計算機系統安全常用攻擊手段1第一頁，共五十六頁，編輯于2023年，星期五口令“入侵者”

什么是口令“入侵者”口令入侵者是指任何可以解開口令或屏蔽口令保護的程序。一個口令入侵者并不一定能夠解開任何口令，事實上，多數破解程序都做不到。但是，可以使用仿真工具，利用與原口令程序相同的方法，通過對比分析，用不同的加密口令去匹配原口令。許多所謂的口令“入侵者”都使用“蠻力”。

四、口令入侵

2第二頁，共五十六頁，編輯于2023年，星期五口令“入侵者”

Windows9x口令：口令文件存儲在c:\windows下，如果用戶名為test，則口令文件是test.pwl，該文件存儲著加密后的口令。Unix系統：口令存放于/etc/passwd或/etc/shadow中破解密碼的工具：JohntheRipper簡單；字典；窮舉模式Windows系統：Pwdump，L0phtCrack流光IV：遠程在線破解字典+掃描3第三頁，共五十六頁，編輯于2023年，星期五特洛伊木馬(Trojans)五、特洛伊木馬

特洛伊木馬是指黑客用來遠程控制目標計算機的特殊程序。凡是非法駐留在目標計算機里，并執行預定的操作，竊取目標的私有信息，都屬于特洛伊木馬。工作方式：多數為C/S模式，服務器端安裝在目標機里，監聽等待攻擊者發出的指令；客戶端是用來控制目標機器的部分，放在攻擊者機器上。木馬“PasswdSender”(口令郵差)可以不需要客戶端。4第四頁，共五十六頁，編輯于2023年，星期五木馬的偽裝冒充圖象文件或游戲程序捆綁程序欺騙將木馬程序與正常文件捆綁為一個程序偽裝成應用程序擴展組件木馬名字為dll或ocx類型文件，掛在一個有名的軟件中。后兩種方式的欺騙性更大。5第五頁，共五十六頁，編輯于2023年，星期五木馬的特點隱蔽性強：木馬有很強的隱蔽性,在Windows中,如果某個程序出現異常,用正常的手段不能退出的時候,采取的辦法是按“Ctrl＋Alt＋Del”鍵,跳出一個窗口,找到需要終止的程序,然后關閉它。早期的木馬會在按“Ctrl＋Alt＋Del”顯露出來,現在大多數木馬已經看不到了。所以只能采用內存工具來看內存中是否存在木馬。功能特殊：6第六頁，共五十六頁，編輯于2023年，星期五五、特洛伊木馬

潛伏能力強：表面上的木馬被發現并刪除以后,后備的木馬在一定的條件下會跳出來。Glacier(冰河)有兩個服務器程序，掛在注冊表的啟動組中的是C:\Windows\System\Kernel32.exe,當電腦啟動時裝入內存,這是表面上的木馬;另一個是:\Windows\System\Sysexplr.exe,也在注冊表中,它修改了文本文件的關聯,當點擊文本文件的時候,它就啟動了,它會檢查Kernel32.exe是不是存在。當Kernel32.exe被刪除以后,如果點擊了文本文件,那么這個文本文件照樣運行,而Sysexplr.exe被啟動了。Sysexplr.exe會再生成一個Kernel32.exe。7第七頁，共五十六頁，編輯于2023年，星期五木馬的分類遠程訪問型密碼發送型鍵盤記錄型毀壞型：刪除文件FTP型:打開目標機21端口，上傳、下載木馬發展趨勢與病毒結合，使之具有更強感染特性；跨平臺型；模塊化設計：組件；即時通知8第八頁，共五十六頁，編輯于2023年，星期五特洛伊木馬啟動方式五、特洛伊木馬自動啟動：木馬一般會存在三個地方:注冊表、win.ini、system.ini，因為電腦啟動的時候，需要裝載這三個文件。在autoexec.bat、config.sys、啟動組中易被發現。捆綁方式啟動：木馬phAse1.0版本和NetBus1.53版本就可以以捆綁方式裝到目標電腦上,它可以捆綁到啟動程序或一般常用程序上。捆綁方式是一種手動的安裝方式。非捆綁方式的木馬因為會在注冊表等位置留下痕跡,所以,很容易被發現,而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等,位置的多變使木馬有很強的隱蔽性。修改文件關聯。如用木馬取代notepad.exe來打開txt文件。9第九頁，共五十六頁，編輯于2023年，星期五木馬服務器存放位置及文件名五、特洛伊木馬木馬的服務器程序文件一般位置是在c:\windows和c:\windows\system中,因為windows的一些系統文件在這兩個位置。木馬的文件名總是盡量和windows的系統文件接近,比如木馬SubSeven1.7版本的服務器文件名是c:\windows\KERNEL16.DL,而windows由一個系統文件是c:\windows\KERNEL32.DLL,刪除KERNEL32.DLL會讓機器癱瘓。木馬SubSeven1.5版本服務器文件名是c:\windows\window.exe,少一個s10第十頁，共五十六頁，編輯于2023年，星期五幾種典型的木馬BO(BackOrifice后門)：由舊金山的黑客組織CultofDeadCow開發。對微軟的諷刺。組成：Boconfig.exe,Boserve.exe,Boclient,Bogui.exe,

freeze.exe壓縮,Melt.exe解壓。功能：搜集信息，執行系統命令，重新設置系統，重定向網絡的C/S的應用程序。破壞作用：泄露目標機上的口令，磁盤信息，文件信息，傳輸文件，修改注冊表，刪改文件，捕捉屏幕信息，鎖死機器。11第十一頁，共五十六頁，編輯于2023年，星期五幾種典型的木馬BO的手工清除：

regeditHKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Runservices刪除鍵值為“.exe”的項目退出regedit，刪除Windows\System下的“.exe”機器重啟。如果BO服務器已經由Boconfig.exe重新配置，則BO服務器可能已不再是“空格.exe”，并產生文件WINDLL.DLL。12第十二頁，共五十六頁，編輯于2023年，星期五冰河的客戶端界面五、特洛伊木馬文件管理器:有關文件的操作命令控制臺:向目標計算機發送命令。

13第十三頁，共五十六頁，編輯于2023年，星期五冰河的主要功能五、特洛伊木馬冰河是國產的遠程監控軟件，可以運行在Windows環境下。功能可以與木馬BO2000相媲美。

1．自動跟蹤目標機屏幕變化，同時可完全模擬鍵盤及鼠標輸入,即在同步被控端屏幕變化的同時，監控端的一切鍵盤及鼠標操作將反映在被控端屏幕(局域網適用)；2．記錄各種口令信息：包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話框中出現過的口令信息，且1.2以上的版本中允許用戶對該功能自行擴充，2.0以上版本還同時提供了擊鍵記錄功能；

14第十四頁，共五十六頁，編輯于2023年，星期五五、特洛伊木馬3．獲取系統信息：包括計算機名、注冊公司、當前用戶、系統路徑、操作系統版本、當前顯示分辨率、物理及邏輯磁盤信息等多項系統數據；4．限制系統功能：包括遠程關機、遠程重啟計算機、鎖定鼠標、鎖定系統熱鍵及鎖定注冊表等多項功能限制；5．遠程文件操作：包括創建、上傳、下載、復制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件（提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式）等多項文件操作功能；

15第十五頁，共五十六頁，編輯于2023年，星期五冰河的主要功能五、特洛伊木馬6．注冊表操作：包括對主鍵的瀏覽、增刪、復制、重命名和對鍵值的讀寫等所有注冊表操作功能；7．發送信息：以四種常用圖標向被控端發送簡短信息；8．點對點通訊：以聊天室形式同被控端進行在線交談。

16第十六頁，共五十六頁，編輯于2023年，星期五冰河的主要組成文件五、特洛伊木馬冰河2.2正式版共有4個文件，它們是：G-client.exe 冰河客戶端程序G-server.exe 服務器端程序Readme.txt 自述文件Operate.ini 配置文件17第十七頁，共五十六頁，編輯于2023年，星期五冰河的主要功能:連接服務器五、特洛伊木馬首先是連接目標服務器，從菜單中選擇文件添加主機。填寫內容：a)

顯示名稱：顯示在程序中的名稱，只用于方便記憶。b)

主機地址：填入IP地址或域名。c)

訪問口令：配置服務器程序時輸入的口令。d)監聽端口：配置服務器程序是確定的端口號

18第十八頁，共五十六頁，編輯于2023年，星期五冰河的主要命令五、特洛伊木馬口令類命令1）

系統信息及口令可以獲得包括系統信息（計算機名、用戶名等），開機口令，緩存口令及其它口令在內的資料。2）

歷史口令可以獲得目標機器從啟動開始的歷史口令。3）

擊鍵記錄記錄目標機器上的擊鍵。19第十九頁，共五十六頁，編輯于2023年，星期五五、特洛伊木馬控制類命令1）

捕獲屏幕：得到目標機器當前的屏幕圖象。

屏幕控制。冰河除了把目標機器的屏幕圖象顯示到你的屏幕上之外，你還可以把它看作一個真正的屏幕。如果屏幕上顯示對方開著一個IE窗口，你就可以點擊它的關閉按鈕，那么它在目標機器上就真被關閉了。

2）

發送消息向目標計算機發送消息。目標計算機會彈出一個消息框，這個消息框的類型和內容都可以由你來設置

20第二十頁，共五十六頁，編輯于2023年，星期五五、特洛伊木馬3)控制目標主機的進程：點擊查看進程按鈕,就可以在按鈕上方的列表框中看到目標機器上的所有進程。若要終止某個進程，先選中它，再執行結束進程命令。4)窗口控制：對目標計算機上的程序窗口進行遠程控制。

21第二十一頁，共五十六頁，編輯于2023年，星期五五、特洛伊木馬5）

系統控制：遠程關機、重起計算機，重新加載冰河，卸載冰河。6)鼠標控制隨意鎖定目標計算機上的鼠標，使其動彈不得。在你玩夠之后，你也可以再解除鎖定。7)其它控制22第二十二頁，共五十六頁，編輯于2023年，星期五五、特洛伊木馬網絡類命令1)創建共享在目標機器上創建新的共享。共享名稱及共享路徑。2)刪除共享在目標機器上刪除指定的共享。3)網絡信息：包括共享信息和連接信息。共享信息用來查看目標計算機上的共享資源。連接信息用來顯示目標計算機的網絡連接狀況：包括與其連接的計算機名、用戶名、通訊協議、當前狀態等。23第二十三頁，共五十六頁，編輯于2023年，星期五五、特洛伊木馬文件類命令與文件管理器中的功能類似。1)

文本瀏覽2)

文件查找3)

文件壓縮4)

文件復制5)

文件刪除6)

文件打開7)

目錄增刪8)

目錄復制、注冊表讀寫24第二十四頁，共五十六頁，編輯于2023年，星期五如何對付木馬五、特洛伊木馬1.使用殺毒軟件。2.提高防范意識,不打開陌生人信中的附件，不隨意下載軟件。3.仔細閱讀readme.txt。許多人出于研究目的下載了一些特洛伊木馬程序的軟件包,往往錯誤地執行了服務器端程序4.在刪除木馬之前,重要的一項工作是備份,需要備份注冊表,備份你認為是木馬的文件。25第二十五頁，共五十六頁，編輯于2023年，星期五如何對付木馬1）端口掃描2）查看連接：netstat–a命令上述兩種方法對驅動程序/動態鏈接木馬無效。3）檢查注冊表4）查找木馬文件：如kernel32.exe,sysexplr.exe等5）文件完整性檢查：開始程序附件系統工具系統信息工具系統文件檢查器。如有損壞可從安裝盤還原。26第二十六頁，共五十六頁，編輯于2023年，星期五1、嗅探器Sniffer六、網絡監聽網絡監聽工具（也稱嗅探器Sniffer）是供管理員監視網絡的狀態、數據流動情況以及網絡上傳輸的信息。網絡監聽可以在網上的任何一個位置實施，如局域網中的一臺主機、網關上或遠程網的調制解調器之間等。Sniffer可以是硬件或軟件，用來接收在網絡上傳輸的信息（硬件Sniffer通常稱為協議分析儀）。網絡可以是運行在各種協議之下的（可以是其中幾種協議的聯合）。放置Sniffer的目的是使網絡接口（比如以太網適配器）處于廣播狀態（或叫混雜模式promiscuousmode），從而可截獲網絡上的內容。27第二十七頁，共五十六頁，編輯于2023年，星期五2、網絡監聽的原理六、網絡監聽廣播：網絡上所有的工作站都在傾聽所有傳輸的信息。非廣播狀態：工作站僅僅傾聽那些發給它自己的的信息的狀態。攻破網關、路由器、防火墻的情況極為少見，安全管理員安裝一些網絡監控設備，運行專門的監聽軟件，并防止任何非法訪問。然而，一個黑客可能潛入一臺不引人注意的計算機中，悄悄地運行一個監聽程序。Sniffer就是這樣的硬件或軟件，能夠"聽"到在網上傳輸的所有的信息。28第二十八頁，共五十六頁，編輯于2023年，星期五2、網絡監聽的原理六、網絡監聽協議分析儀通常運行在有路由器功能的主機上。當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網時，如果一臺主機處于監聽模式下，它還能接收到發向與自己不在同一子網。sniffer只能捕獲同一個物理網段內的包，就是說你和監聽目標之間沒有路由（交換）或其它屏蔽廣播包的設備，才能接收到傳輸的所有信息。因此，sniffer對撥號用戶沒用。網絡監聽常常要保存大量的信息，并對收集的大量信息進行整理，因此，正在進行監聽的機器對用戶的請來響應很慢。29第二十九頁，共五十六頁，編輯于2023年，星期五3、Sniffer的危害與預防六、網絡監聽Sniffer危害：能截獲口令或機密信息；能攻擊相鄰的網絡。Sniffer的預防：使用加密傳輸敏感數據。使用安全拓撲結構。一個網段僅由互相信任的計算機組成。每臺機器通過硬連接線接到Hub。Hub再接到交換機上。30第三十頁，共五十六頁，編輯于2023年，星期五4、檢測Sniffer的原理反應時間向可疑發送大量物理地址不存在的包，處于監聽模式的機器回應時間延遲。觀測DNS

監聽軟件往往會嘗試進行反向地址解析，查看DNS上是否地址解析請求明顯增多。利用Ping模式監測混雜模式的主機對錯誤地址的ICMP包會有回應。利用arp數據包監測向局域網內的主機發送非廣播式的arp包來檢測。31第三十一頁，共五十六頁，編輯于2023年，星期五5、檢測Sniffer的方法六、網絡監聽方法一：對于懷疑運行監聽程序的機器，用正確的IP地址和錯誤的物理地址去ping，運行監聽程序的機器會有響應。正常的機器不接收錯誤的物理地址，處于監聽狀態的機器能接收。方法二：同上發大量不存在的物理地址的包，由于監聽程序將處理這些包，將導致性能下降。通過比較發送前、后機器性能加以判斷。32第三十二頁，共五十六頁，編輯于2023年，星期五Sniffer工具Sniffit可用于Unix、Linux、NTNetXray由CincoNetworks公司開發高級數據包查錯工具界面友好防止Sniffer的工具

AntiSniffer可監測同一網段內的機器，如果返回正值，則表明該機處于混雜模式，有可能已被安裝Sniffer。33第三十三頁，共五十六頁，編輯于2023年，星期五1、什么是拒絕服務的攻擊七、拒絕服務攻擊拒絕服務的攻擊是指一個用戶占據了大量的共享資源，使系統沒有剩余的資源給其他用戶可用的一種攻擊方式。拒絕服務的攻擊降低了資源的可用性，這些資源可以是處理器、磁盤空間、CPU使用的時間、打印機、調制解調器，甚至是系統管理員的時間，攻擊的結果是減少或失去服務。34第三十四頁，共五十六頁，編輯于2023年，星期五拒絕服務攻擊方式七、拒絕服務攻擊1)死亡之ping（pingofdeath）

由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB，并且在對包的標題頭進行讀取之后，要根據該標題頭里包含的信息來為有效載荷生成緩沖區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方宕機。35第三十五頁，共五十六頁，編輯于2023年，星期五拒絕服務攻擊方式七、拒絕服務攻擊2）SYNFlooding攻擊對WindowsNT攻擊很有效使用一個偽裝的地址向目標計算機發送連接請求叫做IP欺騙技術。當目標計算機收到這樣的請求后，就會使用一些資源來為新的連接提供服務，接著回復請求一個肯定答復（叫做SYN－ACK）。由于SYN－ACK是返回到一個偽裝的地址，沒有任何響應。于是目標計算機將繼續設法發送SYN－ACK。一些系統都有缺省的回復次數和超時時間，只有回復一定的次量、或者超時時，占用的資源才會釋放。例：WindowsNT3.5和40中缺省設置為可重復發送SYN－ACK答復5次。要等待3+6+12+24+48+96=189秒之后，才釋放資源。36第三十六頁，共五十六頁，編輯于2023年，星期五SYN-Flooding攻擊示意圖37第三十七頁，共五十六頁，編輯于2023年，星期五拒絕服務攻擊方式七、拒絕服務攻擊3)Land攻擊在Land攻擊中，一個特別打造的SYN包它的源地址和目標地址都被設置成某一個服務器地址，此舉將導致接收服務器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息并創建一個空連接，每一個這樣的連接都將保留直到超時掉，對Land攻擊反應不同，許多UNIX實現將崩潰，NT變的極其緩慢（大約持續五分鐘）。38第三十八頁，共五十六頁，編輯于2023年，星期五拒絕服務攻擊方式七、拒絕服務攻擊4)Smurf攻擊

smurf攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求（Ping）數據包來淹沒受害主機，最終導致該網絡的所有主機都對此ICMP應答請求作出答復，導致網絡阻塞，比pingofdeath洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方崩潰。39第三十九頁，共五十六頁，編輯于2023年，星期五Smurf攻擊示意圖

40第四十頁，共五十六頁，編輯于2023年，星期五拒絕服務攻擊方式七、拒絕服務攻擊5）Fraggle攻擊Fraggle攻擊與Smurf攻擊類似，但它使用的不是ICMP，而是UDPEcho。可以在防火墻上過濾掉UDP應答消息來防范。41第四十一頁，共五十六頁，編輯于2023年，星期五拒絕服務攻擊方式七、拒絕服務攻擊6）炸彈攻擊炸彈攻擊的基本原理是利用工具軟件，集中在一段時間內，向目標機發送大量垃圾信息，或是發送超出系統接收范圍的信息，使對方出現負載過重、網絡堵塞等狀況，從而造成目標的系統崩潰及拒絕服務。常見的炸彈攻擊有郵件炸彈、聊天室炸彈等。防御：對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息。42第四十二頁，共五十六頁，編輯于2023年，星期五2、拒絕服務攻擊的類型七、拒絕服務攻擊1）破壞或者毀壞資源，使得無人可以使用這個資源。如：刪除文件、格式化磁盤或切斷電源。2）有意或無意地過載一些系統服務或者消耗盡資源。例如：填滿一個磁盤分區，讓用戶和系統程序無法再生成新的文件。用戶犯的錯誤或者程序失控也可導致拒絕服務攻擊，例如，在遞歸程序中，本來遞歸條件是x!=0卻寫成了x=0。43第四十三頁，共五十六頁，編輯于2023年，星期五3、針對網絡的拒絕服務攻擊七、拒絕服務攻擊1、服務過載當大量的服務請求發向一臺計算機中的服務守護進程時，就會發生服務過載。這些潮水般的請求，使得計算機十分忙碌地處理這些不斷到來的服務請求，以至于無法處理常規的任務。同時，許多新到來的請求被丟棄，因為沒有空間來存放這些請求。如果攻擊的是一個基于TCP協議的服務，那么這些請求的包還會被重發，結果更加重了網絡的負擔。44第四十四頁，共五十六頁，編輯于2023年，星期五3、針對網絡的拒絕服務攻擊七、拒絕服務攻擊攻擊者利用這種攻擊來掩蓋自己的痕跡，阻止對攻擊者的記錄和登錄請求的系統記帳審計。攻擊者還可以利用這一段時間內服務器無法響應網絡請求的機會，編寫一個程序，來回答那些本來應該由服務器回答的請求。45第四十五頁，共五十六頁，編輯于2023年，星期五3、針對網絡的拒絕服務攻擊七、拒絕服務攻擊2、"粘住"攻擊可以使用TCP的半連接耗盡資源。TCP連接通過三次握手來建立一個連接與設置參數。如果攻擊者發出多個連接請求。初步建立了連接，但又沒有完成其后的連接步驟，接收者便會保留許多這種半連接，占據著有限的資源。通常這些連接請求使用的是偽造的源地址表明連接來自于一臺不存在的主機或者一臺無法訪問的主機。46第四十六頁，共五十六頁，編輯于2023年，星期五4、分布式拒絕服務攻擊DDOS七、拒絕服務攻擊47第四十七頁，共五十六頁，編輯于2023年，星期五5、用工具軟件實現DDos攻擊七、拒絕服務攻擊DDOS攻擊常用工具：trinoo、TFN、Stacheldraft等。它們利用TCP/IP協議漏洞，如允許碎片包、大數據包、IP路由選擇、TCP半連接、數據包Flood等，使系統性能降低甚至崩潰。trinoo由三部分組成：l、客戶端客戶端可以是telnet之類的常用連接軟件，客戶端的作用是向主控端（master）發送命令。它通過連接master的27665端口，然后向master發送對目標主機的攻擊請求。48第四十八頁，共五十六頁，編輯于2023年，星期五七、拒絕服務攻擊2、主控端（master）主控端偵聽兩個端口，其中27665是接收攻擊命令，這個會話是需要密碼的。缺省的密碼是"betaalmostdone"。master啟動的時候還會顯示一個提示符：'？？'，等待輸入密碼。密碼為"gOrave"，另一個端口是31355，等候分布端的UDP報文。3、分布端（broadcast）----攻擊守護過程分布端則是執行攻擊的角色。分布端安裝在攻擊者已經控制的機器上分布端編譯前植入了主控端的lP地址，分布端與主控端用UDP報文通信，發送到主控端的31355端口，其中包含"*HELLO*"的字節數據。主控端把目標主機的信息通過27444UDP端口發送給分布端，分布端即發起'潮水'（flood）攻擊。49第四十九頁，共五十六頁，編輯于2023年，星期五5、用工具軟件實現DDos攻擊七、拒絕服務攻擊攻擊的流向是這樣的'攻擊者--master---分布端---目標主機。從分布端向受害者目標主機發送的DDos都是UDP報文，每一個包含4個空字符，這些報文都從一個端口發出，但隨機襲擊目標主機上的不同端口。目標主機對每一個報文回復一個ICMPPortUnreachable的信息，大量不同主機發來的這些洪水般的報文源源不斷目標主機將很快慢下來，直至剩余帶寬變為0。50第五十頁，共五十六頁，編輯于2023年，星期五6、應付DDOS攻擊的策略七、拒絕服務攻擊有幾種方式可以查到這種攻擊：IDS的檢測方法是：分析一系列的UDP