计算机网络安全第7章优秀PPT.ppt

《计算机网络安全第7章优秀PPT.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全第7章优秀PPT.ppt（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、学问点l黑客攻击的目的、黑客攻击的三个阶段黑客攻击的目的、黑客攻击的三个阶段l黑客攻击的常用工具、黑客攻击的防备黑客攻击的常用工具、黑客攻击的防备l网络监听及其检测网络监听及其检测l扫描器及其运用扫描器及其运用l来自来自E-mail的攻击、的攻击、E-mail的平安策略的平安策略l特洛伊木马程序及其检测、删除特洛伊木马程序及其检测、删除4/15/20231黑客攻击与防范难 点 黑客攻击的防备黑客攻击的防备网络监听及其检测网络监听及其检测特洛伊木马程序及其检测、删除特洛伊木马程序及其检测、删除4/15/20232黑客攻击与防范要求娴熟驾驭以下内容：娴熟驾驭以下内容：什么是黑客？黑客攻击的目的、常

2、用工具及攻击什么是黑客？黑客攻击的目的、常用工具及攻击的防备的防备网络监听及其检测方法网络监听及其检测方法来自来自E-mail的攻击、的攻击、E-mail的平安策略的平安策略特洛伊木马程序及其检测、删除特洛伊木马程序及其检测、删除了解以下内容：了解以下内容：E-mail的平安漏洞的平安漏洞特洛伊木马的存在形式特洛伊木马的存在形式4/15/20233黑客攻击与防范第一节 黑客攻击介绍 l黑客与入侵者黑客与入侵者l黑客攻击的目的黑客攻击的目的l黑客攻击的三个阶段黑客攻击的三个阶段l黑客攻击手段黑客攻击手段4/15/20234黑客攻击与防范黑客与入侵者黑客的行为没有恶意，而入侵者的行为具黑客的行为没

3、有恶意，而入侵者的行为具有恶意。有恶意。在网络世界里，要想区分开谁是真正意义在网络世界里，要想区分开谁是真正意义上的黑客，谁是真正意义上的入侵者并不简洁，上的黑客，谁是真正意义上的入侵者并不简洁，因为有些人可能既是黑客，也是入侵者。而且因为有些人可能既是黑客，也是入侵者。而且在大多数人的眼里，黑客就是入侵者。所以，在大多数人的眼里，黑客就是入侵者。所以，在以后的探讨中不再区分黑客、入侵者，将他在以后的探讨中不再区分黑客、入侵者，将他们视为同一类。们视为同一类。4/15/20235黑客攻击与防范7.1.2黑客攻击的目的黑客攻击的目的1窃取信息窃取信息2获得口令获得口令3限制中间站点限制中间站点4

4、获得超级用户权限获得超级用户权限4/15/20236黑客攻击与防范7.1.3黑客攻击的黑客攻击的3个阶段个阶段1确定目标确定目标2搜搜集集与与攻攻击击目目标标相相关关的的信信息息，并并找找出出系系统的平安漏洞统的平安漏洞3实施攻击实施攻击4/15/20237黑客攻击与防范黑客攻击手段黑客攻击手段1黑客往往运用扫描器黑客往往运用扫描器2黑黑客客常常常常利利用用一一些些别别人人运运用用过过的的并并在在平平安领域广为人知的技术和工具。安领域广为人知的技术和工具。3黑客利用黑客利用Internet站点上的有关文章站点上的有关文章4黑客利用监听程序黑客利用监听程序5黑客利用网络工具进行侦察黑客利用网络工

5、具进行侦察6黑客自己编写工具黑客自己编写工具4/15/20238黑客攻击与防范其次节 黑客攻击常用工具 l网络监听网络监听l扫描器扫描器4/15/20239黑客攻击与防范7.2.1网络监听网络监听1.网络监听简介网络监听简介所谓网络监听就是获得在网络上传所谓网络监听就是获得在网络上传输的信息。通常，这种信息并不是特定输的信息。通常，这种信息并不是特定发给自己计算机的。一般状况下，系统发给自己计算机的。一般状况下，系统管理员为了有效地管理网络、诊断网络管理员为了有效地管理网络、诊断网络问题而进行网络监听。然而，黑客为了问题而进行网络监听。然而，黑客为了达到其不行告人的目的，也进行网络监达到其不行

6、告人的目的，也进行网络监听。听。4/15/202310黑客攻击与防范2.在以太网中的监听在以太网中的监听（1）以太网中信息传输的原理。）以太网中信息传输的原理。以太网协议的工作方式：发送信息时，发以太网协议的工作方式：发送信息时，发送方将对全部的主机进行广播，广播包的包头送方将对全部的主机进行广播，广播包的包头含有目的主机的物理地址，假如地址与主机不含有目的主机的物理地址，假如地址与主机不符，则该主机对数据包不予理睬，只有当地址符，则该主机对数据包不予理睬，只有当地址与主机自己的地址相同时主机才会接受该数据与主机自己的地址相同时主机才会接受该数据包，但网络监听程序可以使得主机对全部通过包，但网

7、络监听程序可以使得主机对全部通过它的数据进行接受或变更。它的数据进行接受或变更。4/15/202311黑客攻击与防范（2）监听模式的设置）监听模式的设置要要使使主主机机工工作作在在监监听听模模式式下下，须须要要向向网网络络接接口口发发送送I/O限限制制吩吩咐咐；将将其其设设置置为为监监听听模模式式。在在UNIX系系统统中中，发发送送这这些些吩吩咐咐须须要要超超级级用用户户的的权权限限。在在UNIX系系统统中中一一般般用用户户是是不不能能进进行行网网络络监监听听的的。但但是是，在在上上网网的的Windows95中中，则则没没有有这这个个限限制制。只只要要运运行行这这一一类类的的监监听听软软件件即

8、即可可，而而且且具具有有操操作作便便利利，对对监监听听到到信信息息的的综综合实力强的特点。合实力强的特点。4/15/202312黑客攻击与防范（3）网络监听所造成的影响）网络监听所造成的影响网网络络监监听听使使得得进进行行监监听听的的机机器器响响应应速度变得特别慢速度变得特别慢4/15/202313黑客攻击与防范3.常用的监听工具常用的监听工具（1）snoopsnoop可可以以截截获获网网络络上上传传输输的的数数据据包包，并并显显示示这这些些包包中中的的内内容容。它它运运用用网网络络包包过过滤滤功功能能和和缓缓冲冲技技术术来来供供应应有有效效的的对对网网络络通通信信过过滤滤的的功功能能。那那些

9、些截截获获的的数数据据包包中中的的信信息息可可以以在在它它们们被被截截获获时时显显示示出出来来，也也可可以以存存储储在在文文件件中中，用用于于以以后后的检查。的检查。Snoop可可以以以以单单行行的的形形式式只只输输出出数数据据包包的的总总结结信信息息，也也可可以以以以多多行行的的形形式式对对包包中中信信息息具具体说明。体说明。4/15/202314黑客攻击与防范2Sniffit软件软件Sniffit是是由由LawrenceBerkeley试试验验室室开开发发的的，运运行行于于Solaris、SGI和和Linux等等平平台台的的一一种种免免费费网网络络监监听听软软件件，具具有有功功能能强强大大

10、且且运运用用便便利利的的特特点点。运运用用时时，用用户户可可以以选选择择源源、目目标标地地址址或或地地址址集集合合，还还可可以选择监听的端口、协议和网络接口等。以选择监听的端口、协议和网络接口等。4/15/202315黑客攻击与防范4.网络监听的检测 方法一：方法一：对于怀疑运行监听程序的机器，用正确的对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去地址和错误的物理地址去ping，运行监听程序，运行监听程序的机器会有响应。这是因为正常的机器不接收的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。错误的物理地址，处于监听状态的机器能接收。假如他的假如

11、他的IPstack不再次反向检查的话，就会不再次反向检查的话，就会响应。这种方法依靠于系统的响应。这种方法依靠于系统的IPstack，对一，对一些系统可能行不通。些系统可能行不通。4/15/202316黑客攻击与防范方法二：方法二：往往网网上上发发大大量量不不存存在在的的物物理理地地址址的的包包，由由于于监监听听程程序序将将处处理理这这些些包包，将将导导致致性性能能下下降降。通通过过比比较较前前后后该该机机器器性性能能（icmpechodelay等等方方法法）加以推断。这种方法难度比较大。加以推断。这种方法难度比较大。方法三：方法三：一一个个看看起起来来可可行行的的检检查查监监听听程程序序的的

12、方方法法是是搜搜寻寻全全部部主主机机上上运运行行的的进进程程。那那些些运运用用DOS、WindowsforWorkgroup或或者者Windows95的的机机器器很很难难做做到到这这一一点点。而而运运用用UNIX和和WindowsNT的机器可以很简洁地得到当前进程的清单。的机器可以很简洁地得到当前进程的清单。4/15/202317黑客攻击与防范方法四：方法四：另另外外一一个个方方法法就就是是去去搜搜寻寻监监听听程程序序，入入侵侵者者很很可可能能运运用用的的是是一一个个免免费费软软件件。管管理理员员就就可可以以检检查查书书目目，找找出出监监听听程程序序，但但这这很很困困难难而而且且很很费费时时间

13、间。在在UNIX系系统统上上，人人们们可可能能不不得得不不自自己己编编写写一一个个程程序序。另另外外，假假如如监监听听程程序序被被换换成成另另一一个个名名字字，管理员也不行能找到这个监听程序。管理员也不行能找到这个监听程序。4/15/202318黑客攻击与防范7.2.2扫描器扫描器1.扫描器简介扫描器简介扫扫描描器器是是自自动动检检测测远远程程或或本本地地主主机机平平安安性性漏漏洞洞的的程程序包。序包。运运用用扫扫描描器器，不不仅仅可可以以很很快快地地发发觉觉本本地地主主机机系系统统配配置置和和软软件件上上存存在在的的平平安安隐隐患患，而而且且还还可可以以不不留留痕痕迹迹地地发发觉觉远远在在另

14、另一一个个半半球球的的一一台台主主机机的的平平安安性性漏漏洞洞，这这种种自动检测功能快速而精确。自动检测功能快速而精确。扫扫描描器器和和监监听听工工具具一一样样，不不同同的的人人运运用用会会有有不不同同的的结结果果：假假如如系系统统管管理理员员运运用用了了扫扫描描器器，它它将将干干脆脆有有助助于于加加强强系系统统平平安安性性；而而对对于于黑黑客客来来说说，扫扫描描器器是是他他们们进进行行攻攻击击入入手手点点，不不过过，由由于于扫扫描描器器不不能能干干脆脆攻攻击击网网络络漏漏洞洞，所所以以黑黑客客运运用用扫扫描描器器找找出出目目标标主主机机上上各各种种各各样的平安漏洞后，利用其他方法进行恶意攻击

15、。样的平安漏洞后，利用其他方法进行恶意攻击。4/15/202319黑客攻击与防范2.端口扫描端口扫描（）端口（）端口很很多多TCP/IP程程序序可可以以通通过过Internet启启动动，这这些些程程序序大大都都是是面面对对客客户户/服服务务器器的的程程序序。当当inetd接接收收到到一一个个连连接接恳恳求求时时，它它便便启启动动一一个个服服务务，与与恳恳求求客客户户服服务务的的机机器器通通讯讯。为为简简化化这这一一过过程程，每每个个应应用用程程序序（比比如如FTP、Telnet）被被赐赐予予一一个个唯唯一一的的地地址址，这这个个地地址址称称为为端端口口。在在一一般般的的Internet服服务务

16、器器上上都都有有数数千千个个端端口口，为为了了简简便便和和高高效效，为为每每个个指指定定端端口口都都设设计计了了一一个个标标准准的的数数据据帧帧。换换句句话话说说，尽尽管管系系统统管管理理员员可可以以把把服服务务绑绑定定（bind）到到他他选选定定的的端端口口上上，但但服服务务一一般般都都被被绑绑定定到到指指定定的的端端口口上上，它它们们被被称称为公认端口。为公认端口。4/15/202320黑客攻击与防范（）端口扫描简介（）端口扫描简介端口扫描是一种获得主机信息的好方法。端口扫描是一种获得主机信息的好方法。端口扫描程序对于系统管理人员，是一端口扫描程序对于系统管理人员，是一个特别简便好用的工具

17、。个特别简便好用的工具。假如扫描到一些标准端口之外的端口，假如扫描到一些标准端口之外的端口，系统管理员必需清晰这些端口供应了一系统管理员必需清晰这些端口供应了一些什么服务，是不是允许的。些什么服务，是不是允许的。4/15/202321黑客攻击与防范3.常用的扫描工具（）网络分析工具SATAN SATAN是一个分析网络的平安管理和测试、报告工具。它用来收集网络上主机的很多信息，并可以识别且自动报告与网络相关的平安问题。对所发觉的每种问题类型，SATAN都供应对这个问题的说明以及它可能对系统和网络平安造成的影响的程度。通过所附的资料，它还说明如何处理这些问题。4/15/202322黑客攻击与防范（

18、）网络平安扫描器（）网络平安扫描器NSS网网络络平平安安扫扫描描器器是是一一个个特特别别隐隐藏藏的的扫扫描描器器。假假如如你你用用流流行行的的搜搜寻寻程程序序搜搜寻寻它它，你你所所能能发发觉觉的的入入口口不不超超过过20个个。这这并并非非意意味味着着NSS运运用用不不广广泛泛，而而是是意意味味着着多多数数载载有有该该扫扫描描器器的的FTP的的站站点点处处在在暗暗处处，或无法通过或无法通过WWW搜寻器找到它们。搜寻器找到它们。4/15/202323黑客攻击与防范（）（）Strobe超超级级优优化化TCP端端口口检检测测程程序序Strobe是是一一个个TCP端端口口扫扫描描器器。它它具具有有在在最

19、最大大带带宽宽利利用用率率和和最最小小进进程程资资源源需需求求下下，快快速速地地定定位位和和扫扫描描一一台台远远程程目目标标主主机机或或很很多多台主机的全部台主机的全部TCP“监听监听”端口的实力。端口的实力。4/15/202324黑客攻击与防范（4）InternetScannerInternetScanner可可以以说说是是可可得得到到的的最最快快和和功功能能最最全全的的平平安安扫扫描描工工具具，用用于于UNIX和和WindowsNT。它它简简洁洁配配置置，扫扫描速度快，并且能产生综合报告。描速度快，并且能产生综合报告。4/15/202325黑客攻击与防范（5）PortScannerPort

20、Scanner是是一一个个运运行行于于Windows95和和WindowsNT上上的的端端口口扫扫描描工工具具，其其起起先先界界面面上上显显示示了了两两个个输输入入框框，上上面面的的输输入入框框用用于于要要扫扫描描的的起起先先主主机机IP地地址址，下下面面的的输输入入框框用用于于输输入入要要扫扫描描的的结结束束主主机机IP地地址址。在在这这两两个个IP地地址址之之间间的的主主机机将被扫描。将被扫描。4/15/202326黑客攻击与防范第三节 黑客攻击常见的两种形式 l E-mailE-mail攻击攻击l 特洛伊木马攻击特洛伊木马攻击4/15/202327黑客攻击与防范7.3.1E-mail攻击

21、攻击1.E-mail工作原理工作原理一一个个邮邮件件系系统统的的传传输输实实际际包包含含了了三三个个方方面面，它它们们是是用用户户代代理理（User Agent）、传传输输代代理理（Transfer Agent）及及 接接 受受 代代 理理（DeliveryAgent）三大部分。）三大部分。用用户户代代理理是是一一个个用用户户端端发发信信和和收收信信的的应应用用程程序序，它它负负责责将将信信依依据据确确定定的的标标准准包包装装，然然后后送送至至邮邮件件服服务务器器，将将信信件件发发出出或或由由邮邮件件服服务务器器收回。收回。传传输输代代理理则则负负责责信信件件的的交交换换和和传传输输，将将信信

22、件传送至适当的邮件主机。件传送至适当的邮件主机。4/15/202328黑客攻击与防范接接受受代代理理则则是是负负责责将将信信件件依依据据信信件件的的信信息息而分发至不同的邮件信箱。而分发至不同的邮件信箱。传传输输代代理理要要求求能能够够接接受受用用户户邮邮件件程程序序送送来来的的信信件件，解解读读收收信信人人的的具具体体地地址址，依依据据SMTP（SimpleMailTransportProtocol）协协议议将将它它正正确确无无误误地地传传递递到到目目的的地地。而而接接收收代代理理POP（PostOfficeProtocol，网网络络邮邮局局协协议议或或网网络络中中转转协协议议）则则必必需需

23、能能够够把把用用户户的的邮邮件件被被用用户读取至自己的主机。户读取至自己的主机。4/15/202329黑客攻击与防范2.E-mail的平安漏洞的平安漏洞（1）HotmailService存在漏洞存在漏洞（2）sendmail存在平安漏洞存在平安漏洞（3）用）用Web阅读器查看邮件带来的漏洞阅读器查看邮件带来的漏洞（4）E-mail服务器的开放性带来的威逼服务器的开放性带来的威逼（5）E-mail传输形式的潜在威逼传输形式的潜在威逼4/15/202330黑客攻击与防范3.匿名转发匿名转发所所谓谓匿匿名名转转发发，就就是是电电子子邮邮件件的的发发送送者者在在发发送送邮邮件件时时，使使接接收收者者搞

24、搞不不清清邮邮件件的的发发送送者者是是谁谁，邮邮件件从从何何处处发发送送，接接受受这这种种邮邮件件发发送送的的方方法法称称为为匿匿名名转转发发，用用户接收到的邮件又叫匿名邮件。户接收到的邮件又叫匿名邮件。4/15/202331黑客攻击与防范4.来自来自E-mail的攻击的攻击（1）E-mail欺瞒欺瞒（2）E-mail轰炸轰炸4/15/202332黑客攻击与防范5.E-mail平安策略平安策略爱爱护护E-mail的的有有效效方方法法是是运运用用加加密密签签字字，如如“PrettyGoodPrivacy”（PGP），来来验验证证E-mail信信息息。通通过过验验证证E-mail信信息息，可可以以

25、保保证证信信息息的的确确来来自自发发信信人人，并并保保证证在传送过程中信息没有被修改。在传送过程中信息没有被修改。4/15/202333黑客攻击与防范特洛伊木马攻击特洛伊木马攻击1.特洛伊木马程序简介特洛伊木马程序简介（1）什么是特洛伊木马）什么是特洛伊木马特特洛洛伊伊木木马马来来自自于于希希腊腊神神话话，这这里里指指的的是是一一种种黑黑客客程程序序，它它一一般般有有两两个个程程序序，一一个个是是服服务务器器端端程程序序，一一个个是是限限制制器器端端程程序序。假假如如用用户户的的电电脑脑安安装装了了服服务务器器端端程程序序，那那么么黑黑客客就就可可以以运运用用限限制制器器端端程程序序进进入入用

26、用户户的的电电脑脑，通通过过吩吩咐咐服服务器断程序达到限制用户电脑的目的。务器断程序达到限制用户电脑的目的。4/15/202334黑客攻击与防范（2）木马服务端程序的植入）木马服务端程序的植入攻攻击击者者要要通通过过木木马马攻攻击击用用户户的的系系统统，一一般般他他所所要要作作的的第第一一步步就就是是要要把把木木马马的的服服务务器器端端程程序序植植入入用用户户的的电电脑脑里里面面。植植入的方法有：入的方法有：下载的软件下载的软件 通过交互脚本通过交互脚本通过系统漏洞通过系统漏洞4/15/202335黑客攻击与防范（3）木马将入侵主机信息发送给攻击者）木马将入侵主机信息发送给攻击者木木马马在在被

27、被植植入入攻攻击击主主机机后后，他他一一般般会会通通过过确确定定的的方方式式把把入入侵侵主主机机的的信信息息、如如主主机机的的IP地地址址、木木马马植植入入的的端端口口等等发发送送给给攻攻击击者者，这这样样攻攻击击者者就就可可以以与与木木马马里里应外合限制受攻击主机。应外合限制受攻击主机。4/15/202336黑客攻击与防范（4）木马程序启动并发挥作用）木马程序启动并发挥作用黑黑客客通通常常都都是是和和用用户户的的电电脑脑中中木木马马程程序序联联系系，当当木木马马程程序序在在用用户户的的电电脑脑中中存存在在的的时时候候，黑黑客客就就可可以以通通过过限限制制器器断断的的软软件件来来吩吩咐咐木木马

28、马做做事事。这这些些吩吩咐咐是是在在网网络络上上传传递递的的，必必须须要要遵遵守守TCP/IP协协议议。TCP/IP协协议议规规定定电电脑脑的的端端口口有有256X256=65536个个，从从0到到65535号号端端口口，木木马马可可以以打打开开一一个个或或者者几几个个端端口口，黑黑客客运运用用的的限限制制器器断断软软件件就就是是通通过过木木马马的的端口进入用户的电脑的。端口进入用户的电脑的。特洛伊木马要能发挥作用必需具备三个因素：特洛伊木马要能发挥作用必需具备三个因素：木木马马须须要要一一种种启启动动方方式式，一一般般在在注注册册表表启启动组中；动组中；木马须要在内存中才能发挥作用；木马须要

29、在内存中才能发挥作用；木木马马会会打打开开特特殊殊的的端端口口，以以便便黑黑客客通通过过这这个端口和木马联系。个端口和木马联系。4/15/202337黑客攻击与防范2.特洛伊程序的存在形式特洛伊程序的存在形式(1)大大部部分分的的特特洛洛伊伊程程序序存存在在于于编编译译过过的的二二进制文件中。进制文件中。(2)特特洛洛伊伊程程序序也也可可以以在在一一些些没没有有被被编编译译的的可执行文件中发觉。可执行文件中发觉。4/15/202338黑客攻击与防范3.特洛伊程序的检测特洛伊程序的检测（1）通过检查文件的完整性来检测特洛伊程序。）通过检查文件的完整性来检测特洛伊程序。（2）检测特洛伊程序的技术）

30、检测特洛伊程序的技术MD5MD5属属于于一一个个叫叫做做报报文文摘摘要要算算法法的的单单向向散散列列函函数数中中的的一一种种。这这种种算算法法对对随随意意长长度度的的输输入入报报文文都都产产生生一一个个128位位的的“指指纹纹”或或“报报文文摘摘要要”作作为为输输出出。它它的的一一个个假假设设前前提提是是：要要产产生生具具有有同同样样报报文文摘摘要要的的两两个个报报文文或或要要产产生生给给定定报报文文摘摘要的报文是不行能的。要的报文是不行能的。4/15/202339黑客攻击与防范4.特洛伊程序的删除特洛伊程序的删除删删除除木木马马最最简简洁洁的的方方法法是是安安装装杀杀毒毒软软件件，现现在在很

31、很多多杀杀毒毒软软件件都都能能删删除除多多种种木木马马。但但是是由由于于木木马马的的种种类类和和花花样样越越来来越越多多，所所以以手手动动删删除除还还是是最最好好的的方方法法。木木马马在在启启动动后后会会被被加加载载到到注注册册表表的的启启动动组组中中，它它会会先先进进入入内内存存，然然后后打打开开端端口口。所所以以在在查查找找木木马马时时要要先先运运用用TCPVIEW，而后起先查找开放的可疑端口。，而后起先查找开放的可疑端口。4/15/202340黑客攻击与防范l 发觉黑客发觉黑客l 发觉黑客入侵后的对策发觉黑客入侵后的对策第四节 黑客攻击的防范 4/15/202341黑客攻击与防范7.4.

32、1发觉黑客 1.在黑客正在活动时，捉住他在黑客正在活动时，捉住他2.依据系统发生的一些变更推断系统已被入侵依据系统发生的一些变更推断系统已被入侵3.依据系统中一些惊异的现象推断依据系统中一些惊异的现象推断4.一个用户登录进来很多次一个用户登录进来很多次5.一一个个用用户户大大量量地地进进行行网网络络活活动动，或或者者其其他他一一些些很不正常的网络操作很不正常的网络操作6.一一些些原原本本不不常常常常运运用用的的账账户户，突突然然变变得得活活跃跃起起来来4/15/202342黑客攻击与防范7.4.2发觉黑客入侵后的对策发觉黑客入侵后的对策1.估计形势估计形势当当证证明明遭遭到到入入侵侵时时，实实

33、行行的的第第一一步步行行动动是是尽可能快地估计入侵造成的破坏程度。尽可能快地估计入侵造成的破坏程度。2.实行措施实行措施（1）杀死这个进程来切断黑客与系统的连接。）杀死这个进程来切断黑客与系统的连接。（2）运运用用write或或者者talk工工具具询询问问他他们们原原委委想想要要做什么。做什么。（3）跟跟踪踪这这个个连连接接，找找出出黑黑客客的的来来路路和和身身份份。这时候，这时候，nslookup、finger等工具很有用。等工具很有用。4/15/202343黑客攻击与防范（4）管管理理员员可可以以运运用用一一些些工工具具来来监监视视黑黑客客，视视察察他他们们在在做做什什么么。这这些些工工具

34、具包包括括snoop、ps、lastcomm和和ttywatch等。等。（5）ps、w和和who这这些些吩吩咐咐可可以以报报告告每每一一个个用用户户运运用用的的终终端端。假假如如黑黑客客是是从从一一个个终终端端访访问问系系统统，这这种种状状况况不不太太好好，因因为为这这须须要要事事先先与与电电话话公公司司联系。联系。（6）运运用用who和和netstat可可以以发发觉觉入入侵侵者者从从哪哪个个主主机机上上过过来来，然然后后可可以以运运用用finger吩吩咐咐来来查查看看哪些用户登录进远程系统。哪些用户登录进远程系统。（7）修修复复平平安安漏漏洞洞并并复复原原系系统统，不不给给黑黑客客留留有有可

35、乘之机。可乘之机。4/15/202344黑客攻击与防范小结：网络上黑客的攻击越来越猖獗，对网络平网络上黑客的攻击越来越猖獗，对网络平安造成了很大的威逼。本章主要讲解并描述了安造成了很大的威逼。本章主要讲解并描述了黑客攻击的目的、黑客攻击的三个阶段、黑客黑客攻击的目的、黑客攻击的三个阶段、黑客攻击的常用工具以及黑客攻击的防备，并介绍攻击的常用工具以及黑客攻击的防备，并介绍了黑客攻击常用的网络监听和扫描器。同时，了黑客攻击常用的网络监听和扫描器。同时，讲解并描述了来自讲解并描述了来自E-mail的攻击及其平安策略、的攻击及其平安策略、特洛伊木马程序及其检测删除。特洛伊木马程序及其检测删除。4/15/202345黑客攻击与防范