【正文】 ?加密數(shù)據(jù) 嗅探器非常難以被發(fā)現(xiàn) , 因?yàn)樗鼈兪潜粍?dòng)的程序，只會(huì)監(jiān)聽(tīng)不會(huì)向外發(fā)送任何數(shù)據(jù)包。 ?加密所有對(duì)外的數(shù)據(jù)流，對(duì)服務(wù)器來(lái)說(shuō)就是盡量使用SSH之類的有加密支持的協(xié)議，對(duì)一般用戶應(yīng)該用 PGP之類的軟件加密所有發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。 六、 欺騙攻擊 Hi,我就是 A啊 Hi,我就是 B啊 A B Hacker 六、 欺騙攻擊 ?針對(duì) ARP欺騙攻擊的預(yù)防措施 ?安裝入侵檢測(cè)系統(tǒng)，檢測(cè) ARP欺騙 攻擊 ?MAC地址與 IP地址綁定 arp –s IP MAC ?下載并安裝 Anti ARP Sniffer 等專殺工具 ?在主機(jī)上安裝諾頓等正版網(wǎng)絡(luò)殺毒軟件，并經(jīng)常更新病毒庫(kù) ?及時(shí)給系統(tǒng)、ＩＥ、交換設(shè)備打補(bǔ)丁 ?內(nèi)網(wǎng)用戶設(shè)置強(qiáng)健的密碼，不要隨便共享文件，即使要共享文件也要設(shè)置好權(quán)限和密碼，不要隨便的點(diǎn)擊ＱＱ、ＭＳＮ中發(fā)來(lái)鏈接，不要使用游戲的外掛程序，不要隨便點(diǎn)擊、下載郵件的附件 ?安裝使用網(wǎng)絡(luò)防火墻 ?關(guān)閉不必要的服務(wù)和共享 六、 欺騙攻擊 . IP欺騙技術(shù)就是偽造某臺(tái)主機(jī)的 IP地址的技術(shù)。它通過(guò)反向路由表查詢的方法檢查訪問(wèn)者的 IP地址是否是真，如果是假的，它將予以屏蔽。對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理。利用國(guó)際互聯(lián)網(wǎng)遍布全球的計(jì)算機(jī)發(fā)起攻擊，難于追蹤。這種攻擊形式利用了 TCP/IP中的定向廣播的特性，共有三個(gè)參與角色：受害者、幫兇（放大網(wǎng)絡(luò)，即具有廣播特性的網(wǎng)絡(luò)）和攻擊者。修改系統(tǒng)的方法有下面幾種： ?利用 。木馬運(yùn)行時(shí)，首先服務(wù)器端程序獲得本地計(jì)算機(jī)的最高操作權(quán)限，當(dāng)本地計(jì)算機(jī)連入網(wǎng)絡(luò)后，客戶端程序可以與服務(wù)器端程序直接建立起連接，并可以向服務(wù)器端程序發(fā)送各種基本的操作請(qǐng)求，并由服務(wù)器端程序完成這些請(qǐng)求，也就實(shí)現(xiàn)對(duì)本地計(jì)算機(jī)的控制了。 三、漏洞掃描 ?常見(jiàn)漏洞攻擊實(shí)例 ?Unicode漏洞 Unicode漏洞編碼在中文 Windows NT中為： %c1%1c（代表 (0xc1 0xc0)*0x40+0x1c=0x5c=＇ /＇）和 %c0%2f（代表 (0xc00xcx)*0x40+0x2f=0x2f=＇ \＇）在英文版中為 %c0%af（但 %c1%pc、%c0%9v、 %c0%qf、 %c1%8s等幾個(gè)編碼也可能有效）。 二、預(yù)攻擊探測(cè) 利用前面介紹的方法，可以很容易獲取遠(yuǎn)程 Windows NT/2022主機(jī)的共享資源、 NetBIOS名和所處的域信息等。于是，發(fā)送一個(gè)RST，停止建立連接 ?由于連接沒(méi)有完全建立，所以稱為“半開(kāi)連接掃描” ?優(yōu)點(diǎn) ?很少有系統(tǒng)會(huì)記錄這樣的行為 ?缺點(diǎn) ?在 UNIX平臺(tái)上，需要 root權(quán)限才可以建立這樣的 SYN數(shù)據(jù)包 二、預(yù)攻擊探測(cè) ?IP ID header aka ―dump‖ 掃描 ?由 Antirez首先使用，并在 Bugtraq上公布 ?原理： ?掃描主機(jī)通過(guò)偽造第三方主機(jī) IP地址向目標(biāo)主機(jī)發(fā)起SYN掃描，并通過(guò)觀察其 IP序列號(hào)的增長(zhǎng)規(guī)律獲取端口的狀態(tài) ?優(yōu)點(diǎn) ?不直接掃描目標(biāo)主機(jī)也不直接和它進(jìn)行連接，隱蔽性較好 ?缺點(diǎn) ?對(duì)第三方主機(jī)的要求較高 二、預(yù)攻擊探測(cè) ?秘密掃描 ?TCP Fin掃描 ?原理 ?掃描器發(fā)送一個(gè) FIN數(shù)據(jù)包 ?如果端口關(guān)閉的，則遠(yuǎn)程主機(jī)丟棄該包，并送回一個(gè)RST包 ?否則的話，遠(yuǎn)程主機(jī)丟棄該包，不回送 ?變種，組合其他的標(biāo)記 ?優(yōu)點(diǎn) ?不是 TCP建立連接的過(guò)程，所以比較隱蔽 ?缺點(diǎn) ?與 SYN掃描類似，也需要構(gòu)造專門的數(shù)據(jù)包 ?在 Windows平臺(tái)無(wú)效，總是發(fā)送 RST包 二、預(yù)攻擊探測(cè) ?TCP XMAS掃描 ?原理 ?掃描器發(fā)送的 TCP包包頭設(shè)置所有標(biāo)志位 ?關(guān)閉的端口會(huì)響應(yīng)一個(gè)同樣設(shè)置所有標(biāo)志位的包 ?開(kāi)放的端口則會(huì)忽略該包而不作任何響應(yīng) ?優(yōu)點(diǎn) ?比較隱蔽 ?缺點(diǎn) ?主要用于 UNIX/Linux/BSD的 TCP/IP的協(xié)議棧 ?不適用于 Windows系統(tǒng) 二、預(yù)攻擊探測(cè) ?其他掃描 ?TCP ftp proxy掃描 ?原理 ?用 PORT命令讓 ftp server與目標(biāo)主機(jī)建立連接，而且目標(biāo)主機(jī)的端口可以指定 ?如果端口打開(kāi)，則可以傳輸否則，返回 425 Can39。 二、預(yù)攻擊探測(cè) ?空會(huì)話 ?原理 ?利用 Windows NT/2022對(duì) NetBIOS的缺省信賴 ?通過(guò) TCP端口 139返回主機(jī)的大量信息 ?實(shí)例 ?如果通過(guò)端口掃描獲知 TCP端口 139已經(jīng)打開(kāi) use \\\IPC$ /USER: ?在攻擊者和目標(biāo)主機(jī)間建立連接 Windows 2022還有另一個(gè) SMB端口 445 ?預(yù)防資源掃描和查找的方法： 防范 NetBIOS掃描的最直接方法就是不允許對(duì) TCP/UDP 135到 139端口的訪問(wèn)，如通過(guò)防火墻或路由器的配置等。任何系統(tǒng)都存在漏洞。 ?服務(wù)器端安裝在被控制的計(jì)算機(jī)中，它一般通過(guò)電子郵件或其他手段讓用戶在其計(jì)算機(jī)中運(yùn)行，以達(dá)到控制該用戶計(jì)算機(jī)的目的。它們可以自動(dòng)地刪除用戶計(jì)算機(jī)上的所有的 .DLL、 INI或 EXE文件。 **chargen:字符產(chǎn)生的縮寫，輸出一個(gè)可打印字符的旋轉(zhuǎn)序列，用于測(cè)試字符終端設(shè)備 ** 五、拒絕服務(wù)攻擊 ?UDP Flooder演示 五、拒絕服務(wù)攻擊 ?杜絕 UDP攻擊的方法 ?關(guān)掉不必要的 TCP/IP服務(wù) 。 ?LAND攻擊預(yù)防 : 預(yù)防 LAND攻擊最好的辦法是配置防火墻，對(duì)哪些在外部接口入站的含有內(nèi)部源地址的數(shù)據(jù)包過(guò)濾。 5 Master Server Targeted System 被控制計(jì)算機(jī)（代理端） 五、拒絕服務(wù)攻擊 Targeted System Hacker 目標(biāo)系統(tǒng)被無(wú)數(shù)的偽造的請(qǐng)求所淹沒(méi)，從而無(wú)法對(duì)合法用戶進(jìn)行響應(yīng)，DDOS攻擊成功。死掉的路由器經(jīng)重啟后會(huì)恢復(fù)正常，而且啟動(dòng)起來(lái)還很快，沒(méi)有什么損失。 ?這樣 A與 B之間的通訊都將先經(jīng)過(guò) Hacker，然后由 Hacker進(jìn)行轉(zhuǎn)發(fā)。 ?黑客在 DNS服務(wù)器之前將虛假的響應(yīng)交給用戶，從而欺騙客戶端去訪問(wèn)惡意的網(wǎng)站 ?DNS重定向 ?攻擊者能夠?qū)?DNS名稱查詢重定向到惡意 DNS服務(wù)器。 ?一是針對(duì)交換網(wǎng)絡(luò)的，由于交換網(wǎng)絡(luò)的數(shù)據(jù)是從一臺(tái)計(jì)算機(jī)發(fā)出到預(yù)定的計(jì)算機(jī)，而不是廣播的，所以黑客必須將嗅探器放到像網(wǎng)關(guān)服務(wù)器、路由器這樣的設(shè)備上才能監(jiān)聽(tīng)到網(wǎng)絡(luò)上的數(shù)據(jù)，當(dāng)然這比較困難，但由于一旦成功就能夠獲得整個(gè)網(wǎng)段的所有用戶賬號(hào)和口令，所以黑客還是會(huì)通過(guò)其他種種攻擊手段來(lái)實(shí)現(xiàn)它，如通過(guò)木馬方式將嗅探器發(fā)給某個(gè)網(wǎng)絡(luò)管理員，使其不自覺(jué)地為攻擊者進(jìn)行了安裝。 ?網(wǎng)上流行著對(duì) Windows NT的 SMB會(huì)話劫持攻擊 。 ?蠕蟲病毒是傳播最快的病毒種類之一，傳播速度最快的蠕蟲可以在幾分鐘之內(nèi)傳遍全球 。方法： Dos攻擊，如 Land攻擊、 SYN洪水攻擊 ?序列號(hào)采樣和猜測(cè)。用戶應(yīng)在路由器上配置 SYN/ICMP的最大流量來(lái)限制 SYN/ICMP 封包所能占有的最高頻寬，這樣，當(dāng)出現(xiàn)大量的超過(guò)所限定的 SYN/ICMP流量時(shí)，說(shuō)明不是正常的網(wǎng)絡(luò)訪問(wèn)，而是有黑客入侵。防火墻本身能抵御 DDOS攻擊和其它一些攻擊。 ?針對(duì)此類攻擊一般采取的措施就是 QoS，在路由器或防火墻上針對(duì)此類數(shù)據(jù)流限制流量，從而保證正常帶寬的使用。證明內(nèi)部有人發(fā)起了這種攻擊（或者是被用作攻擊，或者是內(nèi)部人員所為）；如果 ICMP包的數(shù)量在短時(shí)間內(nèi)上升許多 (正常的 ping程序每隔一秒發(fā)一個(gè) ICMP echo請(qǐng)求 )，證明有人在利用這種方法攻擊系統(tǒng)。 ?感染 Windows系統(tǒng)文件 ,以便進(jìn)行自動(dòng)啟動(dòng)并達(dá)到自動(dòng)隱藏的目的 . 四、木馬與后門攻擊 ?國(guó)內(nèi)黑客組織編寫； ?分為服務(wù)器端和客戶端： ?功能齊全： ?跟蹤屏幕變化； ?記錄各種口令； ?獲取系統(tǒng)信息； ?控制系統(tǒng)； ?注冊(cè)表操作； ?文件操作； ?點(diǎn)對(duì)點(diǎn)通信 ?缺省使用 7626端口 四、木馬與后門攻擊 四、木馬與后門攻擊 四、木馬與后門攻擊 ?安裝防火墻，禁止訪問(wèn)不該訪問(wèn)的服務(wù)端口，使用NAT隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu) ?安裝防病毒軟件 ?提高安全意識(shí)，盡量避免使用來(lái)歷不明的軟件 ?防范： ? 端口掃描； ? 查看連接； ? 檢查注冊(cè)表 ； ? 查找文件 ； ? 殺病毒軟件或木馬清除軟件。 四、木馬與后門攻擊 ?遠(yuǎn)程訪問(wèn)型木馬： 是現(xiàn)在最廣泛的特洛伊木馬 ， 它可以訪問(wèn)受害人的硬盤 ， 并對(duì)其進(jìn)行控制 。（例子中 服務(wù)器的 IP地址，在 DOS窗口用 ping命令即可獲得） 如果還是沒(méi)有顯示該頁(yè)面，可用上述其他代碼：如 %%c0%af代替 %c1%1c試試。 在 Windows NT/2022的資源工具箱 NTRK中提供了眾多的工具用于顯示遠(yuǎn)程主機(jī)用戶名和組信息，如前面介紹的nbtstat和 nbtscan,另外還有 UsrStat等工具 二、預(yù)攻擊探測(cè) ?UsrStat UsrStat是一個(gè)命令行工具，用于顯示一個(gè)給定域中的每一個(gè)用戶的用戶名、全名和最后的登錄日期與時(shí)間，如圖所示，可顯示域中計(jì)算機(jī)上的用戶信息。 ?采用協(xié)議： NetBIOS協(xié)議、 CIFS/SMB協(xié)議和空會(huì)話 ?常用工具： ?Net View ?Nbtstat和 Nbtscan ?Legion和 Shed 二、預(yù)攻擊探測(cè) ?Net View 在命令行中輸入“ view /domain” 命令，可以獲取網(wǎng)絡(luò)上可用的域 二、預(yù)攻擊探測(cè) 在命令行中輸入“ view /domain： domain_name”命令，可以獲取某一域中的計(jì)算機(jī)列表，其中 domain_name為要列表計(jì)算機(jī)的域名。 Legion和 Shed就是其中的典型。 ?漏洞的產(chǎn)生大致有三個(gè)原因 ： ?編程人員的人為因素，在程序編寫過(guò)程，為實(shí)現(xiàn)不可告人的目的，在程序代碼的隱蔽處保留后門。 ? 綜合掃描工具 ?流光 ?XScanner ?CIS掃描器 四、木馬攻擊 ?木馬概述 ?木馬的組成 ?木馬分類 ?木馬常用的欺騙方法 ?針對(duì)木馬攻擊的防范措施 四、木馬與后門攻擊 特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開(kāi)帶有木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開(kāi)了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會(huì)在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在啟動(dòng)時(shí)悄悄執(zhí)行的程序。這種特洛伊木馬隨著 Windows的啟動(dòng)而啟動(dòng)，知道受害者在線并且記錄每一件事。 ?最后 ， 客戶端也返回一個(gè)確認(rèn)報(bào)文 ACK給服務(wù)器端 ， 同樣 TCP序列號(hào)被加 1， 到此一個(gè) TCP連接完成 。 五、拒絕服務(wù)攻擊 ?Land攻擊 ?原理： 用一個(gè)特別打造的 SYN包，它的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址。這些主機(jī)將被用于放置后門、sniffer或守護(hù)程序甚至是客戶程序。 五、