【正文】 LL、 INI或 EXE文件。 這種木馬可以使遠程控制者在本地機器上做任意的事情 ， 比如鍵盤記錄 、 上傳和下載功能 、 截取屏幕等等 。 ?服務(wù)器端安裝在被控制的計算機中，它一般通過電子郵件或其他手段讓用戶在其計算機中運行，以達到控制該用戶計算機的目的。 \winnt\rapair|+c:\ipub\root\ 這將使服務(wù)器執(zhí)行一個復制 C盤 WinNT目錄下 root文件夾的命令 (sam.保存了經(jīng)過加密的 Windows NT系統(tǒng)密碼文件，如果攻擊者下載這一文件，可以在本機用工具解得用戶密碼 )。任何系統(tǒng)都存在漏洞。 針對某一類型的漏洞，都有專門的攻擊攻擊。 二、預攻擊探測 ?空會話 ?原理 ?利用 Windows NT/2022對 NetBIOS的缺省信賴 ?通過 TCP端口 139返回主機的大量信息 ?實例 ?如果通過端口掃描獲知 TCP端口 139已經(jīng)打開 use \\\IPC$ /USER: ?在攻擊者和目標主機間建立連接 Windows 2022還有另一個 SMB端口 445 ?預防資源掃描和查找的方法： 防范 NetBIOS掃描的最直接方法就是不允許對 TCP/UDP 135到 139端口的訪問，如通過防火墻或路由器的配置等。 二、預攻擊探測 ?nbtstat和 nbtscan nbtstat（ NetBIOS over TCP/IP）是 Windows NT/2022內(nèi)置的命令行工具，利用它可以查詢涉及到 NetBIOS信息的網(wǎng)絡(luò)機器。于是，發(fā)送一個RST，停止建立連接 ?由于連接沒有完全建立，所以稱為“半開連接掃描” ?優(yōu)點 ?很少有系統(tǒng)會記錄這樣的行為 ?缺點 ?在 UNIX平臺上，需要 root權(quán)限才可以建立這樣的 SYN數(shù)據(jù)包 二、預攻擊探測 ?IP ID header aka ―dump‖ 掃描 ?由 Antirez首先使用，并在 Bugtraq上公布 ?原理： ?掃描主機通過偽造第三方主機 IP地址向目標主機發(fā)起SYN掃描，并通過觀察其 IP序列號的增長規(guī)律獲取端口的狀態(tài) ?優(yōu)點 ?不直接掃描目標主機也不直接和它進行連接，隱蔽性較好 ?缺點 ?對第三方主機的要求較高 二、預攻擊探測 ?秘密掃描 ?TCP Fin掃描 ?原理 ?掃描器發(fā)送一個 FIN數(shù)據(jù)包 ?如果端口關(guān)閉的，則遠程主機丟棄該包，并送回一個RST包 ?否則的話，遠程主機丟棄該包，不回送 ?變種，組合其他的標記 ?優(yōu)點 ?不是 TCP建立連接的過程，所以比較隱蔽 ?缺點 ?與 SYN掃描類似，也需要構(gòu)造專門的數(shù)據(jù)包 ?在 Windows平臺無效，總是發(fā)送 RST包 二、預攻擊探測 ?TCP XMAS掃描 ?原理 ?掃描器發(fā)送的 TCP包包頭設(shè)置所有標志位 ?關(guān)閉的端口會響應一個同樣設(shè)置所有標志位的包 ?開放的端口則會忽略該包而不作任何響應 ?優(yōu)點 ?比較隱蔽 ?缺點 ?主要用于 UNIX/Linux/BSD的 TCP/IP的協(xié)議棧 ?不適用于 Windows系統(tǒng) 二、預攻擊探測 ?其他掃描 ?TCP ftp proxy掃描 ?原理 ?用 PORT命令讓 ftp server與目標主機建立連接，而且目標主機的端口可以指定 ?如果端口打開，則可以傳輸否則，返回 425 Can39。 ?利用 nbtstat查看目標 系統(tǒng) NetBIOS列表 二、預攻擊探測 ?Nbtstat本身有一些缺陷，如一次只能掃描一臺主機等，nbtscan（ 卻可以對一個網(wǎng)段進行掃描 ,利用 nbtscan對網(wǎng)段進行掃描。 二、預攻擊探測 利用前面介紹的方法，可以很容易獲取遠程 Windows NT/2022主機的共享資源、 NetBIOS名和所處的域信息等。此時，如果兩臺主機進行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具，例如 ,Sniffer Pro, NetXray， tcpdump ， Dsniff等就可以輕而易舉地截取包括口令、帳號等敏感信息。 三、漏洞掃描 ?常見漏洞攻擊實例 ?Unicode漏洞 Unicode漏洞編碼在中文 Windows NT中為： %c1%1c（代表 (0xc1 0xc0)*0x40+0x1c=0x5c=＇ /＇）和 %c0%2f（代表 (0xc00xcx)*0x40+0x2f=0x2f=＇ \＇）在英文版中為 %c0%af（但 %c1%pc、%c0%9v、 %c0%qf、 %c1%8s等幾個編碼也可能有效）。 三、漏洞掃描 ?針對漏洞掃描的預防措施 ?安裝防火墻，禁止訪問不該訪問的服務(wù)端口，使用NAT隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu) ?安裝入侵檢測系統(tǒng)，檢測漏洞掃描行為 ?安裝安全評估系統(tǒng)，先于入侵者進行漏洞掃描，以便及早發(fā)現(xiàn)問題并解決 ?提高安全意識，經(jīng)常給操作系統(tǒng)和應用軟件打補丁 **windows 2022/XP漏洞攻擊參見“ windows漏洞” 三、漏洞掃描 ?安全掃描審計 ?分類 ?網(wǎng)絡(luò)安全掃描 ?系統(tǒng)安全掃描 ?優(yōu)點 ?較全面檢測流行漏洞 ?降低安全審計人員的勞動強度 ?防止最嚴重的安全問題 ?缺點 ?無法跟上安全技術(shù)的發(fā)展速度 ?只能提供報告，無法實際解決 ?可能出現(xiàn)漏報和誤報 三、漏洞掃描 市場部 工程部 router 開發(fā)部 Servers Firewall 圖：綜合掃描應用 三、漏洞掃描 ?對系統(tǒng)進行安全評估 為堵死安全策略和安全措施之間的缺口 ,必須從以下三方面對網(wǎng)絡(luò)安全狀況進行評估 : ?從企業(yè)外部進行評估 :考察企業(yè)計算機基礎(chǔ)設(shè)施中的防火墻 。木馬運行時，首先服務(wù)器端程序獲得本地計算機的最高操作權(quán)限，當本地計算機連入網(wǎng)絡(luò)后，客戶端程序可以與服務(wù)器端程序直接建立起連接，并可以向服務(wù)器端程序發(fā)送各種基本的操作請求，并由服務(wù)器端程序完成這些請求，也就實現(xiàn)對本地計算機的控制了。 大多數(shù)這類的木馬不會在每次的 Windows重啟時重啟 ， 而且它們大多數(shù)使用 25端口發(fā)送 Email。修改系統(tǒng)的方法有下面幾種： ?利用 。 ?三次握手簡介： ?首先 ， 請求端 （ 客戶端 ） 發(fā)送一個包含 SYN標志的 TCP報文 ， SYN即同步 （Synchronize） ， 同步報文會指明客戶端使用的端口以及 TCP連接的初始序號 。這種攻擊形式利用了 TCP/IP中的定向廣播的特性，共有三個參與角色：受害者、幫兇（放大網(wǎng)絡(luò)，即具有廣播特性的網(wǎng)絡(luò)）和攻擊者。 ?防御淚滴攻擊的最好辦法 升級服務(wù)包軟件，如下載操作系統(tǒng)補丁或升級操作系統(tǒng)等 。利用國際互聯(lián)網(wǎng)遍布全球的計算機發(fā)起攻擊，難于追蹤。 五、拒絕服務(wù)攻擊 ?被 DDoS攻擊時的現(xiàn)象： * 被攻擊主機上有大量等待的 TCP連接 * 網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假 * 制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常和外界通訊 * 利用受害主機提供的服務(wù)或傳輸 協(xié)議 上的缺陷，反復高速的發(fā)出特定的服務(wù)請求，使受害主機無法及時處理所有正常請求 * 嚴重時會造成系統(tǒng)死機 五、拒絕服務(wù)攻擊 ?分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)結(jié)構(gòu)圖 客戶端 客戶端 主控端 主控端 主控端 主控端 代理端 代理端 代理端 代理端 代理端 代理端 代理端 代理端 五、拒絕服務(wù)攻擊 ?分布式拒絕服務(wù)攻擊步驟 不安全的計算機 掃描程序 Hacker 攻擊者使用掃描工具探測掃描大量主機以尋找潛在入侵目標。對新出現(xiàn)的漏洞及時進行清理。 ?使用 Inexpress、 Express Forwarding過濾不必要的服務(wù)和端口，即在路由器上過濾假 IP。它通過反向路由表查詢的方法檢查訪問者的 IP地址是否是真，如果是假的，它將予以屏蔽。 ?其次 ， 找出攻擊者所經(jīng)過的路由 ， 把攻擊屏蔽掉 。 六、 欺騙攻擊 Hi,我就是 A啊 Hi,我就是 B啊 A B Hacker 六、 欺騙攻擊 ?針對 ARP欺騙攻擊的預防措施 ?安裝入侵檢測系統(tǒng)，檢測 ARP欺騙 攻擊 ?MAC地址與 IP地址綁定 arp –s IP MAC ?下載并安裝 Anti ARP Sniffer 等專殺工具 ?在主機上安裝諾頓等正版網(wǎng)絡(luò)殺毒軟件，并經(jīng)常更新病毒庫 ?及時給系統(tǒng)、ＩＥ、交換設(shè)備打補丁 ?內(nèi)網(wǎng)用戶設(shè)置強健的密碼，不要隨便共享文件，即使要共享文件也要設(shè)置好權(quán)限和密碼，不要隨便的點擊ＱＱ、ＭＳＮ中發(fā)來鏈接，不要使用游戲的外掛程序，不要隨便點擊、下載郵件的附件 ?安裝使用網(wǎng)絡(luò)防火墻 ?關(guān)閉不必要的服務(wù)和共享 六、 欺騙攻擊 . IP欺騙技術(shù)就是偽造某臺主機的 IP地址的技術(shù)。 六、 欺騙攻擊 ?Web欺騙的預防： ?瀏覽器狀態(tài)顯示連接為 ?鼠標連接目標提示； ?攻擊者可以憑借 Java Script或 VB Script修改以上信息；但可以通過禁止執(zhí)行 Script功能來揭露其面目； ?Source code可以完全泄漏攻擊者的信息 六、 欺騙攻擊 當一個 DNS服務(wù)器掉入陷阱，使用了來自一個惡意 DNS服務(wù)器的錯誤信息，那么該 DNS服務(wù)器就被欺騙了。 ?加密所有對外的數(shù)據(jù)流，對服務(wù)器來說就是盡量使用SSH之類的有加密支持的協(xié)議，對一般用戶應該用 PGP之類的軟件加密所有發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。 ?電子郵件 ： ?此 病毒往往會頻繁大量的出現(xiàn)變種，用戶中毒后往往會造成數(shù)據(jù)丟失、個人信息失竊、系統(tǒng)運行變慢等。 ?加密數(shù)據(jù) 嗅探器非常難以被發(fā)現(xiàn) , 因為它們是被動的程序，只會監(jiān)聽不會向外發(fā)送任何數(shù)據(jù)包。 網(wǎng)絡(luò)安全基本組件 安全解決方案 防火墻 /虛擬專用網(wǎng) (Firewall/VPN) 入侵防護系統(tǒng) (Intrusion Prevention System) 病毒網(wǎng)關(guān) (Application AntiVirus gateway) 漏洞評估 (Vulnerability Assessment) SSL VPN網(wǎng)關(guān) (SSL VPN Gateway) 無線安全網(wǎng)關(guān) (Wireless Security Gateway) 網(wǎng)頁內(nèi)容過濾 (Web Content Filtering) 電子郵件內(nèi)容過濾 (EMail Content Filtering) 網(wǎng)絡(luò)安全體系示意圖 安全解決方案 lnter IDS入侵檢測監(jiān)控中心 防毒管理中心 防火墻管理中心 掃描器管理中心 … IDS入侵檢測 主機系統(tǒng) 防火墻 網(wǎng)關(guān)防毒 認證服務(wù)器 VPN IDS入侵檢測 客戶端防毒 服務(wù)器防毒 CA中心 隔離網(wǎng)閘 日志服務(wù)器 日志服務(wù)器 防火墻 漏洞掃描器