第6章黑客入侵技术论述.ppt

黑客攻击介绍 黑客与入侵者 黑客攻击的目的 黑客攻击的三个阶段 黑客攻击手段 黑客与入侵者 黑客的行为没有恶意，而入侵者的行为具有恶意。 在网络世界里，要想区分开谁是真正意义上的黑客，谁是真正意义上的入侵者并不容易，因为有些人可能既是黑客，也是入侵者。而且在大多数人的眼里，黑客就是入侵者。所以，在以后的讨论中不再区分黑客、入侵者，将他们视为同一类。 黑客攻击的目的 1．窃取信息 2．获取口令 3．控制中间站点 4．获得超级用户权限 黑客攻击的3个阶段 1．确定目标 ? 2．搜集与攻击目标相关的信息，并找出系统的安全漏洞 ? 3．实施攻击 黑客攻击手段 1．黑客往往使用扫描器 2．黑客经常利用一些别人使用过的并在安全领域广为人知的技术和工具。 3．黑客利用Internet站点上的有关文章 4．黑客利用监听程序 5．黑客利用网络工具进行侦察 6．黑客自己编写工具 扫描器简介 扫描器和监听工具一样，不同的人使用会有不同的结果：如果系统管理员使用了扫描器，它将直接有助于加强系统安全性；而对于黑客来说，扫描器是他们进行攻击入手点，不过，由于扫描器不能直接攻击网络漏洞，所以黑客使用扫描器找出目标主机上各种各样的安全漏洞后，利用其他方法进行恶意攻击。 6.1.2 端口扫描的原理 （１）端口 ? 许多TCP/IP程序可以通过Internet启动，这些程序大都是面向客户/服务器的程序。当inetd接收到一个连接请求时，它便启动一个服务，与请求客户服务的机器通讯。为简化这一过程，每个应用程序（比如FTP、Telnet）被赋予一个唯一的地址，这个地址称为端口。在一般的Internet服务器上都有数千个端口，为了简便和高效，为每个指定端口都设计了一个标准的数据帧。换句话说，尽管系统管理员可以把服务绑定（bind）到他选定的端口上，但服务一般都被绑定到指定的端口上，它们被称为公认端口。 （２）端口扫描简介 ① 端口扫描是一种获取主机信息的好方法。 ② 端口扫描程序对于系统管理人员，是一个非常简便实用的工具。 ③ 如果扫描到一些标准端口之外的端口，系统管理员必须清楚这些端口提供了一些什么服务，是不是允许的。 (3) 端口扫描的原理 下面介绍入侵者们如何利用上述这些信息，来隐藏自己的端口扫描。 1．TCP connect( )扫描 2．TCP SYN扫描 3．TCP FIN扫描 4．Fragmentation 扫描 5．UDP recfrom( )和write( )扫描 6．ICMP扫描  6.1.3 常用的扫描工具 （１）网络分析工具SATAN SATAN是一个分析网络的安全管理和测试、报告工具。它用来收集网络上主机的许多信息，并可以识别且自动报告与网络相关的安全问题。对所发现的每种问题类型，SATAN都提供对这个问题的解释以及它可能对系统和网络安全造成的影响的程度。通过所附的资料，它还解释如何处理这些问题。 (扫描器的鼻祖，perl编写） （２）网络安全扫描器NSS 网络安全扫描器是一个非常隐蔽的扫描器。如果你用流行的搜索程序搜索它，你所能发现的入口不超过20个。这并非意味着NSS使用不广泛，而是意味着多数载有该扫描器的FTP的站点处在暗处，或无法通过WWW搜索器找到它们。(它最根本的价值在于它的速度，它运行速度非常快 ) （３）Strobe 超级优化TCP端口检测程序Strobe是一个TCP端口扫描器。它具有在最大带宽利用率和最小进程资源需求下，迅速地定位和扫描一台远程目标主机或许多台主机的所有TCP“监听”端口的能力。 （4）Internet Scanner Internet Scanner可以说是可得到的最快和功能最全的安全扫描工具，用于UNIX和Windows NT。它容易配置，扫描速度快，并且能产生综合报告。 （5）Port Scanner Port Scanner是一个运行于Windows 95和Windows NT上的端口扫描工具，其开始界面上显示了两个输入框，上面的输入框用于要扫描的开始主机IP地址，下面的输入框用于输入要扫描的结束主机IP地址。在这两个IP地址之间的主机将被扫描。 （6）Nmap 世界上最受黑客欢迎的扫描器，能实现秘密扫描、动态延迟、重发与平行扫描、欺骗扫描、端口过滤探测、RPC直接扫描、分布扫描等，灵活性非常好，功能强大 1．监听的可能性 网络监听是黑客们常用的一种方法。 表6.1描述了在通常的一些传输介质上，信息被监听的可能性。 3.监听模式的设置