网络黑客攻防技术的学习总结
一、背景介绍
随着互联网的高速发展,计算机网络已经成为人们日常生活中不可或缺的一部分。计算机网络在给我们提供了大量生活便利的同时也带来了越来越严重的网络安全问题。在对我们网络的安全威胁中一个很主要的威胁来自于黑客。
网络黑客利用通信软件,非法进行网络操作,盗取别人的私人信息,篡改计算机数据,危害信息安全,甚至造成十分严重的经济后果。随着黑客活动的日益猖獗,信息安全问题越来越多地被各级政府和网络管理部门提到重要议事日程上来。然而许多上网的用户对网络安全却抱着无所谓的态度,认为最多不过是被“黑客”盗用账号,他们往往会认为“安全”只是针对那些大中型企事业单位的,而且黑客与自己无怨无仇,干嘛要攻击自己呢?其实,在一无法纪二无制度的虚拟网络世界中,现实生活中所有的阴险和卑鄙都表现得一览无余,在这样的信息时代里,几乎每个人都面临着安全威胁,都有必要对网络安全有所了解,并能够处理一些安全方面的问题,那些平时不注意安全的人,往往在受到安全方面的攻击,付出惨重的代价时才会后悔不已。为了把损失降低到最低限度,我们一定要有安全观念,并掌握一定的安全防范措施,坚决让黑客无任何机会可趁。黑客攻击网络的手段十分丰富,令人防不胜防。只有分析和研究黑客活动的手段和采用的技术,才有可能从根本上防止甚至杜绝黑客对我们进行网络入侵。
二、网络入侵
1.黑客攻击的一般过程
2.常用的攻击技术
2.1缓存区溢出攻击perl是用来干嘛的
缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量,溢出的数据覆盖在合
法数据上。理想的情况是:程序会检查数据长度,而且并不允许输入超过缓冲区长度的字符。但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区,又被称为“堆栈”,在各个操作进程之间,指令会被临时储存在“堆栈”当中,“堆栈”也会出现缓冲区溢出。
图1整数溢出攻击
在黑客的攻击活动中,利用缓冲区溢出安全漏洞发起的攻击占了远程网络攻击的绝大多数。这种漏洞
的严重性,在于可以使得一个匿名的互联网用户有机会获得一台主机的部分或全部的控制权。缓冲区溢出攻击之所以成为一种常见的攻击手段,原因在于缓冲区溢出漏洞太普遍,对它的利用易于实现。缓冲区溢出漏洞给予了攻击者所希望的一切:植入攻击代码并且执行代码。被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序,进而取得被攻击系统的控制权。为了达到利用缓冲区溢出漏洞进行攻击的目的,攻击者必须实现这样两个目标:在程序的地址空间里安排适当的代码;通过适当地初始化寄存器和存储器,让程序跳转到精心安排的地址空间执行。
2.2WEB欺骗
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
2.3攻击
攻击主要表现为两种方式:一是轰炸和“滚雪球”,也就是通常所说的邮件,指的是用伪造的IP地址和地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给服务器操作系统带来危险,甚至瘫痪;
二是欺骗,攻击者佯称自己为系统管理员(邮件
地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序,某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该方法提供了可乘之机。这类欺骗只要用户提高警惕,一般危害性不是太大。
3、常用工具介绍
3.1扫描器
所谓扫描器,实际上是自动检测远程或本地主机安全性弱点的程序。在Internet安全领域,扫描器是最出名的破解工具。扫描器选通TCP/IP端口和服务,并记录目标机的回答,以此获得关于目标机的信息。理解和分析这些信息,就可能发现破坏目标机安全性的关键因素。常用的扫描器有很多,以下是部分扫描器的简介:
NSS(网络安全扫描器):是用Perl语言编写的,可执行Sendmail、匿名FTP、NFS出口、TFTP、Hosts.equiv、Xhost等常规检查。
Strobe(超级优化TCP端口检测程序):是一个TCP端口扫描器,可以记录指定机器的所有开放端口,快
速识别指定机器上正在运行什么服务,提示什么服务可以被攻击。
S ATAN(安全管理员的网络分析工具):用于扫描远程主机,发现漏洞。包括:FTPD的漏洞和可写的FTP目录、NFS漏洞、NIS漏洞、RSH漏洞、Sendmail、X服务器漏洞等。
Jakal:是一个秘密扫描器,它启动但并不完成与目标主机的SYN/ACK过程,因此可以扫描一个区域而不留下任何痕迹,能够避开端口扫描探测器的探测追踪。
IdengTCPscan:是一个更加专业化的扫描器,能够识别指定TCP端口进程的使用者,即能够测出该进程的UID;
CONNECT:用于扫描TFTP服务器子网。
FSPScan:用于扫描FSP服务器。
XSCAN:扫描具有X服务器漏洞的子网或主机。
SAFESuite:是快速、先进、全面的UNIX网络安全扫描器。可以对指定网络执行各种不同的攻击,探测网络环境中特定的安全漏洞,包括:Sendmail、TFP、NNTP、Telnet、RPC、NFS等。
扫描器还在不断发展变化,每当发现新的漏洞,检查该漏洞的功能就会被加入已有的扫描器中。扫描器不仅是黑客用作网络攻击的工具,也是维护网络安全的重要工具。
3.2特洛依木马(trojan horse)
特洛依程序是指任何提供了隐藏的、用户不希望的功能的程序。它可以以任何形式出现,可能是任何由用户或客户引入到系统中的程序。特洛依程序提供或隐藏了一些功能,这些功能可以泄漏一些系统的私有信息,或者控制该系统。
特洛依程序表面上是无害的、有用的程序,但实际上潜伏着很大的危险性。如在Wuarchive FTP daemon(ftpd)2.2版中发现有特洛依程序,该特洛依程序允许任何用户(本地的和远端的)以root帐户登录UNIX。这样的特洛依程序可以导致整个系统被侵入,因为首先它很难被发现。在它被发现之前,可能已经存在几个星期甚至几个月了。其次在这段时间内,具备了root权限的入侵者,可以将系统按照他的需要进行修改。这样即使这个特洛依程序被发现了,在系统中也留下了系统管理员可能没有注意到的漏洞。
3.3网络嗅探器(Sniffer)
Sniffer用来截获网络上传输的信息,用在以太网或其它共享传输介质的网络上。放置Sniffer,可使网
络接口处于广播状态,从而截获网上传输的信息。利用Sniffer可截获口令、秘密的和专有的信息,用来攻击相邻的网络。Sniffer的威胁还在于被攻击方无法发现。Sniffer 是被动的程序,本身在网络上不留下任何痕迹。常用的Sniffer有:Gobbler、ETHLOAD、Netman、Esniff.c、Linux Sniffer.c、NitWitc等等。
三、防范策略
1.安全准则
不要轻易打开中的附件,更不要轻易运行邮件附件中的程序,除非你知道信
息的来源。要时刻保持警惕性,不要轻易相信熟人发来的E-mail就一定没有黑客程序,如Happy99就会自动加在E-mail附件当中。不要在网络上随意公布或者留下你的
地址,去转信站申请一个转信信箱,因为只有它是不怕炸的。在E-mail客户端软件中限制邮件大小和过滤垃圾邮件;使用远程登录的方式来预览邮件;最好申请数字签名;对于邮件附件要先用防病毒软件和专业清除木马的工具进行扫描后方可使用。
2.特洛伊木马程序的防范
对于特洛伊木马这种黑客程序,我们可以采用专门的查软件,检测和清除系统中
隐藏的木马程序。如用LockDown等线上黑客监视程序加以防范,还可以配合使用Cleaner、udo99等工具软件。
四、总结
计算机网络技术的日新月异,为现代人的生活提供了很大的方便。人们对于网络安全的认识也肯定会越来越重视,在整体概念上了解黑客的攻击技术和常用工具方法,对于我们防范黑客攻击提供了基本的知识储备。而具体到平时的学习工作中,我们应该养成良好的上网习惯和培养良好的网络安全意思,在平时的工作中应该注意,不要运行陌生人发过来的不明文件,即使是非可执行文件,也要十分小心。此外,经常使用杀毒软件扫描,及时发现木马的存在。我们应该时刻警惕黑客的网络攻击,从自我做起,构建起网络安全坚实防线,尽可能让网络黑客无孔可入。本文部分资料来源于孙伟峰老师《计算机病毒与入侵检测》课件,特此感谢。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论