黑客攻击和入侵检测.ppt

1、黑客攻防与入侵检测 1F从技术角度讲，电子商务交易安全的需求突出表现为网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏，系统连续可靠地运行，网络上的信息（包括静态信息的存储和传输）都是安全的。2网络交易风险的历史与现状网络交易风险的历史与现状F从上世纪90年代起，伴随着电子商务的不断发展，电子商务安全问题出现的几率也越来越高。F 通过窃取个人信息进行的盗窃近年来增长很快，并导致2003年世界范围2210亿美元的损失，几乎是2000年的3倍。2005年6月17日，美国曝出有史以来规模最大的信用卡个人数据外泄事件。美国万事达卡国际组织宣布，本次的外泄，是在美国专为银

2、行、会员机构、特约商店处理卡片交易资料的外包厂商CardSystems Solutions,Inc公司资料库遭到入侵，包括万事达、威士、运通、Discover在内高达4000多万信用卡用户的银行资料面临泄密风险，其中万事达信用卡用户达1390万，威士信用卡用户高达2200万3网络交易风险的历史与现状网络交易风险的历史与现状2006年以来，计算机病毒/木马处于一种爆发式增长的状态，对电子商务系统的威胁越来越严重。2007年，金山毒霸共截获新病毒/木马283084个，较2006年相比增长了17.88%，病毒/木马增长速度与2006年相比有所放缓，但仍处于大幅增长状态，总数量非常庞大。2008年，自

3、动取款机（ATM）和信用卡的安全问题成为社会关注的焦点。围绕广州许霆案，法律界对ATM机器故障所引发的法律责任展开了针锋相对的辩论。与此类似，宁波的唐氏兄弟案、，重庆的黄某案 也引起人们的广泛关注。ATM和信用卡自身所暴露出来的问题成为电子商务发展中必须解决的重大问题。F大量的事实说明，保证电子商务的正常运作，必须高度重视安全问题。网络交易安全涉及社会的方方面面，不是仅仅是一堵防火墙或一个电子签名就能简单解决的问题。安全问题是网络交易成功与否的关键所在。因为网络交易的安全问题不仅关系到的个人的资金安全、商家的货物安全，还关系到国家的经济安全，国家经济秩序的稳定问题4电子商务的安全隐患（安全问题

4、）电子商务的安全隐患（安全问题）问题问题问题问题措施措施措施措施冒名顶替和否认行为冒名顶替和否认行为冒名顶替和否认行为冒名顶替和否认行为 数字签名、加密、认证等数字签名、加密、认证等数字签名、加密、认证等数字签名、加密、认证等 数据被非法截获、读取或者修改数据被非法截获、读取或者修改数据被非法截获、读取或者修改数据被非法截获、读取或者修改 数据加密数据加密数据加密数据加密 一个网络的用户未经授权访问了一个网络的用户未经授权访问了一个网络的用户未经授权访问了一个网络的用户未经授权访问了另一个网络另一个网络另一个网络另一个网络 防火墙、物理隔离防火墙、物理隔离防火墙、物理隔离防火墙、物理隔离计算机

5、病毒计算机病毒计算机病毒计算机病毒 计算机病毒防治措施计算机病毒防治措施计算机病毒防治措施计算机病毒防治措施 5电子商务基本安全技术电子商务基本安全技术1、黑客防范技术黑客防范技术2、反病毒技术反病毒技术3、加密技术加密技术 4、认证技术认证技术5、安全电子交易协议安全电子交易协议6、虚拟专网技术虚拟专网技术63.1 黑客攻击的目的及步骤F黑客的概念黑客(Hacker)源于Hack，本意为“干了一件非常漂亮的事”，原指一群专业技能超群、聪明能干、精力旺盛、对计算机信息系统进行未经授权访问的人员。现通常将泛指的黑客认为是在计算机技术上有一定特长，并凭借掌握的技术知识，采用非法手段逃过计算机网络系

6、统的访问控制，而进入计算机网络进行未授权或非法访问的人。认为是网络“攻击者”和“破坏者”73.1 黑客攻击的动机及步骤1.黑客攻击的动机F随着时间的变化，黑客攻击的动机变得越来越多样化，主要有以下几种：(1)好奇心：对网络系统、网站或数据内容的好奇而窥视；(2)贪欲：偷窃或者敲诈财物和重要资料；(3)恶作剧：无聊的计算机程序员，通过网络进行戏弄；(4)名声显露：显示计算机经验与才智，以便证明自己的能力和获得名气；(5)宿怨报复：被解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人员，利用网络进行肆意报复；(6)黑客道德：这是许多构成黑客人物的动机；(7)仇恨义愤：国家和民族利益

7、和情感因素的原因；(8)获取机密：以政治、军事、商业经济竞争为目的的间谍窃取机密工作。83.1 黑客攻击的动机及步骤2.黑客攻击的分类按攻击的行为主动性分为：n主动攻击、被动攻击 按攻击的位置情况可分为:n 远程攻击、本地攻击、伪远程攻击93.1 黑客攻击的动机及步骤3、黑客守则及表现职业黑客一般都遵守“黑客十二守则”n不恶意破坏系统、不修改系统文件、不破坏他人软件和资料、不在BBS上谈论泄露入侵事项、不把要入侵和入侵过的站点告诉他人、论坛等处不用真名、入侵时不随意离开用户主机、不入侵政府机关系统、不在电话中谈入侵事项、保管好笔记记录、不删除或涂改已入侵主机的帐号、不与朋友分享已破解的帐号21

8、世纪，黑客群体主要表现n黑客群体扩大化；黑客组织隐蔽化、集团化；黑客行为商业化、政治化；黑客攻击高速化、扩散化；黑客工具尖端化、智能化103.1 黑客攻击的动机及步骤4、黑客攻击的过程黑客攻击一般分为五部曲：n隐藏隐藏IPn黑客将自己主机隐藏，以免被网络警察或网管发现。方法是n先入侵到互联网上一台电脑（肉鸡或傀儡机），利用这台电脑再进行攻击，这样即被发现也是“肉鸡”的IP地址；或是做多极跳板“Sock代理”，则在入侵的电脑上留下的是代理计算机的IP地址。n踩点扫描踩点扫描n如同窃贼作案前的踩点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。n获得特权获得特权：得到管理员

9、权限的目的是连接到远程计算机，对其进行控制，达到自己攻击的目的。n种植后门种植后门：n为了保持长时间对傀儡机的继续访问，利用各种方法种植一些供自己访问的后门程序n隐身退出隐身退出n为了避免被发现，在入侵完毕后需要及时清除登录日志及其他相关日志。113.1 黑客攻击的动机及步骤F黑客攻击的步骤黑客攻击的步骤 1)收集信息和系统扫描(1)收集要攻击目标系统的相关信息n这些信息包括目标系统的位置、路由、目标系统的结构及技术细节等。可以用以下的工具或协议来完成信息收集。Ping程序、Tracert程序、Finger协议、DNS服务器、SNMP协议、whois协议。(2)系统扫描n为进一步获取系统及网络

10、信息，使用以下工具进行有针对性地窥探。Nmap：判断OS类型及版本，嗅探系统开放的Service。nCheops：图形化的网络嗅探工具，能够管理Linux异构网络，获取系统漏洞信息。123.1 黑客攻击的动机及步骤F黑客攻击的步骤黑客攻击的步骤2)探测系统安全弱点n入侵者根据收集到的目标网络的有关信息，对目标网络上的主机进行探测，以发现系统的弱点和安全漏洞。发现系统弱点和漏洞的主要方法有：(1)利用“补丁”找到突破口n攻击者通过分析“补丁”程序的接口，自己编写程序通过该接口入侵目标系统。(2)利用扫描器发现安全漏洞n可以对整个网络或子网进行扫描，寻找安全漏洞。系统管理员使用扫描器可以及时发现系

11、统存在的安全隐患，从而完善系统的安全防御体系；而攻击者使用此类工具，用于发现系统漏洞。目前比较流行的扫描器有因特网安全扫描程序ISS(Internet Security Scanner)，安全管理员网络分析工具SATAN(Security Administrator Tool for Analyzing Networks)、NSS、Nessus等。133.1 黑客攻击的动机及步骤F黑客攻击的步骤黑客攻击的步骤3)实施攻击n攻击者通过上述方法找到系统的弱点后，就可以对系统实施攻击。攻击者的攻击行为一般可以分为以下3种表现形式：(1)掩盖行迹，预留后门n攻击者潜入系统后，会尽量销毁可能留下的痕迹，

12、并在受损害系统中找到新的漏洞或留下后门，以备下次光顾时使用。(2)安装探测程序n攻击者可能在系统中安装探测软件，即使攻击者退出去以后，探测软件仍可以窥探所在系统的活动，收集攻击者感兴趣的信息，如：用户名、账号、口令等，并源源不断地把这些秘密传给幕后的攻击者。(3)取得特权，扩大攻击范围n攻击者可能进一步发现受损害系统在网络中的信任等级，然后利用该信任等级所具有的权限，对整个系统展开攻击。如果攻击者获得根用户或管理员的权限，后果将不堪设想。143.2常用的黑客攻击和防御技术F常用攻击手段端口扫描网络监听密码破解特洛伊木马缓冲区溢出拒绝服务其他攻击nWWW欺骗n电子邮件攻击n即时通信QQ攻击151

13、、端口扫描攻防F网络端口为一组16位号码，范围为065535。服务器在预设的端口等待客户端的连接。一个端口就是一个潜在的通信通道，也为黑客提供一个隐蔽的入侵通道。F服务可以被绑定在选定端口，但服务一般都被绑定到指定的端口上，服务器在预设的端口等待客户端的连接。这些端口被称为公认端口。服务或应用程序FTPSMTPTelnetHTTPPOP3端口21252380110161、端口扫描攻防F端口扫描方式及作用(1)端口扫描方式n进行扫描的方法很多，可以是手工命令行方式进行扫描，也可以用端口扫描工具进行扫描时，许多扫描器软件都有分析数据的功能(2)端口扫描的作用n 端口扫描程序使系统管理员能够及时发现

14、网络的弱点，有助于进一步加强系统的安全性。一般各种网络服务和管理都是通过端口进行的，对目标计算机进行端口扫描能获得许多重要信息，从而发现系统的安全漏洞防患于未然。F端口扫描往往也成为黑客发现获得主机信息的一种最佳途径171、端口扫描攻防F端口扫描原理最简单的端口扫描程序仅仅是检查目标主机在哪些端口可以建立TCP 连接，如果可以建立连接，则说明主机在那个端口被监听。对于非法入侵者而言，要想知道端口上具体提供的服务，必须用相应的协议来验证才能确定，因为一个服务进程总是为了完成某种具体的工作而设计的。181、端口扫描攻防F端口扫描的防范对策端口扫描的防范也称为系统“加固”，主要有两种方法。(1)关闭

15、闲置及危险端口n将所有用户需要用到的正常计算机端口之外的其他端口都关闭。(2)屏蔽出现扫描症状的端口（启动防火墙）192.网络监听攻防F网络监听工具Sniffer(也称嗅探器)和 NetXRay等原本是用于网络检测管理的工具，主要是分析网络的流量，以便找出所关注网络中潜在的问题。但也可以被黑客用于窃听网络，因此也属于一种攻击手段。1）网络监听的概念及原理nSniffer 是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。可以作为能够捕捉网络报文的设备，也可以被理解为一种安装在计算机上的监听设备。可以用于监听计算机在网络上所产生的多种信息。202.网络监听攻防F计算机网络嗅探器可

16、以监听计算机程序在网络上发送和接收的信息，包括用户的账号用户的账号、密码密码和机密数机密数据资料据资料等。F计算机直接所传输的数据是大量的二进制数据。因此，一个网络窃听程序必须也使用特定的网络协议特定的网络协议来分析嗅探到的数据，监听工具也能够识别出协议对应的数据片段，以便进行正确解码。一般情况下，大多数的监听工具可以分析下面的协议：(1)标准以太网 (2)TCP/IP (3)IPX (4)DECNet212.网络监听攻防2）网络监听的检测(1)网络监听的威胁n网络监听能够捕获密码，这大概是绝大多数人非法使用监听工具的理由。网络监听还能够捕获专用的或者机密的信息。(2)网络监听的检测方法n在Linux 下对嗅探攻击的程序检测方法比较简单，一般只要检查网卡是否处于混杂模式就可以了；n在Windows 平台中，并没有现成的函数可供实现这个功能，只要可以执行“c：windowsDrwatson.exe”程序检查一下是否有嗅探程序在运行即可。222.网络监听攻防3）网络嗅探的防范对象网络嗅探就是使网络接口接收不属于本主机的数据。通常账户和密码等信息都以明文的形式在以太网上传输，一旦被黑客在杂错