第六章 黑客原理与防范措施20.pptVIP

第六章 黑客原理与防范措施 第八节 入侵攻击 拒绝服务攻击 缓冲区溢出攻击 欺骗攻击 一、拒绝服务攻击 所谓“拒绝服务”，并不是一种具体的攻击方式，而是攻击所表现出来的结果，最终使得目标系统因遭受某种程度的破坏而不能急需提供正常的服务，甚至导致物理上的瘫痪或崩溃。通常拒绝服务的攻击可分为：使一个系统或网络瘫痪，攻击停止后，系统或网络仍然瘫痪；向系统或网络发送大量信息，使系统或网络不能响应，系统或网络恢复正常。 一、拒绝服务攻击 常见的拒绝服务攻击 Ping of Death Land Smurf SYN flood 分布式拒绝服务攻击（DDOS）：主要包括攻击者所在机、控制机、傀儡机、受害者。 二、缓冲区溢出攻击 缓冲区溢出，又称堆栈溢出。 利用C语言自身的不安全性。 三、欺骗攻击 ARP数据包欺骗 伪造主机A的IP向网络中不断发送ARP请求。 使用不存在的MAC地址发送数据包。 三、欺骗攻击 DNS欺骗：DNS服务器之间交换信息时，不需要进行身份验证，修改DNS记录。 三、欺骗攻击 Web欺骗 基本网站欺骗。 Man-in-the-middle，将攻击者的机器设置成目标机器的代理服务器，使进入目标机器的所有数据都经过攻击者的机器。 URL重写：攻击者将自己的Web地址隐藏在所有的URL地址中。当用户与站点安全链接时，会毫不设防地进入攻击者的服务器。 三、欺骗攻击 电子邮件欺骗 修改邮件客户身份：修改电子邮件的回复地址。 登录SMTP服务器：直接通过25端口telnet进入服务器，发送信件。 第九节 特洛伊木马 特洛伊木马 特洛伊木马的发展和典型的木马 木马的检测和清除 一、特洛伊木马 什么是后门和木马 特洛伊木马的特点 特洛伊木马的分类 什么是后门和木马 所谓“后门”（backdoor）是指攻击者再次进入网络或者系统而不被发现的隐藏通道。 特洛伊木马是实现后门的一种有效方法。它是一个包含在合法程序中的非法程序，该非法程序在用户不知情的情况下执行。其名称来源于古希腊的特洛伊木马神话。 特洛伊木马的特点 主程序有两个，一个是服务端，另一个是控制端。其中，客户端用于攻击者远程控制植入木马的机器，服务器端程序即木马程序，在主机执行。客户端和服务器端的通信一般基于TCP/IP协议。 一般，特洛伊木马程序都是隐蔽的进程。 当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在接受命令后，会执行相应的任务。 每个系统都存在特洛伊木马。 特洛伊木马的分类 远程访问型。 密码发送型。 键盘记录型。 毁坏型。 FTP型。 二、特洛伊木马的发展和典型的木马 第一代木马：控制端 —— 连接 —— 服务端 第二代木马：服务端 —— 连接 —— 控制端 第一代木马 特点：属于被动型木马。能上传，下载，修改注册表，得到内存密码等。 典型木马：冰河，NetSpy，back orifice（简称：BO，木马之星）、NetBus等。 第二代木马 特点：属于主动型木马。隐蔽性更强，有利用ICMP协议隐藏端口的，有利用DLL（动态连接库）隐藏进程的，甚至出现能传播的木马。 典型木马：网络神偷，广外女生等。 天天安全网： 木马的检测和清除 注意点 木马的检测 木马的清除 注意点 不要养成随意下载一些可执行程序，并执行它的习惯。 尽量不要共享磁盘。 给系统加上个人防火墙和反病毒软件。并注意升级。 木马的检测 使用“系统配置实用程序” 让windows2000可以使用“系统配置实用程序”（c:\windows\PCHealth\HelpCtr\Binaries）,可以实用它对系统的一般、system.ini、win.ini、boot.ini、服务和启动项目进行修改。 查看启动组中是否有非正常项目。 木马的检测 查看注册表 HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrentVersion\RunServicesOnce HKEY_LOCAL_MACHINE\Software\SAM HKEY_CURRENT_USER\Software\