《计算机安全技术修订版课件 计算机安全技术PPT—第十章》由会员分享,可在线阅读,更多相关《计算机安全技术修订版课件 计算机安全技术PPT—第十章(25页珍藏版)》请在金锄头文库上搜索。
1、第十章,黑客的攻击与防范,10.1 初识黑客,“黑客”一词是由英文“hacker”音译来过的,原是指热心于计算机技术,水平高超的计算机专家,尤其是程序设计人员。显然,真正的黑客是指真正了解系统,对计算机的发展有创造和贡献的人们,而不是以破坏为目的的入侵者。到了今天,黑客一词已被用于泛指那些未经许可就闯入别人计算机系统进行破坏的人。对这些人的正确英文叫法是Cracker,可翻译为“骇客”或“垮客”。 目前,黑客已经成为了一个特殊的社会群体,他们有自己的组织,并经常进行技术交流活动。同时,他们还利用自己公开的网站提供免费的黑客工具软件,介绍黑客攻击方法及出版网上黑客杂志和书籍。这使得普通人也很容易
2、通过互联网学会使用一些简单的网络攻击工具及方法,进一步恶化了网络安全环境。,10.2 黑客攻击的目的及步骤,黑客攻击的目的主要有以下四种: (1)获取目标系统的非法访问 (2)获取所需资料 (3)篡改有关数据 (4)利用有关资源 基于以上目的,黑客会对计算机网络系统进行各种各样的攻击。虽然他们针对的目标和采用的方法各不相同,但所用的攻击步骤却有很多的共同性。 一般黑客的攻击可分为以下几个步骤: (1)寻找目标主机并分析目标主机。 (2)登录主机。 (3)得到超级用户权限,控制主机。 (4)清除记录,设置后门,10.3 常见的黑客攻击方法,黑客的攻击手段多种多样,对常见攻击方法的了解,将有助于用
3、户达到有效防黑的目的。这些方法包括: 1、口令攻击 2、放置特洛伊木马程序 3、Web欺骗技术 4、电子邮件攻击 5、通过“肉鸡”来攻击其他节点 6、网络监听 7、缓冲区溢出 8、端口扫描攻击 9、其它攻击方法,10.4 黑客工具,所谓黑客工具是指编写出来用于网络安全方面的工具软件,其功能是执行一些诸如扫描端口,防止黑客程序入侵,监测系统等功能,有些是用来防御,而有些则是以恶意攻击为目的攻击性软件,常见的有木马程序,病毒程序,炸弹程序等,另外还有一部分软件是为了破解某些软件或系统的密码而编写的,一般也大都出于非正当的目的。我们可以通过它们了解黑客的攻击手段,掌握防范黑客攻击的方法,堵住可能出现
4、的各种漏洞。 10.4.1 木马程序 一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于黑客远程控制植入木马的机器的程序,服务器端程序即是木马程序。如果黑客要通过木马入侵你的系统,他所要做的第一步就是要让木马的服务器端程序在你的计算机中运行。一旦运行成功,木马程序就可以获得系统管理员的权限,在用户毫不觉察的情况下,对计算机做任何能做的事情。所以,计算机用户应该经常检查自己的系统,作好木马的预防和清除工作。,10.4 黑客工具,以下就一些知名的木马程序作简单介绍: 1、 冰河 冰河是一个优秀的国产木马程序,它功能众多,几乎涵盖了所有Windows的常用操作,并具有简单、明了的中文使用界
5、面。 冰河的服务器端和客户端都是一个可执行的文件。如图所示,客户端的图标是一把打开的瑞士军刀,服务器端则看起来是个微不足道的程序,但就是这个程序在计算机上执行以后,该计算机的7626号端口就对外开放了。如果在客户端输入其IP地址,就可完全控制这台计算机了。,10.4 黑客工具,冰河的功能比起国外的木马程序来一点也不逊色, 它可以自动跟踪目标机器的屏幕变化;可以完全模拟键盘及鼠标输入;可以记录各种口令信息,包括开机口令、屏保口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息;可以获取系统信息,包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等
6、多项系统数据;它还可以限制系统功能、进行远程文件操作及注册表操作,同时它还具有发送信息和点对点通讯的能力。 2.蓝色火焰 蓝色火焰是一款有实力、有新意的木马,它放弃了作为远程监控工具的客户端程序,直接利用现有网络相关的程序来控制服务器端。这一特色使蓝色火焰这个“没有客户端的木马”逐渐成为了许多黑客必备的工具之一。 1、 3.灰鸽子 灰鸽子是一个功能强大的远程控制类软件,它与同类木马软件不同的是采用了“反弹端口原理”的连接方式,可以在互联网上访问到局域网内通过透明代理上网的电脑,并且可以穿过某些防火墙。灰鸽子分为客户端与服务端,软件在下载安装后没有服务端,只有客户端H_Clien.exe,服务器
7、端是要通过配置来生成的。 现在的木马层出不穷,数不胜数,比较出名的还有诸如BO2K、广外女生、网络神偷、黑洞2001、无赖小子等等,令人防不胜防。我们应注意这方面的信息,作好对木马的防御和清除工作。一般来说,要作到以下三点:一、不轻易运行来历不明的软件;二、及时升级杀毒软件,使病毒库保持最新;三、安装并运行防火墙。,10.4 黑客工具,10.4.2 扫描工具 扫描工具是一种能够自动检测远程或本地主机安全弱点的程序,通过它可以获得远程计算机的各种端口分配及提供的服务和它们的版本。扫描器工作时是通过选用不同的TCP/IP端口的服务,并记录目标主机给予的应答,以此搜集到关于目标主机的各种有用信息的。
8、 对于扫描器,我们不能将它等同于一个攻击网络漏洞的程序。它只是提供了目标主机的信息,而不是直接进攻,它获取的信息必须经过人为的分析才能成为真正有用的信息。当然,这需要用户具有一定的网络知识,否则,扫描器对于用户来说,将毫无用处。 下面就比较有名的扫描器做出介绍: 1、 1.流光 流光是国内最著名的扫描、入侵工具,集端口扫描、字典工具、入侵工具、口令猜解等多种功能于一身,界面豪华,功能强大!它能让一个刚刚会用鼠标的人成为专业级黑客。它可以探测POP3、FTP、SMTP、IMAP、SQL、IPC、IIS、FINGER等各种漏洞,并针对各种漏洞设计了不同的破解方案,能够在有漏洞的系统上轻易得到被探测
9、的用户密码。流光对Windows9x/NT/2000上的漏洞都可以探测,使它成为了黑客手中必备的工具之一。,10.4 黑客工具,2、Superscan Superscan是一个功能强大的端口扫描工具。它可以通过Ping来检验目标计算机是否在线,支持IP和域名相互转换,还可以检验一定范围内目标计算机的端口情况和提供的服务类别。Superscan可以自定义要检验的端口,并可以保存为端口列表文件,它还自带了一个木马端口列表,通过这个列表可以检测目标计算机是否有木马,同时用户也可以自己定义、修改这个木马端口列表。在Superscan找到的主机上,单击右键可以实现HTTP浏览、TELNET登陆、FTP上
10、传、域名查询等功能。 Superscan扫描时的速度非常快,而且CPU占用率也非常小、非常平稳,甚至感觉不到它的运行。同时,Superscan扫描时占用的带宽也非常小,在使用宽带和电话拨号网络时,几乎没有什么差别。Superscan很适合扫描整个网段中的特定端口,用它做端口范围165535的扫描也非常适合,所以,许多人把Superscan作为了扫描肉鸡及制作SOCK代理的必备工具。其缺点是扫描时,有些端口无法扫描到。,10.4 黑客工具,4、x-way2.5 x-way2.5是一个主要采用多线程形式对服务器系统进行漏洞扫描和安全测试的工具。同流光一样,它最大的特点也是高集成度,除了拥有类似于流
11、光中的IIS远程命令及SQL远程命令外,还拥有流光目前不具备的一些功能,在这一点上,x-way2.5与流光相比,毫不逊色。 x-way2.5可以对系统进行综合扫描,包括对端口及系统CGI漏洞的扫描。x-way2.5还可以对NT主机进行IPC探测,列举主机用户、共享资源及工作组,获取WEB服务信息,进行SMTP的用户验证及漏洞检测、FTP匿名登录检测、Finger探测、RPC探测、弱口令检测,并可代理扫描。 由于x-way2.5是在Win2000下开发的,所以用户使用的时候,最好也在Win2000环境下,以发挥其最佳效果。,10.4 黑客工具,10.4.3 破解工具 利用破解工具我们可以检查密码
12、的安全性及找回忘记的密码,但用心不良的人也可以用它来破解他人的密码,以达自己不可告人的目的。 根据破解原理的不同,破解工具大致可分为穷举法破解器和查看法破解器两种。穷举法,又叫暴力破解法,其过程是从黑客字典里抽出一个字段来和要破解的密码进行对比,直到破解出密码或字典里的字段全部试完为止。这种守株待兔的方法看似简单,但由于黑客字典通常包含了很多黑客经验的累积,所以此法就对于安全意识不强的用户,破解率是很高的。查看法是指程序通过嗅探或系统漏洞来获得密码文件的方法。 下面简要介绍几个用于破解密码的工具软件。 1、溯雪 溯雪是小榕作品的代表之一,它可以利用ASP、CGI对免费信箱进行密码探测,其运行原
13、理是,通过提取ASP、CGI页面表单,搜寻表单运行后的错误标志,有了错误标志后,再挂上字典文件来破解信箱密码。,10.4 黑客工具,2.网络刺客II 网络刺客是天行软件的经典之作,软件的最大作用就是,当有人在局域网中使用的POP3、FTP、Telnet服务时,网络刺客II就可以截获其中的密码。程序的II代同I代相比,无论在功能、性能、技术上都有了长足的进步,I代只相当于II代的一个微小子集。 3.黑雨 黑雨是一款非常优秀的POP3邮箱密码暴力破解器。它可以验证用户名和密码是否正确,并独创了深度和广度两种破解算法。深度算法是一种很特殊的算法,如果密码位数猜得准,就可以将破解时间缩短30%-70%
14、。广度算法是一种老实的算法,现大多数类似功能的工具都采用它,其对3位以下的短小密码非常有效。总的来看,黑雨软件的特色为独创了多项算法,简单、易用且功能强大。 面对数量越来越多,功能越来越强的破解工具,我们应该作到,不轻易暴露自己的邮箱地址和论坛、聊天室的用户名;对于不同的邮箱要设置不同的密码;尽量把密码设置的复杂一些,不可设置为纯数字或纯字母,应把数字与字母相结合,并且密码长度要大于7位。同时还要注意,不可将破解工具用于非法用途或侵犯他人隐私,否则将承担相应的法律责任。,10.4 黑客工具,10.4.4 炸弹工具 炸弹攻击的基本原理是利用特殊工具软件,在短时间内向目标机集中发送大量超出系统接收
15、范围的信息或者垃圾信息,目的在于使对方目标机出现超负荷、网络堵塞等状况,从而造成目标的系统崩溃及拒绝服务。常见的炸弹有邮件炸弹、逻辑炸弹、聊天室炸弹等。 下面我们对一简单的邮件炸弹工具QuickFyre做出说明。程序运行后,出现如图所示的主界面,可以一目了然地看出这是一个发电子邮件的程序。我们只要在各个输入框中填入目标邮箱地址、发信人的邮箱地址(一般可假冒他人)、邮件的主题、邮件服务器地址和邮件复制的份数,然后在主界面下方的信件内容框中输入信件内容,单击“Mail”按钮,程序连接邮件服务器后,就开始发信进行攻击了。 目前对于邮件炸弹还没有解决的万全之策,只能消极防御,以预防为主。要做到尽量不轻
16、易给别人留下自己的E-mail地址,同时申请容量较大的信箱,并开启邮件过滤功能。,10.4 黑客工具,10.4.5 安全防御工具 使用安全防御工具可以帮助我们抵挡网络入侵和攻击,防止信息泄露,并可以根据可疑的信息,来跟踪、查找攻击者。下面就一些经常使用的安全防御工具做出说明。 1.木马克星 木马克星是一款专门针对国产木马的软件。该软件是动态监视网络与静态特征字扫描的完美结合,可以查杀5021种国际木马,112种电子邮件木马,保证查杀冰河类文件关联木马,QQ类寄生木马,ICMP类幽灵木马,网络神偷类反弹木马,并内置木马防火墙,任何黑客试图与本机建立连接,都需要木马克星的确认,不仅可以查杀木马,还可以查黑客。 木马克星可以对内存和硬盘进行扫描,还可以对系统进程、网络状态、共享及启动项目等进行监控。由于采用了监视硬盘技术,木马克星不占用CPU负荷,占用系统资源少,并且可以在线升级木马库,使其操作更加智能,查杀木马更多。,10.4 黑客工具,2.Lockdown 2000 Lockdown 2000是一款功能强大的网络安全工具,能够清除木马,查杀邮件病毒,
