徐馨 E-MAIL:Leo_smile@tom.com 淮海工学院计算机工程学院 网络攻防技术 第一讲 网络攻击技术概述 徐馨 E-MAIL:Leo_smile@tom.com 淮海工学院计算机工程学院

内容 网络面临的安全威胁 网路攻击的分类 网络攻击的步骤 网络攻击的后果 攻击技术的发展趋势 网络攻击与社会工程学

为什么要研究攻击技术 知己知彼，百战不殆 中国《孙子》 Pay attention to your enemies, for they are the first to discover your mistakes. Antistthenes, 440 BC 了解网络安全的重要手段 黑客攻击技术 网络防护的一部分 研究网络攻击，是为了更加有效地对网络进行防护 技术繁多，没有明显的理论指导 一些技术，既是黑客技术，也是网络管理技术，或者是网络防护技术

1、严峻的信息安全问题 2000年2月6日前后，美国YAHOO等8家大型网站接连遭受黑客的攻击，直接经济损失约为12亿美元（网上拍卖“电子港湾”网站、亚马逊网站、AOL） 此次安全事故具有以下的特点： 攻击直接针对商业应用 攻击造成的损失巨大 信息网络安全关系到全社会

2、急需解决的若干安全问题 信息安全与高技术犯罪 1999年，上海XX证券部电脑主机被入侵 2000年2月14日，中国选择网（上海）受到黑客攻击，造成客户端机器崩溃，并采用类似攻击YAHOO的手法，通过攻击服务器端口，造成内存耗尽和服务器崩溃 我国约有64%的公司信息系统受到攻击，其中金融业占总数的57% 不受欢迎的垃圾邮件的现象愈演愈烈 1999年4月26日，CIH病毒“世纪风暴” 媒体内容的安全性

凯文米特尼克 凯文•米特尼克是美国20世纪最著名的黑客之一，他是“社会工程学”的创始人 1979年他和他的伙伴侵入了北美空防指挥部 1983年的电影《战争游戏》演绎了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战

莫里斯蠕虫（Morris Worm） 时间 肇事者 机理 影响 CERT/CC的诞生 1988年 -Robert T. Morris , 美国康奈尔大学学生，其父是美国国家安全局安全专家 机理 -利用sendmail, finger 等服务的漏洞，消耗CPU资源，拒绝服务 影响 -Internet上大约6000台计算机感染，占当时Internet 联网主机总数的10%，造成9600万美元的损失 CERT/CC的诞生 -DARPA成立CERT（Computer Emergency Response Team），以应付类似“蠕虫（Morris Worm）”事件

94年末，俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元 96年8月17日，美国司法部的网络服务器遭到黑客入侵，并将“ 美国司法部” 的主页改为“ 美国不公正部” ，将司法部部长的照片换成了阿道夫·希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字 96年9月18日，黑客光顾美国中央情报局的网络服务器，将其主页由“ 中央情报局” 改为“ 中央愚蠢局” 96年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址

98年2月25日，美国国防部四个海军系统和七个空军系统的电脑网页遭侵入 98年5月底，印度原子研究中心的主页(www.barc.ernet.in)遭侵入 98年8月31日，澳大利亚主要政党和政府官员的网站遭黑客袭击，网址被篡改 98年9月13日，纽约时报站点（www.nytimes.com）遭黑客袭击 2000年2月，著名的Yahoo、eBay等高利润站点遭到持续两天的拒绝服务攻击，商业损失巨大 2002年3月底，美国华盛顿著名艺术家Gloria Geary在eBay拍卖网站的帐户，被黑客利用来拍卖 Intel Pentium芯片 2002年6月，日本2002年世界杯组委会的官方网站由于黑客成功侵入并在该网站上发布侮辱性内容而被迫关闭

2001年中美黑客大战 事件背景和经过 4.1撞机事件为导火线 4月初，以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改 4月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了 “五一卫国网战”战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战

中美五一黑客大战 2001年5月1日是国际劳动节，5月4日是中国的青年节，而5月7日则是中国在南斯拉夫的大使馆被炸两周年的纪念日。中国黑客在这几个重大的纪念日期间对美国网站发起了大规模的攻击 美国部分被黑网站 美国加利福尼亚能源部 日美社会文化交流会 白宫历史协会 UPI新闻服务网 华盛顿海军通信站

国内网站遭攻击的分布

国外黑客更改的网页 国内某大型商业网站 国内某政府网站 中国科学院心理研究所 中经网数据有限公司

国内黑客组织更改的网站页面 美国某大型商业网站 美国某政府网站 美国劳工部网站 美国某节点网站 中新网6月17日电在16日早上，英国执政党工党的官方网站上的最新消息不见了，取而代之的美国总统布什抱着一头狗的图片，而狗的头部被贴上了英国首相布莱尔的相片。有关图片直到英国时间早上9点45分才被移去。 抗非典网站乱码。

这次事件中采用的常用攻击手法 红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下： “我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大部分都是NT/Win2000系统， 这个行动在技术上是没有任何炫耀和炒作的价值的。” 主要采用当时流行的系统漏洞进行攻击

这次事件中被利用的典型漏洞 用户名泄漏，缺省安装的系统用户名和密码 Unicode 编码可穿越firewall,执行黑客指令 ASP源代码泄露可远程连接的数据库用户名和密码 SQL server缺省安装 微软Windows 2000登录验证机制可被绕过 Bind 远程溢出，Lion蠕虫 SUN rpc.sadmind 远程溢出，sadmin/IIS蠕虫 Wu-Ftpd 格式字符串错误远程安全漏洞 拒绝服务 (syn-flood , ping )

这次事件中被利用的典型漏洞 用户名泄漏，缺省安装的系统用户名和密码 获得用户名 和简单密码 利用黑客工具 扫描系统用户 入侵者

这次事件中被利用的典型漏洞 Windows 2000登录验证机制可被绕过

红色代码 2001年7月19日，全球的入侵检测系统(IDS)几乎同时报告遭到不名蠕虫攻击 在红色代码首次爆发的短短9小时内，以迅雷不及掩耳之势迅速感染了250,000台服务器 最初发现的红色代码蠕虫只是篡改英文站点主页，显示“Welcome to http://www.worm.com! Hacked by Chinese!” 随后的红色代码蠕虫便如同洪水般在互联网上泛滥，发动拒绝服务(DoS)攻击以及格式化目标系统硬盘，并会在每月20日～28日对白宫的WWW站点的IP地址发动DoS攻击，使白宫的WWW站点不得不全部更改自己的IP地址。

“红色代码”的蔓延速度

尼姆达（Nimda） 尼姆达是在 9·11 恐怖袭击整整一个星期后出现的，当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒 尼姆达是在早上9:08发现的，明显比红色代码更快、更具有摧毁功能，半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部电脑，总共造成将近10亿美元的经济损失 传播方式包括：电子邮件、网络临近共享文件、IE浏览器的内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、CodeRedII和Sadmind/IIS蠕虫留下的后门等

SQL Slammer蠕虫 Slammer的传播数度比“红色代码”快两个数量级 在头一分钟之内，感染主机数量每8.5秒增长一倍； 3分钟后该病毒的传播速度达到峰值（每秒钟进行5500万次扫描）； 接下来，其传播速度由于自身挤占了绝大部分网络带宽而开始下降； 10分钟后，易受攻击的主机基本上已经被感染殆尽 30分钟后 在全球的感染面积

RPC DCOM蠕虫 2003年8月11日首先被发现，然后迅速扩散，这时候距离被利用漏洞的发布日期还不到1个月 该蠕虫病毒针对的系统类型范围相当广泛（包括Windows NT/2000/XP） 截至8月24日，国内被感染主机的数目为25~100万台 全球直接经济损失几十亿美金

网络安全主要威胁来源 网络 黑客攻击 后门、隐蔽通道 特洛伊木马 计算机病毒 信息丢失、篡改、销毁 拒绝服务攻击 蠕虫 逻辑炸弹 2017/9/9 网络安全主要威胁来源 黑客攻击 后门、隐蔽通道 特洛伊木马 计算机病毒 网络 信息丢失、篡改、销毁 拒绝服务攻击 蠕虫 逻辑炸弹 内部、外部泄密 2017/9/9 2017/9/9 网络入侵与防范讲义 网络入侵与防范讲义 24 24 24

3、网络威胁 恶意代码及黑客攻击手段的三大特点 ： 传播速度惊人 受害面惊人 穿透深度惊人

传播速度 “大型推土机”技术(Mass rooter)，是新一代规模性恶意代码具备的显著功能。 这些恶意代码不仅能实现自我复制，还能自动攻击内外网上的其它主机，并以受害者为攻击源继续攻击其它网络和主机。 以这些代码设计的多线程和繁殖速度，一个新蠕虫在一夜之间就可以传播到互联网的各个角落。

受害面 许多国家的能源、交通、金融、化工、军事、科技和政府部门等关键领域的信息化程度逐年提高，这些领域的用户单位的计算机网络，直接或间接地与Internet有所联系。 各种病毒、蠕虫等恶意代码，和各种黑客攻击，通过Internet为主线，对全球各行业的计算机网络用户都造成了严重的影响。

穿透深度 蠕虫和黑客越来越不满足于攻击在线的网站，各种致力于突破各种边界防线的攻击方式层出不穷。 一个新的攻击手段，第一批受害对象是那些24小时在线的网站主机和各种网络的边界主机； 第二批受害对象是与Internet联网的，经常收发邮件的个人用户； 第三批受害对象是OA网或其它二线内网的工作站； 终极的受害对象可能会波及到生产网络和关键资产主机。

信息战 在海湾战争和伊拉克战争中，美国大量采用了信息战的手段 在未来的局部战争中，信息战或信息威慑将成为非常重要的非常规战手段 信息战的范围不仅仅局限于军事领域，关系国家国计民生的行业（如政府、金融等）也会成为信息战的攻击目标

信息时代威胁图

类别 攻击举例 V 敌国政府、间谍 IV 商业间谍 III 罪犯 II 恶意用户、内部人员、普通黑客 I 用户误操作

网络攻击的动机 偷取国家机密 商业竞争行为 内部员工对单位的不满 对企业核心机密的企望 网络接入帐号、信用卡号等金钱利益的诱惑 利用攻击网络站点而出名 对网络安全技术的挑战 对网络的好奇心

网络安全的威胁 协议缺陷 软件漏洞 策略弱点 恶意利用 硬件漏洞 管理不当

攻击的一般过程 预攻击 攻击 后攻击 内容： 目的： 内容： 目的： 内容： 目的： 获得域名及IP分布 获得拓扑及OS等 获得端口和服务 获得应用系统情况 跟踪新漏洞发布 目的： 收集信息，进行进一步攻击决策 攻击 内容： 获得远程权限 进入远程系统 提升本地权限 进一步扩展权限 进行实质性操作 目的： 进行攻击，获得系统的一定权限 后攻击 内容： 植入后门木马 删除日志 修补明显的漏洞 进一步渗透扩展 目的： 消除痕迹，长期维持一定的权限

攻击的种类 预攻击阶段 后攻击阶段 其它攻击种类 端口扫描 后门木马 漏洞扫描 痕迹擦除 操作系统类型鉴别 网络拓扑分析 拒绝服务攻击 缓冲区溢出攻击 操作系统漏洞 应用服务缺陷 脚本程序漏洞攻击 口令攻击 错误及弱配置攻击 网络欺骗与劫持攻击 后攻击阶段 后门木马 痕迹擦除 其它攻击种类 拒绝服务攻击 嗅探攻击 恶意网页攻击 社会工程攻击

网络攻击的分类 攻击者与被攻击者的物理位置 物理攻击 主动攻击 被动攻击 中间人攻击

网络攻击技术－物理攻击 例子：Mission Impossible I 多种保护措施未联网的CIA中央电脑 如果你希望一台计算机安全，最好把它锁起来 物理接触到计算机，这台计算机就没有任何安全可言 甚至是其他资源，也可能会影响到安全 写有口令的提示条 网络组织结构图 软盘、光盘、笔记本 公司的物理结构、组织图标、安全策略告示、内部专用手册 信纸和备忘录 常常和社交工程共同使用

物理攻击（一） 计算机的安全 密码将失去效用 开机密码 BIOS放电、DEBUG程序、通用密码 Windows系统密码 软盘启动，删除SAM 将硬盘挂到其他机器上 Linux系统密码 使用单用户模式启动系统 如果使用LILO，输入Linux single 对于GRUB密码启动，使用软盘启动或者拆卸硬盘

物理攻击（二） 计算机安全 用户离开时 黑客会在用户的机器上安装木马 解决方法：使用带密码的屏保程序 道高一尺，魔高一丈 使用一张放入光驱后自动运行的光盘，自动运行杀掉屏保程序进程的程序 得到用户的IP，并把另一台机器设置为这个目标机器的IP 更好的解决办法－锁定计算机

物理攻击（三） 其他方面的防御措施 禁止非特权用户接触到网络信息 机房应该不是人人都能进入的地方 对于机密文件和手册，一定要彻底粉碎，使其不可恢复 1980年伊朗曾经把美国粉碎的文件重新编织起来 不要把口令或者ID记录在其他人可以看到的地方 笔记本电脑的安全措施 注意笔记本电脑的防盗措施 一旦笔记本电脑被盗，盗窃者最终必定能够访问其中的文件 备份不要留在笔记本上，保存在安全的地方 旅行中注意笔记本的安全 办公场所要求任何人离开都要进行笔记本电脑检查，电脑对应标签

物理攻击（四） 防止用户修改机器设置 保护BIOS 机器放到安全房间 摄像头 机箱上加锁 设置启动顺序为硬盘优先 如果是软盘或者光盘的话，黑客很容易使用自己的设备启动 保护启动设备 去掉光驱或者软驱 对光驱和软驱加锁，不能随便使用 对于Linux系统，使用GRUB启动并且加密 对于Windows系统，设置安全的密码

中间人攻击 ——会话劫持 一般欺骗 会话劫持

网络攻击技术－会话劫持 网络中的问题 在现实生活中，例如银行的一笔交易 如果营业员检查了顾客的身份证和帐户卡， 抬起头来，发现不再是刚才的顾客 他会把钱交给外面的顾客吗？ 网络中的问题 在网络上，没有人知道你是一条狗

网络攻击的步骤 信息收集 权限获取 安装后门 扩大影响 消除痕迹

信息收集—非技术手段 合法途径 从目标机构的网站获取 新闻报道，出版物 新闻组或论坛 社会工程手段 假冒他人，获取第三方的信任 搜索引擎

信息收集—技术手段 Ping Tracert / Traceroute Rusers / Finger Host / nslookup Eg:ping www.sjtu.edu.cn Eg:tracert www.sjtu.edu.cn 通过Host命令，入侵者可获得保存在目标域服务器中的所有信息,其查询结果所含信息量的多少主要依靠于网络的大小和结构 Eg:host –l –v sjtu.edu.cn

个人信息安全的防范技巧 1、不轻易运行不明真相的程序 2、屏蔽小甜饼（Cookie ）信息 3、不同的地方用不同的口令 4、屏蔽ActiveX控件 5、定期清除缓存、历史记录以及临时文件夹中的内容 6、不随意透露任何个人信息 7、突遇莫名其妙的故障时要及时检查系统信息

8、对机密信息实施加密保护 9、拒绝某些可能有威胁的站点对自己的访问 10、加密重要的邮件 11、在自己的计算机中安装防火墙 12、为客户/服务器通信双方提供身份认证，建立安全信道 13、尽量少在聊天室里或使用OICQ聊天

端口扫描 目的 常规扫描技术 高级扫描技术 判断目标主机开启了哪些端口及其对应的服务 调用connect函数直接连接被扫描端口 无须任何特殊权限 速度较慢，易被记录 高级扫描技术 利用探测数据包的返回信息（例如RST）来进行间接扫描 较为隐蔽，不易被日志记录或防火墙发现

TCP SYN扫描 也叫半开式扫描 利用TCP连接三次握手的第一次进行扫描 扫描器 被扫描主机 SYN 开放的端口 SYN+ACK握手 不提供服务的端口 RST 重置 SYN 防火墙过滤的端口 没有回应或者其他

端口扫描工具 Nmap 简介 使用 被称为“扫描器之王” 有for Unix和for Win的两种版本 需要Libpcap库和Winpcap库的支持 能够进行普通扫描、各种高级扫描和操作系统类型鉴别等 使用 -sS：半开式扫描 -sT:普通connect()扫描 -sU：udp端口扫描 -O：操作系统鉴别 -P0：强行扫描（无论是否能够ping通目标） -p：指定端口范围 -v：详细模式 Nmap 3.30 Usage: nmap [Scan Type(s)] [Options] <host or net list> Some Common Scan Types ('*' options require root privileges) * -sS TCP SYN stealth port scan (default if privileged (root)) -sT TCP connect() port scan (default for unprivileged users) * -sU UDP port scan -sP ping scan (Find any reachable machines) * -sF,-sX,-sN Stealth FIN, Xmas, or Null scan (experts only) -sR/-I RPC/Identd scan (use with other scan types) Some Common Options (none are required, most can be combined): * -O Use TCP/IP fingerprinting to guess remote operating system -p <range> ports to scan. Example range: '1-1024,1080,6666,31337' -F Only scans ports listed in nmap-services -v Verbose. Its use is recommended. Use twice for greater effect. -P0 Don't ping hosts (needed to scan www.microsoft.com and others) * -Ddecoy_host1,decoy2[,...] Hide scan using many decoys -6 scans via IPv6 rather than IPv4 -T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> General timing policy -n/-R Never do DNS resolution/Always resolve [default: sometimes resolve] -oN/-oX/-oG <logfile> Output normal/XML/grepable scan logs to <logfile> -iL <inputfile> Get targets from file; Use '-' for stdin * -S <your_IP>/-e <devicename> Specify source address or network interface --interactive Go into interactive mode (then press h for help) --win_help Windows-specific features Example: nmap -v -sS -O www.my.com 192.168.0.0/16 '192.88-90.*.*' SEE THE MAN PAGE FOR MANY MORE OPTIONS, DESCRIPTIONS, AND EXAMPLES

NmapWin v1.3.0

端口扫描工具 SuperScan 简介 基于Windows平台 速度快，图形化界面 最新版本为4.0 使用 傻瓜化

漏洞扫描 根据目标主机开放的不同应用和服务来扫描和判断是否存在或可能存在某些漏洞 积极意义 消极意义 进行网络安全评估 为网络系统的加固提供先期准备 消极意义 被网络攻击者加以利用来攻陷目标系统或获取重要的数据信息

漏洞扫描的种类 系统漏洞扫描 网络及管理设备漏洞扫描 特定服务的漏洞扫描 信息泄漏漏洞扫描 人为管理漏洞扫描 WEB服务 路由器、交换机 数据库服务 FTP服务 Mail服务 信息泄漏漏洞扫描 用户信息 共享信息 人为管理漏洞扫描 弱口令 错误配置 网络及管理设备漏洞扫描 路由器、交换机 SNMP设备

漏洞扫描工具 Nessus 构架 运作 优势： 链接：www.nessus.org 服务器端：基于Unix系统 客户端：有GTK、Java和Win系统支持 运作 客户端连接服务器端，并下载插件和扫描策略 真正的扫描由服务器端发起 两者之间的通信通过加密认证 优势： 具有强大的插件功能 完全免费，升级快速 非常适合作为网络安全评估工具 链接：www.nessus.org 作者： Renaud Deraison 语言： C 创建平台： Linux 目标平台： UNIX，multiple 运行要求： Linux，C

Nessus工作流程 Client Targets Server

漏洞扫描工具 X-Scan 国人自主开发 完全免费

X-Scan使用 扫描开始

安全漏洞扫描器 安全漏洞扫描器的种类 安全漏洞扫描器的选用 网络型安全漏洞扫描器 主机型安全漏洞扫描器 数据库安全漏洞扫描器 ISS （Internet Security Scanner）：安氏 SSS（Shadow Security Scanner）：俄罗斯黑客 Retina Network Security Scanner：eEye LANguard Network Security Scanner CyberCop Scanner：NAI

SSS（Shadow Security Scanner）

Retina Network Security Scanner

LANguard Network Security Scanner

操作系统类型鉴别 主要依据 利用不同操作系统对各种连接请求的不同反应和特征来判断远程主机操作系统的类型 当使用足够多的不同特征来进行判断，操作系统的探测精度就能有很大保证

间接鉴别操作系统 说明 防御对策 不直接进行扫描 利用网络应用服务使用过程中的信息来推断和分析操作系统类型，并得到其他有用信息 如Telnet 80端口查看WEB服务器类型从而初步判断操作系统类型 这种方法难以被发现 防御对策 修改服务器上应用服务的banner信息，达到迷惑攻击者的目的

直接鉴别操作系统类型 TCP/IP栈指纹探测技术 各个操作系统在实现TCP/IP栈的时候有细微的不同，可以通过下面一些方法来进行判定 TTL值 Windows窗口值 ToS类型 DF标志位 初始序列号（ISN）采样 MSS（最大分段大小） 其他

TTL（Time To Live） source destination TTL = 4 TTL = 8 TTL = 5 TTL = 3

缓冲区溢出攻击 危害性 身边的例子 Wu-ftpd溢出 据统计，缓冲区溢出攻击占所有网络攻击总数的80%以上 溢出成功后大都能直接拿到目标系统的最高权限 身边的例子 RPC DCOM溢出 IIS .ida/idq溢出 IIS .printer溢出 IIS WebDav溢出 Wu-ftpd溢出

缓冲区溢出原理 通过往程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的 缓冲区溢出攻击的对象在于那些具有某些特权(如root或本地管理器)运行的程序，这样可以使得攻击者取得该程序的控制权，如果该程序具有足够的权限，那么整个主机就被控制了

缓冲区溢出示意图 缓冲区 用户输入 缓冲区 用户输入 溢出改变流程 字符串变量数组 函数返回点 n字节 输入数据<n字节 正常流程

程序溢出时的表现 Segmentation Fault (coredumped)

以特权身份运行的程序 网络服务程序 suid/sgid程序 HTTP Server FTP Server Mail Server RPC Daemon … suid/sgid程序

Root溢出 Remote root exploit Local root exploit 通过网络，无需认证即可获得远程主机的root权限

远程控制技术 概念 危害性 发展历程 技术类型

特洛伊木马的来历 来源于希腊神话中的特洛伊战争 希腊人攻打特洛伊城十年，始终未获成功，后来建造了一个大木马，并假装撤退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，希腊将士里应外合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马

攻击发展趋势

网络攻击的后果 信息泄漏 信息损坏 拒绝服务 服务被盗 物理破坏

攻击技术的发展趋势 自动化攻击 攻击工具的集成 漏洞挖掘与交易 与安全系统对抗 基础设施的攻击威胁 越来越不对称的威胁

网络攻击与社会工程学 黑客们最常用的一种攻击手段 能得到使用技术手段不能得到的好处 防火墙和IDS对这种攻击不起作用 需要高超的人际交往技术 常用方式 电话 电子商务 社交工程种类 假冒权威 假扮 同情 个人利益 改善自我感觉 不引人注意的职业 奖赏

社交工程（Social Engineering） 假冒权威 黑客冒充公司的领导人员 在大公司中，不认识所有上司的情况非常普通 在Internet上，黑客可以通过邮件列表发出入侵的安全警告，并提供解决问题的指令，指令被设计成能使黑客访问系统。足够显眼的标题和时髦的行话 假扮 电话、电子邮件、聊天室和短消息里假扮你的熟人 如果你是新来的职员，冒充你的同事 同情 如果一个人打电话来，讲述他的困难，你不帮助他吗？ 个人利益 假冒来自财务部门的员工，访问系统管理员

社交工程（续） 改善自我感觉 不引人注意的职业 奖赏 自我感觉良好的人易于被欺骗 黑客进入热情的经理房间，表明自己是来自市场部的新员工，会得到详细的介绍 不引人注意的职业 来自天然气、电力公司或者电话公司的员工 请求拨号等上机操作 人们会单独把黑客放在房间里 奖赏 提供某种形式的奖赏会引诱人泄露信息 口令比赛－赢大奖、展示创造性，请列出密码

避免受到社交工程攻击 极度警惕 怀疑一切 验证出处 Do not trust any stranger 即使是很友好的人 声称并不代表他有权这样做 询问他们的权限 绝大多数社交工程在高度警惕下破产 验证出处 当某人电子邮件要求时，要求来电话确证 对于电话里的请求，要求回电号码并确证 员工号码或者身份证

避免受到社交工程攻击（续） 说不 用户培训 对于逾越日常行为准则的要求，要拒绝 要求按照正常程序和规定 书面报告和授权信息 培训员工，提高安全意识

2017/9/9 常用的防护措施 我们怎么办？ 2017/9/9 2017/9/9 网络入侵与防范讲义 网络入侵与防范讲义 85 85 85

个人用户防护措施 加密重要文件 防火墙 防护措施 杀毒软件定期升级和杀毒 定期备份系统或重要文件 定期升级补丁 2017/9/9 网络入侵与防范讲义 网络入侵与防范讲义 86 86

防止黑客入侵 关闭不常用端口 关闭不常用程序和服务 及时升级系统和软件补丁 发现系统异常立刻检查 2017/9/9 2017/9/9 网络入侵与防范讲义 网络入侵与防范讲义 87 87