计算机网络安全技术 第7章 黑客的攻击与防范.ppt

《计算机网络安全技术 第7章 黑客的攻击与防范.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全技术 第7章 黑客的攻击与防范.ppt（48页珍藏版）》请在三一办公上搜索。

1、2023/2/23,计算机网络安全,1,计算机网络安全技术,主讲：Email:电话：,2023/2/23,计算机网络安全,2,第7章黑客的攻击与防范,了解黑客攻击的目的及攻击步骤 熟悉黑客常用的攻击方法 掌握防范黑客的措施 掌握黑客攻击过程，并防御黑客攻击,本章要点：,2023/2/23,计算机网络安全,3,7.1 网络黑客概述,黑客，英文名为Hacker，是指对计算机信息系统进行非授权访问的人员(中华人民共和国公共安全行业标准GA 1631997中定义)。人们通常认为黑客是指在计算机技术上有一定特长，并凭借自己掌握的技术知识，采用非法的手段逃过计算机网络系统的存取控制，而获得进入计算机网络进

2、行未授权的或非法的访问的人。,2023/2/23,计算机网络安全,4,7.2 黑客攻击的目的及步骤,2023/2/23,计算机网络安全,5,7.2.1 黑客攻击的目的,窃取信息 获取口令 控制中间站点 获得超级用户权限,2023/2/23,计算机网络安全,6,7.2.2 黑客攻击的步骤,黑客常用的攻击步骤可以说变幻莫测，但纵观其整个攻击过程，还是有一定规律可循的，一般可以分：攻击前奏、实施攻击、巩固控制、继续深入几个过程。下面具体了解一下这几个过程：1.攻击前奏 黑客在发动攻击前了解目标的网络结构，搜集各种目标系统的信息等。(1)锁定目标：(2)了解目标的网络结构：,2023/2/23,计算机

3、网络安全,7,(3)搜集系统信息：(4)利用信息服务：2.实施攻击3.巩固控制 4.继续深入,2023/2/23,计算机网络安全,8,7.3 常用的黑客攻击方法,2023/2/23,计算机网络安全,9,7.3.1 端口扫描,一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描能得到许多有用的信息。进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。手工进行扫描需要熟悉各种命令，对命令执行后的输出进行分析。用扫描软件进行扫描时，许多扫描器软件都有分析数据的功能。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。,2023/2/23,计算机网络安全

4、,10,下面首先介绍几个常用网络命令，对端口扫描原理进行介绍。1.常用的网络相关命令 1)Ping命令的基本格式 Ping hostname 其中hostname是目标计算机的地址。2)Tracert命令 用来跟踪一个消息从一台计算机到另一台计算机所走的路径，比如从你的计算机走到其他计算机。3)Rusers和Finger,2023/2/23,计算机网络安全,11,这两个都是UNIX命令。通过这两个命令,能搜集到目标计算机上的有关用户的消息。2.端口扫描原理 扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息(比如：是否

5、能用匿名登陆，是否有可写的FTP目录，是否能用Telnet。,2023/2/23,计算机网络安全,12,7.3.2 口令破解,通过破解获得系统管理员口令，进而掌握服务器的控制权是黑客的一个重要手段。破解获得管理员口令的方法有很多，下面是3种最为常见的方法。(1)猜解简单口令：(2)字典攻击：(3)暴力猜解：,2023/2/23,计算机网络安全,13,7.3.3 特洛伊木马,特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下执行。其名称源于古希腊的特洛伊木马神话，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而

6、将木马“丢弃”于特洛伊城，让敌人将其作为战利品拖入城内。木马内的庆祝胜利而放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。,2023/2/23,计算机网络安全,14,1.特洛伊木马的隐藏方式 1)在任务栏里隐藏 2)在任务管理器里隐藏 3)端口 4)隐藏通信 5)隐藏加载方式 6)最新隐身技术 2.特洛伊木马的工作原理 第一步：木马服务端程序的植入。第二步：木马将入侵主机信息发送给攻击者。,2023/2/23,计算机网络安全,15,第三步：木马程序启动并发挥作用。特洛伊木马要能发挥作用必须具备3个因素。(1)木马需要一种启动方式，一般在注册表启动组中。(2)木马需要在内存中

7、才能发挥作用。(3)木马会打开特别的端口，以便黑客通过这个端口和木马联系。3.特洛伊木马程序的存在形式(1)Win.ini：run=、load=项目中的程序名。(2)System.ini：Shell=Explorer.exe项后的程序名。(3)注册表：Run项中的程序。,2023/2/23,计算机网络安全,16,4.特洛伊木马的特性 1)隐蔽性 2)自动运行性 3)功能的特殊性 4)自动恢复功能 5)能自动打开特别的端口 5.特洛伊木马种类 1)破坏型特洛伊木马 2)密码发送型特洛伊木马 3)远程访问型特洛伊木马 4)键盘记录特洛伊木马,2023/2/23,计算机网络安全,17,5)DoS攻击

8、特洛伊木马 6)代理特洛伊木马 7)FTP特洛伊木马 8)程序杀手特洛伊木马 9)反弹端口型特洛伊木马 6.特洛伊木马的入侵 1)集成到程序中 2)隐藏在配置文件中 3)潜伏在Win.ini中 4)伪装在普通文件中 5)内置到注册表中,2023/2/23,计算机网络安全,18,6)在System.ini中藏身 7)隐形于启动组中 8)隐蔽在Winstart.bat中 9)捆绑在启动文件中 10)设置在超链接中,2023/2/23,计算机网络安全,19,7.3.4 缓冲区溢出攻击,1.缓冲溢出攻击的原理 缓冲区是程序运行的时候机器内存中的一个连续块，它保存了给定类型的数据，随着动态分配变量会出现

9、问题。大多数时候为了不占用多的内存，一个有动态分配变量的程序在程序运行时才决定给它们分配多少内存。这样下去的话，如果说要给程序在动态分配缓冲区放入超长的数据，它就会溢出了。2.缓冲区溢出攻击的方法 1)植入法,2023/2/23,计算机网络安全,20,2)利用已经存在的代码 3.缓冲区溢出攻击的防范技术 1)编写正确的代码 2)非执行的缓冲区 3)数组边界检查 4)程序指针完整性检查,2023/2/23,计算机网络安全,21,7.3.5 拒绝服务攻击,1.拒绝服务攻击原理 拒绝服务即Denial of Service，简称DoS，由于它的不易觉察性和简易性，因而一直是网络安全的重大隐患。它是一

10、种技术含量低，攻击效果明显的攻击方法，受到攻击时，服务器在长时间内不能提供服务，使得合法用户不能得到服务，特别是分布式拒绝服务DDoS，它的效果很明显，并且难以找到真正的攻击源，很难找到行之有效的解决方法。2.分布式拒绝服务攻击,2023/2/23,计算机网络安全,22,分布式拒绝服务攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般采用一对一的方式，随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的效果不明显，攻击的难度加大了，目标系统对恶意攻击包有足够的消化处理能力。,2023/2/23,计算机网络安

11、全,23,7.3.6 网络监听,网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。,2023/2/23,计算机网络安全,24,7.4 攻 击 实 例,2023/2/23,计算机网络安全,25,7.4.1 网络监听实例,本实例介绍的是使用Cain软件进行Sniffer，软件版本号是Cain 2.5，Ca

12、in 2.5主界。用Cain可以进行非交换环境下的Sniffer和交换环境下的Sniffer。下面就分别对这两种方法进行介绍。1.交换环境下的Sniffer 首先，先设定好被监听的网卡，如图7.3所示，再打开Sniffer的开关就可以了实行Sniffer了，这种方法用于Sniffer同在HUB下的其他机器(包括本机)的各种通信。,2023/2/23,计算机网络安全,26,图7.2 Cain 2.5主界面,图7.3 设定被监听的网卡,2023/2/23,计算机网络安全,27,2交换环境下的Sniffer 这里192.108.0.5和192.168.0.168是互相信任而且已被控制的两台机器。试试

13、能不能监听它们之间的通信。Telnet命令界面如图7.4所示，首先Telnet到192.108.0.5上去再执行net use192.168.0.168IPC$/user：administrator命令。在Cain中是不会看到它记下这次SMB协议的会话，如图7.5所示，这说明和192.108.0.5、192.168.0.168是处在交换环境下的。,2023/2/23,计算机网络安全,28,图7.4 Telnet命令界面,图7.5 Cain没有记录下这次会话,2023/2/23,计算机网络安全,29,7.4.2 口令破解实例,破解软件CrackFTP的使用。CrackFTP是一款FTP破解软件，

14、可破解FTP用户的密码。破解前必须先知道此FTP中的一个用户名。首先介绍该软件主界面，如图7.10所示。当各项参数都设置完毕之后，单击Crack按钮便开始破解，如图7.11所示。在使用这款软件时，需要注意的一点是连接间歇，由于每个FTP设置了不同的连接间歇，如果设置不当，你的IP会被FTP禁止，所以要尽量设置得大一些。,2023/2/23,计算机网络安全,30,图 7.10 主界面,图 7.11 破解出FTP密码,2023/2/23,计算机网络安全,31,7.5 防 黑 措 施,1.防范黑客入侵的措施 2.防范黑客入侵的步骤 1)第一步：选好操作系统 2)第二步：补丁升级 3)第三步：关闭无用

15、的服务 4)第四步：隐藏IP地址 5)第五步：查找本机漏洞 6)第六步：防火墙软件保平安,2023/2/23,计算机网络安全,32,7.6 常用攻击和防御软件的应用实验,实验说明：特洛伊木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在并不知情的的状态下控制或者监视用户的电脑。下面通过分别学习如何使用常用的木马程序和如何使用防范木马入侵的程序，从正反两个方面来加深了解黑客入侵的手段，使大家能够更好地保护自己的电脑不受黑客攻击。,2023/2/23,计算机网络安全,33,7.6.1“冰河”使用说明,1.实训目的和内容(1)掌握木马的原理和攻击方法。(2)了解“冰河”的配置

16、及使用方法。(3)掌握清除“冰河”的方法。2.实训步骤 1)各模块简要说明 安装好服务器端监控程序后，运行客户端程序就可以对远程计算机进行监控了，客户端执行程序的各模块功能如图7.20所示。,2023/2/23,计算机网络安全,34,图 7.20“冰河”功能模块,2023/2/23,计算机网络安全,35,2）命令控制台主要命令(1)口令类命令：系统信息及口令、历史口令、击键记录，如图7.23所示。,图7.23 口令类命令界面及展示信息,2023/2/23,计算机网络安全,36,(2)控制类命令：捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其他控制(如锁定注册表等)，如图7.24

17、所示。,图 7.24 控制类命令界面及发送信息演示,2023/2/23,计算机网络安全,37,(3)网络类命令：创建共享、删除共享、查看网络信息，如图7.25所示。,图7.25 网络类命令界面,2023/2/23,计算机网络安全,38,3）手动清除“冰河”方法表述如下。删除C：Windowssystem下的Kernel32.exe和sy*plr.exe文件。删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion Run下的键值C：WindowssystemKernel32.exe。删除注册表HKEY_LOCAL_MACHINE

18、SoftwareMicrosoftWindowsCurrentVersion Runs-ervices下的键值C：WindowssystemKernel32.exe。,2023/2/23,计算机网络安全,39,7.6.2 RegRun的使用说明,1.实训目的和内容(1)掌握防范黑客攻击的方法；(2)了解RegRun的配置及使用方法。2.实训步骤 木马程序一般会改变系统的启动设置、系统服务、可执行文件的关联、注册表信息等方式来运行木马，而RegRun则分别对这几种方式做了严格的监控来防止系统被木马程序攻击，如图7.30所示。,2023/2/23,计算机网络安全,40,图7.30 RegRun主菜

19、单,2023/2/23,计算机网络安全,41,(1)执行木马分析器后出现如图7.31所示的界面，可以选择要分析的可疑进程，并通过分析报告来判断该进程是否对系统做出了恶意的修改、增删等操作。,图7.31 木马分析器界面,2023/2/23,计算机网络安全,42,(2)执行运行防卫器后出现如下配置界面，在运行防卫器中可以设置禁止运行的程序，当一些恶意程序如木马的后门程序运行时RegRun就会提示警告信息，如图7.33所示。,图 7.33 运行防卫设置界面,2023/2/23,计算机网络安全,43,(3)执行文件保护器后RegRun会列出比较重要的系统文件，如图7.35所示，并将这些文件保存在一个备

20、份的目录里，RegRun会通过比较知道这些文件是否被篡改过，如果被改动过可以通过备份目录恢复原来的文件。,图 7.35 文件保护器界面,2023/2/23,计算机网络安全,44,(4)执行注册表追踪器后可以在菜单中增加要监控保护的软件，如图7.36所示。当该软件被恶意程序试图修改时RegRun会发出警告以达到保护目的。,图 7.36 注册表追踪器设置界面,2023/2/23,计算机网络安全,45,小 结,本章介绍了黑客的基本概念，以及黑客攻击的目的和步骤；然后从端口扫描、口令破解、特洛伊木马、缓冲区溢出、拒绝服务攻击、网络监听几个方面介绍了黑客常用的攻击方法并给出了攻击实例。最后是介绍黑客软件

21、“冰河”和防范工具RegRun的使用方法。,2023/2/23,计算机网络安全,46,习 题,1.什么是黑客？常见的黑客技术有哪些？2.简述端口扫描的原理。3.常见的端口扫描技术有哪些？它们的特点是什么？4.从网络安全角度分析为什么在实际应用中要开放尽量少的端口？5.简述网络监听的原理。6.口令破译的方法有哪些？简述穷举法的原理。7.在实际应用中应怎样防范口令破译？,2023/2/23,计算机网络安全,47,8.简述特洛伊木马和病毒的异同。9.应怎样来防范特洛伊木马攻击？10.简述拒绝服务攻击的原理。11.简述出现DDoS时可能发生的现象。12.简述电子邮件炸弹的原理及防范技术。13.简述缓冲区溢出攻击的原理及其危害。14.在编写软件代码时，应怎样防范可能出现的缓冲区溢出？15.在工作中，人们应从哪些方面来防范黑客入侵？,2023/2/23,计算机网络安全,48,谢谢！,