網(wǎng)絡(luò)銀行安全現(xiàn)狀

構(gòu)建現(xiàn)代平安網(wǎng)絡(luò)銀行一、網(wǎng)絡(luò)銀行概念網(wǎng)上銀行是指利用互聯(lián)網(wǎng)/WWW技術(shù),通過(guò)建立互聯(lián)網(wǎng)站點(diǎn)和WEB主頁(yè),為客戶提供有關(guān)銀行業(yè)務(wù)與信息效勞〔如提供存貸、電子商務(wù)、帳戶管理〕等效勞的各種金融效勞的銀行機(jī)構(gòu)。網(wǎng)上銀行的定義：網(wǎng)絡(luò)銀行中，用戶通過(guò)個(gè)人電腦、掌上電腦、或者其它數(shù)字終端設(shè)備，采用撥號(hào)連接、專(zhuān)線連接、無(wú)限連接等方式，登錄互聯(lián)網(wǎng)，享受網(wǎng)上銀行的效勞。網(wǎng)上銀行網(wǎng)上銀行提供的金融業(yè)務(wù)大致分為三大類(lèi):

信息、查詢和交易

目前，網(wǎng)上銀行已經(jīng)遍布180多個(gè)國(guó)家，容納了360萬(wàn)個(gè)網(wǎng)絡(luò)，接入了1億多臺(tái)電腦，有100多萬(wàn)信息源，5億多用戶。網(wǎng)銀操作流程網(wǎng)上銀行開(kāi)展概況1999年6月，IBM公司的一項(xiàng)統(tǒng)計(jì)數(shù)字標(biāo)明，斯堪的那維亞地區(qū)網(wǎng)上銀行業(yè)務(wù)的開(kāi)展在歐洲處于領(lǐng)先地位。德國(guó)1997年開(kāi)始提供網(wǎng)上銀行業(yè)務(wù)是目前最大的網(wǎng)上零售國(guó)，隨后，日本、韓國(guó)、新加坡也迅速開(kāi)展起來(lái)。自1995年世界上第一家網(wǎng)上銀行——美國(guó)平安第一網(wǎng)絡(luò)銀行誕生，短短十幾年間，網(wǎng)上銀行便在世界范圍內(nèi)得到了迅速的開(kāi)展。我國(guó)網(wǎng)上銀行的開(kāi)展始于1997年,招商銀行率先推出網(wǎng)上銀行,接著中國(guó)工商銀行、中國(guó)建設(shè)銀行、交通銀行、中國(guó)銀行、中國(guó)農(nóng)業(yè)銀行等也紛紛開(kāi)通網(wǎng)上支付業(yè)務(wù)。網(wǎng)銀國(guó)內(nèi)外開(kāi)展?fàn)顩r起初在美國(guó)其他國(guó)家開(kāi)展?fàn)顩r我國(guó)開(kāi)展?fàn)顩r網(wǎng)上銀行開(kāi)展概況二、網(wǎng)銀平安現(xiàn)狀國(guó)外網(wǎng)絡(luò)銀行受到攻擊的典型案例花旗銀行網(wǎng)站遭遇黑客，20萬(wàn)信用卡用戶信息被盜；韓國(guó)農(nóng)協(xié)銀行遭遇攻擊導(dǎo)致系統(tǒng)長(zhǎng)時(shí)間癱瘓及大量交易數(shù)據(jù)喪失；94年末，俄羅斯黑客弗拉基米爾·利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上，向美國(guó)CITYBANK銀行發(fā)動(dòng)了一連串攻擊，通過(guò)電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計(jì)算機(jī)主機(jī)里竊取1100萬(wàn)美元。國(guó)外網(wǎng)絡(luò)銀行受到攻擊的典型案例2000年2月6日前后，美國(guó)YAHOO等8家大型網(wǎng)站接連遭受黑客的攻擊，直接經(jīng)濟(jì)損失約為12億美元；國(guó)際知名黑客凱文米特尼克凱文?米特尼克是美國(guó)20世紀(jì)最著名的黑客之一，他是“社會(huì)工程學(xué)〞的創(chuàng)始人。1979年他和他的伙伴侵入了北美空防指揮部1983年的電影?戰(zhàn)爭(zhēng)游戲?演繹了同樣的故事，在片中，以凱文為原型的少年黑客幾乎引發(fā)了第三次世界大戰(zhàn)。著名病毒--莫里斯蠕蟲(chóng)〔MorrisWorm〕時(shí)間--1988年肇事者--RobertT.Morris,美國(guó)康奈爾大學(xué)學(xué)生，其父是美國(guó)國(guó)家平安局平安專(zhuān)家。機(jī)理--利用sendmail,finger等效勞的漏洞，消耗CPU資源，拒絕效勞。影響—Internet上大約6000臺(tái)計(jì)算機(jī)感染，占當(dāng)時(shí)Internet聯(lián)網(wǎng)主機(jī)總數(shù)的10%，造成9600萬(wàn)美元的損失。CERT/CC的誕生—DARPA成立CERT〔ComputerEmergencyResponseTeam〕，以應(yīng)付類(lèi)似“蠕蟲(chóng)〔MorrisWorm〕〞事件國(guó)內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例2004年至2005年兩年間,電腦高手劉某利用木馬軟件7次作案，破解網(wǎng)上銀行，盜竊3萬(wàn)元.

2006年04月—5月,北京地區(qū)使用工商銀行網(wǎng)上銀行的客戶,陸續(xù)有人發(fā)現(xiàn)自己賬戶中的存款被人轉(zhuǎn)移到陌生賬號(hào)上,被盜金額從幾百到一萬(wàn)不等.黑客使用偽造的工商銀行的假網(wǎng)站,用戶登錄假網(wǎng)站后,網(wǎng)站的病毒程序會(huì)將盜竊來(lái)的賬號(hào)密碼發(fā)到指定的郵箱.國(guó)內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例江蘇21歲的大專(zhuān)生汪某，利用把淘寶網(wǎng)會(huì)員號(hào)借給網(wǎng)友購(gòu)物之機(jī)，暗中記下網(wǎng)友的網(wǎng)絡(luò)銀行卡號(hào)，套走存款3177元；甘肅王某趁公司演示網(wǎng)上銀行業(yè)務(wù)，快速地記公司賬號(hào)及網(wǎng)上銀行客戶卡密碼。并找時(shí)機(jī)將12萬(wàn)元資金劃撥到了其事先開(kāi)立的“楚鑫〞賬戶上；哈爾濱市某高校４名大學(xué)生利用網(wǎng)上銀行轉(zhuǎn)賬，盜取哈爾濱工商銀行多個(gè)儲(chǔ)蓄所５３萬(wàn)余元巨款；國(guó)內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例2004年10月，三名犯罪分子從網(wǎng)上搜尋某銀行儲(chǔ)蓄卡卡號(hào)，然后登陸該銀行網(wǎng)上銀行網(wǎng)站，嘗試破解弱口令，并屢屢得手；2005年7月，某市一17歲在校生劉某，利用互聯(lián)網(wǎng)傳播“網(wǎng)銀大盜〞木馬程序，盜取了134個(gè)網(wǎng)民的銀行賬號(hào)和密碼，并將他人銀行賬戶上的錢(qián)款轉(zhuǎn)到自己的賬戶中，先后共盜取他人存款5萬(wàn)余元；國(guó)內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例貴州11歲兒童在網(wǎng)上購(gòu)置了專(zhuān)門(mén)用于套取工行銀行網(wǎng)上銀行個(gè)人賬戶和密碼的假冒網(wǎng)址，并冒充工行網(wǎng)上客戶效勞人員，以幫助李某某解決網(wǎng)上銀行不能登錄問(wèn)題為由，騙取信任后讓李某某在自己購(gòu)置的中國(guó)工商銀行假冒網(wǎng)站上填寫(xiě)銀行賬戶相關(guān)信息進(jìn)行網(wǎng)上銀行卡的升級(jí)，從而盜取了李某某的工行個(gè)人網(wǎng)上銀行賬號(hào)及密碼。17荊州人趙蓉的網(wǎng)上銀行帳戶上的資金被劃走：2004年7月，黑龍江人付某使用了一種木馬程序，掛在自己的網(wǎng)站上；荊州人趙蓉下載付某的軟件，木馬就“進(jìn)入〞電腦；屏幕上敲入的信息通過(guò)郵件發(fā)出：賬戶、密碼；付某成功劃出1萬(wàn)元；抓獲付某時(shí)，他已獲取7000多個(gè)全國(guó)各地儲(chǔ)戶的網(wǎng)上銀行密碼。利用木馬進(jìn)行攻擊平安事件：付某：三、網(wǎng)銀典型網(wǎng)絡(luò)犯罪工具網(wǎng)絡(luò)銀行受到攻擊的典型案例網(wǎng)銀大盜灰鴿子釣魚(yú)網(wǎng)站網(wǎng)銀平安現(xiàn)狀不法分子在向木馬作者繳納一定注冊(cè)費(fèi)后〔費(fèi)用標(biāo)準(zhǔn)與所選擇的功能掛鉤〕，再填入收取所盜網(wǎng)銀帳號(hào)密碼的FTP效勞器地址，便可以生成專(zhuān)為自己進(jìn)行網(wǎng)銀盜號(hào)的木馬。它所生成的木馬無(wú)論通過(guò)何種形式傳播，盜取的網(wǎng)銀帳號(hào)和密碼都會(huì)自動(dòng)發(fā)送到不法分子指定的效勞器中網(wǎng)銀大盜網(wǎng)銀平安現(xiàn)狀網(wǎng)銀大盜生成器灰鴿子灰鴿子--遠(yuǎn)程控制木馬的控制界面，不法分子可以對(duì)中招機(jī)器進(jìn)行的操作包括：文件管理、獲取系統(tǒng)信息、剪貼板查看、進(jìn)程管理、窗口管理、鍵盤(pán)記錄、效勞管理、共享管理，捕獲屏幕，視頻監(jiān)控，音頻監(jiān)控……可以說(shuō)，用戶在本地能看到的信息，使用灰鴿子遠(yuǎn)程監(jiān)控也能看到。如果用戶在電腦上進(jìn)行網(wǎng)上銀行交易，那么遠(yuǎn)程屏幕監(jiān)控容易暴露用戶的帳號(hào)，再加上鍵盤(pán)監(jiān)控，用戶的密碼也岌岌可危。網(wǎng)銀平安現(xiàn)狀灰鴿子

網(wǎng)銀平安現(xiàn)狀在觀察一個(gè)偽造工行網(wǎng)銀支付界面的釣魚(yú)網(wǎng)頁(yè)時(shí)，通過(guò)地址欄可以看到，它的URL〔網(wǎng)頁(yè)地址〕與正當(dāng)工行支付網(wǎng)頁(yè)的URL〔網(wǎng)頁(yè)地址〕完全不同，這也是當(dāng)前常見(jiàn)的網(wǎng)銀盜竊手段，即不法分子利用各類(lèi)誘惑信息欺騙網(wǎng)銀用戶首先進(jìn)行一個(gè)小額支付〔通常為1元〕，發(fā)來(lái)的鏈接卻是釣魚(yú)網(wǎng)頁(yè)，以此偷取受害用戶的網(wǎng)銀信息釣魚(yú)網(wǎng)站網(wǎng)銀平安現(xiàn)狀網(wǎng)銀平安現(xiàn)狀另類(lèi)釣魚(yú)網(wǎng)站中獎(jiǎng)〔

另類(lèi)釣魚(yú)網(wǎng)站中獎(jiǎng)另類(lèi)釣魚(yú)網(wǎng)站中獎(jiǎng)三、網(wǎng)銀平安措施現(xiàn)狀網(wǎng)上銀行登錄主要認(rèn)證方式介紹一、數(shù)字證書(shū)〔私鑰〕認(rèn)證方式

1、存放在電腦中

2、存放在USBKEY中二、動(dòng)態(tài)口令〔一次性口令〕認(rèn)證方式

1、口令卡

2、認(rèn)證令牌

3、動(dòng)態(tài)密碼三、雙渠道交易確認(rèn)方式網(wǎng)上銀行認(rèn)證方式一、數(shù)字證書(shū)〔私鑰〕認(rèn)證方式〔第三方：CFCA〕

目前正在使用CFCA提供的證書(shū)的銀行有：·中國(guó)工商銀行 ·中國(guó)農(nóng)業(yè)銀行 ·中國(guó)建設(shè)銀行·交通銀行 ·中信銀行 ·中國(guó)光大銀行·華夏銀行 ·中國(guó)民生銀行 ·廣東開(kāi)展銀行·深圳開(kāi)展銀行 ·上海浦東開(kāi)展銀行 ·興業(yè)銀行其他銀行〔50家以上〕二、動(dòng)態(tài)密碼認(rèn)證方式

網(wǎng)上銀行多重平安防范措施1、CFCA數(shù)字證書(shū)認(rèn)證/USBKEY固態(tài)證書(shū)載體2、動(dòng)態(tài)密碼保護(hù)3、雙重密碼保護(hù)4、及時(shí)語(yǔ)短信提醒5、交易限額設(shè)置

客戶申請(qǐng)成為我行個(gè)人網(wǎng)銀的數(shù)字證書(shū)用戶后，我行即頒發(fā)唯一標(biāo)志此用戶的數(shù)字證書(shū)，供客戶裝載到計(jì)算機(jī)里，或者裝在形似小優(yōu)盤(pán)的USBKey中隨身攜帶。當(dāng)客戶進(jìn)行網(wǎng)上銀行操作時(shí)，證書(shū)會(huì)幫助我行認(rèn)證客戶的身份，防止他人偽冒客戶身份。對(duì)交易信息進(jìn)行加密，使他人無(wú)法破解客戶和我行互相傳遞的信息。對(duì)交易信息進(jìn)行數(shù)字簽名，使他人無(wú)法篡改交易信息。網(wǎng)上銀行多重平安防范措施1、CFCA數(shù)字證書(shū)認(rèn)證/USBKEY固態(tài)證書(shū)載體2、動(dòng)態(tài)密碼保護(hù)3、雙重密碼保護(hù)4、及時(shí)語(yǔ)短信提醒5、交易限額設(shè)置客戶登錄網(wǎng)銀或進(jìn)行匯款、支付等關(guān)鍵交易時(shí)，我行會(huì)向其預(yù)留的上發(fā)送短信，告知客戶一個(gè)隨機(jī)生成、一次有效的動(dòng)態(tài)密碼，這樣一來(lái)，即使他人竊取了客戶的卡號(hào)、密碼等信息，甚至截取了以前的動(dòng)態(tài)密碼，也無(wú)法冒名使用網(wǎng)銀，盜用資金。動(dòng)態(tài)密碼中包含用戶所進(jìn)行的交易中的收款賬號(hào)、交易金額等敏感信息，供用戶核對(duì)，防止黑客的“中間人攻擊〞。動(dòng)態(tài)密碼的短信發(fā)送號(hào)碼為95528。動(dòng)態(tài)密碼如沒(méi)有收到，相關(guān)頁(yè)面上均有“重發(fā)動(dòng)態(tài)密碼〞按鈕，客戶點(diǎn)擊便可重獲動(dòng)態(tài)密碼，可重獲兩次動(dòng)態(tài)密碼。網(wǎng)上銀行多重平安防范措施1、CFCA數(shù)字證書(shū)認(rèn)證/USBKEY固態(tài)證書(shū)載體2、動(dòng)態(tài)密碼保護(hù)3、雙重密碼保護(hù)4、及時(shí)語(yǔ)短信提醒5、交易限額設(shè)置用戶使用查詢密碼登錄網(wǎng)銀，假設(shè)使用初始密碼登錄，系統(tǒng)將強(qiáng)制用戶修改查詢密碼，此前方可登錄，查詢密碼與客戶號(hào)相關(guān)聯(lián)。交易密碼用于資金交易、預(yù)約交易、重要信息修改等，交易密碼與具體某張憑證相關(guān)聯(lián)查詢密碼連續(xù)輸錯(cuò)3次，系統(tǒng)自動(dòng)將該客戶鎖定一段時(shí)間交易密碼連續(xù)輸錯(cuò)3次，需到柜面解鎖網(wǎng)上銀行多重平安防范措施1、CFCA數(shù)字證書(shū)認(rèn)證/USBKEY固態(tài)證書(shū)載體2、動(dòng)態(tài)密碼保護(hù)3、雙重密碼保護(hù)4、及時(shí)語(yǔ)短信提醒5、交易限額設(shè)置資金變動(dòng)即時(shí)發(fā)送投資信息理財(cái)助理接收設(shè)置個(gè)性選擇開(kāi)通方便收費(fèi)低廉通知方式多樣選擇網(wǎng)上銀行多重平安防范措施1、CFCA數(shù)字證書(shū)認(rèn)證/USBKEY固態(tài)證書(shū)載體2、動(dòng)態(tài)密碼保護(hù)3、雙重密碼保護(hù)4、及時(shí)語(yǔ)短信提醒5、交易限額設(shè)置客戶可個(gè)性化設(shè)置單筆、單日累計(jì)的對(duì)外轉(zhuǎn)賬、支付限額單日對(duì)外轉(zhuǎn)賬支付限額小于等于單日累計(jì)對(duì)外轉(zhuǎn)賬支付限額單筆、單日累計(jì)的對(duì)外轉(zhuǎn)賬支付限額不包含銀證轉(zhuǎn)賬、基金買(mǎi)賣(mài)、外匯買(mǎi)賣(mài)、活轉(zhuǎn)活、活轉(zhuǎn)定等客戶本人名下資產(chǎn)劃轉(zhuǎn)動(dòng)態(tài)密碼用戶的單日累計(jì)對(duì)外轉(zhuǎn)賬支付限額不超過(guò)20萬(wàn)元數(shù)字證書(shū)用戶的單日累計(jì)對(duì)外轉(zhuǎn)賬支付限額無(wú)上限數(shù)字證書(shū)版瀏覽器證書(shū)USBKEY固態(tài)證書(shū)個(gè)人銀行專(zhuān)業(yè)版數(shù)字證書(shū)版瀏覽器證書(shū)

USBKEY固態(tài)證書(shū)動(dòng)態(tài)密碼版數(shù)字證書(shū)：浦發(fā)網(wǎng)上銀行專(zhuān)業(yè)版采用由國(guó)內(nèi)獨(dú)立權(quán)威機(jī)構(gòu)頒發(fā)的、符合國(guó)際標(biāo)準(zhǔn)〔X.509〕的數(shù)字證書(shū)。而且，我們的客戶可以根據(jù)自己上網(wǎng)的條件，自由選擇瀏覽器證書(shū)或移動(dòng)證書(shū)。動(dòng)態(tài)密碼：每次交易時(shí)，浦發(fā)銀行向您綁定的號(hào)碼上發(fā)送一個(gè)6位字符的隨機(jī)密碼，用于當(dāng)前交易使用數(shù)字證書(shū)、動(dòng)態(tài)密碼怎么選？

功能移動(dòng)證書(shū)瀏覽器證書(shū)動(dòng)態(tài)密碼安全性安全安全安全首次使用簡(jiǎn)便性新USBKEY無(wú)需下載驅(qū)動(dòng)程序。需要將數(shù)字證書(shū)下載到USBKEY中需要在計(jì)算機(jī)上下載安裝證書(shū)、簽名控件無(wú)須任何下載安裝每次使用方便性每次登錄網(wǎng)銀時(shí)，需要插入裝有證書(shū)的USBKEY需要在安裝過(guò)證書(shū)的電腦上操作。對(duì)外支付時(shí)需增加動(dòng)態(tài)密碼驗(yàn)證。收不到動(dòng)態(tài)密碼時(shí)可能影響對(duì)外支付或匯款可在任何能夠上網(wǎng)的電腦上使用登錄網(wǎng)銀時(shí)，需要接收并輸入短信動(dòng)態(tài)密碼。收不到動(dòng)態(tài)密碼時(shí)可能影響網(wǎng)銀使用對(duì)計(jì)算機(jī)要求較高，缺少安全補(bǔ)丁的盜版操作系統(tǒng)有可能安裝證書(shū)困難。較高，缺少安全補(bǔ)丁的盜版操作系統(tǒng)有可能安裝證書(shū)困難較低，只要瀏覽器版本達(dá)到IE6.0就可以業(yè)務(wù)豐富性全功能網(wǎng)上服務(wù)全功能網(wǎng)上服務(wù)交易金額有上限，每日對(duì)外支付不超過(guò)200000元什么是動(dòng)態(tài)密碼?每次交易時(shí)，浦發(fā)銀行向您綁定的號(hào)碼上發(fā)送一個(gè)6位字符的隨機(jī)密碼，用于當(dāng)前交易使用。什么是取款密碼?但凡需要變更銀行賬戶資金的交易所需要使用的密碼。如ATM取款密碼，刷卡消費(fèi)用的密碼，一卡一密。什么是查詢密碼?只進(jìn)行賬戶余額查詢的密碼，如登錄網(wǎng)上銀行的密碼，登錄銀行的密碼。本人名下所有的銀行卡、存折都用同一個(gè)查詢密碼，初始密碼6個(gè)81、翻開(kāi)網(wǎng)頁(yè)，點(diǎn)擊左上角“首次登陸〞：2、閱讀責(zé)任條款，并點(diǎn)擊“接受〞：3、選擇“證件類(lèi)型〞，輸入“證件號(hào)碼〞，點(diǎn)擊“確定〞：4、點(diǎn)擊“確定〞：5、輸入“動(dòng)態(tài)密碼〞〔步驟四結(jié)束后，收到短信中顯示〕，點(diǎn)擊“確定〞：6、輸入“交易密碼〞〔交易密碼：即取款密碼〕，點(diǎn)擊“確定〞：7、首次登陸完畢，顯示一下畫(huà)面，點(diǎn)擊“動(dòng)態(tài)密碼用戶登陸〞：請(qǐng)記錄客戶號(hào)動(dòng)態(tài)密碼版網(wǎng)上銀行登錄演示浦發(fā)銀行://浦發(fā)銀行網(wǎng)上銀行://五、網(wǎng)銀平安漏洞分析TCP/IP體系結(jié)構(gòu)

TCP/IP體系結(jié)構(gòu)

網(wǎng)絡(luò)層的平安漏洞主要原因IP協(xié)議設(shè)計(jì)中的錯(cuò)誤和疏忽使得網(wǎng)絡(luò)先天缺乏，為黑客攻擊提供了條件。例如，IEEE802.11b中出現(xiàn)的WEP漏洞。TCP/IP協(xié)議缺乏相應(yīng)的平安機(jī)制，且IP網(wǎng)最初設(shè)計(jì)根本沒(méi)有考慮平安問(wèn)題等等都使得網(wǎng)絡(luò)存在先天缺乏。隨著網(wǎng)絡(luò)系統(tǒng)規(guī)模的增大，各種系統(tǒng)軟件、應(yīng)用軟件變得越來(lái)越復(fù)雜，網(wǎng)絡(luò)設(shè)備廠商、集成商和運(yùn)營(yíng)商的網(wǎng)絡(luò)系統(tǒng)軟件在開(kāi)發(fā)和實(shí)現(xiàn)過(guò)程中不可防止的會(huì)出現(xiàn)各種缺陷和漏洞。網(wǎng)絡(luò)層的主要攻擊

A．攻擊的位置〔1〕遠(yuǎn)程攻擊〔2〕本地攻擊〔3〕偽遠(yuǎn)程攻擊B．攻擊的深度〔1〕表層攻擊〔2〕讀訪問(wèn)〔3〕非根式的寫(xiě)與執(zhí)行訪問(wèn)〔4〕根式的寫(xiě)和執(zhí)行訪問(wèn)C．攻擊的層次〔1〕簡(jiǎn)單拒絕效勞；〔2〕本地用戶獲得非授權(quán)讀權(quán)限；〔3〕本地用戶獲得非授權(quán)寫(xiě)權(quán)限；〔4〕遠(yuǎn)程用戶獲得非授權(quán)帳號(hào)信息；〔5〕遠(yuǎn)程用戶獲得特權(quán)文件的讀權(quán)限；〔6〕遠(yuǎn)程用戶獲得特權(quán)文件的寫(xiě)權(quán)限；〔7〕遠(yuǎn)程用戶擁有了系統(tǒng)管理員權(quán)限。網(wǎng)絡(luò)層的主要攻擊

網(wǎng)絡(luò)層的主要攻擊

D．攻擊分類(lèi)在最高層次，攻擊被分為兩類(lèi)：〔1〕主動(dòng)攻擊：包含攻擊者訪問(wèn)他所需要信息的成心行為。主動(dòng)攻擊包括拒絕效勞攻擊、信息篡改、資源使用、欺騙等攻擊方法。〔2〕被動(dòng)攻擊：主要是收集信息而不是進(jìn)行訪問(wèn)，數(shù)據(jù)的合法用戶對(duì)這種活動(dòng)一點(diǎn)也不會(huì)覺(jué)察到。被動(dòng)攻擊包括嗅探、信息收集等攻擊方法。網(wǎng)絡(luò)層的主要攻擊

圖攻擊分類(lèi)鍵擊記錄：是植入操作系統(tǒng)內(nèi)核的隱蔽軟件，通常實(shí)現(xiàn)為一個(gè)鍵盤(pán)設(shè)備驅(qū)動(dòng)程序，能夠把每次鍵擊都記錄下來(lái)，存放到攻擊者指定的隱藏的本地文件中。如PCAgent等。網(wǎng)絡(luò)監(jiān)聽(tīng)：是攻擊者一旦在目標(biāo)網(wǎng)絡(luò)上獲得一個(gè)立足點(diǎn)之后刺探網(wǎng)絡(luò)情報(bào)的最有效方法，通過(guò)設(shè)置網(wǎng)卡的混雜模式獲得網(wǎng)絡(luò)上所有的數(shù)據(jù)包，并從中抽取平安關(guān)鍵信息，如明文方式傳輸?shù)目诹睢Ｈ鏦in32平臺(tái)下的sniffer等免費(fèi)工具，Unix平臺(tái)下的libpcap網(wǎng)絡(luò)監(jiān)聽(tīng)工具庫(kù)。非法訪問(wèn)數(shù)據(jù)：是攻擊者或內(nèi)部人員違反平安策略對(duì)其訪問(wèn)權(quán)限之外的數(shù)據(jù)進(jìn)行非法訪問(wèn)。獲取密碼文件：攻擊者進(jìn)行口令破解獲取特權(quán)用戶或其他用戶口令的必要前提。常見(jiàn)的網(wǎng)絡(luò)攻擊1〕竊聽(tīng)：指攻擊者通過(guò)非法手段對(duì)系統(tǒng)活動(dòng)的監(jiān)視從而獲得一些平安關(guān)鍵信息。目前屬于竊聽(tīng)技術(shù)的常用攻擊方法有：常見(jiàn)的網(wǎng)絡(luò)攻擊2〕欺騙：指攻擊者通過(guò)冒充正常用戶以獲取對(duì)攻擊目標(biāo)訪問(wèn)權(quán)或獲取關(guān)鍵信息的攻擊方法，屬于此類(lèi)攻擊的方法有：獲取口令：通過(guò)缺省口令、口令猜測(cè)和口令破解三種途徑。針對(duì)一些弱口令進(jìn)行猜測(cè)。也可以使用專(zhuān)門(mén)的口令猜測(cè)工具進(jìn)行口令破解，如遍歷字典或高頻密碼列表從而找到正確的口令。如Win32平臺(tái)的LOphtcrack等。惡意代碼：包括特洛伊木馬應(yīng)用程序、郵件病毒、網(wǎng)頁(yè)病毒等，通常冒充成有用的軟件工具、重要的信息等，誘導(dǎo)用戶下載運(yùn)行或利用郵件客戶端和瀏覽器的自動(dòng)運(yùn)行機(jī)制，在啟動(dòng)后悄悄安裝惡意程序，通常為攻擊者給出能夠完全控制該主機(jī)的遠(yuǎn)程連接。網(wǎng)絡(luò)欺騙：攻擊者通過(guò)向攻擊目標(biāo)發(fā)送冒充其信任主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包，到達(dá)獲取訪問(wèn)權(quán)或執(zhí)行命令的攻擊方法。具體的有IP欺騙、會(huì)話劫持、ARP重定向和RIP路由欺騙等。常見(jiàn)的網(wǎng)絡(luò)攻擊3〕拒絕效勞：指終端或者完全拒絕對(duì)合法用戶、網(wǎng)絡(luò)、系統(tǒng)和其他資源的效勞的攻擊方法，其意圖就是徹底破壞，這也是比較容易實(shí)現(xiàn)的攻擊方法。特別是分布式拒絕效勞攻擊對(duì)目前的互聯(lián)網(wǎng)構(gòu)成了嚴(yán)重的威脅，造成的經(jīng)濟(jì)損失也極為龐大。拒絕效勞攻擊的類(lèi)型按其攻擊形式分為：導(dǎo)致異常型：利用軟硬件實(shí)現(xiàn)上的編程缺陷，導(dǎo)致其出現(xiàn)異常，從而使其拒絕效勞。如PingofDeath攻擊等。資源耗盡型：通過(guò)大量消耗資源使得攻擊目標(biāo)由于資源耗盡不能提供正常的效勞。視資源類(lèi)型的不同可分為帶寬耗盡和系統(tǒng)資源耗盡兩類(lèi)。帶寬耗盡攻擊的本質(zhì)是攻擊者通過(guò)放大等技巧消耗掉目標(biāo)網(wǎng)絡(luò)的所有帶寬，如Smurf攻擊等。系統(tǒng)資源耗盡型攻擊指對(duì)系統(tǒng)內(nèi)存、CPU或程序中的其他資源進(jìn)行消耗，使其無(wú)法滿足正常提供效勞的需求。如SynFlood攻擊等。欺騙型：ARP拒絕效勞攻擊D62DoS攻擊、DDOS攻擊ACK拒絕效勞攻擊；SYN攻擊；Land攻擊；TearDrop攻擊；會(huì)話劫持攻擊；Jolt攻擊；Bloop攻擊；Cpd攻擊；Targa攻擊；Twinge攻擊；小型PMTU攻擊；……常見(jiàn)的網(wǎng)絡(luò)攻擊4〕數(shù)據(jù)驅(qū)動(dòng)攻擊：通過(guò)向某個(gè)程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常為攻擊者給出訪問(wèn)目標(biāo)系統(tǒng)的權(quán)限，大致可分為：緩沖區(qū)溢出：通過(guò)往程序的緩沖區(qū)寫(xiě)入超出其邊界的內(nèi)容，造成緩沖區(qū)的溢出，使得程序轉(zhuǎn)而執(zhí)行其他攻擊者指定的代碼，通常是為攻擊者翻開(kāi)遠(yuǎn)程連接的ShellCode，以到達(dá)攻擊目標(biāo)。如Windows平臺(tái)下的Code-Red、Blaster、Sasser等都是通過(guò)緩沖區(qū)溢出攻擊獲得系統(tǒng)管理員權(quán)限后進(jìn)行傳播。格式化字符串攻擊：主要是利用由于格式化函數(shù)的微妙程序設(shè)計(jì)錯(cuò)誤造成的平安漏洞，通過(guò)傳遞精心編制的含有格式化指令的文本字符串，以使目標(biāo)程序執(zhí)行任意命令。輸入驗(yàn)證攻擊：針對(duì)程序未能對(duì)輸入進(jìn)行有效的驗(yàn)證的平安漏洞，使得攻擊者能夠讓程序執(zhí)行指令的命令。最著名的是1996年的PHF攻擊。同步漏洞攻擊：利用程序在處理同步操作時(shí)的缺陷，如競(jìng)爭(zhēng)狀態(tài)、信號(hào)處理等問(wèn)題，以獲得更高權(quán)限的訪問(wèn)。信任漏洞攻擊：利用程序?yàn)E設(shè)的信任關(guān)系獲取訪問(wèn)權(quán)的一種方法，如Win32平臺(tái)下互為映象的本地和域Administrator憑證、LSA密碼等。1〕想要在別人面前炫耀自己的技術(shù)，如進(jìn)入別人的電腦去修改一個(gè)文件或目錄名。2〕惡作劇、練功，這是許多人或?qū)W生入侵或破壞的最主要原因，除了有練功的效果外還有些許網(wǎng)絡(luò)探險(xiǎn)的感覺(jué)。3〕竊取數(shù)據(jù)，可能是偷取硬盤(pán)中的文件或各種上網(wǎng)密碼，然后從事各種商業(yè)應(yīng)用。4〕想復(fù)仇的事后報(bào)復(fù)者，如對(duì)老板或公司制度不滿，事先把報(bào)復(fù)程序或病毒程序?qū)懭胨幊绦?，并?guī)定在將來(lái)某時(shí)，或某條件下激活發(fā)作，摧毀原公司網(wǎng)絡(luò)系統(tǒng)。5〕修改或者刪除重要數(shù)據(jù)，到達(dá)商業(yè)利益或個(gè)人利益。黑客為什么要攻擊？黑客攻擊流程攻擊的典型過(guò)程預(yù)攻擊內(nèi)容：獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進(jìn)行進(jìn)一步攻擊決策攻擊內(nèi)容：獲得遠(yuǎn)程權(quán)限進(jìn)入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進(jìn)一步擴(kuò)展權(quán)限進(jìn)行實(shí)質(zhì)性操作目的：進(jìn)行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：植入后門(mén)木馬刪除日志修補(bǔ)明顯的漏洞進(jìn)一步滲透擴(kuò)展目的：消除痕跡，長(zhǎng)期維持一定的權(quán)限網(wǎng)絡(luò)層的主要攻擊--信息收集信息收集—非技術(shù)手段1〕合法途徑從目標(biāo)機(jī)構(gòu)的網(wǎng)站獲取新聞報(bào)道，出版物新聞組或論壇2〕社會(huì)工程手段假冒他人，獲取第三方的信任3〕搜索引擎網(wǎng)絡(luò)層的主要攻擊--信息收集1〕在Google的搜索關(guān)鍵字“intitle:〞WJ-NT104MainPage〞，即可找到很多網(wǎng)絡(luò)攝像頭。 如：2〕域搜索是在指定的一個(gè)網(wǎng)域內(nèi)進(jìn)行信息搜索。舉例1： 首先翻開(kāi)，然后輸入“allinurl:login〞； 我們選中其中的一個(gè)“://〞翻開(kāi)； 搜索此站“site:XXX〞的二級(jí)域名網(wǎng)站； 看一下有沒(méi)有pdf電子文檔，“site:XXXfiletype:pdf〞； 輸入“info:XXX〞，查到該網(wǎng)站的根本信息。一〕使用搜索引擎網(wǎng)絡(luò)層的主要攻擊--信息收集3〕info: 查找指定站點(diǎn)的根本信息。4〕inurl: 查找在url中包含搜索詞的網(wǎng)頁(yè)，例如：黑客慣用的“inurl:admin〞偶爾就能搜索出網(wǎng)站的登錄頁(yè)面，從而進(jìn)行下一步的攻擊。5〕link: 搜索與某網(wǎng)站做了鏈接的網(wǎng)頁(yè)，例如：輸入“〞即可搜索出包含有鏈接到“〞的網(wǎng)頁(yè)〔這個(gè)可以用來(lái)找出有多少網(wǎng)頁(yè)在鏈接你的網(wǎng)站哦〕。6〕site: 用于搜索某一域內(nèi)的網(wǎng)頁(yè)，例如：輸入“site:sohu〞，即可實(shí)現(xiàn)在“sohu〞域內(nèi)搜索的目的。網(wǎng)絡(luò)層的主要攻擊--信息收集二、路由跟蹤1〕概念 路由跟蹤就是從本地開(kāi)始到達(dá)某一目標(biāo)地址所經(jīng)過(guò)的路由設(shè)備，并顯示出這些路由設(shè)備的IP、連接時(shí)間等信息。2〕作用：如果某段網(wǎng)絡(luò)不通或網(wǎng)速很慢，可以利用路由跟蹤找出某故障地點(diǎn)，方便維護(hù)人員的維護(hù)工作。對(duì)于“黑客〞來(lái)說(shuō)，這是個(gè)很有用的功能，他可以大概分析出你所在網(wǎng)絡(luò)的狀況。這對(duì)于第一步的周邊網(wǎng)絡(luò)環(huán)境信息收集很有用。3〕tracert：用IP生存時(shí)間TTL字段和ICMP錯(cuò)誤消息來(lái)確定從一個(gè)主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。網(wǎng)絡(luò)層的主要攻擊--信息收集二、路由跟蹤tracert網(wǎng)絡(luò)層的主要攻擊--信息收集三、信息收集的主要工具Ping、fping、pingsweepARP探測(cè)FingerWhoisDNS/nslookup搜索引擎〔google、百度〕telnet網(wǎng)絡(luò)層的主要攻擊--信息收集四、Ping用來(lái)判斷目標(biāo)是否活動(dòng)；最常用；最簡(jiǎn)單的探測(cè)手段；Ping程序一般是直接實(shí)現(xiàn)在系統(tǒng)內(nèi)核中的，而不是一個(gè)用戶進(jìn)程。網(wǎng)絡(luò)層的主要攻擊--信息收集四、Ping原理Type=8Type=0類(lèi)型為8，表示“回響請(qǐng)求〞類(lèi)型為0，表示“回響應(yīng)答〞主機(jī)在線情況主機(jī)不應(yīng)答情況1〕主機(jī)不在線2〕防火墻阻斷ICMP探測(cè)Ping實(shí)驗(yàn)表示機(jī)器不在線；或者防火墻阻斷。舉例2：Pingwar2.0——群pingARP探測(cè)

能探測(cè)同一局域網(wǎng)內(nèi)的主機(jī)，因?yàn)榉阑饓Σ荒茏钄郃RP請(qǐng)求。whois作用和特點(diǎn)網(wǎng)絡(luò)效勞效勞端口：tcp43效勞端程序whoisd,客戶端程序finger提供目標(biāo)系統(tǒng)的地址信息參考網(wǎng)站1參考網(wǎng)站2:///常規(guī)信息收集網(wǎng)絡(luò)域名網(wǎng)絡(luò)Ip地址分配使用單位地址網(wǎng)絡(luò)層的主要攻擊—網(wǎng)絡(luò)掃描主機(jī)發(fā)現(xiàn)技術(shù)主要分三種：ping掃描ARP掃描端口掃描1.Ping掃描確定哪些機(jī)器是up的2種方式ICMP類(lèi)似于ping，發(fā)送icmp消息給目標(biāo)，看是否有返回TCPping給目標(biāo)特定的tcp端口(如常用的80)發(fā)送ack消息，如果返回rst，說(shuō)明機(jī)器up。常用的tracetcp。2.ARP掃描

ARP〔AddressResolutionProtocol〕即地址解析協(xié)議，它是用于局域網(wǎng)內(nèi)的物理地址。ARP掃描是指通過(guò)向目標(biāo)主機(jī)發(fā)送ARP請(qǐng)求〔查詢目標(biāo)主機(jī)的物理地址〕，如果目標(biāo)主機(jī)回應(yīng)一個(gè)ARP響應(yīng)報(bào)文，那么說(shuō)明它是存活的。下面是ARP掃描的示意圖：3.端口掃描3.1目的判斷目標(biāo)主機(jī)開(kāi)啟了哪些端口及其對(duì)應(yīng)的效勞確定目標(biāo)系統(tǒng)正在運(yùn)行的TCP/UDP效勞在掃描時(shí)希望隱藏自己3.2掃描根底TCP數(shù)據(jù)報(bào)首部標(biāo)志域TCP連接的建立過(guò)程TCP連接的釋放過(guò)程TCP/IP實(shí)現(xiàn)遵循的原那么常用效勞端口如：21FTP；23Telnet；25SMTP；80HTTP；8080用于WWW代理效勞，://cce:8080；常用效勞端口漏洞1〕8080端口8080端口可以被各種病毒程序所利用，比方BrownOrifice〔BrO〕特洛伊木馬病毒可以利用8080端口完全遙控被感染的計(jì)算機(jī)。另外，RemoConChubo，RingZero木馬也可以利用該端口進(jìn)行攻擊。2〕端口：21最常見(jiàn)的攻擊者用于尋找翻開(kāi)anonymous的FTP效勞器的方法。這些效勞器帶有可讀寫(xiě)的目錄。木馬DolyTrojan、Fore、InvisibleFTP、WebEx、WinCrash和BladeRunner所開(kāi)放的端口。常用效勞端口漏洞3〕端口：23效勞：Telnet大多數(shù)情況下掃描這一端口是為了找到機(jī)器運(yùn)行的操作系統(tǒng)。還有使用其他技術(shù)，入侵者也會(huì)找到密碼。木馬TinyTelnetServer就開(kāi)放這個(gè)端口。4〕端口：25效勞：SMTP入侵者尋找SMTP效勞器是為了傳遞他們的SPAM。入侵者的帳戶被關(guān)閉，他們需要連接到高帶寬的E-MAIL效勞器上，將簡(jiǎn)單的信息傳遞到不同的地址。木馬Antigen、EmailPasswordSender、HaebuCoceda、ShtrilitzStealth、WinPC、WinSpy都開(kāi)放這個(gè)端口。5〕端口：80效勞：HTTP用于網(wǎng)頁(yè)瀏覽。木馬Executor開(kāi)放此端口。端口掃描分類(lèi)技術(shù)端口掃描分類(lèi)掃描技術(shù)分析掃描分類(lèi)TCP全連接開(kāi)放掃描半開(kāi)放掃描TCP反向ident掃描IP頭信息dumb掃描SYN掃描FIN掃描隱蔽掃描TCP分段ACK掃描XMAS掃描空掃描掃射掃描SYN/ACK掃描ping掃射其它掃描UDP/ICMP不可達(dá)FTP彈跳UDP掃射UDPrecvfrom/write掃描ACK掃射SYN掃射ICMP掃射端口掃描工具NmapXscanSuperScanShadowSecurityScannerMS06040ScannerNmap——探測(cè)工具王功能 NMAP是探測(cè)網(wǎng)絡(luò)主機(jī)和開(kāi)放效勞的佼佼者。--Linux版本--Windows版本秘密掃描、動(dòng)態(tài)延遲和重發(fā)；欺騙掃描、端口過(guò)濾探測(cè)、分布掃描等。xscan選擇‘無(wú)條件掃描’，才可以突破防火墻屏蔽ping，進(jìn)行端口掃描。Superscan——速度之王

MS06040Scanner——專(zhuān)用的漏洞掃描器用于檢測(cè)目標(biāo)系統(tǒng)是否存在MS06040漏洞。基于windows操作系統(tǒng)的攻擊1.windows系統(tǒng)口令攻擊

口令攻擊主要采用以下幾種方法：猜測(cè)攻擊字典攻擊窮舉攻擊混合攻擊直接破解系統(tǒng)口令文件網(wǎng)絡(luò)嗅探(sniffer)鍵盤(pán)記錄中間人攻擊社會(huì)工程學(xué)1.1Windows操作系統(tǒng)的口令破解技術(shù)

1.輸入法漏洞

windows2000sp2之前的版本。 目前的Vista操作系統(tǒng)，極點(diǎn)五筆輸入法，也存在此類(lèi)問(wèn)題。2.暴力破解SAM文件，一般使用工具LC3.刪除SAM文件SAM文件是WIN2000里面保存密碼信息的文件。一般的編輯器是無(wú)法直接讀取這些信息的。注冊(cè)表中的HKEY_LOCAL_MACHINE\\SAM\\SAMHKEY_LOCAL_MACHINE\\SECURITY\\SAM保存的就是SAM文件的內(nèi)容，在正常設(shè)置下僅對(duì)system是可讀寫(xiě)的。1.2設(shè)置系統(tǒng)策略保護(hù)口令連接策略問(wèn)題：默認(rèn)情況下系統(tǒng)沒(méi)有設(shè)置登錄的失敗次數(shù)限制，導(dǎo)致可以被無(wú)限制地嘗試連接系統(tǒng)管理的共享資源。解決方法：設(shè)置用戶的訪問(wèn)策略，定義用戶登錄失敗到達(dá)一定次數(shù)時(shí)鎖定帳號(hào)，并限制管理員遠(yuǎn)程訪問(wèn)。如何實(shí)現(xiàn)？在“管理工具〞中，選擇本地平安策略。在本地平安策略中選擇“帳戶平安策略〞，其中的“密碼策略〞可以對(duì)密碼的長(zhǎng)度、密碼的存留時(shí)間等方面進(jìn)行設(shè)置。比方：在“密碼必須符合復(fù)雜性要求〞的選項(xiàng)中，系統(tǒng)默認(rèn)是停用該功能，但推薦用戶在使用時(shí)將該功能開(kāi)啟。點(diǎn)擊“帳戶鎖定策略〞，可以看到三個(gè)被選項(xiàng)，這里可以對(duì)帳戶的時(shí)間和帳戶無(wú)效訪問(wèn)的次數(shù)進(jìn)行設(shè)置。此處，我們點(diǎn)擊“用戶鎖定閾值〞點(diǎn)右鍵，選擇“平安性〞，此處就可以對(duì)用戶無(wú)效訪問(wèn)次數(shù)進(jìn)行限制。由于Administrator帳號(hào)的特殊性，Administrator帳號(hào)無(wú)法設(shè)置帳號(hào)鎖定，即使登錄失敗的次數(shù)到達(dá)設(shè)置時(shí)，該帳號(hào)也不可能被鎖住。因此除了系統(tǒng)默認(rèn)創(chuàng)立的Administrator帳號(hào)，還應(yīng)該創(chuàng)立至少一個(gè)具有管理員特權(quán)的帳號(hào)，并且，把默認(rèn)帳號(hào)Administrator改成另外一個(gè)名字。2.IPC$入侵

2.1什么是IPC IPC是英文InternetProcessConnection的縮寫(xiě)，即：命名管道，它是windows提供的一個(gè)通信根底，用來(lái)在兩臺(tái)計(jì)算機(jī)進(jìn)程之間建立通信連接。而IPC后面的$是windows系統(tǒng)所使用的隱藏符號(hào)，因此IPC$表示IPC共享，但是是隱藏的共享。默認(rèn)IPC是共享的。通過(guò)IPC連接，入侵者就能夠?qū)崿F(xiàn)遠(yuǎn)程控制目標(biāo)主機(jī)。2.2空會(huì)話〔NullSession〕攻擊概念：Null會(huì)話是同效勞器建立的無(wú)信任支持的會(huì)話。一個(gè)會(huì)話包含用戶的認(rèn)證信息，而Null會(huì)話是沒(méi)有用戶的認(rèn)證信息，也就好比是一個(gè)匿名的一樣。作用：當(dāng)在多域環(huán)境中，要在多域中建立信任關(guān)系，首先需要找到域中的pdc來(lái)通過(guò)平安通道的密碼驗(yàn)證，使用空會(huì)話能夠非常容易地找到pdc，還有就是關(guān)于一些系統(tǒng)效勞的問(wèn)題。而且Lmhosts的#include就需要空會(huì)話的支持。

攻擊過(guò)程：1).用掃描軟件搜尋存在弱口令的主機(jī)比方流光，SSS，X-scan等，然后鎖定目標(biāo)，如果掃到了管理員權(quán)限的口令，假設(shè)現(xiàn)在得到了administrator的密碼為空2).然后，我們先建立起ipc$連接

netuse\\\ipc$""/user:administrator3).查看遠(yuǎn)程主機(jī)開(kāi)了什么共享

netview

注釋?zhuān)郝暶饔胣etview命令無(wú)法看到默認(rèn)共享，因此通過(guò)上面返回的結(jié)果，并不能判斷對(duì)方是否開(kāi)啟了默認(rèn)共享。4).查看遠(yuǎn)程主機(jī)的時(shí)間

nettime

5).得到遠(yuǎn)程主機(jī)的netbios用戶名列表nbtstat

Copye:\nc.exe\\5\c$上傳文件nc.exe到目標(biāo)地址的c盤(pán)At14:03c:\nc.exe指定在目標(biāo)地址上在14:03執(zhí)行程序nc.exe2.3空會(huì)話攻擊的防御

有如下方法：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous。在Windows2000中將值改為“2〞，表示限制所有的匿名訪問(wèn)，除非明確許可。禁止自動(dòng)翻開(kāi)默認(rèn)共享。 對(duì)于Windows2000Pro來(lái)說(shuō)，修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters],把AUTOShareWks〔DWORD〕的鍵值該為00000000。如果主鍵不存在，就新建一個(gè)再修改鍵值。 server版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer〔DWORD〕的鍵值改為:00000000。關(guān)閉ipc$和默認(rèn)共享依賴的效勞:server效勞

操作：控制面板-管理工具-效勞-找到server效勞〔右擊〕-屬性-常規(guī)-啟動(dòng)類(lèi)型-選已禁用

這時(shí)可能會(huì)有提示說(shuō)：XXX效勞也會(huì)關(guān)閉是否繼續(xù)，因?yàn)檫€有些次要的效勞要依賴于lanmanserver，不要管它。屏蔽139，445端口

由于沒(méi)有以上兩個(gè)端口的支持，是無(wú)法建立ipc$的，因此屏蔽139，445端口同樣可以阻止ipc$入侵。 注意：如果屏蔽掉了以上兩個(gè)端口，你將無(wú)法用ipc$入侵別人。設(shè)置復(fù)雜密碼，防止通過(guò)ipc$窮舉出密碼應(yīng)用層的主要攻擊

基于windows操作系統(tǒng)的攻擊—防御3.2NTFS權(quán)限設(shè)置4文件系統(tǒng)加密與保護(hù)

4.1文件系統(tǒng)加密4.2文件系統(tǒng)保護(hù)

Windows2000提供了兩種方式對(duì)系統(tǒng)文件進(jìn)行保護(hù)，一種是瀏覽保護(hù)，一種是文件保護(hù)。瀏覽保護(hù)文件保護(hù) “Windows文件保護(hù)〞能阻止替換受保護(hù)的系統(tǒng)文件，這些受保護(hù)的文件包括.sys、.dll、.exe、.ttf等系統(tǒng)文件。Windows2000的平安設(shè)置可以大致分為用戶平安設(shè)置、密碼平安設(shè)置、系統(tǒng)平安設(shè)置、效勞平安設(shè)置四個(gè)方面。用戶平安設(shè)置禁用Guest帳號(hào)。限制不必要的用戶。創(chuàng)立兩個(gè)管理員帳號(hào)。把系統(tǒng)Administrator賬號(hào)改名。把共享文件的權(quán)限從Everyone組改成授權(quán)用戶。開(kāi)啟用戶策略。不讓系統(tǒng)顯示上次登錄的用戶名。Windows2000的平安設(shè)置密碼平安設(shè)置使用平安密碼。設(shè)置屏幕保護(hù)密碼。開(kāi)啟密碼策略。系統(tǒng)平安設(shè)置使用NTFS格式分區(qū)。運(yùn)行防毒軟件。關(guān)閉默認(rèn)共享。鎖住注冊(cè)表。利用Windows2000的平安配置工具來(lái)配置平安策略。效勞平安設(shè)置關(guān)閉不必要的端口。設(shè)置好平安記錄的訪問(wèn)權(quán)限。禁止建立空連接。腳本攻擊與防御1SQL注入技術(shù)什么是SQL注入技術(shù)？ SQL注入即是指攻擊者通過(guò)在應(yīng)用程序中預(yù)先定義好的查詢語(yǔ)句結(jié)尾加上額外的SQL語(yǔ)句元素，欺騙數(shù)據(jù)庫(kù)效勞器執(zhí)行非授權(quán)的任意查詢。dimrsadmin1=request("admin")password1=request("password")setrs=server.CreateObject("ADODB.RecordSet")rs.open"select*fromadminwhereadmin='"&admin1&"'andpassword='"&password1&"'",conn,1ifrs.eofandrs.bofthenresponse.write"<SCRIPTlanguage=JavaScript>alert('用戶名或密碼不正確！');"response.write"javascript:history.go(-1)</SCRIPT>"response.endelsesession("admin")=rs("admin")session("password")=rs("password")session("aleave")=rs("aleave")response.redirect"admin.asp"endifrs.closesetrs=nothing一個(gè)經(jīng)典的SQL注入漏洞分析在用戶名和密碼那里都填入‘OR‘’=’，SQL語(yǔ)句被構(gòu)造成

select*fromadminwhereadmin=‘'OR‘'=‘'

and

password=‘'OR‘'=‘‘意思是當(dāng)admin為空或者空等于空，password為空或者空等于空的時(shí)候整個(gè)查詢語(yǔ)句就為真。如何來(lái)修補(bǔ)漏洞？過(guò)濾掉其中的特殊字符。這里我們就過(guò)濾掉其中的單引號(hào)“'〞，即是把程序的頭兩行改為：admin1=replace(trim(request("admin")),"'","")password1=replace(trim(request("password")),"'","")3跨站腳本攻擊技術(shù)

什么是跨站腳本攻擊？ 跨站腳本攻擊〔XSS，又稱作CSS〕指的是惡意攻擊者向Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web頁(yè)面的html代碼會(huì)被執(zhí)行，從而到達(dá)惡意用戶的特殊目的。屬于被動(dòng)攻擊。數(shù)據(jù)流程： 惡意用戶的Html輸入—>web程序—>進(jìn)入數(shù)據(jù)庫(kù)—>web程序—>用戶瀏覽器跨站Script攻擊方式動(dòng)態(tài)輸入大致有四種形式：URL參數(shù)表格元素Cookie數(shù)據(jù)請(qǐng)求〔由于程序代碼較多，省〕惡意代碼1概述什么是惡意代碼？ 惡意代碼是指獨(dú)立的程序或者嵌入到其它程序中的代碼，它在不被用戶覺(jué)察的情況下啟動(dòng)，到達(dá)破壞電腦平安性和完整性的目的。惡意代碼的分類(lèi)木馬、rootkit、病毒、蠕蟲(chóng)和網(wǎng)頁(yè)惡意代碼Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息，比較多見(jiàn)到的是Rootkit一般都和木馬、后門(mén)等其他惡意程序結(jié)合使用。Rootkit通過(guò)加載特殊的驅(qū)動(dòng)，修改系統(tǒng)內(nèi)核，進(jìn)而到達(dá)隱藏信息的目的。蠕蟲(chóng)與病毒的區(qū)別蠕蟲(chóng)指的是能夠在網(wǎng)絡(luò)上完全地復(fù)制自身的獨(dú)立可執(zhí)行代碼。蠕蟲(chóng)技術(shù)融合了自復(fù)制技術(shù)、掃描技術(shù)以及緩沖區(qū)溢出等攻擊技術(shù)。著名的蠕蟲(chóng)有1988年的Morris蠕蟲(chóng)、2001年的Code-Red蠕蟲(chóng)、2003年的SQLSlammer蠕蟲(chóng)和Blaster蠕蟲(chóng)、2004年的Sasser蠕蟲(chóng)等。病毒需要宿主程序通過(guò)某種方式將其激活。目前的病毒也逐漸融入將一些網(wǎng)絡(luò)攻擊的技術(shù)，如著名的Nimda病毒通過(guò)電子郵件、共享目錄以及主動(dòng)攻擊IIS緩沖區(qū)溢出漏洞等形式到達(dá)廣泛傳播的效果。特洛伊木馬特洛伊木馬的來(lái)歷希臘人攻打特洛伊城十年，始終未獲成功，后來(lái)建造了一個(gè)大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當(dāng)作是獻(xiàn)給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來(lái)翻開(kāi)城門(mén)，希臘將士里應(yīng)外合消滅了特洛伊城。后來(lái)我們把進(jìn)入敵人內(nèi)部攻破防線的手段叫做木