计算机网络安全第7章

《计算机网络安全第7章》由会员分享，可在线阅读，更多相关《计算机网络安全第7章（46页珍藏版）》请在金锄头文库上搜索。

1、2019年1月18日星期五5时5分9秒,黑客攻击与防范,1,第七章 黑客攻击与防范,本章主要内容： 第一节 黑客攻击介绍 第二节 黑客攻击常用工具 第三节 黑客攻击常见的两种形式 第四节 黑客攻击的防范,2019年1月18日星期五5时5分9秒,黑客攻击与防范,2,知识点,黑客攻击的目的、黑客攻击的三个阶段 黑客攻击的常用工具、黑客攻击的防备 网络监听及其检测 扫描器及其使用 来自E-mail的攻击、E-mail的安全策略 特洛伊木马程序及其检测、删除,2019年1月18日星期五5时5分9秒,黑客攻击与防范,3,难 点,黑客攻击的防备 网络监听及其检测 特洛伊木马程序及其检测、删除,2019年1

2、月18日星期五5时5分9秒,黑客攻击与防范,4,要求,熟练掌握以下内容： 什么是黑客？黑客攻击的目的、常用工具及攻击的防备 网络监听及其检测方法 来自E-mail的攻击、E-mail的安全策略 特洛伊木马程序及其检测、删除 了解以下内容： E-mail的安全漏洞 特洛伊木马的存在形式,2019年1月18日星期五5时5分9秒,黑客攻击与防范,5,第一节 黑客攻击介绍,黑客与入侵者 黑客攻击的目的 黑客攻击的三个阶段 黑客攻击手段,2019年1月18日星期五5时5分9秒,黑客攻击与防范,6,7.1.1黑客与入侵者,黑客的行为没有恶意，而入侵者的行为具有恶意。 在网络世界里，要想区分开谁是真正意义上

3、的黑客，谁是真正意义上的入侵者并不容易，因为有些人可能既是黑客，也是入侵者。而且在大多数人的眼里，黑客就是入侵者。所以，在以后的讨论中不再区分黑客、入侵者，将他们视为同一类。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,7,7.1.2 黑客攻击的目的,1窃取信息 2获取口令 3控制中间站点 4获得超级用户权限,2019年1月18日星期五5时5分9秒,黑客攻击与防范,8,7.1.3 黑客攻击的3个阶段,1确定目标 2搜集与攻击目标相关的信息，并找出系统的安全漏洞 3实施攻击,2019年1月18日星期五5时5分9秒,黑客攻击与防范,9,7.1.4黑客攻击手段,1黑客往往使用扫描器 2黑

4、客经常利用一些别人使用过的并在安全领域广为人知的技术和工具。 3黑客利用Internet站点上的有关文章 4黑客利用监听程序 5黑客利用网络工具进行侦察 6黑客自己编写工具,2019年1月18日星期五5时5分9秒,黑客攻击与防范,10,第二节 黑客攻击常用工具,网络监听 扫描器,2019年1月18日星期五5时5分9秒,黑客攻击与防范,11,7.2.1 网络监听,1.网络监听简介 所谓网络监听就是获取在网络上传输的信息。通常，这种信息并不是特定发给自己计算机的。一般情况下，系统管理员为了有效地管理网络、诊断网络问题而进行网络监听。然而，黑客为了达到其不可告人的目的，也进行网络监听。,2019年1

5、月18日星期五5时5分9秒,黑客攻击与防范,12,2. 在以太网中的监听 （1）以太网中信息传输的原理。 以太网协议的工作方式：发送信息时，发送方将对所有的主机进行广播，广播包的包头含有目的主机的物理地址，如果地址与主机不符，则该主机对数据包不予理睬，只有当地址与主机自己的地址相同时主机才会接受该数据包，但网络监听程序可以使得主机对所有通过它的数据进行接受或改变。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,13,（2）监听模式的设置 要使主机工作在监听模式下，需要向网络接口发送I/O控制命令；将其设置为监听模式。在UNIX系统中，发送这些命令需要超级用户的权限。在UNIX系统中普

6、通用户是不能进行网络监听的。但是，在上网的Windows 95中，则没有这个限制。只要运行这一类的监听软件即可，而且具有操作方便，对监听到信息的综合能力强的特点。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,14,（3）网络监听所造成的影响 网络监听使得进行监听的机器响应速度变得非常慢,2019年1月18日星期五5时5分9秒,黑客攻击与防范,15,3. 常用的监听工具,（1）snoop snoop可以截获网络上传输的数据包，并显示这些包中的内容。它使用网络包过滤功能和缓冲技术来提供有效的对网络通信过滤的功能。那些截获的数据包中的信息可以在它们被截获时显示出来，也可以存储在文件中，用

7、于以后的检查。 Snoop可以以单行的形式只输出数据包的总结信息，也可以以多行的形式对包中信息详细说明。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,16,2Sniffit软件 Sniffit是由Lawrence Berkeley实验室开发的，运行于Solaris、SGI和Linux等平台的一种免费网络监听软件，具有功能强大且使用方便的特点。使用时，用户可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,17,4. 网络监听的检测,方法一： 对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去p

8、ing，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。如果他的IP stack不再次反向检查的话，就会响应。这种方法依赖于系统的IP stack，对一些系统可能行不通。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,18,方法二： 往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能下降。通过比较前后该机器性能（icmp echo delay等方法）加以判断。这种方法难度比较大。 方法三： 一个看起来可行的检查监听程序的方法是搜索所有主机上运行的进程。那些使用DOS、Windows for Workgroup或者Win

9、dows 95的机器很难做到这一点。而使用UNIX和Windows NT的机器可以很容易地得到当前进程的清单。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,19,方法四： 另外一个办法就是去搜索监听程序，入侵者很可能使用的是一个免费软件。管理员就可以检查目录，找出监听程序，但这很困难而且很费时间。在UNIX系统上，人们可能不得不自己编写一个程序。另外，如果监听程序被换成另一个名字，管理员也不可能找到这个监听程序。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,20,7.2.2 扫描器,1. 扫描器简介 扫描器是自动检测远程或本地主机安全性漏洞的程序包。 使用扫描器，不仅可

10、以很快地发现本地主机系统配置和软件上存在的安全隐患，而且还可以不留痕迹地发现远在另一个半球的一台主机的安全性漏洞，这种自动检测功能快速而准确。 扫描器和监听工具一样，不同的人使用会有不同的结果：如果系统管理员使用了扫描器，它将直接有助于加强系统安全性；而对于黑客来说，扫描器是他们进行攻击入手点，不过，由于扫描器不能直接攻击网络漏洞，所以黑客使用扫描器找出目标主机上各种各样的安全漏洞后，利用其他方法进行恶意攻击。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,21,2. 端口扫描 （）端口 许多TCP/IP程序可以通过Internet启动，这些程序大都是面向客户/服务器的程序。当ine

11、td接收到一个连接请求时，它便启动一个服务，与请求客户服务的机器通讯。为简化这一过程，每个应用程序（比如FTP、Telnet）被赋予一个唯一的地址，这个地址称为端口。在一般的Internet服务器上都有数千个端口，为了简便和高效，为每个指定端口都设计了一个标准的数据帧。换句话说，尽管系统管理员可以把服务绑定（bind）到他选定的端口上，但服务一般都被绑定到指定的端口上，它们被称为公认端口。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,22,（）端口扫描简介 端口扫描是一种获取主机信息的好方法。 端口扫描程序对于系统管理人员，是一个非常简便实用的工具。 如果扫描到一些标准端口之外的端

12、口，系统管理员必须清楚这些端口提供了一些什么服务，是不是允许的。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,23,3. 常用的扫描工具 （）网络分析工具SATAN SATAN是一个分析网络的安全管理和测试、报告工具。它用来收集网络上主机的许多信息，并可以识别且自动报告与网络相关的安全问题。对所发现的每种问题类型，SATAN都提供对这个问题的解释以及它可能对系统和网络安全造成的影响的程度。通过所附的资料，它还解释如何处理这些问题。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,24,（）网络安全扫描器NSS 网络安全扫描器是一个非常隐蔽的扫描器。如果你用流行的搜索程序搜索

13、它，你所能发现的入口不超过20个。这并非意味着NSS使用不广泛，而是意味着多数载有该扫描器的FTP的站点处在暗处，或无法通过WWW搜索器找到它们。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,25,（）Strobe 超级优化TCP端口检测程序Strobe是一个TCP端口扫描器。它具有在最大带宽利用率和最小进程资源需求下，迅速地定位和扫描一台远程目标主机或许多台主机的所有TCP“监听”端口的能力。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,26,（4）Internet Scanner Internet Scanner可以说是可得到的最快和功能最全的安全扫描工具，用于UN

14、IX和Windows NT。它容易配置，扫描速度快，并且能产生综合报告。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,27,（5）Port Scanner Port Scanner是一个运行于Windows 95和Windows NT上的端口扫描工具，其开始界面上显示了两个输入框，上面的输入框用于要扫描的开始主机IP地址，下面的输入框用于输入要扫描的结束主机IP地址。在这两个IP地址之间的主机将被扫描。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,28,第三节 黑客攻击常见的两种形式,E-mail攻击 特洛伊木马攻击,2019年1月18日星期五5时5分9秒,黑客攻击与防

15、范,29,7.3.1 E-mail攻击,1. E-mail工作原理 一个邮件系统的传输实际包含了三个方面，它们是用户代理（User Agent）、传输代理（Transfer Agent）及接受代理（Delivery Agent）三大部分。 用户代理是一个用户端发信和收信的应用程序，它负责将信按照一定的标准包装，然后送至邮件服务器，将信件发出或由邮件服务器收回。 传输代理则负责信件的交换和传输，将信件传送至适当的邮件主机。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,30,接受代理则是负责将信件根据信件的信息而分发至不同的邮件信箱。 传输代理要求能够接受用户邮件程序送来的信件，解读收

16、信人的具体地址，根据SMTP（Simple Mail Transport Protocol）协议将它正确无误地传递到目的地。而接收代理POP（Post Office Protocol，网络邮局协议或网络中转协议）则必须能够把用户的邮件被用户读取至自己的主机。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,31,2. E-mail的安全漏洞 （1）Hotmail Service存在漏洞 （2）sendmail存在安全漏洞 （3）用Web浏览器查看邮件带来的漏洞 （4）E-mail服务器的开放性带来的威胁 （5） E-mail传输形式的潜在威胁,2019年1月18日星期五5时5分9秒,黑客攻击与防范,32,3. 匿名转发 所谓匿名转发，就是电子邮件的发送者在发送邮件时，使接收者搞不清邮件的发送者是谁，邮件从何处发送，采用这种邮件发送的方法称为匿名转发，用户接收到的邮件又叫匿名邮件。,2019年1月18日星期五5时5分9秒,黑客攻击与防范,33,4. 来自E-mail的攻击 （1） E-mail欺骗 （2