第2章-电子商务网站常见的攻击.ppt

2.1 端口扫描端口扫描 Ø一个端口就是一个潜在的通信通道，一个端口就是一个潜在的通信通道，也就是一也就是一个入侵通道个入侵通道对目标计算机进行端口扫描能得对目标计算机进行端口扫描能得到许多有用的信息进行扫描的方法很多，可到许多有用的信息进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进以是手工进行扫描，也可以用端口扫描软件进行手工进行扫描需要熟悉各种命令，对命令行手工进行扫描需要熟悉各种命令，对命令执行后的输出进行分析用扫描软件进行扫描执行后的输出进行分析用扫描软件进行扫描时，许多扫描器软件都有分析数据的功能通时，许多扫描器软件都有分析数据的功能通过端口扫描，可以得到许多有用的信息，从而过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞发现系统的安全漏洞  下面首先介绍几个常用网络命令，对端口扫描原下面首先介绍几个常用网络命令，对端口扫描原理进行介绍理进行介绍 1. 常用的网络相关命令常用的网络相关命令 1) Ping命令的基本格式命令的基本格式 Ping hostname 其中其中hostname是目标计算机的地址是目标计算机的地址 2) Tracert命令命令 用来跟踪一个消息从一台计算机到另一台计算用来跟踪一个消息从一台计算机到另一台计算机所走的路径，比如从你的计算机走到其他计机所走的路径，比如从你的计算机走到其他计算机。

算机 3) Rusers和和Finger  这两个都是这两个都是UNIX命令通过这两个命令命令通过这两个命令, 能搜集到目标计算机上的有关用户的消息能搜集到目标计算机上的有关用户的消息 2. 端口扫描原理端口扫描原理 扫描器通过选用远程扫描器通过选用远程TCP/IP不同的端口不同的端口的服务，并记录目标给予的回答，通过这的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的种方法，可以搜集到很多关于目标主机的各种有用的信息各种有用的信息(比如：是否能用匿名登比如：是否能用匿名登陆，是否有可写的陆，是否有可写的FTP目录，是否能用目录，是否能用Telnet2.2 特洛伊木马特洛伊木马Ø特洛伊木马是一个包含在一个合法程序中的非特洛伊木马是一个包含在一个合法程序中的非法的程序法的程序该非法程序被用户在不知情的情况该非法程序被用户在不知情的情况下执行其名称源于古希腊的特洛伊木马神话，下执行其名称源于古希腊的特洛伊木马神话，传说希腊人围攻特洛伊城，久久不能得手后传说希腊人围攻特洛伊城，久久不能得手后来想出了一个木马计，让士兵藏匿于巨大的木来想出了一个木马计，让士兵藏匿于巨大的木马中。

大部队假装撤退而将木马马中大部队假装撤退而将木马““丢弃丢弃””于特于特洛伊城，让敌人将其作为战利品拖入城内木洛伊城，让敌人将其作为战利品拖入城内木马内的庆祝胜利而放松警惕的时候从木马中爬马内的庆祝胜利而放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊出来，与城外的部队里应外合而攻下了特洛伊城 1) 在任务栏里隐藏在任务栏里隐藏 2) 在任务管理器里隐藏在任务管理器里隐藏 3) 端口端口 4) 隐藏通信隐藏通信 5) 隐藏加载方式隐藏加载方式 6) 最新隐身技术最新隐身技术 2.2.1 特洛伊木马的隐藏方式特洛伊木马的隐藏方式 Ø第一步：木马服务端程序的植入第一步：木马服务端程序的植入 Ø第二步：木马将入侵主机信息发送给攻击者第二步：木马将入侵主机信息发送给攻击者Ø第三步：木马程序启动并发挥作用第三步：木马程序启动并发挥作用特洛伊木马要能发挥作用必须具备特洛伊木马要能发挥作用必须具备3个因素 (1) 木马需要一种启动方式，一般在注册表启动组中木马需要一种启动方式，一般在注册表启动组中 (2) 木马需要在内存中才能发挥作用木马需要在内存中才能发挥作用 (3) 木马会打开特别的端口，以便黑客通过这个端口和木马联系。

木马会打开特别的端口，以便黑客通过这个端口和木马联系 (1) Win.ini：：run=、、load=项目中的程序名项目中的程序名 (2) System.ini：：Shell=Explorer.exe项后的程序名项后的程序名 (3) 注册表：注册表：Run项中的程序项中的程序 2. 特洛伊木马的工作原理特洛伊木马的工作原理 3. 特洛伊木马程序的存在形式特洛伊木马程序的存在形式(1) Win.ini：：run=、、load=项目中的程序名项目中的程序名 (2) System.ini：：Shell=Explorer.exe项后的项后的程序名 (3) 注册表：注册表：Run项中的程序项中的程序4. 特洛伊木马的特性特洛伊木马的特性 Ø1) 隐蔽性隐蔽性 2) 自动运行性自动运行性 3) 功能的特殊性功能的特殊性 4) 自动恢复功能自动恢复功能 5) 能自动打开特别的端口能自动打开特别的端口5. 特洛伊木马种类特洛伊木马种类 1)1)破坏型特洛伊木马破坏型特洛伊木马 2) 密码发送型特洛伊木马密码发送型特洛伊木马 3) 远程访问型特洛伊木马远程访问型特洛伊木马 4) 键盘记录特洛伊木马键盘记录特洛伊木马5) DoS攻击特洛伊木马攻击特洛伊木马 6) 代理特洛伊木马代理特洛伊木马 7) FTP特洛伊木马特洛伊木马 8) 程序杀手特洛伊木马程序杀手特洛伊木马 9) 反弹端口型特洛伊木马反弹端口型特洛伊木马1) 集成到程序中集成到程序中 2) 隐藏在配置文件中隐藏在配置文件中 3) 潜伏在潜伏在Win.ini中中 4) 伪装在普通文件中伪装在普通文件中 5) 内置到注册表中内置到注册表中 6) 在在System.ini中藏身中藏身 7) 隐形于启动组中隐形于启动组中 8) 隐蔽在隐蔽在Winstart.bat中中 9) )捆绑在启动文件中捆绑在启动文件中 10)设置在超链接中设置在超链接中6. 6. 特洛伊木马的入侵特洛伊木马的入侵2. 3 缓冲区溢出攻击缓冲区溢出攻击 1. 缓冲溢出攻击的原理缓冲溢出攻击的原理 缓冲区是程序运行的时候机器内存中的一个连缓冲区是程序运行的时候机器内存中的一个连续块续块，它保存了给定类型的数据，随着动态分，它保存了给定类型的数据，随着动态分配变量会出现问题。

大多数时候为了不占用多配变量会出现问题大多数时候为了不占用多的内存，一个有动态分配变量的程序在程序运的内存，一个有动态分配变量的程序在程序运行时才决定给它们分配多少内存这样下去的行时才决定给它们分配多少内存这样下去的话，如果说要给程序在动态分配缓冲区放入超话，如果说要给程序在动态分配缓冲区放入超长的数据，它就会溢出了长的数据，它就会溢出了 2. 缓冲区溢出攻击的方法缓冲区溢出攻击的方法 1) 植入法植入法 2) 利用已经存在的代码利用已经存在的代码 3. 缓冲区溢出攻击的防范技术缓冲区溢出攻击的防范技术 1) 编写正确的代码编写正确的代码 2) 非执行的缓冲区非执行的缓冲区 3) 数组边界检查数组边界检查 4) 程序指针完整性检查程序指针完整性检查 2. 4 拒绝服务攻击拒绝服务攻击 1. 拒绝服务攻击原理拒绝服务攻击原理 拒绝服务即拒绝服务即Denial of Service，简称，简称DoS，由于，由于它的不易觉察性和简易性，因而一直是网络安它的不易觉察性和简易性，因而一直是网络安全的重大隐患它是一种技术含量低，攻击效全的重大隐患它是一种技术含量低，攻击效果明显的攻击方法，受到攻击时，服务器在长果明显的攻击方法，受到攻击时，服务器在长时间内不能提供服务，使得合法用户不能得到时间内不能提供服务，使得合法用户不能得到服务，特别是分布式拒绝服务服务，特别是分布式拒绝服务DDoS，它的效，它的效果很明显，并且难以找到真正的攻击源，很难果很明显，并且难以找到真正的攻击源，很难找到行之有效的解决方法。

找到行之有效的解决方法 2. 分布式拒绝服务攻击分布式拒绝服务攻击 Ø分布式拒绝服务攻击手段是在传统的分布式拒绝服务攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式单一攻击基础之上产生的一类攻击方式单一的的DoS攻击一般采用一对一的方式，随着攻击一般采用一对一的方式，随着计算机与网络技术的发展，计算机的处理计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得现了千兆级别的网络，这使得DoS攻击的攻击的效果不明显，攻击的难度加大了，目标系效果不明显，攻击的难度加大了，目标系统对恶意攻击包有足够的消化处理能力统对恶意攻击包有足够的消化处理能力 2. 5 网络监听网络监听 Ø网络监听技术本来是提供给网络安全管理人员网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等数据流动情况以及网络上传输的信息等当信当信息以明文的形式在网络上传输时，使用监听技息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传设置成监听模式，便可以源源不断地将网上传输的信息截获。

网络监听可以在网上的任何一输的信息截获网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等或远程网的调制解调器之间等 网络监听的检测网络监听的检测 Ø1. 对于怀疑运行监听程序的机器，用正确的对于怀疑运行监听程序的机器，用正确的IP地址和地址和错误的物理地址错误的物理地址Ping，运行监听程序的机器会有响应运行监听程序的机器会有响应这是因为正常的机器不接收错误的物理地址，处理监这是因为正常的机器不接收错误的物理地址，处理监听状态的机器能接收，但如果他的听状态的机器能接收，但如果他的IPstack不再次反向不再次反向检查的话，就会响应检查的话，就会响应 Ø2.向网上发大量不存在的物理地址的包，由于监听程序向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包而占用很多的要分析和处理大量的数据包而占用很多的CPU资源，资源，这将导致性能下降通过比较该机器前后的性能加以这将导致性能下降通过比较该机器前后的性能加以判断这种方法难度比较大这种方法难度比较大 Ø3.使用反监听工具如使用反监听工具如Antisniffer等进行检测。

等进行检测  对网络监听的防范措施对网络监听的防范措施 Ø1. 从逻辑或物理上对网络分段从逻辑或物理上对网络分段 Ø2.以交换式集线器代替共享式集线器以交换式集线器代替共享式集线器 Ø3.使用加密技术使用加密技术 Ø4. 划分划分VLAN 2.6 实训实训实训一实训一 X-scan扫描工具的使用扫描工具的使用Ø实训内容：实训内容：Ø1.使用使用X-scan3.3检测系统漏洞检测系统漏洞Ø2.使用使用X-scan3.3扫描系统端口扫描系统端口Ø3.使用使用X-scan3.3检测系统用户以及共享检测系统用户以及共享信息信息使用使用X-scan3.3检测系统漏洞检测系统漏洞Ø1.设置要扫描的主机设置要扫描的主机IP地址地址Ø2.设置中选择扫描模块设置中选择扫描模块 Ø3.全局设置中的其它选项可以按照默认，全局设置中的其它选项可以按照默认，然后展开插件设置，选择然后展开插件设置，选择“漏洞检测脚漏洞检测脚本设置本设置”，这里默认选择的是全部的脚，这里默认选择的是全部的脚本列表本列表 Ø4.脚本选择框中选择需要检测的脚本脚本选择框中选择需要检测的脚本 Ø5.选择好后点击两次确定退出扫描设置。

选择好后点击两次确定退出扫描设置然后点击开始扫描然后点击开始扫描 Ø6.扫描完成后会生成一个报告并以网页形扫描完成后会生成一个报告并以网页形式显示在式显示在IE浏览器中浏览器中 使用使用X-scan3.3扫描开放的端口扫描开放的端口Ø1.选择扫描模块选择扫描模块 Ø2.在端口设置中输入需要检测的端口在端口设置中输入需要检测的端口 Ø3.扫描过程扫描过程 Ø4.扫描完成后查看生成的报告扫描完成后查看生成的报告 使用使用X-scan3.3检测系统用户以及检测系统用户以及共享信息共享信息 Ø1. 选择扫描模块选择扫描模块 Ø2.设置设置NETBIOS信息信息 Ø3.扫描过程扫描过程 Ø4.扫描完成后查看生成的报告扫描完成后查看生成的报告 Ø5.扫描结果扫描结果 实训二实训二 Sinffer网络监听工具的使用网络监听工具的使用 Ø实训内容实训内容:Ø1.使用使用Sinffer Pro获取获取FTP账号密码账号密码Ø2.使用使用Sinffer Pro获取邮箱密码获取邮箱密码使用使用Sinffer Pro获取获取FTP账号密码账号密码Ø1.选择适配器选择适配器 Ø2.然后点击按钮开始监听网络然后点击按钮开始监听网络 Ø3.接着打开接着打开IE浏览器访问浏览器访问FTP站点，由于站点，由于FTP可以匿名访问，所以这里需要右击可以匿名访问，所以这里需要右击空白处选择登录，然后在登录对话框中空白处选择登录，然后在登录对话框中输入用户名和密码输入用户名和密码 Ø4.然后点击确定登录。

下面返回到然后点击确定登录下面返回到Sinffer Pro，点击按钮来停止监听，并且查看结，点击按钮来停止监听，并且查看结果果 Ø5.分析数据包分析数据包 Ø6.查找到的用户查找到的用户 Ø7.查找密码查找密码 使用使用Sinffer Pro截取邮箱密码截取邮箱密码 Ø1.打开打开Sinffer Pro进行监听状态进行监听状态 Ø2.收发邮件收发邮件 Ø3.等邮件接收完毕后，回到等邮件接收完毕后，回到Sinffer Pro，，点击按钮来停止监听并查看数据包点击按钮来停止监听并查看数据包 Ø4. 查找查找USER Ø5. 查找结果查找结果 Ø6.查找密码查找密码 实训三实训三 DDos对电子商务网站的攻击对电子商务网站的攻击Ø实训内容实训内容:Ø1.模拟使用模拟使用DDos对电子商务网站的攻击对电子商务网站的攻击DDos对电子商务网站的攻击对电子商务网站的攻击Ø1.资源管理器资源管理器 Ø2.访问网站访问网站 Ø3.设置攻击目标设置攻击目标 Ø4.测试攻击效果测试攻击效果 Ø5.查看资源占用查看资源占用 Ø6.停止攻击停止攻击 Ø7.成功访问网站成功访问网站 思考思考 题题 一一. .名词解释名词解释1.1.特洛伊木马特洛伊木马 2.DDos3.端口扫描端口扫描4.网络监听网络监听思考思考 题题 二二. .简答题简答题1. 简述端口扫描的原理。

简述端口扫描的原理2. 常见的端口扫描技术有哪些？它们的特点是什常见的端口扫描技术有哪些？它们的特点是什么？么？3. 从网络安全角度分析为什么在实际应用中要开从网络安全角度分析为什么在实际应用中要开放尽量少的端口？放尽量少的端口？4. 简述网络监听的原理简述网络监听的原理5. 简述特洛伊木马和病毒的异同简述特洛伊木马和病毒的异同6. 应怎样来防范特洛伊木马攻击？应怎样来防范特洛伊木马攻击？7. 简述拒绝服务攻击的原理简述拒绝服务攻击的原理8. 简述出现简述出现DDoS时可能发生的现象时可能发生的现象 。