网络攻击及防范措施(“系统”文档)共122张

入侵者是那些利用网络漏洞破坏网络的人。通常入侵者怀着不良的企图，利用非法手段获得的系统访问权去闯入远程机器系统、窃取、破坏重要数据，或为了达到自己的目的而制造麻烦的具有恶意行为的人。他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。 虽然黑客和网络入侵者的目的不同，但是结果却是一样的。会使用户的数据可能丢失、安全受到威胁、商业关系被损害、声誉受到破坏等。从网络安全的角度很难区分黑客和入侵者，有些人既是黑客也是入侵者，通常黑客和入侵者都被称为黑客。随着网络攻击在互联网上愈演愈烈，每位网络用户都应该对网络攻击加以防范。 6.1.2网络攻击的目的 网络攻击总是有一定目的的。了解网络攻击的目的，可以使用户在实际应用中有针对性的加强防御措施。 使用互联网的用户越来越多，对网络进行攻击的人也逐渐增多，攻击者的生活、经历和工作环境不同，存在着各种各样的攻击目的。攻击目的主要有： (1)只是为了显示一下自己的能力。 (2)仅仅是恶作剧或戏弄别人。 (3)获取所需资料，包括科技情报、个人资料、金融账户、技术成果和系统信息等。 (4)破坏网络正常的服务，使网络或服务瘫痪。 (5)出于不良目的窃取军事和商业情报。 (6)篡改有关数据以达到非法目的。 (7)蓄意制造混乱。 (8)打击报复。 不论出于何种目的，对网络的攻击都会使网络的正常工作受到破坏，甚至使网络或服务瘫痪，在经济、信誉等方面造成不同程度的损失。6.2网络攻击的一般步骤 6.2.1攻击的准备阶段 1.确定攻击的目的 攻击者在进行攻击之前首先要确定攻击要达到什么样的目的，造成什么样的后果。常见的攻击有破坏型和入侵型两种。破坏型攻击指的只是破坏攻击目标，使其不能正常工作，而不控制目标系统的运行，破坏型攻击的主要的手段是拒绝服务攻击(DenialofService)。而入侵型攻击一般要获得一定的权限以控制攻击目标。这种攻击比破坏型攻击更为普遍，威胁性更大。一旦获取攻击目标的管理员权限就可以对攻击目标做任意动作，包括破坏性的攻击。入侵攻击目标一般是利用系统的漏洞、密码泄露等进行的网络攻击。 2.信息收集 攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。主要包括目标的操作系统类型及版本，提供的服务，各服务器程序的类型与版本以及相关的社会信息。进行信息收集可以用手工进行，也可以利用工具来完成，完成信息收集的工具叫做扫描器。用扫描器收集信息的优点是速度快，可以一次对多个目标进行扫描。 1)收集操作系统信息 要攻击一台机器，首先要确定它上面运行的操作系统和版本，不同的操作系统和版本，其上的系统漏洞有很大区别，攻击的方法可能完全不同。确定一台服务器的操作系统一般是靠经验，有些服务器的某些服务显示信息会泄露其操作系统。如通过telnet命令连上一台机器时，显示下面信息： RedHatLinuxrelease7.1(Seawolf) Kernel2.4.2-2onani686 login： 根据显示的信息和经验判断运行的操作系统为RedHatLinux7.1。 还有一种方法是查询DNS的主机信息，看登记域名时的申请机器类型和操作系统类型，以及利用某些主机开放的SNMP的公共组来查询。这种方法不是很可靠。 另外一种相对比较准确的方法是利用不同操作系统在网络底层协议的实现细节上的不同来确定操作系统。由于每种操作系统在传输的数据包中总是使用一些具有特性的标志，因此可以通过远程向目标发送特殊的数据包，然后通过返回的数据包来确定操作系统类型。 2)收集提供的服务信息 收集攻击目标提供哪些服务及服务的类型、使用的软件和版本也非常重要。因为已知的漏洞一般都是针对某一服务，确定这些信息有助于利用系统漏洞攻破网站，如通过telnet命令连上一台服务器的Web服务的端口时，显示如下信息：

c:\>telnet80HTTP/1.1400BadRequestDate:Sun,23Nov200319:28:15GMTContent-Type:text/htmlContent-Length:87<html><head><title>Error</title></head><body>Theparameterisincorrect.</body></html>Connectionclosedbyforeignhost. 根据显示的信息和经验判断运行的Web服务为Microsoft-IIS5.0。 3)收集社会信息 收集与网络系统本身没有关系的社会信息，如网站所属公司的名称、规模、电话号码等。这些信息看起来与网站没有关系，实际上很多黑客都是利用了这类信息攻破网站的。如有些用户用自己的电话号码做系统密码，如果掌握了该电话号码，那么就等于掌握了管理员权限。 从网络安全角度出发，网站管理员应该更改一些显示信息，造成一些假象迷惑攻击者，以保护网络的安全。 6.2.2攻击的实施阶段 1.获得权限 收集到足够的信息之后，攻击者就要开始实施攻击行动了。对于破坏性攻击，只需利用工具发动攻击即可。而作为入侵性攻击，要利用收集到的信息，找到其系统漏洞，然后利用该漏洞获取一定的权限。能够被攻击者利用的漏洞包括系统软件的安全漏洞，也包括由于管理配置不当而造成的漏洞。大多数攻击还是利用了系统软件本身的漏洞。 2.权限的扩大 系统漏洞分为远程漏洞和本地漏洞两种，远程漏洞是指可以在别的机器上直接利用该漏洞进行攻击并获取一定的权限。这种漏洞的威胁性很大，攻击一般都是从远程漏洞开始的。但是利用远程漏洞往往只是获取一个普通用户的权限，要想获取更大的权限就需要配合本地漏洞来把获得的权限扩大，最终常常是获得系统管理员权限。 往往只有获得管理员权限，才能完成对网络攻击的目的，如网络监听、打扫痕迹等。要完成权限的扩大，还可以放一些木马之类的欺骗程序在本地来套取管理员密码。

无论攻击者还是网络管理员，都需要掌握尽量多的系统漏洞。管理员根据不同的漏洞来进行不同的防御措施，黑客则用它来完成攻击。 6.2.3攻击的善后工作 1.日志系统简介 所有的网络操作系统都提供日志记录功能，会把系统上发生的动作记录下来。为了自身的隐蔽性，攻击者一般都会抹掉自己在日志中留下的痕迹。如果攻击者完成攻击后不做任何善后工作，那么他的行踪将会很快被发现。不同的操作系统日志文件及其存放会有所不同。 2.隐藏踪迹 攻击者在获得系统最高管理员权限之后一般可以修改系统上的文件，包括日志文件，攻击者想要隐藏自己的踪迹的话，必须对日志进行修改。最简单的方法是删除日志文件，这样做虽然避免了系统管理员追踪到自己，但同时也告诉了管理员系统已经被入侵。所以通常只对日志文件中有关攻击的那一部分做修改。 即使自认为修改了所有的日志，但仍然会留下一些痕迹的。如安装了某些后门程序，运行后也可能被管理员发现。有的攻击者会通过替换一些系统程序的方法来进一步隐藏踪迹。 管理员应该采取一定的措施来避免日志系统被修改，如用打印机实时记录网络日志信息或把所有日志文件发送到一台比较安全的主机上。但这样做也不能完全保证日志不被修改。如攻击者不停地向日志里写入无用的信息，使得打印机不停地打印日志，直到纸用光为止，或者攻击存放日志的计算机。 3.后门 一般攻击者都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便，黑客会留下一个后门，如特洛伊木马程序，它能与系统同时运行，而且能在系统重新启动时自动运行这个程序。6.3网络攻击常用方法及防御措施 6.3.1获取口令 人们一想到网络安全，首先就会想到口令，事实上口令是保护网络安全的一个重要措施，口令被窃取特别是管理员的口令被窃取，会使网络安全受到非常大的威胁。网络攻击者往往会通过获取网络系统上的用户名和密码的方法达到攻击的目的。 1.获取口令的方法 获取口令的方法一般有以下四种： (1)在被攻击主机上启动一个可执行程序，该程序可能是显示一个伪造的登录界面。当需要用户输入用户名和口令时，伪装的登录界面先启动，用户在这个登录界面上键入登录信息后，程序将用户输入的信息传送到攻击者主机，然后关闭界面给出出错提示信息(如“密码错误”、“系统故障”等)，要求用户重新登录。重新出现的登录界面才是真正的登录界面。 该程序也可能是一个记录输入的用户名和口令的软件，当用户在登录界面输入用户名和口令时，将被记录在一个文件中或者通过邮件发送给攻击者。 (2)通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的用户账号和口令，对局域网安全威胁很大。该方法需要使用网络监听软件分析网络上传输的数据包，从中可以得到用户名和口令。 (3)在知道用户的账号后(如电子邮件地址@前面的部分)，利用一些专门软件强行在线破解用户口令，这种方法不受网段限制，但要有足够的耐心和时间。 (4)获得服务器上的用户口令文件(如Windows2000下的sam文件、UNIX下的shadow文件)后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令文件。此方法在所有方法中危害最大，因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与口令文件中的口令相比较就能非常容易地破获用户密码，尤其对那些口令安全系数低的用户(如某用户账号为abc，其口令就是abc123、12345等)，更是在短短的一两分钟内，甚至几十秒内就可以破解密码。 2.防御获取口令的措施 用户口令是保护网络安全的一个主要措施，保证用户口令不被获取在网络安全方面非常重要。防御获取口令的措施主要有以下三种。 (1)防止特洛伊木马程序的入侵。 (2)防止网络被监听。 (3)制定口令管理策略。大多数机构都有自己的口令管理策略。下面是部分常用的口令管理策略。 ●所有活动账号都必须有口令保护，必要时限制用户登录的时间段。 ●在生成账号时，系统管理员应该分配给合法用户一个惟一的口令，用户在第一次登录时应更改口令。 ●关掉系统提供的缺省账户，收回调离本单位人员的账户，禁止长期不用的账户。 ●口令输入时不应将口令的明文显示出来，应该采取掩盖措施。 ●口令必须至少要含有八个字符，必须同时含有字母和非字母字符，并且不能和用户名或登录名相同。 ●口令在网络中传输时进行加密处理。 ●口令必须是保密的，不能共享或含在程序中、或写在纸上或以明文形式保存在任何电子介质中。 ●定期用监控工具检查口令的强度和长度是否合格。 ●口令必须至少60天更改一次。 ●口令的使用期限和过期失效必须由系统强制执行。过期的口令在没有更改的情况下最多只能使用三次，之后应该禁用，只有管理员或维护人员才能恢复。 ●禁止重用口令。为了防止重用口令必须保存至少12个历史口令。 ●口令不能通过明文电子邮件传输，不能通过语音或移动电话告知，用户获取口令时必须用适当的方式证明自己的身份。 ●用户应该在不同的系统中使用不同的口令。 ●如果管理员账户的口令被攻破或泄漏，所有的口令都必须修改。 ●当怀疑口令被攻破或泄漏就必须予以更改。 ●控制登录尝试的频率，口令输错超过限定的次数后账号被锁定，只有系统管理员或维护人员可以解锁。 ●对口令的使用、成功登录日志、失败登录日志(包括日期、时间、用户名或登录名)要经常进行审计。 ●如果用户在空闲状态持续达一定时间后应该自动退出。 ●用户成功登录时，应显示上次成功或失败登录的日期和时间。 6.3.2特洛伊木马程序 特洛伊木马程序是威胁网络安全的一种危险程序。特洛伊木马程序在今天的网络上可谓无所不在，一旦特洛伊木马程序侵入计算机系统，网络的安全和个人隐私将受到严重的威胁。 1.特洛伊木马程序简介 特洛伊木马程序是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下执行。特洛伊木马程序隐藏在计算机系统中，在操作系统启动时自动运行，它采用客户机/服务器的运行方式，如图6-3-1所示。 服务器运行在被攻击的计算机上，客户机运行在攻击者的计算机上。当被攻击者上网时，特洛伊木马程序的服务端就会通过预先设定的端口或电子邮件通知攻击者，报告被攻击者的IP地址、预先设定的端口、获取的口令等信息。攻击者收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改被攻击者计算机的参数设定、复制文件、修改注册表、窥视硬盘中的内容，攻击者甚至可以格式化硬盘、获取信用卡号及密码等，从而达到控制计算机的目的。现在流行的很多病毒也都带有特洛伊木马程序性质。图6-3-1特洛伊木马程序工作原理 2.特洛伊木马服务端程序的植入方法 攻击者要通过木马进行网络攻击，第一步是要把木马的服务器端程序植入到被攻击者的计算机系统里，然后通过一定的提示故意误导被攻击者打开执行文件。常见的植入方法有以下四种： 1)通过软件下载植入 木马执行文件非常小，大都是几KB到几十KB，如果把木马捆绑到其他正常文件上，用户很难发现，有的网站提供下载的软件可能捆绑了木马文件，在用户执行这些下载的文件时，也同时运行了木马程序。 4)通过系统的一些漏洞植入 如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序就可以使IIS服务器崩溃，并且同时在被攻击服务器执行远程木马文件。 木马在被植入被攻击的主机后，它一般会通过发送电子邮件、发送UDP或者ICMP数据包的方式把入侵主机的信息，如主机的IP地址、木马植入的端口等发送给攻击者，这样攻击者有这些信息才能够与木马里应外合控制被攻击的主机。 3.特洛伊木马程序的检测 在使用计算机的过程中可能遇到莫名其妙地死机或重启、计算机反应速度变慢、硬盘在不停地读写、鼠标不听使唤、键盘无效、窗口被莫名其妙地关闭和打开、网络传输指示灯一直在闪烁等不正常现象，有可能受到特洛伊木马程序的攻击。检测特洛伊木马程序常用以下方法： 1)通过网络连接检测 扫描端口是检测木马的常用方法。在不打开任何网络软件的前提下，接入互联网的计算机打开的只有139端口。因此，可以关闭所有网络软件，然后用端口扫描软件对电脑端口进行扫描，如果发现除139端口之外的端口被打开，就有可能存在特洛伊木马程序。 也可以利用Windows自带的Netstat命令来查看。一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“netstat-a”命令格式。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么监听该端口的很可能是木马。 2)通过进程检测 在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程，清查时即可发现是否有木马程序。 在Windows98/2000/XP中，单击任务栏【开始】/【运行】，在对话框中输入msinfo32后，单即【确定】按钮，出现系统信息窗口。展开【软件环境】项，单击【正在运行任务】项，出现如图6-3-2所示的窗口。窗口中显示的是Windows现在全部运行的任务。如果有的项目有程序名和路径，而没有版本、厂商和说明时就应小心清查了。图6-3-2Windows系统中正在运行的任务窗口 3)通过软件检测 用户运行杀毒软件、放火墙软件和专用木马查杀软件等都可以检测系统中是否存在已知的木马程序。 4.特洛伊木马程序的清除 以通过手工和软件的方式清除特洛伊木马程序，但一般情况下木马程序不容易被发现，手工清除比较困难，软件清除比较简单，但是软件清除对于一些新出现的木马程序无能为力。 1)手工清除 (1)如果发现有“木马”存在，马上将计算机与网络断开，防止黑客通过网络进行攻击。 (2)编辑win.ini文件，将该文件中的[WINDOWS]下面的“run=‘木马’程序名”或“load=‘木马’程序名”更改为“run=”和“load=”。 (3)编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件名”更改为“shell=explorer.exe”。 (4)在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY-LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”(如BladeRunner“木马”)，如果删除它，“木马”会立即自动加上，需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。 重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。如手工清除BackOrifice2000(BO2000)方法，首先检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中有无Umgr32.exe的键值，如有键值，则将其删除。重新启动电脑，并将\Windows\System中的Umgr32.exe删除。 2)软件清除 (1)杀毒软件：目前常用的病毒防护软件也可以实现对木马的查杀，如瑞星、金山毒霸等，这类软件对木马的检查也比较成功，但彻底地清除不是很理想，因为一般情况下木马在电脑每次启动时都会自动加载，杀病毒软件不能完全清除木马文件，杀病毒软件作为防止木马的入侵来说更有效。 (2)个人版网络防火墙软件：常用的个人版网络防火墙软件，如天网、金山网镖等，在防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过设置之后即可使对方无法进行攻击。利用防火墙只能检测发现木马并加以预防攻击，但不能彻底清除它。 (3)专用的木马查杀软件：专用的木马查杀软件一般可以彻底清除系统中的木马程序，如TheCleaner、木马克星、木马终结者等。 5.特洛伊木马程序的预防 随着网络的普及，木马的传播越来越快，而且新的变种层出不穷，在检测清除它的同时，更要注意采取措施来预防。预防方法如下： 1)不执行任何来历不明的软件 下载软件的时候需要特别注意，一般推荐去一些信誉比较高的站点。下载完成后一定要用反病毒软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒后再使用。 2)不随意打开邮件附件 很多木马程序是通过邮件来传递的，对邮件附件的运行尤其需要注意。 3)将资源管理器配置成始终显示扩展名 一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。 4)尽量少用共享文件夹 单独开一个共享文件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。 5)运行反木马实时监控程序 上网时最好运行反木马实时监控程序，木马克星、TheCleaner等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外还应加上一些专业的最新杀毒软件、个人防火墙等。 6)经常升级系统 很多木马都是通过系统漏洞来进行攻击的，及时打上系统漏洞补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。 6.3.3网络监听 网络监听本来是为了管理网络，网络管理员使用网络监听工具可以监视网络的状态和数据流动情况以及网络上传输的信息。但是由于网络监听能有效地截获网上的数据，因此也成了攻击者常用的攻击手段。 目前网络上的数据绝大多数是以明文的形式在网络上传输的，将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获，尤其是口令通常很短且很容易辨认，网络监听用得最多的是截获用户的口令。但有一个前提条件，监听只能是同一网段的主机，这里同一网段是指物理上的连接。 网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、路由器、网关、防火墙等。监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作，使用最方便的是在一个以太网中的任何一台上网的主机上，这是大多数黑客的做法。 1.网络监听原理 以太网(Ethernet)协议的传输方式是广播式的传送，即把数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址(在局域网中为网卡的物理地址)，只有与数据包中目标地址一致的那台主机才能接收到信息包，当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据包进行检查，如果数据包中携带的物理地址是自己的或者物理地址是广播地址，那么就接收。 对于每个到达网络接口的数据帧都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据帧都将被交给上层协议软件处理。但是当主机工作在混杂模式下的话不管数据包中的目标物理地址是什么，主机都将全部接收，然后再对数据包进行分析，实现信息的截获。 2.网络监听的防范方法 一旦网络被监听，可能导致敏感信息被截获，将会给网络带来很大的安全问题，常用的网络监听的防范方法如下： (1)要确保以太网的整体安全性，因为网络监听行为要想发生，一个最重要的前提条件就是以太网内部的一台有漏洞的主机被攻破，只有利用被攻破的主机，才能进行网络监听，去收集以太网内敏感的数据信息。 (2)对网络中传输的数据进行加密，以密文传输也是一个很好的办法，入侵者即使抓取到了传输的数据信息，意义也不大。比如作为telnet、ftp等安全替代产品目前采用ssh2还是安全的。这是目前相对而言使用较多的手段之一。 (3)使用交换机目前也是一个应用比较多的方式。交换机在工作时维护着一张ARP的数据库，在这个库中记录着交换机每个端口绑定的MAC地址，当有数据报发送到交换机上时，交换机会将数据报的目的MAC地址与自己维护的数据库内的端口对照，然后将数据报发送到“相应的”端口上，这在一定程度上解决了网络监听的问题。但是随着dsniff，ettercap等软件的出现，即使使用交换机也能进行网络监听。 (4)对安全性要求比较高的公司可以考虑kerberos，kerberos是一种为网络通信提供可信第三方服务的面向开放系统的认证机制，它提供了一种强加密机制，使客户端和服务器即使在非安全的网络连接环境中也能确认彼此的身份，而且在双方通过身份认证后，后续的所有通信也是被加密的。 3.检测网络监听的手段 具有网络监听行为的主机在工作时总是不做声的收集数据包，几乎不会主动发出任何信息，因此对发生在局域网主机上的监听缺乏很好的检测方法。目前可以使用的检测手段有如下五种： 1)反应时间 向怀疑有网络监听行为的网络发送大量垃圾数据包，根据各个主机回应的情况进行判断，正常的系统回应的时间应该没有太明显的变化，而处于混杂模式的系统由于对大量的垃圾信息照单全收，所以很有可能回应时间会发生较大的变化。 2)观测DNS 许多的网络监听软件都会尝试进行地址反向解析，在怀疑有网络监听发生时可以在DNS系统上观测有没有明显增多的解析请求。 3)利用Ping模式进行监测 当一台主机进入混杂模式时，以太网的网卡会将所有不属于它的数据照单全收。现在伪造出这样的一种ICMP数据包：网卡硬件地址(MAC地址)被设置为不与局域网内任何一台主机相同的地址，目的IP地址为怀疑正在进行网络监听的主机IP地址，可以设想一下这种数据包在局域网内传输会发生什么现象？这个数据包在传输时，任何正常的主机会检查这个数据包，比较数据包的硬件地址，和自己的不同，于是不会理会这个数据包，而处于网络监听模式的主机呢？ 由于它的网卡现在是在混杂模式的，因此它不会去对比这个数据包的硬件地址，而是将这个数据包直接传到上层协议，上层协议检查数据包的IP地址，符合自己的IP，于是会对这个Ping的包做出回应。这样，一台处于网络监听模式的主机就被发现了。 4)利用arp数据包进行监测 这种方法是Ping方式的一种变体，使用arp数据包替代了上述的ICMP数据包。向局域网内的主机发送非广播方式的arp包，如果局域网内的某个主机响应了这个arp请求，就可以判断它很可能就是处于网络监听模式了，这是目前相对而言比较好的监测模式。

5)使用Antisniff软件检测 1999年，Lopht公司发布了一个名为Antisniff的软件，该软件可以扫描网络并测试一台计算机是否运行在混杂模式。 6.3.4缓冲区溢出攻击 在使用缓冲区时，理想情况是在使用程序前检查数据长度，并且不允许输入超过缓冲区长度的字符串。但多数程序都假设数据长度与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。 1.缓冲区溢出攻击简介 缓冲区溢出是指当一个超长的数据进入到缓冲区时，超出部分就会被写入其他缓冲区，其他缓冲区存放的可能是数据、下一条指令的指针或者是其他程序的输出内容，这些内容都被覆盖或被破坏掉。这就带来了两种后果，一是过长的字符串覆盖了相临的存储单元而造成程序瘫痪，甚至造成停机、系统或进程重启等；二是利用漏洞可以让攻击者运行恶意代码，执行任意指令，甚至获得超级权限等。 通常缓冲区溢出攻击都是一次完成攻击代码植入和程序转向攻击代码两种功能。如通常攻击者将目标定为具有溢出漏洞的自动变量，然后向程序传递超长的字符串，进而引发缓冲区溢出。然后这段精巧设计的攻击代码以一定的权限运行漏洞程序，从而获得目标主机的控制权。这种攻击手段屡次得逞主要利用了C程序中数组边境条件、函数指针等设计不当的漏洞，大多数Windows、Linux、UNIX、数据库系列的开发都依赖于C语言，而C语言的缺点是缺乏类型安全，所以缓冲区溢出攻击成为操作系统、数据库等大型应用程序最普遍的攻击，大约80%的安全事件与缓冲区溢出有关。 如2001年8月，“红色代码”利用微软IIS漏洞产生缓冲区溢出进行攻击，2003年1月，Slammer蠕虫利用微软SQL漏洞产生缓冲区溢出进行攻击，2003年8月，冲击波蠕虫病毒利用微软RPC远程调用存在的缓冲区漏洞对Windows2000/XP、WindowsServer2003进行攻击，这些蠕虫病毒发作原理，就是利用未及时更新补丁的缓冲溢出漏洞，并通过互联网迅速波及到全球网络系统的。 2.缓冲区溢出攻击防范 传统安全工具如防火墙对缓冲区溢出攻击无能为力，因为攻击者传输的数据分组并无异常特征，没有任何欺骗。另外可以用来实施缓冲区溢出攻击的字符串非常多样化，无法与正常数据有效地进行区分。缓冲区溢出攻击不是一种窃密和欺骗的手段，而是从计算机系统的最底层发起攻击，因此身份验证和访问权限等安全策略对于缓冲区溢出攻击形同虚设。通常可以采取以下防范措施。 1)编写正确的代码 缓冲区溢出根源在于编程，是由编程错误引起的。防止利用缓冲区溢出发起的攻击，关键在于程序开发者在开发程序时仔细检查溢出情况，不允许数据溢出缓冲区。 2)非执行的缓冲区 使被攻击程序的数据段地址空间不可执行，从而使得攻击者不可能执行被植入的攻击程序输入缓冲区的代码，这种技术被称为非执行的缓冲区技术。 3)数组边界检查 数组边界检查完全没有缓冲区溢出的产生和攻击。这样，只要数组不能被溢出，溢出攻击也就无从谈起。为了实现数组边界检查，则所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。最直接的方法是检查所有的数组操作，但是通常可以用一些优化的技术来减少检查的次数。 4)程序指针完整性检查 程序指针完整性检查指的是在程序指针被引用之前检测到它的改变。因此，即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。这种方法不能解决所有的缓冲区溢出问题，但是这种方法在性能上有很大的优势，而且兼容性也很好。 此外，用户需要经常登录操作系统和应用程序提供商的网站，跟踪公布的系统漏洞，及时下载补丁程序，弥补系统漏洞。 6.3.5拒绝服务攻击 2000年2月雅虎网站遭到攻击，导致其站点瘫痪而无法提供给用户持续的服务，致使雅虎的网络服务停顿了近三个小时。此次攻击使用的是拒绝服务(DenialofService—DoS)的攻击方式。在不同的计算机上同时发出连续不断的服务器请求来“轰炸”雅虎网站。这类似于某人通过不停拨打某个公司的电话来阻止其他电话打进，从而导致公司通信瘫痪。从网络攻击的方法和产生的破坏情况来看，DoS是一种很简单但很有效的进攻方式，它的目的就是拒绝服务访问。 1.DoS攻击的基本过程 首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，因此服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会不断的传送新的请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽，无法提供服务给其他用户，甚至会使被攻击网络的服务器系统负荷过载而停机、部分网络连接及网络系统失效。 2.分布式拒绝服务 分布式拒绝服务(DistributedDenialofService—DDoS)是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要针对比较大的站点，如商业公司、搜索引擎和政府部门的站点。DoS攻击只要一台连接网络的单机就可实现，而DDoS攻击是利用一批受控制的机器向同一台机器发起攻击，因此这样的攻击难以防备，具有较大的破坏性。 3.拒绝服务攻击的防御 对于DoS攻击目前还没有十分有效的防范办法。对于DoS攻击的防范，重要的是用户要加强安全防范意识，提高网络系统的安全性。可以采取的防御措施有以下几种： (1)在网络上设立过滤器或侦测器，在信息到达网站服务器之前阻挡信息。防火墙和路由器是目前阻挡拒绝服务攻击的常用设备，通过设计访问策略，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包，能够对拒绝服务攻击起到一定的防范作用。

(2)及早发现系统存在的攻击漏洞，及时安装系统补丁程序。建立和完善备份机制，对一些特权账号(如管理员账号)的密码设置要谨慎。把攻击者的可乘之机降低到最小。 (3)禁止不必要的网络服务，经常检测系统配置信息，并注意查看每天的安全日志。 (4)与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制并对带宽总量进行限制。 (5)当正在遭受DoS攻击时，应当启动应对策略，及时尽可能快地追踪攻击包，分析受影响的系统，确定涉及的其他节点，阻挡已知攻击节点的流量。6.4入侵检测 6.4.1入侵检测系统 入侵检测系统已成为抵御网络攻击的一种有效方式。入侵检测主要用来监视和分析用户及系统的活动，实时收集网络中的有关信息和数据，与预先定义的攻击特征进行比较，对其进行分析以发现隐藏在其中的攻击行为，从而实现实时地检测攻击行为，并获取攻击证据、报警和制止攻击者的行为等。入侵检测系统可以在不影响网络性能的情况下对网络进行检测，可以提供对内部攻击、外部攻击的实时保护，是一种主动的网络访问监控手段。 1.入侵检测系统的主要功能 入侵检测系统不但可使系统管理员时刻了解网络系统的变更，还能为网络安全策略的制定提供指南。入侵检测系统的功能应达到能根据网络威胁、系统构造和安全需求的改变而改变，在发现入侵时，及时作出响应，包括切断网络连接、记录事件和报警等，同时系统应易于管理、配置和升级。通常入侵检测系统的主要功能有： (1)监测并分析用户和系统的活动。 (2)核查系统配置和漏洞。 (3)评估系统关键资源和数据文件的完整性。 (4)识别已知的攻击行为。 (5)统计分析异常行为。 (6)操作系统日志管理，并识别违反安全策略的用户活动。 (7)在线升级功能。 2.入侵检测系统的分类 入侵检测系统一般可分为主机型和网络型。 主机型入侵检测系统的数据源往往是主机系统日志、应用程序日志等，有的也通过其他手段从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是主机所在的系统。 网络型入侵检测系统的数据源则是网络上的数据包。往往用一台计算机监听所有本网段内的数据包并进行判断。网络型入侵检测系统保护的一般是一个网段。 主机型入侵检测系统必须为不同操作系统平台开发不同的程序，因而增加主机系统负荷，安装数量多，但可以利用操作系统本身提供的功能，并结合异常分析，可以更准确地报告攻击行为。网络型入侵检测系统由于作用在一个网段上，因此一个网段只需安装一个或几个这样的系统，便可以监测整个网段的情况，网络型入侵检测系统往往由单独的计算机做检测，不会增加运行关键业务的主机的负载。 3.入侵检测产品的选购原则 目前，入侵检测产品很多，在选购过程中要注意以下基本原则。 (1)能检测的攻击数量为多少，是否支持升级，升级是否方便及时。 (2)最大可处理流量是多少，是否能满足网络的需要，注意不要产生网络的瓶颈。 (3)产品应该不易被攻击者躲避。 (4)提供灵活的自定义策略，用户能自定义异常事件。 (5)根据需要选择基于百兆网络、基于千兆网络或基于主机的系统。 (6)多数产品存在误报和漏报，要注意产品的误报和漏报率。 (7)入侵检测系统本身的安全非常重要，必须有自我保护机制，防止成为攻击目标。 (8)对网络的负载不能影响正常的网络业务，必须能对数据进行实时分析。 (9)系统易于管理和维护。 (10)特征库升级与维护的费用。 (11)产品要通过国家权威机构的评测。 由于用户的实际情况不同，因此用户需根据自己的安全需要综合考虑。 6.4.2网络安全扫描技术 网络安全扫描就是对计算机系统或者其他网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞，使网络管理员能及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统的安全风险，有效地防范黑客入侵的一种网络安全技术。利用安全扫描技术，可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员从中可以了解在运行的网络系统中存在的不安全的网络服务、在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。 1.安全扫描策略 安全扫描通常采用两种策略。第一种是被动式策略，第二种是主动式策略。所谓被动式策略就是基于主机之上的，对系统中不合适的设置、脆弱的口令以及其他同安全规则抵触的对象进行检查；而主动式策略是基于网络的，通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力，从而发现其中的漏洞。利用被动式策略扫描称为系统安全扫描，利用主动式策略扫描称为网络安全扫描。 2.安全扫描的检测技术 目前使用的安全扫描的检测技术主要有以下四种。 1)基于应用的检测技术 基于应用的检测技术采用被动的，非破坏性的办法检查应用软件包的设置，发现安全漏洞。 2)基于主机的检测技术 基于主机的检测技术采用被动的、非破坏性的办法对系统进行检测。通常，它涉及到系统的内核、文件的属性、操作系统的补丁等问题。这种技术还包括口令解密和把一些简单的口令剔除。因此，这种技术可以非常准确地定位系统的问题，发现系统的漏洞。它的缺点是与系统平台相关，升级复杂。 3)基于目标的漏洞检测技术 基于目标的漏洞检测技术采用被动的、非破坏性的办法检查系统属性和文件属性，如数据库、注册号等。通过消息文摘算法，对文件的加密数进行检验。这种技术的实现是运行在一个闭环上的，并不断地处理文件、系统目标、系统目标属性，然后产生检验数，把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。

4)基于网络的检测技术 基于网络的检测技术采用积极的、非破坏性的办法来检验系统是否有被攻击而崩溃的可能。它利用了一系列的脚本模拟对系统进行攻击的行为，然后对结果进行分析，还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现一系列平台的漏洞，也容易安装。但是，它可能会影响网络的性能。 3.安全扫描的地位 从前面的介绍可以看出安全扫描在维护计算机安全方面起到的重要作用，但仅仅安装安全扫描软件是不够的。 现有的信息安全产品中主要包括(安全扫描属于评估部分)防火墙、反病毒、加强的用户认证、访问控制和认证、加密、评估、记录报告和预警、安全固化的用户认证、认证以及物理安全等部分。在部署安全策略时，有许多其他的安全基础设施也要考虑进来，如防火墙、病毒扫描器、认证与识别产品、访问控制产品和加密产品以及虚拟专用网等。如何管理这些设备是安全扫描系统和入侵侦测软件的职责。 通过监视事件日志，系统受到攻击后的行为和这些设备的信号将反应出来。这样，安全扫描系统就把这些设备有机地结合在一起。因此，安全扫描是一个完整的安全解决方案中的一个关键部分，在企业部署安全策略中处于非常重要的地位。 一般防火墙、入侵检测和安全扫描同时存在，防火墙充当了外部网和内部网的一个屏障，但是并不是所有的外部访问都是通过防火墙的。比如，一个未经认证的调制解调器把内部网连到了外部网，就对系统的安全构成了威胁。此外，安全威胁往往并不全来自外部，很大一部分来自内部。另外，防火墙本身也很有可能被黑客攻破。结合了入侵侦测功能的安全扫描系统具有以下功能。 (1)协调了其他的安全设备。 (2)使枯燥的系统安全信息易于理解，告诉用户系统发生的事情。 (3)跟踪用户，并监视用户在系统中的行为和离开的信息。 (4)可以报告和识别文件的改动。 (5)纠正系统的错误设置。 (6)识别正在受到的攻击。 (7)减轻管理员搜索最近黑客行为的负担。 (8)使得安全管理可由普通用户来负责。 (9)为制定安全规则提供依据。 安全扫描系统不是万能的。首先，它不能弥补由于认证机制薄弱带来的问题；不能弥补由于协议本身的问题；不能处理所有的数据包攻击，当网络繁忙时它也分析不了所有的数据流；当受到攻击后要进行调查，离不开安全专家的参与。 4.安全扫描技术的发展趋势 安全扫描软件从最初的专门为UNIX系统编写的一些只具有简单功能的小程序发展到现在，已经出现了多个运行在各种操作系统平台上的、具有复杂功能的商业程序。今后的发展趋势有以下几点。 (1)使用插件(Plugin)或者叫做功能模块技术。每个插件都封装一个或者多个漏洞的测试手段，主扫描程序通过调用插件的方法来执行扫描。这样，在系统中仅仅是添加新的插件就可以使软件增加新功能，扫描更多漏洞。在插件编写规范公布的情况下，用户或者第三方公司甚至可以自己编写插件来扩充软件的功能。同时这种技术使软件的升级维护都变得相对简单，并具有非常强的扩展性。 (2)使用专用脚本语言。这其实就是一种更高级的插件技术，用户可以使用专用脚本语言来扩充软件功能。这些脚本语言语法通常比较简单易学，往往用十几行代码就可以定制一个简单的测试，为软件添加新的测试项。脚本语言的使用，简化了编写新插件的编程工作，使扩充软件功能的工作变得更加容易，也更加有趣。 (3)安全扫描程序到安全评估专家系统。最早的安全扫描程序只是简单的把各个扫描测试项的执行结果罗列出来，直接提供给测试者而不对信息进行任何分析处理。而当前较成熟的扫描系统都能够将对单个主机的扫描结果进行整理，形成报表，能够并对具体漏洞提出一些解决方法，但对网络的状况缺乏一个整体的评估，对网络安全没有系统的解决方案。未来的安全扫描系统，应该不但能够扫描安全漏洞，还能够智能化地协助网络信息系统管理人员评估本网络的安全状况，给出安全建议，成为一个安全评估专家系统。 5.安全扫描产品的选购 用户选购安全扫描产品需要考虑以下几个方面。 1)速度 在网络内进行安全扫描非常耗时，在选择安全扫描产品时要考虑扫描的速度。 2)能够发现的漏洞数量 网络安全方面的漏洞涉及的范围比较广，目前网络上存在的安全漏洞比较多，在选择安全扫描产品时要考虑能发现的漏洞数量。

3)是否支持可定制的攻击方法 通常扫描产品应提供强大的工具构造特定的攻击方法。因为网络内服务器及其他设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。 4)报告 扫描器应该能够给出清楚的安全漏洞报告。 5)升级问题 由于当今应用软件功能日趋复杂化，经常会出现新的安全漏洞，因此安全扫描系统必须有良好的可扩充性和迅速升级的能力。 在选择产品时，首先要注意产品是否能直接从因特网升级、升级方法是否能够被非专业人员掌握，同时要注意产品制造者有没有足够的技术力量来保证对新发现的安全漏洞尽快给出升级方法，并给出相应的改进建议。 6)可扩充性 对具有比较深厚的网络知识，并且希望自己扩充产品功能的用户来说，应首选采用了功能模块或插件技术的产品。 7)全面的解决方案 网络安全管理需要多种安全产品来实现，仅仅使用安全扫描系统是难以保证网络的安全的。选择安全扫描系统，要考虑产品制造商能否提供包括防火墙、网络监控系统等完整产品线的全面的解决方案。 8)人员培训 网络安全中人是薄弱的一环，许多安全因素是与网络用户密切相关的，提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。因此，在选择安全扫描产品时，要考虑制造商有无能力提供安全技术培训。 安全扫描技术与防火墙、安全监控系统互相配合能够提高网络的安全性。安全扫描不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞，使网络管理员能够及时采取相应的安全措施。 6.4.3Windows2000Server入侵检测 经过精心配置的Windows2000Server可以防御90%以上的入侵和渗透，但是，系统安全是一个连续的过程，随着新漏洞的出现和服务器应用的变化，系统的安全状况也在不断变化着，因此，做好Windows2000Server入侵检测工作非常必要。 下面介绍利用Windows2000Server自身的功能及系统管理员自己编写的软件/脚本进行的Windows2000Server入侵检测。 1.基于Web服务端口入侵的检测 大多数情况下，IIS的日志会记录它接收到的任何请求，所以系统管理员可以利用这点来发现入侵的企图，从而保护自己的系统。但是，IIS的日志往往很大，人工检查几乎不可能实现，可以使用日志分析软件。在进行日志分析时，建立一张敏感字符串列表，包含已有的IIS漏洞以及会调用的资源(如Global.asa、cmd.exe)，通过过滤这张不断更新的字符串表，可以了解入侵者的行动。使用日志分析软件会占用一定的系统资源，建议放在夜里空闲时使其自动执行。 2.基于安全日志的检测 Windows2000自带了安全日志系统，从用户登录到特权的使用都有非常详细的记录，但默认安装下安全审核是关闭的。首先是在管理工具—本地安全策略—本地策略—审核策略中打开必要的审核。一般情况下，登录事件、账户管理、成功和失败审核非常必要，然后配置安全日志的大小及覆盖方式，如果配置不当入侵者就能够通过洪水般的伪造入侵请求覆盖掉真正的行踪。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖七天前的日志可以避免上述情况的出现。此外，要制定安全日志的检查机制，作为安全日志，推荐的检查时间是每天上午，这是因为，入侵者喜欢夜间行动。

除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具，入侵者除了在安全日志中留下痕迹，在系统和应用程序日志中也会留下蛛丝马迹。 3.文件访问日志与关键文件保护 对于关键的文件，要加设文件访问日志，记录对这些文件的访问。文件访问有很多的选项，如访问、修改、执行、新建和属性更改等。关注访问和修改就能起到很大的监视作用，如监视系统目录的修改、创建，部分重要文件的访问(如cmd.exe，system32目录等)，那么，入侵者就很难安放后门，但监视的关键文件和项目不能太多，否则会增加系统负担，扰乱日常的日志监测工作。

4.进程监控 进程监控技术是追踪木马后门的有力武器， 90%以上的木马和后门是以进程的形式存在的。做一份服务器运行进程的列表，能帮助管理员迅速发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外，DLL也是危险的东西，则如把原本是exe类型的木马改写为dll后用rundll32运行。 5.注册表校验 一般木马或者后门都会利用注册表来再次运行自己，所以校验注册表来发现入侵也是常用的手法之一。应对的方法是运行监控注册表的软件监控注册表的任何改动，并定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复。 6.端口监控 对于用户来说，了解自己服务器上开放的端口非常重要，可以及时发现并记录是否被攻击。利用Windows2000自带的netstat命令就可以实现这个功能。 首先建立一个批处理文件(如文件名为netlog.bat)，文件内容如下： time/t>>netstat.log netstat-n-ptcp10>>netstat.log 第一行是记录时间，time/t的意思是直接返回系统时间，用追加符号“>>”把这个时间记入netstat.log作为日志的时间字段。 第二行是每10秒钟自动查看一次TCP的连接状况。 然后运行netlog.bat将会自动记录时间和TCP连接状态，如果网站访问量比较大，这样的操作需要消耗一定的CPU时间，而且日志文件将越来越大，所以要慎重。 一旦发现异常的端口，可以使用软件(如AntiyPorts软件)来查看服务器监听的端口和进程，并找出与该端口关联的文件，这样就可以及时发现是哪个文件使用了异常端口，并可以终止该进程。 7.终端服务的日志监控 微软Windows2000Server版中自带的终端服务TerminalService是一个基于远程桌面协议的工具，可以成为一个很好的远程管理软件，但是这个软件功能强大而且只受到密码的保护，也非常的危险，入侵者一旦拥有了管理员密码，就能像本机一样操作远程服务器。虽然终端服务有日志，但不记录客户端的IP地址。使用与端口监控相识的方法可以实现记录客户端的IP地址的功能。 首先建立一个批处理文件(如文件名为tslog.bat)，文件内容如下： time/t>>tslog.log netstat-n-ptcp|find":3389">>tslog.log startExplorer 第一行是记录用户登录的时间(同端口监控)。 第二行是记录用户的IP地址，netstat是用来显示当前网络连接状况的命令，-n表示显示IP和端口而不是域名、协议，-ptcp是只显示tcp协议，用管道符号“|”把这个命令的结果输出给find命令，从输出结果中查找包含“:3389”的行(这就是要找的客户的IP所在的行，如果更改了终端服务的端口，这个数值也要作相应的更改)，最后把这个结果重定向到日志文件tslog.log中去，tslog.log文件中的记录格式如下： 22:40 TCP8:338923:4903 ESTABLISHED 22:54 TCP8:33899:1039 ESTABLISHED 也就是说只要这个tslog.bat文件一运行，所有连在3389端口上的IP都会被记录。 第三行是用户进入桌面。如果不加这一行命令，用户就没有办法进入桌面。 然后在用户登录的批处理中添入tslog.bat。这样只要用户一登录相关信息就会被记录下来。 8.陷阱技术 陷阱技术也称为蜜罐技术，是指网络管理员能够以极低的成本构造出一套虚拟的网络和服务，并且故意留出漏洞，让攻击者扫描、攻击，并实时观察、记录入侵者的来源和操作手法。随着矛盾的不断升级，现在的陷阱服务越来越像真正的服务，这样不仅能截获半开式扫描，还能伪装服务的回应并记录入侵者的行为，从而帮助管理员判断入侵者的身份和目的，然后采取防范措施，完善真正的系统的保护手段。 6.4.4端口扫描 据统计，端口扫描在网络扫描中大约占了96%，网络攻击者和网络管理员都需要网络监听和扫描工具，只不过他们的目的不同。对于网络攻击者，是作为进行网络攻击的工具，而对于网络管理员，是作为网络管理和保护网络安全的工具，及时发现网络中计算机的安全漏洞、特洛伊木马程序、攻击者留下的后门等，以便采取相应的措施保护网络的安全。在使用网络监听和扫描工具时，一定要考虑到网络的承受能力和对目标计算机的影响。需要说明的是无论处于何种目的，进行网络监听和扫描时必须在国家法律法规允许的范围内进行。 (3)检验目标计算机提供的服务类别。 (4)检验一定范围目标计算机是否在线和端口情况。 (5)自定义列表检验目标计算机是否在线和端口情况。 (6)自定义要检验的端口，并可以保存为端口列表文件。 (7)软件自带一个木马端口列表trojans.lst，通过这个列表可以检测目标计算机是否有木马，也可以自己定义修改这个木马端口列表。 2.SuperScan软件使用说明 运行SuperScan后将出现如图6-4-1所示的窗口。图6-4-1SuperScan主窗口界面最直接的方法是检查所有的数组操作，但是通常可以用一些优化的技术来减少检查的次数。从网络攻击的方法和产生的破坏情况来看，DoS是一种很简单但很有效的进攻方式，它的目的就是拒绝服务访问。首先建立一个批处理文件(如文件名为tslog.关注访问和修改就能起到很大的监视作用，如监视系统目录的修改、创建，部分重要文件的访问(如cmd.(4)与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制并对带宽总量进行限制。管理员根据不同的漏洞来进行不同的防御措施，黑客则用它来完成攻击。(4)在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY-LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”(如BladeRunner“木马”)，如果删除它，“木马”会立即自动加上，需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。因此，这种技术可以非常准确地定位系统的问题，发现系统的漏洞。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、路由器、网关、防火墙等。防止利用缓冲区溢出发起的攻击，关键在于程序开发者在开发程序时仔细检查溢出情况，不允许数据溢出缓冲区。什么是黑客？网络攻击有哪几个阶段？exe的键值，如有键值，则将其删除。从网络攻击的方法和产生的破坏情况来看，DoS是一种很简单但很有效的进攻方式，它的目的就是拒绝服务访问。图6-4-2本地IP设置 (2)通过导入文件实现。通过导入一个内容为主机域名的文本文件，将主机域名列表转换为相应的IP地址。选中【导入文件】复选框，单击【->】按钮出现如图6-4-3所示的窗口。在此窗口中单击【浏览】按钮，可以选择内容为主机域名的文本文件；单击【导入】按钮，可以导入主机域名；单击【解析】按钮，将导入的主机域名解析为IP地址；单击【执行】按钮，返回图6-4-1所示的窗口。图6-4-3从文本文件导入主机名 2) Ping功能的使用 Ping主要目的在于检测目标计算机是否在线和通过反应时间判断网络状况。 在IP组的【起始】框中填入起始IP地址，在【终止】框中填入结束IP，然后，在扫描类型组选中【仅仅Ping计算机】单选钮，单击【开始】按钮即可进行检测。 使用以下按钮可以达到快捷设置起止IP地址的目的。选中【忽略IP为0】复选框可以屏蔽所有以0结尾的IP；选中【忽略IP为255】复选框可以屏蔽所有以255结尾的IP；单击【前C段】按钮可以直接转到前一个C网段；单击【后C段】按钮可以直接转到后一个C网段；单击【1..254】按钮可以直接选择整个网段。 在Ping的时候，可以根据网络情况在延时组设置相应的反应时间。一般采用默认即可，SuperScan运行速度很快，结果也很准确，一般没必要改变反应时间设置。 3)端口检测 端口检测可以取得目标计算机提供的服务，同时，也可以检测目标计算机是否有木马。 (1)检测目标计算机的所有端口。如果检测的时候没有特定的目的，只是为了了解目标计算机的一些情况，那么可以对目标计算机的所有端口进行检测。这会对目标计算机的正常运行造成一定的影响，同时，也会引起目标计算机的警觉，而且扫描时间很长，浪费带宽资源，对网络正常运行造成一定影响。一般不提倡这种检测。 在IP组输入起始IP和终止IP，在扫描类型组选择最后一项【所有端口从】单选钮，并输入起始端口号和结束端口号，如果需要返回计算机的主机名，再选中【查询计算机名】复选框，单击【开始】按钮开始检测。 扫描完成后，单击【全部展开】按钮，可以看到扫描的结果，如图6-4-1所示窗口的下半部分。第一行是目标计算机的IP地址和主机名，第二行开始的小圆点是扫描的计算机的活动端口号和对该端口的解释，此行的下一行有一个方框的部分是提供该服务的系统软件。活动主机文本框中显示扫描到的活动主机数量，已开端口文本框显示目标计算机打开的端口数。 (2)扫描目标计算机的特定端口(自定义端口)。一般只要检测有限的几个端口就可以，因为扫描的目的只是为了得到目标计算机提供的服务和使用的软件，所以可以根据不同目的来检测不同的端口。 单击【端口设置】按钮，出现如图6-4-4所示的窗口。在端口选择组中双击需要扫描的端口，端口前面会有一个“√”的标志。选择的时候，注意左边的更改/添加/删除端口信息组和鼠标右键菜单助手组中内容项的变化，这两组内容是关于此端口的详细说明和所使用的程序。 选择需要的端口，然后单击【保存】按钮可以将选择的端口保存为端口列表。单击【确定】按钮返回到图6-4-1所示的窗口。然后在扫描类型组选择【所有列表中选择的端口】单选钮，单击【开始】按钮开始检测。图6-4-4自定义端口的设置窗口 使用自定义端口的方式有以下优点： ●选择端口时可以详细了解端口信息。 ●选择的端口可以自己取名保存，有利于再次使用。 ●可以要求有的放矢地检测目标端口，节省时间和资源。 ●根据一些特定端口，可以检测目标计算机是否被攻击者利用，种植木马或者打开不应该打开的服务。 4)检测目标计算机是否被种植木马 所有木马都必须打开一定的端口，只要检测这些特定的端口就可以知道计算机是否被种植木马。 在图6-4-1所示窗口中单击【端口设置】按钮，出现端口设置界面如图6-4