【正文】 ?加密數(shù)據(jù) 嗅探器非常難以被發(fā)現(xiàn) , 因為它們是被動的程序，只會監(jiān)聽不會向外發(fā)送任何數(shù)據(jù)包。 ?加密所有對外的數(shù)據(jù)流，對服務(wù)器來說就是盡量使用SSH之類的有加密支持的協(xié)議，對一般用戶應(yīng)該用 PGP之類的軟件加密所有發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。 六、 欺騙攻擊 Hi,我就是 A啊 Hi,我就是 B啊 A B Hacker 六、 欺騙攻擊 ?針對 ARP欺騙攻擊的預(yù)防措施 ?安裝入侵檢測系統(tǒng)，檢測 ARP欺騙 攻擊 ?MAC地址與 IP地址綁定 arp –s IP MAC ?下載并安裝 Anti ARP Sniffer 等專殺工具 ?在主機上安裝諾頓等正版網(wǎng)絡(luò)殺毒軟件，并經(jīng)常更新病毒庫 ?及時給系統(tǒng)、ＩＥ、交換設(shè)備打補丁 ?內(nèi)網(wǎng)用戶設(shè)置強健的密碼，不要隨便共享文件，即使要共享文件也要設(shè)置好權(quán)限和密碼，不要隨便的點擊ＱＱ、ＭＳＮ中發(fā)來鏈接，不要使用游戲的外掛程序，不要隨便點擊、下載郵件的附件 ?安裝使用網(wǎng)絡(luò)防火墻 ?關(guān)閉不必要的服務(wù)和共享 六、 欺騙攻擊 . IP欺騙技術(shù)就是偽造某臺主機的 IP地址的技術(shù)。它通過反向路由表查詢的方法檢查訪問者的 IP地址是否是真，如果是假的，它將予以屏蔽。對新出現(xiàn)的漏洞及時進行清理。利用國際互聯(lián)網(wǎng)遍布全球的計算機發(fā)起攻擊，難于追蹤。這種攻擊形式利用了 TCP/IP中的定向廣播的特性，共有三個參與角色：受害者、幫兇（放大網(wǎng)絡(luò)，即具有廣播特性的網(wǎng)絡(luò)）和攻擊者。修改系統(tǒng)的方法有下面幾種： ?利用 。木馬運行時，首先服務(wù)器端程序獲得本地計算機的最高操作權(quán)限，當本地計算機連入網(wǎng)絡(luò)后，客戶端程序可以與服務(wù)器端程序直接建立起連接，并可以向服務(wù)器端程序發(fā)送各種基本的操作請求，并由服務(wù)器端程序完成這些請求，也就實現(xiàn)對本地計算機的控制了。 三、漏洞掃描 ?常見漏洞攻擊實例 ?Unicode漏洞 Unicode漏洞編碼在中文 Windows NT中為： %c1%1c（代表 (0xc1 0xc0)*0x40+0x1c=0x5c=＇ /＇）和 %c0%2f（代表 (0xc00xcx)*0x40+0x2f=0x2f=＇ \＇）在英文版中為 %c0%af（但 %c1%pc、%c0%9v、 %c0%qf、 %c1%8s等幾個編碼也可能有效）。 二、預(yù)攻擊探測 利用前面介紹的方法，可以很容易獲取遠程 Windows NT/2022主機的共享資源、 NetBIOS名和所處的域信息等。于是，發(fā)送一個RST，停止建立連接 ?由于連接沒有完全建立，所以稱為“半開連接掃描” ?優(yōu)點 ?很少有系統(tǒng)會記錄這樣的行為 ?缺點 ?在 UNIX平臺上，需要 root權(quán)限才可以建立這樣的 SYN數(shù)據(jù)包 二、預(yù)攻擊探測 ?IP ID header aka ―dump‖ 掃描 ?由 Antirez首先使用，并在 Bugtraq上公布 ?原理： ?掃描主機通過偽造第三方主機 IP地址向目標主機發(fā)起SYN掃描，并通過觀察其 IP序列號的增長規(guī)律獲取端口的狀態(tài) ?優(yōu)點 ?不直接掃描目標主機也不直接和它進行連接，隱蔽性較好 ?缺點 ?對第三方主機的要求較高 二、預(yù)攻擊探測 ?秘密掃描 ?TCP Fin掃描 ?原理 ?掃描器發(fā)送一個 FIN數(shù)據(jù)包 ?如果端口關(guān)閉的，則遠程主機丟棄該包，并送回一個RST包 ?否則的話，遠程主機丟棄該包，不回送 ?變種，組合其他的標記 ?優(yōu)點 ?不是 TCP建立連接的過程，所以比較隱蔽 ?缺點 ?與 SYN掃描類似，也需要構(gòu)造專門的數(shù)據(jù)包 ?在 Windows平臺無效，總是發(fā)送 RST包 二、預(yù)攻擊探測 ?TCP XMAS掃描 ?原理 ?掃描器發(fā)送的 TCP包包頭設(shè)置所有標志位 ?關(guān)閉的端口會響應(yīng)一個同樣設(shè)置所有標志位的包 ?開放的端口則會忽略該包而不作任何響應(yīng) ?優(yōu)點 ?比較隱蔽 ?缺點 ?主要用于 UNIX/Linux/BSD的 TCP/IP的協(xié)議棧 ?不適用于 Windows系統(tǒng) 二、預(yù)攻擊探測 ?其他掃描 ?TCP ftp proxy掃描 ?原理 ?用 PORT命令讓 ftp server與目標主機建立連接，而且目標主機的端口可以指定 ?如果端口打開，則可以傳輸否則，返回 425 Can39。 二、預(yù)攻擊探測 ?空會話 ?原理 ?利用 Windows NT/2022對 NetBIOS的缺省信賴 ?通過 TCP端口 139返回主機的大量信息 ?實例 ?如果通過端口掃描獲知 TCP端口 139已經(jīng)打開 use \\\IPC$ /USER: ?在攻擊者和目標主機間建立連接 Windows 2022還有另一個 SMB端口 445 ?預(yù)防資源掃描和查找的方法： 防范 NetBIOS掃描的最直接方法就是不允許對 TCP/UDP 135到 139端口的訪問，如通過防火墻或路由器的配置等。任何系統(tǒng)都存在漏洞。 ?服務(wù)器端安裝在被控制的計算機中，它一般通過電子郵件或其他手段讓用戶在其計算機中運行，以達到控制該用戶計算機的目的。它們可以自動地刪除用戶計算機上的所有的 .DLL、 INI或 EXE文件。 **chargen:字符產(chǎn)生的縮寫，輸出一個可打印字符的旋轉(zhuǎn)序列，用于測試字符終端設(shè)備 ** 五、拒絕服務(wù)攻擊 ?UDP Flooder演示 五、拒絕服務(wù)攻擊 ?杜絕 UDP攻擊的方法 ?關(guān)掉不必要的 TCP/IP服務(wù) 。 ?LAND攻擊預(yù)防 : 預(yù)防 LAND攻擊最好的辦法是配置防火墻，對哪些在外部接口入站的含有內(nèi)部源地址的數(shù)據(jù)包過濾。 5 Master Server Targeted System 被控制計算機（代理端） 五、拒絕服務(wù)攻擊 Targeted System Hacker 目標系統(tǒng)被無數(shù)的偽造的請求所淹沒，從而無法對合法用戶進行響應(yīng)，DDOS攻擊成功。死掉的路由器經(jīng)重啟后會恢復(fù)正常，而且啟動起來還很快，沒有什么損失。 ?這樣 A與 B之間的通訊都將先經(jīng)過 Hacker，然后由 Hacker進行轉(zhuǎn)發(fā)。 ?黑客在 DNS服務(wù)器之前將虛假的響應(yīng)交給用戶，從而欺騙客戶端去訪問惡意的網(wǎng)站 ?DNS重定向 ?攻擊者能夠?qū)?DNS名稱查詢重定向到惡意 DNS服務(wù)器。 ?一是針對交換網(wǎng)絡(luò)的，由于交換網(wǎng)絡(luò)的數(shù)據(jù)是從一臺計算機發(fā)出到預(yù)定的計算機，而不是廣播的，所以黑客必須將嗅探器放到像網(wǎng)關(guān)服務(wù)器、路由器這樣的設(shè)備上才能監(jiān)聽到網(wǎng)絡(luò)上的數(shù)據(jù)，當然這比較困難，但由于一旦成功就能夠獲得整個網(wǎng)段的所有用戶賬號和口令，所以黑客還是會通過其他種種攻擊手段來實現(xiàn)它，如通過木馬方式將嗅探器發(fā)給某個網(wǎng)絡(luò)管理員，使其不自覺地為攻擊者進行了安裝。 ?網(wǎng)上流行著對 Windows NT的 SMB會話劫持攻擊 。 ?蠕蟲病毒是傳播最快的病毒種類之一，傳播速度最快的蠕蟲可以在幾分鐘之內(nèi)傳遍全球 。方法： Dos攻擊，如 Land攻擊、 SYN洪水攻擊 ?序列號采樣和猜測。用戶應(yīng)在路由器上配置 SYN/ICMP的最大流量來限制 SYN/ICMP 封包所能占有的最高頻寬，這樣，當出現(xiàn)大量的超過所限定的 SYN/ICMP流量時，說明不是正常的網(wǎng)絡(luò)訪問，而是有黑客入侵。防火墻本身能抵御 DDOS攻擊和其它一些攻擊。 ?針對此類攻擊一般采取的措施就是 QoS，在路由器或防火墻上針對此類數(shù)據(jù)流限制流量，從而保證正常帶寬的使用。證明內(nèi)部有人發(fā)起了這種攻擊（或者是被用作攻擊，或者是內(nèi)部人員所為）；如果 ICMP包的數(shù)量在短時間內(nèi)上升許多 (正常的 ping程序每隔一秒發(fā)一個 ICMP echo請求 )，證明有人在利用這種方法攻擊系統(tǒng)。 ?感染 Windows系統(tǒng)文件 ,以便進行自動啟動并達到自動隱藏的目的 . 四、木馬與后門攻擊 ?國內(nèi)黑客組織編寫； ?分為服務(wù)器端和客戶端： ?功能齊全： ?跟蹤屏幕變化； ?記錄各種口令； ?獲取系統(tǒng)信息； ?控制系統(tǒng)； ?注冊表操作； ?文件操作； ?點對點通信 ?缺省使用 7626端口 四、木馬與后門攻擊 四、木馬與后門攻擊 四、木馬與后門攻擊 ?安裝防火墻，禁止訪問不該訪問的服務(wù)端口，使用NAT隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu) ?安裝防病毒軟件 ?提高安全意識，盡量避免使用來歷不明的軟件 ?防范： ? 端口掃描； ? 查看連接； ? 檢查注冊表 ； ? 查找文件 ； ? 殺病毒軟件或木馬清除軟件。 四、木馬與后門攻擊 ?遠程訪問型木馬： 是現(xiàn)在最廣泛的特洛伊木馬 ， 它可以訪問受害人的硬盤 ， 并對其進行控制 。（例子中 服務(wù)器的 IP地址，在 DOS窗口用 ping命令即可獲得） 如果還是沒有顯示該頁面，可用上述其他代碼：如 %%c0%af代替 %c1%1c試試。 在 Windows NT/2022的資源工具箱 NTRK中提供了眾多的工具用于顯示遠程主機用戶名和組信息，如前面介紹的nbtstat和 nbtscan,另外還有 UsrStat等工具 二、預(yù)攻擊探測 ?UsrStat UsrStat是一個命令行工具，用于顯示一個給定域中的每一個用戶的用戶名、全名和最后的登錄日期與時間，如圖所示，可顯示域中計算機上的用戶信息。 ?采用協(xié)議： NetBIOS協(xié)議、 CIFS/SMB協(xié)議和空會話 ?常用工具： ?Net View ?Nbtstat和 Nbtscan ?Legion和 Shed 二、預(yù)攻擊探測 ?Net View 在命令行中輸入“ view /domain” 命令，可以獲取網(wǎng)絡(luò)上可用的域 二、預(yù)攻擊探測 在命令行中輸入“ view /domain： domain_name”命令，可以獲取某一域中的計算機列表，其中 domain_name為要列表計算機的域名。 Legion和 Shed就是其中的典型。 ?漏洞的產(chǎn)生大致有三個原因 ： ?編程人員的人為因素，在程序編寫過程，為實現(xiàn)不可告人的目的，在程序代碼的隱蔽處保留后門。 ? 綜合掃描工具 ?流光 ?XScanner ?CIS掃描器 四、木馬攻擊 ?木馬概述 ?木馬的組成 ?木馬分類 ?木馬常用的欺騙方法 ?針對木馬攻擊的防范措施 四、木馬與后門攻擊 特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會在計算機系統(tǒng)中隱藏一個可以在啟動時悄悄執(zhí)行的程序。這種特洛伊木馬隨著 Windows的啟動而啟動，知道受害者在線并且記錄每一件事。 ?最后 ， 客戶端也返回一個確認報文 ACK給服務(wù)器端 ， 同樣 TCP序列號被加 1， 到此一個 TCP連接完成 。 五、拒絕服務(wù)攻擊 ?Land攻擊 ?原理： 用一個特別打造的 SYN包，它的源地址和目標地址都被設(shè)置成某一個服務(wù)器地址。這些主機將被用于放置后門、sniffer或守護程序甚至是客戶程序。 五、