黑客攻擊手段和方式

1、2021/4/11網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全2021/4/12課程的目的 給普通用戶提供有關(guān)安全方面的綜合信息 給系統(tǒng)管理人員提供參考 提高大家對安全知識的必要性的認(rèn)識2021/4/13主要內(nèi)容 網(wǎng)絡(luò)安全的基本概念 常見攻擊手段和工具 網(wǎng)絡(luò)安全的任務(wù) 保障網(wǎng)絡(luò)安全采取的措施2021/4/14網(wǎng)絡(luò)安全基礎(chǔ)知識 什么是網(wǎng)絡(luò)安全？ 網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)、不受偶然的或者惡意的原因而遭到破壞、更改、泄漏，系統(tǒng)連續(xù)可靠正常的運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信

2、息安全。2021/4/15網(wǎng)絡(luò)安全基礎(chǔ)知識 為什么網(wǎng)絡(luò)安全變得非常重要 進(jìn)行網(wǎng)絡(luò)攻擊變得越來越簡單 越來越多的個人或公司連入Internet 并不是所有的用戶都具有基本的安全知識2021/4/16國外網(wǎng)絡(luò)安全案例 94年末，俄羅斯黑客弗拉基米爾利文與其伙伴向美國CITYBANK銀行發(fā)動攻擊，以電子轉(zhuǎn)賬方式，竊取了1100萬美元。 96年初，據(jù)美國舊金山的計(jì)算機(jī)安全協(xié)會與聯(lián)邦調(diào)查局的一次聯(lián)合調(diào)查統(tǒng)計(jì)，有53%的企業(yè)受到過計(jì)算機(jī)病毒的侵害，42%的企業(yè)的計(jì)算機(jī)系統(tǒng)在過去的一年里被非法使用過。 96年，美國司法部、美國中央情報(bào)站、美國空軍的網(wǎng)絡(luò)相繼受到攻擊。 2000年由于電腦病毒以及黑客的攻擊，至

3、少給美國的企業(yè)帶來了2660億美元左右的損失。2021/4/17國內(nèi)網(wǎng)絡(luò)安全案例 96年2月，剛開通不久的Chinanet受到攻擊，且攻擊得逞. 96年秋，北京某ISP的服務(wù)器受到其用戶的攻擊，致使服務(wù)中斷了數(shù)小時。 98年春節(jié)，華中理工大學(xué)的官方網(wǎng)站受到攻擊，主頁被修改達(dá)一個月之久。 2001年有中美撞擊事件引發(fā)的中美黑客大戰(zhàn)，中方據(jù)說攻擊美國網(wǎng)站超過1000個。美國黑客組織PoisonBOx襲擊了至少一百家中國網(wǎng)站。2021/4/18常見不安全因素物理因素物理因素網(wǎng)絡(luò)因素網(wǎng)絡(luò)因素系統(tǒng)因素系統(tǒng)因素應(yīng)用因素應(yīng)用因素管理因素管理因素2021/4/19常見攻擊手段和工具 網(wǎng)絡(luò)掃描 口令入侵 特洛伊

4、木馬 信息竊取 隱藏身份 破壞裝置 IP電子欺騙 平臺安全性2021/4/110掃描器 什么是掃描器 掃描器是自動監(jiān)測遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。 掃描器如何工作 真正的掃描器是TCP端口掃描器，這種程序選通TCP/IP端口和服務(wù)，并記錄目標(biāo)的回答。通過這種方法，可以搜集到關(guān)于目標(biāo)主機(jī)的有用信息。2021/4/111掃描器 用于檢查系統(tǒng)中可能存在的缺陷和服務(wù)用于檢查系統(tǒng)中可能存在的缺陷和服務(wù)及及設(shè)置設(shè)置管理方面的弱點(diǎn)?？刹槌龉芾矸矫娴娜觞c(diǎn)?？刹槌鯫SOS類型、類型、開放的端口，可搜集本網(wǎng)段的開放的端口，可搜集本網(wǎng)段的IPIP地址，再地址，再對這些地址進(jìn)行掃描來報(bào)告出對這些地址進(jìn)行掃描來報(bào)告

5、出FTPDFTPD脆弱性、脆弱性、NFSNFS脆弱性、脆弱性、sendmailsendmail脆弱性、脆弱性、rexdrexd如何如何等。等。2021/4/112掃描器 為什么掃描器對Internet安全性很重要 掃描器對Internet安全性之所以很重要，是因?yàn)樗鼈兡馨l(fā)現(xiàn)網(wǎng)絡(luò)的弱點(diǎn)。至于這一信息是否被“黑客”或入侵者使用并不重要。如果系統(tǒng)管理人員使用了掃描器，它將直接有助于加強(qiáng)系統(tǒng)安全性；如果它被“入侵者”使用，也同樣有助于加強(qiáng)系統(tǒng)安全性。這是因?yàn)橐坏┠硞€漏洞被“入侵者”發(fā)現(xiàn)，那么人們最終是會發(fā)現(xiàn)的。如果一個系統(tǒng)管理人員不能使其網(wǎng)絡(luò)足夠安全，那么他的工作失誤就會以網(wǎng)絡(luò)安全漏洞的形式暴露出來。

6、2021/4/113掃描器 早期的掃描器-war dialer Toneloc 掃描器的屬性 尋找一臺主機(jī)或一個網(wǎng)絡(luò) 一旦發(fā)現(xiàn)一臺機(jī)器，可以找出機(jī)器正在運(yùn)行的服務(wù) 測試具有有漏洞的那些服務(wù)2021/4/114掃描器 掃描器 Strobe - 能夠快速的識別指定機(jī)器上正在運(yùn)行什么服務(wù)。 SATAN - 運(yùn)行于Unix之上，掃描遠(yuǎn)程主機(jī)已知的漏洞。 Network Toolbox - windows上的端口掃描器 ISS公司（）的Internet Security Scanner等。2021/4/115口令入侵 口令不會被解開，多數(shù)口令加密過程都是單向、不可逆的。 但是可以使用仿真工具，利用與原口

7、令程序相同的方法，通過對比分析，用不同的加密口令去取匹配原口令。2021/4/116口令入侵 采用“蠻力”的方法來分析指定用戶的口令?？诹畋砑用芟到y(tǒng)比較成功不同找到找到NoImage字典字典2021/4/117口令設(shè)置的特別方法口令設(shè)置的特別方法 口令中加空格口令中加空格 不要用字頭加號碼的方法不要用字頭加號碼的方法 基于語句的口令：基于語句的口令：我是華工學(xué)人我是華工學(xué)人Ws Hg Xr，wH hO xE 基于鍵盤的口令：基于鍵盤的口令：6413714Yrq Euqr，Hfa Djaf口令入侵2021/4/118口令入侵 口令破解工具 John the Ripper 運(yùn)行于DOS/Windo

8、wn95平臺 LC3 Windows2000/NT 口令破解 http:/ 一種未經(jīng)授權(quán)的程序，或一種未經(jīng)授權(quán)的程序，或在合法程序中有一段未經(jīng)授權(quán)在合法程序中有一段未經(jīng)授權(quán)的程序代碼，或在合法程序中的程序代碼，或在合法程序中包含有一段用戶不了解的程序包含有一段用戶不了解的程序功能功能。上述程序?qū)τ脩魜碚f具上述程序?qū)τ脩魜碚f具有惡意的行為有惡意的行為。 什么是特洛伊木馬程序？2021/4/120UNIX的特洛伊木馬對任意用戶進(jìn)行對任意用戶進(jìn)行FINGER請求請求對對FANG用戶進(jìn)行用戶進(jìn)行FINGER請求請求LOGOUT前釋放權(quán)限前釋放權(quán)限對一般用戶正常響對一般用戶正常響應(yīng)應(yīng)，保持原功能保持原功

9、能識別是用戶識別是用戶FANG，將之賦予將之賦予ROOT權(quán)限權(quán)限擁有ROOT權(quán)限LOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTFANG在退出前注銷在退出前注銷ROOT權(quán)限，以免被系統(tǒng)人員查出權(quán)限，以免被系統(tǒng)人員查出取消取消ROOT權(quán)限權(quán)限 對運(yùn)行程序進(jìn)行信息對運(yùn)行程序進(jìn)行信息簽名以識別其未被篡改。簽名以識別其未被篡改。 利用利用TA

10、MU之類的安之類的安全工具程序包來預(yù)防。全工具程序包來預(yù)防。2021/4/121特洛伊木馬 特洛伊程序的由來 特洛伊程序是由編程人員創(chuàng)造的。它的作者都有著自己的意圖。這種意圖可以是任意的。但是基于在Internet的安全的前題，一個特洛伊程序?qū)⒁龅氖窍铝袃杉轮械囊患ɑ騼烧呒嬗校?提供一些功能，這些功能可以泄露一些系統(tǒng)的私有信息給程序的作者或者控制該系統(tǒng)。 隱藏了一些功能，這些功能能夠?qū)⑾到y(tǒng)的私有信息泄露給程序的作者，或者能夠控制該系統(tǒng)。2021/4/122特洛伊木馬 特洛伊程序代表哪一級別的危險？ 特洛伊程序代表了一種很高級別的危險，主要是因?yàn)槲覀円呀?jīng)提到的幾中原因： 特洛伊程序很難以

11、被發(fā)現(xiàn) 在許多情況下，特洛伊程序是在二進(jìn)制代碼中發(fā)現(xiàn)的，它們大多數(shù)以無法閱讀的形式存在 特洛伊程序可作用于許多機(jī)器中2021/4/123特洛伊木馬 用netstat對系統(tǒng)的守護(hù)進(jìn)程端口號進(jìn)行掃描，以檢測是否存在未知的守護(hù)進(jìn)程。 利用ISS之類的掃描器進(jìn)行檢測。2021/4/124特洛伊木馬 Back Orifice 工作于windows95/98，client/server結(jié)構(gòu)，使被安裝計(jì)算機(jī)能夠從遠(yuǎn)程控制 BoDetect v3.5 Back Orifice 2000 (All variations!) SubSeven (16 different variations) PrettyPar

12、k Internet Worm Hack Attack Back Orifice (6 different variations) Netbus (7 variations) 2021/4/125對特洛伊木馬程序的防范 利用利用TAMUTAMU之類的安全工之類的安全工具程序包來預(yù)防具程序包來預(yù)防所用的網(wǎng)絡(luò)相對封閉，輕易不所用的網(wǎng)絡(luò)相對封閉，輕易不 與外界聯(lián)系與外界聯(lián)系 檢查自己的文件，采用數(shù)字簽檢查自己的文件，采用數(shù)字簽 名技術(shù)名技術(shù)防住第一次進(jìn)入是至關(guān)重要的 2021/4/126信息竊取搭線竊聽捕包收音機(jī)+MODEM建立屏蔽措施，防止硬件竊聽數(shù)據(jù)加密，防止破譯特定軟件可查獲竊聽者特定軟件可查

13、獲竊聽者2021/4/127信息竊取 sniffer既可以是硬件，也可以是軟件，它用來接收在網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ?sniffer成為一種很大的危險，因?yàn)椋?它們可以截獲口令 它們可以截獲秘密的或?qū)Ｓ械男畔?它們可以被用來攻擊相鄰的網(wǎng)絡(luò)2021/4/128信息竊取 Ethereal 最好的freeware sniffer http:/ NetXray 網(wǎng)絡(luò)協(xié)議分析工具 Analyzer: a public domain protocol analyzer http:/netgroup-serv.polito.it/analyzer/ http:/ 數(shù)據(jù)加密分為私鑰及公鑰密碼體數(shù)據(jù)加密分為私鑰及公鑰

14、密碼體制兩種，其中制兩種，其中私鑰密碼體制私鑰密碼體制用于存儲用于存儲和傳輸安全信息（如口令、密鑰、權(quán)和傳輸安全信息（如口令、密鑰、權(quán)限表和認(rèn)證結(jié)果等）和文件內(nèi)容（如限表和認(rèn)證結(jié)果等）和文件內(nèi)容（如電子郵件、數(shù)據(jù)傳輸、圖形聲音等）電子郵件、數(shù)據(jù)傳輸、圖形聲音等）的加密解密等。的加密解密等。公鑰密碼體制公鑰密碼體制用于進(jìn)用于進(jìn)行密鑰分配、身份認(rèn)證等。行密鑰分配、身份認(rèn)證等。 安全的加密方法是指對安全的加密方法是指對手找不到更好的攻擊方法，手找不到更好的攻擊方法，只能通過窮舉密鑰的手段進(jìn)只能通過窮舉密鑰的手段進(jìn)行解密，即解密的難度與密行解密，即解密的難度與密鑰空間成正比。鑰空間成正比。2021/4

15、/130隱藏身份 在設(shè)計(jì)Internet時，設(shè)計(jì)者假定所有的用戶都希望能被別人發(fā)現(xiàn)，覺得沒有人有理由把自己隱藏起來；同時研究人員能夠定位到每一個人的要求也是合理的。因此制造了有許多能夠提供方便的查詢方式的工具。2021/4/131隱藏身份 常見的Unix查詢服務(wù) finger .plan whois /etc/passwd 危險的 ypcat2021/4/132隱藏身份 關(guān)于cookie Cookie現(xiàn)在主要用來存放當(dāng)用戶瀏覽主頁是的一些信息。 “這個簡單的機(jī)制提供了一個強(qiáng)有力的工具，它使得一種新的基于Web環(huán)境的應(yīng)用程序可以被開發(fā)出。網(wǎng)絡(luò)購物應(yīng)用程序現(xiàn)在可以存儲當(dāng)前選項(xiàng)的信息。對于免費(fèi)的服務(wù)

16、，它可以送回注冊信息，從而客戶在重新連接使不比輸入userid，節(jié)點(diǎn)可以存儲每個用戶喜愛的懸想，而且使得每次連接到這個節(jié)點(diǎn)時，客戶端都支持這些選項(xiàng)?！?021/4/133隱藏身份 Cookie并不是無害的！ D.Krisol和L.Montulli在RFC2109中這樣解釋的：“原始的服務(wù)器可以設(shè)置一套cookie頭來跟蹤用戶在服務(wù)器上走過的路徑。用戶可以反對這種行為，因?yàn)檫@種積累信息的行為具有侵略性，即是他們的身份是不明顯的（身份可以通過發(fā)送一個填有身份信息的表格而明確起來）?！?021/4/134隱藏身份 用cookie做用戶權(quán)限控制是不安全的！ 一些Java腳本程序（或Perl腳本程序）被

17、設(shè)計(jì)來得到你的IP地址，這種類型的代碼也可以用來得到你用的瀏覽器類型、你的操作系統(tǒng)等等。2021/4/135隱藏身份 whois服務(wù) Whois服務(wù)包含了所有Internet節(jié)點(diǎn)的登錄信息。 Whois主要位于. 登錄數(shù)據(jù)有每個Internet節(jié)點(diǎn)上的詳細(xì)信息，包括域名服務(wù)器、技術(shù)聯(lián)系、電話號碼以及地址。2021/4/136破壞裝置 破壞裝置 破壞裝置即可以是一種軟件，也可以是一種技術(shù)。其目的是達(dá)到下列目的： 使別人感到煩惱 破壞數(shù)據(jù) 這種裝置通常是底層的工具和技術(shù)，但是隨著GUI的廣泛應(yīng)用，這種裝置越來越容易得到和便于使用。2021/4/137破壞裝置 最典型的四種裝置 邏輯炸彈 網(wǎng)絡(luò)炸彈

18、Denial of Service工具 病毒2021/4/138 邏輯炸彈 邏輯炸彈是程序邏輯炸彈是程序中的一部分，滿足一中的一部分，滿足一定條件時激活某種特定條件時激活某種特定的程序，并產(chǎn)生系定的程序，并產(chǎn)生系統(tǒng)自毀，并附帶破壞。統(tǒng)自毀，并附帶破壞。2021/4/139邏輯炸彈潛伏代碼潛伏代碼滿足條滿足條件否？件否？監(jiān)視監(jiān)視滿足而滿足而爆炸爆炸滿足而滿足而爆炸爆炸伊拉克的打印機(jī)伊拉克的打印機(jī)香港的銀行系統(tǒng)香港的銀行系統(tǒng)上海的控制系統(tǒng)上海的控制系統(tǒng)KV300 .2021/4/140網(wǎng)絡(luò)炸彈 以利用計(jì)算機(jī)協(xié)議處理的漏洞來攻擊網(wǎng)上計(jì)算機(jī)使之死機(jī)為目的的網(wǎng)絡(luò)程序。2021/4/141攻擊IP協(xié)議的網(wǎng)

19、絡(luò)炸彈IP協(xié)議處理死機(jī)假長度攻擊更新IP處理用Telnet向80口發(fā)也可摧毀Windows NT向139端口發(fā)0字節(jié)也可摧毀Windows95/NT必須對惡意攻擊的情況作假設(shè)必須對惡意攻擊的情況作假設(shè)2021/4/142郵件炸彈服務(wù)阻塞攻擊MAIL服務(wù)處理停止服務(wù)大量的Mail請求阻礙服務(wù)器.大量的Mail請求阻礙服務(wù)器返回類似MAIL信息。返回相應(yīng)的Mail信息返回相應(yīng)的返回相應(yīng)的Mail信息信息2021/4/143拒絕服務(wù)攻擊 Denial of Service工具 Ping of Death 這是一個非常簡單的技術(shù)，通過發(fā)送異常的、大的用來進(jìn)行ping操作的包，當(dāng)目標(biāo)收到這些包的時候，就

20、會“死掉”。在這種狀態(tài)下，機(jī)器只能重新啟動。早期的WindowsNT 3.51就受這種攻擊影響。 Syn Flooder 它采用的也是一種非常簡單的flooding技術(shù)，它通過向某個服務(wù)不斷發(fā)送請求，但是卻不真正完成它，來耗盡服務(wù)器的端口資源。從而讓服務(wù)器陷入癱瘓。2021/4/144拒絕服務(wù)攻擊 DNSkiller 用來殺掉WindowsNT 4.0 DNS服務(wù)的工具。 目前Linux等Unix平臺，已經(jīng)可以防止單純的DoS攻擊。很多路由器和防火墻廠家也在路由器加入了這個功能。2021/4/145病毒 病毒 隨著Internet的出現(xiàn)，病毒比以往具有更大的危害性。Internet大大的加速了

21、病毒的傳播速度。 一個計(jì)算機(jī)病毒是一個程序，有時是破壞性的（但并不總是這樣）。它被設(shè)計(jì)為可以在計(jì)算機(jī)之間傳播，感染它所經(jīng)過的每一個地方?！案腥尽钡倪^程通常是病毒把自己附著于其他文件之中。2021/4/146病毒 這和特羅伊木馬有明顯不同。特羅伊木馬是一個靜態(tài)的程序，它存在于另外一個無害的程序之中。特羅伊木馬不能從一臺機(jī)器傳播到另外一臺機(jī)器，除非那個包含著特羅伊馬程序的程序被傳播。這些代碼執(zhí)行未經(jīng)授權(quán)的功能，或者提供一個后門。后門指的是一種隱蔽的方法，通過它攻擊者可以進(jìn)入那臺機(jī)器，并獲得控制權(quán)利。2021/4/147病毒 病毒是自我復(fù)制的。病毒的自我復(fù)制是通過把自己附著于某一類文件之中來進(jìn)行的。

22、 編制病毒也變得越來越簡單！ 有許多可以使用的病毒制造工具 Virus Creation Laboratories Virus Factory Virus Creation 2000 Virus Construction Set The Windows Virus Engine2021/4/148病毒 目前在Unix上的病毒較少，Unix的結(jié)構(gòu)決定了它不適合病毒的傳播。 病毒工具 Norton http:/ 等 目前也沒有根治病毒的有效方法，即使在采用了防病毒軟件之后，也一樣要經(jīng)常進(jìn)行備份。2021/4/149IP電子欺騙 IP電子欺騙就是偽造他人的源IP地址。其實(shí)質(zhì)就是讓一臺機(jī)器扮演另一臺機(jī)

23、器。 常見的攻擊過程 讓被替代的機(jī)器A休眠 發(fā)現(xiàn)目標(biāo)機(jī)器B的序列號規(guī)律 冒充機(jī)器A向機(jī)器B發(fā)出請求，算出機(jī)器應(yīng)該發(fā)來什么序列號，給出機(jī)器B想要的回應(yīng)。2021/4/150IP電子欺騙 這樣就可以利用機(jī)器B對機(jī)器A的信任關(guān)系進(jìn)行攻擊。 IP電子欺騙并不容易： 此技術(shù)只適用于少數(shù)平臺 這項(xiàng)技術(shù)復(fù)雜難懂，甚至對接密高手也是如此。 用戶可以很容易防范IP欺騙攻擊2021/4/151IP電子欺騙 怎樣防止IP欺騙的攻擊 在路由器上通過配置你的網(wǎng)絡(luò)系統(tǒng)參數(shù)，拒絕網(wǎng)絡(luò)中聲明來自本地的數(shù)據(jù)包。 其它形式的電子欺騙 DNS欺騙2021/4/152平臺安全性 漏洞 漏洞是指任意的允許非法用戶未經(jīng)授權(quán)獲得訪問許可或提高其訪問層次的硬件或軟件特征。 沒有一個系統(tǒng)是真正安全的，只能做到相對的安全。2021/4/153平臺安全性 存在不同類型的漏洞： 允許拒絕服務(wù)的漏洞 允許有權(quán)限的本地用戶未經(jīng)授權(quán)提高其權(quán)限的漏洞 允許外來團(tuán)體（在遠(yuǎn)程主機(jī)上）為經(jīng)受權(quán)訪問網(wǎng)絡(luò)2021/4/154平臺安全性 我們可以按照嚴(yán)重程度進(jìn)行分級： C級 允許惡意侵入者訪問可能會破壞整個系統(tǒng)的漏洞 常見缺省的CGI腳本 B級 允許本地用戶提高訪問權(quán)限，可能允許其獲得系統(tǒng)控制的漏洞 rsh, 暴露的/etc/passwd文件 A級 允許任何用戶中斷、降低或妨礙系統(tǒng)操作的漏洞 DoS2021/4/155平