黑客常用的系统攻击.pptVIP

DDoS攻击时序(分布式拒绝服务) 2.7拒绝服务攻击 3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。 攻击者 目标系统 发起攻击： 指令 攻击的代理程序 4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。 虚假的连接请求 2.7拒绝服务攻击 实验 拒绝服务攻击演示实验 分布式拒绝服务攻击演示实验 冰盾防火墙的演示实验 2.8缓冲区溢出 把1升的水注入容量为0.5升的容量中 通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。 2.8.1缓冲区溢出原理 Windows系统的内存结构 2.8.1缓冲区溢出原理 什么是缓冲区溢出 缓冲区溢出指的是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。 2.8.2缓冲区溢出实例 void function(char *str) { ???char buffer[16]; ???strcpy(buffer,str); } void main() { ??char large_string[256]; ??int i; ??for( i = 0; i 255; i++) ????large_string[i] = A; ??function(large_string); } 2.8.2缓冲区溢出实例 利用OllyDbg调试工具加载overflow.exe文件 调用strcpy()函数时堆栈的填充情况 2.8.2缓冲区溢出实例 2.8.2缓冲区溢出实例 执行strcpy()函数的过程 2.8.2缓冲区溢出实例 溢出结果 黑客常用的系统攻击教材 谢谢 2.3.1口令攻击实验 通过猜测或获取口令文件等方式获得系统认证口令 从而进入系统 危险口令类型： 用户名 用户名变形 生日 常用英文单词 5位以下长度的口令 【课堂实战】口令破解smbcrack2 入侵系统psexec 2.4网络监听 Sniffer原理: Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。 采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。 2.4.1网络监听概述 网卡工作原理 网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。 2.4.1网络监听概述 网卡的工作模式 普通方式： 混杂模式（promiscuous）：够接收到一切通过它的数据 2.4.1网络监听概述 Username: herma009cr Password: hiHKK234 cr 以太网（HUB） FTP Login Mail 普通用户A 服务器C 嗅探者B 网络监听原理 Username: herma009cr Password: hiHKK234 cr 2.4.1网络监听概述 网络监听原理 一个sniffer需要作的： 把网卡置于混杂模式。 捕获数据包。 分析数据包 2.4.1网络监听概述 HUB工作原理 2.4.1网络监听概述 HUB工作原理 2.4.1网络监听概述 交换环境下的SNIFF 2.4.1网络监听概述 交换环境下的SNIFF 2.4.1Sniffer演示实验 Wireshark的使用 2.4.1Sniffer演示实验 课堂演练 【例1】嗅探FTP过程 【例2】嗅探HTTP登录邮箱的过程 【例3】嗅探POP邮箱密码的过程 【问题】常见的邮箱中，哪些是加密的，哪些是不加密的？ 扩展例子：嗅探网络信使（net send）的过程 2.4.1Sniffer演示实验 如何防止SNIFF 进行合理的网络分段 用SSH加密 Sniffer往往是入侵系统后使用的，用来收集信息，因此防止系统被突破。 防止内部攻击。 AntiSniff 工具用于检测局域网中是否有机器处于混杂模式 （不是免费的） 2.5ARP欺骗攻击 ARP欺骗的工作原理 交换环境下的ARP欺骗攻击及其嗅探演示实验（见教材P47） 2.5ARP欺骗攻击 实验拓扑 2.6木马 木马是一种基于远程控制的黑客工具 隐蔽性 潜伏性 危害性 非授权性 2.6木马 木马与病毒、远程控制的区别 病毒程序是以自发性的败坏为目的 木马程序是依照黑客的命令来运作