第7章节黑客原理与防范措施.ppt

第七章黑客原理与防范措施 主要内容 7.1 黑客简介 7.2 黑客攻击的一般步骤 7.3 常见的黑客攻击方法 7.4 黑客攻击防范措施 二、利用型攻击 利用型攻击是一类试图直接对计算机进行控制的攻击，最常见的有3种。 1.密码猜测 概述：一旦黑客识别了一台主机，而且发现了基于NetBIOS、Telnet或NFS这样的服务可利用的用户账号，成功的密码猜测能提供对计算机的控制。 防御：要选用难以猜测的密码，例如大小写字母、数字和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。 密码猜测工具推荐介绍 几乎所有黑客的工具箱内都有密码破解工具。黑客在入侵的第一阶段，通常先尝试破解电脑的密码，而大多数的系统（包括Windows NT 及UNIX）都把密码储存在电脑的特定文件里。黑客偷到这个文件后，就会用工具配合一部字典来进行破解。 密码破解工具的作用，就是通过解码得到密码。破解工具能把字典中的每一个字编码后，比较密码编码的“值”，如果两者相符就找出了密码，这种破解方式又称为“暴力破解”(brute-force crack)。运转破解工具的系统愈快，解码的时间就愈短。它当然也能用来破解上网账号或电子邮箱的密码。 ★L0phtCrack 　　黑客组织“L0pht重工业”(L0pht Heavy Industries)号称是“白帽黑客精英中的摇滚巨星”，它在1997年发表了L0phtCrack这个软件，功效强大且容易使用，按一个键就可以破解密码，连新手也能操作自如。新版本的功能更是先进，利用一台Pentium II 450 电脑，可在一天内破解所有由字母与数字混合的密码。 ☆防御L0phtCrack的基本方法 　　l.应使密码不易被猜中，比如善用各类符号，避免使用字典上的字词。黑客们公认由字母、数字与符号合成的七位数密码(例如a4%H6# )最难破解。 　　2.经常改换密码，最好每隔一个月改一次。 　　3.凡是附带密码机制的项目，例如开机、硬盘、上网、电子邮件等，都要设定密码，不要怕麻烦。 　　4.有些网站要求使用者先设定一个密码才能进入，此时千万不要填入账号或开机密码，因为很多网站会把网友设置的密码储存在一个数据库内，黑客会先试用这些密码。 　　5.不要把密码告诉任何人，如果必须这样做，也不要用电话或电子邮件传递。 　　6.不要用自己的生日、电话号码、车牌号码、姓名或其它的资料当密码，严防身边的黑客。 2. “特洛伊木马” 概述：“特洛伊木马”是一种直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做“后门”程序，程序包括NetBus、BackOrifice和BO2k、冰河，用于控制系统的良性程序如netcat、VNC、pcAnywhere、RemotelyAnywhere。理想的“后门”程序会隐蔽地运行。 防御：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。 “灰鸽子”简介 灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。 软件攻击之特洛伊木马 客户端主界面如图所示： 特点： 　　１．端口反弹木马的工作原理，使防火墙形同虚设 ：在传输层，和传统的木马恰恰相反，被控端（服务端）执行客户端的命令，但它不监听一个端口，而是主动去连接客户端；客户端给服务端下达命令，但它不主动去连接服务端，而是开一个端口监听服务端的连接。 　　２．反向连接，被控制电脑“自动上线”：灰鸽子是反向连接的木马，也就是说，被控制电脑会主动连接控制端电脑。冰河、BO?2000这些传统的木马要连接被控端电脑必须告知客户端被控电脑的IP地址和端口等信息，而灰鸽子则不同，灰鸽子的客户端启动后，被控制电脑会争先连接到客户端，如同ＱＱ好友上线。 功能： 1)模枋Windows资源管理器，可以对被控制电脑上的文件进行复制、粘贴、删除、重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用； 2)可以查看被控制电脑的系统信息、剪切板上的信息等；可以远程操作被控制电脑的进程、服务；可以远程禁用被控制电脑的共享和创建新的共享，还可以把被控制电脑设置为一台代理服务器； 3)不但可以连继的捕获远程电脑屏幕，还能把本地的鼠标及键盘操作传送到被控制电脑，实现远程实时控制功能；