信息安全导论 教学课件 作者 印润远 第6章 鉴别与防御黑客入侵.pptVIP

第6章 鉴别与防御“黑客”入侵 6.1 攻击的目的 6.2 攻击的类型 6.3 攻击的实施 6.4 黑客攻击的鉴别 6.5 关于作假的详述 思考题 6.1 攻击的目的 6.1.1 进程的执行 6.1.2 获取文件和传输中的数据 6.1.3 获取超级用户的权限 6.1.4 对系统的非法访问 6.1.5 进行不许可的操作 6.1.6 拒绝服务 6.1.7 涂改信息 6.1.8 暴露信息 6.1.1 进程的执行 1. 中间站点 攻击者为了攻击的需要，往往就会找一个中间的站点来运行所需要的程序，并且这样也可以避免暴露自己的真实目的。即使被发现了，也只能找到中间的站点地址。 2. 潜在的危险 (1) 占用了大量的处理器的时间，使主机的响应时间变得非常长。 (2) 目标主机的信任度受到严重影响，可能导致目标主机损失一些受信任的站点或网络。 (3) 入侵者可能将一笔账单转嫁到目标主机上，这在从网上获取收费信息时是很有可能的。 6.1.2 获取文件和传输中的数据 攻击者的目标就是系统中重要的数据，因此，攻击者有时通过登录目标主机，或者使用网络监听程序进行攻击。监听到的信息可能是非常重要的信息，如远程登录的用户账号和口令，也可能是关于站点公司的商业机密。 6.1.3 获取超级用户的权限 每一个入侵者都希望获取到超级用户的权限。当取得了这种权限后，就可以完全隐藏自己的行踪，在系统中埋伏下一个方便的后门，可以修改资源的配置，为自己得到更多的好处。 在Unix系统中运行网络监听程序必须有这种权限，因此在一个局域网中，只有掌握了一台主机的超级用户权限，才可以说掌握了整个子网。 6.1.4 对系统的非法访问 这种攻击的目的并不一定是要做什么，或许只是为了访问而攻击。在一个有许多Windows 系统的用户网络中，常常有许多用户把自己的目录共享出来，于是别人就可以从容地在这些计算机上浏览、寻找自己感兴趣的东西，或者删除更换文件。 6.1.5 进行不许可的操作 许多的用户都有意无意地去尝试尽量获取超出允许的一些权限，于是便寻找管理员在设置中的漏洞，或者去找一些工具来突破系统的安全防线，例如，特洛伊木马就是一种使用很广泛的手段。 6.1.6 拒绝服务 拒绝服务便是一种有目的的破坏行为了。拒绝服务的方式很多，如将连接局域网的电缆接地，向域名服务器发送大量的无意义的请求，使得它无法完成从其他的主机来的名字解析请求，制造网络风暴，让网络中充斥大量的封包，占据网络的带宽，延缓网络的传输等。 6.1.7 涂改信息 涂改信息包括对重要文件的修改、更换、删除，是一种极恶劣的攻击行为。不真实的或者错误的信息都将对用户造成很大的损失。 6.1.8 暴露信息 攻击者窃取信息时，往往将这些信息和数据送到一个公开的FTP站点，或者利用电子邮件寄往一个可以得到的地方，等以后再从这些地方取走。这样做可以很好隐藏自己。 将这些重要的信息发往公开的站点造成了信息的扩散，由于那些公开的站点常常会有许多人访问，因而其他用户完全有可能得到这些信息，并再次扩散出去。 6.2 攻击类型 6. 2. 1 口令攻击 6. 2. 2 社会工程 6. 2. 3 缺陷和后门 6. 2. 4 鉴别失败 6. 2. 5 协议失败 6. 2. 6 信息泄漏 6. 2. 7 拒绝服务 6.2.1 口令攻击 1．攻击手段 黑客攻击目标时常常把破译普通用户的口令作为攻击的开始。先用“finger远端主机名”找出主机上的用户账号，然后就采用字典穷举法进行攻击。 2．防范的办法 保持口令安全的要点如下： （1）不要将口令写下来； （2）不要将口令存于电脑文件中； （3）不要选取显而易见的信息作口令； （4）不要让别人知道； （5）不要在不同系统上使用同一口令； （6）为防止眼明手快的人窃取口令，在输入口令时应确认无人在身边； （7）定期改变口令，至少6个月要改变一次。 6.2.2 社会工程 1. 社会工程途径 通常包括打电话和某些胆大妄为的行为，如曾在ATT发生过这样的事情：“我是肯·汤普森。有人打电话问我l s命令产生的一个问题，他希望我修复一下。” “哦，好的!我能做点什么吗?” “只需把我登录到你的计算机的口令改一下。我已经有一段时间没有使用它了” 。“没问题!” 2. 邮件哄骗 C E R T Advisory CA-91: 04（1991年4月18日）警告提防以系统管理员的名义发出的可疑报文，要求用户运行一些需要用户输入口令的“测试程序”。 6.2.3 缺陷和后门 1. 密码破解后门