黑客入侵技术课件.ppt

1、1端端 口口 扫扫 描描网网 络络 监监 听听IPIP电子欺骗电子欺骗拒绝服务攻击拒绝服务攻击特洛伊木马特洛伊木马 E-mail E-mail 炸炸 弹弹缓冲区溢出缓冲区溢出 2黑客攻击介绍黑客攻击介绍 v 黑客与入侵者v 黑客攻击的目的v 黑客攻击的三个阶段v 黑客攻击手段3黑客与入侵者黑客与入侵者 黑客的行为没有恶意，而入侵者的行为具有恶意。 在网络世界里，要想区分开谁是真正意义上的黑客，谁是真正意义上的入侵者并不容易，因为有些人可能既是黑客，也是入侵者。而且在大多数人的眼里，黑客就是入侵者。所以，在以后的讨论中不再区分黑客、入侵者，将他们视为同一类。 4黑客攻击的目的1窃取信息2获取口令

2、3控制中间站点4获得超级用户权限5黑客攻击的3个阶段1确定目标 2搜集与攻击目标相关的信息，并找出系统的安全漏洞 3实施攻击6黑客攻击手段1黑客往往使用扫描器2黑客经常利用一些别人使用过的并在安全领域广为人知的技术和工具。3黑客利用Internet站点上的有关文章4黑客利用监听程序5黑客利用网络工具进行侦察6黑客自己编写工具76.1 端端 口口 扫扫 描描扫描器简介扫描器简介 扫描器是一种自动检测远程或本地主机安全性扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用它扫描弱点的程序，通过使用它扫描TCPTCP端口，并记录反馈端口，并记录反馈信息，可以不留痕迹地发现远程服务器中各种信息

3、，可以不留痕迹地发现远程服务器中各种TCPTCP端端口的分配、提供的服务和它们的软件版本。这就能口的分配、提供的服务和它们的软件版本。这就能直观地或间接地了解到远程主机存在的安全问题。直观地或间接地了解到远程主机存在的安全问题。8扫描器简介扫描器简介扫描器和监听工具一样，不同的人使用会有不同的扫描器和监听工具一样，不同的人使用会有不同的结果：如果系统管理员使用了扫描器，它将直接有助结果：如果系统管理员使用了扫描器，它将直接有助于加强系统安全性；而对于黑客来说，扫描器是他们于加强系统安全性；而对于黑客来说，扫描器是他们进行攻击入手点，不过，由于扫描器不能直接攻击网进行攻击入手点，不过，由于扫描器

4、不能直接攻击网络漏洞，所以黑客使用扫描器找出目标主机上各种各络漏洞，所以黑客使用扫描器找出目标主机上各种各样的安全漏洞后，利用其他方法进行恶意攻击。样的安全漏洞后，利用其他方法进行恶意攻击。9（）端口 许多TCP/IP程序可以通过Internet启动，这些程序大都是面向客户/服务器的程序。当inetd接收到一个连接请求时，它便启动一个服务，与请求客户服务的机器通讯。为简化这一过程，每个应用程序（比如FTP、Telnet）被赋予一个唯一的地址，这个地址称为端口。在一般的Internet服务器上都有数千个端口，为了简便和高效，为每个指定端口都设计了一个标准的数据帧。换句话说，尽管系统管理员可以把服

5、务绑定（bind）到他选定的端口上，但服务一般都被绑定到指定的端口上，它们被称为公认端口。 6.1.2 端口扫描的原理10（）端口扫描简介 端口扫描是一种获取主机信息的好方法。 端口扫描程序对于系统管理人员，是一个非常简便实用的工具。 如果扫描到一些标准端口之外的端口，系统管理员必须清楚这些端口提供了一些什么服务，是不是允许的。 11(3) (3) 端口扫描的原理端口扫描的原理下面介绍入侵者们如何利用上述这些信息，下面介绍入侵者们如何利用上述这些信息，来隐藏自己的端口扫描。来隐藏自己的端口扫描。1 1TCP connect( )TCP connect( )扫描扫描2 2TCP SYNTCP S

6、YN扫描扫描3 3TCP FINTCP FIN扫描扫描4 4Fragmentation Fragmentation 扫描扫描5 5UDP recfrom( )UDP recfrom( )和和write( )write( )扫描扫描6 6ICMPICMP扫描扫描1266.11.3 3 常用的扫描工具常用的扫描工具（）（）网络分析工具网络分析工具SATAN SATAN是一个分析网络的安全管理和测试、是一个分析网络的安全管理和测试、报告工具。它用来收集网络上主机的许多信报告工具。它用来收集网络上主机的许多信息，并可以识别且自动报告与网络相关的安息，并可以识别且自动报告与网络相关的安全问题。对所发现的

7、每种问题类型，全问题。对所发现的每种问题类型，SATAN都提供对这个问题的解释以及它可能对系统都提供对这个问题的解释以及它可能对系统和网络安全造成的影响的程度。通过所附的和网络安全造成的影响的程度。通过所附的资料，它还解释如何处理这些问题。资料，它还解释如何处理这些问题。(扫描器的鼻祖，扫描器的鼻祖，perl编写）编写）13（）网络安全扫描器（）网络安全扫描器NSS 网络安全扫描器是一个非常隐蔽的扫描网络安全扫描器是一个非常隐蔽的扫描器。如果你用流行的搜索程序搜索它，你所器。如果你用流行的搜索程序搜索它，你所能发现的入口不超过能发现的入口不超过20个。这并非意味着个。这并非意味着NSS使用不广

8、泛，而是意味着多数载有该扫使用不广泛，而是意味着多数载有该扫描器的描器的FTP的站点处在暗处，或无法通过的站点处在暗处，或无法通过WWW搜索器找到它们。搜索器找到它们。(它最根本的价值在它最根本的价值在于它的速度，它运行速度非常快于它的速度，它运行速度非常快 ) 14（）（）Strobe 超级优化超级优化TCP端口检测程序端口检测程序Strobe是一是一个个TCP端口扫描器。它具有在最大带宽利用端口扫描器。它具有在最大带宽利用率和最小进程资源需求下，迅速地定位和扫率和最小进程资源需求下，迅速地定位和扫描一台远程目标主机或许多台主机的所有描一台远程目标主机或许多台主机的所有TCP“监听监听”端口

9、的能力。端口的能力。 15（4）Internet Scanner Internet Scanner可以说是可得到的最快可以说是可得到的最快和功能最全的安全扫描工具，用于和功能最全的安全扫描工具，用于UNIX和和Windows NT。它容易配置，扫描速度快，并。它容易配置，扫描速度快，并且能产生综合报告。且能产生综合报告。 16（5）Port Scanner Port Scanner是一个运行于是一个运行于Windows 95和和Windows NT上的端口扫描工具，其开始界上的端口扫描工具，其开始界面上显示了两个输入框，上面的输入框用于面上显示了两个输入框，上面的输入框用于要扫描的开始主机要扫

10、描的开始主机IP地址，下面的输入框用地址，下面的输入框用于输入要扫描的结束主机于输入要扫描的结束主机IP地址。在这两个地址。在这两个IP地址之间的主机将被扫描。地址之间的主机将被扫描。 17（6）Nmap 世界上最受黑客欢迎的扫描器，能实现秘密扫描、动态延迟、重发与平行扫描、欺骗扫描、端口过滤探测、RPC直接扫描、分布扫描等，灵活性非常好，功能强大186.2 网 络 监 听66.22.1 1 网络监听的原理网络监听的原理 当信息以明文的形式在网络上传播时，黑客就当信息以明文的形式在网络上传播时，黑客就可以使用监听的方式来进行攻击。只要将网络接口可以使用监听的方式来进行攻击。只要将网络接口设置为

11、监听模式，便可以源源不断地将网上传输的设置为监听模式，便可以源源不断地将网上传输的信息截获。监听只能是同一个网段的主机。这里同信息截获。监听只能是同一个网段的主机。这里同一个网段是指物理上的连接，因为不是同一个网段一个网段是指物理上的连接，因为不是同一个网段的数据包，在网关就被滤掉了，传不到该网段来。的数据包，在网关就被滤掉了，传不到该网段来。 网络监听的最大用处是获得用户口令。网络监听的最大用处是获得用户口令。19v1 1监听的可能性监听的可能性网络监听是黑客们常用的一种方法。网络监听是黑客们常用的一种方法。表表6.16.1描述了在通常的一些传输介质上，信息描述了在通常的一些传输介质上，信息

12、被监听的可能性。被监听的可能性。20表6.1 不同的数据链路上传输的信息被监听的可能性数 据 链 路监听的可能性说 明Ethernet高Ethernet网是一个广播型的网络，Internet的大多数包监听事件都是一些运行在一台计算机中的包监听程序的结果，这台计算机和其他计算机，一个网关或者路由器形成一个以太网FDDIToken_ring高尽管令牌网内在的并不是一个广播网络，但实际上，带有令牌的那些包在传输过程中，平均也要经过网络上一半的计算机，高的数据传输率可以使监听变得困难电话线中等电话线可以被一些与电话公司协作的人或者些有机会在物理上访问到线路的人搭线窃听，在微波线路上的信息也会被截获；在

13、实际中，高速的调制解调器将比低速的调制解调器搭线窃听困难一些，因为高速调制解调器中引入了许多频率IP通过有线电视高许多已经开发出来的、使用有线电视信号发送IP数据包的系统都依靠RF调制解调器，RF调制解调器使用个TV通道用于上行；一个用于下行；在这些线路上传输的信息没有加密，因此，可以被一些能在物理上访问到TV电缆的人截听微波和无线电高无线电本来就是一个广播型的传输媒介，任何有一个无线电接收机的人都可以截获那些传输的信息212 2以太网中可以监听的原因以太网中可以监听的原因 当主机工作在监听模式下，那么，无论数据包当主机工作在监听模式下，那么，无论数据包中的目标物理地址是什么，主机都将接收。中

14、的目标物理地址是什么，主机都将接收。 如果一台主机处于监听模式下，它还能接收到如果一台主机处于监听模式下，它还能接收到发向与自己不在同发向与自己不在同子网（使用了不同的掩码、子网（使用了不同的掩码、IP地址和网关）的主机的那些信息包。地址和网关）的主机的那些信息包。 223.3.监听模式的设置监听模式的设置 要使主机工作在监听模式下，需要向网要使主机工作在监听模式下，需要向网络接口发送络接口发送I/O控制命令；将其设置为监听模控制命令；将其设置为监听模式。在式。在UNIX系统中，发送这些命令需要超级系统中，发送这些命令需要超级用户的权限。在用户的权限。在UNIX系统中普通用户是不能系统中普通用

15、户是不能进行网络监听的。但是，在上网的进行网络监听的。但是，在上网的Windows 95中，则没有这个限制。只要运行这一类的中，则没有这个限制。只要运行这一类的监听软件即可，而且具有操作方便，对监听监听软件即可，而且具有操作方便，对监听到信息的综合能力强的特点。到信息的综合能力强的特点。 234. 常用的监听工具（1）snoop snoop可以截获网络上传输的数据包，并显示这可以截获网络上传输的数据包，并显示这些包中的内容。它使用网络包过滤功能和缓冲技术些包中的内容。它使用网络包过滤功能和缓冲技术来提供有效的对网络通信过滤的功能。那些截获的来提供有效的对网络通信过滤的功能。那些截获的数据包中的

16、信息可以在它们被截获时显示出来，也数据包中的信息可以在它们被截获时显示出来，也可以存储在文件中，用于以后的检查。可以存储在文件中，用于以后的检查。 Snoop可以以单行的形式只输出数据包的总结可以以单行的形式只输出数据包的总结信息，也可以以多行的形式对包中信息详细说明。信息，也可以以多行的形式对包中信息详细说明。 24(2)Sniffit软件软件Sniffit是由是由Lawrence Berkeley实验室开发实验室开发的，运行于的，运行于Solaris、SGI和和Linux等平台等平台的一种免费网络监听软件，具有功能强的一种免费网络监听软件，具有功能强大且使用方便的特点。使用时，用户可大且使

17、用方便的特点。使用时，用户可以选择源、目标地址或地址集合，还可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。以选择监听的端口、协议和网络接口等。2566.22.2 2 网络监听的检测网络监听的检测1 1简单的检测方法简单的检测方法（1）方法一）方法一 对于怀疑运行监听程序的机器，用正确的对于怀疑运行监听程序的机器，用正确的IP地址地址和错误的物理地址去和错误的物理地址去ping，运行监听程序的机器会有，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。处于监听状态的机器能接收。（2

18、 2）方法二）方法二 往网上发大量不存在的物理地址的包，由于监听往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，会导致性能下降。通过比较前后程序将处理这些包，会导致性能下降。通过比较前后该机器性能（该机器性能（icmp echo delayicmp echo delay等方法）加以判断。等方法）加以判断。 26(3) (3) 方法三方法三 一个看起来可行的检查监听程序的方法是搜索一个看起来可行的检查监听程序的方法是搜索所有主机上运行的进程。那些使用所有主机上运行的进程。那些使用DOSDOS、Windows Windows for Workgroupfor Workgroup或者或者

19、Windows 95Windows 95的机器很难做到这的机器很难做到这一点。而使用一点。而使用UNIXUNIX和和Windows NTWindows NT的机器可以很容易的机器可以很容易地得到当前进程的清单。地得到当前进程的清单。27方法四：方法四： 另外一个办法就是去搜索监听程序，入侵者很可能使用另外一个办法就是去搜索监听程序，入侵者很可能使用的是一个免费软件。管理员就可以检查目录，找出监听程序，的是一个免费软件。管理员就可以检查目录，找出监听程序，但这很困难而且很费时间。在但这很困难而且很费时间。在UNIXUNIX系统上，人们可能不得不系统上，人们可能不得不自己编写一个程序。另外，如果监

20、听程序被换成另一个名字，自己编写一个程序。另外，如果监听程序被换成另一个名字，管理员也不可能找到这个监听程序。管理员也不可能找到这个监听程序。 用于要扫描的开始主机用于要扫描的开始主机IPIP地址，下面的输入框用于输入要扫描地址，下面的输入框用于输入要扫描的结束主机的结束主机IPIP地址。在这两个地址。在这两个IPIP地址之间的主机将被扫描。地址之间的主机将被扫描。282 2对付一个监听对付一个监听3 3其他防范监听的方法其他防范监听的方法4 4ifstatusifstatus工具工具296.3 IP6.3 IP电子欺骗电子欺骗66.33.1 1 关于盗用关于盗用IPIP地址地址 惟一留下马脚

21、的是物理地址有可能被记录惟一留下马脚的是物理地址有可能被记录下来，如果盗用的是另一网段下来，如果盗用的是另一网段台主机的台主机的IP地址地址，一般情况下是不行的，因为在正常通信时，将，一般情况下是不行的，因为在正常通信时，将收不到从对方返回的收不到从对方返回的IP数据包。数据包。30 因此，只能盗用本网段的因此，只能盗用本网段的IP地址。原因很简单：地址。原因很简单：一个最简单的网段，也要有一个路由器作为出口。在一个最简单的网段，也要有一个路由器作为出口。在路由器的配置中，要指定这个网段的网络地址和掩码路由器的配置中，要指定这个网段的网络地址和掩码。如果这个网段的主机使用了其他网段的。如果这个

22、网段的主机使用了其他网段的IP地址，则地址，则路由器不认为这个路由器不认为这个IP地址是属于它的网段，所以不给地址是属于它的网段，所以不给转发。防止盗用转发。防止盗用IP地址可以绑定地址可以绑定IP地址和物理地址。地址和物理地址。3166.33.2 IP2 IP电子欺骗的原理电子欺骗的原理1 1IPIP电子欺骗过程电子欺骗过程IP电子欺骗就是伪造某台主机的电子欺骗就是伪造某台主机的IP地址的技术地址的技术 ，通过通过IPIP地址的伪装使得某台主机能够伪装成另外的地址的伪装使得某台主机能够伪装成另外的一台主机。一台主机。关于关于IP欺骗技术有如下欺骗技术有如下3个特征：个特征：（1）只有少数平台

23、能够被这种技术攻击。）只有少数平台能够被这种技术攻击。（2）这种技术出现的可能性比较小。）这种技术出现的可能性比较小。（3）这种攻击方法很容易防备。）这种攻击方法很容易防备。 322 2可以实施欺骗的对象可以实施欺骗的对象（1）运行）运行Sun RPC的计算机。的计算机。 （2）基于）基于IP地址认证的网络服务。地址认证的网络服务。 （3）MIT的的X视窗系统。视窗系统。（4）提供）提供R系列服务（如提供系列服务（如提供rlogin、rsh与与rcp等服等服务）的计算机。务）的计算机。3366.33.3 IP3 IP电子欺骗的实施电子欺骗的实施1 1关于信任关系关于信任关系 几乎所有的欺骗都是

24、基于某些计算机之间的几乎所有的欺骗都是基于某些计算机之间的相互信任的，黑客可以通过很多命令、端口扫相互信任的，黑客可以通过很多命令、端口扫描技术与监听技术来确定计算机之间的信任关描技术与监听技术来确定计算机之间的信任关系。系。342. IP2. IP欺骗技术攻击方式欺骗技术攻击方式（1）通过假冒为计算机B来欺骗计算机A和C;（2）通过假冒为计算机A或C来欺骗计算机B为了假冒C去欺骗B，首先是攻击原来的C，使得C瘫痪。 35v3攻击的几个过程攻击的几个过程v（1）使计算机）使计算机C的网络部分不能正常工作的网络部分不能正常工作v（2）找到计算机）找到计算机B发出的包的系列号发出的包的系列号v（3

25、）实施攻击）实施攻击v（4）建立一个更好的后门）建立一个更好的后门36 正常的三次握手37黑客假冒计算机黑客假冒计算机1需要猜出服务器的序列号需要猜出服务器的序列号38v4. IP电子欺骗出现的频率电子欺骗出现的频率 较少，技术要求较高，需要准确猜出序列号较少，技术要求较高，需要准确猜出序列号,还还需要知道某网络内部计算机之间的信任关系。需要知道某网络内部计算机之间的信任关系。 一些专用的算法，技术得到应用，并产生了一些一些专用的算法，技术得到应用，并产生了一些专用的专用的c程序，如程序，如SEQ-scan,yaas等。当黑客得等。当黑客得到这些到这些c程序时，程序时， 一切问题都将迎刃而解一

26、切问题都将迎刃而解 3966.33.4 IP4 IP电子欺骗的防范电子欺骗的防范 对于来自网络外部的欺骗来说，只要在路由器对于来自网络外部的欺骗来说，只要在路由器里面设置不允许声称来自内部网络的外部计算机的里面设置不允许声称来自内部网络的外部计算机的包通过就行了。包通过就行了。 当实施欺骗的主机在同一网络内时，攻击往往当实施欺骗的主机在同一网络内时，攻击往往容易得手，并且不容易防范。容易得手，并且不容易防范。406.4 6.4 拒绝服务攻击拒绝服务攻击66.44.1 1 概述概述 拒绝服务是一种简单的破坏性攻击，攻击者使拒绝服务是一种简单的破坏性攻击，攻击者使得攻击目标失去工作能力，使得系统不

27、可访问因而得攻击目标失去工作能力，使得系统不可访问因而合法用户不能及时得到应得的服务或系统资源，它合法用户不能及时得到应得的服务或系统资源，它最本质的特征是延长正常的应用服务的等待时间。最本质的特征是延长正常的应用服务的等待时间。 41v主要表现为以下几个方面：主要表现为以下几个方面：（1）企图湮灭一个网络，中断正常的网络流量；）企图湮灭一个网络，中断正常的网络流量；（2）企图破坏两个机器之间的连接，禁止访问可用）企图破坏两个机器之间的连接，禁止访问可用服务；服务；（3）企图阻止某一特定用户对网络上服务的访问；）企图阻止某一特定用户对网络上服务的访问；（4）企图破坏一个特定系统或使其不能提供正

28、常访）企图破坏一个特定系统或使其不能提供正常访问。问。42 可见拒绝服务的目的不在于闯入一个站可见拒绝服务的目的不在于闯入一个站点或更改其数据，而在于使站点无法服务于点或更改其数据，而在于使站点无法服务于合法的请求。入侵者并不单纯为了进行拒绝合法的请求。入侵者并不单纯为了进行拒绝服务而入侵，往往是为了完成其他的入侵而服务而入侵，往往是为了完成其他的入侵而必须做准备。必须做准备。 4366.44.2 2 拒绝服务攻击的原理拒绝服务攻击的原理1 1拒绝服务模式拒绝服务模式（11）资源消耗型）资源消耗型（22）配置修改型）配置修改型（33）物理破坏型）物理破坏型（44）服务利用型）服务利用型 442

29、 2拒绝服务常用方法拒绝服务常用方法（11）死亡之）死亡之PingPing 原理原理：pingping入侵是通过向目标端口发送大量超大尺寸的入侵是通过向目标端口发送大量超大尺寸的ICMPICMP包来实现的。包来实现的。 命令：命令：ping ping l 65535 l 65535 IP 防御防御：主要针对：主要针对Windows Windows 95 5, Unix Unix, Linux Linux，SolarisSolaris等大等大多数操作系统都具有抵抗能力多数操作系统都具有抵抗能力（22）Teardrop eardrop 原理：原理：分片分片IPIP分组中指定一个非法偏移值，可能造成

30、某些协分组中指定一个非法偏移值，可能造成某些协议软件出现缓冲区溢出漏洞，导致系统崩溃议软件出现缓冲区溢出漏洞，导致系统崩溃 防御防御：windowswindows应打上最新的应打上最新的Service pack;Service pack;在网络边界上在网络边界上禁止碎片包通过，或者用禁止碎片包通过，或者用IptablesIptables限定每秒通过的碎片包数限定每秒通过的碎片包数目目45（3）Land：原理原理：发送源和目的地址一样的分组：发送源和目的地址一样的分组防御防御：打最新的补丁，防火墙进行配置，过滤掉外口上收到的：打最新的补丁，防火墙进行配置，过滤掉外口上收到的含有源地址是内部地址的

31、数据包含有源地址是内部地址的数据包（4）Smurf 原理原理：综合利用：综合利用IP Spoof和和ICMP 回复方法，将目标主机的地回复方法，将目标主机的地址作为源地址发送址作为源地址发送ICMP广播报文，导致整个网络的所有计广播报文，导致整个网络的所有计算机回复算机回复ICMP给目标主机给目标主机防御防御：阻塞：阻塞Smurf的源头、中间站点、防止入侵目标站点的源头、中间站点、防止入侵目标站点（5）Ping Flood 原理原理：伪装目标主机：伪装目标主机1的的IP发送大量发送大量ICMP echo报文给目标主机报文给目标主机2，使得目标主机，使得目标主机2发出大量发出大量reply报文给

32、目标主机报文给目标主机1防御防御：进行包过滤，关闭：进行包过滤，关闭ICMP echo reply46（6）SYN Flood 源代码分析源代码分析 原理原理：发送大量：发送大量TCP SYN报文给目标主机，目标主机维护大量报文给目标主机，目标主机维护大量的半连接的半连接防御防御：缩短：缩短Syn timeout时间；设置时间；设置Syn Cookie,但是对变源但是对变源Syn-flood攻击无效攻击无效,可以借助可以借助IDS产品。产品。（7）UDP Flood 原理：向目标主机的UDP端口发送大量占用带宽的垃圾数据 防御：防火墙通过避免数据报文的回应来减少服务器的负荷。可以借助IDS产品

33、。476.4.3 分布式拒绝服务攻击及其防范1 1分布式拒绝服务概述分布式拒绝服务概述 分布式拒绝服务（分布式拒绝服务（Distributed Denial Distributed Denial of Serviceof Service，DDoSDDoS）使用与普通）使用与普通DoSDoS相同的相同的方法，但是发起入侵的源是多个，其目的是方法，但是发起入侵的源是多个，其目的是攻陷因特网上的多个计算机系统。攻陷因特网上的多个计算机系统。48v2 2被被DDoSDDoS入侵时的现象入侵时的现象v（1 1）被入侵主机上有大量等待的）被入侵主机上有大量等待的TCPTCP连接；连接；v（2 2）网络中充

34、斥着大量无用的数据包，源地）网络中充斥着大量无用的数据包，源地址为假；址为假；v（3 3）高流量无用数据造成网络拥塞，受害主）高流量无用数据造成网络拥塞，受害主机无法正常和外界通信；机无法正常和外界通信；v（4 4）由于提供的服务或传输协议上的缺陷，）由于提供的服务或传输协议上的缺陷，受害主机反复接收高速发出的特定服务请求，受害主机反复接收高速发出的特定服务请求，以至于无法及时处理所有正常请求；以至于无法及时处理所有正常请求；v（5 5）严重时会系统死机。）严重时会系统死机。49v3 3DDoSDDoS的体系结构的体系结构v三层客户三层客户/ /服务器结构，最下层是执行服务器结构，最下层是执行

35、者，这一层由许多网络主机构成。者，这一层由许多网络主机构成。攻击服务器50 有许多无关主机可供支配是入侵的前提。黑有许多无关主机可供支配是入侵的前提。黑客所做的第二步是客所做的第二步是在所侵入的主机上安装入侵软在所侵入的主机上安装入侵软件件。这样，入侵软件包括。这样，入侵软件包括入侵服务器入侵服务器和和入侵执行入侵执行器器。设置入侵服务器的目的是隔离网络联系，保。设置入侵服务器的目的是隔离网络联系，保护入侵者。执行器都是一些相对简单的程序，它护入侵者。执行器都是一些相对简单的程序，它们可以连续向目标发出大量的连接请求而不做任们可以连续向目标发出大量的连接请求而不做任何回答。黑客所做的最后一步，

36、就是何回答。黑客所做的最后一步，就是从攻击控制从攻击控制台向各个攻击服务器发出对特定目标的命令台向各个攻击服务器发出对特定目标的命令。 4 4DDoSDDoS工作原理分析工作原理分析515 5DDoSDDoS的防范的防范（1 1）企业网管理人员）企业网管理人员主机上的设置主机上的设置 关闭不必要的服务关闭不必要的服务 限制同时打开的限制同时打开的Syn半连接数目半连接数目 缩短缩短Syn半连接的半连接的time out 时间时间 及时更新系统补丁及时更新系统补丁网络设备上的设置网络设备上的设置 52 防火墙可以进行如下方面的设置：防火墙可以进行如下方面的设置： 禁止对主机的非开放服务的访问；禁

37、止对主机的非开放服务的访问； 限制同时打开的限制同时打开的SYNSYN最大连接数；最大连接数； 限制特定限制特定IPIP地址的访问；地址的访问； 启用防火墙的防启用防火墙的防DDoSDDoS的属性；的属性； 严格限制对外开放的服务器的向外访问。严格限制对外开放的服务器的向外访问。53 路由器路由器以以CiscoCisco路由器为例：路由器为例： 使用使用Cisco Express ForwardingCisco Express Forwarding（CEFCEF）；）； 使用使用Unicast reverse-pathUnicast reverse-path； 访问控制列表（访问控制列表（AC

38、LACL）过滤；）过滤； 设置设置SYNSYN数据包流量速率；数据包流量速率； 升级版本过低的升级版本过低的ISOISO； 为路由器建立为路由器建立log serverlog server。 路由器是网络的核心设备，进行设置修改时可路由器是网络的核心设备，进行设置修改时可以先不保存。可以让这个配置运行一段时间，觉得以先不保存。可以让这个配置运行一段时间，觉得可行后再保存配置到可行后再保存配置到startup configstartup config 54v（2 2）ISP/ICPISP/ICP管理员管理员v（3 3）骨干网络运营商）骨干网络运营商556.5 6.5 特洛伊木马特洛伊木马 特洛伊

39、木马程序并不是一种病毒，因为它不具特洛伊木马程序并不是一种病毒，因为它不具有病毒的可传染性、自我复制能力等特性，但是特有病毒的可传染性、自我复制能力等特性，但是特洛伊木马程序具有很大的破坏力和危害性。洛伊木马程序具有很大的破坏力和危害性。66.5 5.1 1 特洛伊木马程序简介特洛伊木马程序简介 特洛伊木马程序是指任何提供了隐藏的与用户特洛伊木马程序是指任何提供了隐藏的与用户不希望的功能的程序。不希望的功能的程序。 5666.5 5.2 2 特洛伊木马程序的位置和危险级别特洛伊木马程序的位置和危险级别 特洛伊木马程序代表了特洛伊木马程序代表了种很高级别的威胁危种很高级别的威胁危险，主要是有以下

40、几个原因。险，主要是有以下几个原因。（1 1）特洛伊木马程序很难被发现。）特洛伊木马程序很难被发现。（2 2）在许多情况下，特洛伊木马程序是在二进制）在许多情况下，特洛伊木马程序是在二进制代码中发现的，它们大多以无法阅读的形式存在。代码中发现的，它们大多以无法阅读的形式存在。（3 3）特洛伊木马程序可以作用于许多机器中。）特洛伊木马程序可以作用于许多机器中。5766.5 5.3 3 特洛伊木马的类型特洛伊木马的类型1 1远程访问型特洛伊木马远程访问型特洛伊木马2 2密码发送型特洛伊木马密码发送型特洛伊木马3 3键盘记录型特洛伊木马键盘记录型特洛伊木马4 4毁坏型特洛伊木马毁坏型特洛伊木马5 5

41、FTPFTP型特洛伊木马型特洛伊木马5866.5 5.4 4 特洛伊木马的检测特洛伊木马的检测 若要检测在文件或操作系统中特洛伊木马程序若要检测在文件或操作系统中特洛伊木马程序是否存在，首先用户必须对所用的操作系统有比较是否存在，首先用户必须对所用的操作系统有比较深入的认识，此外还应对加密知识和一些加密算法深入的认识，此外还应对加密知识和一些加密算法有一定的了解。有一定的了解。1 1检测的基本方法检测的基本方法文件完整性检查器，检查文件的大小变化文件完整性检查器，检查文件的大小变化2 2检测工具检测工具MD5MD5 5966.5 5.5 5 特洛伊木马的防范特洛伊木马的防范 1 1特洛伊木马的

42、基本工作原理特洛伊木马的基本工作原理 特洛伊木马程序一般存在于注册表、特洛伊木马程序一般存在于注册表、win.iniwin.ini文件或文件或system.inisystem.ini文件中，因为系统文件中，因为系统启动的时候需要装载这启动的时候需要装载这3 3个文件。个文件。60 下面从几个方面具体说明特洛伊木马程序是怎下面从几个方面具体说明特洛伊木马程序是怎样自动加载的。样自动加载的。 在在win.iniwin.ini文件中的文件中的WINDOWSWINDOWS下面，下面，“run=”run=”和和“load=”load=”是可能加载特洛伊木马程序的途径。是可能加载特洛伊木马程序的途径。 在

43、在system.inisystem.ini文件中，文件中， “shell=explorer.exeshell=explorer.exe程序名程序名”，那么后面跟着的，那么后面跟着的那个程序就是特洛伊木马程序。那个程序就是特洛伊木马程序。 612 2清除特洛伊木马的一般方法清除特洛伊木马的一般方法 如果发现有特洛伊木马存在，首要的一点是立即如果发现有特洛伊木马存在，首要的一点是立即将计算机与网络断开，将计算机与网络断开， 首先编辑首先编辑win.iniwin.ini文件，接文件，接下来编辑下来编辑system.inisystem.ini文件，对注册表进行编辑。文件，对注册表进行编辑。62v在对付

44、特洛伊木马程序方面，综合起来，有在对付特洛伊木马程序方面，综合起来，有以下几种办法和措施。以下几种办法和措施。v（1）提高防范意识。）提高防范意识。v（2）多读）多读readme.txt文件。文件。v（3）使用杀毒软件。）使用杀毒软件。v（4）立即挂断。）立即挂断。 v（5）观察目录。）观察目录。v（6）在删除特洛伊木马之前，最重要的一项）在删除特洛伊木马之前，最重要的一项工作是备份文件和注册表。工作是备份文件和注册表。636.6 E-mail 6.6 E-mail 炸炸 弹弹66.66.1 E1 E-mailmail炸弹的原理炸弹的原理 E-mail炸弹是一种在网络上的恶意入侵行为，炸弹是一

45、种在网络上的恶意入侵行为，在短时间内连续寄发大量邮件给同一收件人，使得在短时间内连续寄发大量邮件给同一收件人，使得收件人的信箱容量不堪负荷而无法收发邮件。邮件收件人的信箱容量不堪负荷而无法收发邮件。邮件炸弹与所谓的垃圾邮件（炸弹与所谓的垃圾邮件（Spam mailSpam mail）不同，垃圾）不同，垃圾邮件是将同一封邮件一次寄给多个收件人，并不会邮件是将同一封邮件一次寄给多个收件人，并不会对收件人的信箱造成伤害。对收件人的信箱造成伤害。6466.66.2 2 邮件炸弹的防范邮件炸弹的防范为了有效地防范邮件炸弹的入侵，用户在平时应该为了有效地防范邮件炸弹的入侵，用户在平时应该注意以下几点。注意

46、以下几点。（1）不要将自己的邮箱地址到处传播，特别是申）不要将自己的邮箱地址到处传播，特别是申请上网账号时请上网账号时ISP送的电子信箱，那是按字节收费送的电子信箱，那是按字节收费的。的。（2）最好用）最好用pop3收信，可以用收信，可以用Outlook或或Foxmail等收信工具收取等收信工具收取E-mail。（3）当有人不停地轰炸信箱时，可以先打开一封）当有人不停地轰炸信箱时，可以先打开一封信，看清对方地址，然后在收件工具的过滤器中选信，看清对方地址，然后在收件工具的过滤器中选择不再接收这个地址的信，直接从服务器删除。择不再接收这个地址的信，直接从服务器删除。65（4）在收信时，一旦看见邮

47、件列表的数量超）在收信时，一旦看见邮件列表的数量超过平时正常邮件数量的很多倍，应当马上停过平时正常邮件数量的很多倍，应当马上停止下载邮件，然后再从服务器删除炸弹邮件。止下载邮件，然后再从服务器删除炸弹邮件。（5）不要认为邮件发送有回复功能，就可以）不要认为邮件发送有回复功能，就可以报复发炸弹的人，发件人有可能是用的假地报复发炸弹的人，发件人有可能是用的假地址发信，这个地址也许填得和收件人地址相址发信，这个地址也许填得和收件人地址相同。同。（6）可以用一些工具软件来防止邮件炸弹，）可以用一些工具软件来防止邮件炸弹，下面介绍常见的防范邮件炸弹工具软件。下面介绍常见的防范邮件炸弹工具软件。66v B

48、ombSquadBombSquadv E-mail Chomper E-mail Chomperv Spammer slammer Spammer slammerv Bounce Spam Mail Bounce Spam Mailv Spam Hater Spam Hater676.7 6.7 缓冲区溢出缓冲区溢出 66.77.1 1 缓冲区溢出简介缓冲区溢出简介 缓冲区溢出的攻击之所以危险是因为它可以获缓冲区溢出的攻击之所以危险是因为它可以获得系统的最高控制权，此外它还很难被检测出来。得系统的最高控制权，此外它还很难被检测出来。缓冲区溢出的攻击指的是一种系统攻击的手段，通缓冲区溢出的攻击指

49、的是一种系统攻击的手段，通过在程序的缓冲区写超出其长度的内容，造成缓冲过在程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。其他指令，以达到攻击的目的。造成缓冲区溢出的原因是在程序中没有仔细检查用造成缓冲区溢出的原因是在程序中没有仔细检查用户输入的参数，所以说缓冲区溢出的缺陷属于输入户输入的参数，所以说缓冲区溢出的缺陷属于输入确认错误。确认错误。68缓冲区溢出攻击缓冲区溢出攻击vvoid function(char * szPara1)vvchar buff16;vstrcpy(buff,

50、 szPara1);vv程序中利用strcpy函数将szPara1中的内容拷贝到buff中，只要szPara1的长度大于16，就会造成缓冲区溢出。存在strcpy函数这样问题的C语言函数还有：strcat()、gets()、scanf()等。69v66.77.2 2 制造缓冲区溢出制造缓冲区溢出图图6.3 一个程序在内存中的存放一个程序在内存中的存放70制造缓冲区溢出制造缓冲区溢出v一个程序在内存中通常分为程序段、数据段和堆栈三个部分。程序段里为程序的机器码和只读数据，这个段通常是只读代码。静态变量分配在数据段中，动态变量分配在堆栈段中v当C程序调用函数的时候，首先将参数压入堆栈，然后保存指令