黑客攻及防御技術(shù)課件

1、黑客攻及防御技術(shù)課件黑客攻及防御技術(shù)課件第五章 黑客攻擊及防御技術(shù)本章要點幾種常見攻擊的攻擊原理常見攻擊手段的防御方式第五章 黑客攻擊及防御技術(shù)本章要點第五章 黑客攻擊及防御技術(shù)5.1拒絕服務(wù)攻擊5.2惡意軟件5.3郵件攻擊5.4電子黑餌5.5非法入侵者5.6緩沖區(qū)溢出攻擊本章內(nèi)容5.7實驗第五章 黑客攻擊及防御技術(shù)5.1拒絕服務(wù)攻擊5.25.1 拒絕服務(wù)攻擊簡介 拒絕服務(wù)攻擊（DoS）是一種破壞性的攻擊方式，它主要針對網(wǎng)絡(luò)上的各種服務(wù)器和設(shè)備，其特征是使得攻擊目標(biāo)無法正常工作。 拒絕服務(wù)攻擊的類型帶寬消耗型: 耗盡攻擊目標(biāo)的帶寬資源系統(tǒng)資源消耗型：耗盡攻擊目標(biāo)的系統(tǒng)資源異常導(dǎo)致性：利用軟硬件

2、實現(xiàn)上的編程缺陷，來導(dǎo)致攻擊目標(biāo)出現(xiàn)異常，從而拒絕提供正常服務(wù) 5.1 拒絕服務(wù)攻擊簡介 拒絕服務(wù)攻擊（D5.1 拒絕服務(wù)攻擊實例Smurf第一步：攻擊者發(fā)送偽造的數(shù)據(jù)包到放大網(wǎng)絡(luò)。數(shù)據(jù)包的源地址為受害者的IP地址，目的地址為放大網(wǎng)絡(luò)的廣播地址。第二步：放大網(wǎng)絡(luò)中所有開啟了echo功能的主機會返回一個應(yīng)答給受害者，這時受害者就會被大量的響應(yīng)信息所淹沒。 5.1 拒絕服務(wù)攻擊實例Smurf第一步：攻擊者發(fā)5.1 Smurf攻擊防御禁止路由器轉(zhuǎn)發(fā)目標(biāo)地址為廣播地址的數(shù)據(jù)包 關(guān)閉主機的echo功能也可以降低放大網(wǎng)絡(luò)的放大能力 5.1 Smurf攻擊防御禁止路由器轉(zhuǎn)發(fā)目標(biāo)地址為廣播5.1 拒絕服務(wù)攻擊

3、實例SYN洪水（1）預(yù)備知識：TCP的三次握手過程第一步：客戶端發(fā)送一個SYN置位的包到服務(wù)器，告訴服務(wù)器它的初始序列號。第二步：服務(wù)器返回SYN/ACK包作為響應(yīng)。同時告訴客戶端它的初始序列號。第三步：客戶端返回ACK包作為應(yīng)答，完成三次握手過程。 5.1 拒絕服務(wù)攻擊實例SYN洪水（1）預(yù)備知識：5.1 拒絕服務(wù)攻擊實例SYN洪水（2） “SYN洪水攻擊”的攻擊過程攻擊者向目標(biāo)主機發(fā)送源地址并不存在的SYN報文，或者在收到對方發(fā)送的SYN/ACK報文時不返回ACK報文。目標(biāo)主機會等待客戶端的響應(yīng)，并在收不到響應(yīng)包的情況下進(jìn)行重發(fā)，直到超時為止。在這個等待的過程中，目標(biāo)主機還會維護之前為該連

4、接分配的資源。因此只要攻擊者在短時間內(nèi)發(fā)起大量的連接，就可以耗盡目標(biāo)主機上的連接資源，使得目標(biāo)主機無法提供正常的服務(wù)。 5.1 拒絕服務(wù)攻擊實例SYN洪水（2） 5.1 SYN洪水攻擊防御 通過判斷單位時間內(nèi)收到的SYN連接次數(shù)是否超過了系統(tǒng)的預(yù)設(shè)值，就能夠檢測出。當(dāng)接收到大量的SYN數(shù)據(jù)包時，可通知防火墻阻斷連接請求或丟棄這些數(shù)據(jù)包，以達(dá)到防御效果。 5.1 SYN洪水攻擊防御 通過判斷單位時間5.1 拒絕服務(wù)攻擊實例LANDLAND的攻擊過程1. 攻擊者發(fā)送偽造的SYN數(shù)據(jù)包給服務(wù)器，該數(shù)據(jù)包的源地址和目的地址都為服務(wù)器的IP地址2. 服務(wù)器針對該偽造的SYN數(shù)據(jù)包返回SYN/ACK包。由

5、于之前偽造的SYN包的源地址為服務(wù)器的IP地址，因此服務(wù)器會收到自己發(fā)送出的SYN/ACK包3.服務(wù)器發(fā)現(xiàn)該包的確認(rèn)號與期待的確認(rèn)號差別太大時，會將其丟棄，并重發(fā)之前的SYN/ACK包 4.該過程會一直循環(huán)，導(dǎo)致服務(wù)器性能大大降低 5.1 拒絕服務(wù)攻擊實例LANDLAND的攻擊過程5.1 LAND攻擊防御 LAND攻擊的檢測比較容易，只需簡單地判斷數(shù)據(jù)包的源地址和目的地址是否相同即可。對于這種攻擊，可通過適當(dāng)配置防火墻設(shè)置或修改路由器的過濾規(guī)則來防止。 5.1 LAND攻擊防御 LAND攻擊5.1 拒絕服務(wù)攻擊實例Teardrop針對早期未對異常分片進(jìn)行處理的Linux偏移量=0，長度=N偏移

6、量=K，長度=M（KN,MN-K ）分片1分片21. 把分片2的偏移量設(shè)為N，使其與分片1的末尾對齊 2. 計算分片2的末尾位置：用對齊前的偏移量加上分片2的數(shù)據(jù)長度，得到K+M3. 計算待拷貝數(shù)據(jù)的長度：用分片2的末尾位置減去對齊后第2個分片的偏移量，得到K+M-N 由于MN-K，計算得出的長度將是一個負(fù)數(shù)。在計算機中，負(fù)數(shù)是用反碼來表示，其結(jié)果是向內(nèi)核拷貝過多的數(shù)據(jù)，導(dǎo)致系統(tǒng)重啟或崩潰 5.1 拒絕服務(wù)攻擊實例Teardrop針對早期5.1 Teardrop攻擊防御 針對teardrop攻擊的特點，可對接收到的分片數(shù)據(jù)包進(jìn)行分析，通過計算數(shù)據(jù)包的片偏移量是否有誤來對其進(jìn)行檢測。由于tear

7、drop攻擊主要利用早期linux內(nèi)核中的缺陷，因此可通過安裝系統(tǒng)補丁來進(jìn)行防御。另外，還可以通過設(shè)置防火墻或路由器的過濾規(guī)則來丟棄此類病態(tài)的數(shù)據(jù)包。 5.1 Teardrop攻擊防御 針對te5.1 DDos攻擊 主從式的DDoS攻擊結(jié)構(gòu) 利用反彈服務(wù)器的DDoS攻擊結(jié)構(gòu) 5.1 DDos攻擊 主從式的DDoS攻5.1 拒絕服務(wù)攻擊防御方式加固操作系統(tǒng)：限制操作系統(tǒng)上運行的服務(wù)、及時部署操作系統(tǒng)與應(yīng)用程序補丁。 使用防火墻：防火墻位可對特定的數(shù)據(jù)包進(jìn)行阻擋。特別地，還可以使用針對DoS攻擊的過濾算法，例如 “隨機丟棄”和“SYN魔餅” 算法。配置邊界路由器：部分DoS和DDoS攻擊利用了IC

8、MP報文，因此可在邊界路由器上將ICMP報文過濾掉。 采用負(fù)載均衡技術(shù)：將關(guān)鍵業(yè)務(wù)分布到多臺服務(wù)器上，這樣即便其中一臺受到攻擊，其他服務(wù)器仍然可以繼續(xù)工作，以保證業(yè)務(wù)的連續(xù)性。5.1 拒絕服務(wù)攻擊防御方式加固操作系統(tǒng)：限制操作5.2 惡意軟件簡介 惡意軟件（malware）是攻擊者植入受害者系統(tǒng)的一段惡意代碼，它們使得攻擊者可以在受害者毫不知情的狀況下控制對方的系統(tǒng)、網(wǎng)絡(luò)以及數(shù)據(jù)。 惡意代碼有很多種形式，常見的有：計算機病毒、蠕蟲和特洛伊木馬。5.2 惡意軟件簡介 惡意軟件（malwa5.2 惡意軟件計算機病毒的定義和特性病毒的定義計算機病毒是一段程序，它能夠在計算機系統(tǒng)運行過程中，把自己精確

9、地或者有修改地拷貝到其他程序內(nèi)。 病毒的特性感染性、潛伏性、可觸發(fā)性、破壞性 5.2 惡意軟件計算機病毒的定義和特性病毒的定義5.2 惡意軟件計算機病毒的感染機制（1）感染對象1：引導(dǎo)扇區(qū)這類病毒用其自身的全部或者部分代碼代替正常的引導(dǎo)記錄，并將正常的引導(dǎo)記錄隱藏在磁盤的其他地方。 在染毒系統(tǒng)的引導(dǎo)過程中，由于病毒占據(jù)了引導(dǎo)程序的物理位置，因此控制權(quán)會從BIOS轉(zhuǎn)交到病毒程序處。待病毒程序執(zhí)行完畢后，它會將控制權(quán)交還給真正的引導(dǎo)區(qū)內(nèi)容，使得這個帶病毒的系統(tǒng)看似處于正常運行的狀態(tài)。此類病毒的例子有：“大麻”、“幽靈”、“磁盤殺手” 5.2 惡意軟件計算機病毒的感染機制（1）感染對5.2 惡意軟件

10、計算機病毒的感染機制（2）感染對象2：可執(zhí)行文件可執(zhí)行文件是病毒的首要感染對象，既包括普通的應(yīng)用程序，又包括操作系統(tǒng)中可獨立執(zhí)行的程序或程序模塊。 多種感染技術(shù)：伴隨式感染技術(shù)(如notepad)、覆蓋式感染技術(shù)、插入式感染技術(shù) 5.2 惡意軟件計算機病毒的感染機制（2）感染對5.2 惡意軟件計算機病毒的感染機制（3）感染對象3：數(shù)據(jù)文件雖然數(shù)據(jù)文件本身不能被執(zhí)行，但是某些應(yīng)用程序（比如Microsoft Office、AutoCAD等）能夠執(zhí)行嵌入在數(shù)據(jù)文件中的腳本。病毒的編寫者正是利用這種特性，將病毒代碼附著在數(shù)據(jù)文件中。例如：宏病毒5.2 惡意軟件計算機病毒的感染機制（3）感染對5.2

11、惡意軟件計算機病毒的傳播機制病毒只能在本機內(nèi)尋找感染對象。為了將自己傳播到其它主機，病毒必須借助于其他介質(zhì)?？梢苿哟疟P 電子郵件 下載共享目錄 5.2 惡意軟件計算機病毒的傳播機制病毒只能在本5.2 惡意軟件蠕蟲的定義蠕蟲是一段可自我復(fù)制的代碼，它通過網(wǎng)絡(luò)進(jìn)行傳播，且不需要人為的干預(yù)。一旦蠕蟲占領(lǐng)某臺計算機，一方面它會像病毒一樣在系統(tǒng)內(nèi)進(jìn)行破壞活動；另一方面，它會以這臺計算機為平臺，繼續(xù)檢測網(wǎng)絡(luò)上未被感染的計算機，然后將自身程序復(fù)制到其上。 5.2 惡意軟件蠕蟲的定義蠕蟲是一段可自我復(fù)制的5.2 惡意軟件蠕蟲與病毒的區(qū)別病 毒蠕 蟲存在形式寄生于其他對象中 以獨立程序的形式存在 傳染目標(biāo)本地文

12、件或本地磁盤 網(wǎng)絡(luò)中的主機 傳播途徑通過感染文件和可移動磁盤進(jìn)行傳播；或者借助于人的幫助通過網(wǎng)絡(luò)傳播通過網(wǎng)絡(luò)傳播 5.2 惡意軟件蠕蟲與病毒的區(qū)別病 毒蠕 5.2 惡意軟件特洛伊木馬的定義特洛伊木馬指那些表面上看起來有用，但暗地里執(zhí)行非法操作的程序。一旦主機被植入木馬，攻擊者就可以隨意控制受害者的主機，進(jìn)行各種非法操作。兩個基本特性隱藏性：木馬會想方設(shè)法讓自己看起來是一個正常的程序，從而躲避操作員和殺毒軟件的檢查 非授權(quán)性：木馬會在目標(biāo)系統(tǒng)上進(jìn)行各種非法操作，如竊取口令、刪除文件、植入病毒等 5.2 惡意軟件特洛伊木馬的定義特洛伊木馬指那些5.2 惡意軟件木馬的工作原理（1）階段一：傳播木馬主

13、要通過電子郵件和軟件下載進(jìn)行傳播為了迷惑用戶，木馬通常會對自己進(jìn)行偽裝，常見的偽裝手段有：修改程序圖標(biāo)。例如,將程序圖標(biāo)修改成bmp、txt等文件的圖標(biāo)。偽裝成正常的應(yīng)用程序。與其他程序捆綁在一起。 5.2 惡意軟件木馬的工作原理（1）階段一：傳播5.2 惡意軟件木馬的工作原理（2）階段二：運行木馬當(dāng)用戶運行木馬或捆綁了木馬的程序時，木馬就會自動進(jìn)行安裝。 在運行過程中，木馬程序會想盡一切辦法隱藏自己。例如，在任務(wù)欄中隱藏自己。 5.2 惡意軟件木馬的工作原理（2）階段二：運行5.2 惡意軟件木馬的工作原理（3）階段三：建立連接木馬是C/S結(jié)構(gòu)的程序。一旦服務(wù)器端被運行，就會打開事先定義好的端

14、口，等待客戶端與其建立連接。服務(wù)器位于局域網(wǎng)？通過IRC進(jìn)行通信服務(wù)器所在主機的IP是通過DHCP獲得的？由于服務(wù)器在特定端口上偵聽，那么客戶端可以通過端口掃描來找到服務(wù)器端服務(wù)器端通過電子郵件、FTP等方式告訴客戶端它的IP地址。 5.2 惡意軟件木馬的工作原理（3）階段三：建立5.2 惡意軟件病毒檢測技術(shù)（）校驗和技術(shù)原理：由于病毒需要修改文件，可將文件當(dāng)前的校驗和與初始校驗和進(jìn)行比較，如果不一致，則表示文件可能被病毒修改過。優(yōu)點：既能夠發(fā)現(xiàn)已知病毒，也能夠發(fā)現(xiàn)未知病毒。缺點：會產(chǎn)生過多誤報，因為正常程序也會修改文件；對隱藏性病毒沒有作用；不能檢測新的文件。5.2 惡意軟件病毒檢測技術(shù)（）

15、校驗和技術(shù)5.2 惡意軟件病毒檢測技術(shù)（）模式匹配原理：通過病毒的特征值來查找病毒。例如，1575病毒代碼中包含了“06 12 8C C0 02 1F 07 A3”的字符串 ，因此，可通過查看目標(biāo)程序是否包含了這樣的字符串，來判斷其是否1575病毒。優(yōu)點：可識別出病毒的名稱、誤報率低。缺點：隨著病毒特征庫的擴大，檢查速度會降低；不能檢測未知病毒和多態(tài)性病毒 ；對隱藏性病毒沒有作用。5.2 惡意軟件病毒檢測技術(shù)（）模式匹配5.2 惡意軟件病毒檢測技術(shù)（）行為掃描原理：人們通過觀察與研究，發(fā)現(xiàn)病毒有一些共同行為，并且這些行為在正常的應(yīng)用程序中比較少見，因此，可通過監(jiān)測目標(biāo)程序是否表現(xiàn)出了某種行為來

16、判斷其是否病毒。例如引導(dǎo)型病毒必然截留盜用INT 13H、高端內(nèi)存駐留型病毒會修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量等 。優(yōu)點：能夠檢測出未知病毒。缺點：會產(chǎn)生過多誤報，因為少數(shù)正常程序也有類似病毒的行為 ； 不能識別病毒的具體類型。5.2 惡意軟件病毒檢測技術(shù)（）行為掃描5.2 惡意軟件病毒檢測技術(shù)（）啟發(fā)式掃描原理：依靠病毒的指令序列，而不是病毒模式進(jìn)行檢測。這種類型的反病毒軟件，會首先對目標(biāo)程序進(jìn)行反匯編，然后對它的指令序列進(jìn)行分析，找出其中所蘊藏的真正動機。例如，如果一段程序中包含了“MOV AH, 5; MOV BX, 500H; INT 13H”的指令，表示該程序會進(jìn)行格式化磁盤的操作，需

17、引起注意。若反病毒軟件經(jīng)過進(jìn)一步分析，發(fā)現(xiàn)這段指令之前并沒有用戶的交互輸入，也沒有命令行參數(shù)傳入，則可以認(rèn)定這是一段病毒或其它惡意代碼。 缺點： 如果孤立地看這些指令 ，不能清晰地界定正常程序和病毒； 在查找時，無法識別指令序列的變化。5.2 惡意軟件病毒檢測技術(shù)（）啟發(fā)式掃描5.3 郵件攻擊電子郵件作為最常用的網(wǎng)絡(luò)應(yīng)用之一，已經(jīng)成為網(wǎng)絡(luò)交流的重要工具。但與此同時，也出現(xiàn)了各種電子郵件的濫用行為，包括利用電子郵件實施攻擊。常見的電子郵件攻擊手段包括: 垃圾郵件 郵件炸彈 郵件欺騙5.3 郵件攻擊電子郵件作為最常用的網(wǎng)絡(luò)應(yīng)用之一，已5.3 郵件攻擊垃圾郵件（1）什么是垃圾郵件？垃圾郵件是指未請求

18、的、對于收件人來說無用的郵件，其內(nèi)容包括商業(yè)廣告、電子雜志和騷擾信息等垃圾郵件帶來各種負(fù)面影響：擁塞網(wǎng)絡(luò)、降低郵件服務(wù)器的性能惡意代碼泛濫降低員工的工作效率 造成巨大經(jīng)濟損失5.3 郵件攻擊垃圾郵件（1）什么是垃圾郵件？5.3 郵件攻擊垃圾郵件（2）反垃圾郵件技術(shù)黑名單和白名單位于黑名單中的發(fā)件人發(fā)送的任何郵件都被認(rèn)為是垃圾郵件位于白名單中的發(fā)件人發(fā)送的任何郵件都被認(rèn)為是合法郵件 規(guī)則過濾郵件頭分析 群發(fā)過濾 關(guān)鍵詞精確匹配 5.3 郵件攻擊垃圾郵件（2）反垃圾郵件技術(shù)5.3 郵件攻擊郵件炸彈（1） 什么是郵件炸彈？攻擊者在短時間內(nèi)向某個郵箱發(fā)送大量的垃圾郵件，最終使得郵箱或者郵箱所在的系統(tǒng)不

19、堪重負(fù)，“爆炸而亡” 。 郵件炸彈是一種拒絕服務(wù)攻擊，其攻擊目標(biāo)包括：單個用戶的郵箱郵件服務(wù)器5.3 郵件攻擊郵件炸彈（1） 什么是郵件炸彈？5.3 郵件攻擊郵件炸彈（2）郵件炸彈的三種實現(xiàn)方式直接攻擊郵箱：在短時間內(nèi)發(fā)送大量郵件到受害者郵箱利用回復(fù)郵件攻擊郵箱：以受害者的名義發(fā)送大郵件給大量用戶，這樣受害者的郵箱就會被大量憤怒的回復(fù)信息所充滿利用郵件列表攻擊郵箱：以受害者的名義申請多個郵件列表，這樣受害者的郵箱就會被大量合法郵件所充滿5.3 郵件攻擊郵件炸彈（2）郵件炸彈的三種實現(xiàn)5.3 郵件攻擊郵件欺騙（1）什么是郵件欺騙？攻擊者通過偽造發(fā)件人的姓名和地址，以達(dá)到其私人目的，例如隱藏發(fā)件人

20、的身份、騙取收件人的信任、損害其他人的名譽等。5.3 郵件攻擊郵件欺騙（1）什么是郵件欺騙？5.3 郵件攻擊郵件欺騙（2）郵件欺騙的三種實現(xiàn)方式使用相似的電子郵件地址：攻擊者首先針對仿冒對象的電子郵件地址，申請一個相似的電子郵件帳號，然后在用戶代理中將“發(fā)件人姓名”設(shè)成仿冒對象的姓名，以冒充該用戶發(fā)送電子郵件 修改郵件客戶端的帳號配置：在受害者的郵件客戶端軟件中，將回復(fù)地址修改為攻擊者能夠訪問的郵件地址直接通過郵件服務(wù)器發(fā)送郵件：直接登陸到郵件服務(wù)器的SMTP端口發(fā)送郵件。由于SMTP協(xié)議沒有認(rèn)證機制，攻擊者可隨意修改發(fā)件人地址5.3 郵件攻擊郵件欺騙（2）郵件欺騙的三種實現(xiàn)5.3 安全電子郵

21、件電子郵件安全需求 為解決電子郵件的安全問題，提出了一系列的安全電子郵件協(xié)議，如PEM、PGP、S/MIME、MOSS等，通過這些協(xié)議和標(biāo)準(zhǔn)，可提供郵件的機密性、完整性和不可抵賴性等，使電子郵件的安全性得到了充分的保障，從而使在因特網(wǎng)上通過電子郵件傳送敏感信息成為可能。 安全電子郵件的工作模式 5.3 安全電子郵件電子郵件安全需求 5.4 電子黑餌（1）電子黑餌主要利用人們的心理作用進(jìn)行犯案。其常見形式包括：欺詐性的電子郵件：通常以各種緊迫的理由要求用戶提供敏感信息仿冒的網(wǎng)站：利用知名企業(yè)的品牌效應(yīng)，建立與仿冒對象幾乎一模一樣的網(wǎng)站 捆綁了木馬程序、間諜軟件的網(wǎng)頁或郵件：這類網(wǎng)頁或郵件一旦被打

22、開，惡意軟件就會被自動安裝，并以各種方式來竊取用戶的帳號和密碼 5.4 電子黑餌（1）電子黑餌主要利用人們的心理作用5.4 電子黑餌（2）電子黑餌的防御方式不要相信那些以各種緊迫理由要求收件人提供個人賬戶信息的郵件；不要直接點開郵件、即時消息、或者網(wǎng)絡(luò)聊天室中的鏈接，應(yīng)養(yǎng)成直接在地址欄中輸入網(wǎng)址的習(xí)慣； 在通過瀏覽器提交諸如信用卡號之類的敏感信息時，應(yīng)確保該網(wǎng)站是一個安全站點；留意地址欄中顯示的地址，攻擊者有時會通過偽造相似的網(wǎng)址來欺騙用戶 ；安裝瀏覽器工具欄 。5.4 電子黑餌（2）電子黑餌的防御方式5.5 非法入侵者掃描技術(shù)概述掃描是黑客入侵的第一步，用來收集被攻擊主機或網(wǎng)絡(luò)的詳細(xì)信息。常

23、見掃描技術(shù)包括Ping掃射：用于確定網(wǎng)絡(luò)中各主機的存活狀態(tài) 端口掃描 ：用來檢測目標(biāo)主機上開放了哪些端口、提供了哪些服務(wù) 漏洞掃描：在端口掃描的基礎(chǔ)上，集中探測某一種服務(wù)是否存在漏洞。由于不同的服務(wù)具有不同的漏洞，沒有統(tǒng)一的掃描方式 5.5 非法入侵者掃描技術(shù)概述掃描是黑客入侵的第5.5 非法入侵者Ping掃射傳統(tǒng)Ping掃射傳統(tǒng)Ping掃射使用的是ICMP類分組。包括：“ICMP 回射”請求、“ICMP時間戳”請求以及“ICMP 地址掩碼”請求等。攻擊者向目標(biāo)系統(tǒng)發(fā)送ICMP請求，等待片刻后，如果能收到對方返回的ICMP應(yīng)答，則表示目標(biāo)系統(tǒng)處于存活狀態(tài)，反之，表示目標(biāo)系統(tǒng)處于關(guān)閉狀態(tài)。TCP

24、掃射當(dāng)ICMP類分組被阻塞時，攻擊者可用TCP ACK或TCP SYN分組來探測目標(biāo)主機是否處于存活狀態(tài)。5.5 非法入侵者Ping掃射傳統(tǒng)Ping掃射5.5 非法入侵者端口掃描（1）在獲知主機是否存活后，下一步就是確定主機上運行了哪些服務(wù)。這是通過端口掃描來實現(xiàn)的。 什么是端口掃描？通過與目標(biāo)系統(tǒng)的TCP或UDP端口建立連接，從而判斷某個端口是否處于偵聽狀態(tài)。 常見的端口掃描方法TCP掃描、TCP SYN掃描、顯式隱蔽映射技術(shù) 5.5 非法入侵者端口掃描（1）在獲知主機是否存5.5 非法入侵者端口掃描（2）TCP掃描流程攻擊者試圖與目標(biāo)主機上某個端口建立TCP連接連接建立成功？目標(biāo)端口處于偵

25、聽狀態(tài)目標(biāo)端口處于關(guān)閉狀態(tài)是否由于主機通常會記錄下那些完成了三次握手的連接。因此，如果在查看系統(tǒng)的日志時發(fā)現(xiàn)大量的連接記錄，則可能有掃描攻擊發(fā)生。5.5 非法入侵者端口掃描（2）TCP掃描流程攻5.5 非法入侵者端口掃描（3）TCP SYN掃描流程攻擊者發(fā)送一個SYN包到目標(biāo)主機的某個端口上對方返回RST/ACK包?對方返回SYN/ACK包?表明目標(biāo)端口處于偵聽狀態(tài)，此時攻擊者將發(fā)送RST包關(guān)閉連接表明目標(biāo)端口處于關(guān)閉狀態(tài)是否是由于這種掃描沒有真正完成TCP的三次握手過程，因此目標(biāo)系統(tǒng)將不會記錄此連接，故此類掃描不易被發(fā)現(xiàn)。 5.5 非法入侵者端口掃描（3）TCP SYN掃5.5 非法入侵者端

26、口掃描（4）顯式隱蔽映射技術(shù) 掃描原理根據(jù)RFC 793規(guī)范中的定義：目標(biāo)系統(tǒng)應(yīng)該為所有關(guān)閉著的端口返回一個RST分組具體掃描方法TCP ACK掃描、TCP FIN掃描、TCP Xmas樹掃描和TCP空掃描 5.5 非法入侵者端口掃描（4）顯式隱蔽映射技術(shù)5.5 非法入侵者端口掃描（5）攻擊者發(fā)送一個SYN/ACK包到目標(biāo)主機的某個端口上對方返回RST包?沒有收到響應(yīng)包?目標(biāo)端口處于關(guān)閉狀態(tài)目標(biāo)端口處于偵聽狀態(tài)因為在目標(biāo)端口關(guān)閉的情況下，系統(tǒng)會代其返回RST包因此TCP是有狀態(tài)的協(xié)議，在端口打開的情況下，它會簡單忽略此分組是是顯式隱蔽映射技術(shù)示例TCP ACK掃描5.5 非法入侵者端口掃描（5

27、）攻擊者發(fā)送一個SY5.5 非法入侵者端口掃描（6）顯式隱蔽映射技術(shù)的準(zhǔn)確性不高：部分系統(tǒng)包括Windows、HP-UX等會在端口打開的情況下仍然返回RST分組 即便攻擊者收不到RST分組，也不能確定是目標(biāo)端口是打開的，因為防火墻可能會過濾掉攻擊者發(fā)送的分組 5.5 非法入侵者端口掃描（6）顯式隱蔽映射技術(shù)5.5 非法入侵者身份竊?。?）什么是身份竊取？身份竊取是入侵者侵入系統(tǒng)的一種方式。入侵者通過某種渠道獲得合法用戶的賬號和密碼，然后利用該賬戶登陸目標(biāo)主機并實施攻擊活動。具體實現(xiàn)方式包括：口令破解網(wǎng)絡(luò)竊聽通過木馬竊取5.5 非法入侵者身份竊取（1）什么是身份竊??？5.5 非法入侵者身份竊?。?/p>

28、2）身份竊取手段1：口令破解入侵者首先獲取有效的用戶名，然后使用專門的軟件來破解用戶口令 在嘗試破解密碼時有兩種方法遠(yuǎn)程在線猜測：針對目標(biāo)主機上某種需要驗證的服務(wù)，不斷與其建立連接，并輸入可能的口令，直到正確為止。本地口令猜測 ：首先得到加密后的口令；然后采用相同加密方法對可能的口令進(jìn)行加密，通過比較加密后的字符串是否相同來進(jìn)行破解。 5.5 非法入侵者身份竊?。?）身份竊取手段1：5.5 非法入侵者身份竊?。?）身份竊取手段2：網(wǎng)絡(luò)竊聽在當(dāng)前的網(wǎng)絡(luò)環(huán)境中，很多協(xié)議都是以明文的形式在網(wǎng)絡(luò)中傳輸用戶名和密碼。這就給攻擊者提供了可乘之機，通過使用嗅探軟件截取本地網(wǎng)絡(luò)中的數(shù)據(jù)包，從而得到在網(wǎng)絡(luò)中傳輸

29、的用戶名和密碼。5.5 非法入侵者身份竊?。?）身份竊取手段2：5.5 非法入侵者身份竊?。?）身份竊取手段3：木馬竊取這類木馬專門用來竊取受害主機上的帳戶信息。它們或者直接訪問緩存在內(nèi)存中的用戶名和密碼；或者偽裝成其他程序，要求用戶輸入帳戶信息。 5.5 非法入侵者身份竊取（4）身份竊取手段3：5.6 緩沖區(qū)溢出攻擊攻擊原理（1）什么是緩沖區(qū)溢出？緩存區(qū)是一片有預(yù)定長度限制的臨時內(nèi)存區(qū)域，當(dāng)試著向其中寫入超出設(shè)定大小的數(shù)據(jù)時，就會發(fā)生緩存區(qū)溢出。什么是緩存區(qū)溢出攻擊？攻擊者用超過預(yù)定長度的字符串來填滿目標(biāo)程序的堆?？臻g，達(dá)到暴力修改函數(shù)的返回地址的目的，從而部分甚至完全控制對方的計算機系統(tǒng)。

30、5.6 緩沖區(qū)溢出攻擊攻擊原理（1）什么是緩沖區(qū)5.6 緩沖區(qū)溢出攻擊攻擊原理（2）.內(nèi)存高端內(nèi)存低端堆棧高端堆棧低端傳給被調(diào)函數(shù)的參數(shù)函數(shù)返回地址（EIP）調(diào)用者的堆?；罚‥BP）局部變量void foo(char* str)char buffer16;strcpy(buffer, str);void main( )char* str=”the current string has more 16 characters”;foo(str);return;緩存區(qū)溢出實例發(fā)生函數(shù)調(diào)用時，將會用到堆棧在執(zhí)行strcpy函數(shù)時，由于main傳入的參數(shù)大于預(yù)設(shè)長度，局部變量前的內(nèi)容會被覆蓋掉從本例不

31、難看出，我們可以通過緩沖區(qū)溢出來改變函數(shù)的返回地址，從而改變整個程序的執(zhí)行流程，使它跳轉(zhuǎn)到任意我們希望執(zhí)行的代碼處。5.6 緩沖區(qū)溢出攻擊攻擊原理（2）.內(nèi)存高端內(nèi)5.6 緩沖區(qū)溢出攻擊防御方式（1）加強編程行為的安全性。盡管不可能設(shè)計和編寫完全沒有缺陷的程序，但是應(yīng)盡量最小化緩沖區(qū)溢出條件。在軟件的設(shè)計階段就考慮安全因素；避免使用不安全的函數(shù)，例如C庫函數(shù)中的strcpy( )，這類函數(shù)不會對輸入字符串的長度進(jìn)行驗證； 使用安全的編譯器；驗證輸入?yún)?shù)；避免使用suid程序。5.6 緩沖區(qū)溢出攻擊防御方式（1）加強編程行為的5.6 緩沖區(qū)溢出攻擊防御方式（2）禁止堆棧執(zhí)行。由于攻擊者通常以輸入?yún)?shù)的形式將希望執(zhí)行的代碼傳遞給程序，而程序會將傳入的參數(shù)保存在堆棧中。因此，最簡單的解決方式是禁止執(zhí)行堆棧中的代碼。 禁止不用或危險的服務(wù) 攻擊者不能攻擊處于關(guān)閉狀態(tài)的服務(wù)，因此可把系統(tǒng)中不