網(wǎng)絡(luò)攻擊與防御復(fù)習(xí)

網(wǎng)絡(luò)攻擊與防范--課程復(fù)習(xí)張玉清國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心2023/2/6網(wǎng)絡(luò)入侵與防范講義2復(fù)習(xí)綱要課程安排課程內(nèi)容試卷題型實(shí)驗(yàn)事宜考試事宜2023/2/6網(wǎng)絡(luò)入侵與防范講義3課程安排課時(shí)：40/2內(nèi)容：課堂講授+實(shí)驗(yàn)考核方式：筆試（開卷，50分）+實(shí)驗(yàn)（3個(gè)，50分）通過本課程的學(xué)習(xí)使學(xué)生掌握網(wǎng)絡(luò)攻防技術(shù)的基本原理和方法，全面了解網(wǎng)絡(luò)攻擊與防范技術(shù)，掌握網(wǎng)絡(luò)防范體系的相關(guān)內(nèi)容，并具備對(duì)各種常見網(wǎng)絡(luò)攻擊進(jìn)行基本防御的能力。通過本課程的學(xué)習(xí)，學(xué)生應(yīng)對(duì)網(wǎng)絡(luò)攻防技術(shù)有一個(gè)全面和完整的認(rèn)識(shí)，能夠了解常見網(wǎng)絡(luò)攻擊及其防御方法和技術(shù)。2023/2/6網(wǎng)絡(luò)入侵與防范講義4課程內(nèi)容第一章網(wǎng)絡(luò)安全概述第二章掃描與防御技術(shù)第三章網(wǎng)絡(luò)監(jiān)聽及防御第四章口令破解及防御第五章欺騙攻擊及防御第六章拒絕服務(wù)攻擊及防御第七章緩沖區(qū)溢出攻擊及防御第八章WEB攻擊及防御第九章木馬攻擊及防御第十章計(jì)算機(jī)病毒第十一章典型防御技術(shù)第十二章網(wǎng)絡(luò)安全發(fā)展與未來2023/2/6網(wǎng)絡(luò)入侵與防范講義5第1章網(wǎng)絡(luò)安全概述1.1網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)1.2網(wǎng)絡(luò)安全的重要性1.3網(wǎng)絡(luò)安全的根源1.4網(wǎng)絡(luò)攻擊過程1.5網(wǎng)絡(luò)安全策略及其原則1.6常用的防護(hù)措施2023/2/6網(wǎng)絡(luò)入侵與防范講義62023/2/6網(wǎng)絡(luò)入侵與防范講義6網(wǎng)絡(luò)安全的基本需求

可靠性可用性保密性完整性不可抵賴性可控性可審查性真實(shí)性機(jī)密性完整性抗抵賴性……可用性2023/2/6網(wǎng)絡(luò)入侵與防范講義72023/2/6網(wǎng)絡(luò)入侵與防范講義7安全漏洞簡(jiǎn)介漏洞也叫脆弱性（Vulnerability），是計(jì)算機(jī)系統(tǒng)在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷和不足。漏洞一旦被發(fā)現(xiàn)，就可使用這個(gè)漏洞獲得計(jì)算機(jī)系統(tǒng)的額外權(quán)限，使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)，從而導(dǎo)致危害計(jì)算機(jī)系統(tǒng)安全。2023/2/6網(wǎng)絡(luò)入侵與防范講義82023/2/6網(wǎng)絡(luò)入侵與防范講義8網(wǎng)絡(luò)安全主要威脅來源網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲2023/2/6網(wǎng)絡(luò)入侵與防范講義92023/2/6網(wǎng)絡(luò)入侵與防范講義9黑客分類灰帽子破解者破解已有系統(tǒng)發(fā)現(xiàn)問題/漏洞突破極限/禁制展現(xiàn)自我計(jì)算機(jī)為人民服務(wù)漏洞發(fā)現(xiàn)-Flashsky軟件破解-0Day工具提供-Glacier白帽子創(chuàng)新者設(shè)計(jì)新系統(tǒng)打破常規(guī)精研技術(shù)勇于創(chuàng)新沒有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜人不為己，天誅地滅入侵者-K.米特尼克CIH-陳盈豪攻擊Yahoo-匿名惡渴求自由2023/2/6網(wǎng)絡(luò)入侵與防范講義102023/2/6網(wǎng)絡(luò)入侵與防范講義10網(wǎng)絡(luò)攻擊過程入侵一般可以分為本地入侵和遠(yuǎn)程入侵在這里我們主要講的是遠(yuǎn)程的網(wǎng)絡(luò)入侵：網(wǎng)絡(luò)攻擊準(zhǔn)備階段網(wǎng)絡(luò)攻擊的實(shí)施階段網(wǎng)絡(luò)攻擊的善后階段2023/2/6網(wǎng)絡(luò)入侵與防范講義11第2章掃描與防御技術(shù)2.1掃描技術(shù)基礎(chǔ)2.2常見的掃描技術(shù)2.3掃描工具賞析2.4掃描的防御2023/2/6網(wǎng)絡(luò)入侵與防范講義122023/2/6網(wǎng)絡(luò)入侵與防范講義12什么是網(wǎng)絡(luò)掃描器網(wǎng)絡(luò)掃描器可以通過執(zhí)行一些腳本文件來模擬對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而搜索目標(biāo)網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、交換機(jī)和防火墻等設(shè)備的類型與版本，以及在這些遠(yuǎn)程設(shè)備上運(yùn)行的脆弱服務(wù)，并報(bào)告可能存在的脆弱性。2023/2/6網(wǎng)絡(luò)入侵與防范講義132023/2/6網(wǎng)絡(luò)入侵與防范講義13掃描三步曲一個(gè)完整的網(wǎng)絡(luò)安全掃描分為三個(gè)階段：第一階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)第二階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。如果目標(biāo)是一個(gè)網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、路由設(shè)備以及各主機(jī)的信息第三階段：根據(jù)收集到的信息判斷或者進(jìn)一步測(cè)試系統(tǒng)是否存在安全漏洞2023/2/6網(wǎng)絡(luò)入侵與防范講義142023/2/6網(wǎng)絡(luò)入侵與防范講義14常見的掃描技術(shù)主機(jī)掃描端口掃描全掃描半掃描秘密掃描遠(yuǎn)程主機(jī)OS指紋識(shí)別漏洞掃描2023/2/6網(wǎng)絡(luò)入侵與防范講義152023/2/6網(wǎng)絡(luò)入侵與防范講義15常用掃描工具比較主機(jī)掃描端口掃描OS識(shí)別漏洞掃描NmapNessusX-scan掃描工具掃描技術(shù)2023/2/6網(wǎng)絡(luò)入侵與防范講義16第3章網(wǎng)絡(luò)監(jiān)聽及防御3.1網(wǎng)絡(luò)監(jiān)聽概述3.2監(jiān)聽技術(shù)3.3監(jiān)聽的防御2023/2/6網(wǎng)絡(luò)入侵與防范講義17基礎(chǔ)知識(shí)網(wǎng)絡(luò)監(jiān)聽的概念網(wǎng)絡(luò)監(jiān)聽技術(shù)又叫做網(wǎng)絡(luò)嗅探技術(shù)，顧名思義這是一種在他方未察覺的情況下捕獲其通信報(bào)文或通信內(nèi)容的技術(shù)。在網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)監(jiān)聽技術(shù)對(duì)于網(wǎng)絡(luò)攻擊與防范雙方都有著重要的意義，是一把雙刃劍。網(wǎng)絡(luò)監(jiān)聽技術(shù)的能力范圍目前只限于局域網(wǎng)，它是主機(jī)的一種工作模式，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰(shuí)。2023/2/6網(wǎng)絡(luò)入侵與防范講義18基礎(chǔ)知識(shí)網(wǎng)卡的四種工作模式（1）廣播模式：該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息。（2）組播模式：該模式下的網(wǎng)卡能夠接受組播數(shù)據(jù)。（3）直接模式：在這種模式下，只有匹配目的MAC地址的網(wǎng)卡才能接收該數(shù)據(jù)幀。（4）混雜模式：（PromiscuousMode）在這種模式下，網(wǎng)卡能夠接受一切接收到的數(shù)據(jù)幀，而無論其目的MAC地址是什么。

2023/2/6網(wǎng)絡(luò)入侵與防范講義19網(wǎng)絡(luò)監(jiān)聽防御的通用策略由于嗅探器是一種被動(dòng)攻擊技術(shù)，因此非常難以被發(fā)現(xiàn)。完全主動(dòng)的解決方案很難找到并且因網(wǎng)絡(luò)類型而有一些差異，但我們可以先采用一些被動(dòng)但卻是通用的防御措施。這主要包括采用安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和數(shù)據(jù)加密技術(shù)兩方面。2023/2/6網(wǎng)絡(luò)入侵與防范講義20第4章口令破解及防御4.1口令的歷史與現(xiàn)狀4.2口令攻擊方式4.3典型的口令破解工具4.4口令攻擊的綜合應(yīng)用4.5口令攻擊的防御2023/2/6網(wǎng)絡(luò)入侵與防范講義212023/2/6網(wǎng)絡(luò)入侵與防范講義21詞典攻擊因?yàn)榇蠖鄶?shù)人都會(huì)使用普通詞典中的單詞作為口令，發(fā)起詞典攻擊通常是一個(gè)比較好的開端。詞典攻擊使用的是一個(gè)包含大多數(shù)詞典單詞的文件，利用這些單詞來猜測(cè)口令。2023/2/6網(wǎng)絡(luò)入侵與防范講義222023/2/6網(wǎng)絡(luò)入侵與防范講義22強(qiáng)行攻擊如果有速度足夠快的計(jì)算機(jī)能嘗試字母、數(shù)字、特殊字符所有的組合，將最終能破解所有的口令。這種攻擊方式叫做強(qiáng)行攻擊（也叫做暴力破解）。使用強(qiáng)行攻擊，先從字母a開始，嘗試aa、ab、ac等等，然后嘗試aaa、aab、aac……。2023/2/6網(wǎng)絡(luò)入侵與防范講義232023/2/6網(wǎng)絡(luò)入侵與防范講義23組合攻擊詞典攻擊雖然速度快，但是只能發(fā)現(xiàn)詞典單詞口令；強(qiáng)行攻擊能發(fā)現(xiàn)所有口令，但是破解的時(shí)間長(zhǎng)。而且在很多情況下，管理員會(huì)要求用戶的口令是字母和數(shù)字的組合，而這個(gè)時(shí)候，許多的用戶就僅僅會(huì)在他們的口令后面添加幾個(gè)數(shù)字，例如，把口令從ericgolf改成ericgolf2324。而實(shí)際上這樣的口令是很弱的，有一種攻擊是在使用詞典單詞的基礎(chǔ)上為單詞的串接幾個(gè)字母和數(shù)字，這種攻擊就叫做組合攻擊。2023/2/6網(wǎng)絡(luò)入侵與防范講義24第5章欺騙攻擊及防御5.1概述5.2IP欺騙及防御技術(shù)5.3ARP欺騙及防御技術(shù)5.4電子郵件欺騙及防御技術(shù)5.5DNS欺騙及防御技術(shù)5.6Web欺騙及防御技術(shù)2023/2/6網(wǎng)絡(luò)入侵與防范講義252023/2/6網(wǎng)絡(luò)入侵與防范講義25IP欺騙最基本的IP欺騙技術(shù)有三種：基本地址變化使用源站選路截取數(shù)據(jù)包利用Unix機(jī)器上的信任關(guān)系這三種IP欺騙技術(shù)都是早期使用的，原理比較簡(jiǎn)單，因此效果也十分有限。IP欺騙高級(jí)應(yīng)用—TCP會(huì)話劫持。2023/2/6網(wǎng)絡(luò)入侵與防范講義262023/2/6網(wǎng)絡(luò)入侵與防范講義26ARP欺騙原理ARP欺騙攻擊是利用ARP協(xié)議本身的缺陷進(jìn)行的一種非法攻擊，目的是為了在全交換環(huán)境下實(shí)現(xiàn)數(shù)據(jù)監(jiān)聽。通常這種攻擊方式可能被病毒、木馬或者有特殊目的攻擊者使用。原理：主機(jī)在實(shí)現(xiàn)ARP緩存表的機(jī)制中存在一個(gè)不完善的地方，當(dāng)主機(jī)收到一個(gè)ARP的應(yīng)答包后，它并不會(huì)去驗(yàn)證自己是否發(fā)送過這個(gè)ARP請(qǐng)求，而是直接將應(yīng)答包里的MAC地址與IP對(duì)應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。2023/2/6網(wǎng)絡(luò)入侵與防范講義272023/2/6網(wǎng)絡(luò)入侵與防范講義27ARP欺騙攻擊的防范MAC地址綁定，使網(wǎng)絡(luò)中每一臺(tái)計(jì)算機(jī)的IP地址與硬件地址一一對(duì)應(yīng)，不可更改。使用靜態(tài)ARP緩存，用手工方法更新緩存中的記錄，使ARP欺騙無法進(jìn)行。使用ARP服務(wù)器，通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播。確保這臺(tái)ARP服務(wù)器不被黑。使用ARP欺騙防護(hù)軟件，如ARP防火墻。發(fā)現(xiàn)正在進(jìn)行ARP欺騙的主機(jī)并將其隔離。2023/2/6網(wǎng)絡(luò)入侵與防范講義282023/2/6網(wǎng)絡(luò)入侵與防范講義28電子郵件欺騙原理及實(shí)現(xiàn)方法執(zhí)行電子郵件欺騙有三種基本方法，每一種有不同難度級(jí)別，執(zhí)行不同層次的隱蔽。它們分別是：利用相似的電子郵件地址修改郵件客戶軟件設(shè)置遠(yuǎn)程登錄到25號(hào)端口2023/2/6網(wǎng)絡(luò)入侵與防范講義292023/2/6網(wǎng)絡(luò)入侵與防范講義29DNS欺騙的原理及實(shí)現(xiàn)步驟當(dāng)客戶主機(jī)向本地DNS服務(wù)器查詢域名的時(shí)候，如果服務(wù)器的緩存中已經(jīng)有相應(yīng)記錄，DNS服務(wù)器就不會(huì)再向其他服務(wù)器進(jìn)行查詢，而是直接將這條記錄返回給用戶。而入侵者欲實(shí)現(xiàn)DNS欺騙，關(guān)鍵的一個(gè)條件就是在DNS服務(wù)器的本地Cache中緩存一條偽造的解析記錄。2023/2/6網(wǎng)絡(luò)入侵與防范講義302023/2/6網(wǎng)絡(luò)入侵與防范講義30Web欺騙Web欺騙是一種電子信息欺騙，攻擊者創(chuàng)造了一個(gè)完整的令人信服的Web世界，但實(shí)際上它卻是一個(gè)虛假的復(fù)制。虛假的Web看起來十分逼真，它擁有相同的網(wǎng)頁(yè)和鏈接。然而攻擊者控制著這個(gè)虛假的Web站點(diǎn)，這樣受害者的瀏覽器和Web之間的所有網(wǎng)絡(luò)通信就完全被攻擊者截獲。實(shí)例：網(wǎng)絡(luò)釣魚2023/2/6網(wǎng)絡(luò)入侵與防范講義31第6章拒絕服務(wù)攻擊及防御6.1拒絕服務(wù)攻擊概述6.2典型拒絕服務(wù)攻擊技術(shù)6.3分布式拒絕服務(wù)攻擊6.4拒絕服務(wù)攻擊的防御6.5分布式拒絕服務(wù)攻擊的防御2023/2/6網(wǎng)絡(luò)入侵與防范講義32拒絕服務(wù)攻擊的概念“拒絕服務(wù)”這個(gè)詞來源于英文DenialofService（簡(jiǎn)稱DoS），它是一種簡(jiǎn)單的破壞性攻擊，通常攻擊者利用TCP/IP協(xié)議中的某個(gè)弱點(diǎn)，或者系統(tǒng)存在的某些漏洞，對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模的進(jìn)攻，致使攻擊目標(biāo)無法對(duì)合法的用戶提供正常的服務(wù)。簡(jiǎn)單的說，拒絕服務(wù)攻擊就是讓攻擊目標(biāo)癱瘓的一種“損人不利己”的攻擊手段。2023/2/6網(wǎng)絡(luò)入侵與防范講義33典型拒絕服務(wù)攻擊技術(shù)死亡之Ping（PingofDeath）“淚滴”（teardrop）IP欺騙DoS攻擊UDP“洪水”SYN“洪水”Land攻擊2023/2/6網(wǎng)絡(luò)入侵與防范講義34典型拒絕服務(wù)攻擊技術(shù)(Cont.)Smurf攻擊Fraggle攻擊分布式反射拒絕服務(wù)攻擊電子郵件炸彈畸形消息攻擊SlashdoteffectWinNuke攻擊2023/2/6網(wǎng)絡(luò)入侵與防范講義35分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)DDoS(DistributedDenialofService)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。2023/2/6網(wǎng)絡(luò)入侵與防范講義36分布式拒絕服務(wù)攻擊(Cont.)DDoS攻擊示例：2023/2/6網(wǎng)絡(luò)入侵與防范講義37第7章緩沖區(qū)溢出攻擊及防御7.1緩沖區(qū)溢出概述7.2緩沖區(qū)溢出危害7.3緩沖區(qū)溢出分析7.4常見的溢出形式7.5實(shí)例：ida溢出漏洞攻擊7.6緩沖區(qū)溢出的防御2023/2/6網(wǎng)絡(luò)入侵與防范講義382023/2/6網(wǎng)絡(luò)入侵與防范技術(shù)38緩沖區(qū)溢出概述什么是緩沖區(qū)？它是指程序運(yùn)行期間，在內(nèi)存中分配的一個(gè)連續(xù)的區(qū)域，用于保存包括字符數(shù)組在內(nèi)的各種數(shù)據(jù)類型。所謂溢出，其實(shí)就是所填充的數(shù)據(jù)超出了原有的緩沖區(qū)邊界，并非法占據(jù)了另一段內(nèi)存區(qū)域。兩者結(jié)合進(jìn)來，所謂緩沖區(qū)溢出，就是由于填充數(shù)據(jù)越界而導(dǎo)致原有流程的改變，黑客借此精心構(gòu)造填充數(shù)據(jù)，讓程序轉(zhuǎn)而執(zhí)行特殊的代碼，最終獲取控制權(quán)。2023/2/6網(wǎng)絡(luò)入侵與防范講義39堆堆(Heap)，用于存儲(chǔ)程序運(yùn)行過程中動(dòng)態(tài)分配的數(shù)據(jù)塊。堆的大小并不固定，可動(dòng)態(tài)擴(kuò)張或縮減。當(dāng)進(jìn)程調(diào)用malloc等函數(shù)分配內(nèi)存時(shí)，新分配的內(nèi)存就被動(dòng)態(tài)添加到堆上（堆被擴(kuò)張）；當(dāng)利用free等函數(shù)釋放內(nèi)存時(shí)，被釋放的內(nèi)存從堆中被剔除（堆被縮減）。隨著系統(tǒng)動(dòng)態(tài)分配給進(jìn)程的內(nèi)存數(shù)量的增加，Heap(堆)一般來說是向內(nèi)存的高地址方向增長(zhǎng)的。2023/2/6網(wǎng)絡(luò)入侵與防范技術(shù)392023/2/6網(wǎng)絡(luò)入侵與防范講義402023/2/6網(wǎng)絡(luò)入侵與防范技術(shù)40棧(Cont.)函數(shù)被調(diào)用的時(shí)候，棧中的壓入情況如下：Func函數(shù)中的局部變量調(diào)用Func函數(shù)前的EBP退出Func函數(shù)后的返回地址傳遞給Func的實(shí)參內(nèi)存低地址內(nèi)存高地址最先壓入棧最后壓入棧2023/2/6網(wǎng)絡(luò)入侵與防范講義412023/2/6網(wǎng)絡(luò)入侵與防范技術(shù)41緩沖區(qū)溢出的原理如果在堆棧中壓入的數(shù)據(jù)超過預(yù)先給堆棧分配的容量時(shí)，就會(huì)出現(xiàn)堆棧溢出，從而使得程序運(yùn)行失?。蝗绻l(fā)生棧溢出的是大型程序還有可能會(huì)導(dǎo)致系統(tǒng)崩潰。2023/2/6網(wǎng)絡(luò)入侵與防范講義422023/2/6網(wǎng)絡(luò)入侵與防范技術(shù)42將控制程序轉(zhuǎn)移到攻擊代碼的形式轉(zhuǎn)移方式分為以下幾種：functionPointers（函數(shù)指針）activationRecords（激活記錄）Longjmpbuffers（長(zhǎng)跳轉(zhuǎn)緩沖區(qū)）2023/2/6網(wǎng)絡(luò)入侵與防范講義43第8章WEB攻擊及防御8.1Web安全概述8.2Web服務(wù)器指紋識(shí)別8.3Web盜竊8.4網(wǎng)頁(yè)驗(yàn)證碼攻擊8.5SQL注入8.6跨站腳本攻擊8.7防御Web攻擊2023/2/6網(wǎng)絡(luò)入侵與防范講義44Web服務(wù)器指紋識(shí)別Http指紋識(shí)別的原理：記錄不同服務(wù)器對(duì)Http協(xié)議執(zhí)行中的微小差別進(jìn)行識(shí)別。Http指紋識(shí)別比TCP/IP堆棧指紋識(shí)別復(fù)雜許多，理由是定制Http服務(wù)器的配置文件、增加插件或組件使得更改Http的響應(yīng)信息變的很容易，這樣使得識(shí)別變的困難；然而定制TCP/IP堆棧的行為需要對(duì)核心層進(jìn)行修改，所以就容易識(shí)別。2023/2/6網(wǎng)絡(luò)入侵與防范講義442023/2/6網(wǎng)絡(luò)入侵與防范講義452023/2/6網(wǎng)絡(luò)入侵與防范講義45Web盜竊HTTP指紋識(shí)別是為了判斷服務(wù)器的版本，從而找到服務(wù)器的漏洞。而Web盜竊的目的是通過對(duì)各個(gè)網(wǎng)頁(yè)頁(yè)面源碼的詳細(xì)分析，找出可能存在于代碼、注釋或者設(shè)計(jì)中的關(guān)鍵缺陷和脆弱點(diǎn)，以此來確定攻擊的突破點(diǎn)。盜竊web服務(wù)器的兩種方法：逐頁(yè)手工掃描和自動(dòng)掃描。2023/2/6網(wǎng)絡(luò)入侵與防范講義46網(wǎng)頁(yè)驗(yàn)證碼驗(yàn)證碼技術(shù)屬于人機(jī)區(qū)分問題，這在英文中稱為CAPTCHA，它是是CompletelyAutomatedPublicTuringTesttoTellComputersandHumansApart(全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試)的簡(jiǎn)稱。驗(yàn)證碼技術(shù)的主要思想是必須通過人為參與完成信息提交過程，并且對(duì)驗(yàn)證碼字體和背景做了相關(guān)處理。2023/2/6網(wǎng)絡(luò)入侵與防范講義462023/2/6網(wǎng)絡(luò)入侵與防范講義47基于驗(yàn)證碼的表單提交流程為了防止攻擊者利用程序自動(dòng)注冊(cè)、登錄、發(fā)帖，驗(yàn)證碼技術(shù)日益得到廣泛的應(yīng)用?；隍?yàn)證碼的表單提交流程如圖所示。2023/2/6網(wǎng)絡(luò)入侵與防范講義472023/2/6網(wǎng)絡(luò)入侵與防范講義48驗(yàn)證碼的類型當(dāng)前互聯(lián)網(wǎng)上較為常見的驗(yàn)證碼主要有以下幾種：文本驗(yàn)證碼：在網(wǎng)頁(yè)上以文本形式呈現(xiàn)給用戶；手機(jī)驗(yàn)證碼：用戶在網(wǎng)頁(yè)上提交自己的手機(jī)號(hào)碼，系統(tǒng)以短信形式將驗(yàn)證碼發(fā)送到用戶手機(jī)上；郵件驗(yàn)證碼：用戶在網(wǎng)頁(yè)上提交自己的電子郵箱，系統(tǒng)以e-mail形式將驗(yàn)證碼發(fā)送到用戶的郵箱中；圖片驗(yàn)證碼：又稱“驗(yàn)證水印”，在網(wǎng)頁(yè)上以圖片形式呈現(xiàn)給用戶。2023/2/6網(wǎng)絡(luò)入侵與防范講義482023/2/6網(wǎng)絡(luò)入侵與防范講義492023/2/6網(wǎng)絡(luò)入侵與防范講義49SQL注入原理程序員的水平及經(jīng)驗(yàn)也參差不齊，相當(dāng)大一部分程序員在編寫代碼的時(shí)候，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。攻擊者可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection，即SQL注入。受影響的系統(tǒng)：對(duì)輸入的參數(shù)不進(jìn)行檢查和過濾的系統(tǒng)。2023/2/6網(wǎng)絡(luò)入侵與防范講義50什么是XSS攻擊XSS是跨站腳本攻擊(CrossSiteScript)。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該網(wǎng)頁(yè)時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。本來跨站腳本攻擊(CrossSiteScripting)應(yīng)該縮寫為CSS，但這會(huì)與層疊樣式表(CascadingStyleSheets,CSS)的縮寫混淆。因此人們將跨站腳本攻擊縮寫為XSS。2023/2/6網(wǎng)絡(luò)入侵與防范講義502023/2/6網(wǎng)絡(luò)入侵與防范講義51第9章木馬攻擊及防御9.1概述9.2木馬的實(shí)現(xiàn)原理與攻擊技術(shù)9.3木馬實(shí)例9.4木馬的防御技術(shù)9.5木馬的發(fā)展趨勢(shì)2023/2/6網(wǎng)絡(luò)入侵與防范講義522023/2/6網(wǎng)絡(luò)入侵與防范講義52特洛伊木馬分類從木馬技術(shù)的功能角度可分為：(1).破壞型(2).密碼發(fā)送型(3).遠(yuǎn)程訪問型(4).鍵盤記錄木馬(5).DoS攻擊木馬(6).代理木馬(7).FTP木馬(8).程序殺手木馬(9).反彈端口型木馬2023/2/6網(wǎng)絡(luò)入侵與防范講義532023/2/6網(wǎng)絡(luò)入侵與防范講義53木馬的實(shí)現(xiàn)原理與攻擊技術(shù)木馬實(shí)現(xiàn)原理植入技術(shù)自動(dòng)加載技術(shù)隱藏技術(shù)連接技術(shù)監(jiān)控技術(shù)2023/2/6網(wǎng)絡(luò)入侵與防范講義54第10章計(jì)算機(jī)病毒10.1計(jì)算機(jī)病毒概述10.2病毒的工作原理與分類10.3典型的計(jì)算機(jī)病毒10.4預(yù)防與清除計(jì)算機(jī)病毒10.5常用防病毒軟件介紹10.6病毒技術(shù)的新動(dòng)向2023/2/6網(wǎng)絡(luò)入侵與防范講義55計(jì)算機(jī)病毒的分類廣義上的病毒狹義上的病毒2023/2/6網(wǎng)絡(luò)入侵與防范講義56計(jì)算機(jī)病毒程序的模塊劃分病毒程序是一種特殊程序，其最大特點(diǎn)是具有感染能力。病毒的感染動(dòng)作受到觸發(fā)機(jī)制的控制，病毒觸發(fā)機(jī)制還控制了病毒的破壞動(dòng)作。病毒程序一般由感染模塊、觸發(fā)模塊、破壞模塊、主控模塊組成。與之相對(duì)應(yīng)的機(jī)制是：傳播機(jī)制、觸發(fā)機(jī)制和破壞機(jī)制。有的病毒不具備所有的模塊，如“巴基斯坦智囊病毒”沒有破壞模塊。2023/2/6網(wǎng)絡(luò)入侵與防范講義57計(jì)算機(jī)病毒的傳播機(jī)制

病毒傳播途徑病毒感染目標(biāo)和過程感染長(zhǎng)度和感染次數(shù)交叉感染寄生感染插入感染和逆插入感染沒有入口點(diǎn)的感染OBJ、LIB和源碼的感染零長(zhǎng)度感染2023/2/6網(wǎng)絡(luò)入侵與防范講義58計(jì)算機(jī)病毒常用技術(shù)病毒的隱藏技術(shù)花指令計(jì)算機(jī)病毒的簡(jiǎn)單加密病毒的多態(tài)病毒代碼的優(yōu)化遠(yuǎn)程線程技術(shù)進(jìn)程/線程之間的互相保護(hù)2023/2/6網(wǎng)絡(luò)入侵與防范講義59蠕蟲的工作流程蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場(chǎng)處理四個(gè)階段，如圖所示。2023/2/6網(wǎng)絡(luò)入侵與防范講義60預(yù)防與清除計(jì)算機(jī)病毒計(jì)算機(jī)病毒的預(yù)防措施計(jì)算機(jī)病毒的檢測(cè)與清除2023/2/6網(wǎng)絡(luò)入侵與防范講義61第11章典型防御技術(shù)11.1加密技術(shù)11.2身份認(rèn)證11.3防火墻11.4入侵檢測(cè)系統(tǒng)11.5日志和審計(jì)11.6蜜罐與取證2023/2/6網(wǎng)絡(luò)入侵與防范講義62對(duì)稱密碼算法和非對(duì)稱密碼算法對(duì)稱密鑰密碼算法，又稱傳統(tǒng)密碼算法、秘密密鑰密碼算法加密和解密使用相同的密鑰Ke=Kd常用算法：DES,IDEA,Blowfish,RC2等優(yōu)點(diǎn)加密速度快，便于硬件實(shí)現(xiàn)和大規(guī)模生產(chǎn)缺點(diǎn)密鑰分配：必須通過保密的信道密鑰個(gè)數(shù)：n（n-1）/2無法用來簽名和抗抵賴（沒有第三方公證時(shí)）2023/2/6網(wǎng)絡(luò)入侵與防范講義63對(duì)稱密碼和非對(duì)稱密碼（Cont.）非對(duì)稱密碼，又稱公開密鑰密碼算法加密和解密使用不同的密鑰（公鑰Kp,私鑰Ks)，把公鑰公開，私鑰保密：c=EKp(m),m=DKs(c)常用算法：RSA,DSA,背包算法，ElGamal,橢圓曲線等優(yōu)點(diǎn)：密鑰分配：不必保持信道的保密性密鑰個(gè)數(shù)：npair可以用來簽名和抗抵賴缺點(diǎn)加密速度慢，不便于硬件實(shí)現(xiàn)和大規(guī)模生產(chǎn)2023/2/6網(wǎng)絡(luò)入侵與防范講義64單向哈希函數(shù)什么是哈希函數(shù)呢？哈希函數(shù)H把一個(gè)值x（值x屬于一個(gè)有很多個(gè)值的集合（或者是無窮多個(gè)值）），影射到另外一個(gè)值ｙ，ｙ屬于一個(gè)有固定數(shù)量個(gè)值（少于前面集合）的集合。哈希函數(shù)不是可逆函數(shù)——不同的輸入值可能產(chǎn)生相同的輸出。一個(gè)哈希函數(shù)具有單向函數(shù)的性質(zhì)——也就是說，給定一個(gè)值x，很容易計(jì)算H（x）但是，給定一個(gè)值y，很難找到一個(gè)值x，使得H（x）=y，這個(gè)哈希函數(shù)叫做單向哈希函數(shù)。2023/2/6網(wǎng)絡(luò)入侵與防范講義65一次性口令認(rèn)證“一次性口令”是只能使用一次的口令，在這之后，這個(gè)口令馬上失效。使用一次性口令的思想是，動(dòng)態(tài)產(chǎn)生無法預(yù)測(cè)的口令，而這個(gè)口令也只能用來訪問系統(tǒng)一次。第二次使用這個(gè)口令時(shí)，會(huì)返回一個(gè)錯(cuò)誤。2023/2