網(wǎng)絡(luò)攻擊與防御

路由與交換應(yīng)用技術(shù)

網(wǎng)絡(luò)攻擊與防御

一些技術(shù)，既是黑客技術(shù),

也是網(wǎng)絡(luò)管理技術(shù)，

或者是網(wǎng)絡(luò)防護(hù)技術(shù)。

可能受到威脅的網(wǎng)絡(luò)資源

-硬件設(shè)備，如服務(wù)器、交換機(jī)、路由器、

集線器和存儲(chǔ)設(shè)備等；

-軟件，如操作系統(tǒng)、應(yīng)用軟件、開(kāi)發(fā)工

具等；

-數(shù)據(jù)或信息。

、現(xiàn)場(chǎng)范例

網(wǎng)絡(luò)被攻擊的表現(xiàn)：

1.根據(jù)系統(tǒng)發(fā)生的一些改變推斷系統(tǒng)已被入侵

2.根據(jù)系統(tǒng)中一些奇怪的現(xiàn)象判斷

3.一個(gè)用戶登錄進(jìn)來(lái)許多次

4.一個(gè)用戶大量地進(jìn)行網(wǎng)絡(luò)活動(dòng)，或者其他一些

很不正常的網(wǎng)絡(luò)操作

5.一些原本不經(jīng)常使用的賬戶，突然變得活躍起

來(lái)

八處理思路

1.估計(jì)形勢(shì)

當(dāng)證實(shí)遭到入侵時(shí)，采取的第一步行動(dòng)是盡可

能快地估計(jì)入侵造成的破壞程度。

2.采取措施

(1)殺死這個(gè)進(jìn)程來(lái)切斷黑客與系統(tǒng)的連接。

(2)使用工具詢問(wèn)他們究竟想要做什么。

(3)跟蹤這個(gè)連接，找出黑客的來(lái)路和身份。

八處理思路

(4)管理兵可以使用一些工具來(lái)監(jiān)視黑客，觀察他們?cè)?/p>

做什么。這些工具包括snoop、ps>lastcomm和ttywatch

等。

(5)ps>w和who這些命令可以報(bào)告每一個(gè)用戶使用的

終端。如果黑客是從一個(gè)終端訪問(wèn)系統(tǒng)，這種情況不

太好，因?yàn)檫@需要事先與電話公司聯(lián)系。

(6)使用who和netstat可以發(fā)現(xiàn)入侵者從哪個(gè)主機(jī)上過(guò)

來(lái)，然后可以使用finger命令來(lái)查看哪些用戶登錄進(jìn)遠(yuǎn)

程系統(tǒng)。

(7)修復(fù)安全漏洞并恢復(fù)系統(tǒng)，不給黑客留有可乘之機(jī)。

3、預(yù)備知識(shí)

網(wǎng)絡(luò)攻擊的類別

常見(jiàn)的攻擊方法及入侵技術(shù)的發(fā)展

常見(jiàn)的網(wǎng)絡(luò)攻擊方法

常見(jiàn)的攻擊步驟

物理攻擊與防范

容易被利用的典型漏洞

網(wǎng)絡(luò)攻擊的類別

?從網(wǎng)絡(luò)高層協(xié)議的角度，攻擊方法可以概括的分

為兩大類：服務(wù)攻擊與非服務(wù)攻擊。服務(wù)攻擊是

針對(duì)某種特定網(wǎng)絡(luò)服務(wù)的攻擊；非服務(wù)攻擊不針

對(duì)某項(xiàng)具體應(yīng)用服務(wù)。而是基于網(wǎng)絡(luò)層等低層協(xié)

議進(jìn)行的。

常見(jiàn)的攻擊方法及

入侵技術(shù)的發(fā)展

半開(kāi)放隱蔽掃描工具

高

包欺騙拒絕服務(wù)

DDOS攻擊

嗅探

入侵者水平隼WWW攻擊

擦除痕跡■T自動(dòng)探測(cè)掃描

GUI遠(yuǎn)程控制

后門(mén)

破壞審計(jì)系統(tǒng).?檢測(cè)網(wǎng)絡(luò)管理

??會(huì)話劫持

控制臺(tái)入侵

利用已知的漏洞

.密碼破解

攻擊手法可自動(dòng)復(fù)制的代碼攻擊者

密碼猜測(cè)

198019851990199520002002

常見(jiàn)的網(wǎng)絡(luò)攻擊方法

?直接獲取口令進(jìn)入系統(tǒng)：網(wǎng)絡(luò)監(jiān)聽(tīng)，暴力破解

?利用系統(tǒng)自身安全漏洞

?特洛伊木馬程序：偽裝成工具程序或者游戲等誘使用戶打開(kāi)或下

載，然后使用戶在無(wú)意中激活，導(dǎo)致系統(tǒng)后門(mén)被安裝

?WWW欺騙：誘使用戶訪問(wèn)纂改過(guò)的網(wǎng)頁(yè)

?電子郵件攻擊：郵件炸彈、郵件欺騙

?網(wǎng)絡(luò)監(jiān)聽(tīng)：獲取明文傳輸?shù)拿舾行畔?/p>

?通過(guò)一個(gè)節(jié)點(diǎn)來(lái)攻擊其他節(jié)點(diǎn)：攻擊者控制一臺(tái)主機(jī)后，經(jīng)常通

過(guò)IP欺騙或者主機(jī)信任關(guān)系來(lái)攻擊其他節(jié)點(diǎn)以隱蔽其入侵路徑和

擦除攻擊證據(jù)

?拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊(D.o.s和D.D.o.S)

常見(jiàn)的攻擊步驟

whois

Ping

信息收集traceroute

http

常叔信息獲取方式

netcraft

nmap

預(yù)攻擊階段端口掃描superscan

r~

Zessus^b畫(huà)展示)

漏洞掃描一八

X-ScanG?^)

google

接索弓I擎

----------------:baidu

J」通常黑客的攻擊思路與操作

社會(huì)工程學(xué)

遠(yuǎn)程謚出

緩沖區(qū)溢出本地滿中

口令猜測(cè)

攻擊階段SQU主人

WebProxy

應(yīng)用攻擊工具

SPIKEProxy

實(shí)驗(yàn)(Webgoat)

特洛伊木馬

后攻擊階段嗅探

需碼破解

物理攻擊與防范

?物理安全是保護(hù)一些比較重要的設(shè)備不被接觸。

?物理安全比較難防，因?yàn)楣敉鶃?lái)自能夠接觸

到物理設(shè)備的用戶。

容易被利用的典型漏洞

■用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼

?Unicode編碼可穿越firewall,執(zhí)行黑客指令

?ASP源代碼泄露可遠(yuǎn)程連接的數(shù)據(jù)庫(kù)用戶名和密碼

?SQLserver缺省安裝

?微軟Windows2000登錄驗(yàn)證機(jī)制可被繞過(guò)

?Bind遠(yuǎn)程溢出，Lion蠕蟲(chóng)

?SUNrpc.sadmind遠(yuǎn)程溢出，sadmin/IIS蠕蟲(chóng)

?Wu-Ftpd格式字符串錯(cuò)誤遠(yuǎn)程安全漏洞

?拒絕服務(wù)(syn-flood,ping)

容易被利用的典型漏洞

?用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼

?

入侵者利用黑客工具獲得用戶名

掃描系統(tǒng)用戶和簡(jiǎn)單密碼

容易被利用的典型漏洞

?Windows2000登錄驗(yàn)證機(jī)制可被繞過(guò)

紀(jì)全那，入法■助

目錄?|索引@)|搜索9|□Dj

里概述bkDocumentsInetpub

回字符集andSettings

三碼元鬃

_J_J_J

習(xí)編碼規(guī)則

明宜詢鍵

mysqlphp4ProgramFites

國(guó)操作舉例

」

WINNT

TCP/IP的每個(gè)層次都存在

TelnetFTPDNSSMTP應(yīng)用程序攻擊

TCPUDP數(shù)據(jù)監(jiān)聽(tīng)和竊取

IP拒絕服務(wù)攻擊

ARPNETSATNET無(wú)線網(wǎng)絡(luò)旦云同?^■11@硬件設(shè)備破壞

電磁監(jiān)聽(tīng)

四、操作過(guò)程

?網(wǎng)絡(luò)攻擊常見(jiàn)的形式及其應(yīng)對(duì)措施

?社會(huì)工程學(xué)攻擊

?E-mail攻擊

?特洛伊木馬攻擊

?拒絕服務(wù)攻擊

網(wǎng)絡(luò)攻擊技術(shù)：社會(huì)工程學(xué)攻工

?社交工程是使用計(jì)謀和假情報(bào)去獲

得密碼和其他敏感信息的科學(xué)，研

究一個(gè)站點(diǎn)的策略其中之一就是盡

可能多的了解這個(gè)組織的個(gè)體，因

此攻擊者不斷試圖尋找更加精妙的

方法從他們希望滲透的組織那里獲

得信息。

網(wǎng)絡(luò)攻擊技術(shù)：社會(huì)工程學(xué)攻工

?假冒權(quán)威

-黑客冒充公司的領(lǐng)導(dǎo)人員

-在大公司中，不認(rèn)識(shí)所有上司的情況非常普通

-在Internet上，黑客可以通過(guò)郵件列表發(fā)出入侵的安全

警一告一，并提供解決問(wèn)題的「日v，、「一計(jì).成能使黑

客訪問(wèn)系統(tǒng)。足^顯眼的標(biāo)題和時(shí)髦的行話

?假扮

-電話、電子郵件、聊天室和短消息里假扮你的熟人

-如果你是新來(lái)的職員，冒充你的同事

?同情

-如果一個(gè)人打電話來(lái)，講述他的困難，你不幫助他嗎?

?個(gè)人利益

-假冒來(lái)自財(cái)務(wù)部門(mén)的員工，訪問(wèn)系統(tǒng)管理員

如何避免受到社交工程攻工

?極度警惕

-Donottrustanystranger

-即使是很友好的人

?懷疑一切

-聲稱并不代表他有權(quán)這樣做

-詢問(wèn)他們的權(quán)限

-絕大多數(shù)社交工程在高度警惕下破產(chǎn)

?驗(yàn)證出處

-當(dāng)某人電子郵件要求時(shí)，要求來(lái)電話確證

-對(duì)于電話里的請(qǐng)求，要求回電號(hào)碼并確證

-員工號(hào)碼或者身份證

網(wǎng)絡(luò)攻擊技術(shù)：￡-111@1.1攻：

?電子郵件欺騙：

?為什么要進(jìn)行電子郵件欺騙

-隱藏發(fā)件人的身份，例如匿名信

-挑撥離間，唯恐世界不亂

-騙取敏感信息

?欺騙的形式

-使用類似的電子郵件地址

-修改郵件客戶端軟件的賬號(hào)配置

-直接連到SMTP服務(wù)器上發(fā)信

?電子郵件欺騙的方法

-與現(xiàn)實(shí)郵局進(jìn)行比較

-基本郵件協(xié)議沒(méi)有認(rèn)證機(jī)制

-發(fā)信可以要求認(rèn)證

網(wǎng)絡(luò)攻擊技術(shù)：E-mail攻工

?使用類似的郵件地址

-發(fā)信人使用被假冒者的名字注冊(cè)一個(gè)賬號(hào)，然

網(wǎng)絡(luò)攻擊技術(shù)：￡-111@1.1攻：

?對(duì)于類似郵件地址的解決

-使用數(shù)字簽名

?修改郵件客戶端軟件的賬號(hào)設(shè)置

-姓名（Name）屬性，會(huì)出現(xiàn)在“From”和

“Reply-T?！弊侄沃?，然后顯示在“發(fā)件人”信

息中

-電子郵件地址，會(huì)出現(xiàn)在“From”字段中

-回復(fù)地址，會(huì)出現(xiàn)在“Reply-To”字段中，可以

不填

?保護(hù)用戶免受修改郵件客戶的攻擊

-杳看完整的審干郵件頭部信息

網(wǎng)絡(luò)攻擊技術(shù)：￡-111@1.1攻：

…接連到SMTP服務(wù)器上發(fā)信

-telnet連到SMTP服務(wù)器的25端口，然后發(fā)送命令，常

川的命令為：

?Helo>Mailfrom>Rcptto>Data>Quit

-保護(hù)措施

■郵件服務(wù)器的驗(yàn)證

-Smtp服務(wù)器驗(yàn)證發(fā)送者的身份，以及發(fā)送的郵

件地址是否與郵件服務(wù)器屬于相同的域

-驗(yàn)證接收方的域名與郵件服務(wù)器的域名是否相同

-有的也驗(yàn)證發(fā)送者的域名是否有效，通過(guò)反向

DNS解析

-攻擊者可以運(yùn)行自己的smtp郵件服務(wù)器

?不能防止一個(gè)內(nèi)部用戶冒充另一個(gè)內(nèi)部用戶發(fā)送郵

件

網(wǎng)絡(luò)攻擊技術(shù)：E-mail攻擊

E-mail安全策略

保護(hù)E-mail的有效方法是使用加密簽字，如

“PrettyGoodPrivacy”(PGP),來(lái)驗(yàn)證E-mail信

息。通過(guò)驗(yàn)證E-mail信息，可以保證信息確實(shí)來(lái)

自發(fā)信人，并保證在傳送過(guò)程中信息沒(méi)有被修改。

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

1.特洛伊木馬程序簡(jiǎn)介

(1)什么是特洛伊木馬

特洛伊木馬來(lái)自于希臘神話，這里指的是一種黑客程序,

它一般有兩個(gè)程序，一個(gè)是服務(wù)器端程序，一個(gè)是控制器

端程序。如果用戶的電腦安裝了服務(wù)器端程序，那么黑客

就可以使用控制器端程序進(jìn)入用戶的電腦，通過(guò)命令服務(wù)

器斷程序達(dá)到控制用戶電腦的目的。

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

(2)木馬服務(wù)端程序的植入

攻擊者要通過(guò)木馬攻擊用戶的系統(tǒng)，一般他所

要作的第一步就是要把木馬的服務(wù)器端程序植入

用戶的電腦里面。植入的方法有：

①下載的軟件

②通過(guò)交互腳本

③通過(guò)系統(tǒng)漏洞

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

（3）木馬將入侵主機(jī)信息發(fā)送給攻擊者

木馬在被植入攻擊主機(jī)后，他一般會(huì)通過(guò)一

定的方式把入侵主機(jī)的信息、如主機(jī)的IP地址、

木馬植入的端口等發(fā)送給攻擊者，這樣攻擊者就

可以與木馬里應(yīng)外合控制受攻擊主機(jī)。

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

（4）木馬程序啟動(dòng)并發(fā)揮作用

黑客通常都是和用戶的電腦中木馬程序聯(lián)系，當(dāng)木馬程序在用戶

的電腦中存在的時(shí)候，黑客就可以通過(guò)控制器斷的軟件來(lái)命令木馬做

事。這些命令是在網(wǎng)絡(luò)上傳遞的，必須要遵守TCP/IP協(xié)議。TCP/IP

協(xié)議規(guī)定電腦的端口有256X256=65536個(gè)，從0到65535號(hào)端口，木

馬可以打開(kāi)一個(gè)或者幾個(gè)端口，黑客使用的控制器斷軟件就是通過(guò)木

馬的端口進(jìn)入用戶的電腦的。

特洛伊木馬要能發(fā)揮作用必須具備三個(gè)因素：

①木馬需要一種啟動(dòng)方式，一般在注冊(cè)表啟動(dòng)組中；

②木馬需要在內(nèi)存中才能發(fā)揮作用；

③木馬會(huì)打開(kāi)特別的端口，以便黑客通過(guò)這個(gè)端口和木馬聯(lián)系。

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

2.特洛伊程序的存在形式

(1)大部分的特洛伊程序存在于編譯過(guò)的二進(jìn)制

文件中。

(2)特洛伊程序也可以在一些沒(méi)有被編譯的可執(zhí)

行文件中發(fā)現(xiàn)。

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

3.特洛伊程序的檢測(cè)

(1)通過(guò)檢查文件的完整性來(lái)檢測(cè)特洛伊程序。

(2)檢測(cè)特洛伊程序的技術(shù)MD5

MD5屬于一個(gè)叫做報(bào)文摘要算法的單向散列函數(shù)中的

一種。這種算法對(duì)任意長(zhǎng)度的輸入報(bào)文都產(chǎn)生一個(gè)128位

的“指紋”或“報(bào)文摘要”作為輸出。它的一個(gè)假設(shè)前提

是：要產(chǎn)生具有同樣報(bào)文摘要的兩個(gè)報(bào)文或要產(chǎn)生給定報(bào)

文摘要的報(bào)文是不可能的。

網(wǎng)絡(luò)攻擊技術(shù)：特洛伊木馬

4.特洛伊程序的刪除

刪除木馬最簡(jiǎn)單的方法是安裝殺毒軟件，現(xiàn)在很

多殺毒軟件都能刪除多種木馬。但是由于木馬的種類

和花樣越來(lái)越多，所以手動(dòng)刪除還是最好的辦法。木

馬在啟動(dòng)后會(huì)被加載到注冊(cè)表的啟動(dòng)組中，它會(huì)先進(jìn)

入內(nèi)存，然后打開(kāi)端口。所以在查找木馬時(shí)要先使用

TCPVIEW,而后開(kāi)始查找開(kāi)放的可疑端口。

網(wǎng)絡(luò)攻擊技術(shù)拒絕服務(wù)攻擊

?拒絕服務(wù)攻擊的簡(jiǎn)稱是：DoS(DenialofService)攻擊，

凡是造成目標(biāo)計(jì)算機(jī)拒絕提供服務(wù)的攻擊都稱為DoS攻擊,

其目的是使目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。

?最常見(jiàn)的DoS攻擊是：計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。

帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的

帶寬都被消耗掉，最后導(dǎo)致合法用戶的請(qǐng)求無(wú)法通過(guò)。連

通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，最終導(dǎo)致計(jì)算

機(jī)無(wú)法再處理合法用戶的請(qǐng)求。

網(wǎng)絡(luò)攻擊技術(shù)拒絕服務(wù)攻擊

(DoS/DDoS)

?DoS攻擊的三種形式：

?形式：分為消耗有限的物理資源

?網(wǎng)絡(luò)資源

?帶寬資源

?其他資源衰竭，如磁盤(pán)空間、進(jìn)程數(shù)

-合法用戶可登錄嘗試的次數(shù)有限，攻擊者可以用掉這些嘗

試次數(shù)

-修改配置信息造成DoS

?比如，修改路由器信息，造成不能訪問(wèn)網(wǎng)絡(luò)；修改NT注冊(cè)表，

也可以關(guān)掉某些功能

-物理部件的移除，或破壞。

網(wǎng)絡(luò)攻擊技術(shù)拒絕服務(wù)攻擊

（DoS/DDoS）

?DoS的技術(shù)分類

從表現(xiàn)形式來(lái)看：

帶寬消耗

用足夠的資源消耗掉有限的資源

利用網(wǎng)絡(luò)上的其他資源（惡意利用Internet

共享資源），達(dá)到消耗目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的

目的

系統(tǒng)資源消耗，針對(duì)操作系統(tǒng)中有限的資源,

如進(jìn)程數(shù)、磁盤(pán)、CPU、內(nèi)存、文件句柄，

維維

----L----1

程序?qū)崿F(xiàn)上的缺陷，異常行為處理不正確，

比如PingofDeath

修改（篡改）系統(tǒng)策略，使得它不能提供正常

網(wǎng)絡(luò)攻擊技術(shù)：拒絕服務(wù)攻擊

(DoS/DDoS)

?DoS的技術(shù)分類

從攻擊原理來(lái)看

通用類型的DoS攻擊，這類攻擊往往是與具

體系統(tǒng)無(wú)關(guān)的，比如針對(duì)協(xié)議設(shè)計(jì)上的缺陷

的攻^擊^

系統(tǒng)相關(guān)的攻擊，這類攻擊往往與具體的實(shí)

現(xiàn)有關(guān)

說(shuō)明：最終，所有的攻擊都是系統(tǒng)相關(guān)的，

因?yàn)橛行┫到y(tǒng)可以針對(duì)協(xié)議的缺陷提供一些

補(bǔ)救措施，從而免受此類攻擊

典型的DoS攻擊：SYNFlood

?SYNFlood

?攻擊特征

-目標(biāo)主機(jī)的網(wǎng)絡(luò)上出現(xiàn)大量的SYN包，而沒(méi)有相應(yīng)的應(yīng)答包

-SYN包的源地址可能是偽造的，甚至無(wú)規(guī)律可循

?防止措施

-針對(duì)網(wǎng)絡(luò)

?防火墻或者路由器可以在給定時(shí)間內(nèi)只允許有限數(shù)量的半

開(kāi)連接

?入侵檢測(cè)，可以發(fā)現(xiàn)這樣的DoS攻擊行為

-打補(bǔ)丁

?Linux和Solaris使用了一種被稱為SYNcookie的技術(shù)來(lái)解

決SYNFlood攻擊：在半開(kāi)連接隊(duì)列之外另設(shè)置了一套機(jī)

制，使得合法連接得以正常繼續(xù)。

典型的DoS攻擊：SYNFlood

正常的三次握手建立通訊的過(guò)程

SYNFlood原理

攻擊者不能建立正常的連接受害者

連接耗盡

大量的

tcpconnect這么多

需要處

正常tenconnect

正常tcpconnect

正常tcpconnect

正常tcpconnect

不能建立正常的連接

正常用戶

拒絕服務(wù)攻擊的對(duì)抗

?網(wǎng)絡(luò)層

-升級(jí)系統(tǒng)防止pingofdeath等攻擊

-通過(guò)帶寬限制來(lái)防止flood攻擊

?應(yīng)用層拒絕服務(wù)的抵抗

-通常需要在應(yīng)用層進(jìn)行特定的設(shè)計(jì)

?SYNFlood與連接耗盡是難點(diǎn)

黑客攻擊常用工具

網(wǎng)絡(luò)監(jiān)聽(tīng)

掃描器

網(wǎng)絡(luò)監(jiān)聽(tīng)簡(jiǎn)介

什么是網(wǎng)絡(luò)監(jiān)聽(tīng)

所謂網(wǎng)絡(luò)監(jiān)聽(tīng)就是獲取在網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ?/p>

通常，這種信息并不是特定發(fā)給自己計(jì)算機(jī)的。

一般情況下，系統(tǒng)管理員為了有效地管理網(wǎng)絡(luò)、

診斷網(wǎng)絡(luò)問(wèn)題而進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)。然而，黑客為了

達(dá)到其不可告人的目的，也進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)。

網(wǎng)絡(luò)監(jiān)聽(tīng)簡(jiǎn)介

2.在以太網(wǎng)中的監(jiān)聽(tīng)

（1）以太網(wǎng)中信息傳輸?shù)脑怼?/p>

以太網(wǎng)協(xié)議的工作方式：發(fā)送信息時(shí)，發(fā)送方將對(duì)所

有的主機(jī)進(jìn)行廣播，廣播包的包頭含有目的主機(jī)的物理地

址，如果地址與主機(jī)不符，則該主機(jī)對(duì)數(shù)據(jù)包不予理睬，

只有當(dāng)?shù)刂放c主機(jī)自己的地址相同時(shí)主機(jī)才會(huì)接受該數(shù)據(jù)

包，但網(wǎng)絡(luò)監(jiān)聽(tīng)程序可以使得主機(jī)對(duì)所有通過(guò)它的數(shù)據(jù)進(jìn)

行接受或改變。

網(wǎng)絡(luò)監(jiān)聽(tīng)簡(jiǎn)介

(2)監(jiān)聽(tīng)模式的設(shè)置

要使主機(jī)工作在監(jiān)聽(tīng)模式下，需要向網(wǎng)絡(luò)接口發(fā)送

I/O控制命令；將其設(shè)置為監(jiān)聽(tīng)模式。在UNIX系統(tǒng)中，

發(fā)送這些命令需要超級(jí)用戶的權(quán)限。在UNIX系統(tǒng)中普

通用戶是不能進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)的。但是，在上網(wǎng)的

Windows95中，則沒(méi)有這個(gè)限制。只要運(yùn)行這一類的

監(jiān)聽(tīng)軟件即可，而且具有操作方便，對(duì)監(jiān)聽(tīng)到信息的

綜合能力強(qiáng)的特點(diǎn)。

網(wǎng)絡(luò)監(jiān)聽(tīng)簡(jiǎn)介

(3)網(wǎng)絡(luò)監(jiān)聽(tīng)所造成的影響

網(wǎng)絡(luò)監(jiān)聽(tīng)使得進(jìn)行監(jiān)聽(tīng)的機(jī)器響應(yīng)速度變得

非常慢

常用的監(jiān)聽(tīng)工具

(1)snoop

snoop可以截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，并顯示這些包中

的內(nèi)容。它使用網(wǎng)絡(luò)包過(guò)濾功能和緩沖技術(shù)來(lái)提供有效的

對(duì)網(wǎng)絡(luò)通信過(guò)濾的功能。那些截獲的數(shù)據(jù)包中的信息可以

在它們被截獲時(shí)顯示出來(lái)，也可以存儲(chǔ)在文件中，用于以

后的檢查。

Snoop可以以單行的形式只輸出數(shù)據(jù)包的總結(jié)信息，

也可以以多行的形式對(duì)包中信息詳細(xì)說(shuō)明。

常用的監(jiān)聽(tīng)工具

2.Sniffit軟件

Sniffit是由LawrenceBerkeley實(shí)驗(yàn)室開(kāi)發(fā)的，運(yùn)

行于Solaris、SGI和Linux等平臺(tái)的一種免費(fèi)網(wǎng)

絡(luò)監(jiān)聽(tīng)軟件，具有功能強(qiáng)大且使用方便的特點(diǎn)。

使用時(shí)，用戶可以選擇源、目標(biāo)地址或地址集

合，還可以選擇監(jiān)聽(tīng)的端口、協(xié)議和網(wǎng)絡(luò)接口

等。

網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)

方法一：

對(duì)于懷疑運(yùn)行監(jiān)聽(tīng)程序的機(jī)器，用正確的IP地址和錯(cuò)誤

的物理地址去ping,運(yùn)行監(jiān)聽(tīng)程序的機(jī)器會(huì)有響應(yīng)。這是

因?yàn)檎５臋C(jī)器不接收錯(cuò)誤的物理地址，處于監(jiān)聽(tīng)狀態(tài)的

機(jī)器能接收。如果他的IPstack不再次反向檢查的話，就會(huì)

響應(yīng)。這種方法依賴于系統(tǒng)的IPstack,對(duì)一些系統(tǒng)可能行

不通。

網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)

方法二：

往網(wǎng)上發(fā)大量不存在的物理地址的包，由于

監(jiān)聽(tīng)程序?qū)⑻幚磉@些包，將導(dǎo)致性能下降。通過(guò)

比較前后該機(jī)器性能（icmpechodelay等方法）

加以判斷。這種方法難度比較大。

網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)

方法二：

一個(gè)看起來(lái)可行的檢查監(jiān)聽(tīng)程序的方法是搜索

所有主機(jī)上運(yùn)行的進(jìn)程。那些使用DOS、

WindowsforWorkgroup或者Windows95的機(jī)器彳艮

難做到這一點(diǎn)。而使用UNIX和WindowsNT的機(jī)

器可以很容易地得到當(dāng)前進(jìn)程的清單。

網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)

方法四：

另外一個(gè)辦法就是去搜索監(jiān)聽(tīng)程序，入侵者

很可能使用的是一個(gè)免費(fèi)軟件。管理員就可以檢

查目錄，找出監(jiān)聽(tīng)程序，但這很困難而且很費(fèi)時(shí)

間。在UNIX系統(tǒng)上，人們可能不得不自己編寫(xiě)一

個(gè)程序。另外，如果監(jiān)聽(tīng)程序被換成另一個(gè)名字,

管理員也不可能找到這個(gè)監(jiān)聽(tīng)程序。

掃描器

1.掃描器簡(jiǎn)介

掃描器是自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性漏洞的程序包。

使用掃描器，不僅可以很快地發(fā)現(xiàn)本地主機(jī)系統(tǒng)配置和軟件上存在的安全

隱患，而且還可以不留痕跡地發(fā)現(xiàn)遠(yuǎn)在另一個(gè)半球的一臺(tái)主機(jī)的安全性漏

洞，這種自動(dòng)檢測(cè)功能快速而準(zhǔn)確。

掃描器和監(jiān)聽(tīng)工具一樣，不同的人使用會(huì)有不同的結(jié)果：如果系統(tǒng)管理員

使用了掃描器，它將直接有助于加強(qiáng)系統(tǒng)安全性；而對(duì)于黑客來(lái)說(shuō)，掃描

器是他們進(jìn)行攻擊入手點(diǎn)，不過(guò)，由于掃描器不能直接攻擊網(wǎng)絡(luò)漏洞，所

以黑客使用掃描器找出目標(biāo)主機(jī)上各種各樣的安全漏洞后，利用其他方法

進(jìn)行惡意攻擊。

掃描器

2.端口掃描

(1)端口

許多TCP/IP程序可以通過(guò)Internet啟動(dòng)，這些程序大都是

面向客戶/服務(wù)器的程序。當(dāng)inetd接收到一個(gè)連接請(qǐng)求時(shí)，它

便啟動(dòng)一個(gè)服務(wù)，與請(qǐng)求客戶服務(wù)的機(jī)器通訊。為簡(jiǎn)化這一

過(guò)程，每個(gè)應(yīng)用程序(比如FTP、Telnet)被賦予一個(gè)唯一的

地址，這個(gè)地址稱為端口。在一般的Internet服務(wù)器上都有數(shù)

千個(gè)端口，為了簡(jiǎn)便和高效，為每個(gè)指定端口都設(shè)計(jì)了一個(gè)

標(biāo)準(zhǔn)的數(shù)據(jù)幀。換句話說(shuō)，盡管系統(tǒng)管理員可以把服務(wù)綁定

(bind)到他選定的端口上，但服務(wù)一般都被綁定到指定的

端口上，它們被稱為公認(rèn)端口。

（2）端口掃描簡(jiǎn)介

①端口掃描是一種獲取主機(jī)信息的好方法。

②端口掃描程序?qū)τ谙到y(tǒng)管理人員，是一個(gè)非常簡(jiǎn)

便實(shí)用的工具。

③如果掃描到一些標(biāo)準(zhǔn)端口之外的端口，系統(tǒng)管理

員必須清楚這些端口提供了一些什么服務(wù)，是不

是允許的。

3.常用的掃描工具

(1)網(wǎng)絡(luò)分析工具SATAN

SATAN是一個(gè)分析網(wǎng)絡(luò)的安全管理和測(cè)試、報(bào)告工具。

它用來(lái)收集網(wǎng)絡(luò)上主機(jī)的許多信息，并可以識(shí)別且自動(dòng)報(bào)

告與網(wǎng)絡(luò)相關(guān)的安全問(wèn)題。對(duì)所發(fā)現(xiàn)的每種問(wèn)題類型，

SATAN都提供對(duì)這個(gè)問(wèn)題的解釋以及它可能對(duì)系統(tǒng)和網(wǎng)

絡(luò)安全造成的影響的程度。通過(guò)所附的資料，它還解釋如

何處理這些問(wèn)題。

(2)網(wǎng)絡(luò)安全掃描器NSS

網(wǎng)絡(luò)安全掃描器是一個(gè)非常隱蔽的掃描器。如

果你用流行的搜索程序搜索它，你所能發(fā)現(xiàn)的入

口不超過(guò)20個(gè)。這并非意味著NSS使用不廣泛，

而是意味著多數(shù)載有該掃描器的FTP的站點(diǎn)處在

暗處，或無(wú)法通過(guò)WWW搜索器找到它們。

(3)Strobe

超級(jí)優(yōu)化TCP端口檢測(cè)程序Strobe是一個(gè)TCP

端口掃描器。它具有在最大帶寬利用率和最小進(jìn)

程資源需求下，迅速地定位和掃描一臺(tái)遠(yuǎn)程目標(biāo)

主機(jī)或許多臺(tái)主機(jī)的所有TCP“監(jiān)聽(tīng)”端口的能力。

(4)InternetScanner

InternetScanner可以說(shuō)是可得到的最快和功能

最全的安全掃描工具，用于UNIX和WindowsNT。

它容易配置，掃描速度快，并且能產(chǎn)生綜合報(bào)告。

(5)PortScanner

PortScanner是一個(gè)運(yùn)行于Windows95和

WindowsNT上的端口掃描工具，其開(kāi)始界面上顯

示了兩個(gè)輸入框，上面的輸入框用于要掃描的開(kāi)

始主機(jī)IP地址，下面的輸入框用于輸入要掃描的

結(jié)束主機(jī)IP地址。在這兩個(gè)IP地址之間的主機(jī)將

被掃描。

網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)

MailServer

MailGateway混合型、自動(dòng)的攻擊

攻擊的發(fā)展趨勢(shì)

?漏洞趨勢(shì)

-嚴(yán)重程度中等或較高的漏洞急劇增加，

新漏洞被利用越來(lái)越容易（大約60%不

需或很少需用代碼）

■混合型威脅趨勢(shì)

-將病毒、蠕蟲(chóng)、特洛伊木馬和惡意代

碼的特性與服務(wù)器和Internet漏洞結(jié)

合起來(lái)而發(fā)起、傳播和擴(kuò)散的攻擊,例:

紅色代碼和尼姆達(dá)等。

攻擊的發(fā)展趨勢(shì)

主動(dòng)惡意代碼趨勢(shì)

-制造方法：簡(jiǎn)單并工具化

-技術(shù)特征：智能性、攻擊性和多態(tài)性，采用加密、變

換、插入等技術(shù)手段巧妙地偽裝自身，躲避甚至攻

擊防御檢測(cè)軟件.

-表現(xiàn)形式：多種多樣,沒(méi)有了固定的端口，沒(méi)有了更

多的連接,甚至發(fā)展到可以在網(wǎng)絡(luò)的任何一層生根發(fā)

芽，復(fù)制傳播，難以檢測(cè)。

攻擊的發(fā)展趨勢(shì)

■受攻擊未來(lái)領(lǐng)域

-即時(shí)消息:MSN,Yahoo,ICQ,OICQ等

-對(duì)等程序(P2P)

-移動(dòng)設(shè)備

常見(jiàn)的安全技術(shù)防范措施

常用的安全防護(hù)措施

防火墻

入侵檢測(cè)

漏洞掃描

抗拒絕服務(wù)

防病毒

系統(tǒng)安全加固

SUS補(bǔ)丁安全管理

常用的安全防護(hù)措施一防火墻

防火墻的局限性

?防火墻不能防止通向站點(diǎn)的后門(mén)。

?防火墻一般不提供對(duì)內(nèi)部的保護(hù)。

?防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

?防火墻本身的防攻擊能力不夠，容易成為被攻擊

的首要目標(biāo)。

?防火墻不能根據(jù)網(wǎng)絡(luò)被惡意使用和攻擊的情況動(dòng)

態(tài)調(diào)整自己的策略。

防火墻與IDS

PL防護(hù)時(shí)間》Dt-檢測(cè)時(shí)間+Rt-響應(yīng)時(shí)間

防火墻與IDS聯(lián)動(dòng)

?一個(gè)黑客在到達(dá)攻擊目標(biāo)之前需要攻破很多的

設(shè)備（路由器，交換機(jī)）、系統(tǒng)（NT,UNIX）

和放火墻的障礙，在黑客達(dá)到目標(biāo)之前的時(shí)間,

我們稱之為防護(hù)時(shí)間Pt；

?在黑客攻擊過(guò)程中，我們檢測(cè)到他的活動(dòng)的

所用時(shí)間稱之為Dt,檢測(cè)到黑客的行為后，我

們需要作出響應(yīng)，這段時(shí)間稱之為Rt.假如能

做到Dt+RtvPt,那么我們可以說(shuō)我們的目標(biāo)系

統(tǒng)是安全的。

入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)的作用

?實(shí)時(shí)檢測(cè)

-實(shí)時(shí)地