第2章網絡攻擊與防范第2章網絡攻擊與防范第2章網絡攻擊與防范2.1黑客概述2.2常見的網絡攻擊2.3攻擊步驟2.4網絡攻擊的實施2.5留后門與清痕跡的防范方法第2章網絡攻擊與防范2.1黑客概述2.1黑客概述2.1.1黑客的由來1.黑客的發展史2.黑客的含義所謂黑客，是指利用通信軟件，通過網絡非法進入他人計算機系統，獲取或篡改各種數據，危害信息安全的入侵者或入侵行為。在日本《新黑客詞典》中，對黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個人才干的人。他們不像絕大多數電腦使用者那樣，只規規矩矩地了解別人指定了解的狹小部分知識?！痹凇吨腥A人民共和國公共安全行業標準》（GA163-1997）中，黑客被定義為“對計算機系統進行非授權訪問的人員”。這也是目前大多數人對黑客的理解。2.1黑客概述2.1.1黑客的由來2.1.2黑客文化黑客們充分利用互聯網跟那些興趣相同的人成為朋友和伙伴。在互聯網還不是很普及的時候，黑客們通過訪問他們自己建立的留言板系統（BBS），來與其他黑客聯系。黑客可以將BBS放在自己的計算機上，讓人們登陸系統去發送消息、共享信息、玩游戲以及下載程序。2.1.2黑客文化黑客們充分利用互聯網跟那些興趣相同的2.1.3知名黑客史蒂夫·喬布斯和斯蒂芬·沃茲尼克，蘋果公司創始人，都是黑客。他們早期的一些活動很像一些惡意黑客的行為。但是，喬布斯和沃茲尼亞克超越了惡意行為，開始專心開發計算機硬件和軟件。他們的努力開辟了個人電腦的時代。李納斯·托沃茲，Linux之父，一名正直的著名黑客。在黑客圈里，Linux系統非常受歡迎。托沃茲促進了開放源代碼軟件觀念的形成，向人們證明了只要你向所有人公開信息，你就可以收獲不可思議的財富。理查德·斯托爾曼，人稱RMS，是自由軟件運動，GNU計劃和自由軟件基金的創始人。他促進了免費軟件和自由訪問計算機的理念的推廣。同時他與一些組織（比如免費軟件基金會）一起合作，反對諸如數字版權管理這樣的政策。2.1.3知名黑客史蒂夫·喬布斯和斯蒂芬·沃茲尼克，蘋果喬納森·詹姆斯，他在16歲的時候成為了首位被監禁的青少年黑客，并因此惡名遠播。他曾經入侵過很多著名組織的站點，包括美國國防部下設的國防威脅降低局（DTRA）。通過此次黑客行動，他捕獲了用戶名和密碼，并瀏覽高度機密的電子郵件。詹姆斯還曾入侵過美國宇航局的計算機，并竊走價值170萬美元的軟件。據美國司法部長稱，他所竊取的軟件主要用于維護國際空間站的物理環境，包括對濕度和溫度的控制。當詹姆斯的入侵行為被發現后，美國宇航局被迫關閉了整個計算機系統，并因此花費了納稅人的4.1萬美元。目前，詹姆斯正計劃成立一家計算機安全公司。2.1.3知名黑客喬納森·詹姆斯，他在16歲的時候成為了首位被監禁的青少年黑客凱文·米特尼克，在上世紀八十年代他可謂是惡名昭著，17歲的時候他潛入了北美空中防御指揮部（NORAD）。美國司法部曾經將米特尼克稱為“美國歷史上被通緝的頭號計算機罪犯”，他的所作所為已經被記錄在兩部好萊塢電影中，分別是《Takedown》和《FreedomDowntime》。米特尼克最初破解了洛杉磯公交車打卡系統，因此他得以免費乘車。在此之后，他也同蘋果聯合創始人斯蒂芬·沃茲尼克（SteveWozniak）一樣，試圖盜打電話。米特尼克首次被判有罪是因為非法侵入DigitalEquipment公司的計算機網絡，并竊取軟件。之后的兩年半時間里，米特尼克展開了瘋狂的黑客行動。他開始侵入計算機，破壞電話網絡，竊取公司商業秘密，并最終闖入了美國國防部預警系統。后來，他因為入侵計算機專家、黑客TsutomuShimomura的家用計算機而落網。在長達5年零8個月的單獨監禁之后，米特尼克現在的身份是一位計算機安全作家、顧問和演講者。2.1.3知名黑客凱文·米特尼克，在上世紀八十年代他可謂是惡名昭著，17歲的時凱文·鮑爾森，也叫“黑暗但丁”，他因非法入侵洛杉磯KIIS-FM電話線路而聞名全美，同時也因此獲得了一輛保時捷汽車。美國聯邦調查局（FBI）也曾追查鮑爾森，因為他闖入了FBI數據庫和聯邦計算機，目的是獲取敏感信息。鮑爾森的專長是入侵電話線路，他經常占據一個基站的全部電話線路。鮑爾森還經常重新激活黃頁上的電話號碼，并提供給自己的伙伴用于出售。他最終在一家超市被捕，并被處以五年監禁。在監獄服刑期間，鮑爾森擔任了《Wired》雜志的記者，并升任高級編輯。阿德里安·拉莫，他熱衷入侵各大公司的內部網絡，比如微軟公司等。他喜歡利用咖啡店、復印店或圖書館的網絡來從事黑客行為，因此獲得了一個“不回家的黑客”的綽號。拉莫經常能發現安全漏洞，并對其加以利用。通常情況下，他會通知企業有關漏洞的信息。在拉莫的入侵名單上包括雅虎、花旗銀行、美洲銀行和Cingular等知名公司。由于侵入《紐約時報》內部網絡，拉莫成為頂尖數碼罪犯之一。也正是因為這一罪行，他被處以6.5萬美元罰款，以及六個月家庭禁閉和兩年緩刑。拉莫現在是一位著名公共發言人，同時還是一名獲獎記者。2.1.3知名黑客凱文·鮑爾森，也叫“黑暗但丁”，他因非法入侵洛杉磯KIIS-2.1.4近10年著名黑客事件2000年，年僅15歲，綽號黑手黨男孩的黑客在2000年2月6日到2月14日情人節期間成功侵入包括雅虎、eBay和Amazon在內的大型網站服務器，他成功阻止服務器向用戶提供服務，他于同年被捕。2000年，2001年5月，2002年11月，2006年10月16日，2007年4月27日，2007年，2008年，2009年7月7日，2.1.4近10年著名黑客事件2000年，年僅15歲，2.1.5黑客的行為發展趨勢1．黑客組織化2．黑客技術的工具化、智能化（1）黑客開發的工具。（2）很多網絡安全工具可以當作黑客工具來使用，同樣是掃描器，網絡管理員可以用它來檢查系統漏洞，防患于未然，黑客也可以用它來尋找攻擊入口，為實施攻擊做好準備，另外還有很多常用的網絡工具也能當作黑客工具來用，如Telnet、Ftp等等。2.1.5黑客的行為發展趨勢1．黑客組織化主要表現在以下3個方面。（1）反檢測技術攻擊者采用了能夠隱藏攻擊工具的技術，這使得安全專家通過各種分析方法來判斷新的攻擊的過程變得更加困難和耗時。（2）動態行為以前的攻擊工具按照預定的單一步驟發起進攻，現在的自動攻擊工具能夠按照不同的方法更改它們的特征，如隨機選擇預定的決策路徑，或者通過入侵者直接控制。（3）攻擊工具的模塊化黑客技術智能化的表現主要表現在以下3個方面。黑客技術智能化的表現3．黑客技術普及化黑客技術普及化的原因有以下三個方面：（1）黑客組織的形成，使黑客的人數迅速擴大，如美國的“大屠殺2600”的成員就曾達到150萬人，這些黑客組織還提供大量的黑客工具，使掌握黑客技術的人數劇增。（2）黑客站點的大量出現。通過Internet，任何人都能訪問到這些站點，學習黑客技術也不再是一件困難的事。（3）計算機教育的普及，很多人在學習黑客技術上不再存在太多的專業障礙。3．黑客技術普及化黑客技術普及化的原因有以下三個方面：4．黑客年輕化由于中國互聯網的普及，形成全球一體化，甚至連很多偏遠的地方也可以從網絡上接觸到世界各地的信息資源，所以越來越多對這方面感興趣的中學生，也已經踏足到這個領域。有資料統計，我國計算機犯罪者主要是19~30歲的男性，平均年齡約為23歲，而央視《中國法治報道》則將這個年齡拉低到19歲。這種現象反映出我們的網絡監管及相關法律部門的管理存在著極大的漏洞。4．黑客年輕化由于中國互聯網的普及，形成全球一體化，甚至連5．黑客的破壞力擴大化隨著Internet的高速發展，政府、軍事、銀行、郵電、企業、教育等等部門紛紛接入互聯網，電子商務也在蓬勃發展，全社會對互聯網的依賴性日益增加，黑客的破壞力也日益擴大化。2009年6月2日，公安部發布消息稱，造成5月19日中國六省市互聯網大面積癱瘓、一手炮制“暴風斷網門”（由于“暴風影音”網站的域名解析系統受到黑客攻擊，導致電信DNS服務器訪問量突增，網絡處理性能下降。私服網站的“領頭羊”———DNSpod服務器

）的4名黑客已經落網。沸沸揚揚的“斷網事件”告一段落，但一條“黑色產業鏈”因“暴風斷網門”而浮出水面。有數據顯示，目前，我國黑客產業鏈已達10多億元規模，其破壞性則至少達到數百億元。5．黑客的破壞力擴大化隨著Internet的高速發展，政府2.2常見的網絡攻擊1．竊聽2．數據篡改

3．身份欺騙（IP地址欺騙）4．盜用口令攻擊（Password-BasedAttacks）5．拒絕服務攻擊（Denial-of-ServiceAttack）

6．中間人攻擊（Man-in-the-MiddleAttack）7．盜取密鑰攻擊（Compromised-KeyAttack）8．Sniffer攻擊（SnifferAttack）9．應用層攻擊（Application-LayerAttack）

2.2常見的網絡攻擊1．竊聽9．應用層攻擊（Application-LayerAttack）

（1）閱讀、添加、刪除、修改用戶數據或操作系統（2）在用戶應用系統中引入病毒程序（3）引入Sniffer，對用戶網絡進行分析，以獲取所需信息，并導致用戶網絡的崩潰或癱瘓（4）引起用戶應用系統的異常終止（5）解除用戶系統中的其他安全控制，為其新一輪攻擊打開方便之門應用層攻擊9．應用層攻擊（Application-LayerAtta2.2.1攻擊目的

網絡攻擊正朝著具有更多的商業動機發展。隨著動機改變，質量也在改變。在許多情況下，網絡攻擊都是專業軟件開發人員所為。他們的主要目的有：①竊取信息②獲取口令③控制中間站點④獲得超級用戶權限2.2.1攻擊目的網絡攻擊正朝著具有更多的商業動機發展。2.2.2攻擊事件分類在信息系統中，存在3類安全威脅：①外部攻擊：攻擊者來自系統外部。②內部攻擊：內部越權行為。③行為濫用：合法用戶濫用特權。2.2.2攻擊事件分類在信息系統中，存在3類安全威脅：可將攻擊事件分為以下5類1．破壞型攻擊（SYNflood）2．利用型攻擊（特洛伊木馬，緩沖區溢出）3．信息收集型攻擊（地址掃描，端口掃描）4．垃圾信息攻擊（廣告，垃圾郵件）5．網絡欺騙攻擊（DNS欺騙，IP欺騙）可將攻擊事件分為以下5類2.3攻擊步驟2.3攻擊步驟1．確定攻擊的目標2．收集被攻擊對象的有關信息（P25）3．利用適當的工具進行掃描，尋找系統的安全漏洞。4．實施攻擊（毀掉入侵痕跡，創建新的安全漏洞或后門，以便先前漏洞被發現仍可繼續訪問）5．鞏固控制（提升權限）6．繼續深入（安裝后門，修補漏洞）7．清除痕跡（清理入侵痕跡，清理日志）2.3攻擊步驟1．確定攻擊的目標2.3攻擊步驟2.4網絡攻擊的實施1．調查、收集和判斷目標網絡系統的網絡結構等信息2．制定攻擊策略和確定攻擊目標3．掃描目標系統4．攻擊目標系統2.4網絡攻擊的實施1．調查、收集和判斷目標網絡系統的網絡2.4.1網絡信息搜集1．用ping識別操作系統C:\>pingPingingwith32bytesofdata:Replyfrom:bytes=32time<10msTTL=128Replyfrom:bytes=32time<10msTTL=128Replyfrom:bytes=32time<10msTTL=128Replyfrom:bytes=32time<10msTTL=128Pingstatisticsfor:Packets:Sent=4，Received=4，Lost=0(0%loss)，Approximateroundtriptimesinmilli-seconds:Minimum=0ms，Maximum=0ms，Average=0msC:\>C:\>pingPingingwith32bytesofdata:Requesttimedout.Replyfrom:bytes=32time=250msTTL=237Replyfrom:bytes=32time=234msTTL=237Replyfrom:bytes=32time=234msTTL=237Pingstatisticsfor:Packets:Sent=4，Received=3，Lost=1(25%loss)，Approximateroundtriptimesinmilli-seconds:Minimum=234ms，Maximum=250ms，Average=179msTTL是由發送主機設置的，指被路由器丟棄之前允許通過的網段數量。以防止數據包不斷在IP互聯網絡上永不終止地循環。轉發IP數據包時，要求路由器至少將TTL減小1LINUX64

WIN2K/NT128

WINDOWS系列32

UNIX系列255

可以修改注冊表，來掩飾ttl泄露系統類型2.4.1網絡信息搜集1．用ping識別操作系統C:\>2.直接通過聯接端口根據其返回的信息MicrosoftWindows2000[Version5.00.2195]?版權所有1985-1998MicrosoftCorp.C:\>telnet80輸入get回車如果返回，HTTP/1.1400BadRequestServer:Microsoft-IIS/5.0Date:Fri，11Jul200302:31:55GMTContent-Type:text/htmlContent-Length:87Theparameterisincorrect.遺失對主機的連接。C:\>那么這臺就肯定是Ｗindows的系統了。如果返回：MethodNotImplementedgetto/notsupported.InvalidmethodinrequestgetApache/1.3.27ServeratPort80遺失對主機的連接。C:\>那么多數就是UINX的系統了。2.直接通過聯接端口根據其返回的信息MicrosoftWi如果返回，Connectedto.220ready，dude(vsFTPd1.1.0:beatme，breakme)User(none)):那么這就是一臺UINX的機子了。如果開了23端口，這個就簡單了，直接telnet上去。如果返回，Microsoft?Windows?Version5.00(Build2195)WelcometoMicrosoftTelnetServiceTelnetServerBuild5.00.99201.1login:那么這肯定是一臺windows的機子了如果返回，SunOS5.8login:不用說了，這當然是一臺UINX的機子了，并且版本是SunOS5.8的。telnet如果返回，3.利用專門的軟件來識別（1）著名的nmap，它采用的是主動式探測，探測時會主動向目標系統發送探測包，根據目標目標機回應的數據包來，叛斷對方機器的操作系統。（2）天眼，采用的是被動式的探測方法。不向目標系統發送數據包，只是被動地探測網絡上的通信數據，通過分析這些數據來判斷操作系統的類型。配合superscan使用，效果很好。具體的使用方法，在此就不具體介紹了。有興趣的學生可以到網上搜索一下關于天眼使用方法的文章。3.利用專門的軟件來識別（1）著名的nmap，它采用的是主動2.4.2端口掃描1.什么是掃描器（程序，檢測安全性弱點，發現服務器的各種TCP端口的分配及提供的服務）原理：試用遠程TCP/IP不同端口的服務，記錄應答（ftp）2.掃描器能干什么（發現目標主機提供的服務及潛在弱點）3.常用的端口掃描技術（1）TCPconnect()掃描。系統調用connect()，對可能處于監聽狀態的計算機端口進行連接。優點：不需要特殊權限，速度快 缺點：易被發現，會被過濾掉（2）TCPSYN掃描?！鞍腴_放”掃描，無需打開一個完全的TCP連接。發送SYN數據包，根據ACK返回信息進行判斷 優點：不會留下記錄 缺點：需要root權限才能建立SYN數據包2.4.2端口掃描1.什么是掃描器（程序，檢測安全性弱點（3）TCPFIN掃描。原理是：關閉的端口會用適當的RST來恢復FIN數據包，打開的端口會忽略對FIN數據包的回復。（4）IP段掃描。不直接發送TCP探測數據包，而是將數據包紛呈兩個較小的IP段后進行發送。即一個TCP包分為多個數據包，不易被過濾器探測。（5）TCP反向ident掃描。Ident協議允許看到通過TCP連接的任何進程擁有者的用戶名。P32例子（6）FTP返回攻擊。通過代理ftp攻擊，難以跟蹤（3）TCPFIN掃描。原理是：關閉的端口會用適當的RS220FTPserver(Versionwu-2.4(3)WedDec14)ready.220FTPserverready.220xx.Telcom.xxxx.EDUFTPserver(Versionwu-2.4(3)TueJun11)ready.220lemFTPserver(SunOS4.1)ready.220xxx.xxx.esFTPserver(Versionwu-2.4(11)SatApr27)ready.220eliosFTPserver(SunOS4.1)ready這種方法不能成功的情景：220FTPserver(VersionDG-2.0.39SunMay4)ready.220xxx.xx.xxxxx.EDUVersionwu-2.4.2-academ[BETA-12](1)FriFeb7220ftpMicrosoftFTPService(Version3.0).220xxxFTPserver(Versionwu-2.4.2-academ[BETA-11](1)TueSep3)ready.220FTPserver(Versionwu-2.4.2-academ[BETA-13](6))ready.220FTPserver(Ve3.常用的端口掃描技術（7）UDPICMP端口不能到達掃描。使用udp協議，無狀態協議，掃描困難，速度慢（8）UDPrecvfrom()和write()掃描。利用系統IPC接口函數的返回狀態進行判斷。（9）ICMPecho掃描。略3.常用的端口掃描技術（7）UDPICMP端口不能到達掃描2.4.3基于認證的入侵防范1.IPC$入侵IPC$本來主要是用來遠程管理計算機的，但實際上往往被入侵者用來與遠程主機實現通信和控制。入侵者能夠利用它做到：

建立、拷貝、刪除遠程計算機文件；

在遠程計算機上執行命令。1）遠程文件操作2）留后門賬號3）IPC$空連接漏洞4）IPC$入侵常見問題2.4.3基于認證的入侵防范1.IPC$入侵2.遠程管理計算機1）遠程管理（通過遠程登錄軟件（telnet，ssh，遠程桌面），映射到本地）2）查看信息：日志（應用程序，安全，系統），共享信息和會話，用戶和組3）開啟遠程主機服務的其他辦法編寫開啟遠程服務的bat腳本通過ipc建立連接，把bat腳本復制到遠程計算機查看nettime，為遠程計算機建立計劃任務，定時執行bat腳本以開啟服務4）常見問題：略2.遠程管理計算機1）遠程管理（通過遠程登錄軟件（telne2.4.4信息隱藏技術（1）數字水印技術(DigitalWatermark)–將一些標識信息（即數字共享水?。┲苯忧度霐底州d體當中，但不影響原載體的使用價值，也不容易被人的感知系統注意到和再次修改。（2）隱寫術(Steganography)–將秘密信息隱藏到看上去普通的信息中進行傳遞。（3）可視密碼技術–恢復秘密圖像時不需要任何復雜的密碼學技術，而是以人的視覺即可將秘密圖像辨別出來。產生n張具有一定意義的膠片，通過某種疊加來還原出隱藏在其中的秘密信息。2.4.4信息隱藏技術（1）數字水印技術(Digital2.4.5安全解決方案（自己看）1.刪除默認共享（1）首先了解本機共享資源，在cmd窗口輸入“netshare”命令；（2）刪除共享資源：2.4.5安全解決方案（自己看）1.刪除默認共享2.禁止空連接進行枚舉攻擊的方法有了IPC$空連接作為連接基礎，入侵者可以進行反復的試探性連接，直到連接成功、獲取密碼，這就為入侵者暴力破解提供了可能性，被入侵只是時間問題。為了解決這個問題，打開注冊表編輯器，在：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中把RestrictAnonymous=DWORD的鍵值改為：00000001(也可以改為2，不過改為2后可能造成一些服務不能正常工作)。修改完畢重起計算機，這樣便禁止了空連接進行枚舉攻擊。要說明的是，這種方法并不能禁止建立空連接。現在再使用X-Scan對計算機進行安全檢測，便會發現該主機不再泄露用戶列表和共享列表，操作系統類型也不會被X-Scan識別。2.禁止空連接進行枚舉攻擊的方法3.關閉Server服務Server服務是IPC$和默認共享所依賴的服務，如果關閉它，IPC$和默認共享便不存在，但同時也使服務器喪失其他一些服務功能，因此該方法不適合服務器使用，只適合個人計算機使用。通過“控制面板”→“管理工具”→“服務”打開服務管理器，在服務列表中找到Server服務，鼠標右擊，在彈出菜單中選擇“屬性”，然后選擇“禁用”，重起生效。還可使用Dos命令“netstopserver/y來關閉，但只能當前生效一次，計算機重起后Server服務還是會自動開啟。3.關閉Server服務Server服務是IPC$和默認共享2.5留后門與清痕跡的防范方法（1）應用程序日志