1、2006年月11日上午8点多,中国移动的网站首页显示的不是“移动信息专家”,而是一行涂鸦:“恳请移动的话费能便宜点不”原来是中国移动网站遭到黑客突袭。,黑客事件,百度称遭大规模黑客攻击 12日搜索“罢工”近半小时,2006年9月12日17点30分,有北京、重庆等地的网友反映百度无法正常使用,出现“请求超时”()的信息。这次攻击造成了百度搜索服务在全国各地出现了近30分钟的故障。随后,百度技术部门的员工们快速反应,将问题解决并恢复百度服务。9月12日晚上11时37分,百度空间发表了针对不明攻击事件的声明。“今天下午,百度遭受有史以来最大规模的不明身份黑客攻击,导致百度搜索服务在全国各地出现了近3
2、0分钟的故障。”百度首席技术官刘建国对记者说,“黑客使用的攻击手段是同步泛滥(),这是一种分布式服务拒绝()方法。就是通过大量的虚假地址,建立不完整连接,使服务超载,从而不能提供正常的服务。”经过百度技术工程师与不明身份的黑客斗争,百度的搜索服务已经在12日傍晚恢复正常。,黑客事件2,花千骨官网惨遭黑:凶手才15岁,2015年9月12日下午,有网友登陆慈文传媒官网之后发现,慈文传媒官网似乎被黑了,首页显要位置的公司说明文字有明显被黑客修改过的迹象。该说明文字显示:“没有绝对安全的防御,也没有绝对安全的网站!尘缘白客来过,安全检测!(我才15岁别找我),网站有漏洞!请尽快加装防御!”,黑客事件3
3、,五家俄罗斯银行遭到DDoS攻击 黑客索要50比特币,日前有五家俄罗斯银行遭到了网络犯罪分子的DDoS攻击,即分布式拒绝服务攻击。而他们的目的就是索要50比特币,约11000美元,否则将发动更多的DDoS攻击。 俄罗斯央行安全与信息防护部门负责人Artyom Sychev表示,监控渠道已经收到多家主要金融机构将被攻击的信息,并被告知了可能攻击的细节。这意味着俄罗斯境内的一些金融机构都有可能受到攻击。 而目前DDoS攻击已然成为一个庞大的产业,只要有钱,甚至一个普通人都可以借助这些灰色产业的力量进行DDoS攻击。勒索50个比特币还是比较少金额的,要知道大规模的DDoS攻击,只有土豪公司才能扛得住
4、。,黑客事件4,团伙伪造移动官网发短信 每天2000人被骗黑客索要50比特币,轻信10086兑换积分的短信,点开链接下载安装应用后银行卡被盗刷。北京青年报记者梳理发现,此类事件已在全国各地屡次发生,多地公安机关都曾打掉类似的诈骗团伙。根据统计,此类假冒10086积分兑奖网站,致使平均每天2000人受害,损失金额估算在6000万元以上。手机安全专家表示,在手机短信中看到陌生网址不要随意点击和下载来路不明的软件,同时也建议给手机加装安全软件防范此类骗术。,黑客事件5,华尔街日报遭黑客攻击 数千用户信息或泄露 黑客索要50比特币,北京时间10月10日早间消息,道琼斯公司周五披露,有未经授权的黑客入侵
5、了该公司的系统,获取了当前和以往订阅用户的联系方式,并有可能发送欺诈消息。道琼斯表示,在此次数据泄露事故中,有不到3500名用户的支付卡信息泄露。道琼斯是新闻集团旗下公司,以及华尔街日报、MarketWatch和巴伦周刊的母公司。该公司表示,黑客的目的似乎是获取用户的联系方式。,黑客事件6,黑客起源的背景黑客分类黑客攻击的目的常见的黑客攻击方法及入侵技术的发展黑客攻击策略步骤,黑客介绍,1.2黑客分类,黑客起源的背景,1.2黑客分类,灰帽子破解者 破解已有系统 发现问题/漏洞 突破极限/禁制 展现自我 计算机 为人民服务,渴求自由,黑客分类,黑客的行为没有恶意,而入侵者的行为具有恶意。 在网络
6、世界里,要想区分开谁是真正意义上的黑客,谁是真正意义上的入侵者并不容易,因为有些人可能既是黑客,也是入侵者。而且在大多数人的眼里,黑客就是入侵者。所以,在以后的讨论中不再区分黑客、入侵者,将他们视为同一类。,黑客与入侵者,黑客攻击目的,常见的攻击方法及技术的发展,1980,1985,1990,1995,2003,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,工具,攻击者,入侵者水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,2008,高,2012,黑客攻
7、击策略步骤,1.2黑客分类,端口 判断,判断 系统,选择 最简 方式 入侵,分析 可能 有漏 洞的 服务,获取 系统 一定 权限,提 升 为 最 高 权 限,安装 多个 系统 后门,清除 入侵 脚印,攻击其 他系统,获取敏 感信息,作为其 他用途,较高明的入侵步骤,1.2黑客分类,() Nmap(Network mapper)这个号称是目前最好的扫描工具,功能强大,用途多样,支持多种平台,灵活机动,方便易用,携带性强,留迹极少;不但能扫描出TCP/UDP端口,还能用于扫描/侦测大型网络。 它在unix下的扫描速度极快,而且每一项均可达专业水准,特别是他根据指纹对操作系统的判断。,1.2黑客分类
8、,(2) X-Scan X-Scan是国内最著名的综合扫描器之一,它完全免费,是不需要安装的绿色软件、界面支持中文和英文两种语言、包括图形界面和命令行方式。主要由国内著名的民间黑客组织“安全焦点”完成,从2000年的内部测试版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了国内众多黑客的心血。最值得一提的是,X-Scan把扫描报告和安全焦点网站相连接,对扫描到的每个漏洞进行“风险等级”评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞。,1.2黑客分类,缓冲区溢出,使用复杂的密码,系统是否就安全了呢?,常见的情形,讨厌的Windows 又出错了!,0x41414
9、141 ? 到底表示什么意思呢? 不知道.,点确定,关掉算了!,如果能够进行系统调用,刻意调整这个地址, 使它能指向一段系统调用程序, 如CMD.EXE,确定目标,扫描计算机,确定操作系统类型,监听和溢出,获得Shell,即可远程登陆对方计算机,上传漏洞,()扫描找到有漏洞的地址后,直接用老兵的上传工具来把复杂的步骤变简单,只要修改几个数据就可以。工具界面如下图:,上传漏洞,()根据要求填写相关数据,设置好后点击Submit按钮。,上传漏洞,()至此已经成功的拿到webshell,如果服务器权限没有限制即可以修改网站服务器上的任意文件。,拒绝服务攻击 (前例中的百度被攻击),拒绝服务攻击的简称
10、是:DoS(Denial of Service)攻击,凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击,其目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是:计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。,正常的三次握手建立通讯的过程,获得Shell,即可远程登陆对方计算机,软件攻击之特洛伊木马,“灰鸽子”简介 灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵
11、活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。,客户端主界面如图所示:,特点:端口反弹木马的工作原理,使防火墙形同虚设 :在传输层,和传统的木马恰恰相反,被控端(服务端)执行客户端的命令,但它不监听一个端口,而是主动去连接客户端;客户端给服务端下达命令,但它不主动去连接服务端,而是开一个端口监听服务端的连接。 反向连接,被控制电脑“自动上线”:灰鸽子是反向连接的木马,也就是说,被控制电脑会主动连接控制端电脑。冰河、BO 2000这些传统的木马要连接被控端电脑必须告知客户端被控电脑的IP地址
12、和端口等信息,而灰鸽子则不同,灰鸽子的客户端启动后,被控制电脑会争先连接到客户端,如同好友上线。,功能:1)模枋Windows资源管理器,可以对被控制电脑上的文件进行复制、粘贴、删除、重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用;2)可以查看被控制电脑的系统信息、剪切板上的信息等;可以远程操作被控制电脑的进程、服务;可以远程禁用被控制电脑的共享和创建新的共享,还可以把被控制电脑设置为一台代理服务器;3)不但可以连继的捕获远程电脑屏幕,还能把本地的鼠标及键盘操作传送到被控制电脑,实现远程实时控制功能;4)可以监控被控电脑上的摄像头,还有语音监听和发送功能,可以和被控电脑进行语音对话
13、。5)灰鸽子还能模拟注册表编辑器,操作远程注册表就像操作本地注册表一样方便;6)命令广播,如关机、重启或打开网页等,这样单击一个按钮就可以让多台机器同时关机、重启或打开网页等。,黑客攻击的防范,常用的安全防护措施防火墙,入侵检测系统,39,Firewall,Servers,DMZ,Intranet,监控中心,router,攻击者,报警,报警,漏洞扫描系统,地方网管,监控中心,地方网管,地方网管,在黑客正在活动时,捉住他,1,根据系统发生的一些改变推断系统已被入侵,2,根据系统中一些奇怪的现象判断,3,一个用户登录进来许多次,4,一个用户大量地进行网络活动,或者其他一些很不正常的网络操作,5,一
14、些原本不经常使用的账户,突然变得活跃起来,6,发现黑客,估计形势,1,采取措施,2,发现黑客入侵后 的对策,当证实遭到入侵时,采取的第一步行动是尽可能快地估计入侵造成的破坏程度。,2、采取措施,采取措施,(4)管理员可以使用一些工具来监视黑客,观察他们在做什么。这些工具包括snoop、ps、lastcomm和ttywatch等。 (5) ps、w和who这些命令可以报告每一个用户使用的终端。如果黑客是从一个终端访问系统,这种情况不太好,因为这需要事先与电话公司联系。,2、采取措施,采取措施,(6)使用who和netstat可以发现入侵者从哪个主机上过来,然后可以使用finger命令来查看哪些用户登录进远程系统。 (7)修复安全漏洞并恢复系统,不给黑客留有可乘之机。,
