第十章网络攻防和入侵检测祥解.pptVIP

第十章 网络攻防和入侵检测 IP只是发送数据并保证数据的完整性，不保持任何连接状态的信息，每个IP数据报文被发送出去，不关心前后数据报文的情况，所以可以修改IP堆栈，在源地址和目的地址中放入任何满足要求的IP地址，即提供虚假的IP地址。 突破防火墙系统最常用的方法是就IP地址欺骗，它同时也是其他一系列攻击方法的基础。黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部站的分组过滤器，这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的还是外部的分组被包装得看起来象内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内，则它就把该分组按内部通信对待并让其通过。 1.阻塞Smurf攻击的源头 Smurf攻击依靠的是发送源地址假冒的echo请求。用户可以使用路由器的访问控制保证内部网络中发出的所有传输信息都具有合法的源地址，以防止这种攻击。这样可以使欺骗性分组无法找到反弹站点。 只读存储器（ROM） 只读存储器，存放引导程序和IOS的一个最小子集，相当于PC的BIOS。 闪存（Flash） 包含压缩的IOS和微代码，是一种可擦写、可编程的ROM，系统掉电时数据不会丢失。 NVRAM（No-Voliate RAM） 存放路由器的配置文件，系统掉电时数据不会丢失。 RAM 动态内存，系统掉电，内容丢失 操作系统运行的空间 在神话传说中，特洛伊木马表面上是“礼物”，但实际却藏匿了大量袭击特洛伊城的希腊士兵。现在，特洛伊木马是一些表面有用的软件程序，实际目的是危害计算机安全性并破坏计算机。黑客的特洛伊木马程序事先已经以某种方式潜入你的机器，并在适当的时候激活，潜伏在后台监视系统的运行，它同一般程序一样，能实现任何软件的任何功能。 1.修改图标 木马服务端所用的图标也是有讲究的，木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标，这样很容易诱惑你把它打开。 2.捆绑文件　　这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。被捆绑的文件一般是可执行文件 (即EXE、COM一类的文件)。 3.出错显示　　如果打开一个文件，没有任何反应，这很可能就是个木马程序。木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框 (这当然是假的)，错误内容可自由定义，大多会定制成一些诸如 文件已破坏，无法打开!之类的信息，当服务端用户信以为真时，木马却悄悄侵人了系统。 4.自我销毁　 木马的自我销毁功能是指安装完木马后，源木马文件自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下。就很难删除木马了。　　 5.木马更名　　木马的命名也是千奇百怪，不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，该文件不会被你轻易删除，还有就是更改一些后缀名，比如把dll改为dl等，如果你不仔细看，也很难发现。　　 6.在任务栏里隐藏　　如果在windows的任务栏里出现一个莫名其妙的图标，木马就很容易暴露了。因此木马程序总是把自己在任务栏中隐藏起来。这在编程时是很容易实现的。以VB为例，只要把form的Visible属性设置为False, ShowInTaskBar设为False程序就不会出现在任务栏里了。 7.在任务管理器里隐藏　　查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。木马会千方百计地伪装自己，使自己不出现在任务管理器里。木马发现把自己设为 系统服务“就可以轻松地骗过去。 8.隐藏通讯　　任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接，如攻击者通过客户端直接接人被植人木马的主机;或者通过间接通讯。现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口，如80、23,特别是有一种木马还可以做到收到正常的HTTP请求仍然把它交与Web服务器处理，收到特殊约定的数据包后，才调用木马程序。　　 9.隐藏隐加载方式　　通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库 (DLL)来加载木马。它采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL。一旦发现控制端的请求就会激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它。 2.在System.ini