【计算机】第7章 黑客攻击与防范.ppt

* * * * * 黑客攻击与防范 * 2. E-mail的安全漏洞 （1）Hotmail Service存在漏洞 （2）sendmail存在安全漏洞 （3）用Web浏览器查看邮件带来的漏洞 （4）E-mail服务器的开放性带来的威胁 （5） E-mail传输形式的潜在威胁 * 黑客攻击与防范 * 3. 匿名转发 所谓匿名转发，就是电子邮件的发送者在发送邮件时，使接收者搞不清邮件的发送者是谁，邮件从何处发送，采用这种邮件发送的方法称为匿名转发，用户接收到的邮件又叫匿名邮件。 * 黑客攻击与防范 * 4. 来自E-mail的攻击 （1） E-mail欺骗 （2） E-mail轰炸 * 黑客攻击与防范 * 5. E-mail安全策略 保护E-mail的有效方法是使用加密签字，如“Pretty Good Privacy”（PGP），来验证E-mail信息。通过验证E-mail信息，可以保证信息确实来自发信人，并保证在传送过程中信息没有被修改。 * 黑客攻击与防范 * 7.3.2特洛伊木马攻击 1. 特洛伊木马程序简介 （1）什么是特洛伊木马 特洛伊木马来自于希腊神话，这里指的是一种黑客程序，它一般有两个程序，一个是服务器端程序，一个是控制器端程序。如果用户的电脑安装了服务器端程序，那么黑客就可以使用控制器端程序进入用户的电脑，通过命令服务器断程序达到控制用户电脑的目的。 * 黑客攻击与防范 * （2）木马服务端程序的植入 攻击者要通过木马攻击用户的系统，一般他所要作的第一步就是要把木马的服务器端程序植入用户的电脑里面。植入的方法有： ① 下载的软件 ② 通过交互脚本 ③ 通过系统漏洞 * 黑客攻击与防范 * （3）木马将入侵主机信息发送给攻击者 木马在被植入攻击主机后，他一般会通过一定的方式把入侵主机的信息、如主机的IP地址、木马植入的端口等发送给攻击者，这样攻击者就可以与木马里应外合控制受攻击主机。 * 黑客攻击与防范 * （4）木马程序启动并发挥作用 黑客通常都是和用户的电脑中木马程序联系，当木马程序在用户的电脑中存在的时候，黑客就可以通过控制器断的软件来命令木马做事。这些命令是在网络上传递的，必须要遵守TCP/IP协议。TCP/IP协议规定电脑的端口有256X256=65536个，从0到65535号端口，木马可以打开一个或者几个端口，黑客使用的控制器断软件就是通过木马的端口进入用户的电脑的。 特洛伊木马要能发挥作用必须具备三个因素： ① 木马需要一种启动方式，一般在注册表启动组中； ② 木马需要在内存中才能发挥作用； ③ 木马会打开特别的端口，以便黑客通过这个端口和木马联系。 * 黑客攻击与防范 * 2. 特洛伊程序的存在形式 (1) 大部分的特洛伊程序存在于编译过的二进制文件中。 (2) 特洛伊程序也可以在一些没有被编译的可执行文件中发现。 * 黑客攻击与防范 * 3. 特洛伊程序的检测 （1）通过检查文件的完整性来检测特洛伊程序。 （2）检测特洛伊程序的技术MD5 MD5属于一个叫做报文摘要算法的单向散列函数中的一种。这种算法对任意长度的输入报文都产生一个128位的“指纹”或“报文摘要”作为输出。它的一个假设前提是：要产生具有同样报文摘要的两个报文或要产生给定报文摘要的报文是不可能的。 * 黑客攻击与防范 * 4. 特洛伊程序的删除 删除木马最简单的方法是安装杀毒软件，现在很多杀毒软件都能删除多种木马。但是由于木马的种类和花样越来越多，所以手动删除还是最好的办法。木马在启动后会被加载到注册表的启动组中，它会先进入内存，然后打开端口。所以在查找木马时要先使用TCPVIEW，而后开始查找开放的可疑端口。 * 黑客攻击与防范 * 发现黑客 发现黑客入侵后的对策 第四节 黑客攻击的防范  * 黑客攻击与防范 * 7.4.1发现黑客 1. 在黑客正在活动时，捉住他 2. 根据系统发生的一些改变推断系统已被入侵 3. 根据系统中一些奇怪的现象判断 4. 一个用户登录进来许多次 5. 一个用户大量地进行网络活动，或者其他一些很不正常的网络操作 6. 一些原本不经常使用的账户，突然变得活跃起来 * 黑客攻击与防范 * 7.4.2 发现黑客入侵后的对策 1.估计形势 当证实遭到入侵时，采取的第一步行动是尽可能快地估计入侵造成的破坏程度。 2. 采取措施 （1）杀死这个进程来切断黑客与系统的连