五章黑客攻击及防御技术.pptVIP

第五章 黑客攻击及防御技术 第五章 黑客攻击及防御技术 本章要点 几种常见攻击的攻击原理 常见攻击手段的防御方式 第五章 黑客攻击及防御技术 5.1 拒绝服务攻击——简介 拒绝服务攻击（DoS）是一种破坏性的攻击方式，它主要针对网络上的各种服务器和设备，其特征是使得攻击目标无法正常工作。 拒绝服务攻击的类型 带宽消耗型: 耗尽攻击目标的带宽资源 系统资源消耗型：耗尽攻击目标的系统资源 异常导致性：利用软硬件实现上的编程缺陷，来导致攻击目标出现异常，从而拒绝提供正常服务 5.1 拒绝服务攻击实例——Smurf 5.1 Smurf攻击防御 针对早期未对异常分片进行处理的Linux 针对teardrop攻击的特点，可对接收到的分片数据包进行分析，通过计算数据包的片偏移量是否有误来对其进行检测。由于teardrop攻击主要利用早期linux内核中的缺陷，因此可通过安装系统补丁来进行防御。另外，还可以通过设置防火墙或路由器的过滤规则来丢弃此类病态的数据包。 加固操作系统：限制操作系统上运行的服务、及时部署操作系统与应用程序补丁。 使用防火墙：防火墙位可对特定的数据包进行阻挡。特别地，还可以使用针对DoS攻击的过滤算法，例如 “随机丢弃”和“SYN魔饼” 算法。 配置边界路由器：部分DoS和DDoS攻击利用了ICMP报文，因此可在边界路由器上将ICMP报文过滤掉。 采用负载均衡技术：将关键业务分布到多台服务器上，这样即便其中一台受到攻击，其他服务器仍然可以继续工作，以保证业务的连续性。 恶意软件（malware）是攻击者植入受害者系统的一段恶意代码，它们使得攻击者可以在受害者毫不知情的状况下控制对方的系统、网络以及数据。 恶意代码有很多种形式，常见的有：计算机病毒、蠕虫和特洛伊木马。 病毒的定义 计算机病毒是一段程序，它能够在计算机系统运行过程中，把自己精确地或者有修改地拷贝到其他程序内。 病毒的特性 感染性、潜伏性、可触发性、破坏性 感染对象1：引导扇区 这类病毒用其自身的全部或者部分代码代替正常的引导记录，并将正常的引导记录隐藏在磁盘的其他地方。 在染毒系统的引导过程中，由于病毒占据了引导程序的物理位置，因此控制权会从BIOS转交到病毒程序处。待病毒程序执行完毕后，它会将控制权交还给真正的引导区内容，使得这个带病毒的系统看似处于正常运行的状态。 此类病毒的例子有：“大麻”、“幽灵”、“磁盘杀手” …… 感染对象2：可执行文件 可执行文件是病毒的首要感染对象，既包括普通的应用程序，又包括操作系统中可独立执行的程序或程序模块。 多种感染技术：伴随式感染技术(如notepad)、覆盖式感染技术、插入式感染技术 …… 感染对象3：数据文件 虽然数据文件本身不能被执行，但是某些应用程序（比如Microsoft Office、AutoCAD等）能够执行嵌入在数据文件中的脚本。病毒的编写者正是利用这种特性，将病毒代码附着在数据文件中。 例如：宏病毒 病毒只能在本机内寻找感染对象。为了将自己传播到其它主机，病毒必须借助于其他介质。 可移动磁盘 电子邮件 下载 共享目录 蠕虫是一段可自我复制的代码，它通过网络进行传播，且不需要人为的干预。 一旦蠕虫占领某台计算机，一方面它会像病毒一样在系统内进行破坏活动；另一方面，它会以这台计算机为平台，继续检测网络上未被感染的计算机，然后将自身程序复制到其上。 特洛伊木马指那些表面上看起来有用，但暗地里执行非法操作的程序。一旦主机被植入木马，攻击者就可以随意控制受害者的主机，进行各种非法操作。 两个基本特性 隐藏性：木马会想方设法让自己看起来是一个正常的程序，从而躲避操作员和杀毒软件的检查 非授权性：木马会在目标系统上进行各种非法操作，如窃取口令、删除文件、植入病毒等 阶段一：传播木马 主要通过电子邮件和软件下载进行传播 为了迷惑用户，木马通常会对自己进行伪装，常见的伪装手段有： 修改程序图标。例如,将程序图标修改成bmp、txt等文件的图标。 伪装成正常的应用程序。 与其他程序捆绑在一起。 阶段二：运行木马 当用户运行木马或捆绑了木马的程序时，木马就会自动进行安装。 在运行过程中，木马程序会想尽一切办法隐藏自己。例如，在任务栏中隐藏自己。 阶段三：建立连接 木马是C/S结构的程序。一旦服务器端被运行，就会打开事先定义好的端口，等待客户端与其建立连接。 服务器位于局域网？ 通过IRC进行通信 服务器所在主机的IP是通过DHCP获得的？ 由于服务器在特定端口上侦听，那么客户端可以通过端口扫描来找到服务器端 服务器端通过电子邮件、FTP等方式告诉客户