《第2章 网络攻击与防范》由会员分享,可在线阅读,更多相关《第2章 网络攻击与防范(278页珍藏版)》请在金锄头文库上搜索。
1、第第2 2章章 网络攻击与防范网络攻击与防范网络攻击概述 2.1网络攻击的准备阶段 2.2网络攻击的实施阶段 2.3网络攻击的善后阶段 2.4本章学习要点了解黑客的由来和发展掌握常见网络攻击的分类和目的了解网络攻击的步骤掌握一般网络攻击的防范方法2.1 网络攻击概述2.1.1 黑客的概述 1黑客的由来黑客是“Hacker”的音译,源于动词 Hack,其引申意义是指“干了一件非常漂 亮的事”。这里说的黑客是指那些精于某方面 技术的人。 对于计算机而言,黑客就是精通网 络、系统、外部设备以及软硬件技术的 人。真正的黑客有自己独特的文化和精 神,他们并不破坏别人的系统,他们崇 拜技术,对计算机系统进
2、行智力上的自 由探索。早期的黑客是指真正的程序员,他 们活跃在计算机技术发展的早期,使用 机器语言、汇编语言以及很多古老的语 言编写程序,将大部分时间花在计算机 的程序设计上,并以此为乐。 到了20世纪80年代以后,随着计算 机网络技术的发展,现代的黑客们把精 力放在了寻找各种系统漏洞上,并通过 暴露网络系统中的缺陷与非授权更改服 务器等行为,达到表现自我和反对权威 的目的。2 2黑客的行为发展趋势黑客的行为发展趋势(1)黑客群体的扩大化 (2)黑客的组织化和团体化 (3)动机复杂化2.1.2 2.1.2 常见的网络攻击常见的网络攻击黑客攻击和网络安全是紧密结合在 一起的,研究网络安全而不研究
3、黑客攻 击技术简直是纸上谈兵,研究攻击技术 而不研究网络安全就是闭门造车。从某种意义上说,没有攻击就没有 安全,系统管理员可以利用常见的攻击 手段对系统进行检测,并对相关的漏洞 采取有效的补救措施。网络攻击有善意的也有恶意的。善意的攻击可以帮助系统管理员检查系 统漏洞。恶意的攻击包括为了私人恩怨而攻击、 出于商业或个人目的获得秘密资料、利用对 方的系统资源满足自己的需求、寻求刺激、 给别人帮忙以及一些无目的的攻击等。1 1攻击目的攻击目的(1)窃取信息 (2)获取口令 (3)控制中间站点 (4)获得超级用户权限2 2攻击事件分类攻击事件分类外部攻击内部攻击行为滥用实施外部攻击的方法很多,从攻击
4、 者目的的角度来讲,可将攻击事件分为 以下5类。(1)破坏型攻击 (2)利用型攻击 (3)信息收集型攻击 (4)网络欺骗攻击 (5)垃圾信息攻击2.1.3 2.1.3 攻击步骤攻击步骤图2.1 攻击步骤 2.2 网络攻击的准备阶段2.2.1 社会工程学介绍 1社会工程学的概述社会工程学就是利用人的心理弱点 (如人的本能反应、好奇心、信任、贪 婪)、规章与制度的漏洞等进行欺骗、 伤害等,以期获得所需的信息(如计算 机口令、银行账号信息)。 社会工程学有狭义与广义之分。广义与狭义社会工程学最明显的区 别是会与受害者进行交互式行为。例如,通过设置一个陷阱使对方掉 入,或是伪造的虚假电子邮件,或者利
5、用相关通信工具与他们交流获取敏感信 息。广义的社会工程学是清楚地知道自 己需要什么信息,应该怎样去做,从收 集的信息当中分析出应该与哪个关键人 物交流。社会工程学入侵与传统的黑客入侵有 着本质的区别,是非传统的信息安全。它不是利用漏洞入侵,而是利用人性 的漏洞。 它是无法用硬件防火墙、入侵检测 系统,虚拟专用网络,或是安全软件产 品来防御的。社会工程学不是单纯针对系统入侵 与源代码窃取,本质上,它在黑客攻击 边沿上独立并平衡着。它的威胁不仅仅是信息安全,还包 括能源、经济、文化、恐怖主义等。国防大学卢凡博士曾经说过:“它( 社会工程学攻击)并不能等同于一般的 欺骗手法,即使自认为最警惕最小心的
6、 人,一样会受到高明的社会工程学手段 的损害,因为社会工程学主导着非传统 信息安全,所以通过对它的研究可以提 高对非传统信息安全事件的能力。”2 2主要攻击手段主要攻击手段(1)网络钓鱼攻击 (2)传统的社交手段2.2.2 2.2.2 网络信息搜集网络信息搜集1常用DOS命令(1)ping命令ping 命令的使用格式如下。 ping -t -a -l -n count -i TTL参数说明如下。-t 一直ping 下去,直到按下“Ctrl+C”组 合键结束字节。-a ping的同时把IP地址转换成主机名。-l 指定数据包的大小,默认为32个字节, 最大为65 527个字节。-f 在数据包中发送
7、“不要分段”标志,数据 包不会被路由设备分段。-n count 设定ping的次数。-i TTL 设置ICMP包的生存时间(指 ICMP包能够传到临近的第几个节点)。操作系统默认TTL返回值UNIX类255Windows 9532Windows NT/2000/2003128Compaq Tru64 5.064表2.1不同的操作系统对ping的TTL返回值 由域名得到网站IP地址。方法一:ping命令试探。 使用命令:ping域名。例如,黑客想知道百度服务器的IP 地址,可以在MS-DOS中输入“ping ”命令,如图2.2所示。图2.2 ping命令试探 从图2.2可以看出, 对应的IP地址
8、为202.108.22.43。方法二:nslookup命令。 使用命令:nslookup域名。同样以百度服务器为例,在MS- DOS中输入“nslookup ” 命令,按“Enter”键后得到域名查询结果 ,如图2.3所示。图2.3 nslookup命令试探 从图2.3返回的结果分析,Addresses 后面列出的就是所使用 的Web服务器群里的IP。上面介绍的是黑客经常使用的两种 最基本的方法。此外,还有一些软件(如Lansee) 附带域名转换IP的功能,实现起来更简 单,功能更强大。从这两种方法中可以看出,ping命令 方便、快捷,nslookup命令查询到的结 果更为详细。 由IP得到目
9、标主机的地理位置。由于 IP地址的分配是全球统一管理的,因此 黑客可以通过查询有关机构的IP地址数 据库来得到该IP所对应的地理位置,由 于IP管理机构多处于国外,而且分布比 较零散,因此在这里介绍一个能查询到 IP数据库的网站。网址:http:/,如图 2.4所示。图2.4 查询数据库的网站 图2.5 查询结果 (2 2)netstatnetstat命令命令netstat命令有助于了解网络的整体 使用情况。它可以显示当前正在活动的网络连 接的详细信息,如采用的协议类型、当 前主机与远端相连主机(一个或多个) 的IP地址以及它们之间的连接状态等。netstat命令的使用格式如下。 netsta
10、t -a -e -n -s -p proto -r interval 参数说明如下。-a 显示所有主机的端口号。-e 显示以太网统计信息,该参数可以 与-s选项结合使用。-n 以数字表格形式显示地址和端口。-s 显示每个协议的使用状态(包括TCP、 UDP、IP)。-p proto 显示特定协议的具体使用信息。-r 显示本机路由表的内容。interval 重新显示所选的状态,每次显 示之间的间隔数(单位秒)。netstat命令的主要用途是检测本地系 统开放的端口,这样做可以了解自己的 系统开放了什么服务,还可以初步推断 系统是否存在木马,因为常见的网络服 务开放的默认端口轻易不会被木马占用 。
11、(3 3)nbtstatnbtstat命令命令nbtstat命令用于显示本地计算机和 远程计算机的基于TCP/IP(NetBT)的 NetBIOS 统计资料、NetBIOS 名称表和 NetBIOS名称缓存。nbtstat可以刷新NetBIOS名称缓存和注 册的Windows Internet 名称服务(WINS) 名称。使用不带参数的 nbtstat 显示帮助。nbtstat命令的使用格式如下。 nbtstat -a remotename -A IPaddress -c -n -r -R -RR -s -S Interval参数说明如下。-a remotename 显示远程计算机的NetBI
12、OS 名称表,其中,remotename是远程计算机的 NetBIOS计算机名称。-A IPaddress 显示远程计算机的NetBIOS 名称表,其名称由远程计算机的IP地址指定 (以小数点分隔)。-c 显示NetBIOS 名称缓存内容、NetBIOS 名称表及其解析的各个地址。-n 显示本地计算机的 NetBIOS 名称表。-r 显示NetBIOS名称解析统计资料。-R 清除NetBIOS名称缓存的内容,并从 Lmhosts文件中重新加载带有#PRE标记的 项目。-RR 重新释放并刷新通过WINS注册的 本地计算机的NetBIOS名称。-s 显示NetBIOS客户和服务器会话,并 试图将目
13、标IP地址转化为名称。-S 显示NetBIOS客户和服务器会话,只 通过IP地址列出远程计算机。Interval 重新显示选择的统计资料,可 以中断每个显示之间的Interval中指定的 秒数。如果省略该参数,nbtstat将只显示 一次当前的配置信息。2 2网站信息搜集网站信息搜集(1)中国互联网络信息中心 (2)中国万网 (3)EDGAR数据库图2.6 中国互联网络信息中心查询界面 图2.7 中国万网查询界面 3 3结构探测结构探测一般来说,网络的基本结构如图2.8 所示。图2.8 网络的基本结构4 4搜索引擎搜索引擎(1)Google (2)百度 (3)Yahoo (4)MSN Sear
14、ch2.2.3 2.2.3 资源搜集资源搜集1共享资源简介 (1)共享资源 (2)建立共享的条件2 2共享资源搜索共享资源搜索(1)扫描器简介 (2)常用扫描器工具3破解Windows 9x共享密码 4FTP资料扫描 5安全解决方案 2.2.4 2.2.4 端口扫描端口扫描1网络基础知识(1)端口的基本概念“端口”在计算机网络领域中是个非常重要 的概念。它是专门为计算机通信而设计的,它不 是硬件,不同于计算机中的“插槽”,可以说 是个“软端口”。端口是由计算机的通信协议TCP/IP定 义的。其中规定,用IP地址和端口作为套接 字,它代表TCP连接的一个连接端,一般 称为Socket。具体来说,
15、就是用IP:端口来定位 一台主机中的进程。可以用这样的比喻:端口相当于两台 计算机进程间的大门,可以任意定义,其 目的只是为了让两台计算机能够找到对方 的进程。计算机就像一座大楼,这个大楼有 好多入口(端口),进到不同的入口中 就可以找到不同的公司(进程)。如果要和远程主机A的程序通信,那 么只要把数据发向A:端口就可以实现 通信了。可见,端口与进程是一一对应的, 如果某个进程正在等待连接,称之为该 进程正在监听,那么就会出现与它相对 应的端口。由此可见,入侵者通过扫描端口, 便可以判断出目标计算机有哪些通信进 程正在等待连续。(2 2)端口的分类)端口的分类服务名称端口号说明FTP21文件传输服务Telnet23远程登录服务HTTP80网页浏览服务POP3110邮件服务SMTP25简单邮件传输服务SOCK51080代理服务表2.2常见TCP公认端口号 服务名称端口号说明RPC111远程调用SNMP161简单网络管理TFTP69简单文件传输表2.3常见UDP公认端口号 2 2端口扫描原理端口扫描原理(1)全TCP连接 (2)半打开式扫描(SYN扫描) (3)FIN扫描 (4)第三方扫描3 3扫描工具扫描工具(1)
