【文章內(nèi)容簡(jiǎn)介】 C2或者 W3SVC3目錄下，黑客們攻擊網(wǎng)站后記住刪除這個(gè)目錄下的文件?。。。? Unicode漏洞給網(wǎng)絡(luò)安全管理員配置系統(tǒng)的幾個(gè)啟示： ?在安裝 WindowsNT系統(tǒng)的時(shí)候，不要按照系統(tǒng)的默認(rèn)目錄把 Wwindows安裝在WinNT目錄下，把 WinNT目錄改名將使攻擊者難于猜 中命令執(zhí)行目錄； ?應(yīng)該把 /WinNT/System32目錄下的 ，這 樣攻擊者就無(wú)法找到執(zhí)行命令的文件； ?應(yīng)該把 WEB服務(wù)器所有的默認(rèn)安裝的執(zhí)行目錄刪除， 包括 Samples、 Scripts及Cgi－ bin，這些目錄如果被上傳可執(zhí)行文件，即可能對(duì)系統(tǒng)造成重大威 脅，如果需要可執(zhí)行目錄，則自己建一個(gè)不與默認(rèn)執(zhí)行目錄同名的目錄； ?網(wǎng)絡(luò)管理員應(yīng)該 把系統(tǒng)日記文件目錄移到一個(gè)更隱蔽的地方，這樣攻擊者就不容易找到系統(tǒng)記錄文件加以清除了。 三、漏洞掃描 ?針對(duì)漏洞掃描的預(yù)防措施 ?安裝防火墻，禁止訪問(wèn)不該訪問(wèn)的服務(wù)端口，使用NAT隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu) ?安裝入侵檢測(cè)系統(tǒng)，檢測(cè)漏洞掃描行為 ?安裝安全評(píng)估系統(tǒng)，先于入侵者進(jìn)行漏洞掃描，以便及早發(fā)現(xiàn)問(wèn)題并解決 ?提高安全意識(shí)，經(jīng)常給操作系統(tǒng)和應(yīng)用軟件打補(bǔ)丁 **windows 2022/XP漏洞攻擊參見(jiàn)“ windows漏洞” 三、漏洞掃描 ?安全掃描審計(jì) ?分類 ?網(wǎng)絡(luò)安全掃描 ?系統(tǒng)安全掃描 ?優(yōu)點(diǎn) ?較全面檢測(cè)流行漏洞 ?降低安全審計(jì)人員的勞動(dòng)強(qiáng)度 ?防止最嚴(yán)重的安全問(wèn)題 ?缺點(diǎn) ?無(wú)法跟上安全技術(shù)的發(fā)展速度 ?只能提供報(bào)告，無(wú)法實(shí)際解決 ?可能出現(xiàn)漏報(bào)和誤報(bào) 三、漏洞掃描 市場(chǎng)部 工程部 router 開(kāi)發(fā)部 Servers Firewall 圖：綜合掃描應(yīng)用 三、漏洞掃描 ?對(duì)系統(tǒng)進(jìn)行安全評(píng)估 為堵死安全策略和安全措施之間的缺口 ,必須從以下三方面對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行評(píng)估 : ?從企業(yè)外部進(jìn)行評(píng)估 :考察企業(yè)計(jì)算機(jī)基礎(chǔ)設(shè)施中的防火墻 。 ?從企業(yè)內(nèi)部進(jìn)行評(píng)估 :考察內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的計(jì)算機(jī)； ?從應(yīng)用系統(tǒng)進(jìn)行評(píng)估 :考察每臺(tái)硬件設(shè)備上運(yùn)行的操作系統(tǒng)。 ? 綜合掃描工具 ?流光 ?XScanner ?CIS掃描器 四、木馬攻擊 ?木馬概述 ?木馬的組成 ?木馬分類 ?木馬常用的欺騙方法 ?針對(duì)木馬攻擊的防范措施 四、木馬與后門攻擊 特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開(kāi)帶有木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開(kāi)了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會(huì)在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在啟動(dòng)時(shí)悄悄執(zhí)行的程序。這種遠(yuǎn)程控制工具可以完全控制受害主機(jī)，危害極大。 Windows下： Netbus、 subseven、 BO202冰河、網(wǎng)絡(luò)神偷 UNIX下： Rhost ++、 Login后門、 rootkit等 四、木馬與后門攻擊 對(duì)木馬程序而言，它一般包括兩個(gè)部分：客戶端和服務(wù)器端。 ?服務(wù)器端安裝在被控制的計(jì)算機(jī)中，它一般通過(guò)電子郵件或其他手段讓用戶在其計(jì)算機(jī)中運(yùn)行，以達(dá)到控制該用戶計(jì)算機(jī)的目的。 ?客戶端程序是控制者所使用的，用于對(duì)受控的計(jì)算機(jī)進(jìn)行控制。 ?服務(wù)器端程序和客戶端程序建立起連接就可以實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的控制了。木馬運(yùn)行時(shí)，首先服務(wù)器端程序獲得本地計(jì)算機(jī)的最高操作權(quán)限，當(dāng)本地計(jì)算機(jī)連入網(wǎng)絡(luò)后，客戶端程序可以與服務(wù)器端程序直接建立起連接，并可以向服務(wù)器端程序發(fā)送各種基本的操作請(qǐng)求，并由服務(wù)器端程序完成這些請(qǐng)求，也就實(shí)現(xiàn)對(duì)本地計(jì)算機(jī)的控制了。 備注： 木馬發(fā)揮作用必須要求服務(wù)器端程序和客戶端程序同時(shí)存在，所以必須要求本地機(jī)器感染服務(wù)器端程序。服務(wù)器端程序是可執(zhí)行程序，可以直接傳播，也可以隱含在其他的可執(zhí)行程序中傳播，但木馬本身不具備繁殖性和自動(dòng)感染的功能。 四、木馬與后門攻擊 ?遠(yuǎn)程訪問(wèn)型木馬： 是現(xiàn)在最廣泛的特洛伊木馬 ， 它可以訪問(wèn)受害人的硬盤(pán) ， 并對(duì)其進(jìn)行控制 。 這種木馬用起來(lái)非常簡(jiǎn)單 ， 只要某用戶運(yùn)行一下服務(wù)端程序 ，并獲取該用戶的 IP地址 ， 就可以訪問(wèn)該用戶的計(jì)算機(jī) 。 這種木馬可以使遠(yuǎn)程控制者在本地機(jī)器上做任意的事情 ， 比如鍵盤(pán)記錄 、 上傳和下載功能 、 截取屏幕等等 。 這種類型的木馬有著名的 BO（ Back Office） 和國(guó)產(chǎn)的冰河等 。 ?密碼發(fā)送型木馬： 其目的是找到所有的隱藏密碼 ， 并且在受害者不知道的情況下把它們發(fā)送到指定的信箱 。 大多數(shù)這類的木馬不會(huì)在每次的 Windows重啟時(shí)重啟 ， 而且它們大多數(shù)使用 25端口發(fā)送 Email。 四、木馬與后門攻擊 ?鍵盤(pán)記錄型木馬： 其非常簡(jiǎn)單的，它們只做一種事情，就是記錄受害者的鍵盤(pán)敲擊，并且在 LOG文件里做完整的記錄。這種特洛伊木馬隨著 Windows的啟動(dòng)而啟動(dòng)，知道受害者在線并且記錄每一件事。 ? 毀壞型木馬： 其唯一功能是毀壞并且刪除文件。這使它們非常簡(jiǎn)單，并且很容易被使用。它們可以自動(dòng)地刪除用戶計(jì)算機(jī)上的所有的 .DLL、 INI或 EXE文件。 ?FTP 型木馬： 其打開(kāi)用戶計(jì)算機(jī)的 21端口（ FTP所使用的默認(rèn)端口）， 使每一個(gè)人都可以用一個(gè) FTP 客戶端程序來(lái)不用密碼連接到該計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳下載 四、木馬與后門攻擊 ?捆綁欺騙： 如把木馬服務(wù)端和某個(gè)游戲捆綁成一個(gè)文件在郵件中發(fā)給別人 ； ?危險(xiǎn)下載點(diǎn)： 攻破一些下載站點(diǎn)后，下載幾個(gè)下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載 ；或直接將木馬改名上載到 FTP網(wǎng)站上，等待別人下載； ?文件夾慣性點(diǎn)擊： 把木馬文件偽裝成文件夾圖標(biāo)后，放在一個(gè)文件夾中，然后在外面再套三四個(gè)空文件夾； ?zip偽裝： 將一個(gè)木馬和一個(gè)損壞的 zip包捆綁在一起，然后指定捆綁后的文件為 zip圖標(biāo)； ?網(wǎng)頁(yè)木馬 四、木馬與后門攻擊 ?木馬隱藏方式： ?在任務(wù)欄中隱藏 ； ?在任務(wù)管理器中隱形 ； ?悄沒(méi)聲息地啟動(dòng) ：如啟動(dòng)組、 、 、注冊(cè)表等； ?注意自己的端口； ?偽裝成驅(qū)動(dòng)程序及動(dòng)態(tài)鏈接庫(kù)：如 ， 等。 四、木馬與后門攻擊 一般情況下，木馬在運(yùn)行后，都會(huì)修改系統(tǒng)，以便下一次系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行該木馬程序。修改系統(tǒng)的方法有下面幾種： ?利用 。 ?修改注冊(cè)表 。 ?修改 。 ?感染 Windows系統(tǒng)文件 ,以便進(jìn)行自動(dòng)啟動(dòng)并達(dá)到自動(dòng)隱藏的目的 . 四、木馬與后門攻擊 ?國(guó)內(nèi)黑客組織編寫(xiě)； ?分為服務(wù)器端和客戶端： ?功能齊全： ?跟蹤屏幕變化； ?記錄各種口令； ?獲取系統(tǒng)信息； ?控制系統(tǒng)； ?注冊(cè)表操作； ?文件操作； ?點(diǎn)對(duì)點(diǎn)通信 ?缺省使用 7626端口 四、木馬與后門攻擊 四、木馬與后門攻擊 四、木馬與后門攻擊 ?安裝防火墻，禁止訪問(wèn)不該訪問(wèn)的服務(wù)端口，使用NAT隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu) ?安裝防病毒軟件 ?提高安全意識(shí)，盡量避免使用來(lái)歷不明的軟件 ?防范： ? 端口掃描； ? 查看連接； ? 檢查注冊(cè)表 ； ? 查找文件 ； ? 殺病毒軟件或木馬清除軟件。 五、拒絕服務(wù)攻擊 ?拒絕服務(wù)攻擊 ?分布式拒絕服務(wù)攻擊 五、拒絕服務(wù)攻擊 ?DoS（ Denial of Service）是一種利用合理的服務(wù)請(qǐng)求占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)響應(yīng)的網(wǎng)絡(luò)攻擊行為。 ?被 DoS攻擊時(shí)的現(xiàn)象大致有： * 被攻擊主機(jī)上有大量等待的 TCP連接； * 被攻擊主機(jī)的系統(tǒng)資源被大量占用，造成系統(tǒng)停頓； * 網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假地址； * 高流量無(wú)用數(shù)據(jù)使得網(wǎng)絡(luò)擁塞，受害主機(jī)無(wú)法正常與外界通訊； * 利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求； * 嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。 五、拒絕服務(wù)攻擊 ?常見(jiàn)的拒絕服務(wù)攻擊 ?SYN Foold攻擊 ?是利用 TCP協(xié)議缺陷，發(fā)送大量偽造的 TCP連接請(qǐng)求，使被攻擊方資源耗盡 (CPU滿負(fù)荷或內(nèi)存不足 )的攻擊方式。 ?SYN Flood攻擊的過(guò)程在 TCP協(xié)議中被稱為三次握手 (Threeway Handshake)，而 SYN Flood拒絕服務(wù)攻擊就是通過(guò)三次握手而實(shí)現(xiàn)的。 ?三次握手簡(jiǎn)介： ?首先 ， 請(qǐng)求端 （ 客戶端 ） 發(fā)送一個(gè)包含 SYN標(biāo)志的 TCP報(bào)文 ， SYN即同步 （Synchronize） ， 同步報(bào)文會(huì)指明客戶端使用的端口以及 TCP連接的初始序號(hào) 。 ?服務(wù)器在收到客戶端的 SYN報(bào)文后 ， 將返回一個(gè) SYN+ACK的報(bào)文 ， 表示客戶端的請(qǐng)求被接受 ， 同時(shí) TCP序號(hào)被加一 ， ACK即確認(rèn) （ Acknowledgement）。 ?最后 ， 客戶端也返回一個(gè)確認(rèn)報(bào)文 ACK給服務(wù)器端 ， 同樣 TCP序列號(hào)被加 1， 到此一個(gè) TCP連接完成 。 五、拒絕服務(wù)攻擊 ?SYNFlooding攻擊演示 SYN （我可以和你連接嗎？） ACK | SYN（可以，請(qǐng)確認(rèn)?。? ACK （確認(rèn)連接） 發(fā)起方 應(yīng)答方 ?正常的三次握手建立通訊的過(guò)程 五、拒絕服務(wù)攻擊 攻擊者 受害者 攻擊者偽造源地址進(jìn)行 SYN請(qǐng)求 為何還沒(méi)回應(yīng) 就是讓你白等 不能建立正常的連接 其它正常用戶得不到響應(yīng) SYN （我可以和你連接嗎？） ACK | SYN（可以，請(qǐng)確認(rèn)?。? ？？？ 五、拒絕服務(wù)攻擊 攻擊者 目標(biāo) 攻擊者偽造源地址進(jìn)行 SYN請(qǐng)求 好像不管用了 其它正常用戶能夠得到響應(yīng) SYN ACK | SYN ？？？ SYN ACK ACK | SYN ?SYNFlooding攻擊的防范措施 五、拒絕服務(wù)攻擊 ?UDPFlood攻擊 ?原理： ?攻擊者利用簡(jiǎn)單的 TCP/IP服務(wù)，如 Chargen和 Echo來(lái)傳送毫無(wú)用處的占滿帶寬的數(shù)據(jù)。 ? 通過(guò)偽造與某一主機(jī)的 Chargen服務(wù)之間的一次的UDP連接，回復(fù)地址指向開(kāi)著 Echo服務(wù)的一臺(tái)主機(jī)，這樣就生成在兩臺(tái)主機(jī)之間存在很多的無(wú)用數(shù)據(jù)流，這些無(wú)用數(shù)據(jù)流就會(huì)導(dǎo)致帶寬的服務(wù)攻擊。 **chargen:字符產(chǎn)生的縮寫(xiě)，輸出一個(gè)可打印字符的旋轉(zhuǎn)序列，用于測(cè)試字符終端設(shè)備 ** 五、拒絕服務(wù)攻擊 ?UDP Flooder演示 五、拒絕服務(wù)攻擊 ?杜絕 UDP攻擊的方法 ?關(guān)掉不必要的 TCP/IP服務(wù) 。 ?配置防火墻以阻斷來(lái)自 Inter的 UDP服務(wù)請(qǐng)求 不過(guò)這可能會(huì)阻斷一些正常的 UDP服務(wù)請(qǐng)求。 五、拒絕服務(wù)攻擊 ?SMURF攻擊 ?原理： Smurf是一種具有放大效果的 DoS攻擊，具有很大的危害性。這種攻擊形式利用了 TCP/IP中的定向廣播的特性，共有三個(gè)參與角色：受害