2015第章黑客攻防技术.pptVIP

第4章 黑客攻防技术 4.1　黑客概述 1. 黑客与黑客守则 (1)什么是黑客 黑客是“Hacker”的音译，源于动词Hack，其引申意义是指“干了一件非常漂亮的事”。这里说的黑客是指那些精于某方面技术的人。对于计算机而言，黑客是指既具有高超的专业技术（精通网络、系统、外设以及软硬件技术），又能遵守黑客行为准则的人。 通常所说的“黑客”指的是骇客（Cracker，破坏者），是那些怀有不良企图，强行闯入他人系统或以某种恶意目的干扰他人的网络，运用自己的知识去做出有损他人权益的事情的人，也称入侵者。 第4章 黑客攻防技术 (2)黑客守则 任何职业都有相关的职业道德，黑客也有其“行规”，一些守则是必须遵守的，归纳起来就是“黑客守则”。 1）不要恶意破坏任何系统，否则会给自己带来麻烦。 2）不要破坏别人的软件和资料。 3）不要修改任何系统文件，如果是由于进入系统的需要，则应该在目的达到后将其恢复原状。 4）不要轻易地将你要黑的或者黑过的站点告诉不信任的朋友。 5）在发表黑客文章时不要用自己的真实名字。 6）正在入侵的时候，不要随意离开自己的电脑。 第4章 黑客攻防技术 7）不要入侵或破坏政府机关的主机。 8）将自己的笔记放在安全的地方。 9）已侵入的电脑中的账号不得清除或修改。 10）可以为隐藏自己的侵入而作一些修改，但要尽量保持原系统的安全性，不能因为得到系统的控制权而将门户大开。 11）勿做无聊、单调并且愚蠢的重复性工作。 12）要做真正的黑客，读遍所有有关系统安全或系统漏洞的书籍。 第4章 黑客攻防技术 (1) 端口扫描方式 进行扫描的方法很多，可以是手工命令行方式进行扫描，也可以用端口扫描工具进行扫描时，许多扫描器软件都有分析数据的功能。 第4章 黑客攻防技术 非法入侵者为了有效地隐蔽自己，又能进行端口扫描,需要寻找有效的方法。有许多利用TCP/IP本身的特征，实现隐身的技巧可以共其利用。 在TCP数据包的包头中有6位，其中5位分别是： ACK：确认 PSH：不缓存数据 RST：重置一个连接 SYN：建立一个连接 FIN：释放一个连接 第4章 黑客攻防技术 下面介绍入侵者们如何利用上述这些信息，来隐藏自己的端口扫描。 （1）TCP connect( )扫描 （2）TCP SYN扫描 （3）TCP FIN扫描 （4）Fragmentation 扫描 （5）UDP recfrom( )和write( )扫描 第4章 黑客攻防技术 3 端口扫描的工具 1．NSS NSS，即网络安全扫描器，是一个非常隐蔽的扫描器。 2．SATAN SATAN的英文全称为Security Administrator Tool for Analyzing Networks，即安全管理员的网络分析工具。SATAN是一个分析网络的安全管理、测试与报告工具。 3．Strobe Strobe是一个超级优化TCP端口检测程序，能快速地识别指定机器上正运行什么服务，用于扫描网络漏洞。它可以记录指定机器的所有开放端口。 2．监听的可能性 下表描述了在通常的一些传输介质上，信息被监听的可能性。 第4章 黑客攻防技术 1）方法一 对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。 2）方法二 往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，会导致性能下降。通过比较前后该机器性能（icmp echo delay等方法）加以判断。 第4章 黑客攻防技术 2．木马的种类 （1）远程控制型 远程控制型是木马程序的主流。所谓远程控制就是在计算机间通过某种协议（如TCP/IP协议）建立起一个数据通道。通道的一端发送命令，另一端解释并执行该命令，并通过该通道返回信息。简单地说，就是采用Client/Server（客户机/服务器，简称C/S）工作模式。 第4章 黑客攻防技术 采用C/S模式的木马程序都由两部分组成：一部分称为被控端（通常是监听端口的Server端），另一部分被称为控制端（通常是主动发起连接的Client端）。被控端的主要任务是隐藏在被控主机的系统内部，并打开一个监听端口，就像隐藏在木马中的战士，等待着攻击的时机，当接收到来自控制端的连接请求后，主线程立即创建一个子线程并把请求交给它处理，同时继续监听其他的请求。控制端的任