[理学]安全培训DEMO2.ppt

二、黑客攻击 黑客的意图 黑客攻击的步骤 攻击方法 Hack守则 黑客的意图 表现自我 恶作剧 制造矛盾 窥探 商业间谍 报复 黑客攻击的步骤 步骤一：信息搜集 Ping, Telnet, Tracert, Nbtstat, SNMP, Whois, Finger等等协议命令，或SuperScan、流光等扫描工具。 获取目标系统的版本号、用户列表、运行的服务、网络结构等等信息 步骤二：安全漏洞探测与分析 自编程探测漏洞 使用公开的安全扫描工具。如Satan、流光等等 查找安全漏洞公告（80%的成功入侵是利用了已知的安全漏洞） 步骤三：实施攻击 窃取、删除、修改数据、摧毁系统。 放置后门程序或帐号，如：木马程序，检测程序等等。 步骤四：清除入侵痕迹 攻击方法 特洛伊木马 网络监听(Sniffer) 网络炸弹 扫描器 密码破解 Web攻击(CGI,ASP漏洞) 网络节点攻击 拒绝服务攻击 电子欺骗 病毒 社会工程学 特洛伊木马 木马程序一般隐藏在HTML，TXT，ZIP，图片等等文件中，当用户打开这些文件时，就会在系统上安装木马程序，黑客就可远程控制用户的系统。 特洛伊木马——基本概念 实质上是一个网络客户/服务(C/S)程序 客户端程序（控制端程序）：安装在黑客的机器上 服务器端程序（木马程序）：安装在被黑机器上 特洛伊木马——工作原理 特洛伊木马——分类 远程访问型 密码发送型 键盘记录型 毁坏型 FTP型 流行的木马：冰河木马，BO2000，SubSeven等 特洛伊木马——传播的隐蔽性 伪装成HTML，TXT，ZIP文件，通过Email传播 与其它可执行文件捆绑，供人下载 与图片捆绑 自我摧毁 特洛伊木马——冰河木马 国内黑客编写，中文界面 冰河2.2包含四个文件 G_server.exe, G_Client, Operate.ini, Readme.txt 冰河主要功能 远程获取目标计算机屏幕，模拟键盘、鼠标输入 记录各种口令：开机口令、屏保口令、共享口令等 获取系统信息 远程关机、开机，锁定鼠标，锁定系统热键等 远程文件操作：创建，上传，下载，复制，删除等 修改注册表 点对对通信：以聊天形式与被控制端进行在线交谈。 特洛伊木马——防治 千万要安装病毒防护程序和防火墙，并经常更新 永远不要轻易执行来历不明的软件或程序 永远不要轻易打开来历不明的邮件 永远不要因为对方是好朋友，就轻易执行他发过来的程序。 永远不要轻易从不知名站点上下载资料 一旦怀疑中招，马上用杀毒程序或专门的消除木马程序进行查杀，千万不要有侥幸心理。 网络监听（Sniffer） Sniffer又称网络嗅探器或窃听器，可窃听同网段上所有机器的所有通信信息。 Sniffer可以是软件，也可以是硬件。硬件Sniffer又称网络协议分析仪。 被动监听，很隐蔽，很难发现 网络监听工作原理——HUB HUB的工作模式 HUB在收到数据包时，会向所有的端口转发数据包。 网卡的工作模式 广播模式 接收广播包 组播模式 接收组播包 直接模式 只接收发给自己的包 混杂模式 接收所有的数据包 网卡平时工作在广播模式、组播模式、直接模式下 安装了Sniffer后网卡工作在混杂模式 网络监听工具 NetXray Windows 9x Sniffer Pro Windows 9x/NT/2000 Snifft Solaris、SGI、Linux Dsniffer Unix、Windows 网络监听内容 监听Ftp密码 监听Telnet密码 监听邮箱密码 监听WEB密码 监听其他信息 网络监听——防范 AntiSniffer 安装远程监控软件 （MS System Management Server) 网络炸弹 向目标主机发送大量的无用的数据，干扰目标主机的正常工作 网络炸弹——IGMP炸弹 攻击对象Windows 98 发送大量畸形的ICMP包，致使目标主机系统蓝屏或死机 攻击工具：IGMP Nuke OSR 网络炸弹——电子邮件炸弹 向目标主机发送源地址不详、数量巨大、容量庞大的垃圾邮件。 攻击后果 挤爆邮箱 耗尽带宽 攻击工具：KaBoom! 网络炸弹——防范 安装补丁或升级操作系统 安装防火墙 扫描器 定义 自动检远程或本地主机安全性弱点的程序。 工作原理 发送数据包到远程主机的TCP/IP不同的端口，并记录远程主机的应答信息，并加以分析。可以发现远程主机开放的TCP、UDP端口和运行的服务，以安全漏洞 扫描器的类型 端口扫描器 只扫描目标主机开放的端口和服务，以及与端口、服务有关信息。 漏洞扫描器 除扫描以外，还检查检查目标中可能包含的大量已知的漏洞 扫描工具 Internet Security Scanner Nmap 流光 扫描器——防范 关