淮安信息职业技校计算机应用课件网络入侵与防范.ppt

第5讲 网络入侵与防范 Internet网络的开放性与共享性决定了它容易受到外界攻 击与破坏。计算机在网络中时时刻刻会受到来自各方面的、各 式各样的扫描和攻击，如利用计算机操作系统本身提供的网络 服务来非法访问，使用专门的扫描软件扫描系统，通过邮件和 实时通信软件发送病毒和木马以及利用系统本身的漏洞来破坏 等。任何试图破坏信息系统的完整性、机密性、可信性的网络 活动都称为入侵。 本讲所涉及内容由于操作性强，极易被学习者掌握并在现 实网络中实施攻击，因此在此声明，所有内容均只为学习网络 安全技术目的而设，禁止使用该攻击技术非法探测他人主机， 否则后果自负。 5.1 入侵与防范技术概述 入侵是一件系统性很强的工作，一般包括准备、实施和善后 三个阶段。 1.入侵的准备阶段 1)确定入侵的目的 目的决定手段。黑客攻击的常见目的有破坏型和入侵型两 种：破坏型攻击只是破坏攻击目标，使其不能正常工作，而不 能随意控制目标系统的运行，一般常用拒绝服务攻击（DoS）; 入侵型攻击是要获得一定的权限来控制攻击目标，一般利用服 务器操作系统、应用软件和网络协议存在的漏洞来进行攻击， 或者通过密码泄露、入侵者靠猜测或者穷举法来得到服务器用 户的密码，从而获得管理员权限。相比较而言，后者比前者更 为普遍，威胁性也更大。因为黑客一旦获取入侵目标的管理员 权限就可以对此服务器做任意动作，包括破坏性的入侵。 2)信息收集 确定入侵目的之后，接下来的工作就是收集尽量多的关于 入侵目标的信息，主要包括目标主机的操作系统类型及版本， 提供的服务和各服务器程序的类型与版本，以及相关的社会信 息。 操作系统类型及版本不同也就意味着其系统漏洞有很大 区别，所以入侵的方法也完全不同。要确定一台服务器的操作 系统一般是靠经验，有些服务器的某些服务显示信息会泄露其 操作系统的类型和版本信息。 提供的服务和各服务器程序的类型与版本决定了可以利 用的漏洞。服务通常是通过端口来提供的，因此通过端口号可 以断定系统运行的服务，例如80或8080端口对应的是WWW服 务，21端口对应的是FTP服务，23端口对应的是Telnet服务 等，当然管理员完可以按自已的意愿修改服务所对应的端口号 来迷惑入侵者。在不同服务器上提供同一种服务的软件也可以 不同，例如同样是提供FTP服务，可以使用wuftp、proftp， ncftp等许多不同种类的软件，通常管这种软件叫做daemon。 确定daemon的类型版本也有助于黑客利用系统漏洞攻击成功 相关的社会信息是指一些与计算机本身没有关系的社会信 息，例如网站所属公司的名称、规模，网络管理员的生活习 惯、电话号码等。这些信息有助于黑客进行猜测，如有些网站 管理员用自已的电话号码做系统密码，如果掌握了该电话号 码，就等于掌握了管理员权限。 进行信息收集可以手工进行，也可以利用工具来完成，完 成信息收集的工具叫做扫描器。用扫描器收集信息的优点是速 度快，可以一次对多个目标进行扫描。 2.入侵的实施阶段 入侵者在收集到足够的信息之后就开始实施攻击行动。作为 破坏性攻击，只需利用工具发动攻击即可。而作为入侵性攻 击，往往要利用收集到的信息，找到其系统漏洞，然后利用该 漏洞获取一定的权限，对系统进行部分访问或修改，最终目的 是获得系统最高权限，完全控制系统。 系统漏洞分为远程漏洞和本地漏洞两种。远程漏洞是指黑客 可以在别的机器上直接利用该漏洞进行入侵并获取一定的权 限，这种漏洞的威胁性相当大。黑客的入侵一般都是从远程漏 洞开始的，利用远程漏洞获取普通用户的权限，再配合本地漏 洞来把获得的权限进行扩大，常常是扩大至系统的管理员权 限。只有获得了最高的管理员权限之后，才可以做诸如网络监 听、打扫痕迹之类的事情。 要完成权限的扩大，可以利用已获得的权限在系统上执行利 用本地漏洞的程序，也可以放一些木马之类的欺骗程序来套取 管理员密码，这种木马是放在本地套取最高权限用的，而不能 进行远程控制。 3.入侵的善后工作 如果入侵者完成入侵后就立刻离开系统而不做任何善后工 作，那么他的行踪将很快被系统管理员发现，因为所有的网络 操作系统一般都提供日志记录功能，会把系统上发生的动作记 录下来。所以，为了自身的隐蔽性，黑客一般都会抹掉自已在 日志中留下的痕迹。 清除入侵痕迹的方法主要有禁止系统审计、删除事件日志 记录、隐藏作案工具等。最直接的方法就是删除日志文件，这 样避免了自已被系统管理员追踪到，但是容易被管理员察觉系 统遭到了入侵。