网络安全知识与安全组网技术李文媛.pptVIP

5.5.6 端口扫描技术 (3)TCP FIN扫描 多数过滤器能过滤SYN报文，但是允许FIN报文通过，而且日志系统一般不会记录FIN报文，利用这一特点的扫描就是TCP FIN扫描。 TCP FIN的扫描过程是： 扫描主机向目标主机的端口发送一个请求连接的FIN报文，如果FIN数据包到达一个开放的端口，则数据包将被丢弃，不返回任何信息； 相反，如果到达一个未开放的端口，TCP就会认为是错误的，数据包被丢掉，并返回一个RST数据包，以此判断出目标端口是否开放。 5.5.6 端口扫描技术 (4)IP段扫描 这种方法不直接发送TCP探测数据包，而是预先将数据包分成两个较小的IP数据包传送给目的主机，目标主机收到这些IP分片后会把它们组合还原为原先TCP探测数据包。 将数据包分片的目的是使之能够通过防火墙和包过滤器，因为有些防火墙和包过滤器对分片单个检查，发现不了分片重组之后的数据包所具有的扫描功能。 5.5.6 端口扫描技术 防范技术 (1)关闭闲置和有潜在危险的端口 可以采用“定向关闭指定服务的端口”和“只开放允许端口”的方式，在操作系统中关闭掉一些闲置端口。 “定向关闭指定服务的端口”是将计算机的一些闲置的“服务”关闭掉，其对应的端口也就被关闭了。 “只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候只允许系统的一些基本网络通信需要的端口即可。 (2)检查各端口，有端口扫描的症状时，立即屏蔽该端口 借助软件及网络防火墙来抵御端口扫描，并设定好防火墙拦截端口扫描的规则，有端口扫描的症状时，立即屏蔽该端口。 5.5.7 特洛伊木马 1. 定义 特洛伊木马 (Trojan Horse) 简称木马，是指隐藏在正常程序中的一段具有特殊功能的恶意代码。它不是病毒，因为它不具备病毒的可传染性、自我复制能力等特性，但它是一种具备破坏和删除文件、发送密码、记录键盘及其他特殊功能的后门程序。 如在用户不知情的情况下拷贝文件或窃取密码。随着互联网的迅速发展，特洛伊木马的攻击、危害性越来越大。 5.5.7 特洛伊木马 特性： 1.隐蔽性： （1）不产生图标：木马虽然在系统启动时会自动运行，但它不会在任务栏中产生图标。 （2）木马程序以系统服务的方式欺骗操作系统，能够自动在任务管理器中隐藏。 2.自动运行性：木马为了控制服务器端，必须在系统启动时同时启动，所以必须潜入启动配置文件中，如Win.ini、System.ini、Winstart.bat等文件。 3.功能的特殊性：搜索缓存中的密码、设置密码、扫描目标机器IP、进行键盘记录、锁定IP等。 4.自动恢复功能：删除木马中的一个程序后，其他程序会对它进行恢复。 5.能自动打开特别的端口 6.体积小 5.5.7 特洛伊木马 2. 原理 特洛伊木马程序采用C/S模式工作，它包括服务端和客户端两个程序，缺掉其中任何一个都很难发生攻击，因为木马不具有传染性，所以服务器端程序是以其他方式进入被入侵的计算机，当服务器端置入被攻击机后，会在一定情况下开始运行（如用户主动运行或重新启动电脑，因为很多木马程序会自动加入到启动信息中），这时它就在被攻击主机上打开一个1024以上端口，并一直监听这个端口，等待客户机端连结。 5.5.7 特洛伊木马 配置程序 木马程序 控制程序 木马服务器端 木马控制端(客户端) 配置 控制 响应 5.5.7 特洛伊木马 木马的客户端一般运行在攻击机上，当攻击机上的客户端向被攻击机上的这一端口提出连接请求时，被攻击机上的服务端就会自动运行，来应答攻击机的请求，如果服务端在该端口收到数据，就对这些数据进行分析，然后按识别后的命令在被攻击机上执行相应的操作，如窃取用户名和口令、复制或删除文件、重新启动或关闭计算机等。木马隐藏着可以控制被攻击的系统危害系统安全的功能，可能造成对方资料和信息的泄漏、破坏，甚至使整个系统崩溃。 5.5.8 口令破译 口令认证是计算机网络中安全管理的重要组成部分，目前很多网络环境都利用口令认证机制来管理用户入网，口令是用来确认用户身份的一种最常用方法，由于它的输入和管理方式简单，一直广泛应用于网络安全。 但是它有脆弱性，一旦入侵者或黑客获得了一个用户尤其是管理员的帐号及口令，就可以非法闯入网络系统，进行肆意地破坏，给整个网络系统带来不可估量的损失。因此口令破译成了黑客常用的一种入侵手段。 5.5.8 口令破译 口令破解是一个程序，它能将口令解译出来，或是让口令保护失效。 与信息的加/解密不同，口令破解器一般不是对加密后的口令执行解密操作以获取口令，因为很多系统对口令的加密使用了不可逆的算法，如MD5、SHA1等。这时，仅从被加密的数据和加密算法不可能解密出原来未加密的口令。 因此，口令破解器通常尝试每一个单词，用口