第2章 黑客常用的系统攻击方法.

Slides:



Advertisements
Similar presentations
日期: 104 年 5 月 29 日 ( 五 )14:00~15:30 地點:本校紫竹大樓 2 樓 E 化專科教室 資訊融入教學與規劃 - 朗朗學英語飛入雲端 - 報告人 : 資訊執秘王怡文.
Advertisements

首页.
第二届全国网络安全宣传周 ——“共建网络安全、共享网络文明” 网络安全知识讲座 主讲人:刘玉艳 单位:池州学院
拒绝服务攻击 DoS 攻击 LAND Teardrop, SYN flood ICMP : smurf
项目四:Internet基础与接入方法 第八章 应用服务器安装配置
计算机网络 张福燕 (北京市育才学校通州分校).
第6章:计算机网络基础 网考小组.
第三章 駭客入侵流程解析.
半导体所网络概况 图书信息中心 张 棣.
第5章 网络互联设备和多层交换 本章要点: ◆ 了解网络互联的基本概念及各层网络互联设备 ◆ 掌握中继器和集线器的性能、作用和分类
大学计算机基础 主讲:张建国 电话: 实验及交作业网址:
2.4 计算机网络基础 什么是计算机网络? 计算机网络有哪些功能? 计算机网络的发展历史? 计算机网络体系结构的内容? 计算机网络如何分类?
第1章 网络安全基础 指导教师:杨建国 2017年3月5日.
網路犯罪 組別:第5組 組員:卓岳正,連樹勛,劉洛翔,劉博文,蔡宗憲,吳柏錞,程聖發 組長:卓岳正
网络常用命令.
網路駭客攻擊方式與防範 康宇佳 劉雙瑜 彭昕婷 陳韋蓉
信息犯罪与计算机取证 第三章计算机入侵.
VOLANS认证培训 ——ARP攻击与防御.
了 解 从 Internet IP 开 始.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
第十一章 網路駭客攻擊 及防制策略 課前指引 資訊網路科技的快速普及雖然帶給人類莫大的助益,卻也帶來不少的犯罪問題,而資訊犯罪已隱然成為未來社會棘手的問題。資訊犯罪並不單純只是電腦的問題,亦包括公約、倫理、道德及法律層面等問題。其中,又以網路駭客入侵問題最具神秘性且防制困難度較高。
2017/3/19 第一章 网络安全概述 1.
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
第6章 计算机网络基础.
第7章 计算机网络与安全.
5.1 Internet 概述 Internet(因特网)是国际计算机互联网络,它将全世界不同国家、不同地区、不同部门和机构的不同类型的计算机及国家主干网、广域网、城域网、局域网通过网络互联设备互联。 
了 解 Internet 从 ip 开 始.
网络故障的检测及修复.
2017/4/6 课程整体设计 计算机组网技术 梁建华.
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
第一章 網路攻防概述.
计算机系统安全 第10章 常用攻击手段.
电话: 全省校园网网管培训 ——Windows 2000 Server 南京工业大学网络中心 崔北亮 电话:
信息安全基础 与ISEC项目 国家信息化安全教育认证管理中心ISEC.
徐馨 淮海工学院计算机工程学院 网络攻防技术 第一讲 网络攻击技术概述 徐馨 淮海工学院计算机工程学院.
指導老師:戴偉峻老師 995F0002陳柏銘 995F0003邱冠誠 995F0040羅慈戰
教学目的:通过本章的学习大家要掌握端口 教学重点:端口的分类的两大类,静态端口 教学难点:几种常见的端口.
网络与信息安全 第一章 网络安全概述 1 沈超 刘烃 自动化-系统所 西安交通大学电信学院
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
網路概論.
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
網路服務 家庭和小型企業網路 – 第六章.
计算机网络技术基础 任课老师: 田家华.
网络情况介绍与要求 网络中心.
網路探測:路徑、延遲 與流量統計 Instructor: Teaching Assistant:.
Windows 2003 server 進階介紹 麋鹿.
認識FTP檔案傳輸協定 建立我的部落格 Archie檔案檢索服務 Google搜尋密技 歷久彌新的老朋友-BBS Skype網路電話
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
黑客大曝光 安 阳 大 年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范.
网络故障诊断.
NetST®防火墙培训教程 清华得实® 保留所有权利.
E地通VPN设备部署.
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
蘋果電腦的作業系統可以和Windows作業系統一樣,可以做Scan to Folder
常見網路設備簡介 A 周緯龍.
Network Application Programming(3rd Edition)
網路建構實習課 從防火牆到封包分析 3/25.
计算机网络情况介绍 曾理
個人電腦與網路 1.個人電腦IP設定 自動取得IP與固定IP IP登錄系統與IP自動分配系統 固定IP申請 IP衝突處理
網路安全管理 期末報告 A 許之青 24/04/2019.
DoS、DDoS網路攻擊 A 沈惇鈺 指導教授:梁明章.
蘋果電腦的作業系統可以和Windows作業系統一樣,可以做Scan to Folder
科学架设和优化校园组网结构 提升内部网络访问和管理水平
网络与信息安全 第3章 网络监听及防御技术 1 沈超 刘烃 自动化科学与技术系 西安交通大学电子与信息工程院
第10讲 Web服务.
信息安全防护技术—— 防火墙和入侵检测 万明
黑客反向工程导论 中国科技大学计算机系
Presentation transcript:

第2章 黑客常用的系统攻击方法

黑客原理与防范措施 黑客发展的历史 网络威胁 网络扫描 网络监听 常用黑客技术的原理(木马、缓冲区溢出等) 黑客攻击的防范

黑客发展的历史 Hacker的由来 黑客、骇客(Cracker )

信息安全受到的威胁

攻击复杂度与所需入侵知识关系图

威胁的动机 贪心 - 偷窃或者敲诈 恶作剧 – 无聊的计算机程序员 名声 – 显露出计算机经验与才智,以便证明他们的能力和获得名气 报复/宿怨 – 解雇、受批评或者被降级的雇员,或者其他任何认为其被不公平地对待的人 无知 – 失误和破坏了信息还不知道破坏了什么 黑客道德 - 这是许多构成黑客人物的动机 仇恨 - 国家和民族原因 间谍 -政治和军事目的谍报工作 商业 -商业竞争,商业间谍

黑客守则 1) 不恶意破坏系统 2) 不修改系统文档 3) 不在bbs上谈论入侵事项 4) 不把要侵入的站点告诉不信任的朋友 5) 在post文章时不用真名 6) 入侵时不随意离开用户主机 7) 不入侵政府机关系统 8) 不在电话中谈入侵事项 9) 将笔记保管好 10) 要成功就要实践 11) 不删除或涂改已入侵主机的帐号 12) 不与朋友分享已破解的帐号

黑客入侵攻击的一般过程 1. 确定攻击的目标。 2. 收集被攻击对象的有关信息。 3. 利用适当的工具进行扫描。 1.         确定攻击的目标。 2.         收集被攻击对象的有关信息。 3.         利用适当的工具进行扫描。 4.         建立模拟环境,进行模拟攻击。 5.         实施攻击。 6. 清除痕迹。

口令攻击 通过猜测或获取口令文件等方式获得系统认证口令 从而进入系统 危险口令类型 . 用户名 . 用户名变形 . 生日 . 常用英文单词 . 5为以下长度的口令 暴力破解:举例 NAT

网络安全扫描技术

网络安全扫描技术在网络安全行业中扮演的角色 (1)扫描软件是入侵者分析将被入侵系统的必备工具 (2)扫描软件是系统管理员掌握系统安全状况的必备工具 (3)扫描软件是网络安全工程师修复系统漏洞的主要工具 (4)扫描软件在网络安全的家族中可以说是扮演着医生的角色 1.合法使用:检测自己服务器端口,以便给自己提供更好的服务; 2.非法使用:查找服务器的端口,选取最快的攻击端口

网络安全扫描技术分类 一.一般的端口扫描器 二.功能强大的特殊端口扫描器 三.其他系统敏感信息的扫描器

扫描器原理-预备知识

预备知识-TCP头

预备知识-IP头

常用的扫描软件 X-scan nmap Fluxay ipscan

端口扫描程序Nmap Nmap简介 Nmap支持的四种最基本的扫描方式: (1)Ping扫描(-sP参数)。 (2)TCP connect()端口扫描(-sT参数)。 (3)TCP同步(SYN)端口扫描(-sS参数)。 (4) UDP端口扫描(-sU参数)。

专用扫描器的介绍 (1)CGI Scanner (2)Asp Scanner (3)从各个主要端口取得服务信息的Scanner (6)远程控制系统扫描器

代理猎手

企业级扫描系统 一.优秀网络安全扫描系统的介绍: (1)ISS 公司的Internet Scanner (2)NAI 公司的cybercop Scanner 二.系统(本地)扫描器和远程扫描器

企业级扫描系统要素 (1)速度 (2)对系统的负面影响 (3)能够发现的漏洞数量 (4)清晰性和解决方案的可行性 (5)更新周期 (6)所需软硬件环境要求 (7)界面的直观性和易用性 (8)覆盖范围

网络安全扫描软件的局限性 (1)扫描器难以智能化 ,不能完全代替人工分析 (2)扫描器依赖升级工作,才能确保长期的有效性 (3)使用扫描器,必须考虑到有关法律的规定和限制,不能滥用

总结 (1) 扫描器和其它产品一样,只是一个工具,我们不能完全依赖他的工作,人的因素也是至关重要的。 (2) 扫描器能够发挥的功能取决于人,人的工作是大量的同时是必不可少的。只有人的努力才能够确保扫描器功能的强大。 (3) 扫描器质量的好坏,在于开发公司在安全实践中积累的经验和更新能力。

Sniffer原理 Sniffer,中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。 采用这种技术,我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。

网卡工作原理 网卡内的单片程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就在接收后产生中断信号通知CPU,认为不该接收就丢弃不管。CPU得到中断信号产生中断,操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。

网卡的工作模式 普通方式: 混杂模式(promiscuous):够接收到一切通过它的数据

网络监听原理 嗅探者B FTP 服务器C 普通用户A 以太网(HUB) Login Mail Username: herma009<cr> Password: hiHKK234 <cr> 以太网(HUB) Username: herma009<cr> Password: hiHKK234 <cr> FTP Login Mail 服务器C 普通用户A

网络监听原理 一个sniffer需要作的: 把网卡置于混杂模式。 捕获数据包。 分析数据包

HUB工作原理

HUB工作原理

交换环境下的SNIFF

交换环境下的SNIFF

ARP spoof 嗅探者B IP:10.1.1.3 MAC:20-53-52-43-00-03 Switch的MAC地址表 服务器C router Switch的MAC地址表 switch 服务器C IP:10.1.1.1 MAC: 20-53-52-43-00-01 Username: herma009<cr> Password: hiHKK234 <cr> 普通用户A IP:10.1.1.2 MAC: 20-53-52-43-00-02 FTP

常用的SNIFF (1)windows环境下 :图形界面的SNIFF netxray sniffer pro (2)UNUX环境下 :UNUX环境下的sniff可以说是百花齐放,他们都有一个好处就是发布源代码,当然也都是免费的 。 如sniffit,snoop, tcpdump, dsniff Ettercap(交换环境下)

常用的SNIFF (1).Sniffer Pro (2). Ethereal (3). Net monitor (4). EffTech HTTP Sniffer (5). Iris

如何防止SNIFF 进行合理的网络分段 用SSH加密 Sniffer往往是入侵系统后使用的,用来收集信息,因此防止系统被突破。 防止内部攻击。 AntiSniff 工具用于检测局域网中是否有机器处于混杂模式 (不是免费的)

木马(Trojan horse) 木马是一种基于远程控制的黑客工具 隐蔽性 潜伏性 危害性 非授权性

木马与病毒、远程控制的区别 病毒程序是以自发性的败坏为目的 木马程序是依照黑客的命令来运作,主要目的是偷取文件、机密数据、个人隐私等行为。 隐蔽、非授权性

木马的工作原理 实际就是一个C/S模式的程序(里应外合) 端口 操作系统 TCP/IP协议 TCP/IP协议 操作系统 端口 控制端 被植入木马的PC(server程序) 端口 操作系统 TCP/IP协议 TCP/IP协议 操作系统 端口 端口处于监听状态 被植入木马的PC(client程序) 控制端

木马实施攻击的步骤 1.       配置木马 木马伪装: 信息反馈: 2.       传播木马 3.       启动木马 4.       建立连接 5.       远程控制

木马伪装方法 1.木马文件的隐藏与伪装 (1)文件的位置 (2)文件的属性 (3) 捆绑到其他文件上 (4) 文件的名字: (3)  捆绑到其他文件上 (4)  文件的名字: (5)  文件的的扩展名 (6)文件的图标

发现木马的方法 系统的异常情况 打开文件,没有任何反应 查看打开的端口 检查注册表 查看进程

1.     木马运行中的隐藏与伪装 (1) 在任务栏里隐藏 (2) 在任务管理器里隐藏 (3)隐藏端口

木马启动方式 win.ini system.ini 启动组 注册表 捆绑方式启动 : 伪装在普通文件中 设置在超级连接中

防御 发现木马:检查系统文件、注册表、端口 不要轻易使用来历不明的软件 不熟悉的E-MAIL不打开 常用杀毒软件并及时升级 查在安装新的软件之前,请先备份注册表在安装完软件以后,立即用杀毒软件查杀Windows文件夹和所安装的软件的所在文件夹。如果杀毒软件报告有病毒,这时请将它杀掉,杀毒完成后,重新启动计算机

木马传播方式 主动与被动: 主动种入 通过E-mail 文件下载 浏览网页

流行木马简介 冰 河 back orifice Subseven 网络公牛(Netbull) 网络神偷(Nethief) 广外女生 Netspy(网络精灵)

拒绝服务攻击(DoS) DoS--Denial of Service DoS攻击的事件 : 2000年2月份的Yahoo、亚马逊、CNN被DoS攻击 2002年10月全世界13台DNS服务器同时受到了DDoS(分布式拒绝服务)攻击。 2003年1月25日的“2003蠕虫王”病毒 2004年8月,共同社报道:日本近期共有上百网站遭到黑客袭击。

(DoS): SYN 攻击者 目标主机 SYN/ACK 等待应答 SYN:同步 SYN/ACK:同步/确认 SYN/ACK

拒绝服务攻击(DoS)(控制) . . 目标主机 . . 等待应答SYN/ACK . SYN SYN SYN SYN SYN/ACK 攻击者 SYN/ACK SYN/ACK 1 . . 等待应答SYN/ACK . SYN/ACK SYN/ACK SYN/ACK SYN/ACK n

以windows 为例SYN攻击 花费时间(秒) 累计花费时间(秒) 第一次,失败 3 尝试第1 次,失败 6 9 尝试第2 次,失败 12 21 尝试第3 次,失败 24 45 尝试第4 次,失败 48 93 尝试第5 次,失败 96 189

行行色色的DOS攻击 死亡之ping SYN Flood Land攻击 泪珠(Teardrop)攻击

DDoS攻击时序(分布式拒绝服务) 攻击准备: 1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。 代理程序 安置代理 各种客户主机 目标系统 攻击者 攻击准备: 1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。 2)攻击者进入其已经发现的最弱的客户主机之内(“肉机”),并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。

DDoS攻击时序(分布式拒绝服务) 指令 目标系统 发起攻击: 攻击的代理程序 虚假的连接请求 指令 攻击者 目标系统 发起攻击: 3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。 4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统,最终将导致它因通信淤塞而崩溃。

自我传播的电子邮件e-mail病毒 一个病毒被发给许多的客户。只要他们打开并且启动该病毒,... 按指数率增长 一个病毒被发给许多的客户。只要他们打开并且启动该病毒,... ...该病毒将再继续传播,传送它本身到别的客户,诸如此类(病毒感染呈指数增长)。

缓冲区溢出(buffer overflow) 把1升的水注入容量为0.5升的容量中 通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。

缓冲区溢出实例 void function(char *str) { char buffer[16];    strcpy(buffer,str); } void main() {   char large_string[256];   int i;   for( i = 0; i < 255; i++)     large_string[i] = 'A';   function(large_string); }

缓冲区溢出原理

什么是缓冲区溢出 缓冲区溢出指的是一种系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。

缓冲区溢出出现情况 缓冲溢出安全问题在下列环境中能出现: * 当直接往缓冲直接读入时 * 当从一个大的缓存拷贝入小的缓存时 * 当将其它进程的输入放入一个字符串缓存