第一篇:木馬攻防感想
木馬攻防的感想
前言
木馬技術是最常見的網絡攻擊手段之一,它對網絡環境中計算機信息資源造成了很大的危害。文中介紹了木馬程序的概念、基本原理和分類,針對常見的木馬攻擊方式提出了一些防范措施。
木馬的危害,在于它能夠遠程控制你的電腦。當你成為“肉雞”的時候,別人(控制端)就可以進入你的電腦,偷看你的文件、*密碼、甚至用你的QQ發一些亂七八糟的東西給你的好友,木馬大量出現,在于它有著直接的商業利益。一旦你的網上銀行密碼被盜,哭都來不及了。正因為如此,現在木馬越繁殖越多,大有“野火燒不盡”之勢。木馬與病毒相互配合、相得益彰,危害越來越大。
【關鍵詞】:木馬程序、攻擊手段、防范技術、木馬的危害
一、木馬概述
1.木馬的定義及特征
1.1木馬的定義
在古羅馬的戰爭中,古羅馬人利用一只巨大的木馬,麻痹敵人,贏得了戰役的勝利,成為一段歷史佳話。而在當今的網絡世界里,也有這樣一種被稱做木馬的程序,它為自己帶上偽裝的面具,悄悄地潛入用戶的系統,進行著不可告人的行動。
有關木馬的定義有很多種,作者認為,木馬是一種在遠程計算機之間建立起連接,使遠程計算機能夠通過網絡控制本地計算機的程序,它的運行遵照TCP/IP協議,由于它像間諜一樣潛入用戶的電腦,為其他人的攻擊打開后門,與戰爭中的“木馬”戰術十分相似,因而得名木馬程序。
木馬程序一般由兩部分組成的,分別是Server(服務)端程序和Client(客戶)端程序。其中Server 端程序安裝在被控制計算機上,Client端程序安裝在控制計算機上,Server端程序和Client端程序建立起連接就可以實現對遠程計算機的控制了。
首先,服務器端程序獲得本地計算機的最高操作權限,當本地計算機連入網絡后,客戶端程序可以與服務器端程序直接建立起連接,并可以向服務器端程序發送各種基本的操作請求,并由服務器端程序完成這些請求,也就實現了對本地計算機的控制。
因為木馬發揮作用必須要求服務器端程序和客戶端程序同時存在,所以必須要求本地機器感染服務器端程序,服務器端程序是可執行程序,可以直接傳播,也可以隱含在其他的可執行程序中傳播,但木馬本身不具備繁殖性和自動感染的功能。
1.2木馬的特征
據不完全統計,目前世界上有上千種木馬程序。雖然這些程序使用不同的程序設計語言進行編制,在不同的環境下運行,發揮著不同的作用,但是它們有著許多共同的特征。
(1)隱蔽性
隱蔽性是木馬的首要特征。木馬類軟件的server端在運行時會使用各種手段隱藏自己,例如大家所熟悉的修改注冊表和ini文件,以便機器在下一次啟動后仍能載入木馬程序。通常情況下,采用簡單的按“Alt+Ctrl+Del”鍵是不能看見木馬進程的。
還有些木馬可以自定義通信端口,這樣就可以使木馬更加隱秘。木馬還可以更改server端的圖標,讓它看起來象個zip或圖片文件,如果用戶一不小,就會讓當。
(2)功能特殊性
通常,木馬的功能都是十分特殊的,除了普通的文件操作以外,還有些木馬具有搜索目標計算機中的口令,設置口令,掃描IP發現中招的機器,記錄用戶事件,遠程注冊表的操作,以及顛倒屏幕,鎖定鼠標等功能。
(3)自動運行性
木馬程序通過修改系統配置文件或注冊表的方式,在目標計算機系統啟動時即自動運行或加載。
(4)欺騙性
木馬程序要達到其長期隱蔽的目的,就必需借助系統中已有的文件,以防被用戶發現。木馬程序經常使用的是常見的文件名或擴展名,如“dllwinsysexplorer等字樣,或者仿制一些不易被人區別的文件名,如字母“l”與數字“1”、字母“o”與數字“0”。還有的木馬程序為了隱藏自己,把自己設置成一個ZIP文件式圖標,當你一不小心打開它時,它就馬上運行。木馬編制者還在不斷地研究、發掘欺騙的手段,花樣層出不窮,讓人防不勝防。
(5)自動恢復性
現在,很多的木馬程序中的功能模塊已不再是由單一的文件組成,而是具有多重備份,可以相互恢復。計算機一旦感染上木馬程序,想單獨靠刪除某個文件來清除,是不太可能的。
2.木馬的工作原理
特洛伊木馬(其名稱取自希臘神話的特洛伊木馬記,以下簡稱木馬)的英文為“Trojan Horse”,是一種基于遠程控制的黑客工具程序。因此,查殺木馬最關鍵的還是要知道木馬的工作原理。
常見的普通木馬一般是客戶端/服務端(Client/Server,C/S)模式,客戶端/服務端之間采用TCP/UDP的通信方式,攻擊者控制的相應的客戶端程序,服務端程序是木馬程序,木馬程序被植入到毫不知情的用戶的計算機中。以“里應外和”的工作方式,服務端通過打開特定的端口并進行監聽,這些端口好像“后門”一樣,所以,也有人把特洛伊木馬叫做后門工具。攻擊者所掌握的客戶端程序向該端口發出請求(Connect Request),木馬便與其連接起來。攻擊者可以使用控制器進入計算機,通過客戶端程序命令達到控制服務器端的目的。這類木馬的一般工作模式如下圖所示。
3.木馬的分類
根據木馬程序對計算機的具體動作方式,可以把現在存在的木馬程序分為以下的幾類。
1、遠程訪問型木馬
遠程訪問型木馬是現在最廣泛的特洛伊木馬。這種木馬起著遠程控制的功能,用起來非常簡單,只需一些人運行服務端程序,同時獲得他們的IP地址,控制者就能任意訪問被控制端的計算機。這種木馬可以使遠程控制者在本地機器上做任意的事情,比如鍵盤記錄、上傳和下載功能、發射一個“截取屏幕”等等。這種類型的木馬有著名的BO(Back Office)、國產的冰河等。
2、密碼發送型木馬
密碼發送型木馬的目的是找到所有的隱藏密碼,并且在受害者不知道的情況下把它們發送到指定的信箱。大多數的這類木馬程序不會在每次Windows重啟時都自動加載,它們大多數使用25端口發送電子郵件。
3、鍵盤記錄型木馬
鍵盤記錄型木馬是非常簡單的,它們只做一種事情,就是記錄受害者的鍵盤敲擊,并且在LOG文件里做完整的記錄。這種木馬程序隨著Windows的啟動而啟動,知道受害者在線并且記錄每一個用戶事件,然后通過郵件或其他方式發送給控制者。
4、毀壞型木馬
大部分木馬程序只竊取信息,不做破壞性的事件,但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動地刪除受控制者計算機上所有的.dll或.ini或.exe文件,甚至遠程格式化受害者硬盤。毀壞型木馬的危害很大,一旦計算機被感染而沒有即時刪除,系統中的信息會在頃刻間“灰飛煙滅”。
5、FTP型木馬
FTP型木馬打開被控制計算機的21端口(FTP所使用的默認端口),使每一個人都可以用一個FTP 客戶端程序來不用密碼連接到受控制端計算機,并且可以進行最高權限的上傳和下載,竊取受害者的機密文件。
6、DoS攻擊木馬
隨著D o S 攻擊越來越廣泛的應用,被用作D o S 攻擊的木馬也越來越流行起來。當黑客入侵一臺機器后,給他種上DoS 攻擊木馬,那么日后這臺計算機就成為黑客DoS 攻擊的最得力助手了。黑客控制的肉雞數量越多,發動D o S 攻擊取得成功的機率就越大。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在黑客利用它來攻擊一臺又一臺計算機,給網絡造成很大的傷害和帶來損失。還有一種類似DoS 的木馬叫做郵件炸彈木馬,一旦機器被感染,木馬就會隨機生成各種各樣主題的信件,對特定的郵箱不停地發送郵件,一直到對方癱瘓、不能接受郵件為止。
7、反彈端口型木馬
木馬開發者在分析了防火墻的特性后發現:防火墻對于連入的鏈接往往會進行非常嚴格的過濾,但是對于連出的鏈接卻疏于防范。與一般的木馬相反,反彈端口型木馬的服務端(被控制端)使用主動端口,客戶端(控制端)使用被動端口。木馬定時監測控制端的存在,發現控制端上線立即彈出端口主動連結控制端打開的被動端口;為了隱蔽起見,控制端的被動端口一般開在80,即使用戶使用掃描軟件檢查自己的端口時,發現類似TCPUserIP:1026 Controller IP:80 ESTABLISHED 的情況,稍微疏忽一點,就會以為是自己在瀏覽網頁,因為瀏覽網頁都會打開80 端口的。
8、代理木馬
黑客在入侵的同時掩蓋自己的足跡,謹防別人發現自己的身份是非常重要的,因此,給被控制的肉雞種上代理木馬,讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬,攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC 等程序,從而隱蔽自己的蹤跡。
9、程序殺手木馬
上面的木馬功能雖然形形色色,不過到了對方機器上要發揮自己的作用,還要過防木馬軟件這一關才行。常見的防木馬軟件有ZoneAlarm,Norton Anti-Virus 等。程序殺手木馬的功能就是關閉對方機器上運行的這類程序,讓其他的木馬更好地發揮作用
4.木馬的功能
木馬程序的危害是十分大的,它能使遠程用戶獲得本地機器的最高操作權限,通過網絡對本地計算機進行任意的操作,比如刪添程序、鎖定注冊表、獲取用戶保密信息、遠程關機等。木馬使用戶的電腦完全暴露在網絡環境之中,成為別人操縱的對象。
就目前出現的木馬來看,大致具有以下功能:
1、自動搜索已中木馬的計算機;
2、對對方資源管理,復制文件、刪除文件、查看文件內容、上傳文件、下載文件等;
3、遠程運行程序;
4、跟蹤監視對方屏幕;
5、直接屏幕鼠標控制,鍵盤輸入控制;
6、監視對方任務且可以中止對方任務;
7、鎖定鼠標、鍵盤和屏幕;
8、遠程重新啟動計算機、關機;
9、記錄、監視按鍵順序、系統信息等一切操作;
10、隨意修改注冊表;
11、共享被控制端的硬盤;
12、亂屏等耍弄人操作。
5.木馬的工作過程
1.配置木馬
一般來說,一個設計成熟的木馬都有木馬配置程序,從具體的配置內容看,主要是為了實現以下兩個功能。
(1)木馬偽裝。木馬配置程序為了在服務器端盡可能隱藏好,會采用多種偽裝手段,如修改圖標、捆綁文件、定制端口、自我銷毀等。
(2)信息反饋。木馬配置程序會根據信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址、IRC號、ICQ號等。
2.傳播木馬
配置好木馬后,就要傳播過去。木馬的傳播方式主要有:控制端通過E-mail將木馬程序以附件的形式夾在郵件中發送出去,收信人只要打開附件就會感染木馬;軟件下載,一些非正規的網站以提供軟件下載為名義,將木馬捆綁在軟件安裝程序上,下載后,只要運行這些程序,木馬就會自動安裝;通過QQ等通信軟件進行傳播;通過病毒的夾帶把木馬傳播出去。3.啟動木馬
木馬程序傳播給對方后,接下來是啟動木馬。一種方式是被動地等待木馬或捆綁木馬的程序被主動運行,這是最簡單的木馬。大多數首先將自身復制到Windows的系統文件夾中(C:WINNT,C:WINNTsystem32或C:WINNTtemp目錄下),然后寫入注冊表啟動組,非啟動組中設置好木馬的觸發條件,這樣木馬的安裝就完成了。一般系統重新啟動時木馬就可以啟動,然后木馬打開端口,等待連接。4.建立連接
一個木馬連接的建立必須滿足兩個條件:一是服務器端已安裝了木馬程序;二是控制端、服務器端都要在線。在此基礎上控制端可以通過木馬端口與服務器端建立連接。控制端可以根據提前配置的服務器地址、定制端口來建立連接;或者是用掃描器,根據掃描結果中檢測哪些計算機的某個端口開放,從而知道該計算機里某類木馬的服務器端在運行,然后建立連接;或者根據服務器端主動發回來的信息知道服務器端的地址、端口,然后建立連接。5.遠程控制 前面的步驟完成之后,就是最后的目的階段,對服務器端進行遠程控制,實現竊取密碼、文件操作、修改注冊表、鎖住服務器端以及系統操作等。
二、木馬的傳播方式
⒈系統漏洞
一個新安裝的系統在沒有安裝任何系統補丁和防火墻程序時,它遭受木馬種植的危險機率非常大.眾所周知,Windows系統的漏洞非常多,即使你不做任何事只要系統連接上了網絡,黑客們就可以通過網絡掃描程序來找到你的電腦,然后再通過系統漏洞直接進入你的電腦,然后在你的系統中偷偷安裝上木馬程序,讓你在不知不覺間就中了招,成為了別人的肉雞.⒉文件捆綁
這是黑客種植木馬最常用的手段之一.將木馬程序捆綁在正常的程序或文件中,當別人下載并運行后,被捆綁木馬的程序和文件可以正常運行,但在運行過程中,木馬程序也已經悄悄運行了,這起到了很好的迷惑作用.黑客通常會將木馬程序捆綁到一個廣為傳播的熱門軟件上來誘使他人下載,并把它放到下載網站或網站論壇中使其在網絡上傳播.⒊文件偽裝
將木馬程序偽裝成其它文件是黑客種植木馬最簡單也是最常用的手段.比如修改木馬程序的圖標,文件名或后綴名,使它看起來與另外一個正常文件別無二樣,而且為了讓人容易接受,常常會偽裝成熱門文件來誘使對方打開.偽裝木馬最常用的傳播方式就是通過電子郵件和QQ等即時通訊軟件來傳播.很多朋友對電子郵件的附件或QQ好友發送的文件會毫不猶豫的點擊接受,就這樣因為一時粗心大意中了木馬.有的黑客在第一次發送偽裝的木馬程序給對方后,如果對方運行后發現有疑問時,他就會解釋說程序壞了或是發錯了,然后重新發送正常的程序給對方來消除對方的疑慮,而此時木馬程序已經在運行了.⒋網頁木馬
網頁木馬是通過網頁瀏覽傳播的一種木馬種植方式,此方法非常隱蔽,常常讓人在不知不覺間中招.黑客會將制作好的木馬程序放到網頁中,當人們在瀏覽這些網頁時,木馬程序會通過系統或軟件的漏洞自動安裝,或是以瀏覽該網頁必須的插件等名義誘騙用戶點擊安裝等等。方式偷偷進駐到別人的電腦中,讓人防不勝防.三、木馬攻防感想
計算機的廣泛應用把人類帶入了一個全新的時代,特別是計算機網絡的社會化,已經成為了信息時代的主要推動力。然而,網絡是一把雙刃劍,隨著計算機網絡的飛速發展。尤其是互聯網的應用變得越來越廣泛,帶來了前所未有的海量信息的同時,網絡的開放性和自由性也產生了私有信息和數據被破壞或被侵犯的可能性。網絡信息的安全變得越來越重要。
學習《信息安全技術》這一課,尤其是木馬攻防這一方面的學習,對于提高我們的網絡安全管理水平,累計網絡安全實踐經驗,具有非常重要的意義。
通過本次木馬攻防的學習,我們發現學到了不少新的知識,了解到了木馬工作的原理和工作過程。木馬技術涉及的知識方面十分廣泛,要深入的了解木馬技術,掌握木馬的工作原理和防范方法,不但要對網絡知識十分熟悉,還要掌握每一方面的知識,通過大量的實驗和實踐,不斷學習新的知識,提高自己的網絡安全技術的意識。
我個人對此比較感興趣,就去了解了相關軟件的應用。這些軟件中,有的是外國鼎鼎大名的產品,在鞏固我們的知識的同時,也拉動了我們的外語的學習。我發現很多的算法都是利用強大的數學能力作為基礎,一般人根本無法企及。我試圖做了一下,發現我遠遠挨不到邊,也許正是由于這種算法的這幾種特質,才讓它經久不衰。不過作為非專業的學者,我們不需要掌握如此精深的加密解密知識,只需要注意一下幾點,那么木馬也就沒有那么容易擊敗我們了。
1,首先要找一個優秀的殺毒軟件,安裝防火墻 2.保持良好的個人上網習慣。
3.對系統有一定的認識。可辨別正常的系統進程和服務(專業殺毒軟件在使用的時候有這個選擇。比如卡巴kis 帶防火墻)
4.經常的清理系統殘余垃圾信息。5.不要在網站上隨便透露個人信息
相信只要我們注意這幾個方面,那么木馬便很難入侵我們的電腦。
第二篇:網絡攻防技術報告
目錄
一、網絡攻擊技術................................................................................1 1.背景介紹..................................................................................................1 2.常見的網絡攻擊技術.............................................................................1 1.網絡監聽............................................................................................2 2.拒絕服務攻擊...................................................................................2 3.緩沖區溢出.......................................................................................3 4.源IP地址欺騙..................................................................................4 5.密碼攻擊............................................................................................4 6.應用層攻擊.......................................................................................5
二、網絡防御技術................................................................................6 1.背景介紹..................................................................................................6 2.常見的網絡防御技術.............................................................................6 1.防火墻技術.......................................................................................6 2.訪問控制技術...................................................................................7 3.入侵檢測技術(IDS)..........................................................................8 4.網絡防病毒技術...............................................................................8
三、總結...................................................................................................10
一、網絡攻擊技術
1.背景介紹
隨著互聯網的高速發展,計算機網絡已經成為人們日常生活中不可或缺的一部分。計算機網絡在給我們提供了大量生活便利的同時也帶來了越來越嚴重的網絡安全問題。在對我們網絡的安全威脅中一個很主要的威脅來自于黑客。
網絡黑客利用通信軟件,非法進行網絡操作,盜取別人的私人信息,篡改計算機數據,危害信息安全,甚至造成十分嚴重的經濟后果。然而許多上網的用戶對網絡安全卻抱著無所謂的態度,認為最多不過是被“黑客”盜用賬號,他們往往會認為“安全”只是針對那些大中型企事業單位的,而且黑客與自己無怨無仇,干嘛要攻擊自己呢? 其實,在一無法紀二無制度的虛擬網絡世界中,現實生活中所有的陰險和卑鄙都表現得一覽無余,在這樣的信息時代里,幾乎每個人都面臨著安全威脅,都有必要對網絡安全有所了解,并能夠處理一些安全方面的問題,那些平時不注意安全的人,往往在受到安全方面的攻擊,付出慘重的代價時才會后悔不已。為了把損失降低到最低限度,我們一定要有安全觀念,并掌握一定的安全防范措施,堅決讓黑客無任何機會可趁。黑客攻擊網絡的手段十分豐富,令人防不勝防。只有分析和研究黑客活動的手段和采用的技術,才有可能從根本上防止甚至杜絕黑客對我們進行網絡入侵。
2.常見的網絡攻擊技術
黑客攻擊其實質就是指利用被攻擊方信息系統自身存在安全漏洞,通過使用網絡命令和專用軟件進入對方網絡系統的攻擊。目前總結出黑客網絡攻擊的類型主要有以下幾種: 1.網絡監聽
網絡嗅探其實最開始是應用于網絡管理的,就像遠程控制軟件一樣,但后來這些強大的功能逐漸被黑客們利用。最普遍的安全威脅來自內部,同時這些威脅通常都是致命的,其破壞性也遠大于外部威脅。對于安全防護一般的網絡,使用網絡嗅探這種方法操作簡單,而且同時威脅巨大。很多黑客也使用嗅探器進行網絡入侵的滲透。嗅探器是利用計算機的網絡接口,截獲目的計算機數據報文的一種技術。不同傳輸介質的網絡的可監聽性是不同的。
雖然嗅探器的最初設計目的是供網管員用來進行網絡管理,可以幫助網絡管理員查找網絡漏洞和檢測網絡性能、分析網絡的流量,以便找出所關心的網絡中潛在的問題,但目前在黑客攻擊中的應用似乎更加廣泛,使人們開始對這類工具敬而遠之。普通情況下,網卡只接收和自己的地址有關的信息包,即傳輸到本地主機的信息包。一旦網卡設置為混雜(promiscuous)模式,它就能接收傳輸在網絡上的每一個信息包。將網卡設置為混雜模式(需要用編程方式來解決,或者使用Sniffer之類工具來監聽),對以太網上流通的所有數據包進行監聽,并將符合一定條件的數據包(如包含了字“username”或“password”的數據包)記錄到日志文件中去,以獲取敏感信息。常見的網絡監聽工具有:NetRay、Sniffit、Sniffer、Etherfind、Snoop、Tcpdump、Packetman、Interman、Etherman、Loadman和Gobbler等。
2.拒絕服務攻擊
拒絕服務(Denial of Service,DoS)攻擊是目前最常見的一種攻擊類型。從網絡攻擊的各種方法和所產生的破壞情況來看,DoS算是一種很簡單,但又很有效的進攻方式。它的目的就是拒絕服務訪問,破壞組織的正常運行,最終使網絡連接堵塞,或者服務器因疲于處理攻擊者發送的數據包而使服務器系統的相關服務崩潰、系統資源耗盡。
DoS的攻擊方式有很多種,常見的DoS攻擊方式有:同步洪流(SYNFlood)、死亡之Ping(Ping of Death)、Finger炸彈、Land攻擊、Ping洪流、Rwhod和Smurf等。DoS攻擊的基本過程如下:首先攻擊者向服務器發送眾多的帶有虛假地址的請求,服務器發送回復信息后等待回傳信息。由于地址是偽造的,所以服務器一直等不到回傳的消息,然而服務器中分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后,連接會因超時而被切斷,攻擊者會再度傳送新的一批請求,在這種反復發送偽地址請求的情況下,服務器資源最終會被耗盡。
被DDoS攻擊時出現的現象主要有如下幾種。被攻擊主機上有大量等待的TCP連接。網絡中充斥著大量的無用的數據包,源地址為假。制造高流量無用數據,造成網絡擁塞,使受害主機無法正常和外界通信。利用受害主機提供的服務或傳輸協議上的缺陷,反復高速地發出特定的服務請求,使受害主機無法及時處理所有正常請求。嚴重時會造成系統死機。要避免系統遭受DoS攻擊,網絡管理員要積極謹慎地維護整個系統,確保無安全隱患和漏洞,而針對更加惡意的攻擊方式則需要安裝防火墻等安全設備過濾DoS攻擊,同時建議網絡管理員定期查看安全設備的日志,及時發現對系統構成安全威脅的行為。
3.緩沖區溢出
通過往程序的緩沖區寫超出其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,使程序轉而執行其他的指令。如果這些指令是放在有Root權限的內存中,那么一旦這些指令得到了運行,黑客就以Root權限控制了系統,達到入侵的目的;緩沖區攻擊的目的在于擾亂某些以特權身份運行的程序的功能,使攻擊者獲得程序的控制權。
緩沖區溢出的一般攻擊步驟為:在程序的地址空間里安排適當的代碼——通過適當的地址初始化寄存器和存儲器,讓程序跳到黑客安排的地址空間中執行。緩沖區溢出對系統帶來了巨大的危害,要有效地防止這種攻擊,應該做到以下幾點。必須及時發現緩沖區溢出這類漏洞:在一個系統中,比如UNIX操作系統,這類漏洞是非常多的,系統管理員應經常和系統供應商聯系,及時對系統升級以堵塞緩沖區溢出漏洞。程序指針完整性檢查:在程序指針被引用之前檢測它是否改變。即便一個攻擊者成功地改變了程序的指針,由于系統事先檢測到了指針的改變,因此這個指針將不會被使用。數組邊界檢查:所有的對數組的讀寫操作都應當被檢查以確保對數組的操作在正確的范圍內。最直接的方法是檢查所 有的數組操作,通常可以采用一些優化的技術來減少檢查的次數。目前主要有以下的幾種檢查方法:Compaq C編譯器、Purify存儲器存取檢查等。
4.源IP地址欺騙
許多應用程序認為如果數據包能夠使其自身沿著路由到達目的地,而且應答包也可以回到源地,那么源IP地址一定是有效的,而這正是使源IP地址欺騙攻擊成為可能的前提。假設同一網段內有兩臺主機A和B,另一網段內有主機C,B授予A某些特權。C為獲得與A相同的特權,所做欺騙攻擊如下:首先,C冒充A,向主機B發送一個帶有隨機序列號的SYN包。主機B響應,回送一個應答包給A,該應答號等于原序列號加1。然而,此時主機A已被主機C利用拒絕服務攻擊“淹沒”了,導致主機A服務失效。結果,主機A將B發來的包丟棄。為了完成3次握手,C還需要向B回送一個應答包,其應答包等于B向A發送數據包的序列號加1。此時主機C并不能檢測到主機B的數據包(因為不在同一網段),只有利用TCP順序號估算法來預測應答包的順序號并將其發送給目標機B。如果猜測正確,B則認為收到的ACK是來自內部主機A。此時,C即獲得了主機A在主機B上所享有的特權,并開始對這些服務實施攻擊。
要防止源IP地址欺騙行為,可以采取以下措施來盡可能地保護系統免受這類攻擊。拋棄基于地址的信任策略:阻止這類攻擊的一種非常容易的辦法就是放棄以地址為基礎的驗證。不允許r類遠程調用命令刪除.rhosts文件,清空/etc/hosts下的.equiv文件。這將迫使所有用戶使用其他遠程通信手段,如telnet、ssh和skey等。使用加密方法:在包發送到網絡上之前,可以對它進行加密。雖然加密過程要求適當改變目前的網絡環境,但它將保證數據的完整性和真實性。進行包過濾:可以配置路由器使其能夠拒絕網絡外部與本網內具有相同IP地址的連接請求。而且,當包的IP地址不在本網內時,路由器不應該把09網主機的包發送出去。
5.密碼攻擊
密碼攻擊通過多種不同方法實現,包括蠻力攻擊(brute force attack)、特洛伊木馬程序、IP欺騙和報文嗅探。盡管報文嗅探和IP欺騙可以捕獲用戶賬 號和密碼,但密碼攻擊通常指的是反復地試探、驗證用戶賬號或密碼。這種反復試探被稱為蠻力攻擊。
通常蠻力攻擊使用運行于網絡上的程序來執行并企圖注冊到共享資源中,例如服務器。一旦攻擊者成功地獲得了資源的訪問權,他就擁有了與那些賬戶的用戶相同的權利。如果這些賬戶有足夠的特權,攻擊者可以為將來的訪問創建一個后門,這樣就不用擔心被危及用戶賬號的任何身份和密碼的改變。
6.應用層攻擊
應用層攻擊能夠使用多種不同的方法來實現,最常見的方法是使用服務器上通常可找到的應用軟件(如SQL Server、Sendmail、PostScript和FTP)缺陷,通過使用這些缺陷,攻擊者能夠獲得計算機的訪問權,以及在該計算機上運行相應應用程序所需賬戶的許可權。
應用層攻擊的一種最新形式是使用許多公開化的新技術,如HTML規范、Web瀏覽器的操作性和HTTP協議等。這些攻擊通過網絡傳送有害的程序,包括Java applet和Active X控件等,并通過用戶的瀏覽器調用它們,很容易達到入侵、攻擊的目的。
二、網絡防御技術
1.背景介紹
計算機技術快速發展,在給我們的生活帶來便利的時候,我們面對的網絡威脅越來越多。在網絡黑客活躍頻繁的情況下,如何使我們的隱私得到保護。怎么才能更安全的上網,使我們免遭黑客的攻擊,使我們免遭經濟損失。因此,我們需要一些網絡防御技術來保護我們安全上網,來保護我們免遭黑客攻擊。那么當下的網絡防御技術都有哪些呢!下面將為大家介紹一下。
2.常見的網絡防御技術
1.防火墻技術
網絡安全中使用最廣泛的技術就是防火墻技術,對于其網絡用戶來說,如果決定使用防火墻,那么首先需要由專家領導和網絡系統管理員共同設定本網絡的安全策略,即確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過防火墻。防火墻的職責就是根據本館的安全策略,對外部網絡與內部網絡之間交流的數據進行檢查,符合的予以放行,不符合的拒之門外。
該技術主要完成以下具體任務:
通過源地址過濾,拒絕外部非法IP地址,有效的避免了與本館信息服務無關的外部網絡主機越權訪問;防火墻可以只保留有用的服務,將其他不需要的服務關閉,這樣做可以將系統受攻擊的可能性降到最低限度,使黑客無機可乘;同樣,防火墻可以制定訪問策略,只有被授權的外部主機才可以訪問內部網絡上的有限IP地址,從而保證外部網絡只能訪問內部網絡中的必要資源,使得與本館信息服務無關的操作將被拒絕;由于外部網絡對內部網絡的所有訪問都要經過防火墻,所以防火墻可以全面監視外部網絡對內部網絡的訪問活動,并進行詳細的記錄,通過分析可以得出可疑的攻擊行為。
另外,由于安裝了防火墻后,網絡的安全策略由防火墻集中管理,因此,黑 客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權限的目的,而直接攻擊防火墻幾乎是不可能的。
防火墻可以進行地址轉換工作,使外部網絡用戶不能看到內部網絡的結構,使黑客失去攻擊目標。
雖然防火墻技術是在內部網與外部網之間實施安全防范的最佳選擇,但也存在一定的局限性:不能完全防范外部刻意的人為攻擊;不能防范內部用戶攻擊;不能防止內部用戶因誤操作而造成口令失密受到的攻擊;很難防止病毒或者受病毒感染的文件的傳輸。
2.訪問控制技術
訪問控制是網絡安全防范和保護的主要技術,它的主要任務是保證網絡資源不被非法使用和非法訪問。
入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網絡。
對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,服務器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網絡外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少于6個字符,口令字符最好是數字、字母和其他字符的混合。
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問權限將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;(3)審計用戶,負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪 問權限可以用一個訪問控制表來描述。
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種:系統管理員權限(Supervisor)、讀權限(Read)、寫權限(Write)、創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限(FileScan)、存取控制權限(AccessControl)。一個網絡系統管理員應當為用戶指定適當的訪問權限,這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對服務器資源的訪問,從而加強了網絡和服務器的安全性。
3.入侵檢測技術(IDS)
如果說防火墻技術是靜態安全防御技術,那么IDS就是一種動態安全技術。IDS包括基于主機的入侵檢測技術和基于網絡的入侵檢測技術兩種。該技術用于保護應用網絡連接的主要服務器,實時監視可疑的連接和非法訪問的闖入,并對各種入侵行為立即作出反應,如斷開網絡連接等。
4.網絡防病毒技術
當今世界上每天有13種到50種新病毒出現,而60%的病毒均通過Internet傳播,病毒發展有日益跨越疆界的趨勢,存在著不可估量的威脅性和破壞力。沖擊波病毒及震蕩波病毒就足以證明如果不重視計算機網絡防病毒工作,那就有可能給社會造成災難性的后果,因此計算機病毒的防范也是網絡安全技術中重要的一環。
網絡防病毒技術包括預防病毒、檢測病毒和消除病毒等3種技術:
預防病毒技術,它是通過自身常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。技術手段包括:加密可執行程序、引導區保護、系統監控與讀寫控制等。
檢測病毒技術,它是通過對計算機病毒的特征來進行判斷的偵測技術,如自 身校驗、關鍵字、文件長度的變化等。病毒檢測一直是病毒防護的支柱,然而隨著病毒的數目和可能切入點的大量增加,識別古怪代碼串的進程變得越來越復雜,而且容易產生錯誤和疏忽。因此,最新的防病毒技術應將病毒檢測、多層數據保護和集中式管理等多種功能集成起來,形成多層次防御體系,既具有穩健的病毒檢測功能,又具有客戶機/服務器數據保護能力。
消除病毒技術,它是通過對計算機病毒的分析,開發出具有殺除病毒程序并恢復原文件的軟件。大量的病毒針對網上資源和應用程序進行攻擊,這樣的病毒存在于信息共享的網絡介質上,因而要在網關上設防,在網絡入口實時殺毒。對于內部病毒,如客戶機感染的病毒,通過服務器防病毒功能,在病毒從客戶機向服務器轉移的過程中殺掉,把病毒感染的區域限制在最小范圍內。
網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測,工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。
三、總結
計算機網絡技術的日新月異,為現代人的生活提供了很大的方便。但網絡安全威脅依然存在,網上經常報道一些明星的照片泄露,12306賬號和密碼泄露,一些郵箱的密碼泄露,以及經常發生的QQ號被盜等等……這些都會給我們的生活帶來麻煩,甚至讓我們付出經濟代價。
因此現在人們對于網絡安全的認識也越來越重視,在整體概念上了解黑客的攻擊技術和常用工具方法,對于我們防范黑客攻擊提供了基本的知識儲備。而具體到平時的學習工作中,我們應該養成良好的上網習慣和培養良好的網絡安全意識,在平時的工作中應該注意,不要運行陌生人發過來的不明文件,即使是非可執行文件,也要十分小心,不要在不安全的網站上登錄一些重要賬號,或者不要在網站上記錄賬號密碼。以免造成密碼泄露。只要我們在平時上網時多注意,就可以有效地防范網絡攻擊。
此外,經常使用殺毒軟件掃描,及時發現木馬的存在。我們應該時刻警惕黑客的網絡攻擊,從自我做起,構建起網絡安全堅實防線,盡可能讓網絡黑客無孔可入。
第三篇:網絡攻防實驗教案
計算機科學與技術學院
網絡攻防實驗教案
網絡攻防是基于云平臺的信息安全實驗系統、網絡攻防實驗系統、網絡攻防競賽及對抗系統、大數據實驗系統、密碼實驗系統及信息安全,提供給大學生一個學習的平臺,通過平臺大家可以了解和接觸到更多的知識,本次網絡攻防比賽的項目主要包括以下內容:WEB安全、系統安全、SQL注入靶場、密碼破解、跨站靶場、數據庫安全、逆向工程、手機安全、密碼破解、內網靶場。
2015年5月29日
一、月賽題目安排設置的講解
1)、第一次月賽題目
出題目的:熟悉比賽環境 技能題:
8個 靶場題:
1個 難易程度:簡單
2)第二次月賽題目
出題目的: 鍛煉能力 技能題:
10個 靶場題:
1個 難易程度: 一般 3)第三次月賽題目
出題目的: 選拔人才 技能題:
10個 靶場題:
1個 難易程度: 較難
二、用戶信息的注冊與加入網上學院
1)登錄紅亞官網。(http://www.tmdps.cn/cQ8J4QddWw3p5 訪問密碼 cf63 下載之后點擊瀏覽選擇,找到我們下載的ISO文件即可。
18)點擊確定之后,開啟此虛擬機。
19)選擇啟動Win7 PE迷你系統。
20)選擇分區管理
21)同意協議后,點擊快速分區
22)這里建立兩個盤就可以了,然后點擊確定。
23)點擊安裝win7 SP1到c盤
24)這里的安裝過程要等待一會
25)等待安裝完成,我們的虛擬PC就安裝成功了,在安裝好的PC里面,可能畫面不是充滿屏幕的,我們可以通過屏幕分辨率來調節就可以了,根據自己本機的屏幕大小,自己設置即可。接下來我們就可以來在虛擬PC里面就行練習了,在這里面不需要擔心自己的電腦被病毒感染和其它,可以放心使用了。下面來為大家講解一下月賽的題目。
三、第一次月賽題目的講解
第1題:技能題
根據提示我們得不到任何信息,這時我們可以查看一下源碼,在頁面內右擊。
我們會發現密碼被注釋起來了,所以在頁面內是不能看到。這里的說明一下,這個符號是注射符號,相當于C中的//或者是/* */。
第2題
通過代碼的寫法,我們會發現這是一個base64編碼的字符。PD9waHAgQGV2YWwoJF9QT1NUWyd0aGlzX2lzX3lpanVodWEnXSk7Pz4= 我們在網上直接搜索base64解碼與編碼:
我們會得到解碼之后的如下:
這是一個php的腳本,這一句執行出來之后就是this_is_yijuhua所以答案就是this_is_yijuhua。第3題
這里代碼通過觀察可以看出這是一個64編碼的,前后+-號是來迷惑我們的,我們把中間的字符串復制,用base64進行解碼就可以了。
解碼之后得到答案:iamutf7encoded 第4題
這一題跟第一題比較像,從頁面上我們不能得到任何信息,所以我們還是通過源碼,看看能否得出什么信息。
在源碼里面我們可以看出有這樣的一個腳本,這也就是我們想要的,會發現里面是一串很亂的編碼,通過前面的
點擊咨詢 