网络安全-第9章PPT文档格式.ppt

1、在网络世界里，要想区分开谁是真正意义在网络世界里，要想区分开谁是真正意义上的黑客，谁是真正意义上的入侵者并不容易，上的黑客，谁是真正意义上的入侵者并不容易，因为有些人可能既是黑客，也是入侵者。而且因为有些人可能既是黑客，也是入侵者。而且在大多数人的眼里，黑客就是入侵者。所以，在大多数人的眼里，黑客就是入侵者。所以，在以后的讨论中不再区分黑客、入侵者，将他在以后的讨论中不再区分黑客、入侵者，将他们视为同一类。们视为同一类。10/27/20227黑客攻击与防范9.1.2黑客攻击的目的黑客攻击的目的1窃取信息窃取信息2获取口令获取口令3控制中间站点控制中间站点4获得超级用户权限获得超级用户权限10/

2、27/20228黑客攻击与防范9.1.3黑客攻击的黑客攻击的3个阶段个阶段1确定目标确定目标 2搜搜集集与与攻攻击击目目标标相相关关的的信信息息，并并找找出出系系统的安全漏洞统的安全漏洞 3实施攻击实施攻击10/27/20229黑客攻击与防范9.1.4黑客攻击手段黑客攻击手段1黑客往往使用扫描器黑客往往使用扫描器2黑黑客客经经常常利利用用一一些些别别人人使使用用过过的的并并在在安安全领域广为人知的技术和工具。全领域广为人知的技术和工具。3黑客利用黑客利用Internet站点上的有关文章站点上的有关文章4黑客利用监听程序黑客利用监听程序5黑客利用网络工具进行侦察黑客利用网络工具进行侦察6黑客自己

3、编写工具黑客自己编写工具10/27/202210黑客攻击与防范第二节 个人计算机的网络安全 l口令安全口令安全1 1、口令破解器、口令破解器2 2、选择口令的规则、选择口令的规则10/27/202211黑客攻击与防范第二节 个人计算机的网络安全 l特洛伊木马特洛伊木马是是一一种种基基于于远远程程控控制制的的黑黑客客工工具具，具具有有隐隐蔽蔽性和非授权性等特点。性和非授权性等特点。10/27/202212黑客攻击与防范第二节 个人计算机的网络安全 l特洛伊木马的组成部分特洛伊木马的组成部分一一般般一一个个木木马马程程序序的的组组成成包包括括控控制制端端程程序序、木马程序和木马配置程序三部分。木马

4、程序和木马配置程序三部分。10/27/202213黑客攻击与防范第二节 个人计算机的网络安全 l特洛伊木马的传播攻击过程特洛伊木马的传播攻击过程1 1、配置木马、配置木马2 2、传播木马、传播木马3 3、运行木马、运行木马4 4、信息泄露、信息泄露5 5、建立连接、建立连接6 6、远程控制、远程控制10/27/202214黑客攻击与防范第二节 个人计算机的网络安全 lWindows 2000Windows 2000的安全的安全安全级别安全级别登录过程登录过程用户名用户名密码密码NTFSNTFS文件系统文件系统默认共享默认共享10/27/202215黑客攻击与防范第二节 个人计算机的网络安全 l

5、QQQQ的安全的安全1 1、在、在QQQQ中显示对方的中显示对方的IPIP地址地址2 2、QQQQ密码密码3 3、QQQQ消息炸弹消息炸弹10/27/202216黑客攻击与防范第二节 个人计算机的网络安全 l电子邮件的安全电子邮件的安全1 1、邮箱密码、邮箱密码2 2、邮件炸弹、邮件炸弹3 3、垃圾邮件、垃圾邮件10/27/202217黑客攻击与防范第三节 黑客常用工具和防御l监听与扫描监听与扫描lSnifferl拒绝服务拒绝服务10/27/202218黑客攻击与防范9.3.1网络监听网络监听1.网络监听简介网络监听简介 所谓网络监听就是获取在网络上传所谓网络监听就是获取在网络上传输的信息。通

6、常，这种信息并不是特定输的信息。通常，这种信息并不是特定发给自己计算机的。一般情况下，系统发给自己计算机的。一般情况下，系统管理员为了有效地管理网络、诊断网络管理员为了有效地管理网络、诊断网络问题而进行网络监听。然而，黑客为了问题而进行网络监听。然而，黑客为了达到其不可告人的目的，也进行网络监达到其不可告人的目的，也进行网络监听。听。10/27/202219黑客攻击与防范2.在以太网中的监听在以太网中的监听（1）以太网中信息传输的原理。）以太网中信息传输的原理。以太网协议的工作方式：发送信息时，发以太网协议的工作方式：发送信息时，发送方将对所有的主机进行广播，广播包的包头送方将对所有的主机进行

7、广播，广播包的包头含有目的主机的物理地址，如果地址与主机不含有目的主机的物理地址，如果地址与主机不符，则该主机对数据包不予理睬，只有当地址符，则该主机对数据包不予理睬，只有当地址与主机自己的地址相同时主机才会接受该数据与主机自己的地址相同时主机才会接受该数据包，但网络监听程序可以使得主机对所有通过包，但网络监听程序可以使得主机对所有通过它的数据进行接受或改变。它的数据进行接受或改变。10/27/202220黑客攻击与防范（2）监听模式的设置）监听模式的设置要使主机工作在监听模式下，需要向网络要使主机工作在监听模式下，需要向网络接口发送接口发送I/O控制命令；将其设置为监听模式。控制命令；在在U

8、NIX系统中，发送这些命令需要超级用户系统中，发送这些命令需要超级用户的权限。在的权限。在UNIX系统中普通用户是不能进行系统中普通用户是不能进行网络监听的。但是，在上网的网络监听的。但是，在上网的Windows95中，中，则没有这个限制。只要运行这一类的监听软件则没有这个限制。只要运行这一类的监听软件即可，而且具有操作方便，对监听到信息的综即可，而且具有操作方便，对监听到信息的综合能力强的特点。合能力强的特点。10/27/202221黑客攻击与防范（3）网络监听所造成的影响）网络监听所造成的影响网络监听使得进行监听的机器响应网络监听使得进行监听的机器响应速度变得非常慢速度变得非常慢 10/2

9、7/202222黑客攻击与防范3.常用的监听工具常用的监听工具（1）snoopsnoop可可以以截截获获网网络络上上传传输输的的数数据据包包，并并显显示示这这些些包包中中的的内内容容。它它使使用用网网络络包包过过滤滤功功能能和和缓缓冲冲技技术术来来提提供供有有效效的的对对网网络络通通信信过过滤滤的的功功能能。那那些些截截获获的的数数据据包包中中的的信信息息可可以以在在它它们们被被截截获获时时显显示示出出来来，也也可可以以存存储储在在文文件件中中，用用于于以以后后的检查。的检查。Snoop可以以单行的形式只输出数据包的可以以单行的形式只输出数据包的总结信息，也可以以多行的形式对包中信息详总结信息

10、，也可以以多行的形式对包中信息详细说明。细说明。10/27/202223黑客攻击与防范2Sniffit软件软件Sniffit是是由由LawrenceBerkeley实实验验室室开开发发的的，运运行行于于Solaris、SGI和和Linux等等平平台台的的一一种种免免费费网网络络监监听听软软件件，具具有有功功能能强强大大且且使使用用方方便便的的特特点点。使使用用时时，用用户户可可以以选选择择源源、目目标标地地址址或或地地址址集集合合，还还可可以选择监听的端口、协议和网络接口等。以选择监听的端口、协议和网络接口等。10/27/202224黑客攻击与防范4.网络监听的检测 方法一：方法一：对对于于怀

11、怀疑疑运运行行监监听听程程序序的的机机器器，用用正正确确的的IP地地址址和和错错误误的的物物理理地地址址去去ping，运运行行监监听听程程序序的的机机器器会会有有响响应应。这这是是因因为为正正常常的的机机器器不不接接收收错错误误的的物物理理地地址址，处处于于监监听听状状态态的的机机器器能能接接收收。如如果果他他的的IPstack不不再再次次反反向向检检查查的的话话，就就会会响响应应。这这种种方方法法依依赖赖于于系系统统的的IPstack，对对一一些系统可能行不通。些系统可能行不通。10/27/202225黑客攻击与防范方法二：方法二：往往网网上上发发大大量量不不存存在在的的物物理理地地址址的的

12、包包，由由于于监监听听程程序序将将处处理理这这些些包包，将将导导致致性性能能下下降降。通通过过比比较较前前后后该该机机器器性性能能（icmpechodelay等等方方法法）加以判断。这种方法难度比较大。加以判断。方法三：一一个个看看起起来来可可行行的的检检查查监监听听程程序序的的方方法法是是搜搜索索所所有有主主机机上上运运行行的的进进程程。那那些些使使用用DOS、WindowsforWorkgroup或或者者Windows95的的机机器器很很难难做做到到这这一一点点。而而使使用用UNIX和和WindowsNT的机器可以很容易地得到当前进程的清单。的机器可以很容易地得到当前进程的清单。10/27

13、/202226黑客攻击与防范方法四：方法四：另外一个办法就是去搜索监听程序，另外一个办法就是去搜索监听程序，入侵者很可能使用的是一个免费软件。入侵者很可能使用的是一个免费软件。管理员就可以检查目录，找出监听程序，管理员就可以检查目录，找出监听程序，但这很困难而且很费时间。在但这很困难而且很费时间。在UNIX系统系统上，人们可能不得不自己编写一个程序。上，人们可能不得不自己编写一个程序。另外，如果监听程序被换成另一个名字，另外，如果监听程序被换成另一个名字，管理员也不可能找到这个监听程序。管理员也不可能找到这个监听程序。10/27/202227黑客攻击与防范9.3.2扫描器扫描器1.扫描器简介扫描器简介扫扫描描器器是是自自动动检检测测远远程程或或本本地地主主机机安安全全性性漏漏洞洞的的程程序包。序包。使使用用扫扫描描器器，不不仅仅可可以以很很快快地地发发现现本本地地主主机机系系统统配配置置和和软软件件上上存存在在的的安安全全隐隐患患，而而且且还还可可以以不不留留痕痕迹迹地地发发现现远远在在另另一一个个半半球球的的一一台台主主机机的的安安全全性性漏漏洞洞，这这种种自动检测功能快