入侵方法与手段.ppt

入侵检测技术分析 第二章 入侵方法与手段 第 二章 入侵方法与手段 网络入侵概述 网络入侵的各种手段 2.1 网络入侵概述 网络入侵在流程上具有一定的规律可寻。了解网络入侵者的思路和入侵手段是防范网络入侵的第一步。 网络入侵的定义： 使用一定技巧来获得非法或未授权的网络或文件访问，入侵进入内部网的行为。 TCP/IP是早期为科学研究而设计的，在设计之初没有考虑网络信任和信息安全因素，早期的操作系统也注重于功能而忽略了安全问题，这些因素都成为了网络入侵者滋生的土壤， 2.1 网络入侵概述 网络入侵的一般流程： 确定目标 ↓ 信息收集 ↓ 漏洞挖掘 攻击网络 攻击系统 留下后门 ↓ 清除日志 ↓ 结束攻击 主要入侵攻击方法 2.1 网络入侵概述 典型网络入侵方法分析 主机渗透方法简析 口令破解 漏洞攻击 特洛伊木马攻击 网络攻击方法简析 拒绝服务攻击 IP地址欺骗 网络监听 其它攻击方法 病毒攻击 社会工程攻击等 口令破解 口令是主机安全的第一道防线. 猜测口令也是网络入侵者渗透主机系统行之有效的方法. 口令的安全与多种因素有关:口令的强度、口令文件的安全、口令的存储格式等。 弱口令是口令安全的致命弱点 增强口令的强度、保护口令存储文件、服务器合理利用口令管理工具是对付口令破解的必要措施。 漏洞攻击 目前发现的网络设备和操作系统的漏洞多达上万种。 在操作系统渗透攻击中被网络入侵者利用的最多的一种漏洞是缓冲溢出漏洞。 此外，利用漏洞的攻击还有Unicode编码漏洞、SQL Injection漏洞等。 漏洞大多数是由于开发者的疏忽而造成的。 特洛伊木马攻击 特洛伊木马 在古希腊人同特洛伊人的战争期间，希腊人佯装撤退并留下一只内部藏有战士的巨大木马，特洛伊人大意中计，将木马拖入特洛伊城。夜晚木马中的希腊战士出来与城外的战士里应外合，攻破了特洛伊城，特洛伊木马的名称也就由此而来。在计算机领域里，有一种特殊的程序，黑客通过它来远程控制别人的计算机，我们把这类程序称为特洛伊木马程序(Trojans)。 特洛伊木马的概念 从严格的定义来讲，凡是非法驻留在目标计算机里，在目标计算机系统启动的时候自动运行，并在目标计算机上执行一些事先约定的操作，比如窃取口令等，这类程序都可以称为特洛伊木马程序。 一些特洛依木马程序，一旦成功侵人对方计算机就可以拥有极高的权限，可以完成复制、更改、建立和删除客户机端的任何文件和目录，可以查获启动密码、用户密码、屏保密码，还可以对用户操作键盘进行记录，这意味着你的一举一动都在对方监视下，一切密码和口令对他来说都无任何意义了，对方可随意访问你的计算机系统。 特洛伊木马程序一般分为服务器端（Server）和客户端（Client）。 服务器端是攻击者传到机器上的部分，用来在目标机上监听等待客户端连接过来。 客户端是用来控制目标机器的部分，放在攻击者的机器上。 特洛伊木马程序能巧妙地运行在目标计算机系统里，而不容易被发现。现在有许多这类程序，如早期的 Back orifice、 NetBus和最近出现的 sub7等，国内的此类软件有Netspy、YAI、冰河等。 特洛伊木马攻击 特洛伊木马技术是远程控制技术的一个实现，而特洛伊木马和商业远程管理工具相比具有以下几个特点： 在未经授权情况下渗透远端主机 被控制端的应用程序非常短小，便于上传 被控制端的应用程序在运行时不会弹出任何提示和界面 被控制端的应用程序一般具有自我保护功能，因此难以查杀 新型的特洛伊木