第2章黑客常用的攻擊方法第2章黑客常用的攻擊方法1能力CAPACITY要求熟悉TCP/IP。了解黑客攻擊的常用手段和方法，掌握常用網絡安全技術。具有良好的職業道德。能力CAPACITY要求熟悉TCP/IP。了解黑客攻擊的常用2常用黑客技術的原理黑客發展的歷史黑客攻擊的防范常用黑客技術的原理黑客發展的歷史黑客攻擊的防范3一、黑客發展的歷史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震撼了整個世界。由原本寂寂無名的大學生羅伯特·莫里斯（22歲）制造的這個蠕蟲病毒入侵了大約6000個大學和軍事機構的計算機，使之癱瘓。此后，從CIH到美麗殺病毒，從尼姆達到紅色代碼，病毒、蠕蟲的發展愈演愈烈。一、黑客發展的歷史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震4一、黑客發展的歷史凱文?米特尼克是美國20世紀最著名的黑客之一，他是《社會工程學》的創始人1979年（15歲）他和他的伙伴侵入了“北美空中防務指揮系統”，翻閱了美國所有的核彈頭資料，令大人不可置信。不久破譯了美國“太平洋電話公司”某地的改戶密碼，隨意更改用戶的電話號碼。《欺騙的藝術》凱文?米特尼克一、黑客發展的歷史凱文?米特尼克是美國20世紀最著名的黑客之5一、黑客發展的歷史安全威脅發展趨勢一、黑客發展的歷史安全威脅發展趨勢6一、黑客發展的歷史攻擊復雜度與所需入侵知識關系圖一、黑客發展的歷史攻擊復雜度與所需入侵知識關系圖7一、黑客發展的歷史黑客入侵攻擊的一般過程目標地址范圍確定、名字空間查詢對目標系統的監聽和評估分析收集足夠的信息，得以成功訪問目標從對用戶級的訪問權限到對系統的完全控制信息進一步攝取取一旦目標系統已全部控制，掩蹤滅跡不同部位布置陷阱和后門，需要時獲得特權訪問踩點掃描查點獲取訪問特權提升偷盜竊取掩蹤滅跡創建后門如果入侵不成功，可用漏洞代碼來使目標系統癱瘓拒絕服務打開源查詢；whois；whois的Web接口；ARINwhios；DNA區域傳送Pingsweep；TCP/UDP端口掃描；OS檢測列出用戶賬號；列出共享文件；確定各種應用密碼竊聽；共享文件的蠻力攻擊；攫取密碼；文件緩沖區溢出密碼破解；利用已知漏洞和脆弱點評估可信系統的堅固度；搜索明文密碼清除日志記錄；掩藏工具創建“無賴”賬號，；安排批處理作業；感染初啟動文件；植入遠程控制程序；安裝監控機制；利用特洛伊木馬替換應用SYNflood；ICMP技術；統一scr/dstSYN請求；重疊fragment/offset錯誤（bugs）；OutofboundsTCPoption（008）；DDoS針對有效用戶賬號或共享資源，進行更多入侵探詢一、黑客發展的歷史黑客入侵攻擊的一般過程目標地址范圍確定、8常用黑客技術的原理黑客發展的歷史黑客攻擊的防范常用黑客技術的原理黑客發展的歷史黑客攻擊的防范9二、常用黑客技術的原理網絡踩點：收集IP地址范圍、域名信息等。網絡掃描：探測系統開放端口、操作系統類型、所運行的網絡服務，以及是否存在可利用的安全漏洞等。網絡查點：獲得用戶賬號、網絡服務類型和版本號等更細致的信息。常用的網絡信息收集技術【實驗】whois查詢二、常用黑客技術的原理網絡踩點：收集IP地址范圍、域名信息等10二、常用黑客技術的原理漏洞掃描的內容漏洞掃描123456系統開放的服務（端口掃描）各種弱口令漏洞、后門操作系統類型及版本網絡設備漏洞應用服務漏洞拒絕服務漏洞等網絡掃描器作用探測目標網絡結構，獲取目標系統的開放端口、操作系統類型、運行的網絡服務、存在的安全弱點等信息。二、常用黑客技術的原理漏洞掃描的內容漏洞掃描123411二、常用黑客技術的原理端口掃描器原理-預備知識應用層表示層會話層傳輸層網絡層數據鏈路層物理層應用層應用程序應用程序傳輸層網絡層鏈路層TCPUDPICMPIPARP硬件接口RARP二、常用黑客技術的原理端口掃描器原理-預備知識應用層表示層會12二、常用黑客技術的原理預備知識-IP頭預備知識-TCP頭二、常用黑客技術的原理預備知識-IP頭預備知識-TCP頭13二、常用黑客技術的原理常用的掃描軟件Nmap（端口掃描器）NessusX-scan（綜合掃描器）ipscanNmap簡介(NetworkMapper)官方下載及文檔地址：/nmap/詳細操作步驟參見教材課堂演練一：端口掃描器Nmap二、常用黑客技術的原理常用的掃描軟件Nmap（端口掃描器）N14二、常用黑客技術的原理其他掃描方式：案例02OPTION01OPTION03OPTION04OPTIONPing掃描（-sP參數）TCPconnect()端口掃描（-sT參數）TCP同步（SYN）端口掃描（-sS參數）UDP端口掃描（-sU參數）02OPTION01OPTION03OPTIONFIN掃描（-sF）圣誕樹掃描（-sX）空掃描（-sN）二、常用黑客技術的原理其他掃描方式：案例02OPTION0115二、常用黑客技術的原理全連接掃描TCPconnect()掃描半連接掃描TCPSYN()掃描二、常用黑客技術的原理全連接掃描TCPconnect(16二、常用黑客技術的原理端口掃描的防范防火墻防火墻是不是能防范所有的端口掃描？提問二、常用黑客技術的原理端口掃描的防范防火墻防火墻是不是能防范17二、常用黑客技術的原理本部分內容安排學生自己完成詳細操作步驟參見教材課堂演練二：綜合掃描器X-scanNessus也是一款典型的綜合掃描器，其被認為是目前全世界最多人使用的系統漏洞掃描與分析軟件。

Nessus軟件采用C/S架構：詳細操作步驟參見教材課堂演練三：Nessus二、常用黑客技術的原理本部分內容安排學生自己完成課堂演練二：18二、常用黑客技術的原理口令破解01PRAT02PRAT03PRAT口令破解概述口令破解方法口令破解實驗（詳細操作步驟參見教材）二、常用黑客技術的原理口令破解01PRAT02PRAT03P19二、常用黑客技術的原理口令破解的防范標題關閉139端口強壯的密碼administrator賬戶重命名設置賬戶鎖定策略口令破解的防范二、常用黑客技術的原理口令破解的防范標題關閉139端口強壯的20二、常用黑客技術的原理Sniffer，中文可以翻譯為嗅探器,也就是我們所說的數據包捕獲器。采用這種技術，我們可以監視網絡的狀態、數據流動情況以及網絡上傳輸的信息等等。網絡監聽技術Sniffer原理什么是Sniffer?網絡通信監視軟件網絡故障診斷分析工具網絡性能優化、管理系統它幫助你迅速隔離和解決網絡通訊問題、分析和優化網絡性能和規劃網絡的發展。二、常用黑客技術的原理Sniffer，中文可以翻譯為嗅探器,21二、常用黑客技術的原理夢幻西游在網維大師無盤上容易掉線的問題（備注：41是夢幻西游的服務器）分析原因產生：

1、服務器發現客戶端非法，比如有外掛什么的，踢掉了客戶機；

2、服務器壓力大，踢掉了客戶機；

3、總之不是客戶端問題導致的掉線；案例二、常用黑客技術的原理夢幻西游在網維大師無盤上容易掉線的問題22二、常用黑客技術的原理網卡先接收數據頭的目的MAC地址，根據計算機上的網卡驅動程序設置的接收模式判斷該不該接收，認為該接收就在接收后產生中斷信號通知CPU，認為不該接收就丟棄不管。CPU得到中斷信號產生中斷，操作系統就根據網卡驅動程序中設置的網卡中斷程序地址調用驅動程序接收數據，驅動程序接收數據后放入信號堆棧讓操作系統處理。網卡工作原理二、常用黑客技術的原理網卡先接收數據頭的目的MAC地址，根據23二、常用黑客技術的原理網卡的工作模式能夠接收網絡中的廣播信息。廣播方式在此添加標題組播方式直接方式混雜模式（promiscuous）能夠接收組播數據。只有目的網卡才能接收該數據。能夠接收到一切通過它的數據。二、常用黑客技術的原理網卡的工作模式能夠接收網絡中的廣播信息24二、常用黑客技術的原理HUB工作原理二、常用黑客技術的原理HUB工作原理25二、常用黑客技術的原理交換環境下的SNIFF二、常用黑客技術的原理交換環境下的SNIFF26二、常用黑客技術的原理一個sniffer需要作的：網絡監聽原理123把網卡置于混雜模式捕獲數據包分析數據包123二、常用黑客技術的原理一個sniffer需要作的：網絡監聽原27二、常用黑客技術的原理常用的SNIFFwindows環境下UNUX環境下圖形界面的SNIFF、netxray、

snifferproUNUX環境下的sniff可以說是百花齊放，他們都有一個好處就是發布源代碼，當然也都是免費的。如sniffit、snoop、tcpdump、dsniff1、SnifferPro2、WireShark（06年夏天前稱為Ethereal）3、Netmonitor4、EffTechHTTPSniffer5、Iris二、常用黑客技術的原理常用的SNIFFwindows環境下28二、常用黑客技術的原理Wireshark的使用Wireshark的語法Sniffer演示實驗二、常用黑客技術的原理Wireshark的使用Sniffe29二、常用黑客技術的原理捕捉過濾器可以使用6種比較運算符：邏輯運算符（Logicale-xpressions）:二、常用黑客技術的原理捕捉過濾器可以使用6種比較運算符：邏輯30二、常用黑客技術的原理1.tcpdstport80

//捕捉目的TCP端口為80的封包。問題：怎么捕捉DNS包？2.host48

//捕捉目的或來源IP地址為48的封包。3.ipsrchost10.3.40.*

//捕捉來源IP地址為10.3.40.*

的封包。

4.etherhoste0-05-c5-44-b1-3c

//捕捉目的或來源MAC地址為e0-05-c5-44-b1-3c的封包。5.srcportrange2000-2500

//捕捉來源為UDP或TCP，并且端口號在2000至2500范圍內的封包。6.（srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8

//捕捉來源IP為2或者來源網絡為/16，目的地TCP端口號在200至10000之間，并且目的位于網絡/8內的所有封包。練習二、常用黑客技術的原理1.tcpdstport8031二、常用黑客技術的原理練習1.ip.addr==

//顯示來源或目的IP地址為的封包。2.ip.src!=orip.dst!=

//顯示來源不為或者目的不為的封包。3.tcp.port==80

//顯示來源或目的TCP端口號為80的封包。4.tcp.dstport==25

//顯示目的TCP端口號為25的封包。顯示過濾器二、常用黑客技術的原理練習顯示過濾器32二、常用黑客技術的原理【例1】嗅探FTP過程【例2】嗅探HTTP登錄郵箱的過程【例3】嗅探POP郵箱密碼的過程詳細操作步驟參見教材課堂演練使用WireShark分析TCP/IP建立連接的三次握手過程的數據包使用WireShark分析nmap各種掃描方式的數據包綜合演練二、常用黑客技術的原理【例1】嗅探FTP過程課堂演練使用W33常用黑客技術的原理黑客發展的歷史黑客攻擊的防范常用黑客技術的原理黑客發展的歷史黑客攻擊的防范34三、黑客攻擊的防范進行合理的網絡分段。用SSH/SSL建立加密連接，保證數據傳輸安全。Sniffer往往是入侵系統后使用的，用來收集信息，因此防止系統被突破。防止內部攻擊。AntiSniff工具用于檢測局域網中是否有機器處于混雜模式（不是免費的）。如何防止SNIFF三、黑客攻擊的防范進行合理的網絡分段。如何防止SNIFF35三、黑客攻擊的防范ARP欺騙的工作原理ARP欺騙攻擊三、黑客攻擊的防范ARP欺騙的工作原理ARP欺騙攻擊36三、黑客攻擊的防范交換環境下的ARP欺騙攻擊及其嗅探演示實驗實驗拓撲：ARP欺騙工具：SwitchSniffer詳細步驟參見教材三、黑客攻擊的防范交換環境下的ARP欺騙攻擊及其嗅探演示實驗37三、黑客攻擊的防范ARP命令靜態綁定網關ARP防火墻通過加密傳輸數據、使用VLAN技術細分網絡拓撲等方法，以降低ARP欺騙攻擊的危害后果ARP欺騙的防御三、黑客攻擊的防范ARP命令靜態綁定網關ARP欺騙的防御38三、黑客攻擊的防范木馬是一種基于遠程控制的黑客工具隱蔽性潛伏性危害性非授權性木馬（Trojanhorse）三、黑客攻擊的防范木馬是一種基于遠程控制的黑客工具木馬（Tr39三、黑客攻擊的防范木馬與病毒、遠程控制的區別40213病毒程序是以自發性的敗壞為目的木馬程序是依照黑客的命令來運作，主要目的是偷取文件、機密數據、個人隱私等行為。木馬和一般的遠程控制軟件的區別在于其隱蔽、非授權性。三、黑客攻擊的防范木馬與病毒、遠程控制的區別40213病毒程三、黑客攻擊的防范木馬的工作原理實際就是一個C/S模式的程序（里應外合）操作系統被植入木馬的PC（server程序）TCP/IP協議端口控制木馬的PC（client程序）操作系統TCP/IP協議端口控制端端口處于監聽狀態三、黑客攻擊的防范木馬的工作原理實際就是一個C/S模式的程序41三、黑客攻擊的防范木馬的分類代理型FTP型下載型木馬遠程訪問型鍵盤記錄型密碼發送型破壞型三、黑客攻擊的防范木馬的分類代理型FTP型下載型木馬遠程訪問42三、黑客攻擊的防范木馬實施攻擊的步驟木馬偽裝信息反饋配置木馬啟動木馬遠程控制傳播木馬建立連接0102030405三、黑客攻擊的防范木馬實施攻擊的步驟木馬偽裝配置木馬啟動木馬43三、黑客攻擊的防范服務器端程序：G-server.exe客戶端程序：G-client.exe詳細步驟參見教材課堂演練一：冰河木馬的使用反彈端口類型的木馬服務器的配置服務器的工作方式遠程控制如何清除？課堂演練二：灰鴿子的使用三、黑客攻擊的防范服務器端程序：G-server.exe課堂44三、黑客攻擊的防范木馬文件的隱藏和偽裝文件的屬性捆綁到其他文件上文件的名字文件的位置文件的擴展名文件的圖標三、黑客攻擊的防范木馬文件的隱藏和偽裝文件的屬性捆綁45三、黑客攻擊的防范木馬運行時偽裝方法123在任務欄里隱藏在任務管理器里隱藏隱藏端口三、黑客攻擊的防范木馬運行時偽裝方法123在任務欄里隱藏在任46三、黑客攻擊的防范木馬的啟動方式win.inisystem.ini啟動組注冊表捆綁方式啟動偽裝在普通文件中設置在超級連接中三、黑客攻擊的防范木馬的啟動方式win.inisystem47三、黑客攻擊的防范查看端口檢查注冊表檢查DLL木馬檢查配置文件木馬的檢測發現木馬：檢查系統文件、注冊表、端口不要輕易使用來歷不明的軟件不熟悉的E-MAIL不打開常用殺毒軟件并及時升級合理使用防火墻木馬的防御三、黑客攻擊的防范查看端口木馬的檢測發現木馬：檢查系統文件、48三、黑客攻擊的防范流行木馬簡介流行木馬backorificeSubseven網絡公牛(Netbull)網絡神偷(Nethief)廣外男生（是廣外女生的一個變種）Netspy(網絡精靈)冰河三、黑客攻擊的防范流行木馬簡介流行木馬backorific49三、黑客攻擊的防范DoS--DenialofService：現在一般指導致服務器不能正常提供服務的攻擊。拒絕服務攻擊(DoS)1232002年10月全世界13臺DNS服務器同時受到了DDoS（分布式拒絕服務）攻擊。2009年5月19日，由于暴風影音軟件而導致“暴風門”全國斷網事件。2014年6月20日起，香港公投網站PopVote遭遇超大規模的DDoS攻擊DoS攻擊的事件3三、黑客攻擊的防范DoS--DenialofServic50三、黑客攻擊的防范DoS攻擊的分類0102以消耗目標主機的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊等）以消耗服務器鏈路的有效帶寬為目的（例如：蠕蟲）三、黑客攻擊的防范DoS攻擊的分類0102以消耗目標主機的51三、黑客攻擊的防范SYN攻擊的原理（1）目標主機SYNSYN/ACKACK等待應答SYN：同步SYN/ACK:同步/確認ACK：確認三、黑客攻擊的防范SYN攻擊的原理（1）目標主機SYNSYN52三、黑客攻擊的防范SYN攻擊的原理（2）....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標主機SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK應答.........不應答不應答重新發送三、黑客攻擊的防范SYN攻擊的原理（2）....SYN/AC53三、黑客攻擊的防范以windows為例SYN攻擊花費時間（秒）累計花費時間（秒）第一次，失敗33嘗試第1次，失敗69嘗試第2次，失敗1221嘗試第3次，失敗2445嘗試第4次，失敗4893嘗試第5次，失敗96189三、黑客攻擊的防范以windows為例SYN攻擊花費時間（54三、黑客攻擊的防范synkiller（圖形界面工具）syn等（DOS界面工具）【攻擊效果】可通過抓包和查看CPU的利用率來觀看攻擊效果思考題

掃描器中的半連接掃描是不是也構成SYN攻擊？課堂演練——SYN攻擊三、黑客攻擊的防范synkiller（圖形界面工具）課堂演55三、黑客攻擊的防范行行色色的DOS攻擊DOS攻擊1234SYNFlood淚珠（Teardrop）攻擊死亡之pingLand攻擊三、黑客攻擊的防范行行色色的DOS攻擊DOS攻擊1234SY56三、黑客攻擊的防范DDoS攻擊案例案例12012年2月巴西銀行成為了分布式拒絕服務攻擊的目標。巴西匯豐銀行、巴西銀行、ItauUnibancoMultiploSA銀行和布拉德斯科銀行都遭到了大規模攻擊。攻擊中，黑客利用的正是DDoS。2015年某網絡游戲進行上線公測，公測前10分鐘，主力機房遭遇DDoS攻擊，帶寬瞬間被占滿，上游路由節點被打癱，游戲發行商被迫宣布停止公測。案例2三、黑客攻擊的防范DDoS攻擊案例案例12012年2月巴西57三、黑客攻擊的防范DDOS攻擊的威力2015年DDoS阿里云云盾防御的最大攻擊峰值流量為477Gbps。2015預測2016年整個互聯網可能會發生流量在800Gbps－1TGbps之間的攻擊事件。2016三、黑客攻擊的防范DDOS攻擊的威力2015年DDoS阿里云58三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊攻擊者各種客戶主機目標系統安置代理代理程序1、攻擊者攻擊諸客戶主機以求分析他們的安全水平和脆弱性。2、攻擊者進入其已經發現的最弱的客戶主機之內(“肉雞”)，并且秘密地安置一個其可遠程控制的代理程序(端口監督程序demon)。攻擊準備：三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊攻擊者各種59三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊目標系統攻擊者指令攻擊的代理程序虛假的連接請求

3、攻擊者使他的全部代理程序同時發送由殘缺的數字包構成的連接請求送至目標系統。發起攻擊：4、包括虛假的連接請求在內的大量殘缺的數字包攻擊目標系統，最終將導致它因通信淤塞而崩潰。三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊目標系統攻60三、黑客攻擊的防范實驗拓撲：詳細步驟參見教材TFN分布式拒絕服務攻擊實驗三、黑客攻擊的防范TFN分布式拒絕服務攻擊實驗61三、黑客攻擊的防范詳細步驟參見教材冰盾防火墻的演示實驗三、黑客攻擊的防范詳細步驟參見教材冰盾防火墻的演示實驗62三、黑客攻擊的防范DNS反射攻擊的原理中小貸款攻擊者/僵尸主機偽造受害者發起大量DNS查詢請求開放DNS遞歸服務器DNS服務器回應大量查詢響應1M的流量發出大量模擬被攻擊者的DNS請求被攻擊者100M的流量100M的流量1M的流量發出大量模擬被攻擊者的DNS請求三、黑客攻擊的防范DNS反射攻擊的原理中小貸款攻擊者/僵63三、黑客攻擊的防范針對應用程序---2013年25%的DDOS攻擊將是基于應用程序。利用高速帶寬---在2012年下半年美國銀行遭受到一類新的破壞性DDoS攻擊，有時高達70Gbps的網絡流量沖擊了銀行自有互聯網管道。個性化攻擊三、黑客攻擊的防范針對應用程序---2013年25%的DDO64三、黑客攻擊的防范緩沖區溢出（bufferoverflow)從一個對話框說起……三、黑客攻擊的防范緩沖區溢出（bufferoverflow65三、黑客攻擊的防范【引例】把1升的水注入容量為0.5升的容量中……認識緩沖區溢出第一次大規模的緩沖區溢出攻擊是發生在1988年的Morris蠕蟲，它造成了6000多臺機器被癱瘓，損失在$100000至$10000000之間，利用的攻擊方法之一就是fingerd的緩沖區溢出。緩沖區溢出攻擊已經占了網絡攻擊的絕大多數，據統計，大約80%的安全事件與緩沖區溢出攻擊有關。三、黑客攻擊的防范【引例】把1升的水注入容量為0.5升的容量66三、黑客攻擊的防范緩沖區溢出原理Windows系統的內存結構三、黑客攻擊的防范緩沖區溢出原理Windows系統的內存結構67三、黑客攻擊的防范計算機運行時，系統將內存劃分為3個段，分別是代碼段、數據段和堆棧段。 Windows系統的內存結構數據只讀，可執行。在代碼段一切數據不允許更改。在代碼段中的數據是在編譯時生成的2進制機器代碼，可供CPU執行。放置程序運行時動態的局部變量，即局部變量的空間被分配在堆棧里面。可讀、寫。靜態全局變量是位于數據段并且在程序開始運行的時候被加載。可讀、寫。代碼段堆棧段數據段三、黑客攻擊的防范計算機運行時，系統將內存劃分為3個段，分別68三、黑客攻擊的防范緩沖區溢出源于程序執行時需要存放數據的空間，也即我們所說的緩沖區。緩沖區的大小是程序執行時固定申請的。然而，某些時候，在緩沖區內裝載的數據大小是用戶輸入的數據決定的。程序開發人員偶爾疏忽了對用戶輸入的這些數據作長度檢查，由于用戶非法操作或者錯誤操作，輸入的數據占滿了緩沖區的所有空間，且超越了緩沖區邊界延伸到緩沖區以外的空間。我們稱這個動作為緩沖區溢出。緩沖區溢出的基本原理（1）緩沖區溢出是由于系統和軟件本身存在脆弱點所導致的。例如目前被廣泛使用的C和C++，這些語言在編譯的時候沒有做內存檢查，即數組的邊界檢查和指針的引用檢查，也就是開發人員必須做這些檢查，可是這些事情往往被開發人員忽略了；標準C庫中還存在許多不安全的字符串操作函數，包括：strcpy()，sprintf()，gets()等等，從而帶來了很多脆弱點，這些脆弱點也便成了緩沖區溢出漏洞。緩沖區溢出的基本原理（2）三、黑客攻擊的防范緩沖區溢出源于程序執行時需要存放數據的空間69三、黑客攻擊的防范/**文件名：overflow.cpp*功能：演示Windows緩沖區溢出的機制*/#include<stdio.h>#include<string.h>charbigbuff[]=“aaaaaaaaaa";//10個avoidmain(){

charsmallbuff[5];//只分配了5字節的空間strcpy(smallbuff,bigbuff);}Windows緩沖區溢出實例分析利用OllyDbg調試工具加載overflow.exe文件三、黑客攻擊的防范/*Windows緩沖區溢出實例分析利用70三、黑客攻擊的防范調用strcpy()函數時堆棧的填充情況三、黑客攻擊的防范調用strcpy()函數時堆棧的填充情況71三、黑客攻擊的防范執行strcpy()函數的過程溢出結果三、黑客攻擊的防范執行strcpy()函數的過程溢出結果72三、黑客攻擊的防范可以導致程序運行失敗、重新啟動等后果。更為嚴重的是，可以利用它執行非授權指令，甚至可以取得系統特權，進而進行各種非法操作。而緩沖區溢出中，最為危險的是堆棧溢出，因為入侵者可以利用堆棧溢出，在函數返回時改變返回程序的地址，讓其跳轉到任意地址，帶來的危害一種是程序崩潰導致拒絕服務，另外一種就是跳轉并且執行一段惡意代碼，比如得到shell，然后為所欲為。緩沖區溢出的危害三、黑客攻擊的防范可以導致程序運行失敗、重新啟動等后果。更為73三、黑客攻擊的防范2000年1月，Cerberus安全小組發布了微軟的IIS4/5存在的一個緩沖區溢出漏洞。攻擊該漏洞，可以使Web服務器崩潰，甚至獲取超級權限執行任意的代碼。目前，微軟的IIS4/5是一種主流的Web服務器程序；因而，該緩沖區溢出漏洞對于網站的安全構成了極大的威脅；它的描述如下：瀏覽器向IIS提出一個HTTP請求，在域名（或IP地址）后，加上一個文件名，該文件名以“.htr”做后綴。于是IIS認為客戶端正在請求一個“.htr”文件，“.htr”擴展文件被映像成ISAPI（InternetServiceAPI）應用程序，IIS會復位向所有針對“.htr”資源的請求到ISM.DLL程序，ISM.DLL打開這個文件并執行之。瀏覽器提交的請求中包含的文件名存儲在局部變量緩沖區中，若它很長，超過600個字符時，會導致局部變量緩沖區溢出，覆蓋返回地址空間，使IIS崩潰。緩沖區溢出攻擊的實驗分析三、黑客攻擊的防范2000年1月，Cerberus安全小組74三、黑客攻擊的防范上述的緩沖區溢出例子中，只是出現了一般的拒絕服務的效果。但是，實際情況往往并不是這么簡單。當黑客精心設計這一EIP，使得程序發生溢出之后改變正常流程，轉而去執行他們設計好的一段代碼（也即ShellCode），攻擊者就能獲取對系統的控制，利用ShellCode實現各種功能，比如，監聽一個端口，添加一個用戶，等等。這也正是緩沖區溢出攻擊的基本原理。目前流行的緩沖區溢出病毒，如沖擊波蠕蟲、震蕩波蠕蟲等，就都是采用同樣的緩沖區溢出攻擊方法對用戶的計算機進行攻擊的。緩沖區溢出攻擊三、黑客攻擊的防范上述的緩沖區溢出例子中，只是出現了一般的拒75三、黑客攻擊的防范流行的緩沖區溢出攻擊病毒利用漏洞：RPC緩沖區溢出135/TCP沖擊波在此添加標題震蕩波極速波高波利用漏洞：LSASS漏洞1025/TCP利用漏洞：UPNP漏洞445/TCP利用多種漏洞,非常危險三、黑客攻擊的防范流行的緩沖區溢出攻擊病毒利用漏洞：RPC緩76三、黑客攻擊的防范防范緩沖區溢出攻擊的有效措施強制程序開發人員書寫正確的、安全的代碼。目前，可以借助grep、FaultInjection、PurifyPlus等工具幫助開發人員發現程序中的安全漏洞。通過對數組的讀寫操作進行邊界檢查來實現緩沖區的保護，使得緩沖區溢出不可能出現，從而完全消除了緩沖區溢出的威脅。常見的對數組操作進行檢查的工具有CompaqC編譯器，RichardJones和PaulKelly開發的gcc補丁等。三、黑客攻擊的防范防范緩沖區溢出攻擊的有效措施強制程序開發77三、黑客攻擊的防范通過操作系統設置緩沖區的堆棧段為不可執行，從而阻止攻擊者向其中植入攻擊代碼。微軟的DEP（數據執行保護）技術微軟的DEP（數據執行保護）技術（WindowsXPSP2、WindowsServer2003SP1及其更高版本的Windows操作系統中）三、黑客攻擊的防范通過操作系統設置緩沖區的堆棧段為不可執行，78三、黑客攻擊的防范經典溢出流程啟用DEP后流程三、黑客攻擊的防范經典溢出流程啟用DEP后流程79三、黑客攻擊的防范TCP會話劫持的工作原理：TCP會話劫持實驗拓撲：三、黑客攻擊的防范TCP會話劫持的工作原理：TCP會話劫持實80三、黑客攻擊的防范檢測：查看網絡中是否存在ACK風暴TCP會話劫持攻擊的檢測和防范防范：采用加密機制加密客戶端和服務器之間的通信過程：例如使用SSH代替Telnet、使用SSL代替HTTP，使用IPSec/VPN避免攻擊者成為客戶端和服務器通信雙方的中間人：采用靜態綁定MAC地址方法以防范ARP欺騙；過濾ICMP路由重定向報文以防范ICMP路由重定向攻擊三、黑客攻擊的防范檢測：TCP會話劫持攻擊的檢測和防范防范：81THANKSTHANKS82第2章黑客常用的攻擊方法第2章黑客常用的攻擊方法83能力CAPACITY要求熟悉TCP/IP。了解黑客攻擊的常用手段和方法，掌握常用網絡安全技術。具有良好的職業道德。能力CAPACITY要求熟悉TCP/IP。了解黑客攻擊的常用84常用黑客技術的原理黑客發展的歷史黑客攻擊的防范常用黑客技術的原理黑客發展的歷史黑客攻擊的防范85一、黑客發展的歷史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震撼了整個世界。由原本寂寂無名的大學生羅伯特·莫里斯（22歲）制造的這個蠕蟲病毒入侵了大約6000個大學和軍事機構的計算機，使之癱瘓。此后，從CIH到美麗殺病毒，從尼姆達到紅色代碼，病毒、蠕蟲的發展愈演愈烈。一、黑客發展的歷史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震86一、黑客發展的歷史凱文?米特尼克是美國20世紀最著名的黑客之一，他是《社會工程學》的創始人1979年（15歲）他和他的伙伴侵入了“北美空中防務指揮系統”，翻閱了美國所有的核彈頭資料，令大人不可置信。不久破譯了美國“太平洋電話公司”某地的改戶密碼，隨意更改用戶的電話號碼。《欺騙的藝術》凱文?米特尼克一、黑客發展的歷史凱文?米特尼克是美國20世紀最著名的黑客之87一、黑客發展的歷史安全威脅發展趨勢一、黑客發展的歷史安全威脅發展趨勢88一、黑客發展的歷史攻擊復雜度與所需入侵知識關系圖一、黑客發展的歷史攻擊復雜度與所需入侵知識關系圖89一、黑客發展的歷史黑客入侵攻擊的一般過程目標地址范圍確定、名字空間查詢對目標系統的監聽和評估分析收集足夠的信息，得以成功訪問目標從對用戶級的訪問權限到對系統的完全控制信息進一步攝取取一旦目標系統已全部控制，掩蹤滅跡不同部位布置陷阱和后門，需要時獲得特權訪問踩點掃描查點獲取訪問特權提升偷盜竊取掩蹤滅跡創建后門如果入侵不成功，可用漏洞代碼來使目標系統癱瘓拒絕服務打開源查詢；whois；whois的Web接口；ARINwhios；DNA區域傳送Pingsweep；TCP/UDP端口掃描；OS檢測列出用戶賬號；列出共享文件；確定各種應用密碼竊聽；共享文件的蠻力攻擊；攫取密碼；文件緩沖區溢出密碼破解；利用已知漏洞和脆弱點評估可信系統的堅固度；搜索明文密碼清除日志記錄；掩藏工具創建“無賴”賬號，；安排批處理作業；感染初啟動文件；植入遠程控制程序；安裝監控機制；利用特洛伊木馬替換應用SYNflood；ICMP技術；統一scr/dstSYN請求；重疊fragment/offset錯誤（bugs）；OutofboundsTCPoption（008）；DDoS針對有效用戶賬號或共享資源，進行更多入侵探詢一、黑客發展的歷史黑客入侵攻擊的一般過程目標地址范圍確定、90常用黑客技術的原理黑客發展的歷史黑客攻擊的防范常用黑客技術的原理黑客發展的歷史黑客攻擊的防范91二、常用黑客技術的原理網絡踩點：收集IP地址范圍、域名信息等。網絡掃描：探測系統開放端口、操作系統類型、所運行的網絡服務，以及是否存在可利用的安全漏洞等。網絡查點：獲得用戶賬號、網絡服務類型和版本號等更細致的信息。常用的網絡信息收集技術【實驗】whois查詢二、常用黑客技術的原理網絡踩點：收集IP地址范圍、域名信息等92二、常用黑客技術的原理漏洞掃描的內容漏洞掃描123456系統開放的服務（端口掃描）各種弱口令漏洞、后門操作系統類型及版本網絡設備漏洞應用服務漏洞拒絕服務漏洞等網絡掃描器作用探測目標網絡結構，獲取目標系統的開放端口、操作系統類型、運行的網絡服務、存在的安全弱點等信息。二、常用黑客技術的原理漏洞掃描的內容漏洞掃描123493二、常用黑客技術的原理端口掃描器原理-預備知識應用層表示層會話層傳輸層網絡層數據鏈路層物理層應用層應用程序應用程序傳輸層網絡層鏈路層TCPUDPICMPIPARP硬件接口RARP二、常用黑客技術的原理端口掃描器原理-預備知識應用層表示層會94二、常用黑客技術的原理預備知識-IP頭預備知識-TCP頭二、常用黑客技術的原理預備知識-IP頭預備知識-TCP頭95二、常用黑客技術的原理常用的掃描軟件Nmap（端口掃描器）NessusX-scan（綜合掃描器）ipscanNmap簡介(NetworkMapper)官方下載及文檔地址：/nmap/詳細操作步驟參見教材課堂演練一：端口掃描器Nmap二、常用黑客技術的原理常用的掃描軟件Nmap（端口掃描器）N96二、常用黑客技術的原理其他掃描方式：案例02OPTION01OPTION03OPTION04OPTIONPing掃描（-sP參數）TCPconnect()端口掃描（-sT參數）TCP同步（SYN）端口掃描（-sS參數）UDP端口掃描（-sU參數）02OPTION01OPTION03OPTIONFIN掃描（-sF）圣誕樹掃描（-sX）空掃描（-sN）二、常用黑客技術的原理其他掃描方式：案例02OPTION0197二、常用黑客技術的原理全連接掃描TCPconnect()掃描半連接掃描TCPSYN()掃描二、常用黑客技術的原理全連接掃描TCPconnect(98二、常用黑客技術的原理端口掃描的防范防火墻防火墻是不是能防范所有的端口掃描？提問二、常用黑客技術的原理端口掃描的防范防火墻防火墻是不是能防范99二、常用黑客技術的原理本部分內容安排學生自己完成詳細操作步驟參見教材課堂演練二：綜合掃描器X-scanNessus也是一款典型的綜合掃描器，其被認為是目前全世界最多人使用的系統漏洞掃描與分析軟件。

Nessus軟件采用C/S架構：詳細操作步驟參見教材課堂演練三：Nessus二、常用黑客技術的原理本部分內容安排學生自己完成課堂演練二：100二、常用黑客技術的原理口令破解01PRAT02PRAT03PRAT口令破解概述口令破解方法口令破解實驗（詳細操作步驟參見教材）二、常用黑客技術的原理口令破解01PRAT02PRAT03P101二、常用黑客技術的原理口令破解的防范標題關閉139端口強壯的密碼administrator賬戶重命名設置賬戶鎖定策略口令破解的防范二、常用黑客技術的原理口令破解的防范標題關閉139端口強壯的102二、常用黑客技術的原理Sniffer，中文可以翻譯為嗅探器,也就是我們所說的數據包捕獲器。采用這種技術，我們可以監視網絡的狀態、數據流動情況以及網絡上傳輸的信息等等。網絡監聽技術Sniffer原理什么是Sniffer?網絡通信監視軟件網絡故障診斷分析工具網絡性能優化、管理系統它幫助你迅速隔離和解決網絡通訊問題、分析和優化網絡性能和規劃網絡的發展。二、常用黑客技術的原理Sniffer，中文可以翻譯為嗅探器,103二、常用黑客技術的原理夢幻西游在網維大師無盤上容易掉線的問題（備注：41是夢幻西游的服務器）分析原因產生：

1、服務器發現客戶端非法，比如有外掛什么的，踢掉了客戶機；

2、服務器壓力大，踢掉了客戶機；

3、總之不是客戶端問題導致的掉線；案例二、常用黑客技術的原理夢幻西游在網維大師無盤上容易掉線的問題104二、常用黑客技術的原理網卡先接收數據頭的目的MAC地址，根據計算機上的網卡驅動程序設置的接收模式判斷該不該接收，認為該接收就在接收后產生中斷信號通知CPU，認為不該接收就丟棄不管。CPU得到中斷信號產生中斷，操作系統就根據網卡驅動程序中設置的網卡中斷程序地址調用驅動程序接收數據，驅動程序接收數據后放入信號堆棧讓操作系統處理。網卡工作原理二、常用黑客技術的原理網卡先接收數據頭的目的MAC地址，根據105二、常用黑客技術的原理網卡的工作模式能夠接收網絡中的廣播信息。廣播方式在此添加標題組播方式直接方式混雜模式（promiscuous）能夠接收組播數據。只有目的網卡才能接收該數據。能夠接收到一切通過它的數據。二、常用黑客技術的原理網卡的工作模式能夠接收網絡中的廣播信息106二、常用黑客技術的原理HUB工作原理二、常用黑客技術的原理HUB工作原理107二、常用黑客技術的原理交換環境下的SNIFF二、常用黑客技術的原理交換環境下的SNIFF108二、常用黑客技術的原理一個sniffer需要作的：網絡監聽原理123把網卡置于混雜模式捕獲數據包分析數據包123二、常用黑客技術的原理一個sniffer需要作的：網絡監聽原109二、常用黑客技術的原理常用的SNIFFwindows環境下UNUX環境下圖形界面的SNIFF、netxray、

snifferproUNUX環境下的sniff可以說是百花齊放，他們都有一個好處就是發布源代碼，當然也都是免費的。如sniffit、snoop、tcpdump、dsniff1、SnifferPro2、WireShark（06年夏天前稱為Ethereal）3、Netmonitor4、EffTechHTTPSniffer5、Iris二、常用黑客技術的原理常用的SNIFFwindows環境下110二、常用黑客技術的原理Wireshark的使用Wireshark的語法Sniffer演示實驗二、常用黑客技術的原理Wireshark的使用Sniffe111二、常用黑客技術的原理捕捉過濾器可以使用6種比較運算符：邏輯運算符（Logicale-xpressions）:二、常用黑客技術的原理捕捉過濾器可以使用6種比較運算符：邏輯112二、常用黑客技術的原理1.tcpdstport80

//捕捉目的TCP端口為80的封包。問題：怎么捕捉DNS包？2.host48

//捕捉目的或來源IP地址為48的封包。3.ipsrchost10.3.40.*

//捕捉來源IP地址為10.3.40.*

的封包。

4.etherhoste0-05-c5-44-b1-3c

//捕捉目的或來源MAC地址為e0-05-c5-44-b1-3c的封包。5.srcportrange2000-2500

//捕捉來源為UDP或TCP，并且端口號在2000至2500范圍內的封包。6.（srchost2orsrcnet/16)andtcpdstportrange200-10000anddstnet/8

//捕捉來源IP為2或者來源網絡為/16，目的地TCP端口號在200至10000之間，并且目的位于網絡/8內的所有封包。練習二、常用黑客技術的原理1.tcpdstport80113二、常用黑客技術的原理練習1.ip.addr==

//顯示來源或目的IP地址為的封包。2.ip.src!=orip.dst!=

//顯示來源不為或者目的不為的封包。3.tcp.port==80

//顯示來源或目的TCP端口號為80的封包。4.tcp.dstport==25

//顯示目的TCP端口號為25的封包。顯示過濾器二、常用黑客技術的原理練習顯示過濾器114二、常用黑客技術的原理【例1】嗅探FTP過程【例2】嗅探HTTP登錄郵箱的過程【例3】嗅探POP郵箱密碼的過程詳細操作步驟參見教材課堂演練使用WireShark分析TCP/IP建立連接的三次握手過程的數據包使用WireShark分析nmap各種掃描方式的數據包綜合演練二、常用黑客技術的原理【例1】嗅探FTP過程課堂演練使用W115常用黑客技術的原理黑客發展的歷史黑客攻擊的防范常用黑客技術的原理黑客發展的歷史黑客攻擊的防范116三、黑客攻擊的防范進行合理的網絡分段。用SSH/SSL建立加密連接，保證數據傳輸安全。Sniffer往往是入侵系統后使用的，用來收集信息，因此防止系統被突破。防止內部攻擊。AntiSniff工具用于檢測局域網中是否有機器處于混雜模式（不是免費的）。如何防止SNIFF三、黑客攻擊的防范進行合理的網絡分段。如何防止SNIFF117三、黑客攻擊的防范ARP欺騙的工作原理ARP欺騙攻擊三、黑客攻擊的防范ARP欺騙的工作原理ARP欺騙攻擊118三、黑客攻擊的防范交換環境下的ARP欺騙攻擊及其嗅探演示實驗實驗拓撲：ARP欺騙工具：SwitchSniffer詳細步驟參見教材三、黑客攻擊的防范交換環境下的ARP欺騙攻擊及其嗅探演示實驗119三、黑客攻擊的防范ARP命令靜態綁定網關ARP防火墻通過加密傳輸數據、使用VLAN技術細分網絡拓撲等方法，以降低ARP欺騙攻擊的危害后果ARP欺騙的防御三、黑客攻擊的防范ARP命令靜態綁定網關ARP欺騙的防御120三、黑客攻擊的防范木馬是一種基于遠程控制的黑客工具隱蔽性潛伏性危害性非授權性木馬（Trojanhorse）三、黑客攻擊的防范木馬是一種基于遠程控制的黑客工具木馬（Tr121三、黑客攻擊的防范木馬與病毒、遠程控制的區別122213病毒程序是以自發性的敗壞為目的木馬程序是依照黑客的命令來運作，主要目的是偷取文件、機密數據、個人隱私等行為。木馬和一般的遠程控制軟件的區別在于其隱蔽、非授權性。三、黑客攻擊的防范木馬與病毒、遠程控制的區別40213病毒程三、黑客攻擊的防范木馬的工作原理實際就是一個C/S模式的程序（里應外合）操作系統被植入木馬的PC（server程序）TCP/IP協議端口控制木馬的PC（client程序）操作系統TCP/IP協議端口控制端端口處于監聽狀態三、黑客攻擊的防范木馬的工作原理實際就是一個C/S模式的程序123三、黑客攻擊的防范木馬的分類代理型FTP型下載型木馬遠程訪問型鍵盤記錄型密碼發送型破壞型三、黑客攻擊的防范木馬的分類代理型FTP型下載型木馬遠程訪問124三、黑客攻擊的防范木馬實施攻擊的步驟木馬偽裝信息反饋配置木馬啟動木馬遠程控制傳播木馬建立連接0102030405三、黑客攻擊的防范木馬實施攻擊的步驟木馬偽裝配置木馬啟動木馬125三、黑客攻擊的防范服務器端程序：G-server.exe客戶端程序：G-client.exe詳細步驟參見教材課堂演練一：冰河木馬的使用反彈端口類型的木馬服務器的配置服務器的工作方式遠程控制如何清除？課堂演練二：灰鴿子的使用三、黑客攻擊的防范服務器端程序：G-server.exe課堂126三、黑客攻擊的防范木馬文件的隱藏和偽裝文件的屬性捆綁到其他文件上文件的名字文件的位置文件的擴展名文件的圖標三、黑客攻擊的防范木馬文件的隱藏和偽裝文件的屬性捆綁127三、黑客攻擊的防范木馬運行時偽裝方法123在任務欄里隱藏在任務管理器里隱藏隱藏端口三、黑客攻擊的防范木馬運行時偽裝方法123在任務欄里隱藏在任128三、黑客攻擊的防范木馬的啟動方式win.inisystem.ini啟動組注冊表捆綁方式啟動偽裝在普通文件中設置在超級連接中三、黑客攻擊的防范木馬的啟動方式win.inisystem129三、黑客攻擊的防范查看端口檢查注冊表檢查DLL木馬檢查配置文件木馬的檢測發現木馬：檢查系統文件、注冊表、端口不要輕易使用來歷不明的軟件不熟悉的E-MAIL不打開常用殺毒軟件并及時升級合理使用防火墻木馬的防御三、黑客攻擊的防范查看端口木馬的檢測發現木馬：檢查系統文件、130三、黑客攻擊的防范流行木馬簡介流行木馬backorificeSubseven網絡公牛(Netbull)網絡神偷(Nethief)廣外男生（是廣外女生的一個變種）Netspy(網絡精靈)冰河三、黑客攻擊的防范流行木馬簡介流行木馬backorific131三、黑客攻擊的防范DoS--DenialofService：現在一般指導致服務器不能正常提供服務的攻擊。拒絕服務攻擊(DoS)1232002年10月全世界13臺DNS服務器同時受到了DDoS（分布式拒絕服務）攻擊。2009年5月19日，由于暴風影音軟件而導致“暴風門”全國斷網事件。2014年6月20日起，香港公投網站PopVote遭遇超大規模的DDoS攻擊DoS攻擊的事件3三、黑客攻擊的防范DoS--DenialofServic132三、黑客攻擊的防范DoS攻擊的分類0102以消耗目標主機的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊等）以消耗服務器鏈路的有效帶寬為目的（例如：蠕蟲）三、黑客攻擊的防范DoS攻擊的分類0102以消耗目標主機的133三、黑客攻擊的防范SYN攻擊的原理（1）目標主機SYNSYN/ACKACK等待應答SYN：同步SYN/ACK:同步/確認ACK：確認三、黑客攻擊的防范SYN攻擊的原理（1）目標主機SYNSYN134三、黑客攻擊的防范SYN攻擊的原理（2）....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標主機SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK應答.........不應答不應答重新發送三、黑客攻擊的防范SYN攻擊的原理（2）....SYN/AC135三、黑客攻擊的防范以windows為例SYN攻擊花費時間（秒）累計花費時間（秒）第一次，失敗33嘗試第1次，失敗69嘗試第2次，失敗1221嘗試第3次，失敗2445嘗試第4次，失敗4893嘗試第5次，失敗96189三、黑客攻擊的防范以windows為例SYN攻擊花費時間（136三、黑客攻擊的防范synkiller（圖形界面工具）syn等（DOS界面工具）【攻擊效果】可通過抓包和查看CPU的利用率來觀看攻擊效果思考題

掃描器中的半連接掃描是不是也構成SYN攻擊？課堂演練——SYN攻擊三、黑客攻擊的防范synkiller（圖形界面工具）課堂演137三、黑客攻擊的防范行行色色的DOS攻擊DOS攻擊1234SYNFlood淚珠（Teardrop）攻擊死亡之pingLand攻擊三、黑客攻擊的防范行行色色的DOS攻擊DOS攻擊1234SY138三、黑客攻擊的防范DDoS攻擊案例案例12012年2月巴西銀行成為了分布式拒絕服務攻擊的目標。巴西匯豐銀行、巴西銀行、ItauUnibancoMultiploSA銀行和布拉德斯科銀行都遭到了大規模攻擊。攻擊中，黑客利用的正是DDoS。2015年某網絡游戲進行上線公測，公測前10分鐘，主力機房遭遇DDoS攻擊，帶寬瞬間被占滿，上游路由節點被打癱，游戲發行商被迫宣布停止公測。案例2三、黑客攻擊的防范DDoS攻擊案例案例12012年2月巴西139三、黑客攻擊的防范DDOS攻擊的威力2015年DDoS阿里云云盾防御的最大攻擊峰值流量為477Gbps。2015預測2016年整個互聯網可能會發生流量在800Gbps－1TGbps之間的攻擊事件。2016三、黑客攻擊的防范DDOS攻擊的威力2015年DDoS阿里云140三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊攻擊者各種客戶主機目標系統安置代理代理程序1、攻擊者攻擊諸客戶主機以求分析他們的安全水平和脆弱性。2、攻擊者進入其已經發現的最弱的客戶主機之內(“肉雞”)，并且秘密地安置一個其可遠程控制的代理程序(端口監督程序demon)。攻擊準備：三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊攻擊者各種141三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊目標系統攻擊者指令攻擊的代理程序虛假的連接請求

3、攻擊者使他的全部代理程序同時發送由殘缺的數字包構成的連接請求送至目標系統。發起攻擊：4、包括虛假的連接請求在內的大量殘缺的數字包攻擊目標系統，最終將導致它因通信淤塞而崩潰。三、黑客攻擊的防范DDoS(分布式拒絕服務)攻擊目標系統攻142三、黑客攻擊的防范實驗拓撲：詳細步驟參見教材TFN分布式拒絕服務攻擊實驗三、黑客攻擊的防范TFN分布式拒絕服務攻擊實驗143三、黑客攻擊的防范詳細步驟參見教材冰盾防火墻的演示實驗三、黑客攻擊的防范詳細步驟參見教材冰盾防火墻的演示實驗144三、黑客攻擊的防范DNS反射攻擊的原理中小貸款攻擊者/僵尸主機偽造受害者發起大量DNS查詢請求開放DNS遞歸服務器DNS服務器回應大量查詢響應1M的流量發出大量模擬被攻擊者的DNS請求被攻擊者100M的流量100M的流量1M的流量發出大量模擬被攻擊者的DNS請求三、黑客攻擊的防范DNS反射攻擊的原理中小貸款攻擊者/僵145三、黑客攻擊的防范針對應用程序---2013年25%的DDOS攻擊將是基于應用程序。利用高速帶寬---在2012年下半年美國銀行遭受到一類新的破壞性DDoS攻擊，有時高達70Gbps的網絡流量沖擊了銀行自有互聯網管道。個性化攻擊三、黑客攻擊的防范針對應用程序---2013年25%的DDO146三、黑客攻擊的防范緩沖區溢出（bufferoverflow)從一個對話框說起……三、黑客攻擊的防范緩沖區溢出（bufferoverflow147三、黑客攻擊的防范【引例】把1升的水注入容量為0.5升的容量中……認識緩沖區溢出第一次大規模的緩沖區溢出攻擊是發生在1988年的Morris蠕蟲，它造成了6000多臺機器被癱瘓，損失在$100000至$10000000之間，利用的攻擊方法之一就是fingerd的緩沖區溢出。緩沖區溢出攻擊已經占了網絡攻擊的絕大多數，據統計，大約80%的安全事件與緩沖區溢出攻擊有關。三、黑客攻擊的防范【引例】把1升的水注入容量為0.5升的容量148三、黑客攻擊的防范緩沖區溢出原理Windows系統的內存結構三、黑客攻擊的防范緩沖區溢出原理Windows系統的內存結構149三、黑客攻擊的防范計算機運行時，系統將內存劃分為3個段，分別是代碼段、數據段和堆棧段。 Windows系統的內存結構數據只讀，可執行。在代碼段一切數據不允許更改。在代碼段中的數據是在編譯時生成的2進制機器代碼，可供CPU執行。放置程序運行時動態的局部變量，即局部變量的空間被分配在堆棧里面。可讀、寫。靜態全局變量是位于數據段并且在程序開始運行的時候被加載。可讀、寫。代碼段堆棧段數據段三、黑客攻擊的防范計算機運行時，系統將內存劃分為3個段，分別150三、黑客攻擊的防范緩沖區溢出源于程序執行時需要存放數據的空間，也即我們所說的緩沖區。緩沖區的大小是程序執行時固定申請的。然而，某些時候，在緩沖區內裝載的數據大小是用戶輸入的數據決定的。程序開發人員偶爾疏忽了對用戶輸入的這些數據作長度檢查，由于用戶非法操作或者錯誤操作，輸入的數據占滿了緩沖區的所有空間，且超越了緩沖區邊界延伸到緩沖區以外的空間。我們稱這個動作為緩沖區溢出。緩沖區溢出的基本原理（1）緩沖區溢出是由于系統和軟件本身存在脆弱點所導致的。例如目前被廣泛使用的C和C++，這些語言在編譯的時候沒有做內存檢查，即數組的邊界檢查和指針的引用檢查，也就是開發人員必須做這些