最新常见的网络攻击与防范PPT课件.ppt

《最新常见的网络攻击与防范PPT课件.ppt》由会员分享，可在线阅读，更多相关《最新常见的网络攻击与防范PPT课件.ppt（128页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、常见的网络攻击与防范常见的网络攻击与防范一、网络攻击步骤网络安全威胁国家基础设施网络安全威胁国家基础设施因特网因特网安全漏洞危害在增大信息对抗的威胁在增加信息对抗的威胁在增加电力电力交通交通通讯通讯控制控制广播广播工业工业金融金融医疗医疗二、预攻击探测Ping工具p操作系统本身的ping工具Ping:PacketInterNetGroper用来判断远程设备可访问性最常用的方法Ping原理:l发送ICMPEcho消息，等待EchoReply消息l可以确定网络和外部主机的状态l可以用来调试网络的软件和硬件l每秒发送一个包，显示响应的输出，计算网络来回的时间l最后显示统计结果丢包率二、预攻击探测关于

2、PinglPing有许多命令行参数，可以改变缺省的行为l可以用来发现一台主机是否activel为什么不能ping成功？没有路由，网关设置？网卡没有配置正确增大timeout值被防火墙阻止l“Pingofdeath”发送特大ping数据包(65535字节)导致机器崩溃许多老的操作系统都受影响二、预攻击探测pWindows平台Pinger、PingSweep、WS_PingProPack图图:Pinger工具工具二、预攻击探测图图:PingSweep二、预攻击探测Ping工具都是通过ICMP协议来发送数据包,那么针对这种扫描的预防措施是:l使用可以检测并记录ICMP扫描的工具l使用入侵检测系统l在

3、防火墙或路由器中设置允许进出自己网络的ICMP分组类型二、预攻击探测2.端口扫描基础端口扫描基础l开放扫描(OpenScanning)需要扫描方通过三次握手过程与目标主机建立完整的TCP连接可靠性高，产生大量审计数据，容易被发现l半开放扫描(Half-OpenScanning)扫描方不需要打开一个完全的TCP连接l秘密扫描(StealthScanning)不包含标准的TCP三次握手协议的任何部分隐蔽性好，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息二、预攻击探测基本的TCP connect()扫描（开放）Reverse-ident扫描（开放）TCP SYN扫描(半开放)I

4、P ID header aka“dump”IP ID header aka“dump”扫描(半开放)TCP Fin扫描(秘密)TCP XMAS扫描(秘密)TCP ftp proxy扫描(bounce attack)用IP分片进行SYN/FIN扫描(躲开包过滤防火墙)UDP ICMP端口不可达扫描UDP recvfrom扫描二、预攻击探测二、预攻击探测开放扫描开放扫描pTCPconnect()扫描l原理扫描器调用socket的connect()函数发起一个正常的连接l如果端口是打开的，则连接成功l否则，连接失败l优点简单，不需要特殊的权限l缺点服务器可以记录下客户的连接行为，如果同一个客户轮流对

5、每一个端口发起连接，则一定是在扫描二、预攻击探测pReverse-ident扫描lIdent协议(RFC1413)使得可以发现任何一个通过TCP连接的进程的所有者的用户名，即使该进程并没有发起该连接只有在TCP全连接之后才有效TCP端口113l例如可以先连接到80端口，然后通过identd来发现服务器是否在root下运行l建议关闭ident服务，或者在防火墙上禁止，除非是为了审计的目的二、预攻击探测半开放扫描半开放扫描pTCPSYN扫描l原理向目标主机的特定端口发送一个SYN包l如果应答包为RST包，则说明该端口是关闭的l否则，会收到一个SYN|ACK包。于是，发送一个RST，停止建立连接由于

6、连接没有完全建立，所以称为“半开连接扫描”l优点很少有系统会记录这样的行为l缺点在UNIX平台上，需要root权限才可以建立这样的SYN数据包二、预攻击探测pIPIDheaderaka“dump”扫描l由Antirez首先使用，并在Bugtraq上公布l原理：扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描，并通过观察其IP序列号的增长规律获取端口的状态l优点l不直接扫描目标主机也不直接和它进行连接，隐蔽性较好l缺点对第三方主机的要求较高二、预攻击探测秘密扫描秘密扫描pTCPFin扫描扫描l原理扫描器发送一个FIN数据包l如果端口关闭的，则远程主机丢弃该包，并送回一个RST包l否则的

7、话，远程主机丢弃该包，不回送变种，组合其他的标记l优点不是TCP建立连接的过程，所以比较隐蔽l缺点与SYN扫描类似，也需要构造专门的数据包在Windows平台无效，总是发送RST包二、预攻击探测pTCPXMAS扫描l原理扫描器发送的TCP包包头设置所有标志位l关闭的端口会响应一个同样设置所有标志位的包l开放的端口则会忽略该包而不作任何响应l优点比较隐蔽l缺点主要用于UNIX/Linux/BSD的TCP/IP的协议栈不适用于Windows系统二、预攻击探测其他扫描其他扫描pTCPftpproxy扫描扫描l原理用PORT命令让ftpserver与目标主机建立连接，而且目标主机的端口可以指定如果端口

8、打开，则可以传输否则，返回425Cantbuilddataconnection:Connectionrefused.Ftp这个缺陷还可以被用来向目标(邮件,新闻)传送匿名信息l优点：这种技术可以用来穿透防火墙l缺点：慢，有些ftpserver禁止这种特性二、预攻击探测pUDPICMP端口不可达扫描端口不可达扫描l利用UDP协议（主机扫描？）l原理开放的UDP端口并不需要送回ACK包，而关闭的端口也不要求送回错误包，所以利用UDP包进行扫描非常困难有些协议栈实现的时候，对于关闭的UDP端口，会送回一个ICMPPortUnreach错误l缺点速度慢，而且UDP包和ICMP包都不是可靠的需要root

9、权限，才能读取ICMPPortUnreach消息l一个应用例子Solaris的rpcbind端口(UDP)位于32770之上，这时可以通过这种技术来探测二、预攻击探测端口扫描对策端口扫描对策p设置防火墙过滤规则，阻止对端口的扫描p例如可以设置检测SYN扫描而忽略FIN扫描p使用入侵检测系统p禁止所有不必要的服务，把自己的暴露程度降到最低pUnix或linux中，在/etc/inetd.conf中注释掉不必要的服务，并在系统启动脚本中禁止其他不必要的服务pWindows中通过Services禁止敏感服务，如IIS二、预攻击探测端口扫描工具图图:NetScanTools二、预攻击探测图图:WinS

10、can二、预攻击探测图图:SuperScan二、预攻击探测图图:Nmap二、预攻击探测图图:X-scan二、预攻击探测3.操作系统的识别l操作系统辨识的动机许多漏洞是系统相关的，而且往往与相应的版本对应从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统操作系统的信息还可以与其他信息结合起来，比如漏洞库，或者社会诈骗(社会工程，socialengineering)l如何辨识一个操作系统一些端口服务的提示信息，例如，telnet、http、ftp等服务的提示信息TCP/IP栈指纹DNS泄漏出OS系统二、预攻击探测图图:winfingerprint二、预攻击探测4.资源扫描与查找资源

11、扫描与查找资源扫描用户扫描网络资源和共享资源，如目标网络计算机名、域名和共享文件等等；而用户扫描则用户扫描目标系统上合法用户的用户名和用户组名。这些扫描都是攻击目标系统的很有价值的信息，而Windows系统，特别是Windows NT/2000在这些方面存在着严重的漏洞，很容易让非法入侵者获取到关于该目标系统的很多有用信息，如共享资源、Netbios名和用户组等。l采用协议：NetBIOS协议、CIFS/SMB协议和空会话l常用工具：NetViewNbtstat和NbtscanLegion和Shed二、预攻击探测pNetView 在命令行中输入在命令行中输入“net view/domain”n

12、et view/domain”命令，可以获取网络上可用命令，可以获取网络上可用的域的域二、预攻击探测在命令行中输入在命令行中输入“netview/domain：domain_name”命令，命令，可以获取某一域中的计算机列表，可以获取某一域中的计算机列表，其中其中domain_name为要列表计算机为要列表计算机的域名。的域名。在在 命命 令令 行行 中中 输输 入入“net viewcomputer_name”命命令令，可可以以获获取取网网络络某某一一计计算算机机的的共共享享资资源源列列表表，其其中中computer_name为计算机名为计算机名。二、预攻击探测pnbtstat和nbtsca

13、nnbtstat（NetBIOSoverTCP/IP）是）是WindowsNT/2000内置的命令内置的命令行工具，利用它可以查询涉及到行工具，利用它可以查询涉及到NetBIOS信息的网络机器。另外，它还信息的网络机器。另外，它还可以用来消除可以用来消除NetBIOS高速缓存器和预加载高速缓存器和预加载LMHOSTS文件等。这个命文件等。这个命令在进行安全检查时非常有用。令在进行安全检查时非常有用。l利用利用nbtstat查看目标查看目标系统系统NetBIOS列表列表二、预攻击探测lNbtstat本身有一些缺陷，如一次只能扫描一台主机等，本身有一些缺陷，如一次只能扫描一台主机等，nbtscan

14、（http:/www.abb.aha.ru/software/nbtscan.html）却可以对一个网段进行扫描却可以对一个网段进行扫描,利用利用nbtscan对网段进行扫描。对网段进行扫描。二、预攻击探测pLegion和和Shed在在NetBIOS扫描中，很重要的一项就是扫描网络中的共享资源，以窃扫描中，很重要的一项就是扫描网络中的共享资源，以窃取资源信息或植入病毒木马。取资源信息或植入病毒木马。Legion和和Shed就是其中的典型。就是其中的典型。lLegion的共享资源扫描可以对一个的共享资源扫描可以对一个IP或网段进行扫描，它还包含或网段进行扫描，它还包含一个共享密码的蛮力攻击工具，

15、如一个共享密码的蛮力攻击工具，如“ShowBFTool”按钮按钮。主要用于主要用于Windows2000以前的操作系统中以前的操作系统中二、预攻击探测lShed是一个速度很快的共享资源扫描工具，它可以显示所是一个速度很快的共享资源扫描工具，它可以显示所有的共享资源，包含隐藏的共享。有的共享资源，包含隐藏的共享。二、预攻击探测p空会话空会话l原理利用WindowsNT/2000对NetBIOS的缺省信赖通过TCP端口139返回主机的大量信息l实例如果通过端口扫描获知TCP端口139已经打开netuse192.168.102.230IPC$/USER:在攻击者和目标主机间建立连接Windows20

16、00还有另一个SMB端口445p预防资源扫描和查找的方法：预防资源扫描和查找的方法：防范NetBIOS扫描的最直接方法就是不允许对TCP/UDP135到139端口的访问，如通过防火墙或路由器的配置等。另外，对单独的主机，可使用NetBIOSoverTCP/IP项失效或注册表配置来实现。Windows2000操作系统还要禁止445端口。二、预攻击探测5.用户和用户组查找用户和用户组查找利用前面介绍的方法，可以很容易获取远程WindowsNT/2000主机的共享资源、NetBIOS名和所处的域信息等。但黑客和非法入侵者更感兴趣的是通过NetBIOS扫描，获取目标主机的用户名列表。如果知道了系统中的

17、用户名（即账号）后，就可以对该账号对应的口令进行猜测攻击（有些口令往往很简单），从而对远程目标主机进行更深入的控制。在WindowsNT/2000的资源工具箱NTRK中提供了众多的工具用于显示远程主机用户名和组信息，如前面介绍的nbtstat和nbtscan,另外还有UsrStat等工具等工具二、预攻击探测pUsrStatUsrStat是一个命令行工具，用于显示一个给定域中的每一个用户是一个命令行工具，用于显示一个给定域中的每一个用户的用户名、全名和最后的登录日期与时间，如图所示，可显示域中计算的用户名、全名和最后的登录日期与时间，如图所示，可显示域中计算机上的用户信息。机上的用户信息。三、漏

18、洞扫描口令破解网络嗅探漏洞攻击综合扫描三、漏洞扫描漏洞扫描是一种最常见的攻击模式，用于探测系统和网络漏洞，如获取系统和应用口令，嗅探敏感信息，利用缓存区溢出直接攻击等。针对某一类型的漏洞，都有专门的攻击攻击。另外，也有一些功能强大综合扫描工具，针对系统进行全面探测和漏洞扫描，如流光等。三、漏洞扫描1.1.口令破解口令破解l系统漏洞系统漏洞利用系统漏洞直接提取口令l暴力穷举暴力穷举完全取决于机器的运算速度l字典破解字典破解大大减少运算的次数，提高成功率三、漏洞扫描图：图：NT/2000密码密码-LC3工具工具三、漏洞扫描p针对口令破解攻击的防范措施针对口令破解攻击的防范措施l安装入侵检测系统，检

19、测口令破解行为l安装安全评估系统，先于入侵者进行模拟口令破解，以便及早发现弱口令并解决l提高安全意识，避免弱口令三、漏洞扫描2.2.网络嗅探网络嗅探网络嗅探是主机的一种工作模式，在这种模式下，主机可以接收到共享式网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如,SnifferPro,NetXray，tcpdump，Dsniff等就可以轻而易举地截取包括口令、帐号等敏感信息。l共享信道共享信道广播型以太网l协议不加密协议不加密口令明文传输l混杂模式混杂模式处于这种模式的网卡接受网络中所有数据包三、漏

20、洞扫描p针对口令破解攻击的防范措施针对口令破解攻击的防范措施l安装VPN网关，防止对网间网信道进行嗅探l对内部网络通信采取加密处理l采用交换设备进行网络分段l采取技术手段发现处于混杂模式的主机，发掘“鼹鼠”三、漏洞扫描3.3.漏洞攻击漏洞攻击漏洞即某个程序(包括操作系统)在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。漏洞的产生大致有三个原因漏洞的产生大致有三个原因：l编程人员的人为因素，在程序编写过程，为实现不可告人的目的，在程序代码的隐蔽处保留后门。l受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授

21、权用户的权限提升。l由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现三、漏洞扫描lVulnerabilityWindowsVulnerabilityScanner是一个系统漏洞维是一个系统漏洞维护工具护工具弱点、漏洞。任何系统都存在漏洞。lexploit针对漏洞开发的应用程序。exploit就是利用一切可以利用的工具、采用一切可以采用的方法、找到一切可以找到的漏洞，并且通过对漏洞资料的分析研究，从而达到获取网站用户资料文档、添加自定义用户、甚至侵入网站获得管理员权限控制整个网站的最终目的。三、漏洞扫描常见漏洞攻击实例常见漏洞攻击实例pUnicodeUnicode漏洞漏洞

22、Unicode漏洞编码在中文Windows NT中为：%c1%1c（代表(0 xc1-0 xc0)*0 x40+0 x1c=0 x5c=/）和%c0%2f（代表(0 xc0-0 xcx)*0 x40+0 x2f=0 x2f=）在英文版中为%c0%af（但%c1%pc、%c0%9v、%c0%qf、%c1%8s等几个编码也可能有效）。通过这几个编码我们可以通过在浏览器上获得有Unicode漏洞的机器的文件控制权。简单的检测办法是在浏览器里面输入：http:/xxx.xxx.xxx.xxx/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dir，如果显示：Dir

23、ectory of D:Inetpubscripts 01-05-02 02:32a.01-05-02 02:32a.00-12-18 05:50p samples 说明网站存在漏洞，如果不显示该页面，也可能是因为Scripts目录改名了，我们可以试 着输入：http:/xxx.xxx.xxx.xxx/msabc/.%c1%1c./.%c1%1c./.%c1%1c./winnt/system32/cmd.exe?/c+dir，如果显示像上面一样的目录，表明存在漏洞。（例子中xxx.xxx.xxx.xxx为 服务器的IP地址，在DOS窗口用ping命令即可获得）如果还是没有显示该页面，可用上述其

24、他代码：如%c0%af代替%c1%1c试试。三、漏洞扫描qUnicodeUnicode漏洞攻击漏洞攻击 通过Unicode漏洞就可以使攻击者在浏览器执行DOS命令，如：http:/xxx.xxx.xxx.xxx/scripts/./winnt/system32/cmd.exe?/c+dir+c 这条命令将使服务器列出C盘所有目录文件。http:/xxx.xxx.xxx.xxx/scripts/./winnt/system32/cmd.exe?+copy+c:winntrapair|sam._+c:inetpubwwwroot 这将使服务器执行一个复制C盘WinNT目录下sam._到wwwroo

25、t文件夹的命令(sam.保存了经过加密的Windows NT系统密码文件，如果攻击者下载这一文件，可以在本机用工具解得用户密码)。利用 Echo命令即可通过浏览器直接更改网站的主页，如想修改 c:inetpubwwwrootindex.asp，攻击者可以通过在浏览器的地址栏输入：http:/xxx.xxx.xxx.xxx/scripts/./winnt/system32/cmd.exe?/c+echo+Your+Site+Has+Been+Hacked+c:inetpubwwwrootindex.asp 攻击者还可以利用FTP、TFTP上载木马程序及提升管理权限的程序到被攻击的服务器上,也可以

26、通过建立一个BAT或ASP文件直接获得系统权限从而控制整个系统。三、漏洞扫描q如何防范如何防范UnicodeUnicode编码攻击编码攻击 Unicode编码漏洞最好的修补方式是下载安装微软提供的补丁IIS4.0补丁和IIS5.0补丁可以通过查看winntsystem32logfiles下的W3SVC1目录的log文件，确定是否有人利用Unicode漏洞攻击你的主机（根据设置不同也可能是在W3SVC2或者W3SVC3目录下，黑客们攻击网站后记住删除这个目录下的文件啊！）Unicode漏洞给网络安全管理员配置系统的几个启示：在安装WindowsNT系统的时候，不要按照系统的默认目录把Wwindo

27、ws安装在WinNT目录下，把WinNT目录改名将使攻击者难于猜 中命令执行目录；应该把/WinNT/System32目录下的cmd.exe和net.exe改名或者删除，这 样攻击者就无法找到执行命令的文件；应该把WEB服务器所有的默认安装的执行目录删除，包括Samples、Scripts及Cgibin，这些目录如果被上传可执行文件，即可能对系统造成重大威 胁，如果需要可执行目录，则自己建一个不与默认执行目录同名的目录；网络管理员应该 把系统日记文件目录移到一个更隐蔽的地方，这样攻击者就不容易找到系统记录文件加以清除了。三、漏洞扫描针对漏洞扫描的预防措施针对漏洞扫描的预防措施安装防火墙，禁止访

28、问不该访问的服务端口，使用NAT隐藏内部网络结构安装入侵检测系统，检测漏洞扫描行为安装安全评估系统，先于入侵者进行漏洞扫描，以便及早发现问题并解决提高安全意识，经常给操作系统和应用软件打补丁*windows2000/XP漏洞攻击参见漏洞攻击参见“windows漏洞漏洞”三、漏洞扫描4.4.综合扫描综合扫描安全扫描审计安全扫描审计q分类网络安全扫描系统安全扫描q优点较全面检测流行漏洞降低安全审计人员的劳动强度防止最严重的安全问题q缺点无法跟上安全技术的发展速度只能提供报告，无法实际解决可能出现漏报和误报三、漏洞扫描市场部工程部router开发部ServersFirewall图：综合扫描应用图：综

29、合扫描应用三、漏洞扫描对系统进行安全评估对系统进行安全评估为堵死安全策略和安全措施之间的缺口,必须从以下三方面对网络安全状况进行评估:从企业外部进行评估:考察企业计算机基础设施中的防火墙;从企业内部进行评估:考察内部网络系统中的计算机；从应用系统进行评估:考察每台硬件设备上运行的操作系统。综合扫描工具综合扫描工具流光X-Scanner CIS扫描器四、木马攻击四、木马攻击木马概述木马概述木马的组成木马的组成木马分类木马分类木马常用的欺骗方法木马常用的欺骗方法针对木马攻击的防范措施针对木马攻击的防范措施四、木马与后门攻击四、木马与后门攻击1.1.木马概述木马概述 特洛伊木马程序可以直接侵入用户的

30、电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会在计算机系统中隐藏一个可以在启动时悄悄执行的程序。这种远程控制工具可以完全控制受害主机，危害极大。Windows下：Netbus、subseven、BO2000、冰河、网络神偷UNIX下：Rhost+、Login后门、rootkit等四、木马与后门攻击四、木马与后门攻击2.2.木马的组成木马的组成 对木马程序而言，它一般包括两个部分：客户端和服务器端。服务器端安装在被控制的计算机中，它一般通过电子邮件或其他手段让用户在其计算机中运行，以达

31、到控制该用户计算机的目的。客户端程序是控制者所使用的，用于对受控的计算机进行控制。服务器端程序和客户端程序建立起连接就可以实现对远程计算机的控制了。木马运行时，首先服务器端程序获得本地计算机的最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，并可以向服务器端程序发送各种基本的操作请求，并由服务器端程序完成这些请求，也就实现对本地计算机的控制了。备注：木马发挥作用必须要求服务器端程序和客户端程序同时存在，所以必须要求本地机器感染服务器端程序。服务器端程序是可执行程序，可以直接传播，也可以隐含在其他的可执行程序中传播，但木马本身不具备繁殖性和自动感染的功能。四、木马

32、与后门攻击四、木马与后门攻击3.3.木马分类木马分类q远程访问型木马：是现在最广泛的特洛伊木马，它可以访问受害人的硬盘，并对其进行控制。这种木马用起来非常简单，只要某用户运行一下服务端程序，并获取该用户的IP地址，就可以访问该用户的计算机。这种木马可以使远程控制者在本地机器上做任意的事情，比如键盘记录、上传和下载功能、截取屏幕等等。这种类型的木马有著名的BO（BackOffice）和国产的冰河等。q密码发送型木马：其目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的木马不会在每次的Windows重启时重启，而且它们大多数使用25端口发送E-mail。四、木

33、马与后门攻击四、木马与后门攻击q键盘记录型木马：其非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。这种特洛伊木马随着Windows的启动而启动，知道受害者在线并且记录每一件事。q毁坏型木马：其唯一功能是毁坏并且删除文件。这使它们非常简单，并且很容易被使用。它们可以自动地删除用户计算机上的所有的.DLL、INI或EXE文件。qFTP型木马：其打开用户计算机的21端口（FTP所使用的默认端口），使每一个人都可以用一个FTP客户端程序来不用密码连接到该计算机，并且可以进行最高权限的上传下载四、木马与后门攻击四、木马与后门攻击q捆绑欺骗：如把木马服务端和某个游戏

34、捆绑成一个文件在邮件中发给别人；q危险下载点：攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载；或直接将木马改名上载到FTP网站上，等待别人下载；q文件夹惯性点击：把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹；qzip伪装：将一个木马和一个损坏的zip包捆绑在一起，然后指定捆绑后的文件为zip图标；q网页木马四、木马与后门攻击四、木马与后门攻击4.木马常用的欺骗方法木马常用的欺骗方法q木马隐藏方式：在任务栏中隐藏；在任务管理器中隐形；悄没声息地启动：如启动组、win.ini、system.ini、注册表等；注意自己的端口；伪装成驱动

35、程序及动态链接库：如Kernl32.dll，sysexlpr.exe 等。四、木马与后门攻击四、木马与后门攻击一般情况下，木马在运行后，都会修改系统，以便下一次系统启动时自动运行该木马程序。修改系统的方法有下面几种：利用Autoexec.bat和Config.sys进行加载;修改注册表;修改win.ini文件;感染Windows系统文件,以便进行自动启动并达到自动隐藏的目的.四、木马与后门攻击四、木马与后门攻击5.5.冰河演示冰河演示国内黑客组织编写；国内黑客组织编写；分为服务器端和客户端：分为服务器端和客户端：G_Server.exeG_Server.exe和和G_Client.exeG_C

36、lient.exe功能齐全：功能齐全：跟踪屏幕变化；跟踪屏幕变化；记录各种口令；记录各种口令；获取系统信息；获取系统信息；控制系统；控制系统；注册表操作；注册表操作；文件操作；文件操作；点对点通信点对点通信缺省使用缺省使用76267626端口端口四、木马与后门攻击四、木马与后门攻击四、木马与后门攻击四、木马与后门攻击四、木马与后门攻击四、木马与后门攻击5.5.针对木马攻击的预防措施针对木马攻击的预防措施安装防火墙，禁止访问不该访问的服务端口，使用NAT隐藏内部网络结构安装防病毒软件提高安全意识，尽量避免使用来历不明的软件防范：端口扫描；查看连接；检查注册表；查找文件；杀病毒软件或木马清除软件。

37、五、拒绝服务攻击五、拒绝服务攻击拒绝服务攻击拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务攻击五、拒绝服务攻击五、拒绝服务攻击1.1.拒绝服务攻击拒绝服务攻击DoS（Denial of Service）是一种利用合理的服务请求占用过多的服务资源，从而使合法用户无法得到服务响应的网络攻击行为。被DoS攻击时的现象大致有：*被攻击主机上有大量等待的TCP连接；*被攻击主机的系统资源被大量占用，造成系统停顿；*网络中充斥着大量的无用的数据包，源地址为假地址；*高流量无用数据使得网络拥塞，受害主机无法正常与外界通讯；*利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法

38、及时处理所有正常请求；*严重时会造成系统死机。五、拒绝服务攻击五、拒绝服务攻击常见的拒绝服务攻击常见的拒绝服务攻击qSYN SYN FooldFoold攻击攻击是利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake)，而SYN Flood拒绝服务攻击就是通过三次握手而实现的。三次握手简介：首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号。服务器

39、在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。最后，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加1，到此一个TCP连接完成。五、拒绝服务攻击五、拒绝服务攻击SYN-Flooding攻击演示攻击演示SYN（我可以和你连接吗？）（我可以和你连接吗？）ACK|SYN（可以，请确认！）（可以，请确认！）ACK（确认连接）（确认连接）发起方发起方应答方应答方正常的三次握手建立通讯的过程五、拒绝服务攻击五、拒绝服务攻击攻击者攻击者受害者受害者攻击者伪造源地址进行SYN请求为何还为何

40、还没回应没回应就是让就是让你白等你白等不能建立正常的连接其它正常用户得不到响应SYN（我可以和你连接吗？）（我可以和你连接吗？）ACK|SYN（可以，请确认！）（可以，请确认！）？五、拒绝服务攻击五、拒绝服务攻击攻击者攻击者目标目标攻击者伪造源地址进行SYN请求好像不好像不管用了管用了其它正常用户能够得到响应 SYN ACK|SYN？SYN ACK ACK|SYNSYN-Flooding攻击的防范措施攻击的防范措施五、拒绝服务攻击五、拒绝服务攻击qUDP-Flood攻击攻击原理：原理：攻击者利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机

41、的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间存在很多的无用数据流，这些无用数据流就会导致带宽的服务攻击。*chargen:字符产生的缩写，输出一个可打印字符的旋转序列，用于测试字符终端设备*五、拒绝服务攻击五、拒绝服务攻击UDP FlooderUDP Flooder演示演示五、拒绝服务攻击五、拒绝服务攻击杜绝杜绝UDPUDP攻击的方法攻击的方法 关掉不必要的TCP/IP服务;配置防火墙以阻断来自Internet的UDP服务请求 不过这可能会阻断一些正常的UDP服务请求。五、拒绝服务攻击五、拒绝服务攻击qSMURF攻击攻击原理：原理

42、：Smurf是一种具有放大效果的DoS攻击，具有很大的危害性。这种攻击形式利用了TCP/IP中的定向广播的特性，共有三个参与角色：受害者、帮凶（放大网络，即具有广播特性的网络）和攻击者。攻击者向放大网络中的广播地址发送源地址（假冒）为受害者系统的ICMP回射请求，由于广播的原因，放大网络上的所有系统都会向受害者系统做出回应，从而导致受害者不堪重负而崩溃。五、拒绝服务攻击五、拒绝服务攻击五、拒绝服务攻击五、拒绝服务攻击检测：检测：如果在网络内检测到目标地址为广播地址的ICMP包。证明内部有人发起了这种攻击（或者是被用作攻击，或者是内部人员所为）；如果ICMP包的数量在短时间内上升许多(正常的pi

43、ng程序每隔一秒发一个ICMP echo请求)，证明有人在利用这种方法攻击系统。预防预防SmurfSmurf攻击攻击 为了防止成为DoS的帮凶，最好关闭外部路由器或防火墙的广播地址特性；为了防止被攻击，在防火墙上过滤掉ICMP报文，或者在服务器上禁止Ping，并且只在必要时才打开ping服务。Smurf还有一个变种为Fraggle攻击，它利用UDP来代替ICMP包。五、拒绝服务攻击五、拒绝服务攻击q眼泪攻击眼泪攻击原理：原理：利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括servic

44、epack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。防御泪滴攻击的最好办法防御泪滴攻击的最好办法 升级服务包软件，如下载操作系统补丁或升级操作系统等;在设置防火墙时对分组进行重组，而不进行转发，这样也可以防止这种攻击。五、拒绝服务攻击五、拒绝服务攻击qLand攻击攻击原理：用一个特别打造的SYN包，它的源地址和目标地址都被设置成某一个服务器地址。此举将导致接收服务器向它自己的地址发送SYN+ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢(大约持续5分钟)

45、。LAND攻击预防:预防LAND攻击最好的办法是配置防火墙，对哪些在外部接口入站的含有内部源地址的数据包过滤。五、拒绝服务攻击五、拒绝服务攻击针对拒绝服务攻击的防范措施q安装防火墙，禁止访问不该访问的服务端口，过滤不正常的畸形数据包，使用NAT隐藏内部网络结构q安装入侵检测系统，检测拒绝服务攻击行为q安装安全评估系统，先于入侵者进行模拟攻击，以便及早发现问题并解决q提高安全意识，经常给操作系统和应用软件打补丁五、拒绝服务攻击五、拒绝服务攻击2.2.分布式分布式拒绝服务攻击拒绝服务攻击DDOSDDOS DDOS则是利用多台计算机，采用了分布式对单个或者多个目标同时发起DoS攻击。其特点是:目标是

46、“瘫痪敌人”，而不是传统的破坏和窃密;利用国际互联网遍布全球的计算机发起攻击，难于追踪。DDoS攻击攻击由三部分组成由三部分组成 客户端程序（黑客主机）控制点（Master）代理程序（Zombie），或者称为攻击点（daemon）五、拒绝服务攻击五、拒绝服务攻击DDOSDDOS攻击分类攻击分类带宽耗尽型是堵塞目标网络的出口，导致带宽消耗不能提供正常的上网服务。例如常见的Smurf攻击、UDP Flood攻击、MStream Flood攻击等。针对此类攻击一般采取的措施就是QoS，在路由器或防火墙上针对此类数据流限制流量，从而保证正常带宽的使用。单纯带宽耗尽型攻击较易被识别，并被丢弃。资源耗尽型

47、攻击者利用服务器处理缺陷，消耗目标服务器的关键资源，例如CPU、内存等，导致无法提供正常服务。例如常见的Syn Flood攻击、NAPTHA攻击等。资源耗尽型攻击利用系统对正常网络协议处理的缺陷，使系统难于分辨正常流和攻击流，导致防范难度较大，是目前业界最关注的焦点问题，例如方正SynGate产品就是专门防范此类的产品。五、拒绝服务攻击五、拒绝服务攻击被被DDoSDDoS攻攻击时击时的的现现象：象：*被攻击主机上有大量等待的TCP连接*网络中充斥着大量的无用的数据包，源地址为假*制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯*利用受害主机提供的服务或传输协议上的缺陷，反复高速的

48、发出特定的服务请求，使受害主机无法及时处理所有正常请求*严重时会造成系统死机 五、拒绝服务攻击五、拒绝服务攻击分布式拒绝服务攻击网络结构图分布式拒绝服务攻击网络结构图客户端客户端客户端客户端主控端主控端主控端主控端主控端主控端主控端主控端代代理理端端代代理理端端代代理理端端代代理理端端代代理理端端代代理理端端代代理理端端代代理理端端五、拒绝服务攻击五、拒绝服务攻击分布式拒绝服务攻击步骤分布式拒绝服务攻击步骤不安全的计算机不安全的计算机扫描程序扫描程序Hacker攻击者使用扫描工具攻击者使用扫描工具探测扫描大量主机以探测扫描大量主机以寻找潜在入侵目标。寻找潜在入侵目标。1Internet五、拒绝

49、服务攻击五、拒绝服务攻击Hacker被控制的计算机被控制的计算机(代理端代理端)黑客设法入侵有安全漏洞黑客设法入侵有安全漏洞的主机并获取控制权。这的主机并获取控制权。这些主机将被用于放置后门、些主机将被用于放置后门、sniffer或守护程序甚至是或守护程序甚至是客户程序。客户程序。2Internet五、拒绝服务攻击五、拒绝服务攻击Hacker 黑客黑客在得到入侵计算机在得到入侵计算机清单后，从中选出满足建清单后，从中选出满足建立网络所需要的主机，放立网络所需要的主机，放置已编译好的守护程序，置已编译好的守护程序，并对被并对被控制的计算机发送控制的计算机发送命令。命令。3被控制计算机（代理端）被

50、控制计算机（代理端）MasterServerInternet五、拒绝服务攻击五、拒绝服务攻击Hacker Using Client program,黑客发送控制命令给主机，黑客发送控制命令给主机，准备启动对目标系统的攻击准备启动对目标系统的攻击4被控制计算机（代理端）被控制计算机（代理端）TargetedSystemMasterServerInternet五、拒绝服务攻击五、拒绝服务攻击InternetHacker 主机发送攻击信号给被控主机发送攻击信号给被控制计算机开始对目标系统制计算机开始对目标系统发起攻击。发起攻击。5MasterServerTargeted System被控制计算机（代