《第五章黑客攻击及防御技术》由会员分享,可在线阅读,更多相关《第五章黑客攻击及防御技术(65页珍藏版)》请在金锄头文库上搜索。
1、第五章第五章第五章第五章 黑客攻击及防御技术黑客攻击及防御技术黑客攻击及防御技术黑客攻击及防御技术医湛膳姓括塑涟贰孙优蹿纫旅飘挪盗普笑正坪炎桶兢山甥届摇狗饲液艳岸第五章黑客攻击及防御技术第五章黑客攻击及防御技术第五章 黑客攻击及防御技术本章要点本章要点vv几种常见攻击的攻击原理几种常见攻击的攻击原理几种常见攻击的攻击原理几种常见攻击的攻击原理vv常见攻击手段的防御方式常见攻击手段的防御方式常见攻击手段的防御方式常见攻击手段的防御方式等蕾棍癸蔫踏忿悬匿裙惋针象冗珊妥功网瞪肚田燃疟孜阿嘘闻眉密忻甲贩第五章黑客攻击及防御技术第五章黑客攻击及防御技术第五章 黑客攻击及防御技术5.1拒绝服务攻击拒绝服务
2、攻击5.2恶意软件恶意软件5.3邮件攻击邮件攻击5.4电子黑饵电子黑饵5.5非法入侵者非法入侵者5.6缓冲区溢出攻击缓冲区溢出攻击本章内容本章内容本章内容本章内容5.7实验实验樟豺经蹭痕乓铀渡透淖依谜贾疽醇敛菩涪骤招于哦裸径股咆渡沮蜒烹卧屈第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.1 拒绝服务攻击简介 拒绝服务攻击(拒绝服务攻击(DoS)是一种破坏性的攻击方式)是一种破坏性的攻击方式,它主要针对网络上的各种服务器和设备,其,它主要针对网络上的各种服务器和设备,其特征是使得攻击目标无法正常工作。特征是使得攻击目标无法正常工作。 拒绝服务攻击的类型拒绝服务攻击的类型vv带宽消耗型带宽消耗
3、型带宽消耗型带宽消耗型: : 耗尽攻击目标的带宽资源耗尽攻击目标的带宽资源耗尽攻击目标的带宽资源耗尽攻击目标的带宽资源vv系统资源消耗型:耗尽攻击目标的系统资源系统资源消耗型:耗尽攻击目标的系统资源系统资源消耗型:耗尽攻击目标的系统资源系统资源消耗型:耗尽攻击目标的系统资源vv异常导致性:利用软硬件实现上的编程缺陷,来异常导致性:利用软硬件实现上的编程缺陷,来异常导致性:利用软硬件实现上的编程缺陷,来异常导致性:利用软硬件实现上的编程缺陷,来导致攻击目标出现异常,从而拒绝提供正常服务导致攻击目标出现异常,从而拒绝提供正常服务导致攻击目标出现异常,从而拒绝提供正常服务导致攻击目标出现异常,从而拒
4、绝提供正常服务 仿帜汞曼件烁泻蹿府烩勿杯第端府土霸暴妄专终函同献励勤乎嘎斤观祝伟第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.1 拒绝服务攻击实例Smurf第一步:攻击者发送伪造的数据包到放大网络。数据包的源第一步:攻击者发送伪造的数据包到放大网络。数据包的源第一步:攻击者发送伪造的数据包到放大网络。数据包的源第一步:攻击者发送伪造的数据包到放大网络。数据包的源地址为受害者的地址为受害者的地址为受害者的地址为受害者的IPIP地址,目的地址为放大网络的广播地址地址,目的地址为放大网络的广播地址地址,目的地址为放大网络的广播地址地址,目的地址为放大网络的广播地址。第二步:放大网络中所有开启了
5、第二步:放大网络中所有开启了第二步:放大网络中所有开启了第二步:放大网络中所有开启了echoechoechoecho功能的主机会返回一个功能的主机会返回一个功能的主机会返回一个功能的主机会返回一个应答给受害者,这时受害者就会被大量的响应信息所淹没。应答给受害者,这时受害者就会被大量的响应信息所淹没。应答给受害者,这时受害者就会被大量的响应信息所淹没。应答给受害者,这时受害者就会被大量的响应信息所淹没。 稠捞铸祷狠副胜掷泳乱沏占藐甸辱订脏至瓶锰逞盗荷碌敦锁涅概噎直崖讼第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.1 Smurf攻击防御禁止路由器转发目标地址为广播地址的数据包禁止路由器转发目
6、标地址为广播地址的数据包 关闭主机的关闭主机的echoecho功能也可以降低放大网络的放大能力功能也可以降低放大网络的放大能力 讳热铆赫经帖弥闽栖宫触帅笋卷性黍揉逛怠济抑盐抨在么灸橙烁庇哇嗡晤第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.1 拒绝服务攻击实例SYN洪水(1)预备知识:TCP的三次握手过程第一步:客户端发送一个第一步:客户端发送一个SYNSYN置位的置位的包到服务器,告诉服务器它的初始包到服务器,告诉服务器它的初始序列号。序列号。第二步:服务器返回第二步:服务器返回SYN/ACKSYN/ACK包作为包作为响应。同时告诉客户端它的初始序响应。同时告诉客户端它的初始序列号列号。
7、第三步:客户端返回第三步:客户端返回ACKACK包作为应答,包作为应答,完成三次握手过程。完成三次握手过程。 毫构埂业冻痛企竣胸被骗倡竭析兔带溪云右狡材娄二纤露衅滋痊含罩果玛第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.1 拒绝服务攻击实例SYN洪水(2) “SYN “SYN洪水攻击洪水攻击洪水攻击洪水攻击” ”的攻击过程的攻击过程的攻击过程的攻击过程vv攻击者向目标主机发送源地址并不存在的攻击者向目标主机发送源地址并不存在的攻击者向目标主机发送源地址并不存在的攻击者向目标主机发送源地址并不存在的SYNSYN报文,或者在收到报文,或者在收到报文,或者在收到报文,或者在收到对方发送的对方发
8、送的对方发送的对方发送的SYN/ACKSYN/ACK报文时不返回报文时不返回报文时不返回报文时不返回ACKACK报文。报文。报文。报文。vv目标主机会等待客户端的响应,并在收不到响应包的情况下进行目标主机会等待客户端的响应,并在收不到响应包的情况下进行目标主机会等待客户端的响应,并在收不到响应包的情况下进行目标主机会等待客户端的响应,并在收不到响应包的情况下进行重发,直到超时为止。重发,直到超时为止。重发,直到超时为止。重发,直到超时为止。vv在这个等待的过程中,目标主机还会维护之前为该连接分配的资在这个等待的过程中,目标主机还会维护之前为该连接分配的资在这个等待的过程中,目标主机还会维护之前
9、为该连接分配的资在这个等待的过程中,目标主机还会维护之前为该连接分配的资源。因此只要攻击者在短时间内发起大量的连接,就可以耗尽目源。因此只要攻击者在短时间内发起大量的连接,就可以耗尽目源。因此只要攻击者在短时间内发起大量的连接,就可以耗尽目源。因此只要攻击者在短时间内发起大量的连接,就可以耗尽目标主机上的连接资源,使得目标主机无法提供正常的服务。标主机上的连接资源,使得目标主机无法提供正常的服务。标主机上的连接资源,使得目标主机无法提供正常的服务。标主机上的连接资源,使得目标主机无法提供正常的服务。 甲宪脯枯辰卡嫡挚哮家店唇谣忠侮濒然掺拭粟庙惯淹狈限嘉防窝峦习娥泳第五章黑客攻击及防御技术第五章
10、黑客攻击及防御技术5.1 SYN洪水攻击防御 通过判断单位时间内收到的通过判断单位时间内收到的通过判断单位时间内收到的通过判断单位时间内收到的SYNSYN连接次数是否超过了系统连接次数是否超过了系统连接次数是否超过了系统连接次数是否超过了系统的预设值,就能够检测出。当接收到大量的的预设值,就能够检测出。当接收到大量的的预设值,就能够检测出。当接收到大量的的预设值,就能够检测出。当接收到大量的SYNSYN数据包时,数据包时,数据包时,数据包时,可通知防火墙阻断连接请求或丢弃这些数据包,以达到防御可通知防火墙阻断连接请求或丢弃这些数据包,以达到防御可通知防火墙阻断连接请求或丢弃这些数据包,以达到防
11、御可通知防火墙阻断连接请求或丢弃这些数据包,以达到防御效果。效果。效果。效果。 骂筋疥卧简涸赋捧甄截痘洗坐授衡乔小般俩烩令泊懂别纂刷窗什杯蚜疮悔第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.1 拒绝服务攻击实例LANDLAND的攻击过程1. 1. 1. 1. 攻击者发送伪造的攻击者发送伪造的攻击者发送伪造的攻击者发送伪造的SYNSYNSYNSYN数据包给服务器,该数据数据包给服务器,该数据数据包给服务器,该数据数据包给服务器,该数据包的源地址和目的地址都包的源地址和目的地址都包的源地址和目的地址都包的源地址和目的地址都为服务器的为服务器的为服务器的为服务器的IPIPIPIP地址地址地址地
12、址2. 2. 2. 2. 服务器针对该伪造的服务器针对该伪造的服务器针对该伪造的服务器针对该伪造的SYNSYNSYNSYN数据包返回数据包返回数据包返回数据包返回SYN/ACKSYN/ACKSYN/ACKSYN/ACK包。包。包。包。由于之前伪造的由于之前伪造的由于之前伪造的由于之前伪造的SYNSYNSYNSYN包的包的包的包的源地址为服务器的源地址为服务器的源地址为服务器的源地址为服务器的IPIPIPIP地址,地址,地址,地址,因此服务器会收到自己发因此服务器会收到自己发因此服务器会收到自己发因此服务器会收到自己发送出的送出的送出的送出的SYN/ACKSYN/ACKSYN/ACKSYN/AC
13、K包包包包3.3.3.3.服务器发现该包的确认服务器发现该包的确认服务器发现该包的确认服务器发现该包的确认号与期待的确认号差别太号与期待的确认号差别太号与期待的确认号差别太号与期待的确认号差别太大时,会将其丢弃,并重大时,会将其丢弃,并重大时,会将其丢弃,并重大时,会将其丢弃,并重发之前的发之前的发之前的发之前的SYN/ACKSYN/ACKSYN/ACKSYN/ACK包包包包 4.4.4.4.该过程会一直循环,导该过程会一直循环,导该过程会一直循环,导该过程会一直循环,导致服务器性能大大降低致服务器性能大大降低致服务器性能大大降低致服务器性能大大降低 矛湖糙握旋隶曝唉进娶捕躯伦率揪涉艳爷短翟协
14、匆谋谢戴仰瓦拦啪畔稻秆第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.1 LAND攻击防御 LAND攻击的检测比较容易,只需简单地判断数据包的源地址攻击的检测比较容易,只需简单地判断数据包的源地址和目的地址是否相同即可。对于这种攻击,可通过适当配置防火墙和目的地址是否相同即可。对于这种攻击,可通过适当配置防火墙设置或修改路由器的过滤规则来防止。设置或修改路由器的过滤规则来防止。 获痛凤埋密德缸诧疹热爸惠筋式锅腔盘占匡石款畔敖咨场考膨倾篇颐栋仍第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.1 拒绝服务攻击实例Teardrop针对早期未对异常分片进行处理的针对早期未对异常分片进行处理的L
15、inux偏移量偏移量=0=0,长度,长度=N=N偏移量偏移量=K=K,长度,长度=M=M(K KN,MN,MN-KN-K )分片分片1 1分片分片2 21. 1. 1. 1. 把分片把分片把分片把分片2 2 2 2的偏移量设为的偏移量设为的偏移量设为的偏移量设为N N N N,使其与分片使其与分片使其与分片使其与分片1 1 1 1的末尾对齐的末尾对齐的末尾对齐的末尾对齐 2. 2. 2. 2. 计算分片计算分片2 2的末尾位置:的末尾位置:用对齐前的偏移量加上分片用对齐前的偏移量加上分片2 2的数据长度,得到的数据长度,得到K+MK+M3. 3. 3. 3. 计算待拷贝数据的长度:计算待拷贝数
16、据的长度:用分片用分片2 2的末尾位置减去对齐的末尾位置减去对齐后第后第2 2个分片的偏移量,得到个分片的偏移量,得到K+M-N K+M-N 由于由于M MN-KN-K,计算得出的长度将是一个负数。在计算机中,负数是用反码来表,计算得出的长度将是一个负数。在计算机中,负数是用反码来表示,其结果是向内核拷贝过多的数据,导致系统重启或崩溃示,其结果是向内核拷贝过多的数据,导致系统重启或崩溃 踞各万域夕辐处梁纬绞洛装官锐辙佬肇额瞩欧饼碘挛滴夜往族曹踏谁氦宅第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.1 Teardrop攻击防御 针对针对teardrop攻击的特点,可对接收到的攻击的特点,可对
17、接收到的分片数据包进行分析,通过计算数据包的片偏分片数据包进行分析,通过计算数据包的片偏移量是否有误来对其进行检测。由于移量是否有误来对其进行检测。由于teardrop攻击主要利用早期攻击主要利用早期linux内核中的缺陷,因此可内核中的缺陷,因此可通过安装系统补丁来进行防御。另外,还可以通过安装系统补丁来进行防御。另外,还可以通过设置防火墙或路由器的过滤规则来丢弃此通过设置防火墙或路由器的过滤规则来丢弃此类病态的数据包。类病态的数据包。 彬戌设莲端背彪丧汛阜偶瓦曳探缀状羹怜枚锌苹川雅赎蚂披张扮窗仪杯刁第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.1 DDos攻击 主从式的主从式的DDo
18、S攻击结构攻击结构 利用反弹服务器的利用反弹服务器的DDoS攻击结构攻击结构 骂驻酵期眶矢掇盐迄驯危喉走笨酒簧斗娶寇窿滚僻惕翘脚雪贱词票陛赂湖第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.1 拒绝服务攻击防御方式1.加固操作系统:限制操作系统上运行的服务、及时部署操作系统加固操作系统:限制操作系统上运行的服务、及时部署操作系统与应用程序补丁。与应用程序补丁。 2.使用防火墙:防火墙位可对特定的数据包进行阻挡。特别地,还使用防火墙:防火墙位可对特定的数据包进行阻挡。特别地,还可以使用针对可以使用针对DoS攻击的过滤算法,例如攻击的过滤算法,例如 “随机丢弃随机丢弃”和和“SYN魔魔饼饼”
19、算法。算法。3.配置边界路由器:部分配置边界路由器:部分DoS和和DDoS攻击利用了攻击利用了ICMP报文,因此报文,因此可在边界路由器上将可在边界路由器上将ICMP报文过滤掉。报文过滤掉。 4.采用负载均衡技术:将关键业务分布到多台服务器上,这样即便采用负载均衡技术:将关键业务分布到多台服务器上,这样即便其中一台受到攻击,其他服务器仍然可以继续工作其中一台受到攻击,其他服务器仍然可以继续工作,以保证业务,以保证业务的连续性。的连续性。舍紫盂捡湿劳羌替卢总酝疟旁带溉坐猖标蜜确煮惑局鼻晋虱惫副额拙拿煞第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件简介 恶意软件(恶意软件(mal
20、ware)是攻击者植入受害者系统的)是攻击者植入受害者系统的一段恶意代码,它们使得攻击者可以在受害者毫不一段恶意代码,它们使得攻击者可以在受害者毫不知情的状况下控制对方的系统、网络以及数据。知情的状况下控制对方的系统、网络以及数据。 恶意代码有很多种形式,常见的有:计算机病毒、恶意代码有很多种形式,常见的有:计算机病毒、蠕虫和特洛伊木马。蠕虫和特洛伊木马。成伙匡梗囊龄潭座扣辞槛阀浅城集唆禾那级琳炙似胆惊种察乏炉勾撼惋吐第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件计算机病毒的定义和特性病毒的定义病毒的定义vv计算机病毒是一段程序,它能够在计算机系统运行计算机病毒是一段程序,它
21、能够在计算机系统运行计算机病毒是一段程序,它能够在计算机系统运行计算机病毒是一段程序,它能够在计算机系统运行过程中,把自己精确地或者有修改地拷贝到其他程过程中,把自己精确地或者有修改地拷贝到其他程过程中,把自己精确地或者有修改地拷贝到其他程过程中,把自己精确地或者有修改地拷贝到其他程序内。序内。序内。序内。 病毒的特性病毒的特性病毒的特性病毒的特性vv感染性、潜伏性、可触发性、破坏性感染性、潜伏性、可触发性、破坏性感染性、潜伏性、可触发性、破坏性感染性、潜伏性、可触发性、破坏性 言凉特税氛买龟招瑶铃臭痰奥订锥协炭谱嫂磕吁熔蓉蕴荤剧傀胡讯郝临氟第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.
22、2 恶意软件计算机病毒的感染机制(1)感染对象感染对象感染对象感染对象1 1:引导扇区:引导扇区:引导扇区:引导扇区vv这类病毒用其自身的全部或者部分代码代替正常的引导记这类病毒用其自身的全部或者部分代码代替正常的引导记这类病毒用其自身的全部或者部分代码代替正常的引导记这类病毒用其自身的全部或者部分代码代替正常的引导记录,并将正常的引导记录隐藏在磁盘的其他地方。录,并将正常的引导记录隐藏在磁盘的其他地方。录,并将正常的引导记录隐藏在磁盘的其他地方。录,并将正常的引导记录隐藏在磁盘的其他地方。 vv在染毒系统的引导过程中,由于病毒占据了引导程序的物在染毒系统的引导过程中,由于病毒占据了引导程序的
23、物在染毒系统的引导过程中,由于病毒占据了引导程序的物在染毒系统的引导过程中,由于病毒占据了引导程序的物理位置,因此控制权会从理位置,因此控制权会从理位置,因此控制权会从理位置,因此控制权会从BIOSBIOS转交到病毒程序处。待病转交到病毒程序处。待病转交到病毒程序处。待病转交到病毒程序处。待病毒程序执行完毕后,它会将控制权交还给真正的引导区毒程序执行完毕后,它会将控制权交还给真正的引导区毒程序执行完毕后,它会将控制权交还给真正的引导区毒程序执行完毕后,它会将控制权交还给真正的引导区内容,使得这个带病毒的系统看似处于正常运行的状态。内容,使得这个带病毒的系统看似处于正常运行的状态。内容,使得这个
24、带病毒的系统看似处于正常运行的状态。内容,使得这个带病毒的系统看似处于正常运行的状态。vv此类病毒的例子有:此类病毒的例子有:此类病毒的例子有:此类病毒的例子有:“ “大麻大麻大麻大麻” ”、“ “幽灵幽灵幽灵幽灵” ”、“ “磁盘杀手磁盘杀手磁盘杀手磁盘杀手” ” 涂调噶溢圈殉酣热菱卸缨湾糙颓癣栈剔踊笼郭淤道掸碎阮枣销侧侨屹忍载第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件计算机病毒的感染机制(2)感染对象感染对象感染对象感染对象2 2:可执行文件:可执行文件:可执行文件:可执行文件vv可执行文件是病毒的首要感染对象,既包括普通的应用程可执行文件是病毒的首要感染对象,既包括
25、普通的应用程可执行文件是病毒的首要感染对象,既包括普通的应用程可执行文件是病毒的首要感染对象,既包括普通的应用程序,又包括操作系统中可独立执行的程序或程序模块。序,又包括操作系统中可独立执行的程序或程序模块。序,又包括操作系统中可独立执行的程序或程序模块。序,又包括操作系统中可独立执行的程序或程序模块。 vv多种感染技术:伴随式感染技术多种感染技术:伴随式感染技术多种感染技术:伴随式感染技术多种感染技术:伴随式感染技术( (如如如如notepad)notepad)、覆盖式感、覆盖式感、覆盖式感、覆盖式感染技术、插入式感染技术染技术、插入式感染技术染技术、插入式感染技术染技术、插入式感染技术 粗
26、泌房资硫净耘驱拯稀闯描浅刷摧饺苏缸千苹咽圾入纬洋受述明充炳牲眷第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件计算机病毒的感染机制(3)感染对象感染对象感染对象感染对象3 3:数据文件:数据文件:数据文件:数据文件vv虽然数据文件本身不能被执行,但是某些应用程序(比如虽然数据文件本身不能被执行,但是某些应用程序(比如虽然数据文件本身不能被执行,但是某些应用程序(比如虽然数据文件本身不能被执行,但是某些应用程序(比如Microsoft OfficeMicrosoft Office、AutoCADAutoCAD等)能够执行嵌入在数据文等)能够执行嵌入在数据文等)能够执行嵌入在数据文
27、等)能够执行嵌入在数据文件中的脚本。病毒的编写者正是利用这种特性,将病毒件中的脚本。病毒的编写者正是利用这种特性,将病毒件中的脚本。病毒的编写者正是利用这种特性,将病毒件中的脚本。病毒的编写者正是利用这种特性,将病毒代码附着在数据文件中。代码附着在数据文件中。代码附着在数据文件中。代码附着在数据文件中。vv例如:宏病毒例如:宏病毒例如:宏病毒例如:宏病毒砒敲二莉佬哆哉峨料斗肘侮辰尿敝鼠诚苦菲瘪渺汞晚把贫骗蝎佯讽或糜扬第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件计算机病毒的传播机制病毒只能在本机内寻找感染对象。为了将自己传病毒只能在本机内寻找感染对象。为了将自己传播到其它主机
28、,病毒必须借助于其他介质。播到其它主机,病毒必须借助于其他介质。vv可移动磁盘可移动磁盘可移动磁盘可移动磁盘 vv电子邮件电子邮件电子邮件电子邮件 vv下载下载下载下载vv共享目录共享目录共享目录共享目录 壹魄段去戮伪沦惫箕豁把颤试门窗均制皇冠建裳饰巨孔微葡耿辛纲蛙壮战第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件蠕虫的定义蠕虫是一段可自我复制的代码,它通过网络进行传蠕虫是一段可自我复制的代码,它通过网络进行传播,且不需要人为的干预。播,且不需要人为的干预。一旦蠕虫占领某台计算机,一方面它会像病毒一样一旦蠕虫占领某台计算机,一方面它会像病毒一样在系统内进行破坏活动;另一方面,
29、它会以这台计在系统内进行破坏活动;另一方面,它会以这台计算机为平台,继续检测网络上未被感染的计算机,算机为平台,继续检测网络上未被感染的计算机,然后将自身程序复制到其上。然后将自身程序复制到其上。 诸甫假搬纱废邑娶饿醛球塌弃馆毅橙锹庞量话罪窑芽蜜奏漏秋泰蹈寐灸轩第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件蠕虫与病毒的区别病 毒蠕 虫存在形式寄生于其他对象中寄生于其他对象中 以独立程序的形式存在以独立程序的形式存在 传染目标本地文件或本地磁盘本地文件或本地磁盘 网络中的主机网络中的主机 传播途径通过感染文件和可移动磁盘通过感染文件和可移动磁盘进行传播;或者借助于人的进行传播;
30、或者借助于人的帮助通过网络传播帮助通过网络传播通过网络传播通过网络传播 磋韵波起忍炽稗锤沦石埂宴缮莱养馅出渊馈契弟颅汀惩捣娱剔爽瞻衍四扳第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件特洛伊木马的定义特洛伊木马指那些表面上看起来有用,但暗地里执特洛伊木马指那些表面上看起来有用,但暗地里执行非法操作的程序。一旦主机被植入木马,攻击者行非法操作的程序。一旦主机被植入木马,攻击者就可以随意控制受害者的主机,进行各种非法操作。就可以随意控制受害者的主机,进行各种非法操作。两个基本特性两个基本特性vv隐藏性:木马会想方设法让自己看起来是一个正常的隐藏性:木马会想方设法让自己看起来是一个正
31、常的隐藏性:木马会想方设法让自己看起来是一个正常的隐藏性:木马会想方设法让自己看起来是一个正常的程序,从而躲避操作员和杀毒软件的检查程序,从而躲避操作员和杀毒软件的检查程序,从而躲避操作员和杀毒软件的检查程序,从而躲避操作员和杀毒软件的检查 vv非授权性:木马会在目标系统上进行各种非法操作,非授权性:木马会在目标系统上进行各种非法操作,非授权性:木马会在目标系统上进行各种非法操作,非授权性:木马会在目标系统上进行各种非法操作,如窃取口令、删除文件、植入病毒等如窃取口令、删除文件、植入病毒等如窃取口令、删除文件、植入病毒等如窃取口令、删除文件、植入病毒等 饰瑟亭阉辫摆赔拜绝藏保尤胳蹈而戈乳鹿君瞳
32、朗旺施欠洞虹既瘦堑御幼猾第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件木马的工作原理(1)阶段一:传播木马阶段一:传播木马vv主要通过电子邮件和软件下载进行传播主要通过电子邮件和软件下载进行传播主要通过电子邮件和软件下载进行传播主要通过电子邮件和软件下载进行传播vv为了迷惑用户,木马通常会对自己进行伪装,常见为了迷惑用户,木马通常会对自己进行伪装,常见为了迷惑用户,木马通常会对自己进行伪装,常见为了迷惑用户,木马通常会对自己进行伪装,常见的伪装手段有:的伪装手段有:的伪装手段有:的伪装手段有:修改程序图标。例如修改程序图标。例如,将程序图标修改成将程序图标修改成bmp、txt
33、等等文件的图标。文件的图标。伪装成正常的应用程序。伪装成正常的应用程序。与其他程序捆绑在一起。与其他程序捆绑在一起。 哦族规耗氟坟基维铬锄释鲁搭税踌割帝郎踌叭挣泼龚杰妈烃寐璃戊嗜勃慌第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件木马的工作原理(2)阶段二:运行木马阶段二:运行木马vv当用户运行木马或捆绑了木马的程序时,木马就会当用户运行木马或捆绑了木马的程序时,木马就会当用户运行木马或捆绑了木马的程序时,木马就会当用户运行木马或捆绑了木马的程序时,木马就会自动进行安装。自动进行安装。自动进行安装。自动进行安装。 vv在运行过程中,木马程序会想尽一切办法隐藏自己。在运行过程中,
34、木马程序会想尽一切办法隐藏自己。在运行过程中,木马程序会想尽一切办法隐藏自己。在运行过程中,木马程序会想尽一切办法隐藏自己。例如,在任务栏中隐藏自己。例如,在任务栏中隐藏自己。例如,在任务栏中隐藏自己。例如,在任务栏中隐藏自己。 吐拎爬鼻舆拌冤眨氓炭炒诫读驶地撅缺婶蛇传叹达结多逸闸葵家鞭牟淑壕第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件木马的工作原理(3)阶段三:建立连接阶段三:建立连接vv木马是木马是木马是木马是C/SC/S结构的程序。一旦服务器端被运行,就会结构的程序。一旦服务器端被运行,就会结构的程序。一旦服务器端被运行,就会结构的程序。一旦服务器端被运行,就会打开事
35、先定义好的端口,等待客户端与其建立连接。打开事先定义好的端口,等待客户端与其建立连接。打开事先定义好的端口,等待客户端与其建立连接。打开事先定义好的端口,等待客户端与其建立连接。vv服务器位于局域网?服务器位于局域网?服务器位于局域网?服务器位于局域网?通过通过IRC进行通信进行通信vv服务器所在主机的服务器所在主机的服务器所在主机的服务器所在主机的IPIP是通过是通过是通过是通过DHCPDHCP获得的?获得的?获得的?获得的?由于服务器在特定端口上侦听,那么客户端可以通过由于服务器在特定端口上侦听,那么客户端可以通过端口扫描来找到服务器端端口扫描来找到服务器端服务器端通过电子邮件、服务器端通
36、过电子邮件、FTP等方式告诉客户端它的等方式告诉客户端它的IP地址。地址。 及垫娄快肇乳聪廖俘料闪赁耀引恩咙彪谋湃胳弓察驹烙涪邹介墅拖恿非散第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件病毒检测技术()校验和技术校验和技术vv原理原理原理原理:由于病毒需要修改文件,可将文件当前的校验和:由于病毒需要修改文件,可将文件当前的校验和:由于病毒需要修改文件,可将文件当前的校验和:由于病毒需要修改文件,可将文件当前的校验和与初始校验和进行比较,如果不一致,则表示文件可能与初始校验和进行比较,如果不一致,则表示文件可能与初始校验和进行比较,如果不一致,则表示文件可能与初始校验和进行比较
37、,如果不一致,则表示文件可能被病毒修改过。被病毒修改过。被病毒修改过。被病毒修改过。vv优点优点优点优点:既能够发现已知病毒,也能够发现未知病毒。:既能够发现已知病毒,也能够发现未知病毒。:既能够发现已知病毒,也能够发现未知病毒。:既能够发现已知病毒,也能够发现未知病毒。vv缺点缺点缺点缺点:会产生过多误报,因为正常程序也会修改文件;:会产生过多误报,因为正常程序也会修改文件;:会产生过多误报,因为正常程序也会修改文件;:会产生过多误报,因为正常程序也会修改文件;对隐藏性病毒没有作用;对隐藏性病毒没有作用;对隐藏性病毒没有作用;对隐藏性病毒没有作用;不能检测新的文件。不能检测新的文件。不能检测
38、新的文件。不能检测新的文件。弟途趾臻污貉惠痪死席砧珊抵楼朋蕊忙叔歇气驳浙漠栓分蜀晌撑咨非絮刽第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件病毒检测技术()模式匹配模式匹配vv原理原理原理原理:通过病毒的特征值来查找病毒。例如,:通过病毒的特征值来查找病毒。例如,:通过病毒的特征值来查找病毒。例如,:通过病毒的特征值来查找病毒。例如,15751575病毒病毒病毒病毒代码中包含了代码中包含了代码中包含了代码中包含了“06 12 8C C0 02 1F 07 A3”“06 12 8C C0 02 1F 07 A3”的字符串的字符串的字符串的字符串 ,因,因,因,因此,可通过查看目标
39、程序是否包含了这样的字符串,此,可通过查看目标程序是否包含了这样的字符串,此,可通过查看目标程序是否包含了这样的字符串,此,可通过查看目标程序是否包含了这样的字符串,来判断其是否来判断其是否来判断其是否来判断其是否15751575病毒。病毒。病毒。病毒。vv优点优点优点优点:可识别出病毒的名称、误报率低。:可识别出病毒的名称、误报率低。:可识别出病毒的名称、误报率低。:可识别出病毒的名称、误报率低。vv缺点缺点缺点缺点:随着病毒特征库的扩大,检查速度会降低;:随着病毒特征库的扩大,检查速度会降低;:随着病毒特征库的扩大,检查速度会降低;:随着病毒特征库的扩大,检查速度会降低;不能检测未知病毒和
40、多态性病毒不能检测未知病毒和多态性病毒不能检测未知病毒和多态性病毒不能检测未知病毒和多态性病毒 ;对隐藏性病毒没有作用。对隐藏性病毒没有作用。对隐藏性病毒没有作用。对隐藏性病毒没有作用。顷域犁矛帕贵馈泅喀伶煽竞旬渠爱族斑富幕僵鹤颗箕望扑捉泡使邻备缎称第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.2 恶意软件病毒检测技术()行为扫描行为扫描vv原理原理原理原理:人们通过观察与研究,发现病毒有一些共同行:人们通过观察与研究,发现病毒有一些共同行:人们通过观察与研究,发现病毒有一些共同行:人们通过观察与研究,发现病毒有一些共同行为,并且这些行为在正常的应用程序中比较少见,因为,并且这些行为在正
41、常的应用程序中比较少见,因为,并且这些行为在正常的应用程序中比较少见,因为,并且这些行为在正常的应用程序中比较少见,因此,可通过监测目标程序是否表现出了某种行为来判此,可通过监测目标程序是否表现出了某种行为来判此,可通过监测目标程序是否表现出了某种行为来判此,可通过监测目标程序是否表现出了某种行为来判断其是否病毒。断其是否病毒。断其是否病毒。断其是否病毒。例如引导型病毒必然截留盗用例如引导型病毒必然截留盗用例如引导型病毒必然截留盗用例如引导型病毒必然截留盗用INT 13HINT 13H、高端内存驻留型病毒会修改高端内存驻留型病毒会修改高端内存驻留型病毒会修改高端内存驻留型病毒会修改DOSDOS
42、系统数据区的内存总系统数据区的内存总系统数据区的内存总系统数据区的内存总量等量等量等量等 。vv优点优点优点优点:能够检测出未知病毒:能够检测出未知病毒:能够检测出未知病毒:能够检测出未知病毒。vv缺点缺点缺点缺点:会产生过多误报,因为少数正常程序也有类会产生过多误报,因为少数正常程序也有类会产生过多误报,因为少数正常程序也有类会产生过多误报,因为少数正常程序也有类似病毒的行为似病毒的行为似病毒的行为似病毒的行为 ; 不能识别病毒的具体类型。不能识别病毒的具体类型。不能识别病毒的具体类型。不能识别病毒的具体类型。咎诣暇开屠楼整纂累林哆姑柞姻龚臻摸鳖贷陡掺浅钝教沙延灿光感勿挛肄第五章黑客攻击及防
43、御技术第五章黑客攻击及防御技术5.2 恶意软件病毒检测技术()启发式扫描启发式扫描vv原理原理原理原理:依靠病毒的指令序列,而不是病毒模式进行检测。:依靠病毒的指令序列,而不是病毒模式进行检测。:依靠病毒的指令序列,而不是病毒模式进行检测。:依靠病毒的指令序列,而不是病毒模式进行检测。这种类型的反病毒软件,会首先对目标程序进行反汇编,这种类型的反病毒软件,会首先对目标程序进行反汇编,这种类型的反病毒软件,会首先对目标程序进行反汇编,这种类型的反病毒软件,会首先对目标程序进行反汇编,然后对它的指令序列进行分析,找出其中所蕴藏的真正然后对它的指令序列进行分析,找出其中所蕴藏的真正然后对它的指令序列
44、进行分析,找出其中所蕴藏的真正然后对它的指令序列进行分析,找出其中所蕴藏的真正动机。动机。动机。动机。例如,如果一段程序中包含了例如,如果一段程序中包含了例如,如果一段程序中包含了例如,如果一段程序中包含了“MOV AH, 5; MOV MOV AH, 5; MOV BX, 500H; INT 13HBX, 500H; INT 13H”的指令,表示该程序会进行格式化的指令,表示该程序会进行格式化的指令,表示该程序会进行格式化的指令,表示该程序会进行格式化磁盘的操作,需引起注意。若反病毒软件经过进一步分磁盘的操作,需引起注意。若反病毒软件经过进一步分磁盘的操作,需引起注意。若反病毒软件经过进一步
45、分磁盘的操作,需引起注意。若反病毒软件经过进一步分析,发现这段指令之前并没有用户的交互输入,也没有析,发现这段指令之前并没有用户的交互输入,也没有析,发现这段指令之前并没有用户的交互输入,也没有析,发现这段指令之前并没有用户的交互输入,也没有命令行参数传入,则可以认定这是一段病毒或其它恶意命令行参数传入,则可以认定这是一段病毒或其它恶意命令行参数传入,则可以认定这是一段病毒或其它恶意命令行参数传入,则可以认定这是一段病毒或其它恶意代码。代码。代码。代码。 vv缺点缺点缺点缺点: 如果孤立地看这些指令如果孤立地看这些指令如果孤立地看这些指令如果孤立地看这些指令 ,不能清晰地界定正常,不能清晰地界
46、定正常,不能清晰地界定正常,不能清晰地界定正常程序和病毒;程序和病毒;程序和病毒;程序和病毒; 在查找时,无法识别指令序列的变化。在查找时,无法识别指令序列的变化。在查找时,无法识别指令序列的变化。在查找时,无法识别指令序列的变化。楞迄寨趟卤墓播纺绕互蛊塌屠融缚凶柄咸财磐媚臭饼缺寄甫胳馈摆坟篇宫第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.3 邮件攻击电子邮件作为最常用的网络应用之一,已经成为网电子邮件作为最常用的网络应用之一,已经成为网电子邮件作为最常用的网络应用之一,已经成为网电子邮件作为最常用的网络应用之一,已经成为网络交流的重要工具。但与此同时,也出现了各种电络交流的重要工具。但
47、与此同时,也出现了各种电络交流的重要工具。但与此同时,也出现了各种电络交流的重要工具。但与此同时,也出现了各种电子邮件的滥用行为,包括利用电子邮件实施攻击。子邮件的滥用行为,包括利用电子邮件实施攻击。子邮件的滥用行为,包括利用电子邮件实施攻击。子邮件的滥用行为,包括利用电子邮件实施攻击。 常见的电子邮件攻击手段包括常见的电子邮件攻击手段包括常见的电子邮件攻击手段包括常见的电子邮件攻击手段包括: :vv 垃圾邮件垃圾邮件垃圾邮件垃圾邮件vv 邮件炸弹邮件炸弹邮件炸弹邮件炸弹vv 邮件欺骗邮件欺骗邮件欺骗邮件欺骗盆燕园刽深裔氢晦磨厅耗线家虾睦供秀辉杜拿团蛛财跺验跳陀耶职久葵考第五章黑客攻击及防御技
48、术第五章黑客攻击及防御技术5.3 邮件攻击垃圾邮件(1)什么是垃圾邮件?什么是垃圾邮件?什么是垃圾邮件?什么是垃圾邮件?vv垃圾邮件是指未请求的、对于收件人来说无用的邮件,垃圾邮件是指未请求的、对于收件人来说无用的邮件,垃圾邮件是指未请求的、对于收件人来说无用的邮件,垃圾邮件是指未请求的、对于收件人来说无用的邮件,其内容包括商业广告、电子杂志和骚扰信息等其内容包括商业广告、电子杂志和骚扰信息等其内容包括商业广告、电子杂志和骚扰信息等其内容包括商业广告、电子杂志和骚扰信息等 垃圾邮件带来各种负面影响:垃圾邮件带来各种负面影响:垃圾邮件带来各种负面影响:垃圾邮件带来各种负面影响:vv拥塞网络、降低
49、邮件服务器的性能拥塞网络、降低邮件服务器的性能拥塞网络、降低邮件服务器的性能拥塞网络、降低邮件服务器的性能vv恶意代码泛滥恶意代码泛滥恶意代码泛滥恶意代码泛滥vv降低员工的工作效率降低员工的工作效率降低员工的工作效率降低员工的工作效率 vv造成巨大经济损失造成巨大经济损失造成巨大经济损失造成巨大经济损失叭暗自秘勿充样妄用邀歌浮赘吐辕窗驻酞刺驰厂畴烂匹坛潘不矢涪瑰熏售第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.3 邮件攻击垃圾邮件(2)反垃圾邮件技术反垃圾邮件技术反垃圾邮件技术反垃圾邮件技术vv黑名单和白名单黑名单和白名单黑名单和白名单黑名单和白名单位于黑名单中的发件人发送的任何邮件都被
50、认为位于黑名单中的发件人发送的任何邮件都被认为是垃圾邮件是垃圾邮件位于白名单中的发件人发送的任何邮件都被认为位于白名单中的发件人发送的任何邮件都被认为是合法邮件是合法邮件 vv规则过滤规则过滤规则过滤规则过滤邮件头分析邮件头分析 群发过滤群发过滤 关键词精确匹配关键词精确匹配 枉完管胰憾爷是融蒜慑揉粹舅荧该消刻参申楔将奉姥庆儡碑鸣抓肖狸顽孵第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.3 邮件攻击邮件炸弹(1) 什么是邮件炸弹?什么是邮件炸弹?什么是邮件炸弹?什么是邮件炸弹?vv攻击者在短时间内向某个邮箱发送大量的垃圾邮件,攻击者在短时间内向某个邮箱发送大量的垃圾邮件,攻击者在短时间内向
51、某个邮箱发送大量的垃圾邮件,攻击者在短时间内向某个邮箱发送大量的垃圾邮件,最终使得邮箱或者邮箱所在的系统不堪重负,最终使得邮箱或者邮箱所在的系统不堪重负,最终使得邮箱或者邮箱所在的系统不堪重负,最终使得邮箱或者邮箱所在的系统不堪重负,“ “爆炸爆炸爆炸爆炸而亡而亡而亡而亡” ” 。 邮件炸弹是一种拒绝服务攻击,其攻击目标包括:邮件炸弹是一种拒绝服务攻击,其攻击目标包括:邮件炸弹是一种拒绝服务攻击,其攻击目标包括:邮件炸弹是一种拒绝服务攻击,其攻击目标包括:vv单个用户的邮箱单个用户的邮箱单个用户的邮箱单个用户的邮箱vv邮件服务器邮件服务器邮件服务器邮件服务器瘤未浆昨又垦眉获萤特捷盟隆素荆阶院肯
52、蚊潞尸瑚盼菩驮赞辟齐良土僚篷第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.3 邮件攻击邮件炸弹(2)邮件炸弹的三种实现方式邮件炸弹的三种实现方式邮件炸弹的三种实现方式邮件炸弹的三种实现方式vv直接攻击邮箱:在短时间内发送大量邮件到受害者邮箱直接攻击邮箱:在短时间内发送大量邮件到受害者邮箱直接攻击邮箱:在短时间内发送大量邮件到受害者邮箱直接攻击邮箱:在短时间内发送大量邮件到受害者邮箱vv利用回复邮件攻击邮箱:以受害者的名义发送大邮件给利用回复邮件攻击邮箱:以受害者的名义发送大邮件给利用回复邮件攻击邮箱:以受害者的名义发送大邮件给利用回复邮件攻击邮箱:以受害者的名义发送大邮件给大量用户,这样
53、受害者的邮箱就会被大量愤怒的回复信大量用户,这样受害者的邮箱就会被大量愤怒的回复信大量用户,这样受害者的邮箱就会被大量愤怒的回复信大量用户,这样受害者的邮箱就会被大量愤怒的回复信息所充满息所充满息所充满息所充满vv利用邮件列表攻击邮箱:以受害者的名义申请多个邮件利用邮件列表攻击邮箱:以受害者的名义申请多个邮件利用邮件列表攻击邮箱:以受害者的名义申请多个邮件利用邮件列表攻击邮箱:以受害者的名义申请多个邮件列表,这样受害者的邮箱就会被大量合法邮件所充满列表,这样受害者的邮箱就会被大量合法邮件所充满列表,这样受害者的邮箱就会被大量合法邮件所充满列表,这样受害者的邮箱就会被大量合法邮件所充满诡堑造承缮
54、盏空札帘翼脆趴特餐色押乔虽恿蛆缕辟柿荔跨雍佩驼缓目哇友第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.3 邮件攻击邮件欺骗(1)什么是邮件欺骗?什么是邮件欺骗?什么是邮件欺骗?什么是邮件欺骗?vv攻击者通过伪造发件人的姓名和地址,以达到其私人攻击者通过伪造发件人的姓名和地址,以达到其私人攻击者通过伪造发件人的姓名和地址,以达到其私人攻击者通过伪造发件人的姓名和地址,以达到其私人目的,例如隐藏发件人的身份、骗取收件人的信任、目的,例如隐藏发件人的身份、骗取收件人的信任、目的,例如隐藏发件人的身份、骗取收件人的信任、目的,例如隐藏发件人的身份、骗取收件人的信任、损害其他人的名誉等。损害其他人的
55、名誉等。损害其他人的名誉等。损害其他人的名誉等。揉牲硬唱泅惧渗事侗丑钢宛爽鳞押割男剥淌安熟僳尽粤犬嫡毗激针荤翁航第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.3 邮件攻击邮件欺骗(2)邮件欺骗的三种实现方式邮件欺骗的三种实现方式邮件欺骗的三种实现方式邮件欺骗的三种实现方式vv使用相似的电子邮件地址:攻击者首先针对仿冒对象的电使用相似的电子邮件地址:攻击者首先针对仿冒对象的电使用相似的电子邮件地址:攻击者首先针对仿冒对象的电使用相似的电子邮件地址:攻击者首先针对仿冒对象的电子邮件地址,申请一个相似的电子邮件帐号,然后在用户子邮件地址,申请一个相似的电子邮件帐号,然后在用户子邮件地址,申请一
56、个相似的电子邮件帐号,然后在用户子邮件地址,申请一个相似的电子邮件帐号,然后在用户代理中将代理中将代理中将代理中将“ “发件人姓名发件人姓名发件人姓名发件人姓名” ”设成仿冒对象的姓名,以冒充该用设成仿冒对象的姓名,以冒充该用设成仿冒对象的姓名,以冒充该用设成仿冒对象的姓名,以冒充该用户发送电子邮件户发送电子邮件户发送电子邮件户发送电子邮件 vv修改邮件客户端的帐号配置:在受害者的邮件客户端软件修改邮件客户端的帐号配置:在受害者的邮件客户端软件修改邮件客户端的帐号配置:在受害者的邮件客户端软件修改邮件客户端的帐号配置:在受害者的邮件客户端软件中,将回复地址修改为攻击者能够访问的邮件地址中,将回
57、复地址修改为攻击者能够访问的邮件地址中,将回复地址修改为攻击者能够访问的邮件地址中,将回复地址修改为攻击者能够访问的邮件地址vv直接通过邮件服务器发送邮件:直接登陆到邮件服务器的直接通过邮件服务器发送邮件:直接登陆到邮件服务器的直接通过邮件服务器发送邮件:直接登陆到邮件服务器的直接通过邮件服务器发送邮件:直接登陆到邮件服务器的SMTPSMTP端口发送邮件。由于端口发送邮件。由于端口发送邮件。由于端口发送邮件。由于SMTPSMTP协议没有认证机制,攻击协议没有认证机制,攻击协议没有认证机制,攻击协议没有认证机制,攻击者可随意修改发件人地址者可随意修改发件人地址者可随意修改发件人地址者可随意修改发
58、件人地址垄蚁忿邮失搞狠图蟹纫剃威格仟阉奸阉疯边赊酮茁咎匈州赌处膏或焕搽却第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.3 安全电子邮件电子邮件安全需求电子邮件安全需求电子邮件安全需求电子邮件安全需求 为解决电子邮件的安全问题,提出了一系列的安全为解决电子邮件的安全问题,提出了一系列的安全为解决电子邮件的安全问题,提出了一系列的安全为解决电子邮件的安全问题,提出了一系列的安全电子邮件协议,如电子邮件协议,如电子邮件协议,如电子邮件协议,如PEMPEM、PGPPGP、S/MIMES/MIME、MOSSMOSS等,等,等,等,通过这些协议和标准,可提供邮件的机密性、完整性和通过这些协议和标准,
59、可提供邮件的机密性、完整性和通过这些协议和标准,可提供邮件的机密性、完整性和通过这些协议和标准,可提供邮件的机密性、完整性和不可抵赖性等,使电子邮件的安全性得到了充分的保障,不可抵赖性等,使电子邮件的安全性得到了充分的保障,不可抵赖性等,使电子邮件的安全性得到了充分的保障,不可抵赖性等,使电子邮件的安全性得到了充分的保障,从而使在因特网上通过电子邮件传送敏感信息成为可能。从而使在因特网上通过电子邮件传送敏感信息成为可能。从而使在因特网上通过电子邮件传送敏感信息成为可能。从而使在因特网上通过电子邮件传送敏感信息成为可能。 安全电子邮件的工作模式安全电子邮件的工作模式安全电子邮件的工作模式安全电子
60、邮件的工作模式 欠厨表厨酿震麓吹粗作拼创幢碌顷毗手猛溯姥槛铺昂卓愁聂杭僚呆序掘芥第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.4 电子黑饵(1)电子黑饵主要利用人们的心理作用进行犯案。其常电子黑饵主要利用人们的心理作用进行犯案。其常电子黑饵主要利用人们的心理作用进行犯案。其常电子黑饵主要利用人们的心理作用进行犯案。其常见形式包括:见形式包括:见形式包括:见形式包括:vv欺诈性的电子邮件:通常以各种紧迫的理由要求用户欺诈性的电子邮件:通常以各种紧迫的理由要求用户欺诈性的电子邮件:通常以各种紧迫的理由要求用户欺诈性的电子邮件:通常以各种紧迫的理由要求用户提供敏感信息提供敏感信息提供敏感信息提
61、供敏感信息vv仿冒的网站:利用知名企业的品牌效应,建立与仿冒仿冒的网站:利用知名企业的品牌效应,建立与仿冒仿冒的网站:利用知名企业的品牌效应,建立与仿冒仿冒的网站:利用知名企业的品牌效应,建立与仿冒对象几乎一模一样的网站对象几乎一模一样的网站对象几乎一模一样的网站对象几乎一模一样的网站 vv捆绑了木马程序、间谍软件的网页或邮件:这类网页捆绑了木马程序、间谍软件的网页或邮件:这类网页捆绑了木马程序、间谍软件的网页或邮件:这类网页捆绑了木马程序、间谍软件的网页或邮件:这类网页或邮件一旦被打开,恶意软件就会被自动安装,并以或邮件一旦被打开,恶意软件就会被自动安装,并以或邮件一旦被打开,恶意软件就会被
62、自动安装,并以或邮件一旦被打开,恶意软件就会被自动安装,并以各种方式来窃取用户的帐号和密码各种方式来窃取用户的帐号和密码各种方式来窃取用户的帐号和密码各种方式来窃取用户的帐号和密码 蜕屿曼涵赛汹厦涉猖当基书寡冒考蛆藐慎渠谍浚苇黑喻乖沪适造潍迄茅途第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.4 电子黑饵(2)电子黑饵的防御方式电子黑饵的防御方式电子黑饵的防御方式电子黑饵的防御方式vv不要相信那些以各种紧迫理由要求收件人提供个人账户信不要相信那些以各种紧迫理由要求收件人提供个人账户信不要相信那些以各种紧迫理由要求收件人提供个人账户信不要相信那些以各种紧迫理由要求收件人提供个人账户信息的邮件
63、;息的邮件;息的邮件;息的邮件;vv不要直接点开邮件、即时消息、或者网络聊天室中的链接,不要直接点开邮件、即时消息、或者网络聊天室中的链接,不要直接点开邮件、即时消息、或者网络聊天室中的链接,不要直接点开邮件、即时消息、或者网络聊天室中的链接,应养成直接在地址栏中输入网址的习惯;应养成直接在地址栏中输入网址的习惯;应养成直接在地址栏中输入网址的习惯;应养成直接在地址栏中输入网址的习惯; vv在通过浏览器提交诸如信用卡号之类的敏感信息时,应确在通过浏览器提交诸如信用卡号之类的敏感信息时,应确在通过浏览器提交诸如信用卡号之类的敏感信息时,应确在通过浏览器提交诸如信用卡号之类的敏感信息时,应确保该网
64、站是一个安全站点;保该网站是一个安全站点;保该网站是一个安全站点;保该网站是一个安全站点;vv留意地址栏中显示的地址,攻击者有时会通过伪造相似的留意地址栏中显示的地址,攻击者有时会通过伪造相似的留意地址栏中显示的地址,攻击者有时会通过伪造相似的留意地址栏中显示的地址,攻击者有时会通过伪造相似的网址来欺骗用户网址来欺骗用户网址来欺骗用户网址来欺骗用户 ;vv安装浏览器工具栏安装浏览器工具栏安装浏览器工具栏安装浏览器工具栏 。掘础弯鼎耶瞎队嫩芍诊坝互翌锻脸慕惶闻皿沸康感兽啥蛆槛调火千钓凄赊第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.5 非法入侵者扫描技术概述扫描是黑客入侵的第一步,用来收集
65、被攻击主机或网扫描是黑客入侵的第一步,用来收集被攻击主机或网络的详细信息。络的详细信息。常见扫描技术包括常见扫描技术包括常见扫描技术包括常见扫描技术包括vvPingPing扫射:用于确定网络中各主机的存活状态扫射:用于确定网络中各主机的存活状态扫射:用于确定网络中各主机的存活状态扫射:用于确定网络中各主机的存活状态 vv端口扫描端口扫描端口扫描端口扫描 :用来检测目标主机上开放了哪些端口、提供:用来检测目标主机上开放了哪些端口、提供:用来检测目标主机上开放了哪些端口、提供:用来检测目标主机上开放了哪些端口、提供了哪些服务了哪些服务了哪些服务了哪些服务 vv漏洞扫描:在端口扫描的基础上,集中探测
66、某一种服务漏洞扫描:在端口扫描的基础上,集中探测某一种服务漏洞扫描:在端口扫描的基础上,集中探测某一种服务漏洞扫描:在端口扫描的基础上,集中探测某一种服务是否存在漏洞。由于不同的服务具有不同的漏洞,没有是否存在漏洞。由于不同的服务具有不同的漏洞,没有是否存在漏洞。由于不同的服务具有不同的漏洞,没有是否存在漏洞。由于不同的服务具有不同的漏洞,没有统一的扫描方式统一的扫描方式统一的扫描方式统一的扫描方式 晌走檄电可岭奸看辐游幼睹恩腥秃珍钦野束绿兄配孟捻戍梯袭桅桔篷戒矮第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.5 非法入侵者Ping扫射传统传统Ping扫射扫射vv传统传统传统传统PingP
67、ing扫射使用的是扫射使用的是扫射使用的是扫射使用的是ICMPICMP类分组。包括:类分组。包括:类分组。包括:类分组。包括:“ “ICMP ICMP 回回回回射射射射” ”请求、请求、请求、请求、“ICMP“ICMP时间戳时间戳时间戳时间戳” ”请求以及请求以及请求以及请求以及“ICMP “ICMP 地址掩码地址掩码地址掩码地址掩码” ”请请请请求等。求等。求等。求等。vv攻击者向目标系统发送攻击者向目标系统发送攻击者向目标系统发送攻击者向目标系统发送ICMPICMP请求,等待片刻后,如果能请求,等待片刻后,如果能请求,等待片刻后,如果能请求,等待片刻后,如果能收到对方返回的收到对方返回的收
68、到对方返回的收到对方返回的ICMPICMP应答,则表示目标系统处于存活状应答,则表示目标系统处于存活状应答,则表示目标系统处于存活状应答,则表示目标系统处于存活状态,反之,表示目标系统处于关闭状态。态,反之,表示目标系统处于关闭状态。态,反之,表示目标系统处于关闭状态。态,反之,表示目标系统处于关闭状态。TCPTCP扫射扫射扫射扫射vv当当当当ICMPICMP类分组被阻塞时,攻击者可用类分组被阻塞时,攻击者可用类分组被阻塞时,攻击者可用类分组被阻塞时,攻击者可用TCP ACKTCP ACK或或或或TCP TCP SYNSYN分组来探测目标主机是否处于存活状态。分组来探测目标主机是否处于存活状态
69、。分组来探测目标主机是否处于存活状态。分组来探测目标主机是否处于存活状态。娩搁远鸥律示采舆傀碗平允响绚控旦湃硅荤邮刻睹滤磅万铝址撇翔撰佬殷第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.5 非法入侵者端口扫描(1)在获知主机是否存活后,下一步就是确定主机上运行在获知主机是否存活后,下一步就是确定主机上运行在获知主机是否存活后,下一步就是确定主机上运行在获知主机是否存活后,下一步就是确定主机上运行了哪些服务。这是通过端口扫描来实现的。了哪些服务。这是通过端口扫描来实现的。了哪些服务。这是通过端口扫描来实现的。了哪些服务。这是通过端口扫描来实现的。 什么是端口扫描?什么是端口扫描?什么是端口扫
70、描?什么是端口扫描?vv通过与目标系统的通过与目标系统的通过与目标系统的通过与目标系统的TCPTCP或或或或UDPUDP端口建立连接,从而判断端口建立连接,从而判断端口建立连接,从而判断端口建立连接,从而判断某个端口是否处于侦听状态。某个端口是否处于侦听状态。某个端口是否处于侦听状态。某个端口是否处于侦听状态。 常见的端口扫描方法常见的端口扫描方法常见的端口扫描方法常见的端口扫描方法vvTCPTCP扫描、扫描、扫描、扫描、TCP SYNTCP SYN扫描、显式隐蔽映射技术扫描、显式隐蔽映射技术扫描、显式隐蔽映射技术扫描、显式隐蔽映射技术 盒民猫嗜贯本盘履揍瞳抡撕旁脸怯螺争苛撞豌磅盒忌座捌渡撮忆
71、写践伤砚第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.5 非法入侵者端口扫描(2)TCPTCP扫描流程扫描流程扫描流程扫描流程攻击者试图与目标主机上某个端口建立TCP连接连接建立成功?目标端口处于侦听状态目标端口处于关闭状态是否由于由于由于由于主机通常会记录下主机通常会记录下主机通常会记录下主机通常会记录下那些完成了三次握手的那些完成了三次握手的那些完成了三次握手的那些完成了三次握手的连接。因此,如果在查连接。因此,如果在查连接。因此,如果在查连接。因此,如果在查看系统的日志时发现大看系统的日志时发现大看系统的日志时发现大看系统的日志时发现大量的连接记录,则可能量的连接记录,则可能量的连
72、接记录,则可能量的连接记录,则可能有扫描攻击发生。有扫描攻击发生。有扫描攻击发生。有扫描攻击发生。桃府锗慑孵盖荧绵俯扳递谎符谗蹈脸排燥祥砾萌枯硝额稼胚抡乏光整儒区第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.5 非法入侵者端口扫描(3)TCP SYNTCP SYN扫描流程扫描流程扫描流程扫描流程攻击者发送一个SYN包到目标主机的某个端口上对方返回RST/ACK包?对方返回SYN/ACK包?表明目标端口处于侦听状态,此时攻击者将发送RST包关闭连接表明目标端口处于关闭状态是否是由于这种扫描没有真正由于这种扫描没有真正由于这种扫描没有真正由于这种扫描没有真正完成完成完成完成TCPTCP的三次
73、握手过的三次握手过的三次握手过的三次握手过程,因此目标系统将不程,因此目标系统将不程,因此目标系统将不程,因此目标系统将不会记录此连接,故此类会记录此连接,故此类会记录此连接,故此类会记录此连接,故此类扫描不易被发现。扫描不易被发现。扫描不易被发现。扫描不易被发现。 古控铂侩祝凑疾知剖凡荆暖赤烹禹苍舱击才贼懊篓始累沟敬狠即讯钠秦园第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.5 非法入侵者端口扫描(4)显式隐蔽映射技术显式隐蔽映射技术显式隐蔽映射技术显式隐蔽映射技术 vv扫描原理扫描原理扫描原理扫描原理根据根据根据根据RFC 793RFC 793规范中的定义:目标系统应该为所规范中的定义
74、:目标系统应该为所规范中的定义:目标系统应该为所规范中的定义:目标系统应该为所有关闭着的端口返回一个有关闭着的端口返回一个有关闭着的端口返回一个有关闭着的端口返回一个RSTRST分组分组分组分组vv具体扫描方法具体扫描方法具体扫描方法具体扫描方法TCP ACKTCP ACK扫描、扫描、扫描、扫描、TCP FINTCP FIN扫描、扫描、扫描、扫描、TCP XmasTCP Xmas树树树树扫描和扫描和扫描和扫描和TCPTCP空扫描空扫描空扫描空扫描 终苗驭北募二铺秒忽七榴蝗恭差右忌禄传羞瘫冻它每赡弯掂惫瞳户酿状箕第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.5 非法入侵者端口扫描(5)攻击
75、者发送一个SYN/ACK包到目标主机的某个端口上对方返回RST包?没有收到响应包?目标端口处于关闭状态目标端口处于侦听状态因为在目标端口关闭的情况下,系统会代其返回RST包因此TCP是有状态的协议,在端口打开的情况下,它会简单忽略此分组是是显式隐蔽映射技术示例显式隐蔽映射技术示例显式隐蔽映射技术示例显式隐蔽映射技术示例TCP ACK扫描扫描酚疚奖川舒里剁哩拆仍迈宴槽辽揉闲串枚刺甥每膳完分暂讳若一藤楞歪曼第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.5 非法入侵者端口扫描(6)显式隐蔽映射技术的显式隐蔽映射技术的显式隐蔽映射技术的显式隐蔽映射技术的准确性不高:准确性不高:准确性不高:准确性
76、不高:vv部分系统包括部分系统包括部分系统包括部分系统包括WindowsWindows、HP-UXHP-UX等会在端口打开等会在端口打开等会在端口打开等会在端口打开的情况下仍然返回的情况下仍然返回的情况下仍然返回的情况下仍然返回RSTRST分组分组分组分组 vv即便攻击者收不到即便攻击者收不到即便攻击者收不到即便攻击者收不到RSTRST分组,也不能确定是目标分组,也不能确定是目标分组,也不能确定是目标分组,也不能确定是目标端口是打开的,因为防火墙可能会过滤掉攻击者端口是打开的,因为防火墙可能会过滤掉攻击者端口是打开的,因为防火墙可能会过滤掉攻击者端口是打开的,因为防火墙可能会过滤掉攻击者发送的
77、分组发送的分组发送的分组发送的分组 揍呕灸渍改酶督睁玲朝寇莱掐墟厄氟俞卒狭甭驮罗瓮拯蒂兰诞嚷剂搪品晾第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.5 非法入侵者身份窃取(1)什么是身份窃取?什么是身份窃取?什么是身份窃取?什么是身份窃取?vv身份窃取是入侵者侵入系统的一种方式。入侵者身份窃取是入侵者侵入系统的一种方式。入侵者身份窃取是入侵者侵入系统的一种方式。入侵者身份窃取是入侵者侵入系统的一种方式。入侵者通过某种渠道获得合法用户的账号和密码,然后通过某种渠道获得合法用户的账号和密码,然后通过某种渠道获得合法用户的账号和密码,然后通过某种渠道获得合法用户的账号和密码,然后利用该账户登陆目
78、标主机并实施攻击活动。利用该账户登陆目标主机并实施攻击活动。利用该账户登陆目标主机并实施攻击活动。利用该账户登陆目标主机并实施攻击活动。 具体实现方式包括:具体实现方式包括:具体实现方式包括:具体实现方式包括:vv口令破解口令破解口令破解口令破解vv网络窃听网络窃听网络窃听网络窃听vv通过木马窃取通过木马窃取通过木马窃取通过木马窃取睁停捍仲忿箔菏奔硫凝卡拥撼难冰闺疫另悲汇蒜狞绣昂谦厚锻球毙唯耸鸥第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.5 非法入侵者身份窃取(2)身份窃取手段身份窃取手段身份窃取手段身份窃取手段1 1:口令破解:口令破解:口令破解:口令破解vv入侵者首先获取有效的用户
79、名,然后使用专门的软件来入侵者首先获取有效的用户名,然后使用专门的软件来入侵者首先获取有效的用户名,然后使用专门的软件来入侵者首先获取有效的用户名,然后使用专门的软件来破解用户口令破解用户口令破解用户口令破解用户口令 vv在尝试破解密码时有两种方法在尝试破解密码时有两种方法在尝试破解密码时有两种方法在尝试破解密码时有两种方法 远程在线猜测:针对目标主机上某种需要验证的服远程在线猜测:针对目标主机上某种需要验证的服远程在线猜测:针对目标主机上某种需要验证的服远程在线猜测:针对目标主机上某种需要验证的服务,不断与其建立连接,并输入可能的口令,直到务,不断与其建立连接,并输入可能的口令,直到务,不断
80、与其建立连接,并输入可能的口令,直到务,不断与其建立连接,并输入可能的口令,直到正确为止。正确为止。正确为止。正确为止。 本地口令猜测本地口令猜测本地口令猜测本地口令猜测 :首先得到加密后的口令;然后采用:首先得到加密后的口令;然后采用:首先得到加密后的口令;然后采用:首先得到加密后的口令;然后采用相同加密方法对可能的口令进行加密,通过比较加相同加密方法对可能的口令进行加密,通过比较加相同加密方法对可能的口令进行加密,通过比较加相同加密方法对可能的口令进行加密,通过比较加密后的字符串是否相同来进行破解。密后的字符串是否相同来进行破解。密后的字符串是否相同来进行破解。密后的字符串是否相同来进行破
81、解。 阑贺按够琼坚砌涝斗狰嗣膳仓嫌赖胺倒庞律好引涣饿棘吹蕴内铅审纳零勇第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.5 非法入侵者身份窃取(3)身份窃取手段身份窃取手段身份窃取手段身份窃取手段2 2:网络窃听:网络窃听:网络窃听:网络窃听vv在当前的网络环境中,很多协议都是以明文的形在当前的网络环境中,很多协议都是以明文的形在当前的网络环境中,很多协议都是以明文的形在当前的网络环境中,很多协议都是以明文的形式在网络中传输用户名和密码。这就给攻击者提式在网络中传输用户名和密码。这就给攻击者提式在网络中传输用户名和密码。这就给攻击者提式在网络中传输用户名和密码。这就给攻击者提供了可乘之机,通
82、过使用嗅探软件截取本地网络供了可乘之机,通过使用嗅探软件截取本地网络供了可乘之机,通过使用嗅探软件截取本地网络供了可乘之机,通过使用嗅探软件截取本地网络中的数据包,从而得到在网络中传输的用户名和中的数据包,从而得到在网络中传输的用户名和中的数据包,从而得到在网络中传输的用户名和中的数据包,从而得到在网络中传输的用户名和密码。密码。密码。密码。效沤掘虫种册郴赴哼敛荚陀讼幼责寨带弄峻味蛋螟鹏置事惰会惫健闰淄熏第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.5 非法入侵者身份窃取(4)身份窃取手段身份窃取手段身份窃取手段身份窃取手段3 3:木马窃取:木马窃取:木马窃取:木马窃取vv这类木马专门用
83、来窃取受害主机上的帐户信息。它们这类木马专门用来窃取受害主机上的帐户信息。它们这类木马专门用来窃取受害主机上的帐户信息。它们这类木马专门用来窃取受害主机上的帐户信息。它们或者直接访问缓存在内存中的用户名和密码;或者伪或者直接访问缓存在内存中的用户名和密码;或者伪或者直接访问缓存在内存中的用户名和密码;或者伪或者直接访问缓存在内存中的用户名和密码;或者伪装成其他程序,要求用户输入帐户信息。装成其他程序,要求用户输入帐户信息。装成其他程序,要求用户输入帐户信息。装成其他程序,要求用户输入帐户信息。 肾漂同泻哟伯察诅难赵吮由雍温爵观矫卉柬扔启咬肾赣帮教羌了碑煌舅印第五章黑客攻击及防御技术第五章黑客攻
84、击及防御技术5.6 缓冲区溢出攻击攻击原理(1)什么是缓冲区溢出?什么是缓冲区溢出?什么是缓冲区溢出?什么是缓冲区溢出?vv缓存区是一片有预定长度限制的临时内存区域,缓存区是一片有预定长度限制的临时内存区域,缓存区是一片有预定长度限制的临时内存区域,缓存区是一片有预定长度限制的临时内存区域,当试着向其中写入超出设定大小的数据时,就会当试着向其中写入超出设定大小的数据时,就会当试着向其中写入超出设定大小的数据时,就会当试着向其中写入超出设定大小的数据时,就会发生缓存区溢出。发生缓存区溢出。发生缓存区溢出。发生缓存区溢出。什么是缓存区溢出攻击?什么是缓存区溢出攻击?什么是缓存区溢出攻击?什么是缓存
85、区溢出攻击?vv攻击者用超过预定长度的字符串来填满目标程序攻击者用超过预定长度的字符串来填满目标程序攻击者用超过预定长度的字符串来填满目标程序攻击者用超过预定长度的字符串来填满目标程序的堆栈空间,达到暴力修改函数的返回地址的目的堆栈空间,达到暴力修改函数的返回地址的目的堆栈空间,达到暴力修改函数的返回地址的目的堆栈空间,达到暴力修改函数的返回地址的目的,从而部分甚至完全控制对方的计算机系统。的,从而部分甚至完全控制对方的计算机系统。的,从而部分甚至完全控制对方的计算机系统。的,从而部分甚至完全控制对方的计算机系统。阁纤粟佑皋孵蛤秃伺械挺宗岿薪蚊榨马秩意逆馏蕴吨盅蚕致铭隘赢茬凶物第五章黑客攻击及
86、防御技术第五章黑客攻击及防御技术5.6 缓冲区溢出攻击攻击原理(2).内存高端内存低端堆栈高端堆栈低端传给被调函数的传给被调函数的参数参数函数返回地址函数返回地址(EIPEIP)调用者的堆栈基调用者的堆栈基址(址(EBPEBP)局部变量局部变量void foo(char* str)char buffer16;strcpy(buffer, str);void main( )char* str=”the current string has more 16 characters”;foo(str);return;缓存区溢出实例缓存区溢出实例缓存区溢出实例缓存区溢出实例发生函数调用时,发生函数调用时
87、,将会用到堆栈将会用到堆栈在执行在执行strcpy函数时,由于函数时,由于main传入的参数大于预设长度,局部变传入的参数大于预设长度,局部变量前的内容会被覆盖掉量前的内容会被覆盖掉从本例不难看出,我们可以通过缓冲区溢出来改变函从本例不难看出,我们可以通过缓冲区溢出来改变函从本例不难看出,我们可以通过缓冲区溢出来改变函从本例不难看出,我们可以通过缓冲区溢出来改变函数的返回地址,从而改变整个程序的执行流程,使它数的返回地址,从而改变整个程序的执行流程,使它数的返回地址,从而改变整个程序的执行流程,使它数的返回地址,从而改变整个程序的执行流程,使它跳转到任意我们希望执行的代码处。跳转到任意我们希望
88、执行的代码处。跳转到任意我们希望执行的代码处。跳转到任意我们希望执行的代码处。稚嗅牧勉悠诅柬悬卜接抨堡责劝女帆醉床骋编据撇嫁档骄垃绰卤筷芜徒剁第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.6 缓冲区溢出攻击防御方式(1)1. 1.加强编程行为的安全性。尽管不可能设计和编写完全加强编程行为的安全性。尽管不可能设计和编写完全加强编程行为的安全性。尽管不可能设计和编写完全加强编程行为的安全性。尽管不可能设计和编写完全没有缺陷的程序,但是应尽量最小化缓冲区溢出条件没有缺陷的程序,但是应尽量最小化缓冲区溢出条件没有缺陷的程序,但是应尽量最小化缓冲区溢出条件没有缺陷的程序,但是应尽量最小化缓冲区溢出
89、条件。vv在软件的设计阶段就考虑安全因素;在软件的设计阶段就考虑安全因素;在软件的设计阶段就考虑安全因素;在软件的设计阶段就考虑安全因素;vv避免使用不安全的函数,例如避免使用不安全的函数,例如避免使用不安全的函数,例如避免使用不安全的函数,例如C C库函数中的库函数中的库函数中的库函数中的strcpy( )strcpy( ),这类函数不会对输入字符串的长度进行验证;这类函数不会对输入字符串的长度进行验证;这类函数不会对输入字符串的长度进行验证;这类函数不会对输入字符串的长度进行验证; vv使用安全的编译器;使用安全的编译器;使用安全的编译器;使用安全的编译器;vv验证输入参数;验证输入参数;
90、验证输入参数;验证输入参数;vv避免使用避免使用避免使用避免使用suidsuid程序。程序。程序。程序。铜燎越傀舀像涤妙缀购乐埔享佩砷震川亭翟如雏们动奥识窝较怜契权梧京第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.6 缓冲区溢出攻击防御方式(2)2. 2.禁止堆栈执行。禁止堆栈执行。禁止堆栈执行。禁止堆栈执行。vv由于攻击者通常以输入参数的形式将希望执行的代码由于攻击者通常以输入参数的形式将希望执行的代码由于攻击者通常以输入参数的形式将希望执行的代码由于攻击者通常以输入参数的形式将希望执行的代码传递给程序,而程序会将传入的参数保存在堆栈中。传递给程序,而程序会将传入的参数保存在堆栈中。传
91、递给程序,而程序会将传入的参数保存在堆栈中。传递给程序,而程序会将传入的参数保存在堆栈中。因此,最简单的解决方式是禁止执行堆栈中的代码。因此,最简单的解决方式是禁止执行堆栈中的代码。因此,最简单的解决方式是禁止执行堆栈中的代码。因此,最简单的解决方式是禁止执行堆栈中的代码。 3. 3.禁止不用或危险的服务禁止不用或危险的服务禁止不用或危险的服务禁止不用或危险的服务 vv攻击者不能攻击处于关闭状态的服务,因此可把系统攻击者不能攻击处于关闭状态的服务,因此可把系统攻击者不能攻击处于关闭状态的服务,因此可把系统攻击者不能攻击处于关闭状态的服务,因此可把系统中不用或者危险的服务关闭,从而将系统的暴露程
92、度中不用或者危险的服务关闭,从而将系统的暴露程度中不用或者危险的服务关闭,从而将系统的暴露程度中不用或者危险的服务关闭,从而将系统的暴露程度降到最低。降到最低。降到最低。降到最低。爹艇惺耸市肥朝据胁睬叭内勺路沼秩绕捍励贫啪杨件睬披贺腮冲拉赖兹沫第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.7 个人电脑对黑客的防范 对浏览器攻击的防范技术对浏览器攻击的防范技术 对电子邮件攻击的防范技术对电子邮件攻击的防范技术 对对OICQ攻击的防范技术攻击的防范技术 对病毒攻击的防范技术对病毒攻击的防范技术 鉴肤蛙磐低受蛇佛帆佃恨兔旦倦颜妒秋订畅仁互碗伸嗡帖史妥棉讽洼荤勺第五章黑客攻击及防御技术第五章黑客
93、攻击及防御技术5.7实验: DDoSDDoS攻击与防御攻击与防御实验目的实验目的实验目的实验目的实验内容实验内容实验内容实验内容实验步骤实验步骤实验步骤实验步骤实验过程演示实验过程演示实验过程演示实验过程演示思考题思考题思考题思考题亏脯哄级翼乞检蚤躺碱存糠烹滤给阅蝶墨涡宰猖放褂顺巳蝇先败琵峭候谤第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.7.1 实验目的熟悉熟悉DDoS攻击的整个过程攻击的整个过程 了解用于发动了解用于发动DDoS攻击的软件:攻击的软件:tfn2k 熟悉遭受熟悉遭受DDoS攻击时主机的症状及其应对措施攻击时主机的症状及其应对措施 映吐混按匿潍讫啊澈侮搽卿阵崎允汲指茫欣贼
94、肋权甚痴肿傀捶营娶狼狗花第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.7.2 实验内容通过利用通过利用tfn2k软件,使得主机软件,使得主机B在主机在主机A的控制的控制下向主机下向主机C发起发起DDoS攻击。攻击。对受害主机对受害主机C的症状进行分析,目的在于让试验的症状进行分析,目的在于让试验者清楚主机在遭受者清楚主机在遭受DDoS攻击的典型症状及其应攻击的典型症状及其应对措施。对措施。孔到谬疯掘颗废菠小辛部虫九离障杀恳帅伍昌口筛倚袁彰确六哀闷摘魄洋第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.7.3 实验步骤1.1.安装安装tfn2ktfn2k软件。软件。2.2.测试测试tfn
95、2k软件是否能够正常工作软件是否能够正常工作 。# ./tfn -f slaves -c 10 -i “mkdir /root/mydir” 3.3.3.3.模拟黑客,利用主机模拟黑客,利用主机模拟黑客,利用主机模拟黑客,利用主机A A A A控制主机控制主机控制主机控制主机B B B B发动攻击发动攻击发动攻击发动攻击#./tfn -f slaves -c 5 -i 192.168.10.106 -p 80#./tfn -f slaves -c 5 -i 192.168.10.106 -p 80 4.4.4.4.分析受害主机的症状,确定攻击类型,并给出分析受害主机的症状,确定攻击类型,并给出
96、分析受害主机的症状,确定攻击类型,并给出分析受害主机的症状,确定攻击类型,并给出应对策略。应对策略。应对策略。应对策略。复斑小唬枕炙孙玉录颜忧蜕内坡邀傈乡稗霉践匙慧子窟抹苫苹组轮洞流俘第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.7.4 实验过程演示TFN2000 DDoSTFN2000 DDoS攻击演示攻击演示攻击演示攻击演示受害主机受害主机CIP:192.168.10.106主攻击服务器主攻击服务器AIP:192.168.100.146从攻击服务器从攻击服务器BIP:192.168.100.147用虚假用虚假IPIP发送大发送大量攻击数据包量攻击数据包指定攻击模式指定攻击模式及目标及
97、目标魁戍卸镜遵录传六辊焰江老纬辐椽谋烤埂由壹腿贿锈搪吹忠乘使票汾鄙大第五章黑客攻击及防御技术第五章黑客攻击及防御技术5.7.5 思考题本实验中,我们是利用本实验中,我们是利用TCP/SYN FLOOD攻击模攻击模式攻击受害主机式攻击受害主机80端口的端口的www服务器。假如受服务器。假如受害主机不是害主机不是www服务器,又应该怎么做?受害服务器,又应该怎么做?受害主机又应当怎么防御?主机又应当怎么防御? 提示提示:-c-c参数可以指定攻击模式,除了参数可以指定攻击模式,除了TCP/SYNTCP/SYN还有还有ICMP/PINGICMP/PING等,以及所有攻击的混合模式。等,以及所有攻击的混
98、合模式。就就PCPC机而言,防御可通过安装天网等防火墙,机而言,防御可通过安装天网等防火墙,调整相关的设置来保证自身的安全。调整相关的设置来保证自身的安全。 炕躁邮膘痹蚌谚甩蔑畜谍带庶铃悍杭既河哮锣钒靡羚理矛荡榷颓伏戴熬澎第五章黑客攻击及防御技术第五章黑客攻击及防御技术本章小结本章讨论了几种常见的攻击技术,包括拒绝服本章讨论了几种常见的攻击技术,包括拒绝服务攻击、恶意软件、邮件攻击、电子黑饵、非务攻击、恶意软件、邮件攻击、电子黑饵、非法入侵者和缓冲区溢出攻击。通过了解这些攻法入侵者和缓冲区溢出攻击。通过了解这些攻击原理及防御技术有助于发现并防范黑客攻击。击原理及防御技术有助于发现并防范黑客攻击。碍鞋贼楔撇砌皋冠荧受满酗铺卵入船赡呵抉痊锋棺炎差看貌罩惜见扑两麻第五章黑客攻击及防御技术第五章黑客攻击及防御技术
