计算机系统安全第10章常用攻击手段.pptVIP

口令“入侵者” 口令“入侵者” 特洛伊木马(Trojans) 木马的伪装 冒充图象文件或游戏程序 捆绑程序欺骗 将木马程序与正常文件捆绑为一个程序 伪装成应用程序扩展组件 木马名字为dll或ocx类型文件，挂在一个有名的软件中。 后两种方式的欺骗性更大。 木马的特点 隐蔽性强： 木马有很强的隐蔽性,在Windows中,如果某个程序出现异常,用正常的手段不能退出的时候,采取的办法是按“Ctrl＋Alt＋Del”键,跳出一个窗口,找到需要终止的程序,然后关闭它。早期的木马会在按“Ctrl＋Alt＋Del”显露出来,现在大多数木马已经看不到了。所以只能采用内存工具来看内存中是否存在木马。 功能特殊： 木马的分类 远程访问型 密码发送型 键盘记录型 毁坏型：删除文件 FTP型:打开目标机21端口，上传、下载 木马发展趋势 与病毒结合，使之具有更强感染特性； 跨平台型； 模块化设计：组件； 即时通知 特洛伊木马启动方式 木马服务器存放位置及文件名 几种典型的木马 BO(Back Orifice后门)：由旧金山的黑客组织Cult of Dead Cow开发。对微软的讽刺。 组成：Boconfig.exe,Boserve.exe,Boclient, Bogui.exe, freeze.exe压缩,Melt.exe解压。 功能：搜集信息，执行系统命令，重新设置系统，重定向网络的C/S的应用程序。 破坏作用：泄露目标机上的口令，磁盘信息，文件信息，传输文件，修改注册表，删改文件，捕捉屏幕信息，锁死机器。 几种典型的木马 BO的手工清除： regedit ? HKEY_LOCAL_MACHINE\SoftWare \Microsoft\Windows\CurrentVersion\Runservices ?删除键值为“ .exe”的项目?退出regedit ，删除Windows\System下的“ .exe”?机器重启。 如果BO服务器已经由Boconfig.exe重新配置，则 BO服务器可能已不再是“空格.exe”，并产生文件 WINDLL.DLL。 冰河的客户端界面 冰河的主要功能 冰河的主要功能 冰河的主要组成文件 冰河的主要功能:连接服务器 冰河的主要命令 如何对付木马 如何对付木马 1）端口扫描 2）查看连接：netstat –a 命令 上述两种方法对驱动程序/动态链接木马无效。 3）检查注册表 4）查找木马文件：如kernel32.exe,sysexplr.exe等 5）文件完整性检查： 开始?程序?附件?系统工具?系统信息? 工具?系统文件检查器。 如有损坏可从安装 盘还原。 1、嗅探器Sniffer 2、网络监听的原理 2、网络监听的原理 3、Sniffer的危害与预防 4、检测Sniffer的原理 反应时间 向可疑发送大量物理地址不存在的包，处于监听模式的机器回应时间延迟。 观测DNS 监听软件往往会尝试进行反向地址解析，查看DNS上是否地址解析请求明显增多。 利用Ping模式监测 混杂模式的主机对错误地址的ICMP包会有回应。 利用arp数据包监测 向局域网内的主机发送非广播式的arp包来检测。 5、检测Sniffer的方法 Sniffer工具 Sniffit 可用于Unix、Linux、NT NetXray 由Cinco Networks公司开发 高级数据包查错工具 界面友好 防止Sniffer的工具 AntiSniffer可监测同一网段内的机器，如果返回正值，则表明该机处于混杂模式，有可能已被安装Sniffer。 1、什么是拒绝服务的攻击 拒绝服务攻击方式 拒绝服务攻击方式 SYN-Flooding攻击示意图 拒绝服务攻击方式 拒绝服务攻击方式 Smurf攻击示意图 拒绝服务攻击方式 拒绝服务攻击方式 2、拒绝服务攻击的类型 3、针对网络的拒绝服务攻击 3、针对网络的拒绝服务攻击 3、针对网络的拒绝服务攻击 4、分布式拒绝服务攻击DDOS 5、用工具软件实现DDos攻击 5、用工具软件实现DDos攻击 6、应付DDOS攻击的策略 IP欺骗 定义：利用主机之间的正常信任关系发动的攻击。 信任关系： 在Unix系统中，rlogin,rsh,rcp等远程调用命令的信任基础是IP地址，若地址验证通过，则无须口令验证就能远程登录。 修改$HOME/.rhosts文件内容，可建立两台机器之间的信任关系。当/etc/hosts.equiv中出现一个“+”或$HOME/.rhosts中出现“++”时，表明任意地址的主机无须口令可直接用r命令登录此主机。 IP欺骗过程 1）发现攻击目标A和B具有伙伴信任关系。 假设黑客想冒充B去和A对话。 2）要使目标B瘫痪（如用