淮安信息职业技校计算机应用课件：网络入侵与防范.pptVIP

第5讲 网络入侵与防范;5.1 入侵与防范技术概述 入侵是一件系统性很强的工作，一般包括准备、实施和善后 三个阶段。 1.入侵的准备阶段 1)确定入侵的目的 目的决定手段。黑客攻击的常见目的有破坏型和入侵型两 种：破坏型攻击只是破坏攻击目标，使其不能正常工作，而不 能随意控制目标系统的运行，一般常用拒绝服务攻击（DoS）; 入侵型攻击是要获得一定的权限来控制攻击目标，一般利用服 务器操作系统、应用软件和网络协议存在的漏洞来进行攻击， 或者通过密码泄露、入侵者靠猜测或者穷举法来得到服务器用 户的密码，从而获得管理员权限。相比较而言，后者比前者更 为普遍，威胁性也更大。因为黑客一旦获取入侵目标的管理员 权限就可以对此服务器做任意动作，包括破坏性的入侵。; 2)信息收集 确定入侵目的之后，接下来的工作就是收集尽量多的关于 入侵目标的信息，主要包括目标主机的操作系统类型及版本， 提供的服务和各服务器程序的类型与版本，以及相关的社会信 息。 操作系统类型及版本不同也就意味着其系统漏洞有很大 区别，所以入侵的方法也完全不同。要确定一台服务器的操作 系统一般是靠经验，有些服务器的某些服务显示信息会泄露其 操作系统的类型和版本信息。 提供的服务和各服务器程序的类型与版本决定了可以利 用的漏洞。服务通常是通过端口来提供的，因此通过端口号可 以断定系统运行的服务，例如80或8080端口对应的是WWW服 务，21端口对应的是FTP服务，23端口对应的是Telnet服务 等，当然管理员完可以按自已的意愿修改服务所对应的端口号;来迷惑入侵者。在不同服务器上提供同一种服务的软件也可以 不同，例如同样是提供FTP服务，可以使用wuftp、proftp， ncftp等许多不同种类的软件，通常管这种软件叫做daemon。 确定daemon的类型版本也有助于黑客利用系统漏洞攻击成功 相关的社会信息是指一些与计算机本身没有关系的社会信 息，例如网站所属公司的名称、规模，网络管理员的生活习 惯、电话号码等。这些信息有助于黑客进行猜测，如有些网站 管理员用自已的电话号码做系统密码，如果掌握了该电话号 码，就等于掌握了管理员权限。 进行信息收集可以手工进行，也可以利用工具来完成，完 成信息收集的工具叫做扫描器。用扫描器收集信息的优点是速 度快，可以一次对多个目标进行扫描。 ;2.入侵的实施阶段 入侵者在收集到足够的信息之后就开始实施攻击行动。作为 破坏性攻击，只需利用工具发动攻击即可。而作为入侵性攻 击，往往要利用收集到的信息，找到其系统漏洞，然后利用该 漏洞获取一定的权限，对系统进行部分访问或修改，最终目的 是获得系统最高权限，完全控制系统。 系统漏洞分为远程漏洞和本地漏洞两种。远程漏洞是指黑客 可以在别的机器上直接利用该漏洞进行入侵并获取一定的权 限，这种漏洞的威胁性相当大。黑客的入侵一般都是从远程漏 洞开始的，利用远程漏洞获取普通用户的权限，再配合本地漏 洞来把获得的权限进行扩大，常常是扩大至系统的管理员权 限。只有获得了最高的管理员权限之后，才可以做诸如网络监 听、打扫痕迹之类的事情。 要完成权限的扩大，可以利用已获得的权限在系统上执行利;用本地漏洞的程序，也可以放一些木马之类的欺骗程序来套取 管理员密码，这种木马是放在本地套取最高权限用的，而不能 进行远程控制。 3.入侵的善后工作 如果入侵者完成入侵后就立刻离开系统而不做任何善后工 作，那么他的行踪将很快被系统管理员发现，因为所有的网络 操作系统一般都提供日志记录功能，会把系统上发生的动作记 录下来。所以，为了自身的隐蔽性，黑客一般都会抹掉自已在 日志中留下的痕迹。 清除入侵痕迹的方法主要有禁止系统审计、删除事件日志 记录、隐藏作案工具等。最直接的方法就是删除日志文件，这 样避免了自已被系统管理员追踪到，但是容易被管理员察觉系 统遭到了入侵。所以常见的方法是对日志文件中有关自已的那 一部分进行修改。针对不同的操作系统，需要使用不同的处理 方法，最好是入侵后能够马上关闭审计功能，否则在入侵后要;仔细将相关日志清除和修改，以免遗漏。 在清除完痕迹、隐蔽攻击行为后，攻击者往往会有意识地 在系统的不同部分布置陷阱或开辟一个“后门”，以便下次入侵 时能以特权用户的身份从容控制整个系统，也为日后利用该受 害主机作为跳板，去攻击其他的目标提供方便。创建“后门”的 主要方法有：创建具有特权用户权限的虚假用户帐号、安装批 处理、感染启动文件、植入远程控制服务、安装监控机制、利 用特洛伊木马替换系统程序