第4章 黑客攻防與檢測(cè)防御

1、 4.2 4.2 黑客攻擊的目的及過程黑客攻擊的目的及過程 2 4.3 4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù) 3 4.4 4.4 網(wǎng)絡(luò)攻擊的防范措施網(wǎng)絡(luò)攻擊的防范措施 4 4.1 4.1 黑客概念及攻擊途徑黑客概念及攻擊途徑 1 4.5 4.5 入侵檢測(cè)與防御系統(tǒng)概述入侵檢測(cè)與防御系統(tǒng)概述 5 4.6 4.6 Sniffer網(wǎng)絡(luò)監(jiān)測(cè)實(shí)驗(yàn)網(wǎng)絡(luò)監(jiān)測(cè)實(shí)驗(yàn) 6 4.7 4.7 本章小結(jié)本章小結(jié) 7目目 錄錄4.1 黑客概念及攻擊途徑黑客概念及攻擊途徑4.1.1 4.1.1 黑客概念及形成黑客概念及形成 n 1.1. 黑客及其演變黑客及其演變 “黑客黑客”是英文是英文“Hacker”的的譯音譯音

2、,源于源于Hack,本意本意為為“干了干了一件非常漂亮的事一件非常漂亮的事”。原指原指一群專業(yè)技能超群、聰明能干、精一群專業(yè)技能超群、聰明能干、精力旺盛、對(duì)力旺盛、對(duì)計(jì)算機(jī)信息系統(tǒng)計(jì)算機(jī)信息系統(tǒng)進(jìn)行進(jìn)行非授權(quán)訪問的人非授權(quán)訪問的人。后來成為專。后來成為專門利用計(jì)算機(jī)進(jìn)行門利用計(jì)算機(jī)進(jìn)行破壞破壞或或入侵入侵他人計(jì)算機(jī)系統(tǒng)的人的他人計(jì)算機(jī)系統(tǒng)的人的代言詞代言詞。 “駭客駭客”是英文是英文“Cacker”的譯音，的譯音，意為意為“破譯者和破譯者和搞破壞的人搞破壞的人”。駭客駭客的出現(xiàn)的出現(xiàn)玷污了玷污了黑客，使人們把黑客，使人們把“黑黑客客”和和“駭客駭客”混為一體?；鞛橐惑w。 中國網(wǎng)絡(luò)遭攻擊中國網(wǎng)絡(luò)

3、遭攻擊癱瘓癱瘓，涉事，涉事IP指向美國公司。指向美國公司。據(jù)環(huán)球時(shí)報(bào)據(jù)環(huán)球時(shí)報(bào)2014年年1月綜合報(bào)月綜合報(bào)道，中國互聯(lián)網(wǎng)部分用戶道，中國互聯(lián)網(wǎng)部分用戶1月月21日遭遇大范圍日遭遇大范圍“癱瘓癱瘓”性極為嚴(yán)重的攻擊現(xiàn)象，國內(nèi)通用頂性極為嚴(yán)重的攻擊現(xiàn)象，國內(nèi)通用頂級(jí)根域名服務(wù)器解析出現(xiàn)異常，部分國內(nèi)用戶級(jí)根域名服務(wù)器解析出現(xiàn)異常，部分國內(nèi)用戶無法訪問無法訪問.cn或或.com等域名網(wǎng)站。據(jù)初步統(tǒng)計(jì)，等域名網(wǎng)站。據(jù)初步統(tǒng)計(jì)，全國有全國有2/3的網(wǎng)站和數(shù)十億企事業(yè)機(jī)構(gòu)或個(gè)人的網(wǎng)站和數(shù)十億企事業(yè)機(jī)構(gòu)或個(gè)人用戶訪問受到極大影響，絕大多數(shù)網(wǎng)站無法打用戶訪問受到極大影響，絕大多數(shù)網(wǎng)站無法打開瀏覽，導(dǎo)致系統(tǒng)處

4、于癱瘓狀態(tài)。開瀏覽，導(dǎo)致系統(tǒng)處于癱瘓狀態(tài)。案例案例4-14-1 n 2.2.黑客的類型黑客的類型 把黑客把黑客分為分為“正正”、“邪邪”兩兩類類，也就是經(jīng)常聽，也就是經(jīng)常聽說的說的“黑客黑客”和和“紅客紅客”。 把黑客把黑客分分為為紅紅客、破壞者和間諜客、破壞者和間諜三種類型三種類型，紅客紅客是是指指“國家利益國家利益至高至高無上無上”的、正義的的、正義的“網(wǎng)絡(luò)大俠網(wǎng)絡(luò)大俠”；破破壞者壞者也稱也稱“駭客駭客”；間諜間諜是指是指“利益至利益至上上”情報(bào)情報(bào)“盜獵盜獵者者”。4.1 黑客概念及攻擊途徑黑客概念及攻擊途徑 n 3. 3. 黑客的形成與發(fā)展黑客的形成與發(fā)展 20 世紀(jì)世紀(jì)60 年代年代

5、，在美國麻省理工學(xué)院的人，在美國麻省理工學(xué)院的人工智能實(shí)驗(yàn)室里，有一群自稱為黑客的學(xué)生們以編制復(fù)工智能實(shí)驗(yàn)室里，有一群自稱為黑客的學(xué)生們以編制復(fù)雜的程序?yàn)闃啡ぃ?dāng)初并沒有功利性目的。此后不久，雜的程序?yàn)闃啡?，?dāng)初并沒有功利性目的。此后不久，連接多所大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室的美國國防部實(shí)驗(yàn)性網(wǎng)絡(luò)連接多所大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室的美國國防部實(shí)驗(yàn)性網(wǎng)絡(luò)APARNET建成，建成，黑客活動(dòng)便通過網(wǎng)絡(luò)傳播到更多的大黑客活動(dòng)便通過網(wǎng)絡(luò)傳播到更多的大學(xué)乃至社會(huì)學(xué)乃至社會(huì)。后來，有些人利用手中掌握的。后來，有些人利用手中掌握的“絕技絕技”，借鑒盜打免費(fèi)電話的手法，擅自闖入他人的計(jì)算機(jī)系統(tǒng)，借鑒盜打免費(fèi)電話的手法，擅自闖入他人的

6、計(jì)算機(jī)系統(tǒng)，干起隱蔽活動(dòng)。隨著干起隱蔽活動(dòng)。隨著APARNET 逐步發(fā)展成為因特網(wǎng)，逐步發(fā)展成為因特網(wǎng)，黑客們的活動(dòng)天地越來越廣闊，人數(shù)也越來越多，黑客們的活動(dòng)天地越來越廣闊，人數(shù)也越來越多，形成形成魚目混珠的局面魚目混珠的局面。案例案例4-24-24.1 黑客概念及攻擊途徑黑客概念及攻擊途徑4.1.2 4.1.2 黑客攻擊的主要途徑黑客攻擊的主要途徑 n 1.1. 黑客攻擊的漏洞黑客攻擊的漏洞 系統(tǒng)系統(tǒng)漏洞漏洞又稱又稱缺陷缺陷。漏洞漏洞是在是在硬件、軟件、協(xié)議硬件、軟件、協(xié)議的具體的具體實(shí)現(xiàn)實(shí)現(xiàn)或或系統(tǒng)安全策略系統(tǒng)安全策略上上存在存在的的缺陷缺陷，從而，從而可使可使攻擊者攻擊者能夠能夠在未授

7、權(quán)的情況下在未授權(quán)的情況下訪問訪問或或破壞破壞系統(tǒng)。系統(tǒng)。造成漏洞造成漏洞的的原因原因分析分析如下：如下：1）計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議本身的缺陷。）計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議本身的缺陷。 2）系統(tǒng)研發(fā)的缺陷。）系統(tǒng)研發(fā)的缺陷。3）系統(tǒng)配置不當(dāng)。）系統(tǒng)配置不當(dāng)。4）系統(tǒng)安全管理中的問題。）系統(tǒng)安全管理中的問題。 其他其他: :協(xié)議、系統(tǒng)、路由、傳輸、協(xié)議、系統(tǒng)、路由、傳輸、DB、技術(shù)、管理及法規(guī)等、技術(shù)、管理及法規(guī)等4.1 黑客概念及攻擊途徑黑客概念及攻擊途徑 n 2. 2. 黑客入侵通道黑客入侵通道 端口端口 是指是指網(wǎng)絡(luò)中網(wǎng)絡(luò)中面向面向連接連接/ /無連接服務(wù)無連接服務(wù)的的通信協(xié)議端通信協(xié)議端口口, ,是一種抽象

8、的是一種抽象的軟件結(jié)構(gòu)軟件結(jié)構(gòu), ,包括一些包括一些數(shù)據(jù)結(jié)構(gòu)數(shù)據(jù)結(jié)構(gòu)和和I/OI/O緩沖緩沖區(qū)區(qū)。計(jì)算機(jī)。計(jì)算機(jī)通過通過端口端口實(shí)現(xiàn)實(shí)現(xiàn)與外部通信的與外部通信的連接連接/ /數(shù)據(jù)交換數(shù)據(jù)交換, ,黑客攻擊黑客攻擊是是將將系統(tǒng)和網(wǎng)絡(luò)設(shè)置中的各種系統(tǒng)和網(wǎng)絡(luò)設(shè)置中的各種(邏輯邏輯)端口端口作為作為入入侵通道侵通道. .端口號(hào)：端口號(hào)：端口端口通過通過端口號(hào)標(biāo)記端口號(hào)標(biāo)記（只有整數(shù)）（只有整數(shù)）, 范圍范圍： 065535（216-1） 目的端口號(hào)目的端口號(hào):用于用于通知通知傳輸層協(xié)議將傳輸層協(xié)議將數(shù)據(jù)數(shù)據(jù)送給送給具體處理軟件具體處理軟件源端口號(hào)：源端口號(hào)：一般是由操作系統(tǒng)一般是由操作系統(tǒng)動(dòng)態(tài)生成動(dòng)態(tài)

9、生成的號(hào)碼：的號(hào)碼： 1024 65535 4.1 黑客概念及攻擊途徑黑客概念及攻擊途徑 3. 3. 端口分類端口分類 按端口號(hào)分布可分為三段：按端口號(hào)分布可分為三段：1）公認(rèn)端口公認(rèn)端口 ( 01023 ),又稱又稱常用端口常用端口,為已經(jīng)或?qū)⒁J(rèn)定為已經(jīng)或?qū)⒁J(rèn)定義的軟件保留的義的軟件保留的.這些端口緊密綁定一些服務(wù)且明確表示了某種這些端口緊密綁定一些服務(wù)且明確表示了某種服務(wù)協(xié)議服務(wù)協(xié)議.如如80端口端口表示表示HTTP協(xié)議協(xié)議(Web服務(wù)服務(wù)).2）注冊(cè)端口注冊(cè)端口 ( 102449151 ),又稱又稱保留端口保留端口, 這些端口松散綁這些端口松散綁定一些服務(wù)。定一些服務(wù)。3）動(dòng)態(tài)動(dòng)

10、態(tài)/私有端口私有端口(4915265535).理論上不為服務(wù)器分配理論上不為服務(wù)器分配. 按協(xié)議類型將端口劃分為按協(xié)議類型將端口劃分為TCP和和UDP端口：端口：1）TCP端口端口需要需要在客戶端和服務(wù)器之間在客戶端和服務(wù)器之間建立連接建立連接,提供可靠的提供可靠的數(shù)據(jù)傳輸數(shù)據(jù)傳輸.如如Telnet服務(wù)的服務(wù)的23端口端口,SMTP默認(rèn)默認(rèn)25。2）UDP端口端口不需要不需要在客戶端和服務(wù)器之間在客戶端和服務(wù)器之間建立連接建立連接.常見的端口有常見的端口有DNS服務(wù)的服務(wù)的53端口。端口。FTP服務(wù)服務(wù)通過通過TCP傳輸傳輸,默認(rèn)默認(rèn)端口端口20數(shù)據(jù)數(shù)據(jù)傳傳輸輸,21命令命令傳輸傳輸4.1 黑

11、客概念及攻擊途徑黑客概念及攻擊途徑4.2.1 4.2.1 黑客攻擊的目的及種類黑客攻擊的目的及種類1. 1. 黑客攻擊的目的及行為黑客攻擊的目的及行為4.2 黑客攻擊的目的及過程黑客攻擊的目的及過程 最大網(wǎng)絡(luò)攻擊案件幕后黑手被捕。最大網(wǎng)絡(luò)攻擊案件幕后黑手被捕。2013年一荷蘭男子年一荷蘭男子SK因涉嫌有史以來最大的網(wǎng)絡(luò)攻擊案因涉嫌有史以來最大的網(wǎng)絡(luò)攻擊案件而被捕。件而被捕。SK對(duì)國際反垃圾郵件組織對(duì)國際反垃圾郵件組織Spamhaus等網(wǎng)站，等網(wǎng)站，進(jìn)行了前所未有的一系列的大規(guī)模分布式拒絕服務(wù)攻擊進(jìn)行了前所未有的一系列的大規(guī)模分布式拒絕服務(wù)攻擊(DDoS)，在高峰期攻擊達(dá)到每秒，在高峰期攻擊達(dá)到

12、每秒300G比特率，導(dǎo)致歐洲比特率，導(dǎo)致歐洲的某些局部地區(qū)互聯(lián)網(wǎng)速度緩慢，同時(shí)致使成千上萬相關(guān)的某些局部地區(qū)互聯(lián)網(wǎng)速度緩慢，同時(shí)致使成千上萬相關(guān)網(wǎng)站無法正常運(yùn)行服務(wù)。網(wǎng)站無法正常運(yùn)行服務(wù)。 黑客攻擊其目的黑客攻擊其目的：其一，為了其一，為了得到得到物質(zhì)利益物質(zhì)利益；是指；是指獲取獲取金錢財(cái)物金錢財(cái)物；其二，為了其二，為了滿足滿足精神需求精神需求。是指。是指滿足滿足個(gè)人個(gè)人心理欲望心理欲望.黑客行為黑客行為：攻擊攻擊網(wǎng)站；網(wǎng)站；盜竊盜竊資料；資料；進(jìn)行進(jìn)行惡作??；惡作劇；告知告知漏洞漏洞；獲取獲取目標(biāo)主機(jī)系統(tǒng)的非法訪問權(quán)等。目標(biāo)主機(jī)系統(tǒng)的非法訪問權(quán)等。案例案例4-34-34.2.1 4.2.1

13、黑客攻擊的目的及種類黑客攻擊的目的及種類2. 2. 黑客攻擊手段及種類黑客攻擊手段及種類4.2 黑客攻擊的目的及過程黑客攻擊的目的及過程 大量木馬病毒偽裝成大量木馬病毒偽裝成“東莞艷舞視頻東莞艷舞視頻”網(wǎng)上瘋網(wǎng)上瘋傳。傳。2014年年2月，央視月，央視新聞直播間新聞直播間曝光了東莞的色情產(chǎn)業(yè)鏈，曝光了東莞的色情產(chǎn)業(yè)鏈，一時(shí)間有關(guān)東莞信息點(diǎn)擊量劇增，與之有關(guān)的視頻、圖片信息也一時(shí)間有關(guān)東莞信息點(diǎn)擊量劇增，與之有關(guān)的視頻、圖片信息也蜂擁而至。僅過去的蜂擁而至。僅過去的24小時(shí)內(nèi)，帶有小時(shí)內(nèi)，帶有“東莞東莞”關(guān)鍵詞的木馬色情關(guān)鍵詞的木馬色情網(wǎng)站（偽裝的網(wǎng)站（偽裝的“釣魚網(wǎng)站釣魚網(wǎng)站”）攔截量猛增）攔

14、截量猛增11.6%，相比平時(shí)多出，相比平時(shí)多出近近10萬次。大量命名為萬次。大量命名為“東莞艷舞視頻東莞艷舞視頻”、“東莞桑拿酒店視頻東莞桑拿酒店視頻”的木馬和廣告插件等惡意軟件出現(xiàn)，致使很多用戶機(jī)密信息被盜。的木馬和廣告插件等惡意軟件出現(xiàn)，致使很多用戶機(jī)密信息被盜。 1）網(wǎng)絡(luò)監(jiān)聽。）網(wǎng)絡(luò)監(jiān)聽。2）拒絕服務(wù)攻擊）拒絕服務(wù)攻擊3）欺騙攻擊。）欺騙攻擊。源源IP地址欺騙地址欺騙源路由欺騙攻擊。源路由欺騙攻擊。4）緩沖區(qū)溢出。）緩沖區(qū)溢出。5）病毒及密碼攻擊）病毒及密碼攻擊6）應(yīng)用層攻擊。）應(yīng)用層攻擊。案例案例4-44-44.2.2 4.2.2 黑客攻擊的過程黑客攻擊的過程 黑客攻擊步驟黑客攻擊步驟

15、各異各異, ,但其整個(gè)但其整個(gè)攻擊過程攻擊過程有一定規(guī)律有一定規(guī)律, ,一般一般可分為可分為“”。隱藏隱藏IP踩點(diǎn)掃描踩點(diǎn)掃描黑客黑客利用利用程序的程序的漏洞漏洞進(jìn)入進(jìn)入系統(tǒng)后系統(tǒng)后安安裝裝后門程序后門程序，以便以便日后可以不被察日后可以不被察覺地覺地再次進(jìn)入系統(tǒng)再次進(jìn)入系統(tǒng)。就是就是隱藏隱藏黑客的黑客的位置位置，以免被發(fā)現(xiàn)。，以免被發(fā)現(xiàn)。通過通過各種各種途徑途徑對(duì)對(duì)所要所要攻擊目標(biāo)攻擊目標(biāo)進(jìn)行進(jìn)行多方了多方了解解,確保確保信息準(zhǔn)確信息準(zhǔn)確,確定確定攻擊時(shí)間和地點(diǎn)攻擊時(shí)間和地點(diǎn).篡權(quán)攻擊篡權(quán)攻擊種植后門種植后門隱身退出隱身退出即即獲得獲得管理管理/訪問權(quán)限訪問權(quán)限,進(jìn)行進(jìn)行攻擊攻擊。 為為避免

16、避免被發(fā)現(xiàn)被發(fā)現(xiàn),在入侵完后在入侵完后及時(shí)清除及時(shí)清除登錄日志和其他相關(guān)日志登錄日志和其他相關(guān)日志,隱身退出隱身退出.4.2 黑客攻擊的目的及過程黑客攻擊的目的及過程 黑客攻擊企業(yè)內(nèi)部局域網(wǎng)過程黑客攻擊企業(yè)內(nèi)部局域網(wǎng)過程，圖，圖4-14-1是攻擊過程的示意圖是攻擊過程的示意圖. . 用用PingPing查詢企業(yè)內(nèi)部網(wǎng)站服務(wù)器的查詢企業(yè)內(nèi)部網(wǎng)站服務(wù)器的IPIP 用用PortScanPortScan掃描企業(yè)內(nèi)部局域網(wǎng)掃描企業(yè)內(nèi)部局域網(wǎng)PORTPORT 用用WWW hackWWW hack入侵局域網(wǎng)絡(luò)入侵局域網(wǎng)絡(luò)E-mailE-mail 用用LegionLegion掃描局域網(wǎng)掃描局域網(wǎng) 植入特洛伊木

17、馬植入特洛伊木馬 破解破解InternetInternet賬號(hào)與口令（或密碼）賬號(hào)與口令（或密碼） 用用IP Network Browser IP Network Browser 掃描企業(yè)內(nèi)部局域網(wǎng)掃描企業(yè)內(nèi)部局域網(wǎng)IPIP圖圖 4-1 黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的過程示意圖黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的過程示意圖4.2 黑客攻擊的目的及過程黑客攻擊的目的及過程4.3.1 4.3.1 端口掃描的攻防端口掃描的攻防 端口掃描端口掃描是管理員是管理員發(fā)現(xiàn)發(fā)現(xiàn)系統(tǒng)的系統(tǒng)的安全漏洞安全漏洞，加強(qiáng)加強(qiáng)系統(tǒng)的安全系統(tǒng)的安全管理，管理，提高提高系統(tǒng)安全性能的有效方法。系統(tǒng)安全性能的有效方法。端口掃描端口掃描成為成為黑

18、客黑客發(fā)現(xiàn)發(fā)現(xiàn)獲得獲得主機(jī)信息的一種主機(jī)信息的一種最佳手段最佳手段。1.1.端口掃描及掃描器端口掃描及掃描器 （1 1）端口掃描端口掃描. .是是使用使用端口掃描工端口掃描工 具具檢查檢查目標(biāo)主機(jī)目標(biāo)主機(jī)在哪些端口可在哪些端口可建建 立立TCPTCP連接連接, ,若可連接，則表明若可連接，則表明 主機(jī)主機(jī)在那個(gè)在那個(gè)端口被監(jiān)聽端口被監(jiān)聽。 （2 2）掃描器掃描器。掃描器掃描器也稱也稱掃描工具掃描工具或或掃描軟件掃描軟件, ,是一種是一種自動(dòng)檢測(cè)自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)n 4.3.1 4.3.1 端口掃描

19、攻防端口掃描攻防n 2. 2. 端口掃描方式方法端口掃描方式方法 端口掃描的方式端口掃描的方式有有手工命令行方式手工命令行方式和和掃描器掃描方式掃描器掃描方式。n 端口掃描工具及方式端口掃描工具及方式有：有：n 1 1）TCP connectTCP connect掃描。掃描。n 2 2）TCP SYN TCP SYN 掃描。掃描。n 端口掃描工具的功能端口掃描工具的功能： n 1 1）通過）通過PingPing來檢驗(yàn)來檢驗(yàn)IPIP是否在線；是否在線；n 2 2）IPIP和域名相互轉(zhuǎn)換；和域名相互轉(zhuǎn)換；n 3 3）檢驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)提供的服務(wù)類別；）檢驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)提供的服務(wù)類別；n 4 4）檢驗(yàn)一定

20、范圍目標(biāo)計(jì)算機(jī)是否在線和端口情況；）檢驗(yàn)一定范圍目標(biāo)計(jì)算機(jī)是否在線和端口情況；n 5 5）工具自定義列表檢驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)是否在線和端口情況；）工具自定義列表檢驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)是否在線和端口情況； n 6 6）自定義要檢驗(yàn)的端口，并可以保存為端口列表文件；）自定義要檢驗(yàn)的端口，并可以保存為端口列表文件；n 7 7）自帶一個(gè)木馬端口列表）自帶一個(gè)木馬端口列表trojans.lsttrojans.lst，通過這個(gè)列表用戶可以檢測(cè)目標(biāo)，通過這個(gè)列表用戶可以檢測(cè)目標(biāo)計(jì)算機(jī)是否有木馬；同時(shí)，也可以自定義修改這個(gè)木馬端口列表。計(jì)算機(jī)是否有木馬；同時(shí)，也可以自定義修改這個(gè)木馬端口列表。4.3 常用的黑客攻防技術(shù)常用

21、的黑客攻防技術(shù)n 4.3.1 4.3.1 端口掃描攻防端口掃描攻防n 3 3端口掃描攻擊端口掃描攻擊 端口掃描攻擊端口掃描攻擊采用采用探測(cè)技術(shù)探測(cè)技術(shù)，攻擊者可，攻擊者可將其用于將其用于尋找能夠?qū)ふ夷軌虺晒舻姆?wù)。成功攻擊的服務(wù)。連接在連接在網(wǎng)絡(luò)中的計(jì)算機(jī)都會(huì)運(yùn)行許多網(wǎng)絡(luò)中的計(jì)算機(jī)都會(huì)運(yùn)行許多使用使用TCP TCP 或或UDPUDP端口的服務(wù)端口的服務(wù), ,而所而所提供提供的已定義端口達(dá)的已定義端口達(dá)60006000個(gè)以上個(gè)以上. .端口掃端口掃描可讓攻擊者找到可用于發(fā)動(dòng)各種攻擊的端口。描可讓攻擊者找到可用于發(fā)動(dòng)各種攻擊的端口。n 4.4.端口掃描的防范對(duì)策端口掃描的防范對(duì)策 端口掃描的防

22、范端口掃描的防范又稱又稱系統(tǒng)系統(tǒng)“加固加固”. .網(wǎng)絡(luò)的網(wǎng)絡(luò)的關(guān)鍵處關(guān)鍵處使用使用防火防火墻墻對(duì)來源不明的有害數(shù)據(jù)對(duì)來源不明的有害數(shù)據(jù)進(jìn)行過濾進(jìn)行過濾, ,可有效減輕端口掃描攻擊可有效減輕端口掃描攻擊, ,防范端口掃描防范端口掃描的主要的主要方法方法有有兩種兩種： (1) (1)關(guān)閉閑置及有潛在危險(xiǎn)端口關(guān)閉閑置及有潛在危險(xiǎn)端口 方式一：方式一：定向定向關(guān)閉指定服務(wù)的端口關(guān)閉指定服務(wù)的端口。計(jì)算機(jī)的一些網(wǎng)絡(luò)服。計(jì)算機(jī)的一些網(wǎng)絡(luò)服務(wù)為系統(tǒng)分配默認(rèn)的端口，應(yīng)將閑置服務(wù)務(wù)為系統(tǒng)分配默認(rèn)的端口，應(yīng)將閑置服務(wù)- -端口關(guān)閉。端口關(guān)閉。4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù) 操作方法與步驟操作方法與步

23、驟：n 1 1）打開）打開“控制面板控制面板”窗口。窗口。n 2 2）打開）打開“服務(wù)服務(wù)”窗口。窗口。 “ “控制面板控制面板”“”“管理工具管理工具”“”“服務(wù)服務(wù)”, ,選擇選擇DNSDNS。n 3 3）關(guān)閉）關(guān)閉DNSDNS服務(wù)服務(wù) 在在“DNS Client DNS Client 的屬性的屬性”窗口窗口. .啟動(dòng)類型項(xiàng)啟動(dòng)類型項(xiàng): :選擇選擇“自動(dòng)自動(dòng)”服務(wù)狀態(tài)項(xiàng)服務(wù)狀態(tài)項(xiàng)：選：選 - 。在服務(wù)選項(xiàng)中選擇關(guān)閉掉一些。在服務(wù)選項(xiàng)中選擇關(guān)閉掉一些沒使用的服務(wù)，如沒使用的服務(wù)，如FTPFTP服務(wù)、服務(wù)、DNSDNS服務(wù)、服務(wù)、IIS AdminIIS Admin服務(wù)等，對(duì)應(yīng)服務(wù)等，對(duì)應(yīng)的端

24、口也停用。的端口也停用。4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)案例案例 關(guān)閉關(guān)閉DNS端口服務(wù)端口服務(wù)n 方式二：方式二：只開放允許端口只開放允許端口. .可用系統(tǒng)的可用系統(tǒng)的“TCP/IPTCP/IP篩選篩選”功能功能實(shí)實(shí)現(xiàn)現(xiàn), ,設(shè)置時(shí)設(shè)置時(shí)只允許只允許系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口. . (2) (2) 屏蔽出現(xiàn)掃描癥狀的端口屏蔽出現(xiàn)掃描癥狀的端口 檢查各端口，有端口掃描癥狀時(shí)，立即屏蔽該端口。檢查各端口，有端口掃描癥狀時(shí)，立即屏蔽該端口。n 4.3.2 4.3.2 網(wǎng)絡(luò)監(jiān)聽攻防網(wǎng)絡(luò)監(jiān)聽攻防n 1. 1. 網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽n 網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是指通

25、過某種手段監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流以及網(wǎng)絡(luò)上傳是指通過某種手段監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流以及網(wǎng)絡(luò)上傳輸信息的行為。網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式。輸信息的行為。網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式。n 2 2網(wǎng)絡(luò)監(jiān)聽的檢測(cè)網(wǎng)絡(luò)監(jiān)聽的檢測(cè)n SnifferSniffer主要功能主要功能：n 1 1）監(jiān)聽計(jì)算機(jī)在網(wǎng)絡(luò)上所產(chǎn)生的多種信息；）監(jiān)聽計(jì)算機(jī)在網(wǎng)絡(luò)上所產(chǎn)生的多種信息；n 2 2）監(jiān)聽計(jì)算機(jī)程序在網(wǎng)絡(luò)上發(fā)送和接收的信息，包括用戶的賬號(hào)）監(jiān)聽計(jì)算機(jī)程序在網(wǎng)絡(luò)上發(fā)送和接收的信息，包括用戶的賬號(hào)、密碼和機(jī)密數(shù)據(jù)資料等。這是一種常用的收集有用數(shù)據(jù)的方法。、密碼和機(jī)密數(shù)據(jù)資料等。這是一種常用的收集有用數(shù)據(jù)的方法。n 3 3

26、）在以太網(wǎng)中，）在以太網(wǎng)中，SnifferSniffer將系統(tǒng)的網(wǎng)絡(luò)接口設(shè)定為混雜模式，可將系統(tǒng)的網(wǎng)絡(luò)接口設(shè)定為混雜模式，可監(jiān)聽到所有流經(jīng)同一以太網(wǎng)網(wǎng)段的數(shù)據(jù)包，而且不管其接受者或發(fā)送監(jiān)聽到所有流經(jīng)同一以太網(wǎng)網(wǎng)段的數(shù)據(jù)包，而且不管其接受者或發(fā)送者是否運(yùn)行者是否運(yùn)行SnifferSniffer的主機(jī)。的主機(jī)。n 預(yù)防網(wǎng)絡(luò)監(jiān)聽所采用方法有很多種。預(yù)防網(wǎng)絡(luò)監(jiān)聽所采用方法有很多種。 4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)n 4.3.3 4.3.3 密碼破解的攻防密碼破解的攻防n 1. 1. 密碼破解攻擊的方法密碼破解攻擊的方法 1 1）通過）通過網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽非法得到用戶非法得到用戶口令口令

27、2 2）利用）利用WebWeb頁面頁面欺騙欺騙 3 3）強(qiáng)行強(qiáng)行破解破解用戶口令用戶口令 4 4）密碼密碼分析分析的攻的攻 5) 5) 放置放置木馬木馬程序程序 4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)n 2. 2. 密碼破解防范對(duì)策密碼破解防范對(duì)策 通常通常保持密碼安全保持密碼安全應(yīng)注意的應(yīng)注意的要點(diǎn)：要點(diǎn)： 1) 1) 不要不要將密碼將密碼寫寫下來，以免遺失；下來，以免遺失； 2) 2) 不要不要將密碼將密碼保存保存在電腦文件中；在電腦文件中； 3) 3) 不要不要選取選取顯而易見的信息做密碼；顯而易見的信息做密碼； 4) 4) 不要不要讓他人知道讓他人知道； 5) 5) 不要不要在不

28、同系統(tǒng)中在不同系統(tǒng)中使用使用同一密碼；同一密碼；n 4.3.4 4.3.4 特洛伊木馬的攻防特洛伊木馬的攻防n 1 1特洛伊木馬概述特洛伊木馬概述 特洛伊木馬特洛伊木馬（Trojan horseTrojan horse）簡稱簡稱“木馬木馬”。黑客。黑客借用借用古古希臘神話希臘神話木馬屠城記木馬屠城記其名，其名，將將隱藏在隱藏在正常程序中正常程序中的一段惡的一段惡意代碼意代碼稱作稱作特洛伊木馬特洛伊木馬。 木馬系統(tǒng)木馬系統(tǒng)組成組成：由硬件部分、軟件部分和連接控制部分由硬件部分、軟件部分和連接控制部分組組成成。一般都。一般都包括客戶端和服務(wù)端包括客戶端和服務(wù)端兩個(gè)程序兩個(gè)程序，客戶端客戶端用于遠(yuǎn)程

29、控用于遠(yuǎn)程控制植入木馬，制植入木馬，服務(wù)器端服務(wù)器端即是木馬程序。即是木馬程序。 木馬特點(diǎn)：木馬特點(diǎn)：偽裝成偽裝成一個(gè)實(shí)用工具、游戲等一個(gè)實(shí)用工具、游戲等, ,誘使誘使用戶下載并用戶下載并將其將其安裝安裝在在PCPC或服務(wù)器上或服務(wù)器上; ;侵入侵入用戶電腦并進(jìn)行破壞用戶電腦并進(jìn)行破壞; ;一般木馬一般木馬執(zhí)行文件較小執(zhí)行文件較小, ,若將木馬捆綁到其他正常文件上很難發(fā)現(xiàn)若將木馬捆綁到其他正常文件上很難發(fā)現(xiàn); ;木馬木馬可與最新病毒、漏洞工具一起使用可與最新病毒、漏洞工具一起使用, ,幾乎可幾乎可躲過躲過殺毒軟件殺毒軟件. . 4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)4.3.4 4.3.4

30、 特洛伊木馬攻防特洛伊木馬攻防n 2 2特洛伊木馬攻擊過程特洛伊木馬攻擊過程n n 利用微軟利用微軟ScriptsScripts腳本漏洞對(duì)瀏覽者硬盤格式化的腳本漏洞對(duì)瀏覽者硬盤格式化的HTMLHTML頁面頁面. .若攻擊者將木馬執(zhí)行文件下載到被攻擊主機(jī)的一個(gè)可執(zhí)行若攻擊者將木馬執(zhí)行文件下載到被攻擊主機(jī)的一個(gè)可執(zhí)行WWWWWW目錄夾在目錄夾在, ,則可通過編制則可通過編制CGICGI程序在攻擊主機(jī)上執(zhí)行木馬目錄。程序在攻擊主機(jī)上執(zhí)行木馬目錄。 木馬攻擊的基本過程木馬攻擊的基本過程分為分為6 6個(gè)步驟：個(gè)步驟： 4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)案例案例4-54-54.3.4 4.3.4

31、 特洛伊木馬攻防特洛伊木馬攻防 3. 3. 木馬的防范對(duì)策木馬的防范對(duì)策 必須必須，在，在打開打開或或下載下載文件之前，一定文件之前，一定要確認(rèn)要確認(rèn)文件的文件的來源來源是否可靠；是否可靠；閱讀閱讀readme.txtreadme.txt，并，并注意注意readme.exereadme.exe；使用使用殺毒軟件；殺毒軟件；發(fā)現(xiàn)有發(fā)現(xiàn)有不正?，F(xiàn)象不正?，F(xiàn)象立即掛斷立即掛斷；監(jiān)測(cè)監(jiān)測(cè)系統(tǒng)文件系統(tǒng)文件和和注冊(cè)表注冊(cè)表的變化；備份的變化；備份文件文件和和注冊(cè)表注冊(cè)表。 不要不要輕易運(yùn)行輕易運(yùn)行來歷不明軟件或從網(wǎng)上下載的軟件來歷不明軟件或從網(wǎng)上下載的軟件（即使通過反病毒軟件的檢查）；（即使通過反病毒軟件

32、的檢查）；不要不要輕易相信輕易相信熟人發(fā)來的熟人發(fā)來的E-E-MailMail不會(huì)有黑客程序不會(huì)有黑客程序; ;不要不要在聊天室內(nèi)在聊天室內(nèi)公開公開自己的自己的E-MailE-Mail地址地址, ,對(duì)來歷不明的對(duì)來歷不明的E-MailE-Mail應(yīng)立即清除；應(yīng)立即清除；不要不要隨便下載隨便下載軟件軟件, ,特別是特別是不可靠的不可靠的FTPFTP站點(diǎn)；站點(diǎn)；不要不要將將重要密碼和資料重要密碼和資料存放存放在上網(wǎng)的計(jì)算在上網(wǎng)的計(jì)算機(jī)中機(jī)中( (或總保持連網(wǎng)或總保持連網(wǎng)) )，以免被破壞或竊取。，以免被破壞或竊取。4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)4.3.5 4.3.5 緩沖區(qū)溢出的攻防

33、緩沖區(qū)溢出的攻防n 1. 1. 緩沖區(qū)溢出緩沖區(qū)溢出 緩沖區(qū)溢出緩沖區(qū)溢出是是指當(dāng)指當(dāng)計(jì)算機(jī)計(jì)算機(jī)向向緩沖區(qū)內(nèi)緩沖區(qū)內(nèi)填充填充數(shù)據(jù)時(shí)，數(shù)據(jù)時(shí)，超過了超過了緩沖區(qū)本身的容量，緩沖區(qū)本身的容量，溢出溢出的數(shù)據(jù)的數(shù)據(jù)覆蓋在覆蓋在合法數(shù)據(jù)上。合法數(shù)據(jù)上。 緩沖區(qū)溢出緩沖區(qū)溢出的的原理原理. .是由于是由于字符串處理函數(shù)字符串處理函數(shù)(gets,strcpy(gets,strcpy等等) )沒有對(duì)數(shù)組的沒有對(duì)數(shù)組的越界監(jiān)視和限制越界監(jiān)視和限制, ,結(jié)果結(jié)果覆蓋了覆蓋了老堆棧數(shù)據(jù)老堆棧數(shù)據(jù). .n 2. 2. 緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊 n 3 3緩沖區(qū)溢出攻擊的防范方法緩沖區(qū)溢出攻擊的防范方法 1 1

34、） 編寫編寫程序程序中應(yīng)時(shí)刻注意的問題。中應(yīng)時(shí)刻注意的問題。 2 2） 改進(jìn)改進(jìn)編譯器編譯器。 3 3） 利用人工智能的方法利用人工智能的方法檢查檢查輸入字段輸入字段。 4 4） 程序程序指針指針完整性完整性檢查檢查。 4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)n 4.3.6 4.3.6 拒絕服務(wù)的攻防拒絕服務(wù)的攻防n 1. 1. 拒絕服務(wù)攻擊拒絕服務(wù)攻擊 拒絕服務(wù)拒絕服務(wù)是指是指通過通過反復(fù)反復(fù)向向某個(gè)某個(gè)WebWeb站點(diǎn)的設(shè)備站點(diǎn)的設(shè)備發(fā)送發(fā)送過多的信息過多的信息請(qǐng)請(qǐng)求求, ,堵塞堵塞該站點(diǎn)上的系統(tǒng)該站點(diǎn)上的系統(tǒng), ,導(dǎo)致導(dǎo)致無法完成無法完成應(yīng)有網(wǎng)絡(luò)服務(wù)應(yīng)有網(wǎng)絡(luò)服務(wù). . 拒絕服務(wù)拒絕服

35、務(wù)按入侵方式按入侵方式可分可分：資源消耗型、配置修改型、物理破壞資源消耗型、配置修改型、物理破壞型型以及以及服務(wù)利用型服務(wù)利用型。 拒絕服務(wù)攻擊拒絕服務(wù)攻擊(Denial of Service,(Denial of Service,DoSDoS),),是指是指黑客黑客利用利用合理的服合理的服務(wù)請(qǐng)求務(wù)請(qǐng)求來占用來占用過多的服務(wù)資源過多的服務(wù)資源, ,使使合法用戶合法用戶無法得到服務(wù)無法得到服務(wù)的響應(yīng)的響應(yīng), ,直至直至癱瘓癱瘓而停止而停止提供提供正常的網(wǎng)絡(luò)服務(wù)的正常的網(wǎng)絡(luò)服務(wù)的攻擊方式攻擊方式. . 中國網(wǎng)絡(luò)系統(tǒng)遭到最大規(guī)模攻擊。中國網(wǎng)絡(luò)系統(tǒng)遭到最大規(guī)模攻擊。 2013 2013年年8 8月月2

36、626日中國日中國.CN.CN頂級(jí)域名系統(tǒng)遭受大頂級(jí)域名系統(tǒng)遭受大 規(guī)模拒絕服務(wù)攻擊規(guī)模拒絕服務(wù)攻擊, ,利用僵尸網(wǎng)絡(luò)向利用僵尸網(wǎng)絡(luò)向.CN.CN頂級(jí)域頂級(jí)域 名系統(tǒng)持續(xù)發(fā)起大量針對(duì)私服網(wǎng)站域名的查詢名系統(tǒng)持續(xù)發(fā)起大量針對(duì)私服網(wǎng)站域名的查詢 請(qǐng)求請(qǐng)求, ,峰值流量較平常激增近峰值流量較平常激增近10001000倍倍, ,造成造成.CN.CN 頂級(jí)域名系統(tǒng)互聯(lián)網(wǎng)出口帶寬短期內(nèi)嚴(yán)重?fù)砣?。頂?jí)域名系統(tǒng)互聯(lián)網(wǎng)出口帶寬短期內(nèi)嚴(yán)重?fù)砣?4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)圖圖4-4 DDoS的攻擊原理的攻擊原理 案例案例4-64-6n 分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊(Distributed

37、 Denial of Service,DDoS),(Distributed Denial of Service,DDoS),是在傳統(tǒng)的是在傳統(tǒng)的DoSDoS攻擊攻擊基礎(chǔ)之上基礎(chǔ)之上產(chǎn)生的產(chǎn)生的一類一類攻擊方式攻擊方式, ,是指是指借助于借助于客戶客戶/ /服務(wù)器技術(shù)服務(wù)器技術(shù), ,將將多個(gè)計(jì)算機(jī)多個(gè)計(jì)算機(jī)聯(lián)合起來作為聯(lián)合起來作為攻擊平臺(tái)攻擊平臺(tái), ,對(duì)對(duì)一個(gè)一個(gè)或多個(gè)或多個(gè)目標(biāo)目標(biāo)發(fā)動(dòng)發(fā)動(dòng)DoSDoS攻擊攻擊。 DDoSDDoS攻擊攻擊的的類型類型. .帶寬型攻擊和應(yīng)用型攻擊。帶寬型攻擊和應(yīng)用型攻擊。 DDoSDDoS攻擊攻擊的的方式方式. .通過使通過使網(wǎng)絡(luò)網(wǎng)絡(luò)過載過載干擾干擾甚至甚至阻斷阻

38、斷正常的網(wǎng)絡(luò)正常的網(wǎng)絡(luò)通訊通訊；通過通過向服務(wù)器向服務(wù)器提交提交大量請(qǐng)求，大量請(qǐng)求，使使服務(wù)器服務(wù)器超負(fù)荷超負(fù)荷；阻斷阻斷某某一用戶一用戶訪問訪問服務(wù)器；服務(wù)器；阻斷阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的某服務(wù)與特定系統(tǒng)或個(gè)人的通訊通訊. .n 2. 2. 常見的拒絕服務(wù)攻擊常見的拒絕服務(wù)攻擊 1）Flooding攻擊。攻擊。 2）SYN flood攻擊。攻擊。 3）LAND attack攻擊。攻擊。 4）ICMP floods 是通過向設(shè)置不當(dāng)?shù)穆酚善魇峭ㄟ^向設(shè)置不當(dāng)?shù)穆酚善?發(fā)送廣播信息占用系統(tǒng)資源的做法。發(fā)送廣播信息占用系統(tǒng)資源的做法。 5）Application level floods 主要是

39、針對(duì)應(yīng)用軟件層。主要是針對(duì)應(yīng)用軟件層。4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)圖圖4-5 SYN flood攻擊示意圖攻擊示意圖4.3.6 4.3.6 拒絕服的攻防拒絕服的攻防n 3. 3. 拒絕服務(wù)攻擊檢測(cè)與防范拒絕服務(wù)攻擊檢測(cè)與防范 檢測(cè)方法檢測(cè)方法：根據(jù)異常情況：根據(jù)異常情況分析分析和和使用使用DDoSDDoS檢測(cè)工具檢測(cè)工具 防范策略防范策略： 1) 1)盡早發(fā)現(xiàn)盡早發(fā)現(xiàn)系統(tǒng)存在的攻擊系統(tǒng)存在的攻擊漏洞漏洞，及時(shí)，及時(shí)安裝安裝系統(tǒng)補(bǔ)丁程序；系統(tǒng)補(bǔ)丁程序； 2) 2)在網(wǎng)絡(luò)管理方面，要在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查經(jīng)常檢查系統(tǒng)的系統(tǒng)的設(shè)置環(huán)境設(shè)置環(huán)境，禁止禁止那些不必那些不必 要的網(wǎng)絡(luò)服

40、務(wù)；要的網(wǎng)絡(luò)服務(wù)； 3) 3)利用網(wǎng)絡(luò)安全利用網(wǎng)絡(luò)安全設(shè)備設(shè)備（如防火墻）等來（如防火墻）等來加固加固網(wǎng)絡(luò)的安全性；網(wǎng)絡(luò)的安全性； 4) 4)比較好的防御措施是與網(wǎng)絡(luò)服務(wù)提供商比較好的防御措施是與網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作協(xié)調(diào)工作，幫助用戶實(shí)現(xiàn)，幫助用戶實(shí)現(xiàn) 路由路由的的訪問控制訪問控制和對(duì)和對(duì)帶寬帶寬總量的總量的限制限制； 5) 5)當(dāng)發(fā)現(xiàn)主機(jī)正在遭受當(dāng)發(fā)現(xiàn)主機(jī)正在遭受DDoSDDoS攻擊時(shí)，應(yīng)當(dāng)攻擊時(shí)，應(yīng)當(dāng)啟動(dòng)啟動(dòng)應(yīng)付策略應(yīng)付策略，盡快，盡快追蹤追蹤 攻擊包，并及時(shí)攻擊包，并及時(shí)聯(lián)系聯(lián)系ISPISP和有關(guān)應(yīng)急組織，和有關(guān)應(yīng)急組織，分析分析受影響的系統(tǒng)，受影響的系統(tǒng)， 確定確定涉及的其他節(jié)點(diǎn)，從

41、而涉及的其他節(jié)點(diǎn)，從而阻擋阻擋已知攻擊節(jié)點(diǎn)的流量；已知攻擊節(jié)點(diǎn)的流量； 6) 6)對(duì)于潛在的對(duì)于潛在的DDoSDDoS攻擊，應(yīng)當(dāng)攻擊，應(yīng)當(dāng)及時(shí)清除及時(shí)清除，以免留下后患。，以免留下后患。4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)4.3.7 4.3.7 其他攻防技術(shù)其他攻防技術(shù)n 1.WWW1.WWW的欺騙技術(shù)的欺騙技術(shù) WWWWWW的欺騙的欺騙是是指指黑客黑客篡改篡改訪問站點(diǎn)頁面訪問站點(diǎn)頁面或或?qū)⒂脩粢脩粢獮g覽的網(wǎng)頁瀏覽的網(wǎng)頁URLURL改寫為改寫為指向指向黑客的黑客的服務(wù)器服務(wù)器。 “ “網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚”（PhishingPhishing）是指）是指利用利用欺騙性很強(qiáng)、欺騙性很強(qiáng)、偽

42、造偽造的的WebWeb站點(diǎn)來進(jìn)行詐騙活動(dòng)站點(diǎn)來進(jìn)行詐騙活動(dòng), ,目的目的在于在于釣取釣取用戶的賬戶資料用戶的賬戶資料, ,假冒假冒受害者受害者進(jìn)行進(jìn)行欺詐性金融交易欺詐性金融交易, ,從而從而獲得獲得經(jīng)濟(jì)利益經(jīng)濟(jì)利益. .可被可被用作用作網(wǎng)絡(luò)釣魚的攻網(wǎng)絡(luò)釣魚的攻擊技術(shù)擊技術(shù)有：有：URLURL編碼結(jié)合釣魚技術(shù)，編碼結(jié)合釣魚技術(shù)，WebWeb漏洞結(jié)合釣魚技術(shù)漏洞結(jié)合釣魚技術(shù), ,偽造偽造EmailEmail地址結(jié)合釣魚技術(shù)，瀏覽器漏洞結(jié)合釣魚技術(shù)。地址結(jié)合釣魚技術(shù)，瀏覽器漏洞結(jié)合釣魚技術(shù)。 防范攻擊防范攻擊可以可以分為分為兩個(gè)方面兩個(gè)方面：其一其一對(duì)釣魚攻擊對(duì)釣魚攻擊利用利用的資源的資源進(jìn)行進(jìn)行

43、限制限制。如。如WebWeb漏洞是漏洞是WebWeb服務(wù)提供商可直接修補(bǔ)；郵件服務(wù)商可使服務(wù)提供商可直接修補(bǔ)；郵件服務(wù)商可使用域名反向解析郵件發(fā)送服務(wù)，用域名反向解析郵件發(fā)送服務(wù)，提醒提醒用戶是否收到匿名郵件用戶是否收到匿名郵件; ;其二其二及時(shí)修補(bǔ)及時(shí)修補(bǔ)漏洞漏洞. .如瀏覽器漏洞如瀏覽器漏洞, ,須打上補(bǔ)丁須打上補(bǔ)丁. .4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)4.3.7 4.3.7 其他攻防技術(shù)其他攻防技術(shù)n 2. 2. 電子郵件攻擊電子郵件攻擊 1 1）電子郵件攻擊方式電子郵件攻擊方式 電子郵件欺騙電子郵件欺騙是是攻擊方式之一，攻擊方式之一，攻擊者攻擊者佯稱佯稱自己為系統(tǒng)管理自己為

44、系統(tǒng)管理員，員，給給用戶用戶發(fā)送發(fā)送郵件要求用戶修改口令，或在貌似正常的附件中郵件要求用戶修改口令，或在貌似正常的附件中加載加載病毒或其他木馬程序病毒或其他木馬程序, ,這類欺騙只要用戶提高警惕這類欺騙只要用戶提高警惕, ,一般危害一般危害性不是太大。性不是太大。 2 2）防范）防范電子郵件攻擊的方法電子郵件攻擊的方法 解除解除電子郵件炸彈。電子郵件炸彈。 拒收拒收某用戶信件方法。某用戶信件方法。n 3 3利用缺省帳號(hào)進(jìn)行攻擊利用缺省帳號(hào)進(jìn)行攻擊n 黑客會(huì)利用操作系統(tǒng)提供的缺省賬戶和密碼進(jìn)行攻擊，例如許多黑客會(huì)利用操作系統(tǒng)提供的缺省賬戶和密碼進(jìn)行攻擊，例如許多UNIXUNIX主機(jī)都有主機(jī)都有F

45、TPFTP和和GuestGuest等缺省賬戶（其密碼和賬戶名同名），有的甚等缺省賬戶（其密碼和賬戶名同名），有的甚至沒有口令。至沒有口令。 4.3 常用的黑客攻防技術(shù)常用的黑客攻防技術(shù)4.4.1 4.4.1 網(wǎng)絡(luò)攻擊的防范策略網(wǎng)絡(luò)攻擊的防范策略 在在主觀上主觀上重視重視，客觀上客觀上積極積極采取采取措施措施。制定制定規(guī)章制度規(guī)章制度和和管理制度管理制度，普及普及網(wǎng)絡(luò)網(wǎng)絡(luò)安全教育安全教育，使用戶需要，使用戶需要掌握掌握網(wǎng)絡(luò)網(wǎng)絡(luò)安全知安全知識(shí)識(shí)和有關(guān)的和有關(guān)的安全策略安全策略。在管理上在管理上應(yīng)當(dāng)應(yīng)當(dāng)明確明確安全對(duì)象，安全對(duì)象，建立建立強(qiáng)強(qiáng)有力的安全保障體系，有力的安全保障體系，按照按照安全等級(jí)保

46、護(hù)條例對(duì)網(wǎng)絡(luò)實(shí)施保安全等級(jí)保護(hù)條例對(duì)網(wǎng)絡(luò)實(shí)施保護(hù)與監(jiān)督。認(rèn)真護(hù)與監(jiān)督。認(rèn)真制定制定有針對(duì)性的有針對(duì)性的防攻措施防攻措施，采用采用科學(xué)的方法科學(xué)的方法和行之有效的和行之有效的技術(shù)手段技術(shù)手段，有的放矢有的放矢，在網(wǎng)絡(luò)中，在網(wǎng)絡(luò)中層層層層設(shè)防設(shè)防，使，使每一層都每一層都成為成為一道一道關(guān)卡關(guān)卡, ,從而讓攻擊者無隙可鉆、無計(jì)可使從而讓攻擊者無隙可鉆、無計(jì)可使. .在技術(shù)上在技術(shù)上要注重要注重研發(fā)研發(fā)新方法新方法，同時(shí)還必須，同時(shí)還必須做到做到未雨稠繆未雨稠繆，預(yù)預(yù)防為主防為主，將重要的，將重要的數(shù)據(jù)數(shù)據(jù)備份備份（如主機(jī)系統(tǒng)日志）、（如主機(jī)系統(tǒng)日志）、關(guān)閉關(guān)閉不用不用的主機(jī)服務(wù)的主機(jī)服務(wù)端口端口、終

47、止終止可疑進(jìn)程和可疑進(jìn)程和避免避免使用使用危險(xiǎn)進(jìn)程、危險(xiǎn)進(jìn)程、查詢查詢防火墻防火墻日志日志詳細(xì)記錄、詳細(xì)記錄、修改修改防火墻防火墻安全策略安全策略等。等。 4.4 網(wǎng)絡(luò)攻擊的防范措施網(wǎng)絡(luò)攻擊的防范措施4.4.2 4.4.2 網(wǎng)絡(luò)攻擊的防范措施網(wǎng)絡(luò)攻擊的防范措施1 1）加強(qiáng)網(wǎng)絡(luò)安全防范法律法規(guī)等宣傳和教育，）加強(qiáng)網(wǎng)絡(luò)安全防范法律法規(guī)等宣傳和教育，提高提高安全安全防范意識(shí)防范意識(shí)。2 2）加固網(wǎng)絡(luò)系統(tǒng)，及時(shí)）加固網(wǎng)絡(luò)系統(tǒng)，及時(shí)下載下載、安裝安裝系統(tǒng)系統(tǒng)補(bǔ)丁補(bǔ)丁程序。程序。3 3）盡量）盡量避免避免從從InternetInternet下載下載不知名的軟件、游戲程序。不知名的軟件、游戲程序。4 4）不

48、要隨意不要隨意打開打開來歷不明的電子郵件及文件，來歷不明的電子郵件及文件，不要隨便不要隨便運(yùn)行運(yùn)行不熟悉的人不熟悉的人給用戶的程序。給用戶的程序。5 5）不隨便不隨便運(yùn)行運(yùn)行黑客程序，不少這類程序運(yùn)行時(shí)會(huì)發(fā)出用戶的個(gè)人信息。黑客程序，不少這類程序運(yùn)行時(shí)會(huì)發(fā)出用戶的個(gè)人信息。6 6）在支持）在支持HTMLHTML的的BBSBBS上，如上，如發(fā)現(xiàn)提交發(fā)現(xiàn)提交警告警告，先看源地址及代碼，可能是，先看源地址及代碼，可能是騙取密碼的陷阱騙取密碼的陷阱7 7）設(shè)置設(shè)置安全密碼安全密碼。使用字母數(shù)字混排，常用的密碼設(shè)置不同，重要密碼。使用字母數(shù)字混排，常用的密碼設(shè)置不同，重要密碼最好經(jīng)常更換。最好經(jīng)常更換。

49、8 8）使用使用防病毒防病毒/ /黑客等防火墻黑客等防火墻軟件軟件, ,以阻檔外部網(wǎng)絡(luò)侵入。以阻檔外部網(wǎng)絡(luò)侵入。 9 9）隱藏隱藏自已的自已的IPIP地址地址。 10) 10) 切實(shí)做好切實(shí)做好端口防范端口防范. .安裝端口監(jiān)視程序安裝端口監(jiān)視程序, ,關(guān)閉不用端口。關(guān)閉不用端口。11) 11) 加強(qiáng)加強(qiáng)IEIE瀏覽器瀏覽器對(duì)網(wǎng)頁的安全對(duì)網(wǎng)頁的安全防護(hù)防護(hù)。12) 12) 上網(wǎng)前上網(wǎng)前備份備份注冊(cè)表注冊(cè)表。1313）加強(qiáng)加強(qiáng)管理管理。 4.4 網(wǎng)絡(luò)攻擊的防范措施網(wǎng)絡(luò)攻擊的防范措施（1）為什么要防范黑客攻擊？如何防范黑客攻擊？）為什么要防范黑客攻擊？如何防范黑客攻擊？（2）簡述網(wǎng)絡(luò)安全防范攻擊的

50、基本措施有哪些？）簡述網(wǎng)絡(luò)安全防范攻擊的基本措施有哪些？（3）說出幾種通過對(duì)）說出幾種通過對(duì)IE屬性的設(shè)置來提高屬性的設(shè)置來提高IE訪問網(wǎng)頁的安訪問網(wǎng)頁的安全性的具體措施？全性的具體措施？4.5.1 4.5.1 入侵檢測(cè)系統(tǒng)的概念入侵檢測(cè)系統(tǒng)的概念n 1. 1. 入侵和入侵檢測(cè)的概念入侵和入侵檢測(cè)的概念 “入侵入侵”是一個(gè)廣義上的概念，是一個(gè)廣義上的概念，所謂所謂入侵入侵是指任何威脅和破是指任何威脅和破壞系統(tǒng)資源的壞系統(tǒng)資源的行為行為。實(shí)施入侵行為的。實(shí)施入侵行為的“人人”稱為稱為入侵者入侵者。攻擊攻擊是是入侵者入侵者進(jìn)行入侵進(jìn)行入侵所所采取采取的的技術(shù)手段和方法技術(shù)手段和方法。 入侵的整個(gè)過

51、程入侵的整個(gè)過程( (包括入侵準(zhǔn)備、進(jìn)攻、侵入包括入侵準(zhǔn)備、進(jìn)攻、侵入) )都都伴隨著攻擊伴隨著攻擊有時(shí)也把有時(shí)也把入侵者入侵者稱為稱為攻擊者攻擊者。n 入侵檢測(cè)入侵檢測(cè)（Intrusion DetectionIntrusion Detection，IDID）是指）是指通過對(duì)通過對(duì)行為、行為、安全日志、審計(jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上安全日志、審計(jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可獲得的可獲得的信息信息進(jìn)行操作進(jìn)行操作，檢檢測(cè)到對(duì)測(cè)到對(duì)系統(tǒng)的系統(tǒng)的闖入闖入或或企圖企圖的過程。的過程。 4.5 入侵檢測(cè)與防御系統(tǒng)概述入侵檢測(cè)與防御系統(tǒng)概述 美軍網(wǎng)絡(luò)戰(zhàn)子司令部多達(dá)美軍網(wǎng)絡(luò)戰(zhàn)子司令部多達(dá)541個(gè)個(gè),未來未來4年擴(kuò)編年擴(kuò)編4千人

52、千人.據(jù)日本據(jù)日本共同社共同社2013年年6月月28日?qǐng)?bào)道日?qǐng)?bào)道,美軍參謀長聯(lián)席會(huì)議主席登普西在華盛頓美軍參謀長聯(lián)席會(huì)議主席登普西在華盛頓發(fā)表演講時(shí)表示發(fā)表演講時(shí)表示,為強(qiáng)化美國對(duì)網(wǎng)絡(luò)攻擊的防御能力為強(qiáng)化美國對(duì)網(wǎng)絡(luò)攻擊的防御能力,計(jì)劃將目前約計(jì)劃將目前約900人規(guī)模的網(wǎng)絡(luò)戰(zhàn)司令部在今后人規(guī)模的網(wǎng)絡(luò)戰(zhàn)司令部在今后4年擴(kuò)編年擴(kuò)編4千人千人,為此將投入為此將投入230億美元。億美元。 案例案例4-84-84.5.1 4.5.1 入侵檢測(cè)系統(tǒng)的概念入侵檢測(cè)系統(tǒng)的概念n 2.2.入侵檢測(cè)系統(tǒng)的概念及原理入侵檢測(cè)系統(tǒng)的概念及原理 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)(Intrusion Detection Syste

53、m,IDS),是可對(duì)入侵是可對(duì)入侵自動(dòng)自動(dòng)進(jìn)行檢測(cè)進(jìn)行檢測(cè)、監(jiān)控監(jiān)控和和分析分析的軟件與硬件的的軟件與硬件的組合系統(tǒng)組合系統(tǒng), ,是一種是一種自動(dòng)監(jiān)測(cè)自動(dòng)監(jiān)測(cè)信信息系統(tǒng)內(nèi)外入侵的安全息系統(tǒng)內(nèi)外入侵的安全系統(tǒng)系統(tǒng)。IDSIDS通過通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)的若干關(guān)鍵點(diǎn)收集收集信息，并對(duì)其信息，并對(duì)其進(jìn)行分析進(jìn)行分析，從中，從中發(fā)現(xiàn)發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中網(wǎng)絡(luò)或系統(tǒng)中是否有是否有違反違反安全策略的安全策略的行為行為和和遭到襲擊遭到襲擊的的跡象跡象的的一種安全技術(shù)一種安全技術(shù)。 1 1）入侵檢測(cè)系統(tǒng)產(chǎn)生與發(fā)展。）入侵檢測(cè)系統(tǒng)產(chǎn)生與發(fā)展。 2 2）DenningDen

54、ning模型。模型。19861986年，喬治敦大學(xué)的年，喬治敦大學(xué)的Dorothy DenningDorothy Denning和和 SRI/CSLSRI/CSL的的Peter Peter NeumannNeumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型入侵檢測(cè)專家系統(tǒng)入侵檢測(cè)專家系統(tǒng)IDES(Intrusion-IDES(Intrusion-detection expert systemdetection expert system），也稱），也稱DenningDenning模型。模型。 圖圖4-6 入侵檢測(cè)系統(tǒng)原理入侵檢測(cè)系統(tǒng)原理 4.5 入侵檢測(cè)與防御系統(tǒng)概述

55、入侵檢測(cè)與防御系統(tǒng)概述4.5.2 4.5.2 入侵檢測(cè)系統(tǒng)的功能及分類入侵檢測(cè)系統(tǒng)的功能及分類n 1.IDS1.IDS基本結(jié)構(gòu)基本結(jié)構(gòu) IDS IDS主要由主要由事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫、響應(yīng)單元等事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫、響應(yīng)單元等構(gòu)成構(gòu)成. .n 2.IDS2.IDS的主要功能的主要功能 1) 1) 對(duì)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)流量流量的的跟蹤與分析跟蹤與分析。 2 2）對(duì)已知）對(duì)已知攻擊特征攻擊特征的的識(shí)別識(shí)別。 3 3）對(duì)）對(duì)異常行為異常行為的的分析、統(tǒng)計(jì)與響應(yīng)分析、統(tǒng)計(jì)與響應(yīng)。 4 4）特征庫特征庫的的在線升級(jí)在線升級(jí)。 5 5）數(shù)據(jù)文件數(shù)據(jù)文件的的完整性檢驗(yàn)完整性檢驗(yàn)。 6 6

56、）自定義特征自定義特征的的響應(yīng)響應(yīng)。 7 7）系統(tǒng)）系統(tǒng)漏洞漏洞的的預(yù)報(bào)警預(yù)報(bào)警功能。功能。n 3.IDS3.IDS的主要分類的主要分類 1 1）按照）按照體系結(jié)構(gòu)體系結(jié)構(gòu)分為：分為：集中式和分布式。集中式和分布式。 2 2）按照）按照工作方式工作方式分為：分為：離線檢測(cè)和在線檢測(cè)。離線檢測(cè)和在線檢測(cè)。 3 3）按照所用）按照所用技術(shù)技術(shù)分為：分為：特征檢測(cè)和異常檢測(cè)。特征檢測(cè)和異常檢測(cè)。 4 4）按照）按照檢測(cè)對(duì)象檢測(cè)對(duì)象( (數(shù)據(jù)來源數(shù)據(jù)來源) )分分: :基于主機(jī)、基于網(wǎng)絡(luò)基于主機(jī)、基于網(wǎng)絡(luò)和和分布式分布式( (混合型混合型) ) 4.5 入侵檢測(cè)與防御系統(tǒng)概述入侵檢測(cè)與防御系統(tǒng)概述4.

57、5.3 4.5.3 常用的入侵檢測(cè)方法常用的入侵檢測(cè)方法n 1. 1. 特征檢測(cè)方法特征檢測(cè)方法 特征檢測(cè)特征檢測(cè)指對(duì)已知的攻擊或入侵的指對(duì)已知的攻擊或入侵的特征方式特征方式作出作出確定確定性的性的描述描述，形成形成相應(yīng)的相應(yīng)的事件模式事件模式的檢測(cè)方法。當(dāng)被審計(jì)的的檢測(cè)方法。當(dāng)被審計(jì)的事件與已知的入侵事件模式事件與已知的入侵事件模式相匹配相匹配時(shí)，即時(shí)，即報(bào)警報(bào)警。n 2. 2. 異常檢測(cè)方法異常檢測(cè)方法 異常檢測(cè)異常檢測(cè)(Anomaly detection)(Anomaly detection)的的假設(shè)假設(shè)是入侵者是入侵者活動(dòng)異活動(dòng)異常常于正常主體的活動(dòng)。于正常主體的活動(dòng)。 常用的常用的入

58、侵檢測(cè)入侵檢測(cè)5 5種種統(tǒng)計(jì)模型統(tǒng)計(jì)模型： 1 1）操作模型。）操作模型。2 2）方差。）方差。 3 3）多元模型。）多元模型。4 4）馬爾柯夫過程模型。）馬爾柯夫過程模型。 5 5）時(shí)間序列分析。）時(shí)間序列分析。 4.5 入侵檢測(cè)與防御系統(tǒng)概述入侵檢測(cè)與防御系統(tǒng)概述4.5.4 4.5.4 入侵檢測(cè)系統(tǒng)與防御系統(tǒng)入侵檢測(cè)系統(tǒng)與防御系統(tǒng)n 1.1.入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述 (1) (1) 基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDSHIDS） HIDS HIDS是是以以系統(tǒng)日志、應(yīng)用程序日志等系統(tǒng)日志、應(yīng)用程序日志等作為作為數(shù)據(jù)源數(shù)據(jù)源，也可以，也可以通過通過其他手段（如監(jiān)督系

59、統(tǒng)調(diào)用）其他手段（如監(jiān)督系統(tǒng)調(diào)用）從從所在的主機(jī)收集信息所在的主機(jī)收集信息進(jìn)行進(jìn)行分析分析。HIDSHIDS一般是一般是保護(hù)保護(hù)所在的系統(tǒng)，經(jīng)常所在的系統(tǒng)，經(jīng)常運(yùn)行運(yùn)行在被監(jiān)測(cè)的系統(tǒng)在被監(jiān)測(cè)的系統(tǒng)上，上，監(jiān)測(cè)監(jiān)測(cè)系統(tǒng)上正在系統(tǒng)上正在運(yùn)行運(yùn)行的的進(jìn)程進(jìn)程是否合法。是否合法。 優(yōu)點(diǎn)優(yōu)點(diǎn)：對(duì)分析對(duì)分析“可能的攻擊行為可能的攻擊行為”有用。與有用。與NIDSNIDS相比通常能夠相比通常能夠提供提供更詳盡的相關(guān)信息更詳盡的相關(guān)信息, ,誤報(bào)率低誤報(bào)率低, ,系統(tǒng)的復(fù)雜性少。系統(tǒng)的復(fù)雜性少。 弱點(diǎn)：弱點(diǎn)：HIDSHIDS安裝在安裝在需要保護(hù)的需要保護(hù)的設(shè)備上設(shè)備上, ,會(huì)會(huì)降低降低應(yīng)用系統(tǒng)的效率應(yīng)用系統(tǒng)的

60、效率, ,也會(huì)也會(huì)帶來帶來一些額外的安全問題一些額外的安全問題. .另一問題是它另一問題是它依賴于依賴于服務(wù)器固服務(wù)器固有的日志與監(jiān)視能力有的日志與監(jiān)視能力, ,若服務(wù)器沒有配置日志功能若服務(wù)器沒有配置日志功能, ,則必須重新則必須重新配置配置, ,這將會(huì)給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。這將會(huì)給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。 4.5 入侵檢測(cè)與防御系統(tǒng)概述入侵檢測(cè)與防御系統(tǒng)概述 (2) (2) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDSNIDS） NIDSNIDS又稱又稱嗅探器嗅探器, ,通過通過在共享網(wǎng)段上在共享網(wǎng)段上對(duì)對(duì)通信數(shù)據(jù)的通信數(shù)據(jù)的偵聽偵聽采采集數(shù)據(jù)