網(wǎng)絡(luò)安全技術(shù)-網(wǎng)絡(luò)攻擊技術(shù)PPT

個人介紹陳興鈺長春方聯(lián)計算機(jī)高級技術(shù)培訓(xùn)中心講師E-mail: chenxy@MSN: rollen_chen@網(wǎng)絡(luò)攻擊技術(shù)目錄：

黑客與攻擊技術(shù)概述：漏洞掃描技術(shù)：網(wǎng)絡(luò)嗅探技術(shù)：口令破解技術(shù)：計算機(jī)病毒及特洛伊木馬：網(wǎng)絡(luò)入侵技術(shù)概述：網(wǎng)絡(luò)后門技術(shù)：網(wǎng)絡(luò)隱身技術(shù)：第二講、黑客與攻擊技術(shù)概述一、黑客概述：二、網(wǎng)絡(luò)攻擊的類型：三、網(wǎng)絡(luò)攻擊的一般流程：四、網(wǎng)絡(luò)管理及攻防常用命令：一、黑客概述：1、黑客和駭客： “黑客”是“Hacker”的音譯，指“干了一件非常漂亮事的人”。對于計算機(jī)網(wǎng)絡(luò)而言，黑客就是精通網(wǎng)絡(luò)、系統(tǒng)、外設(shè)以及軟硬件技術(shù)的人，是專門研究、發(fā)現(xiàn)計算機(jī)和網(wǎng)絡(luò)漏洞的計算機(jī)愛好者，他們伴隨著計算機(jī)和網(wǎng)絡(luò)的發(fā)展而產(chǎn)生、成長。黑客對計算機(jī)有著狂熱的興趣和執(zhí)著的追求，他們不斷地研究計算機(jī)和網(wǎng)絡(luò)知識，發(fā)現(xiàn)計算機(jī)和網(wǎng)絡(luò)中存在的漏洞，喜歡挑戰(zhàn)高難度的網(wǎng)絡(luò)系統(tǒng)并從中找到漏洞，然后向管理員提出解決和修補(bǔ)漏洞的方法。 到了今天，黑客一詞已被用于泛指那些專門利用計算機(jī)搞破壞或惡作劇的人，對這些人的正確英文叫法是Cracker，有人也翻譯成“駭客”或是“入侵者”，也正是由于入侵者的出現(xiàn)玷污了黑客的聲譽(yù)，使人們把黑客和入侵者混為一談，黑客被人們認(rèn)為是在網(wǎng)上到處搞破壞的人。黑客概述（續(xù)）：2、紅客：紅客最早出于1999年的中美黑客大戰(zhàn)，王重浪先生在他的《我是黑客》也有闡明：“中國紅客從來都愛憎分明，有強(qiáng)烈的愛國之心。相對黑客而言，我們是伸張正義、為保護(hù)民族利益而專門從事黑客行為的紅客”“紅客的原則是，遇事而出，凡是與中國過意不去的，我們就下山；凡是要損害中華民族利益的，我們將出動……

”紅客（Honker），是區(qū)別于以獲取技術(shù)快感為目的的西方傳統(tǒng)黑客?！凹t”便象征著中國，具有中國特色的“紅色”黑客就演化為現(xiàn)在伸張正義的紅客。紅客希望以政治立場的正義性來證實自己攻擊行為的合法性，紅客的組成人員以年輕人為主，在５月８日進(jìn)行的中國鷹派新聞發(fā)布會上，組織者稱他們的成員中“６５％是在校學(xué)生”。紅客就是從事網(wǎng)絡(luò)安全行業(yè)的愛國黑客。紅客是愛憎分明、疾惡如仇的?！爸袊t客聯(lián)盟”（HonkerUnionofChina），即真正的“HUC”，已經(jīng)于2004/12/31由Lion宣告解散。二、網(wǎng)絡(luò)攻擊的類型：1、被動攻擊：攻擊形式：監(jiān)視名文：解密通信數(shù)據(jù)：口令嗅探：通信量分析：……防范措施：對于被動攻擊，可以通過VPN、加密被保護(hù)網(wǎng)絡(luò)、使用加保護(hù)的分布式網(wǎng)絡(luò)，防止被動攻擊。

網(wǎng)絡(luò)攻擊的類型（續(xù)）：2、主動攻擊：其主要形式有： 修改傳輸中的數(shù)據(jù)或偽裝成授權(quán)的用戶或服務(wù)器、利用系統(tǒng)軟件漏洞、利用惡意代碼、利用協(xié)議或基礎(chǔ)設(shè)施的系統(tǒng)缺陷、拒絕服務(wù)等方式對目標(biāo)進(jìn)行攻擊。防范措施： 對于主動攻擊，可以采用增強(qiáng)內(nèi)部網(wǎng)絡(luò)的保護(hù)（如防火墻和邊界護(hù)衛(wèi)），采用基于身份認(rèn)證的訪問控制、遠(yuǎn)程訪問保護(hù)、質(zhì)量安全管理、自動病毒檢測、審計和入侵檢測等技術(shù)，抵御主動攻擊。

網(wǎng)絡(luò)攻擊的類型（續(xù)）：3、鄰近攻擊：其攻擊形式有： 修改數(shù)據(jù)或收集信息、系統(tǒng)干涉、物理破壞等。4、內(nèi)部人員攻擊：其攻擊形式有： 修改數(shù)據(jù)或安全機(jī)制、擅自連接網(wǎng)絡(luò)、物理損壞或破壞等。防范措施： 對于鄰近攻擊和內(nèi)部人員攻擊，可以通過強(qiáng)化網(wǎng)絡(luò)管理來進(jìn)行防范。

網(wǎng)絡(luò)攻擊的類型（續(xù)）：5、分發(fā)攻擊：防范措施： 可以通過受控分發(fā)，以及有最終用戶檢驗軟件簽名和訪問控制來消除分發(fā)攻擊的威脅。三、網(wǎng)絡(luò)攻擊的一般流程：第一步：尋找目標(biāo)第二步：獲取登陸權(quán)限第三步：獲取控制權(quán)限第四步：實施入侵第五步：保留后門第六步：網(wǎng)絡(luò)隱身四、網(wǎng)絡(luò)管理及攻防常用命令：1、ping命令：命令格式：ping[-t][-a][-ncount][-lsize][-f][-iTTL][-vTOS]（1）、不帶參數(shù)用于測試網(wǎng)絡(luò)連通性，主要用于測試。命令格式：C:\>pingTarget：（2）、-t:命令格式：C:\>ping–tTarget或C:\>pingTarget–t：（3）、-a:命令格式：C:\>ping–aTarget或C:\>pingTarget–a（局域網(wǎng)內(nèi)不確定適用）：ping命令（續(xù)）ping命令（續(xù)）（4）、-n:命令格式：C:\>ping-ncountTarget：（5）、-l:命令格式：C:\>ping-lsizeTarget：如：C:＼>ping-l65500-t1（6）、-r:命令格式：C:\>ping-rcountTarget：如C:＼>ping-n1-r901（發(fā)送一個數(shù)據(jù)包，最多記錄9個路由）ping命令（續(xù)）（7）、探測目標(biāo)主機(jī)OS類型：例：C:\>pingPinging[3]with32bytesofdata:Replyfrom3:bytes=32time=30msTTL=55Replyfrom3:bytes=32time=28msTTL=552、Pathping命令：格式為：C:\>pathping[-ghost-list][-hmaximum_hops][-iaddress][-n][-pperiod][-qnum_queries][-wtimeout][-P][-R][-T][-4][-6]target_name3、Tracert（Traceroute）命令：命令格式：C:\>tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]target_name簡單事例：C:\>tarcertTarget4、ipconfig命令：命令格式：ipconfig[/?|/all|/renew[adapter]|/release[adapter]|/flushdns|/displaydns|/registerdns|/showclassidadapter|/setclassidadapter[classid]]參數(shù)：（1）、/all（2）、/release[adapter]（3）、/renew[adapter]（4）、/flushdns：清除客戶端的DNS緩沖區(qū)的緩存。（5）、/registerdns：在客戶端刷新了它的DHCP租借期后將使用DNS動態(tài)更新重新注冊。（6）、/displaydns：查看客戶端的DNS解析器的緩存。（7）、/showclassidadapter：列出適配器上允許的所有的類ID(標(biāo)識符)，注意必須指定適配器。ipconfig命令（續(xù)）：5、netstat命令：命令格式：

C:\>NETSTAT[-a][-b][-e][-n][-o][-pproto][-r][-s][-v][interval]參數(shù)：（1）、-s——本選項能夠按照各個協(xié)議分別顯示其統(tǒng)計數(shù)據(jù)。如果你的應(yīng)用程序（如web瀏覽器）運(yùn)行速度比較慢，或者不能顯示web頁之類的數(shù)據(jù)，那么你就可以用本選項來查看一下所顯示的信息。（2）、-e——本選項用于顯示關(guān)于以太網(wǎng)的統(tǒng)計數(shù)據(jù)。它列出的項目包括傳送的數(shù)據(jù)報的總字節(jié)數(shù)、錯誤數(shù)、刪除數(shù)、數(shù)據(jù)報的數(shù)量和廣播的數(shù)量。（3）、-r——本選項可以顯示關(guān)于路由表的信息，類似于后面所講使用routeprint命令時看到的信息。除了顯示有效路由外，還顯示當(dāng)前有效的連接。（4）、-a——本選項顯示一個所有的有效連接信息列表，包括已建立的連接（established），也包括監(jiān)聽連接請求（listening）的那些連接。（5）、-n——顯示所有已建立的有效連接。netstat命令（續(xù)）：簡單事例：C:\>netstat–ea：顯示以太網(wǎng)統(tǒng)計信息。C:\>netstat–es：顯示按協(xié)議統(tǒng)計信息。C:\>netstat–an：可以查看目前活動的連接和開放的端口，是網(wǎng)絡(luò)管理員查看網(wǎng)絡(luò)是否被入侵的最簡單的方法。6、nbtstat命令：命令格式：C:>NBTSTAT[[-aRemoteName][-AIPaddress][-c][-n] [-r][-R][-RR][-s][-S][interval]]參數(shù)：（1）、-n——顯示寄存在本地的名字和服務(wù)程序。（2）、-c——本命令用于顯示netbios名字高速緩存的內(nèi)容。netbios名字高速緩存用于寸放與本計算機(jī)最近進(jìn)行通信的其他計算機(jī)的netbios名字和ip地址對。（3）、-r——本命令用于清除和重新加載netbios名字高速緩存。（4）、-aip——通過ip顯示另一臺計算機(jī)的物理地址和名字列表，你所顯示的內(nèi)容就像對方計算機(jī)自己運(yùn)行nbtstat-n一樣。（5）、-sip——顯示實用其ip地址的另一臺計算機(jī)的netbios連接表。7、arp命令：命令格式：C:\>ARP-sinet_addreth_addr[if_addr]ARP-dinet_addr[if_addr]ARP-a[inet_addr][-Nif_addr]參數(shù)：（1）、-a或-g——用于查看高速緩存中的所有項目。（2）、-aip——如果你有多個網(wǎng)卡，那么使用arp-a加上接口的ip地址，就可以只顯示與該接口相關(guān)的arp信息。（3）、-sip物理地址——你可以向arp高速緩存中人工輸入一個靜態(tài)項目。（4）、-dip——使用本命令能夠人工刪除一個靜態(tài)項目。8、net命令：命令格式：NET[ACCOUNTS|COMPUTER|CONFIG|CONTINUE|FILE|GROUP|HELP|HELPMSG|LOCALGROUP|NAME|PAUSE|PRINT|SEND|SESSION|SHARE|START|STATISTICS|STOP|TIME|USE|USER|VIEW]（1）、net

view：命令格式：C:\>netview[\\computername[/CACHE]|/DOMAIN[:domainname]]/NETWORK:NW[\\computername]net

view（續(xù)）：①、\\Targetcomputername： 列出目標(biāo)計算機(jī)上共享的資源。②、\\Targetcomputername/cache： 列出目標(biāo)計算機(jī)上共享的資源及緩存資源。③、／DOMAIN:domainname

： 指定用戶希望瀏覽有效的計算機(jī)所在的域。

④、／NETWORK:NW[\\computername]：

顯示

NetWare

網(wǎng)絡(luò)上所有可用的服務(wù)器。（2）、net

use：命令格式：NETUSE [devicename|*][\\computername\sharename[\volume][password|*]][/USER:[domainname\]username][/USER:[dotteddomainname\]username][/USER:[username@dotteddomainname][/SMARTCARD][/SAVECRED][[/DELETE]|[/PERSISTENT:{YES|NO}]]NETUSE{devicename|*}[password|*]/HOMENETUSE[/PERSISTENT:{YES|NO}]net

use（續(xù)）：①、建立IPC$空連接：

IPC$(InternetProcessConnection)是共享“命名管道”的資源，它是為了讓進(jìn)程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換，從而實現(xiàn)對遠(yuǎn)程計算機(jī)的訪問。命令格式為：C:\>netuse\\Target\ipc$

“”/user:””刪除IPC$空連接：C:\>netuse\\Target\ipc$

“”/user:””/del②、建立IPC$信任連接：命令格式為：C:\>netuse\\Target\ipc$

password/user:username刪除IPC$信任連接：C:\>netuse\\Target\ipc$

password/user:username/delnet

use（續(xù)）：③、映射網(wǎng)絡(luò)驅(qū)動器：命令格式為：C:\>netuse驅(qū)動器名稱\\Target\sharenamepassword/user:username簡單事例：C:\>netusez:\\fl-server1\eP@ssw0rd/user:administrator刪除網(wǎng)絡(luò)驅(qū)動器：C:\>netuse驅(qū)動器名稱/del

如：

C:\>netusez:/del（3）、net

start：命令格式：C:\>NETSTART[service]（1）、不帶參數(shù)，顯示本地已啟動服務(wù)的列表。命令格式為：C:\>netstart（2）、啟動/停止本地服務(wù)：命令格式為：C:\>netstart[stop]servicename（4）、Net

Statistics命令：命令格式：C:\>NETSTATISTICS [WORKSTATION|SERVER](1)、鍵入不帶參數(shù)的net

statistics列出其統(tǒng)計信息可用的運(yùn)行服務(wù)。

命令格式為：C:\>netStatistics(2)、workstation顯示本地工作站服務(wù)的統(tǒng)計信息。

命令格式為：C:\>netStatisticsworkstation(3)、server顯示本地服務(wù)器服務(wù)的統(tǒng)計信息。命令格式為：C:\>netStatisticsserver（5）、Net

Session命令：命令格式：C:\>net

session

[\\computername]

[/delete](1)、所有與本地計算機(jī)的會話的信息。命令格式為：C:\>netsession(2)、列出或斷開會話的計算機(jī)。

命令格式為：C:\>net\\computername(3)、結(jié)束與目標(biāo)計算機(jī)的會話。命令格式為：C:\>net\\computername/delete（6）、netshare命令：命令格式為：C:\>net

share

sharename=drive:path

[/users:number

|

/unlimited]

[/remark:"text"](1)、不帶參數(shù)顯示本地計算機(jī)上所有共享資源的信息。(2)、sharename:共享資源的網(wǎng)絡(luò)名稱。(3)、drive:path:指定共享目錄的絕對路徑。

(4)、/users:number:設(shè)置可同時訪問共享資源的最大用戶數(shù)。(5)、/unlimited:不限制同時訪問共享資源的用戶數(shù)。

(6)、/remark:“text

”:添加關(guān)于資源的注釋，注釋文字用引號引住。簡單事例：

C:\>netsharehello=e:\aa/users:10/remark:"reme"

以share為共享名共享e:\aa目錄，備注為reme，用戶數(shù)限制為10。

C:>net

share

mylove

/delete

停止共享mylove目錄（7）、NET

USER命令：命令格式：C:>net

user

[username

[password

|

*]

/add{/delete}[options]]

[/domain]

(1)、鍵入不帶參數(shù)的net

user查看計算機(jī)上的用戶帳號列表。

(2)、username：添加、刪除、更改或查看用戶帳號名。

(3)、password：為用戶帳號分配或更改密碼。

(4)、*：提示輸入密碼。

(5)、/domain：在計算機(jī)主域的主域控制器中執(zhí)行操作。

(6)、/add或/del：將用戶帳戶添加到用戶帳戶數(shù)據(jù)庫中或刪除用戶。簡單事例：

C:>netusermaryp@ssw0rd/addC:\>net

user

guest

/active:yes

激活Guest用戶。（8）、Net

Localgroup命令：命令格式：C:>net

localgroup

groupname/username{/ADD[/COMMENT:"text"]|/DELETE}[/DOMAIN]

(1)、鍵入不帶參數(shù)的net

localgroup顯示服務(wù)器名稱和計算機(jī)的本地組名稱。

(2)、groupname：要添加、擴(kuò)充或刪除的本地組名稱。

(3)、/comment:

"text

"：為新建或現(xiàn)有組添加注釋。

(4)、/domain：在當(dāng)前域的主域控制器中執(zhí)行操作，否則僅在本地計算機(jī)上執(zhí)行操作?

(5)、name

[

...]：列出要添加到本地組或從本地組中刪除的一個或多個用戶名或組名。

(6)、/add：將全局組名或用戶名添加到本地組中。

(7)、/delete：從本地組中刪除組名或用戶名。

簡單事例：

(1)net

localgroup

administratorsmary

/add(2)net

localgroup

usrs顯示love本地組中的用戶（9）、NET

TIME命令命令格式：C:>net

time

[\\computername

|

/domain[:name]]

[/set]

(1)、\\computername：要檢查或同步的服務(wù)器名。

(2)、/domain[:name]:指定要與其時間同步的域。

(3)、/set:使本計算機(jī)時鐘與指定計算機(jī)或域的時鐘同步。簡單事例：

C:>nettime\\9、at命令：命令格式：AT[\\computername][[id][/DELETE]|/DELETE[/YES]]AT[\\computername]time[/INTERACTIVE][/EVERY:date[,...]|/NEXT:date[,...]]"command"（1）、\\computername： 指定遠(yuǎn)程計算機(jī)。如果省略這個參數(shù)，會計劃在本地計算機(jī)上運(yùn)行命令。（2）、id： 指定給已計劃命令的識別號。（3）、/delete： 刪除某個已計劃的命令。如果省略id，計算機(jī)上所有已計劃的命令都會被刪除。（4）、/yes： 不需要進(jìn)一步確認(rèn)時，跟刪除所有作業(yè)的命令一起使用。（5）、time： 指定運(yùn)行命令的時間。at命令（續(xù)）：（6）、/interactive： 允許作業(yè)在運(yùn)行時，與當(dāng)時登錄的用戶桌面進(jìn)行交互。（7）、/every:date[,...]： 每個月或每個星期在指定的日期運(yùn)行命令。如果省略日期，則默認(rèn)為在每月的本日運(yùn)行。（8）、/next:date[,...]： 指定在下一個指定日期(如，下周四)運(yùn)行命令。如果省略日期，則默認(rèn)為在每月的本日運(yùn)行。（9）、"command"： 準(zhǔn)備運(yùn)行的WindowsNT命令或批處理程序。簡單事例：C:\>at\\011:05tlntsvr.exeG_Server.exe10、attrib命令：命令格式：ATTRIB[+R|-R][+A|-A][+S|-S][+H|-H][[drive:][path]filename][/S[/D]]（1）、+：設(shè)置屬性。（2）、-：清除屬性。（3）、R：只讀文件屬性。（4）、A：存檔文件屬性。（5）、S：系統(tǒng)文件屬性。（6）、H：隱藏文件屬性。（7）、[drive:][path][filename]：指定要處理的文件屬性。（8）、/S：處理當(dāng)前文件夾及其子文件夾中的匹配文件。（9）、/D：處理文件夾。11、tasklist命令：命令格式：TASKLIST[/Ssystem[/U