網(wǎng)絡(luò)攻防技術(shù)

關(guān)于網(wǎng)絡(luò)攻防技術(shù)1第一頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三2本章概要

本章通過(guò)剖析常見(jiàn)的網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)與應(yīng)用程序漏洞，分析黑客入侵的思路和方法，使得讀者更深刻地理解應(yīng)對(duì)黑客攻擊采用的防范策略，以確保我們使用的網(wǎng)絡(luò)和系統(tǒng)最大限度的安全。本章主要包括以下幾部分：黑客的定義；基于協(xié)議的攻擊手法和防御手段；常見(jiàn)的漏洞分析。第二頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三3課程目標(biāo)通過(guò)本章的學(xué)習(xí)，讀者應(yīng)能夠：了解當(dāng)前主要網(wǎng)絡(luò)安全弱點(diǎn)；了解黑客攻擊手段，提升防范能力。第三頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三4提示本章將會(huì)介紹和使用部分黑客軟件及相關(guān)工具模擬攻擊過(guò)程，所有軟件、工具都來(lái)自互聯(lián)網(wǎng)，本身均可能會(huì)被程序作者或者第三方加以利用，種植木馬、病毒等惡意程式。我們特別提醒嚴(yán)禁在生產(chǎn)機(jī)器（包括學(xué)校的網(wǎng)絡(luò)）上進(jìn)行安裝、使用。嚴(yán)禁在沒(méi)有老師的指導(dǎo)監(jiān)督下進(jìn)行任何模擬攻擊實(shí)驗(yàn)。指導(dǎo)老師需要嚴(yán)格遵循本課程是嚴(yán)要求，按照實(shí)驗(yàn)手冊(cè)操作，利用虛擬機(jī)技術(shù)并在物理隔離的網(wǎng)絡(luò)方可進(jìn)行模擬攻擊演示。第四頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三54.1網(wǎng)絡(luò)攻防概述隨著互聯(lián)網(wǎng)的迅猛發(fā)展，一些“信息垃圾”、“郵件炸彈”、“病毒木馬”、“網(wǎng)絡(luò)黑客”等越來(lái)越多地威脅著網(wǎng)絡(luò)的安全，而網(wǎng)絡(luò)攻擊是最重要的威脅來(lái)源之一，所以有效的防范網(wǎng)絡(luò)攻擊勢(shì)在必行，一個(gè)能真正能有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊的高手應(yīng)該做到知己知彼，方可百戰(zhàn)不殆。第五頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三64.1.1黑客簡(jiǎn)介今天，人們一談到“黑客”（Hacker）往往都帶著貶斥的意思，但是“黑客”的本來(lái)含義卻并非如此。一般認(rèn)為，黑客起源于20世紀(jì)50年代美國(guó)著名高校的實(shí)驗(yàn)室中，他們智力非凡、技術(shù)高超、精力充沛，熱終于解決一個(gè)個(gè)棘手的計(jì)算機(jī)網(wǎng)絡(luò)難題。60、70年代，“黑客”一詞甚至于極富褒義，從事黑客活動(dòng)意味著以計(jì)算機(jī)網(wǎng)絡(luò)的最大潛力進(jìn)行治理上的自由探索，所謂的“黑客”文化也隨之產(chǎn)生了。然后并非所有的人都能恪守“黑客”文化的信條，專注于技術(shù)的探索，惡意的計(jì)算機(jī)網(wǎng)絡(luò)破壞者、信息系統(tǒng)的竊密者隨后層出不窮，人們把這部分主觀上有惡意企圖的人成為“駭客”（Cracker）,試圖區(qū)別于“黑客”，同時(shí)也誕生了諸多的黑客分類方法，如“白帽子、黑帽子、灰帽子”。然而，不論主觀意圖如何，“黑客”的攻擊行為在客觀上會(huì)造成計(jì)算機(jī)網(wǎng)絡(luò)極大的破壞，同時(shí)也是對(duì)隱私權(quán)的極大侵犯，所以在今天人們把那些侵入計(jì)算機(jī)網(wǎng)絡(luò)的不速之客都成為“黑客”。第六頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三7黑客分類灰帽子破解者破解已有系統(tǒng)發(fā)現(xiàn)問(wèn)題/漏洞突破極限/禁制展現(xiàn)自我計(jì)算機(jī)為人民服務(wù)漏洞發(fā)現(xiàn)-Flashsky軟件破解-0Day工具提供-Glacier白帽子創(chuàng)新者設(shè)計(jì)新系統(tǒng)打破常規(guī)精研技術(shù)勇于創(chuàng)新沒(méi)有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲(chóng)病毒商業(yè)間諜人不為己，天誅地滅入侵者-K.米特尼克CIH-陳盈豪攻擊Yahoo者-匿名惡渴求自由黑客分類第七頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三8黑客文化H4x3r14n9u493i54diff3r3n714n9u493fr0m3n91i5h.w3c4nfind7hi514n9u493inh4x3r'5885,IRC0r07h3rCh477in9p14c3.常見(jiàn)替換A

=

4B

=

8E

=

3G=9l

=

1O

=

0S

=

5t

=

7Z

=

2常見(jiàn)縮寫(xiě)CK=xYou=uAre=rSee=cAnd=n/&Not=!黑客文化第八頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三94.1.2網(wǎng)絡(luò)攻擊防御體系從系統(tǒng)安全的角度可以把網(wǎng)絡(luò)安全的研究?jī)?nèi)容分為兩大體系：網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御。第九頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三104.1.3網(wǎng)絡(luò)攻擊的分類攻擊方法的分類是安全研究的重要課題，對(duì)攻擊的定性和數(shù)據(jù)挖掘的方法來(lái)分析漏洞有重要意義。對(duì)于系統(tǒng)安全漏洞的分類法主要有兩種：RISOS分類法和Aslam分類法，對(duì)于針對(duì)TCP/IP協(xié)議族攻擊的分類也有幾種。第十頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三111按照TCP/IP協(xié)議層次進(jìn)行分類這種分類是基于對(duì)攻擊所屬的網(wǎng)絡(luò)層次進(jìn)行的，TCP/IP協(xié)議傳統(tǒng)意義上分為四層，攻擊類型可以分成四類：(1)針對(duì)數(shù)據(jù)鏈路層的攻擊（如ARP欺騙）(2)針對(duì)網(wǎng)絡(luò)層的攻擊（如Smurf攻擊、ICMP路由欺騙）(3)針對(duì)傳輸層的攻擊（如SYN洪水攻擊、會(huì)話劫持）(4)針對(duì)應(yīng)用層的攻擊（如DNS欺騙和竊?。┑谑豁?yè)，共一百零一頁(yè)，編輯于2023年，星期三122按照攻擊者目的分類按照攻擊者的攻擊目的可分為以下幾類：（1）DOS（拒絕服務(wù)攻擊）和DDOS（分布式拒絕服務(wù)攻擊）。（2）Sniffer監(jiān)聽(tīng)。第十二頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三132按照攻擊者目的分類（3）會(huì)話劫持與網(wǎng)絡(luò)欺騙。（4）獲得被攻擊主機(jī)的控制權(quán)，針對(duì)應(yīng)用層協(xié)議的緩沖區(qū)溢出基本上目的都是為了得到被攻擊主機(jī)的shell。第十三頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三14按危害范圍可分為以下兩類：（1）局域網(wǎng)范圍。如sniffer和一些ARP欺騙。（2）廣域網(wǎng)范圍。如大規(guī)模僵尸網(wǎng)絡(luò)造成的DDOS。3按危害范圍分類第十四頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三154.1.4網(wǎng)絡(luò)攻擊步驟網(wǎng)絡(luò)攻擊步驟可以說(shuō)變幻莫測(cè)，但縱觀其整個(gè)攻擊過(guò)程，還是有一定規(guī)律可循的，一般可以分：攻擊前奏、實(shí)施攻擊、鞏固控制、繼續(xù)深入幾個(gè)過(guò)程。下面我們來(lái)具體了解一下這幾個(gè)過(guò)程。第十五頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三164.1.4網(wǎng)絡(luò)攻擊步驟假設(shè)某黑客想人侵某企業(yè)網(wǎng)絡(luò)中心一臺(tái)Win2000的Web服務(wù)器，入侵的目標(biāo)為拿到”Win2000的管理員賬戶或者修改網(wǎng)站首頁(yè)。他可能的攻擊思路流程大致如右圖所示。第十六頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三174.2網(wǎng)絡(luò)攻防工具所謂網(wǎng)絡(luò)攻防工具是指編寫(xiě)出來(lái)用于網(wǎng)絡(luò)攻擊和防御方面的工具軟件，其功能是執(zhí)行一些諸如掃描端口，防止黑客程序入侵，監(jiān)測(cè)系統(tǒng)等，有些是用來(lái)防御，而有些則是以惡意攻擊為目的攻擊性軟件，常見(jiàn)的有木馬程序，病毒程序，炸彈程序等，另外還有一部分軟件是為了破解某些軟件或系統(tǒng)的密碼而編寫(xiě)的，一般也出于非正當(dāng)?shù)哪康?。我們可以通過(guò)它們了解網(wǎng)絡(luò)的攻擊手段，掌握防御網(wǎng)絡(luò)攻擊的方法，堵住可能出現(xiàn)的各種漏洞。第十七頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三184.2.1木馬程序一般的木馬都有客戶端和服務(wù)器端兩個(gè)執(zhí)行程序，其中客戶端是用于黑客遠(yuǎn)程控制植入木馬的機(jī)器的程序，服務(wù)器端程序即是木馬程序。如果攻擊者要通過(guò)木馬入侵你的系統(tǒng)，他所要做的第一步就是要讓木馬的服務(wù)器端程序在你的計(jì)算機(jī)中運(yùn)行。一旦運(yùn)行成功，木馬程序就可以獲得系統(tǒng)管理員的權(quán)限，在用戶毫無(wú)覺(jué)察的情況下，對(duì)計(jì)算機(jī)做任何能做的事情。第十八頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三191.冰河冰河是一個(gè)優(yōu)秀的國(guó)產(chǎn)木馬程序，它功能眾多，幾乎涵蓋了所有Windows的常用操作，并具有簡(jiǎn)單、明了的中文使用界面。冰河采用標(biāo)準(zhǔn)的C/S結(jié)構(gòu)，包括客戶端程序(G_Client.exe)和服務(wù)器端程序(G_Server.exe)，客戶端的圖標(biāo)是一把打開(kāi)的瑞士軍刀，服務(wù)器端則看起來(lái)是個(gè)微不足道的程序，但就是這個(gè)程序在計(jì)算機(jī)上執(zhí)行以后，該計(jì)算機(jī)的7626號(hào)端口就對(duì)外開(kāi)放了。如果在客戶端輸入其IP地址或者主機(jī)名，就可完全控制這臺(tái)計(jì)算機(jī)了。第十九頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三20它可以自動(dòng)跟蹤目標(biāo)機(jī)器的屏幕變化；可以完全模擬鍵盤(pán)及鼠標(biāo)輸入；可以記錄各種口令信息，包括開(kāi)機(jī)口令、屏?？诹?、各種共享資源口令以及絕大多數(shù)在對(duì)話框中出現(xiàn)過(guò)的口令信息；可以獲取系統(tǒng)信息，包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤(pán)信息等多項(xiàng)系統(tǒng)數(shù)據(jù)；它還可以限制系統(tǒng)功能、進(jìn)行遠(yuǎn)程文件操作及注冊(cè)表操作，同時(shí)它還具有發(fā)送信息和點(diǎn)對(duì)點(diǎn)通訊的能力。第二十頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三21第二十一頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三222.藍(lán)色火焰藍(lán)色火焰是一款有實(shí)力、有新意的木馬，它放棄了作為遠(yuǎn)程監(jiān)控工具的客戶端程序，直接利用現(xiàn)有網(wǎng)絡(luò)相關(guān)的程序來(lái)控制服務(wù)器端。這一特色使藍(lán)色火焰這個(gè)“沒(méi)有客戶端的木馬”逐漸成為了許多黑客必備的工具之一。藍(lán)色火焰具有的網(wǎng)絡(luò)特性可以通過(guò)一些代理服務(wù)器控制服務(wù)端，選擇好的控制工具(如Sterm或Cuteftp)便可以實(shí)現(xiàn)用Socket代理控制，更好的隱蔽了自己的IP。第二十二頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三23藍(lán)色火焰木馬通過(guò)藍(lán)色火焰配置器生成，如圖所示第二十三頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三243.灰鴿子灰鴿子是一個(gè)功能強(qiáng)大的遠(yuǎn)程控制類軟件，它與同類木馬軟件不同的是采用了“反彈端口原理”的連接方式，可以在互聯(lián)網(wǎng)上訪問(wèn)到局域網(wǎng)內(nèi)通過(guò)透明代理上網(wǎng)的電腦，并且可以穿過(guò)某些防火墻?；银澴臃譃榭蛻舳伺c服務(wù)端，軟件在下載安裝后沒(méi)有服務(wù)端，只有客戶端H_Clien.exe，服務(wù)器端是要通過(guò)配置生成。第二十四頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三25現(xiàn)在的木馬層出不窮，數(shù)不勝數(shù)，比較出名的還有諸如BO2K、廣外女生、網(wǎng)絡(luò)神偷、黑洞2001、無(wú)賴小子等等，令人防不勝防。我們應(yīng)注意這方面的信息，做好對(duì)木馬的防御和清除工作。一般來(lái)說(shuō)，要作到以下三點(diǎn)：(1)不輕易運(yùn)行來(lái)歷不明的軟件；(2)及時(shí)升級(jí)殺毒軟件，使病毒庫(kù)保持最新；(3)安裝并運(yùn)行防火墻。第二十五頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三264.2.2掃描工具掃描工具是一種能夠自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全弱點(diǎn)的程序，通過(guò)它可以獲得遠(yuǎn)程計(jì)算機(jī)的各種端口分配及提供的服務(wù)和它們的版本。掃描器工作時(shí)是通過(guò)選用不同的TCP/IP端口的服務(wù)，并記錄目標(biāo)主機(jī)給予的應(yīng)答，以此搜集到關(guān)于目標(biāo)主機(jī)的各種有用信息的。第二十六頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三271.流光流光是國(guó)內(nèi)最著名的掃描、入侵工具，集端口掃描、字典工具、入侵工具、口令猜解等多種功能于一身，界面豪華，功能強(qiáng)大。它可以探測(cè)POP3、FTP、SMTP、IMAP、SQL、IPC、IIS、FINGER等各種漏洞，并針對(duì)各種漏洞設(shè)計(jì)了不同的破解方案，能夠在有漏洞的系統(tǒng)上輕易得到被探測(cè)的用戶密碼。第二十七頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三282.SuperscanSuperscan是一個(gè)功能強(qiáng)大的端口掃描工具，它可以通過(guò)Ping來(lái)檢驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)是否在線，支持IP和域名相互轉(zhuǎn)換，還可以檢驗(yàn)一定范圍內(nèi)目標(biāo)計(jì)算機(jī)的端口情況和提供的服務(wù)類別。Superscan可以自定義要檢驗(yàn)的端口，并可以保存為端口列表文件，它還自帶了一個(gè)木馬端口列表，通過(guò)這個(gè)列表可以檢測(cè)目標(biāo)計(jì)算機(jī)是否有木馬，同時(shí)用戶也可以自己定義、修改這個(gè)木馬端口列表。在Superscan找到的主機(jī)上，單擊右鍵可以實(shí)現(xiàn)HTTP瀏覽、TELNET登陸、FTP上傳、域名查詢等功能。第二十八頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三293.x-way2.5x-way2.5是一個(gè)主要采用多線程形式對(duì)服務(wù)器系統(tǒng)進(jìn)行漏洞掃描和安全測(cè)試的工具。同流光一樣，它最大的特點(diǎn)也是高集成度，除了擁有類似于流光中的IIS遠(yuǎn)程命令及SQL遠(yuǎn)程命令外，還擁有流光目前不具備的一些功能，在這一點(diǎn)上，x-way2.5與流光相比，毫不遜色。第二十九頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三304.SSSSSS（ShadowSecurityScanner）是俄羅斯的一套非常專業(yè)的安全漏洞掃描軟件，能夠掃描目標(biāo)服務(wù)器上的各種漏洞，包括很多漏洞掃描、端口掃描、操作系統(tǒng)檢測(cè)、賬號(hào)掃描等等，而且漏洞數(shù)據(jù)可以隨時(shí)更新，第三十頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三314.2.3破解工具利用破解工具我們可以檢查密碼的安全性及找回忘記的密碼，但用心不良的人也可以用它來(lái)破解他人的密碼，以達(dá)自己不可告人的目的。根據(jù)破解原理的不同，破解工具大致可分為窮舉法破解器和查看法破解器兩種。窮舉法，又叫暴力破解法，其過(guò)程是從字典文件里抽出一個(gè)字段來(lái)和要破解的密碼進(jìn)行對(duì)比，直到破解出密碼或字典里的字段全部試完為止。這種守株待兔的方法看似簡(jiǎn)單，但由于黑客字典通常包含了很多黑客經(jīng)驗(yàn)的累積，所以此法對(duì)于安全意識(shí)不強(qiáng)的用戶，破解率是很高的。查看法是指程序通過(guò)嗅探或系統(tǒng)漏洞來(lái)獲得密碼文件的方法。第三十一頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三321.溯雪溯雪是一款優(yōu)秀的密碼探測(cè)工具，它可以利用ASP、CGI對(duì)免費(fèi)信箱進(jìn)行密碼探測(cè)，其運(yùn)行原理是，通過(guò)提取ASP、CGI頁(yè)面表單，搜尋表單運(yùn)行后的錯(cuò)誤標(biāo)志，有了錯(cuò)誤標(biāo)志后，再掛上字典文件來(lái)破解信箱密碼。第三十二頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三332.網(wǎng)絡(luò)刺客II網(wǎng)絡(luò)刺客是天行軟件的經(jīng)典之作，軟件的最大作用就是，當(dāng)有人在局域網(wǎng)中使用的POP3、FTP、Telnet服務(wù)時(shí)，網(wǎng)絡(luò)刺客II就可以截獲其中的密碼。程序的II代同I代相比，無(wú)論在功能、性能、技術(shù)上都有了長(zhǎng)足的進(jìn)步，I代只相當(dāng)于II代的一個(gè)微小子集。第三十三頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三343.黑雨黑雨是一款非常優(yōu)秀的POP3郵箱密碼暴力破解器。它可以驗(yàn)證用戶名和密碼是否正確，并獨(dú)創(chuàng)了深度和廣度兩種破解算法。深度算法是一種很特殊的算法，如果密碼位數(shù)猜得準(zhǔn)，就可以將破解時(shí)間縮短30%-70%。廣度算法是一種老實(shí)的算法，現(xiàn)大多數(shù)類似功能的工具都采用它，其對(duì)3位以下的短小密碼非常有效?？偟膩?lái)看，黑雨軟件的特色為獨(dú)創(chuàng)了多項(xiàng)算法，簡(jiǎn)單、易用且功能強(qiáng)大。第三十四頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三354.2.4炸彈工具炸彈攻擊的基本原理是利用特殊工具軟件，在短時(shí)間內(nèi)向目標(biāo)機(jī)集中發(fā)送大量超出系統(tǒng)接收范圍的信息或者垃圾信息，目的在于使對(duì)方目標(biāo)機(jī)出現(xiàn)超負(fù)荷、網(wǎng)絡(luò)堵塞等狀況，從而造成目標(biāo)的系統(tǒng)崩潰及拒絕服務(wù)。常見(jiàn)的炸彈有郵件炸彈、邏輯炸彈、聊天室炸彈等。第三十五頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三364.2.5安全防御工具使用安全防御工具可以幫助我們抵擋網(wǎng)絡(luò)入侵和攻擊，防止信息泄露，并可以根據(jù)可疑的信息，來(lái)跟蹤、查找攻擊者。下面就一些經(jīng)常使用的安全防御工具做出說(shuō)明。第三十六頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三371.木馬克星木馬克星是一款專門(mén)針對(duì)國(guó)產(chǎn)木馬的軟件。如圖4-12所示，該軟件是動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)與靜態(tài)特征字掃描的完美結(jié)合，可以查殺5021種國(guó)際木馬，112種電子郵件木馬，保證查殺冰河類文件，關(guān)聯(lián)木馬，QQ類寄生木馬，ICMP類幽靈木馬，網(wǎng)絡(luò)神偷類反彈木馬，并內(nèi)置木馬防火墻，任何黑客試圖與本機(jī)建立連接，都需要木馬克星的確認(rèn)，不僅可以查殺木馬，還可以查黑客。第三十七頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三382.Lockdown2000Lockdown2000是一款功能強(qiáng)大的網(wǎng)絡(luò)安全工具，能夠清除木馬，查殺郵件病毒，防止網(wǎng)絡(luò)炸彈攻擊，還能在線檢測(cè)所有對(duì)本機(jī)的訪問(wèn)并進(jìn)行控制。Lockdown2000專業(yè)版完全可以勝任本機(jī)防火墻的工作。在Lockdown2000專業(yè)版中總共有13個(gè)功能模塊，包括木馬掃描器、端口監(jiān)視器、共享監(jiān)視器、連接監(jiān)視器、進(jìn)程監(jiān)視器、網(wǎng)絡(luò)監(jiān)視器、網(wǎng)絡(luò)工具包等，涉及到網(wǎng)絡(luò)安全的方方面面。如果能合理的配置Lockdown2000專業(yè)版，并結(jié)合其它工具，其功能完全可以強(qiáng)過(guò)一些中小企業(yè)級(jí)防火墻。第三十八頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三393.Recover4allProfessional2.15Recover4allProfessional2.15是Windows系統(tǒng)下短小精悍、功能強(qiáng)大的文件反刪除工具，可用于恢復(fù)被黑客刪除的數(shù)據(jù)。其原理為，當(dāng)刪除一個(gè)文件時(shí)，系統(tǒng)并不是到每個(gè)簇去清除該文件的內(nèi)容，而僅僅是把ROOT里面文件名的第一個(gè)字符換成一個(gè)特殊的字符，以標(biāo)記這個(gè)文件被刪除而已。Recover4allProfessional2.15可以把此過(guò)程逆向操作，即可恢復(fù)文件了。第三十九頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三404.Windows漏洞的安全掃描工具工具一：MBSAMBSA（MicrosoftBaselineSecurityAnalyzer，微軟基準(zhǔn)安全分析器），該軟件能對(duì)Windows、Office、IIS、SQLServer等軟件進(jìn)行安全和更新掃描，掃描完成后會(huì)用“X”將存在的漏洞標(biāo)示出來(lái)，并提供相應(yīng)的解決方法來(lái)指導(dǎo)用戶進(jìn)行修補(bǔ)。工具二：UpdatescanUPDATESCAN是微軟公司針對(duì)每月發(fā)布的補(bǔ)丁所開(kāi)發(fā)的補(bǔ)丁掃描工具，不同于MBSA的是，每月UPDATESCAN都會(huì)有新的版本。第四十頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三414.3基于協(xié)議的攻擊技術(shù)與防御技術(shù)針對(duì)協(xié)議的攻擊手段非常多樣，下面對(duì)常見(jiàn)的協(xié)議攻擊方式進(jìn)行探討，主要內(nèi)容包括：ARP協(xié)議漏洞攻擊；ICMP協(xié)議漏洞攻擊；TCP協(xié)議漏洞攻擊；各種協(xié)議明文傳輸攻擊。第四十一頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三424.3.1ARP協(xié)議漏洞攻擊與防御ARP協(xié)議（AddressResolveProtocol,地址解析協(xié)議）工作在TCP/IP協(xié)議的第二層—數(shù)據(jù)鏈路層，用于將IP地址轉(zhuǎn)換為網(wǎng)絡(luò)接口的硬件地址（媒體訪問(wèn)控制地址，即MAC地址）。無(wú)論是任何高層協(xié)議的通信，最終都將轉(zhuǎn)換為數(shù)據(jù)鏈路層硬件地址的通訊。在每臺(tái)主機(jī)的內(nèi)存中，都有一個(gè)ARPMAC的轉(zhuǎn)換表，保存最近獲得的IP與MAC地址對(duì)應(yīng)。ARP表通常是動(dòng)態(tài)更新的（注意在路由中，該ARP表可以被設(shè)置成靜態(tài)）。默認(rèn)情況下，但其中的緩存項(xiàng)超過(guò)兩分鐘沒(méi)有活動(dòng)時(shí)，此緩存項(xiàng)就會(huì)超時(shí)被刪除。第四十二頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三43漏洞描述ARP協(xié)議最大的缺陷是：當(dāng)主機(jī)收到ARP數(shù)據(jù)包時(shí)，不會(huì)進(jìn)行任何驗(yàn)證就刷新Cache，記錄下錯(cuò)誤的IP/MAC對(duì)，給ARP欺騙帶來(lái)機(jī)會(huì)，造成ARP

Cache中毒。基于此原理，可以用來(lái)精心地構(gòu)造中間人攻擊或者DOS攻擊，如arptool可以實(shí)現(xiàn)中間人這種攻擊，輕者導(dǎo)致網(wǎng)絡(luò)不能正常工作（如網(wǎng)絡(luò)執(zhí)法官），重則成為黑客入侵跳板，從而給網(wǎng)絡(luò)安全造成極大隱患。第四十三頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三44信任關(guān)系CAB(同一網(wǎng)段的arp欺騙)攻擊實(shí)現(xiàn)第四十四頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三45ARP欺騙防范知道了ARP欺騙的方法和危害，下面列出了一些防范方法(1)不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP地址的基礎(chǔ)上或硬件MAC地址基礎(chǔ)上(RARP同樣存在欺騙的問(wèn)題)，較為理想的信任關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。(2)設(shè)置在本機(jī)和網(wǎng)關(guān)設(shè)置靜態(tài)的MAC--IP對(duì)應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。在三層交換機(jī)上設(shè)定靜態(tài)ARP表。第四十五頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三46(3)除非很有必要，否則停止使用ARP，將ARP作為永久條目保存在對(duì)應(yīng)表中。在Linux下可以用ifconfig－arp可以使網(wǎng)卡驅(qū)動(dòng)程序停止使用ARP。(4)在本機(jī)地址使用ARP，發(fā)送外出的通信使用代理網(wǎng)關(guān)。第四十六頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三47(5)修改系統(tǒng)拒收ICMP重定向報(bào)文，在Linux下可以通過(guò)在防火墻上拒絕ICMP重定向報(bào)文或者是修改內(nèi)核選項(xiàng)重新編譯內(nèi)核來(lái)拒絕接收ICMP重定向報(bào)文。在windows2000下可以通過(guò)防火墻和IP策略拒絕接收ICMP報(bào)文第四十七頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三484.3.2ICMP協(xié)議漏洞攻擊與防御

1漏洞描述

ICMP是"InternetControlMessageProtocol"(Internet控制消息協(xié)議)的縮寫(xiě)，是傳輸層的重要協(xié)議。它是TCP/IP協(xié)議簇的一個(gè)子協(xié)議，用于IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。所以許多系統(tǒng)和防火墻并不會(huì)攔截ICMP報(bào)文，這給攻擊者帶來(lái)可乘之機(jī)。網(wǎng)上有很多針對(duì)ICMP的攻擊工具可以很容易達(dá)到攻擊目的，其攻擊實(shí)現(xiàn)目標(biāo)主要為轉(zhuǎn)向連接攻擊和拒絕服務(wù)，下圖所示是一個(gè)簡(jiǎn)單的針對(duì)ICMP的攻擊工具。第四十八頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三49ICMP攻擊工具第四十九頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三50

2攻擊實(shí)現(xiàn)（1）ICMP轉(zhuǎn)向連接攻擊：攻擊者使用ICMP“時(shí)間超出”或“目標(biāo)地址無(wú)法連接”的消息。這兩種ICMP消息都會(huì)導(dǎo)致一臺(tái)主機(jī)迅速放棄連接。攻擊只需偽造這些ICMP消息中的一條，并發(fā)送給通信中的兩臺(tái)主機(jī)或其中的一臺(tái)，就可以利用這種攻擊了。接著通信連接就會(huì)被切斷。當(dāng)一臺(tái)主機(jī)錯(cuò)誤地認(rèn)為信息的目標(biāo)地址不在本地網(wǎng)絡(luò)中的時(shí)候，網(wǎng)關(guān)通常會(huì)使用ICMP“轉(zhuǎn)向”消息。如果攻擊者偽造出一條“轉(zhuǎn)向”消息，它就可以導(dǎo)致另外一臺(tái)主機(jī)經(jīng)過(guò)攻擊者主機(jī)向特定連接發(fā)送數(shù)據(jù)包。第五十頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三51(2)ICMP數(shù)據(jù)包放大(ICMPSmurf)：攻擊者向安全薄弱網(wǎng)絡(luò)所廣播的地址發(fā)送偽造的ICMP響應(yīng)數(shù)據(jù)包。那些網(wǎng)絡(luò)上的所有系統(tǒng)都會(huì)向受害計(jì)算機(jī)系統(tǒng)發(fā)送ICMP響應(yīng)的答復(fù)信息，占用了目標(biāo)系統(tǒng)的可用帶寬并導(dǎo)致合法通信的服務(wù)拒絕(DoS)。一個(gè)簡(jiǎn)單的Smurf攻擊，通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(Ping)來(lái)淹沒(méi)受害主機(jī)的方式進(jìn)行，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，比pingofdeath洪水的流量高出一或兩個(gè)數(shù)量級(jí)。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方雪崩。第五十一頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三52(3)死Ping攻擊(PingofDeath)：由于在早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì)TCP/IP棧的限制在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過(guò)ICMP上限的包，也就是加載的尺寸超過(guò)64KB上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方當(dāng)機(jī)。第五十二頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三53(4)ICMPPing淹沒(méi)攻擊：大量的PING信息廣播淹沒(méi)了目標(biāo)系統(tǒng)，使得它不能夠?qū)戏ǖ耐ㄐ抛龀鲰憫?yīng)。(5)ICMPnuke攻擊：Nuke發(fā)送出目標(biāo)操作系統(tǒng)無(wú)法處理的信息數(shù)據(jù)包，從而導(dǎo)致該系統(tǒng)癱瘓。(6)通過(guò)ICMP進(jìn)行攻擊信息收集：通過(guò)Ping命令來(lái)檢查目標(biāo)主機(jī)是否存活，依照返回TTL值判斷目標(biāo)主機(jī)操作系統(tǒng)。(如：LINUX應(yīng)答的TTL字段值為64；UNIX應(yīng)答的TTL字段值為255；Windows95/98/Me應(yīng)答的TTL字段值為32；Windows2000/NT應(yīng)答的TTL字段值為128)。第五十三頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三54第五十四頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三554.3.3TCP協(xié)議漏洞攻擊與防御1.漏洞描述TCP(傳輸控制協(xié)議，TransportControlProtocol)是一種可靠的面向連接的傳送服務(wù)。它在傳送數(shù)據(jù)時(shí)是分段進(jìn)行的，主機(jī)交換數(shù)據(jù)必須建立一個(gè)會(huì)話。它用比特流通信，即數(shù)據(jù)被作為無(wú)結(jié)構(gòu)的字節(jié)流。通過(guò)每個(gè)TCP傳輸?shù)淖侄沃付樞蛱?hào)，以獲得可靠性。針對(duì)TCP協(xié)議的攻擊的基本原理是：TCP協(xié)議三次握手沒(méi)有完成的時(shí)候，被請(qǐng)求端B一般都會(huì)重試（即再給A發(fā)送SYN＋ACK報(bào)文）并等待一段時(shí)間（SYNtimeout），這常常被用來(lái)進(jìn)行DOS攻擊或者Land攻擊。在Land攻擊中，一個(gè)特別打造的SYN包其原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，此舉將導(dǎo)致接收服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果該地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直至超時(shí)。對(duì)Land攻擊反應(yīng)不同，許多UNIX系統(tǒng)將崩潰，NT變得極其緩慢。第五十五頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三562.攻擊實(shí)現(xiàn)在SYNFlood攻擊中，攻擊機(jī)器向受害主機(jī)發(fā)送大量偽造源地址的TCPSYN報(bào)文，受害主機(jī)分配必要的資源，然后向源地址返回SYN＋ACK包，并等待源端返回ACK包，如所示。第五十六頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三57第五十七頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三583.防御方法針對(duì)SYNFlood的攻擊防御措施主要有：一類是通過(guò)防火墻、路由器等過(guò)濾網(wǎng)關(guān)防護(hù)，另一類是通過(guò)加固TCP/IP協(xié)議棧防御。網(wǎng)關(guān)防護(hù)的主要技術(shù)有：SYN-cookie技術(shù)和基于監(jiān)控的源地址狀態(tài)、縮短SYNTimeout時(shí)間。SYN-cookie技術(shù)實(shí)現(xiàn)了無(wú)狀態(tài)的握手，避免SYNFlood的資源消耗。基于監(jiān)控的源地址狀態(tài)技術(shù)能夠?qū)γ恳粋€(gè)連接服務(wù)器的IP地址的狀態(tài)進(jìn)行監(jiān)控，主動(dòng)采取措施避免SYNFlood攻擊的影響。第五十八頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三594.3.4其他協(xié)議明文傳輸漏洞攻擊與防御1.漏洞描述TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸，是網(wǎng)絡(luò)安全的一大隱患，目前所使用的Ftp、Http、POP和Telnet服務(wù)在本質(zhì)上都是不安全的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，攻擊者可以很容易地通過(guò)嗅探等方式截獲這些口令和數(shù)據(jù)。第五十九頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三60嗅探偵聽(tīng)主要有兩種途徑，一種是將偵聽(tīng)工具軟件放到網(wǎng)絡(luò)連接的設(shè)備或者放到可以控制網(wǎng)絡(luò)連接設(shè)備的電腦上，這里的網(wǎng)絡(luò)連接設(shè)備指的是網(wǎng)關(guān)服務(wù)器、路由器等。另外一種是針對(duì)不安全的局域網(wǎng)（采用交換Hub實(shí)現(xiàn)），放到個(gè)人電腦上就可以實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的偵聽(tīng)。第六十頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三612.攻擊實(shí)現(xiàn)網(wǎng)絡(luò)抓包工具目前很多，如HTTPSniffer、SpyNet、Sniffit、Ettercap、Snarp、IRIS。這里要使用到一款抓包工具WinsockExpert，它可以用來(lái)監(jiān)視和截獲指定進(jìn)程網(wǎng)絡(luò)數(shù)據(jù)的傳輸，對(duì)測(cè)試Http通信過(guò)程非常有用。黑客經(jīng)常使用該工具來(lái)修改網(wǎng)絡(luò)發(fā)送和接收數(shù)據(jù)，協(xié)助完成很多網(wǎng)頁(yè)腳本的入侵工作。第六十一頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三623.防御方法(1)從邏輯或物理上對(duì)網(wǎng)絡(luò)分段，網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)措施。其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽(tīng)。(2)以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽(tīng)。當(dāng)然，交換式集線器只能控制單播包而無(wú)法控制廣播包（Broadcastpacket）和多播包（MulticastPacket）。但廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。(3)使用加密技術(shù)，數(shù)據(jù)經(jīng)過(guò)加密后，通過(guò)監(jiān)聽(tīng)仍然可以得到傳送的信息，但顯示的是亂碼。使用加密協(xié)議對(duì)敏感數(shù)據(jù)進(jìn)行加密，對(duì)于Web服務(wù)器敏感數(shù)據(jù)提交可以使用https代理http；用PGP（PGP--PrettyGoodPrivacy是一個(gè)基于RSA公鑰加密體系的郵件加密軟件，它提出了公共鑰匙或不對(duì)稱文件加密和數(shù)字簽名）對(duì)郵件進(jìn)行加密。第六十二頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三63(4)劃分VLAN，運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵。(5)使用動(dòng)態(tài)口令技術(shù)，使得偵聽(tīng)結(jié)果再次使用時(shí)無(wú)效。第六十三頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三644.4操作系統(tǒng)漏洞攻擊技術(shù)與防御技術(shù)無(wú)論是UNIX、Windows還是其他操作系統(tǒng)都存在著安全漏洞。主流操作系統(tǒng)Windows更是眾矢之的，每次微軟的系統(tǒng)漏洞被發(fā)現(xiàn)后，針對(duì)該漏洞利用的惡意代碼很快就會(huì)出現(xiàn)在網(wǎng)上，一系列案例證明。從漏洞被發(fā)現(xiàn)到惡意代碼出現(xiàn)，中間的時(shí)差開(kāi)始變得越來(lái)越短，所以必須時(shí)刻關(guān)注操作系統(tǒng)的最新漏洞，以保證系統(tǒng)安全。第六十四頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三654.4.1輸入法漏洞攻擊與防御1.漏洞描述在安裝Windows2000簡(jiǎn)體中文版的過(guò)程中，默認(rèn)情況下同時(shí)安裝了各種簡(jiǎn)體中文輸入法。而Microsoft自Windows2000開(kāi)始，支持中文用戶名。這些隨系統(tǒng)裝入的輸入法可以在系統(tǒng)登錄界面中使用，以便用戶能使用基于中文字符的用戶標(biāo)識(shí)和密碼登錄到系統(tǒng)，理論上，在未登陸情況下，應(yīng)限制提供給用戶的系統(tǒng)功能。然而，在SP2補(bǔ)丁以前，默認(rèn)安裝的情況下，Windows2000中的簡(jiǎn)體中文輸入法不能正確地檢測(cè)當(dāng)前的狀態(tài)，導(dǎo)致在系統(tǒng)登錄界面中提供了不應(yīng)有的功能。進(jìn)而，一些別有用心的用戶可以通過(guò)直接操作該系統(tǒng)的登陸界面得到當(dāng)前系統(tǒng)權(quán)限，運(yùn)行其選擇的代碼，更改系統(tǒng)配置，新建用戶，添加或刪除系統(tǒng)服務(wù)，添加、更改或刪除數(shù)據(jù)，或執(zhí)行其他非法操作。第六十五頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三662.攻擊實(shí)現(xiàn)針對(duì)輸入法漏洞的攻擊有本地和遠(yuǎn)程兩種攻擊方式，這種攻擊方式可以使本地用戶繞過(guò)身份驗(yàn)證機(jī)制進(jìn)入系統(tǒng)內(nèi)部。針對(duì)輸入法漏洞的本地攻擊針對(duì)輸入法漏洞的遠(yuǎn)程攻擊第六十六頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三673.防御方法采取以下一些預(yù)防措施，可以有效杜絕黑客的攻擊:(1)給Windows2000打補(bǔ)丁到SP4（如打補(bǔ)丁到SP4不需要進(jìn)行第2項(xiàng)操作）。(2)刪除輸入法幫助文件和多余的輸入法。為了防止惡意用戶通過(guò)輸入法漏洞對(duì)服務(wù)器進(jìn)行攻擊，刪除不需要的輸入法和輸入法的幫助文件。這些幫助文件通常在Windows2000的安裝目錄下（如:C:\Windows）的Help目錄下，對(duì)應(yīng)的幫助文件分別是:Windowsime.chm輸入法操作指南；

Windowssp.chm雙拼輸入法幫助；

Windowszm.chm鄭碼輸入法幫助。(3)防止別人惡意利用net.exe，可以考慮將其移出c:\winnt\system32目錄，或者改名。但自己應(yīng)記住更改的目錄或新的文件名。第六十七頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三684.4.2IPC$攻擊與防御1.漏洞描述IPC$(InternetProcessConnection）是共享“命名管道”的資源，它是為了讓進(jìn)程間通信而開(kāi)放的命名管道，通過(guò)提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換，從而實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問(wèn)。IPC$漏洞，其實(shí)IPC$本身并不是一個(gè)真正意義上的漏洞，其主要漏洞在于其允許空會(huì)話（Nullsession）。空會(huì)話是在沒(méi)有信任的情況下與服務(wù)器建立的會(huì)話（即未提供用戶名與密碼）。第六十八頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三692.攻擊實(shí)現(xiàn)對(duì)于WindowsNT系列的操作系統(tǒng)，在默認(rèn)安全設(shè)置下，借助空連接可以列舉目標(biāo)主機(jī)上的用戶和共享，訪問(wèn)everyone權(quán)限的共享，訪問(wèn)小部分注冊(cè)表等，但這對(duì)黑客來(lái)說(shuō)并沒(méi)有什么太大的利用價(jià)值；對(duì)Windows2000作用更小，因?yàn)樵赪indows2000和以后版本中默認(rèn)只有管理員和備份操作員有權(quán)從網(wǎng)絡(luò)訪問(wèn)到注冊(cè)表，而且實(shí)現(xiàn)起來(lái)也不方便，需借助工具。第六十九頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三70單從上述描述來(lái)看，空會(huì)話好像并無(wú)多大用處，但從一次完整的IPC$入侵來(lái)看，空會(huì)話是一個(gè)不可缺少的跳板，以下是空會(huì)話中能夠使用的一些具體命令。(1)建立一個(gè)空會(huì)話（當(dāng)然，這需要目標(biāo)開(kāi)放IPC$）。命令如下:netuse\\ip\ipc$""/user:"“(2)查看遠(yuǎn)程主機(jī)的共享資源。命令如下:netview\\ip第七十頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三71(3)查看遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間。命令如下:nettime\\ip(4)得到遠(yuǎn)程主機(jī)的NetBIOS用戶名列表（需要打開(kāi)自己的NBT）。命令如下:netstat－Aip(5)刪除ipc$連接netuse\\ip\ipc$/del第七十一頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三724.4.3RPC（RemoteProcedureCall）漏洞攻擊與防御1.漏洞描述遠(yuǎn)程過(guò)程調(diào)用（RemoteProcedureCall，簡(jiǎn)稱RPC）是一種協(xié)議，程序可使用這種協(xié)議向網(wǎng)絡(luò)中的另一臺(tái)計(jì)算機(jī)上的程序請(qǐng)求服務(wù)。由于使用RPC的程序不必了解支持通信的網(wǎng)絡(luò)協(xié)議的情況，因此，RPC提高了程序的互操作性。Microsoft的RPC部分在通過(guò)TCP/IP處理信息交換時(shí)存在問(wèn)題，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞以本地系統(tǒng)權(quán)限在系統(tǒng)上執(zhí)行任意指令。RPC漏洞是由于WindowsRPC服務(wù)在某些情況下不能正確檢查消息輸入而造成的。如果攻擊者在RPC建立連接后發(fā)送某種類型的格式不正確的RPC消息，則會(huì)導(dǎo)致遠(yuǎn)程計(jì)算機(jī)上與RPC之間的基礎(chǔ)分布式組件對(duì)象模型拒絕服務(wù)，分布式對(duì)象模型（DCOM）是一種能夠使軟件組件通過(guò)網(wǎng)絡(luò)直接進(jìn)行通信的協(xié)議。沖擊波（Worm.Blaster）病毒和高波（Worm_Agobot）蠕蟲(chóng)病毒也是針對(duì)此漏洞進(jìn)行傳播，造成大范圍危害。

第七十二頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三732.攻擊實(shí)現(xiàn)黑客也會(huì)利用此漏洞進(jìn)行攻擊，通過(guò)Retina(R)就可以很容易掃描一個(gè)網(wǎng)段存在RPC漏洞隱患的機(jī)器。第七十三頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三74第七十四頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三753.防御RPC漏洞RPC采取以下一些措施可以有效防御RPC攻擊:(1)通過(guò)防火墻關(guān)閉135端口。(2)更新最新補(bǔ)丁。第七十五頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三764.5針對(duì)IIS漏洞攻擊技術(shù)與防御技術(shù)MicrosoftIIS是允許在公共Intranet或Internet上發(fā)布信息的Web服務(wù)器，IIS可以提供HTTP、FTP、gopher服務(wù)。IIS本身的安全性能并不理想，漏洞層出不窮，如MDAC弱點(diǎn)漏洞、ida＆idq漏洞、printer漏洞、Unicode編碼、目錄遍歷漏洞、WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞等，使得針對(duì)IIS服務(wù)器的攻擊事件頻頻發(fā)生。第七十六頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三774.5.1Unicode漏洞攻擊與防御1.漏洞分析Unicode為一個(gè)ISO國(guó)際標(biāo)準(zhǔn)，它包含了世界各國(guó)的常用文字，可支持?jǐn)?shù)百萬(wàn)個(gè)字碼。它的目的是統(tǒng)一世界各國(guó)的字符編碼。許多操作系統(tǒng)，最新的瀏覽器和其他產(chǎn)品都支持Unicode編碼。IIS4.0、IIS5.0在使用Unicode解碼時(shí)存在一個(gè)安全漏洞，導(dǎo)致用戶可以遠(yuǎn)程通過(guò)IIS執(zhí)行任意命令。當(dāng)用戶用IIS打開(kāi)文件時(shí)，如果該文件名包含Unicode字符，系統(tǒng)會(huì)對(duì)其進(jìn)行解碼。如果用戶提供一些特殊的編碼請(qǐng)求，將導(dǎo)致IIS錯(cuò)誤地打開(kāi)或者執(zhí)行某些Web根目錄以外的文件。第七十七頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三78Unicode漏洞影響的版本有:從中文WindowsIIS4.0＋SP6開(kāi)始，還影響中文Windows2000＋I(xiàn)IS5.0、中文Windows2000＋I(xiàn)IS5.S+SP1。繁體中文版也同樣存在這樣的漏洞。它們利用擴(kuò)展Unicode字符（如利用“../”取代“/”和“\”）進(jìn)行目錄遍歷漏洞?！癨”在WindowsNT中編碼為%c1%9c，在Windows2000英文版中編碼為%c0%af。第七十八頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三792.漏洞攻擊首先介紹入侵者在入侵存在UNICODE漏洞的服務(wù)器時(shí)所涉及到的有關(guān)命令，其實(shí)有些命令和在DOS下使用的命令是一樣的，但如cd這一類命令則不可用。下面以02作為攻擊的目標(biāo)主機(jī)（存在UNICODE漏洞的服務(wù)器）介紹與UNICODE漏洞所涉及到的有關(guān)命令。第七十九頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三80(1)dir命令列出目標(biāo)計(jì)算機(jī)的目錄。在瀏覽器的地址欄中輸入如下內(nèi)容：02/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\(2)顯示下一個(gè)目錄可在瀏覽器的地址欄中輸入如下內(nèi)容：02/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\Inetpub(3)type命令顯示文件內(nèi)容?？梢栽跒g覽器中顯示txt、htm、asp等格式的內(nèi)容，如要顯示C盤(pán)下config.txt文件的內(nèi)容，可在瀏覽器的地址欄中輸入如下內(nèi)容：02/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+type+c:\config.txt(4)del命令刪除文件命令。例如，要?jiǎng)h除C盤(pán)下的config.txt文件，可在瀏覽器的地址欄中輸入如下內(nèi)容：02/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:\config.txt第八十頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三81(5)copy命令復(fù)制指定文件或同時(shí)將該文件改名，例如將c盤(pán)Winnt\system32下的cmd.exe程序復(fù)制到C盤(pán)Inetpub\scripts下，并改名為win.exe，可在瀏覽器的地址欄中輸入如下內(nèi)容：02/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exec:\inetpub\scripts\win.exe(6)echo命令修改文件內(nèi)容，例如修改主機(jī)c:\inetpub\wwwroot\index.html網(wǎng)頁(yè)內(nèi)容，可在瀏覽器的地址欄中輸入如下內(nèi)容：02/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+echo+內(nèi)容+>c:\inetpub\wwwroot\index.html第八十一頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三823.防御辦法在若系統(tǒng)存在Unicode漏洞，可采取如下方法進(jìn)行補(bǔ)救:(1)限制網(wǎng)絡(luò)用戶訪問(wèn)和調(diào)用CMD命令的權(quán)限；(2)若沒(méi)必要使用SCRIPTS和MSADC目錄，將其全部刪除或改名；(3)安裝WindowsNT系統(tǒng)時(shí)不要使用默認(rèn)winnt路徑，您可以改為其他的文件夾，如C:\mywindowsnt；(4)用戶可從Microsoft網(wǎng)站安裝補(bǔ)丁。第八十二頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三834.5.2IDA＆IDQ緩沖區(qū)溢出漏洞攻擊與防御1.漏洞危害及成因作為安裝IIS過(guò)程的一部分，系統(tǒng)還會(huì)安裝幾個(gè)ISAPI擴(kuò)展.dlls，其中idq.dll是IndexServer的一個(gè)組件，對(duì)管理員腳本和Internet數(shù)據(jù)查詢提供支持。但是，idq.dll在一段處理URL輸入的代碼中存在一個(gè)未經(jīng)檢查的緩沖區(qū)，攻擊者利用此漏洞能導(dǎo)致受影響服務(wù)器產(chǎn)生緩沖區(qū)溢出，從而執(zhí)行自己提供的代碼。更為嚴(yán)重的是，idq.dll是以System身份運(yùn)行的，攻擊者可以利用此漏洞取得系統(tǒng)管理員權(quán)限。第八十三頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三842.攻擊實(shí)現(xiàn)如同所有的漏洞入侵過(guò)程一樣，先使用各種通用的漏洞掃描工具掃描出漏洞機(jī)器。然后到網(wǎng)絡(luò)上搜索針對(duì)該漏洞的利用工具，如溢出工具圖形界面的SnakeIISIDQ和命令行下的IISidq或者Idqover等。[實(shí)例]利用SnakeIISIDQ工具進(jìn)行IDQ緩沖區(qū)溢出漏洞攻擊第八十四頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三85對(duì)于IDA＆IDQ漏洞的防御方法主要是下載相應(yīng)補(bǔ)丁即可。第八十五頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三864.5.3Pinter溢出漏洞入侵與防御1.漏洞成因及危害Windows2000IIS5的打印ISAPI擴(kuò)展接口建立了.printer擴(kuò)展名到msw3prt.dll的映射關(guān)系，缺省情況下該映射存在。當(dāng)遠(yuǎn)程用戶提交對(duì).printer的URL請(qǐng)求時(shí)，IIS5調(diào)用msw3prt.dll解釋該請(qǐng)求。由于msw3prt.dll缺乏足夠的緩沖區(qū)邊界檢查，遠(yuǎn)程用戶可以提交一個(gè)精心構(gòu)造的針對(duì).printer的URL請(qǐng)求，其“Host:”域包含大約420字節(jié)的數(shù)據(jù)，此時(shí)在msw3prt.dll中發(fā)生典型的緩沖區(qū)溢出，潛在允許執(zhí)行任意代碼。溢出發(fā)生后，Web服務(wù)停止響應(yīng)，Win2K可以檢查到Web服務(wù)停止響應(yīng)，從而自動(dòng)重啟它，因此，系統(tǒng)管理員很難意識(shí)到發(fā)生過(guò)攻擊。第八十六頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三872.攻擊實(shí)現(xiàn)由于.printer漏洞只有IIS5.0（Windows2000Server）存在，所以入侵者通過(guò)此漏洞入侵計(jì)算機(jī)只會(huì)針對(duì)IIS5.0進(jìn)行。[實(shí)例]利用.printer漏洞建立管理員組用戶第八十七頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三883.防御辦法(1)對(duì)于.printer溢出漏洞打相應(yīng)補(bǔ)丁。(2)手工刪除.printer，因?yàn)檫@個(gè)文件存在溢出漏洞。溢出漏洞是由于.printer后綴的腳本會(huì)輸送給msw3prt.dll，我們可以刪除.printer映射。在計(jì)算機(jī)的“控制面板”選擇“管理工具”下的“Internet服務(wù)管理器”，打開(kāi)Web站點(diǎn)屬性對(duì)話框中的“主目錄”選項(xiàng)卡，單擊配置，找到.printer映射，如圖4-49所示，然后刪除即可。第八十八頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三894.6Web應(yīng)用漏洞攻擊技術(shù)與防御技術(shù)1.MicrosoftSQLServer空口令漏洞描述MicrosoftSQLServer是微軟的關(guān)系數(shù)據(jù)庫(kù)產(chǎn)品。所謂空口令漏洞，實(shí)際上并不是一個(gè)漏洞，而是管理員配置上的疏忽。在微軟的MSSQL-SERVER7.0以下的版本在默認(rèn)安裝時(shí)，其SA（SystemAdministrator）賬戶口令為空，所開(kāi)端口為1433，一個(gè)入侵者只需要使用一個(gè)MSSQL客戶端與SA口令為空的服務(wù)器連接就可以獲得System的權(quán)限。第八十九頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三902.MicrosoftSQLServer空口令攻擊實(shí)現(xiàn)攻擊者可以使用MSSQL客戶端或是第三方客戶端連接工具將空口令服務(wù)器的數(shù)據(jù)庫(kù)導(dǎo)出、增加管理員等操作，GUI的SqlExec.exe就是其中一款。[實(shí)例]利用MicrosoftSQLServer空口漏洞建立后門(mén)賬號(hào)第九十頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三913.漏洞防御(1)確保你的SA登錄賬號(hào)的密碼非空。只有你的SA登錄賬號(hào)沒(méi)有安全保障的時(shí)候蠕蟲(chóng)才會(huì)工作。因此，你應(yīng)該遵循在SQLServer聯(lián)機(jī)文檔中“系統(tǒng)管理員（SA）登錄”主題中的推薦模式，確保固有的SA賬號(hào)具有一個(gè)強(qiáng)壯的密碼，即使是你自己從不使用SA賬號(hào)。(2)在你的互聯(lián)網(wǎng)網(wǎng)關(guān)或防火墻上屏蔽1433端口和/或指定SQLServer監(jiān)聽(tīng)一個(gè)可選的端口。(3)假如在你的互聯(lián)網(wǎng)網(wǎng)關(guān)上需要利用1433端口，啟動(dòng)用于防止此端口濫用的流入/流出過(guò)濾。(4)將SQLServer和SQLServer客戶端運(yùn)行在微軟的WindowsNT賬號(hào)下，而不是localsystem。(5)啟動(dòng)WindowsNT驗(yàn)證，啟動(dòng)監(jiān)聽(tīng)成功和失敗的登錄，然后停止并重啟MSSQLServer服務(wù)。設(shè)置你的客戶端使用NT驗(yàn)證。第九十一頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三924.6.2Cookie攻擊1.Cookie簡(jiǎn)介Cookie或稱Cookies，指某些網(wǎng)站為了辨別用戶身份而儲(chǔ)存在用戶本地終端上的數(shù)據(jù)（通常經(jīng)過(guò)加密）。用戶在登陸時(shí)，系統(tǒng)就保留了該用戶的Cookie信息。當(dāng)我們單擊進(jìn)入會(huì)員專區(qū)的時(shí)候，事實(shí)客戶端向服務(wù)器提交了本地Cookie信息，包括用戶名、密碼等。有些網(wǎng)站存放用戶名和密碼的Cookie是明文的，黑客只要讀取Cookie文件就可以得到賬戶和密碼，有些Cookie是通過(guò)Md5加密的，用戶仍然可以通過(guò)破解得到關(guān)鍵信息。第九十二頁(yè)，共一百零一頁(yè)，編輯于2023年，星期三932.Cookie