第三章网络攻防.pptVIP

第3章 网络攻防 3.1 网络攻击技术 网络攻击的方法十分丰富，令人防不胜防。分析和研究网络攻击活动的方法和采用的技术，对加强网络安全建设、防止网络犯罪有很好的借鉴作用。 3.1.1 网络攻击概述 攻击的分类 从攻击的行为是否主动来分：主动攻击和被动攻击 从攻击的位置来分，可分为远程攻击、本地攻击和伪远程攻击。 攻击的人员 黑客与破坏者、间谍 、恐怖主义者 、公司雇佣者 、计算机犯罪 、内部人员。 攻击的目的 主要包括：进程的执行、获取文件和传输中的数据、获得超级用户权限、对系统的非法访问、进行不许可的操作、拒绝服务、涂改信息、暴露信息、挑战、政治意图、经济利益、破坏等。 攻击者常用的攻击工具 DOS攻击工具 木马程序 BO2000（BackOrifice）：它是功能最全的TCP/IP构架的攻击工具，可以搜集信息，执行系统命令，重新设置机器，重新定向网络的客户端/服务器应用程序。感染BO2000后机器就完全在别人的控制之下，黑客成了超级用户，用户的所有操作都可由BO2000自带的“秘密摄像机”录制成“录像带”。 “冰河”：冰河是一个国产木马程序，具有简单的中文使用界面，且只有少数流行的反病毒、防火墙才能查出冰河的存在。它可以自动跟踪目标机器的屏幕变化，可以完全模拟键盘及鼠标输入，即在使被控端屏幕变化和监控端产生同步的同时，被监控端的一切键盘及鼠标操作将反映在控端的屏幕。它可以记录各种口令信息，包括开机口令、屏幕保护口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息；它还可以进行注册表操作，包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。 分布式工具 3.1.2 网络攻击的原理 口令入侵：所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。 获取用户账号的方法： 利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上。 利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径。 从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的账号。 查看主机是否有习惯性的账号：有经验的用户都知道，很多系统会使用一些习惯性的账号，造成账号的泄露。 口令入侵（2） 获取用户口令的方法：被用来窃取口令的服务包括FTP、TFTP、邮件系统、Finger和Telnet等。所以，系统管理员对口令的使用应十分小心、谨慎。 通过网络监听非法得到用户口令。 在知道用户的账号后（如电子邮件@前面的部分），利用一些专门软件强行破解用户口令，这种方法不受网段限制。 利用系统安全漏洞。在Windows/Unix操作系统中，用户的基本信息、口令分别存放在某些固定的文件中，攻击者获取口令文件后，就会使用专门的破解程序来解口令。同时，由于为数不少的操作系统都存在许多安全漏洞、Bug或一些其他设计缺陷，这些缺陷一旦被找出，攻击者就可以长驱直入。 放置特洛伊木马程序 特洛伊木马程序可以直接侵入用户的计算机并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的计算机中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当用户连接到因特网上时，这个程序就会通知攻击者，并报告用户的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改用户的计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等，从而达到控制用户的计算机的目的。 WWW的欺骗技术 一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信息掩盖技术。 攻击者修改网页的URL地址，即攻击者可以将自已的Web地址加在所有URL地址的前面。当用户浏览目标网页的时候，实际上是向攻击者的服务器发出请求，于是用户的所有信息便处于攻击者的监视之下，攻击者就达到欺骗的目的了。但由于浏览器一般均设有地址栏和状态栏，当浏览器与某个站点链接时，用户可以在地址栏和状态栏中获得连接中的Web站点地址及其相关的传输信息，由此发现已出了问题。所以攻击者往往在URL地址重写的同时，利用相关信息掩盖技术（一般用Java Script程序来重写地址栏和状态栏），以掩盖欺骗。 电子邮件攻击 电子邮件是Internet上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目标邮箱发送大量内容重复、