网络安全概述_04网络安全威胁.ppt

查询语句预期被写为 SELECT * FROM items WHERE owner = AND itemname = ; 但是如果攻击者输入name OR a=a ，SQL语句就会变成 SELECT * FROM items WHERE owner = wiley AND itemname = name OR a=a; 于是可以简化成 SELECT * FROM items; 这样攻击者就可以查询到不属于当前用户下的items 了，而是查询到所有用户的items 。 木马的发展（1） 第一代一般主要表现木马的欺骗性,比如在Unix系统上表现的是假Login诱骗、假su诱骗，在Windows上则是BO，Netspy等木马； 第二代木马，在隐藏、自启动和操纵服务器等技术上有了很大的发展，比如冰河、广外女生等； 木马的发展（2） 第三代木马在隐藏、自启动和数据传递技术上则有了根本性的进步，以前的木马主要靠UDP协议传输数据,但在第三代木马中出现了靠ICMP协议传递数据； 第四代木马在进程隐藏方面，则做了更大的改动——采用改写和替换系统文件的做法，修改操作系统内核,在UNIX内它伪装成系统守护进程,而在WINDOWS内它则伪装成DLL动态连接库,这样一来使木马几乎和操作系统结合在一起，从而使现有的杀毒软件几乎无能为力,极好地达到了隐藏的目的 木马的发展（3） 发展趋势 跨平台性 模块化设计 能够自我复制 即时通知 显然，smurf为了能工作，必须要找到攻击平台，这个平台就是：其路由器上启动了IP广播功能——允许smurf 发送一个伪造的ping信息包，然后将它传播到整个计算机网络中。另一方面，为防止系统成为smurf攻击的平台，要将所有路由器上IP的广播功能都禁止（一般来讲，IP广播功能并不需要）。但是，攻击者若从LAN内部发动一个smurf攻击，在这种情况下，禁止路由器上的IP 广播功能就没有用了。为了避免这样一个攻击，许多操作系统都提供了相应设置，防止计算机对IP广播请求做出响应。 挫败一个smurf 攻击的最简单方法就是，对边界路由器的回音应答(echo reply)信息包进行过滤，然后丢弃它们，使网络避免被淹没。 （2）使用DDoS检测工具 扫描系统漏洞是攻击者最常进行的攻击准备。目前市面上的一些网络入侵检测系统，可以杜绝攻击者的扫描行为。另外，一些扫描器工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。 对于DDoS攻击者来说，攻击互联网上的某个站点，如http://www.WWWW.com，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供http://www.WWW.com服务的： 7 8 9 0 1 3 4 6 对一个网站实施DDoS攻击，就要让这个网站中所有IP地址的机器都瘫掉。所以事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。 （2）占领傀儡机 黑客最感兴趣的是有下列情况的主机： · 链路状态好的主机 · 性能好的主机 · 安全管理水平差的主机 首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现网络上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了。 黑客在占领了一台傀儡机后，除了要进行留后门、擦脚印这些基本工作之外，还要把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。 （3）实际攻击 前面的准备做得好的话，实际攻击过程反而是比较简单的。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击。高明的攻击者还要一边攻击一边用各种手段来监视攻击的效果，以便需要的时候进行一些调整。简单些的办法就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。 发现木马的方法 系统的异常情况 打开文件，没有任何反应 查看打开的端口 检查注册表 查看进程 木马实施攻击的步骤 1.配置木马 木马伪装： 信息反馈： 2.传播木马 3.启动木马 4.建立连接 5.远程控制 3.2 计算机木马原理