第-章網(wǎng)絡(luò)攻擊與防范講解優(yōu)秀文檔

第2章網(wǎng)絡(luò)攻擊與防范第2章網(wǎng)絡(luò)攻擊與防范2.1黑客概述2.1.1黑客的由來所謂黑客，是指利用通信軟件，通過網(wǎng)絡(luò)非法進(jìn)入他人計算機系統(tǒng)，獲取或篡改各種數(shù)據(jù)，危害信息安全的入侵者或入侵行為。在日本《新黑客詞典》中，對黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個人才干的人。他們不像絕大多數(shù)電腦使用者那樣，只規(guī)規(guī)矩矩地了解別人指定了解的狹小部分知識。”在《中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)》（GA163-1997）中，黑客被定義為“對計算機系統(tǒng)進(jìn)行非授權(quán)訪問的人員”。這也是目前大多數(shù)人對黑客的理解。2.1.2黑客文化黑客們充分利用互聯(lián)網(wǎng)跟那些興趣相同的人成為朋友和伙伴。在互聯(lián)網(wǎng)還不是很普及的時候，黑客們通過訪問他們自己建立的留言板系統(tǒng)（BBS），來與其他黑客聯(lián)系。黑客可以將BBS放在自己的計算機上，讓人們登陸系統(tǒng)去發(fā)送消息、共享信息、玩游戲以及下載程序。2.1.3知名黑客史蒂夫·喬布斯和斯蒂芬·沃茲尼克，蘋果公司創(chuàng)始人，都是黑客。他們早期的一些活動很像一些惡意黑客的行為。但是，喬布斯和沃茲尼亞克超越了惡意行為，開始專心開發(fā)計算機硬件和軟件。他們的努力開辟了個人電腦的時代。李納斯·托沃茲，Linux之父，一名正直的著名黑客。在黑客圈里，Linux系統(tǒng)非常受歡迎。托沃茲促進(jìn)了開放源代碼軟件觀念的形成，向人們證明了只要你向所有人公開信息，你就可以收獲不可思議的財富。理查德·斯托爾曼，人稱RMS，是自由軟件運動，GNU計劃和自由軟件基金的創(chuàng)始人。他促進(jìn)了免費軟件和自由訪問計算機的理念的推廣。同時他與一些組織（比如免費軟件基金會）一起合作，反對諸如數(shù)字版權(quán)管理這樣的政策。喬納森·詹姆斯，他在16歲的時候成為了首位被監(jiān)禁的青少年黑客，并因此惡名遠(yuǎn)播。他曾經(jīng)入侵過很多著名組織的站點，包括美國國防部下設(shè)的國防威脅降低局（DTRA）。通過此次黑客行動，他捕獲了用戶名和密碼，并瀏覽高度機密的電子郵件。詹姆斯還曾入侵過美國宇航局的計算機，并竊走價值170萬美元的軟件。據(jù)美國司法部長稱，他所竊取的軟件主要用于維護(hù)國際空間站的物理環(huán)境，包括對濕度和溫度的控制。當(dāng)詹姆斯的入侵行為被發(fā)現(xiàn)后，美國宇航局被迫關(guān)閉了整個計算機系統(tǒng)，并因此花費了納稅人的4.1萬美元。目前，詹姆斯正計劃成立一家計算機安全公司。2.1.3知名黑客凱文·米特尼克，在上世紀(jì)八十年代他可謂是惡名昭著，17歲的時候他潛入了北美空中防御指揮部（NORAD）。美國司法部曾經(jīng)將米特尼克稱為“美國歷史上被通緝的頭號計算機罪犯”，他的所作所為已經(jīng)被記錄在兩部好萊塢電影中，分別是《Takedown》和《FreedomDowntime》。米特尼克最初破解了洛杉磯公交車打卡系統(tǒng)，因此他得以免費乘車。在此之后，他也同蘋果聯(lián)合創(chuàng)始人斯蒂芬·沃茲尼克（SteveWozniak）一樣，試圖盜打電話。米特尼克首次被判有罪是因為非法侵入DigitalEquipment公司的計算機網(wǎng)絡(luò)，并竊取軟件。之后的兩年半時間里，米特尼克展開了瘋狂的黑客行動。他開始侵入計算機，破壞電話網(wǎng)絡(luò)，竊取公司商業(yè)秘密，并最終闖入了美國國防部預(yù)警系統(tǒng)。后來，他因為入侵計算機專家、黑客TsutomuShimomura的家用計算機而落網(wǎng)。在長達(dá)5年零8個月的單獨監(jiān)禁之后，米特尼克現(xiàn)在的身份是一位計算機安全作家、顧問和演講者。2.1.3知名黑客凱文·鮑爾森，也叫“黑暗但丁”，他因非法入侵洛杉磯KIIS-FM電話線路而聞名全美，同時也因此獲得了一輛保時捷汽車。美國聯(lián)邦調(diào)查局（FBI）也曾追查鮑爾森，因為他闖入了FBI數(shù)據(jù)庫和聯(lián)邦計算機，目的是獲取敏感信息。鮑爾森的專長是入侵電話線路，他經(jīng)常占據(jù)一個基站的全部電話線路。鮑爾森還經(jīng)常重新激活黃頁上的電話號碼，并提供給自己的伙伴用于出售。他最終在一家超市被捕，并被處以五年監(jiān)禁。在監(jiān)獄服刑期間，鮑爾森擔(dān)任了《Wired》雜志的記者，并升任高級編輯。阿德里安·拉莫，他熱衷入侵各大公司的內(nèi)部網(wǎng)絡(luò)，比如微軟公司等。他喜歡利用咖啡店、復(fù)印店或圖書館的網(wǎng)絡(luò)來從事黑客行為，因此獲得了一個“不回家的黑客”的綽號。拉莫經(jīng)常能發(fā)現(xiàn)安全漏洞，并對其加以利用。通常情況下，他會通知企業(yè)有關(guān)漏洞的信息。在拉莫的入侵名單上包括雅虎、花旗銀行、美洲銀行和Cingular等知名公司。由于侵入《紐約時報》內(nèi)部網(wǎng)絡(luò)，拉莫成為頂尖數(shù)碼罪犯之一。也正是因為這一罪行，他被處以6.5萬美元罰款，以及六個月家庭禁閉和兩年緩刑。拉莫現(xiàn)在是一位著名公共發(fā)言人，同時還是一名獲獎記者。2.1.3知名黑客2.1.4近10年著名黑客事件2000年，年僅15歲，綽號黑手黨男孩的黑客在2000年2月6日到2月14日情人節(jié)期間成功侵入包括雅虎、eBay和Amazon在內(nèi)的大型網(wǎng)站服務(wù)器，他成功阻止服務(wù)器向用戶提供服務(wù)，他于同年被捕。2000年，2001年5月，2002年11月，2006年10月16日，2007年4月27日，2007年，2008年，2009年7月7日，2.1.5黑客的行為發(fā)展趨勢1．黑客組織化2．黑客技術(shù)的工具化、智能化（1）黑客開發(fā)的工具。（2）很多網(wǎng)絡(luò)安全工具可以當(dāng)作黑客工具來使用，同樣是掃描器，網(wǎng)絡(luò)管理員可以用它來檢查系統(tǒng)漏洞，防患于未然，黑客也可以用它來尋找攻擊入口，為實施攻擊做好準(zhǔn)備，另外還有很多常用的網(wǎng)絡(luò)工具也能當(dāng)作黑客工具來用，如Telnet、Ftp等等。主要表現(xiàn)在以下3個方面。（1）反檢測技術(shù)攻擊者采用了能夠隱藏攻擊工具的技術(shù)，這使得安全專家通過各種分析方法來判斷新的攻擊的過程變得更加困難和耗時。（2）動態(tài)行為以前的攻擊工具按照預(yù)定的單一步驟發(fā)起進(jìn)攻，現(xiàn)在的自動攻擊工具能夠按照不同的方法更改它們的特征，如隨機選擇預(yù)定的決策路徑，或者通過入侵者直接控制。（3）攻擊工具的模塊化黑客技術(shù)智能化的表現(xiàn)3．黑客技術(shù)普及化黑客技術(shù)普及化的原因有以下三個方面：（1）黑客組織的形成，使黑客的人數(shù)迅速擴(kuò)大，如美國的“大屠殺2600”的成員就曾達(dá)到150萬人，這些黑客組織還提供大量的黑客工具，使掌握黑客技術(shù)的人數(shù)劇增。（2）黑客站點的大量出現(xiàn)。通過Internet，任何人都能訪問到這些站點，學(xué)習(xí)黑客技術(shù)也不再是一件困難的事。（3）計算機教育的普及，很多人在學(xué)習(xí)黑客技術(shù)上不再存在太多的專業(yè)障礙。4．黑客年輕化由于中國互聯(lián)網(wǎng)的普及，形成全球一體化，甚至連很多偏遠(yuǎn)的地方也可以從網(wǎng)絡(luò)上接觸到世界各地的信息資源，所以越來越多對這方面感興趣的中學(xué)生，也已經(jīng)踏足到這個領(lǐng)域。有資料統(tǒng)計，我國計算機犯罪者主要是19~30歲的男性，平均年齡約為23歲，而央視《中國法治報道》則將這個年齡拉低到19歲。這種現(xiàn)象反映出我們的網(wǎng)絡(luò)監(jiān)管及相關(guān)法律部門的管理存在著極大的漏洞。220xxxxxxx.1．用ping識別操作系統(tǒng)4(3)WedDec14)FTPserver(Versionwu-2.可以記錄安全事件，如有效的和無效的登錄嘗試，以及與創(chuàng)建、打開或刪除文件等資源使用相關(guān)聯(lián)的事件。那么這臺就肯定是Ｗindows的系統(tǒng)了。Replyfrom10.6:bytes=32time=234msTTL=237拉莫經(jīng)常能發(fā)現(xiàn)安全漏洞，并對其加以利用。27Serveratgosiuniversity.5．鞏固控制（提升權(quán)限）“半開放”掃描，無需打開一個完全的TCP連接。Replyfrom10.轉(zhuǎn)發(fā)IP數(shù)據(jù)包時，要求路由器至少將TTL減小1他們的努力開辟了個人電腦的時代。3基于認(rèn)證的入侵防范具體的使用方法，在此就不具體介紹了。5．黑客的破壞力擴(kuò)大化隨著Internet的高速發(fā)展，政府、軍事、銀行、郵電、企業(yè)、教育等等部門紛紛接入互聯(lián)網(wǎng)，電子商務(wù)也在蓬勃發(fā)展，全社會對互聯(lián)網(wǎng)的依賴性日益增加，黑客的破壞力也日益擴(kuò)大化。2009年6月2日，公安部發(fā)布消息稱，造成5月19日中國六省市互聯(lián)網(wǎng)大面積癱瘓、一手炮制“暴風(fēng)斷網(wǎng)門”（由于“暴風(fēng)影音”網(wǎng)站的域名解析系統(tǒng)受到黑客攻擊，導(dǎo)致電信DNS服務(wù)器訪問量突增，網(wǎng)絡(luò)處理性能下降。私服網(wǎng)站的“領(lǐng)頭羊”———DNSpod服務(wù)器

）的4名黑客已經(jīng)落網(wǎng)。沸沸揚揚的“斷網(wǎng)事件”告一段落，但一條“黑色產(chǎn)業(yè)鏈”因“暴風(fēng)斷網(wǎng)門”而浮出水面。有數(shù)據(jù)顯示，目前，我國黑客產(chǎn)業(yè)鏈已達(dá)10多億元規(guī)模，其破壞性則至少達(dá)到數(shù)百億元。2.2常見的網(wǎng)絡(luò)攻擊1．竊聽2．?dāng)?shù)據(jù)篡改

3．身份欺騙（IP地址欺騙）4．盜用口令攻擊（Password-BasedAttacks）5．拒絕服務(wù)攻擊（Denial-of-ServiceAttack）

6．中間人攻擊（Man-in-the-MiddleAttack）7．盜取密鑰攻擊（Compromised-KeyAttack）8．Sniffer攻擊（SnifferAttack）9．應(yīng)用層攻擊（Application-LayerAttack）

9．應(yīng)用層攻擊（Application-LayerAttack）

（1）閱讀、添加、刪除、修改用戶數(shù)據(jù)或操作系統(tǒng)（2）在用戶應(yīng)用系統(tǒng)中引入病毒程序（3）引入Sniffer，對用戶網(wǎng)絡(luò)進(jìn)行分析，以獲取所需信息，并導(dǎo)致用戶網(wǎng)絡(luò)的崩潰或癱瘓（4）引起用戶應(yīng)用系統(tǒng)的異常終止（5）解除用戶系統(tǒng)中的其他安全控制，為其新一輪攻擊打開方便之門應(yīng)用層攻擊2.2.1攻擊目的

網(wǎng)絡(luò)攻擊正朝著具有更多的商業(yè)動機發(fā)展。隨著動機改變，質(zhì)量也在改變。在許多情況下，網(wǎng)絡(luò)攻擊都是專業(yè)軟件開發(fā)人員所為。他們的主要目的有：①竊取信息②獲取口令③控制中間站點④獲得超級用戶權(quán)限2.2.2攻擊事件分類在信息系統(tǒng)中，存在3類安全威脅：①外部攻擊：攻擊者來自系統(tǒng)外部。②內(nèi)部攻擊：內(nèi)部越權(quán)行為。③行為濫用：合法用戶濫用特權(quán)。可將攻擊事件分為以下5類1．破壞型攻擊（SYNflood）2．利用型攻擊（特洛伊木馬，緩沖區(qū)溢出）3．信息收集型攻擊（地址掃描，端口掃描）4．垃圾信息攻擊（廣告，垃圾郵件）5．網(wǎng)絡(luò)欺騙攻擊（DNS欺騙，IP欺騙）2.3攻擊步驟1．確定攻擊的目標(biāo)2．收集被攻擊對象的有關(guān)信息（P25）3．利用適當(dāng)?shù)墓ぞ哌M(jìn)行掃描，尋找系統(tǒng)的安全漏洞。4．實施攻擊（毀掉入侵痕跡，創(chuàng)建新的安全漏洞或后門，以便先前漏洞被發(fā)現(xiàn)仍可繼續(xù)訪問）5．鞏固控制（提升權(quán)限）6．繼續(xù)深入（安裝后門，修補漏洞）7．清除痕跡（清理入侵痕跡，清理日志）2.3攻擊步驟2.4網(wǎng)絡(luò)攻擊的實施1．調(diào)查、收集和判斷目標(biāo)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)等信息2．制定攻擊策略和確定攻擊目標(biāo)3．掃描目標(biāo)系統(tǒng)4．攻擊目標(biāo)系統(tǒng)5萬美元罰款，以及六個月家庭禁閉和兩年緩刑。例如，數(shù)據(jù)庫程序可在應(yīng)用日志中記錄文件錯誤。5萬美元罰款，以及六個月家庭禁閉和兩年緩刑。（2）保護(hù)系統(tǒng)文件和目錄權(quán)限，可以有效地保護(hù)日志文件，從而使未授權(quán)用戶不能訪問這些文件夾。7．清除痕跡（清理入侵痕跡，清理日志）他們的努力開辟了個人電腦的時代。（3）限制空連接，保護(hù)共享文件，可以通過啟用防火墻監(jiān)視網(wǎng)絡(luò)連接情況。4(3)WedDec14)FTPserverready.27Serveratgosiuniversity.Connectedto10.（3）引入Sniffer，對用戶網(wǎng)絡(luò)進(jìn)行分析，以獲取所需信息，并導(dǎo)致用戶網(wǎng)絡(luò)的崩潰或癱瘓喬納森·詹姆斯，他在16歲的時候成為了首位被監(jiān)禁的青少年黑客，并因此惡名遠(yuǎn)播。2.4.1網(wǎng)絡(luò)信息搜集1．用ping識別操作系統(tǒng)Pingingwith32bytesofdata:Replyfrom:bytes=32time<10msTTL=128Replyfrom:bytes=32time<10msTTL=128Replyfrom:bytes=32time<10msTTL=128Replyfrom:bytes=32time<10msTTL=128Pingstatisticsfor:Packets:Sent=4，Received=4，Lost=0(0%loss)，Approximateroundtriptimesinmilli-seconds:Minimum=0ms，Maximum=0ms，Average=0msC:\>Pingingwith32bytesofdata:Requesttimedout.Replyfrom:bytes=32time=250msTTL=237Replyfrom:bytes=32time=234msTTL=237Replyfrom:bytes=32time=234msTTL=237Pingstatisticsfor:Packets:Sent=4，Received=3，Lost=1(25%loss)，Approximateroundtriptimesinmilli-seconds:Minimum=234ms，Maximum=250ms，Average=179msTTL是由發(fā)送主機設(shè)置的，指被路由器丟棄之前允許通過的網(wǎng)段數(shù)量。以防止數(shù)據(jù)包不斷在IP互聯(lián)網(wǎng)絡(luò)上永不終止地循環(huán)。轉(zhuǎn)發(fā)IP數(shù)據(jù)包時，要求路由器至少將TTL減小1LINUX64

WIN2K/NT128

WINDOWS系列32

UNIX系列255

可以修改注冊表，來掩飾ttl泄露系統(tǒng)類型MicrosoftWindows2000[Version5.00.2195]?版權(quán)所有1985-1998MicrosoftCorp.C:\>telnet80輸入get回車如果返回，HTTP/1.1400BadRequestDate:Fri，11Jul200302:31:55GMTContent-Type:text/htmlContent-Length:87Theparameterisincorrect.遺失對主機的連接。C:\>那么這臺就肯定是Ｗindows的系統(tǒng)了。如果返回：MethodNotImplementedgetto/notsupported.InvalidmethodinrequestgetApache/1.3.27ServeratPort80遺失對主機的連接。C:\>那么多數(shù)就是UINX的系統(tǒng)了。如果返回，Connectedto.220ready，dude(vsFTPd1.1.0:beatme，breakme)User(none)):那么這就是一臺UINX的機子了。如果開了23端口，這個就簡單了，直接telnet上去。如果返回，Microsoft?Windows?Version5.00(Build2195)WelcometoMicrosoftTelnetServiceTelnetServerBuild5.00.99201.1login:那么這肯定是一臺windows的機子了如果返回，SunOS5.8login:不用說了，這當(dāng)然是一臺UINX的機子了，并且版本是SunOS5.8的。telnet（1）著名的nmap，它采用的是主動式探測，探測時會主動向目標(biāo)系統(tǒng)發(fā)送探測包，根據(jù)目標(biāo)目標(biāo)機回應(yīng)的數(shù)據(jù)包來，叛斷對方機器的操作系統(tǒng)。（2）天眼，采用的是被動式的探測方法。不向目標(biāo)系統(tǒng)發(fā)送數(shù)據(jù)包，只是被動地探測網(wǎng)絡(luò)上的通信數(shù)據(jù)，通過分析這些數(shù)據(jù)來判斷操作系統(tǒng)的類型。配合superscan使用，效果很好。具體的使用方法，在此就不具體介紹了。有興趣的學(xué)生可以到網(wǎng)上搜索一下關(guān)于天眼使用方法的文章。2.4.2端口掃描1.什么是掃描器（程序，檢測安全性弱點，發(fā)現(xiàn)服務(wù)器的各種TCP端口的分配及提供的服務(wù)）原理：試用遠(yuǎn)程TCP/IP不同端口的服務(wù)，記錄應(yīng)答（ftp）2.掃描器能干什么（發(fā)現(xiàn)目標(biāo)主機提供的服務(wù)及潛在弱點）（1）TCPconnect()掃描。系統(tǒng)調(diào)用connect()，對可能處于監(jiān)聽狀態(tài)的計算機端口進(jìn)行連接。優(yōu)點：不需要特殊權(quán)限，速度快 缺點：易被發(fā)現(xiàn)，會被過濾掉（2）TCPSYN掃描?！鞍腴_放”掃描，無需打開一個完全的TCP連接。發(fā)送SYN數(shù)據(jù)包，根據(jù)ACK返回信息進(jìn)行判斷 優(yōu)點：不會留下記錄 缺點：需要root權(quán)限才能建立SYN數(shù)據(jù)包（3）TCPFIN掃描。原理是：關(guān)閉的端口會用適當(dāng)?shù)腞ST來恢復(fù)FIN數(shù)據(jù)包，打開的端口會忽略對FIN數(shù)據(jù)包的回復(fù)。（4）IP段掃描。不直接發(fā)送TCP探測數(shù)據(jù)包，而是將數(shù)據(jù)包紛呈兩個較小的IP段后進(jìn)行發(fā)送。即一個TCP包分為多個數(shù)據(jù)包，不易被過濾器探測。（5）TCP反向ident掃描。Ident協(xié)議允許看到通過TCP連接的任何進(jìn)程擁有者的用戶名。P32例子（6）FTP返回攻擊。通過代理ftp攻擊，難以跟蹤220FTPserver(Versionwu-2.4(3)WedDec14)ready.220FTPserverready.220xx.Telcom.xxxx.EDUFTPserver(Versionwu-2.4(3)TueJun11)ready.220lemFTPserver(SunOS4.1)ready.220xxx.xxx.esFTPserver(Versionwu-2.4(11)SatApr27)ready.220eliosFTPserver(SunOS4.1)ready這種方法不能成功的情景：220FTPserver(VersionDG-2.0.39SunMay4)ready.220xxx.xx.xxxxx.EDUVersionwu-2.4.2-academ[BETA-12](1)FriFeb7220ftpMicrosoftFTPService(Version3.0).220xxxFTPserver(Versionwu-2.4.2-academ[BETA-11](1)TueSep3)ready.220FTPserver(Versionwu-2.4.2-academ[BETA-13](6))ready.（7）UDPICMP端口不能到達(dá)掃描。使用udp協(xié)議，無狀態(tài)協(xié)議，掃描困難，速度慢（8）UDPrecvfrom()和write()掃描。利用系統(tǒng)IPC接口函數(shù)的返回狀態(tài)進(jìn)行判斷。（9）ICMPecho掃描。略2.4.3基于認(rèn)證的入侵防范1.IPC$入侵IPC$本來主要是用來遠(yuǎn)程管理計算機的，但實際上往往被入侵者用來與遠(yuǎn)程主機實現(xiàn)通信和控制。入侵者能夠利用它做到：

建立、拷貝、刪除遠(yuǎn)程計算機文件；

在遠(yuǎn)程計算機上執(zhí)行命令。1）遠(yuǎn)程文件操作2）留后門賬號3）IPC$空連接漏洞4）IPC$入侵常見問題1）遠(yuǎn)程管理（通過遠(yuǎn)程登錄軟件（telnet，ssh，遠(yuǎn)程桌面），映射到本地）2）查看信息：日志（應(yīng)用程序，安全，系統(tǒng)），共享信息和會話，用戶和組3）開啟遠(yuǎn)程主機服務(wù)的其他辦法編寫開啟遠(yuǎn)程服務(wù)的bat腳本通過ipc建立連接，把bat腳本復(fù)制到遠(yuǎn)程計算機查看nettime，為遠(yuǎn)程計算機建立計劃任務(wù)，定時執(zhí)行bat腳本以開啟服務(wù)4）常見問題：略1．用ping識別操作系統(tǒng)6:bytes=32time=250msTTL=2372009年6月2日，公安部發(fā)布消息稱，造成5月19日中國六省市互聯(lián)網(wǎng)大面積癱瘓、一手炮制“暴風(fēng)斷網(wǎng)門”（由于“暴風(fēng)影音”網(wǎng)站的域名解析系統(tǒng)受到黑客攻擊，導(dǎo)致電信DNS服務(wù)器訪問量突增，網(wǎng)絡(luò)處理性能下降。在遠(yuǎn)程計算機上執(zhí)行命令。3）開啟遠(yuǎn)程主機服務(wù)的其他辦法C:\>telnet10.2．利用型攻擊（特洛伊木馬，緩沖區(qū)溢出）黑客技術(shù)智能化的表現(xiàn)2007年4月27日，IPC$本來主要是用來遠(yuǎn)程管理計算機的，但實際上往往被入侵者用來與遠(yuǎn)程主機實現(xiàn)通信和控制。①系統(tǒng)關(guān)閉時刪除所有臨時文件，啟動時利用殺毒軟件檢查重要的系統(tǒng)文件。由于中國互聯(lián)網(wǎng)的普及，形成全球一體化，甚至連很多偏遠(yuǎn)的地方也可以從網(wǎng)絡(luò)上接觸到世界各地的信息資源，所以越來越多對這方面感興趣的中學(xué)生，也已經(jīng)踏足到這個領(lǐng)域。詹姆斯還曾入侵過美國宇航局的計算機，并竊走價值170萬美元的軟件。（4）禁用不必要的服務(wù)。Approximateroundtriptimesinmilli-seconds:4．實施攻擊（毀掉入侵痕跡，創(chuàng)建新的安全漏洞或后門，以便先前漏洞被發(fā)現(xiàn)仍可繼續(xù)訪問）2.4.4信息隱藏技術(shù)（1）數(shù)字水印技術(shù)(DigitalWatermark)–將一些標(biāo)識信息（即數(shù)字共享水印）直接嵌入數(shù)字載體當(dāng)中，但不影響原載體的使用價值，也不容易被人的感知系統(tǒng)注意到和再次修改。（2）隱寫術(shù)(Steganography)–將秘密信息隱藏到看上去普通的信息中進(jìn)行傳遞。（3）可視密碼技術(shù)–恢復(fù)秘密圖像時不需要任何復(fù)雜的密碼學(xué)技術(shù)，而是以人的視覺即可將秘密圖像辨別出來。產(chǎn)生n張具有一定意義的膠片，通過某種疊加來還原出隱藏在其中的秘密信息。2.4.5安全解決方案（自己看）（1）首先了解本機共享資源，在cmd窗口輸入“netshare”命令；（2）刪除共享資源：有了IPC$空連接作為連接基礎(chǔ)，入侵者可以進(jìn)行反復(fù)的試探性連接，直到連接成功、獲取密碼，這就為入侵者暴力破解提供了可能性，被入侵只是時間問題。為了解決這個問題，打開注冊表編輯器，在：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中把RestrictAnonymous=DWORD的鍵值改為：00000001(也可以改為2，不過改為2后可能造成一些服務(wù)不能正常工作)。修改完畢重起計算機，這樣便禁止了空連接進(jìn)行枚舉攻擊。要說明的是，這種方法并不能禁止建立空連接?，F(xiàn)在再使用X-Scan對計算機進(jìn)行安全檢測，便會發(fā)現(xiàn)該主機不再泄露用戶列表和共享列表，操作系統(tǒng)類型也不會被X-Scan識別。Server服務(wù)是IPC$和默認(rèn)共享所依賴的服務(wù)，如果關(guān)閉它，IPC$和默認(rèn)共享便不存在，但同