黑客常用的系统攻击方法

null主要内容主要内容黑客概述 目标系统的探测方法 口令破解 网络监听 木马 拒绝服务攻击 缓冲区溢出2.1.1 黑客的由来2.1.1 黑客的由来2.1 黑客概述null黑客最早源自英文hacker，早期在美国的电脑界是带有褒义的。是指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但在今天的媒体报导中，黑客一词往往指那些“软件骇客”(software cracker)，被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人 翻译 阿房宫赋翻译下载德汉翻译pdf阿房宫赋翻译下载阿房宫赋翻译下载翻译理论.doc 成“骇客”。null1961年---麻省理工学院(MIT) 率先研制出“分时系统”，学生们第一次拥有了自己的电脑终端。不久后，MIT学生中出现了大批狂热的电脑迷，他们称自己为“黑客”(Hacker)，即“肢解者”和“捣毁者”，意味着他们要彻底“肢解”和“捣毁”大型主机的控制。null1969年---UNIX的崛起 60年代中期，起源于MIT的“黑客文化”开始弥散到美国其他校园，逐渐向商业渗透，黑客们进入或建立电脑公司。他们中最著名的有贝尔实验室的邓尼斯·里奇和肯·汤姆森，他俩在小型电脑PDP-11/20编写出UNIX操作系统和C语言，推动了工作站电脑和网络的成长。 MIT的理查德·斯德尔曼后来发起成立了自由软件基金会，成为国际自由软件运动的精神领袖。他们都是第二代“黑客”的代表人物。丹尼斯·利奇和肯·汤普生 丹尼斯·利奇和肯·汤普生 两人在贝尔公司工作，开发Unix 系统。 1999年4月27日，两人在白宫从美国总统克林顿手中接过沉甸甸的全美技术勋章。 null哈佛大学的一名本科生，MIT（麻省理工学院）的人工智能实验室的工作。 自由软件运动、GNU 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 、自由软件基金的创始人，打破软件是私有财产的概念。 号称十大老牌黑客1982年---自由软件的出现 MIT的理查德·斯德尔曼后来发起成立了自由软件基金会，成为国际自由软件运动的精神领袖。李纳斯 ·托瓦兹李纳斯 ·托瓦兹一个21岁的芬兰大学生，在学生宿舍里写了一个操作系统的内核--Linux1992年--LINUX的出现国内黑客历史国内黑客历史1996年－1998年：中国黑客的起源 计算机和网络还没有普及。 黑客大部分是从事科研和机械方面工作的人，有着扎实的技术。 代表组织：“绿色兵团”。 1998－2000年：中国黑客的成长 有更多人接触到计算机和网路。 他们一部分是从事计算机的工作者和网络爱好者，另一部分是在校学生。 代表组织：原“中国黑客联盟”。 2000年－：浮躁的欲望 技术水平不高。 主要是在校学生。 领导这一代的核心黑客还是那些第1代、第2代的前辈们。 代表组织： “红客联盟”、“中国鹰派”。 “头号电脑黑客”凯文•米特尼克“头号电脑黑客”凯文•米特尼克null1964年出生。3岁父母离异，导致性格内向、沉默寡言。 4岁玩游戏达到专家水平。 13岁喜欢上无线电活动，开始与世界各地爱好者联络。 编写的电脑程序简洁实用、倾倒教师。 中学时，使用学校的计算机闯入了其他学校的网络，因而不得不退学。 15岁闯入“北美空中防务指挥系统”主机，翻阅了美国所有的核弹头资料，令大人不可置信。 不久破译了美国“太平洋电话公司”某地的改户密码，随意更改用户的电话号码，并与中央联邦调查局的特工恶作剧。 被“电脑信息跟踪机”发现第一次被逮捕。 出狱后，又连续非法修改多家公司电脑的财务帐单。 1988年再次入狱，被判一年徒刑，成了世界上第一名“电脑网络少年犯” 。null1993年（29岁）打入联邦调查局的内部网，逃脱其设下的圈套。 1994年向圣地亚哥超级计算机中心发动攻击，该中心安全专家下村勉决心将其捉拿归案。 期间米特尼克还入侵了美国摩托罗拉、NOVELL、SUN公司及芬兰NOKIA公司的电脑系统，盗走各种程序和数据（价4亿美金）。 下村勉用“电子隐形化”技术跟踪，最后准确地从无线电话中找到行迹，并抄获其住处电脑。 1995年2月被送上法庭，“到底还是输了”。 2000年1月出狱，3年内被禁止使用电脑、手机及互联网。（材料引自《骇世黑客》余开亮张兵编） 凯文•米特尼克代表作：《欺骗的艺术》、《入侵的艺术》国内著名的黑客国内著名的黑客小榕：流光的作者 glacier：黄鑫，冰河的作者，安全焦点的核心人员 frankie：谢朝霞，安络的老总 xundi：张迅迪，安全焦点的创始人 yuange：袁仁广，中联绿盟的核心成员黑客的分类黑客的分类灰帽子破解者 破解已有系统 发现问题/漏洞 突破极限/禁制 展现自我 计算机 为人民服务 漏洞发现 - 袁哥等 软件破解 - 0 Day 工具提供 - Numega渴求自由黑客应该做的事情黑客应该做的事情写开放源码的软件 帮助测试并修改开放源码的软件 公布有用的信息 帮助维护基础设施的运转 为黑客文化本身服务 安全威胁发展趋势安全威胁发展趋势攻击复杂度与所需入侵知识关系图攻击复杂度与所需入侵知识关系图2.1.2 黑客攻击的动机2.1.2 黑客攻击的动机贪心 － 偷窃或者敲诈 恶作剧 – 无聊的计算机程序员 名声 – 显露出计算机经验与才智，以便证明他们的能力和获得名气 报复/宿怨 – 解雇、受批评或者被降级的雇员，或者其他任何认为 其被不公平地对待的人 无知/好奇 – 失误和破坏了信息还不知道破坏了什么 黑客道德 - 这是许多构成黑客人物的动机 仇恨 - 国家和民族原因 间谍 －政治和军事目的谍报工作 商业 －商业竞争，商业间谍2.1.3 黑客入侵攻击的一般过程 2.1.3 黑客入侵攻击的一般过程 确定攻击的目标。 收集被攻击对象的有关信息。 利用适当的工具进行扫描。 建立模拟环境，进行模拟攻击。 实施攻击。 清除痕迹。 2.2 目标系统的探测方法 2.2 目标系统的探测方法 目的：了解目标主机的信息：IP地址、开放的端口和服务程序等，从而获得系统有用的信息，发现网络系统的漏洞。 常用方法： 网络探测 【实验】whois 扫描器工具 【实验】Namp、X-Scan2.2.1 常用的网络探测方法2.2.1 常用的网络探测方法入侵者在入侵之前都会想方设法搜集尽可能多的信息，被入侵者掌握的信息越多，他们发现的漏洞就越多，就越容易侵入网络。一般来说，信息搜集是网络入侵花费时间最多的一个阶段。 那么，在浩瀚的网络海洋中，如何搜集我们感兴趣的信息呢？一般来说，入侵者往往从如下几方面采取措施： 网站注册信息、网管资料、共享资料、端口信息、FTP资源、常见漏洞、弱口令、其它信息。 其中，网络结构探测是最基本的，也是入侵者首先要做的工作。探测网络的工具一般称为Whois查询。nullnullnull网站注册信息查询 网站面向全球，IP地址是唯一的。而IP地址是由全球统一管理。可以通过查询有关机构而获得IP地址所对应的物理位置。比如通过网站http://ip.loveroot.com/就可以得到网站的大致位置。 而一些商业网站需要在国家工商局登记，在网站的下方会有红盾标志，单击该标志可以获得登记的基本信息。 网站在发布到因特网上之前，需要向有关机构申请域名。而域名信息是公开的，它可以透漏很多敏感信息。几个网站比如：http://www.cnnic.com.cn、http://www.net.cn都可以获得网站的注册信息。null通过ip.loveroot.com获得地理位置 通过ip.loveroot.com获得地理位置 通过www.net.cn获得域名信息 通过www.net.cn获得域名信息 nullnull单击新浪网站的红盾标志获得注册信息 单击新浪网站的红盾标志获得注册信息 null结构探测 若要对一个网站入侵，必须了解目标网络的基本结构。探测网络结构是一个较为复杂的工作。在Linux下，可以采用chepos等工具。Windows下的工具有VisualRout。在网站http://www.linkwan.com/vr/中也提供部分功能。 另外，trcert命令提供路由跟踪的功能，可以获得本地到达目标主机所经过的网络设备。通过www.linkwan/vr获得网站结构 通过www.linkwan/vr获得网站结构 tracert tracert 2.2.2 扫描器概述利用网络扫描工具对攻击目标进行大范围的扫描是获得攻击目标信息的最佳途径之一。因此，此种目标系统探测方式也最常见。 我们常常把这类工具称为扫描器。它能够自动完成探测扫描任务，可以对目标网络信息自动搜索、整理甚至分析。扫描器也是网络管理员维护网络安全的工具。2.2.2 扫描器概述网络安全扫描技术在网络安全行业中扮演的角色网络安全扫描技术在网络安全行业中扮演的角色扫描软件是入侵者分析将被入侵系统的必备工具 扫描软件是系统管理员掌握系统安全状况的必备工具 扫描软件是网络安全工程师修复系统漏洞的主要工具 扫描软件在网络安全的家族中可以说是扮演着医生的角色 网络安全扫描技术分类网络安全扫描技术分类一般来说，需要搜集什么信息，就需要采取什么扫描器。常见的有：共享资源扫描器、漏洞扫描器、弱口令扫描器、FTP扫描器、端口扫描器等。 一般的端口扫描器 功能强大的特殊端口扫描器 其他系统敏感信息的扫描器端口扫描器预备知识端口扫描器预备知识OSI模型和TCP/IP协议栈nullIP数据报格式nullTCP数据报格式nullTCP数据报格式nullURG：紧急指针段有效。如果发送方的数据指定为紧急的，接收程序应该尽可能快的通知紧急数据到达。当发现紧急数据时，接收方的TCP应该通知与数据相关的应用程序进入紧急方式。URG和紧急指针共同完成紧急数据的处理。URG=1，表示有紧急数据发送，紧急指针指明紧急数据的多少。 ACK：确认段有效。ACK=1，表示确认号合法。ACK=0，表示TCP报文段中的不包含确认信息，确认号字段可以省略。 PSH：本报文段请求一次推进。PSH=1,表示接收方收到本报文段后就立即交给应用程序，而不必等到缓冲区满。 RST：重置连接。用于复位。由于主机崩溃或其它原因造成的错误连接。或者拒绝非法的报文段或拒绝连接请求。 SYN：同步序列号。用于建立连接。 FIN：发送方已经到达自己字节流的结尾。用于释放连接。表明发送方已经没有数据可以发送了。TCP协议的三次“握手”（建立连接） TCP协议的三次“握手”（建立连接） TCP协议的三次“握手”（建立连接） TCP协议的三次“握手”（建立连接） TCP协议的四次“挥手” （释放连接）TCP协议的四次“挥手” （释放连接）需要断开连接的时候，TCP也需要互相确认才可以断开连接，四次交互过程如图所示。TCP协议的四次“挥手” （释放连接）TCP协议的四次“挥手” （释放连接）2.2.3 端口扫描器演示实验： 端口扫描器Nmap 2.2.3 端口扫描器演示实验： 端口扫描器Nmap Nmap简介 Nmap支持的四种最基本的扫描方式： （1）Ping扫描（-sP参数）。 （2）TCP connect()端口扫描（-sT参数）。 （3）TCP同步（SYN）端口扫描（-sS参数）。 （4）UDP端口扫描（-sU参数）。 其他扫描方式： （1）FIN扫描（-sF）。 （2）圣诞树扫描（-sX）。 （3）空扫描（-sN）。null端口状态 Open：端口开放，处于监听状态。 Filtered：防火墙、包过滤或者其他网络安全软件掩盖了这个端口，禁止探测。 Unfiltered：端口关闭，并且没有防火墙、包过滤或者其他网络安全软件隔离端口探测。null端口扫描器实现细节 当一个SYN或者FIN数据包到达一个关闭的端口时，TCP丢弃数据包，同时发送一个RST数据包。 当一个SYN数据报到达一个监听端口时，正常的三次握手继续，回答SYN+ACK数据报。 当一个包含ACK的数据报到达一个监听端口时，数据报被丢弃，同时发送一个RST数据报。 当一个包含RST的数据报到达一个关闭或者监听的端口时，RST丢弃。 当一个FIN数据报到达一个监听端口时，数据报丢弃。“FIN行为”（关闭的端口返回RST，监听端口丢弃包）在URG和PSH标志位置位时同样发生。nullPing扫描（-sP参数） 可以知道有哪些主机正在运行。 向用户指定的网络内的IP地址发送ICMP数据包，如果主机做出响应，则表示主机正在运行。 但是有些主机设置防火墙挡住ICMP数据包，就不能 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 到。nullTCP connect()扫描（-sP参数） 最基本的TCP扫描方式。 connect()是一种系统调用，用于打开一个连接，如果目标端口有程序监听， connect()就会成功返回。nullTCP SYN 扫描（-sS参数） 半开扫描。 发出TCP的SYN数据包，等待回应。 如果对方返回SYN-ACK，则表示端口监听（开放）。如果返回RST，则表示端口端口关闭（不可达）。 如果对方返回SYN-ACK，则源主机马上发出RST（复位），断开连接。 此时，操作系统日志不记录，攻击者能够隐藏自己。 TCP SYN比TCP connect()耗时少。nullUDP 扫描（-sU参数） 确定UDP端口情况。 发出0字节的UDP数据包到目标端口，如果返回ICMP数据包，则表示端口关闭。nullFIN（-sF）、圣诞树（–sX）、Null（-sN）扫描 很多时候，对方有防护措施，SYN无法确定端口情况，可以采用几种特殊的扫描方式。 原因： 关闭端口对探测包返回RST，而打开端口则会忽略“有问题”的包。因此，当发送FIN包时，关闭端口会返回RST，开放端口没反应，这种行为称为“FIN行为“。 FIN扫描使用FIN数据包探测。 圣诞树扫描打开数据包的FIN、URG、PUSH标志null其他参数 -P：选择要进行扫描的端口范围 -O：获得目标主机操作系统类型 -g:设置扫描的源端口 -S：欺骗扫描，伪装源IP地址 -P0：在扫描之前，不必Ping主机 -PI：真正的Ping扫描主机是否在运行 -PT：只有目标网络/主机阻塞了Ping包，而仍旧允许用户对其进行扫描时，这个选项才有效。2.2.4 综合扫描器演示实验 X-scan2.2.4 综合扫描器演示实验 X-scan综合扫描器可以对端口、漏洞、服务、协议、系统密码等全面扫描。2.2.5 专用扫描器的介绍2.2.5 专用扫描器的介绍（1）CGI Scanner （2）Asp Scanner （3）从各个主要端口取得服务信息的Scanner （4）获取操作系统敏感信息的Scanner （5）数据库Scanner （6）远程控制系统扫描器 网络安全扫描软件的局限性网络安全扫描软件的局限性扫描器难以智能化，不能完全代替人工分析。扫描器和其它产品一样，只是一个工具，我们不能完全依赖他的工作，人的因素也是至关重要的。扫描器能够发挥的功能取决于人，人的工作是大量的同时是必不可少的。 扫描器依赖升级工作，才能确保长期的有效性 使用扫描器，必须考虑到有关法律的 规定 关于下班后关闭电源的规定党章中关于入党时间的规定公务员考核规定下载规定办法文件下载宁波关于闷顶的规定 和限制，不能滥用 2.3 口令破解2.3 口令破解【目的】通过密码破解工具的使用，了解账号安全性。掌握安全口令的设置原则，保护账号口令的安全。 【工具】SMBCrack、psexec.exe、LC5、 AOPR null当前网络设备基本上都是依靠“认证”来实现身份识别和安全防范的。在众多的认证方式中，基于“账号/密码”的认证最为常见、应用也最为广泛。 这种入侵方式中，首先要获得一台主机的账号和密码。然后入侵者才能通过认证实现远程控制。 获取口令的方法 　　“基于认证的入侵”即基于“用户名/密码”模式的认证。那么密码和账号的获取应该就是最关键的一步。采用SuperScan等可以获得弱口令或空口令，但并不是每台主机都存在这种情况。此时，入侵者就需要采用一些手段。 密码监听：通过嗅探器监听网络中的数据包，从而获得密码。 暴力破解：密码的终结者。获得密码只是时间问题。 社会学：采用人为方式，用欺骗或人际关系获得密码。 其它：木马程序等。nullAOPR破解Office文件nullLC破解口令nullSMBCrack破解口令利用破解得到的口令入侵系统利用破解得到的口令入侵系统口令攻击的条件设置口令攻击的条件设置点击“开始→运行”，输入regedit，然后按回车键进入注册表编辑器。 找到并单击HKEY_LOCAL_MACHINE\System\Current Control\SetServices\LanmanServer\Parameters。 如果子项中的AutoShareServer 和AutoShareWks DWORD值配置的数值为0，则将该值更改为1。 打开我的电脑\工具\文件夹选项\查看，取消“使用简单文件共享（推荐）”前面的对勾； 重新启动计算机。 启动计算机后，通过运行CMD进入命令行模式，然后运行net share，在共享列表中应该会查找到Admin$、C$和IPC$等默认共享的存在。 启动telnet、server服务。 telnet服务安装方法telnet服务安装方法从其他电脑注册表里面导出 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr 键项（右键单击 TlntSvr → 导出）. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr 键项（右键单击 TlntSvr → 导出）. 把这个注册表文件导入到自己的系统里面（双击即可导入）。 检查 C:\WINDOWS\system32\目录下有没有 tlntsvr.exe ，如果没有，也需要复制过来。 重启系统。 Cmd下，运行tlntsvr/service 启动telnet服务利用破解得到的口令入侵系统利用破解得到的口令入侵系统 防范措施 防范措施 对于暴力破解，保证包含密码的文件或数据包不被窃取当然是根本的办法。除此之外，一个足够强健的密码也足以使解密者无功而返。所以密码设置中要遵守一些基本策略： a、口令的选择：使用大写字母和小写字母、标点和数字的集合；不要使用单词；不要使用和管理员有关的姓名或数字，比如出生日期、名字缩写；不要使用可以轻易获得的号码。比如电话号码、身份证号、手机号码等。 b、口令的保存：不要把密码记录下来，如果写下来，放到安全的地方，加密最好。 c、口令的使用：输入口令不要让别人看到；在不同账号里使用不同的密码；定期改变口令。nulld.一次性口令 即使采用多种上述措施，对于机密口令仍然不能得到安全保证。更好的方法使采用特殊的口令机制，比如：一次性口令。 所谓的一次性口令就是一个口令仅使用一次，能有效地抵制重放攻击，这样窃取系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。一次性口令的主要思路是：在登录过程中加入不确定因素，使每次登录过程中的生成的口令不相同。 使用一次性口令的系统中，用户可以得到一个口令列表，每次登录使用完一个口令后就将它从列表中删除；用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息，这些信息再与随机数、系统时间等参数一起通过散列得到一个一次性口令。 null网络嗅探口令 Sniffer Iris Etherreal null2.4 网络监听2.4 网络监听【目的】使用网络监听软件，实现数据包的捕获，理解TCP/IP的协议结构。 【工具】Wireshark、Iris2.4.1 网络监听概述2.4.1 网络监听概述Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。 采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。null网络通信监视软件 网络故障诊断分析工具 网络性能优化、管理系统 嗅探器能够帮助我们迅速隔离和解决网络通讯问题、分析和优化网络性能和规划网络的发展。1、网卡工作原理1、网卡工作原理网卡先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。null网卡的工作模式 广播方式：能够接收网络中的广播信息。 组播方式：能够接收组播数据。 直接方式：只有目的网卡才能接收该数据。 混杂模式（promiscuous）：能够接收到一切通过它的数据。2、网络监听原理嗅探器的工作原理就是让网卡接收一切能接收的数据。 工作过程可分为3步： （1）把网卡置于混杂模式。 （2）捕获数据包。 （3）分析数据包2、网络监听原理共享式HUB连接网络下的Sniffer共享式HUB连接网络下的Sniffernull交换环境下的Sniffer交换环境下的Sniffernull网络监听原理以太网（HUB） FTP Login Mail普通用户A服务器C嗅探者B网络监听原理2.4.2 Sniffer演示实验2.4.2 Sniffer演示实验网络监视与统计 以表格或图形的方式提供实时的网络流量分析，主机表、流量距阵、应用响应时间、协议分布、历史流量统计、帧尺寸分布。 协议解码分析 在网络全部七层上可以对400多种协议进行解释。 实时专家分析系统 截获帧的同时建立网络对象数据库，并利用知识库检测网络异态。常用的Sniffer 常用的Sniffer （1）windows环境下 ：图形界面的SNIFFER netxray sniffer pro （2）UNIX环境下 ：UNUX环境下的sniffer可以说是百花齐放，他们都有一个好处就是发布源代码，当然也都是免费的 。 如sniffit，snoop, tcpdump, dsniff Ettercap(交换环境下)常用的Sniffer常用的Sniffer（1）Sniffer Pro （2）WireShark（06年夏天前称为Ethereal） （3）Iris （4）EffTech HTTP Sniffer （5）Net monitor演练演练分析TCP/IP建立连接的三次握手过程的数据包 【例1】嗅探FTP过程 【例2】嗅探HTTP登录邮箱的过程 【例3】嗅探POP邮箱密码的过程 扩展例子：嗅探即时通信（QQ、MSN等）的过程nullnullnullnullnull如何防止SNIFF 如何防止SNIFF 进行合理的网络分段。 用SSH(Secure  Shell )/SSL(Secure Socket Layer)建立加密连接，保证数据传输安全。 Sniffer往往是入侵系统后使用的，用来收集信息，因此防止系统被突破。 防止内部攻击。 AntiSniff 工具用于检测局域网中是否有机器处于混杂模式 （不是免费的）。2.5 木马（Trojan horse）2.5 木马（Trojan horse）木马是一种基于远程控制的黑客工具。 【目的】通过对木马配置的实验，理解与掌握木马传播与运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 【工具】冰河、灰鸽子 nullnullnull木马程序是依照黑客的命令来运作，主要目的是偷取文件、机密数据、个人隐私等行为。 木马和一般的远程控制软件的区别在于其隐蔽、非授权性。2.5.1 木马的工作原理2.5.1 木马的工作原理实际就是一个C/S模式的程序（里应外合），攻击者控制客户端，服务器端是木马。操作系统被植入木马的PC（server程序）TCP/IP协议端口控制木马的PC（client程序）操作系统TCP/IP协议端口控制端端口处于监听状态2.5.2 木马的分类2.5.2 木马的分类1.远程访问型：可以远程访问被攻击者的硬盘、进行屏幕监视等。 2.键盘记录型：记录被攻击者的键盘敲击并在log文件里查找密码。一般随着Windows的启动而启动。 3.密码发送型：找到隐藏密码，并发送到指定邮箱。 4.破坏型：破坏并删除文件。 5.代理型：为了掩盖入侵痕迹，利用“肉鸡”作为跳板，在“肉鸡”上种上代理木马。 6.FTP型：打开21端口。2.5.3 木马的工作过程2.5.3 木马的工作过程1.配置木马 木马伪装：在服务器端尽量伪装，从而不被发现。 信息反馈：给客户端发送信息的方式。 2.传播木马 E_Mail、软件下载、QQ、病毒等 3.启动木马 被动运行 主动复制自身 4.建立连接 服务器端安装完成 控制端和服务器端在线 5.远程控制 2.5.4 传统木马（冰河）演示2.5.4 传统木马（冰河）演示服务器端程序：G-server.exe 客户端程序：G-client.exe 进行服务器配置 远程控制 如何清除？ 【视频教学】观看视频教学录像——“冰河木马的配置”冰河木马的防御和清除冰河木马的防御和清除冰河木马在服务器端，会主动打开端口等待客户端连接。这样，只要扫描端口，或者安装防火墙就会发现可疑端口。 手动清除： 删除c:\Windows\System32下的Kernel32.exe和Sysexplr.exe 注册表HLM\software\microsoft\windows\CurrentVersion\Run下，删除键值为c:\windows\system32\kernel32.exe 注册表HLM\software\microsoft\windows\CurrentVersion\Runservice下，删除键值为c:\windows\system32\kernel32.exe 修改注册表HCR\txtfile\shell\open\command下的默认值，由中木马后的c:\windows\system32\ Sysexplr.exe %1改为正常情况下的c:\windows\system32\ notepad.exe %12.5.5 反弹端口木马（灰鸽子）演示2.5.5 反弹端口木马（灰鸽子）演示反弹端口类型的木马 简单地说，就是由木马的服务端主动连接客户端所在IP对应的电脑的80端口。相信没有哪个防火墙会拦截这样的连接（因为它们一般认为这是用户在浏览网页），所以反弹端口型木马可以穿墙。 服务器的配置 服务器的工作方式 远程控制 如何清除？ 2.5.6 木马文件的隐藏和伪装 2.5.6 木马文件的隐藏和伪装（1）文件的位置 木马的服务器位置一般都在C:\Windows或者C:\Windows\System32下，因为这下面一般都是Windows系统文件，用户不会随意删除其中的文件。 null（2）文件的属性 属性设置为隐藏。这种方式的隐藏在早期用的较多，但是较容易被发现。 （3）捆绑到其他文件上 将木马和某个可执行程序捆绑起来，变成一个程序。执行捆绑后的程序就等于执行了两个程序。 null（4）文件的名字 木马文件一般会仿制一些不易被人区别的文件名。例如冰河的Kernel32.exe和Windows的系统文件Kernl32.dll类似。而有些会采用 window.exe（比Windows.exe少一个s） msgsvc.exe（与系统基本进程msgsrv32.exe类似） （5）文件的扩展名 把可执行文件伪装成图片或文本文件，例如把文件名改为*.jpg.exe。一旦执行就会中木马。 或者把图标改成Windows的默认图片图标。 null（6）文件的图标 将服务器端程序的图标改为其他文件，例如HTML、EXE、JPG、ZIP等图标。木马运行时伪装方法木马运行时伪装方法（1）在任务栏里隐藏 写程序时，讲窗体的Visible和ShowInTaskBar属性设置为False （2）在任务管理器里隐藏 木马把自己设置为“系统服务”。 隐藏在Dll文件中。 CPL捆绑。CPL对应Windows控制面板中的选项。使用RunDll32.exe来启动。 例如rundll32.exe shell32.dll,Control_RunDLL 启动控制面板 （3）隐藏端口 2.5.7 木马的启动方式 2.5.7 木马的启动方式 木马播放完毕后，需要随系统自动运行，打开端口，才能够起到作用。 木马必须找到一个既安全又能在系统启动时自动运行的地方。 配置文件中启动 配置文件中启动 win.ini 和system.ini system.ini和win.ini这两个文件包含了操作系统的所有控制功能和应用程序的信息，system.ini管理计算机硬件，win.ini管理桌面和应用程序。所有驱动、字体、设置和参数会保存在.ini文件中，任何新程序都会被记录在.ini文件里。在Windows98系统下较常见。一些木马程序会把自己隐藏在系统启动和配置选项下。 启动组： 在Windows98中，会把win.ini和system.in放在启动组下。以窗口界面的形式调整 配置文件中启动 配置文件中启动 注册表 是 Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息。 其中包含了启动的程序，位置在HKLM\software\Microsoft\Windows\CurrentVersion\Run(RunOnce、RunOnceEx、RunService） HKCU\Software\Microsoft\Windows\CurrentVersion\Run 如果其中存在不熟悉的文件，可能就是木马，需要注意。 文件关联 木马和某种文件关联起来，一旦启动这种类型的文件，就会启动木马。例如冰河木马和TXT文件关联。配置文件中启动 配置文件中启动 捆绑方式启动 只用捆绑工具将木马和可执行程序捆绑成一个程序，执行捆绑后的程序，木马就会被激活。如果捆绑在系统文件上，系统启动时就会启动木马。 伪装在普通文件中 设置在超级链接中 2.5.8 木马的检测2.5.8 木马的检测查看端口 Netstat Fport TcpViewnull 检查注册表 检查DLL 检查配置文件 查看进程2.5.9 防御 2.5.9 防御 发现木马：检查系统文件、注册表、端口 不要轻易使用来历不明的软件 不熟悉的E-MAIL不打开 常用杀毒软件并及时升级 合理使用防火墙 在安装新的软件之前，请先备份注册表，在安装完软件以后，立即用杀毒软件查杀Windows文件夹和所安装的软件的所在文件夹。如果杀毒软件报告有病毒，这时请将它杀掉，杀毒完成后，重新启动计算机。2.6 拒绝服务攻击(DoS)2.6 拒绝服务攻击(DoS)2.6.1 概述 DoS是Denial of Service的简称，即拒绝服务。造成DoS的攻击行为被称为DoS攻击，拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其它用户提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性，这些资源可以是网络带宽、CPU时间、磁盘空间、打印机、甚至是系统管理员的时间。2.6.2 原理2.6.2 原理以消耗目标主机的可用资源为目的（例如：死亡之ping、SYN攻击、Land攻击、泪珠攻击等） 以消耗服务器链路的有效带宽为目的（例如：蠕虫） null攻击者 目标主机等待应答SYN：同步 SYN/ACK:同步/确认 ACK：确认null攻击者目标主机1n等待ACK应答不应答不应答重新发送nullDoS攻击过程： 1、攻击者向服务器发送大量带有虚假地址的请求 2、服务器发送回复信息后等待回传信息。 3、由于源地址为伪造的，服务器一直等不到会传信息，连接因超时而被释放。 4、攻击者继续传送新的请求。 5、在反复处理虚假信息的过程中，服务器来不及处理其它服务请求，从而产生拒绝服务。nullnull1、死亡之Ping 由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。 一般通过Ping命令就可以实现，比如目标主机IP地址为：211.84.21.10 发送Ping 211.84.21.10 －l 1000000000到目标主机，从而导致目标缓冲区溢出。 目前，大部分主机或路由器已经对这种攻击加以限制，基本上这种攻击已经不能凑效了。null2、泪滴攻击 这种攻击技术是利用了IP协议分段技术中的漏洞而实施的。 如图，IP报文的分片1的偏移等于0，长度等于15，分片2的偏移等于5，长度等于5，这意味着分片2是从分片1的中间位置开始的，并且分片2的长度小于重叠部分的长度，内核将无法正常处理这种情况，导致系统进入非稳定状态。 null3、Land攻击 在Land攻击中，一个特别打造的SYN包它的源地址和目标地址都被设置成某一个服务器地址，此举将导致接收服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。nullnull4、SYN Flood攻击 当目标计算机收到这样的IP欺骗请求后，就会使用一些资源来为新的连接提供服务，接着回复请求一个肯定答复（叫做SYN－ACK）。由于SYN－ACK是返回到一个伪装的地址，没有任何响应。于是目标计算机将继续设法发送SYN－ACK。一些系统都有缺省的回复次数和超时时间，只有回复一定的次量、或者超时时，占用的资源才会释放。例如Windows设置为可回复5次，每次等待时间加倍：则：3+6+12+24+48+96=189S。nullnull2.6.3 分布式拒绝服务 单一的DoS攻击采用的是一对一的方式。随着服务器的速度、内存容量、网络贷款等性能指标的提高，DoS攻击的难度逐渐加大。而分布式拒绝服务攻击（DDoS）应运而生。 DDoS是在DoS的基础上产生的，它利用分布式网络环境，用多台主机同时对服务器发动攻击。 null1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者各种客户主机目标系统2)攻击者进入其已经发现的最弱的客户主机之内(“肉鸡”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。攻击准备：安置代理代理程序null 3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。攻击者目标系统发起攻击：指令攻击的代理程序4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。虚假的连接请求null一旦服务器遭到DDoS攻击，往往会出现一些异常情况： 被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的数据包，源地址为假。 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 严重时会造成系统死机 nullDDoS（分布式拒绝服务）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式 一个比较完善的DDoS攻击体系分成三层： （1）攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。 （2）主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。 （3）代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，由它向受害者主机实际发起攻击。nullnullSmurf攻击 Smurf攻击是利用ICMP实施的一种攻击技术。ICMP的功能是与目标建立连接，并返回“回音请求”以查看目标主机是否为活动的，其中Ping命令就是实现这种功能的手段。 Smurf攻击的过程： 攻击者把攻击目标的地址伪造为源地址连续向一个或多个计算机网络的广播地址发送ICMP包。 所有计算机对接收到的ICMP包进行响应。 返回的数据包发送到攻击目标主机上，目标主机被大量的数据包所淹没，从而导致系统瘫痪等错误。null2.7 缓冲区溢出（buffer overflow)2.7 缓冲区溢出（buffer overflow)从一个对话框说起……null在众多网络安全漏洞中，缓冲区溢出是最常见的一种。在过去几年发生的系统攻击事件中，有80%以上的攻击是通过缓冲区溢出进行的。这种攻击可以使一个匿名的Internet用户有机会获得一台主机的全部或部分控制权，从而对企业网络安全构成严重威胁。 2.7.1 缓冲区溢出原理 缓冲区：是指内存中存放数据的地方，是程序运行时计算机内存中的一个连续的块，它保存了给定类型的数据。操作系统为分配内存空间时，大多采用的是动态内存分配机制（在程序运行时才决定给它们分配多少内存）。null 程序在内存中的存储情况： 代码区：存储程序的可执行代码和只读数据。 数据区：存储程序的初始化变量和静态分配的变量。 堆：存储动态变量（程序运行过程中动态分配的数据块）。 栈：存储函数调用所传递的参数、函数返回地址等。null例如：下面一段C程序 #include int main() { static int i=10; char name[8]; printf(“Please input your name:”); gets(name); printf(“your name is :%s!”,name); return 0; }null程序执行结果： 正常情况下，姓名是不大于8位字符的，因此输入name变量后没有问题。null程序向一个一定空间的缓冲区中复制了超过其长度的字符串，而程序自身却没有对其进行有效的合法性检验，从而导致程序运行失败、停机甚至系统重新启动。即缓冲区溢出。 例如上例：输入name变量为123456789012345。输入超出了缓冲区大小，就会产生错误。null缓冲区溢出情况下的堆栈：内存高地址内存低地址ESP栈底栈顶null2.7.2 针对缓冲区溢出漏洞的攻击 单单的缓冲区溢出，并不会产生安全问题。往缓冲区中写入数据造成溢出通常只会出现“Segmentation fault”这样的错误提示，而不能达到攻击系统的目的。为了达到攻击系统的目的，攻击者最常用的手段是通过制造缓冲区溢出使程序运行一个用户程序，再通过这段程序执行其他命令。如果该程序属于root并且具有suid权限的话，攻击者就获得了一个有root权限的shell，就可以对系统进行任意操作了。 null2.7.3 缓冲区溢出的保护 目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响：一是强制编写正确代码的方法。二是通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码。三是利用编译器的边界检查来实现缓冲区的保护。 关闭不必要的端口或服务，管理员应该知道自己的系统上安装了什么，并且哪些服务正在运行；一般软件的漏洞一公布，大的厂商就会及时提供补丁，用户应及时下载安装软件厂商的补丁；在防火墙上过滤特殊的流量等。 2.8 留后门和清脚印2.8 留后门和清脚印对于入侵者而言，永久的占有已经攻破的计算机也识非常困难的。为了长时间控制目标，入侵者会使用各种各样的办法，比如建立后门账号、添加系统漏洞、种植木马等。 在各种后门中，主要有三大类： 账号后门 漏洞后门 木马后门 为了防止管理员发现，当入侵者完成入侵任务后，除了要与远程主机断开连接、删除过渡文件外，还要尽可能清除所有入侵痕迹。2.8.1 留后门2.8.1 留后门1、账号后门 为了永久控制主机，入侵者一般会在首次入侵主机后，马上建立一个备用的管理员账号。 命令：net user hack 123456 /add net localgroup administrators hack /add 在目标主机上建立名为“hack”，密码为“123456”的后门账号，并且把它添加到“administrators”组。 但是这种未知账号，管理员稍微留意就会发现。因此入侵者一般采用一些工具把禁用的Guest账号改装成系统管理员权限。 2、漏洞后门 前面介绍了基于漏洞的入侵，黑客通过一些漏洞可以绕过认证毫不费力的远程控制目标主机。 事实上，有些黑客甚至通过制造漏洞来利用漏洞的缺陷远程控制主机。 比如，针对Windows2000所存在的Unicode漏洞，通过制造非法字符使该漏洞溢出，从而使入侵者可以遍历Web根目录所在的驱动器。找到cmd.exe后执行任意命令。那么，根据这一目的，入侵者控制目标后，把cmd.exe复制到目标主机的Web根目录下。并且把文件隐藏就可以了。null3、木马后门 木马功能强大，一些木马可以嵌入在Windows系统内部，通过木马连接，入侵者可以不经过认证直接控制系统。大部分木马在种植到目标主机以后，会通过一些方法进行自我隐藏，甚至自我复制。在某一木马被发现后，另一木马可作为后门继续工作。4、安全解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 4、安全解决方案针对入侵者制作的各种后门，管理员有时很难发现，但是，在工作中只要留意，还是能够避免这种情况发生。 1、针对后门账号，要经常检查管理工具中的用户信息，查看是否有可疑的新的账号。 2、定时更改guest账号的密码，即使已经被禁用。 3、针对漏洞账号，要定时更新网页，对于Web根目录中的文件，只存放有用的，注意可疑文件。 4、把文件夹选项设置为“显示所有文件”。 5、经常查看任务管理器中的进程。当系统出现异常，要监测是否增加了可疑的进程。2.8.2 清脚印2.8.2 清脚印在入侵者与远程主机或服务器建立连接或进行其他操作的同时，系统已经把入侵者的IP地址以及相关的操作事件都记录了下来。如果管理员认真的话，便会从这些日志文件中找到入侵者的入侵痕迹，从而获得入侵证据以及入侵者的IP地址。 Windows系统的日志放在计算机管理的“事件查看器”中，其中包括应用程序日志、安全日志和系统日志。 WWW和FTP日志一般位于系统盘下的system32\logfile，可以通过Internet服务管理器下的相应服务属性查看。nullnull为了避免被发现，入侵者在离开远程主机之前会尽量清除这些日志文件。 首先，入侵者会禁用日志记录服务。在“服务”中，选择“Event Log”，并且禁用，这样系统就不会记录日志了。 其次，入侵者也采用一些工具来自动清除日志。比较常用的有Elsave，这款工具可以方便的清除远程主机的事件日志，在本地使用就可以清除、保存远程主机/服务器上的事件日志。null Elsave的使用 命令格式：elsave [-s \\server] [-l log] [-F log][-C][-q] 说明： -s \\server 指定远程主机 -l log 指定日志类型，其中参数“application”为应用程序日志，参数“system”为系统日志，参数”security” 为安全日志。 -F file 指定保存日志文件的路径 -C 清除日志的操作，其中C为大写 -q 把错误信息写入日志 使用Elsave的清除日志： 步骤一：与远程主机建立IPC$连接。 步骤二：清除远程主机的应用程序日志。 步骤三：断开IPC$连接。安全解决方案安全解决方案1、经常备份日志。在系统的其他地方甚至是可信赖的网络上留下日志的备份，这就保证了日志不被破坏 2、严格设置权限。有些入侵者获得的仅仅是某个管理员账号，这样的账号也许没有修改日志的权限。