第七章黑客攻击和防范.ppt

黑客攻击与防范 第七章 黑客攻击与防范 本章主要内容： 第一节 黑客攻击介绍 第二节 黑客攻击常用工具 第三节 黑客攻击常见的两种形式 第四节 黑客攻击的防范 知识点 黑客攻击的目的、黑客攻击的三个阶段 黑客攻击的常用工具、黑客攻击的防备 网络监听及其检测 扫描器及其使用 来自E-mail的攻击、E-mail的安全策略 特洛伊木马程序及其检测、删除 难 点 黑客攻击的防备 网络监听及其检测 特洛伊木马程序及其检测、删除 要求 熟练掌握以下内容： 什么是黑客？黑客攻击的目的、常用工具及攻击的防备 网络监听及其检测方法 来自E-mail的攻击、E-mail的安全策略 特洛伊木马程序及其检测、删除 了解以下内容： ?E-mail的安全漏洞 特洛伊木马的存在形式 第一节 黑客攻击介绍 黑客与入侵者 黑客攻击的目的 黑客攻击的三个阶段 黑客攻击手段 7.1.1黑客与入侵者 黑客的行为没有恶意，而入侵者的行为具有恶意。 在网络世界里，要想区分开谁是真正意义上的黑客，谁是真正意义上的入侵者并不容易，因为有些人可能既是黑客，也是入侵者。而且在大多数人的眼里，黑客就是入侵者。所以，在以后的讨论中不再区分黑客、入侵者，将他们视为同一类。 7.1.2 黑客攻击的目的 1．窃取信息 2．获取口令 3．控制中间站点 4．获得超级用户权限 7.1.3 黑客攻击的3个阶段 1．确定目标 ? 2．搜集与攻击目标相关的信息，并找出系统的安全漏洞 ? 3．实施攻击 7.1.4黑客攻击手段 1．黑客往往使用扫描器 2．黑客经常利用一些别人使用过的并在安全领域广为人知的技术和工具。 3．黑客利用Internet站点上的有关文章 4．黑客利用监听程序 5．黑客利用网络工具进行侦察 6．黑客自己编写工具 第二节 黑客攻击常用工具 网络监听 扫描器 7.2.1 网络监听 1.网络监听简介 所谓网络监听就是获取在网络上传输的信息。通常，这种信息并不是特定发给自己计算机的。一般情况下，系统管理员为了有效地管理网络、诊断网络问题而进行网络监听。然而，黑客为了达到其不可告人的目的，也进行网络监听。 2. 在以太网中的监听 （1）以太网中信息传输的原理。 以太网协议的工作方式：发送信息时，发送方将对所有的主机进行广播，广播包的包头含有目的主机的物理地址，如果地址与主机不符，则该主机对数据包不予理睬，只有当地址与主机自己的地址相同时主机才会接受该数据包，但网络监听程序可以使得主机对所有通过它的数据进行接受或改变。 （2）监听模式的设置 要使主机工作在监听模式下，需要向网络接口发送I/O控制命令；将其设置为监听模式。在UNIX系统中，发送这些命令需要超级用户的权限。在UNIX系统中普通用户是不能进行网络监听的。但是，在上网的Windows 95中，则没有这个限制。只要运行这一类的监听软件即可，而且具有操作方便，对监听到信息的综合能力强的特点。 （3）网络监听所造成的影响 网络监听使得进行监听的机器响应速度变得非常慢 3. 常用的监听工具 （1）snoop snoop可以截获网络上传输的数据包，并显示这些包中的内容。它使用网络包过滤功能和缓冲技术来提供有效的对网络通信过滤的功能。那些截获的数据包中的信息可以在它们被截获时显示出来，也可以存储在文件中，用于以后的检查。 Snoop可以以单行的形式只输出数据包的总结信息，也可以以多行的形式对包中信息详细说明。 2．Sniffit软件 Sniffit是由Lawrence Berkeley实验室开发的，运行于Solaris、SGI和Linux等平台的一种免费网络监听软件，具有功能强大且使用方便的特点。使用时，用户可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。 4. 网络监听的检测 方法一： 对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。如果他的IP stack不再次反向检查的话，就会响应。这种方法依赖于系统的IP stack，对一些系统可能行不通。 方法二： 往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能下降。通过比较前后该机器性能（icmp echo delay等方法）加以判断。这种方法难度比较大。 方法三： 一个看起来可行的检查监听程序的