第八 黑客入侵技术09.pptVIP

案例2. 利用TCP协议实现端口扫描 使用TCP协议，利用Socket连接对方的计算机的某端口，试图和该端口建立连接。 如果建立成功，就说明对方开放了该端口，如果失败了，就说明对方没有开放该端口。 例如：TCP connect()扫描。 扫描器调用socket的connect()函数，通过三次握手与目标主机的指定端口建立一次完整的连接。 如果端口是打开的，则连接成功 否则，连接失败 优点 简单，不需要特殊的权限。 缺点 服务器可以记录下客户的连接行为，如果同一个客户轮流对每一个端口发起连接，则可判断该客户一定是在扫描。 案例3 , 使用工具软件PortScan进行端口扫描 看对方开放了哪些端口。使用工具软件PortScan。 主界面： 如：对09的计算机进行端口扫描。 在Scan文本框中输入IP地址，点击按钮“START”, 开始扫描如图： 第二步： 攻击实施 先利用掌握的信息获得对目标的访问权限，然后实施攻击。 一般来说，搜索、探测和攻击最可能发生的时间是深夜。 （为什么？） 一般来说： 破坏性的攻击 利用已有的攻击工具实现。 入侵性的攻击 先利用搜集到的信息找到系统漏洞，获得访问权限。再利用攻击工具。 包括：通信协议（TCP/IP等）自身存在的或配置不当而产生的漏洞、操作系统内在缺陷或用户使用的程序语言本身的安全隐患等。 例如： 利用缓冲区溢出进行的攻击，就是利用了软件上的漏洞。 常见的网络攻击 1. 口令入侵 强制口令猜测 对所有可能的口令进行反复猜测。 字典攻击 自动地从某个计算机字典中取出所有的条目，一个接一个地作为口令发送到目标系统中去尝试，最终可能会碰到正确的口令。 攻击口令文件 利用目标系统自身存在的漏洞，盗用其口令文件。 截取口令 如网络监听或记录用户的击键得到用户的口令。 间谍经常使用窃听器窃取敌方的秘密信息，同样，在网络上也存在同它类似的软件和硬件，被称为Sniffer，即网络窃听器。借助它可以掌握对手的重要信息，如帐号、口令等等。 在局域网中要实现监听，主机网卡应怎样设置？ 局域网（ 广播式网络）。 在数据包的报头中包含目标机的地址。 只有与这个地址一致的那台主机才会接收其数据包。 但是，当主机工作在监听模式（网卡设成混杂模式）时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。 一台计算机可以监听同一网段所有的数据 2. 网络窃听 监听软件： 除了非常著名的Sniffer监听软件 以外，还有哪些常用的监听软件？（课后了解） Sniffer 的检测与防范 检测 . 搜索所有正在运行的进程。 . 搜索Sniffer。　 防范 使用可靠的通信加密方法以避免用户名、口令及重要数据的明文传输。 案例4：监听工具-Win Sniffer 的使用 Win Sniffer专门用来截取局域网内的密码，比如登录FTP，登录Email等的密码。主界面: (1)设置 只要做简单的设置就可以进行密码抓取，点击工具栏图标“Adapter”，设置网卡，这里设置为本机的物理网卡就可以，如图: (2) 抓取密码 使用DOS命令行连接远程的FTP服务，如图： （3）显示会话过程 打开Win Sniffer，看到刚才的会话过程已经被记录下来了，显示了会话的一些基本信息，如图： 网络通信是基于分组的，分组的传输经过不同的路径最后在目的地组装，信息分组中包括源地址和目的地址，黑客可对其进行修改。 黑客创建一个看似发自某一站点的信息分组，当Internet上的计算机看到一个分组来自于它所信任的计算机时，它就会认为对方发出的信息分组也是可信的。 3. IP欺骗 Internet对每台计算机的命名方案称为域名系统（DNS）。域名和IP地址是一一对应的，域名易于记忆，用得更普遍。当用户要和Internet上某台计算机交换信息时，只需使用域名，网络会自动转换成IP地址，找到该台计算机。 DNS系统的安全问题： DNS服务器并非总是真实的，也有可能存在欺骗。 4. DNS欺骗 隐藏在正常程序中的一段具有特殊功能