《黑客攻击技术》PPT课件.ppt

黑客攻击技术黑客攻击技术Ø黑客简史黑客简史Ø黑客攻击分类黑客攻击分类Ø黑客攻击的一般过程黑客攻击的一般过程Ø常见黑客攻击手段常见黑客攻击手段黑客攻击技术黑客攻击技术黑客究竟是什么？黑客究竟是什么？电影媒体眼中的黑客形象电影媒体眼中的黑客形象安全攻防技术 黑客简史黑黑客客帝帝国国浪浪漫漫主主义义的的黑黑客客电电影影安全攻防技术 黑客简史箭箭鱼鱼行行动动写写实实主主义义的的黑黑客客电电影影安全攻防技术 黑客简史黑客起源的背景黑客起源的背景ü起源地：起源地：美国美国ü精神支柱：精神支柱：对技术的渴求对技术的渴求对自由的渴求对自由的渴求ü历史背景：历史背景：越战与反战活动越战与反战活动马丁马丁··路德金与自由路德金与自由嬉皮士与非主流文化嬉皮士与非主流文化飞客与计算机革命飞客与计算机革命安全攻防技术 黑客简史黑客？创新者黑客？创新者ü伍兹尼亚克和伍兹尼亚克和乔布斯ü艾伦与艾伦与盖茨安全攻防技术 黑客简史黑客？嬉皮士黑客？嬉皮士ü艾比艾比··霍夫曼霍夫曼嬉皮士之易比派（嬉皮士之易比派（YippiesYippies））举起五角大楼行动举起五角大楼行动 ü飞客飞客蓝匣子蓝匣子1990年年AT&T瘫痪事件瘫痪事件安全攻防技术 黑客简史黑客？攻击者黑客？攻击者ü罗伯特罗伯特··莫里斯莫里斯 ü凯文凯文··米特尼克米特尼克安全攻防技术 黑客简史罗伯特罗伯特•莫里斯莫里斯ü19881988年，莫里斯蠕虫病毒年，莫里斯蠕虫病毒震撼了整个世界。

由原本震撼了整个世界由原本寂寂无名的大学生罗伯特寂寂无名的大学生罗伯特··莫里斯制造的这个蠕虫莫里斯制造的这个蠕虫病毒入侵了大约病毒入侵了大约60006000个大个大学和军事机构的计算机，学和军事机构的计算机，使之瘫痪此后，从使之瘫痪此后，从CIHCIH到美丽杀病毒，从尼姆达到美丽杀病毒，从尼姆达到红色代码，病毒、蠕虫到红色代码，病毒、蠕虫的发展愈演愈烈的发展愈演愈烈安全攻防技术 黑客简史凯文凯文•米特尼克米特尼克ü凯文凯文•米特尼克是美国米特尼克是美国2020世纪最世纪最著名的黑客之一，他是著名的黑客之一，他是《《社会工社会工程学程学》》的创始人的创始人ü19791979年他和他的伙伴侵入了北美年他和他的伙伴侵入了北美空防指挥部空防指挥部ü19831983年的电影年的电影《《战争游戏战争游戏》》演绎演绎了同样的故事，在片中，以凯文了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第为原型的少年黑客几乎引发了第三次世界大战三次世界大战安全攻防技术 黑客简史中国的中国的“黑客文化黑客文化”安全攻防技术 黑客简史ü中国缺乏欧美抚育黑客文化的土壤缺少庞大的中产阶层缺少丰富的技术积累ü中国的黑客文化更多带有“侠”的色彩侠之大者，为国为民侠之小者，除暴安良中国中国“黑客黑客”重要历史事件重要历史事件ü1998年印尼事件年印尼事件ü1999年南联盟事件年南联盟事件ü2000年安氏网站被黑事件年安氏网站被黑事件ü绿色兵团南北分拆事件绿色兵团南北分拆事件ü中美五一黑客大战事件中美五一黑客大战事件安全攻防技术 黑客简史黑客的分类黑客的分类灰帽子破解者•破解已有系统•发现问题/漏洞•突破极限/禁制•展现自我计算机计算机 为人民服务为人民服务漏洞发现 - 袁哥等软件破解 - 0 Day工具提供 - Numega白帽子创新者•设计新系统•打破常规•精研技术•勇于创新没有最好，没有最好， 只有更好只有更好MS -Bill GatesGNU -R.StallmanLinux -Linus善善黑帽子破坏者•随意使用资源•恶意破坏•散播蠕虫病毒•商业间谍人不为己，人不为己， 天诛地灭天诛地灭入侵者-K.米特尼克CIH - 陈英豪攻击Yahoo者 -匿名恶恶渴求自由安全攻防技术 黑客简史Ø黑客简史黑客简史Ø黑客攻击分类黑客攻击分类Ø黑客攻击的一般过程黑客攻击的一般过程Ø常见黑客攻击手段常见黑客攻击手段黑客攻击技术黑客攻击技术黑客攻击分类黑客攻击分类Ø被动攻击被动攻击Ø主动攻击主动攻击 Ø物理临近攻击物理临近攻击 Ø内部人员攻击内部人员攻击 Ø软硬件装配分发攻击软硬件装配分发攻击 Ø黑客简史黑客简史Ø黑客攻击分类黑客攻击分类Ø黑客攻击的一般过程黑客攻击的一般过程Ø常见黑客攻击手段常见黑客攻击手段黑客攻击技术黑客攻击技术预攻击探测预攻击探测收集信息收集信息, ,如如OSOS类型类型, ,提供的服务端口提供的服务端口采取攻击行为采取攻击行为获得攻击目标的控制权获得攻击目标的控制权继续渗透网络继续渗透网络, ,直至获取机密数据直至获取机密数据消灭踪迹消灭踪迹破解口令文件破解口令文件, ,或利用缓存溢出漏洞或利用缓存溢出漏洞寻找网络中其它主机的信息和漏洞寻找网络中其它主机的信息和漏洞隐藏自己隐藏自己黑客攻击一般过程黑客攻击一般过程ü从已经取得控制权的主机上通过从已经取得控制权的主机上通过 telnettelnet或或 rshrsh 跳跃跳跃ü从从 windows windows 主机上通过主机上通过 wingateswingates 等服务进行跳跃等服务进行跳跃ü利用配置不当的代理服务器进行跳跃利用配置不当的代理服务器进行跳跃ü先通过拨号找寻并连入某台主机，然先通过拨号找寻并连入某台主机，然后通过这台主机后通过这台主机 隐藏自己隐藏自己黑客攻击一般过程黑客攻击一般过程ü相关命令获取相关命令获取ü手工获取手工获取bannerü相关漏洞扫描工具相关漏洞扫描工具预攻击探测预攻击探测黑客攻击一般过程黑客攻击一般过程预攻击探测预攻击探测相关网络命令相关网络命令IfconfignetstatePingTracert rusers和和finger hostPingPing命令经常用来对命令经常用来对TCP/IPTCP/IP网络进行诊断。

通过向目标计算机发送网络进行诊断通过向目标计算机发送一个一个ICMPICMP数据包，目标计算机收到后再反送回来，如果返回的数数据包，目标计算机收到后再反送回来，如果返回的数据包和发送的数据包一致，就说明网络能够连通通过据包和发送的数据包一致，就说明网络能够连通通过PingPing命令，命令，可以判断目标计算机是否正在运行，以及网络的大致延时（数据可以判断目标计算机是否正在运行，以及网络的大致延时（数据包从发送到返回需要的时间）包从发送到返回需要的时间）相关网络命令相关网络命令--Ping--PingC:\>ping 192.168.0.162C:\>ping 192.168.0.162Pinging 192.168.0.162 with 32 bytes of data:Pinging 192.168.0.162 with 32 bytes of data:Reply from 192.168.0.162: bytes=32 time<10ms TTL=Reply from 192.168.0.162: bytes=32 time<10ms TTL=128128Reply from 192.168.0.162: bytes=32 time<10ms TTL=Reply from 192.168.0.162: bytes=32 time<10ms TTL=128128C:\>ping 192.168.0.241C:\>ping 192.168.0.241Pinging 192.168.0.241 with 32 bytes of data:Pinging 192.168.0.241 with 32 bytes of data:Reply from 192.168.0.241: bytes=32 time<10ms TTL=Reply from 192.168.0.241: bytes=32 time<10ms TTL=255255Reply from 192.168.0.241: bytes=32 time<10ms TTL=Reply from 192.168.0.241: bytes=32 time<10ms TTL=255255相关网络命令相关网络命令--finger--finger# fingeruser S00 PPP ppp-122-pm1.wiza Thu Nov 14 21:29:30 - still logged inuser S15 PPP ppp-119-pm1.wiza Thu Nov 14 22:16:35 - still logged inuser S26 PPP ppp-124-pm1.wiza Fri Nov 15 01:26:49 - still logged inuser S-1 0.0.0.0 Sat Aug 10 15:50:03 - still logged inuser S23 PPP ppp-103-pm1.wiza Fri Nov 15 00:13:53 - still logged inü相关命令获取相关命令获取ü手工获取手工获取bannerü相关漏洞扫描工具相关漏洞扫描工具预攻击探测预攻击探测黑客攻击一般过程黑客攻击一般过程手工获取手工获取BannerBannerüPing SweepüDns SweepüSnmp SweepüTracertüNslookup（（zone transfer））ü浏览器浏览器üNETCRAFT\WHOISürusers和和finger 网络信息收集方式网络信息收集方式ü相关命令获取相关命令获取ü手工获取手工获取bannerü相关漏洞扫描工具相关漏洞扫描工具预攻击探测预攻击探测黑客攻击一般过程黑客攻击一般过程网络漏洞扫描网络漏洞扫描üNMAPüNESSUSüNIKTOüX-SCANüRETINA黑客攻击的一般过程黑客攻击的一般过程ü删除添加的帐号删除添加的帐号ü删除删除/ /修改日志修改日志ü删除临时使用文件删除临时使用文件消灭踪迹消灭踪迹消消灭灭踪迹踪迹ü删除临时账号删除临时账号hackerhackerC:\>net user hacker /del消消灭灭踪迹踪迹ü删除或修改日志删除或修改日志消除踪迹消除踪迹ü删除临时上传文件删除临时上传文件C:\>del WHOAMI.EXE消消灭灭踪迹踪迹ü清除系统事件清除系统事件消消灭灭踪迹踪迹üWindows日志日志应用程序日志应用程序日志安全日志安全日志系统日志系统日志计划任务日志计划任务日志IIS等应用日志等应用日志消消灭灭踪迹踪迹üUNIX系统日志系统日志Ø黑客简史黑客简史Ø黑客攻击分类黑客攻击分类Ø黑客攻击的一般过程黑客攻击的一般过程Ø常见黑客攻击手段常见黑客攻击手段黑客攻击技术黑客攻击技术常见攻击行为常见攻击行为ü暴力猜解暴力猜解ü利用已知漏洞攻击利用已知漏洞攻击ü特洛伊木马特洛伊木马ü拒绝服务攻击拒绝服务攻击ü嗅探嗅探snifferü社会工程社会工程暴力猜解暴力猜解暴力猜解就是从口令侯选器中一一选取单词，或用枚举就是从口令侯选器中一一选取单词，或用枚举法选取，然后用各种同样的加密算法进行加密再比较。

法选取，然后用各种同样的加密算法进行加密再比较一致则猜测成功，否则再尝试一致则猜测成功，否则再尝试ü口令候选器口令候选器ü枚举法枚举法ü口令加密口令加密ü口令比较口令比较ü获取口令的方法获取口令的方法ü防御方法防御方法暴力猜解攻击暴力猜解攻击ü攻击实例：破解攻击实例：破解Win2000Win2000用户密码用户密码暴力猜解暴力猜解ü可被猜解的协议可被猜解的协议Telnet、、Ftp、、Ssh、、RexecHttp、、Https、、Nntp、、CvsHttp-Proxy、、Socks5LDAP、、SMB、、AAASmtp、、Pop3、、Imap、、SnmpMs-sql、、My-sql常见攻击行为常见攻击行为ü暴力猜解暴力猜解ü利用已知漏洞攻击利用已知漏洞攻击ü特洛伊木马特洛伊木马ü拒绝服务攻击拒绝服务攻击ü嗅探嗅探snifferü社会工程社会工程利用已知漏洞的攻击利用已知漏洞的攻击üSQL InjectionSQL Injection攻击攻击ü跨站脚本攻击跨站脚本攻击üunicodeunicode编码二次漏洞编码二次漏洞 ü"read.php3" "read.php3" üSqlSql server server 空口令空口令一、配置不当一、配置不当SQL InjectionüSQL Injection 是指是指SQL 指令植入式攻击，指令植入式攻击，主要是属于主要是属于Input Validation（输入验证）（输入验证） 的问题。

的问题က ကü一个利用写入特殊一个利用写入特殊SQL程序代码攻击应程序代码攻击应用程序的动作用程序的动作 ü影响的系统包括影响的系统包括MSSQL、、MySQL、、Oracle、、Sybase与与DB2等SQL Injection原理原理üselect * from member where UID =‘ “& request(”ID“) &”’ And Passwd=‘ “& request(”Pwd“) & ”’က ကü如果正常使用者帐号是如果正常使用者帐号是A123456789 ，密碼，密碼1234，则，则select * from member where UID ='A123456789' And Passwd='1234'က က输入的帐号与密码等资料会取输入的帐号与密码等资料会取代代ASP( or PHP、、JSP)中的变量，并由两个单引号中的变量，并由两个单引号(' ')所包住，即：所包住，即：üselect * from member where UID =' "& request("ID") &"' AndPaswd=' "& request("Pwd") & "' 攻击实例攻击实例ü可以输入用户名可以输入用户名abcdefg(任意输入任意输入) ，密，密码码asdf(任意输入任意输入)'or 1=1 ü即后台的语句为即后台的语句为select * from member where UID ='abcdefg' AndPasswd= 'asdf' or 1=1 --'，则攻击者可以轻易进，则攻击者可以轻易进入系统。

入系统 防止防止SQL Injectionü可以过滤输入条件中可能隐含的可以过滤输入条件中可能隐含的sql指令，如指令，如INSERT、、SELECT、、UPDATE等针对输入条等针对输入条件进行规范，如无必要，应改为仅可接受大小件进行规范，如无必要，应改为仅可接受大小写英文字母与数写等写英文字母与数写等 ü针对特殊的查询参数进行过滤，如针对特殊的查询参数进行过滤，如--、、‘ 等可等可利用利用replace(xx, “ ’ ”, “ ‘’ ”)进行替换，进行替换，ü在程序编写时，应时常检查程序是否存在有非在程序编写时，应时常检查程序是否存在有非预期输入资料的漏洞预期输入资料的漏洞 ü尝试尝试MSSQLServerMSSQLServer管理员管理员sasa的空密码的空密码利用漏洞攻击利用漏洞攻击利用已知漏洞的攻击利用已知漏洞的攻击ü远程溢出攻击远程溢出攻击Windows RPC-DCOMWindows RPC-DCOM、、LSASSLSASS、、NetDDENetDDEIIS IIS WebdavWebdav、、.asp.asp、、. .htrhtr、、. .idaida、、. .idqidq、、.printer.printerMSSQL 2000/MSDE Hello/Resolution OverflowMSSQL 2000/MSDE Hello/Resolution OverflowWu-ftpWu-ftp、、Ws-ftpWs-ftp、、Serv-uServ-uApache Chunked EncodingApache Chunked EncodingSolaris Solaris telnetdtelnetd、、DtspcdDtspcd、、sadmindsadmind、、DistCCDistCCü本地溢出本地溢出内核溢出内核溢出应用溢出应用溢出权限配置不当权限配置不当二、缓冲区溢出二、缓冲区溢出缓冲区溢出攻击缓冲区溢出攻击缓冲区溢出技术原理缓冲区溢出技术原理ü缓冲区溢出分类缓冲区溢出分类 ------基于栈的缓冲区溢出基于栈的缓冲区溢出 ------格式串溢出格式串溢出 ------基于堆的缓冲区溢出基于堆的缓冲区溢出ü防范缓冲区溢出防范缓冲区溢出缓冲区溢出攻击缓冲区溢出攻击ü缓冲区溢出技术原理缓冲区溢出技术原理 通过往程序的缓冲区写超出其长度的内容，造成通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的行其它指令，以达到攻击的目的 。

缓冲区溢出分类缓冲区溢出分类ü内存的概念内存的概念 内存高址内存高址Stack(栈栈)Heap(堆堆)Bss(非初始化文本区域非初始化文本区域)初始化文本区域初始化文本区域Text(文本区文本区) 内存低址内存低址缓冲区溢出分类缓冲区溢出分类ü例：基于栈的缓冲区溢出例：基于栈的缓冲区溢出 桟是程序的临时变量的存储区域一个简单的桟溢桟是程序的临时变量的存储区域一个简单的桟溢出的例子：出的例子： int main(int argc, char **argv) { char buffer[16]; // 存储在存储在Stack strcpy(buffer,argv[1]); //strcpy拷贝没有检测拷贝没有检测argv[1]参数的长参数的长度度 //导致溢出导致溢出 } 缓冲区溢出分类缓冲区溢出分类ü基于栈的缓冲区溢出基于栈的缓冲区溢出 程序执行流程：程序执行流程： 压入当前的指令压入当前的指令( (寄存器寄存器(IP)(IP)作为函数返回的地址作为函数返回的地址(ret)(ret) 压入当前的桟帧压入当前的桟帧ebpebp寄存器寄存器 给局部变量分配空间给局部变量分配空间(sub $0x10,%esp)(sub $0x10,%esp) [ [局部变量局部变量 16 16 字节字节][][ebpebp 4 4字节字节][ret 4][ret 4字节字节] ] |---- |----填充大于填充大于1616字节的数据导致溢出字节的数据导致溢出-----|-----|阻止缓冲区溢出的方法阻止缓冲区溢出的方法ü不使用不安全的数据拷贝函数不使用不安全的数据拷贝函数ü在往缓冲区中填充数据时必须进行边界检查。

在往缓冲区中填充数据时必须进行边界检查ü尽量动态分配内存以存储数据，不要使用固定尽量动态分配内存以存储数据，不要使用固定大小的缓冲区大小的缓冲区ü使用进行边界检查的编译器使用进行边界检查的编译器ü使用户堆栈段不可执行使用户堆栈段不可执行ü程序尽量不设置程序尽量不设置suid/sgid属性属性常见攻击行为常见攻击行为ü暴力猜解暴力猜解ü利用已知漏洞攻击利用已知漏洞攻击ü特洛伊木马特洛伊木马ü拒绝服务攻击拒绝服务攻击ü嗅探嗅探snifferü社会工程社会工程什么是特洛依木马什么是特洛依木马ü““特特洛洛伊伊木木马马””来来源源于于希希腊腊神神话话，，讲讲述述的的是是通通过过一一个个木木马马血血屠屠特特洛洛伊伊城城的的故故事事这这一一故故事事形形象象地地说说明明了了木木马马程程序序的的工工作作原理ü它它一一般般有有两两个个程程序序：：一一个个是是服服务务器器端端程程序，一个是客户端程序序，一个是客户端程序ü服务器端程序的上传和自加载服务器端程序的上传和自加载安装后门安装后门ü上传并执行后门程序上传并执行后门程序安装后门安装后门ü远程控制后门程序－远程控制后门程序－Telnet/Telnet/文件传输文件传输•程序的自加载运行程序的自加载运行 加载程序到启动组加载程序到启动组 写程序启动路径到注册表的写程序启动路径到注册表的runrun 可以修改可以修改Boot.iniBoot.ini 通过注册表里的输入法键值直接挂接启动通过注册表里的输入法键值直接挂接启动 通过修改通过修改Explorer.exeExplorer.exe启动参数等启动参数等后门攻击技术后门攻击技术常见木马常见木马常见攻击行为常见攻击行为ü暴力猜解暴力猜解ü利用已知漏洞攻击利用已知漏洞攻击ü特洛伊木马特洛伊木马ü拒绝服务攻击拒绝服务攻击ü缓冲区溢出攻击缓冲区溢出攻击ü嗅探嗅探snifferü社会工程社会工程““拒绝服务攻击（拒绝服务攻击（Denial of ServiceDenial of Service））””的的方法，简称方法，简称DoSDoS。

它的恶毒之处是通过向服务它的恶毒之处是通过向服务器发送大量的虚假请求，服务器由于不断应付器发送大量的虚假请求，服务器由于不断应付这些无用信息而最终筋疲力尽，而合法的用户这些无用信息而最终筋疲力尽，而合法的用户却由此无法享受到相应服务，实际上就是遭到却由此无法享受到相应服务，实际上就是遭到服务器的拒绝服务服务器的拒绝服务拒绝服务攻击拒绝服务攻击        广播信息可以通过一定的手段（通过广播地址或其广播信息可以通过一定的手段（通过广播地址或其他机制）发送到整个网络中的机器当某台机器使用广他机制）发送到整个网络中的机器当某台机器使用广播地址发送一个播地址发送一个ICMP echoICMP echo请求包时（例如请求包时（例如PINGPING），），一一些系统会回应一个些系统会回应一个ICMP echoICMP echo回应包，也就是说，发送回应包，也就是说，发送一个包会收到许多的响应包一个包会收到许多的响应包SmurfSmurf攻击就是使用这个攻击就是使用这个原理来进行的，当然，它还需要一个假冒的源地址也原理来进行的，当然，它还需要一个假冒的源地址也就是说在网络中发送源地址为要攻击主机的地址，目的就是说在网络中发送源地址为要攻击主机的地址，目的地址为广播地址的包，会使许多的系统响应发送大量的地址为广播地址的包，会使许多的系统响应发送大量的信息给被攻击主机（因为他的地址被攻击者假冒了）。

信息给被攻击主机（因为他的地址被攻击者假冒了）使用网络发送一个包而引出大量回应的方式也被叫做使用网络发送一个包而引出大量回应的方式也被叫做““放大器放大器””一些无能的且不负责任的网站仍有很多的这一些无能的且不负责任的网站仍有很多的这种漏洞拒绝服务攻击拒绝服务攻击----SmurfSmurf攻击攻击attackerattackertargettargetbroadcastecho request 源地址被欺骗为被攻击主机地址源地址被欺骗为被攻击主机地址目标机器会接收很多来自中介网络的请求目标机器会接收很多来自中介网络的请求中介网络中介网络放大器放大器Denial of Service拒绝服务攻击拒绝服务攻击----SmurfSmurf攻击攻击Smurf Smurf 防御防御üSmurfSmurf的攻击平台的攻击平台ü其路由器上启动了其路由器上启动了IPIP广播功能广播功能ü将所有路由器上将所有路由器上IPIP的广播功能都禁止的广播功能都禁止拒绝服务攻击拒绝服务攻击----分布式拒绝服务分布式拒绝服务分布式拒绝服务分布式拒绝服务 拒绝服务中更厉害的一种，叫分布式拒绝拒绝服务中更厉害的一种，叫分布式拒绝服务攻击（服务攻击（Distributed Denial of ServiceDistributed Denial of Service），），简称简称DDoSDDoS。

这些程序可以使得分散在互连网各处的这些程序可以使得分散在互连网各处的机器共同完成对一台主机攻击的操作，从而使主机机器共同完成对一台主机攻击的操作，从而使主机看起来好象是遭到了不同位置的许多主机的攻击看起来好象是遭到了不同位置的许多主机的攻击这些分散的机器由几台主控制机操作进行多种类型这些分散的机器由几台主控制机操作进行多种类型的攻击，如的攻击，如UDP flood, SYN floodUDP flood, SYN flood等　　 攻击入侵主机和安装程序的过程是完全自动攻击入侵主机和安装程序的过程是完全自动化的，一般要经过四步：化的，一般要经过四步：　　　　1. 1. 探测扫描大量主机以寻找可入侵的目标；探测扫描大量主机以寻找可入侵的目标；　　　　2. 2. 入侵有安全漏洞的主机并获取控制权，入侵有安全漏洞的主机并获取控制权，在每台入侵主机中安装攻击程序；在每台入侵主机中安装攻击程序；　　　　3. 3. 构造庞大的、分布式的攻网；构造庞大的、分布式的攻网；　　　　4. 4. 在同一时刻，由分布的成千上万台主机在同一时刻，由分布的成千上万台主机向同一目标地址发出攻击，目标系统全线崩溃。

向同一目标地址发出攻击，目标系统全线崩溃分布式拒绝服务分布式拒绝服务实例：实例：分布式拒绝服务攻击分布式拒绝服务攻击YahooYahoo！！术　　语术　　语ü客户端客户端——用于通过发动攻击的应用程序，攻击者通过用于通过发动攻击的应用程序，攻击者通过它来发送各种命令它来发送各种命令                        ü守护程序守护程序——在代理端主机运行的进程，接收和响应来在代理端主机运行的进程，接收和响应来自客户端的命令自客户端的命令                          ü主控端主控端——运行客户端程序的主机运行客户端程序的主机ü代理端代理端——运行守护程序的主机运行守护程序的主机                                                         ü目标主机目标主机——分布式攻击的目标（主机或网络）分布式攻击的目标（主机或网络） 防御方法防御方法ü数据包过滤（包括特征分析）数据包过滤（包括特征分析）ü利用利用syn-cookie,syn-cachesyn-cookie,syn-cacheü主动发送主动发送RSTRSTü断开网络断开网络ü源追踪技术（源追踪技术（tracebacktraceback））ü采用采用DDOSDDOS设备设备对于对于TTLTTL值的分析值的分析ü系统默认的系统默认的TTL值为值为255,128,64,32ü通常的路由通常的路由HOP为为10-20ü正常的正常的TTL范围：范围：235-245,108-118,44-54,12-22üTFN3K的的TTL算法算法ttl=getrandom(200,255)TTL的范围为：的范围为：(MAX)180-245;(MIN)190-235通过通过TTL值可过滤最大值可过滤最大84.6%的攻击包的攻击包路由器上的配置路由器上的配置üAccess-list访问控制列表访问控制列表 access-list 101 deny ip 192.168.0.0 0.0.255.255.anyüRate-limit 流量限制流量限制rate-limit output 512000...transmit exceed-action drop常见攻击行为常见攻击行为ü暴力猜解暴力猜解ü利用已知漏洞攻击利用已知漏洞攻击ü特洛伊木马特洛伊木马ü拒绝服务攻击拒绝服务攻击ü嗅探嗅探snifferü社会工程社会工程SnifferSniffer原理原理一个网络接口应该只响应这样的两种数据帧：　一个网络接口应该只响应这样的两种数据帧：　 　　　　 　　　　　　　　 　　　　 　　　　　　　　 　　　　 　　　　 　　　　 　　　　 　　 　　　　 　　　　　　　　 　　　　 　　　　 　　　　 　　　　 　　　　 1 1．与自己硬件地址相匹配的数据祯．与自己硬件地址相匹配的数据祯2.2.发向所有机器的广播数据帧。

发向所有机器的广播数据帧网卡来说一般有四种接收模式：网卡来说一般有四种接收模式： 1.1.广播方式：该模式下的网卡能够接收网络中的广播信息广播方式：该模式下的网卡能够接收网络中的广播信息2.2.组播方式：设置在该模式下的网卡能够接收组播数据组播方式：设置在该模式下的网卡能够接收组播数据3.3.直接方式：在这种模式下，只有目的网卡才能接收该数据直接方式：在这种模式下，只有目的网卡才能接收该数据4.4.混杂模式：在这种模式下的网卡能够接收一切通过它的数据，混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的而不管该数据是否是传给它的 SnifferSniffer方式方式ü共享式网络共享式网络混杂模式混杂模式sniffer、、Dnsniff、、Ethereal、、IRISü交换式网络交换式网络ARP欺骗欺骗cain、、ettercapSnifferSniffer危害危害ü可以捕获口令；可以捕获口令；                                ü可以截获机密的或专有的信息；可以截获机密的或专有的信息；                          ü可以被用来攻击相邻的网络或者用来获取更高级别可以被用来攻击相邻的网络或者用来获取更高级别的访问权限。

的访问权限  防止被防止被sniffersnifferü检查网络线路，确定各端口上没有检查网络线路，确定各端口上没有sniffersniffer设设备备ü检查机器的网卡模式，在检查机器的网卡模式，在sniffersniffer存在时，窃存在时，窃听机器的端口被改为混杂模式（听机器的端口被改为混杂模式（promiscuous promiscuous modemode））ü采用采用VPNVPN或或SSL/SSHSSL/SSH对数据进行加密对数据进行加密ü设计合理的拓朴结构设计合理的拓朴结构SnifferSniffer无法穿过无法穿过VLANVLAN和路由器，网络分段越细，则安全程度越高和路由器，网络分段越细，则安全程度越高ü采用采用IP-MAC-IP-MAC-端口的绑定端口的绑定常见攻击行为常见攻击行为ü暴力猜解暴力猜解ü利用已知漏洞攻击利用已知漏洞攻击ü特洛伊木马特洛伊木马ü拒绝服务攻击拒绝服务攻击ü缓冲区溢出攻击缓冲区溢出攻击ü嗅探嗅探snifferü社会工程社会工程社会工程学社会工程学ü什么是社会工程学什么是社会工程学ü社会工程学成立的背景社会工程学成立的背景ü社会工程学的攻击社会工程学的攻击ü社会工程学的防范社会工程学的防范社会工程学社会工程学ü社会工程指的是：导致人们泄漏信息或社会工程指的是：导致人们泄漏信息或诱导人们的行为方式并造成信息系统、诱导人们的行为方式并造成信息系统、网络或数据的非授权访问、非授权使用、网络或数据的非授权访问、非授权使用、或非授权暴露的一切成功或不成功的尝或非授权暴露的一切成功或不成功的尝试试 。

ü成立的背景：人的本性成立的背景：人的本性 、商务环境、商务环境社会工程学攻击社会工程学攻击ü攻击流程：信息收集攻击流程：信息收集选择目标选择目标实施攻击实施攻击ü攻击类型攻击类型(1)基于受害者虚荣心和自负心理的攻击；基于受害者虚荣心和自负心理的攻击；(2)利用同情心和情感的攻击；利用同情心和情感的攻击；(3)利用胁迫进行的攻击利用胁迫进行的攻击 社会工程学的防范社会工程学的防范ü策略、意识和教育策略、意识和教育ü建立事故响应小组建立事故响应小组ü测试预防程度测试预防程度 ü应用可能的技术和管理措施应用可能的技术和管理措施 （如：（如：跟踪、确保物理安全、密级划分跟踪、确保物理安全、密级划分 ）） Ø黑客简史黑客简史Ø黑客攻击分类黑客攻击分类Ø黑客攻击的一般过程黑客攻击的一般过程Ø常见黑客攻击手段常见黑客攻击手段总结总结参考资料参考资料üüüüüüAny questions?谢谢大家谢谢大家E-mail: train@。