版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第3章网络扫描与监听概述本章主要讲述黑客的相关知识,以及黑客攻击过程中的扫描与监听相关知识。扫描和监听是黑客攻击一个目标之前必须要做的步骤。目录3.1黑客3.2网络扫描3.3网络监听3.1黑客
黑客是一个中文词语,源自英文hacker。它泛指擅长IT技术的人群、计算机科学家,大部分的媒体习惯将“黑客”指作电脑侵入者。在信息安全领域黑客指的指研究智取计算机安全系统的人员。利用公共网路,如互联网、电话网络系统等,在未经授权许可的情况下,进入对方系统被称为黑帽黑客(英文:blackhat,另称cracker);研究和分析计算机安全系统的称为白帽黑客(英语:whitehat)。“黑客”一词最早用来称呼研究盗用电话系统的人。
3.1黑客1.红客:维护国家利益代表中国人民意志的电脑高手,他们热爱自己的祖国,民族,和平,极力的维护国家安全与尊严。2.蓝客:信仰自由,提倡爱国主义的黑客,他们用自己的力量来维护网络的和平。3.骇客:很多人经常把黑客跟骇客搞混。实际区别很大。骇客,是“Cracker”的音译,就是“破解者”的意思。3.1黑客典型的黑客事件凯文·米特尼克(KevinDavidMitnick,1964年美国洛杉矶出生),如图3.1所示。很多人称他为世界上“头号电脑黑客”。这位“知名人物”现年不过60岁,但其传奇的黑客经历足以令全世界为之震惊。3.1黑客1983年,凯文·米特尼克因被发现使用一台大学里的电脑擅自进入今日互联网的前身ARPA网,并通过该网进入了美国五角大楼的的电脑,而被判在加州的青年管教所管教了6个月。1988年,凯文·米特尼克被执法当局逮捕,原因是控他从公司网络上盗取了价值100万美元的软件,并造成了400万美元损失。3.1黑客2013年3月11日,国家互联网应急中心(CNCERT)的数据显示,2013年1月1日至2月28日不足60天的时间里,境外6747台木马或僵尸网络控制服务器控制了中国境内190万余台主机;其中位于美国的2194台控制服务器控制了中国境内128.7万台主机,无论是按照控制服务器数量还是按照控制中国主机数量排名,美国都名列第一。3.1黑客
2015年7月10日,美国联邦人事管理局(OPM)公布,美国联邦政府机构被黑客攻击后,有超过2150万美国人的资料被盗取。受影响者包括1970万涉及背景调查的政府雇员,以及180万上述政府雇员的家庭成员。”人事管理局还指出,黑客有可能盗取了几乎所有在2000年后所进行的背景调查的数据。在进一步的调查后发现,有更多的数据库系统遭到了攻击。3.1黑客2017年5月,WannaCry勒索软件攻击席卷全球,至少150个国家和地区、30万名用户、超过10万台电脑遭到了勒索病毒攻击、感染,造成损失超过80亿美元,影响金融、能源、医疗等众多行业。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,大量实验室数据和毕业设计被锁定加密;部分大型企业的应用系统和数据库文件被加密后无法正常工作,影响巨大。如图所示为勒索软件在勒索比特币。3.1黑客勒索比特币3.1黑客2019年4月,卡巴斯基报告了一起代号为ShadowHammer的黑客供应链攻击事件,ShadowHammer行动的幕后攻击者使用窃取到的华硕数字证书对旧版本的华硕软件进行更改,并注入自己的恶意代码,在攻击期间向全球超过50万华硕用户电脑注入了恶意后门程序。如图所示为华硕笔记本电脑。3.1黑客2020年6月,勒索软件团伙攻击国内某三甲医院信息系统,导致医疗数据加密,手术被迫暂停。使用AES-256算法加密数据,索要比特币。伪造医疗设备厂商邮件,诱导医护人员点击恶意链接。国家卫健委启动“医疗行业网络安全专项行动”,处置攻击1.2万次。3.1黑客2023年4月,杭州市公安机关在日常工作中发现,一些犯罪团伙在网络平台上利用木马程序对一些企业实施非常侵害。经查实,该批犯罪团伙通过线上定向对企业营销号投放木马病毒、线下商城骗取企业销售人员信任等方式,获取企业营销号的控制权。最后,该犯罪团伙假冒受害企业员工身份以“拉大群、发红包”等方式将其客户引流至境外诈骗群内,为境外诈骗团伙提供“金粉”(诈骗团伙所需的高价值人员),实施精准网络诈骗。2023年5月,杭州公安机关组织开展集中收网行动,抓获犯罪嫌疑人39名,受害企业涉及全国2500余家。如图所示为系统发现木马程序。3.1黑客发现木马程序3.1黑客从2025年初开始,人工智能技术受到全世界普遍关注。国产大模型DeepSeek一跃成为全世界瞩目的技术焦点。然而伴随着其用户量的爆炸式增长,海量恶意攻击也接踵而至,让人们再次深刻认识到人工智能的安全现状和发展路径。如图所示为DeepSeek图标。3.1黑客针对DeepSeek的网络攻击大致可划分为三个阶段:从开始以分布式拒绝服务(DDoS)攻击干扰正常网络流量,到加入大量非法的HTTP代理攻击,再到僵尸网络团队参与攻击,攻击的手段多样化且不断升级,危害也逐步扩大,并且呈现出高度组织化、规模化的特征。由此可见人工智能安全非常重要。3.1黑客目前,我国网民总数已经突破11亿,境外的木马或僵尸网络数量更是大幅增加。网上的攻击事件层出不穷,据不完全统计,全球有几十万个网站在介绍黑客知识。这不得不引起高度重视。3.2网络扫描网络扫描是确认网络上运行的主机的工作一个工具或系统。它的目的为了对主机进行攻击,或是为了发现漏洞进行网络安全评估。网络扫描程序,如Ping扫射和端口扫描,返回关于哪个IP地址映射有主机连接到因特网上的并是工作的,这些主机提供什么样的服务的信息。另一种扫描方法是反向映射,返回关于哪个IP地址上没有映射出活动的主机的信息,这使攻击者能假设出可行的地址。3.2网络扫描3.2.1地址与端口扫描3.2网络扫描3.2.1地址与端口扫描图3.2IP数据报文格式3.2网络扫描3.2.1地址与端口扫描3.2网络扫描1.SYN:标志位用来建立连接,让连接双方同步序列号。如果SYN=1而ACK=0,则表示该数据包为连接请求,如果SYN=1而ACK=1则表示接受连接。2.FIN:表示发送端已经没有数据要求传输了,希望释放连接。3.RST:用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包。3.2网络扫描4.URG:为紧急数据标志。如果它为1,表示本数据包中包含紧急数据。此时紧急数据指针有效。5.ACK:为确认标志位。如果为1,表示包中的确认号时有效的。否则,包中的确认号无效。6.PSH:如果置位,接收端应尽快把数据传送给应用层。3.2网络扫描TCP建立连接的过程3.2网络扫描大部分TCP/IP连接实现遵循以下原则:1:当一个SYN或者FIN数据包到达一个关闭的端口,TCP丢弃数据包同时发送一个RST数据包。2:当一个RST数据包到达一个监听端口,RST被丢弃。3:当一个RST数据包到达一个关闭的端口,RST被丢弃。4:当一个包含ACK的数据包到达一个监听端口时,数据包被丢弃,同时发送一个RST数据包。3.2网络扫描5:当一个SYN位关闭的数据包到达一个监听端口时,数据包被丢弃。6:当一个SYN数据包到达一个监听端口时,正常的三阶段握手继续,回答一个SYN|ACK数据包。7:当一个FIN数据包到达一个监听端口时,数据包被丢弃。"FIN行为"(关闭得端口返回RST,监听端口丢弃包),在URG和PSH标志位置位时同样要发生。所有的URG,PSH和FIN,或者没有任何标记的TCP数据包都会引起"FIN行为"。3.2网络扫描1.全TCP连接扫描全TCP连接扫描是TCP端口扫描的基础。扫描主机尝试(前面讲过的使用三次握手)与目的机指定端口建立正常的连接。连接由系统调用connect()开始。对于每一个正在监听的端口,connect()会获得成功,否则返回-1,表示端口不可访问。由于通常情况下,这不需要什么特权,所以几乎所有的用户都可以通过connect()来实现这种扫描方法。3.2网络扫描2.半TCP连接扫描或叫TCPSYN扫描在这种方法中,扫描主机向目标主机的相关端口发送SYN数据段。如果应答是RST,那么说明端口是关闭的,按照设定就继续扫描其它端口;如果应答中包含SYN和ACK,说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息,传送一个RST给目标机从而停止建立连接。由于在SYN扫描时,全连接尚未建立,所以这种技术通常被称为半连接扫描。3.2网络扫描3.秘密扫描技术由于这种技术不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而比SYN扫描隐蔽得多。秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包。否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。3.2网络扫描4.Ping扫描如果需要扫描一个主机上甚至整个子网上的成千上万个端口,首先判断一个主机是否开机就非常重要了。这就是IP地址扫描器的目的,通常采用Ping来实现。Ping扫描主要是发送ICMP请求包给目标IP地址,有响应的表示主机开机。3.2网络扫描3.2.3漏洞扫描漏洞是指计算机系统软硬件包括操作系统和应用程序的固有缺陷或者配置错误,这些缺陷和错误很容易被黑客所利用对计算机系统进行攻击。 这里注意,漏洞的英文词语是Vulnerability,而不是Hole,很多读者容易拼写错误。漏洞是硬件、软件或策略上的缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。漏洞是软件在开发的过程中没有考虑到的某些缺陷,也叫软件的bug。关于漏洞,3.2网络扫描漏洞一般指软件的(安全)漏洞;漏洞存在通用的软件中;漏洞是事先未知、事后发现的;漏洞是安全隐患,如果被利用,其后果不可预知;漏洞一般能够被远程利用;漏洞一般是可以修补的。3.2网络扫描漏洞产生的原因一般有两方面:1.设计上的缺陷 受编程人员的能力,经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。2.利益上的考虑在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门。还有的是为了在软件系统完成后,方便进行测试而故意留的后门。3.2网络扫描缓冲区溢出漏洞之所以这么多,主要在于它的产生非常简单。只要C/C++程序员稍微不注意,他的代码里面可能就出现了一个缓冲区溢出漏洞,甚至即使经过仔细检查的代码,也会存在缓冲区溢出漏洞。例如下面的C语言代码:3.2网络扫描漏洞扫描主要分为基于网络的漏洞扫描和基于主机的漏洞扫描。它们的其实现原理基本一致,但体系结构差距较大。1.基于主机的漏洞扫描主机扫描器又称本地扫描器,它与待检查系统运行于同一结点,执行对自身的检查。它的主要功能为分析各种系统文件内容,查找可能存在的对系统安全造成威胁的配置错误。2.基于网络的漏洞扫描网络扫描器又称远程扫描器。它和待检查系统运行于不同结点,通过网络远程探测目标结点,检查安全漏洞。远程扫描器检查网络和分布式系统的安全漏洞。3.2网络扫描洞扫描系统的主要组成如图3.5所示,主要包括:漏洞数据库模块、用户配置控制台模块、扫描引擎模块、结果存储器和报告生成工具。3.2网络扫描消除漏洞的主要方法是为有漏洞的系统及时安装补丁,或者直接更新系统。这和我们人穿衣服类似,衣服不小心破了一个口子。解决办法一是缝补一个衣服的补丁,另一个办法是原来的破衣服直接扔掉,买一个新衣服穿上。3.2网络扫描3.2.4典型的扫描工具介绍1.Pinger网络IP地址扫描工具 如图3.6所示为Pinger网络IP地址扫描工具。它可以快速扫描一段网络IP地址。查看哪些主机处于工作状态。3.2网络扫描2.端口扫描工具图3.7所示为NetScanTools3.2网络扫描2.端口扫描工具图3.8WinScan3.2网络扫描2.端口扫描工具图3.9SuperScan3.2网络扫描3.漏洞扫描工具 漏洞扫描工具有很多。由于篇幅所限,这里简单介绍两个典型漏洞扫描工具。一个是中国第一代著名的黑客的小榕的作品流光扫描软件;另一个是来自俄罗斯的安全扫描工具ShadowSecurityScanner。3.2网络扫描流光综合扫描工具的界面3.2网络扫描ShadowSecurityScanner扫描器简称SSS扫描器3.3网络监听网络监听是一种监视网络所处状态、数据流向以及网络上信息传输的管理工具。它可以将网络界面设定为监听模式,并且可以截获网络所传输的信息。也就是说,当有人登录网络主机并取得超级用户权限后,若想要登录其它主机,使用网络监听工具便可以有效地截获网络上的数据,这是黑客使用最好的方法。3.3网络监听世界上最早的窃听器是中国在2000多年前发明的。战国时代的《墨子》一书中就记载了一种“听瓮”工具,主要是用来听取是否有敌人从城外向城内挖掘地道用的。这种“听瓮”工具是用陶制成的,大肚小口,把它埋在地下,并在瓮口蒙上一层薄薄的皮革,人伏在上面就可以听到城外方圆数十里的动静,例如是否有人在挖掘地道。“听瓮”和要上用声学原理进行监听的。3.3网络监听如图3.12所示,审计系统可以通过交换机监听网上所有的流量3.3网络监听3.3.2典型的网络监听工具1.Sniffer网络监听工具3.3网络监听2.Wireshark网络监听工具3.3网络监听3.3.3网络监听的防护通常用于防护网络监听的方法主要是用防火墙,还有网络加密,以及专业的防监听工具等。1.使用防火墙进行防护2.对网络上传输的信息进行加密,可以有效的防止网络监听等攻击思考题1.什么是黑客?2.黑客为什么要进行扫描?3.IP扫描的原理是什么?4.网络监听的原理是什么?返回ThanksForAttendance!致谢第4章黑客攻击技术概述本章来介绍黑客攻击的一般流程与技术。这些知识是信息安全防护技术的基础,因为只有知道了别人怎样攻击自己的,才能更好地、有针对性地进行防护。本章攻击的方法与技术包括常见的密码破解攻击、缓冲区溢出攻击、欺骗攻击、DoS/DDoS攻击、CGI攻击、SQL注入攻击、网络蠕虫和社会工程攻击等。目录4.1攻击的一般流程4.2攻击的方法与技术4.1攻击的一般流程黑客攻击一般有六个步骤,即:踩点—>扫描—>入侵—>获取权限—>提升权限—>清除日志信息。1.踩点:主要是获取对方的IP,域名服务器信息,还有管理员的个人信息以及公司的信息。IP域名服务器信息可以通过工具扫描获取。比如通过这两个网站可以查询到一个服务器上有哪些网站,就是这个服务器上绑定了哪些域名。4.1攻击的一般流程黑客攻击一般有六个步骤,即:踩点—>扫描—>入侵—>获取权限—>提升权限—>清除日志信息。1.踩点:主要是获取对方的IP,域名服务器信息,还有管理员的个人信息以及公司的信息。IP域名服务器信息可以通过工具扫描获取。比如通过这两个网站可以查询到一个服务器上有哪些网站,就是这个服务器上绑定了哪些域名。4.1攻击的一般流程例如:可以在DOS环境下输入命令:c:\>telnetwww.*.*.cn80,如图2.1所示。这时出现如图2.2所示屏幕:4.1攻击的一般流程例如:可以在DOS环境下输入命令:c:\>telnetwww.*.*.cn80,如图2.1所示。这时出现如图2.2所示屏幕:4.1攻击的一般流程从这个错误命令的返回信息,可以知道如下信息:(1)对方Web服务用的是Apache2.0.52版本。(2)对方用的是PHP/4.3.10来做网页的。(3)对方的IP是211.*.*.4。这就为进一步的攻击创造了条件。4.1攻击的一般流程2.扫描:针对某个网址的后台地址,则可以用注入工具扫描。另外,这只是对网址进行扫描,还可以用工具对一些常见的漏洞和端口进行扫描。关于扫描的方法,前一章已经介绍过了,这里就不再赘述。3.入侵:这个阶段主要是看通过什么样的渠道进行入侵了。根据前面搜集到的信息,是采用Web网址入侵,还是服务器漏洞入侵,还是通过社会工程学原理进行欺骗攻击,这需要根据具体的情况来定。4.1攻击的一般流程4.获取权限:我们入侵当然一部分目的是为了获取权限。通过Web入侵能利用系统的漏洞获取管理员后台密码,然后登录后台。这样就可以上传一个网页木马,如ASP木马、php木马等。根据服务器的设置不同,得到的木马的权限也不一样,所以还要提升权限。4.1攻击的一般流程5.提升权限:提升权限,将普通用户的权限提升为更高一点的权限,比如管理员权限。这样才有权限去做其他的事情。提权可以采用系统服务的方法,社会工程学的方法,一般都是采用的第三方软件的方法。
6.清除日志:当入侵之后,当然不想留下蛛丝马迹。日志主要有系统日志,IIS日志和第三方软件的日志,比如系统装了入侵检测系统,就会有这个日志。要删除记录,一般是采用攻击删除。当然对于一些特殊记录,则需要手工删除了。不然使用工具统统删除了,管理员也会怀疑的。4.2攻击的方法与技术
网上的攻击方式很多,这里介绍7种常用的攻击方法与技术,包括密码破解攻击、缓冲区溢出攻击、欺骗攻击、DoS/DDoS攻击、SQL注入攻击、网络蠕虫和社会工程攻击等。4.2.1密码破解攻击 密码破解不一定涉及复杂的工具。它可能与找一张写有密码的贴纸一样简单,而这张纸就贴在显示器上或者藏在键盘底下。另一种蛮力技术称为“垃圾搜寻(dumpsterdiving)”,它基本上就是一个攻击者把垃圾搜寻一遍以找出可能含有密码的废弃文档。4.2攻击的方法与技术1.字典攻击(Dictionaryattack)到目前为止,一个简单的字典攻击是闯入机器的最快方法。字典文件(一个充满字典文字的文本文件)被装入破解应用程序(如L0phtCrack),它是根据由应用程序定位的用户帐户运行的。因为大多数密码通常是简单的,所以运行字典攻击通常足以实现目的了。4.2攻击的方法与技术2.混合攻击(Hybridattack)另一个众所周知的攻击形式是混合攻击。混合攻击将数字和符号添加到文件名以成功破解密码。许多人只通过在当前密码后加一个数字来更改密码。其模式通常采用这一形式:第一月的密码是“cat”;第二个月的密码是“cat1”;第三个月的密码是“cat2”,依次类推。4.2攻击的方法与技术3.暴力攻击(Bruteforceattack)暴力攻击是最全面的攻击形式,虽然它通常需要很长的时间工作,这取决于密码的复杂程度。根据密码的复杂程度,某些暴力攻击可能花费一个星期的时间。在暴力攻击中还可以使用LC5等工具。4.2攻击的方法与技术4.专业工具最常用的工具之有:(1)系统帐号破解工具LC5,如图2.3所示。4.2攻击的方法与技术(2)Word文件密码破解工具WordPasswordRecoveryMaster,如图2.4所示。4.2攻击的方法与技术(3)邮箱口令破解工具:黑雨,如图2.5所示。4.2攻击的方法与技术 (4)RAR压缩文件破解工具:InteloreRARPasswordRecovery,如图2.6所示。4.2攻击的方法与技术 (5)PowerPoint文件破解工具:Powerpoint-Password-Recovery.exe,如图2.7所示。4.2攻击的方法与技术4.2.2缓冲区溢出攻击缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统当机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。缓冲区溢出攻击有多种英文名称:bufferoverflow。第一个缓冲区溢出攻击--Morris蠕虫,它曾造成了全世界6000多台网络服务器瘫痪。4.2攻击的方法与技术缓冲区溢出攻击的原理主要是通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序:voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}4.2攻击的方法与技术4.2.3欺骗攻击1.源IP地址欺骗攻击许多应用程序认为如果数据包能够使其自身沿着路由到达目的地,而且应答包也可以回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的前提。4.2攻击的方法与技术要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:(1)抛弃基于地址的信任策略:阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts文件;清空/etc/hosts.equiv文件。这将迫使所有用户使用其它远程通信手段,如telnet、ssh、skey等等。(2)使用加密方法:在包发送到网络上之前,可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性和真实性。(3)进行包过滤:可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。4.2攻击的方法与技术2.源路由欺骗攻击在通常情况下,信息包从起点到终点走过的路径是由位于此两点间的路由器决定的,数据包本身只知道去往何处,但不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式:4.2攻击的方法与技术为了防范源路由欺骗攻击,一般采用下面两种措施:(1)对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。(2)在路由器上关闭源路由。用命令noipsource-route。4.2攻击的方法与技术4.2.4DoS/DDoS攻击
1.DoS攻击拒绝服务(DoS,DenialofService)攻击是目前黑客广泛使用的一种攻击手段。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。4.2攻击的方法与技术4.2.4DoS/DDoS攻击(1)SYNFlood:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYNACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。4.2攻击的方法与技术4.2.4DoS/DDoS攻击(2)Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。Smurf攻击原理如图2.9所示。4.2攻击的方法与技术(3)Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。(4)PingofDeath:根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了PingofDeath攻击,该攻击会造成主机的死机。4.2攻击的方法与技术(5)Teardrop:IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。(6)PingSweep:使用ICMPEcho访问多个主机。(7)Pingflood:该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。4.2攻击的方法与技术2.DDoS攻击 分布式拒绝服务DDoS(DistributedDenialofService)攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了,目标对恶意攻击包的"消化能力"加强了不少,例如DoS攻击软件每秒钟可以发送3,000个攻击包,但被攻击主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。4.2攻击的方法与技术图2.10为典型的DDoS攻击工具CCv2.1,它是一个强大的应用层的DDoS攻击工具。4.2攻击的方法与技术4.2攻击的方法与技术4.2攻击的方法与技术3.针对DoS/DDoS攻击的防范针对DoS/DDoS攻击的防范主要采取如下一些方法:(1)确保所有服务器采用最新系统,并打上安全补丁。研究发现几乎每个受到DDoS攻击的系统都没有及时打上补丁。
(2)确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。4.2攻击的方法与技术(3)确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统甚至是受防火墙保护的系统。
(4)确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限。
(5)禁止内部网通过Modem连接至PSTN系统。否则,黑客能通过电话线发现未受保护的主机,即刻就能访问极为机密的数据?4.2攻击的方法与技术(6)禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令,而Telnet和Rlogin则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost和hosts.equiv文件删除,因为不用猜口令,这些文件就会提供登录访问!
(7)限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。
(8)确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。4.2攻击的方法与技术(9)在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。
(10)检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了危胁。
(11)利用DDoS设备提供商的设备。 目前没有哪个网络可以免受DDoS攻击,但如果采取上述几项措施,能起到一定的预防作用。4.2攻击的方法与技术4.2.5SQL注入攻击随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据。据统计,网站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不足10%。4.2攻击的方法与技术4.2.5SQL注入攻击4.2攻击的方法与技术4.2.5SQL注入攻击4.2攻击的方法与技术4.2.6网络蠕虫蠕虫(Worm)病毒和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等。目前危害比较大的蠕虫病毒主要通过三种途径传播:系统漏洞、聊天软件和电子邮件。4.2攻击的方法与技术4.2.6网络蠕虫蠕虫(Worm)4.2攻击的方法与技术4.2.7社会工程社会工程学(SocialEngineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。社会工程学不能等同于一般的欺骗手法,它尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。4.2攻击的方法与技术4.2.7社会工程4.2攻击的方法与技术4.2.7社会工程4.2攻击的方法与技术4.2.7社会工程4.2攻击的方法与技术4.2.7社会工程4.2攻击的方法与技术4.2.7社会工程4.2攻击的方法与技术4.2.7社会工程社会工程学(SocialEngineering),4.2攻击的方法与技术4.2.7社会工程4.2攻击的方法与技术下面做一个详细的分析。细心的话,会发现这里有很多疑点。如下:
1.打开真正的联众网站如图2.21所示。会发现它和上面的假联众网站除了“有将活动专区”区别以外,“在线游戏”人数也不一样。真正联众网站上在线游戏人数为344387人,而假联众网站上在线游戏人数为523757人。而且真正联众网站上的在线人数是变化的,而假联众网站上在线游戏人数是不变的。难道同为联众公司,在上面玩游戏的人数还不一样吗?
2.上面“领奖说明”里面要交688元手续费,这里我们不仅要问,这688手续费用为什么不从上面8000元资金中扣除呢?4.2攻击的方法与技术
3.上面联众公司“网络文化经营许可证”当中,“单位名称”、“地址”、“法定代表人”、“经济类型”、“注册资本”等信息的字体大小、字体深浅为什么是不一样的呢?
4.为什么在“联系方式”当中,要写“银行卡号”、“身份证信息”、“真实改名”、“持卡人姓名”等信息呢?4.2攻击的方法与技术
4.3智能手机安全现在智能手机的使用越来越普遍,如图4-25所示为苹果公司的iPhone手机。许多人甚至有两个或两个以上的手机。同时手机遭受的攻击也随之越来越多。4.3智能手机安全4.3.1智能手机安全概述手机可以用于通信、游戏、炒股、工作、社交、旅行、看视频和医疗保健等重要服务。一般来说,人们对手机的依赖越大或者说手机的使用程度越高,那么手机被攻击的概率就越大。4.3智能手机安全下面介绍一些手机被入侵后可能发出的信号。1.手机电池使用时间突然缩短2.手机应用程序的权限过大3.手机在莫名其妙地发消息4.手机流量使用率飙升4.3智能手机安全4.3.2手机扫码中奖骗局
很多骗子会给受害人发快递,在快递的外表或里面放一个二维码,声称扫码可以中奖或得到钱财,如图4-1所示。这里如果受害人扫码后,可能手机里的钱财会在瞬间被转走。
所以收到快递信息后,一定要辨别真伪。坚决不为了一点儿蝇头小利而扫码。如果别人真要给你钱的话,可以通过正规渠道。4.3智能手机安全4.3智能手机安全4.3.3手机假的取件码骗局
有时候会莫名其妙地收到一个快递的取件码,如图4-2所示。这类“假的取件码”通常是诈骗分子精心设计的一个骗局,目的是诱导你对手机进行操作,从而盗取你的财产。4.3智能手机安全
这类诈骗通常是不法分子利用受害人对快递的关心,设计一个看似合理实则充满陷阱的场景:第1步:伪造快递短信通知,制造场景:你会收到一条短信,内容通常是“您的快递已到达某驿站,请凭取件码XXXXX取件”,或者“您的快递已经到达某驿站,已经***天未取,并且即将过期,请凭取件码XXXXX取件”等。这条手机短信非常逼真,它包含了你的姓名、地址等个人信息,非常具有迷惑性。4.3智能手机安全第2步:多名诈骗分子自导自演:当你到达驿站发现并没有这个快递时,你就会拨打短信中留下的联系电话。拨通后,对方不会解决你的取件问题,而是会立刻转换自己的角色,自称是快递、或购物平台或知名App的客服人员。
第3步:编造各种理由,诱导你进一步操作:骗子会编造各种理由,例如说你已经开通了“百万保障”或“快递保障”服务,马上要自动动扣费,或会员即将要续费等,让你引起恐慌并要求你“协助关闭”这些服务以避免财产损失。4.3智能手机安全第4步:为了验证你的身份或解除你的授权,骗子会一步步诱导你做如下事情:
下载安装莫名其妙的手机APP:如“及时服务”、“云客服”、“云快递”等非官的手机方应用软件。
让你开启屏幕共享:让你看到他们在操作你的手机屏幕,实则是为了窃取你的操作画面。
索要你的敏感信息:要求你输入银行卡卡号号、银行密码、手机支付密码、短信验证码等。如图4-3所示为短信验证码。4.3智能手机安全4.3.2手机扫码中奖骗局
很多骗子会给受害人发快递,在快递的外表或里面放一个二维码,声称扫码可以中奖或得到钱财,如图4-1所示。这里如果受害人扫码后,可能手机里的钱财会在瞬间被转走。
所以收到快递信息后,一定要辨别真伪。坚决不为了一点儿蝇头小利而扫码。如果别人真要给你钱的话,可以通过正规渠道。
一旦你按照他们的指示操作,银行卡内的资金或手机微信、支付宝里的钱财就可能在不知不觉中被转走。4.3智能手机安全4.3智能手机安全4.3.4手机被控制
如果手机现出如图4-4所示的手机界面,说明你的手机被别人控制了。这时你对手机是进行不了任何操作的。包括关机都没有办法完成。这种情况经常发生在老年人身上,因为老年人防范意识低,经常在看手机各种视频的时候或为了“领鸡蛋”而点击下载了不明软件,又不会
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026兴化大学面试题目及答案
- 警惕校园安全护航青少年前行小学主题班会课件
- 2026中民科技面试题及答案
- 2026东莞检察院面试题及答案
- 2026患者转诊面试题及答案
- 环保意识小学主题班会课件,爱国情怀小学主题班会课件
- 2026年滁州天长市镇街应急消防综合工作站公开招聘员额制安全监管员32名笔试备考题库及答案详解
- 职业卫生技术服务专业技术人员考试(职业卫生检测)模拟题库及答案(咸宁2026年)
- 职业卫生技术服务专业技术人员考试(职业卫生检测)模拟题库及答案(2026年广西贵港市)
- 2026山东威海仁心医院(山东外事职业大学附属医院)医护人员联合招聘30人(第二批)笔试模拟试题及答案详解
- 2026年聊城市市属企业统一招聘(60人)笔试备考试题及答案详解
- 2026年检察院书记员招聘考试试题含参考答案
- 2026年滨州市高级技工学校(滨州市中等职业学校)公开招聘教师(10名)笔试参考试题及答案详解
- 2026江苏无锡市江阴市月城实验小学校医招聘1人笔试备考题库及答案详解
- 心血管肾脏代谢综合征专家共识总结2026
- 加油站消防安全管理制度
- 贵州出版集团笔试资料
- 煤矿防灭火细则解读 课件
- 2026年青少年视力保护知识讲座总结
- 2026四川成都新都区面向社会招聘全职党建指导员11人笔试备考题库及答案解析
- 溺水急救诊疗指南(2026年版)基层规范化处理
评论
0/150
提交评论