1、1黑客入侵技术黑客入侵技术黑客入侵技术黑客入侵技术2端 端 端 端 口 口 口 口 扫 扫 扫 扫 描 描 描 描网 网 网 网 络 络 络 络 监 监 监 监 听 听 听 听IP电子欺骗 电子欺骗 电子欺骗 电子欺骗拒绝服务攻击 拒绝服务攻击 拒绝服务攻击 拒绝服务攻击 特洛伊木马 特洛伊木马 特洛伊木马 特洛伊木马 E-mail 炸 炸 炸 炸 弹 弹 弹 弹缓冲区溢出 缓冲区溢出 缓冲区溢出 缓冲区溢出3黑客攻击介绍 黑客与入侵者 黑客攻击的目的 黑客攻击的三个阶段 黑客攻击手段4黑客与入侵者 黑客的行为没有恶意,而入侵者的行为具有恶意。 在网络世界里,要想区分开谁是真正意义上的黑客,谁
2、是真正意义上的入侵者并不容易,因为有些人可能既是黑客,也是入侵者。而且在大多数人 的眼里,黑客就是入侵者。所以,在以后的讨论中 不再区分黑客、入侵者,将他们视为同一类。 5黑客攻击的目的1窃取信息2获取口令3控制中间站点4获得超级用户权限6黑客攻击的 3个阶段1确定目标 2搜集与 攻 击 目 标 相 关 的 信 息 , 并 找 出 系 统 的 安全漏洞 3实施攻击7黑客攻击手段1黑客往往使用扫描器2黑客经常利用一些别人使用过的并在安全领域广为人知的技术和工具。3黑客利用Internet站点上的有关文章4黑客利用监听程序5黑客利用网络工具进行侦察6黑客自己编写工具86.1 端 口 扫 描扫描器简
3、介扫描器简介扫描器简介扫描器简介 扫 描 器 是 一 种 自 动 检 测 远 程 或 本 地 主 机 安 全 性弱 点 的 程 序 , 通 过 使 用 它 扫 描 TCP端 口 , 并 记 录 反 馈信 息 , 可 以 不 留 痕 迹 地 发 现 远 程 服 务 器 中 各 种 TCP端口 的 分 配 、 提 供 的 服 务 和 它 们 的 软 件 版 本 。 这 就 能直观地或间接地了解到远程主机存在的安全问题。9扫描器简介扫描器和监听工具一样,不同的人使用会有不同的扫描器和监听工具一样,不同的人使用会有不同的扫描器和监听工具一样,不同的人使用会有不同的扫描器和监听工具一样,不同的人使用会有
4、不同的结果:如果系统管理员使用了扫描器,它将直接有助结果:如果系统管理员使用了扫描器,它将直接有助结果:如果系统管理员使用了扫描器,它将直接有助结果:如果系统管理员使用了扫描器,它将直接有助于加强系统安全性;而对于黑客来说,扫描器是他们于加强系统安全性;而对于黑客来说,扫描器是他们于加强系统安全性;而对于黑客来说,扫描器是他们于加强系统安全性;而对于黑客来说,扫描器是他们进行攻击入手点,不过,由于扫描器不能直接攻击网进行攻击入手点,不过,由于扫描器不能直接攻击网进行攻击入手点,不过,由于扫描器不能直接攻击网进行攻击入手点,不过,由于扫描器不能直接攻击网络漏洞,所以黑客使用扫描器找出目标主机上各
5、种各络漏洞,所以黑客使用扫描器找出目标主机上各种各络漏洞,所以黑客使用扫描器找出目标主机上各种各络漏洞,所以黑客使用扫描器找出目标主机上各种各样的安全漏洞后,利用其他方法进行恶意攻击。样的安全漏洞后,利用其他方法进行恶意攻击。样的安全漏洞后,利用其他方法进行恶意攻击。样的安全漏洞后,利用其他方法进行恶意攻击。10()端口 许多 TCP/IP程序可以通过 Internet启动,这些程序大都是面向客户 /服务器的程序。当 inetd接收到一个连接请求时,它便启动一个服务,与请求客户服务 的机器通讯。为简化这一过程,每个应用程序(比如 FTP、 Telnet) 被赋予一个唯一的地址,这个地址称为端口
6、。在一般的 Internet服务器上都有数千个端口,为了简便和高效,为每个指定端口都设计了一个标准的数据帧。换句话说,尽管系统管理员可以把服务绑 定( bind) 到他选定的端口上,但服务一般都被绑定到指定的端口上,它们被称为公认端口。 6.1.2 端口扫描的原理1()端口扫描简介 端口扫描是一种获取主机信息的好方法。 端口扫描程序对于系统管理人员,是一个非常简便实用的工具。 如果扫描到一些标准端口之外的端口,系统管理员必须清楚这些端口提供了一些什么服务,是不是允许的。 12(3) 端口扫描的原理端口扫描的原理端口扫描的原理端口扫描的原理下面介绍入侵者们如何利用上述这些信息,下面介绍入侵者们如
7、何利用上述这些信息,下面介绍入侵者们如何利用上述这些信息,下面介绍入侵者们如何利用上述这些信息,来隐藏自己的端口扫描。来隐藏自己的端口扫描。来隐藏自己的端口扫描。来隐藏自己的端口扫描。1 TCP conect( )扫描 扫描 扫描 扫描2 TCP SYN扫描 扫描 扫描 扫描3 TCP FIN扫描 扫描 扫描 扫描4 Fragmentaion 扫描 扫描 扫描 扫描5 UDP recfrom( )和 和 和 和 write( )扫描 扫描 扫描 扫描6 ICMP扫描 扫描 扫描 扫描136.1.3 常用的扫描工具常用的扫描工具常用的扫描工具常用的扫描工具() () () ()网络分析工具网络分
8、析工具网络分析工具网络分析工具SATN SATN是一个分析网络的安全管理和测是一个分析网络的安全管理和测是一个分析网络的安全管理和测是一个分析网络的安全管理和测试、报告工具。它用来收集网络上主机的许试、报告工具。它用来收集网络上主机的许试、报告工具。它用来收集网络上主机的许试、报告工具。它用来收集网络上主机的许多信息,并可以识别且自动报告与网络相关多信息,并可以识别且自动报告与网络相关多信息,并可以识别且自动报告与网络相关多信息,并可以识别且自动报告与网络相关的安全问题。对所发现的每种问题类型,的安全问题。对所发现的每种问题类型,的安全问题。对所发现的每种问题类型,的安全问题。对所发现的每种问
9、题类型,SATN都提供对这个问题的解释以及它可能都提供对这个问题的解释以及它可能都提供对这个问题的解释以及它可能都提供对这个问题的解释以及它可能对系统和网络安全造成的影响的程度。通过对系统和网络安全造成的影响的程度。通过对系统和网络安全造成的影响的程度。通过对系统和网络安全造成的影响的程度。通过所附的资料,它还解释如何处理这些问题。所附的资料,它还解释如何处理这些问题。所附的资料,它还解释如何处理这些问题。所附的资料,它还解释如何处理这些问题。(扫描器的鼻祖, 扫描器的鼻祖, 扫描器的鼻祖, 扫描器的鼻祖, perl编写) 编写) 编写) 编写)14()网络安全扫描器()网络安全扫描器()网络
10、安全扫描器()网络安全扫描器NS 网络安全扫描器是一个非常隐蔽的扫描器。网络安全扫描器是一个非常隐蔽的扫描器。网络安全扫描器是一个非常隐蔽的扫描器。网络安全扫描器是一个非常隐蔽的扫描器。如果你用流行的搜索程序搜索它,你所能发如果你用流行的搜索程序搜索它,你所能发如果你用流行的搜索程序搜索它,你所能发如果你用流行的搜索程序搜索它,你所能发现的入口不超过现的入口不超过现的入口不超过现的入口不超过20个。这并非意味着个。这并非意味着个。这并非意味着个。这并非意味着NS使使使使用不广泛,而是意味着多数载有该扫描器的用不广泛,而是意味着多数载有该扫描器的用不广泛,而是意味着多数载有该扫描器的用不广泛,而
11、是意味着多数载有该扫描器的FTP的站点处在暗处,或无法通过的站点处在暗处,或无法通过的站点处在暗处,或无法通过的站点处在暗处,或无法通过WWW搜搜搜搜索器找到它们。索器找到它们。索器找到它们。索器找到它们。(它最根本的价值在于它的速它最根本的价值在于它的速它最根本的价值在于它的速它最根本的价值在于它的速度,它运行速度非常快度,它运行速度非常快度,它运行速度非常快度,它运行速度非常快 )15()()()()Strobe 超级优化超级优化超级优化超级优化TCP端口检测程序端口检测程序端口检测程序端口检测程序Strobe是一是一是一是一个个个个TCP端口扫描器。它具有在最大带宽利用端口扫描器。它具有
12、在最大带宽利用端口扫描器。它具有在最大带宽利用端口扫描器。它具有在最大带宽利用率和最小进程资源需求下,迅速地定位和扫率和最小进程资源需求下,迅速地定位和扫率和最小进程资源需求下,迅速地定位和扫率和最小进程资源需求下,迅速地定位和扫描一台远程目标主机或许多台主机的所有描一台远程目标主机或许多台主机的所有描一台远程目标主机或许多台主机的所有描一台远程目标主机或许多台主机的所有TCP“监听监听监听监听”端口的能力。端口的能力。端口的能力。端口的能力。 16(4)Internet Scaner Iteret caer可以说是可得到的最快可以说是可得到的最快可以说是可得到的最快可以说是可得到的最快和功能
13、最全的安全扫描工具,用于和功能最全的安全扫描工具,用于和功能最全的安全扫描工具,用于和功能最全的安全扫描工具,用于UNIX和和和和Windows NT。它容易配置,扫描速度快,并它容易配置,扫描速度快,并它容易配置,扫描速度快,并它容易配置,扫描速度快,并且能产生综合报告。且能产生综合报告。且能产生综合报告。且能产生综合报告。 17( 5)Port Scaner ort caer是一个运行于是一个运行于是一个运行于是一个运行于Windows 95和和和和Windws NT上的端口扫描工具,其开始界上的端口扫描工具,其开始界上的端口扫描工具,其开始界上的端口扫描工具,其开始界面上显示了两个输入框
14、,上面的输入框用于面上显示了两个输入框,上面的输入框用于面上显示了两个输入框,上面的输入框用于面上显示了两个输入框,上面的输入框用于要扫描的开始主机要扫描的开始主机要扫描的开始主机要扫描的开始主机IP地址,下面的输入框用地址,下面的输入框用地址,下面的输入框用地址,下面的输入框用于输入要扫描的结束主机于输入要扫描的结束主机于输入要扫描的结束主机于输入要扫描的结束主机IP地址。在这两个地址。在这两个地址。在这两个地址。在这两个IP地址之间的主机将被扫描。地址之间的主机将被扫描。地址之间的主机将被扫描。地址之间的主机将被扫描。 18( 6) Nmap 世界上最受黑客欢迎的扫描器,能实现秘密扫描、动
15、态延迟、重发与平行扫描、欺骗 扫描、端口过滤探测、 RPC直接扫描、分布扫描等,灵活性非常好,功能强大196.2 网 络 监 听6.2.1 网络监听的原理网络监听的原理网络监听的原理网络监听的原理 当信息以明文的形式在网络上传播时,黑客就可以使用监听的方式来进行攻击。只要将网络接口 设置为监听模式,便可以源源不断地将网上传输的信息截获。监听只能是同一个网段的主机。这里同 一个网段是指物理上的连接,因为不是同一个网段 的数据包,在网关就被滤掉了,传不到该网段来。 网络监听的最大用处是获得用户口令。201监听的可能性 监听的可能性 监听的可能性 监听的可能性网络监听是黑客们常用的一种方法。网络监听
16、是黑客们常用的一种方法。网络监听是黑客们常用的一种方法。网络监听是黑客们常用的一种方法。表表表表6.1描述了在通常的一些传输介质上,信息描述了在通常的一些传输介质上,信息描述了在通常的一些传输介质上,信息描述了在通常的一些传输介质上,信息被监听的可能性。被监听的可能性。被监听的可能性。被监听的可能性。21表 6.1不同的数据链路上传输的信息被监听的可能性无线电本来就是一个广播型的传输媒介,任何有一个无线电接收机的人 都可以截获那些传输的信息高微波和无线电 许多已经开发出来的、使用有线电视信号发送 IP数据包的系统都依靠 RF调制解调器, RF调制解调器使用 个 TV通道用于上行;一个用于下行;
17、在这些线路上传输的信息没有加密,因此,可以被一些能在物理上 访问到 TV电缆的人截听高IP通过有线电视电话线可以被一些与电话公司协作的人或者 些有机会在物理上访问到线路的人搭线窃听,在微波线路上的信息也会被截获;在实际中,高速 的调制解调器将比低速的调制解调器搭线窃听困难一些,因为高速调制 解调器中引入了许多频率中等电话线 尽管令牌网内在的并不是一个广播网络,但实际上,带有令牌的那些包 在传输过程中,平均也要经过网络上一半的计算机,高的数据传输率可 以使监听变得困难高FDIToken_ringEthernet网是一个广播型的网络, Internet的大多数包监听事件都是一些运行在一台计算机中的
18、包监听程序的结果,这台计算机和其他计算机, 一个网关或者路由器形成一个以太网高Ethernet 说 明监听的可能性数 据 链 路22以太网中可以监听的原因 以太网中可以监听的原因 以太网中可以监听的原因 以太网中可以监听的原因 当 主 机 工 作 在 监 听 模 式 下 , 那 么 , 无 论 数 据 包中的目标物理地址是什么,主机都将接收。 如果一台主机处于监听模式下,它还能接收到发向与自己不在同 子网(使用了不同的掩码、 IP地址和网关)的主机的那些信息包。 233.监听模式的设置 监听模式的设置 监听模式的设置 监听模式的设置 要使主机工作在监听模式下,需要向网要使主机工作在监听模式下,
19、需要向网要使主机工作在监听模式下,需要向网要使主机工作在监听模式下,需要向网络接口发送络接口发送络接口发送络接口发送I/O O O O控制命令;将其设置为监听模控制命令;将其设置为监听模控制命令;将其设置为监听模控制命令;将其设置为监听模式。在式。在式。在式。在UNIX系统中,发送这些命令需要超级系统中,发送这些命令需要超级系统中,发送这些命令需要超级系统中,发送这些命令需要超级用户的权限。在用户的权限。在用户的权限。在用户的权限。在UNIX系统中普通用户是不能系统中普通用户是不能系统中普通用户是不能系统中普通用户是不能进行网络监听的。但是,在上网的进行网络监听的。但是,在上网的进行网络监听的
20、。但是,在上网的进行网络监听的。但是,在上网的Windows 95中,则没有这个限制。只要运行这一类的中,则没有这个限制。只要运行这一类的中,则没有这个限制。只要运行这一类的中,则没有这个限制。只要运行这一类的监听软件即可,而且具有操作方便,对监听监听软件即可,而且具有操作方便,对监听监听软件即可,而且具有操作方便,对监听监听软件即可,而且具有操作方便,对监听到信息的综合能力强的特点。到信息的综合能力强的特点。到信息的综合能力强的特点。到信息的综合能力强的特点。 244. 常用的监听工具(1)snoop s可以截获网络上传输的数据包,并显示这可以截获网络上传输的数据包,并显示这可以截获网络上传
21、输的数据包,并显示这可以截获网络上传输的数据包,并显示这些包中的内容。它使用网络包过滤功能和缓冲技术些包中的内容。它使用网络包过滤功能和缓冲技术些包中的内容。它使用网络包过滤功能和缓冲技术些包中的内容。它使用网络包过滤功能和缓冲技术来提供有效的对网络通信过滤的功能。那些截获的来提供有效的对网络通信过滤的功能。那些截获的来提供有效的对网络通信过滤的功能。那些截获的来提供有效的对网络通信过滤的功能。那些截获的数据包中的信息可以在它们被截获时显示出来,也数据包中的信息可以在它们被截获时显示出来,也数据包中的信息可以在它们被截获时显示出来,也数据包中的信息可以在它们被截获时显示出来,也可以存储在文件中
22、,用于以后的检查。可以存储在文件中,用于以后的检查。可以存储在文件中,用于以后的检查。可以存储在文件中,用于以后的检查。 Snoop可以以单行的形式只输出数据包的总结可以以单行的形式只输出数据包的总结可以以单行的形式只输出数据包的总结可以以单行的形式只输出数据包的总结信息,也可以以多行的形式对包中信息详细说明。信息,也可以以多行的形式对包中信息详细说明。信息,也可以以多行的形式对包中信息详细说明。信息,也可以以多行的形式对包中信息详细说明。 25(2)Snifit软件软件软件软件Snifit是由是由是由是由Lawrence Berkely实验室开发实验室开发实验室开发实验室开发的,运行于的,运
23、行于的,运行于的,运行于Solais、SG IG G G和和和和Linux等平台等平台等平台等平台的一种免费网络监听软件,具有功能强的一种免费网络监听软件,具有功能强的一种免费网络监听软件,具有功能强的一种免费网络监听软件,具有功能强大且使用方便的特点。使用时,用户可大且使用方便的特点。使用时,用户可大且使用方便的特点。使用时,用户可大且使用方便的特点。使用时,用户可以选择源、目标地址或地址集合,还可以选择源、目标地址或地址集合,还可以选择源、目标地址或地址集合,还可以选择源、目标地址或地址集合,还可以选择监听的端口、协议和网络接口等。以选择监听的端口、协议和网络接口等。以选择监听的端口、协议
24、和网络接口等。以选择监听的端口、协议和网络接口等。266.2.2 网络监听的检测网络监听的检测网络监听的检测网络监听的检测1简单的检测方法 简单的检测方法 简单的检测方法 简单的检测方法( 1)方法一 对于怀疑运行监听程序的机器,用正确的 IP地址和错误的物理地址去 ping, 运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址, 处于监听状态的机器能接收。 ( 2)方法二 往网上发大量不存在的物理地址的包,由于监听程序将处理这些包,会导致性能下降。通过比较前后 该机器性能( icmp echo delay等方法)加以判断。 27(3) 方法三方法三方法三方法三 一个看起来可行
25、的检查监听程序的方法是搜索一个看起来可行的检查监听程序的方法是搜索一个看起来可行的检查监听程序的方法是搜索一个看起来可行的检查监听程序的方法是搜索所有主机上运行的进程。那些使用所有主机上运行的进程。那些使用所有主机上运行的进程。那些使用所有主机上运行的进程。那些使用DOS、Windows for Workgroup或者或者或者或者Windows 95的机器很难做到这一的机器很难做到这一的机器很难做到这一的机器很难做到这一点。而使用点。而使用点。而使用点。而使用UNIX和和和和Windows NT的机器可以很容易地的机器可以很容易地的机器可以很容易地的机器可以很容易地得到当前进程的清单。得到当前
26、进程的清单。得到当前进程的清单。得到当前进程的清单。28方法四:方法四:方法四:方法四: 另外一个办法就是去搜索监听程序,入侵者很可能使用另外一个办法就是去搜索监听程序,入侵者很可能使用另外一个办法就是去搜索监听程序,入侵者很可能使用另外一个办法就是去搜索监听程序,入侵者很可能使用的是一个免费软件。管理员就可以检查目录,找出监听程的是一个免费软件。管理员就可以检查目录,找出监听程的是一个免费软件。管理员就可以检查目录,找出监听程的是一个免费软件。管理员就可以检查目录,找出监听程序,但这很困难而且很费时间。在序,但这很困难而且很费时间。在序,但这很困难而且很费时间。在序,但这很困难而且很费时间。
27、在UNIX系统上,人们可能不系统上,人们可能不系统上,人们可能不系统上,人们可能不得不自己编写一个程序。另外,如果监听程序被换成另一个得不自己编写一个程序。另外,如果监听程序被换成另一个得不自己编写一个程序。另外,如果监听程序被换成另一个得不自己编写一个程序。另外,如果监听程序被换成另一个名字,管理员也不可能找到这个监听程序。名字,管理员也不可能找到这个监听程序。名字,管理员也不可能找到这个监听程序。名字,管理员也不可能找到这个监听程序。 用于要扫描的开始主机用于要扫描的开始主机用于要扫描的开始主机用于要扫描的开始主机IP地址,下面的输入框用于输入要扫描地址,下面的输入框用于输入要扫描地址,下
28、面的输入框用于输入要扫描地址,下面的输入框用于输入要扫描的结束主机的结束主机的结束主机的结束主机IP地址。在这两个地址。在这两个地址。在这两个地址。在这两个IP地址之间的主机将被扫描。地址之间的主机将被扫描。地址之间的主机将被扫描。地址之间的主机将被扫描。292对付一个监听 对付一个监听 对付一个监听 对付一个监听3其他防范监听的方法 其他防范监听的方法 其他防范监听的方法 其他防范监听的方法4 ifstaus工具 工具 工具 工具306.3 IP电子欺骗 电子欺骗 电子欺骗 电子欺骗6.3.1 关于盗用关于盗用关于盗用关于盗用IP地址地址地址地址 惟 一 留 下 马 脚 的 是 物 理 地 址 有 可 能 被 记 录 下来 , 如 果 盗 用 的 是 另 一 网 段 台 主 机 的 IP地 址 ,一 般 情 况 下 是 不 行 的 , 因 为 在 正 常 通 信 时 , 将 收不到从对方返回的 IP数据包。