黑客大曝光第一周

1、*黑客攻擊與防范1*黑客攻擊與防范2主要內(nèi)容：主要內(nèi)容： 一一. . 黑客介紹黑客介紹 二二. . 常見黑客攻擊舉例常見黑客攻擊舉例 三三. . 黑客攻擊的防范黑客攻擊的防范*黑客攻擊與防范3l常用掃描工具及其使用常用掃描工具及其使用l常見黑客攻擊常見黑客攻擊l黑客入侵的防范*黑客攻擊與防范4 常見的黑客攻擊常見的黑客攻擊 安全防范及其對策安全防范及其對策*黑客攻擊與防范5掌握以下內(nèi)容掌握以下內(nèi)容：l 黑客的起源及分類，常見的黑客攻擊方黑客的起源及分類，常見的黑客攻擊方法及入侵技術(shù)的發(fā)展法及入侵技術(shù)的發(fā)展l 常見的黑客攻擊與防范常見的黑客攻擊與防范*黑客攻擊與防范6 月11日上午8點(diǎn)多，中國移

2、動的網(wǎng)站首頁顯示的不是“移動信息專家”，而是一行涂鴉：“懇請移動的話費(fèi)能便宜點(diǎn)不”原來是中國移動網(wǎng)站遭到黑客突襲。 l黑客事件黑客事件*黑客攻擊與防范79月月12日日17點(diǎn)點(diǎn)30分，有北京、重慶等地的網(wǎng)友反映百度無法正常使用，分，有北京、重慶等地的網(wǎng)友反映百度無法正常使用，出現(xiàn)出現(xiàn)“請求超時請求超時”（）的信息。這次（）的信息。這次攻擊造成了百度搜索服務(wù)在全國各地出現(xiàn)了近攻擊造成了百度搜索服務(wù)在全國各地出現(xiàn)了近30分鐘的故障。隨后，百分鐘的故障。隨后，百度技術(shù)部門的員工們快速反應(yīng)，將問題解決并恢復(fù)百度服務(wù)。度技術(shù)部門的員工們快速反應(yīng)，將問題解決并恢復(fù)百度服務(wù)。9月月12日晚日晚上上11時時37

3、分，百度空間發(fā)表了針對不明攻擊事件的聲明。分，百度空間發(fā)表了針對不明攻擊事件的聲明。“今天下午，今天下午，百度遭受有史以來最大規(guī)模的不明身份黑客攻擊，導(dǎo)致百度搜索服務(wù)在百度遭受有史以來最大規(guī)模的不明身份黑客攻擊，導(dǎo)致百度搜索服務(wù)在全國各地出現(xiàn)了近全國各地出現(xiàn)了近30分鐘的故障。分鐘的故障。”百度首席技術(shù)官劉建國對記者說，百度首席技術(shù)官劉建國對記者說，“黑客使用的攻擊手段是同步泛濫黑客使用的攻擊手段是同步泛濫（），這是一種分布式服務(wù)拒絕（）（），這是一種分布式服務(wù)拒絕（）方法。就是通過大量的虛假地址，建立不完整連接，使服務(wù)超載，方法。就是通過大量的虛假地址，建立不完整連接，使服務(wù)超載，從而不能提

4、供正常的服務(wù)。從而不能提供正常的服務(wù)?！苯?jīng)過百度技術(shù)工程師與不明身份的黑客斗爭，百度的搜索服務(wù)已經(jīng)在經(jīng)過百度技術(shù)工程師與不明身份的黑客斗爭，百度的搜索服務(wù)已經(jīng)在12日傍晚恢復(fù)正常。日傍晚恢復(fù)正常。l黑客事件黑客事件2*黑客攻擊與防范8l 黑客起源的背景黑客起源的背景l(fā) 黑客分類黑客分類l 黑客攻擊的目的黑客攻擊的目的l 常見的黑客攻擊方法及入侵技術(shù)的發(fā)展常見的黑客攻擊方法及入侵技術(shù)的發(fā)展l 黑客攻擊策略步驟黑客攻擊策略步驟*黑客攻擊與防范9l起源地：起源地： 美國美國l精神支柱：精神支柱： 對技術(shù)的渴求對技術(shù)的渴求 對自由的渴求對自由的渴求l歷史背景：歷史背景： 越戰(zhàn)與反戰(zhàn)活動越戰(zhàn)與反戰(zhàn)活動

5、馬丁馬丁路德金與自由路德金與自由 嬉皮士與非主流文化嬉皮士與非主流文化 電話飛客與計算機(jī)革命電話飛客與計算機(jī)革命中國黑客發(fā)展歷史1998年印尼事件1999年南聯(lián)盟事件綠色兵團(tuán)南北分拆事件中美五一黑客大戰(zhàn)事件*黑客攻擊與防范10灰帽子破解者破解已有系統(tǒng)發(fā)現(xiàn)問題/漏洞突破極限/禁制展現(xiàn)自我計算機(jī)計算機(jī) 為人民服務(wù)為人民服務(wù)漏洞發(fā)現(xiàn) - Flashsky軟件破解 - 0 Day工具提供 - Glacier白帽子創(chuàng)新者白帽子創(chuàng)新者設(shè)計新系統(tǒng)設(shè)計新系統(tǒng)打破常規(guī)打破常規(guī)精研技術(shù)精研技術(shù)勇于創(chuàng)新勇于創(chuàng)新沒有最好，沒有最好， 只有更好只有更好MS -Bill GatesGNU -R.StallmanLinux

6、 -Linus善善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜人不為己，人不為己， 天誅地滅天誅地滅入侵者-K.米特尼克CIH - 陳盈豪攻擊Yahoo者 -匿名惡惡渴求自由*黑客攻擊與防范11 黑客的行為沒有惡意，而入侵者的行為具黑客的行為沒有惡意，而入侵者的行為具有惡意。有惡意。 在網(wǎng)絡(luò)世界里，要想?yún)^(qū)分開誰是真正意義在網(wǎng)絡(luò)世界里，要想?yún)^(qū)分開誰是真正意義上的黑客，誰是真正意義上的入侵者并不容易，上的黑客，誰是真正意義上的入侵者并不容易，因為有些人可能既是黑客，也是入侵者。而且因為有些人可能既是黑客，也是入侵者。而且在大多數(shù)人的眼里，黑客就是入侵者。所以，在大多數(shù)人的眼里，黑客就是入侵

7、者。所以，在以后的討論中不再區(qū)分黑客、入侵者，將他在以后的討論中不再區(qū)分黑客、入侵者，將他們視為同一類。們視為同一類。 *黑客攻擊與防范121竊取信息竊取信息2獲取口令獲取口令3控制中間站點(diǎn)控制中間站點(diǎn)4獲得超級用戶權(quán)限獲得超級用戶權(quán)限*黑客攻擊與防范1319801985199019952000密碼猜測密碼猜測可自動復(fù)制的代碼可自動復(fù)制的代碼密碼破解密碼破解利用已知的漏洞利用已知的漏洞破壞審計系統(tǒng)破壞審計系統(tǒng)后門后門會話劫持會話劫持擦除痕跡擦除痕跡嗅探嗅探包欺騙包欺騙GUI遠(yuǎn)程控制遠(yuǎn)程控制自動探測掃描自動探測掃描拒絕服務(wù)拒絕服務(wù)www 攻擊攻擊工具工具攻擊者攻擊者入侵者水平入侵者水平攻擊手法攻

8、擊手法半開放隱蔽掃描半開放隱蔽掃描控制臺入侵控制臺入侵檢測網(wǎng)絡(luò)管理檢測網(wǎng)絡(luò)管理DDOS 攻擊攻擊2002高高2005*黑客攻擊與防范14*黑客攻擊與防范15端口端口判斷判斷判斷判斷系統(tǒng)系統(tǒng)選擇選擇最簡最簡方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的服務(wù)服務(wù)獲取獲取系統(tǒng)系統(tǒng)一定一定權(quán)限權(quán)限提提升升為為最最高高權(quán)權(quán)限限安裝安裝多個多個系統(tǒng)系統(tǒng)后門后門清除清除入侵入侵腳印腳印攻擊其攻擊其他系統(tǒng)他系統(tǒng)獲取敏獲取敏感信息感信息作為其作為其他用途他用途*黑客攻擊與防范16l. 掃描工具推薦介紹掃描工具推薦介紹l. 系統(tǒng)攻擊之致命攻擊和系統(tǒng)攻擊之致命攻擊和“緩沖區(qū)溢出緩沖區(qū)溢出”l 3.網(wǎng)絡(luò)攻擊之上傳漏

9、洞和拒絕服務(wù)網(wǎng)絡(luò)攻擊之上傳漏洞和拒絕服務(wù)l 4. 軟件攻擊之軟件攻擊之特洛伊木馬特洛伊木馬*黑客攻擊與防范17（） Nmap(Network mapper)。這個號稱是目前最好的掃描工具，功能強(qiáng)大，用途多樣，支持多種平臺，靈活機(jī)動，方便易用，攜帶性強(qiáng)，留跡極少；不但能掃描出TCP/UDP端口，還能用于掃描/偵測大型網(wǎng)絡(luò)。 它在unix下的掃描速度極快,而且每一項均可達(dá)專業(yè)水準(zhǔn),特別是他根據(jù)指紋對操作系統(tǒng)的判斷.現(xiàn)在nmap有for nt版,而且有圖形界面,在國內(nèi)是nuke根據(jù)nmap的源碼編譯好的,在 。*黑客攻擊與防范18（） shadow security 目前非常紅火，功能非常強(qiáng)大。幾點(diǎn)

10、缺點(diǎn)：占目前非常紅火，功能非常強(qiáng)大。幾點(diǎn)缺點(diǎn)：占用的系統(tǒng)資源很大；不適合進(jìn)行大規(guī)模掃描；所有版用的系統(tǒng)資源很大；不適合進(jìn)行大規(guī)模掃描；所有版本均有一個本均有一個bug，就是在掃到，就是在掃到8383端口的端口的imail server時，會大規(guī)模誤報，而在檢測主機(jī)類型時也會有一定時，會大規(guī)模誤報，而在檢測主機(jī)類型時也會有一定偏差。但其作為一個非商業(yè)性的掃描器偏差。但其作為一個非商業(yè)性的掃描器,已經(jīng)難能可貴已經(jīng)難能可貴了?？梢栽诹?。可以在下載到最新版和注冊機(jī)。下載到最新版和注冊機(jī)。*黑客攻擊與防范19l使用的工具軟件是：使用的工具軟件是：SMBDie V1.0，該軟件對打了，該軟件對打了SP3、

11、SP4的計算機(jī)依然有效，必須打?qū)ｉT的的計算機(jī)依然有效，必須打?qū)ｉT的SMB補(bǔ)補(bǔ)丁，軟件的主界面如圖所示。丁，軟件的主界面如圖所示。 *黑客攻擊與防范20l攻擊的時候，需要兩個參數(shù)：對方的攻擊的時候，需要兩個參數(shù)：對方的IP地址和對方的地址和對方的機(jī)器名，窗口中分別輸入這兩項，如圖所示。機(jī)器名，窗口中分別輸入這兩項，如圖所示。*黑客攻擊與防范21l然后再點(diǎn)按鈕然后再點(diǎn)按鈕“Kill”，如果參數(shù)輸入沒有錯誤的話，對方，如果參數(shù)輸入沒有錯誤的話，對方計算機(jī)立刻重啟或藍(lán)屏，命中率幾乎計算機(jī)立刻重啟或藍(lán)屏，命中率幾乎100%，被攻擊的計，被攻擊的計算機(jī)藍(lán)屏界面如圖所示。算機(jī)藍(lán)屏界面如圖所示。*黑客攻擊與防

12、范22l系統(tǒng)是否就系統(tǒng)是否就安全了呢？安全了呢？*黑客攻擊與防范23討厭的討厭的Windows又出錯了！又出錯了！0 x41414141 ?到底表示什么到底表示什么意思呢？意思呢？不知道不知道.點(diǎn)確定，關(guān)掉算了！點(diǎn)確定，關(guān)掉算了！*黑客攻擊與防范24刻意調(diào)整這個地址，刻意調(diào)整這個地址，使它能指向一段系統(tǒng)調(diào)用程序，使它能指向一段系統(tǒng)調(diào)用程序，如如CMD.EXE*黑客攻擊與防范25*黑客攻擊與防范26*黑客攻擊與防范27*黑客攻擊與防范28*黑客攻擊與防范29l（）掃描找到有漏洞的地址后，直接用老兵的上傳工具（）掃描找到有漏洞的地址后，直接用老兵的上傳工具來把復(fù)雜的步驟變簡單，只要修改幾個數(shù)據(jù)就可

13、以。工具來把復(fù)雜的步驟變簡單，只要修改幾個數(shù)據(jù)就可以。工具界面如下圖：界面如下圖：*黑客攻擊與防范30l（）根據(jù)要求填寫相關(guān)數(shù)據(jù)，設(shè)置好后點(diǎn)擊（）根據(jù)要求填寫相關(guān)數(shù)據(jù)，設(shè)置好后點(diǎn)擊Submit按鈕。按鈕。*黑客攻擊與防范31 （）至此已經(jīng)成功的拿到webshell，如果服務(wù)器權(quán)限沒有限制即可以修改網(wǎng)站服務(wù)器上的任意文件。 *黑客攻擊與防范32l拒絕服務(wù)攻擊的簡稱是：拒絕服務(wù)攻擊的簡稱是：DoS（Denial of Service）攻擊，凡是造成目標(biāo)計算機(jī)拒絕提供服務(wù)的攻擊都稱攻擊，凡是造成目標(biāo)計算機(jī)拒絕提供服務(wù)的攻擊都稱為為DoS攻擊，其目的是使目標(biāo)計算機(jī)或網(wǎng)絡(luò)無法提供攻擊，其目的是使目標(biāo)計算

14、機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。正常的服務(wù)。l最常見的最常見的DoS攻擊是：計算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊是：計算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉，最后導(dǎo)致合法用戶的請所有可用的帶寬都被消耗掉，最后導(dǎo)致合法用戶的請求無法通過。連通性攻擊指用大量的連接請求沖擊計求無法通過。連通性攻擊指用大量的連接請求沖擊計算機(jī)，最終導(dǎo)致計算機(jī)無法再處理合法用戶的請求。算機(jī)，最終導(dǎo)致計算機(jī)無法再處理合法用戶的請求。*黑客攻擊與防范33l正常的三次握手建立通訊的過程SYN （我可以連接嗎？）（我可以連接嗎？）ACK

15、 （可以）（可以）/SYN（請確（請確認(rèn)?。┱J(rèn)！）ACK （確認(rèn)連接）（確認(rèn)連接）發(fā)起方發(fā)起方應(yīng)答方應(yīng)答方*黑客攻擊與防范34SYN （我可以連接嗎？）（我可以連接嗎？）ACK （可以）（可以）/SYN（請確認(rèn)?。ㄕ埓_認(rèn)?。┕粽吖粽呤芎φ呤芎φ邆卧斓刂愤M(jìn)行偽造地址進(jìn)行SYN請求請求為何為何還沒還沒回應(yīng)回應(yīng)就是就是讓你讓你白等白等不能建立正常的連接不能建立正常的連接*黑客攻擊與防范35正常正常tcp connect攻擊者攻擊者受害者受害者大量的大量的tcp connect這么多這么多需要處需要處理？理？不能建立正常的連接不能建立正常的連接正常正常tcp connect正常正常tcp con

16、nect正常正常tcp connect正常正常tcp connect正常用戶正常正常tcp connect*黑客攻擊與防范36 灰鴿子是國內(nèi)一款著名后門。比起前輩冰河、黑洞來，灰鴿灰鴿子是國內(nèi)一款著名后門。比起前輩冰河、黑洞來，灰鴿子可以說是國內(nèi)后門的集大成者。其豐富而強(qiáng)大的功能、靈活多子可以說是國內(nèi)后門的集大成者。其豐富而強(qiáng)大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀?？蛻舳撕喴妆阕兊牟僮?、良好的隱藏性使其他后門都相形見絀。客戶端簡易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下時，灰鴿子是一款優(yōu)秀的遠(yuǎn)程控制軟

17、件。時，灰鴿子是一款優(yōu)秀的遠(yuǎn)程控制軟件。 *黑客攻擊與防范37客戶端主界面如圖所示： *黑客攻擊與防范38特點(diǎn)：端口反彈木馬的工作原理，使防火墻形同虛設(shè) ：在傳輸層，和傳統(tǒng)的木馬恰恰相反，被控端（服務(wù)端）執(zhí)行客戶端的命令，但它不監(jiān)聽一個端口，而是主動去連接客戶端；客戶端給服務(wù)端下達(dá)命令，但它不主動去連接服務(wù)端，而是開一個端口監(jiān)聽服務(wù)端的連接。 反向連接，被控制電腦“自動上線”：灰鴿子是反向連接的木馬，也就是說，被控制電腦會主動連接控制端電腦。冰河、BO 2000這些傳統(tǒng)的木馬要連接被控端電腦必須告知客戶端被控電腦的IP地址和端口等信息，而灰鴿子則不同，灰鴿子的客戶端啟動后，被控制電腦會爭先連接

18、到客戶端，如同好友上線。*黑客攻擊與防范39功能：功能：l1)模枋Windows資源管理器，可以對被控制電腦上的文件進(jìn)行復(fù)制、粘貼、刪除、重命名、遠(yuǎn)程運(yùn)行等,可以上傳下載文件或文件夾,操作簡單易用；l2)可以查看被控制電腦的系統(tǒng)信息、剪切板上的信息等；可以遠(yuǎn)程操作被控制電腦的進(jìn)程、服務(wù)；可以遠(yuǎn)程禁用被控制電腦的共享和創(chuàng)建新的共享，還可以把被控制電腦設(shè)置為一臺代理服務(wù)器；l3)不但可以連繼的捕獲遠(yuǎn)程電腦屏幕，還能把本地的鼠標(biāo)及鍵盤操作傳送到被控制電腦，實(shí)現(xiàn)遠(yuǎn)程實(shí)時控制功能；l4)可以監(jiān)控被控電腦上的攝像頭,還有語音監(jiān)聽和發(fā)送功能，可以和被控電腦進(jìn)行語音對話。l5)灰鴿子還能模擬注冊表編輯器，操作

19、遠(yuǎn)程注冊表就像操作本地注冊表一樣方便；l6)命令廣播，如關(guān)機(jī)、重啟或打開網(wǎng)頁等，這樣單擊一個按鈕就可以讓多臺機(jī)器同時關(guān)機(jī)、重啟或打開網(wǎng)頁等。*黑客攻擊與防范40l 防火墻防火墻l 入侵檢測入侵檢測l 漏洞掃描漏洞掃描l 發(fā)現(xiàn)黑客發(fā)現(xiàn)黑客l 發(fā)現(xiàn)黑客入侵后的對策發(fā)現(xiàn)黑客入侵后的對策*黑客攻擊與防范41 訪問訪問控制控制 認(rèn)證認(rèn)證 NAT 加密加密 防病毒、內(nèi)容防病毒、內(nèi)容過濾過濾 流量管理流量管理*黑客攻擊與防范42 Firewall FirewallServersDMZDMZIDS AgentIntranetIntranet監(jiān)控中心監(jiān)控中心router攻擊者攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻

20、擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報警報警報警報警IDS Agent*黑客攻擊與防范43地方網(wǎng)管地方網(wǎng)管scanner監(jiān)控中心監(jiān)控中心地方網(wǎng)管地方網(wǎng)管地方網(wǎng)管地方網(wǎng)管地方網(wǎng)管地方網(wǎng)管地方網(wǎng)管地方網(wǎng)管*黑客攻擊與防范44市場部市場部工程部工程部routerouter r開發(fā)部開發(fā)部ServersServersFirewallFirewall*黑客攻擊與防范451. 在黑客正在活動時，捉住他在黑客正在活動時，捉住他2. 根據(jù)系統(tǒng)發(fā)生的一些改變推斷系統(tǒng)已被入侵根據(jù)系統(tǒng)發(fā)生的一些改變推斷系統(tǒng)已被入侵3. 根據(jù)系統(tǒng)中一些奇怪的現(xiàn)象判斷根據(jù)系統(tǒng)中一些奇怪的現(xiàn)象判斷4. 一個用戶登錄進(jìn)來許多次一個用戶登錄進(jìn)來許多次5. 一

21、個用戶大量地進(jìn)行網(wǎng)絡(luò)活動，或者其他一些一個用戶大量地進(jìn)行網(wǎng)絡(luò)活動，或者其他一些很不正常的網(wǎng)絡(luò)操作很不正常的網(wǎng)絡(luò)操作6. 一些原本不經(jīng)常使用的賬戶，突然變得活躍起一些原本不經(jīng)常使用的賬戶，突然變得活躍起來來*黑客攻擊與防范461.估計形勢估計形勢 當(dāng)證實(shí)遭到入侵時，采取的第一步行動是當(dāng)證實(shí)遭到入侵時，采取的第一步行動是盡可能快地估計入侵造成的破壞程度。盡可能快地估計入侵造成的破壞程度。 2. 采取措施采取措施 （1）殺死這個進(jìn)程來切斷黑客與系統(tǒng)的連接。）殺死這個進(jìn)程來切斷黑客與系統(tǒng)的連接。 （2）使用工具詢問他們究竟想要做什么。）使用工具詢問他們究竟想要做什么。 （3）跟蹤這個連接，找出黑客的來路和身份。）跟蹤這個連接，找出黑客的來路和身份。 *黑客攻擊與防范47（4）管理員可以使用一些工具來監(jiān)視黑客，觀）管理員可以使用一些工具來監(jiān)視黑客，觀察他們在做什么。這些工具包括察他們在做什么。這些工具包括snoop、ps、lastcomm和和ttywatch等。等。 （5）ps、w和和who這些命令可以報告每一個用戶這些命令可以報告每一個用戶使用的終端。如果黑客是從一個