[计划]黑客攻防.doc

计划黑客攻防 黑客攻防选择题、填空题1DDOS攻击器DDOS是（Distributed Denilof Service）的缩写，即分布式阻断服务，黑客利用DDOS攻击器控制多台机器同时攻击来达到“妨碍正常使用者使用服务”的目的，这样就形成了DDOS攻击。 DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。 2熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。 但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。 中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。 它主要通过下载的档案传染。 对计算机程序、系统破坏严重。 3网络攻击行为利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。 攻击分类 （1）主动攻击包含攻击者访问所需要信息的故意行为。 （2）被动攻击。 主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。 被动攻击包括 1、窃听。 包括键击记录、网络监听、非法访问数据、获取密码文件。 2、欺骗。 包括获取口令、恶意代码、网络欺骗。 3、拒绝服务。 包括导致异常型、资源耗尽型、欺骗型。 4、数据驱动攻击包括缓冲区溢出、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击。 4ipsec“Inter协议安全性(IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在Inter协议(IP)网络上进行保密而安全的通讯。 IPSec是安全联网的长期方向。 它通过端对端的安全性来提供主动的保护以防止专用网络与Inter的攻击。 在通信中，只有发送方和接收方才是唯一必须了解IPSec保护的计算机。 5主动攻击被动攻击主动攻击包含攻击者访问他所需信息的故意行为。 攻击者是在主动地做一些不利于你或你的公司系统的事情。 主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。 被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。 被动攻击包括嗅探、信息收集等攻击方法。 主动攻击和被动攻击具有相反的特性。 被动攻击难以检测出来，然而有阻止其成功的方法。 而主动攻击难以绝对地阻止，因为要做到这些，就要对所有通信设施、通路在任何时间进行完全的保护。 因此，对主动攻击采取的方法，并从破坏中恢复。 因此制止的效应也可能对防止破坏做出贡献。 6加密解密技术加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。 相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。 对称加密以数据加密标准（DES，Dt EncryptionStndrd）算法为典型代表，非对称加密通常以RS（Rivest Shmird1emn）算法为代表。 对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。 简答题1内网防火墙内网防火墙是一类防范措施的总称，它使得内部网络与Inter之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。 防火墙简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。 设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。 2杀毒软件的市场国外Forti4.1.0（飞塔）小红伞vir ntiVirPersonl Freentivirus（德国）VG nti-Virus FreeEdition（昵称大）Comodo InterSecurity（科摩多）vst!杀毒软件（昵称小）PC Toolntivirus（比斯图）卡巴斯基国内瑞星金山毒霸360江民可牛小工具沙盘冰刃中国杀毒软件市场现况国内厂商是以金山，瑞星，江名和去年新进加入的交大铭泰，而国外则以赛门特克，趋势为代表。 但国内厂商的本土化工作则是国外厂商无法比拟的，因此从目前来看，中国杀毒软件市场份额还是由几家国内厂商牢牢把握住。 根据调查，金山是品牌知名度第一，瑞星是市场占有率第一，而江名是用户忠诚度第一。 杀毒软件市场主要分为单机版，企业版，网络版。 单机版是面向普通网民的，这也是杀毒软件企业扩大市场份额的战略重地；企业版是争阵对企业极用户的，这是最大利润的，也是一家杀毒软件企业实力的体现；网络版则是利用网络对联机用户进行在线杀毒，这是企业宣传自身的最有效的方式。 目前中国国内杀毒软件企业主要都是面对单机版用户，而赛门特克、趋势等国外厂商则是企业版为主，两者还未发生直接冲突。 目前，我国的网民数量大约在4580万左右，每年的新增网民数量大约在500万左右。 现在黑客猖獗、病毒泛滥，据统计90以上的上网计算机存在严重的安全漏洞。 另据资料显示，现在我国每年pc的销售量都在8001000万台，而杀毒软件的销售仅占1/10。 目前至少有2000万网民的计算机没有安装过任何版本的杀毒软件。 3数据完整性存储在数据库中的所有数据值均正确的状态。 如果数据库中存储有不正确的数据值，则该数据库称为已丧失数据完整性。 数据完整性（Dt Integrity）是指数据的精确性（urcy）和可靠性（Relibility）。 它是应防止数据库中存在不符合语义规定的数据和防止因错误信息的输入输出造成无效操作或错误信息而提出的。 数据完整性分为四类实体完整性（Entity Integrity）、域完整性（Domin Integrity）、参照完整性（Referentil Integrity）、用户定义的完整性（User-definedIntegrity）。 4防火墙不能防止的危害 1、防火墙不能防范不经过防火墙的攻击。 没有经过防火墙的数据，防火墙无法检查，比如拨号上网。 2、防火墙不能解决内部网络的攻击和安全问题。 如通过社会工程学发送带木马的邮件、带木马的URL等方式，然后由中木马的机器主动对攻击者连接，将瞬间破坏象铁壁一样的防火墙。 3、防火墙不能防止最新的未设置策略或错误配置引起的安全威胁。 4、防火墙不能防止可接触的人为或自然的破坏。 5、防火墙无法解决TCP/IP等协议的漏洞。 6、防火墙对服务器合法开放的端口的攻击大多无法阻止。 7、防火墙不能防止受病毒感染的文件的传输。 8、防火墙不能防止内部的泄密行为。 5僵尸网络肉鸡僵尸网络Bot是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。 之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。 肉鸡就是被黑客攻破，种植了木马病毒的电脑，黑客可以随意操纵它并利用它做任何事情，就象傀儡。 肉鸡可以是各种系统，如windows、linux、unix等，更可以是一家公司、企业、学校甚至是政府军队的服务器。 6vpn的原理在实际物理网络部署中，网管员首先通过物理线路（可能是光纤、双绞线、电话线等）连接各个路由设备，然后通过在路由器上配置静态路由或者动态路由完成各种规模网络的灵活部署。 在华盾VPN网络中，将每一条隧道视为连接两台VPN设备的虚拟网络线路，隧道建立成功后，虚拟线路连接工作就完成了；基于这些虚拟线路，网管员可以在华盾VPN网关上采用同样的方法配置静态、动态路由协议，完成整个VPN网络的灵活部署。 用比较口语的说法总统上讲解VPN设备收到用户发来的数据包并在路由表中进行查询，把数据发给本地ISP路由（PE1），PE1根据用户外网的IP发来的数据包查询CEF表，知道这是哪里发来的是VPN数据，于是给数据包打上标签，表明这是MPBGP传来的，接着去查询全局CEF表，从全局CEF表中找到用户所请求连接的PE，这里我们标它为PE2，在请求PE2前PE1中P1必须为用户的数据包再打上一个标示表明这是VPN数据，这是一个打包的过程，传到PE2后是一个逆向过程，这样用户就可以收到请求的数据了。 7showtime的原理RP字段使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。 当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。 将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。 数据在网络上是以很小的称为帧（Frme）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。 帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。 接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。 就是在这个传输和接收的过程中，嗅探器（抓包软件）会带来安全方面的问题。 每一个在局域网（LN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器（这一点与Inter地址系统比较相似）。 当用户发送一个数据包时，如果为广播包，则可达到局域网中的所有机器，如果为单播包，则只能到达处于同一碰撞域中的机器。 在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站不会捕获属于工作站B的数据，而是简单地忽略这些数据）。 如果某个工作站的网络接口处于混杂模式（关于混杂模式的概念会在后面解释），那么它就可以捕获网络上所有的数据包和帧。 RP，即地址解析协议，实现通过IP地址得知其物理地址。 在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。 为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。 这样就存在把IP地址变换成物理地址的地址转换问题。 以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。 这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是RP协议。 所谓地址解析（ddress resolution）就是主机在发送帧前将目标IP地址转换成目标MC地址的过程RP攻击就是通过伪造IP地址和MC地址实现RP欺骗，能够在网络中产生大量的RP通信量使网络阻塞，攻击者只要持续不断的发出伪造的RP响应包就能更改目标主机RP缓存中的IP-MC条目，造成网络中断或中间人攻击。 RP攻击主要是存在于局域网网络中，局域网中若有一个人感染RP木马，则感染该RP木马的系统将会试图通过“RP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 类似于网络分析软件的抓包，保存格式是.cp。 8黑客攻击的步骤 一、信息收集黑客往往从一些社会信息入手如找到网络地址范围、找到关键的机器地址、找到开放端口和入口点以及找到系统的制造商和版本等。 从社会工程学角度来看，有以下方式: 1、通过一些公开的信息，如办公室电话号码、管理员生日、姓、家庭电话。 2、如果以上尝试失败，可能会通过各种途径获得管理员以及内部人员的信任，例如网络聊天，然后发送加壳木马软件或者键盘记录工具。 3、如果管理员已经系统打了补丁，MS04-028漏洞无法利用。 通过协助其解决技术问题，帮助其测试软件，交朋友等名义，能够直接有机会进入网络机房。 用Lc4工具直接破SM库(DEMO)B技术手段信息收集:Whois/DNS/Ping&Trceroute 二、漏洞扫描知道基本IP网段、服务器系统等信息之后，可以针对性的扫描。 扫描工具扫描软件有SSS（Shdow SecuritySner），Nmp、Xsn、Supers,以及国产流光等。 扫描目的通过扫描得到开放的端口，通过端口判断主机开放哪些服务，并且扫出漏洞可利用之处。 三、漏洞利用 1、有些扫描软件自带利用工具，如流光等。 2、有些不带，如SSS,根据扫描结果描述，到搜索Google,Bidu或者一些黑客网站的漏洞引擎去搜索“漏洞关键字符”+“利用”或“攻击”去寻找相关入侵技术文档或者工具，另外通过已知的漏洞的一些操作系统、服务、应用程序的特征关键字，去搜索更多的目标机器。 四，攻击阶段 1、如我们通过扫描得到系统存在IDQ漏洞，那么我们通过搜索“IDQ溢出下载”，就能搜索到IDQ over这样的工具。 “id&idq缓冲区溢出漏洞”攻击实现，通过溢出得到Shell，然后通过Net use增加管理员帐户。 如没有继续考虑其他系统漏洞。 2、如无明显利用漏洞，可以考虑NT（NetBIOS uditingTool）进行强行口令破解。 3、继续考虑注入、上传，如都没有漏洞，考虑XSS。 4、根据源文件met的包括信息，以及冷僻关键字，试图找出源码。