10/24/24Page1第第88章网络攻击与防护章网络攻击与防护黑客及攻击8.1IP欺骗8.2拒绝服务攻击8.3侦察与工具8.4攻击与渗透8.5入侵监测系统IDS8.6审计结果8.710/24/24Page28.18.1黑客及攻击黑客及攻击1.黑客概述在各种媒体上有许多关于Hacker这个名词的定义,一般是指计算机技术的行家或热衷于解决问题、克服限制的人。这可以追溯到几十年前第一台微型计算机刚刚诞生的时代。那时有一个由程序设计专家和网络名人所组成的具有分享特质的文化族群。这一文化族群的成员创造了Hacker这个名词。他们建立了Internet,创造出现在使用的UNIX操作系统,并且让WorldWideWeb传播开来,这就是最早的Hacker。10/24/24Page3也存在另外一个团体,其成员也称自己为Hacker。这些人专门闯入计算机或入侵电话系统,真正的Hacker称他们为入侵者(Cracker),并且不愿意和他们在一起做任何事。Hacker们认为这些人懒惰,不负责任,并且不够光明正大。他们认为,能破解安全系统并不能使你成为一位Hacker。基本上,Hacker和Cracker之间最主要的不同是,Hacker创造新东西,Cracker破坏东西。现在,人们所说的黑客是指Cracker。10/24/24Page422.黑客常用的攻击方法.黑客常用的攻击方法(1)获取口令通过网络监听,非法得到用户口令知道用户的账号后利用一些专门软件强行破解用户口令获得一个服务器上的用户口令文件后,用暴力破解程序破解用户口令(2)放置特洛伊木马程序10/24/24Page5(3)WWW的欺骗技术访问的网页被黑客篡改过,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。(4)电子邮件攻击电子邮件轰炸和电子邮件“滚雪球”电子邮件欺骗(5)通过一个节点来攻击其他节点黑客在突破一台主机后,以此主机作为根据地,攻击其他主机,从而隐藏其入侵路径10/24/24Page6(6)网络监听在网络监听这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送发和接收方是谁。(7)寻找系统漏洞(8)利用账号进行攻击利用操作系统提供的缺省账户和密码进行攻击(9)偷取特权黑客通过非法手段获得对用户机器的完全控制权,甚至是整个网络的绝对控制权。10/24/24Page78.2IP8.2IP欺骗欺骗IP电子欺骗攻击是指利用TCP/IP本身的缺陷进行的入侵,即用一台主机设备冒充另外一台主机的IP地址,与其它设备通信,从而达到某种目的的过程。它不是进攻的结果而是进攻的手段。10/24/24Page88.2.1IP欺骗原理所谓IP欺骗,就是伪造某台主机的IP地址的技术。其实质就是让一台机器来扮演另一台机器,以达到蒙混过关的目的。被伪造的主机往往具有某种特权或者被另外的主机所信任。10/24/24Page9在IP欺骗的状态下,三次握手的情况如下:第一步:黑客假冒A主机IP向服务方B主机发送SYN,告诉B主机是他所信任的A主机想发起一次TCP连接,序列号为数值X,这一步实现比较简单,黑客将IP包的源地址伪造为A主机IP地址即可。第二步:服务方B产生SYNACK响应,并向请求方A主机(注意:是A,不是黑客,因为B收到的IP包的源地址是A)发送ACK,10/24/24Page10ACK的值为X+1,表示数据成功接收到,且告知下一次希望接收到字节的SEQ是X+1。同时,B向请求方A发送自己的SEQ,注意,这个数值对黑客是不可见的。第三步:黑客再次向服务方发送ACK,表示接收到服务方的回应——虽然实际上他并没有收到服务方B的SYNACK响应。这次它的SEQ值为X+1,同时它必须猜出ACK的值,并加1后回馈给B主机。10/24/24Page11IP欺骗技术有如下三个特征:(1)只有少数平台能够被这种技术攻击,也就是说很多平台都不具有这方面缺陷。(2)这种技术出现的可能性比较小,因为这种技术不好理解,也不好操作,只有一些真正的网络高手才能做到这点。(3)很容易防备这种攻击方法,如使用防火墙等。10/24/24Page12IP欺骗的对象IP欺骗只能攻击那些完全实现了TCP/IP协议,包括所有的端口和服务。IP欺骗的实施几乎所有的欺骗都是基于某些机器之间的相互信任的。黑客可以通过很多命令或端口扫描技术、监听技术确定机器之间的信任关系,例如一台提供服务的机器很容易被端口扫描出来,使用端口扫描技术同样可...
