入侵方法和手段.pptVIP

入侵检测技术分析;入侵检测技术分析;第 二章 入侵方法与手段;2.1 网络入侵概述;2.1 网络入侵概述;主要入侵攻击方法;2.1 网络入侵概述;口令破解;漏洞攻击;特洛伊木马 在古希腊人同特洛伊人的战争期间，希腊人佯装撤退并留下一只内部藏有战士的巨大木马，特洛伊人大意中计，将木马拖入特洛伊城。夜晚木马中的希腊战士出来与城外的战士里应外合，攻破了特洛伊城，特洛伊木马的名称也就由此而来。在计算机领域里，有一种特殊的程序，黑客通过它来远程控制别人的计算机，我们把这类程序称为特洛伊木马程序(Trojans)。;;;特洛伊木马攻击;;;; 3．模块化设计思想更为明显。模块化设计是一种潮流，Winamp就是模块化设计的典范，现在的木马也有了模块化设计的程序，像BO、Netbus、Sub7等经典木马都有一些优秀的插件纷纷问世，这就是一个很好的说明。 4．即时通知特性。木马是否已经装入？目标在哪里？如果被攻击对象使用固定的地址，那就比较简单；如果目标使用的是动态IP地址怎么办？用扫描的方法慢了，现在的木马已经有了即时通知的功能，如IRC、ICQ通知等，但还是太少了，也许说不定某天木马程序的即时通知功能变成了一个专门的软件也说不定。 5．更强更多的功能。每个人都不是容易满足的，每当出现强大功能的时候，我们都会期望还有更强大的功能出现，以后的木马的功能会如何呢？究竟木马会发展到什么样的功能，谁也没法预测，但肯定会让大家大吃一惊。 ;木马分类;;拒绝服务攻击;IP欺骗;网络监听;病毒攻击;社会工程攻击;社会工程学攻击 ;社会工程学攻击;2.2 漏洞扫描;2.2 漏洞扫描;漏洞扫描;TCP Connect扫描;TCP SYN扫描;TCP FIN扫描;TCP Xmas扫描;TCP 空扫描;TCP ACK扫描;UDP扫描;;OS Fingerprint技术;2.3 口令破解;2.3 口令破解;口令破解——提纲;口令破解——提纲;字典破解，Dictionary attack ;字典破解工具;阅读;在常用的电子字典密码破解工具中 融入了很多常规的密码设置心理 首先看密码是否为空 第二检查密码是否跟用户名一致 对于8位密码，可在一分钟之内根据用户名排列出所有的组合 管理员可以 限制用户设置与用户名相同的密码 采用锁定策略 用户要有安全意识，使用破解较为困难的密码 例如采用数字、字符（大小写）以及一些特殊符号组成 不要有什么实际意义 不要纯数字或纯字符的密码;暴力破解，brute force attack;口令破解;离线破解;在线破解;口令破解;Windows登录口令验证过程;;登录过程;Winlogon…;SAM文件;LM散列算法;NTLM散列算法;工具： 字典生成器（？？） LC5口令破解程序（？？） 内容： 口令破解 暴力破解;口令破解;Linux口令破解;Linux口令破解;口令加密函数crypt函数;Linux口令破解;FC5口令加密;Linux口令破解;Linux口令破解对策;2.4 拒绝服务攻击;拒绝服务攻击是由人或非人为发起的行动，使你的主机硬件、软件或者两者同时失去工作能力，使你的系统不可访问并因此拒绝合法的用户服务要求。这种攻击往往是针对TCP/IP协议中的某个弱点，或者系统存在的某些漏洞，对目标系统发起的大规模进攻致使攻击目标无法向合法的用户提供正常的服务。 拒绝服务攻击简单有效，能够产生迅速的效果。2000年2月9日，美国著名的搜索引擎Yahoo、新闻网站CNN、Amazon、eBay等大网站都受到大规模的分布式拒绝服务攻击，服务器连续十几个小时无法工作，造成高达12亿美元的经济损失。;;2.4 拒绝服务攻击;常用的拒绝服务攻击;;3.　SYN flood攻击 SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。 要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始说起：（Three-way Handshake）。 ? ;大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号； 第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。 第三