第2章黑客攻击简介分析.ppt

* 黑客攻击与防范 * 2.3.5网络监听法 在网络上，任何一台主机所发送的数据包，都会通过网络线路传输到制定的目标主机上，所有在这个网络线路上的主机都可以真挺到这个传输的数据包。正常情况下，网卡对所经过的数据包只作简单的判断处理，如果数据包中国的目标地址与网卡的相同则接受，否则不作处理。如何将网卡设置为杂凑模式则经过的任何数据包都给与接受，攻击者就是利用这个原理，对一些敏感型的数据包进行分析。 * 黑客攻击与防范 * 2.3.6电子欺骗法 电子欺骗法主要是通过伪造数据包，并使用目标主机可信任的IP地址作为源地址，把伪造好的数据包发送到目标主机上，以此获取目标主机的信任，今儿访问目标主机上的资源。 * 黑客攻击与防范 * 发现黑客 发现黑客入侵后的对策 第四节 黑客攻击的防范  * 黑客攻击与防范 * 7.4.1发现黑客 1. 在黑客正在活动时，捉住他 2. 根据系统发生的一些改变推断系统已被入侵 3. 根据系统中一些奇怪的现象判断 4. 一个用户登录进来许多次 5. 一个用户大量地进行网络活动，或者其他一些很不正常的网络操作 6. 一些原本不经常使用的账户，突然变得活跃起来 * 黑客攻击与防范 * 7.4.2 发现黑客入侵后的对策 1.估计形势 当证实遭到入侵时，采取的第一步行动是尽可能快地估计入侵造成的破坏程度。 2. 采取措施 （1）杀死这个进程来切断黑客与系统的连接。 （2）使用write或者talk工具询问他们究竟想要做什么。 （3）跟踪这个连接，找出黑客的来路和身份。这时候，nslookup、finger等工具很有用。 * 黑客攻击与防范 * （4）管理员可以使用一些工具来监视黑客，观察他们在做什么。这些工具包括snoop、ps、lastcomm和ttywatch等。 （5）ps、w和who这些命令可以报告每一个用户使用的终端。如果黑客是从一个终端访问系统，这种情况不太好，因为这需要事先与电话公司联系。 （6） 使用who和netstat可以发现入侵者从哪个主机上过来，然后可以使用finger命令来查看哪些用户登录进远程系统。 （7）修复安全漏洞并恢复系统，不给黑客留有可乘之机。 * 黑客攻击与防范 * 小结： 网络上黑客的攻击越来越猖獗，对网络安全造成了很大的威胁。本章主要讲述了黑客攻击的目的、黑客攻击的三个阶段、黑客攻击的常用工具以及黑客攻击的防备，并介绍了黑客攻击常用的网络监听和扫描器。同时，讲述了来自E-mail的攻击及其安全策略、特洛伊木马程序及其检测删除。 * * * * * 黑客攻击与防范 * 2.2.2 网络监听 1.网络监听简介 所谓网络监听就是获取在网络上传输的信息。通常，这种信息并不是特定发给自己计算机的。一般情况下，系统管理员为了有效地管理网络、诊断网络问题而进行网络监听。然而，黑客为了达到其不可告人的目的，也进行网络监听。 * 黑客攻击与防范 * 2. 在以太网中的监听 （1）以太网中信息传输的原理。 以太网协议的工作方式：发送信息时，发送方将对所有的主机进行广播，广播包的包头含有目的主机的物理地址，如果地址与主机不符，则该主机对数据包不予理睬，只有当地址与主机自己的地址相同时主机才会接受该数据包，但网络监听程序可以使得主机对所有通过它的数据进行接受或改变。 * 黑客攻击与防范 * （2）监听模式的设置 要使主机工作在监听模式下，需要向网络接口发送I/O控制命令；将其设置为监听模式。在UNIX系统中，发送这些命令需要超级用户的权限。在UNIX系统中普通用户是不能进行网络监听的。但是，在上网的Windows 中，则没有这个限制。只要运行这一类的监听软件即可，而且具有操作方便，对监听到信息的综合能力强的特点。 * 黑客攻击与防范 * （3）网络监听所造成的影响 网络监听使得进行监听的机器响应速度变得非常慢 * 黑客攻击与防范 * 3. 常用的监听工具 （1）snoop snoop可以截获网络上传输的数据包，并显示这些包中的内容。它使用网络包过滤功能和缓冲技术来提供有效的对网络通信过滤的功能。那些截获的数据包中的信息可以在它们被截获时显示出来，也可以存储在文件中，用于以后的检查。 Snoop可以以单行的形式只输出数据包的总结信息，也可以以多行的形式对包中信息详细说明。 * 黑客攻击与防范 * 2．Sniffit软件 Sniffit是由Lawrence Berkeley实验室开发的，运行于Solaris、SGI和Linux等平台的一种免费网络监听软件，具有功能