《贾铁军全套配套课件网络安全技术与实践 第5章 黑客攻防与检测防御》由会员分享,可在线阅读,更多相关《贾铁军全套配套课件网络安全技术与实践 第5章 黑客攻防与检测防御(96页珍藏版)》请在金锄头文库上搜索。
1、第5章黑客攻防与检测防御 主编贾铁军副主编嵩天俞小怡苏庆刚沈学东编著罗宜元王福陈国秦宋少婷 上海市教育高地建设项目高等院校规划教材 网络安全技术与实践 上海市精品课程网络安全技术 目录 教学目标 教学目标 了解黑客攻击的目的及攻击步骤 熟悉黑客常用的攻击方法 理解防范黑客的措施 掌握黑客攻击过程 并防御黑客攻击 掌握入侵检测与防御系统的概念 功能 特点和应用方法 重点 重点 5 1黑客概述 5 1 1黑客概念危害及类型1 黑客的概念及类型 黑客 Hacker 一词源于Hack 其起初本意为 干了一件可以炫耀的事 原指一群专业技能超群 聪明能干 精力旺盛对计算机信息系统进行非授权访问的人员 骇客
2、 是英文 Cacker 的译音 意为 破译者和搞破坏的人 把 黑客 和 骇客 混为一体 黑客分为红客 破坏者和间谍三种类型 红客是指 国家利益至高无上 的正义 网络大侠 破坏者也称 骇客 间谍是指 利益至上 情报 盗猎者 美军网络战的分司令部多达541个 未来4年将扩编4000人 为强化美国对网络攻击的防御能力 计划将约900人规模的网络战司令部在今后4年扩编4000人 为此将投入230亿美元 案例5 1 2 黑客的产生与发展 20世纪60年代 在美国麻省理工学院的人工智能实验室里 有一群自称为黑客的学生们以编制复杂的程序为乐趣 当初并没有功利性目的 此后不久 连接多所大学计算机实验室的美国国
3、防部实验性网络APARNET建成 黑客活动便通过网络传播到更多的大学乃至社会 后来 有些人利用手中掌握的 绝技 借鉴盗打免费电话的手法 擅自闯入他人的计算机系统 干起隐蔽活动 随着其逐步发展成为因特网 黑客活动天地越来越广 形成鱼目混珠的局面 案例5 2 5 1黑客概述 3 黑客的危害及现状 黑客猖獗其产业链年获利上百亿 黑客利用木马程序盗取银行账号 信用卡账号 QQ 网络游戏等个人机密信息 并从中牟取金钱利益的产业链每年可达上百亿 黑客地下产业链极其庞大且分工明确 黑客产业链大致分为老板 编程者 流量商 盗号者和贩卖商等多个环节 产业链如图5 1所示 互联网资源与服务滥用地下产业链 如图5
4、2所示 图5 1黑客产业链示意图 案例5 3 5 1黑客概述 5 1 2黑客攻击的入侵方式1 系统漏洞产生的原因 系统漏洞又称缺陷 漏洞是在硬件 软件 协议的具体实现或系统安全策略上存在的缺陷 从而可使攻击者能够在未授权的情况下访问或破坏系统 产生漏洞的主要原因 1 计算机网络协议本身的缺陷 2 系统开发的缺陷 3 系统配置不当 4 系统安全管理中的问题 其他 协议 系统 路由 传输 DB 技术 管理及法规等 5 1黑客概述 2 黑客攻击入侵通道 端口 计算机通过端口实现与外部通信的连接 数据交换 黑客攻击是将系统和网络设置中的各种 逻辑 端口作为入侵通道 其端口是指网络中面向连接 无连接服务
5、的通信协议端口 是一种抽象的软件结构 包括一些数据结构和I O缓冲区 端口号 端口通过端口号标记 只有整数 范围 0 65535 216 1 目的端口号 用于通知传输层协议将数据送给具体处理软件源端口号 一般是由操作系统动态生成的号码 1024 65535 5 1黑客概述 3 端口分类 按端口号分布可分为三段 1 公认端口 0 1023 又称常用端口 为已经或将要公认定义的软件保留的 这些端口紧密绑定一些服务且明确表示了某种服务协议 如80端口表示HTTP协议 Web服务 2 注册端口 1024 49151 又称保留端口 这些端口松散绑定一些服务 3 动态 私有端口 49152 65535 理
6、论上不为服务器分配 按协议类型将端口划分为TCP和UDP端口 1 TCP端口需要在客户端和服务器之间建立连接 提供可靠的数据传输 如Telnet服务的23端口 SMTP默认25 2 UDP端口不需要在客户端和服务器之间建立连接 常见的端口有DNS服务的53端口 讨论思考 1 什么是安全漏洞和隐患 为什么网络存在着的安全漏洞和隐患 2 举例说明 计算机网络安全面临的黑客攻击问题 3 黑客通道 端口主要有哪些 特点是什么 FTP服务通过TCP传输 默认端口20数据传输 21命令传输 5 1黑客概述 5 2 1黑客攻击的目的及种类 5 2黑客攻击的目的及过程 最大网络攻击案件幕后黑手被捕 2013年
7、荷兰男子SK因涉嫌有史以来最大的网络攻击案件而被捕 SK对国际反垃圾邮件组织Spamhaus等网站 进行了前所未有的一系列的大规模分布式拒绝服务攻击 在高峰期攻击达到每秒300G比特率 导致欧洲的某些局部地区互联网缓慢 同时致使成千上万相关网站无法正常运行服务 黑客攻击其目的 一是为了得到物质利益 是指获取金钱财物 二是为了满足精神需求 是指满足个人心理欲望 黑客行为 盗窃资料 攻击网站 进行恶作剧 告知漏洞 获取目标主机系统的非法访问权等 从攻击方式上可以将黑客攻击大致分为主动攻击和被动攻击两大类 常见的黑客攻击方法 主要包括以下6类 网络监听 计算机病毒及密码攻击 网络欺骗攻击 拒绝服务攻
8、击 应用层攻击 缓冲区溢出 案例5 4 5 2 2黑客攻击的过程黑客攻击过程不尽一致 但其整个攻击过程有一定规律 一般可分为 攻击五部曲 隐藏IP 踩点扫描 黑客利用程序的漏洞进入系统后安装后门程序 以便日后可以不被察觉地再次进入系统 就是隐藏黑客的位置 以免被发现 通过各种途径对所要攻击目标进行多方了解 确保信息准确 确定攻击时间和地点 篡权攻击 种植后门 隐身退出 即获得管理 访问权限 进行攻击 为避免被发现 在入侵完后及时清除登录日志和其他相关日志 隐身退出 5 2黑客攻击的目的及过程 黑客对企业局域网实施网络攻击的具体过程 如图5 4所示 讨论思考 1 黑客攻击的目的与种类有哪些 2
9、黑客确定攻击目标后 将采用哪些攻击过程 3 建立说明黑客攻击的具体步骤 图5 4黑客攻击企业内部局域网的过程示意框图 5 2黑客攻击的目的及过程 案例5 5 5 3 1端口扫描攻防端口扫描是管理员发现系统的安全漏洞 加强系统的安全管理 提高系统安全性能的有效方法 端口扫描成为黑客发现获得主机信息的一种最佳手段 1 端口扫描及扫描器 1 端口扫描 是使用端口扫描工具检查目标主机在哪些端口可建立TCP连接 若可连接 则表明主机在那个端口被监听 2 扫描器 扫描器也称扫描工具或扫描软件 是一种自动检测远程或本地主机安全性弱点的程序 5 3常用黑客攻防技术 5 3 1端口扫描攻防2 端口扫描方式及工具
10、端口扫描的方式有手工命令行方式和扫描器扫描方式 手工扫描 需要熟悉各种命令 对命令执行后的输出进行分析 如命令 Ping Tracert rusers和finger 后两个是Unix命令 扫描器扫描 许多扫描软件都有分析数据的功能 如 SuperScan AngryIPScanner X Scan X Scan SAINT SecurityAdministrator sIntegratedNetworkTool 安全管理员集成网络工具 Nmap TCPconnect TCPSYN等 5 3常用黑客攻防技术 图5 5用X scan的扫描结果图5 6用Nmap扫描主机开放的端口 5 3 1端口扫描
11、攻防3 端口扫描攻击类型端口扫描攻击采用探测技术 可将其用于寻找可以成功攻击的应用及服务 常用端口扫描攻击类型包括 秘密扫描 SOCKS端口探测 跳跃扫描 UDP扫描 4 防范端口扫描的对策端口扫描的防范又称系统 加固 网络的关键处使用防火墙对来源不明的有害数据进行过滤 可有效减轻端口扫描攻击 防范端口扫描的主要方法有两种 1 关闭闲置及有潜在危险端口方式一 定向关闭指定服务的端口 计算机的一些网络服务为系统分配默认的端口 应将闲置服务 端口关闭 5 3常用黑客攻防技术 操作方法与步骤 1 打开 控制面板 窗口 2 打开 服务 窗口 控制面板 管理工具 服务 选择DNS 3 关闭DNS服务在
12、DNSClient的属性 窗口 启动类型项 选择 自动 服务状态项 选 在服务选项中选择关闭掉一些没使用的服务 如FTP服务 DNS服务 IISAdmin服务等 对应的端口也停用 5 3常用黑客攻防技术 方式二 只开放允许端口 可用系统的 TCP IP筛选 功能实现 设置时只允许系统的一些基本网络通讯需要的端口 2 屏蔽出现扫描症状的端口检查各端口 有端口扫描症状时 立即屏蔽该端口 关闭DNS端口服务 5 3 2网络监听及攻防2 嗅探器的功能与部署 5 3常用的黑客攻防技术 嗅探器 Sniffer 是利用计算机的网络接口截获目的地主机及其他数据报文的一种工具 起初也是一种网络管理员诊断网络系统
13、的有效工具 也常被黑客利用窃取机密信息 嗅探器的主要功能包括4个方面 一是可以解码网络上传输的报文 二是为网络管理员诊断网络系统并提供相关的帮助信息 三是为网络管理员分析网络速度 连通及传输等性能提供参考 发现网络瓶颈 四是发现网络漏洞及入侵迹象 为入侵检测提供重要参考 常用的嗅探软件 SnifferPro Wireshark IRIS等 捕获后的数据包和明文传送的数据包 分别如图5 9和5 10所示 图5 9捕获后的数据包图5 10明文传送的数据包 5 3 2网络监听及攻防3 检测防范网络监听 5 3常用的黑客攻防技术 针对运行监听程序的主机可以采用多种方法防范 一是用正确的IP地址和错误的
14、物理地址ping 运行监听程序的主机具有相应的响应信息提示 二是运用虚拟局域网VLAN技术 可以将以太网通信变为点到点通信 防范绝大部分基于网络监听的入侵攻击 三是以交换式集线器代替共享式集线器 这种方法使单播包只限于在两个节点之间传送 从而防止非法监听 当然 交换式集线器只能控制单播包而无法控制广播包 BroadcastPacket 和多播包 MulticastPacket 四是对于网络信息安全防范的最好的方法是使用加密技术 五是利用防火墙技术 六是利用SATAN等系统漏洞检测工具 并定期检查EventLog中的SECLog记录 查看可疑情况 防止网络监听与端口扫描 七是利用网络安全审计或防
15、御新技术等 5 3 2网络监听及攻防1 网络监听网络监听是网络管理员监测网络传输数据 排除网络故障的管理工具 5 3常用的黑客攻防技术 美国全球监听引发网络空间深刻变化 2013年10月 随着美国国安局监听门事件不断升级 众议院情报委员会举行公开听证会 最近 西方媒体披露 美国国家安全局在全球约80个地点的驻外使馆都设有监听站 35国首脑的电话被监听 其中包括德国总理默克尔 其他国家也纷纷谴责美国的监听行动 墨西哥内政部长称将自行调查美方的间谍行为 法国总统奥朗德称 我们不能接受以朋友关系干涉法国公民的私人生活 案例5 6 5 3 3密码破解攻防方法1 密码破解攻击的方法 1 通过网络监听非法
16、窃取密码 2 利用钓鱼网站欺骗 3 强行破解用户密码 4 密码分析攻击 5 放置木马程序 5 3常用的黑客攻防技术 2 密码破解防范对策计算机用户必须注意的要点 5不要 一定不要将密码写下来 以免泄露或遗失 一定不要将密码保存在电脑或磁盘文件中 切记不要选取容易猜测到的信息作为密码 一定不要让别人知道密码 以免增加不必要的损失或麻烦 切记不要在多个不同的网银等系统中使用同一密码 误入购买机票钓鱼网站 损失近百万 2013年10月上海市的林先生通过浏览网络查到一个可以 低价购买机票的网站 不仅被欺骗打开了钓鱼网站 还不慎通过点击 客服咨询 打开不明链接激活木马程序 致使电脑被黑客远程控制 眼看着个人账户内的96万元被洗劫一空 案例5 7 5 3 4木马攻防对策1 木马的特点和组成特洛伊木马 Trojanhorse 简称 木马 其名称源于希腊神话 木马屠城记 现指一些具备破坏和删除文件 发送密码 记录键盘和攻击等远程控制特殊功能的后门程序 木马特点 通过伪装 引诱用户将其安装在PC或服务器上 并具有进行远程控制和破坏功能特点 一般木马的执行文件较小 若将其捆绑到其他文件上很难发现 木马可以
