您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
恶意代码与安全漏洞.ppt 130页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
需要金币：350 &&
恶意代码与安全漏洞
你可能关注的文档：
··········
··········
控制流分析的目标是得到程序的一个控制流图（ｃｏｎｔｒｏｌｆｌｏｗｇｒａｐｈ）．控制流图是对程序执行时可能经过的所有路径的图形化表示．通过根据不同语句之间的关系，特别是考虑由“条件转移”、“循环”等引入的分支关系，对过程内的一些语句进行合并，可以得到关于程序结构的一些结果．一个控制流图是一个有向图：图中的结点对应于程序中经过合并的基本语句块，图中的边对应于可能的分支方向，例如条件转移、循环等等，这些都是分析程序行为的重要信息。*（４）数据流分析（ｄａｔａｆｌｏｗａｎａｌｙｓｉｓ）．数据流分析试图确定在程序的某一点（语句）关于各个变量的使用或者可能取值情况．数据流分析一般从程序的一个控制流图开始．数据流分析主要有前向分析（ｆｏｒｗａｒｄａｎａｌｙｓｉｓ）、后向分析（ｂａｃｋｗａｒｄａｎａｌｙｓｉｓ）两种方法．前向分析的一个例子是可达定义（ｒｅａｃ?ｈｉｎｇｄｅｆｉｎｉｔｉｏｎｓ）．它计算对于程序的每一点，可能到达该点的定义的集合．后向分析的一个例子是活跃变量（ｌｉｖｅｖａｒｉａｂｌｅｓ）．它计算对于程序的每一点，程序后面的语句可能读取且没有再次修改的变量．这个结果对于消除死代码（ｄｅａｄｃｏｄｅ）很有用：如果一个变量在某个阶段被定义后，后面的语句一直不会用到这个定义，那么这个定义就是死代码，应该从程序中删除．基于格（ｌａｔｔｉｃｅ）与不动点（ｆｉｘｐｏｉｎｔ）理论的数据流分析是目前被广泛使用的技术：首先对控制流图中的每个节点建立一个数据流等式（ｅｑｕａｔｉｏｎｓ），并根据分析目标构造一个具有有限高度的格L，然后不断重复计算每个节点的输出，直到达到格的一个不动点．许多编译器为了进行编译优化而引入了数据流分析技术．数据流分析方法中最常用的方法是跌代法，迭代算法的主要步骤是：初始化数据流信息状态以及工作列表，然后依次处理工作列表中的节点，更新各节点信息，同时把被它影响的节点加入工作列表中。由于传输函数在数据流信息的格中有不动点，所以迭代算法是可以终止的。*动态污染传播（Dynamictaintanalysis），也称为动态信息流分析方法是在程序运行时，标记某些信息，例如变量、存储单位、寄存器的值等，从而跟踪攻击路径，获取漏洞信息。第一步：标识污点源。第二步：分析污染源的传播。分析出什么样的操作导致了被污染对象x的信息被传递给了没有受污染的对象y记为x?t(y)，其中t表示程序操作。分析出所有受t操作影响的对象y并标识y为受污染对象。第三步：污染数据到达触发点（taintsink）时，根据触发机制对具有污染标识的数据、内存等进行检查，从而发现可能的安全问题。*动态挖掘方法主要借鉴了软件测试的思想，即通过输入测试用例和输出测试结果来发现代码中存在的安全问题，如模糊测试、渗透测试等。此外动态挖掘方法还借鉴了软件监测的思想，即在不同层次上监测代码的运行状态来发现安全问题。如动态污染传播等。*半衰期指修复半数存在漏洞的系统所用的时间漏洞消控补丁修复安全加固*补丁修复打补丁是漏洞消减的技术手段之一。数据显示，及时安装有效补丁可避免约95%的信息安全损失。补丁修复中存在的两难问题：是否要打补丁？——资源分配问题打什么样的补丁？——补丁质量问题如何打补丁？——操作方式问题什么时间打补丁？——修复时机问题现状：出现了跨学科领域的研究方法（计算机科学、经济学、管理学）从理论分析与用户最佳实践中共同寻找答案*安全加固标准化的安全配置2002年，美国率先在军队推行标准化的安全配置与核查（IAVA）根据漏洞分析和风险评估的安全加固传统的安全加固手段越来越难以应付日益复杂的攻击行为，漏洞信息的及时披露和分发越来越重要。加固核查与问责通过安全审计核实漏洞消除情况和效果。*谢谢，请提问题！*禁止跟踪中断。针对调试分析工具运行系统的单步中断和断点中断服务程序，恶意代码通过修改中断服务程序的入口地址实现其反跟踪目的。“1575”计算机病毒采用该方法将堆栈指针指向处于中断向量表中的INT0至INT3区域，阻止调试工具对其代码进行跟踪。封锁键盘输入和屏幕显示，破坏各种跟踪调试工具运行的必需环境；检测跟踪法。检测跟踪调试时和正常执行时的运行环境、中断入口和时间的差异，根据这些差异采取一定的措施，实现其反跟踪目的。例如，通过操作系统的API函数试图打开调试器的驱动程序句柄，检测调试器是否激活确定代码是否继续运行。其它反跟踪技术。如指令流队列法和逆指令流法等。*对程序代码分块加密执行。为了防止程序代码通过反汇编进行静态分析，程序代码以分块的密文形式装入内存，在执行时由解密程序进行译码，某一段代码执行完毕后立即清除，保证任何时刻分析者不可能从内存中得到完整的执行代码；伪指令法(JunkCode)。伪指令法系指在指令流中插入“废指令”，使静态反汇编无法得到全部正常的指令，不能有效
正在加载中，请稍后...君，已阅读到文档的结尾了呢~~
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
计算机网络安全--第六章 网络漏洞扫描技术.ppt
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口【图文】专题漏洞_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
上传于|0|0|文档简介
&&专题漏洞
大小：524.00KB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢网络安全课件（3）黑客及其防范（上）_课件下载
网络安全课件（3）黑客及其防范（上）
声明：本课件在电脑上可正常浏览，在手机或平板电脑上只能浏览到简介。网络安全课件（3）黑客及其防范（上）的内容简介：
第三章黑客及其防范在计算机网络领域，非法用户或敌对势力利用各种手段攻击计算机的现象越来越多，窃听、篡改、网络瘫痪等呈多发趋势，黑客对网络的攻击已成为造成网络不安全的主要原因。本章中，我们将首先了解黑客能够对网络进行进攻的主要原因是网络系统的缺陷及漏洞，掌握黑客攻击前主要是网络监听和端口扫描，同时进行口令破解等知识，其常见的攻击有：特洛伊木马、IP欺骗与防范、拒绝服务攻击等。这些将是我们需要学习和掌握的内容。教学内容:3.1网络系统的缺陷与漏洞3.2黑客简介3.3黑客攻击的常用工具（重点）3.4口令安全3.5特洛伊木马（重点）3.6网络间谍软件3.7IP欺骗与防范3.8拒绝服务攻击（重点）3.9缓冲区溢出攻击3.10本章小结3.11习题学习目标:通过本章内容的学习，我们将要:1.了解网络系统的缺陷与漏洞2.了解黑客的表现形式及过程等，掌握黑客攻击前的常用工具3.掌握常见的攻击形式，如：特洛伊木马、IP欺骗与防范、拒绝服务攻击等4.了解网络间谍的内容及常见的间谍软件的应用3.1网络系统的缺陷与漏洞3.1.1网络系统的缺陷主要是设计缺陷，包括网络物理结构的缺陷和网络协议的缺陷。一、物理结构的设计缺陷1.局域网以以太网方式为主，以太网采用的是广播方式通信，广播式传播方式是用一个共同的传播介质把各个计算机连接起来的。网络上所有的机器都共享该信道，任何一台计算机发送的信息都可以被其他所有计算机接收到，任一时刻只允许一个节点使用公共信道。把以太网的接收模式设置为混合型，这样网卡就会捕捉所有的数据包，并把这些数据包向上传递，也就可能被窃听。2.广域网大多采用点到点方式通信，点对点传播方式网是每条线路连接一对计算机，整个网络则由许多节点构成，两台没有直连的计算机要通信必须要通过一台或多台中间计算机的转发数据，两台通信计算机之间通常可能存在多条不同长度的路径，必须通过其他节点进行转发。进行分组转发的节点就可以窃听。3.广域网和因特网上的中继设备可以监听所有网络之间转发的信息。中继器和集线器中继器是网络物理层的一种连接器，由于衰减和噪声干扰等原因，当电信号在传输介质上传输时总会变得越来越弱，为保证数据传输的正确性，通常对某一传输介质都限定在有限距离传送。集线器常又称HUB，是一种特殊的中继器，它可作为多个网络电缆段的中间转接设备而将各个网段连接起来。自90年代开始，10BASE-T标准和集线器的大量使用，使总线型网络逐步向以使用非屏蔽双绞线并采用星型网络拓扑结构的模式靠近，这一模式的核心就是利用集线器作为网络的中心，连接网上各个结点。采用集线器的优点是，若网上某条线路或结点出现故障，它不会影响网络上其他结点的正常工作。集线器一般可分为无源（Passive）集线器、有源（Active）集线器、智能（Intellingent）集线器。无源集线器只负责将多段介质连在一起，不对信号进行任何处理。有源集线器除具有无源集线器功能外，还能对信号起再生与放大作用，有扩展介质长度的功能。智能集线器是近年来发展最快的产品，除具有有源集线器全部功能外，还将网络的很多功能集成到集线器中，如网络管理的功能、智能选择网络传输通路等。随着集线器技术的迅速猛发展，今天的集线器技术已引入了新的技术&&&交换（Switching）技术。交换集线器增加了线路交换的功能、网络分段的方式，有效地提高了传输带宽。网桥网桥是在数据链路层对帧进行存储转发的网间连接器，它只适用于同类局域网之间互连，如802.X。对于不同类型的局域网，即使通过网桥能够连通，但由于其高层协议不同，仍是没有办法进行互操作的。目前主要有两种类型网桥:透明网桥和源选径网桥。网桥的基本功能有:（1）它能从源网络接收信息帧，并以目的网络介质访问控制协议向目的网络发送;（2）网桥对所接收的信息帧不做任何修改，或只做少量的包装;（3）网桥可以采用另外一种协议来转发信息，采用这种方法时必须把原协议的信息作为另外一种协议的数据部分被装配在帧中;（4）网桥应有足够大的缓冲空间，以满足高峰期的要求，在短时间内，帧的到达速度有可能高于重新传送的速度;（5）网桥必须具有寻址和路径选择能力，至于网桥必须知道每个网络上有哪些站点及地址码，以确定帧的传输方向。5.路由器路由器是在网络层上对信息帧进行转发、实际上常在网络层再加上网间协议（IP）转发数据报，因而能获得更多网际信息，能更佳地选择路由。路由器用于连接多个逻辑上分开的网络，故它可认为是各个逻辑子网的&边界&。路由器并不关心各逻辑子网使用哪种硬件，但必须运行与网络层协议一致的软件，就是说，路由器是与网络层协议有关的一种设备，例如利用网络协议的IP路由器。今天的路由器技术已十分成熟，功能也相当强大，以CISCO公司的路由器为例，为增加其通用性，它可支持多种协议，如IP、IPX、DECnet、AppleTalkX.25帧中继等;具有很强的管理和动态选择路由等功能;可平衡数据流量，对数据流做优先级处理，易于连接多种通信介质和远程网络;具有很好的安全性，如具有防火墙的功能等。由于路由器与网络层协议有关，故具有协议处理功能，可利用协议决定信息传输的最佳路由和各种复杂的操作。路由器在网络中起着至关重要的作用，整个Internet就是以路由器为框架的。Internet是由许多自治系统互相连接而成。自治系统内部各网络间通过路由器互连。其路由算法或路由器间通信需要一种内部网间连接器协议（InteriorGatewayProtocol&&&IGP），它是一种Internet协议，用于在自治系统内部交换路由信息。通用的InternetIGP有内部网间连接器路由协议（InternetGatewayRoutingProtocol&&&RIP）、路由信息协议（RoutingInformationProtocol&&&RIP）和OSPF（OpenShortestPathFirst）等。IGRP是美国CISCO公司开发的一种IGP，解决在大型异构网中的路由选择，是一个动态路由协议，能最优地使用网络提供的频宽，具有好的频宽、延迟和可靠性等性能。在不同自治系统之间的路由器互连遵守的是EGP（EnteriorGatewayProtocol）。安全性，如具有防火墙的功能等。由于路由器与网络层协议有关，故具有协议处理功能，可利用协议决定信息传输的最佳路由和各种复杂的操作。路由器在网络中起着至关重要的作用，整个Internet就是以路由器为框架的。Internet是由许多自治系统互相连接而成。自治系统内部各网络间通过路由器互连。其路由算法或路由器间通信需要一种内部网间连接器协议（InteriorGatewayProtocol&&&IGP），它是一种Internet协议，用于在自治系统内部交换路由信息。通用的InternetIGP有内部网间连接器路由协议（InternetGatewayRoutingProtocol&&&RIP）、路由信息协议（RoutingInformationProtocol&&&RIP）和OSPF（OpenShortestPathFirst）等。IGRP是美国CISCO公司开发的一种IGP，解决在大型异构网中的路由选择，是一个动态路由协议，能最优地使用网络提供的频宽，具有好的频宽、延迟和可靠性等性能。在不同自治系统之间的路由器互连遵守的是EGP（EnteriorGatewayProtocol）二、TCP/IP协议的设计缺陷TCP/IP是目前Internet使用的协议。TCP/IP存在着一系列的安全缺陷。有的缺陷是由于源地址的认证问题造成的，有的缺陷则来自网络控制机制和路由协议等。这些缺陷，是所有使用TCP/IP的系统所共有的，即TCP/IP协议本身是不安全的。TCP/IP协议的安全缺陷包括：1.没有加密在传输过程中容易被窃听和欺骗。2.TCP/IP的服务非常脆弱。3.由于缺乏安全策略，使访问权限扩大而增大了不安全性。4.访问控制的配置十分复杂，给黑客提供了机会。5.TCP/IP协议是公开的，破坏的可能性大。3.1.2漏洞与后门一、漏洞的概念它指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。绝对安全的系统是不存在的，每个系统都与漏洞，漏洞可分为软件编写错误造成的漏洞和软件配置不当造成的漏洞。漏洞问题是与时间紧密相关的。一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。具体举例来说，比如在IntelPentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。二、漏洞的等级划分：根据网络漏洞或脆弱性给系统带来的危害性大小，它可分为三个等级：1.允许拒绝服务的漏洞（C类）2.允许有限权限的本地用户未经授权提高其权限的漏洞（B类）3.允许外来团体未经授权访问网络的漏洞（A类）三、允许拒绝服务的漏洞（C类）拒绝服务攻击是个人或多人利用Internet核心协议TCP/IP的某些缺陷产生大量数据阻塞网络、使服务器死机，或因服务器负担过重，使系统拒绝正常用户对系统信息进行合法的访问。等级：C类，它不会破坏数据和使数据泄密，是不太重要的漏洞。产生原因：存在于操作系统中弥补方法：必须通过软件开发者或销售商的弥补来予以纠正。四、允许本地用户非法访问的漏洞（B类）等级：它是允许本地用户获得增加的未授权的访问，属B类。它危险性极大。存在原因：一般出现在多种平台的应用程序中，由应用程序的一些缺陷引发。五、允许外来团体未经授权访问网络的漏洞（A类）等级：属A类，使威胁性最大的一种漏洞。存在原因：由于较差的系统管理或设置有误造成的。典型的设置错误是网络系统提供的任何存放在驱动器上的例子脚本，A类漏洞涉及的不仅是一个文件，有时它与脚本的解释方法有关。例如：微软的IIS包含一个允许任何远程用户执行任意命令的漏洞。弥补方法：删除这些脚本。六、漏洞与后门的区别：漏洞与后门是不同的，漏洞是难以预测的，而后门是人为设置的。后门（BackDoor）是软硬件制造商为了进行非授权访问而在程序中故意设置的万能访问口令。在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或是在发布软件之前没有删除，那么它就成了安全隐患。3.1.3漏洞的检测一、安全扫描二、源代码扫描三、发汇编扫描四、环境错误扫描Ping扫描如果需要扫描一个主机上甚至整个子网上的成千上万个端口，首先判断一个主机是否开机就非常重要了。这就是Ping扫描器的目的。主要由两种方法用来实现Ping扫描。1：真实扫描：例如发送ICMP请求包给目标IP地址，有相应的表示主机开机。2：TCPPing：例如发送特殊的TCP包给通常都打开且没有过滤的端口（例如80端口）。对于没有root权限的扫描者，使用标准的connect来实现。否则，ACK数据包发送给每一个需要探测的主机IP。每一个返回的RST表明相应主机开机了。全TCP连接全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接。连接由系统调用connect()开始。对于每一个监听端口，connect()会获得成功，否则返回－1，表示端口不可访问。由于通常情况下，这不需要什么特权，所以几乎所有的用户（包括多用户环境下）都可以通过connect来实现这个技术。这种扫描方法很容易检测出来（在日志文件中会有大量密集的连接和错误记录）。Courtney,Gabriel和TCPWrapper监测程序通常用来进行监测。另外，TCPWrapper可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。TCPSYN扫描在这种技术中，扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST，那么说明端口是关闭的，按照设定就探听其它端口；如果应答中包含SYN和ACK，说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息，传送一个RST给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。SYN扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。秘密扫描技术由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多。另外，FIN数据包能够通过只监测SYN包的包过滤器。秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST数据包。否则，当一个FIN数据包到达一个打开的端口，数据包只是简单的丢掉（不返回RST）。Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN，URG和PUSH标记，而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤。秘密扫描通常适用于UNIX目标主机，除过少量的应当丢弃数据包却发送reset信号的操作系统（包括CISCO，BSDI，HP/UX，MVS和IRIX）。在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都发送RST。跟SYN扫描类似，秘密扫描也需要自己构造IP包。间接扫描间接扫描的思想是利用第三方的IP（欺骗主机）来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息，所以必须监控欺骗主机的IP行为，从而获得原始扫描的结果。间接扫描的工作过程如下：假定参与扫描过程的主机为扫描机，隐藏机，目标机。扫描机和目标记的角色非常明显。隐藏机是一个非常特殊的角色，在扫描机扫描目的机的时候，它不能发送任何数据包（除了与扫描有关的包）。认证扫描到目前为止，我们分析的扫描器在设计时都只有一个目的：判断一个主机中哪个端口上有进程在监听。然而，最近的几个新扫描器增加了其它的功能，能够获取监听端口的进程的特征和行为。认证扫描是一个非常有趣的例子。利用认证协议，这种扫描器能够获取运行在某个端口上进程的用户名（userid）。认证扫描尝试与一个TCP端口建立连接，如果连接成功，扫描器发送认证请求到目的主机的113TCP端口。认证扫描同时也被成为反向认证扫描，因为即使最初的RFC建议了一种帮助服务器认证客户端的协议，然而在实际的实现中也考虑了反向应用（即客户端认证服务器）。代理扫描文件传输协议（FTP）支持一个非常有意思的选项：代理ftp连接。这个选项最初的目的（RFC959）是允许一个客户端同时跟两个FTP服务器建立连接，然后在服务器之间直接传输数据。然而，在大部分实现中，实际上能够使得FTP服务器发送文件到Internet的任何地方。许多攻击正是利用了这个缺陷。最近的许多扫描器利用这个弱点实现ftp代理扫描。ftp端口扫描主要使用ftp代理服务器来扫描tcp端口。扫描步骤如下：1：假定S是扫描机，T是扫描目标，F是一个ftp服务器，这个服务器支持代理选项，能够跟S和T建立连接。2：S与F建立一个ftp会话，使用PORT命令声明一个选择的端口（称之为p－T）作为代理传输所需要的被动端口。3：然后S使用一个LIST命令尝试启动一个到p－T的数据传输。4：如果端口p－T确实在监听，传输就会成功（返回码150和226被发送回给S）。否则S回收到&425无法打开数据连接&的应答。5：S持续使用PORT和LIST命令，直到T上所有的选择端口扫描完毕。FTP代理扫描不但难以跟踪，而且当ftp服务器在防火墙后面的时候3.2黑客简介3.2.1黑客与入侵者黑客是英文hacker的译音，原意为热衷于电脑程序的设计者，指对于任何计算机操作系统的奥秘都有强烈兴趣的人。黑客大都是程序员，他们具有操作系统和编程语言方面的高级知识，知道系统中的漏洞及其原因所在，他们不断追求更深的知识，并公开他们的发现，与其它人分享，并且从来没有破坏数据的企图。黑客在微观的层次上考察系统，发现软件漏洞和逻辑缺陷。他们编程去检查软件的完整性。黑客出于改进的愿望，编写程序去检查远程机器的安全体系，这种分析过程是创造和提高的过程。入侵者（攻击者）指怀着不良的企图，闯入远程计算机系统甚至破坏远程计算机系统完整性的人。入侵者利用获得的非法访问权，破坏重要数据，拒绝合法用户的服务请求，或为了自己的目的故意制造麻烦。入侵者的行为是恶意的，入侵者可能技术水平很高，也可能是个初学者。黑客指利用通信软件通过网络非法进入他人系统，截获或篡改计算机数据，危害信息安全的电脑入侵者。黑客们通过猜测程序对截获的用户账号和口令进行破译，以便进入系统后做更进一步的操作。二、黑客的表现形式1.恶作剧2.隐蔽攻击者3.定时炸弹4.制造矛盾5.窃密6.职业杀手7.业务爱好者三、黑客入侵的级别（8个级别6个层次）第一层1.邮件炸弹攻击2.简单拒绝服务攻击第二层3.本地用户获得非授权读访问第三层4.本地用户获得非授权写访问5.远程用户获得非授权的账号第四层6.远程用户拥有了特权文件的读权限第五层7.远程用户拥有了特权文件的写权限第六层8.远程用户拥有了根权限不同层次的攻击危害程度相差很大。3.2.2黑客攻击的过程一、信息收集信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息。1.SNMP协议：用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。2.TraceRoute程序：能够用该程序获得到达目标主机所要经过的网络数和路由器数。3.Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数。4.DNS服务器：该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名。5.Finger协议：用来获取一个指定主机上的所有用户的详细信息，如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等。6.Ping程序：可以用来确定一个指定主机的位置。7.自动Wardialing软件：可以向目标站点一次连续拨出大批电话号码，直到遇到某一正确的号码使其MODEM响应。二、系统安全弱点的探测在收集到攻击目标的一批网络信息之后，黑客会探测网络上的每台主机，以寻求该系统的安全漏洞或安全弱点，黑客可能使用下列方式自动扫描驻留在网络上的主机。1.自编程序。黑客发现&补丁&程序的接口后会自己编写程序，通过该接口进入目标系统。2.利用公开的工具。利用这些工具可以对整个网络或子网进行扫描，寻找安全漏洞。三、实施网络攻击黑客使用上述方法，收集或探测到一些&有用&信息之后，就可能会对目标系统实施攻击。1.试图毁掉攻击入侵的痕迹，并在受到损害的系统上建立另外的新的安全漏洞或后门，以便在先前的攻击点被发现之后，继续访问这个系统。2.在目标系统中安装探测器软件，包括特洛伊木马程序，用来窥探所在系统的活动，收集黑客感兴趣的一切信息，如Telnet和FTP的账号名和口令等。3.进一步发现受损系统在网络中的信任等级，这样黑客就可以通过该系统信任级展开对整个系统的攻击。3.2.3黑客入侵的防范一、黑客入侵的确认二、确认黑客入侵的程度&被侵入&指的是网络遭受到非法闯入的情况。这种情况分为不同的程度：1.入侵者只获得访问权（一个登录名和口令）；2.入侵者获得访问权，并毁坏、侵蚀或改变数据；3.入侵者获得访问权，并获得系统一部分或整个系统控制权，拒绝拥有特权用户的访问；4.入侵者没有获得访问权，而是用不良的程序，引起网络持久性或暂时性的运行失败、重新启动、挂起或其它无法操作的状态。三、应急操作万一事故发生，应按如下步骤进行。l.估计形势①黑客是否已成功闯入站点？果真如此，则不管黑客是否还在那里，必须迅速行动。②黑客是否还滞留在系统中？若是，需尽快阻止他们。③可以关闭系统或停止有影响的服务（FTP、Gopher、Telnet等），甚至可能需要关闭因特网连接。④侵入是否有来自内部威胁的可能呢？若如此，除授权者之外，千方小心莫让其他人知道你的解决方案。⑤是否了解入侵者身份？若想知道这些，可预先留出一些空间给入侵者，从中了解一些入侵者的信息。2.切断连接一旦了解形势之后，首先应切断连接，具体操作要看环境。①能否关闭服务器？需要关闭它吗？若有能力，可以这样做。若不能，可关闭一些服务。②是否关心追踪黑客？若打算如此，则不要关闭因特网连接，因为这会失去入侵者的踪迹。③若关闭服务器，是否能承受得起失去一些必须的有用系统信息的损失？3.分析问题必须有一个计划，合理安排时间。当系统已被入侵时，应全盘考虑新近发生的事情，当已识别安全漏洞并将进行修补时，要保证修补不会引起另一个安全漏洞。4.采取行动四、抓住入侵者抓住入侵者是很困难的，特别是当他们故意掩藏行迹的时候。机会在于你是否能准确击中黑客的攻击。这将是偶然的，而非有把握的。然而，尽管击中黑客需要等待机会，遵循如下原则会大有帮助。1.注意经常定期检查登录文件。特别是那些由系统登录服务和wtmp文件生成的内容。2.注意不寻常的主机连接及连接次数通知用户。3.注意那些原不经常使用却突然变得活跃的账户。应该禁止或干脆删去这些不用的账户。4.预计黑客经常光顾的时段里，每隔10分钟运行一次shellscript文件，记录所有的过程及网络联接。本节重点1.网络系统的缺陷，即物理结构的缺陷和TCP/IP协议的设计缺陷2.漏洞的概念及类型3.漏洞检测方法4.黑客的概念、表现形式、级别和攻击过程5.黑客入侵的防范3.3黑客攻击的常用工具3.3.1网络监听网络监听工具是提供给管理员的一类管理工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。但是网络监听工具也是黑客们常用的工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式进行攻击。将网络接口设置在监听模式便可以源源不断地将网上的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。一、监听的可能性1、数据链路：（1）Ethernet（高）Ethernet网是一个广播型的网络。困扰着因特网的大多数包监听事件都是一些运行在一台计算机中的包监听程序的结果。（2）令牌网（高）尽管令牌网并不是一个广播型网络，但带有令牌的那些包在传输过程中，平均要经过网络上一半的计算机。高的数据传输率使监听变得困难。（3）电话线（中等）电话线可以被一些电话公司协作人或者一些有机会在物理上访问到线路的人搭线窃听。在微波线路上的信息也会被截获。在实际中，高速的调制解调器将比低速的调制解调器搭线窃听困难一些，因为高速调制解调器中引入了许多频率。（4）有线电视信道发送IP（高）使用有线电视信道发送IP数据包的系统依靠RF调制解调器。RF使用一个TV通道用于上行和下行。在这些线路上传输的信息没有加密，因此，可以被一些可以从物理上访问到TV电缆的人截获。（5）无线电（高）无线电本来就是一个广播型的传输媒介。任何有一个无线电接收机的人都可以截获那些传输的信息。二、在以太网中的监听只须安装一个监听软件，然后就可以坐在机器旁浏览监听到的信息了。以太网协议的工作方式为将要发送的数据包发往连接在一起的所有主机。在包头中包括着应该接收数据包的主机的正确地址。因此，只有与数据包中目标地址一致的那台主机才能接收数据包。但是，当主机工作在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。数字信号到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，然后进行检查，如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，将由数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，则所有的数据帧都将交给上层协议软件处理。当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果主机处于监听模式下，它还能接收到发向与自己不在同一子网（使用了不同的掩码，IP地址和网关）的主机的那些信包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。但不能监听不在同一个网段的计算机传输的信息。一台计算机只能监听经过自己网络接口的那些信息包。要使主机工作在监听模式下，需要向网络接口发送I/O控制命令，将其设置为监听模式。在Unix系统中，发送这些命令需要超级用户的权限。但是，在Windows98中，则没有这个限制。只要运行这一类的监听软件即可。三、常用的监听工具如果有一个网络设备专门收集广播而决不应答，那么，它就可以看到本网的任何计算机在网上传输的数据。如果数据没有经过加密，那么它就可以看到所有的内容。网络监听的关键是将网卡设置为混杂模式状态。1.Sniffer就是一个在以太网上进行监听的免费专用软件。监听这个现象对网络的安全威胁是相当大的，因为它可以做到以下几点:1）抓到正在传输的密码。2）抓到别人的秘密（信用卡号）或不想共享的东西。3）暴露网络信息。四、网络监听的检测网络监听本来是为了管理网络，监视网络的状态和数据流动情况。但是由于它能有效地截获网上的数据，因此也成了网上黑客使用得最多的方法。监听只能是同一网段的主机。这里同一网段是指物理上的连接，因为不是同一网段的数据包，在网关就被滤掉，传不到该网段来。网络监听最有用的是获得用户口令。当前，网上的数据绝大多数是以明文的形式传输。而且口令通常很短且容易辨认。当口令被截获后，则可以非常容易地登上另一台主机。．（一）、简单的检测方法当系统运行网络监听软件时，系统因为负荷过重，因此对外界的响应很慢。1、对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。2、往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。3、一个可行的检查监听程序的方法是搜索所有主机上运行的进程。那些使用Windows98的机器很难做到这一点。而使用Unix和WindowsNT的机器可以很容易地得到当前进程的清单。4、搜索监听程序。入侵者很可能使用的是一个免费软件，管理员就可以检查目录，找出监听程序。在Unix系统上，人们得自己编写一个程序。另外，如果监听程序被换成另一个名字，管理员也不容易找到这个监听程序。（二）、对付一个监听加密是一个很好的办法，可以保证那些秘密数据（用户名和口令）的安全传输不被监听和偷换。安全壳SSH-SecureShell是一种在像Telnet那样的应用环境中提供保密通信的协议，它实现了一个密钥交换协议，以及主机及客户端认证协议。SSH完全排除了在不安全的信道上通信被监听的可能性。（三）、其它防范监听的方法一般能够击败网络监听的方法是使用安全的拓扑结构。这种技术通常被称为分段技术。它将网络分成一些小的网络，每一网段的集线器被连接到一个交换器上（Switch）。因为网段是硬件连接的，因而包只能在该子网的网段内被监听工具截获。这样，网络中剩余的部分（不在同一网段的部分）就被保护了。用户也可以使用网桥或者路由器来进行分段。这可能更加合适一些，但取决于网络的结构和财力。(四)、Ifstatus工具Ifstatus的开发者是DaveCurry。Ifstatus运行的UNIX操作系统中，它可以识别出系统的网络接口是否正处于调试状态或者说监听状态下。当网络接口运行在这种模式下，很可能是一个入侵者侵入了系统，正在运行一个监听程序，用来截获在网络上传送的口令和其他明文形式的信息。网络监听是网络管理很重要的一个环节，同时也是黑客们常用的一种方法。事实上，网络监听的原理和方法是广义的，例如路由器也是将传输中的包截获，进行分析并重新发送出去。许多的网络管理软件都少不了监听这一环节。而网络监听工具只是这一大类应用中的一个小的方面。对网上传输的信息进行加密，可以有效地防止网络监听的攻击。3.3.2端口扫描一、什么是扫描器扫描器是自动检测远程或本地主机安全性弱点的程序。通过使用扫描器可以不留痕迹的发现远程服务器的各种TCP端口的分配、提供的服务和软件版本，这就能间接地或直观地了解到远程主机所存在的安全问题。真正的扫描器是TCP端口扫描器，扫描器可以搜集到关于目标主机的有用信息（比如，一个匿名用户是否可以登录等）。而其它所谓的扫描器仅仅是Unix网络应用程序，Unix平台上通用的rusers和host命令就是这类程序。二、端口扫描1．端口许多TCP/IP程序可以通过因特网启动，这些程序大都是面向客户/服务器的程序。当主机接收到一个连接请求时，它便启动一个服务，与请求客户服务的机器通信。为简化这一过程，每个应用程序（例如FTP、Telnet）被赋予一个唯一的地址，这个地址称为端口。2．端口扫描工具使用端口扫描工具也是一种获取主机信息方法。端口扫描程序是一个非常简便实用的工具它可以帮助系统管理员更好地管理系统与外界的交互。四、扫描工具1．SATAN的英文全称为SecurityAdministratorToolforAnalyzingNetworks，即安全管理员的网络分析工具。SATAN是一个分析网络的安全管理、测试与报告工具。它用来收集网络上主机的信息，可以识别并且自动报告与网络相关的安全问题。下面是SATAN扫描的一些系统漏洞和具体扫描的内容。FTPD脆弱性、NFS脆弱性、NIS脆弱性，NIS口令文件可被任何主机访问、RSH脆弱性、Sendmail服务器脆弱性、X服务器访问控制无效、借助TFTP对任意文件的访问、对写匿名FTP根目录可进行写操作。．2.网络安全扫描器（NSS）NSS，即网络安全扫描器，是一个非常隐蔽的扫描器它运行速度非常快。如果用流行的搜索程序搜索它，所能发现的入口不超过20个。这并非意味着NSS使用不广泛，而是意味着多数有该扫描器的FTP的站点处在暗处，或无法通过WWW搜索器找到它们。可以执行下列常规检查：（l）Sendmail；（2）匿名FTP；（3）NFS出口；（4）TFTP；（5）Hosts.equiv；（6）Xhost。．3.超级优化TCP端口检测程序（Strobe）超级优化TCP端口检测程序Strobe是一个TCP端口扫描器，能快速地识别指定机器上正运行什么服务，用于扫描网络漏洞。它可以记录指定机器的所有开放端口。Strobe运行速度快，其作者声称在适当的时间内，便可扫描整个一个小国家的机器。Strobe的主要特点是，它能快速识别指定机器上正在运行什么服务。Strobe的主要不足是这类信息很有限，一次Strobe攻击充其量可以提供给&入侵者&一个粗略的指南，告诉什么服务可以被攻击。五、防范端口扫描的方法：1.关闭闲置和有潜在危险的端口。2.检查各端口，有端口扫描的症状是，立刻屏蔽该端口。3.4口令安全通过口令进行攻击是多数黑客常用的方法。攻击者首先是寻找系统是否存在没有口令的户头，其次是试探系统是否有容易猜出的口令，然后用大量的词来尝试，看是否可以登录。而存放口令的文件往往是攻击者首先寻找的目标。使用口令破译者一类的工具，可以得到加密口令的明文。作为系统管理员，应该定期检查系统是否存在无口令的用户，其次应定期运行口令破译程序以检查系统中是否存在弱口令，这些措施可以显著地减少系统面临的通过口令入侵的威胁。另外，系统管理员应保护好自己的口令，并要求用户定期更换自己的口令。3.4.1口令破解过程一般有两种通用的做法:一是从存放许多常用的口令的数据库中,逐一地取出口令进行尝试;另一种做法是设法偷走系统的口令文件,如:E-mail欺骗，然后用口令破解工具破译这些经过加密的命令。具体如下：1.在输入口令时被人偷窃2.被口令破解程序破解3.被网络分析仪或其他工具窃听4.误入的特洛伊木马陷阱使口令被窃取要进行成功的大型口令文件的破解活动，机器至少应该具备66MHz主频和32MB内存（或更高）。采用分布式破解法（DistributedCracking）破解口令。分布式破解法就是入侵者用独立的几个进程，并行地执行破解工作，其实现有几种方法，其中之一就是把口令文件分解成几块，在各自独立的机器上分别破解这几块文件。通过这种方法，破解工作被分散到不同工作站上进行，花费的时间和资源就少了。3.4.2口令破解器一、概述口令破解器是一个程序，它能将口令解译出来，或者让口令保护失效。口令破解器一般并不是真正的去解码，因为事实上很多加密算法是不可逆的。也就是说，通过被加密的数据和加密算法，不可能从它们身上反解出原来为加密的数据。其实大多数口令破解器是通过尝试一个一个的单词，用知道的加密这些单词，直到发现一个单词经过加密后的结果和要解密的数据一样，就认为这个单词就是我的密码了。字表被送到加密进程加密，通常是一次加密一个单词。加密过程中使用了各种规则，每加密一个单词，就把它与目标口令（同样是加密的）对比，如果不匹配，就开始处理下一个单词。有些&口令入侵者&执行过程与此不同，它们取出整个字表，应用一条规则进行加密，从而生成下一个字表，这个字表再加密，再与目标口令匹配。这两种方法没有实质性的区别，只是第二种方法可能更快些。最终如果有一个单词与目标口令匹配，则认为口令被破解，相应的明码正文单词被存入文件。对于那种需要一个口令或注册码才能安装软件的情况，口令破解器会显得更为简单。软件在安装过程中通常需要你输入一个CD-Key，如果这个CD-Key是正确的，那么它就开始安装。如果是非法的，它就退出安装。通常有两种方法可以使这种方式失效。1.修改安装程序。2.算法尝试。二、口令破解器的组成1.候选口令产生器它的作用是产生认为可能是密码的单词。一种是从一个字典里读取一个单词。另一种是用枚举法来产生这样的单词。通常是从一个字母开始，一直增加，直到破解出密码为止。2.口令加密它就是用一般的加密算法对从口令候选器送来的单词进行加密。3.口令比较它就是将从口令加密里出来的密文和姚解密的密文进行比较。3.4.3口令破解实例一、注册码破解二、WindowsXp登录口令破解3.4.4口令破解的防范安全的口令是那些很难猜测的口令。难猜测的原因是因为同时有大小写字符，不仅有字符，还有数字、标点符号、控制字符和空格，另外，还要容易记忆、至少有7到8个字符长和容易输入。不安全的口令往往是：任何名字，包括人名、软件名、计算机名甚至幻想中事物的名字，电话号码或者某种执照的号码，社会保障号，任何人的生日，其它很容易得到的关于自己的信息，一些常用的词，任何形式的计算机中的用户名，在英语字典或者外语字典中的词，地点名称或者一些名词，键盘上的一些词，任何形式的上述词再加上一些数字。保持口令的安全有以下几点建议：（l）不要将口令写下来。（2）不要将口令存于终端功能键或调制解调器的字符串存储器中。（3）不要选取显而易见的信息作口令。（4）不要让别人知道。（5）不要交替使用两个口令。（6）不要在不同系统上使用同一口令。（7）不要让人看见自己在输入口令。另外，我们针对不同的破解方法可以采用不同的防范措施。对于使用穷举法破解口令，我们可以使用账户入侵者封锁机制，简单地说，就是设置用户登录失败次数，如果用户在规定的次数内没有成功登录，其账号将会被锁定，而只有管理员才能解锁。对于窃取系统安全账户的问题，我们应该加强对各网络系统的安全账户文件管理，并选择一个好的安全密码。3.5特洛伊木马特洛伊木马程序并不是一种病毒，因为它不具有病毒的可传染性、自我复制能力等特性，但是特洛伊木马程序具有很大的破坏力和危害性。这一节里主要介绍特洛伊木马的基本概念、原理以及如何预防和清除特洛伊木马。&特洛伊木马&（trojanhorse）简称&木马&名称来源于希腊神话《木马屠城记》原则上只是一种远程管理技术但现在已成为黑客威胁网络安全的常用方法特点伪装成正常程序或隐藏在正常程序中并不具有复制自身能力的非正常功能程序一般通过网络非法传播，隐藏在用户计算机中多数随系统启动而自动启动，也有的加入到用户经常使用的程序组成一般由两个部份组成：一个是服务器程序，一个是控制器程序。采用服务器/客户机的方式运行，会在用户的系统上开一个后门以控制用户的系统或者破坏用户的系统和数据；3.5.1特洛伊木马及其工作原理一、特洛伊木马的定义所谓特洛伊木马是一个程序，它驻留在目标计算机中，在目标计算机启动时，它自动启动，然后再某一端口进行侦听。如果在端口收到数据，则对这些数据进行识别，然后再目标计算机上进行一些操作，比如窃取口令、复制或删除文件，或者重新启动计算机。作为木马，要符合三个条件：1.木马需要一种启动方式，一般在注册表启动组中。2.木马需要在内存中运行才能发昏揮作用。3.木马会占用一个端口。二、特洛伊木马的工作原理大多数特洛伊木马包括客户器和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马得服务器部分就在用户毫无知觉的情况下完成安装。三、特洛伊木马的表现及危害1.特洛伊木马具有捕获每一个用户屏幕、每一次击键事件的能力，这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射，甚至医疗记录、银行账户和信用卡、个人通信方面的信息。2.如果一个未经授权的用户掌握了远程控制宿主机器的能力，宿主机器就变成了强大的攻击武器。3.5.2特洛伊木马的特点及分类一、木马的特点1.木马的隐蔽性2.木马的顽固性3.木马的潜伏性4.具有自动运行性5.包含具有未公开并且可能产生危险后果的程序6.功能的特殊性二、木马的种类1.破坏性这种特洛伊木马的惟一功能是毁坏并且删除文件，这使它们非常简单，并且很容易被使用。2.密码发送性这种特洛伊木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。3.远程访问性这种特洛伊木马是现在使用最广泛的特洛伊木马。它可以访问其他用户的硬盘。4.键盘记录木马这种特洛伊木马是非常简单的。它们只做一种事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。5.DOS攻击木马一种类似木马的病毒叫邮件炸弹木马。6.代理木马黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的。7.FTP木马这种特洛伊木马将打开用户机器的端口21，使每一个人都有一个FTP客户端可以不用密码就连接到用户的机器，并且会有安全的上传和下载选项。8.程序杀手木马它的功能就是关闭对方机器上运行的这类程序。9.反弹端口型木马特洛伊木马病毒的中毒后果若电脑被安装了木马服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑，这时电脑就无安全可言了。典型的特洛伊木马中毒症状窃取别人在网络上的帐号和口令在用户合法的登录前伪造一登录现场提示用户输入帐号和口令然后将帐号和口令保存至一个文件中，显示登录错误，退出特洛伊木马程序。用户还以为自己输错了，再试一次时，已经是正常的登录了，用户也就不会有怀疑。其实，特洛伊木马已完成了任务，躲到一边去了。对系统进行全面破坏??3.5.3特洛伊木马的预防与清除一、检测木马的存在1、查看system.ini的文件2、查看win.ini文件3、查看启动组4、查看注册表5、其他方法二、删除木马1、通过木马的客户端程序删除2、手工删除3、工具删除三、木马的预防1.不要轻易运行来历不明和从网上下载的软件。2.不要随意打开邮件附件，保持警惕性。3.重新选择新的客户端软件。4.将资源管理器配置成始终显示扩展名5.尽量少用或不用共享文件夹6.运行反木马实时监控程序7.经常升级系统四、木马实例1、冰河2、广外女生
课件下载：
页数：150页
课件大小：0.43 MB
上传时间： 13:14:10
下载次数：
所需金币：0个
你可能感兴趣的，与“网络安全课件（3）黑客及其防范（上）”相关的内容
课件标题：
课件地址：
搜索范围:百度 本站
相关课件下载