黑客与攻击技术.ppt

2.8.3　木马攻击的原理 1．配置木马。主要实现两个功能：木马伪装和信息反馈 2. 传播木马 3. 运行木马 4. 信息泄露 5. 建立连接 6. 远程控制。享受的权限：窃取密码，文件操作，修改注册表和 系统操作 传播方式，主要有两种：E-mail和软件下载 伪装方式，主要有：修改图标，捆绑文件，出错显示，定制端口， 自我销毁和木马更名 由触发条件激活木马，大致有：注册表，Win.ini，system.ini Autoexec.bat，*.ini，文件关联，捆绑文件和启动菜单 木马运行过程，常用端口有：1～1024为保留端口，4000为通信 端口QQ，6667为IRC的通信端口，1025以上的连续端口 2.8.4　木马攻击的防范 1．提高防范意识 2．使用杀毒软件或木马专杀工具 3．发现系统导常及时断开网络 4．及时修补漏洞并关闭可疑的端口 5．运行实时监控程序 * 如图一，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。 程序运行的结果如下： 即i的值为前面已经打印的字符串“china”的长度——5。利用这一点，很容易改变某个内存变量的值。 例 #include stdio.h int main() { int i = 5; printf(“%108u%n\t”,1,(int*)i);printf(“i=%d\n”,i); printf(“%58s123%n\t”,””,i);printf(“i=%d\n”,i); } 程序执行结果如下： 2.6.3　缓冲区溢出的危害性 在UNIX平台上，通过发掘Buffer Overflow, 可以获得一个交互式的shell 在Windows平台上，可以上载并执行任何的代码 溢出漏洞发掘起来需要较高的技巧和知识背景，但是，一旦有人编写出溢出代码，则用起来非常简单 与其他的攻击类型相比，缓冲区溢出攻击 不需要太多的先决条件 杀伤力很强 技术性强 在Buffer Overflows攻击面前，防火墙往往显得很无奈 2.6.4　缓冲区溢出的防范 （1）编写正确的代码 编写安全的程序代码是解决缓冲区溢出漏洞的最根本办法。在程序开发时就要考虑可能的安全问题，杜绝缓冲区溢出的可能性，尤其在C程序中使用数组时，只要数组边界不溢出，那么缓冲区溢出攻击就无从谈起，所以对所有数组的读写操作都应控制在正确的范围内，通常通过优化技术来实现之。 （2）非执行的缓冲区 非执行的缓冲区技术是指通过使被攻击程序的数据段地址空间不可执行，从而使得攻击者不可能执行被攻击程序输入缓冲区的代码。 （3）指针完整性检查 堆栈保护是一种提供程序指针完整性检查的编译器技术，通过检查函数活动记录中的返回地址来实现。指针完整性检查是指在程序指针被引用之前先检测它是否被改变，一旦改变主不会被使用。 （4）用好安全补丁 实际上，让普通用户解决其遇到的安全问题是不现实的，用补丁修补缺陷则是一个不错的，也是可行的解决方法。 2.7　拒绝服务攻击2.7.1　拒绝服务攻击的概念 DoS是一种简单有效的攻击方式，其目的是使服务器拒绝正常的访问，破坏系统的正常运行，最终使部分网络连接失败，甚至网络系统失效。从广义上来讲任何导致服务器不能正常提供服务的攻击都叫做拒绝服务攻击。 DoS攻击一般分为两类：停止某个服务和资源消耗 2.7.2　拒绝服务攻击的原理 DoS的基本原理是：首先攻击者向服务器发送大量的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的信息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再传送一批请求，在这种反复发送地址请求的情况下，服务器资源最终会被耗尽。 icmp洪水　　正常情况下，为了