电子商务安全：第3章 计算机病毒防治与黑客攻防.pptVIP

* * * * * * * * * * * * * * * * * * * * * * 扫描内容 战争拨号 网络测绘 端口扫描 漏洞扫描 躲避IDS * 战争拨号 战争拨号是搜寻调制解调器 查找电话号码：电话薄、Intenet、whois、web站点、社交工程 工具 THC－scan 2.0 * 网络测绘 网络测绘是绘制目标的网络拓扑结构 发现活跃主机 Ping TCP或UDP数据包扫描 跟踪路由： Traceroute（UNIX） Tracert（Windows） 网络测绘工具 Cheops： /cheops/ * 端口扫描 SYN扫描 * 扫描的目的 发现活跃的主机 发现开放的端口 确定目标使用的操作系统 协议栈指纹（Fingerprint） * 如何扫描防火墙 NMAP扫描目标主机开放端口 如何扫描防火墙，确定其开放端口呢？ * Firewall 路由器 路由器 防火墙 TTL=4 Port=1, TTL=4 Port=2, TTL=4 Port=3, TTL=4 Port=4, TTL=4 超时消息 * 漏洞扫描 漏洞扫描寻找以下漏洞 一般的配置错误 默认的配置缺点 知名系统的漏洞 漏洞扫描的组成 漏洞数据库 用户配置工具 扫描引擎 当前活跃的知识库 结果库和报告生成工具 漏洞 数据库 用户配置工具 扫描引擎 活跃的知识库 结果库和 报告生成 * 漏洞扫描工具 SARA， /sara. SANT, /saint/ Nessus, ...... * Nessus Nessus以插件形式提供漏洞检查 Nessus基于客户/服务器结构 客户 服务器 * 躲避IDS 上述扫描均存在“网络噪音”，易被IDS识别出来 如何躲避IDS？ IDS如何工作？ 如何躲避？ * IDS如何工作 IDS * 如何躲避IDS？ 弄乱流量 改变数据的结构或语法 弄乱上下文 IDS无法识别完整的会话 方法： 网络层躲避 应用层躲避 * 网络层躲避 只使用片断 发送片断泛洪 以意想不到的方式对数据包分段 微小片段攻击 片段重叠 工具：fragroute * Fragrouter * 应用层躲避 躲避IDS CGI： whisker( ) URL编码 /./目录插入 过早结束的URL 长URL 假参数 TAB分隔 大小写敏感 Windows分隔符(‘\’) 空方法 会话拼接（在网络层分片） * 网络攻击阶段及工具 侦察 扫描 决绝服务攻击 掩盖踪迹和隐藏 使用应用程序和操作 系统的攻击获得访问权 使用网络攻击 获得访问权 维护访问权 * 使用应用程序和操作系统的攻击获得访问权 在获得目标潜在的漏洞之后，攻击者将设法获得对目标系统的访问权 脚本小孩的攻击过程： 查找漏洞数据库 下载工具 发送攻击 真正的攻击者：自己动手！ * 总结 反击黑客是一件极为困难的工作 网络攻击工具是一面双刃剑 * * * * * * * * * * * * 第3章 计算机病毒防治与黑客的防范 计算机病毒的概念 * 定义：计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。（国外） 定义：计算机病毒是指破坏计算机功能或者数据，并能自我复制的程序。（国内） 病毒发展史： 1977年科幻小说《The Adolescence of P-1》描写计算机病毒 1983年Fred Adleman首次在VAX 11/750上试验病毒； 1986年Brain病毒在全世界传播； 1988年11月2日Cornell大学的Morris编写的Worm病毒袭击美国6000台计算机，直接损失近亿美元； 八十年代末，病毒开始传入我国 计算机病毒的概念（续） 病毒的特征： 传染性；寄生性；衍生性； 隐蔽性；潜伏性； 可触发性；夺取控制权； 破坏性与危害性 * 计算机病毒的分类 按破坏性分为：良性；恶性。 按激活时间分为：定时；随机 按传染方式分为： 引导型：当系统引导时进入内存，控制系统； 文件型：病毒一般附着在可执行文件上 ； 混合型：既可感染引导区，又可感染文件。 按连接方式分为： OS型：替换OS的部分功能，危害较大； 源码型：要在源程序编译之前插入病毒代码；较少； 外壳型：附在正常程序的开头或末尾；最常见； 入侵型：病毒取代特定程序的某些模块；难发现。 * 计算机病毒的分类（续） 按照病毒特有的算法分为： 伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。 寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。 变型病毒（幽灵病毒）：使用复杂算法，每传播一