电子商务安全《电子商务网站常见的攻击》课件.pptx

4.8.1IP欺骗技术4.8电子商务网站常见的攻击1.IP欺骗原理

4.8电子商务网站常见的攻击2.IP欺骗的防范（1）在外部路由器上制定相应数据包过滤策略，禁止源地址为内部网络地址的数据包进入外部路由器入口。外部路由器对进入局域网的数据包进行过滤，不允许拥有内部网络地址的外部数据包通过路由器进入内部局域网，这样就可以防止外部的攻击者伪装成内部主机。但这个方案可能会给远程移动用户的访问带来不便。（2）在防火墙上修改检查策略，使防火墙针对每一个数据分段的合法性都进行检查，但这会影响防火墙的工作效率。（3）使用数据包监控工具对通过外部网络接口的数据包进行检查。因为实际网络中的分段数据包并不是很多，一旦网络中出现这种数据包的记录，就预示着网络可能被攻击。

4.8电子商务网站常见的攻击2.IP欺骗的防范（4）采用好的设计方案。这可能是防止IP欺骗的最根本的办法。比如在网络中增加堡垒主机，用来对进入内部网络的所有数据包进行严格检查。对局域网进行划分，把容易受外部攻击的Web服务器、RAS服务器等与局域网内部的数据库服务器、文件服务器等放置在不同的子网。

4.8.2Sniffer技术4.8电子商务网站常见的攻击1.Sniffer的工作原理图4.32网卡处于PROMISC状态的计算机正在接收局域网上的数据

4.8电子商务网站常见的攻击2.Sniffer的防范要想知道如何防范Sniffer，必须对局域网上是否有Sniffer程序进行监测。（1）使用交换机分段。由于Sniffer只能窃听同一个物理网段上的数据包，所以当我们在局域网中更多地使用交换机来代替集线器时，Sniffer程序就不可能获得局域网上的所有数据包，其危害也就相对小得多。（2）加密。对局域网内传输的数据进行加密，尤其是重要的信息一定要以密文的形式进行传输。这样，入侵者即使可以通过Sniffer获得数据包，也只是一堆乱码。（3）入侵检测。使用诸如Tripwire之类的工具，生成文件系统的MD5“数据指纹”，及时发现被修改的系统文件。（4）使用软件进行监控。例如AntiSniffer软件可以监控当前网段上所有网卡的工作状态，并报告处于PROMISC状态的网卡。

4.8.3PortScanner技术4.8电子商务网站常见的攻击表4.1常用的Internet服务对应的端口说明服务/协议名称端门号说明WWW80万维网服务FTP21文件传输服务Telnet23远程登录服务Snmp161简单网络管理协议Smtp25简单邮件传输协议

4.8电子商务网站常见的攻击7.PortScanner的工作原理和功能最简单的端口扫描程序仅仅是检查一下目标主机在哪些端口可以建立TCP链接，如果可以建立链接，则说明目标主机开启了那个端口的服务。但是，完整的TCP链接会被目标主机检测到，并被记录到安全日志里面，被管理员发现。高明的端口扫描程序需要既能获得系统信息，又不会在系统中留下任何记录。这种扫描程序主要利用了TCP数据包头部的6个标志位建立一些不完整的TCP链接，从而骗过目标主机的检测，达到隐藏行踪的目的，常用的方法有TCPconnect()扫描、TCPSYN扫描、TCPFIN扫描。端口扫描程序可以自己编写，也可以使用现成的软件。比较有名的端口扫描器有Satan、Strobe、Xscan等。

4.8.4TorjanHorse攻击4.8电子商务网站常见的攻击1.TorjanHorse危害性木马攻击是黑客最常用的攻击方法，木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等，一台计算机一旦被一个功能强大的木马植入，攻击者就可以像操作自己的计算机一样控制这台计算机，远程监控这台计算机上的所有操作。网购木马、盗号木马、远程控制木马等新型流氓软件等仍然具有很高的感染量。

4.8电子商务网站常见的攻击2.TorjanHorse的发现和清除一旦特洛伊木马在WWW服务器上工作，它就会监视服务器上的所有行为，获得系统注册信息、服务器上正在进行的交易，甚至于查看服务器端的屏幕，这样系统管理员在服务器上的各种操作都一览无余，也就是说，中了木马程序的服务器对于入侵者来说是透明的，可见木马程序的危害是极大的。发现特洛伊木马的最好方法是：（1）扫描端口。（2）查看异常连接。（3）观察易潜伏木马程序的目录。（4）检查注册表。（5）使用杀毒软件扫描系统。（6）提高防范意识。

4.8.5DDoS技术4.8电子商务网站常见的攻击DDoS（DistributedDenialofService）源于DoS，即分布式拒绝服务攻击，是黑客利用多台机器同时攻击来达到妨碍正常使用者使用服务的目的。黑客预先入侵大量主机以后，在被害主机上安装DDoS攻击程序控制被害主机