远程控制与黑客入侵课件

《远程控制与黑客入侵课件》由会员分享，可在线阅读，更多相关《远程控制与黑客入侵课件（37页珍藏版）》请在金锄头文库上搜索。

1、 第第11章远程控制与黑客入侵章远程控制与黑客入侵n11.1 远程控制远程控制 n11.2 黑客入侵黑客入侵 n11.3 黑客攻击与防范黑客攻击与防范 n11.4 ARP欺骗欺骗 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵11.1 远程控制远程控制n11.1.1 远程控制概述远程控制概述n远程控制是在网络上由一台计算机（主控端远程控制是在网络上由一台计算机（主控端Remote/客户端）远距离去控制另一台计算机客户端）

2、远距离去控制另一台计算机（被控端（被控端Host/服务器端）的技术，服务器端）的技术，这里的远程不这里的远程不是字面意思的远距离，一般指通过网络控制远端是字面意思的远距离，一般指通过网络控制远端计算机，大多数时候人们所说的远程控制往往指计算机，大多数时候人们所说的远程控制往往指在局域网中的远程控制而言。当操作者使用主控在局域网中的远程控制而言。当操作者使用主控端计算机控制被控端计算机时，就如同坐在被控端计算机控制被控端计算机时，就如同坐在被控端计算机的屏幕前一样，可以启动被控端计算机端计算机的屏幕前一样，可以启动被控端计算机的应用程序，可以使用被控端计算机的文件资料，的应用程序，可以使用被控端

3、计算机的文件资料，甚至可以利用被控端电脑的外部打印设备（打印甚至可以利用被控端电脑的外部打印设备（打印机）和通信设备（调制解调器或者专线等）来进机）和通信设备（调制解调器或者专线等）来进行打印和访问互联网，行打印和访问互联网，Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵11.1.2 远程控制软件的原理远程控制软件的原理n远程控制软件一般分两个部分远程控制软件一般分两个部分:一部分是客户端程一部分是客户端程序序Clien

4、t，另一部分是服务器端程序，另一部分是服务器端程序Server(或或Systry)，在使用前需要将客户端程序安装到主控，在使用前需要将客户端程序安装到主控端计算机上，将服务器端程序安装到被控端计算端计算机上，将服务器端程序安装到被控端计算机上。机上。它的控制的过程一般是先在主控端计算机它的控制的过程一般是先在主控端计算机上执行客户端程序，像一个普通的客户一样向被上执行客户端程序，像一个普通的客户一样向被控端计算机中的服务器端程序发出信号，建立一控端计算机中的服务器端程序发出信号，建立一个特殊的远程服务，然后通过这个远程服务，使个特殊的远程服务，然后通过这个远程服务，使用各种远程控制功能发送远程

5、控制命令，控制被用各种远程控制功能发送远程控制命令，控制被控端计算机中的各种应用程序运行，称这种远程控端计算机中的各种应用程序运行，称这种远程控制方式为基于远程服务的远程控制。控制方式为基于远程服务的远程控制。n通过远程控制软件，可以进行很多方面的远程控通过远程控制软件，可以进行很多方面的远程控制，包括获取目标计算机屏幕图像、窗口及进程制，包括获取目标计算机屏幕图像、窗口及进程列表；记录并提取远端键盘事件列表；记录并提取远端键盘事件(击键序列，即监击键序列，即监视远端键盘输入的内容视远端键盘输入的内容) 等。等。Evaluation only.Created with Aspose.Slide

6、s for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵11.1.3 远程控制技术的应用范畴n1、远程办公、远程办公n这种远程的办公方式不仅大大缓解了城市交通状况，这种远程的办公方式不仅大大缓解了城市交通状况，减少了环境污染，还免去了人们上下班路上奔波的减少了环境污染，还免去了人们上下班路上奔波的辛劳，更可以提高企业员工的工作效率和工作兴趣。辛劳，更可以提高企业员工的工作效率和工作兴趣。n2、远程技术支持、远程技术支持n通常，远距离的技术支持必须依赖技术人员和用户通常，远距离的技术支持必须依赖技术人员和用户之间

7、的电话交流来进行，这种交流既耗时又容易出之间的电话交流来进行，这种交流既耗时又容易出错。许多用户对计算机知道得很少，然而当遇到问错。许多用户对计算机知道得很少，然而当遇到问题时，人们必须向无法看到计算机屏幕的技术人员题时，人们必须向无法看到计算机屏幕的技术人员描述问题的症状，并且严格遵守技术人员的指示精描述问题的症状，并且严格遵守技术人员的指示精确地描述屏幕上的内容，但是由于用户计算机专业确地描述屏幕上的内容，但是由于用户计算机专业知识非常少，描述往往不得要领，说不到点子上，知识非常少，描述往往不得要领，说不到点子上，这就给技术人员判断故障制造了非常大的障碍。这就给技术人员判断故障制造了非常大

8、的障碍。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵n3、远程交流、远程交流n利用远程技术，商业公司可以实现与用户的远利用远程技术，商业公司可以实现与用户的远程交流，采用交互式的教学模式，通过实际操程交流，采用交互式的教学模式，通过实际操作来培训用户，使用户从技术支持专业人员那作来培训用户，使用户从技术支持专业人员那里学习案例知识变得十分容易。而教师和学生里学习案例知识变得十分容易。而教师和学生之间也可以利用这种远程控

9、制技术实现教学问之间也可以利用这种远程控制技术实现教学问题的交流，学生可以不用见到老师，就得到老题的交流，学生可以不用见到老师，就得到老师手把手的辅导和讲授。师手把手的辅导和讲授。n4、远程维护和管理、远程维护和管理n网络管理员或者普通用户可以通过远程控制技网络管理员或者普通用户可以通过远程控制技术为远端的计算机安装和配置软件、下载并安术为远端的计算机安装和配置软件、下载并安装软件修补程序、配置应用程序和进行系统软装软件修补程序、配置应用程序和进行系统软件设置。件设置。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client

10、Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵11.1.4 Windows XP远程控制的实现 nWindows XP“远程桌面远程桌面”的应用的应用nWindows XP系统系统“远程协助远程协助”的应用的应用Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵11.2 黑客入侵黑客入侵1 什么是黑客？什么是黑客？ 黑客也称黑客也称“骇客骇客”(hacker)，该词的原意是，

11、该词的原意是极富褒义的，它源于英语动词极富褒义的，它源于英语动词“劈劈”(hack)，因，因而早期的而早期的“黑客黑客”(hacker)可以用来称呼手艺精可以用来称呼手艺精湛的木匠。湛的木匠。 在在20世纪的世纪的60至至70年代之间，年代之间，“黑客黑客”(hacker)也曾经专用来形容那些有独立思考那也曾经专用来形容那些有独立思考那里的电脑里的电脑“迷迷”，如果他们在软件设计上干了一，如果他们在软件设计上干了一件非常漂亮的工作，或者解决了一个程序难题，件非常漂亮的工作，或者解决了一个程序难题，同事们经常高呼同事们经常高呼“hacker”。 于是于是“黑客黑客”(hacker)就被定义为就被

12、定义为“技术娴熟技术娴熟的具有编制操作系统的具有编制操作系统OS级软件水平的人级软件水平的人”。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵 许多处于许多处于Unix时代早期的时代早期的“黑客黑客”(hacker)都云都云集在麻省理工学院和斯坦福大学，正是这样一群人建集在麻省理工学院和斯坦福大学，正是这样一群人建成了今天的成了今天的“硅谷硅谷”。后来某些具有后来某些具有“黑客黑客”水平的人物利用通讯软件或者水平的人物

13、利用通讯软件或者通过网络非法进入他人系统，截获或篡改电脑数据，通过网络非法进入他人系统，截获或篡改电脑数据，危害信息安全。危害信息安全。 于是于是“黑客黑客”开始有了开始有了“电脑入侵者电脑入侵者”或或“电脑电脑捣乱分子捣乱分子”的恶名。的恶名。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵11.2 .1 网络入侵的基本过程网络入侵的基本过程n现在黑客入侵网络的手段十分丰富，令人防不现在黑客入侵网络的手段十分丰富，令人

14、防不胜防。胜防。n但是，认真分析与研究黑客入侵网络活动的手但是，认真分析与研究黑客入侵网络活动的手段和技术，实施必要的技术措施，就能防止黑段和技术，实施必要的技术措施，就能防止黑客入侵网络。客入侵网络。n下面在介绍黑客入侵网络的基本过程：下面在介绍黑客入侵网络的基本过程：Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵第一步是确定入侵的目标第一步是确定入侵的目标 n大多数情况下，网络入侵者都会首先对被攻击大多数情况下，网络

15、入侵者都会首先对被攻击的目标进行确定和探测。的目标进行确定和探测。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵第二步是信息收集与分析第二步是信息收集与分析n在获取目标机其所在网络类型后，还须进一步获在获取目标机其所在网络类型后，还须进一步获取有关信息，如目标机的取有关信息，如目标机的IP地址，系统管理人员地址，系统管理人员的地址，操作系统类型与版本等，根据这些信息的地址，操作系统类型与版本等，根据这些信息进行分析，可得

16、到有关被攻击方系统中可能存在进行分析，可得到有关被攻击方系统中可能存在的漏洞。的漏洞。n如利用如利用WHOIS查询，可了解技术管理人员的名查询，可了解技术管理人员的名字信息。字信息。n若是运行一个若是运行一个host命令，可获取目标网络中有关命令，可获取目标网络中有关机器的机器的IP地址信息，还可识别出目标机器的操作地址信息，还可识别出目标机器的操作系统类型。系统类型。n再运行一些再运行一些Usernet和和Web查询可以知晓有关技术查询可以知晓有关技术人员是否经常上人员是否经常上Usernet等。等。Evaluation only.Created with Aspose.Slides for

17、 .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵第三步是对端口第三步是对端口(Port)与漏洞挖与漏洞挖掘掘 n黑客要收集或编写适当的工具，并在对操作系统的分黑客要收集或编写适当的工具，并在对操作系统的分析的基础上，对工具进行评估，判断有哪些漏洞和区析的基础上，对工具进行评估，判断有哪些漏洞和区域没有覆盖到。域没有覆盖到。n在尽可能短的时间内对目标进行端口与漏洞扫描。在尽可能短的时间内对目标进行端口与漏洞扫描。n完成扫描后，可对所或数据进行分析，发现安全漏洞，完成扫描后，可对所或数据进行分析，发现安全漏洞，如如F

18、TB漏洞，漏洞，NFS输出到未授权程序中，不受限制的输出到未授权程序中，不受限制的X服务器访问，不受限制的调制解调器，服务器访问，不受限制的调制解调器，Sendmail的的漏洞，漏洞，NIS口令文件访问等。口令文件访问等。n下面将对有关的端口与漏洞进行分析。下面将对有关的端口与漏洞进行分析。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵 公认端口公认端口(Well Known Ports) n这类端口也常称之为这类端口也

19、常称之为“常用端口常用端口”。n它们的端口号从它们的端口号从0到到1023之间。之间。n“常用端口常用端口”紧密绑定于一些特定的服务，不紧密绑定于一些特定的服务，不允许改变。允许改变。n例如：例如：80端口是为端口是为HTTP通信协议所专用，通信协议所专用，8000端口用于端口用于QQ通信等等。通信等等。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵2 注册端口注册端口(Registered Ports) n这类端口的

20、端口号从这类端口的端口号从1024到到4915l，它们松散，它们松散地绑定于一些服务，用于其他的服务和目的。地绑定于一些服务，用于其他的服务和目的。n由于注册端口多数没有明确定义出服务对象，由于注册端口多数没有明确定义出服务对象，因此常会被木马定义和使用。因此常会被木马定义和使用。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵3 动态和或私有端口动态和或私有端口(Dynamic andor Private Ports)

21、n这类端口的端口号从这类端口的端口号从49152到到65535。n由于这些端口容易隐蔽，也常常不为人由于这些端口容易隐蔽，也常常不为人所注意，因此也常会被木马定义和使用。所注意，因此也常会被木马定义和使用。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵常见的常见的TCP协议端口有协议端口有 n(1) 21号端口，用于文件传输协议号端口，用于文件传输协议FTP。文件。文件传输服务包括上传、下载大容量的文件和数据，传输服务包

22、括上传、下载大容量的文件和数据，例如主页。例如主页。n(2) 23号端口，用于远程登陆号端口，用于远程登陆Telnet。远程登。远程登陆允许用户以自己的身份远程连接到电脑上，陆允许用户以自己的身份远程连接到电脑上，通过这种端口可以提供一种基于通过这种端口可以提供一种基于DOS模式下的模式下的通信服务，如纯字符界面的通信服务，如纯字符界面的BBS。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵n(3) 25号端口，用于简单

23、邮件传送协议号端口，用于简单邮件传送协议SMTP。简单邮件传送协议是用于发送邮件。简单邮件传送协议是用于发送邮件。n(4) 80号端口，用于号端口，用于“超文本传输协议超文本传输协议”HTTP。这是用得最多的协议，网络上提供。这是用得最多的协议，网络上提供网页资源的电脑网页资源的电脑(“Web服务器服务器”)只有打开只有打开80号端口，才能够提供号端口，才能够提供“WWW服务服务”。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制

24、与黑客入侵n(5) 110号端口，用于接收邮件协议号端口，用于接收邮件协议POP3。它和。它和SMTP相对应，接收邮件协议只用于接收相对应，接收邮件协议只用于接收POP3邮件。邮件。n(6) 139端口，用于为端口，用于为NetBIOS提供服务，例如提供服务，例如WindowsXP的文件和打印机共享服务。的文件和打印机共享服务。n(NetBIOS是是“网络基本输入输出系统网络基本输入输出系统”，系统可以利，系统可以利用多种模式将用多种模式将NetBIOS名解析为相应的名解析为相应的IP地址，从而实地址，从而实现局域网内的通信，但在现局域网内的通信，但在Intenet上上NetBIOS就相当于就

25、相当于一个后门，很多攻击者都是通过一个后门，很多攻击者都是通过NetBIOS漏洞发起攻击漏洞发起攻击的的)。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵n 53号端口，用于域名解析服务号端口，用于域名解析服务DNS。n 161号端口，用于简单网络管理协议号端口，用于简单网络管理协议SNMP。n 3389端口，端口，WindowsXP默认允许远程用户连接默认允许远程用户连接到本地电脑端口。到本地电脑端口。n 400080

26、00号端口，用于号端口，用于QQ和和OICQ服务。服务。n 137和和138号端口，用于网络邻居之间传输文件。号端口，用于网络邻居之间传输文件。常见的常见的UDP协议的端口有：协议的端口有：Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵n所谓的漏洞一词原本指系统的安全缺陷。所谓的漏洞一词原本指系统的安全缺陷。漏洞也是在硬件、软件、协议的具体实现漏洞也是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以或系统

27、安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破使攻击者能够在未授权的情况下访问或破坏系统。坏系统。n它形成的原因非常复杂，或者是由于系统它形成的原因非常复杂，或者是由于系统设计者的疏忽或其他目的在程序代码的隐设计者的疏忽或其他目的在程序代码的隐蔽处保留的某些端口或者后门；或者是由蔽处保留的某些端口或者后门；或者是由于要实现某些功能。于要实现某些功能。n比如网络之间的通信而设计的端口；或者比如网络之间的通信而设计的端口；或者是外来入侵者刻意打开的某些端口。是外来入侵者刻意打开的某些端口。Evaluation only.Created with Aspose.Slides fo

28、r .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵nWindows环境中的输入法漏洞，这个漏洞曾经使环境中的输入法漏洞，这个漏洞曾经使许多入侵者轻而易举地控制了使用许多入侵者轻而易举地控制了使用Windows环境环境的计算机：的计算机：Windows XP Professional中的一个允中的一个允许计算机进行远程交互通信的许计算机进行远程交互通信的“远程过程调用协远程过程调用协议议”RPC(Remote Procedure Call)，又成为了，又成为了“冲冲击波击波”病毒入侵的漏洞。如此等等，因而这些都病毒

29、入侵的漏洞。如此等等，因而这些都可以认为是系统中存在的安全漏洞。可以认为是系统中存在的安全漏洞。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵第四步实施攻击。第四步实施攻击。 n根据已知的根据已知的“漏洞漏洞”或者或者“弱口令弱口令”，实施入侵。，实施入侵。n通过猜测程序可对截获的拥护账号和口令进行破通过猜测程序可对截获的拥护账号和口令进行破译。译。n利用破译的口令可对截获的系统密码文件进行破利用破译的口令可对截获的系统

30、密码文件进行破译；利用网络和系统的薄弱环节和安全漏洞可实译；利用网络和系统的薄弱环节和安全漏洞可实施电子引诱（如安放特洛伊木马）等。施电子引诱（如安放特洛伊木马）等。n黑客们或修改网页进行恶作剧，或破坏系统程序黑客们或修改网页进行恶作剧，或破坏系统程序或放病毒使系统瘫痪，或窃取政治，军事，商业或放病毒使系统瘫痪，或窃取政治，军事，商业秘密，或进行电子邮件骚扰，转移资金账户，窃秘密，或进行电子邮件骚扰，转移资金账户，窃取金钱等。取金钱等。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 200

31、4-2011 Aspose Pty Ltd.远程控制与黑客入侵n所谓所谓“弱口令弱口令”就是就是“简单的密码简单的密码”。n因为口令就是人们常说的密码，因为口令就是人们常说的密码，“弱弱”在网在网络的术语里就是络的术语里就是“简单简单”的意思。的意思。n许多网络计算机往往就是因为设置了简单的许多网络计算机往往就是因为设置了简单的密码而被黑客入侵成功。密码而被黑客入侵成功。n因此，应该对因此，应该对“弱口令弱口令”问题给予足够的重问题给予足够的重视视。n让黑客即使登录到我们的计算机之上，也因让黑客即使登录到我们的计算机之上，也因为无法破解密码而达不到控制计算机或者窃为无法破解密码而达不到控制计算

32、机或者窃取数据的目的。取数据的目的。弱口令弱口令Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵第五步留下第五步留下“后门后门” n由于黑客渗透主机系统之后，往往要留下后门以由于黑客渗透主机系统之后，往往要留下后门以便今后再次入侵。便今后再次入侵。n留下后门的技术有多种方法，包括提升帐户权限留下后门的技术有多种方法，包括提升帐户权限或者增加管理帐号或者安装特洛伊木马等。或者增加管理帐号或者安装特洛伊木马等。n所谓所谓“后门

33、后门”是指后门程序又称特洛伊木马是指后门程序又称特洛伊木马(Trojan horse)，也简称，也简称“木马木马”，其用途在于潜，其用途在于潜伏在网络计算机中，从事搜集信息或便于黑客进伏在网络计算机中，从事搜集信息或便于黑客进入的动作。入的动作。n后门是一种登录系统的方法，它不仅绕过系统已后门是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的有的安全设置，而且还能挫败系统上各种增强的安全设置。安全设置。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004

34、-2011 Aspose Pty Ltd.远程控制与黑客入侵第六步清除日志第六步清除日志 n黑客对目标机进行一系列的攻击后，通过检查黑客对目标机进行一系列的攻击后，通过检查被攻击方的日志，可以了解入侵过程中留下的被攻击方的日志，可以了解入侵过程中留下的“痕迹痕迹”；这样入侵者就知道需要删除哪些文；这样入侵者就知道需要删除哪些文件来毁灭入侵证据。件来毁灭入侵证据。n为了达到隐蔽自己入侵行为的目的，清除日志为了达到隐蔽自己入侵行为的目的，清除日志信息对于黑客来讲是必不可少的。信息对于黑客来讲是必不可少的。n在现实生活中，很多内部网络或者企业网络根在现实生活中，很多内部网络或者企业网络根本没有启动审

35、计机制，这给入侵追踪造成了巨本没有启动审计机制，这给入侵追踪造成了巨大的困难。大的困难。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵11.2 .2 黑客入侵的层次与种类黑客入侵的层次与种类n黑客入侵的方式多种多样，危害程度也不尽相同，按黑客入侵的方式多种多样，危害程度也不尽相同，按黑客进攻的方法和危害程度可分为以下级别和层次：黑客进攻的方法和危害程度可分为以下级别和层次：n 邮件爆炸攻击（邮件爆炸攻击（email bo

36、mb）（第一层）（第一层）n 简单服务拒绝攻击（简单服务拒绝攻击（denial of service）（第一层）（第一层）n 本地用户获得非授权读访问（第二层）本地用户获得非授权读访问（第二层）n 远程用户获得非授权的帐号（第三层）远程用户获得非授权的帐号（第三层）n 远程用户获得了特权文件的读权限（第四层）远程用户获得了特权文件的读权限（第四层）n 远程用户获得了特权文件的写权限（第五层）远程用户获得了特权文件的写权限（第五层）n 远程用户有了根（远程用户有了根（root）权限（黑客已经攻克系统）权限（黑客已经攻克系统）（第六层）（第六层） Evaluation only.Created w

37、ith Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵11.3 黑客攻击与防范黑客攻击与防范n黑客攻击的一般流程是黑客攻击的一般流程是：“获取目标获取目标IP地址地址”、“扫扫描目标开放的端口和破解弱口令描目标开放的端口和破解弱口令”以及以及“入侵目标入侵目标”。n1获取远程目标获取远程目标IP地址地址 n获取远程目标的获取远程目标的IP地址的方法很多，有通过具有自动地址的方法很多，有通过具有自动上线功能的扫描工具将存在系统漏洞的目标电脑的上线功能的扫描工具将存在系统漏洞的目标

38、电脑的IP地址捕获：有使用专门的扫描工具进行扫描获得，例地址捕获：有使用专门的扫描工具进行扫描获得，例如下面要介绍的如下面要介绍的X-Scan；n有通过某些网络通信工具等。有通过某些网络通信工具等。n此外也可以通过此外也可以通过PING命令直接解析对方的命令直接解析对方的IP地地址。址。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵2扫描远程目标漏洞扫描远程目标漏洞n当需要扫描的当需要扫描的IP地址范围确定后，入侵者就

39、要获取目地址范围确定后，入侵者就要获取目标计算机上的漏洞标计算机上的漏洞(也称为也称为“开放的端口开放的端口”)和弱口令和弱口令等其他信息。等其他信息。n“端口扫描端口扫描”(port scanning)是主动对目标计算机的是主动对目标计算机的选定端口进行扫描，它扫描目标计算机的选定端口进行扫描，它扫描目标计算机的TCP协议或协议或UDP协议端门，实时地发现协议端门，实时地发现“漏洞漏洞”，以便入侵。，以便入侵。n 利用软件扫描端口和破解弱口令利用软件扫描端口和破解弱口令n 本例以本例以X-Scan来进行说明怎样利用扫描软件来扫描来进行说明怎样利用扫描软件来扫描端口和破解弱口令。端口和破解弱口

40、令。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵3入侵目标计算机入侵目标计算机n(1)与目标计算机建立连接与目标计算机建立连接n当通过当通过X-Scan的扫描，发现了有用户使用了的扫描，发现了有用户使用了“弱弱口令口令”。n例如例如IP地址为：地址为：59.68.29.83的主机上有一个名字为：的主机上有一个名字为：Administrator的管理员用户使用了的管理员用户使用了“弱口令弱口令”为为空。因此就很容易造成

41、入侵。黑客如果要利用空。因此就很容易造成入侵。黑客如果要利用“弱口令弱口令”登录到这台计算机上。只要在本地计算登录到这台计算机上。只要在本地计算机上发布以下命令：机上发布以下命令：nnet use 59.68.29.83ipc$ 123456user：AdministratorEvaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵(2)上传木马上传木马n在目标计算机上建立一个连接之后，就可以利用在目标计算机上建立一个连接之后，就

42、可以利用DOS的命令上传一个木马文件：的命令上传一个木马文件：serven.exe，当然也，当然也可以下载目标计算机上的文件。可以下载目标计算机上的文件。n上传一个木马文件上传一个木马文件server.exe的命令为：的命令为：nCopyserver.exe192.168.0.80adminSsystem32n上传一个木马文件上传一个木马文件server.exe后，为了让它在指定的后，为了让它在指定的时间自动执行，用以下命令获取对方的计算机时间。时间自动执行，用以下命令获取对方的计算机时间。nNet time59.68.29.76Evaluation only.Created with Asp

43、ose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵(3)打扫痕迹打扫痕迹n上述工作完成后，黑客一般要打扫痕迹，上述工作完成后，黑客一般要打扫痕迹，避免对方发现。避免对方发现。n用以下命令删除共享：用以下命令删除共享：net Share admin$/del。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵11.4 A

44、RP欺骗欺骗n(1) ARP欺骗的含义欺骗的含义n众所周知，众所周知，IP地址是不能直接用来进行通信的，地址是不能直接用来进行通信的，这是因为这是因为IP地址只是主机在抽象的网络层中的地地址只是主机在抽象的网络层中的地址。址。n如果要将网络层中传送的数据报交给目的主机，如果要将网络层中传送的数据报交给目的主机，还要传到数据链路层转变成硬件地址后才能发送还要传到数据链路层转变成硬件地址后才能发送到实际的网络上。到实际的网络上。n由于由于IP地址是地址是32位的，而局域网的硬件地址是位的，而局域网的硬件地址是48位的，因此它们之间不存在简单的映射关系。位的，因此它们之间不存在简单的映射关系。n将一

45、台计算机的将一台计算机的IP地址翻译成等价的硬件地址的地址翻译成等价的硬件地址的过程叫做地址解析。过程叫做地址解析。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵(2) ARP欺骗原理欺骗原理n如果一台计算机如果一台计算机A要与另一台计算机要与另一台计算机B进行通信时，进行通信时， 它就会先在自己的列表中搜寻一下这个被访问的它就会先在自己的列表中搜寻一下这个被访问的IP地地址所对应的址所对应的MAC地址，如果找到了就直

46、接进行通信，地址，如果找到了就直接进行通信，如果表中没有的话，主机如果表中没有的话，主机A则会向网内发一个广播来则会向网内发一个广播来寻找被访问目标寻找被访问目标B的的MAC地址，当被访问目标地址，当被访问目标B收到收到广播后它就会自动回应一个信息给发广播的机器广播后它就会自动回应一个信息给发广播的机器A， 其他机器则不会给发广播的机器其他机器则不会给发广播的机器A回应任何信息，这回应任何信息，这样计算机样计算机A就可以更新列表并与计算机就可以更新列表并与计算机B进行正常通进行正常通信。信。n由此可见，由此可见，ARP协议是建立在网内所有计算机的高度协议是建立在网内所有计算机的高度信任基础上来

47、进行工作的，因此这就为黑客提供了攻信任基础上来进行工作的，因此这就为黑客提供了攻击的好机会。击的好机会。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵(3) ARP攻击的方式攻击的方式n根据根据ARP欺骗的原理可知攻击的方式有以下两种：欺骗的原理可知攻击的方式有以下两种：n1）中间人攻击）中间人攻击n中间人攻击就是攻击者将自己的主机作为被攻击主机间的桥中间人攻击就是攻击者将自己的主机作为被攻击主机间的桥梁，可以查看它们之

48、间的通信，提取重要的信息或者修改通梁，可以查看它们之间的通信，提取重要的信息或者修改通信内容或者不作任何修改原样发送出去，这使得被攻击主机信内容或者不作任何修改原样发送出去，这使得被攻击主机间没有任何的秘密而言。间没有任何的秘密而言。n2）拒绝服务攻击）拒绝服务攻击n拒绝服务攻击就是使目标主机不能响应外界请求，从而不能拒绝服务攻击就是使目标主机不能响应外界请求，从而不能对外提供服务的攻击方法。对外提供服务的攻击方法。n如果攻击者将目标主机缓存表的地址全部改为根本不存在的如果攻击者将目标主机缓存表的地址全部改为根本不存在的地址，那么目标主机向外发送的所有以太网数据帧会丢失，地址，那么目标主机向外

49、发送的所有以太网数据帧会丢失，使得上层应用忙于处理这种异常而无法响应外来请求，也就使得上层应用忙于处理这种异常而无法响应外来请求，也就导致目标主机产生拒绝服务。导致目标主机产生拒绝服务。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵(4) ARP攻击时的主要现象：攻击时的主要现象：n1)网上银行、游戏及网上银行、游戏及QQ账号的频繁丢失账号的频繁丢失n2）网速时快时慢，极其不稳定）网速时快时慢，极其不稳定n3）局域网内频

50、繁性区域或整体掉线，）局域网内频繁性区域或整体掉线，Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵(5) ARP抵御方法抵御方法 n1）填加静态记录）填加静态记录n在目标主机的在目标主机的ARP缓存表中设置静态地址映射记录。即使有缓存表中设置静态地址映射记录。即使有新的新的ARP应答也不更新缓存表的内容。应答也不更新缓存表的内容。n可以有效的防止可以有效的防止ARP欺骗，但有它的局限性，就是通信双方欺骗，但有它的局限性，

51、就是通信双方的的IP地址和地址和MAC地址不能变化。地址不能变化。n2）设置）设置ARP服务器服务器n为克服上面提到的不足，就是要对上述维护静态记录的分散为克服上面提到的不足，就是要对上述维护静态记录的分散工作进行集中管理。也就是指定局域网内部的一台机器作为工作进行集中管理。也就是指定局域网内部的一台机器作为ARP服务器，专门保存并且维护可信范围内的所有主机的服务器，专门保存并且维护可信范围内的所有主机的IP地址和地址和MAC地址映射记录。地址映射记录。n该服务器通过查阅自己的该服务器通过查阅自己的ARP缓存记录并以被查询主机的名缓存记录并以被查询主机的名义响应局域网内部的义响应局域网内部的A

52、RP请求。同时可以设置局域网内部的请求。同时可以设置局域网内部的其他主机只使用来自其他主机只使用来自ARP服务器的服务器的ARP响应。响应。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵3) 引入硬件屏障引入硬件屏障n将需要采取保护且互相信任的主机所在的安全子网与将需要采取保护且互相信任的主机所在的安全子网与攻击者可能访问的不安全子网隔离开来，例如采用路攻击者可能访问的不安全子网隔离开来，例如采用路由器。由器。n这样的子网划分能阻止攻击者关闭目标主机而将自己这样的子网划分能阻止攻击者关闭目标主机而将自己挂到目标主机所在的子网上以响应来自子网上的挂到目标主机所在的子网上以响应来自子网上的ARP请求。请求。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Pro.Copyright 2004-2011 Aspose Pty Ltd.远程控制与黑客入侵