網(wǎng)絡(luò)攻擊與防御

路由與交換應(yīng)用技術(shù)

網(wǎng)絡(luò)攻擊與防御

一些技術(shù)，既是黑客技術(shù),

也是網(wǎng)絡(luò)管理技術(shù)，

或者是網(wǎng)絡(luò)防護技術(shù)。

可能受到威脅的網(wǎng)絡(luò)資源

-硬件設(shè)備，如服務(wù)器、交換機、路由器、

集線器和存儲設(shè)備等；

-軟件，如操作系統(tǒng)、應(yīng)用軟件、開發(fā)工

具等；

-數(shù)據(jù)或信息。

、現(xiàn)場范例

網(wǎng)絡(luò)被攻擊的表現(xiàn)：

1.根據(jù)系統(tǒng)發(fā)生的一些改變推斷系統(tǒng)已被入侵

2.根據(jù)系統(tǒng)中一些奇怪的現(xiàn)象判斷

3.一個用戶登錄進來許多次

4.一個用戶大量地進行網(wǎng)絡(luò)活動，或者其他一些

很不正常的網(wǎng)絡(luò)操作

5.一些原本不經(jīng)常使用的賬戶，突然變得活躍起

來

八處理思路

1.估計形勢

當(dāng)證實遭到入侵時，采取的第一步行動是盡可

能快地估計入侵造成的破壞程度。

2.采取措施

(1)殺死這個進程來切斷黑客與系統(tǒng)的連接。

(2)使用工具詢問他們究竟想要做什么。

(3)跟蹤這個連接，找出黑客的來路和身份。

八處理思路

(4)管理兵可以使用一些工具來監(jiān)視黑客，觀察他們在

做什么。這些工具包括snoop、ps>lastcomm和ttywatch

等。

(5)ps>w和who這些命令可以報告每一個用戶使用的

終端。如果黑客是從一個終端訪問系統(tǒng)，這種情況不

太好，因為這需要事先與電話公司聯(lián)系。

(6)使用who和netstat可以發(fā)現(xiàn)入侵者從哪個主機上過

來，然后可以使用finger命令來查看哪些用戶登錄進遠(yuǎn)

程系統(tǒng)。

(7)修復(fù)安全漏洞并恢復(fù)系統(tǒng)，不給黑客留有可乘之機。

3、預(yù)備知識

網(wǎng)絡(luò)攻擊的類別

常見的攻擊方法及入侵技術(shù)的發(fā)展

常見的網(wǎng)絡(luò)攻擊方法

常見的攻擊步驟

物理攻擊與防范

容易被利用的典型漏洞

網(wǎng)絡(luò)攻擊的類別

?從網(wǎng)絡(luò)高層協(xié)議的角度，攻擊方法可以概括的分

為兩大類：服務(wù)攻擊與非服務(wù)攻擊。服務(wù)攻擊是

針對某種特定網(wǎng)絡(luò)服務(wù)的攻擊；非服務(wù)攻擊不針

對某項具體應(yīng)用服務(wù)。而是基于網(wǎng)絡(luò)層等低層協(xié)

議進行的。

常見的攻擊方法及

入侵技術(shù)的發(fā)展

半開放隱蔽掃描工具

高

包欺騙拒絕服務(wù)

DDOS攻擊

嗅探

入侵者水平隼WWW攻擊

擦除痕跡■T自動探測掃描

GUI遠(yuǎn)程控制

后門

破壞審計系統(tǒng).?檢測網(wǎng)絡(luò)管理

??會話劫持

控制臺入侵

利用已知的漏洞

.密碼破解

攻擊手法可自動復(fù)制的代碼攻擊者

密碼猜測

198019851990199520002002

常見的網(wǎng)絡(luò)攻擊方法

?直接獲取口令進入系統(tǒng)：網(wǎng)絡(luò)監(jiān)聽，暴力破解

?利用系統(tǒng)自身安全漏洞

?特洛伊木馬程序：偽裝成工具程序或者游戲等誘使用戶打開或下

載，然后使用戶在無意中激活，導(dǎo)致系統(tǒng)后門被安裝

?WWW欺騙：誘使用戶訪問纂改過的網(wǎng)頁

?電子郵件攻擊：郵件炸彈、郵件欺騙

?網(wǎng)絡(luò)監(jiān)聽：獲取明文傳輸?shù)拿舾行畔?/p>

?通過一個節(jié)點來攻擊其他節(jié)點：攻擊者控制一臺主機后，經(jīng)常通

過IP欺騙或者主機信任關(guān)系來攻擊其他節(jié)點以隱蔽其入侵路徑和

擦除攻擊證據(jù)

?拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊(D.o.s和D.D.o.S)

常見的攻擊步驟

whois

Ping

信息收集traceroute

http

常叔信息獲取方式

netcraft

nmap

預(yù)攻擊階段端口掃描superscan

r~

Zessus^b畫展示)

漏洞掃描一八

X-ScanG?^)

google

接索弓I擎

----------------:baidu

J」通常黑客的攻擊思路與操作

社會工程學(xué)

遠(yuǎn)程謚出

緩沖區(qū)溢出本地滿中

口令猜測

攻擊階段SQU主人

WebProxy

應(yīng)用攻擊工具

SPIKEProxy

實驗(Webgoat)

特洛伊木馬

后攻擊階段嗅探

需碼破解

物理攻擊與防范

?物理安全是保護一些比較重要的設(shè)備不被接觸。

?物理安全比較難防，因為攻擊往往來自能夠接觸

到物理設(shè)備的用戶。

容易被利用的典型漏洞

■用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼

?Unicode編碼可穿越firewall,執(zhí)行黑客指令

?ASP源代碼泄露可遠(yuǎn)程連接的數(shù)據(jù)庫用戶名和密碼

?SQLserver缺省安裝

?微軟Windows2000登錄驗證機制可被繞過

?Bind遠(yuǎn)程溢出，Lion蠕蟲

?SUNrpc.sadmind遠(yuǎn)程溢出，sadmin/IIS蠕蟲

?Wu-Ftpd格式字符串錯誤遠(yuǎn)程安全漏洞

?拒絕服務(wù)(syn-flood,ping)

容易被利用的典型漏洞

?用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼

?

入侵者利用黑客工具獲得用戶名

掃描系統(tǒng)用戶和簡單密碼

容易被利用的典型漏洞

?Windows2000登錄驗證機制可被繞過

紀(jì)全那，入法■助

目錄?|索引@)|搜索9|□Dj

里概述bkDocumentsInetpub

回字符集andSettings

三碼元鬃

_J_J_J

習(xí)編碼規(guī)則

明宜詢鍵

mysqlphp4ProgramFites

國操作舉例

」

WINNT

TCP/IP的每個層次都存在

TelnetFTPDNSSMTP應(yīng)用程序攻擊

TCPUDP數(shù)據(jù)監(jiān)聽和竊取

IP拒絕服務(wù)攻擊

ARPNETSATNET無線網(wǎng)絡(luò)旦云同?^■11@硬件設(shè)備破壞

電磁監(jiān)聽

四、操作過程

?網(wǎng)絡(luò)攻擊常見的形式及其應(yīng)對措施

?社會工程學(xué)攻擊

?E-mail攻擊

?特洛伊木馬攻擊

?拒絕服務(wù)攻擊

網(wǎng)絡(luò)攻擊技術(shù)：社會工程學(xué)攻工

?社交工程是使用計謀和假情報去獲

得密碼和其他敏感信息的科學(xué)，研

究一個站點的策略其中之一就是盡

可能多的了解這個組織的個體，因

此攻擊者不斷試圖尋找更加精妙的

方法從他們希望滲透的組織那里獲

得信息。

網(wǎng)絡(luò)攻擊技術(shù)：社會工程學(xué)攻工

?假冒權(quán)威

-黑客冒充公司的領(lǐng)導(dǎo)人員

-在大公司中，不認(rèn)識所有上司的情況非常普通

-在Internet上，黑客可以通過郵件列表發(fā)出入侵的安全

警一告一，并提供解決問題的「日v，、「一計.成能使黑

客訪問系統(tǒng)。足^顯眼的標(biāo)題和時髦的行話

?假扮

-電話、電子郵件、聊天室和短消息里假扮你的熟人

-如果你是新來的職員，冒充你的同事

?同情

-如果一個人打電話來，講述他的困難，你不幫助他嗎?

?個人利益

-假冒來自財務(wù)部門的員工，訪問系統(tǒng)管理員

如何避免受到社交工程攻工

?極度警惕

-Donottrustanystranger

-即使是很友好的人

?懷疑一切

-聲稱并不代表他有權(quán)這樣做

-詢問他們的權(quán)限

-絕大多數(shù)社交工程在高度警惕下破產(chǎn)

?驗證出處

-當(dāng)某人電子郵件要求時，要求來電話確證

-對于電話里的請求，要求回電號碼并確證

-員工號碼或者身份證

網(wǎng)絡(luò)攻擊技術(shù)：￡-111@1.1攻：

?電子郵件欺騙：

?為什么要進行電子郵件欺騙

-隱藏發(fā)件人的身份，例如匿名信

-挑撥離間，唯恐世界不亂

-騙取敏感信息

?欺騙的形式

-使用類似的電子郵件地址

-修改郵件客戶端軟件的賬號配置

-直接連到SMTP服務(wù)器上發(fā)信

?電子郵件欺騙的方法

-與現(xiàn)實郵局進行比較

-基本郵件協(xié)議沒有認(rèn)證機制

-發(fā)信可以要求認(rèn)證

網(wǎng)絡(luò)攻擊技術(shù)：E-mail攻工

?使用類似的郵件地址

-發(fā)信人使用被假冒者的名字注冊一個賬號，然

網(wǎng)絡(luò)攻擊技術(shù)：￡-111@1.1攻：

?對于類似郵件地址的解決

-使用數(shù)字簽名

?修改郵件客戶端軟件的賬號設(shè)置

-姓名（Name）屬性，會出現(xiàn)在“From”和

“Reply-T?！弊侄沃?，然后顯示在“發(fā)件人”信

息中

-電子郵件地址，會出現(xiàn)在“From”字段中

-回復(fù)地址，會出現(xiàn)在“Reply-To”字段中，可以

不填

?保護用戶免受修改郵件客戶的攻擊

-杳看完整的審干郵件頭部信息

網(wǎng)絡(luò)攻擊技術(shù)：￡-111@1.1攻：

…接連到SMTP服務(wù)器上發(fā)信

-telnet連到SMTP服務(wù)器的25端口，然后發(fā)送命令，常

川的命令為：

?Helo>Mailfrom>Rcptto>Data>Quit

-保護措施

■郵件服務(wù)器的驗證

-Smtp服務(wù)器驗證發(fā)送者的身份，以及發(fā)送的郵

件地址是否與郵件服務(wù)器屬于相同的域

-驗證接收方的域名與郵件服務(wù)器的域名是否相同

-有的也驗證發(fā)送者的域名是否有效，通過反向

DNS解析

-攻擊者可以運行自己的smtp郵件服務(wù)器

?不能防止一個內(nèi)部用戶冒充另一個內(nèi)部用戶發(fā)送郵

件

網(wǎng)絡(luò)攻擊技術(shù)：E-mail攻擊

E-mail安全策略

保護E-mail的有效方法是使用加密簽字，如

“PrettyGoodPrivacy”(PGP),來驗證E-mail信

息。通過驗證E-mail信息，可以保證信息確實來

自發(fā)信人，并保證在傳送過程中信息沒有被修改。

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

1.特洛伊木馬程序簡介

(1)什么是特洛伊木馬

特洛伊木馬來自于希臘神話，這里指的是一種黑客程序,

它一般有兩個程序，一個是服務(wù)器端程序，一個是控制器

端程序。如果用戶的電腦安裝了服務(wù)器端程序，那么黑客

就可以使用控制器端程序進入用戶的電腦，通過命令服務(wù)

器斷程序達到控制用戶電腦的目的。

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

(2)木馬服務(wù)端程序的植入

攻擊者要通過木馬攻擊用戶的系統(tǒng)，一般他所

要作的第一步就是要把木馬的服務(wù)器端程序植入

用戶的電腦里面。植入的方法有：

①下載的軟件

②通過交互腳本

③通過系統(tǒng)漏洞

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

（3）木馬將入侵主機信息發(fā)送給攻擊者

木馬在被植入攻擊主機后，他一般會通過一

定的方式把入侵主機的信息、如主機的IP地址、

木馬植入的端口等發(fā)送給攻擊者，這樣攻擊者就

可以與木馬里應(yīng)外合控制受攻擊主機。

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

（4）木馬程序啟動并發(fā)揮作用

黑客通常都是和用戶的電腦中木馬程序聯(lián)系，當(dāng)木馬程序在用戶

的電腦中存在的時候，黑客就可以通過控制器斷的軟件來命令木馬做

事。這些命令是在網(wǎng)絡(luò)上傳遞的，必須要遵守TCP/IP協(xié)議。TCP/IP

協(xié)議規(guī)定電腦的端口有256X256=65536個，從0到65535號端口，木

馬可以打開一個或者幾個端口，黑客使用的控制器斷軟件就是通過木

馬的端口進入用戶的電腦的。

特洛伊木馬要能發(fā)揮作用必須具備三個因素：

①木馬需要一種啟動方式，一般在注冊表啟動組中；

②木馬需要在內(nèi)存中才能發(fā)揮作用；

③木馬會打開特別的端口，以便黑客通過這個端口和木馬聯(lián)系。

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

2.特洛伊程序的存在形式

(1)大部分的特洛伊程序存在于編譯過的二進制

文件中。

(2)特洛伊程序也可以在一些沒有被編譯的可執(zhí)

行文件中發(fā)現(xiàn)。

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

3.特洛伊程序的檢測

(1)通過檢查文件的完整性來檢測特洛伊程序。

(2)檢測特洛伊程序的技術(shù)MD5

MD5屬于一個叫做報文摘要算法的單向散列函數(shù)中的

一種。這種算法對任意長度的輸入報文都產(chǎn)生一個128位

的“指紋”或“報文摘要”作為輸出。它的一個假設(shè)前提

是：要產(chǎn)生具有同樣報文摘要的兩個報文或要產(chǎn)生給定報

文摘要的報文是不可能的。

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

4.特洛伊程序的刪除

刪除木馬最簡單的方法是安裝殺毒軟件，現(xiàn)在很

多殺毒軟件都能刪除多種木馬。但是由于木馬的種類

和花樣越來越多，所以手動刪除還是最好的辦法。木

馬在啟動后會被加載到注冊表的啟動組中，它會先進

入內(nèi)存，然后打開端口。所以在查找木馬時要先使用

TCPVIEW,而后開始查找開放的可疑端口。

網(wǎng)絡(luò)攻擊技術(shù)拒絕服務(wù)攻擊

?拒絕服務(wù)攻擊的簡稱是：DoS(DenialofService)攻擊，

凡是造成目標(biāo)計算機拒絕提供服務(wù)的攻擊都稱為DoS攻擊,

其目的是使目標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。

?最常見的DoS攻擊是：計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。

帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的

帶寬都被消耗掉，最后導(dǎo)致合法用戶的請求無法通過。連

通性攻擊指用大量的連接請求沖擊計算機，最終導(dǎo)致計算

機無法再處理合法用戶的請求。

網(wǎng)絡(luò)攻擊技術(shù)拒絕服務(wù)攻擊

(DoS/DDoS)

?DoS攻擊的三種形式：

?形式：分為消耗有限的物理資源

?網(wǎng)絡(luò)資源

?帶寬資源

?其他資源衰竭，如磁盤空間、進程數(shù)

-合法用戶可登錄嘗試的次數(shù)有限，攻擊者可以用掉這些嘗

試次數(shù)

-修改配置信息造成DoS

?比如，修改路由器信息，造成不能訪問網(wǎng)絡(luò)；修改NT注冊表，

也可以關(guān)掉某些功能

-物理部件的移除，或破壞。

網(wǎng)絡(luò)攻擊技術(shù)拒絕服務(wù)攻擊

（DoS/DDoS）

?DoS的技術(shù)分類

從表現(xiàn)形式來看：

帶寬消耗

用足夠的資源消耗掉有限的資源

利用網(wǎng)絡(luò)上的其他資源（惡意利用Internet

共享資源），達到消耗目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的

目的

系統(tǒng)資源消耗，針對操作系統(tǒng)中有限的資源,

如進程數(shù)、磁盤、CPU、內(nèi)存、文件句柄，

維維

----L----1

程序?qū)崿F(xiàn)上的缺陷，異常行為處理不正確，

比如PingofDeath

修改（篡改）系統(tǒng)策略，使得它不能提供正常

網(wǎng)絡(luò)攻擊技術(shù)：拒絕服務(wù)攻擊

(DoS/DDoS)

?DoS的技術(shù)分類

從攻擊原理來看

通用類型的DoS攻擊，這類攻擊往往是與具

體系統(tǒng)無關(guān)的，比如針對協(xié)議設(shè)計上的缺陷

的攻^擊^

系統(tǒng)相關(guān)的攻擊，這類攻擊往往與具體的實

現(xiàn)有關(guān)

說明：最終，所有的攻擊都是系統(tǒng)相關(guān)的，

因為有些系統(tǒng)可以針對協(xié)議的缺陷提供一些

補救措施，從而免受此類攻擊

典型的DoS攻擊：SYNFlood

?SYNFlood

?攻擊特征

-目標(biāo)主機的網(wǎng)絡(luò)上出現(xiàn)大量的SYN包，而沒有相應(yīng)的應(yīng)答包

-SYN包的源地址可能是偽造的，甚至無規(guī)律可循

?防止措施

-針對網(wǎng)絡(luò)

?防火墻或者路由器可以在給定時間內(nèi)只允許有限數(shù)量的半

開連接

?入侵檢測，可以發(fā)現(xiàn)這樣的DoS攻擊行為

-打補丁

?Linux和Solaris使用了一種被稱為SYNcookie的技術(shù)來解

決SYNFlood攻擊：在半開連接隊列之外另設(shè)置了一套機

制，使得合法連接得以正常繼續(xù)。

典型的DoS攻擊：SYNFlood

正常的三次握手建立通訊的過程

SYNFlood原理

攻擊者不能建立正常的連接受害者

連接耗盡

大量的

tcpconnect這么多

需要處

正常tenconnect

正常tcpconnect

正常tcpconnect

正常tcpconnect

不能建立正常的連接

正常用戶

拒絕服務(wù)攻擊的對抗

?網(wǎng)絡(luò)層

-升級系統(tǒng)防止pingofdeath等攻擊

-通過帶寬限制來防止flood攻擊

?應(yīng)用層拒絕服務(wù)的抵抗

-通常需要在應(yīng)用層進行特定的設(shè)計

?SYNFlood與連接耗盡是難點

黑客攻擊常用工具

網(wǎng)絡(luò)監(jiān)聽

掃描器

網(wǎng)絡(luò)監(jiān)聽簡介

什么是網(wǎng)絡(luò)監(jiān)聽

所謂網(wǎng)絡(luò)監(jiān)聽就是獲取在網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ?/p>

通常，這種信息并不是特定發(fā)給自己計算機的。

一般情況下，系統(tǒng)管理員為了有效地管理網(wǎng)絡(luò)、

診斷網(wǎng)絡(luò)問題而進行網(wǎng)絡(luò)監(jiān)聽。然而，黑客為了

達到其不可告人的目的，也進行網(wǎng)絡(luò)監(jiān)聽。

網(wǎng)絡(luò)監(jiān)聽簡介

2.在以太網(wǎng)中的監(jiān)聽

（1）以太網(wǎng)中信息傳輸?shù)脑怼?/p>

以太網(wǎng)協(xié)議的工作方式：發(fā)送信息時，發(fā)送方將對所

有的主機進行廣播，廣播包的包頭含有目的主機的物理地

址，如果地址與主機不符，則該主機對數(shù)據(jù)包不予理睬，

只有當(dāng)?shù)刂放c主機自己的地址相同時主機才會接受該數(shù)據(jù)

包，但網(wǎng)絡(luò)監(jiān)聽程序可以使得主機對所有通過它的數(shù)據(jù)進

行接受或改變。

網(wǎng)絡(luò)監(jiān)聽簡介

(2)監(jiān)聽模式的設(shè)置

要使主機工作在監(jiān)聽模式下，需要向網(wǎng)絡(luò)接口發(fā)送

I/O控制命令；將其設(shè)置為監(jiān)聽模式。在UNIX系統(tǒng)中，

發(fā)送這些命令需要超級用戶的權(quán)限。在UNIX系統(tǒng)中普

通用戶是不能進行網(wǎng)絡(luò)監(jiān)聽的。但是，在上網(wǎng)的

Windows95中，則沒有這個限制。只要運行這一類的

監(jiān)聽軟件即可，而且具有操作方便，對監(jiān)聽到信息的

綜合能力強的特點。

網(wǎng)絡(luò)監(jiān)聽簡介

(3)網(wǎng)絡(luò)監(jiān)聽所造成的影響

網(wǎng)絡(luò)監(jiān)聽使得進行監(jiān)聽的機器響應(yīng)速度變得

非常慢

常用的監(jiān)聽工具

(1)snoop

snoop可以截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，并顯示這些包中

的內(nèi)容。它使用網(wǎng)絡(luò)包過濾功能和緩沖技術(shù)來提供有效的

對網(wǎng)絡(luò)通信過濾的功能。那些截獲的數(shù)據(jù)包中的信息可以

在它們被截獲時顯示出來，也可以存儲在文件中，用于以

后的檢查。

Snoop可以以單行的形式只輸出數(shù)據(jù)包的總結(jié)信息，

也可以以多行的形式對包中信息詳細(xì)說明。

常用的監(jiān)聽工具

2.Sniffit軟件

Sniffit是由LawrenceBerkeley實驗室開發(fā)的，運

行于Solaris、SGI和Linux等平臺的一種免費網(wǎng)

絡(luò)監(jiān)聽軟件，具有功能強大且使用方便的特點。

使用時，用戶可以選擇源、目標(biāo)地址或地址集

合，還可以選擇監(jiān)聽的端口、協(xié)議和網(wǎng)絡(luò)接口

等。

網(wǎng)絡(luò)監(jiān)聽的檢測

方法一：

對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤

的物理地址去ping,運行監(jiān)聽程序的機器會有響應(yīng)。這是

因為正常的機器不接收錯誤的物理地址，處于監(jiān)聽狀態(tài)的

機器能接收。如果他的IPstack不再次反向檢查的話，就會

響應(yīng)。這種方法依賴于系統(tǒng)的IPstack,對一些系統(tǒng)可能行

不通。

網(wǎng)絡(luò)監(jiān)聽的檢測

方法二：

往網(wǎng)上發(fā)大量不存在的物理地址的包，由于

監(jiān)聽程序?qū)⑻幚磉@些包，將導(dǎo)致性能下降。通過

比較前后該機器性能（icmpechodelay等方法）

加以判斷。這種方法難度比較大。

網(wǎng)絡(luò)監(jiān)聽的檢測

方法二：

一個看起來可行的檢查監(jiān)聽程序的方法是搜索

所有主機上運行的進程。那些使用DOS、

WindowsforWorkgroup或者Windows95的機器彳艮

難做到這一點。而使用UNIX和WindowsNT的機

器可以很容易地得到當(dāng)前進程的清單。

網(wǎng)絡(luò)監(jiān)聽的檢測

方法四：

另外一個辦法就是去搜索監(jiān)聽程序，入侵者

很可能使用的是一個免費軟件。管理員就可以檢

查目錄，找出監(jiān)聽程序，但這很困難而且很費時

間。在UNIX系統(tǒng)上，人們可能不得不自己編寫一

個程序。另外，如果監(jiān)聽程序被換成另一個名字,

管理員也不可能找到這個監(jiān)聽程序。

掃描器

1.掃描器簡介

掃描器是自動檢測遠(yuǎn)程或本地主機安全性漏洞的程序包。

使用掃描器，不僅可以很快地發(fā)現(xiàn)本地主機系統(tǒng)配置和軟件上存在的安全

隱患，而且還可以不留痕跡地發(fā)現(xiàn)遠(yuǎn)在另一個半球的一臺主機的安全性漏

洞，這種自動檢測功能快速而準(zhǔn)確。

掃描器和監(jiān)聽工具一樣，不同的人使用會有不同的結(jié)果：如果系統(tǒng)管理員

使用了掃描器，它將直接有助于加強系統(tǒng)安全性；而對于黑客來說，掃描

器是他們進行攻擊入手點，不過，由于掃描器不能直接攻擊網(wǎng)絡(luò)漏洞，所

以黑客使用掃描器找出目標(biāo)主機上各種各樣的安全漏洞后，利用其他方法

進行惡意攻擊。

掃描器

2.端口掃描

(1)端口

許多TCP/IP程序可以通過Internet啟動，這些程序大都是

面向客戶/服務(wù)器的程序。當(dāng)inetd接收到一個連接請求時，它

便啟動一個服務(wù)，與請求客戶服務(wù)的機器通訊。為簡化這一

過程，每個應(yīng)用程序(比如FTP、Telnet)被賦予一個唯一的

地址，這個地址稱為端口。在一般的Internet服務(wù)器上都有數(shù)

千個端口，為了簡便和高效，為每個指定端口都設(shè)計了一個

標(biāo)準(zhǔn)的數(shù)據(jù)幀。換句話說，盡管系統(tǒng)管理員可以把服務(wù)綁定

(bind)到他選定的端口上，但服務(wù)一般都被綁定到指定的

端口上，它們被稱為公認(rèn)端口。

（2）端口掃描簡介

①端口掃描是一種獲取主機信息的好方法。

②端口掃描程序?qū)τ谙到y(tǒng)管理人員，是一個非常簡

便實用的工具。

③如果掃描到一些標(biāo)準(zhǔn)端口之外的端口，系統(tǒng)管理

員必須清楚這些端口提供了一些什么服務(wù)，是不

是允許的。

3.常用的掃描工具

(1)網(wǎng)絡(luò)分析工具SATAN

SATAN是一個分析網(wǎng)絡(luò)的安全管理和測試、報告工具。

它用來收集網(wǎng)絡(luò)上主機的許多信息，并可以識別且自動報

告與網(wǎng)絡(luò)相關(guān)的安全問題。對所發(fā)現(xiàn)的每種問題類型，

SATAN都提供對這個問題的解釋以及它可能對系統(tǒng)和網(wǎng)

絡(luò)安全造成的影響的程度。通過所附的資料，它還解釋如

何處理這些問題。

(2)網(wǎng)絡(luò)安全掃描器NSS

網(wǎng)絡(luò)安全掃描器是一個非常隱蔽的掃描器。如

果你用流行的搜索程序搜索它，你所能發(fā)現(xiàn)的入

口不超過20個。這并非意味著NSS使用不廣泛，

而是意味著多數(shù)載有該掃描器的FTP的站點處在

暗處，或無法通過WWW搜索器找到它們。

(3)Strobe

超級優(yōu)化TCP端口檢測程序Strobe是一個TCP

端口掃描器。它具有在最大帶寬利用率和最小進

程資源需求下，迅速地定位和掃描一臺遠(yuǎn)程目標(biāo)

主機或許多臺主機的所有TCP“監(jiān)聽”端口的能力。

(4)InternetScanner

InternetScanner可以說是可得到的最快和功能

最全的安全掃描工具，用于UNIX和WindowsNT。

它容易配置，掃描速度快，并且能產(chǎn)生綜合報告。

(5)PortScanner

PortScanner是一個運行于Windows95和

WindowsNT上的端口掃描工具，其開始界面上顯

示了兩個輸入框，上面的輸入框用于要掃描的開

始主機IP地址，下面的輸入框用于輸入要掃描的

結(jié)束主機IP地址。在這兩個IP地址之間的主機將

被掃描。

網(wǎng)絡(luò)攻擊的發(fā)展趨勢

MailServer

MailGateway混合型、自動的攻擊

攻擊的發(fā)展趨勢

?漏洞趨勢

-嚴(yán)重程度中等或較高的漏洞急劇增加，

新漏洞被利用越來越容易（大約60%不

需或很少需用代碼）

■混合型威脅趨勢

-將病毒、蠕蟲、特洛伊木馬和惡意代

碼的特性與服務(wù)器和Internet漏洞結(jié)

合起來而發(fā)起、傳播和擴散的攻擊,例:

紅色代碼和尼姆達等。

攻擊的發(fā)展趨勢

主動惡意代碼趨勢

-制造方法：簡單并工具化

-技術(shù)特征：智能性、攻擊性和多態(tài)性，采用加密、變

換、插入等技術(shù)手段巧妙地偽裝自身，躲避甚至攻

擊防御檢測軟件.

-表現(xiàn)形式：多種多樣,沒有了固定的端口，沒有了更

多的連接,甚至發(fā)展到可以在網(wǎng)絡(luò)的任何一層生根發(fā)

芽，復(fù)制傳播，難以檢測。

攻擊的發(fā)展趨勢

■受攻擊未來領(lǐng)域

-即時消息:MSN,Yahoo,ICQ,OICQ等

-對等程序(P2P)

-移動設(shè)備

常見的安全技術(shù)防范措施

常用的安全防護措施

防火墻

入侵檢測

漏洞掃描

抗拒絕服務(wù)

防病毒

系統(tǒng)安全加固

SUS補丁安全管理

常用的安全防護措施一防火墻

防火墻的局限性

?防火墻不能防止通向站點的后門。

?防火墻一般不提供對內(nèi)部的保護。

?防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。

?防火墻本身的防攻擊能力不夠，容易成為被攻擊

的首要目標(biāo)。

?防火墻不能根據(jù)網(wǎng)絡(luò)被惡意使用和攻擊的情況動

態(tài)調(diào)整自己的策略。

防火墻與IDS

PL防護時間》Dt-檢測時間+Rt-響應(yīng)時間

防火墻與IDS聯(lián)動

?一個黑客在到達攻擊目標(biāo)之前需要攻破很多的

設(shè)備（路由器，交換機）、系統(tǒng)（NT,UNIX）

和放火墻的障礙，在黑客達到目標(biāo)之前的時間,

我們稱之為防護時間Pt；

?在黑客攻擊過程中，我們檢測到他的活動的

所用時間稱之為Dt,檢測到黑客的行為后，我

們需要作出響應(yīng)，這段時間稱之為Rt.假如能

做到Dt+RtvPt,那么我們可以說我們的目標(biāo)系

統(tǒng)是安全的。

入侵檢測系統(tǒng)

入侵檢測系統(tǒng)的作用

?實時檢測

-實時地