6-黑客攻击及防范技术-new.ppt

教学目标 了解黑客发展的简史及黑客攻击技术的发展 了解黑客攻击的常用技术及攻击过程，有针对性的防范黑客攻击 了解IDS的原理及典型的入侵检测系统 要点内容 黑客攻击技术概略 暴力攻击、拒绝服务攻击、缓冲区溢出 特洛伊木马攻击 常见安全防范技术 入侵检测技术 能力要求 掌握常见黑客攻击类型的原理及症状 掌握暴力攻击的防范方法 了解一般攻击防范技术 了解IDS 6.1 网络黑客及攻击技术 黑客 最初的黑客（Hacker）指热心于计算机技术，水平高超的计算机专家，尤其是程序设计人员，具备以下两个条件： 高超的专业技术，热衷于解决问题、克服限制超越极限，对操作系统十分感兴趣 遵守行为准则，从来不会恶意破坏造成他人或社会损失 骇客（Cracker）即破解者。骇客是从事恶意破解商业软件、恶意入侵别人网站等事物的人 黑客和骇客根本的区别是：黑客进行的是建设，而骇客进行的是破坏 Kevin Mitnick 1964年生于美国加州的洛杉矶，米特尼克3岁时,父母离异, 性格变得孤僻 1979年，15岁的米特尼克成功地入侵了北美防空指挥部的主机 1983年，因非法通过ARPA网进入五角大楼的电脑网络而被判管教6个月 1988年因为入侵数字设备公司DEC再度被捕 1994年7月，米特尼克被《时代》杂志选为封面人物。被列入FBI十大通缉犯的行列 1995年，米特尼克被捕?，而且未经审判就关押了4年半，一直被关押在监狱里不得保释 黑客攻击技术 主动方式和被动方式： 主动方式即通过网络主动发送违规或恶意请求，使目标系统失去响应甚至得到目标系统的控制权，从而达到进一步破坏的目的 被动方式即利用互联网可交互的特点，在网上发布或者给客户一些含有恶意代码的网页、软件、电子邮件，当其他用户浏览网页、运行软件、打开电子邮件时，恶意代码在用户主机中破坏系统或者安装后门，使用户对计算机失去控制 黑客攻击技术 服务拒绝攻击 利用型攻击 信息收集型攻击 假消息攻击 黑客攻击的一般过程 隐藏自己 预攻击探测 采取攻击行为 获得攻击目标的控制权 消除痕迹 1-暴力攻击 黑客通过运行程序实施海量连续测试口令，智能并自动地猜测用户密码的行为（利用字典和规则集等手段）通常就称为暴力攻击 其方法是系统地尝试字母、数字和符号的每种可能组合，直到发现一个可起作用的正确组合 暴力攻击—症状 来自于相同IP地址的多次失败登录 来自于相同IP地址的，使用多个用户名的登录 来自于多个不同IP地址的相同账户的登录 一次使用中，过多地占用和消耗带宽 失败登录尝试按字母顺序使用连续的用户名和密码 使用某人邮件或IRC客户的引用URL进行登录 通过http://user:password@/login.htm格式，引用包含用户名和密码的URL 暴力攻击--防范 锁定账户 暂停登录 封锁多次登录失败的IP地址 对失败的密码使用不可预测的行为 2-缓冲区溢出攻击--概念 缓冲区溢出是一种在各种操作系统、应用软件中普遍存在的危险漏洞 缓冲区是内存中存放数据的地方，如果没有足够的空间就会发生缓冲区溢出 缓冲区溢出攻击--概念 一个程序经过编译和处理后所形成的代码段和数据都存放在内存中，通常数据段会在代码段前面，如果数据段占用了代码段的位置，就会造成代码无法执行，从而使该进程崩溃 如果黑客精心构造攻击代码，就有可能改写代码段的执行命令，从而让代码段执行攻击者所期望执行的操作 缓冲区溢出攻击--方式 代码放置（植入法、参数传递法） 控制转移（函数返回地址、函数指针、长跳转缓冲区 ） 放置综合代码的流程控制 缓冲区溢出攻击--防范 正确的编写代码 非执行的缓冲区 检查数组边界 程序指针完整性检查 3-特洛伊木马攻击 –概念Radmin 木马是一种恶意程序，在用户不知情的情况下运行，攻击者可获得远程访问和控制系统的权限 大多数木马具有远程控制功能 木马经常隐藏在游戏和小软件中，当用户从不正规的网站上下载和运行带恶意代码的软件或邮件附件时，木马就植入到了用户的计算机中 特洛伊木马攻击 –概念 木马程序包含客户端和服务器端两个程序。当服务器端在目标计算机上被执行后，木马程序开启默认的端口从而实现监听 客户机给服务器的程序发出连接请求要求时，就响应有关程序开始运行实现对答客户机的应答，这样就建立了服务器端程序跟客户端之间的连接 建立连接后，指令从客户端发出，而服务器中进行指令的分析与执行，并将数据传送到客户端，以达到控制主机的目的 特洛伊木马攻击--分析 目标主机的感染与植入 脚本种植技术 利用脚本方式植入 利用系统漏洞植入，利用系统的其他一些漏洞进行植入 远程安装 自动加载 进程隐藏以及文件隐藏 特洛伊木马--防范及应对 意识层面