計算機網(wǎng)絡安全技術第2章黑客常用的攻擊方法課件

第2章黑客常用的攻擊方法第2章黑客常用的攻擊方法1能力CAPACITY要求熟悉TCP/IP。了解黑客攻擊的常用手段和方法，掌握常用網(wǎng)絡安全技術。具有良好的職業(yè)道德。能力CAPACITY要求熟悉TCP/IP。了解黑客攻擊的常用2常用黑客技術的原理黑客發(fā)展的歷史黑客攻擊的防范常用黑客技術的原理黑客發(fā)展的歷史黑客攻擊的防范3一、黑客發(fā)展的歷史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震撼了整個世界。由原本寂寂無名的大學生羅伯特·莫里斯（22歲）制造的這個蠕蟲病毒入侵了大約6000個大學和軍事機構的計算機，使之癱瘓。此后，從CIH到美麗殺病毒，從尼姆達到紅色代碼，病毒、蠕蟲的發(fā)展愈演愈烈。一、黑客發(fā)展的歷史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震4一、黑客發(fā)展的歷史凱文?米特尼克是美國20世紀最著名的黑客之一，他是《社會工程學》的創(chuàng)始人1979年（15歲）他和他的伙伴侵入了“北美空中防務指揮系統(tǒng)”，翻閱了美國所有的核彈頭資料，令大人不可置信。不久破譯了美國“太平洋電話公司”某地的改戶密碼，隨意更改用戶的電話號碼。《欺騙的藝術》凱文?米特尼克一、黑客發(fā)展的歷史凱文?米特尼克是美國20世紀最著名的黑客之5一、黑客發(fā)展的歷史安全威脅發(fā)展趨勢一、黑客發(fā)展的歷史安全威脅發(fā)展趨勢6一、黑客發(fā)展的歷史攻擊復雜度與所需入侵知識關系圖一、黑客發(fā)展的歷史攻擊復雜度與所需入侵知識關系圖7一、黑客發(fā)展的歷史黑客入侵攻擊的一般過程目標地址范圍確定、名字空間查詢對目標系統(tǒng)的監(jiān)聽和評估分析收集足夠的信息，得以成功訪問目標從對用戶級的訪問權限到對系統(tǒng)的完全控制信息進一步攝取取一旦目標系統(tǒng)已全部控制，掩蹤滅跡不同部位布置陷阱和后門，需要時獲得特權訪問踩點掃描查點獲取訪問特權提升偷盜竊取掩蹤滅跡創(chuàng)建后門如果入侵不成功，可用漏洞代碼來使目標系統(tǒng)癱瘓拒絕服務打開源查詢；whois；whois的Web接口；ARINwhios；DNA區(qū)域傳送Pingsweep；TCP/UDP端口掃描；OS檢測列出用戶賬號；列出共享文件；確定各種應用密碼竊聽；共享文件的蠻力攻擊；攫取密碼；文件緩沖區(qū)溢出密碼破解；利用已知漏洞和脆弱點評估可信系統(tǒng)的堅固度；搜索明文密碼清除日志記錄；掩藏工具創(chuàng)建“無賴”賬號，；安排批處理作業(yè)；感染初啟動文件；植入遠程控制程序；安裝監(jiān)控機制；利用特洛伊木馬替換應用SYNflood；ICMP技術；統(tǒng)一scr/dstSYN請求；重疊fragment/offset錯誤（bugs）；OutofboundsTCPoption（008）；DDoS針對有效用戶賬號或共享資源，進行更多入侵探詢一、黑客發(fā)展的歷史黑客入侵攻擊的一般過程目標地址范圍確定、8常用黑客技術的原理黑客發(fā)展的歷史黑客攻擊的防范常用黑客技術的原理黑客發(fā)展的歷史黑客攻擊的防范9二、常用黑客技術的原理網(wǎng)絡踩點：收集IP地址范圍、域名信息等。網(wǎng)絡掃描：探測系統(tǒng)開放端口、操作系統(tǒng)類型、所運行的網(wǎng)絡服務，以及是否存在可利用的安全漏洞等。網(wǎng)絡查點：獲得用戶賬號、網(wǎng)絡服務類型和版本號等更細致的信息。常用的網(wǎng)絡信息收集技術【實驗】whois查詢二、常用黑客技術的原理網(wǎng)絡踩點：收集IP地址范圍、域名信息等10二、常用黑客技術的原理漏洞掃描的內容漏洞掃描123456系統(tǒng)開放的服務（端口掃描）各種弱口令漏洞、后門操作系統(tǒng)類型及版本網(wǎng)絡設備漏洞應用服務漏洞拒絕服務漏洞等網(wǎng)絡掃描器作用探測目標網(wǎng)絡結構，獲取目標系統(tǒng)的開放端口、操作系統(tǒng)類型、運行的網(wǎng)絡服務、存在的安全弱點等信息。二、常用黑客技術的原理漏洞掃描的內容漏洞掃描123411二、常用黑客技術的原理端口掃描器原理-預備知識應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層應用層應用程序應用程序傳輸層網(wǎng)絡層鏈路層TCPUDPICMPIPARP硬件接口RARP二、常用黑客技術的原理端口掃描器原理-預備知識應用層表示層會12二、常用黑客技術的原理預備知識-IP頭預備知識-TCP頭二、常用黑客技術的原理預備知識-IP頭預備知識-TCP頭13二、常用黑客技術的原理常用的掃描軟件Nmap（端口掃描器）NessusX-scan（綜合掃描器）ipscanNmap簡介(NetworkMapper)官方下載及文檔地址：/nmap/詳細操作步驟參見教材課堂演練一：端口掃描器Nmap二、常用黑客技術的原理常用的掃描軟件Nmap（端口掃描器）N14二、常用黑客技術的原理其他掃描方式：案例02OPTION01OPTION03OPTION04OPTIONPing掃描（-sP參數(shù)）TCPconnect()端口掃描（-sT參數(shù)）TCP同步（SYN）端口掃描（-sS參數(shù)）UDP端口掃描（-sU參數(shù)）02OPTION01OPTION03OPTIONFIN掃描（-sF）圣誕樹掃描（-sX）空掃描（-sN）二、常用黑客技術的原理其他掃描方式：案例02OPTION0115二、常用黑客技術的原理全連接掃描TCPconnect()掃描半連接掃描TCPSYN()掃描二、常用黑客技術的原理全連接掃描TCPconnect(16二、常用黑客技術的原理端口掃描的防范防火墻防火墻是不是能防范所有的端口掃描？提問二、常用黑客技術的原理端口掃描的防范防火墻防火墻是不是能防范17二、常用黑客技術的原理本部分內容安排學生自己完成詳細操作步驟參見教材課堂演練二：綜合掃描器X-scanNessus也是一款典型的綜合掃描器，其被認為是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件。

Nessus軟件采用C/S架構：詳細操作步驟參見教材課堂演練三：Nessus二、常用黑客技術的原理本部分內容安排學生自己完成課堂演練二：18二、常用黑客技術的原理口令破解01PRAT02PRAT03PRAT口令破解概述口令破解方法口令破解實驗（詳細操作步驟參見教材）二、常用黑客技術的原理口令破解01PRAT02PRAT03P19二、常用黑客技術的原理口令破解的防范標題關閉139端口強壯的密碼administrator賬戶重命名設置賬戶鎖定策略口令破解的防范二、常用黑客技術的原理口令破解的防范標題關閉139端口強壯的20二、常用黑客技術的原理Sniffer，中文可以翻譯為嗅探器,也就是我們所說的數(shù)據(jù)包捕獲器。采用這種技術，我們可以監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳輸?shù)男畔⒌鹊?。網(wǎng)絡監(jiān)聽技術Sniffer原理什么是Sniffer?網(wǎng)絡通信監(jiān)視軟件網(wǎng)絡故障診斷分析工具網(wǎng)絡性能優(yōu)化、管理系統(tǒng)它幫助你迅速隔離和解決網(wǎng)絡通訊問題、分析和優(yōu)化網(wǎng)絡性能和規(guī)劃網(wǎng)絡的發(fā)展。二、常用黑客技術的原理Sniffer，中文可以翻譯為嗅探器,21二、常用黑客技術的原理夢幻西游在網(wǎng)維大師無盤上容易掉線的問題（備注：41是夢幻西游的服務器）分析原因產(chǎn)生：

1、服務器發(fā)現(xiàn)客戶端非法，比如有外掛什么的，踢掉了客戶機；

2、服務器壓力大，踢掉了客戶機；

3、總之不是客戶端問題導致的掉線；案例二、常用黑客技術的原理夢幻西游在網(wǎng)維大師無盤上容易掉線的問題22二、常用黑客技術的原理網(wǎng)卡先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)計算機上的網(wǎng)卡驅動程序設置的接收模式判斷該不該接收，認為該接收就在接收后產(chǎn)生中斷信號通知CPU，認為不該接收就丟棄不管。CPU得到中斷信號產(chǎn)生中斷，操作系統(tǒng)就根據(jù)網(wǎng)卡驅動程序中設置的網(wǎng)卡中斷程序地址調用驅動程序接收數(shù)據(jù)，驅動程序接收數(shù)據(jù)后放入信號堆棧讓操作系統(tǒng)處理。網(wǎng)卡工作原理二、常用黑客技術的原理網(wǎng)卡先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)23二、常用黑客技術的原理網(wǎng)卡的工作模式能夠接收網(wǎng)絡中的廣播信息。廣播方式在此添加標題組播方式直接方式混雜模式（promiscuous）能夠接收組播數(shù)據(jù)。只有目的網(wǎng)卡才能接收該數(shù)據(jù)。能夠接收到一切通過它的數(shù)據(jù)。二、常用黑客技術的原理網(wǎng)卡的工作模式能夠接收網(wǎng)絡中的廣播信息24二、常用黑客技術的原理HUB工作原理二、常用黑客技術的原理HUB工作原理25二、常用黑客技術的原理交換環(huán)境下的SNIFF二、常用黑客技術的原理交換環(huán)境下的SNIFF26二、常用黑客技術的原理一個sniffer需要作的：網(wǎng)絡監(jiān)聽原理123把網(wǎng)卡置于混雜模式捕獲數(shù)據(jù)包分析數(shù)據(jù)包123二、常用黑客技術的原理一個sniffer需要作的：網(wǎng)絡監(jiān)聽原27二、常用黑客技術的原理常用的SNIFFwindows環(huán)境下UNUX環(huán)境下圖形界面的SNIFF、netxray、

snifferproUNUX環(huán)境下的sniff可以說是百花齊放，他們都有一個好處就是發(fā)布源代碼，當然也都是免費的。如sniffit、snoop、tcpdump、dsniff1、SnifferPro2、WireShark（06年夏天前稱為Ethereal）3、Netmonitor4、EffTechHTTPSniffer5、Iris二、常用黑客技術的原理常用的SNIFFwindows環(huán)境下28二、常用黑客技術的原理Wireshark的使用Wireshark的語法Sniffer演示實驗二、常用黑客技術的原理Wireshark的使用Sniffe29二、常用黑客技術的原理捕捉過濾器可以使用6種比較運算符：邏輯運算符（Logicale-xpressions）:二、常用黑客技術的原理捕捉過濾器可以使用6種比較運算符：邏輯30二、常用黑客技術的原理1.tcpdstport80

//捕捉目的TCP端口為80的封包。問題：怎么捕捉DNS包？2.host48

//捕捉目的或來源IP地址為48的封包。3.ipsrchost10.3.40.*

//捕捉來源IP地址為10.3.40.*

的封包。

4.etherhoste0-05-c5-44-b1-3c

//捕捉目的或來源MAC地址為e0-05-c5-44-b1-3c的封包。5.srcportrange2000-2500

//捕捉來源為UDP或TCP，并且端口號在2000至2500范圍內的封包。6.（srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8

//捕捉來源IP為2或者來源網(wǎng)絡為/16，目的地TCP端口號在200至10000之間，并且目的位于網(wǎng)絡/8內的所有封包。練習二、常用黑客技術的原理1.tcpdstport8031二、常用黑客技術的原理練習1.ip.addr==

//顯示來源或目的IP地址為的封包。2.ip.src!=orip.dst!=

//顯示來源不為或者目的不為的封包。3.tcp.port==80

//顯示來源或目的TCP端口號為80的封包。4.tcp.dstport==25

//顯示目的TCP端口號為25的封包。顯示過濾器二、常用黑客技術的原理練習顯示過濾器32二、常用黑客技術的原理【例1】嗅探FTP過程【例2】嗅探HTTP登錄郵箱的過程【例3】嗅探POP郵箱密碼的過程詳細操作步驟參見教材課堂演練使用WireShark分析TCP/IP建立連接的三次握手過程的數(shù)據(jù)包使用WireShark分析nmap各種掃描方式的數(shù)據(jù)包綜合演練二、常用黑客技術的原理【例1】嗅探FTP過程課堂演練使用W33常用黑客技術的原理黑客發(fā)展的歷史黑客攻擊的防范常用黑客技術的原理黑客發(fā)展的歷史黑客攻擊的防范34三、黑客攻擊的防范進行合理的網(wǎng)絡分段。用SSH/SSL建立加密連接，保證數(shù)據(jù)傳輸安全。Sniffer往往是入侵系統(tǒng)后使用的，用來收集信息，因此防止系統(tǒng)被突破。防止內部攻擊。AntiSniff工具用于檢測局域網(wǎng)中是否有機器處于混雜模式（不是免費的）。如何防止SNIFF三、黑客攻擊的防范進行合理的網(wǎng)絡分段。如何防止SNIFF35三、黑客攻擊的防范ARP欺騙的工作原理ARP欺騙攻擊三、黑客攻擊的防范ARP欺騙的工作原理ARP欺騙攻擊36三、黑客攻擊的防范交換環(huán)境下的ARP欺騙攻擊及其嗅探演示實驗實驗拓撲：ARP欺騙工具：SwitchSniffer詳細步驟參見教材三、黑客攻擊的防范交換環(huán)境下的ARP欺騙攻擊及其嗅探演示實驗37三、黑客攻擊的防范ARP命令靜態(tài)綁定網(wǎng)關ARP防火墻通過加密傳輸數(shù)據(jù)、使用VLAN技術細分網(wǎng)絡拓撲等方法，以降低ARP欺騙攻擊的危害后果ARP欺騙的防御三、黑客攻擊的防范ARP命令靜態(tài)綁定網(wǎng)關ARP欺騙的防御38三、黑客攻擊的防范木馬是一種基于遠程控制的黑客工具隱蔽性潛伏性危害性非授權性木馬（Trojanhorse）三、黑客攻擊的防范木馬是一種基于遠程控制的黑客工具木馬（Tr39三、黑客攻擊的防范木馬與病毒、遠程控制的區(qū)別40213病毒程序是以自發(fā)性的敗壞為目的木馬程序是依照黑客的命令來運作，主要目的是偷取文件、機密數(shù)據(jù)、個人隱私等行為。木馬和一般的遠程控制軟件的區(qū)別在于其隱蔽、非授權性。三、黑客攻擊的防范木馬與病毒、遠程控制的區(qū)別40213病毒程三、黑客攻擊的防范木馬的工作原理實際就是一個C/S模式的程序（里應外合）操作系統(tǒng)被植入木馬的PC（server程序）TCP/IP協(xié)議端口控制木馬的PC（client程序）操作系統(tǒng)TCP/IP協(xié)議端口控制端端口處于監(jiān)聽狀態(tài)三、黑客攻擊的防范木馬的工作原理實際就是一個C/S模式的程序41三、黑客攻擊的防范木馬的分類代理型FTP型下載型木馬遠程訪問型鍵盤記錄型密碼發(fā)送型破壞型三、黑客攻擊的防范木馬的分類代理型FTP型下載型木馬遠程訪問42三、黑客攻擊的防范木馬實施攻擊的步驟木馬偽裝信息反饋配置木馬啟動木馬遠程控制傳播木馬建立連接0102030405三、黑客攻擊的防范木馬實施攻擊的步驟木馬偽裝配置木馬啟動木馬43三、黑客攻擊的防范服務器端程序：G-server.exe客戶端程序：G-client.exe詳細步驟參見教材課堂演練一：冰河木馬的使用反彈端口類型的木馬服務器的配置服務器的工作方式遠程控制如何清除？課堂演練二：灰鴿子的使用三、黑客攻擊的防范服務器端程序：G-server.exe課堂44三、黑客攻擊的防范木馬文件的隱藏和偽裝文件的屬性捆綁到其他文件上文件的名字文件的位置文件的擴展名文件的圖標三、黑客攻擊的防范木馬文件的隱藏和偽裝文件的屬性捆綁45三、黑客攻擊的防范木馬運行時偽裝方法123在任務欄里隱藏在任務管理器里隱藏隱藏端口三、黑客攻擊的防范木馬運行時偽裝方法123在任務欄里隱藏在任46三、黑客攻擊的防范木馬的啟動方式win.inisystem.ini啟動組注冊表捆綁方式啟動偽裝在普通文件中設置在超級連接中三、黑客攻擊的防范木馬的啟動方式win.inisystem47三、黑客攻擊的防范查看端口檢查注冊表檢查DLL木馬檢查配置文件木馬的檢測發(fā)現(xiàn)木馬：檢查系統(tǒng)文件、注冊表、端口不要輕易使用來歷不明的軟件不熟悉的E-MAIL不打開常用殺毒軟件并及時升級合理使用防火墻木馬的防御三、黑客攻擊的防范查看端口木馬的檢測發(fā)現(xiàn)木馬：檢查系統(tǒng)文件、48三、黑客攻擊的防范流行木馬簡介流行木馬backorificeSubseven網(wǎng)絡公牛(Netbull)網(wǎng)絡神偷(Nethief)廣外男生（是廣外女生的一個變種）Netspy(網(wǎng)絡精靈)冰河三、黑客攻擊的防范流行木馬簡介流行木馬backorific49三、黑客攻擊的防范DoS--DenialofService：現(xiàn)在一般指導致服務器不能正常提供服務的攻擊。拒絕服務攻擊(DoS)1232002年10月全世界13臺DNS服務器同時受到了DDoS（分布式拒絕服務）攻擊。2009年5月19日，由于暴風影音軟件而導致“暴風門”全國斷網(wǎng)事件。2014年6月20日起，香港公投網(wǎng)站PopVote遭遇超大規(guī)模的DDoS攻擊DoS攻擊的事件3三、黑客攻擊的防范DoS--DenialofServic50三、黑客攻擊的防范DoS攻擊的分類0102以消耗目標主機的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊等）以消耗服務器鏈路的有效帶寬為目的（例如：蠕蟲）三、黑客攻擊的防范DoS攻擊的分類0102以消耗目標主機的51三、黑客攻擊的防范SYN攻擊的原理（1）目標主機SYNSYN/ACKACK等待應答SYN：同步SYN/ACK:同步/確認ACK：確認三、黑客攻擊的防范SYN攻擊的原理（1）目標主機SYNSYN52三、黑客攻擊的防范SYN攻擊的原理（2）....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標主機SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK應答.........不應答不應答重新發(fā)送三、黑客攻擊的防范SYN攻擊的原理（2）....SYN/AC53三、黑客攻擊的防范以windows為例SYN攻擊花費時間（秒）累計花費時間（秒）第一次，失敗33嘗試第1次，失敗69嘗試第2次，失敗1221嘗試第3次，失敗2445嘗試第4次，失敗4893嘗試第5次，失敗96189三、黑客攻擊的防范以windows為例SYN攻擊花費時間（54三、黑客攻擊的防范synkiller（圖形界面工具）syn等（DOS界面工具）【攻擊效果】可通過抓包和查看CPU的利用率來觀看攻擊效果思考題

掃描器中的半連接掃描是不是也構成SYN攻擊？課堂演練——SYN攻擊三、黑客攻擊的防范synkiller（圖形界面工具）課堂演55三、黑客攻擊的防范行行色色的DOS攻擊DOS攻擊1234SYNFlood淚珠（Teardrop）攻擊死亡之pingLand攻擊三、黑客攻擊的防范行行色色的DOS攻擊DOS攻擊1234SY56三、黑客攻擊的防范DDoS攻擊案例案例12012年2月巴西銀行成為了分布式拒絕服務攻擊的目標。巴西匯豐銀行、巴西銀行、ItauUnibancoMultiploSA銀行和布拉德斯科銀行都遭到了大規(guī)模攻擊。攻擊中，黑客利用的正是DDoS。2015年某網(wǎng)絡游戲進行上線公測，公測前10分鐘，主力機房遭遇DDoS攻擊，帶寬瞬間被占滿，上游路由節(jié)點被打癱，游戲發(fā)行商被迫宣布停止公測。案例2三、黑客攻擊的防范DDoS攻擊案例案例12012年2月巴西57三、黑客攻擊的防范DDOS攻擊的威力2015年DDoS阿里云云盾防御的最大攻擊峰值流量為477Gbps。2015預測2016年整個互聯(lián)網(wǎng)可能會發(fā)生流量在800Gbps－1TGbps之間的攻擊事件。2016三、黑客攻擊的防范DDOS攻擊的威力2015年DDoS阿里云58三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊攻擊者各種客戶主機目標系統(tǒng)安置代理代理程序1、攻擊者攻擊諸客戶主機以求分析他們的安全水平和脆弱性。2、攻擊者進入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機之內(“肉雞”)，并且秘密地安置一個其可遠程控制的代理程序(端口監(jiān)督程序demon)。攻擊準備：三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊攻擊者各種59三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊目標系統(tǒng)攻擊者指令攻擊的代理程序虛假的連接請求

3、攻擊者使他的全部代理程序同時發(fā)送由殘缺的數(shù)字包構成的連接請求送至目標系統(tǒng)。發(fā)起攻擊：4、包括虛假的連接請求在內的大量殘缺的數(shù)字包攻擊目標系統(tǒng)，最終將導致它因通信淤塞而崩潰。三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊目標系統(tǒng)攻60三、黑客攻擊的防范實驗拓撲：詳細步驟參見教材TFN分布式拒絕服務攻擊實驗三、黑客攻擊的防范TFN分布式拒絕服務攻擊實驗61三、黑客攻擊的防范詳細步驟參見教材冰盾防火墻的演示實驗三、黑客攻擊的防范詳細步驟參見教材冰盾防火墻的演示實驗62三、黑客攻擊的防范DNS反射攻擊的原理中小貸款攻擊者/僵尸主機偽造受害者發(fā)起大量DNS查詢請求開放DNS遞歸服務器DNS服務器回應大量查詢響應1M的流量發(fā)出大量模擬被攻擊者的DNS請求被攻擊者100M的流量100M的流量1M的流量發(fā)出大量模擬被攻擊者的DNS請求三、黑客攻擊的防范DNS反射攻擊的原理中小貸款攻擊者/僵63三、黑客攻擊的防范針對應用程序---2013年25%的DDOS攻擊將是基于應用程序。利用高速帶寬---在2012年下半年美國銀行遭受到一類新的破壞性DDoS攻擊，有時高達70Gbps的網(wǎng)絡流量沖擊了銀行自有互聯(lián)網(wǎng)管道。個性化攻擊三、黑客攻擊的防范針對應用程序---2013年25%的DDO64三、黑客攻擊的防范緩沖區(qū)溢出（bufferoverflow)從一個對話框說起……三、黑客攻擊的防范緩沖區(qū)溢出（bufferoverflow65三、黑客攻擊的防范【引例】把1升的水注入容量為0.5升的容量中……認識緩沖區(qū)溢出第一次大規(guī)模的緩沖區(qū)溢出攻擊是發(fā)生在1988年的Morris蠕蟲，它造成了6000多臺機器被癱瘓，損失在$100000至$10000000之間，利用的攻擊方法之一就是fingerd的緩沖區(qū)溢出。緩沖區(qū)溢出攻擊已經(jīng)占了網(wǎng)絡攻擊的絕大多數(shù)，據(jù)統(tǒng)計，大約80%的安全事件與緩沖區(qū)溢出攻擊有關。三、黑客攻擊的防范【引例】把1升的水注入容量為0.5升的容量66三、黑客攻擊的防范緩沖區(qū)溢出原理Windows系統(tǒng)的內存結構三、黑客攻擊的防范緩沖區(qū)溢出原理Windows系統(tǒng)的內存結構67三、黑客攻擊的防范計算機運行時，系統(tǒng)將內存劃分為3個段，分別是代碼段、數(shù)據(jù)段和堆棧段。 Windows系統(tǒng)的內存結構數(shù)據(jù)只讀，可執(zhí)行。在代碼段一切數(shù)據(jù)不允許更改。在代碼段中的數(shù)據(jù)是在編譯時生成的2進制機器代碼，可供CPU執(zhí)行。放置程序運行時動態(tài)的局部變量，即局部變量的空間被分配在堆棧里面?？勺x、寫。靜態(tài)全局變量是位于數(shù)據(jù)段并且在程序開始運行的時候被加載。可讀、寫。代碼段堆棧段數(shù)據(jù)段三、黑客攻擊的防范計算機運行時，系統(tǒng)將內存劃分為3個段，分別68三、黑客攻擊的防范緩沖區(qū)溢出源于程序執(zhí)行時需要存放數(shù)據(jù)的空間，也即我們所說的緩沖區(qū)。緩沖區(qū)的大小是程序執(zhí)行時固定申請的。然而，某些時候，在緩沖區(qū)內裝載的數(shù)據(jù)大小是用戶輸入的數(shù)據(jù)決定的。程序開發(fā)人員偶爾疏忽了對用戶輸入的這些數(shù)據(jù)作長度檢查，由于用戶非法操作或者錯誤操作，輸入的數(shù)據(jù)占滿了緩沖區(qū)的所有空間，且超越了緩沖區(qū)邊界延伸到緩沖區(qū)以外的空間。我們稱這個動作為緩沖區(qū)溢出。緩沖區(qū)溢出的基本原理（1）緩沖區(qū)溢出是由于系統(tǒng)和軟件本身存在脆弱點所導致的。例如目前被廣泛使用的C和C++，這些語言在編譯的時候沒有做內存檢查，即數(shù)組的邊界檢查和指針的引用檢查，也就是開發(fā)人員必須做這些檢查，可是這些事情往往被開發(fā)人員忽略了；標準C庫中還存在許多不安全的字符串操作函數(shù)，包括：strcpy()，sprintf()，gets()等等，從而帶來了很多脆弱點，這些脆弱點也便成了緩沖區(qū)溢出漏洞。緩沖區(qū)溢出的基本原理（2）三、黑客攻擊的防范緩沖區(qū)溢出源于程序執(zhí)行時需要存放數(shù)據(jù)的空間69三、黑客攻擊的防范/**文件名：overflow.cpp*功能：演示W(wǎng)indows緩沖區(qū)溢出的機制*/#include<stdio.h>#include<string.h>charbigbuff[]=“aaaaaaaaaa";//10個avoidmain(){

charsmallbuff[5];//只分配了5字節(jié)的空間strcpy(smallbuff,bigbuff);}Windows緩沖區(qū)溢出實例分析利用OllyDbg調試工具加載overflow.exe文件三、黑客攻擊的防范/*Windows緩沖區(qū)溢出實例分析利用70三、黑客攻擊的防范調用strcpy()函數(shù)時堆棧的填充情況三、黑客攻擊的防范調用strcpy()函數(shù)時堆棧的填充情況71三、黑客攻擊的防范執(zhí)行strcpy()函數(shù)的過程溢出結果三、黑客攻擊的防范執(zhí)行strcpy()函數(shù)的過程溢出結果72三、黑客攻擊的防范可以導致程序運行失敗、重新啟動等后果。更為嚴重的是，可以利用它執(zhí)行非授權指令，甚至可以取得系統(tǒng)特權，進而進行各種非法操作。而緩沖區(qū)溢出中，最為危險的是堆棧溢出，因為入侵者可以利用堆棧溢出，在函數(shù)返回時改變返回程序的地址，讓其跳轉到任意地址，帶來的危害一種是程序崩潰導致拒絕服務，另外一種就是跳轉并且執(zhí)行一段惡意代碼，比如得到shell，然后為所欲為。緩沖區(qū)溢出的危害三、黑客攻擊的防范可以導致程序運行失敗、重新啟動等后果。更為73三、黑客攻擊的防范2000年1月，Cerberus安全小組發(fā)布了微軟的IIS4/5存在的一個緩沖區(qū)溢出漏洞。攻擊該漏洞，可以使Web服務器崩潰，甚至獲取超級權限執(zhí)行任意的代碼。目前，微軟的IIS4/5是一種主流的Web服務器程序；因而，該緩沖區(qū)溢出漏洞對于網(wǎng)站的安全構成了極大的威脅；它的描述如下：瀏覽器向IIS提出一個HTTP請求，在域名（或IP地址）后，加上一個文件名，該文件名以“.htr”做后綴。于是IIS認為客戶端正在請求一個“.htr”文件，“.htr”擴展文件被映像成ISAPI（InternetServiceAPI）應用程序，IIS會復位向所有針對“.htr”資源的請求到ISM.DLL程序，ISM.DLL打開這個文件并執(zhí)行之。瀏覽器提交的請求中包含的文件名存儲在局部變量緩沖區(qū)中，若它很長，超過600個字符時，會導致局部變量緩沖區(qū)溢出，覆蓋返回地址空間，使IIS崩潰。緩沖區(qū)溢出攻擊的實驗分析三、黑客攻擊的防范2000年1月，Cerberus安全小組74三、黑客攻擊的防范上述的緩沖區(qū)溢出例子中，只是出現(xiàn)了一般的拒絕服務的效果。但是，實際情況往往并不是這么簡單。當黑客精心設計這一EIP，使得程序發(fā)生溢出之后改變正常流程，轉而去執(zhí)行他們設計好的一段代碼（也即ShellCode），攻擊者就能獲取對系統(tǒng)的控制，利用ShellCode實現(xiàn)各種功能，比如，監(jiān)聽一個端口，添加一個用戶，等等。這也正是緩沖區(qū)溢出攻擊的基本原理。目前流行的緩沖區(qū)溢出病毒，如沖擊波蠕蟲、震蕩波蠕蟲等，就都是采用同樣的緩沖區(qū)溢出攻擊方法對用戶的計算機進行攻擊的。緩沖區(qū)溢出攻擊三、黑客攻擊的防范上述的緩沖區(qū)溢出例子中，只是出現(xiàn)了一般的拒75三、黑客攻擊的防范流行的緩沖區(qū)溢出攻擊病毒利用漏洞：RPC緩沖區(qū)溢出135/TCP沖擊波在此添加標題震蕩波極速波高波利用漏洞：LSASS漏洞1025/TCP利用漏洞：UPNP漏洞445/TCP利用多種漏洞,非常危險三、黑客攻擊的防范流行的緩沖區(qū)溢出攻擊病毒利用漏洞：RPC緩76三、黑客攻擊的防范防范緩沖區(qū)溢出攻擊的有效措施強制程序開發(fā)人員書寫正確的、安全的代碼。目前，可以借助grep、FaultInjection、PurifyPlus等工具幫助開發(fā)人員發(fā)現(xiàn)程序中的安全漏洞。通過對數(shù)組的讀寫操作進行邊界檢查來實現(xiàn)緩沖區(qū)的保護，使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除了緩沖區(qū)溢出的威脅。常見的對數(shù)組操作進行檢查的工具有CompaqC編譯器，RichardJones和PaulKelly開發(fā)的gcc補丁等。三、黑客攻擊的防范防范緩沖區(qū)溢出攻擊的有效措施強制程序開發(fā)77三、黑客攻擊的防范通過操作系統(tǒng)設置緩沖區(qū)的堆棧段為不可執(zhí)行，從而阻止攻擊者向其中植入攻擊代碼。微軟的DEP（數(shù)據(jù)執(zhí)行保護）技術微軟的DEP（數(shù)據(jù)執(zhí)行保護）技術（WindowsXPSP2、WindowsServer2003SP1及其更高版本的Windows操作系統(tǒng)中）三、黑客攻擊的防范通過操作系統(tǒng)設置緩沖區(qū)的堆棧段為不可執(zhí)行，78三、黑客攻擊的防范經(jīng)典溢出流程啟用DEP后流程三、黑客攻擊的防范經(jīng)典溢出流程啟用DEP后流程79三、黑客攻擊的防范TCP會話劫持的工作原理：TCP會話劫持實驗拓撲：三、黑客攻擊的防范TCP會話劫持的工作原理：TCP會話劫持實80三、黑客攻擊的防范檢測：查看網(wǎng)絡中是否存在ACK風暴TCP會話劫持攻擊的檢測和防范防范：采用加密機制加密客戶端和服務器之間的通信過程：例如使用SSH代替Telnet、使用SSL代替HTTP，使用IPSec/VPN避免攻擊者成為客戶端和服務器通信雙方的中間人：采用靜態(tài)綁定MAC地址方法以防范ARP欺騙；過濾ICMP路由重定向報文以防范ICMP路由重定向攻擊三、黑客攻擊的防范檢測：TCP會話劫持攻擊的檢測和防范防范：81THANKSTHANKS82第2章黑客常用的攻擊方法第2章黑客常用的攻擊方法83能力CAPACITY要求熟悉TCP/IP。了解黑客攻擊的常用手段和方法，掌握常用網(wǎng)絡安全技術。具有良好的職業(yè)道德。能力CAPACITY要求熟悉TCP/IP。了解黑客攻擊的常用84常用黑客技術的原理黑客發(fā)展的歷史黑客攻擊的防范常用黑客技術的原理黑客發(fā)展的歷史黑客攻擊的防范85一、黑客發(fā)展的歷史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震撼了整個世界。由原本寂寂無名的大學生羅伯特·莫里斯（22歲）制造的這個蠕蟲病毒入侵了大約6000個大學和軍事機構的計算機，使之癱瘓。此后，從CIH到美麗殺病毒，從尼姆達到紅色代碼，病毒、蠕蟲的發(fā)展愈演愈烈。一、黑客發(fā)展的歷史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震86一、黑客發(fā)展的歷史凱文?米特尼克是美國20世紀最著名的黑客之一，他是《社會工程學》的創(chuàng)始人1979年（15歲）他和他的伙伴侵入了“北美空中防務指揮系統(tǒng)”，翻閱了美國所有的核彈頭資料，令大人不可置信。不久破譯了美國“太平洋電話公司”某地的改戶密碼，隨意更改用戶的電話號碼?！镀垓_的藝術》凱文?米特尼克一、黑客發(fā)展的歷史凱文?米特尼克是美國20世紀最著名的黑客之87一、黑客發(fā)展的歷史安全威脅發(fā)展趨勢一、黑客發(fā)展的歷史安全威脅發(fā)展趨勢88一、黑客發(fā)展的歷史攻擊復雜度與所需入侵知識關系圖一、黑客發(fā)展的歷史攻擊復雜度與所需入侵知識關系圖89一、黑客發(fā)展的歷史黑客入侵攻擊的一般過程目標地址范圍確定、名字空間查詢對目標系統(tǒng)的監(jiān)聽和評估分析收集足夠的信息，得以成功訪問目標從對用戶級的訪問權限到對系統(tǒng)的完全控制信息進一步攝取取一旦目標系統(tǒng)已全部控制，掩蹤滅跡不同部位布置陷阱和后門，需要時獲得特權訪問踩點掃描查點獲取訪問特權提升偷盜竊取掩蹤滅跡創(chuàng)建后門如果入侵不成功，可用漏洞代碼來使目標系統(tǒng)癱瘓拒絕服務打開源查詢；whois；whois的Web接口；ARINwhios；DNA區(qū)域傳送Pingsweep；TCP/UDP端口掃描；OS檢測列出用戶賬號；列出共享文件；確定各種應用密碼竊聽；共享文件的蠻力攻擊；攫取密碼；文件緩沖區(qū)溢出密碼破解；利用已知漏洞和脆弱點評估可信系統(tǒng)的堅固度；搜索明文密碼清除日志記錄；掩藏工具創(chuàng)建“無賴”賬號，；安排批處理作業(yè)；感染初啟動文件；植入遠程控制程序；安裝監(jiān)控機制；利用特洛伊木馬替換應用SYNflood；ICMP技術；統(tǒng)一scr/dstSYN請求；重疊fragment/offset錯誤（bugs）；OutofboundsTCPoption（008）；DDoS針對有效用戶賬號或共享資源，進行更多入侵探詢一、黑客發(fā)展的歷史黑客入侵攻擊的一般過程目標地址范圍確定、90常用黑客技術的原理黑客發(fā)展的歷史黑客攻擊的防范常用黑客技術的原理黑客發(fā)展的歷史黑客攻擊的防范91二、常用黑客技術的原理網(wǎng)絡踩點：收集IP地址范圍、域名信息等。網(wǎng)絡掃描：探測系統(tǒng)開放端口、操作系統(tǒng)類型、所運行的網(wǎng)絡服務，以及是否存在可利用的安全漏洞等。網(wǎng)絡查點：獲得用戶賬號、網(wǎng)絡服務類型和版本號等更細致的信息。常用的網(wǎng)絡信息收集技術【實驗】whois查詢二、常用黑客技術的原理網(wǎng)絡踩點：收集IP地址范圍、域名信息等92二、常用黑客技術的原理漏洞掃描的內容漏洞掃描123456系統(tǒng)開放的服務（端口掃描）各種弱口令漏洞、后門操作系統(tǒng)類型及版本網(wǎng)絡設備漏洞應用服務漏洞拒絕服務漏洞等網(wǎng)絡掃描器作用探測目標網(wǎng)絡結構，獲取目標系統(tǒng)的開放端口、操作系統(tǒng)類型、運行的網(wǎng)絡服務、存在的安全弱點等信息。二、常用黑客技術的原理漏洞掃描的內容漏洞掃描123493二、常用黑客技術的原理端口掃描器原理-預備知識應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層應用層應用程序應用程序傳輸層網(wǎng)絡層鏈路層TCPUDPICMPIPARP硬件接口RARP二、常用黑客技術的原理端口掃描器原理-預備知識應用層表示層會94二、常用黑客技術的原理預備知識-IP頭預備知識-TCP頭二、常用黑客技術的原理預備知識-IP頭預備知識-TCP頭95二、常用黑客技術的原理常用的掃描軟件Nmap（端口掃描器）NessusX-scan（綜合掃描器）ipscanNmap簡介(NetworkMapper)官方下載及文檔地址：/nmap/詳細操作步驟參見教材課堂演練一：端口掃描器Nmap二、常用黑客技術的原理常用的掃描軟件Nmap（端口掃描器）N96二、常用黑客技術的原理其他掃描方式：案例02OPTION01OPTION03OPTION04OPTIONPing掃描（-sP參數(shù)）TCPconnect()端口掃描（-sT參數(shù)）TCP同步（SYN）端口掃描（-sS參數(shù)）UDP端口掃描（-sU參數(shù)）02OPTION01OPTION03OPTIONFIN掃描（-sF）圣誕樹掃描（-sX）空掃描（-sN）二、常用黑客技術的原理其他掃描方式：案例02OPTION0197二、常用黑客技術的原理全連接掃描TCPconnect()掃描半連接掃描TCPSYN()掃描二、常用黑客技術的原理全連接掃描TCPconnect(98二、常用黑客技術的原理端口掃描的防范防火墻防火墻是不是能防范所有的端口掃描？提問二、常用黑客技術的原理端口掃描的防范防火墻防火墻是不是能防范99二、常用黑客技術的原理本部分內容安排學生自己完成詳細操作步驟參見教材課堂演練二：綜合掃描器X-scanNessus也是一款典型的綜合掃描器，其被認為是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件。

Nessus軟件采用C/S架構：詳細操作步驟參見教材課堂演練三：Nessus二、常用黑客技術的原理本部分內容安排學生自己完成課堂演練二：100二、常用黑客技術的原理口令破解01PRAT02PRAT03PRAT口令破解概述口令破解方法口令破解實驗（詳細操作步驟參見教材）二、常用黑客技術的原理口令破解01PRAT02PRAT03P101二、常用黑客技術的原理口令破解的防范標題關閉139端口強壯的密碼administrator賬戶重命名設置賬戶鎖定策略口令破解的防范二、常用黑客技術的原理口令破解的防范標題關閉139端口強壯的102二、常用黑客技術的原理Sniffer，中文可以翻譯為嗅探器,也就是我們所說的數(shù)據(jù)包捕獲器。采用這種技術，我們可以監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳輸?shù)男畔⒌鹊?。網(wǎng)絡監(jiān)聽技術Sniffer原理什么是Sniffer?網(wǎng)絡通信監(jiān)視軟件網(wǎng)絡故障診斷分析工具網(wǎng)絡性能優(yōu)化、管理系統(tǒng)它幫助你迅速隔離和解決網(wǎng)絡通訊問題、分析和優(yōu)化網(wǎng)絡性能和規(guī)劃網(wǎng)絡的發(fā)展。二、常用黑客技術的原理Sniffer，中文可以翻譯為嗅探器,103二、常用黑客技術的原理夢幻西游在網(wǎng)維大師無盤上容易掉線的問題（備注：41是夢幻西游的服務器）分析原因產(chǎn)生：

1、服務器發(fā)現(xiàn)客戶端非法，比如有外掛什么的，踢掉了客戶機；

2、服務器壓力大，踢掉了客戶機；

3、總之不是客戶端問題導致的掉線；案例二、常用黑客技術的原理夢幻西游在網(wǎng)維大師無盤上容易掉線的問題104二、常用黑客技術的原理網(wǎng)卡先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)計算機上的網(wǎng)卡驅動程序設置的接收模式判斷該不該接收，認為該接收就在接收后產(chǎn)生中斷信號通知CPU，認為不該接收就丟棄不管。CPU得到中斷信號產(chǎn)生中斷，操作系統(tǒng)就根據(jù)網(wǎng)卡驅動程序中設置的網(wǎng)卡中斷程序地址調用驅動程序接收數(shù)據(jù)，驅動程序接收數(shù)據(jù)后放入信號堆棧讓操作系統(tǒng)處理。網(wǎng)卡工作原理二、常用黑客技術的原理網(wǎng)卡先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)105二、常用黑客技術的原理網(wǎng)卡的工作模式能夠接收網(wǎng)絡中的廣播信息。廣播方式在此添加標題組播方式直接方式混雜模式（promiscuous）能夠接收組播數(shù)據(jù)。只有目的網(wǎng)卡才能接收該數(shù)據(jù)。能夠接收到一切通過它的數(shù)據(jù)。二、常用黑客技術的原理網(wǎng)卡的工作模式能夠接收網(wǎng)絡中的廣播信息106二、常用黑客技術的原理HUB工作原理二、常用黑客技術的原理HUB工作原理107二、常用黑客技術的原理交換環(huán)境下的SNIFF二、常用黑客技術的原理交換環(huán)境下的SNIFF108二、常用黑客技術的原理一個sniffer需要作的：網(wǎng)絡監(jiān)聽原理123把網(wǎng)卡置于混雜模式捕獲數(shù)據(jù)包分析數(shù)據(jù)包123二、常用黑客技術的原理一個sniffer需要作的：網(wǎng)絡監(jiān)聽原109二、常用黑客技術的原理常用的SNIFFwindows環(huán)境下UNUX環(huán)境下圖形界面的SNIFF、netxray、

snifferproUNUX環(huán)境下的sniff可以說是百花齊放，他們都有一個好處就是發(fā)布源代碼，當然也都是免費的。如sniffit、snoop、tcpdump、dsniff1、SnifferPro2、WireShark（06年夏天前稱為Ethereal）3、Netmonitor4、EffTechHTTPSniffer5、Iris二、常用黑客技術的原理常用的SNIFFwindows環(huán)境下110二、常用黑客技術的原理Wireshark的使用Wireshark的語法Sniffer演示實驗二、常用黑客技術的原理Wireshark的使用Sniffe111二、常用黑客技術的原理捕捉過濾器可以使用6種比較運算符：邏輯運算符（Logicale-xpressions）:二、常用黑客技術的原理捕捉過濾器可以使用6種比較運算符：邏輯112二、常用黑客技術的原理1.tcpdstport80

//捕捉目的TCP端口為80的封包。問題：怎么捕捉DNS包？2.host48

//捕捉目的或來源IP地址為48的封包。3.ipsrchost10.3.40.*

//捕捉來源IP地址為10.3.40.*

的封包。

4.etherhoste0-05-c5-44-b1-3c

//捕捉目的或來源MAC地址為e0-05-c5-44-b1-3c的封包。5.srcportrange2000-2500

//捕捉來源為UDP或TCP，并且端口號在2000至2500范圍內的封包。6.（srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8

//捕捉來源IP為2或者來源網(wǎng)絡為/16，目的地TCP端口號在200至10000之間，并且目的位于網(wǎng)絡/8內的所有封包。練習二、常用黑客技術的原理1.tcpdstport80113二、常用黑客技術的原理練習1.ip.addr==

//顯示來源或目的IP地址為的封包。2.ip.src!=orip.dst!=

//顯示來源不為或者目的不為的封包。3.tcp.port==80

//顯示來源或目的TCP端口號為80的封包。4.tcp.dstport==25

//顯示目的TCP端口號為25的封包。顯示過濾器二、常用黑客技術的原理練習顯示過濾器114二、常用黑客技術的原理【例1】嗅探FTP過程【例2】嗅探HTTP登錄郵箱的過程【例3】嗅探POP郵箱密碼的過程詳細操作步驟參見教材課堂演練使用WireShark分析TCP/IP建立連接的三次握手過程的數(shù)據(jù)包使用WireShark分析nmap各種掃描方式的數(shù)據(jù)包綜合演練二、常用黑客技術的原理【例1】嗅探FTP過程課堂演練使用W115常用黑客技術的原理黑客發(fā)展的歷史黑客攻擊的防范常用黑客技術的原理黑客發(fā)展的歷史黑客攻擊的防范116三、黑客攻擊的防范進行合理的網(wǎng)絡分段。用SSH/SSL建立加密連接，保證數(shù)據(jù)傳輸安全。Sniffer往往是入侵系統(tǒng)后使用的，用來收集信息，因此防止系統(tǒng)被突破。防止內部攻擊。AntiSniff工具用于檢測局域網(wǎng)中是否有機器處于混雜模式（不是免費的）。如何防止SNIFF三、黑客攻擊的防范進行合理的網(wǎng)絡分段。如何防止SNIFF117三、黑客攻擊的防范ARP欺騙的工作原理ARP欺騙攻擊三、黑客攻擊的防范ARP欺騙的工作原理ARP欺騙攻擊118三、黑客攻擊的防范交換環(huán)境下的ARP欺騙攻擊及其嗅探演示實驗實驗拓撲：ARP欺騙工具：SwitchSniffer詳細步驟參見教材三、黑客攻擊的防范交換環(huán)境下的ARP欺騙攻擊及其嗅探演示實驗119三、黑客攻擊的防范ARP命令靜態(tài)綁定網(wǎng)關ARP防火墻通過加密傳輸數(shù)據(jù)、使用VLAN技術細分網(wǎng)絡拓撲等方法，以降低ARP欺騙攻擊的危害后果ARP欺騙的防御三、黑客攻擊的防范ARP命令靜態(tài)綁定網(wǎng)關ARP欺騙的防御120三、黑客攻擊的防范木馬是一種基于遠程控制的黑客工具隱蔽性潛伏性危害性非授權性木馬（Trojanhorse）三、黑客攻擊的防范木馬是一種基于遠程控制的黑客工具木馬（Tr121三、黑客攻擊的防范木馬與病毒、遠程控制的區(qū)別122213病毒程序是以自發(fā)性的敗壞為目的木馬程序是依照黑客的命令來運作，主要目的是偷取文件、機密數(shù)據(jù)、個人隱私等行為。木馬和一般的遠程控制軟件的區(qū)別在于其隱蔽、非授權性。三、黑客攻擊的防范木馬與病毒、遠程控制的區(qū)別40213病毒程三、黑客攻擊的防范木馬的工作原理實際就是一個C/S模式的程序（里應外合）操作系統(tǒng)被植入木馬的PC（server程序）TCP/IP協(xié)議端口控制木馬的PC（client程序）操作系統(tǒng)TCP/IP協(xié)議端口控制端端口處于監(jiān)聽狀態(tài)三、黑客攻擊的防范木馬的工作原理實際就是一個C/S模式的程序123三、黑客攻擊的防范木馬的分類代理型FTP型下載型木馬遠程訪問型鍵盤記錄型密碼發(fā)送型破壞型三、黑客攻擊的防范木馬的分類代理型FTP型下載型木馬遠程訪問124三、黑客攻擊的防范木馬實施攻擊的步驟木馬偽裝信息反饋配置木馬啟動木馬遠程控制傳播木馬建立連接0102030405三、黑客攻擊的防范木馬實施攻擊的步驟木馬偽裝配置木馬啟動木馬125三、黑客攻擊的防范服務器端程序：G-server.exe客戶端程序：G-client.exe詳細步驟參見教材課堂演練一：冰河木馬的使用反彈端口類型的木馬服務器的配置服務器的工作方式遠程控制如何清除？課堂演練二：灰鴿子的使用三、黑客攻擊的防范服務器端程序：G-server.exe課堂126三、黑客攻擊的防范木馬文件的隱藏和偽裝文件的屬性捆綁到其他文件上文件的名字文件的位置文件的擴展名文件的圖標三、黑客攻擊的防范木馬文件的隱藏和偽裝文件的屬性捆綁127三、黑客攻擊的防范木馬運行時偽裝方法123在任務欄里隱藏在任務管理器里隱藏隱藏端口三、黑客攻擊的防范木馬運行時偽裝方法123在任務欄里隱藏在任128三、黑客攻擊的防范木馬的啟動方式win.inisystem.ini啟動組注冊表捆綁方式啟動偽裝在普通文件中設置在超級連接中三、黑客攻擊的防范木馬的啟動方式win.inisystem129三、黑客攻擊的防范查看端口檢查注冊表檢查DLL木馬檢查配置文件木馬的檢測發(fā)現(xiàn)木馬：檢查系統(tǒng)文件、注冊表、端口不要輕易使用來歷不明的軟件不熟悉的E-MAIL不打開常用殺毒軟件并及時升級合理使用防火墻木馬的防御三、黑客攻擊的防范查看端口木馬的檢測發(fā)現(xiàn)木馬：檢查系統(tǒng)文件、130三、黑客攻擊的防范流行木馬簡介流行木馬backorificeSubseven網(wǎng)絡公牛(Netbull)網(wǎng)絡神偷(Nethief)廣外男生（是廣外女生的一個變種）Netspy(網(wǎng)絡精靈)冰河三、黑客攻擊的防范流行木馬簡介流行木馬backorific131三、黑客攻擊的防范DoS--DenialofService：現(xiàn)在一般指導致服務器不能正常提供服務的攻擊。拒絕服務攻擊(DoS)1232002年10月全世界13臺DNS服務器同時受到了DDoS（分布式拒絕服務）攻擊。2009年5月19日，由于暴風影音軟件而導致“暴風門”全國斷網(wǎng)事件。2014年6月20日起，香港公投網(wǎng)站PopVote遭遇超大規(guī)模的DDoS攻擊DoS攻擊的事件3三、黑客攻擊的防范DoS--DenialofServic132三、黑客攻擊的防范DoS攻擊的分類0102以消耗目標主機的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊等）以消耗服務器鏈路的有效帶寬為目的（例如：蠕蟲）三、黑客攻擊的防范DoS攻擊的分類0102以消耗目標主機的133三、黑客攻擊的防范SYN攻擊的原理（1）目標主機SYNSYN/ACKACK等待應答SYN：同步SYN/ACK:同步/確認ACK：確認三、黑客攻擊的防范SYN攻擊的原理（1）目標主機SYNSYN134三、黑客攻擊的防范SYN攻擊的原理（2）....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標主機SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK應答.........不應答不應答重新發(fā)送三、黑客攻擊的防范SYN攻擊的原理（2）....SYN/AC135三、黑客攻擊的防范以windows為例SYN攻擊花費時間（秒）累計花費時間（秒）第一次，失敗33嘗試第1次，失敗69嘗試第2次，失敗1221嘗試第3次，失敗2445嘗試第4次，失敗4893嘗試第5次，失敗96189三、黑客攻擊的防范以windows為例SYN攻擊花費時間（136三、黑客攻擊的防范synkiller（圖形界面工具）syn等（DOS界面工具）【攻擊效果】可通過抓包和查看CPU的利用率來觀看攻擊效果思考題

掃描器中的半連接掃描是不是也構成SYN攻擊？課堂演練——SYN攻擊三、黑客攻擊的防范synkiller（圖形界面工具）課堂演137三、黑客攻擊的防范行行色色的DOS攻擊DOS攻擊1234SYNFlood淚珠（Teardrop）攻擊死亡之pingLand攻擊三、黑客攻擊的防范行行色色的DOS攻擊DOS攻擊1234SY138三、黑客攻擊的防范DDoS攻擊案例案例12012年2月巴西銀行成為了分布式拒絕服務攻擊的目標。巴西匯豐銀行、巴西銀行、ItauUnibancoMultiploSA銀行和布拉德斯科銀行都遭到了大規(guī)模攻擊。攻擊中，黑客利用的正是DDoS。2015年某網(wǎng)絡游戲進行上線公測，公測前10分鐘，主力機房遭遇DDoS攻擊，帶寬瞬間被占滿，上游路由節(jié)點被打癱，游戲發(fā)行商被迫宣布停止公測。案例2三、黑客攻擊的防范DDoS攻擊案例案例12012年2月巴西139三、黑客攻擊的防范DDOS攻擊的威力2015年DDoS阿里云云盾防御的最大攻擊峰值流量為477Gbps。2015預測2016年整個互聯(lián)網(wǎng)可能會發(fā)生流量在800Gbps－1TGbps之間的攻擊事件。2016三、黑客攻擊的防范DDOS攻擊的威力2015年DDoS阿里云140三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊攻擊者各種客戶主機目標系統(tǒng)安置代理代理程序1、攻擊者攻擊諸客戶主機以求分析他們的安全水平和脆弱性。2、攻擊者進入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機之內(“肉雞”)，并且秘密地安置一個其可遠程控制的代理程序(端口監(jiān)督程序demon)。攻擊準備：三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊攻擊者各種141三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊目標系統(tǒng)攻擊者指令攻擊的代理程序虛假的連接請求

3、攻擊者使他的全部代理程序同時發(fā)送由殘缺的數(shù)字包構成的連接請求送至目標系統(tǒng)。發(fā)起攻擊：4、包括虛假的連接請求在內的大量殘缺的數(shù)字包攻擊目標系統(tǒng)，最終將導致它因通信淤塞而崩潰。三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊目標系統(tǒng)攻142三、黑客攻擊的防范實驗拓撲：詳細步驟參見教材TFN分布式拒絕服務攻擊實驗三、黑客攻擊的防范TFN分布式拒絕服務攻擊實驗143三、黑客攻擊的防范詳細步驟參見教材冰盾防火墻的演示實驗三、黑客攻擊的防范詳細步驟參見教材冰盾防火墻的演示實驗144三、黑客攻擊的防范DNS反射攻擊的原理中小貸款攻擊者/僵尸主機偽造受害者發(fā)起大量DNS查詢請求開放DNS遞歸服務器DNS服務器回應大量查詢響應1M的流量發(fā)出大量模擬被攻擊者的DNS請求被攻擊者100M的流量100M的流量1M的流量發(fā)出大量模擬被攻擊者的DNS請求三、黑客攻擊的防范DNS反射攻擊的原理中小貸款攻擊者/僵145三、黑客攻擊的防范針對應用程序---2013年25%的DDOS攻擊將是基于應用程序。利用高速帶寬---在2012年下半年美國銀行遭受到一類新的破壞性DDoS攻擊，有時高達70Gbps的網(wǎng)絡流量沖擊了銀行自有互聯(lián)網(wǎng)管道。個性化攻擊三、黑客攻擊的防范針對應用程序---2013年25%的DDO146三、黑客攻擊的防范緩沖區(qū)溢出（bufferoverflow)從一個對話框說起……三、黑客攻擊的防范緩沖區(qū)溢出（bufferoverflow147三、黑客攻擊的防范【引例】把1升的水注入容量為0.5升的容量中……認識緩沖區(qū)溢出第一次大規(guī)模的緩沖區(qū)溢出攻擊是發(fā)生在1988年的Morris蠕蟲，它造成了6000多臺機器被癱瘓，損失在$100000至$10000000之間，利用的攻擊方法之一就是fingerd的緩沖區(qū)溢出。緩沖區(qū)溢出攻擊已經(jīng)占了網(wǎng)絡攻擊的絕大多數(shù)，據(jù)統(tǒng)計，大約80%的安全事件與緩沖區(qū)溢出攻擊有關。三、黑客攻擊的防范【引例】把1升的水注入容量為0.5升的容量148三、黑客攻擊的防范緩沖區(qū)溢出原理Windows系統(tǒng)的內存結構三、黑客攻擊的防范緩沖區(qū)溢出原理Windows系統(tǒng)的內存結構149三、黑客攻擊的防范計算機運行時，系統(tǒng)將內存劃分為3個段，分別是代碼段、數(shù)據(jù)段和堆棧段。 Windows系統(tǒng)的內存結構數(shù)據(jù)只讀，可執(zhí)行。在代碼段一切數(shù)據(jù)不允許更改。在代碼段中的數(shù)據(jù)是在編譯時生成的2進制機器代碼，可供CPU執(zhí)行。放置程序運行時動態(tài)的局部變量，即局部變量的空間被分配在堆棧里面。可讀、寫。靜態(tài)全局變量是位于數(shù)據(jù)段并且在程序開始運行的時候被加載。可讀、寫。代碼段堆棧段數(shù)據(jù)段三、黑客攻擊的防范計算機運行時，系統(tǒng)將內存劃分為3個段，分別150三、黑客攻擊的防范緩沖區(qū)溢出源于程序執(zhí)行時需要存放數(shù)據(jù)的空間，也即我們所說的緩沖區(qū)。緩沖區(qū)的大小是程序執(zhí)行時固定申請的。然而，某些時候，在緩沖區(qū)內裝載的數(shù)據(jù)大小是用戶輸入的數(shù)據(jù)決定的。程序開發(fā)人員偶爾疏忽了對用戶輸入的這些數(shù)據(jù)作長度檢查，由于用戶非法操作或者錯誤操作，輸入的數(shù)據(jù)占滿了緩沖區(qū)的所有空間，且超越了緩沖區(qū)邊界延伸到緩沖區(qū)以外的空間。我們稱這個動作為緩沖區(qū)溢出。緩沖區(qū)溢出的基本原理（1）緩沖區(qū)溢出是由于系統(tǒng)和軟件本身存在脆弱點所導致的。例如目前被廣泛使用的C和C++，這些語言在編譯的時候沒有做內存檢查，即數(shù)組的邊界檢查和指針的引用檢查，也就是開發(fā)人員必須做這些