03网络攻击与防范.pptVIP

（2）建立假冒网上银行、网上证券网站，骗取用户帐户、密码实施盗窃。 （3）利用虚假的电子商务进行诈骗。 此类犯罪活动往往是建立电子商务网站或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。 如2003年，一个罪犯建立“奇特器材网”网站，发布出售间谍器材、黑客工具等虚假信息，诱骗顾主将购货款汇入其用虚假身份在多个银行开立的帐户，然后转移钱款。 除少数不法分子自己建立电子商务网站外，大部分人采用在知名电子商务网站上，如易趣、淘宝、阿里巴巴等发布虚假信息的方法。 案例实现 （4）利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。 （5）利用用户弱口令等漏洞破解、猜测用户帐户和秘密。 案例实现 2. 防范措施（1）针对电子邮件欺诈（2）针对假冒网上银行、网上证券网站的情况。（3）针对虚假电子商务信息的情况。（4）其他网络安全防范措施。 * * * * * * * * * * * * * * ARP攻击的实例 （1）选择要攻击的主机。 （2）选择管理方式。 （3）确认无误后单击“开始”按钮，瞬间被攻击的主机就显示IP地址冲突。如P57图3-43所示。 如果要对局域网的网关进行攻击的话，则会影响整个网络上的主机。 此外，“网络执法官”软件主要功能是管理和维护网络，而不是恶意破坏，读者一定要小心使用，不要对正常上网的主机产生破坏。 为了保持对就入侵的主机长久的控制,需要在主机上建立网络后门,以后可以直接通过后门入侵系统，可以通过建立服务端口和克隆管理员帐户来实现。 只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率，只要是不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的，就是让管理员看了感觉没有任何特别的。 网络后门技术 3. 4 3.4.1 后门技术 1、远程启动Telnet服务 利用主机上的该服务，有管理员密码就可以登录到对方的命令行，进而操作对方的文件系统。如果该服务关闭，就不能登录了（Windows 2000 Server的该服务是关闭的）。可以在运行窗口中输入tlntadmn.exe命令启动本地Telnet服务。 在启动的DOS窗口中输入4，就可以启动本地Telnet服务了。 利用工具RTCS.vbe可以远程开启对方的Telnet服务，命令语法为： “cscript RTCS.vbe x.x.x.x administrator 123456 1 23”， 入侵到对方主机并得到管理员口令后，就可以对主机进行长久入侵了，但是一个好的管理员会每隔半个月就会修改一次密码，这样入侵就不起作用了。 利用软件Win2kPass.exe记录修改的新密码（在Winnt\temp目录下的Config.ini文件或后缀名为ini的其他文件中）。该软件有“自杀“功能，就是当执行完毕后，自动删除自己。 2、记录管理员口令修改过程 ３、建立Web服务和Telnet服务 使用工具软件wnc.exe可以在对方的主机上开启两个服务：Web服务（808端口）和Telnet服务（707端口） 。 执行完毕后，利用命令“netstat-an”来查看开启的这两个端口。 服务端口开启成功后，可以连接该目标主机提供的这两个服务了，如测试Web服务的808端口，在浏览器地址栏中输入http://x.x.x.x:808，出现主机的盘符列表，即可以到Winnt\temp目录下查看对方密码修改记录文件。 终端服务是WINDOWS操作系统自带的，可以远程通过图形界面操纵服务器。在默认的情况下终端服务的端口号是3389。如图。 3.4.2 远程控制技术 服务默认的端口是3389，可以利用命令“nettat-an”来查看该端口是否开放。如图所示。 管理员为了远程操作方便，服务器上的该服务一般都是开启的。这就给黑客们提供一条可远程图形化操作主机的途径。利用该服务，目前使用的有两种方法连接到对方主机： 1）使用Windows 2000的远程桌面连接工具。 2）使用Windows XP的远程桌面连接工具。 木马来自于特洛伊木马(Trojan Horse)。特洛伊木马是指黑客用来远程控制目标计算机的特殊程序。凡是非法驻留在目标计算机里并执行预定的操作，窃取目标的私有信息，都属特洛伊木马。工作方式：多数为C/S模式，服务器端安装在目标机里，监听等待攻击者发出的指令；客户端是用来控制目标机器的部分，放在攻击者机器上。木马“Passwd Sender”(口令邮差)可以不需要客户端。 3.4.2 木马技术 木马的伪装：冒充图象文件或游戏程序；捆绑程序欺骗；将木马程序与正常文件捆绑为一个程序；伪装成应用程序扩展组件；木马名字为dll