黑客攻击技术介绍

第2章黑客攻击技术介绍课时数：1课时网络安全基础教师自我介绍教师姓名：(请进行自我介绍)课程介绍•本课程介绍了当前国内的网络安全发展趋势,网络安全解决方案的整体架构,探讨VPN、防火墙、入侵检测和认证等安全技术。•本课覆盖面比较广，以打造全面专业的安全工程师为目标，为学生打下坚实的安全基础。课程安排黑客攻击技术介绍1课时1.网络攻击的介绍2.病毒介绍3.智能安全网络架构学习对象希望在未来从事信息安全和网络安全工作的学生。学习目标在完成本章的学习后，您将能够：了解主流攻击技术的原理了解每种攻击的缓解和防护技术了解网络安全解决方案的设计思想目录大纲1.网络攻击的介绍2.病毒介绍3.智能安全网络架构扫描探测攻击黑客要实现网络攻击，第一步就是要收集目标站点的各种信息。攻击者对目标进行彻底分析，他必须尽可能收集关于他所攻击目标的大量可能而有效的信息，以至最后他可以分析得到他所攻击目标的漏洞列表。分析结果包括：操作系统类型，操作系统的版本，所开的服务，所开服务的版本，网络拓朴结构，网络设备，防火墙，闯入察觉装置等等，收集这些信息的办法大致可以分为两种：第一种被称为“noisy”，意思就是不管在日志记录中留下的脚印，动用所有的办法进行对目标进行扫描。第二种被称为“stealthy”，就是秘密扫描（慢扫描），尽量不引起管理员的注意力。但是这种扫描唯一的缺点就是不太准确。但是对于一个真正的黑客来说，这才是首选。毕竟黑客通常认为自身安全高于一切。如果被抓到，就算攻击成功，还是失败者。1网络攻击的介绍扫描探测攻击网络扫描技术可以有良性和恶性之分，主要看使用者的目的,其中包括：有PING扫射（Pingsweep）操作系统探测（Operatingsystemidentification）如何探测访问控制规则（firewalking）端口扫描（Portscan）漏洞扫描（vulnerabilityscan）等1网络攻击的介绍扫描器主流软件介绍X-ScanSuperScanNampSSSSocksProxyFinderSQLScan流光RetinaISSN-Stealth1网络攻击的介绍1网络攻击的介绍X-Scan是安全焦点的力作，对于一些已知漏洞，给出了相应的漏洞描述、利用程序及解决方案。X-Scan不光是黑客手中的利器，也是网络管理员的得力助手。1网络攻击的介绍强大的TCP端口扫描器、Ping和域名解析器。Superscan是foundstone实验室的一个端口扫描工具，速度极快而且资源占用很小。Namp安全界人人皆知的非常有名气的一个扫描器，作者Fyodor。1网络攻击的介绍SSS俄罗斯安全界非常专业的一个安全漏洞扫描软件。1网络攻击的介绍流光在国内可以与X-Scan相提并论的扫描器，它除了能够像X-Scan那样扫描众多漏洞、弱口令外，还集成了常用的入侵工具，如字典工具、NT/IIS工具等，还独创了能够控制“肉鸡”进行扫描的“流光Sensor工具”和为“肉鸡”安装服务的“种植者”工具。1网络攻击的介绍Retina•Retina是eEye公司的产品，强大的网络漏洞检测技术可以有效的检测并修复各种安全隐患和漏洞，并且生成详细的安全检测报告，兼容各种主流操作系统、防火墙、路由器等各种网络设备。曾在国外的安全评估软件的评测中名列第一。1网络攻击的介绍1网络攻击的介绍ISS公司开发和维护的商业漏洞扫描程序，它的可移植性和灵活性很强，众多的UNIX的平台上都可以运行ISS。N-StealthN-Stealth是一个全面的Web服务器审计工具，它可以扫描超过30000个弱点，是系统管理员、安全顾问和其他IT职业的理想工具，据说是世界上最顶尖的Web服务器安全扫描工具。1网络攻击的介绍嗅探侦听攻击对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收（当然只能监听经过自己网络接口的那些包）。1网络攻击的介绍嗅探攻击软件介绍•nc.exe-非标准的telnet客户端程序，安全界有名的军刀。NetXray-非常好的网络分析和监控软件WinSockExpert-非常实用的抓包工具，黑客经常使用的工具，该版本为英文原版。WinSockExpert汉化版-有名的抓包工具，WinSockExpertv0.6beta1草哲汉化版。虚拟主机站点查询工具-查询虚拟主机绑定多少国际域名的小工具，桂林老兵制作。代理猎手V3.1完整版-代理服务器猎手，可以很快速的查找网络上的免费Proxy。1网络攻击的介绍SnifferPro•snifferpro是用于高级分组检错的工具，当然很多黑客也会用来攻击。它可提供分组获取和译码的功能，它可以提供图形以确切的指出网络中哪里正出现严重的业务拥塞。1网络攻击的介绍SnifferPromoniterhosttable图中不同颜色的区块代表了同一网段内与主机相连接的通信量的多少。本例以IP地址为测量基准。1网络攻击的介绍SnifferPromonitormatrix1网络攻击的介绍SnifferPro该兰色圆中的各点连线表明了当前处于活跃状态的点对点连接，也可通过将鼠标放在IP地址上点右键showselectnodes查看特定的点对多点的网络连接，如下图，表示出与192.168.0.250相连接的IP地址。1网络攻击的介绍SnifferPromonitorprotocoldistribution查看协议分布状态如下图所示，可以看到不同颜色的区块代表不同的网络协议1网络攻击的介绍SnifferPro该表显示各项网络性能指标包括利用率、传输速度、错误率。1网络攻击的介绍SnifferPro如下图所示，可以查看网络上传输包的大小比例分配。1网络攻击的介绍SnifferPro下图显示了局域网内的通信其响应速度列表，并将本地网段的机器名以NETBIOS名的形式解析出来。1网络攻击的介绍SnifferPro包的抓取与分析1）过滤器的定制definefilter.Capture-definefilter进入该界面后address指定以IP地址为类型，然后在下面的station1和station2中分别指定源和目的地地址。并将该设置指定为某settingprofile。SnifferPro这个图中显示的是sniffer设置过滤条件的对话框。过滤条件可以用逻辑关系，比如像AND、OR、NOT等组合来设置。在这里可以设置的过滤条件有IP地址或者物理地址、数据包、协议等。1网络攻击的介绍SnifferProcaptureselectfilterstart1网络攻击的介绍恶意访问-缓冲区溢出缓冲区溢出攻击之所以成为一种常见的攻击手段，其原因在于缓冲区溢出漏洞太普通了，并且易于实现。而且，缓冲区溢出所以成为远程攻击的主要手段，其原因在于缓冲区溢出漏洞给予了攻击者所想要的一切：殖入并且执行攻击代码。被殖入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序，从而得到被攻击主机的控制权。1网络攻击的介绍DOS(拒绝服务攻击)DoS即DenialOfService，拒绝服务的缩写，是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。1网络攻击的介绍DDoS（分布式拒绝服务）DDoS（DistributedDenialOfService）又把DoS又向前发展了一大步，这种分布式拒绝服务攻击是黑客利用在已经侵入并已控制的不同的高带宽主机（可能是数百，甚至成千上万台）上安装大量的DoS服务程序，它们等待来自中央攻击控制中心的命令，中央攻击控制中心在适时启动全体受控主机的DoS服务进程，让它们对一个特定目标发送尽可能多的网络访问请求，形成一股DoS洪流冲击目标系统，猛烈的DoS攻击同一个网站。1网络攻击的介绍常见的DoS攻击拒绝服务攻击是一种对网络危害巨大的恶意攻击。DoS具有代表性的攻击手段包括：1.PingofDeath2.TearDrop3.UDPflood4.SYNflood5.LandAttack6.IPSpoofingDoS等。1网络攻击的介绍如何防止DoS/DDoS攻击1.由于开发协议固有的缺陷导致的DoS攻击，可以通过简单的补丁来弥补系统缺陷。2.如果对网络中的路由器，防火墙，交换机以及其他网络连接设备都进行正确的配置会减小这些错误发生的可能性。如果发现了这种漏洞应当请教专业的技术人员来修理这些问题。3.要避免系统免受DoS攻击，从前两点来看，网络管理员要积极谨慎地维护系统，确保无安全隐患和漏洞；而针对第三点的恶意攻击方式则需要安装防火墙等安全设备过滤DoS攻击，同时强烈建议网络管理员应当定期查看安全设备的日志，及时发现对系统的安全威胁行为。1网络攻击的介绍2病毒介绍计算机病毒（ComputerVirus）就是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒的分类方式1.按照计算机病毒攻击的系统分类2.按照病毒的攻击机型分类3.按照计算机病毒的链结方式分类4.按照计算机病毒的破坏情况分类5.按照计算机病毒的寄生部位或传染对象分类6.按照计算机病毒激活的时间分类7.按照寄生方式和传染途径分类2病毒介绍按照计算机病毒攻击的系统分类1.攻击DOS系统的病毒2.攻击Windows系统的病毒3.攻击UNIX系统的病毒4.攻击OS/2系统的病毒2病毒介绍按照病毒的攻击机型分类1.攻击微型计算机的病毒2.攻击小型机的计算机病毒3.攻击工作站的计算机病毒2病毒介绍按照计算机病毒的链结方式分类1.源码型病毒2.嵌入型病毒3.外壳型病毒4.操作系统型病毒2病毒介绍按照计算机病毒的破坏情况分类1.良性计算机病毒2.恶性计算机病毒2病毒介绍按照计算机病毒的寄生部位或传染对象分类1.磁盘引导区传染的计算机病毒2.操作系统传染的计算机病毒3.可执行程序传染的计算机病毒2病毒介绍按照计算机病毒激活的时间分类1.单机病毒2.网络病毒2病毒介绍按照寄生方式和传染途径分类1.引导型病毒2.文件型病毒2病毒介绍2病毒介绍通过以上对计算机病毒基本知识的认识、总结，提出适合计算机病毒防治的策略主流杀毒软件：1.卡巴斯基2.NortonAntivirus3.MacAfee4.瑞星杀毒软件5.KV江民杀毒王6.熊猫卫士7.金山毒霸木马攻击“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。2病毒介绍木马的隐藏方式1.启动组类2.注册表3.端口2病毒介绍木马的防护1.不要下载、接收、执行任何来历不明的软件或文件2.不要随意打开邮件的附件，也不要点击邮件中的可疑图片。3.将资源管理器配置成始终显示扩展名。4.尽量少用共享文件夹。5.运行反木马实时监控程序。6.经常升级系统。2病毒介绍3智能安全网络架构未来网络的发展趋势是尽量智能安全，做到无人职守的网络安全防御，那么智能安全网络的第一步就是安全传输，通过丰富的VPN技术就可以实现这一需求，然后第二步通过防火墙和入侵检测系统进行被动防御，再通过完整的网络认证鉴别技术主动保护网络，最后通过集中的安全管理平台指挥所有的安全产品。虚拟专网VPN技术顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据安全通信网络的技术。3智能安全网络架构防火墙系统智能安全网络的主要防护设备就是防火墙（firewall），它可以挡掉60%的攻击，那么