黑客常用攻击技术课件

1、第七章黑客常用的攻击技术7.1攻击方法概述7.2口令安全7.3端口扫描 7.4网络监听7.5 特洛依木马7.6 拒绝服务攻击7.7 IP欺骗 第1页，共34页。本章学习目标（1）了解口令安全的破解方法（2）熟悉端口扫描、网络监听原理及技术（3）了解特洛伊木马、IP电子欺骗的原理及特点 （4）了解拒绝服务攻击的原理和种类 第2页，共34页。7.1攻击方法概述7.1.1信息收集7.1.2系统安全弱点的探测7.1.3网络攻击第3页，共34页。7.1.1信息收集 信息收集的目的是为了进入所要攻击的目标网络的相关信息，黑客常常利用一些协议和工具，收集驻留在网络中各个站点主机的细节。（1）SNMP协议：通

2、过简单网络管理协议，能够查看网络系统中路由器的路由信息，从而了解目标主机所在网络的拓扑结构。（2）Tracert程序：通过Tracert程序可以获得到达目标主机的路由跳数和网络参数。（3）Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数。（4）DNS服务器：该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的域名。（5）Finger协议：用来获取一个指定主机上的所有用户的详细信息，如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等。（6）Ping 程序：该命令主要用来检查路由是否能够到达某站点。第4页，共34页。7.1.2系统安全弱点的探测 通过前期收集

3、到的一些网络及主机信息，黑客会通过扫描软件探测每台主机，寻找该系统的安全漏洞和弱点。这些软件能够对整个网络或主机进行扫描，主要扫描目标主机上某范围内的典型端口，收集目标主机的哪些端口是否开放，还有的直接根据已知的系统漏洞进行探测扫描，并将扫描出来的结果形成详细的报表，以便下一步实施攻击。第5页，共34页。7.1.3网络攻击 当扫描出系统的漏洞和弱点后，黑客就会对目标系统实施攻击。一般会在目标系统中安装探测器软件或后门程序，包括特洛伊木马程序和病毒程序，用来窥探系统的所有活动和信息，得到自己所感兴趣的信息。例如FTP账号、系统管理员口令、Web站点管理员口令等。第6页，共34页。7.2口令安全7

4、.2.1口令破解方法7.2.2口令破解机制7.2.3 安全口令的设置原则第7页，共34页。7.2.1口令破解的方法1直接猜解简单口令2字典攻击3强力破解4组合攻击5Web欺骗方法第8页，共34页。7.2.2口令破解机制 口令的破解过程首先是字符表被送到加密进程加密，通常是一次加密一个单词。加密过程中使用了各种规则，每加密一个单词，就把它与目标口令（同样是加密的）对比，如果不匹配，就开始处理下一个单词。有些破解软件的破解过程与此不同，它们取出整个字符表，应用一条规则进行加密，从而生成下一个字符表，这个字符表再加密，再与目标口令匹配。这两种方法没有实质性的区别，只是第二种方法可能更快些。 第9页，

5、共34页。7.2.3安全口令的设置原则 （ l）设置的口令尽可能复杂，口令至少包含字母、数字和标点符号、一些其他的字符组合。（2）口令的长度至少8位，不要将口令写下来。（3）不要将口令存于终端功能键或调制解调器的字符串存储器中。（4）不要选取显而易见的信息作口令。（5）不要让人知道，不要让人看见自己在输入口令。（6）不要交替使用两个口令。（7）不要在不同系统上使用同一口令。（8）定期更改口令 第10页，共34页。7.3端口扫描 7.3.1端口扫描简介 7.3.2端口扫描的原理 7.3.3扫描工具介绍 第11页，共34页。7.3.1端口扫描简介 扫描器是一种自动探测远程或本地主机安全性弱点的程序

6、，掌握了Socket编程知识，就可以比较容易地编写出端口扫描软件。通过使用扫描器扫描TCP端口并记录反馈信息。通过扫描可以发现远程服务器中各种TCP端口的分配、提供的服务和软件版本等。这能快速地了解远程主机存在的安全问题。 第12页，共34页。7.3.2端口扫描的原理 1TCP connect()扫描2TCP SYN扫描3TCP FIN扫描4IP段扫描5TCP反向ident扫描6FTP返回攻击7UDP ICMP端口不能到达扫描8UDP recvfrom()和write()扫描9ICMP echo扫描第13页，共34页。7.3.3扫描工具介绍 1SATAN2NSS（网络安全扫描器）3流光4Nma

7、p第14页，共34页。7.4网络监听 7.4.1网络监听的原理 7.4.2网络监听的实现7.4.3网络监听的检测与防范 7.4.4 网络监听工具介绍 第15页，共34页。7.4.1网络监听的原理 一般情况下，要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，一般只有与数据包中目标地址一致的那台主机才能接收。 然而，当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网（使用了不同的掩码、IP地址和网关）的主机的数据包。也就是说，在

8、同一条物理信道上传输的所有信息都可以被接收到。 第16页，共34页。7.4.2 网络监听的实现 要使主机工作在监听模式下，需要向网络接口发出I/O控制命令，将其设置为监听模式。在UNIX系统中，发送这些命令需要超级用户的权限。在Windows系列操作系统中，则没有这个限制。要实现网络监听，可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序，也可以使用一些现成的监听软件，在很多黑客网站或从事网络安全管理的网站都有此类软件下载。 第17页，共34页。7.4.3网络监听的检测与防范 1网络监听的检测 （1）在Unix OS下，可以用ps-aun 或ps-augx查看系统所有进程的清单，通过

9、清单可以看到每个进程占用的CPU时间与内存等。在Windows 2000平台下，除了可以通过“任务管理器”查看进程信息外，可以在命令行模式下用Netstat -a查看当前系统的哪些TCP端口正在使用或被监听。 （2）可以用正确的IP地址和错误的物理地址去ping被怀疑的主机，运行监听程序的机器会有响应。 （3）在被监听的计算机上向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该机器性能加以判断。 （4）许多网络监听软件都会尝试进行地址反向解析，在怀疑有网络监听发生时，可以在DNS系统上观测有没有明显增多的解析请求。 （

10、5）使用反监听工具（如antisniffer）等进行检测。2对网络监听的防范措施 （1）从逻辑或物理上对网络分段。 （2）以交换式集线器代替共享式集线器。 （3）使用加密技术。 （4）划分VLAN。第18页，共34页。7.4.4网络监听工具介绍 目前监听的工具很多，比较知名的有Sniffer Pro、Iris。 Sniffer Pro介绍第19页，共34页。7.5特洛伊木马 7.5.1特洛伊木马概述 7.5.2特洛依木马的原理 7.5.3特洛伊木马的种类 7.5.4 特洛依木马的检测与清除 7.5.5 特洛依木马防范第20页，共34页。7.5.1特洛伊木马概述 特洛伊木马是一种恶意的程序，它隐

11、藏在正常的程序里。一旦被引入到用户的系统中，木马程序便会运行在系统中。完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码就无安全可言了。第21页，共34页。7.5.2特洛伊木马的原理 1特洛伊木马的执行方式 2特洛伊木马的隐藏方式 第22页，共34页。7.5.3特洛伊木马的种类 1破坏型2密码发送型3远程访问型4键盘记录木马5DoS攻击木马6代理木马7FTP木马8程序杀手木马9反弹端口型

12、木马第23页，共34页。7.5.4 特洛依木马的检测与清除 1系统命令检测 2文件属性检测 3系统配置文件检测 4检测工具检测第24页，共34页。7.5.5特洛伊木马的防范 1必须提高防范意识 2系统加固 3定时检查第25页，共34页。7.6拒绝服务攻击7.6.1拒绝服务攻击概述及原理 7.6.2DoS的攻击方法与防范措施 7.6.3分布式拒绝服务概念及原理 7.6.4 DDoS攻击方法、检测与防范 第26页，共34页。7.6.1拒绝服务攻击概述及原理 1利用软件实现的缺陷 2利用协议的漏洞 3资源消耗第27页，共34页。7.6.2DoS的攻击方法与防范措施 1SYN Flood2死亡之Pin

13、g和Ping哄骗3Smurf和Fraggle4UDP Flood5Land（结合攻击）第28页，共34页。7.6.3 分布式拒绝服务概念及原理 分布式拒绝服务（DDoS，Distributed Denial of Service）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，在一个设定的时间，主控程序将与大量代理程序通信，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。 第29页，共34页。7.6.4DDoS攻击方法、检测与防范 1DDoS的攻击工具2DDoS的检测3DDoS的防范措施第30页，共34页。7.7IP欺骗 7.7.1IP电子欺骗概述 7.7.2IP电子欺骗对象及实施 7.7.3IP电子欺骗防范 第31页，共34页。7.7.1IP欺骗概述 所谓IP电子欺骗，就是伪造某台主机的IP地址的技术。其实质就是让一台机器来扮演另一台机器，以达到蒙混过关的目的。被伪造的主机往往具有某种特权或者被另外的主机所信任IP欺骗通常都要用编写的程序实现。IP欺骗者