第七章 网络安全性
莆田学院计算机教研室
2003年 5月
计算机网络技术基础
主要内容
? 网络安全问题
? 关于电脑黑客
? 黑客攻击技术
? 防火墙技术
? 入侵检测技术
? 数据加密技术
一、网络安全问题
网络安全概述
? 网络安全是一门涉及计算机科学、网络技术、通信技术、
密码技术、信息安全技术、应用数学、数论、信息论等
多种学科的综合性学科。
? 网络安全是指网络系统的硬件、软件及其系统中的数据
受到保护,不受偶然的或者恶意的原因而遭到破坏、更
改、泄露,系统连续可靠正常地运行,网络服务不中断。
? 网络安全从其本质上来讲就是网络上的信息安全。从广
义来说,凡是涉及到网络上信息的保密性、完整性、可
用性、真实性和可控性的相关技术和理论都是网络安全
的研究领域。
网络安全三大问题
?网络安全面临的主要威胁
黑客侵袭
黑客非法进入网络使用网络资源(获取账号和密
码 /获取网上传输的数据 /控制及破坏系统等)
计算机病毒
使网络不能正常工作,甚至瘫痪
拒绝服务攻击
用户在短时间内收到大量无用信息,攻击者并不
控制被攻击的电脑,只是使它失去正常工作能力。
网络安全不可掉以轻心
? 由于因特网本身的设计缺陷及其开放性,极易
受到各种攻击。据美国有关安全部门统计,
因特网上 98%的计算机受过黑客的攻击性分
析,50%的机器被黑客成功入侵。
? 不要把网络的安全看成某个计算机狂人的个
人行为或某个单位的利益得失,网络安全问
题可能直接影响到国家的政治利益、军事利
益和经济利益。
例:网络安全与政治
? 96年 8月 17日,美国司法部的网络服务器遭到黑客入侵,
并将, 美国司法部, 的主页改为, 美国不公正部,,
将司法部部长的照片换成了阿道夫 ·希特勒,将司法部徽
章换成了纳粹党徽,并加上一幅色情女郎的图片作为所
谓司法部部长的助手。此外还留下了很多攻击美国司法
政策的文字。
? 96年 9月 18日,黑客又光顾美国中央情报局的网络服务器,
将其主页由, 中央情报局, 改为, 中央愚蠢局, 。
? 96年 12月 29日,黑客侵入美国空军的全球网网址并将其
主页肆意改动,其中有关空军介绍、新闻发布等内容被
替换成一段简短的黄色录象,且声称美国政府所说的一
切都是谎言。迫使美国国防部一度关闭了其他 80多个军
方网址。
例:网络安全与军事
? 由于计算机病毒的传染性、潜伏性和巨大的破坏性,计算机病毒
作为一种新型的电子战武器已越来越受到世界各国军方的重视。
美国是计算机病毒研究较早的国家,并拨出专款进行研究更有效
的军用计算机病毒。台湾现在针对祖国大陆、针对我军的具体情
况大力发展信息作战武器,其中包括病毒。 1999年 8月,台湾
“国防部”召开了一次关于信息战的专门会议。出席的人员除了
台湾“国防部”的高级将领和所谓“国防部长”唐飞之外,还有
各个计算机软硬件厂商的高级代表、计算机专家、病毒的设计制
造者,包括 CIH病毒编制者陈英豪。会议的中心议题就是怎样利
用台湾强大的计算机硬件和软件优势,对祖国大陆实施信息战。
具体的步骤包括向中国大陆出口的计算机产品注入藏有病毒的芯
片,必要时通过遥控激活等。另据台湾, 自由时报, 报道,台湾 "
国防部 "通信电子资讯局局长林勤经表示,已经对中国大陆搞了上
千种病毒对付中国大陆的信息基础设施。所有这些事实都说明,
计算机病毒战已经从想象进入了现实。计算机病毒战已成为现代
电子信息战的一个新的、重要的课题。
例:网络安全与经济
? 94年末,俄罗斯黑客弗拉基米尔 ·利文与其伙伴从圣彼得堡
的一家小软件公司的联网计算机上,向美国 CITYBANK银行
发动了一连串攻击,通过电子转帐方式,从 CITYBANK银行
在纽约的计算机主机里窃取 1100万美元。
? 近年来,计算机犯罪案件也急剧上升,计算机犯罪已经成为
普遍的国际性问题。据美国联邦调查局的报告,计算机犯罪
是商业犯罪中最大的犯罪类型之一,每笔犯罪的平均金额为
45000美元,每年计算机犯罪造成的经济损失高达 50亿美元。
? 计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性
等特点。通常计算机罪犯很难留下犯罪证据,这大大刺激了
计算机高技术犯罪案件的发生。
与一切危害网络安全的非法行为作斗争
? 1994年 2月 18日颁发, 中华人民共和国计算机信息系
统安全保护条例, 。其第七条规定:, 任何组织或
个人,不得利用计算机信息系统从事危害国家利益、
集体利益和公民合法利益的活动,不得危害计算机
信息系统的安全。, 第二十三条规定:, 故意输入
计算机病毒以及其他有害数据危害计算机信息系统
安全的,或者未经许可出售计算机信息系统安全专
用产品的,由公安机关处以警告或者对个人处以
5000元以下的罚款、对单位处以 15000元以下的罚款;
有违法所得的,除予以没收外,可以处以违法所得 1
至 3倍的罚款。,
更为完善的地方性法规
? 1998年 8月 l日, 重庆市计算机信息系统安全
保护条例,
? 1998年 12月 15日, 安徽省计算机信息系统安
全保护办法,
? 2003年 3月 31日, 广东省计算机信息系统安
全保护管理规定,
? ……
例:安徽省规定
? 第十八条 任何单位和个人不得从事下列活动:
(一)制作、故意传播计算机病毒破坏性程序和其他有害数
据;
(二)未经使用单位允许,进入计算机信息系统或者使用计
算机信息系统资源;
(三)未经使用单位允许,对计算机信息系统功能进行删除、
修改或者增加;
(四)未经使用单位允许,对计算机信息系统中存储、处理
或者传输的数据和应用程序进行删除、修改或者增加。
? 第二十八条 违反第本办法十八条规定的,处以警告,有违
法所得的,没收违法所得,以个人处以 1000元至 5000元的罚
款,对单位处以 3000元至 15000元罚款。
二、关于电脑黑客
关于电脑黑客
? 计算机系统的隐身入侵者和攻击者
古典黑客
所谓, 真正的程序员, —以编写软件与玩弄
各种程序设计技巧为乐,创造并推动计算机
工业的发展。
现代黑客
黑客 (hacker),热衷于编程查找并公布系统漏洞
骇客 (cracker),通过利用系统漏洞进行网络攻
击来表现自我
黑客行为准则(一)
? 世界范围内比较公认的黑客行为准则
Never damage any system.This will only get you
into trouble,不恶意破坏任何系统。
Never alter any of the system files,except for those
needed to insure that you are not detected,and
those to insure that you have access into the
computer in the future,
不修改任何系统文件,除非 …
Do not share any information about your hacking
projects with anyone but those you’d trust.
不要将破解的任何信息与人分享,除非 …
黑客行为准则(二)
Never use anyone’s real name or real phone
number when posting on a BBS,
不要在 BBS上用真名或真实的电话号码发帖。
DO NOT hack government computers.
切勿入侵政府机构的计算机。
To become a real hacker,you have to hack,you
can’t just sit around reading text files and hanging
out on BBS,
要成为真正的黑客,不能纸上谈兵 …
真正的黑客
? 只会使用现成工具攻击网络的是所谓, script
kids”(草客)。
? 真正的黑客必须对网络操作系统有深入的研
究(内核工作原理等)、熟悉各种网络协议
( TCP/IP等)、能熟悉编写程序、善于分析
和发现新的漏洞。
? 黑客真正可怕之处在于他对新知识的渴望与
不懈的创造力。
三、黑客攻击技术
攻击普通用户
? 计算机病毒(破坏系统)
? 特洛伊木马(远程控制)
? 网络炸弹(影响工作)
拒绝服务
电子邮件炸弹(邮件垃圾)
QICQ账户窃取与秘密监听
攻击网站和网络系统
? 踩点
目标探测(搜集目标有关情况)
? 扫描
敲击墙体找到所有门窗(漏洞)
? 攻击
破解管理员密码控制系统
利用漏洞攻击
拒绝服务攻击
欺骗攻击(利用主机间的信任关系)
? 善后
清除系统日记
留下秘密后门
攻击前的侦察工作:踩点
? 踩点
通过因特网和其他技术搜集与目标相关的各
种信息(如搜索引擎,BBS、专业网站等),
甚至包括管理员的姓名、出生日期、电话号
码等。因为有些网站管理员使用这些信息作
为系统密码。
试探性攻击:扫描
? 扫描
扫描的目的相当于在一座建筑物上寻找得以
非法进入的, 门窗, 。所用的工具通常有端
口扫描器和漏洞扫描器。前者主要用来扫描
目标主机开放的服务端口及有关的系统信息。
后者可以直接检测出系统存在的安全漏洞,
但对于重视安全的网站,未必有效。
扫描工具实例,SuperScan
真正的较量:发起攻击 (1)
? 密码破解
许多人喜欢使用:自己或家人姓名、出生日
期、电话号码、常用英文单词、纯数字、短
密码。容易被熟人或暴力猜解机破解出来。
安全密码:字母、数字和特殊符号交叉组合,
至少 8位。
远程密码破解工具:
流光 (Fluxay) V4.71 For WinNT/2000/XP
流光的主界面
真正的较量:发起攻击 (2)
? 网络监听 (sniffer,嗅探 )
普通情况下,网络上的机器都可以, 听到, 通
过的流量,但网卡只接收和自己地址相符的信
息包。网络监听程序即 sniffer把网卡设置为
,混杂, 模式,此时网卡就可以接收传输在
网络上的每一个信息包。黑客可以用它截获
密码等。
著名的 sniffer软件有 sniffit和 NetXRay。
真正的较量:发起攻击 (3)
? 欺骗攻击
?IP欺骗
利用主机间的信任关系伪装成被信任主机
(先要使该主机瘫痪)
?Web欺骗
通过假链接使用户访问假网站,从而获取用户
输入的账号和密码、信用卡信息等。
例,www.sina.com.cn@163.com
真正的较量:发起攻击 (4)
? 利用系统缺陷进行攻击
? 利用缓冲区溢出技术进行攻击
当程序员用不安全的语言( C/C++等)编写网
络应用程序或编程考虑不周是,会出现因字
符串越界而产生的, 缓冲区溢出, 问题。黑
客可以利用它来获得管理员权限。
? 利用系统或应用程序本身的漏洞进行攻击,
如 IIS,SQL,ASP,PHP等的漏洞。
真正的较量:发起攻击 (5)
?,拒绝服务, ( DoS,Donial of Service)
一种简单的破坏性攻击,为真正的黑客高手
所不屑。其原理是利用 TCP/IP协议中的某些
弱点或系统存在的某些漏洞,发起大规模攻
击,使目标主机瘫痪。
目前更恶劣的是所谓 DDoS(分布式拒绝服务 )。
攻击者在客户端通过非法入侵,控制了大量
的系统主机作为攻击源,使它们同时向攻击
目标发起拒绝服务攻击。
攻击实例:木马技术
? 历史上的, 特洛伊木马,
在古希腊人同特洛伊人战争期间,希腊人佯装撤退并
留下一只内部藏有战士的巨大木马,特洛伊人大意中
计,将木马拖入城中。夜晚木马中的希腊战士出来与
城外的战士里应外合 …
? 计算机中的, 特洛伊木马,
在计算机中,有一类特殊的程序,黑客通过它来远
程控制别人的计算机,这类程序称为特洛伊木马程
序, 。
特洛伊木马程序
? 一般分为服务器端程序和客户端程序两部分。服务
器端程序是黑客们秘密而巧妙地传到目标机器上的
部分,客户端则在黑客机上运行,是用来控制目标
机器的部分。
? 木马程序具有隐蔽性强、功能特殊等特点。它与 PC
Anywhere等远程控制软件不同。而且往往没有利
用系统和软件的任何漏洞或 bug,也没有利用任何
微软未公开的内部 API,所以连普通的防火墙和代
理服务器也难以有效抵挡它。
国产木马,冰河 2.2
此程序运行于
对方机上 (文件
名可随意 )
然后在黑客
机上运行此
程序
使用说明
Readme.txt文件内容 (1)
该软件主要用于远程监控,具体功能包括,
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠
标输入,即在同
步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反
映在被控端屏幕 (局域网适用 );
2.记录各种口令信息:包括开机口令、屏保口令、各种共
享资源口令及绝大多数在对话框中出现过的口令信息,且 1.2以
上的版本中允许用户对该功能自
行扩充,2.0以上版本还同时提供了击键记录功能;
3.获取系统信息:包括计算机名、注册公司、当前用户、
系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘
信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定
鼠标、锁定系统热键及锁定注册表等多项功能限制;
Readme.txt文件内容 (2)
5.远程文件操作:包括创建、上传、下载、复制、删除文
件或目录、文件压缩、快速浏览文本文件、远程打开文件(提
供了四中不同的打开方式 ——正常方式、最大化、最小化和隐
藏方式)等多项文件操作功能;
6.注册表操作:包括对主键的浏览、增删、复制、重命名
和对键值的读写等所有注册表操作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
看看它的几个, 功能模块,
"查看屏幕 ",查看被监控端屏幕 (相当于命令控制台中
的 '控制类命令 \捕获屏幕 \查看屏幕 ');
"屏幕控制 ",远程模拟鼠标及键盘输入 (相当于命令控
制台中的 '控制类命令 \捕获屏幕 \屏幕控制 ')。其余
同 "查看屏幕 ";
2003年 6月 10日 21:41
使用, 冰河, 2.2搜索校内 172.16.128网段
搜索结果,发现目标 ?
搜索结束后的, 冰河, 主窗口,
看看目标机上有些什么东东 …
这是另一个目标的情况 …
这是使用, 屏幕控制, 看到的画面 …
四、防火墙技术
防火墙( Firewall)
? a,概述
防火墙是一种用于保护一个网络不受来自其他网络
攻击的安全技术。它是内部网与外部网之间的一个
中介系统,它通过监测、限制、修改跨越防火墙的
数据流,尽可能地对屏蔽内部网络的结构、信息和
运行情况,拒绝未经授权的非法用户访问或存取内
部网络中的敏感数据,保护其不被偷窃或破坏,同
时允许合法用户不受妨碍地访问网络资源。
其他
? 除了安装在两个网络之间的防火墙,还有一种安装
在主机上的所谓个人防火墙(如, 天网个人版防火
墙)。
? 需要说明的是,防火墙不能防范不通过它的连接,
如防火墙内的入侵者,或者站点允许对防火墙后面
的内部系统进行拨号访问。所以防火墙只用于防止
来自外部网络非法用户的恶意攻击,而且是一种被
动的防御技术。要进一步提高网络的安全性,重要
网络还应配备入侵检测系统( IDS,Intrusion
Detection System ),其作用是对潜在的入侵行为作
出记录,并对攻击后果进行预测。
分类
? b,分类
防火墙从结构上看,可以是专用的硬件设备
(硬件防火墙),也可以是运行于某个计算
机系统上的软件系统(软件防火墙),还可
以集成在路由器中。
从工作原理来看,防火墙可以分为:
- 包过滤防火墙
- 应用级网关(代理服务器)
- 状态检测防火墙
包过滤防火墙
? 通过检查数据流中每一个数据包的源地址、目的地
址、所用端口号、协议状态,按网络管理员设定的
过滤规则确定是否允许该数据包通过。
优点:速度快,简单低廉,广泛应用于路由器上。
缺点:配置好包过滤规则比较困难,易出现漏洞。
单纯的包过滤防火墙容易被黑客用, IP欺骗攻击,
等攻破( IP欺骗攻击:通过向防火墙发出一系列含
有一串顺序的 IP地址的信息包,一旦有一个包通过
了防火墙,就可用这个 IP地址来伪装成被信任的主
机建立应用连接)。
应用级网关(代理服务器)
? 代理服务器象一堵墙一样挡在内部网络和外
部网络之间,从外部只能看到该代理服务器
而无法获知任何内部资源。
? 优点;比单一的包过滤防火墙可靠,且可以
详细记录所有访问状态信息。
? 缺点:执行速度慢,安装代理服务器的操作
系统本身易遭到攻击。
状态检测防火墙
? 这种防火墙由一个, 监测引擎, 截获数据包
并抽取有关信息按有关安全规定进行检查和
分析,作出接纳、拒绝、身份认证、报警等
反应。一旦某个访问违反安全规定,就会拒
绝该访问。目前已在国内外得到广泛应用。
? 优点:非常坚固
? 缺点:会降低网络的速度,且配置比较复杂。
五、入侵检测技术
IDS概述
?IDS( Intrusion Detection System,入侵检测系
统 )是一种能对潜在的入侵行为作出记录和预
测的智能化、自动化的软件或硬件。如对网
络中传输的数据包进行分析,如果在不同的
端口检测到大量的 TCP连接请求,就可以发现
TCP端口扫描的攻击企图。
?介绍一种简单的 IDS工具软件:
BlackICE(黑冰)
黑冰的安装
莆田学院计算机教研室
2003年 5月
计算机网络技术基础
主要内容
? 网络安全问题
? 关于电脑黑客
? 黑客攻击技术
? 防火墙技术
? 入侵检测技术
? 数据加密技术
一、网络安全问题
网络安全概述
? 网络安全是一门涉及计算机科学、网络技术、通信技术、
密码技术、信息安全技术、应用数学、数论、信息论等
多种学科的综合性学科。
? 网络安全是指网络系统的硬件、软件及其系统中的数据
受到保护,不受偶然的或者恶意的原因而遭到破坏、更
改、泄露,系统连续可靠正常地运行,网络服务不中断。
? 网络安全从其本质上来讲就是网络上的信息安全。从广
义来说,凡是涉及到网络上信息的保密性、完整性、可
用性、真实性和可控性的相关技术和理论都是网络安全
的研究领域。
网络安全三大问题
?网络安全面临的主要威胁
黑客侵袭
黑客非法进入网络使用网络资源(获取账号和密
码 /获取网上传输的数据 /控制及破坏系统等)
计算机病毒
使网络不能正常工作,甚至瘫痪
拒绝服务攻击
用户在短时间内收到大量无用信息,攻击者并不
控制被攻击的电脑,只是使它失去正常工作能力。
网络安全不可掉以轻心
? 由于因特网本身的设计缺陷及其开放性,极易
受到各种攻击。据美国有关安全部门统计,
因特网上 98%的计算机受过黑客的攻击性分
析,50%的机器被黑客成功入侵。
? 不要把网络的安全看成某个计算机狂人的个
人行为或某个单位的利益得失,网络安全问
题可能直接影响到国家的政治利益、军事利
益和经济利益。
例:网络安全与政治
? 96年 8月 17日,美国司法部的网络服务器遭到黑客入侵,
并将, 美国司法部, 的主页改为, 美国不公正部,,
将司法部部长的照片换成了阿道夫 ·希特勒,将司法部徽
章换成了纳粹党徽,并加上一幅色情女郎的图片作为所
谓司法部部长的助手。此外还留下了很多攻击美国司法
政策的文字。
? 96年 9月 18日,黑客又光顾美国中央情报局的网络服务器,
将其主页由, 中央情报局, 改为, 中央愚蠢局, 。
? 96年 12月 29日,黑客侵入美国空军的全球网网址并将其
主页肆意改动,其中有关空军介绍、新闻发布等内容被
替换成一段简短的黄色录象,且声称美国政府所说的一
切都是谎言。迫使美国国防部一度关闭了其他 80多个军
方网址。
例:网络安全与军事
? 由于计算机病毒的传染性、潜伏性和巨大的破坏性,计算机病毒
作为一种新型的电子战武器已越来越受到世界各国军方的重视。
美国是计算机病毒研究较早的国家,并拨出专款进行研究更有效
的军用计算机病毒。台湾现在针对祖国大陆、针对我军的具体情
况大力发展信息作战武器,其中包括病毒。 1999年 8月,台湾
“国防部”召开了一次关于信息战的专门会议。出席的人员除了
台湾“国防部”的高级将领和所谓“国防部长”唐飞之外,还有
各个计算机软硬件厂商的高级代表、计算机专家、病毒的设计制
造者,包括 CIH病毒编制者陈英豪。会议的中心议题就是怎样利
用台湾强大的计算机硬件和软件优势,对祖国大陆实施信息战。
具体的步骤包括向中国大陆出口的计算机产品注入藏有病毒的芯
片,必要时通过遥控激活等。另据台湾, 自由时报, 报道,台湾 "
国防部 "通信电子资讯局局长林勤经表示,已经对中国大陆搞了上
千种病毒对付中国大陆的信息基础设施。所有这些事实都说明,
计算机病毒战已经从想象进入了现实。计算机病毒战已成为现代
电子信息战的一个新的、重要的课题。
例:网络安全与经济
? 94年末,俄罗斯黑客弗拉基米尔 ·利文与其伙伴从圣彼得堡
的一家小软件公司的联网计算机上,向美国 CITYBANK银行
发动了一连串攻击,通过电子转帐方式,从 CITYBANK银行
在纽约的计算机主机里窃取 1100万美元。
? 近年来,计算机犯罪案件也急剧上升,计算机犯罪已经成为
普遍的国际性问题。据美国联邦调查局的报告,计算机犯罪
是商业犯罪中最大的犯罪类型之一,每笔犯罪的平均金额为
45000美元,每年计算机犯罪造成的经济损失高达 50亿美元。
? 计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性
等特点。通常计算机罪犯很难留下犯罪证据,这大大刺激了
计算机高技术犯罪案件的发生。
与一切危害网络安全的非法行为作斗争
? 1994年 2月 18日颁发, 中华人民共和国计算机信息系
统安全保护条例, 。其第七条规定:, 任何组织或
个人,不得利用计算机信息系统从事危害国家利益、
集体利益和公民合法利益的活动,不得危害计算机
信息系统的安全。, 第二十三条规定:, 故意输入
计算机病毒以及其他有害数据危害计算机信息系统
安全的,或者未经许可出售计算机信息系统安全专
用产品的,由公安机关处以警告或者对个人处以
5000元以下的罚款、对单位处以 15000元以下的罚款;
有违法所得的,除予以没收外,可以处以违法所得 1
至 3倍的罚款。,
更为完善的地方性法规
? 1998年 8月 l日, 重庆市计算机信息系统安全
保护条例,
? 1998年 12月 15日, 安徽省计算机信息系统安
全保护办法,
? 2003年 3月 31日, 广东省计算机信息系统安
全保护管理规定,
? ……
例:安徽省规定
? 第十八条 任何单位和个人不得从事下列活动:
(一)制作、故意传播计算机病毒破坏性程序和其他有害数
据;
(二)未经使用单位允许,进入计算机信息系统或者使用计
算机信息系统资源;
(三)未经使用单位允许,对计算机信息系统功能进行删除、
修改或者增加;
(四)未经使用单位允许,对计算机信息系统中存储、处理
或者传输的数据和应用程序进行删除、修改或者增加。
? 第二十八条 违反第本办法十八条规定的,处以警告,有违
法所得的,没收违法所得,以个人处以 1000元至 5000元的罚
款,对单位处以 3000元至 15000元罚款。
二、关于电脑黑客
关于电脑黑客
? 计算机系统的隐身入侵者和攻击者
古典黑客
所谓, 真正的程序员, —以编写软件与玩弄
各种程序设计技巧为乐,创造并推动计算机
工业的发展。
现代黑客
黑客 (hacker),热衷于编程查找并公布系统漏洞
骇客 (cracker),通过利用系统漏洞进行网络攻
击来表现自我
黑客行为准则(一)
? 世界范围内比较公认的黑客行为准则
Never damage any system.This will only get you
into trouble,不恶意破坏任何系统。
Never alter any of the system files,except for those
needed to insure that you are not detected,and
those to insure that you have access into the
computer in the future,
不修改任何系统文件,除非 …
Do not share any information about your hacking
projects with anyone but those you’d trust.
不要将破解的任何信息与人分享,除非 …
黑客行为准则(二)
Never use anyone’s real name or real phone
number when posting on a BBS,
不要在 BBS上用真名或真实的电话号码发帖。
DO NOT hack government computers.
切勿入侵政府机构的计算机。
To become a real hacker,you have to hack,you
can’t just sit around reading text files and hanging
out on BBS,
要成为真正的黑客,不能纸上谈兵 …
真正的黑客
? 只会使用现成工具攻击网络的是所谓, script
kids”(草客)。
? 真正的黑客必须对网络操作系统有深入的研
究(内核工作原理等)、熟悉各种网络协议
( TCP/IP等)、能熟悉编写程序、善于分析
和发现新的漏洞。
? 黑客真正可怕之处在于他对新知识的渴望与
不懈的创造力。
三、黑客攻击技术
攻击普通用户
? 计算机病毒(破坏系统)
? 特洛伊木马(远程控制)
? 网络炸弹(影响工作)
拒绝服务
电子邮件炸弹(邮件垃圾)
QICQ账户窃取与秘密监听
攻击网站和网络系统
? 踩点
目标探测(搜集目标有关情况)
? 扫描
敲击墙体找到所有门窗(漏洞)
? 攻击
破解管理员密码控制系统
利用漏洞攻击
拒绝服务攻击
欺骗攻击(利用主机间的信任关系)
? 善后
清除系统日记
留下秘密后门
攻击前的侦察工作:踩点
? 踩点
通过因特网和其他技术搜集与目标相关的各
种信息(如搜索引擎,BBS、专业网站等),
甚至包括管理员的姓名、出生日期、电话号
码等。因为有些网站管理员使用这些信息作
为系统密码。
试探性攻击:扫描
? 扫描
扫描的目的相当于在一座建筑物上寻找得以
非法进入的, 门窗, 。所用的工具通常有端
口扫描器和漏洞扫描器。前者主要用来扫描
目标主机开放的服务端口及有关的系统信息。
后者可以直接检测出系统存在的安全漏洞,
但对于重视安全的网站,未必有效。
扫描工具实例,SuperScan
真正的较量:发起攻击 (1)
? 密码破解
许多人喜欢使用:自己或家人姓名、出生日
期、电话号码、常用英文单词、纯数字、短
密码。容易被熟人或暴力猜解机破解出来。
安全密码:字母、数字和特殊符号交叉组合,
至少 8位。
远程密码破解工具:
流光 (Fluxay) V4.71 For WinNT/2000/XP
流光的主界面
真正的较量:发起攻击 (2)
? 网络监听 (sniffer,嗅探 )
普通情况下,网络上的机器都可以, 听到, 通
过的流量,但网卡只接收和自己地址相符的信
息包。网络监听程序即 sniffer把网卡设置为
,混杂, 模式,此时网卡就可以接收传输在
网络上的每一个信息包。黑客可以用它截获
密码等。
著名的 sniffer软件有 sniffit和 NetXRay。
真正的较量:发起攻击 (3)
? 欺骗攻击
?IP欺骗
利用主机间的信任关系伪装成被信任主机
(先要使该主机瘫痪)
?Web欺骗
通过假链接使用户访问假网站,从而获取用户
输入的账号和密码、信用卡信息等。
例,www.sina.com.cn@163.com
真正的较量:发起攻击 (4)
? 利用系统缺陷进行攻击
? 利用缓冲区溢出技术进行攻击
当程序员用不安全的语言( C/C++等)编写网
络应用程序或编程考虑不周是,会出现因字
符串越界而产生的, 缓冲区溢出, 问题。黑
客可以利用它来获得管理员权限。
? 利用系统或应用程序本身的漏洞进行攻击,
如 IIS,SQL,ASP,PHP等的漏洞。
真正的较量:发起攻击 (5)
?,拒绝服务, ( DoS,Donial of Service)
一种简单的破坏性攻击,为真正的黑客高手
所不屑。其原理是利用 TCP/IP协议中的某些
弱点或系统存在的某些漏洞,发起大规模攻
击,使目标主机瘫痪。
目前更恶劣的是所谓 DDoS(分布式拒绝服务 )。
攻击者在客户端通过非法入侵,控制了大量
的系统主机作为攻击源,使它们同时向攻击
目标发起拒绝服务攻击。
攻击实例:木马技术
? 历史上的, 特洛伊木马,
在古希腊人同特洛伊人战争期间,希腊人佯装撤退并
留下一只内部藏有战士的巨大木马,特洛伊人大意中
计,将木马拖入城中。夜晚木马中的希腊战士出来与
城外的战士里应外合 …
? 计算机中的, 特洛伊木马,
在计算机中,有一类特殊的程序,黑客通过它来远
程控制别人的计算机,这类程序称为特洛伊木马程
序, 。
特洛伊木马程序
? 一般分为服务器端程序和客户端程序两部分。服务
器端程序是黑客们秘密而巧妙地传到目标机器上的
部分,客户端则在黑客机上运行,是用来控制目标
机器的部分。
? 木马程序具有隐蔽性强、功能特殊等特点。它与 PC
Anywhere等远程控制软件不同。而且往往没有利
用系统和软件的任何漏洞或 bug,也没有利用任何
微软未公开的内部 API,所以连普通的防火墙和代
理服务器也难以有效抵挡它。
国产木马,冰河 2.2
此程序运行于
对方机上 (文件
名可随意 )
然后在黑客
机上运行此
程序
使用说明
Readme.txt文件内容 (1)
该软件主要用于远程监控,具体功能包括,
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠
标输入,即在同
步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反
映在被控端屏幕 (局域网适用 );
2.记录各种口令信息:包括开机口令、屏保口令、各种共
享资源口令及绝大多数在对话框中出现过的口令信息,且 1.2以
上的版本中允许用户对该功能自
行扩充,2.0以上版本还同时提供了击键记录功能;
3.获取系统信息:包括计算机名、注册公司、当前用户、
系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘
信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定
鼠标、锁定系统热键及锁定注册表等多项功能限制;
Readme.txt文件内容 (2)
5.远程文件操作:包括创建、上传、下载、复制、删除文
件或目录、文件压缩、快速浏览文本文件、远程打开文件(提
供了四中不同的打开方式 ——正常方式、最大化、最小化和隐
藏方式)等多项文件操作功能;
6.注册表操作:包括对主键的浏览、增删、复制、重命名
和对键值的读写等所有注册表操作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
看看它的几个, 功能模块,
"查看屏幕 ",查看被监控端屏幕 (相当于命令控制台中
的 '控制类命令 \捕获屏幕 \查看屏幕 ');
"屏幕控制 ",远程模拟鼠标及键盘输入 (相当于命令控
制台中的 '控制类命令 \捕获屏幕 \屏幕控制 ')。其余
同 "查看屏幕 ";
2003年 6月 10日 21:41
使用, 冰河, 2.2搜索校内 172.16.128网段
搜索结果,发现目标 ?
搜索结束后的, 冰河, 主窗口,
看看目标机上有些什么东东 …
这是另一个目标的情况 …
这是使用, 屏幕控制, 看到的画面 …
四、防火墙技术
防火墙( Firewall)
? a,概述
防火墙是一种用于保护一个网络不受来自其他网络
攻击的安全技术。它是内部网与外部网之间的一个
中介系统,它通过监测、限制、修改跨越防火墙的
数据流,尽可能地对屏蔽内部网络的结构、信息和
运行情况,拒绝未经授权的非法用户访问或存取内
部网络中的敏感数据,保护其不被偷窃或破坏,同
时允许合法用户不受妨碍地访问网络资源。
其他
? 除了安装在两个网络之间的防火墙,还有一种安装
在主机上的所谓个人防火墙(如, 天网个人版防火
墙)。
? 需要说明的是,防火墙不能防范不通过它的连接,
如防火墙内的入侵者,或者站点允许对防火墙后面
的内部系统进行拨号访问。所以防火墙只用于防止
来自外部网络非法用户的恶意攻击,而且是一种被
动的防御技术。要进一步提高网络的安全性,重要
网络还应配备入侵检测系统( IDS,Intrusion
Detection System ),其作用是对潜在的入侵行为作
出记录,并对攻击后果进行预测。
分类
? b,分类
防火墙从结构上看,可以是专用的硬件设备
(硬件防火墙),也可以是运行于某个计算
机系统上的软件系统(软件防火墙),还可
以集成在路由器中。
从工作原理来看,防火墙可以分为:
- 包过滤防火墙
- 应用级网关(代理服务器)
- 状态检测防火墙
包过滤防火墙
? 通过检查数据流中每一个数据包的源地址、目的地
址、所用端口号、协议状态,按网络管理员设定的
过滤规则确定是否允许该数据包通过。
优点:速度快,简单低廉,广泛应用于路由器上。
缺点:配置好包过滤规则比较困难,易出现漏洞。
单纯的包过滤防火墙容易被黑客用, IP欺骗攻击,
等攻破( IP欺骗攻击:通过向防火墙发出一系列含
有一串顺序的 IP地址的信息包,一旦有一个包通过
了防火墙,就可用这个 IP地址来伪装成被信任的主
机建立应用连接)。
应用级网关(代理服务器)
? 代理服务器象一堵墙一样挡在内部网络和外
部网络之间,从外部只能看到该代理服务器
而无法获知任何内部资源。
? 优点;比单一的包过滤防火墙可靠,且可以
详细记录所有访问状态信息。
? 缺点:执行速度慢,安装代理服务器的操作
系统本身易遭到攻击。
状态检测防火墙
? 这种防火墙由一个, 监测引擎, 截获数据包
并抽取有关信息按有关安全规定进行检查和
分析,作出接纳、拒绝、身份认证、报警等
反应。一旦某个访问违反安全规定,就会拒
绝该访问。目前已在国内外得到广泛应用。
? 优点:非常坚固
? 缺点:会降低网络的速度,且配置比较复杂。
五、入侵检测技术
IDS概述
?IDS( Intrusion Detection System,入侵检测系
统 )是一种能对潜在的入侵行为作出记录和预
测的智能化、自动化的软件或硬件。如对网
络中传输的数据包进行分析,如果在不同的
端口检测到大量的 TCP连接请求,就可以发现
TCP端口扫描的攻击企图。
?介绍一种简单的 IDS工具软件:
BlackICE(黑冰)
黑冰的安装