《计算机网络安全第7章.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全第7章.ppt(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第七章 黑客攻击与防范 本章主要内容:本章主要内容:第一节第一节 黑客攻击介绍黑客攻击介绍第二节第二节 黑客攻黑客攻击击常用工具常用工具 第三节第三节 黑客攻黑客攻击击常常见见的两种形式的两种形式 第四节第四节 黑客攻黑客攻击击的防范的防范 12/21/20221黑客攻击与防范知识点l黑客攻击的目的、黑客攻击的三个阶段黑客攻击的目的、黑客攻击的三个阶段l黑客攻击的常用工具、黑客攻击的防备黑客攻击的常用工具、黑客攻击的防备l网络监听及其检测网络监听及其检测l扫描器及其使用扫描器及其使用l来自来自E-mail的攻击、的攻击、E-mail的安全策略的安全策略l特洛伊木马程序及其检测、删除特洛伊木马程
2、序及其检测、删除12/21/20222黑客攻击与防范难 点 黑客攻击的防备黑客攻击的防备网络监听及其检测网络监听及其检测特洛伊木马程序及其检测、删除特洛伊木马程序及其检测、删除12/21/20223黑客攻击与防范要求熟练掌握以下内容熟练掌握以下内容:l什么是黑客?黑客攻击的目的、常用工具及攻击的防备什么是黑客?黑客攻击的目的、常用工具及攻击的防备l网络监听及其检测方法网络监听及其检测方法l来自来自E-mail的攻击、的攻击、E-mail的安全策略的安全策略l特洛伊木马程序及其检测、删除特洛伊木马程序及其检测、删除了解以下内容了解以下内容:lE-mailE-mail的安全漏洞的安全漏洞l特洛伊木
3、马的存在形式特洛伊木马的存在形式12/21/20224黑客攻击与防范第一节 黑客攻击介绍 l黑客与入侵者黑客与入侵者l黑客攻击的目的黑客攻击的目的l黑客攻击的三个阶段黑客攻击的三个阶段l黑客攻击手段黑客攻击手段12/21/20225黑客攻击与防范7.1.1黑客与入侵者黑客的行为没有恶意,而入侵者的行为具黑客的行为没有恶意,而入侵者的行为具有恶意。有恶意。在网络世界里,要想区分开谁是真正意义在网络世界里,要想区分开谁是真正意义上的黑客,谁是真正意义上的入侵者并不容易,上的黑客,谁是真正意义上的入侵者并不容易,因为有些人可能既是黑客,也是入侵者。而且因为有些人可能既是黑客,也是入侵者。而且在大多数
4、人的眼里,黑客就是入侵者。所以,在大多数人的眼里,黑客就是入侵者。所以,在以后的讨论中不再区分黑客、入侵者,将他在以后的讨论中不再区分黑客、入侵者,将他们视为同一类。们视为同一类。12/21/20226黑客攻击与防范7.1.2黑客攻击的目的黑客攻击的目的1窃取信息窃取信息2获取口令获取口令3控制中间站点控制中间站点4获得超级用户权限获得超级用户权限12/21/20227黑客攻击与防范7.1.3黑客攻击的黑客攻击的3个阶段个阶段1确定目标确定目标 2搜搜集集与与攻攻击击目目标标相相关关的的信信息息,并并找找出出系系统的安全漏洞统的安全漏洞 3实施攻击实施攻击12/21/20228黑客攻击与防范7
5、.1.4黑客攻击手段黑客攻击手段1黑客往往使用扫描器黑客往往使用扫描器2黑黑客客经经常常利利用用一一些些别别人人使使用用过过的的并并在在安安全领域广为人知的技术和工具。全领域广为人知的技术和工具。3黑客利用黑客利用Internet站点上的有关文章站点上的有关文章4黑客利用监听程序黑客利用监听程序5黑客利用网络工具进行侦察黑客利用网络工具进行侦察6黑客自己编写工具黑客自己编写工具12/21/20229黑客攻击与防范第二节 黑客攻击常用工具 l网络监听网络监听l扫描器扫描器12/21/202210黑客攻击与防范7.2.1网络监听网络监听1.网络监听简介网络监听简介 所谓网络监听就是获取在网络上传所
6、谓网络监听就是获取在网络上传输的信息。通常,这种信息并不是特定输的信息。通常,这种信息并不是特定发给自己计算机的。一般情况下,系统发给自己计算机的。一般情况下,系统管理员为了有效地管理网络、诊断网络管理员为了有效地管理网络、诊断网络问题而进行网络监听。然而,黑客为了问题而进行网络监听。然而,黑客为了达到其不可告人的目的,也进行网络监达到其不可告人的目的,也进行网络监听。听。12/21/202211黑客攻击与防范2.在以太网中的监听在以太网中的监听(1)以太网中信息传输的原理。)以太网中信息传输的原理。以太网协议的工作方式:发送信息时,发以太网协议的工作方式:发送信息时,发送方将对所有的主机进行
7、广播,广播包的包头送方将对所有的主机进行广播,广播包的包头含有目的主机的物理地址,如果地址与主机不含有目的主机的物理地址,如果地址与主机不符,则该主机对数据包不予理睬,只有当地址符,则该主机对数据包不予理睬,只有当地址与主机自己的地址相同时主机才会接受该数据与主机自己的地址相同时主机才会接受该数据包,但网络监听程序可以使得主机对所有通过包,但网络监听程序可以使得主机对所有通过它的数据进行接受或改变。它的数据进行接受或改变。12/21/202212黑客攻击与防范(2)监听模式的设置)监听模式的设置要使主机工作在监听模式下,需要向网络要使主机工作在监听模式下,需要向网络接口发送接口发送I/O控制命
8、令;将其设置为监听模式。控制命令;将其设置为监听模式。在在UNIX系统中,发送这些命令需要超级用户系统中,发送这些命令需要超级用户的权限。在的权限。在UNIX系统中普通用户是不能进行系统中普通用户是不能进行网络监听的。但是,在上网的网络监听的。但是,在上网的Windows95中,中,则没有这个限制。只要运行这一类的监听软件则没有这个限制。只要运行这一类的监听软件即可,而且具有操作方便,对监听到信息的综即可,而且具有操作方便,对监听到信息的综合能力强的特点。合能力强的特点。12/21/202213黑客攻击与防范(3)网络监听所造成的影响)网络监听所造成的影响网络监听使得进行监听的机器响应网络监听
9、使得进行监听的机器响应速度变得非常慢速度变得非常慢 12/21/202214黑客攻击与防范3.常用的监听工具常用的监听工具(1)snoopsnoop可可以以截截获获网网络络上上传传输输的的数数据据包包,并并显显示示这这些些包包中中的的内内容容。它它使使用用网网络络包包过过滤滤功功能能和和缓缓冲冲技技术术来来提提供供有有效效的的对对网网络络通通信信过过滤滤的的功功能能。那那些些截截获获的的数数据据包包中中的的信信息息可可以以在在它它们们被被截截获获时时显显示示出出来来,也也可可以以存存储储在在文文件件中中,用用于于以以后后的检查。的检查。Snoop可以以单行的形式只输出数据包的可以以单行的形式只
10、输出数据包的总结信息,也可以以多行的形式对包中信息详总结信息,也可以以多行的形式对包中信息详细说明。细说明。12/21/202215黑客攻击与防范2Sniffit软件软件Sniffit是是由由LawrenceBerkeley实实验验室室开开发发的的,运运行行于于Solaris、SGI和和Linux等等平平台台的的一一种种免免费费网网络络监监听听软软件件,具具有有功功能能强强大大且且使使用用方方便便的的特特点点。使使用用时时,用用户户可可以以选选择择源源、目目标标地地址址或或地地址址集集合合,还还可可以选择监听的端口、协议和网络接口等。以选择监听的端口、协议和网络接口等。12/21/202216
11、黑客攻击与防范4.网络监听的检测 方法一:方法一:对对于于怀怀疑疑运运行行监监听听程程序序的的机机器器,用用正正确确的的IP地地址址和和错错误误的的物物理理地地址址去去ping,运运行行监监听听程程序序的的机机器器会会有有响响应应。这这是是因因为为正正常常的的机机器器不不接接收收错错误误的的物物理理地地址址,处处于于监监听听状状态态的的机机器器能能接接收收。如如果果他他的的IPstack不不再再次次反反向向检检查查的的话话,就就会会响响应应。这这种种方方法法依依赖赖于于系系统统的的IPstack,对对一一些系统可能行不通。些系统可能行不通。12/21/202217黑客攻击与防范方法二:方法二:
12、往往网网上上发发大大量量不不存存在在的的物物理理地地址址的的包包,由由于于监监听听程程序序将将处处理理这这些些包包,将将导导致致性性能能下下降降。通通过过比比较较前前后后该该机机器器性性能能(icmpechodelay等等方方法法)加以判断。这种方法难度比较大。加以判断。这种方法难度比较大。方法三:方法三:一一个个看看起起来来可可行行的的检检查查监监听听程程序序的的方方法法是是搜搜索索所所有有主主机机上上运运行行的的进进程程。那那些些使使用用DOS、WindowsforWorkgroup或或者者Windows95的的机机器器很很难难做做到到这这一一点点。而而使使用用UNIX和和WindowsN
13、T的机器可以很容易地得到当前进程的清单。的机器可以很容易地得到当前进程的清单。12/21/202218黑客攻击与防范方法四:方法四:另外一个办法就是去搜索监听程序,另外一个办法就是去搜索监听程序,入侵者很可能使用的是一个免费软件。入侵者很可能使用的是一个免费软件。管理员就可以检查目录,找出监听程序,管理员就可以检查目录,找出监听程序,但这很困难而且很费时间。在但这很困难而且很费时间。在UNIX系统系统上,人们可能不得不自己编写一个程序。上,人们可能不得不自己编写一个程序。另外,如果监听程序被换成另一个名字,另外,如果监听程序被换成另一个名字,管理员也不可能找到这个监听程序。管理员也不可能找到这
14、个监听程序。12/21/202219黑客攻击与防范7.2.2扫描器扫描器1.扫描器简介扫描器简介扫扫描描器器是是自自动动检检测测远远程程或或本本地地主主机机安安全全性性漏漏洞洞的的程程序包。序包。使使用用扫扫描描器器,不不仅仅可可以以很很快快地地发发现现本本地地主主机机系系统统配配置置和和软软件件上上存存在在的的安安全全隐隐患患,而而且且还还可可以以不不留留痕痕迹迹地地发发现现远远在在另另一一个个半半球球的的一一台台主主机机的的安安全全性性漏漏洞洞,这这种种自动检测功能快速而准确。自动检测功能快速而准确。扫扫描描器器和和监监听听工工具具一一样样,不不同同的的人人使使用用会会有有不不同同的的结结
15、果果:如如果果系系统统管管理理员员使使用用了了扫扫描描器器,它它将将直直接接有有助助于于加加强强系系统统安安全全性性;而而对对于于黑黑客客来来说说,扫扫描描器器是是他他们们进进行行攻攻击击入入手手点点,不不过过,由由于于扫扫描描器器不不能能直直接接攻攻击击网网络络漏漏洞洞,所所以以黑黑客客使使用用扫扫描描器器找找出出目目标标主主机机上上各各种种各各样的安全漏洞后,利用其他方法进行恶意攻击。样的安全漏洞后,利用其他方法进行恶意攻击。12/21/202220黑客攻击与防范2.端口扫描端口扫描()端口()端口 许多许多TCP/IP程序可以通过程序可以通过Internet启动,启动,这些程序大都是面向
16、客户这些程序大都是面向客户/服务器的程序。当服务器的程序。当inetd接收到一个连接请求时,它便启动一个服接收到一个连接请求时,它便启动一个服务,与请求客户服务的机器通讯。为简化这一务,与请求客户服务的机器通讯。为简化这一过程,每个应用程序(比如过程,每个应用程序(比如FTP、Telnet)被被赋予一个唯一的地址,这个地址称为端口。在赋予一个唯一的地址,这个地址称为端口。在一般的一般的Internet服务器上都有数千个端口,为服务器上都有数千个端口,为了简便和高效,为每个指定端口都设计了一个了简便和高效,为每个指定端口都设计了一个标准的数据帧。换句话说,尽管系统管理员可标准的数据帧。换句话说,
17、尽管系统管理员可以把服务绑定(以把服务绑定(bind)到他选定的端口上,但到他选定的端口上,但服务一般都被绑定到指定的端口上,它们被称服务一般都被绑定到指定的端口上,它们被称为公认端口。为公认端口。12/21/202221黑客攻击与防范()端口扫描简介()端口扫描简介 端口扫描是一种获取主机信息的好方法。端口扫描是一种获取主机信息的好方法。端口扫描程序对于系统管理人员,是一端口扫描程序对于系统管理人员,是一个非常简便实用的工具。个非常简便实用的工具。如果扫描到一些标准端口之外的端口,如果扫描到一些标准端口之外的端口,系统管理员必须清楚这些端口提供了一系统管理员必须清楚这些端口提供了一些什么服务
18、,是不是允许的。些什么服务,是不是允许的。12/21/202222黑客攻击与防范3.常用的扫描工具()网络分析工具SATAN SATAN是一个分析网络的安全管理和测试、报告工具。它用来收集网络上主机的许多信息,并可以识别且自动报告与网络相关的安全问题。对所发现的每种问题类型,SATAN都提供对这个问题的解释以及它可能对系统和网络安全造成的影响的程度。通过所附的资料,它还解释如何处理这些问题。12/21/202223黑客攻击与防范()网络安全扫描器()网络安全扫描器NSS网络安全扫描器是一个非常隐蔽的扫网络安全扫描器是一个非常隐蔽的扫描器。如果你用流行的搜索程序搜索它,描器。如果你用流行的搜索程
19、序搜索它,你所能发现的入口不超过你所能发现的入口不超过20个。这并非个。这并非意味着意味着NSS使用不广泛,而是意味着多数使用不广泛,而是意味着多数载有该扫描器的载有该扫描器的FTP的站点处在暗处,的站点处在暗处,或无法通过或无法通过WWW搜索器找到它们。搜索器找到它们。12/21/202224黑客攻击与防范()()Strobe超级优化超级优化TCP端口检测程序端口检测程序Strobe是是一个一个TCP端口扫描器。它具有在最大带端口扫描器。它具有在最大带宽利用率和最小进程资源需求下,迅速宽利用率和最小进程资源需求下,迅速地定位和扫描一台远程目标主机或许多地定位和扫描一台远程目标主机或许多台主机
20、的所有台主机的所有TCP“监听监听”端口的能力。端口的能力。12/21/202225黑客攻击与防范(4)InternetScannerInternetScanner可以说是可得到的可以说是可得到的最快和功能最全的安全扫描工具,用于最快和功能最全的安全扫描工具,用于UNIX和和WindowsNT。它容易配置,扫它容易配置,扫描速度快,并且能产生综合报告。描速度快,并且能产生综合报告。12/21/202226黑客攻击与防范(5)PortScannerPortScanner是一个运行于是一个运行于Windows95和和WindowsNT上的端口扫描工具,其上的端口扫描工具,其开始界面上显示了两个输入
21、框,上面的开始界面上显示了两个输入框,上面的输入框用于要扫描的开始主机输入框用于要扫描的开始主机IP地址,地址,下面的输入框用于输入要扫描的结束主下面的输入框用于输入要扫描的结束主机机IP地址。在这两个地址。在这两个IP地址之间的主机地址之间的主机将被扫描。将被扫描。12/21/202227黑客攻击与防范第三节 黑客攻击常见的两种形式 l E-mailE-mail攻击攻击l 特洛伊木马攻击特洛伊木马攻击12/21/202228黑客攻击与防范7.3.1E-mail攻击攻击1.E-mail工作原理工作原理一一个个邮邮件件系系统统的的传传输输实实际际包包含含了了三三个个方方面面,它它们们是是用用户户
22、代代理理(UserAgent)、传传输输代代理理(Transfer Agent)及及 接接 受受 代代 理理(DeliveryAgent)三大部分。三大部分。用用户户代代理理是是一一个个用用户户端端发发信信和和收收信信的的应应用用程程序序,它它负负责责将将信信按按照照一一定定的的标标准准包包装装,然然后后送送至至邮邮件件服服务务器器,将将信信件件发发出出或或由由邮邮件件服服务务器器收回。收回。传传输输代代理理则则负负责责信信件件的的交交换换和和传传输输,将将信信件传送至适当的邮件主机。件传送至适当的邮件主机。12/21/202229黑客攻击与防范接接受受代代理理则则是是负负责责将将信信件件根根
23、据据信信件件的的信信息息而分发至不同的邮件信箱。而分发至不同的邮件信箱。传传输输代代理理要要求求能能够够接接受受用用户户邮邮件件程程序序送送来来的的信信件件,解解读读收收信信人人的的具具体体地地址址,根根据据SMTP(SimpleMailTransportProtocol)协协议议将将它它正正确确无无误误地地传传递递到到目目的的地地。而而接接收收代代理理POP(PostOfficeProtocol,网网络络邮邮局局协协议议或或网网络络中中转转协协议议)则则必必须须能能够够把把用用户户的的邮邮件件被被用用户读取至自己的主机。户读取至自己的主机。12/21/202230黑客攻击与防范2.E-mai
24、l的安全漏洞的安全漏洞(1)HotmailService存在漏洞存在漏洞(2)sendmail存在安全漏洞存在安全漏洞(3)用)用Web浏览器查看邮件带来的漏洞浏览器查看邮件带来的漏洞(4)E-mail服务器的开放性带来的威胁服务器的开放性带来的威胁(5)E-mail传输形式的潜在威胁传输形式的潜在威胁12/21/202231黑客攻击与防范3.匿名转发匿名转发所所谓谓匿匿名名转转发发,就就是是电电子子邮邮件件的的发发送送者者在在发发送送邮邮件件时时,使使接接收收者者搞搞不不清清邮邮件件的的发发送送者者是是谁谁,邮邮件件从从何何处处发发送送,采采用用这这种种邮邮件件发发送送的的方方法法称称为为匿
25、匿名名转转发发,用用户接收到的邮件又叫匿名邮件。户接收到的邮件又叫匿名邮件。12/21/202232黑客攻击与防范4.来自来自E-mail的攻击的攻击(1)E-mail欺骗欺骗(2)E-mail轰炸轰炸12/21/202233黑客攻击与防范5.E-mail安全策略安全策略保护保护E-mail的有效方法是使用加密签的有效方法是使用加密签字,如字,如“PrettyGoodPrivacy”(PGP),),来验证来验证E-mail信息。通过验证信息。通过验证E-mail信息,信息,可以保证信息确实来自发信人,并保证可以保证信息确实来自发信人,并保证在传送过程中信息没有被修改。在传送过程中信息没有被修改
26、。12/21/202234黑客攻击与防范7.3.2特洛伊木马攻击特洛伊木马攻击1.特洛伊木马程序简介特洛伊木马程序简介(1)什么是特洛伊木马)什么是特洛伊木马特特洛洛伊伊木木马马来来自自于于希希腊腊神神话话,这这里里指指的的是是一一种种黑黑客客程程序序,它它一一般般有有两两个个程程序序,一一个个是是服服务务器器端端程程序序,一一个个是是控控制制器器端端程程序序。如如果果用用户户的的电电脑脑安安装装了了服服务务器器端端程程序序,那那么么黑黑客客就就可可以以使使用用控控制制器器端端程程序序进进入入用用户户的的电电脑脑,通通过过命命令令服服务器断程序达到控制用户电脑的目的。务器断程序达到控制用户电脑
27、的目的。12/21/202235黑客攻击与防范(2)木马服务端程序的植入)木马服务端程序的植入攻攻击击者者要要通通过过木木马马攻攻击击用用户户的的系系统统,一一般般他他所所要要作作的的第第一一步步就就是是要要把把木木马马的的服服务务器器端端程程序序植植入入用用户户的的电电脑脑里里面面。植植入的方法有:入的方法有:下载的软件下载的软件 通过交互脚本通过交互脚本通过系统漏洞通过系统漏洞12/21/202236黑客攻击与防范(3)木马将入侵主机信息发送给攻击者)木马将入侵主机信息发送给攻击者 木马在被植入攻击主机后,他一般木马在被植入攻击主机后,他一般会通过一定的方式把入侵主机的信息、会通过一定的方
28、式把入侵主机的信息、如主机的如主机的IP地址、木马植入的端口等发地址、木马植入的端口等发送给攻击者,这样攻击者就可以与木马送给攻击者,这样攻击者就可以与木马里应外合控制受攻击主机。里应外合控制受攻击主机。12/21/202237黑客攻击与防范(4)木马程序启动并发挥作用)木马程序启动并发挥作用 黑客通常都是和用户的电脑中木马程序联系,当木黑客通常都是和用户的电脑中木马程序联系,当木马程序在用户的电脑中存在的时候,黑客就可以通过控制马程序在用户的电脑中存在的时候,黑客就可以通过控制器断的软件来命令木马做事。这些命令是在网络上传递的,器断的软件来命令木马做事。这些命令是在网络上传递的,必须要遵守必
29、须要遵守TCP/IP协议。协议。TCP/IP协议规定电脑的端口有协议规定电脑的端口有256X256=65536个,从个,从0到到65535号端口,木马可以打开号端口,木马可以打开一个或者几个端口,黑客使用的控制器断软件就是通过木一个或者几个端口,黑客使用的控制器断软件就是通过木马的端口进入用户的电脑的。马的端口进入用户的电脑的。特洛伊木马要能发挥作用必须具备三个因素:特洛伊木马要能发挥作用必须具备三个因素:木马需要一种启动方式,一般在注册表启动组中;木马需要一种启动方式,一般在注册表启动组中;木马需要在内存中才能发挥作用;木马需要在内存中才能发挥作用;木马会打开特别的端口,以便黑客通过这个端口
30、木马会打开特别的端口,以便黑客通过这个端口和木马联系。和木马联系。12/21/202238黑客攻击与防范2.特洛伊程序的存在形式特洛伊程序的存在形式(1)大大部部分分的的特特洛洛伊伊程程序序存存在在于于编编译译过过的的二进制文件中。二进制文件中。(2)特特洛洛伊伊程程序序也也可可以以在在一一些些没没有有被被编编译译的可执行文件中发现。的可执行文件中发现。12/21/202239黑客攻击与防范3.特洛伊程序的检测特洛伊程序的检测(1)通过检查文件的完整性来检测特洛伊程序。)通过检查文件的完整性来检测特洛伊程序。(2)检测特洛伊程序的技术)检测特洛伊程序的技术MD5MD5属于一个叫做报文摘要算法的
31、单向散属于一个叫做报文摘要算法的单向散列函数中的一种。这种算法对任意长度的输入列函数中的一种。这种算法对任意长度的输入报文都产生一个报文都产生一个128位的位的“指纹指纹”或或“报文摘报文摘要要”作为输出。它的一个假设前提是:要产生作为输出。它的一个假设前提是:要产生具有同样报文摘要的两个报文或要产生给定报具有同样报文摘要的两个报文或要产生给定报文摘要的报文是不可能的。文摘要的报文是不可能的。12/21/202240黑客攻击与防范4.特洛伊程序的删除特洛伊程序的删除 删除木马最简单的方法是删除木马最简单的方法是安装安装杀毒软件,杀毒软件,现在很多杀毒软件都能删除多种木马。但是由现在很多杀毒软件
32、都能删除多种木马。但是由于木马的种类和花样越来越多,所以手动删除于木马的种类和花样越来越多,所以手动删除还是最好的办法。木马在启动后会被加载到注还是最好的办法。木马在启动后会被加载到注册表的启动组中,它会先进入内存,然后打开册表的启动组中,它会先进入内存,然后打开端口。所以在查找木马时要先使用端口。所以在查找木马时要先使用TCPVIEW,而后开始查找开放的可疑端口。而后开始查找开放的可疑端口。12/21/202241黑客攻击与防范l 发现黑客发现黑客l 发现黑客入侵后的对策发现黑客入侵后的对策第四节 黑客攻击的防范 12/21/202242黑客攻击与防范7.4.1发现黑客 1.在黑客正在活动时
33、,捉住他在黑客正在活动时,捉住他2.根据系统发生的一些改变推断系统已被入侵根据系统发生的一些改变推断系统已被入侵3.根据系统中一些奇怪的现象判断根据系统中一些奇怪的现象判断4.一个用户登录进来许多次一个用户登录进来许多次5.一一个个用用户户大大量量地地进进行行网网络络活活动动,或或者者其其他他一一些些很不正常的网络操作很不正常的网络操作6.一一些些原原本本不不经经常常使使用用的的账账户户,突突然然变变得得活活跃跃起起来来12/21/202243黑客攻击与防范7.4.2发现黑客入侵后的对策发现黑客入侵后的对策1.估计形势估计形势当证实遭到入侵时,采取的第一步行动是当证实遭到入侵时,采取的第一步行
34、动是尽可能快地估计入侵造成的破坏程度。尽可能快地估计入侵造成的破坏程度。2.采取措施采取措施(1)杀死这个进程来切断黑客与系统的连接。)杀死这个进程来切断黑客与系统的连接。(2)使使用用write或或者者talk工工具具询询问问他他们们究究竟竟想想要要做什么。做什么。(3)跟踪这个连接,找出黑客的来路和身份。)跟踪这个连接,找出黑客的来路和身份。这时候,这时候,nslookup、finger等工具很有用。等工具很有用。12/21/202244黑客攻击与防范(4)管管理理员员可可以以使使用用一一些些工工具具来来监监视视黑黑客客,观观察察他他们们在在做做什什么么。这这些些工工具具包包括括snoop
35、、ps、lastcomm和和ttywatch等。等。(5)ps、w和和who这这些些命命令令可可以以报报告告每每一一个个用用户户使使用用的的终终端端。如如果果黑黑客客是是从从一一个个终终端端访访问问系系统统,这这种种情情况况不不太太好好,因因为为这这需需要要事事先先与与电电话话公公司司联系。联系。(6)使使用用who和和netstat可可以以发发现现入入侵侵者者从从哪哪个个主主机机上上过过来来,然然后后可可以以使使用用finger命命令令来来查查看看哪些用户登录进远程系统。哪些用户登录进远程系统。(7)修修复复安安全全漏漏洞洞并并恢恢复复系系统统,不不给给黑黑客客留留有有可乘之机。可乘之机。12/21/202245黑客攻击与防范小结:网络上黑客的攻击越来越猖獗,对网络安网络上黑客的攻击越来越猖獗,对网络安全造成了很大的威胁。本章主要讲述了黑客攻全造成了很大的威胁。本章主要讲述了黑客攻击的目的、黑客攻击的三个阶段、黑客攻击的击的目的、黑客攻击的三个阶段、黑客攻击的常用工具以及黑客攻击的防备,并介绍了黑客常用工具以及黑客攻击的防备,并介绍了黑客攻击常用的网络监听和扫描器。同时,讲述了攻击常用的网络监听和扫描器。同时,讲述了来自来自E-mail的攻击及其安全策略、特洛伊木马的攻击及其安全策略、特洛伊木马程序及其检测删除。程序及其检测删除。12/21/202246黑客攻击与防范