入侵方法与手段课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《入侵方法与手段课件.pptx》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 方法 手段 课件
- 资源描述:
-
1、0入侵检测技术分析1入侵检测技术分析入侵检测技术分析 第二章第二章入侵方法与手段入侵方法与手段2第第 二章二章 入侵方法与手段入侵方法与手段n 网络入侵概述网络入侵概述n 网络入侵的各种手段网络入侵的各种手段32.1 网络入侵概述网络入侵概述n 网络入侵在流程上具有一定的规律可寻。了解网网络入侵在流程上具有一定的规律可寻。了解网络入侵者的思路和入侵手段是防范网络入侵的第络入侵者的思路和入侵手段是防范网络入侵的第一步。一步。n 网络入侵的定义:网络入侵的定义:l 使用一定技巧来获得非法或未授权的网络或文件使用一定技巧来获得非法或未授权的网络或文件访问,入侵进入内部网的行为。访问,入侵进入内部网的
2、行为。n TCP/IP是早期为科学研究而设计的,在设计之初是早期为科学研究而设计的,在设计之初没有考虑网络信任和信息安全因素,早期的操作没有考虑网络信任和信息安全因素,早期的操作系统也注重于功能而忽略了安全问题,这些因素系统也注重于功能而忽略了安全问题,这些因素都成为了网络入侵者滋生的土壤,都成为了网络入侵者滋生的土壤,42.1 网络入侵概述网络入侵概述n 网络入侵的一般流程:网络入侵的一般流程: 确定目标确定目标 信息收集信息收集 漏洞挖掘漏洞挖掘 攻击网络攻击网络 攻击系统攻击系统 留下后门留下后门 清除日志清除日志 结束攻击结束攻击5主要入侵攻击方法主要入侵攻击方法网络信 息 丢 失、
3、篡 改 、销毁内部、外部泄密拒绝服务攻击逻辑炸弹黑客攻击计算机病毒后门、隐蔽通道蠕虫特洛伊木马62.1 网络入侵概述网络入侵概述n 典型网络入侵方法分析典型网络入侵方法分析l 主机渗透方法简析主机渗透方法简析口令破解口令破解 漏洞攻击漏洞攻击 特洛伊木马攻击特洛伊木马攻击l网络攻击方法简析网络攻击方法简析拒绝服务攻击拒绝服务攻击 IP地址欺骗地址欺骗 网络监听网络监听l 其它攻击方法其它攻击方法 病毒攻击病毒攻击 社会工程攻击等社会工程攻击等继续7口令破解口令破解n 口令是主机安全的第一道防线口令是主机安全的第一道防线.n 猜测口令也是网络入侵者渗透主机系统行之有猜测口令也是网络入侵者渗透主机
4、系统行之有效的方法效的方法.n 口令的安全与多种因素有关口令的安全与多种因素有关:口令的强度、口令口令的强度、口令文件的安全、口令的存储格式等。文件的安全、口令的存储格式等。n 弱口令是口令安全的致命弱点弱口令是口令安全的致命弱点n 增强口令的强度、保护口令存储文件、服务器增强口令的强度、保护口令存储文件、服务器合理利用口令管理工具是对付口令破解的必要合理利用口令管理工具是对付口令破解的必要措施。措施。8漏洞攻击漏洞攻击n 目前发现的网络设备和操作系统的漏洞多达上目前发现的网络设备和操作系统的漏洞多达上万种。万种。n 在操作系统渗透攻击中被网络入侵者利用的最在操作系统渗透攻击中被网络入侵者利用
5、的最多的一种漏洞是缓冲溢出漏洞。多的一种漏洞是缓冲溢出漏洞。n 此外,利用漏洞的攻击还有此外,利用漏洞的攻击还有Unicode编码漏洞、编码漏洞、SQL Injection漏洞等。漏洞等。n 漏洞大多数是由于开发者的疏忽而造成的。漏洞大多数是由于开发者的疏忽而造成的。9n特洛伊木马特洛伊木马n在古希腊人同特洛伊人的战争期间,希腊人佯装撤退并留下一只内部藏有战士的巨大木马,特洛伊人大意中计,将木马拖入特洛伊城。夜晚木马中的希腊战士出来与城外的战士里应外合,攻破了特洛伊城,特洛伊木马的名称也就由此而来。在计算机领域里,有一种特殊的程序,黑客通过它来远程控制别人的计算机,我们把这类程序称为特洛伊木马
6、程序(Trojans)。特洛伊木马攻击特洛伊木马攻击10n特洛伊木马的概念特洛伊木马的概念n从严格的定义来讲,凡是非法驻留在目标计算机里,在从严格的定义来讲,凡是非法驻留在目标计算机里,在目标计算机系统启动的时候自动运行,并在目标计算机目标计算机系统启动的时候自动运行,并在目标计算机上执行一些事先约定的操作,比如窃取口令等,这类程上执行一些事先约定的操作,比如窃取口令等,这类程序都可以称为特洛伊木马程序。序都可以称为特洛伊木马程序。n一些特洛依木马程序,一旦成功侵人对方计算机就可以一些特洛依木马程序,一旦成功侵人对方计算机就可以拥有极高的权限,可以完成复制、更改、建立和删除客拥有极高的权限,可
7、以完成复制、更改、建立和删除客户机端的任何文件和目录,可以查获启动密码、用户密户机端的任何文件和目录,可以查获启动密码、用户密码、屏保密码,还可以对用户操作键盘进行记录,这意码、屏保密码,还可以对用户操作键盘进行记录,这意味着你的一举一动都在对方监视下,一切密码和口令对味着你的一举一动都在对方监视下,一切密码和口令对他来说都无任何意义了,对方可随意访问你的计算机系他来说都无任何意义了,对方可随意访问你的计算机系统。统。11n特洛伊木马程序一般分为服务器端(Server)和客户端(Client)。n服务器端是攻击者传到机器上的部分,用来在目标机上监听等待客户端连接过来。n客户端是用来控制目标机器
8、的部分,放在攻击者的机器上。n特洛伊木马程序能巧妙地运行在目标计算机系统里,而不容易被发现。现在有许多这类程序,如早期的 Back orifice、 NetBus和最近出现的 sub7等,国内的此类软件有Netspy、YAI、冰河等。12特洛伊木马攻击特洛伊木马攻击n 特洛伊木马技术是远程控制技术的一个实现,特洛伊木马技术是远程控制技术的一个实现,而特洛伊木马和商业远程管理工具相比具有以而特洛伊木马和商业远程管理工具相比具有以下几个特点:下几个特点:l 在未经授权情况下渗透远端主机在未经授权情况下渗透远端主机l 被控制端的应用程序非常短小,便于上传被控制端的应用程序非常短小,便于上传l 被控制
9、端的应用程序在运行时不会弹出任何提被控制端的应用程序在运行时不会弹出任何提示和界面示和界面l 被控制端的应用程序一般具有自我保护功能,被控制端的应用程序一般具有自我保护功能,因此难以查杀因此难以查杀n新型的特洛伊木马已经开始与蠕虫、病毒技术新型的特洛伊木马已经开始与蠕虫、病毒技术相结合相结合13n特洛伊木马程序和远程控制程序、病毒等其他特洛伊木马程序和远程控制程序、病毒等其他攻击性程序相比既有相似之处,又有其它的特攻击性程序相比既有相似之处,又有其它的特点。特洛伊木马程序具有隐蔽性强、功能特殊点。特洛伊木马程序具有隐蔽性强、功能特殊等特点。等特点。n首先,木马程序更具有隐蔽性。它和远程控制首先
10、,木马程序更具有隐蔽性。它和远程控制软件是有区别的,木马总是想方设法地隐藏自软件是有区别的,木马总是想方设法地隐藏自己,而远程控制软件则是正常地运行。例如国己,而远程控制软件则是正常地运行。例如国内的血蜘蛛,国外的内的血蜘蛛,国外的Pc Anywnere等程序都是远等程序都是远程控制软件。血蜘蛛等服务器端程序在目标机程控制软件。血蜘蛛等服务器端程序在目标机器上运行时都会出现很醒目的标志。而木马类器上运行时都会出现很醒目的标志。而木马类软件的服务器端在运行时会应用各种手段隐藏软件的服务器端在运行时会应用各种手段隐藏自己,如有些把服务器端和正常程序绑定成一自己,如有些把服务器端和正常程序绑定成一个
11、程序个程序 14n 另外,通常木马程序的功能都是十分特殊的,另外,通常木马程序的功能都是十分特殊的,除了普通的文件操作外,有些木马程序还能够除了普通的文件操作外,有些木马程序还能够搜索搜索cache中的口令、设置口令、扫描中的口令、设置口令、扫描IP地址并地址并发现入侵的机器、记录键盘操作、远程注册表发现入侵的机器、记录键盘操作、远程注册表操作,以及颠倒屏幕、锁定鼠标等。操作,以及颠倒屏幕、锁定鼠标等。n 这里谈的只是很大一部分的木马工具,还有这里谈的只是很大一部分的木马工具,还有些水马工具的功能比较些水马工具的功能比较“专专”,而工作的方式,而工作的方式也不是客户机、服务器的方式,例如也不是
12、客户机、服务器的方式,例如 passwu sender(中译名:口令邮差)的功能就是潜伏(中译名:口令邮差)的功能就是潜伏在目标机器里,搜集各种口令的信息,在目标在目标机器里,搜集各种口令的信息,在目标上网的时候,秘密发送到指定的邮箱。上网的时候,秘密发送到指定的邮箱。15n未来木马的发展方向n 特洛伊木马程序发展到今天,已经相当完善了,可以预测,在今后相当长的时间它还会继续其发展的脚步,使其攻击性和破坏性更加强大。从现在的形势来看,木马程序未来会向以下方向发展:n 1木马会和病毒结合,使自身具有更强的感染模式。传统的修改ini文件和注册表的手法已经不能适应更加隐秘的需要。目前,很多水马的感染
13、方式已经开始在转变,像前一阶段的YAI事件,就给了我们很多的启发,它会像病毒一样的感染Windows下的文件。n 2跨平台性会更强。木马的使用者当然认为一个木马既可以在Windows 9598下使用,也可以在 WinNT、 Windows 2000下使用会更好。在9598下比较容易,但WinNT,Wndows 2000都具有权限的保护,在它们下面使用木马需要更高的手段,如控制进程等。16n 3模块化设计思想更为明显。模块化设计是模块化设计思想更为明显。模块化设计是一种潮流,一种潮流,Winamp就是模块化设计的典范,现就是模块化设计的典范,现在的木马也有了模块化设计的程序,像在的木马也有了模块
14、化设计的程序,像BO、Netbus、Sub7等经典木马都有一些优秀的插件等经典木马都有一些优秀的插件纷纷问世,这就是一个很好的说明。纷纷问世,这就是一个很好的说明。n 4即时通知特性。木马是否已经装入?目标即时通知特性。木马是否已经装入?目标在哪里?如果被攻击对象使用固定的地址,那在哪里?如果被攻击对象使用固定的地址,那就比较简单;如果目标使用的是动态就比较简单;如果目标使用的是动态IP地址怎地址怎么办?用扫描的方法慢了,现在的木马已经有么办?用扫描的方法慢了,现在的木马已经有了即时通知的功能,如了即时通知的功能,如IRC、ICQ通知等,但还通知等,但还是太少了,也许说不定某天木马程序的即时通
15、是太少了,也许说不定某天木马程序的即时通知功能变成了一个专门的软件也说不定。知功能变成了一个专门的软件也说不定。n5更强更多的功能。每个人都不是容易满足的,更强更多的功能。每个人都不是容易满足的,每当出现强大功能的时候,我们都会期望还有每当出现强大功能的时候,我们都会期望还有更强大的功能出现,以后的木马的功能会如何更强大的功能出现,以后的木马的功能会如何呢?究竟木马会发展到什么样的功能,谁也没呢?究竟木马会发展到什么样的功能,谁也没法预测,但肯定会让大家大吃一惊。法预测,但肯定会让大家大吃一惊。 17木马分类n1远程访问型远程访问型n 这是现在使用最广泛的特洛伊木马这类木马可以远这是现在使用最
16、广泛的特洛伊木马这类木马可以远程访问被攻击者的硬盘。例如程访问被攻击者的硬盘。例如RATS(一种远程访问木(一种远程访问木马),它使用起来非常简单。只需运行服务端程序并且马),它使用起来非常简单。只需运行服务端程序并且得到受害人的得到受害人的IP,就可以访问到他的电脑,几乎在目标,就可以访问到他的电脑,几乎在目标机器上干任何事。远程访问型特洛伊木马会在目标机上机器上干任何事。远程访问型特洛伊木马会在目标机上打开一个端口。一些特洛伊木马还可以可以改变端口的打开一个端口。一些特洛伊木马还可以可以改变端口的选项并且可以设置连接密码,为的是只能让攻击者来控选项并且可以设置连接密码,为的是只能让攻击者来
17、控制特洛伊木马。改变端口的选项非常必要的,因为一些制特洛伊木马。改变端口的选项非常必要的,因为一些常见木马的监听端口已经为广大用户所熟知了。远程访常见木马的监听端口已经为广大用户所熟知了。远程访问型特洛伊木马每天都在出现,而且会继续出现。问型特洛伊木马每天都在出现,而且会继续出现。n2密码发送型密码发送型n这种特洛伊木马的目的是找到所有的隐藏密码并且在受这种特洛伊木马的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们发到指定的信箱。这类特洛害者不知道的情况下把它们发到指定的信箱。这类特洛伊木马大多数会在每次伊木马大多数会在每次Windows重启时重新运行,而且重启时重新运行,而且它们会
18、使用它们会使用25号端口发送号端口发送EMail。如果目标机有隐藏密。如果目标机有隐藏密码,这些特洛伊木马是非常危险的。码,这些特洛伊木马是非常危险的。18n3.键盘记录型键盘记录型n这种特洛伊木马非常简单。它们只作一种事情,就是记这种特洛伊木马非常简单。它们只作一种事情,就是记录受害者的键盘输入并且在录受害者的键盘输入并且在log文件中查找密码。据笔文件中查找密码。据笔者经验,这种特洛伊木马随着者经验,这种特洛伊木马随着Windows的启动而运行。的启动而运行。它们有像在线和离线记录这样的选项。在在线选项中,它们有像在线和离线记录这样的选项。在在线选项中,它们知道受害者在线并且记录每一件事。
19、但在离线记录它们知道受害者在线并且记录每一件事。但在离线记录时,每一件事在时,每一件事在Windows启动后才被记录,并且保存在启动后才被记录,并且保存在受害者的磁盘上等待被移动。受害者的磁盘上等待被移动。n4毁坏型毁坏型n这种特洛伊木马的唯一功能是毁坏并且删除文件。它们这种特洛伊木马的唯一功能是毁坏并且删除文件。它们非常简单,很容易使用。它能自动删除目标机的所有后非常简单,很容易使用。它能自动删除目标机的所有后缀名为缀名为dll和和exe的文件,所以非常危险,一旦被感染就的文件,所以非常危险,一旦被感染就会严重威胁到电脑的安全。会严重威胁到电脑的安全。n5.FTP型型n这类特洛伊木马程序打开
20、目标的这类特洛伊木马程序打开目标的21号端口,使黑客可以号端口,使黑客可以用一个用一个FTP客户端并且不用密码就连接到目标机,并拥客户端并且不用密码就连接到目标机,并拥有完全的上传和下载的权限。有完全的上传和下载的权限。19拒绝服务攻击拒绝服务攻击n 拒绝服务攻击通过消耗目标主机或者网络的资拒绝服务攻击通过消耗目标主机或者网络的资源,使得目标主机无法为合法用户提供正常网源,使得目标主机无法为合法用户提供正常网络服务。络服务。n 分布式拒绝服务攻击则是利用多台计算机对单分布式拒绝服务攻击则是利用多台计算机对单个或者多个目标同时发起拒绝服务攻击个或者多个目标同时发起拒绝服务攻击n 目前分布式拒绝服
21、务攻击方式已经成为一个非目前分布式拒绝服务攻击方式已经成为一个非常严峻的公共安全问题,成为网络攻击中最难常严峻的公共安全问题,成为网络攻击中最难应付的攻击方式之一。应付的攻击方式之一。n 目前有了一些防御方法,如目前有了一些防御方法,如SynCookie、HIP(History-based IP filtering)、ACC控制等控制等20IP欺骗欺骗n IP欺骗包括序列号欺骗、路由攻击、源地址欺欺骗包括序列号欺骗、路由攻击、源地址欺骗、授权欺骗等骗、授权欺骗等n 像像rlogin、rcall、rsh等命令以等命令以IP地址为基础的验地址为基础的验证。可以通过对证。可以通过对IP堆栈进行修改,
22、放入任意满堆栈进行修改,放入任意满足要求的足要求的IP地址,达到欺骗的目的。地址,达到欺骗的目的。21网络监听网络监听n 网络监听工具可以提供给管理员,以监测网络网络监听工具可以提供给管理员,以监测网络的状态、数据流情况及网上传输的信息的状态、数据流情况及网上传输的信息n 网络监听工具也是入侵者们常用的工具网络监听工具也是入侵者们常用的工具n 网络监听可以在网络上的任何位置实施,如局网络监听可以在网络上的任何位置实施,如局域网中的一台主机、网关或者交换机等。域网中的一台主机、网关或者交换机等。n 网络管理员一般选择在网关、路由器和防火墙网络管理员一般选择在网关、路由器和防火墙上进行网络监听,这
23、是监听效果最好的地方上进行网络监听,这是监听效果最好的地方n 最方便部署网络监听的位置是局域网中的主机,最方便部署网络监听的位置是局域网中的主机,这是大多数网络入侵者采用的方式。这是大多数网络入侵者采用的方式。22病毒攻击病毒攻击n 随着蠕虫病毒的泛滥以及蠕虫、计算机病毒、随着蠕虫病毒的泛滥以及蠕虫、计算机病毒、木马和黑客攻击程序的结合,病毒攻击成为了木马和黑客攻击程序的结合,病毒攻击成为了因特网发展以来面临的最大挑战之一因特网发展以来面临的最大挑战之一23社会工程攻击社会工程攻击n 社会工程攻击是利用社会工程学实施攻击的一社会工程攻击是利用社会工程学实施攻击的一种总称种总称n 社会工程攻击是
24、一个陷阱,入侵者通常以交谈、社会工程攻击是一个陷阱,入侵者通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。用户系统的秘密。n 为了对付此类攻击,必须增强员工和用网人员为了对付此类攻击,必须增强员工和用网人员的安全意识,加强组织和管理措施。的安全意识,加强组织和管理措施。24社会工程学攻击社会工程学攻击 n社交工程是使用计谋和假情报去获得密码和其他敏感信社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找
25、更加精的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。妙的方法从他们希望渗透的组织那里获得信息。n举个例子:一组高中学生曾经想要进入一个当地的公司举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格单的调查是他们社会研究工作的
展开阅读全文