電子商務(wù)安全技術(shù)實(shí)用教程PPT第2章

第二章網(wǎng)絡(luò)攻擊與交易欺詐2.1網(wǎng)絡(luò)攻擊的概念2.2網(wǎng)絡(luò)攻擊技術(shù)2.3網(wǎng)購欺詐與防范2.1網(wǎng)絡(luò)攻擊的基本概念2.1.1黑客的含義“黑客”一詞是由英文單詞“Hacker”音譯過來的。最初起源于20世紀(jì)50年代，是指那些精力充沛、熱衷于解決計(jì)算機(jī)難題的程序員。通常所說的“黑客”指的是駭客（Cracker，破壞者），是那些懷有不良企圖，強(qiáng)行闖入他人系統(tǒng)或以某種惡意目的干擾他人的網(wǎng)絡(luò)，運(yùn)用自己的知識(shí)去做出有損他人權(quán)益的事情的人，也稱入侵者。最早的計(jì)算機(jī)于1946年在賓夕法尼亞大學(xué)誕生，而最早的黑客出現(xiàn)于麻省理工學(xué)院，貝爾實(shí)驗(yàn)室也有。他們一般都是一些高級(jí)的技術(shù)人員，熱衷于挑戰(zhàn)、崇尚自由并主張信息的共享。圖2-1互聯(lián)網(wǎng)中的木馬黑色產(chǎn)業(yè)鏈案例2.1.2網(wǎng)絡(luò)攻擊的類型1.按照攻擊目的分類（1）主動(dòng)攻擊

主動(dòng)攻擊會(huì)導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生。這類攻擊可分為篡改、偽造消息數(shù)據(jù)和拒絕服務(wù)。（2）被動(dòng)攻擊

被動(dòng)攻擊中攻擊者不對(duì)數(shù)據(jù)信息做任何修改，通過截取和竊聽，在未經(jīng)用戶同意和認(rèn)可的情況下攻擊者獲得了信息或相關(guān)數(shù)據(jù)。通常包括竊聽、流量分析、破解弱加密的數(shù)據(jù)流等攻擊方式。2.1.2網(wǎng)絡(luò)攻擊的類型2.按照入侵者的攻擊手段分類（1）拒絕服務(wù)攻擊：是最容易實(shí)施的攻擊行為，它企圖通過使目標(biāo)計(jì)算機(jī)崩潰或把它壓跨來阻止其提供服務(wù)。（2）利用型攻擊：是一類試圖直接對(duì)主機(jī)進(jìn)行控制的攻擊。主要包括：口令猜測(cè)，特洛伊木馬，緩沖區(qū)溢出等。（3）信息收集型攻擊：這類攻擊并不對(duì)目標(biāo)本身造成危害，而是被用來為進(jìn)一步入侵提供有用的信息。（4）假消息攻擊：用于攻擊目標(biāo)配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件等。（5）病毒攻擊：是指使目標(biāo)主機(jī)感染病毒從而造成系統(tǒng)損壞、數(shù)據(jù)丟失、拒絕服務(wù)、信息泄密、性能下降等現(xiàn)象的攻擊。（6）社會(huì)工程學(xué)攻擊：社會(huì)工程學(xué)攻擊是指利用人性的弱點(diǎn)、社會(huì)心理學(xué)等知識(shí)來獲得目標(biāo)系統(tǒng)敏感信息的行為。圖2-2常見的網(wǎng)絡(luò)攻擊方法2.1.3網(wǎng)絡(luò)攻擊的步驟（1）攻擊的準(zhǔn)備階段（2）攻擊的實(shí)施階段（3）攻擊的善后階段圖2-4網(wǎng)絡(luò)攻擊基本流程2.2網(wǎng)絡(luò)攻擊技術(shù)1．安全漏洞漏洞是指計(jì)算機(jī)系統(tǒng)具有的某種可能被入侵者惡意利用的屬性，在計(jì)算機(jī)安全領(lǐng)域，安全漏洞通常又稱作脆弱性。簡(jiǎn)單地說，計(jì)算機(jī)漏洞是系統(tǒng)的一組特性，惡意的主體能夠利用這組特性，通過已授權(quán)的手段和方式獲取對(duì)資源的未授權(quán)訪問，或者對(duì)系統(tǒng)造成損害。現(xiàn)在Internet上仍然在使用的TCP/IP在最初設(shè)計(jì)時(shí)并沒有考慮安全方面的需求。從技術(shù)角度來看，漏洞的來源主要有：軟件或協(xié)議設(shè)計(jì)時(shí)的瑕疵、軟件或協(xié)議實(shí)現(xiàn)中的弱點(diǎn)、軟件本身的瑕疵、系統(tǒng)和網(wǎng)絡(luò)的錯(cuò)誤配置等。2.2網(wǎng)絡(luò)攻擊技術(shù)2.網(wǎng)絡(luò)掃描的概念網(wǎng)絡(luò)掃描就是對(duì)計(jì)算機(jī)系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進(jìn)行與安全相關(guān)的檢測(cè)，以找出目標(biāo)系統(tǒng)所放開放的端口信息、服務(wù)類型以及安全隱患和可能被黑客利用的漏洞。網(wǎng)絡(luò)掃描的基本原理是通過網(wǎng)絡(luò)向目標(biāo)系統(tǒng)發(fā)送一些特征信息，然后根據(jù)反饋情況，獲得有關(guān)信息。網(wǎng)絡(luò)掃描通常采用兩種策略：第一種是被動(dòng)式策略第二種是主動(dòng)式策略防范掃描可行的方法是：（1）關(guān)閉掉所有閑置的和有潛在威脅的端口。（2）通過防火墻或其它安全系統(tǒng)檢查各端口。（3）利用“陷阱”技術(shù)在一些端口引誘黑客掃描。2.2網(wǎng)絡(luò)攻擊技術(shù)3.常用的網(wǎng)絡(luò)掃描工具（1）Nmap：掃描器之王Nmap（NetworkMapper，網(wǎng)絡(luò)映射器）是一款開放源代碼的網(wǎng)絡(luò)探測(cè)和安全審核的工具。它可以在大多數(shù)版本的Unix系統(tǒng)中運(yùn)行，并且已經(jīng)被移植到了Windows系統(tǒng)中。它主要在命令行方式下使用，可以快速地掃描大型網(wǎng)絡(luò)，也可以掃描單個(gè)主機(jī)。（2）Nessus：分布式的掃描器Nessus是一種用來自動(dòng)檢測(cè)和發(fā)現(xiàn)已知安全問題的強(qiáng)大掃描工具，運(yùn)行于Solaris、Linux等系統(tǒng)，源代碼開放并且可自由地修改后再發(fā)布，可擴(kuò)展性強(qiáng)，當(dāng)一個(gè)新的漏洞被公布后很快就可以獲取其新的插件對(duì)網(wǎng)絡(luò)進(jìn)行安全性檢查。（3）X-Scan：國內(nèi)最好的掃描器X-Scan是國內(nèi)最著名的綜合掃描器之一，完全免費(fèi)，是不需要安裝的綠色軟件，其界面支持中文和英文兩種語言，使用方式有圖形界面和命令行方式兩種，支持windows操作系統(tǒng)。2.2.2網(wǎng)絡(luò)監(jiān)聽1．網(wǎng)絡(luò)監(jiān)聽的概念

網(wǎng)絡(luò)監(jiān)聽也被稱作網(wǎng)絡(luò)嗅探（Sniffer）。它工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來，黑客一般都是利用該技術(shù)來截取用戶口令的。網(wǎng)絡(luò)監(jiān)聽具有以下特點(diǎn)：（1）隱蔽性強(qiáng)：進(jìn)行網(wǎng)絡(luò)監(jiān)聽的主機(jī)只是被動(dòng)地接收在網(wǎng)絡(luò)中傳輸?shù)男畔?，沒有任何主動(dòng)的行為。（2）手段靈活：網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)絡(luò)中的任何位置實(shí)施，可以是網(wǎng)絡(luò)中的一臺(tái)主機(jī)、路由器，也可以是調(diào)制解調(diào)器。2.2.2網(wǎng)絡(luò)監(jiān)聽2．監(jiān)聽的原理正常情況下，網(wǎng)卡只接收發(fā)給自己的信息，但是如果將網(wǎng)卡模式設(shè)置為混雜模式，讓所有經(jīng)過的數(shù)據(jù)包都傳遞給系統(tǒng)核心；然后被Sniffer等程序利用。所謂混雜接收模式是指網(wǎng)卡可以接收網(wǎng)絡(luò)中傳輸?shù)乃袌?bào)文，無論其目的MAC地址是否為該網(wǎng)卡的MAC地址。要使機(jī)器成為一個(gè)Sniffer，需要一個(gè)特殊的軟件（以太網(wǎng)卡的廣播驅(qū)動(dòng)程序）或者需要一種能使網(wǎng)絡(luò)處于混雜模式的網(wǎng)絡(luò)軟件。2.2.2網(wǎng)絡(luò)監(jiān)聽3．監(jiān)聽的防范可以通過檢測(cè)混雜模式網(wǎng)卡的工具來發(fā)現(xiàn)網(wǎng)絡(luò)嗅探。還可以通過網(wǎng)絡(luò)帶寬出現(xiàn)反常來檢測(cè)嗅探。最好的辦法就是使網(wǎng)絡(luò)嗅探不能達(dá)到預(yù)期的效果，使嗅探價(jià)值降低。4．常見的網(wǎng)絡(luò)監(jiān)聽工具SnifferPro、Ethereal、Sniffit、Dsniff、Libpcap/Winpcap、Tcpdump/Windump。2.2.3

Web欺騙1．Web欺騙的概念Web欺騙是指攻擊者建立一個(gè)使人信以為真的假冒Web站點(diǎn)，這個(gè)Web站點(diǎn)“拷貝”就像真的一樣，它具有原頁面幾乎所有頁面元素。然而攻擊者控制了這個(gè)Web站點(diǎn)的“拷貝”，被攻擊對(duì)象和真的Web站點(diǎn)之間的所有信息流動(dòng)都被攻擊者所控制了。2.Web攻擊的原理Web欺騙攻擊的原理是打斷從被攻擊者主機(jī)到目標(biāo)服務(wù)器之間的正常連接，并建立一條從被攻擊主機(jī)到攻擊主機(jī)再到目標(biāo)服務(wù)器的連接。圖2-5假冒銀行服務(wù)器的Web攻擊示意圖2.2.3

Web欺騙3.Web欺騙的防范（1）IP地址、子網(wǎng)、域的限制：它可以保護(hù)單個(gè)的文檔，也可以保護(hù)整個(gè)的目錄。（2）用戶名和密碼：為獲取對(duì)文檔或目錄的訪問，需輸入用戶名和密碼。（3）加密：這是通過加密技術(shù)實(shí)現(xiàn)的，所有傳送的內(nèi)容都是加密的，除了接收者之外無人可以讀懂。（4）上網(wǎng)瀏覽時(shí)，最好關(guān)掉瀏覽器的JavaScript，只有當(dāng)訪問熟悉的網(wǎng)站時(shí)才打開它。（5）不從自己不熟悉的網(wǎng)站上鏈接到其他網(wǎng)站，特別是鏈接那些需要輸入個(gè)人賬戶名和密碼的有關(guān)電子商務(wù)的網(wǎng)站。（6）要養(yǎng)成從地址欄中直接輸入網(wǎng)址來實(shí)現(xiàn)瀏覽網(wǎng)站的好習(xí)慣。2.2.4

IP地址欺騙1．IP地址盜用所謂IP地址欺騙，就是偽造某臺(tái)主機(jī)的IP地址的技術(shù)。其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來扮演另一臺(tái)機(jī)器，以達(dá)到蒙混過關(guān)的目的。被偽造的主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任。

2.IP欺騙的原理IP欺騙是利用主機(jī)之間的正常的信任關(guān)系來發(fā)動(dòng)的，這種信任是有別于用戶間的信任和應(yīng)用層的信任的。黑客可以通過命令方式或掃描技術(shù)、監(jiān)聽技術(shù)來確定主機(jī)之間的信任關(guān)系。3.IP欺騙的防范（1）放棄基于地址的信任策略（2）對(duì)數(shù)據(jù)包進(jìn)行限制（3）應(yīng)用加密技術(shù)2.2.5緩沖區(qū)溢出1．緩沖區(qū)溢出的概念緩沖區(qū)溢出攻擊是一種系統(tǒng)攻擊的手段，通過往緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。2.緩沖區(qū)溢出的原理如下C語言代碼段：

voidfunction（char*str）{

charbuffer[16]；

strcpy（buffer，str）；

}該程序的功能是通過strcpy函數(shù)把str中的字符串拷貝到數(shù)組buffer[16]中去，如果str的長度超過16就會(huì)造成數(shù)組buffer的溢出，使程序出錯(cuò)。2.2.5緩沖區(qū)溢出3．緩沖區(qū)溢出的防范（1）編寫正確的代碼在程序開發(fā)時(shí)就要考慮可能的安全問題，杜絕緩沖區(qū)溢出的可能性。（2）非執(zhí)行的緩沖區(qū)是指通過使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行被攻擊程序輸入緩沖區(qū)的代碼。（3）指針完整性檢查堆棧保護(hù)是一種提供程序指針完整性檢查的編譯器技術(shù)，通過檢查函數(shù)活動(dòng)記錄中的返回地址來實(shí)現(xiàn)。（4）用好安全補(bǔ)丁實(shí)際上，讓普通用戶解決所有的安全問題是不現(xiàn)實(shí)的，用補(bǔ)丁修補(bǔ)缺陷則是一個(gè)不錯(cuò)的，也是可行的解決方法。2.2.6拒絕服務(wù)攻擊拒絕服務(wù)攻擊（Dos）是一種簡(jiǎn)單有效的攻擊方式，其目的是使服務(wù)器拒絕正常的訪問，破壞系統(tǒng)的正常運(yùn)行，最終使部分網(wǎng)絡(luò)連接失敗，甚至網(wǎng)絡(luò)系統(tǒng)失效。圖2-6正常情況下的連接交互

圖2-7拒絕服務(wù)攻擊(DoS)(控制)2.2.6拒絕服務(wù)攻擊形形色色的DOS攻擊：（1）死亡之ping：將一個(gè)包分成的多個(gè)片段的疊加卻能做到發(fā)送超長包。當(dāng)一個(gè)主機(jī)收到了長度大于65536字節(jié)的包時(shí)，就是受到了PingofDeath攻擊，該攻擊會(huì)造成主機(jī)的死機(jī)。（2）SYNFlood：以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYNACK后并不回應(yīng)，導(dǎo)致目標(biāo)主機(jī)復(fù)旦過重而死機(jī)。（3）Land攻擊：攻擊者將一個(gè)包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機(jī)。（4）淚珠（Teardrop）攻擊：IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時(shí)，數(shù)據(jù)包可以分成更小的片段，為了合并這些數(shù)據(jù)段，TCP/IP堆棧會(huì)分配超乎尋常的巨大資源。3.分布式拒絕服務(wù)攻擊

2.2.6拒絕服務(wù)攻擊4.拒絕服務(wù)攻擊的防范（1）與ISP合作：與ISP配合對(duì)路由訪問進(jìn)行控制、對(duì)網(wǎng)絡(luò)流量的監(jiān)視，以實(shí)現(xiàn)對(duì)帶寬總量的限制以及不同的訪問地址在同一時(shí)間對(duì)帶寬的占有率。（2）漏洞檢查：定期使用漏洞掃描軟件對(duì)內(nèi)部網(wǎng)絡(luò)現(xiàn)有的、潛在的漏洞進(jìn)行檢查，以提高系統(tǒng)安全的性能。（3）服務(wù)器優(yōu)化：確保服務(wù)器的安全，使攻擊者無法獲得更多內(nèi)部主機(jī)的信息，從而無法發(fā)動(dòng)有效的攻擊。（4）應(yīng)急響應(yīng)：建立應(yīng)急機(jī)構(gòu)和制度，制定緊急應(yīng)對(duì)策略，以便拒絕服務(wù)攻擊發(fā)生時(shí)能夠迅速恢復(fù)系統(tǒng)和服務(wù)。同時(shí)還要注意對(duì)員工進(jìn)行相關(guān)的培訓(xùn)，使其掌握必要的應(yīng)對(duì)措施和方法。2.2.7特洛伊木馬特洛伊木馬（Trojanhorse）其名稱取自希臘神話的特洛伊木馬，它是一種基于遠(yuǎn)程控制的黑客工具。特洛伊木馬不經(jīng)電腦用戶準(zhǔn)許就可獲得電腦的使用權(quán)。程序容量十分輕小，運(yùn)行時(shí)不會(huì)浪費(fèi)太多資源，因此沒有使用殺毒軟件是難以發(fā)覺的。木馬的特征：隱蔽性、潛伏性、危害性、非授權(quán)性。圖2-9灰鴿子木馬產(chǎn)業(yè)鏈?zhǔn)疽鈭D圖2-10木馬的工作原理一般木馬的偽裝方式（1）修改圖標(biāo)：當(dāng)你在E-MAIL的附件中看到如HTML、TXT、ZIP等文件的圖標(biāo)時(shí)，不要輕信這是一般的文本文件，有可能就是修改后的木馬文件。（2）捆綁文件：這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上，當(dāng)安裝程序運(yùn)行時(shí)，木馬在用戶毫無察覺的情況下，偷偷的進(jìn)入了系統(tǒng)。（3）出錯(cuò)顯示：有一定木馬知識(shí)的人都知道，如果打開一個(gè)文件，沒有任何反應(yīng)，這很可能就是個(gè)木馬程序。（4）定制端口：很多新式的木馬都加入了定制端口的功能，這樣就給判斷所感染木馬類型帶來了麻煩。（5）自我銷毀：是指安裝完木馬后，原木馬文件將自動(dòng)銷毀，這樣服務(wù)端用戶就很難找到木馬的來源。（6）木馬更名：很多木馬都允許控制端用戶自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類型了。3.木馬的分類（1）網(wǎng)絡(luò)游戲木馬網(wǎng)絡(luò)游戲木馬通常采用記錄用戶鍵盤輸入、Hook游戲進(jìn)程API函數(shù)等方法獲取用戶的密碼和帳號(hào)。（2）網(wǎng)銀木馬網(wǎng)銀木馬是針對(duì)網(wǎng)上交易系統(tǒng)編寫的木馬病毒，其目的是盜取用戶的卡號(hào)、密碼，甚至安全證書。（3）通訊軟件木馬國內(nèi)即時(shí)通訊軟件百花齊放。QQ、新浪UC、網(wǎng)易泡泡、盛大圈圈……網(wǎng)上聊天的用戶群十分龐大。發(fā)送消息型、盜號(hào)型、傳播自身型（4）網(wǎng)頁點(diǎn)擊類木馬網(wǎng)頁點(diǎn)擊類木馬會(huì)惡意模擬用戶點(diǎn)擊廣告等動(dòng)作，在短時(shí)間內(nèi)可以產(chǎn)生數(shù)以萬計(jì)的點(diǎn)擊量。2.2.8電子郵件攻擊2.郵件攻擊方式（1）竊取、篡改數(shù)據(jù)通過監(jiān)聽數(shù)據(jù)包或者截取正在傳輸?shù)男畔?，可以使攻擊者讀取或者修改數(shù)據(jù)。（2）偽造郵件SMTP協(xié)議極其缺乏驗(yàn)證能力，所以假冒某一個(gè)郵箱進(jìn)行電子郵件欺騙并非一件難的事情。（3）拒絕服