《第2章-电子商务网站常见的攻击优秀PPT.ppt》由会员分享,可在线阅读,更多相关《第2章-电子商务网站常见的攻击优秀PPT.ppt(58页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2.1 端口扫描端口扫描 一个端口就是一个潜在的通信通道,也就是一一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描能得个入侵通道。对目标计算机进行端口扫描能得到很多有用的信息。进行扫描的方法很多,可到很多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进以是手工进行扫描,也可以用端口扫描软件进行。手工进行扫描须要熟悉各种吩咐,对吩咐行。手工进行扫描须要熟悉各种吩咐,对吩咐执行后的输出进行分析。用扫描软件进行扫描执行后的输出进行分析。用扫描软件进行扫描时,很多扫描器软件都有分析数据的功能。通时,很多扫描器软件都有分析数据的功能。通过端口扫描,可
2、以得到很多有用的信息,从而过端口扫描,可以得到很多有用的信息,从而发觉系统的平安漏洞。发觉系统的平安漏洞。下面首先介绍几个常用网络吩咐,对端口扫描原下面首先介绍几个常用网络吩咐,对端口扫描原理进行介绍。理进行介绍。1.常用的网络相关吩咐常用的网络相关吩咐 1)Ping吩咐的基本格式吩咐的基本格式 Ping hostname 其中其中hostname是目标计算机的地址。是目标计算机的地址。2)Tracert吩咐吩咐 用来跟踪一个消息从一台计算机到另一台计算用来跟踪一个消息从一台计算机到另一台计算机所走的路径,比如从你的计算机走到其他计机所走的路径,比如从你的计算机走到其他计算机。算机。3)Rus
3、ers和和Finger 这两个都是这两个都是UNIX吩咐。通过这两个吩咐吩咐。通过这两个吩咐,能搜集到目标计算机上的有关用户的消息。能搜集到目标计算机上的有关用户的消息。2.端口扫描原理端口扫描原理 扫描器通过选用远程扫描器通过选用远程TCP/IP不同的端口不同的端口的服务,并记录目标赐予的回答,通过这的服务,并记录目标赐予的回答,通过这种方法,可以搜集到很多关于目标主机的种方法,可以搜集到很多关于目标主机的各种有用的信息各种有用的信息(比如:是否能用匿名登比如:是否能用匿名登陆,是否有可写的陆,是否有可写的FTP书目,是否能用书目,是否能用Telnet。2.2 特洛伊木马特洛伊木马特洛伊木马
4、是一个包含在一个合法程序中的非特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的状况法的程序。该非法程序被用户在不知情的状况下执行。其名称源于古希腊的特洛伊木马神话,下执行。其名称源于古希腊的特洛伊木马神话,传闻希腊人围攻特洛伊城,久久不能得手。后传闻希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵躲藏于巨大的木来想出了一个木马计,让士兵躲藏于巨大的木马中。大部队假装撤退而将木马马中。大部队假装撤退而将木马“丢弃丢弃”于特于特洛伊城,让敌人将其作为战利品拖入城内。木洛伊城,让敌人将其作为战利品拖入城内。木马内的庆祝成功而放松警惕的时候从木马中爬马内的庆祝
5、成功而放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊出来,与城外的部队里应外合而攻下了特洛伊城。城。1)在任务栏里隐藏在任务栏里隐藏 2)在任务管理器里隐藏在任务管理器里隐藏 3)端口端口 4)隐藏通信隐藏通信 5)隐藏加载方式隐藏加载方式 6)最新隐身技术最新隐身技术 2.2.1 特洛伊木马的隐藏方式特洛伊木马的隐藏方式 第一步:木马服务端程序的植入。第一步:木马服务端程序的植入。其次步:木马将入侵主机信息发送给攻击者。其次步:木马将入侵主机信息发送给攻击者。第三步:木马程序启动并发挥作用。第三步:木马程序启动并发挥作用。特洛伊木马要能发挥作用必需具备特洛伊木马要能发挥作用
6、必需具备3 3个因素。个因素。(1)(1)木马须要一种启动方式,一般在注册表启动组中。木马须要一种启动方式,一般在注册表启动组中。(2)(2)木马须要在内存中才能发挥作用。木马须要在内存中才能发挥作用。(3)(3)木马会打开特殊的端口,以便黑客通过这个端口和木马联系。木马会打开特殊的端口,以便黑客通过这个端口和木马联系。(1)Win.ini(1)Win.ini:run=run=、load=load=项目中的程序名。项目中的程序名。(2)System.ini(2)System.ini:Shell=Explorer.exeShell=Explorer.exe项后的程序名。项后的程序名。(3)(3)
7、注册表:注册表:RunRun项中的程序。项中的程序。2.特洛伊木马的工作原理特洛伊木马的工作原理 3.特洛伊木马程序的存在形式特洛伊木马程序的存在形式(1)Win.ini:run=、load=项目中的程序名。项目中的程序名。(2)System.ini:Shell=Explorer.exe项后的项后的程序名。程序名。(3)注册表:注册表:Run项中的程序。项中的程序。4.特洛伊木马的特性特洛伊木马的特性 1)隐藏性隐藏性 2)自动运行性自动运行性 3)功能的特殊性功能的特殊性 4)自动复原功能自动复原功能 5)能自动打开特殊的端口能自动打开特殊的端口5.特洛伊木马种类特洛伊木马种类 1)1)破坏
8、型特洛伊木马破坏型特洛伊木马 2)密码发送型特洛伊木马密码发送型特洛伊木马 3)远程访问型特洛伊木马远程访问型特洛伊木马 4)键盘记录特洛伊木马键盘记录特洛伊木马5)DoS攻击特洛伊木马攻击特洛伊木马 6)代理特洛伊木马代理特洛伊木马 7)FTP特洛伊木马特洛伊木马 8)程序杀手特洛伊木马程序杀手特洛伊木马 9)反弹端口型特洛伊木马反弹端口型特洛伊木马1)集成到程序中集成到程序中 2)隐藏在配置文件中隐藏在配置文件中 3)潜藏在潜藏在Win.ini中中 4)伪装在一般文件中伪装在一般文件中 5)内置到注册表中内置到注册表中 6)在在System.ini中藏身中藏身 7)隐形于启动组中隐形于启动
9、组中 8)隐藏在隐藏在Winstart.bat中中 9)捆绑在启动文件中捆绑在启动文件中 10)设置在超链接中设置在超链接中6.6.特洛伊木马的入侵特洛伊木马的入侵2.3 缓冲区溢出攻击缓冲区溢出攻击 1.缓冲溢出攻击的原理缓冲溢出攻击的原理 缓冲区是程序运行的时候机器内存中的一个连缓冲区是程序运行的时候机器内存中的一个连续块,它保存了给定类型的数据,随着动态安续块,它保存了给定类型的数据,随着动态安排变量会出现问题。大多数时候为了不占用多排变量会出现问题。大多数时候为了不占用多的内存,一个有动态安排变量的程序在程序运的内存,一个有动态安排变量的程序在程序运行时才确定给它们安排多少内存。这样下
10、去的行时才确定给它们安排多少内存。这样下去的话,假如说要给程序在动态安排缓冲区放入超话,假如说要给程序在动态安排缓冲区放入超长的数据,它就会溢出了。长的数据,它就会溢出了。2.缓冲区溢出攻击的方法缓冲区溢出攻击的方法 1)植入法植入法 2)利用已经存在的代码利用已经存在的代码 3.缓冲区溢出攻击的防范技术缓冲区溢出攻击的防范技术 1)编写正确的代码编写正确的代码 2)非执行的缓冲区非执行的缓冲区 3)数组边界检查数组边界检查 4)程序指针完整性检查程序指针完整性检查 2.4 拒绝服务攻击拒绝服务攻击 1.拒绝服务攻击原理拒绝服务攻击原理 拒绝服务即拒绝服务即Denial of Service,
11、简称,简称DoS,由于,由于它的不易觉察性和简易性,因而始终是网络平它的不易觉察性和简易性,因而始终是网络平安的重大隐患。它是一种技术含量低,攻击效安的重大隐患。它是一种技术含量低,攻击效果明显的攻击方法,受到攻击时,服务器在长果明显的攻击方法,受到攻击时,服务器在长时间内不能供应服务,使得合法用户不能得到时间内不能供应服务,使得合法用户不能得到服务,特殊是分布式拒绝服务服务,特殊是分布式拒绝服务DDoS,它的效,它的效果很明显,并且难以找到真正的攻击源,很难果很明显,并且难以找到真正的攻击源,很难找到行之有效的解决方法。找到行之有效的解决方法。2.分布式拒绝服务攻击分布式拒绝服务攻击 分布式
12、拒绝服务攻击手段是在传统的分布式拒绝服务攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一攻击基础之上产生的一类攻击方式。单一的的DoS攻击一般接受一对一的方式,随着攻击一般接受一对一的方式,随着计算机与网络技术的发展,计算机的处理计算机与网络技术的发展,计算机的处理实力快速增长,内存大大增加,同时也出实力快速增长,内存大大增加,同时也出现了千兆级别的网络,这使得现了千兆级别的网络,这使得DoS攻击的攻击的效果不明显,攻击的难度加大了,目标系效果不明显,攻击的难度加大了,目标系统对恶意攻击包有足够的消化处理实力。统对恶意攻击包有足够的消化处理实力。2.5 网络监听网络监听 网络监听技
13、术原来是供应应网络平安管理人员网络监听技术原来是供应应网络平安管理人员进行管理的工具,可以用来监视网络的状态、进行管理的工具,可以用来监视网络的状态、数据流淌状况以及网络上传输的信息等。当信数据流淌状况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,运用监听技息以明文的形式在网络上传输时,运用监听技术进行攻击并不是一件难事,只要将网络接口术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传设置成监听模式,便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一输的信息截获。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上个位置实施
14、,如局域网中的一台主机、网关上或远程网的调制解调器之间等。或远程网的调制解调器之间等。网络监听的检测网络监听的检测 1.对于怀疑运行监听程序的机器,用正确的对于怀疑运行监听程序的机器,用正确的IP地址和地址和错误的物理地址错误的物理地址Ping,运行监听程序的机器会有响应。,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处理监这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收,但假如他的听状态的机器能接收,但假如他的IPstack不再次反向不再次反向检查的话,就会响应。检查的话,就会响应。2.向网上发大量不存在的物理地址的包,由于监听程序向网上发大量不存在的
15、物理地址的包,由于监听程序要分析和处理大量的数据包而占用很多的要分析和处理大量的数据包而占用很多的CPU资源,资源,这将导致性能下降。通过比较该机器前后的性能加以这将导致性能下降。通过比较该机器前后的性能加以推断。这种方法难度比较大。推断。这种方法难度比较大。3.运用反监听工具如运用反监听工具如Antisniffer等进行检测。等进行检测。对网络监听的防范措施对网络监听的防范措施 1.从逻辑或物理上对网络分段从逻辑或物理上对网络分段 2.以交换式集线器代替共享式集线器以交换式集线器代替共享式集线器 3.运用加密技术运用加密技术 4.划分划分VLAN 2.6 实训实训实训一实训一 X-scan扫
16、描工具的运用扫描工具的运用实训内容:实训内容:1.运用运用X-scan3.3检测系统漏洞检测系统漏洞2.运用运用X-scan3.3扫描系统端口扫描系统端口3.运用运用X-scan3.3检测系统用户以及共享检测系统用户以及共享信息信息运用运用X-scan3.3检测系统漏洞检测系统漏洞1.设置要扫描的主机设置要扫描的主机IP地址地址2.设置中选择扫描模块设置中选择扫描模块 3.全局设置中的其它选项可以依据默认,全局设置中的其它选项可以依据默认,然后绽开插件设置,选择然后绽开插件设置,选择“漏洞检测脚漏洞检测脚本设置本设置”,这里默认选择的是全部的脚,这里默认选择的是全部的脚本列表本列表 4.脚本选
17、择框中选择须要检测的脚本脚本选择框中选择须要检测的脚本 5.选择好后点击两次确定退出扫描设置。选择好后点击两次确定退出扫描设置。然后点击起先扫描然后点击起先扫描 6.扫描完成后会生成一个报告并以网页形扫描完成后会生成一个报告并以网页形式显示在式显示在IE阅读器中阅读器中 运用运用X-scan3.3扫描开放的端口扫描开放的端口1.选择扫描模块选择扫描模块 2.在端口设置中输入须要检测的端口在端口设置中输入须要检测的端口 3.扫描过程扫描过程 4.扫描完成后查看生成的报告扫描完成后查看生成的报告 运用运用X-scan3.3检测系统用户以及检测系统用户以及共享信息共享信息 1.选择扫描模块选择扫描模
18、块 2.设置设置NETBIOS信息信息 3.扫描过程扫描过程 4.扫描完成后查看生成的报告扫描完成后查看生成的报告 5.扫描结果扫描结果 实训二实训二 Sinffer网络监听工具的运用网络监听工具的运用 实训内容实训内容:1.运用运用Sinffer Pro获得获得FTP账号密码账号密码2.运用运用Sinffer Pro获得邮箱密码获得邮箱密码运用运用Sinffer Pro获得获得FTP账号账号密码密码1.选择适配器选择适配器 2.然后点击按钮起先监听网络然后点击按钮起先监听网络 3.接着打开接着打开IE阅读器访问阅读器访问FTP站点,由于站点,由于FTP可以匿名访问,所以这里须要右击可以匿名访
19、问,所以这里须要右击空白处选择登录,然后在登录对话框中空白处选择登录,然后在登录对话框中输入用户名和密码输入用户名和密码 4.然后点击确定登录。下面返回到然后点击确定登录。下面返回到Sinffer Pro,点击按钮来停止监听,并且查看结,点击按钮来停止监听,并且查看结果果 5.分析数据包分析数据包 6.查找到的用户查找到的用户 7.查找密码查找密码 运用运用Sinffer Pro截取邮箱密码截取邮箱密码 1.打开打开Sinffer Pro进行监听状态进行监听状态 2.收发邮件收发邮件 3.等邮件接收完毕后,回到等邮件接收完毕后,回到Sinffer Pro,点击按钮来停止监听并查看数据包点击按钮
20、来停止监听并查看数据包 4.查找查找USER 5.查找结果查找结果 6.查找密码查找密码 实训三实训三 DDos对电子商务网站的攻击对电子商务网站的攻击实训内容实训内容:1.模拟运用模拟运用DDos对电子商务网站的攻击对电子商务网站的攻击DDos对电子商务网站的攻击对电子商务网站的攻击1.资源管理器资源管理器 2.访问网站访问网站 3.设置攻击目标设置攻击目标 4.测试攻击效果测试攻击效果 5.查看资源占用查看资源占用 6.停止攻击停止攻击 7.成功访问网站成功访问网站 思索思索 题题 一一.名词说明名词说明1.1.特洛伊木马特洛伊木马 2.DDos2.DDos3.3.端口扫描端口扫描4.4.
21、网络监听网络监听思索思索 题题 二二.简答题简答题1.1.简述端口扫描的原理。简述端口扫描的原理。2.2.常常见见的的端端口口扫扫描描技技术术有有哪哪些些?它它们们的的特特点点是是什什么?么?3.3.从从网网络络平平安安角角度度分分析析为为什什么么在在实实际际应应用用中中要要开开放尽量少的端口?放尽量少的端口?4.4.简述网络监听的原理。简述网络监听的原理。5.5.简述特洛伊木马和病毒的异同。简述特洛伊木马和病毒的异同。6.6.应怎样来防范特洛伊木马攻击?应怎样来防范特洛伊木马攻击?7.7.简述拒绝服务攻击的原理。简述拒绝服务攻击的原理。8.8.简述出现简述出现DDoSDDoS时可能发生的现象时可能发生的现象