黑客原理与防范措施课件.ppt

1、第第6章章黑客原理与防范措施黑客原理与防范措施6.1计算机网络系统的缺陷与漏洞计算机网络系统的缺陷与漏洞6.2网络监听网络监听6.3端口扫描端口扫描6.4口令破解口令破解6.5特洛伊木马特洛伊木马6.6缓冲区溢出及其攻击缓冲区溢出及其攻击6.7黑客攻击的一般步骤及防范措施黑客攻击的一般步骤及防范措施6.8入侵入侵Windows NT的实例的实例6.9远程入侵远程入侵Windows 20006.10本章小结本章小结练习题练习题 在计算机网络安全领域里，现在已有越来越多的非在计算机网络安全领域里，现在已有越来越多的非法用户或敌对势力利用各种手段攻击计算机网络，法用户或敌对势力利用各种手段攻击计算机

2、网络，计算机网络数据在存储和传输过程中可能被窃听、计算机网络数据在存储和传输过程中可能被窃听、暴露或篡改，以及网络系统和应用软件也可能遭受暴露或篡改，以及网络系统和应用软件也可能遭受黑客的恶意程序的攻击而使网络瘫痪，黑客攻击网黑客的恶意程序的攻击而使网络瘫痪，黑客攻击网络已成为造成网络不安全的主要原因。因此，为了络已成为造成网络不安全的主要原因。因此，为了提高计算机网络系统的安全性，必须了解计算机网提高计算机网络系统的安全性，必须了解计算机网络不安全的因素和黑客攻击网络的方法，做到知彼络不安全的因素和黑客攻击网络的方法，做到知彼知己，同时采取相应的防范措施。知己，同时采取相应的防范措施。在本章

3、中，将学习以下主要内容：在本章中，将学习以下主要内容：网络系统的缺陷与漏洞；网络系统的缺陷与漏洞；网络监听的原理和作用；网络监听的原理和作用；端口扫描原理与作用；端口扫描原理与作用；口令破解与防范；口令破解与防范；缓冲区溢出及其攻击；缓冲区溢出及其攻击；特洛伊木马；特洛伊木马；黑客进攻网络的方式和步骤；黑客进攻网络的方式和步骤；追踪黑客和对黑客的防范措施。追踪黑客和对黑客的防范措施。6.1计算机网络系统的缺陷与漏洞计算机网络系统的缺陷与漏洞 计算机网络的开放性以及黑客的攻击是造成网络不计算机网络的开放性以及黑客的攻击是造成网络不安全的主要原因，而利用网络设计的缺陷是黑客能安全的主要原因，而利用

4、网络设计的缺陷是黑客能突破网络防护进入网络的主要手段之一。突破网络防护进入网络的主要手段之一。科学家在设计科学家在设计Internet之初就缺乏对安全性的总体之初就缺乏对安全性的总体构想和设计，所用的构想和设计，所用的TCP/IP协议是建立在可信的协议是建立在可信的环境之下，主要考虑的是网络互联，它缺乏对安全环境之下，主要考虑的是网络互联，它缺乏对安全方面的考虑。这种基于地址的协议本身就会泄露口方面的考虑。这种基于地址的协议本身就会泄露口令。而且令。而且TCP/IP协议是完全公开的；其远程访问协议是完全公开的；其远程访问的功能使许多攻击者无须到现场就能够得手；连接的功能使许多攻击者无须到现场就

5、能够得手；连接的主机基于互相信任的原则等这些性质使网络更加的主机基于互相信任的原则等这些性质使网络更加不安全。不安全。6.1.1 计算机网络的设计缺陷计算机网络的设计缺陷 计算机网络的设计缺陷包括以下两方面的内容：计算机网络的设计缺陷包括以下两方面的内容：(1)物理结构的设计缺陷物理结构的设计缺陷 局域网采用广播式网络结构，所有主机发送的信息，局域网采用广播式网络结构，所有主机发送的信息，在同一个网络中的其他主机易监听；广域网和在同一个网络中的其他主机易监听；广域网和Internet上的中继设备上的中继设备(如路由器如路由器)可以监听所有网可以监听所有网络之间转发的信息。络之间转发的信息。(2

6、)网络系统的漏洞、协议的缺陷与后门网络系统的漏洞、协议的缺陷与后门 一些网络协议一些网络协议(如如TCP/IP协议协议)在实现上力求实效，在实现上力求实效，而没有过多地考虑安全因素。网络操作系统过于庞而没有过多地考虑安全因素。网络操作系统过于庞大，存在致命的安全漏洞。网络公司为了达到某些大，存在致命的安全漏洞。网络公司为了达到某些目的，在系统中设有安全后门也造成网络安全的隐目的，在系统中设有安全后门也造成网络安全的隐患。患。1.物理网络结构易被窃听物理网络结构易被窃听 计算机网络按通信信道类型分为广播式网络和点对计算机网络按通信信道类型分为广播式网络和点对点网络，这两种网络都存在不安全问题。点

7、网络，这两种网络都存在不安全问题。(1)广播式网络的安全问题广播式网络的安全问题 当今大多数局域网采用以太网方式，以太网上的所当今大多数局域网采用以太网方式，以太网上的所有设备都连在以太网总线上，它们共享同一个通信有设备都连在以太网总线上，它们共享同一个通信通道。以太网采用的是广播方式的通信，广播式通通道。以太网采用的是广播方式的通信，广播式通信网络的特点是在该种通信子网中只有一个公共通信网络的特点是在该种通信子网中只有一个公共通信信道，为所有节点共享使用，任一时刻只允许一信信道，为所有节点共享使用，任一时刻只允许一个节点使用公用信道。当一个节点利用公共通信信个节点使用公用信道。当一个节点利用

8、公共通信信道发送数据时，必须携带目的地址，网络上所有的道发送数据时，必须携带目的地址，网络上所有的设备都能接收到每一个信息包，网络上的设备通常设备都能接收到每一个信息包，网络上的设备通常将接收到的所有包都传给主机界面，在这儿选择将接收到的所有包都传给主机界面，在这儿选择计算机要接收的信息计算机要接收的信息(比如选择只有地址符合本站比如选择只有地址符合本站点的信息包才接收点的信息包才接收)，并将其他的过滤掉。以太网，并将其他的过滤掉。以太网最有效传递的、最有意思的是目标主机硬件并不给最有效传递的、最有意思的是目标主机硬件并不给发送者提供有关信息已收到的信息，比如即使目标发送者提供有关信息已收到的

9、信息，比如即使目标计算机碰巧关机了，送给它的包自然就丢失，但发计算机碰巧关机了，送给它的包自然就丢失，但发送者并不会知道这一点。送者并不会知道这一点。很多网络包括很多网络包括Internet其实就是把无数的局域网相其实就是把无数的局域网相连起来形成大的网，然后再把大的网连成更大的网，连起来形成大的网，然后再把大的网连成更大的网，虽然网络上的传输是点对点的，但一般网络上的主虽然网络上的传输是点对点的，但一般网络上的主机会处于一个局域网中。例如，清华开放实验室是机会处于一个局域网中。例如，清华开放实验室是一个局域网，它连到了校园网，又连到了中国教育一个局域网，它连到了校园网，又连到了中国教育科研网

10、科研网(CERNET)，中国教育科研网又连接到国外。，中国教育科研网又连接到国外。局域网，如以太网、令牌网，都是广播型网络，也局域网，如以太网、令牌网，都是广播型网络，也就是说一台主机发布消息，网上任何一台机器都可以就是说一台主机发布消息，网上任何一台机器都可以收到这个消息。在一般情况下，以太网卡在收到发往收到这个消息。在一般情况下，以太网卡在收到发往别人的消息时会自动丢弃消息，而不向上层传递消息。别人的消息时会自动丢弃消息，而不向上层传递消息。但以太网卡的接收模式可以设置成混合型但以太网卡的接收模式可以设置成混合型(promiscuous)，这样网卡就会捕捉所有的数据包中，这样网卡就会捕捉所

11、有的数据包中，并把这些数据包向上传递，这就是为什么以太网可以并把这些数据包向上传递，这就是为什么以太网可以被窃听，其实被窃听，其实FDDI、令牌网也存在这样的问题。现在、令牌网也存在这样的问题。现在人们经常谈论的人们经常谈论的ATM网络技术是点对点的，它不会像网络技术是点对点的，它不会像以太网的广播式样容易被窃听。以太网的广播式样容易被窃听。(2)点对点网络的安全问题点对点网络的安全问题 Internet和大部分广域网采用点对点方式通信，在该种和大部分广域网采用点对点方式通信，在该种类型网中，任何一段物理链路都惟一连接一对节点，类型网中，任何一段物理链路都惟一连接一对节点，如果不在同一段物理链

12、路的一对节点要通信，必须通如果不在同一段物理链路的一对节点要通信，必须通过其他节点进行分组转发。进行分组转发的节点就可过其他节点进行分组转发。进行分组转发的节点就可以窃听。以窃听。在在Internet上的信息，容易被窃听和劫获的另一个上的信息，容易被窃听和劫获的另一个原因是，当某人用一台主机和国外的主机进行通信原因是，当某人用一台主机和国外的主机进行通信时，他们之间互相发送的数据包是经过很多机器时，他们之间互相发送的数据包是经过很多机器(如路由器如路由器)重重转发的。例如，用户在清华开放实重重转发的。例如，用户在清华开放实验室的一台主机上访问验室的一台主机上访问Hotmail主机，用户的数据主

13、机，用户的数据包要经过开放实验室的路由器、清华校园网的路由包要经过开放实验室的路由器、清华校园网的路由器、中国教育科研网上的路由器，然后从中国教育器、中国教育科研网上的路由器，然后从中国教育科研网的总出口出国，再经过很多网络和路由器才科研网的总出口出国，再经过很多网络和路由器才能到达能到达Hotmail主机。具体要经过多少主机、多少主机。具体要经过多少主机、多少路由器和多少网络，用户可以用一个网络调试工具路由器和多少网络，用户可以用一个网络调试工具得到，这个工具就是得到，这个工具就是Traceroute命令，在各种操作命令，在各种操作系统中都有，如系统中都有，如Windows 95、Windo

14、ws NT 和和UNIX，名字上可能会有所差异，但功能和实现上，名字上可能会有所差异，但功能和实现上是一样的。是一样的。Internet的这种工作原理不仅节约了资的这种工作原理不仅节约了资源，而且简化了传输过程的实现，符合源，而且简化了传输过程的实现，符合TCP/IP简简单高效的宗旨，但这也给安全上带来了问题。当然单高效的宗旨，但这也给安全上带来了问题。当然用户不可能力求安全而放弃这种方法，因为这样做用户不可能力求安全而放弃这种方法，因为这样做是不实际的，也是不必要的。用户所能做的应是意是不实际的，也是不必要的。用户所能做的应是意识到这种问题，并以其他办法来提高安全性，如采识到这种问题，并以其

15、他办法来提高安全性，如采用加密的方法。再回到安全这个主题上来，当黑客用加密的方法。再回到安全这个主题上来，当黑客使用一台处于用户的数据包传输路径上的主机时，使用一台处于用户的数据包传输路径上的主机时，他就可以窃听或劫持用户的数据包。例如，处于中他就可以窃听或劫持用户的数据包。例如，处于中国教育科研网出口的一台机器可以监听所有从这个国教育科研网出口的一台机器可以监听所有从这个网络出国的数据包。谈到安全问题，举一个简单的网络出国的数据包。谈到安全问题，举一个简单的例子，就像有人用单位的总机窃听别人电话的事一例子，就像有人用单位的总机窃听别人电话的事一样。在配有电话交换机的单位，单位里所有的电话样。

16、在配有电话交换机的单位，单位里所有的电话都要经过单位的总机，如果总机并不是程控的，而都要经过单位的总机，如果总机并不是程控的，而是人工接线的，那么接线员极易窃听别人的电话，是人工接线的，那么接线员极易窃听别人的电话，这就有些类似刚才讲的网络窃听。网络窃听可能是这就有些类似刚才讲的网络窃听。网络窃听可能是出于好奇，也可能是出于恶意。现在越来越多的黑出于好奇，也可能是出于恶意。现在越来越多的黑客不再是喜欢破坏公物的人，而是商业间谍，所以客不再是喜欢破坏公物的人，而是商业间谍，所以网络安全是把网络安全是把Internet真正推向商业化所必须要考真正推向商业化所必须要考虑和解决的问题。虑和解决的问题。

17、2.TCT/IP网络协议的设计缺陷网络协议的设计缺陷 网络通信的基础是协议，网络通信的基础是协议，TCP/IP协议是目前国际协议是目前国际上最流行的网络协议，该协议在实现上因力求实效，上最流行的网络协议，该协议在实现上因力求实效，而没有考虑安全因素，因为如果考虑安全因素太多，而没有考虑安全因素，因为如果考虑安全因素太多，将会增大代码量，从而会降低将会增大代码量，从而会降低TCP/IP的运行效率，的运行效率，所以说所以说TCP/IP本身在设计上就是不安全的。本身在设计上就是不安全的。下面是现存的下面是现存的TCP/IP协议的一些安全缺陷：协议的一些安全缺陷：(1)容易被窃听和欺骗容易被窃听和欺骗

18、 在大多数在大多数Internet上的流量是没有加密的，如电子上的流量是没有加密的，如电子邮件口令、文件传输等很容易被监听和劫持，可以邮件口令、文件传输等很容易被监听和劫持，可以实现这些行为的工具很多，而且这些工具在网上是实现这些行为的工具很多，而且这些工具在网上是免费提供的。免费提供的。(2)脆弱的脆弱的TCP/IP服务服务 很多基于很多基于TCP/IP的应用服务都在不同程度上存在的应用服务都在不同程度上存在着不安全的因素，这很容易被一些对着不安全的因素，这很容易被一些对TCP/IP十分十分了解的人所利用，一些新的处于测试阶段的服务存了解的人所利用，一些新的处于测试阶段的服务存在有更多的安全

19、缺陷。在有更多的安全缺陷。(3)缺乏安全策略缺乏安全策略 许多站点在网络及防火墙配置上无意识地扩大了其许多站点在网络及防火墙配置上无意识地扩大了其访问权限，忽视了这些权限可能会被内部人员滥用，访问权限，忽视了这些权限可能会被内部人员滥用，黑客从一些服务中可以获得有用的信息，而网络黑客从一些服务中可以获得有用的信息，而网络维护人员却不知道应该禁止这种服务。维护人员却不知道应该禁止这种服务。(4)配置的复杂性配置的复杂性 访问控制的配置一般十分复杂，所以很容易被错误访问控制的配置一般十分复杂，所以很容易被错误配置，从而给黑客以可乘之机。配置，从而给黑客以可乘之机。除上面的除上面的4个问题外，还有个

20、问题外，还有TCP/IP协议是被公布于协议是被公布于世的，了解它的人越多，被人破坏的可能性也就越世的，了解它的人越多，被人破坏的可能性也就越大。现在，银行之间在专用网上传输数据所用的协大。现在，银行之间在专用网上传输数据所用的协议都是保密的，这样就可以有效地防止入侵。对于议都是保密的，这样就可以有效地防止入侵。对于UNIX和和Windows NT等网络系统的安全问题，总体等网络系统的安全问题，总体来说来说Windows NT要比要比UNIX安全，这并不是说安全，这并不是说Windows NT的没有安全问题和缺陷，而是因为的没有安全问题和缺陷，而是因为Windows NT的源代码不公开，而的源代

21、码不公开，而UNIX的源代的源代码是极易得到的。当然，人们不能把码是极易得到的。当然，人们不能把TCP/IP协议协议和其源代码保密，这样不利于和其源代码保密，这样不利于TCP/IP网络的发展，网络的发展，但人们可以在其他方面采取一些措施来弥补它。但人们可以在其他方面采取一些措施来弥补它。随着计算机网络的发展，计算机网络的功能和服务随着计算机网络的发展，计算机网络的功能和服务也越来越强，但这也带来了很多安全问题，如像也越来越强，但这也带来了很多安全问题，如像Windows NT这样的网络系统，代码庞大，安全漏这样的网络系统，代码庞大，安全漏洞多。而且由于系统本身不完善和洞多。而且由于系统本身不完

22、善和“后门问题后门问题”，被黑客们利用以侵入网络，给网络的安全带来很多被黑客们利用以侵入网络，给网络的安全带来很多隐患。隐患。6.1.2 计算机网络系统的漏洞及漏洞等级计算机网络系统的漏洞及漏洞等级 我们经常说，某某系统存在大量漏洞，黑客利用漏我们经常说，某某系统存在大量漏洞，黑客利用漏洞攻击了系统。到底什么是漏洞？黑客是怎样利用洞攻击了系统。到底什么是漏洞？黑客是怎样利用漏洞攻击系统的？漏洞的危害性有多大？下面将讲漏洞攻击系统的？漏洞的危害性有多大？下面将讲述这些方面的内容。述这些方面的内容。广义的漏洞是指非法用户未经授权获得访问或提高广义的漏洞是指非法用户未经授权获得访问或提高其访问层次的

23、硬件或软件特征。其访问层次的硬件或软件特征。漏洞就是某种形式的脆弱性。实际上漏洞可以是任漏洞就是某种形式的脆弱性。实际上漏洞可以是任何东西。许多用户非常熟悉的特殊的硬件或软件存何东西。许多用户非常熟悉的特殊的硬件或软件存在漏洞：在漏洞：IBM兼容机的兼容机的CMOS口令在口令在CMOS的电池的电池供电不足、不能供电或被移走造成供电不足、不能供电或被移走造成CMOS口令丢失口令丢失也是漏洞；操作系统、浏览器、也是漏洞；操作系统、浏览器、TCP/IP、免费邮、免费邮箱等也存在漏洞。每个平台无论是硬件还是软件都箱等也存在漏洞。每个平台无论是硬件还是软件都存在漏洞。存在漏洞。网络漏洞主要是指网络产品或

24、系统存在的缺陷给网网络漏洞主要是指网络产品或系统存在的缺陷给网络带来的不安全因素，产生的主要原因是设计网络络带来的不安全因素，产生的主要原因是设计网络产品或系统时考虑不周到。产品或系统时考虑不周到。由于网络系统的复杂性，网络漏洞产生不可避免，由于网络系统的复杂性，网络漏洞产生不可避免，现在主要做的是当发现网络漏洞后，应及时采取补现在主要做的是当发现网络漏洞后，应及时采取补救措施。救措施。根据网络漏洞或脆弱性给系统带来性危害的大小，根据网络漏洞或脆弱性给系统带来性危害的大小，漏洞可分：允许拒绝服务的漏洞漏洞可分：允许拒绝服务的漏洞(C类类)、允许有限、允许有限权限的本地用户未经授权提高其权限的漏

25、洞权限的本地用户未经授权提高其权限的漏洞(B类类)、允许外来团体允许外来团体(在远程主机上在远程主机上)未经授权访问网络的未经授权访问网络的漏洞漏洞(A类类)等等3级类型。级类型。1.允许拒绝服务的漏洞允许拒绝服务的漏洞(C类类)允许拒绝访问的漏洞属于允许拒绝访问的漏洞属于C类，它不会破坏数据和类，它不会破坏数据和使数据泄密，是不太重要的漏洞。使数据泄密，是不太重要的漏洞。黑客利用这类漏洞进行攻击几乎总是基于操作系统黑客利用这类漏洞进行攻击几乎总是基于操作系统的。也就是说，这些漏洞存在于网络操作系统中。的。也就是说，这些漏洞存在于网络操作系统中。当存在这种漏洞时，必须通过软件开发者或销售商当存

26、在这种漏洞时，必须通过软件开发者或销售商的弥补予以纠正。的弥补予以纠正。对于大的网络或站点，拒绝服务或攻击只是有限的对于大的网络或站点，拒绝服务或攻击只是有限的影响，最多不过是使人心烦而已。然而对于小的站影响，最多不过是使人心烦而已。然而对于小的站点，可能会受到拒绝服务的重创。特别对于站点只点，可能会受到拒绝服务的重创。特别对于站点只是一台单独的机器是一台单独的机器(单独的邮件或新闻服务器单独的邮件或新闻服务器)更是更是如此。如此。拒绝服务攻击是一类人或多人利用拒绝服务攻击是一类人或多人利用Internet的核心的核心协议协议TCP/IP的某些缺陷产生大量数据阻塞网络、的某些缺陷产生大量数据阻

27、塞网络、使服务器死机或因服务器负担过重使系统拒绝正常使服务器死机或因服务器负担过重使系统拒绝正常用户对系统信息进行合法的访问。用户对系统信息进行合法的访问。TCP/IP协议的这一类缺陷主要有：协议的这一类缺陷主要有：(1)UDP攻击攻击 UDP攻击的原理是使两个或两个以上的系统之间产攻击的原理是使两个或两个以上的系统之间产生巨大的生巨大的UDP数据包。首先使这两种数据包。首先使这两种UDP服务都产服务都产生输出，然后让这两种生输出，然后让这两种UDP服务之间互相通信，使服务之间互相通信，使一方的输出成为另一方的输入，在两个计算机之间一方的输出成为另一方的输入，在两个计算机之间产生了循环，这样会

28、形成很大的数据流量。当多个产生了循环，这样会形成很大的数据流量。当多个系统之间互相产生系统之间互相产生UDP数据包时，最终将导致整个数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪。台主机会瘫痪。(2)TCP/SYN攻击攻击 TCP/SYN作为一种拒绝服务攻击存在的时间已经作为一种拒绝服务攻击存在的时间已经有有20多年了，它是利用多年了，它是利用TCP/IP的连接建立时的漏的连接建立时的漏洞进行攻击的，其原理简单介绍如下：当一台黑洞进行攻击的，其原理简单介绍如下：当一台黑客计算机客计算机A要与另外一台主机要与另外一台主

29、机B建立连接时，它的建立连接时，它的通信方式是先发一个通信方式是先发一个SYN包告诉对方主机包告诉对方主机B说说“我我要和你通信了要和你通信了”，当，当B收到时，就回复一个收到时，就回复一个ACK/SYN确认请求包给确认请求包给A主机。如果主机。如果A是合法地址，是合法地址，就会再回复一个就会再回复一个ACK包给包给B主机，然后两台主机就主机，然后两台主机就可以建立一个通信渠道了。可是当黑客计算机可以建立一个通信渠道了。可是当黑客计算机A发发出的包的源地址是一个虚假的出的包的源地址是一个虚假的IP地址或者可以说是地址或者可以说是实际上不存在的一个地址，于是主机实际上不存在的一个地址，于是主机B

30、发出的那个发出的那个ACK/SYN包当然就找不到目标地址了。如果这个包当然就找不到目标地址了。如果这个ACK/SYN包一直没有找到目标地址，那么也就是包一直没有找到目标地址，那么也就是目标主机无法获得对方回复的目标主机无法获得对方回复的ACK包。而在默认包。而在默认超时的时间范围以内，主机的一部分资源要花在等超时的时间范围以内，主机的一部分资源要花在等待这个待这个ACK包的响应上，假如短时间内包的响应上，假如短时间内主机主机A接到大量来自虚假接到大量来自虚假IP地址的地址的SYN包，它就要包，它就要占用大量的资源来处理这些错误的等待，最后的结占用大量的资源来处理这些错误的等待，最后的结果就是系

31、统资源耗尽以至瘫痪。这种攻击方式也是果就是系统资源耗尽以至瘫痪。这种攻击方式也是分布式网络攻击分布式网络攻击(D.O.S)的攻击原理之一。的攻击原理之一。(3)ICMP/PING攻击攻击 ICMP/PING攻击是利用一些系统不能接受超大的攻击是利用一些系统不能接受超大的IP包或需要资源处理这一特性而进行的。包或需要资源处理这一特性而进行的。ICMP协协议是议是TCP/IP协议的重要组成部分，它主要是在网协议的重要组成部分，它主要是在网络上查询计算机的状态。但是在络上查询计算机的状态。但是在Windows 98下，下，ICMP协议不能接收大的协议不能接收大的IP包，如在包，如在Linux下输入下

32、输入Ping-t-l 66510 I P地址地址(未打补丁的未打补丁的Windows 95/Windows 98的计算机的计算机)，计算机就会瘫痪。黑客，计算机就会瘫痪。黑客可以编写程序，产生大量的进程，每个进程都不停可以编写程序，产生大量的进程，每个进程都不停地发送地发送PING包，从而导致被攻击目标无法正常工包，从而导致被攻击目标无法正常工作。作。(4)ICMP/SMURF攻击攻击 ICMP/SMURF攻击利用的是网络广播的原理来发攻击利用的是网络广播的原理来发送大量的数据包，而包的源地址就是要攻击的计算送大量的数据包，而包的源地址就是要攻击的计算机本身的地址，因此所有接收到此种数据包的主

33、机机本身的地址，因此所有接收到此种数据包的主机都将给发包的地址发送一个都将给发包的地址发送一个ICMP回复包。例如，回复包。例如，现在现在A主机要发动对主机要发动对B主机的主机的SMURF攻击。攻击。A通过通过向某个网络的广播地址发送向某个网络的广播地址发送ICMP ECHO包，这些包，这些ICMP包的源地址即被伪造为包的源地址即被伪造为B主机的主机的IP地址。当地址。当这个广播地址的网段上的所有活动主机接收到该这个广播地址的网段上的所有活动主机接收到该ICMP包时，将回送包时，将回送ICMP ECHO REPLAY包。由包。由于于ICMP ECHO包的源地址为包的源地址为B主机，所以如果能主

34、机，所以如果能收到该广播包的计算机有收到该广播包的计算机有500台，则台，则B主机会接收主机会接收到到500个个ICMP ECHO REPLAY包包!(5)TARGA3攻击攻击(IP堆栈突破堆栈突破)TARGA3攻击的基本原理是发送攻击的基本原理是发送TCP/UDP/ICMP的碎片包，其大小、标记、包数据等都是随机的。的碎片包，其大小、标记、包数据等都是随机的。一些有漏洞的系统内核由于不能正确处理这些极端一些有漏洞的系统内核由于不能正确处理这些极端不规范的数据包，便会使其不规范的数据包，便会使其TCP/IP堆栈出现崩溃，堆栈出现崩溃，从而导致无法继续响应网络请求从而导致无法继续响应网络请求(即

35、拒绝服务即拒绝服务)。还有其他形式的拒绝服务的攻击。某些拒绝服务攻还有其他形式的拒绝服务的攻击。某些拒绝服务攻击的实现针对个人而不是针对网络用户的。这种类击的实现针对个人而不是针对网络用户的。这种类型的攻击不涉及任何型的攻击不涉及任何bug或漏洞而是利用或漏洞而是利用WWW的的基本设计。基本设计。并非每个拒绝服务攻击都需要在并非每个拒绝服务攻击都需要在Intemet发起。有发起。有许多在本地机甚至在没有网络环境的情况下也会发许多在本地机甚至在没有网络环境的情况下也会发生的拒绝服务攻击。生的拒绝服务攻击。2.允许本地用户非法访问的漏洞允许本地用户非法访问的漏洞(B类类)B类漏洞是允许本地用户获得

36、增加的未授权的访问。类漏洞是允许本地用户获得增加的未授权的访问。这种漏洞一般在多种平台的应用程序中发现。这种漏洞一般在多种平台的应用程序中发现。一个很好的例子是众所周知的一个很好的例子是众所周知的Sendmail问题。问题。Sendmail可能是世界上发送电子邮件最盛行的方法，可能是世界上发送电子邮件最盛行的方法，它是它是Internet的的Email系统的中心。这个程序一般系统的中心。这个程序一般在启动时作为例程初始化并且只要机器可用它就可在启动时作为例程初始化并且只要机器可用它就可用。在活动可用状态下，用。在活动可用状态下，Sendmail(在端口在端口25)侦听侦听网络空间上的发送和请求

37、。网络空间上的发送和请求。当当Sendmail启动时，它一般要求检验用户的身份，启动时，它一般要求检验用户的身份，只有只有root和与和与root相同权限的用户有权启动和维护相同权限的用户有权启动和维护Sendmai1程序。然而根据程序。然而根据CERT咨询处的咨询处的“Sendmail Daemon Vulnerability”报告：报告：“很遗憾，由于一个代码错误，很遗憾，由于一个代码错误，Sendmail则在例程则在例程模式下可以以一种绕过潜入的方式激活。当绕过检模式下可以以一种绕过潜入的方式激活。当绕过检查后，任何本地用户都可以在例程下启动查后，任何本地用户都可以在例程下启动Sendm

38、ail。另外在另外在8.7版本中，在版本中，在Sendmaill收到一个收到一个SIGHUP信号时会重新启动。它通过使用信号时会重新启动。它通过使用exec(2)系统调用重系统调用重新执行自己来重新开始操作。重新执行作为新执行自己来重新开始操作。重新执行作为root用用户实现。通过控制户实现。通过控制Sendmail环境，用户可以用环境，用户可以用root权限让权限让Sendmail运行一任意的程序。运行一任意的程序。”因此，本地用户获得一种形式的因此，本地用户获得一种形式的root访问。这些漏访问。这些漏洞是很常见的，差不多每月都发生一次。洞是很常见的，差不多每月都发生一次。Sendmail

39、以这些漏洞而出名，但却不是惟一的现象以这些漏洞而出名，但却不是惟一的现象(也不是也不是UNIX自身的问题自身的问题)。像像Sendmail这样的程序中的漏洞特别重要，因为这这样的程序中的漏洞特别重要，因为这些程序对网上所有的用户都是可用的，所有用户都些程序对网上所有的用户都是可用的，所有用户都至少有使用至少有使用Sendmai1程序的基本权限，如果没有程序的基本权限，如果没有的话，他们没法发送邮件。因此的话，他们没法发送邮件。因此Sendmail中的任何中的任何bug或漏洞都是十分危险的。或漏洞都是十分危险的。B类漏洞惟一令人欣慰的是有较大的可能检查出入类漏洞惟一令人欣慰的是有较大的可能检查出

40、入侵者，特别是在入侵者没有经验的情况下更是如此。侵者，特别是在入侵者没有经验的情况下更是如此。如果系统管理员运行强有力的登录工具，入侵者还如果系统管理员运行强有力的登录工具，入侵者还需要有较多的专业知识才能逃避检查。需要有较多的专业知识才能逃避检查。大多数大多数B类漏洞产生的原因是由应用程序中的一些类漏洞产生的原因是由应用程序中的一些缺陷引起的。有些常见的编程错误导致这种漏洞的缺陷引起的。有些常见的编程错误导致这种漏洞的产生。如缓冲区的溢出，有关缓冲区的溢出的问题，产生。如缓冲区的溢出，有关缓冲区的溢出的问题，将在后面的有关章节中介绍。将在后面的有关章节中介绍。3.允许过程用户未经授权访问的漏

41、洞允许过程用户未经授权访问的漏洞(A类类)A类漏洞是威胁性最大的一种漏洞。大多数的类漏洞是威胁性最大的一种漏洞。大多数的A类类漏洞是由于较差的系统管理或设置有误造成的。漏洞是由于较差的系统管理或设置有误造成的。典型的设置错误典型的设置错误(或设置失败或设置失败)是网络系统提供的任是网络系统提供的任何存放在驱动器上的例子脚本，即使在这些版本的何存放在驱动器上的例子脚本，即使在这些版本的系统文档中建议管理员删掉这些脚本，这种漏洞在系统文档中建议管理员删掉这些脚本，这种漏洞在网络上重现过无数次，包括那些在网络上重现过无数次，包括那些在Web服务器版本服务器版本中的文件。这些脚本有时会为来自网络空间的

42、侵入中的文件。这些脚本有时会为来自网络空间的侵入者提供有限的访问权限甚至者提供有限的访问权限甚至root的访问权限。如的访问权限。如test_cgi文件的缺陷是允许来自网络空间的侵入者文件的缺陷是允许来自网络空间的侵入者读取读取CGI目录下的文件。目录下的文件。Novell平台的一种平台的一种HTTP服务器含有一个称作服务器含有一个称作Convert.bas的例子脚本。这个用的例子脚本。这个用BASIC编写的脚编写的脚本，允许远程用户读取系统上的任何文件。本，允许远程用户读取系统上的任何文件。A类漏洞涉及的不仅是一个文件，有时它与脚本的解释类漏洞涉及的不仅是一个文件，有时它与脚本的解释方法有关

43、。例如，方法有关。例如，Microsoft的的Internet信息服务器信息服务器(IIS)包含一个允许任何远程用户执行任意命令的漏洞。由包含一个允许任何远程用户执行任意命令的漏洞。由于于IIS将所有将所有.bat或或.cmd后缀的文件与后缀的文件与cmd.exe程序联系程序联系起来，所以危害性很大。如起来，所以危害性很大。如Julian Assange(Strobe的作的作者者)所解释的：所解释的：“第一个第一个Bug允许用户访问与允许用户访问与wwwroot目录在同一分区的任何文件目录在同一分区的任何文件(认为认为IIS_user可以读此文可以读此文件件)。它也允许与脚本目录在同一分区的任

44、意可执行文。它也允许与脚本目录在同一分区的任意可执行文件的运行件的运行(认为认为IIS_user足以执行此文件足以执行此文件)。如果。如果cmd.exe文件能被执行，那么它也允许你执行任何命令，读取文件能被执行，那么它也允许你执行任何命令，读取任意分区的任意文件任意分区的任意文件(认为认为IIS_user可以读取并执行此可以读取并执行此文件文件)遗憾的是遗憾的是Netscape通信和通信和Netscape商业服务商业服务器也都有相类似的器也都有相类似的Bug。对于。对于Netscape服务使用服务使用BAT或或CMD文件作为文件作为CGI脚本则会发生类似的事情。脚本则会发生类似的事情。”很自然

45、，很自然，A类漏洞从外界对系统造成严重的威胁。类漏洞从外界对系统造成严重的威胁。在许多情况下，如果系统管理员只运行了很少日志在许多情况下，如果系统管理员只运行了很少日志的话，这些攻击可能会不被记录，使捉获更为困难。的话，这些攻击可能会不被记录，使捉获更为困难。你会很容易看到为什么像扫描器这样的程序成为安你会很容易看到为什么像扫描器这样的程序成为安全性的重要部分。扫描器的重要目的是检查这些漏全性的重要部分。扫描器的重要目的是检查这些漏洞。因此，尽管安全性程序员把这些漏洞包含进他洞。因此，尽管安全性程序员把这些漏洞包含进他们的程序中作为检查的选择，但他们经常是在攻击们的程序中作为检查的选择，但他们

46、经常是在攻击者几个月之后才这样做者几个月之后才这样做(某些漏洞，比如说允许拒某些漏洞，比如说允许拒绝服务的绝服务的synflooding漏洞不容易弥补，系统管理员漏洞不容易弥补，系统管理员目前必须得学会在这些不尽人意的漏洞下工作目前必须得学会在这些不尽人意的漏洞下工作)。使形势更为困难的是非使形势更为困难的是非UNIX平台的漏洞要花更多平台的漏洞要花更多的时间才会表现出来。例如许多的时间才会表现出来。例如许多NT/2000的系统管的系统管理员不运行重要的日志文件，因为报告漏洞，他们理员不运行重要的日志文件，因为报告漏洞，他们必须有漏洞存在的证据。另外，新的系统管理员必须有漏洞存在的证据。另外，

47、新的系统管理员(在在IBM兼容机中，这样的管理员占很大比例兼容机中，这样的管理员占很大比例)没有没有对文档和报告安全性事故做好准备。这意味着漏洞对文档和报告安全性事故做好准备。这意味着漏洞出现后，被测试、重建测试环境及最后加入到扫描出现后，被测试、重建测试环境及最后加入到扫描器前的时间浪费了。器前的时间浪费了。6.2 网络监听网络监听 网络监听是黑客在局域网或路由器上进行的一项黑网络监听是黑客在局域网或路由器上进行的一项黑客技术，他可以很容易地获得用户的密码和账号。客技术，他可以很容易地获得用户的密码和账号。网络监听原本是网络管理员使用的一个工具，主要网络监听原本是网络管理员使用的一个工具，主

48、要用来监视网络的流量、状态、数据等信息。它对网用来监视网络的流量、状态、数据等信息。它对网络上流经自己网段的所有数据进行接收，从中发现络上流经自己网段的所有数据进行接收，从中发现用户的有用信息。用户的有用信息。网络监听的危害很大。首先，它接收所有的数据报网络监听的危害很大。首先，它接收所有的数据报文，这就使网络上的数据丢失，造成网络通信不畅。文，这就使网络上的数据丢失，造成网络通信不畅。其次，在计算机网络中，大量的数据是以明文传输其次，在计算机网络中，大量的数据是以明文传输的，如局域网上的的，如局域网上的FTP，Web等服务一般都是明文等服务一般都是明文传输的。这样，黑客就很容易拿到用户名和密

49、码，传输的。这样，黑客就很容易拿到用户名和密码，而且有许多用户为了记忆方便，在不同的服务上使而且有许多用户为了记忆方便，在不同的服务上使用的用户名和密码都是一样的，这就意味着一些网用的用户名和密码都是一样的，这就意味着一些网络管理员的密码会被他人得到络管理员的密码会被他人得到(太危险了太危险了)。另外，。另外，网络监听是采用被动的方式，它不与其他主机交换网络监听是采用被动的方式，它不与其他主机交换信息，也不修改密码，这就使对监听者的追踪变得信息，也不修改密码，这就使对监听者的追踪变得十分困难。十分困难。网络监听主要使用网络监听主要使用Sniffer(嗅探器嗅探器)，Sniffer是一种是一种常

50、用的收集有用数据的工具，这些数据可以是用户常用的收集有用数据的工具，这些数据可以是用户的账户和密码，也可以是一些商用机密数据等。的账户和密码，也可以是一些商用机密数据等。6.2.1 网络监听网络监听Sniffer的工作原理的工作原理 通常，数据在网络上是以很小的称为通常，数据在网络上是以很小的称为“帧帧”(又称又称包包)的单位传输的，帧由多个部分组成，不同的部的单位传输的，帧由多个部分组成，不同的部分对应不同的信息以实现相应的功能。例如，以太分对应不同的信息以实现相应的功能。例如，以太网的前网的前12个字节存放的是源地址和目的地址，这些个字节存放的是源地址和目的地址，这些数据告诉网络该帧的来源