《电子商务网站常见攻击》由会员分享,可在线阅读,更多相关《电子商务网站常见攻击(59页珍藏版)》请在金锄头文库上搜索。
1、第二章 电子商务网站常见的攻击,熟悉黑客常用的攻击方法 掌握几种黑客攻击工具的使用,本章要点:,2.1 端口扫描,一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描能得到许多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。手工进行扫描需要熟悉各种命令,对命令执行后的输出进行分析。用扫描软件进行扫描时,许多扫描器软件都有分析数据的功能。通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞。,下面首先介绍几个常用网络命令,对端口扫描原理进行介绍。 1. 常用的网络相关命令 1) Ping命令的基本格式 Ping hostname 其中
2、hostname是目标计算机的地址。 2) Tracert命令用来跟踪一个消息从一台计算机到另一台计算机所走的路径,比如从你的计算机走到其他计算机。 3) Rusers和Finger,这两个都是UNIX命令。通过这两个命令, 能搜集到目标计算机上的有关用户的消息。 2. 端口扫描原理 扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法,可以搜集到很多关于目标主机的各种有用的信息(比如:是否能用匿名登陆,是否有可写的FTP目录,是否能用Telnet。,2.2 特洛伊木马,特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下执行。其名称
3、源于古希腊的特洛伊木马神话,传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马“丢弃”于特洛伊城,让敌人将其作为战利品拖入城内。木马内的庆祝胜利而放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。,1) 在任务栏里隐藏 2) 在任务管理器里隐藏 3) 端口 4) 隐藏通信 5) 隐藏加载方式 6) 最新隐身技术,2.2.1 特洛伊木马的隐藏方式,第一步:木马服务端程序的植入。 第二步:木马将入侵主机信息发送给攻击者。 第三步:木马程序启动并发挥作用。 特洛伊木马要能发挥作用必须具备3个因素。 (1) 木马需要一种启动方
4、式,一般在注册表启动组中。 (2) 木马需要在内存中才能发挥作用。 (3) 木马会打开特别的端口,以便黑客通过这个端口和木马联系。 (1) Win.ini:run=、load=项目中的程序名。 (2) System.ini:Shell=Explorer.exe项后的程序名。 (3) 注册表:Run项中的程序。,2. 特洛伊木马的工作原理,3. 特洛伊木马程序的存在形式,(1) Win.ini:run=、load=项目中的程序名。 (2) System.ini:Shell=Explorer.exe项后的程序名。 (3) 注册表:Run项中的程序。,4. 特洛伊木马的特性,1) 隐蔽性 2) 自动
5、运行性 3) 功能的特殊性 4) 自动恢复功能 5) 能自动打开特别的端口,5. 特洛伊木马种类,破坏型特洛伊木马 2) 密码发送型特洛伊木马 3) 远程访问型特洛伊木马 4) 键盘记录特洛伊木马 5) DoS攻击特洛伊木马 6) 代理特洛伊木马 7) FTP特洛伊木马 8) 程序杀手特洛伊木马 9) 反弹端口型特洛伊木马,1) 集成到程序中 2) 隐藏在配置文件中 3) 潜伏在Win.ini中 4) 伪装在普通文件中 5) 内置到注册表中 6) 在System.ini中藏身 7) 隐形于启动组中 8) 隐蔽在Winstart.bat中 9)捆绑在启动文件中 10)设置在超链接中,6. 特洛伊
6、木马的入侵,2. 3 缓冲区溢出攻击,1. 缓冲溢出攻击的原理 缓冲区是程序运行的时候机器内存中的一个连续块,它保存了给定类型的数据,随着动态分配变量会出现问题。大多数时候为了不占用多的内存,一个有动态分配变量的程序在程序运行时才决定给它们分配多少内存。这样下去的话,如果说要给程序在动态分配缓冲区放入超长的数据,它就会溢出了。 2. 缓冲区溢出攻击的方法 1) 植入法,2) 利用已经存在的代码3. 缓冲区溢出攻击的防范技术 1) 编写正确的代码 2) 非执行的缓冲区 3) 数组边界检查 4) 程序指针完整性检查,2. 4 拒绝服务攻击,1. 拒绝服务攻击原理 拒绝服务即Denial of Se
7、rvice,简称DoS,由于它的不易觉察性和简易性,因而一直是网络安全的重大隐患。它是一种技术含量低,攻击效果明显的攻击方法,受到攻击时,服务器在长时间内不能提供服务,使得合法用户不能得到服务,特别是分布式拒绝服务DDoS,它的效果很明显,并且难以找到真正的攻击源,很难找到行之有效的解决方法。 2. 分布式拒绝服务攻击,分布式拒绝服务攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般采用一对一的方式,随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的效果不明显,攻击的难度加大了,目标系统对恶意攻击包有足够
8、的消化处理能力。,2. 5 网络监听,网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。,网络监听的检测,1. 对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址Ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收,但如果他的IPstack不
9、再次反向检查的话,就会响应。 2.向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包而占用很多的CPU资源,这将导致性能下降。通过比较该机器前后的性能加以判断。这种方法难度比较大。 3.使用反监听工具如Antisniffer等进行检测。,对网络监听的防范措施,1. 从逻辑或物理上对网络分段 2.以交换式集线器代替共享式集线器 3.使用加密技术 4. 划分VLAN,2.6 实训,实训一 X-scan扫描工具的使用,实训内容: 1.使用X-scan3.3检测系统漏洞 2.使用X-scan3.3扫描系统端口 3.使用X-scan3.3检测系统用户以及共享信息,使用X-scan3.
10、3检测系统漏洞,1.设置要扫描的主机IP地址,2.设置中选择扫描模块,3.全局设置中的其它选项可以按照默认,然后展开插件设置,选择“漏洞检测脚本设置”,这里默认选择的是全部的脚本列表,4.脚本选择框中选择需要检测的脚本,5.选择好后点击两次确定退出扫描设置。然后点击开始扫描,6.扫描完成后会生成一个报告并以网页形式显示在IE浏览器中,使用X-scan3.3扫描开放的端口,1.选择扫描模块,2.在端口设置中输入需要检测的端口,3.扫描过程,4.扫描完成后查看生成的报告,使用X-scan3.3检测系统用户以及共享信息,1. 选择扫描模块,2.设置NETBIOS信息,3.扫描过程,4.扫描完成后查看
11、生成的报告,5.扫描结果,实训二 Sinffer网络监听工具的使用,实训内容: 1.使用Sinffer Pro获取FTP账号密码 2.使用Sinffer Pro获取邮箱密码,使用Sinffer Pro获取FTP账号密码,1.选择适配器,2.然后点击按钮开始监听网络,3.接着打开IE浏览器访问FTP站点,由于FTP可以匿名访问,所以这里需要右击空白处选择登录,然后在登录对话框中输入用户名和密码,4.然后点击确定登录。下面返回到Sinffer Pro,点击按钮来停止监听,并且查看结果,5.分析数据包,6.查找到的用户,7.查找密码,使用Sinffer Pro截取邮箱密码,1.打开Sinffer P
12、ro进行监听状态,2.收发邮件,3.等邮件接收完毕后,回到Sinffer Pro,点击按钮来停止监听并查看数据包,4. 查找USER,5. 查找结果,6.查找密码,实训三 DDos对电子商务网站的攻击,实训内容: 1.模拟使用DDos对电子商务网站的攻击,DDos对电子商务网站的攻击,1.资源管理器,2.访问网站,3.设置攻击目标,4.测试攻击效果,5.查看资源占用,6.停止攻击,7.成功访问网站,思考 题,一.名词解释 1.特洛伊木马 2.DDos 3.端口扫描 4.网络监听,思考 题,二.简答题 1. 简述端口扫描的原理。 2. 常见的端口扫描技术有哪些?它们的特点是什么? 3. 从网络安全角度分析为什么在实际应用中要开放尽量少的端口? 4. 简述网络监听的原理。 5. 简述特洛伊木马和病毒的异同。 6. 应怎样来防范特洛伊木马攻击? 7. 简述拒绝服务攻击的原理。 8. 简述出现DDoS时可能发生的现象,
