黑客攻擊與防范黑客攻擊與防范知識點黑客攻擊的目的、黑客攻擊的三個階段黑客攻擊的常用工具、黑客攻擊的防備網(wǎng)絡監(jiān)聽及其檢測掃描器及其使用來自E-mail的攻擊、E-mail的安全策略特洛伊木馬程序及其檢測、刪除12/11/20222黑客攻擊與防范知識點黑客攻擊的目的、黑客攻擊的三個階段12/10/2022最新黑客攻擊與防范課件最新黑客攻擊與防范課件最新黑客攻擊與防范課件最新黑客攻擊與防范課件最新黑客攻擊與防范課件最新黑客攻擊與防范課件7.1.4黑客攻擊手段

1．黑客往往使用掃描器2．黑客經(jīng)常利用一些別人使用過的并在安全領域廣為人知的技術和工具。3．黑客利用Internet站點上的有關文章4．黑客利用監(jiān)聽程序5．黑客利用網(wǎng)絡工具進行偵察6．黑客自己編寫工具12/11/20229黑客攻擊與防范7.1.4黑客攻擊手段

1．黑客往往使用掃描器12/10/2第二節(jié)黑客攻擊常用工具網(wǎng)絡監(jiān)聽掃描器12/11/202210黑客攻擊與防范第二節(jié)黑客攻擊常用工具網(wǎng)絡監(jiān)聽12/10/202210黑7.2.1網(wǎng)絡監(jiān)聽

1.網(wǎng)絡監(jiān)聽簡介

所謂網(wǎng)絡監(jiān)聽就是獲取在網(wǎng)絡上傳輸?shù)男畔?。通常，這種信息并不是特定發(fā)給自己計算機的。一般情況下，系統(tǒng)管理員為了有效地管理網(wǎng)絡、診斷網(wǎng)絡問題而進行網(wǎng)絡監(jiān)聽。然而，黑客為了達到其不可告人的目的，也進行網(wǎng)絡監(jiān)聽。

12/11/202211黑客攻擊與防范7.2.1網(wǎng)絡監(jiān)聽

1.網(wǎng)絡監(jiān)聽簡介12/10/2022.在以太網(wǎng)中的監(jiān)聽（1）以太網(wǎng)中信息傳輸?shù)脑?。以太網(wǎng)協(xié)議的工作方式：發(fā)送信息時，發(fā)送方將對所有的主機進行廣播，廣播包的包頭含有目的主機的物理地址，如果地址與主機不符，則該主機對數(shù)據(jù)包不予理睬，只有當?shù)刂放c主機自己的地址相同時主機才會接受該數(shù)據(jù)包，但網(wǎng)絡監(jiān)聽程序可以使得主機對所有通過它的數(shù)據(jù)進行接受或改變。

12/11/202212黑客攻擊與防范2.在以太網(wǎng)中的監(jiān)聽12/10/202212黑客攻擊與防范（2）監(jiān)聽模式的設置要使主機工作在監(jiān)聽模式下，需要向網(wǎng)絡接口發(fā)送I/O控制命令；將其設置為監(jiān)聽模式。在UNIX系統(tǒng)中，發(fā)送這些命令需要超級用戶的權限。在UNIX系統(tǒng)中普通用戶是不能進行網(wǎng)絡監(jiān)聽的。但是，在上網(wǎng)的Windows95中，則沒有這個限制。只要運行這一類的監(jiān)聽軟件即可，而且具有操作方便，對監(jiān)聽到信息的綜合能力強的特點。

12/11/202213黑客攻擊與防范（2）監(jiān)聽模式的設置12/10/202213黑客攻擊與防范（3）網(wǎng)絡監(jiān)聽所造成的影響網(wǎng)絡監(jiān)聽使得進行監(jiān)聽的機器響應速度變得非常慢

12/11/202214黑客攻擊與防范（3）網(wǎng)絡監(jiān)聽所造成的影響12/10/202214黑客攻擊與3.常用的監(jiān)聽工具

（1）snoopsnoop可以截獲網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包，并顯示這些包中的內(nèi)容。它使用網(wǎng)絡包過濾功能和緩沖技術來提供有效的對網(wǎng)絡通信過濾的功能。那些截獲的數(shù)據(jù)包中的信息可以在它們被截獲時顯示出來，也可以存儲在文件中，用于以后的檢查。Snoop可以以單行的形式只輸出數(shù)據(jù)包的總結信息，也可以以多行的形式對包中信息詳細說明。

12/11/202215黑客攻擊與防范3.常用的監(jiān)聽工具

（1）snoop12/10/202212．Sniffit軟件Sniffit是由LawrenceBerkeley實驗室開發(fā)的，運行于Solaris、SGI和Linux等平臺的一種免費網(wǎng)絡監(jiān)聽軟件，具有功能強大且使用方便的特點。使用時，用戶可以選擇源、目標地址或地址集合，還可以選擇監(jiān)聽的端口、協(xié)議和網(wǎng)絡接口等。12/11/202216黑客攻擊與防范2．Sniffit軟件12/10/202216黑客攻擊與防范4.網(wǎng)絡監(jiān)聽的檢測方法一：對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址去ping，運行監(jiān)聽程序的機器會有響應。這是因為正常的機器不接收錯誤的物理地址，處于監(jiān)聽狀態(tài)的機器能接收。如果他的IPstack不再次反向檢查的話，就會響應。這種方法依賴于系統(tǒng)的IPstack，對一些系統(tǒng)可能行不通。12/11/202217黑客攻擊與防范4.網(wǎng)絡監(jiān)聽的檢測方法一：12/10/202217黑客攻方法二：往網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序?qū)⑻幚磉@些包，將導致性能下降。通過比較前后該機器性能（icmpechodelay等方法）加以判斷。這種方法難度比較大。方法三：一個看起來可行的檢查監(jiān)聽程序的方法是搜索所有主機上運行的進程。那些使用DOS、WindowsforWorkgroup或者Windows95的機器很難做到這一點。而使用UNIX和WindowsNT的機器可以很容易地得到當前進程的清單。12/11/202218黑客攻擊與防范方法二：12/10/202218黑客攻擊與防范方法四：另外一個辦法就是去搜索監(jiān)聽程序，入侵者很可能使用的是一個免費軟件。管理員就可以檢查目錄，找出監(jiān)聽程序，但這很困難而且很費時間。在UNIX系統(tǒng)上，人們可能不得不自己編寫一個程序。另外，如果監(jiān)聽程序被換成另一個名字，管理員也不可能找到這個監(jiān)聽程序。

12/11/202219黑客攻擊與防范方法四：12/10/202219黑客攻擊與防范7.2.2掃描器

1.掃描器簡介掃描器是自動檢測遠程或本地主機安全性漏洞的程序包。使用掃描器，不僅可以很快地發(fā)現(xiàn)本地主機系統(tǒng)配置和軟件上存在的安全隱患，而且還可以不留痕跡地發(fā)現(xiàn)遠在另一個半球的一臺主機的安全性漏洞，這種自動檢測功能快速而準確。掃描器和監(jiān)聽工具一樣，不同的人使用會有不同的結果：如果系統(tǒng)管理員使用了掃描器，它將直接有助于加強系統(tǒng)安全性；而對于黑客來說，掃描器是他們進行攻擊入手點，不過，由于掃描器不能直接攻擊網(wǎng)絡漏洞，所以黑客使用掃描器找出目標主機上各種各樣的安全漏洞后，利用其他方法進行惡意攻擊。12/11/202220黑客攻擊與防范7.2.2掃描器

1.掃描器簡介12/10/2022202.端口掃描（１）端口

許多TCP/IP程序可以通過Internet啟動，這些程序大都是面向客戶/服務器的程序。當inetd接收到一個連接請求時，它便啟動一個服務，與請求客戶服務的機器通訊。為簡化這一過程，每個應用程序（比如FTP、Telnet）被賦予一個唯一的地址，這個地址稱為端口。在一般的Internet服務器上都有數(shù)千個端口，為了簡便和高效，為每個指定端口都設計了一個標準的數(shù)據(jù)幀。換句話說，盡管系統(tǒng)管理員可以把服務綁定（bind）到他選定的端口上，但服務一般都被綁定到指定的端口上，它們被稱為公認端口。

12/11/202221黑客攻擊與防范2.端口掃描12/10/202221黑客攻擊與防范（２）端口掃描簡介

①端口掃描是一種獲取主機信息的好方法。②端口掃描程序?qū)τ谙到y(tǒng)管理人員，是一個非常簡便實用的工具。③如果掃描到一些標準端口之外的端口，系統(tǒng)管理員必須清楚這些端口提供了一些什么服務，是不是允許的。12/11/202222黑客攻擊與防范（２）端口掃描簡介12/10/202222黑客攻擊與防范

3.常用的掃描工具（１）網(wǎng)絡分析工具SATANSATAN是一個分析網(wǎng)絡的安全管理和測試、報告工具。它用來收集網(wǎng)絡上主機的許多信息，并可以識別且自動報告與網(wǎng)絡相關的安全問題。對所發(fā)現(xiàn)的每種問題類型，SATAN都提供對這個問題的解釋以及它可能對系統(tǒng)和網(wǎng)絡安全造成的影響的程度。通過所附的資料，它還解釋如何處理這些問題。12/11/202223黑客攻擊與防范

3.常用的掃描工具12/10/202223黑客攻擊與防范（２）網(wǎng)絡安全掃描器NSS網(wǎng)絡安全掃描器是一個非常隱蔽的掃描器。如果你用流行的搜索程序搜索它，你所能發(fā)現(xiàn)的入口不超過20個。這并非意味著NSS使用不廣泛，而是意味著多數(shù)載有該掃描器的FTP的站點處在暗處，或無法通過WWW搜索器找到它們。

12/11/202224黑客攻擊與防范（２）網(wǎng)絡安全掃描器NSS12/10/202224黑客攻擊與（３）Strobe超級優(yōu)化TCP端口檢測程序Strobe是一個TCP端口掃描器。它具有在最大帶寬利用率和最小進程資源需求下，迅速地定位和掃描一臺遠程目標主機或許多臺主機的所有TCP“監(jiān)聽”端口的能力。

12/11/202225黑客攻擊與防范（３）Strobe12/10/202225黑客攻擊與防范（4）InternetScannerInternetScanner可以說是可得到的最快和功能最全的安全掃描工具，用于UNIX和WindowsNT。它容易配置，掃描速度快，并且能產(chǎn)生綜合報告。

12/11/202226黑客攻擊與防范（4）InternetScanner12/10/20222（5）PortScannerPortScanner是一個運行于Windows95和WindowsNT上的端口掃描工具，其開始界面上顯示了兩個輸入框，上面的輸入框用于要掃描的開始主機IP地址，下面的輸入框用于輸入要掃描的結束主機IP地址。在這兩個IP地址之間的主機將被掃描。

12/11/202227黑客攻擊與防范（5）PortScanner12/10/202227黑客攻第三節(jié)黑客攻擊常見的兩種形式

E-mail攻擊特洛伊木馬攻擊12/11/202228黑客攻擊與防范第三節(jié)黑客攻擊常見的兩種形式E-mail攻擊12/17.3.1E-mail攻擊

1.E-mail工作原理一個郵件系統(tǒng)的傳輸實際包含了三個方面，它們是用戶代理（UserAgent）、傳輸代理（TransferAgent）及接受代理（DeliveryAgent）三大部分。用戶代理是一個用戶端發(fā)信和收信的應用程序，它負責將信按照一定的標準包裝，然后送至郵件服務器，將信件發(fā)出或由郵件服務器收回。傳輸代理則負責信件的交換和傳輸，將信件傳送至適當?shù)泥]件主機。12/11/202229黑客攻擊與防范7.3.1E-mail攻擊

1.E-mail工作原理接受代理則是負責將信件根據(jù)信件的信息而分發(fā)至不同的郵件信箱。傳輸代理要求能夠接受用戶郵件程序送來的信件，解讀收信人的具體地址，根據(jù)SMTP（SimpleMailTransportProtocol）協(xié)議將它正確無誤地傳遞到目的地。而接收代理POP（PostOfficeProtocol，網(wǎng)絡郵局協(xié)議或網(wǎng)絡中轉(zhuǎn)協(xié)議）則必須能夠把用戶的郵件被用戶讀取至自己的主機。12/11/202230黑客攻擊與防范接受代理則是負責將信件根據(jù)信件的信息2.E-mail的安全漏洞（1）HotmailService存在漏洞（2）sendmail存在安全漏洞（3）用Web瀏覽器查看郵件帶來的漏洞（4）E-mail服務器的開放性帶來的威脅（5）E-mail傳輸形式的潛在威脅12/11/202231黑客攻擊與防范2.E-mail的安全漏洞12/10/202231黑客攻3.匿名轉(zhuǎn)發(fā)所謂匿名轉(zhuǎn)發(fā)，就是電子郵件的發(fā)送者在發(fā)送郵件時，使接收者搞不清郵件的發(fā)送者是誰，郵件從何處發(fā)送，采用這種郵件發(fā)送的方法稱為匿名轉(zhuǎn)發(fā)，用戶接收到的郵件又叫匿名郵件。12/11/202232黑客攻擊與防范3.匿名轉(zhuǎn)發(fā)12/10/202232黑客攻擊與防范4.來自E-mail的攻擊（1）E-mail欺騙（2）E-mail轟炸12/11/202233黑客攻擊與防范4.來自E-mail的攻擊12/10/202233黑客攻擊5.E-mail安全策略保護E-mail的有效方法是使用加密簽字，如“PrettyGoodPrivacy”（PGP），來驗證E-mail信息。通過驗證E-mail信息，可以保證信息確實來自發(fā)信人，并保證在傳送過程中信息沒有被修改。

12/11/202234黑客攻擊與防范5.E-mail安全策略12/10/202234黑客攻擊7.3.2特洛伊木馬攻擊

1.特洛伊木馬程序簡介（1）什么是特洛伊木馬特洛伊木馬來自于希臘神話，這里指的是一種黑客程序，它一般有兩個程序，一個是服務器端程序，一個是控制器端程序。如果用戶的電腦安裝了服務器端程序，那么黑客就可以使用控制器端程序進入用戶的電腦，通過命令服務器斷程序達到控制用戶電腦的目的。12/11/202235黑客攻擊與防范7.3.2特洛伊木馬攻擊

1.特洛伊木馬程序簡介12/10（2）木馬服務端程序的植入攻擊者要通過木馬攻擊用戶的系統(tǒng)，一般他所要作的第一步就是要把木馬的服務器端程序植入用戶的電腦里面。植入的方法有：①下載的軟件②通過交互腳本③通過系統(tǒng)漏洞12/11/202236黑客攻擊與防范（2）木馬服務端程序的植入12/10/202236黑客攻擊與（3）木馬將入侵主機信息發(fā)送給攻擊者木馬在被植入攻擊主機后，他一般會通過一定的方式把入侵主機的信息、如主機的IP地址、木馬植入的端口等發(fā)送給攻擊者，這樣攻擊者就可以與木馬里應外合控制受攻擊主機。12/11/202237黑客攻擊與防范（3）木馬將入侵主機信息發(fā)送給攻擊者12/10/202237（4）木馬程序啟動并發(fā)揮作用

黑客通常都是和用戶的電腦中木馬程序聯(lián)系，當木馬程序在用戶的電腦中存在的時候，黑客就可以通過控制器斷的軟件來命令木馬做事。這些命令是在網(wǎng)絡上傳遞的，必須要遵守TCP/IP協(xié)議。TCP/IP協(xié)議規(guī)定電腦的端口有256X256=65536個，從0到65535號端口，木馬可以打開一個或者幾個端口，黑客使用的控制器斷軟件就是通過木馬的端口進入用戶的電腦的。特洛伊木馬要能發(fā)揮作用必須具備三個因素：①木馬需要一種啟動方式，一般在注冊表啟動組中；②木馬需要在內(nèi)存中才能發(fā)揮作用；③木馬會打開特別的端口，以便黑客通過這個端口和木馬聯(lián)系。12/11/202238黑客攻擊與防范（4）木馬程序啟動并發(fā)揮作用12/10/202238黑客攻擊2.特洛伊程序的存在形式(1)大部分的特洛伊程序存在于編譯過的二進制文件中。(2)特洛伊程序也可以在一些沒有被編譯的可執(zhí)行文件中發(fā)現(xiàn)。12/11/202239黑客攻擊與防范2.特洛伊程序的存在形式12/10/202239黑客攻擊與3.特洛伊程序的檢測（1）通過檢查文件的完整性來檢測特洛伊程序。（2）檢測特洛伊程序的技術MD5MD5屬于一個叫做報文摘要算法的單向散列函數(shù)中的一種。這種算法對任意長度的輸入報文都產(chǎn)生一個128位的“指紋”或“報文摘要”作為輸出。它的一個假設前提是：要產(chǎn)生具有同樣報文摘要的兩個報文或要產(chǎn)生給定報文摘要的報文是不可能的。

12/11/202240黑客攻擊與防范3.特洛伊程序的檢測12/10/202240黑客攻擊與防范4.特洛伊程序的刪除刪除木馬最簡單的方法是安裝殺毒軟件，現(xiàn)在很多殺毒軟件都能刪除多種木馬。但是由于木馬的種類和花樣越來越多，所以手動刪除還是最好的辦法。木馬在啟動后會被加載到注冊表的啟動組中，它會先進入內(nèi)存，然后打開端口。所以在查找木馬時要先使用TCPVIEW，而后開始查找開放的可疑端口。12/11/202241黑客攻擊與防范4.特洛伊程序的刪除12/10/202241黑客攻擊與防范發(fā)現(xiàn)黑客

發(fā)現(xiàn)黑客入侵后的對策第四節(jié)黑客攻擊的防范

12/11/202242黑客攻擊與防范發(fā)現(xiàn)黑客第四節(jié)黑客攻擊的防范

12/10/2022427.4.1發(fā)現(xiàn)黑客1.在黑客正在活動時，捉住他2.根據(jù)系統(tǒng)發(fā)生的一些改變推斷系統(tǒng)已被入侵3.根據(jù)系統(tǒng)中一些奇怪的現(xiàn)象判斷4.一個用戶登錄進來許多次5.一個用戶大量地進行網(wǎng)絡活動，或者其他一些很不正常的網(wǎng)絡操作6.一些原本不經(jīng)常使用的賬戶，突然變得活躍起來12/11/202243黑客攻擊與防范7.4.1發(fā)現(xiàn)黑客1.在黑客正在活動時，捉住他12/107.4.2發(fā)現(xiàn)黑客入侵后的對策

1.估計形勢當證實遭到入侵時，采取的第一步行動是盡可能快地估計入侵造成的破壞程度。

2.采取措施（1）殺死這個進程來切斷黑客與系統(tǒng)的連接。

（2）使用write或者talk工具詢問他們究竟想要做什么。（3）跟蹤這個連接，找出黑客的來路和身份。這時候，nslookup、finger等工具很有用。

12/11/202244黑客攻擊與防范7.4.2發(fā)現(xiàn)黑客入侵后的對策

1.估計形勢12/10/2（4）管理員可以使用一些工具來監(jiān)視黑客，觀察他們在做什么。這些工具包括snoop、ps、lastcomm和ttywatch等。（5）ps、w和who這些命令可以報告每一個用戶使用的終端。如果黑客是從一個終端訪問系統(tǒng)，這種情況不太好，因為這需要事先與電話公司聯(lián)系。（6）使用who和netstat可以發(fā)現(xiàn)入侵者從哪個主機上過來，然后可以使用finger命令來查看哪些用戶登錄進遠程系統(tǒng)。（7）修復安全漏洞并恢復系統(tǒng)，不給黑客留有可乘之機。12/11/202245黑客攻擊與防范（4）管理員可以使用一些工具來監(jiān)視黑客，觀察他們在做什么。這小結：網(wǎng)絡上黑客的攻擊越來越猖獗，對網(wǎng)絡安全造成了很大的威脅。本章主要講述了黑客攻擊的目的、黑客攻擊的三個階段、黑客攻擊的常用工具以及黑客攻擊的防備，并介紹了黑客攻擊常用的網(wǎng)絡監(jiān)聽和掃描器。同時，講述了來自E-mail的攻擊及其安全策略、特洛伊木馬程序及其檢測刪除。12/11/202246黑客攻擊與防范小結：網(wǎng)絡上黑客的攻擊越來越猖獗，對網(wǎng)

結束語謝謝大家聆聽?。。?7

結束語謝謝大家聆聽?。?！47黑客攻擊與防范黑客攻擊與防范知識點黑客攻擊的目的、黑客攻擊的三個階段黑客攻擊的常用工具、黑客攻擊的防備網(wǎng)絡監(jiān)聽及其檢測掃描器及其使用來自E-mail的攻擊、E-mail的安全策略特洛伊木馬程序及其檢測、刪除12/11/202249黑客攻擊與防范知識點黑客攻擊的目的、黑客攻擊的三個階段12/10/2022最新黑客攻擊與防范課件最新黑客攻擊與防范課件最新黑客攻擊與防范課件最新黑客攻擊與防范課件最新黑客攻擊與防范課件最新黑客攻擊與防范課件7.1.4黑客攻擊手段

1．黑客往往使用掃描器2．黑客經(jīng)常利用一些別人使用過的并在安全領域廣為人知的技術和工具。3．黑客利用Internet站點上的有關文章4．黑客利用監(jiān)聽程序5．黑客利用網(wǎng)絡工具進行偵察6．黑客自己編寫工具12/11/202256黑客攻擊與防范7.1.4黑客攻擊手段

1．黑客往往使用掃描器12/10/2第二節(jié)黑客攻擊常用工具網(wǎng)絡監(jiān)聽掃描器12/11/202257黑客攻擊與防范第二節(jié)黑客攻擊常用工具網(wǎng)絡監(jiān)聽12/10/202210黑7.2.1網(wǎng)絡監(jiān)聽

1.網(wǎng)絡監(jiān)聽簡介

所謂網(wǎng)絡監(jiān)聽就是獲取在網(wǎng)絡上傳輸?shù)男畔ⅰＭǔ?，這種信息并不是特定發(fā)給自己計算機的。一般情況下，系統(tǒng)管理員為了有效地管理網(wǎng)絡、診斷網(wǎng)絡問題而進行網(wǎng)絡監(jiān)聽。然而，黑客為了達到其不可告人的目的，也進行網(wǎng)絡監(jiān)聽。

12/11/202258黑客攻擊與防范7.2.1網(wǎng)絡監(jiān)聽

1.網(wǎng)絡監(jiān)聽簡介12/10/2022.在以太網(wǎng)中的監(jiān)聽（1）以太網(wǎng)中信息傳輸?shù)脑?。以太網(wǎng)協(xié)議的工作方式：發(fā)送信息時，發(fā)送方將對所有的主機進行廣播，廣播包的包頭含有目的主機的物理地址，如果地址與主機不符，則該主機對數(shù)據(jù)包不予理睬，只有當?shù)刂放c主機自己的地址相同時主機才會接受該數(shù)據(jù)包，但網(wǎng)絡監(jiān)聽程序可以使得主機對所有通過它的數(shù)據(jù)進行接受或改變。

12/11/202259黑客攻擊與防范2.在以太網(wǎng)中的監(jiān)聽12/10/202212黑客攻擊與防范（2）監(jiān)聽模式的設置要使主機工作在監(jiān)聽模式下，需要向網(wǎng)絡接口發(fā)送I/O控制命令；將其設置為監(jiān)聽模式。在UNIX系統(tǒng)中，發(fā)送這些命令需要超級用戶的權限。在UNIX系統(tǒng)中普通用戶是不能進行網(wǎng)絡監(jiān)聽的。但是，在上網(wǎng)的Windows95中，則沒有這個限制。只要運行這一類的監(jiān)聽軟件即可，而且具有操作方便，對監(jiān)聽到信息的綜合能力強的特點。

12/11/202260黑客攻擊與防范（2）監(jiān)聽模式的設置12/10/202213黑客攻擊與防范（3）網(wǎng)絡監(jiān)聽所造成的影響網(wǎng)絡監(jiān)聽使得進行監(jiān)聽的機器響應速度變得非常慢

12/11/202261黑客攻擊與防范（3）網(wǎng)絡監(jiān)聽所造成的影響12/10/202214黑客攻擊與3.常用的監(jiān)聽工具

（1）snoopsnoop可以截獲網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包，并顯示這些包中的內(nèi)容。它使用網(wǎng)絡包過濾功能和緩沖技術來提供有效的對網(wǎng)絡通信過濾的功能。那些截獲的數(shù)據(jù)包中的信息可以在它們被截獲時顯示出來，也可以存儲在文件中，用于以后的檢查。Snoop可以以單行的形式只輸出數(shù)據(jù)包的總結信息，也可以以多行的形式對包中信息詳細說明。

12/11/202262黑客攻擊與防范3.常用的監(jiān)聽工具

（1）snoop12/10/202212．Sniffit軟件Sniffit是由LawrenceBerkeley實驗室開發(fā)的，運行于Solaris、SGI和Linux等平臺的一種免費網(wǎng)絡監(jiān)聽軟件，具有功能強大且使用方便的特點。使用時，用戶可以選擇源、目標地址或地址集合，還可以選擇監(jiān)聽的端口、協(xié)議和網(wǎng)絡接口等。12/11/202263黑客攻擊與防范2．Sniffit軟件12/10/202216黑客攻擊與防范4.網(wǎng)絡監(jiān)聽的檢測方法一：對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址去ping，運行監(jiān)聽程序的機器會有響應。這是因為正常的機器不接收錯誤的物理地址，處于監(jiān)聽狀態(tài)的機器能接收。如果他的IPstack不再次反向檢查的話，就會響應。這種方法依賴于系統(tǒng)的IPstack，對一些系統(tǒng)可能行不通。12/11/202264黑客攻擊與防范4.網(wǎng)絡監(jiān)聽的檢測方法一：12/10/202217黑客攻方法二：往網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序?qū)⑻幚磉@些包，將導致性能下降。通過比較前后該機器性能（icmpechodelay等方法）加以判斷。這種方法難度比較大。方法三：一個看起來可行的檢查監(jiān)聽程序的方法是搜索所有主機上運行的進程。那些使用DOS、WindowsforWorkgroup或者Windows95的機器很難做到這一點。而使用UNIX和WindowsNT的機器可以很容易地得到當前進程的清單。12/11/202265黑客攻擊與防范方法二：12/10/202218黑客攻擊與防范方法四：另外一個辦法就是去搜索監(jiān)聽程序，入侵者很可能使用的是一個免費軟件。管理員就可以檢查目錄，找出監(jiān)聽程序，但這很困難而且很費時間。在UNIX系統(tǒng)上，人們可能不得不自己編寫一個程序。另外，如果監(jiān)聽程序被換成另一個名字，管理員也不可能找到這個監(jiān)聽程序。

12/11/202266黑客攻擊與防范方法四：12/10/202219黑客攻擊與防范7.2.2掃描器

1.掃描器簡介掃描器是自動檢測遠程或本地主機安全性漏洞的程序包。使用掃描器，不僅可以很快地發(fā)現(xiàn)本地主機系統(tǒng)配置和軟件上存在的安全隱患，而且還可以不留痕跡地發(fā)現(xiàn)遠在另一個半球的一臺主機的安全性漏洞，這種自動檢測功能快速而準確。掃描器和監(jiān)聽工具一樣，不同的人使用會有不同的結果：如果系統(tǒng)管理員使用了掃描器，它將直接有助于加強系統(tǒng)安全性；而對于黑客來說，掃描器是他們進行攻擊入手點，不過，由于掃描器不能直接攻擊網(wǎng)絡漏洞，所以黑客使用掃描器找出目標主機上各種各樣的安全漏洞后，利用其他方法進行惡意攻擊。12/11/202267黑客攻擊與防范7.2.2掃描器

1.掃描器簡介12/10/2022202.端口掃描（１）端口

許多TCP/IP程序可以通過Internet啟動，這些程序大都是面向客戶/服務器的程序。當inetd接收到一個連接請求時，它便啟動一個服務，與請求客戶服務的機器通訊。為簡化這一過程，每個應用程序（比如FTP、Telnet）被賦予一個唯一的地址，這個地址稱為端口。在一般的Internet服務器上都有數(shù)千個端口，為了簡便和高效，為每個指定端口都設計了一個標準的數(shù)據(jù)幀。換句話說，盡管系統(tǒng)管理員可以把服務綁定（bind）到他選定的端口上，但服務一般都被綁定到指定的端口上，它們被稱為公認端口。

12/11/202268黑客攻擊與防范2.端口掃描12/10/202221黑客攻擊與防范（２）端口掃描簡介

①端口掃描是一種獲取主機信息的好方法。②端口掃描程序?qū)τ谙到y(tǒng)管理人員，是一個非常簡便實用的工具。③如果掃描到一些標準端口之外的端口，系統(tǒng)管理員必須清楚這些端口提供了一些什么服務，是不是允許的。12/11/202269黑客攻擊與防范（２）端口掃描簡介12/10/202222黑客攻擊與防范

3.常用的掃描工具（１）網(wǎng)絡分析工具SATANSATAN是一個分析網(wǎng)絡的安全管理和測試、報告工具。它用來收集網(wǎng)絡上主機的許多信息，并可以識別且自動報告與網(wǎng)絡相關的安全問題。對所發(fā)現(xiàn)的每種問題類型，SATAN都提供對這個問題的解釋以及它可能對系統(tǒng)和網(wǎng)絡安全造成的影響的程度。通過所附的資料，它還解釋如何處理這些問題。12/11/202270黑客攻擊與防范

3.常用的掃描工具12/10/202223黑客攻擊與防范（２）網(wǎng)絡安全掃描器NSS網(wǎng)絡安全掃描器是一個非常隱蔽的掃描器。如果你用流行的搜索程序搜索它，你所能發(fā)現(xiàn)的入口不超過20個。這并非意味著NSS使用不廣泛，而是意味著多數(shù)載有該掃描器的FTP的站點處在暗處，或無法通過WWW搜索器找到它們。

12/11/202271黑客攻擊與防范（２）網(wǎng)絡安全掃描器NSS12/10/202224黑客攻擊與（３）Strobe超級優(yōu)化TCP端口檢測程序Strobe是一個TCP端口掃描器。它具有在最大帶寬利用率和最小進程資源需求下，迅速地定位和掃描一臺遠程目標主機或許多臺主機的所有TCP“監(jiān)聽”端口的能力。

12/11/202272黑客攻擊與防范（３）Strobe12/10/202225黑客攻擊與防范（4）InternetScannerInternetScanner可以說是可得到的最快和功能最全的安全掃描工具，用于UNIX和WindowsNT。它容易配置，掃描速度快，并且能產(chǎn)生綜合報告。

12/11/202273黑客攻擊與防范（4）InternetScanner12/10/20222（5）PortScannerPortScanner是一個運行于Windows95和WindowsNT上的端口掃描工具，其開始界面上顯示了兩個輸入框，上面的輸入框用于要掃描的開始主機IP地址，下面的輸入框用于輸入要掃描的結束主機IP地址。在這兩個IP地址之間的主機將被掃描。

12/11/202274黑客攻擊與防范（5）PortScanner12/10/202227黑客攻第三節(jié)黑客攻擊常見的兩種形式

E-mail攻擊特洛伊木馬攻擊12/11/202275黑客攻擊與防范第三節(jié)黑客攻擊常見的兩種形式E-mail攻擊12/17.3.1E-mail攻擊

1.E-mail工作原理一個郵件系統(tǒng)的傳輸實際包含了三個方面，它們是用戶代理（UserAgent）、傳輸代理（TransferAgent）及接受代理（DeliveryAgent）三大部分。用戶代理是一個用戶端發(fā)信和收信的應用程序，它負責將信按照一定的標準包裝，然后送至郵件服務器，將信件發(fā)出或由郵件服務器收回。傳輸代理則負責信件的交換和傳輸，將信件傳送至適當?shù)泥]件主機。12/11/202276黑客攻擊與防范7.3.1E-mail攻擊

1.E-mail工作原理接受代理則是負責將信件根據(jù)信件的信息而分發(fā)至不同的郵件信箱。傳輸代理要求能夠接受用戶郵件程序送來的信件，解讀收信人的具體地址，根據(jù)SMTP（SimpleMailTransportProtocol）協(xié)議將它正確無誤地傳遞到目的地。而接收代理POP（PostOfficeProtocol，網(wǎng)絡郵局協(xié)議或網(wǎng)絡中轉(zhuǎn)協(xié)議）則必須能夠把用戶的郵件被用戶讀取至自己的主機。12/11/202277黑客攻擊與防范接受代理則是負責將信件根據(jù)信件的信息2.E-mail的安全漏洞（1）HotmailService存在漏洞（2）sendmail存在安全漏洞（3）用Web瀏覽器查看郵件帶來的漏洞（4）E-mail服務器的開放性帶來的威脅（5）E-mail傳輸形式的潛在威脅12/11/202278黑客攻擊與防范2.E-mail的安全漏洞12/10/202231黑客攻3.匿名轉(zhuǎn)發(fā)所謂匿名轉(zhuǎn)發(fā)，就是電子郵件的發(fā)送者在發(fā)送郵件時，使接收者搞不清郵件的發(fā)送者是誰，郵件從何處發(fā)送，采用這種郵件發(fā)送的方法稱為匿名轉(zhuǎn)發(fā)，用戶接收到的郵件又叫匿名郵件。12/11/202279黑客攻擊與防范3.匿名轉(zhuǎn)發(fā)12/10/202232黑客攻擊與防范4.來自E-mail的攻擊（1）E-mail欺騙（2）E-mail轟炸12/11/202280黑客攻擊與防范4.來自E-mail的攻擊12/10/202233黑客攻擊5.E-mail安全策略保護E-mail的有效方法是使用加密簽字，如“PrettyGoodPrivacy”（PGP），來驗證E-mail信息。通過驗證E-mail信息，可以保證信息確實來自發(fā)信人，并保證在傳送過程中信息沒有被修改。

12/11/202281黑客攻擊與防范5.E-mail安全策略12/10/202234黑客攻擊7.3.2特洛伊木馬攻擊

1.特洛伊木馬程序簡介（1）什么是特洛伊木馬特洛伊木馬來自于希臘神話，這里指的是一種黑客程序，它一般有兩個程序，一個是服務器端程序，一個是控制器端程序。如果用戶的電腦安裝了服務器端程序，那么黑客就可以使用控制器端程序進入用戶的電腦，通過命令服務器斷程序達到控制用戶電腦的目的。12/11/202282黑客攻擊與防范7.3.2特洛伊木馬攻擊

1.特洛伊木馬程序簡介12/10（2）木馬服務端程序的植入攻擊者要通過木馬攻擊用戶的系統(tǒng)，一般他所要作的第一步就是要把木馬的服務器端程序植入用戶的電腦里面。植入的方法有：①下載的軟件②通過交互腳本③通過系統(tǒng)漏洞12/11/202283黑客攻擊與防范（2）木馬服務端程序的植入12/10/202236黑客攻擊與（3）木馬將入侵主機信息發(fā)送給攻擊者木馬在被植入攻擊主機后，他一般會通過一定的方式把入侵主機的信息、如主機的IP地址、木馬植入的端口等發(fā)送給攻擊者，這樣攻擊者就可以與木馬里應外合控制受攻擊主機。12/11/202284黑客攻擊與防范（3）木馬將入侵主機信息發(fā)送給攻擊者12/10/202237（4）木馬程序啟動并發(fā)揮作用

黑客通常都是和用戶的電腦中木馬程序聯(lián)系，當木馬程序在用戶的電腦中存在的時候，黑客就可以通過控制器斷的軟件來命令木馬做事。這些命令是在網(wǎng)絡上傳遞的，必須要遵守TCP/IP協(xié)議。TCP/IP協(xié)議規(guī)定電腦的端口有256X256=65536個，從0到65535號端口，木馬可以打開一個或者幾個端口，黑客使用的控制器斷軟件就是通過木馬的端口進入用戶的電腦的。特洛伊木馬要能發(fā)揮作用必須具備三個因素：①木馬需要一種啟動方式，一般在注冊表啟動組中；②木馬需要在內(nèi)存中才能發(fā)揮作用；③木馬會打開特別的端口，以便黑客通過這個端口和木馬聯(lián)系。12/11/202285黑客攻擊與防范（4）木馬程序啟動并發(fā)揮作用12/10/202238黑客攻擊2.特洛伊程序的存在形式(1)大部分的特洛伊程