第2章黑客常用的攻击方法.pptx

1、1第2章黑客常用的攻击方法计算机网络安全技术（第4版）工业和信息化“十三五”高职高专人才培养规划教材第2章黑客常用的攻击方法人民邮电出版社2第2章黑客常用的攻击方法能力CAPACITY要求熟悉TCP/IP。了解黑客攻击的常用手段和方法，掌握常用网络安全技术。具有良好的职业道德。3第2章黑客常用的攻击方法内容CONTENTS导航常用黑客技术的原理黑客发展的历史黑客攻击的防范4第2章黑客常用的攻击方法一、黑客发展的历史罗伯特莫里斯1988年，莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特莫里斯（22岁）制造的这个蠕虫病毒入侵了大约6000个大学和军事机构的计算机，使之瘫痪。此后，从CI

2、H到美丽杀病毒，从尼姆达到红色代码，病毒、蠕虫的发展愈演愈烈。5第2章黑客常用的攻击方法一、黑客发展的历史l凯文米特尼克是美国20世纪最著名的黑客之一，他是社会工程学的创始人l1979年（15岁）他和他的伙伴侵入了“北美空中防务指挥系统”，翻阅了美国所有的核弹头资料，令大人不可置信。l不久破译了美国“太平洋电话公司”某地的改户密码，随意更改用户的电话号码。欺骗的艺术凯文米特尼克6第2章黑客常用的攻击方法一、黑客发展的历史安全威胁发展趋势7第2章黑客常用的攻击方法一、黑客发展的历史攻击复杂度与所需入侵知识关系图8第2章黑客常用的攻击方法一、黑客发展的历史黑客入侵攻击的一般过程目标地址范围确定、名

3、字空间查询对目标系统的监听和评估分析收集足够的信息，得以成功访问目标从对用户级的访问权限到对系统的完全控制信息进一步摄取取一旦目标系统已全部控制，掩踪灭迹不同部位布置陷阱和后门，需要时获得特权访问踩点扫描查点获取访问特权提升偷盗窃取掩踪灭迹创建后门如果入侵不成功，可用漏洞代码来使目标系统瘫痪拒绝服务打开源查询；whois；whois的Web接口；ARINwhios；DNA区域传送Pingsweep；TCP/UDP端口扫描；OS检测列出用户账号；列出共享文件；确定各种应用密码窃听；共享文件的蛮力攻击；攫取密码；文件缓冲区溢出密码破解；利用已知漏洞和脆弱点评估可信系统的坚固度；搜索明文密码清除日志

4、记录；掩藏工具创建“无赖”账号，；安排批处理作业；感染初启动文件；植入远程控制程序；安装监控机制；利用特洛伊木马替换应用SYNflood；ICMP技术；统一scr/dstSYN请求；重叠fragment/offset错误（bugs）；OutofboundsTCPoption（008）；DDoS针对有效用户账号或共享资源，进行更多入侵探询9第2章黑客常用的攻击方法内容CONTENTS导航常用黑客技术的原理黑客发展的历史黑客攻击的防范10第2章黑客常用的攻击方法二、常用黑客技术的原理l网络踩点：收集IP地址范围、域名信息等。l网络扫描：探测系统开放端口、操作系统类型、所运行的网络服务，以及是否存在

5、可利用的安全漏洞等。l网络查点：获得用户账号、网络服务类型和版本号等更细致的信息。常用的网络信息收集技术【实验】whois查询11第2章黑客常用的攻击方法二、常用黑客技术的原理漏洞扫描的内容漏洞扫描1 12 23 34 45 56 6系统开放的服务（端口扫描）各种弱口令漏洞、后门操作系统类型及版本网络设备漏洞应用服务漏洞拒绝服务漏洞等网络扫描器作用探测目标网络结构，获取目标系统的开放端口、操作系统类型、运行的网络服务、存在的安全弱点等信息。12第2章黑客常用的攻击方法二、常用黑客技术的原理端口扫描器原理预备知识应用层表示层会话层传输层网络层数据链路层物理层应用层应用程序应用程序传输层网络层链路

6、层TCPTCPUDPICMPIPARP硬件接口RARP13第2章黑客常用的攻击方法二、常用黑客技术的原理预备知识IP头预备知识TCP头14第2章黑客常用的攻击方法二、常用黑客技术的原理常用的扫描软件Nmap（端口扫描器）NessusXscan（综合扫描器）ipscanlNmap简介(NetworkMapper)l官方下载及文档地址：http:/insecure.org/nmap/l详细操作步骤参见教材课堂演练一：端口扫描器Nmap15第2章黑客常用的攻击方法二、常用黑客技术的原理其他扫描方式：案例02OPTION01OPTION03OPTION04OPTIONPing扫描（sP参数）TCPco

7、nnect()端口扫描（sT参数）TCP同步（SYN）端口扫描（sS参数）UDP端口扫描（sU参数）02OPTION01OPTION03OPTIONFIN扫描（sF）圣诞树扫描（sX）空扫描（sN）16第2章黑客常用的攻击方法二、常用黑客技术的原理l全连接扫描TCPconnect()扫描l半连接扫描TCPSYN()扫描17第2章黑客常用的攻击方法二、常用黑客技术的原理端口扫描的防范防火墙防火墙是不是能防范所有的端口扫描？提问18第2章黑客常用的攻击方法二、常用黑客技术的原理l本部分内容安排学生自己完成l详细操作步骤参见教材课堂演练二：综合扫描器XscanlNessus也是一款典型的综合扫描器，

8、其被认为是目前全世界最多人使用的系统漏洞扫描与分析软件。lNessus软件采用C/S架构：l详细操作步骤参见教材课堂演练三：Nessus19第2章黑客常用的攻击方法二、常用黑客技术的原理口令破解01PRAT02PRAT03PRAT口令破解概述口令破解方法口令破解实验（详细操作步骤参见教材）20第2章黑客常用的攻击方法二、常用黑客技术的原理口令破解的防范标题关闭139端口强壮的密码administrator账户重命名设置账户锁定策略口令破解的防范21第2章黑客常用的攻击方法二、常用黑客技术的原理lSniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。l采用这种技术，我们可以监视网络

9、的状态、数据流动情况以及网络上传输的信息等等。网络监听技术Sniffer原理什么是Sniffer?l网络通信监视软件l网络故障诊断分析工具l网络性能优化、管理系统它帮助你迅速隔离和解决网络通讯问题、分析和优化网络性能和规划网络的发展。22第2章黑客常用的攻击方法二、常用黑客技术的原理l梦幻西游在网维大师无盘上容易掉线的问题（备注：123.58.184.241是梦幻西游的服务器）l分析原因产生：1、服务器发现客户端非法，比如有外挂什么的，踢掉了客户机；2、服务器压力大，踢掉了客户机；3、总之不是客户端问题导致的掉线；案例23第2章黑客常用的攻击方法二、常用黑客技术的原理网卡先接收数据头的目的MA

10、C地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。网卡工作原理24第2章黑客常用的攻击方法二、常用黑客技术的原理网卡的工作模式能够接收网络中的广播信息。广播方式在此添加标题组播方式直接方式混杂模式（promiscuous）能够接收组播数据。只有目的网卡才能接收该数据。能够接收到一切通过它的数据。25第2章黑客常用的攻击方法二、常用黑客技术的原理HUB工作原理26第2章黑

11、客常用的攻击方法二、常用黑客技术的原理交换环境下的SNIFF27第2章黑客常用的攻击方法二、常用黑客技术的原理一个sniffer需要作的：网络监听原理123把网卡置于混杂模式捕获数据包分析数据包12328第2章黑客常用的攻击方法二、常用黑客技术的原理常用的SNIFFwindows环境下UNUX环境下图形界面的SNIFF、netxray、snifferproUNUX环境下的sniff可以说是百花齐放，他们都有一个好处就是发布源代码，当然也都是免费的。如sniffit、snoop、tcpdump、dsniff1、SnifferPro2、WireShark（06年夏天前称为Ethereal）3、Ne

12、tmonitor4、EffTechHTTPSniffer5、Iris29第2章黑客常用的攻击方法二、常用黑客技术的原理lWireshark的使用lWireshark的语法Sniffer演示实验30第2章黑客常用的攻击方法二、常用黑客技术的原理捕捉过滤器可以使用6种比较运算符：逻辑运算符（Logicalexpressions）:31第2章黑客常用的攻击方法二、常用黑客技术的原理1.tcpdstport80/捕捉目的TCP端口为80的封包。问题：怎么捕捉DNS包？2.host10.1.248.248/捕捉目的或来源IP地址为10.1.248.248的封包。3.ipsrchost10.3.40.*/

13、捕捉来源IP地址为10.3.40.*的封包。4.etherhoste005c544b13c/捕捉目的或来源MAC地址为e005c544b13c的封包。5.srcportrange20002500/捕捉来源为UDP或TCP，并且端口号在2000至2500范围内的封包。6.（srchost10.4.1.12orsrcnet10.6.0.0/16)andtcpdstportrange20010000anddstnet10.0.0.0/8/捕捉来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。

14、练习32第2章黑客常用的攻击方法二、常用黑客技术的原理练习1.ip.addr=10.1.1.1/显示来源或目的IP地址为10.1.1.1的封包。2.ip.src!=10.1.2.3orip.dst!=10.4.5.6/显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。3.tcp.port=80/显示来源或目的TCP端口号为80的封包。4.tcp.dstport=25/显示目的TCP端口号为25的封包。显示过滤器33第2章黑客常用的攻击方法二、常用黑客技术的原理l【例1】嗅探FTP过程l【例2】嗅探HTTP登录邮箱的过程l【例3】嗅探POP邮箱密码的过程详细操作步骤参见教材课堂演练

15、l使用WireShark分析TCP/IP建立连接的三次握手过程的数据包l使用WireShark分析nmap各种扫描方式的数据包综合演练34第2章黑客常用的攻击方法内容CONTENTS导航常用黑客技术的原理黑客发展的历史黑客攻击的防范35第2章黑客常用的攻击方法三、黑客攻击的防范l进行合理的网络分段。l用SSH/SSL建立加密连接，保证数据传输安全。lSniffer往往是入侵系统后使用的，用来收集信息，因此防止系统被突破。l防止内部攻击。lAntiSniff工具用于检测局域网中是否有机器处于混杂模式（不是免费的）。如何防止SNIFF36第2章黑客常用的攻击方法三、黑客攻击的防范lARP欺骗的工作

16、原理ARP欺骗攻击37第2章黑客常用的攻击方法三、黑客攻击的防范交换环境下的ARP欺骗攻击及其嗅探演示实验l实验拓扑：lARP欺骗工具：SwitchSnifferl详细步骤参见教材38第2章黑客常用的攻击方法三、黑客攻击的防范lARP命令静态绑定网关lARP防火墙l通过加密传输数据、使用VLAN技术细分网络拓扑等方法，以降低ARP欺骗攻击的危害后果ARP欺骗的防御39第2章黑客常用的攻击方法三、黑客攻击的防范l木马是一种基于远程控制的黑客工具l隐蔽性l潜伏性l危害性l非授权性木马（Trojanhorse）40第2章黑客常用的攻击方法三、黑客攻击的防范木马与病毒、远程控制的区别40213病毒程序是以自发性的败坏为目的木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。木马和一般的远程控制软件的区别在于其隐蔽、非授权性。41第2章黑客常用的攻击方法三、黑客攻击的防范木马的工作原理实际就是一个C/S模式的程序（里应外合）操作系统被植入木马的PC（server程序）TCP/IP协议端口控制木马的PC（client程序）操作系统TCP/IP协议端口控制端端口处于监听状态