2019年黑客常用的系统攻击方法木马.ppt

防御 ? 发现木马：检查系统文件、注册表、端口 ? 不要轻易使用来历不明的软件 ? 不熟悉的 E-MAIL 不打开 ? 常用杀毒软件并及时升级 ? 合理使用防火墙 ? 在安装新的软件之前，请先备份注册表，在安装完 软件以后，立即用杀毒软件查杀 Windows 文件夹和 所安装的软件的所在文件夹。如果杀毒软件报告有 病毒，这时请将它杀掉，杀毒完成后，重新启动计 算机。 木马传播方式 主动与被动： ? 主动种入 ? 通过 E － mail ? 文件下载 ? 浏览网页 流行木马简介 ? 冰 河 ? back orifice ? Subseven ? 网络公牛 (Netbull) ? 网络神偷 (Nethief) ? 广外男生（是广外女生的一个变种） ? Netspy( 网络精灵 ) 拒绝服务攻击 (DoS) ? DoS--Denial of Service ：现在一般指导致服务器 不能正常提供服务的攻击。 ? DoS 攻击的事件 ： ◎ 2000 年 2 月份的 Yahoo 、亚马逊、 CNN 被 DoS 攻击。 ◎ 2002 年 10 月全世界 13 台 DNS 服务器同时受到了 DDoS （分布式拒绝服务）攻击。 ◎ 2003 年 1 月 25 日的“ 2003 蠕虫王”病毒。 ◎ 2004 年 8 月，共同社报道：日本近期共有上百网 站遭到黑客袭击。 DoS 攻击的分类 1. 以消耗目标主机的可用资源为目的（例如： 死亡之 ping 、 SYN 攻击、 Land 攻击、泪 珠攻击等） 2. 以消耗服务器链路的有效带宽为目的（例 如：蠕虫） 死亡之 Ping ? 对目标 IP 不停地 Ping 探测从而致使目标主机网络瘫 痪。常见工具有蜗牛炸弹、 AhBomb 等。 ? 由于在早期的阶段，路由器对包的最大尺寸都有限 制，许多操作系统对 TCP/IP 栈的实现在 ICMP 包上都 是规定 64KB ，并且在对包的标题头进行读取之后， 要根据该标题头里包含的信息来为有效载荷生成缓冲 区，当产生畸形的，声称自己的尺寸超过 ICMP 上限 的包也就是加载的尺寸超过 64K 上限时，就会出现内 存分配错误，导致 TCP/IP 堆栈崩溃，致使接受方死机。 ? ping -t -l 65500 ip 死亡之 ping( 发送大于 64K 的文件并一直 ping 就成了死亡之 ping) 如何防御 ? 对防火墙进行配置，阻断 ICMP 以及任何未 知协议，都讲防止此类攻击 攻击者 目标主机 SYN SYN/ACK ACK 等待应答 SYN ：同步 SYN/ACK: 同步 / 确认 ACK ：确认 SYN 攻击的原理（ 1 ） . . . . SYN/ACK SYN/ACK SYN/ACK SYN SYN SYN 攻击者 目标主机 SYN SYN/ACK 1 n SYN/ACK SYN/ACK SYN/ACK SYN/ACK . . . . 等待 ACK 应答 . . . . . . . . . 不应答 不应答 重新发送 SYN 攻击的原理（ 2 ） 以 windows 为例 SYN 攻击 花费时间 （秒） 累计花费时间（秒） 第一次，失败 3 3 尝试第 1 次，失败 6 9 尝试第 2 次，失败 12 21 尝试第 3 次，失败 24 45 尝试第 4 次，失败 48 93 尝试第 5 次，失败 96 189 课堂演练 —— SYN 攻击 ? synkiller （图形界面工具） ? syn 等（ DOS 界面工具） 【攻击效果】可通过抓包和查看 CPU 的利用 率来观看攻击效果 ? 死亡之 ping ? SYN Flood ? Land 攻击 ? 泪珠（ Teardrop ）攻击 行行色色的 DOS 攻击 1) 攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。 攻击者 各种客户主机 目标系统 2 ) 攻击者进入其已经发现的最弱的客户主机之内 ( “肉鸡” ) ，并且秘密地 安置一个其可远程控制的代理程序 ( 端口监督程序 demon) 。 攻击准备： 代理程序 DDoS ( 分布式拒绝服务 ) 攻击（ 1 ） 3) 攻击者使他的全部代理程序同时发送由残缺的