《第6章543621898》-公开·课件设计.pptVIP

6.1.2 端口扫描的原理 下面介绍入侵者们如何利用上述这些信息，来隐藏自己的端口扫描。 1．TCP connect( )扫描 2．TCP SYN扫描 3．TCP FIN扫描 4．Fragmentation 扫描 5．UDP recfrom( )和write( )扫描 6．ICMP扫描 6.1.3 端口扫描的工具 1．NSS NSS，即网络安全扫描器，是一个非常隐蔽的扫描器。 2．SATAN SATAN的英文全称为Security Administrator Tool for Analyzing Networks，即安全管理员的网络分析工具。SATAN是一个分析网络的安全管理、测试与报告工具。 3．Strobe Strobe是一个超级优化TCP端口检测程序，能快速地识别指定机器上正运行什么服务，用于扫描网络漏洞。它可以记录指定机器的所有开放端口。 1．监听的可能性 网络监听是黑客们常用的一种方法。 表6.1描述了在通常的一些传输介质上，信息被监听的可能性。 3．攻击的几个过程 （1）使计算机C的网络部分不能正常工作 （2）找到计算机B发出的包的系列号 （3）实施攻击 （4）建立一个更好的后门 4．IP欺骗出现的频率 主要表现为以下几个方面： （1）企图湮灭一个网络，中断正常的网络流量； （2）企图破坏两个机器之间的连接，禁止访问可用服务； （3）企图阻止某一特定用户对网络上服务的访问； （4）企图破坏一个特定系统或使其不能提供正常访问。 可见拒绝服务的目的不在于闯入一个站点或更改其数据，而在于使站点无法服务于合法的请求。入侵者并不单纯为了进行拒绝服务而入侵，往往是为了完成其他的入侵而必须做准备。 2．被DDoS入侵时的现象 （1）被入侵主机上有大量等待的TCP连接； （2）网络中充斥着大量无用的数据包，源地址为假； （3）高流量无用数据造成网络拥塞，受害主机无法正常和外界通信； （4）由于提供的服务或传输协议上的缺陷，受害主机反复接收高速发出的特定服务请求，以至于无法及时处理所有正常请求； （5）严重时会系统死机。 3．DDoS的体系结构 （2）ISP/ICP管理员 （3）骨干网络运营商 在对付特洛伊木马程序方面，综合起来，有以下几种办法和措施。 （1）提高防范意识。 （2）多读readme.txt文件。 （3）使用杀毒软件。 （4）立即挂断。 （5）观察目录。 （6）在删除特洛伊木马之前，最重要的一项工作是备份文件和注册表。 （4）在收信时，一旦看见邮件列表的数量超过平时正常邮件数量的很多倍，应当马上停止下载邮件，然后再从服务器删除炸弹邮件。 （5）不要认为邮件发送有回复功能，就可以报复发炸弹的人，发件人有可能是用的假地址发信，这个地址也许填得和收件人地址相同。 （6）可以用一些工具软件来防止邮件炸弹，下面介绍常见的防范邮件炸弹工具软件。 ① BombSquad ② E-mail Chomper ③ Spammer slammer ④ Bounce Spam Mail ⑤ Spam Hater 6.7.2 制造缓冲区溢出 6.7.3 通过缓冲区溢出获得用户shell 6.5 特洛伊木马 特洛伊木马程序并不是一种病毒，因为它不具有病毒的可传染性、自我复制能力等特性，但是特洛伊木马程序具有很大的破坏力和危害性。 6.5.1 特洛伊木马程序简介 特洛伊木马程序是指任何提供了隐藏的与用户不希望的功能的程序。 6.5.2 特洛伊木马程序的位置和危险级别 特洛伊木马程序代表了—种很高级别的威胁危险，主要是有以下几个原因。 （1）特洛伊木马程序很难被发现。 （2）在许多情况下，特洛伊木马程序是在二进制代码中发现的，它们大多以无法阅读的形式存在。 （3）特洛伊木马程序可以作用于许多机器中。 6.5.3 特洛伊木马的类型 1．远程访问型特洛伊木马 2．密码发送型特洛伊木马 3．键盘记录型特洛伊木马 4．毁坏型特洛伊木马 5．FTP型特洛伊木马 6.5.4 特洛伊木马的检测 若要检测在文件或操作系统中特洛伊木马程序是否存在，首先用户必须对所用的操作系统有比较深入的认识，此外还应对加密知识和一些加密算法有一定的了解。 1．检测的基本方法 2．检测工具MD5 6.5.5 特洛伊木马的防范 1．特洛伊木马的基本工作原理 特洛伊木马程序一般存在于注册表、win.ini文件或system.ini文件中，因为系统启动的时候需要装载这3个文件。 下面从几个方面具体说明特洛伊木马程序是怎样自动加载的。 在win.ini文件中的[WINDOWS]下面，“run=”和“load=”是可能加载特洛伊木马程序的途径。