统完整性和安全性的人，他们通常非常精通计算机软硬件知识，并有能力通过创新的方法剖析系统。“黑客”通常会去寻找网络中漏洞，但往往不会去破坏计算机系统。正是因为黑客的存在，人们才会不断了解计算机系统中存在的安全问题。入侵者(Cracker)只不过是那些利用网络漏洞破坏计算机网络的人，他们往往会通过计算机漏洞来入侵，他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。真正的黑客应该是一个负责任的人，他们认为破坏计算机系统是不正当的。现在Hacker和Cracker已经混为一谈，人们通常将入侵计算机系统的人统称为黑客。黑客入侵和破坏的危险针对我国的几次主要黑客攻击事件2001年中美黑客大战这次事件中被利用的典型漏洞用户名泄露，缺省安装的系统用户名和密码Unicode编码可穿越Firewall，执行黑客指令ASP源代码泄露可远程连接的数据库用户名和密码SQLServer缺省安装Windows2000登录验证机制可被绕过基于Bind漏洞的Lion蠕虫拒绝服务（SYN-Flood，ping）这次事件中被利用的典型漏洞这次事件中被利用的典型漏洞PoizonB0x、pr0phet更改的网页中国网数据有限公司中国科学院心理研究所国内某大型商业网站国内某政府网站国内黑客组织更改的网站页面数据传输形式在网络中数据都是以数据包的形式传送的。黑客攻击基本流程消除所有入侵脚印，以免被管理员发现网络攻击三要素网络攻击一般具备三个要素:→技术→机会→动机典型的攻击步骤图解黑客常见攻击方法和防范措施1、预攻击探测2、漏洞扫描和攻击3、木马与后门攻击4、拒绝服务攻击5、欺骗攻击6、病毒蠕虫攻击7、其他攻击8、总结端口扫描工具（Windows平台）􀂾NetScanTools􀂾WinScan􀂾SuperScan􀂾NmapNT端口扫描工具：NetScanTools端口扫描工具：WinScan端口扫描工具：SuperScan端口扫描工具：NmapNT针对预攻击探测的防范措施•Pingsweep安装防火墙或相关工具软件，禁止某些ICMPping，使用NAT隐藏内部网络结构Portscan安装防火墙或相关工具软件，禁止访问不该访问的服务端口OSfingerprint安装防火墙或相关工具软件，只允许访问少量服务端口，由于攻击者缺乏必要的信息，无法判断OS类型资源和用户扫描防范NetBIOS扫描的最直接方法就是不允许对TCP/UDP135到139端口的访问，如通过防火墙或路由器的配置等。另外，对单独的主机，可使用NetBIOSoverTCP/IP项失效或注册表配置来实现。口令破解弱口令扫描暴力穷举􀂾•完全取决于机器的运算速度字典破解􀂾•大大减少运算的次数，提高成功率密码监听􀂾•通过嗅探器监听网络中的数据包社交工程学木马和键盘记录程序黑客常见攻击方法和防范措施口令攻击演示：XP/2000密码口令破解弱口令扫描流光􀂾CNIPCNT暴力穷举/字典破解􀂾LC4Fluxay5流光针对口令破解攻击的防范措施安装入侵检测系统，检测口令破解行为安装安全评估系统，先于入侵者进行模拟口令破解，以便及早发现弱口令并解决提高安全意识，避免弱口令使用检测工具Anti-Sniffer密码的安全性密码的安全性有：密码的复杂性密码长度最长存留期强制密码历史漏洞扫描和攻击IPC$漏洞IPC$(InternetProcessConnection)是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表。木马组成对木马程序而言，它一般包括两个部分：客户端和服务器端。服务器端安装在被控制的计算机中，它一般通过电子邮件或其他手段让用户在其计算机中运行，以达到控制该用户计算机的目的。客户端程序是控制者所使用的，用于对受控的计算机进行控制。服务器端程序和客户端程序建立起连接就可以实现对远程计算机的控制了。木马运行时，首先服务器端程序获得本地计算机的最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，并可以向服务器端程序发送各种基本的操作请求，并由服务器端程序完成这些请求，也就实现对本地计算机的控制了。木马本身不具备繁殖性和自动感染的功能。木马分类远程访问型木马是现在最广泛的特洛伊木马，它可以访问受害人的硬盘，并对其进行控制。这种木马用起来非常简单，只要某用户运行一下服务端程序，并获取该用户的IP地址，就可以访问该用户的计算机。这种木马可以使远程控制者在本地机器上做任意的事情，比如键盘记录、上传和下载功能、截取屏幕等等。这种类型的木马有著名的BO（BackOffice）和国产的冰河等。密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的木马不会在每次的Windows重启时重启，而且它们大多数使用25端口发送E--mail。键盘记录型木马非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。这种特洛伊木马随着Windows的启动而启动，知道受害者在线并且记录每一件事。毁坏型木马的唯一功能是毁坏并且删除文件。这使它们非常简单，并且很容易被使用。它们可以自动地删除用户计算机上的所有的.DLL、INI或EXE文件。FTP型木马打开用户计算机的21端口（FTP所使用的默认端口），使每一个人都可以用一个FTP客户端程序来不用密码连接到该计算机，并且可以进行最高权限的上传下载。木马分类第二代木马冰河、广外女生第三代木马􀂾灰鸽子􀂾反弹端口技术第四代木马􀂾广外幽灵、广外男生􀂾线程插入第五代木马􀂾进程、端口、文件、注册表隐藏木马常用欺骗法捆绑欺骗：如把木马服务端和某个游戏捆绑成一个文件在邮件中发给别人危险下载点：攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载；或直接将木马改名上载到FTP网站上，等待别人下载；文件夹惯性点击：把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹；zip伪装：将一个木马和一个损坏的zip包捆绑在一起，然后指定捆绑后的文件为zip图标；木马隐藏方式：􀂾文件隐藏；􀂾在专用文件夹中隐藏􀂾在任务管理器中隐形􀂾悄没声息地启动：如启动组、win.inisystem.ini注册表等；􀂾伪装成驱动程序及动态链接库：如Kernl32.dllsysexlpr.exe等。木马的激活方式在win.ini中启动修改关联文件文件捆绑在System.ini中启动利用注册表加载运行在autoexec.bat和Config.sys中加载运行在Windows.bat中启动是登录屏还是特洛伊木马?吃惊吗!针对木马攻击的防范措施安装防火墙，禁止访问不该访问的服务端口，使用NAT隐藏内部网络结构安装防病毒软件提高安全意识，尽量避免使用来历不明的软件2000年Yahoo受攻击过程ARP欺骗攻击ARP欺骗攻击病毒蠕虫攻击•病毒与黑客手段的结合红色代码、尼姆达病毒等•传播速度极快，影响网络的带宽不仅入侵了受害主机，甚至引起网络中断计算机病毒计算机病毒是计算机程序计算机病毒的主要来源有→黑客组织编写→恶作剧→恶意编制病毒的特征病毒的特征：传染性隐蔽性潜伏性可触发性破坏性变异性病毒的分类病毒按传染方式引导型病毒文件型病毒宏病毒混合病毒网络型病毒病毒的分类按其驻留的方式：驻留型病毒非驻留型病毒病毒的分类按破坏性分为：良性病毒恶性病毒极恶性病毒灾难性病毒病毒的危害性计算机病毒的危害性有以下几种表现删除数据阻塞网络信息泄漏干扰系统运行近几年危害严重的几种蠕虫病毒CODERED红色代码缓冲区溢出漏洞、索引服务CODEREDII红色代码二缓冲区溢出漏洞、索引服务CODEBLUE兰色代码Unicode漏洞NIMDA尼姆达蠕虫IE异常处理MIME头漏洞、Unicode漏洞、CGI文件名错误解码漏洞针对病毒蠕虫攻击的防范措施安装防火墙，禁止访问不该访问的服务端口安装入侵检测系统，检测病毒蠕虫攻击安装防病毒软件，阻挡病毒蠕虫的侵袭提高安全意识，经常给操作系统和应用软件打补丁网络攻击网络遭攻击的后果有：财政损失知识产权损失时间消耗由错误使用导致的生产力消耗病毒防范建议对于从因特网上下载的可执行文件和WORD／EXECEL文件一定要非常小心，在打开这些东西之前一定要进行非常仔细的检查。不要相信任何人发来的邮件，即使是来自你的朋友，即使邮件的主题是“我爱你”，因为你的朋友很可能已经被病毒感染，打开邮件的附件之前一定要三思而后行。计算机管理员应该特别注意的是，将所有共享目录的可执行文件设置成只读文件，限制普通权限的用户对这些目录的文件拥有写权限。在运行新的软件之前一定要使用反病毒软件进行仔细的检测，最好在另一台电脑上首先安装和运行新的软件以防止出现病毒或其他对局域网的破坏。最好是购买正版的软件，不要购买盗版软件，特别是那种将多个正版软件放在一张光盘上的所谓合集软件。在网上下载软件使用时一定要小心，到有大量用户的知名站点下载，这样下载的软件中包括病毒的可能性相对要小一些。在任何时候都不要禁止你的病毒防火墙，如果病毒防火墙和你要使用的软件有冲突，那么使用另外一种病毒防火墙代替它。病毒防范建议•定期备份你的数据，这是最重要的防患于未然的方法，在发生病毒感染时，备份你的数据可以最大限度的减小你的损失•将你的电脑的引导顺序第一个设为“C：”，这样可以防止光盘中的引导病毒感染你的硬盘。•发现机器有异常表现，立即关机，然后进行杀毒处理。如果没有杀毒软件，可在备份了数据之后重新安装软件，注意一定要使用一张确信没有病毒的引导磁盘来引导机器之后在安装软件。•及时升级你的杀毒软件，一周一次的升级频率已经无法满足需要，手动随时更新。•不要过于相信厂商的宣传，发现最多病毒的软件不一定是最好的软件，掌握足够的病毒知识，拥有自己的判断才能真正保护自己的电脑安全。•大多数的蠕虫类病毒是通过MicrosoftOutlook或OutlookExpress进行传播的，如果你用的正是Outlook，建议最好到微软站点下载最新的安全补丁，以便有效地提升系统的安全性。必要时可以使用第三方邮件程序取代OutlookExpress，如Foxmail、TheBat!等，由于它们的地址薄与OutlookExpress不同，所以被病毒利用的可能性比较小。病毒防范建议•在资源管理器中，选择“工具”|“文件夹选项”|“查看”，去掉“隐藏已知文件类型的扩展名”前的对号，这样就可以使那些想伪装成正常文件的病毒文件原形毕露，发现有什么异常扩展名的文件，应该禁止使用或者直接删除。•在控制面板中的“Internet选项”中，进行合理的“安全”设置，不要随意降低安全级别，以减少来自恶意代码和ActiveX控件的威胁，在系统推荐的默认设置级别“中”的基础上，点击“自定义级别”按钮，可以进一步进行更严格的设置，建议尝试着每次只更改一两个项目，如果导致不能正常上网，或者上网不方便了，则适当地降低安全设置，多试几次直到找到适合自己的最佳安全设置组合•如果收到邮件附件中有可执行文件（如.EXE、.COM等）或者带有“宏”的文档（.doc等），不要直接打开，最好先用“另存为”把文件保存到磁盘上，然后用杀毒软件查杀一遍，确认没有病毒后再打开。不要打开扩展名为VBS、SHS或者PIF的附件，因为这类文件几乎不会作为正常的附件