第1章信息平安概述李劍北京郵電大學(xué)信息平安中心E-mail:：130－01936882概述本章從一些疑問和一個(gè)故事說起，進(jìn)而講述信息平安的定義、信息的平安威脅、以及信息平安開展的過程，然后講述了信息平安的需求和信息平安實(shí)現(xiàn)，最后給出了本書的結(jié)構(gòu)。目錄一些疑問一個(gè)故事信息與信息平安信息的平安威脅信息平安的需求與實(shí)現(xiàn)信息平安開展過程1.1一些疑問在使用一些電腦的時(shí)候，經(jīng)常會遇到一些各種各樣的平安疑問，比方： 1.現(xiàn)在市面上的病毒軟件這么多，國外的有諾頓、卡巴斯基、Mcafee等，國內(nèi)的有江民、金山、瑞星等，究竟安裝哪一個(gè)款殺病毒軟件殺病毒的效果會更好一些呢？ 2.為什么U盤里經(jīng)常會出現(xiàn)Autorun.inf、RECYCLER、RavMonE.exe等病毒相關(guān)文件呢？如何防止這些病毒的傳染與發(fā)作呢？圖1.1中所示為U盤病毒。1.1一些疑問圖1.1U盤病毒1.1一些疑問3.為什么電腦硬盤里經(jīng)常會出現(xiàn)一個(gè)名為“runauto..〞的病毒文件夾，并且怎么刪除都刪除不掉呢？圖1.2所示為runauto..文件夾。1.1一些疑問4.為什么剛裝好的Windows2000專業(yè)版的計(jì)算機(jī)當(dāng)中C盤、D盤、E盤等硬盤全是共享的，并且還有IPC$空連接呢？如何去掉這些共享呢？圖1.3為使用“netshare〞命令看到的操作系統(tǒng)中的共享信息。(注：本書中所有的“〞符號，代表空格的意思！)1.1一些疑問圖1.3操作系統(tǒng)中的共享信息1.1一些疑問5.如果有一天，發(fā)現(xiàn)自己的電腦運(yùn)行很慢，鼠標(biāo)亂動，并且硬盤燈在不停地閃動，這時(shí)疑心自己的電腦有病毒，那么應(yīng)該怎樣做應(yīng)急處理呢？怎樣找出病毒隱藏在什么地方呢？ 6.如果有一天，自己的電腦在運(yùn)行過程中死機(jī)了，重新啟動不起來，平安模式也進(jìn)不去。如果重新安裝電腦的話，會刪除電腦里許多重要的文件，這時(shí)應(yīng)該怎樣處理呢？ 7.如何安裝一臺新的電腦？安裝哪些軟件才能使它更平安一些呢？安裝的步驟是什么呢？對電腦的操作系統(tǒng)應(yīng)該做怎樣的設(shè)置呢？1.1一些疑問1.2一個(gè)故事1.2一個(gè)故事。1.2一個(gè)故事這個(gè)房子里住著一個(gè)小孩，名叫斯文－雅尚(SvenJaschan)如圖1.5所示。。1.2一個(gè)故事他的母親叫維洛妮卡，開了一個(gè)門面不算大的以電腦維護(hù)修理為主的電腦效勞部。4月29日這一天是他18歲的生日。幾天前，為了慶祝他的生日，他在網(wǎng)上下載了一些代碼。修改之后將它放到了互聯(lián)網(wǎng)上面。1.2一個(gè)故事2.故事的開展 第二天，這些代碼開始在互聯(lián)網(wǎng)上以一種“神不知鬼不覺〞的特殊方式傳遍全球?！爸姓楔暫螅娔X開始反復(fù)自動關(guān)機(jī)、重啟，網(wǎng)絡(luò)資源根本上被程序消耗，運(yùn)行極其緩慢。如圖1.6所示，電腦反復(fù)自動關(guān)機(jī)。如圖1.7所示，病毒占用大量系統(tǒng)資源。1.2一個(gè)故事2.故事的開展

1.2一個(gè)故事2.故事的開展

1.2一個(gè)故事這就是全球著名的“震蕩波〞(Worm.Sasser)蠕蟲病毒。自“震蕩波〞2004年5月1日開始傳播以來，全球不完全統(tǒng)計(jì)已有約1800萬臺電腦報(bào)告感染了這一病毒。2004年5月3日，“震蕩波〞病毒出現(xiàn)第一個(gè)發(fā)作頂峰，當(dāng)天先后出現(xiàn)了B、C、D三個(gè)變種，全國已有數(shù)以十萬計(jì)的電腦感染了這一病毒。微軟懸賞25萬美元找原兇! 1.2一個(gè)故事3.故事的結(jié)束 開始時(shí)，報(bào)道有俄羅斯人編寫了這種病毒!因?yàn)檫@個(gè)小孩在編寫這個(gè)病毒的過程中，加了一段俄羅斯語。5月7日，斯萬－雅尚的同學(xué)為了25萬美元，將其揭發(fā)。并被警察逮捕。1.2一個(gè)故事4.病毒發(fā)作的原因震蕩波病毒是通過微軟在2004年4月初發(fā)布的高危漏洞-LSASS漏洞(微軟MS04-011公告)進(jìn)行傳播的，危害性極大。那時(shí)的Windows2000/XP/Server2003等操作系統(tǒng)的用戶都存在該漏洞，這些操作系統(tǒng)的用戶只要一上網(wǎng)，就有可能受到該病毒的攻擊。1.2一個(gè)故事5．病毒的防治 這種病毒的防治很簡單，只要安裝上微軟關(guān)于這個(gè)漏洞的補(bǔ)丁就行了。也可以使用流行的殺病毒軟件進(jìn)行查殺。如圖1.8所示為瑞星專殺工具。1.2一個(gè)故事5．病毒的防治1.3.1信息的定義信息是一種消息，通常以文字或聲音、圖像的形式來表現(xiàn)，是數(shù)據(jù)按有意義的關(guān)聯(lián)排列的結(jié)果。信息由意義和符號組成。信息就是指以聲音、語言、文字、圖像、動畫、氣味等方式所表示的實(shí)際內(nèi)容。信息是客觀事物狀態(tài)和運(yùn)動特征的一種普遍形式，客觀世界中大量地存在、產(chǎn)生和傳遞著以這些方式表示出來的各種各樣的信息。在談到信息的時(shí)候，就不可防止地遇到信息的平安問題。1.3.2信息平安的定義1.3.3P2DR2平安模型P2DR2動態(tài)平安模型研究的是基于企業(yè)網(wǎng)對象、依時(shí)間及策略特征的〔Policy，Protection，Detection，Response，Restore〕動態(tài)平安模型結(jié)構(gòu)，由策略、防護(hù)、檢測、響應(yīng)和恢復(fù)等要素構(gòu)成，是一種基于閉環(huán)控制、主動防御的動態(tài)平安模型，通過區(qū)域網(wǎng)絡(luò)的路由及平安策略分析與制定，在網(wǎng)絡(luò)內(nèi)部及邊界建立實(shí)時(shí)檢測、監(jiān)測和審計(jì)機(jī)制，采取實(shí)時(shí)、快速動態(tài)響應(yīng)平安手段，應(yīng)用多樣性系統(tǒng)災(zāi)難備份恢復(fù)、關(guān)鍵系統(tǒng)冗余設(shè)計(jì)等方法，構(gòu)造多層次、全方位和立體的區(qū)域網(wǎng)絡(luò)平安環(huán)境，如圖1.9所示。1.3.3P2DR2平安模型P2DR2動態(tài)平安模型1.3.4信息平安體系結(jié)構(gòu)P2DR2動態(tài)平安模型1.3.5信息平安的目標(biāo)1.4信息的平安威脅

信息系統(tǒng)的平安威脅是永遠(yuǎn)存在的，下面從信息平安的五個(gè)層次，來介紹信息平安中的信息的平安威脅。1.4.1物理層平安風(fēng)險(xiǎn)分析1.4.2網(wǎng)絡(luò)層平安風(fēng)險(xiǎn)分析1.4.3操作系統(tǒng)層平安風(fēng)險(xiǎn)分析系統(tǒng)平安通常指操作系統(tǒng)的平安，操作系統(tǒng)的安裝以正常工作為目標(biāo)，在通常的參數(shù)、效勞配置中，缺省地開放的端口中，存在很大平安隱患和風(fēng)險(xiǎn)。而操作系統(tǒng)在設(shè)計(jì)和實(shí)現(xiàn)方面本身存在一定的平安隱患，無論是Windows還是UNIX操作系統(tǒng)，不能排除開發(fā)商留有后門〔Back-Door〕。系統(tǒng)層的平安同時(shí)還包括數(shù)據(jù)庫系統(tǒng)以及相關(guān)商用產(chǎn)品的平安漏洞。病毒也是系統(tǒng)平安的主要威脅，病毒大多利用了操作系統(tǒng)本身的漏洞，通過網(wǎng)絡(luò)迅速傳播。1.4.4應(yīng)用層平安風(fēng)險(xiǎn)分析1.業(yè)務(wù)效勞平安風(fēng)險(xiǎn)2.數(shù)據(jù)庫效勞器的平安風(fēng)險(xiǎn)3.信息系統(tǒng)訪問控制風(fēng)險(xiǎn)1.4.5管理層平安風(fēng)險(xiǎn)分析管理層平安是網(wǎng)絡(luò)中平安得到保證的重要組成局部，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的局部。責(zé)權(quán)不明，管理混亂、平安管理制度不健全及缺乏可操作性等都可能引起管理平安的風(fēng)險(xiǎn)。信息系統(tǒng)無論從數(shù)據(jù)的平安性，業(yè)務(wù)的效勞的保障性和系統(tǒng)維護(hù)的標(biāo)準(zhǔn)性等角度，需要嚴(yán)格的平安管理制度，從業(yè)務(wù)效勞的運(yùn)營維護(hù)和更新升級等層面加強(qiáng)平安管理能力。1.5信息平安的需求與實(shí)現(xiàn)1.5.1信息平安的需求1.國家對網(wǎng)絡(luò)與信息平安的需求2.用戶〔企業(yè)用戶，個(gè)人用戶〕對網(wǎng)絡(luò)與信息平安需求3.運(yùn)營商〔ISP、ICP等〕對網(wǎng)絡(luò)與信息平安需求4.其他實(shí)體對網(wǎng)絡(luò)與信息平安的需求1.5.2信息平安的實(shí)現(xiàn)1.6信息平安開展過程1.6信息平安開展過程1.6信息平安開展過程思考題1.請說出平時(shí)在使用電腦的時(shí)候遇到的各種平安問題，以及當(dāng)時(shí)的解決方案。2.什么時(shí)信息平安？3．什么是P2DR2動態(tài)平安模型?4.信息系統(tǒng)的平安威脅有哪些？5.信息平安實(shí)現(xiàn)需要什么樣的策略？6.信息平安的開展可以分為哪幾個(gè)階段？返回ThanksForAttendance!致謝第2章網(wǎng)絡(luò)平安根底李劍北京郵電大學(xué)信息平安中心E-mail:：130－01936882概述本章將介紹最根本的網(wǎng)絡(luò)平安參考模型，TCP/IP協(xié)議族、常用的網(wǎng)絡(luò)效勞和常用的網(wǎng)絡(luò)命令等。這些都是信息平安的根底知識。目錄一.OSI參考模型二.TCP/IP參考模型三.常用的網(wǎng)絡(luò)效勞四.常用的網(wǎng)絡(luò)命令2.1OSI參考模型OSI參考模型分為7層，分別是物理層，數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層，傳輸層，會話層，表示層和應(yīng)用層。如圖2.1所示為OSI參考模型及通信協(xié)議。2.1OSI參考模型1.物理層(PhysicalLayer)

要傳遞信息就要利用一些物理媒體，如雙紐線、同軸電纜等，但具體的物理媒體并不在OSI的7層之內(nèi)，有人把物理媒體當(dāng)作第0層，物理層的任務(wù)就是為它的上一層提供一個(gè)物理連接，以及它們的機(jī)械、電氣、功能和過程特性。如規(guī)定使用電纜和接頭的類型，傳送信號的電壓等。在這一層，數(shù)據(jù)還沒有被組織，僅作為原始的位流或電氣電壓處理，單位是比特。2.1OSI參考模型2.數(shù)據(jù)鏈路層(DataLinkLayer)數(shù)據(jù)鏈路層負(fù)責(zé)在兩個(gè)相鄰結(jié)點(diǎn)間的線路上，無過失的傳送以幀為單位的數(shù)據(jù)。每一幀包括一定數(shù)量的數(shù)據(jù)和一些必要的控制信息。和物理層相似，數(shù)據(jù)鏈路層要負(fù)責(zé)建立、維持和釋放數(shù)據(jù)鏈路的連接。在傳送數(shù)據(jù)時(shí)，如果接收點(diǎn)檢測到所傳數(shù)據(jù)中有過失，就要通知發(fā)方重發(fā)這一幀。2.1OSI參考模型3.網(wǎng)絡(luò)層(NetworkLayer)在計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行通信的兩個(gè)計(jì)算機(jī)之間可能會經(jīng)過很多個(gè)數(shù)據(jù)鏈路，也可能還要經(jīng)過很多通信子網(wǎng)。網(wǎng)絡(luò)層的任務(wù)就是選擇適宜的網(wǎng)間路由和交換結(jié)點(diǎn)，確保數(shù)據(jù)及時(shí)傳送。網(wǎng)絡(luò)層將數(shù)據(jù)鏈路層提供的幀組成數(shù)據(jù)包，包中封裝有網(wǎng)絡(luò)層包頭，其中含有邏輯地址信息，包括源站點(diǎn)和目的站點(diǎn)地址的網(wǎng)絡(luò)地址。2.1OSI參考模型4.傳輸層(TransportLayer)該層的任務(wù)時(shí)根據(jù)通信子網(wǎng)的特性最正確的利用網(wǎng)絡(luò)資源，并以可靠和經(jīng)濟(jì)的方式，為兩個(gè)端系統(tǒng)〔也就是源站和目的站〕的會話層之間，提供建立、維護(hù)和取消傳輸連接的功能，負(fù)責(zé)可靠地傳輸數(shù)據(jù)。在這一層，信息的傳送單位是報(bào)文。2.1OSI參考模型5.會話層(SessionLayer)這一層也可以稱為會晤層或?qū)υ拰樱跁拰蛹耙陨系母邔哟沃校瑪?shù)據(jù)傳送的單位不再另外命名，統(tǒng)稱為報(bào)文。會話層不參與具體的傳輸，它提供包括訪問驗(yàn)證和會話管理在內(nèi)的建立和維護(hù)應(yīng)用之間通信的機(jī)制。如效勞器驗(yàn)證用戶登錄便是由會話層完成的。2.1OSI參考模型6.表示層(PresentationLayer)這一層主要解決擁護(hù)信息的語法表示問題。它將欲交換的數(shù)據(jù)從適合于某一用戶的抽象語法，轉(zhuǎn)換為適合于OSI系統(tǒng)內(nèi)部使用的傳送語法。即提供格式化的表示和轉(zhuǎn)換數(shù)據(jù)效勞。數(shù)據(jù)的壓縮和解壓縮，加密和解密等工作都由表示層負(fù)責(zé)。2.1OSI參考模型7.應(yīng)用層(ApplicationLayer)應(yīng)用層確定進(jìn)程之間通信的性質(zhì)以滿足用戶需要以及提供網(wǎng)絡(luò)與用戶應(yīng)用軟件之間的接口效勞。2.2TCP/IP參考模型2.2TCP/IP參考模型TCP/IP參考模型分為四個(gè)層次：應(yīng)用層、傳輸層、網(wǎng)絡(luò)互連層和主機(jī)到網(wǎng)絡(luò)層。如圖2.4所示。2.2TCP/IP參考模型1.主機(jī)到網(wǎng)絡(luò)層實(shí)際上TCP/IP參考模型沒有真正描述這一層的實(shí)現(xiàn)，只是要求能夠提供給其上層-網(wǎng)絡(luò)互連層一個(gè)訪問接口，以便在其上傳遞IP分組。由于這一層次未被定義，所以其具體的實(shí)現(xiàn)方法將隨著網(wǎng)絡(luò)類型的不同而不同。2.2TCP/IP參考模型2.網(wǎng)絡(luò)互連層網(wǎng)絡(luò)互連層是整個(gè)TCP/IP協(xié)議棧的核心。它的功能是把分組發(fā)往目標(biāo)網(wǎng)絡(luò)或主機(jī)。同時(shí)，為了盡快地發(fā)送分組，可能需要沿不同的路徑同時(shí)進(jìn)行分組傳遞。因此，分組到達(dá)的順序和發(fā)送的順序可能不同，這就需要上層必須對分組進(jìn)行排序。2.2TCP/IP參考模型3.傳輸層在TCP/IP模型中，傳輸層的功能是使源端主機(jī)和目標(biāo)端主機(jī)上的對等實(shí)體可以進(jìn)行會話。在傳輸層定義了兩種效勞質(zhì)量不同的協(xié)議。即：傳輸控制協(xié)議TCP〔TransmissionControlProtocol〕和用戶數(shù)據(jù)報(bào)協(xié)議UDP〔UserDatagramProtocol〕。2.2TCP/IP參考模型4.應(yīng)用層TCP/IP模型將OSI參考模型中的會話層和表示層的功能合并到應(yīng)用層實(shí)現(xiàn)。應(yīng)用層面向不同的網(wǎng)絡(luò)應(yīng)用引入了不同的應(yīng)用層協(xié)議。其中，有基于TCP協(xié)議的，如文件傳輸協(xié)議〔FileTransferProtocol，F(xiàn)TP〕、虛擬終端協(xié)議〔TELNET〕、超文本鏈接協(xié)議〔HyperTextTransferProtocol，HTTP〕，也有基于UDP協(xié)議的，如SNMP協(xié)議等。2.3常用的網(wǎng)絡(luò)效勞網(wǎng)絡(luò)上的效勞很多，這里介紹常用的四個(gè)效勞即：Web效勞、FTP效勞、E-Mail效勞和Telnet效勞。2.3常用的網(wǎng)絡(luò)效勞WEB效勞也稱為WWW(WorldWideWeb)效勞，主要功能是提供網(wǎng)上信息瀏覽效勞。WWW也可以簡稱為Web，中文名字為“萬維網(wǎng)〞。2.3常用的網(wǎng)絡(luò)效勞1.MicrosoftIISMicrosoft的Web效勞器產(chǎn)品為InternetInformationServer(IIS)，IIS是允許在公共Intranet或Internet上發(fā)布信息的Web效勞器。2.3常用的網(wǎng)絡(luò)效勞2.IBMWebSphereWebSphereApplicationServer是一種功能完善、開放的Web應(yīng)用程序效勞器，是IBM電子商務(wù)方案的核心局部，它是基于Java的應(yīng)用環(huán)境，用于建立、部署和管理Internet和IntranetWeb應(yīng)用程序。2.3常用的網(wǎng)絡(luò)效勞3.BEAWebLogicBEAWebLogicServer是一種多功能、基于標(biāo)準(zhǔn)的Web應(yīng)用效勞器，為企業(yè)構(gòu)建自己的應(yīng)用提供了堅(jiān)實(shí)的根底。2.3常用的網(wǎng)絡(luò)效勞4.ApacheApache仍然是世界上用的最多的Web效勞器，市場占有率達(dá)60%左右。它源于NCSAd效勞器，當(dāng)NCSAWWW效勞器工程停止后，那些使用NCSAWWW效勞器的人們開始交換用于此效勞器的補(bǔ)丁，這也是Apache名稱的由來(Pache補(bǔ)丁)2.3常用的網(wǎng)絡(luò)效勞5.TomcatTomcat是一個(gè)開放源代碼、運(yùn)行Servlet和JSPWeb應(yīng)用軟件的基于Java的Web應(yīng)用軟件容器。TomcatServer是根據(jù)Servlet和JSP標(biāo)準(zhǔn)進(jìn)行執(zhí)行的，因此我們就可以說TomcatServer也實(shí)行了Apache-Jakarta標(biāo)準(zhǔn)且比絕大多數(shù)商業(yè)應(yīng)用軟件效勞器要好。圖2.9Tomcat的圖標(biāo)如下圖。2.3常用的網(wǎng)絡(luò)效勞2.3.2FTP效勞FTP〔FileTransferProtocol〕是文件傳輸協(xié)議的簡稱。正如其名所示：FTP的主要作用，就是讓用戶連接上一個(gè)遠(yuǎn)程計(jì)算機(jī)〔這些計(jì)算機(jī)上運(yùn)行著FTP效勞器程序〕觀察遠(yuǎn)程計(jì)算機(jī)有哪些文件，然后把文件從遠(yuǎn)程計(jì)算機(jī)上拷到本地計(jì)算機(jī)，或把本地計(jì)算機(jī)的文件送到遠(yuǎn)程計(jì)算機(jī)去。2.3常用的網(wǎng)絡(luò)效勞2.3.2FTP效勞常用的FTP工具有很多如CuteFTP、LeapFTP、FlashFXP、TurboFTP、ChinaFTP、AceFTP等。CuteFTP的界面如圖2.10所示。2.3常用的網(wǎng)絡(luò)效勞另外，微軟也提供FTP效勞，如圖2.11所示。2.3常用的網(wǎng)絡(luò)效勞電子郵件〔E-mail，也被大家昵稱為"伊妹兒"〕是Internet應(yīng)用最廣的效勞。具統(tǒng)計(jì)，每天80%上網(wǎng)的人都要使用這個(gè)效勞。電子郵件地址的典型格式是abc@xyz，這里@之前是您自己選擇代表您的字符組合或代碼，@之后是為您提供電子郵件效勞的效勞商名稱，如。常用的郵件系統(tǒng)包括OutlookExpress(如圖2.12所示)和Foxmail(如圖2.13所示)等。2.3常用的網(wǎng)絡(luò)效勞Foxmail。2.3常用的網(wǎng)絡(luò)效勞Foxmail軟件上的郵件效勞器的設(shè)置如圖2.14所示。2.3常用的網(wǎng)絡(luò)效勞Outlook中的SMTP和POP3設(shè)置2.3常用的網(wǎng)絡(luò)效勞2.3.4Telnet效勞Telnet是TCP／IP網(wǎng)絡(luò)的登錄和仿真程序。它最初是由ARPANET開發(fā)的，現(xiàn)在它主要用于Internet會話。它的根本功能是，允許用戶登錄進(jìn)入遠(yuǎn)程主機(jī)系統(tǒng)。起初，它只是讓用戶的本地計(jì)算機(jī)與遠(yuǎn)程計(jì)算機(jī)連接，從而成為遠(yuǎn)程主機(jī)的一個(gè)終端。Telnet的應(yīng)用不僅方便了我們進(jìn)行遠(yuǎn)程登錄，也給hacker們提供了又一種入侵手段和后門。如圖2.16所示為在DOS下使用Telnet進(jìn)行登錄。2.3常用的網(wǎng)絡(luò)效勞使用Telnet協(xié)議進(jìn)行遠(yuǎn)程登陸時(shí)需要滿足以下條件：在本的計(jì)算機(jī)上必須裝有包含Telnet協(xié)議的客戶程序；必須知道遠(yuǎn)程主機(jī)的IP地址或域名；必須知道登錄標(biāo)識與口令。Telnet遠(yuǎn)程登錄效勞分為以下4個(gè)過程：1.本地與遠(yuǎn)程主機(jī)建立連接。該過程實(shí)際上是建立一個(gè)TCP連接，用戶必須知道遠(yuǎn)程主機(jī)的IP地址或域名。2.將本地終端上輸入的用戶名和口令及以后輸入的任何命令或字符以NVT〔NetVirtualTerminal〕格式傳送到遠(yuǎn)程主機(jī)。該過程實(shí)際上是從本地主機(jī)向遠(yuǎn)程主機(jī)發(fā)送一個(gè)IP數(shù)據(jù)報(bào)。2.3常用的網(wǎng)絡(luò)效勞3.將遠(yuǎn)程主機(jī)輸出的NVT格式的數(shù)據(jù)轉(zhuǎn)化為本地所接受的格式送回本地終端，包括輸入命令回顯和命令執(zhí)行結(jié)果。4.最后，本地終端對遠(yuǎn)程主機(jī)進(jìn)行撤消連接。該過程是撤銷一個(gè)TCP連接。2.4常用的網(wǎng)絡(luò)命令Windows是從簡單的DOS字符界面開展過來的。雖然平時(shí)在使用Windows操作系統(tǒng)的時(shí)候，主要是對圖形界面進(jìn)行操作，但是DOS命令仍然非常有用，特別是在計(jì)算機(jī)平安故障診斷與排除過程中，這些命令就顯得更為重要了。本小節(jié)介紹這些命令的作用，同時(shí)學(xué)習(xí)如何使用這些命令的技巧。2.4.1ping命令1.pingIP

例如，如圖2.17所示。2.4.1ping命令2.pingURL如ping新浪網(wǎng)，如圖2.18所示。2.4.1ping命令3.pingIP-t

連續(xù)對IP地址執(zhí)行ping命令，直到被用戶以Ctrl+C中斷。例如ping-t，如圖2.19所。中斷如圖2.20所示。2.4.1ping命令圖2.20使用Ctrl+C中斷pingIP-t命令2.4.1ping命令4.pingIP-l3000指定ping命令中的數(shù)據(jù)長度為3000字節(jié)，而不是缺省的32字節(jié)。該命令的使用如圖2.21所示。2.4.1ping命令5.pingIP–ncount執(zhí)行特定次數(shù)(count次)的ping命令。如圖2.22所示為執(zhí)行100次的ping命令。2.4.2ipconfig命令ipconfig可用于顯示當(dāng)前的TCP/IP配置的設(shè)置值。這些信息一般用來檢驗(yàn)人工配置的TCP/IP設(shè)置是否正確。但是，如果計(jì)算機(jī)和所在的局域網(wǎng)使用了動態(tài)主機(jī)配置協(xié)議〔DHCP〕，這個(gè)程序所顯示的信息會更加實(shí)用。這時(shí)，ipconfig可以了解自己的計(jì)算機(jī)是否成功的租用到一個(gè)IP地址，如果租用到那么可以了解它目前分配到的是什么地址。了解計(jì)算機(jī)當(dāng)前的IP地址、子網(wǎng)掩碼和缺省網(wǎng)關(guān)實(shí)際上是進(jìn)行測試和故障分析的必要工程。2.4.2ipconfig命令1.ipconfig當(dāng)使用ipconfig不帶任何參數(shù)選項(xiàng)時(shí)，它為每個(gè)已經(jīng)配置了的接口顯示IP地址、子網(wǎng)掩碼和缺省網(wǎng)關(guān)值。如圖2.23所示，顯示的IP地址為，子網(wǎng)掩碼為，默認(rèn)為。2.4.2ipconfig命令2.ipconfig/all當(dāng)使用all參數(shù)時(shí)，ipconfig能為DNS和WINS效勞器顯示它已配置且所要使用的附加信息〔如IP地址等〕，并且顯示內(nèi)置于本地網(wǎng)卡中的物理地址〔MAC〕。如果IP地址是從DHCP效勞器租用的，ipconfig將顯示DHCP效勞器的IP地址和租用地址預(yù)計(jì)失效的日期。如圖2.24所示為ipconfig/all命令的使用。2.4.3netstat命令1.netstat-a 本選項(xiàng)顯示一個(gè)所有的有效連接信息列表，包括已建立的連接〔ESTABLISHED〕，也包括監(jiān)聽連接請求〔LISTENING〕的那些連接，如圖2.25所示。2.4.3netstat命令2.netstat-n顯示所有已建立的有效連接，如圖2.26所示。2.4.3netstat命令3.netstat-r本選項(xiàng)可以顯示關(guān)于路由表的信息，類似于后面所講使用routeprint命令時(shí)看到的信息。除了顯示有效路由外，還顯示當(dāng)前有效的連接。如圖2.27所示。2.4.3netstat命令這些命令也可以連接使用，如netstat-an如圖2.28所示。2.4.4arp命令arp是地址轉(zhuǎn)換協(xié)議的意思，它也是一個(gè)重要的命令，用于確定對應(yīng)IP地址的網(wǎng)卡物理地址。用arp命令，能夠查看本地計(jì)算機(jī)或另一臺計(jì)算機(jī)的arp高速緩存中的當(dāng)前內(nèi)容。arp-a或arp-g。用于查看高速緩存中的所有工程。-a和-g參數(shù)的結(jié)果是一樣的。如圖2.29所示，可以看到IP地址和物理地址。2.4.5net命令net命令是一個(gè)命令行命令，它有很多函數(shù)用于實(shí)用和核查計(jì)算機(jī)之間的NetBIOS連接，可以查看管理網(wǎng)絡(luò)環(huán)境、效勞、用戶、登陸等信息內(nèi)容。關(guān)于net命令的使用參數(shù)也很多，如netview、netuser、netuse、nettime、netstart、netshare、netprint、netname、netgroup、netcomputer、netaccounts等。最常見的使用方法如下：2.4.5net命令1.netshare 它的作用是用來創(chuàng)立、刪除或顯示共享資源。如圖2.30所示為查看系統(tǒng)中的共享資源，圖中顯示了一個(gè)IPC$空連接共享。2.4.5net命令2.netstart它的作用是啟動效勞，或顯示已啟動效勞的列表。命令格式為netstartservice。如圖2.31所示。2.4.6at命令at命令是Windows系列操作系統(tǒng)中內(nèi)置的命令。at命令可在指定時(shí)間和日期、在指定計(jì)算機(jī)上運(yùn)行命令和程序?？梢栽凇伴_始〞→“運(yùn)行〞出現(xiàn)的DOS提示符下面輸入at命令。下面就來看看at命令的一些實(shí)例分析。1.定時(shí)關(guān)機(jī)命令：at22:00ShutDown–S–T40該命令運(yùn)行后，到了22:00點(diǎn)，電腦會出現(xiàn)“系統(tǒng)關(guān)機(jī)〞對話框，并默認(rèn)40秒延時(shí)自動關(guān)機(jī)。2.4.6at命令2.定時(shí)提醒命令：at11:00netsend22“與朋友約會的時(shí)間到了，快點(diǎn)準(zhǔn)備出發(fā)吧!〞其中netsend是Windows內(nèi)部程序，可以發(fā)送消息到網(wǎng)絡(luò)上的其他用戶、計(jì)算機(jī)。是本機(jī)電腦的IP地址。這個(gè)功能在Windows中也稱作“信使效勞〞。3．自動運(yùn)行批處理文件如果公司的數(shù)據(jù)佷重要，要求在指定的日期/時(shí)間進(jìn)行備份，那么運(yùn)行：命令：at2:00AM/Every:SaturdayBackUp.bat2.4.6at命令4、取消已經(jīng)安排的方案命令：at5/delete有時(shí)候，已經(jīng)安排好的方案可能臨時(shí)變動，這樣可以及時(shí)地用上述命令刪除該方案(5為指派給已方案命令的標(biāo)識編號〕，當(dāng)然，刪除該方案后，可以重新安排。2.4.7tracert命令tracert命令顯示用于將數(shù)據(jù)包從計(jì)算機(jī)傳遞到目標(biāo)位置的一組IP路由器，以及每個(gè)躍點(diǎn)所需的時(shí)間。如果數(shù)據(jù)包不能傳遞到目標(biāo)，tracert命令將顯示成功轉(zhuǎn)發(fā)數(shù)據(jù)包的最后一個(gè)路由器。當(dāng)數(shù)據(jù)報(bào)從計(jì)算機(jī)經(jīng)過多個(gè)網(wǎng)關(guān)傳送到目的地時(shí)，tracert命令可以用來跟蹤數(shù)據(jù)報(bào)使用的路由〔路徑〕。該實(shí)用程序跟蹤的路徑是源計(jì)算機(jī)到目的地的一條路徑，不能保證或認(rèn)為數(shù)據(jù)報(bào)總遵循這個(gè)路徑。2.4.7tracert命令2.4.7tracert命令2.tracertIP–d或tracertURL–d

通過使用-d選項(xiàng)，將更快地顯示路由器路徑，因?yàn)閠racert不會嘗試解析路徑中路由器的名稱。如圖2.33所示為tracertIP–d命令的使用。2.4.8route命令1.routeprint本命令用于顯示路由表中的當(dāng)前工程，在單路由器網(wǎng)段上的輸出；由于用IP地址配置了網(wǎng)卡，因此所有的這些工程都是自動添加的。如圖2.34所示為routeprint命令的使用。2.4.8route命令2.routeadd使用本命令，可以將信路由工程添加給路由表。例如，如果要設(shè)定一個(gè)到目的網(wǎng)絡(luò)的路由，其間要經(jīng)過5個(gè)路由器網(wǎng)段，首先要經(jīng)過本地網(wǎng)絡(luò)上的一個(gè)路由器，器IP為，子網(wǎng)掩碼為，那么應(yīng)該輸入以下命令：routeadd3mask24metric52.4.8route命令3.routechange可以使用本命令來修改數(shù)據(jù)的傳輸路由。不過，不能使用本命令來改變數(shù)據(jù)的目的地。下面這個(gè)例子可以將數(shù)據(jù)的路由改到另一個(gè)路由器，它采用一條包含3個(gè)網(wǎng)段的更直的路徑：routeadd3mask2450metric3(4)routedelete使用本命令可以從路由表中刪除路由。例如：。2.4.9nbtstat命令使用nbtstat命令釋放和刷新NetBIOS名稱。NBTStat用于提供關(guān)于NetBIOS的統(tǒng)計(jì)數(shù)據(jù)。運(yùn)用NetBIOS，可以查看本地計(jì)算機(jī)或遠(yuǎn)程計(jì)算機(jī)上的NetBIOS名字表格。Nbstat命令最常見的使用方法如下：1.nbtstat–n顯示存放在本地的名字和效勞程序。如圖2.35所示為nbtstat–n命令的使用。2.4.9nbtstat命令2.nbtstat–c本命令用于顯示NetBIOS名字高速緩存的內(nèi)容。NetBIOS名字高速緩存用于寸放與本計(jì)算機(jī)最近進(jìn)行通信的其他計(jì)算機(jī)的NetBIOS名字和IP地址對。如圖2.36所示為nbtstat–c命令的使用。2.4.9nbtstat命令3.nbtstat–r本命令用于去除和重新加載NetBIOS名字高速緩存。如圖2.37所示為nbtstat–r命令的使用。2.4.9nbtstat命令4.nbtstat-aIP通過IP顯示另一臺計(jì)算機(jī)的物理地址和名字列表，所顯示的內(nèi)容就象對方計(jì)算機(jī)自己運(yùn)行nbtstat-n一樣。小結(jié) 這里主要給大家講述了網(wǎng)絡(luò)平安的根底知識。

返回ThanksForAttendance!致謝第3章網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽

李劍北京郵電大學(xué)信息平安中心E-mail:：130－01936882概述目錄一.黑客概述

二.網(wǎng)絡(luò)踩點(diǎn)三.網(wǎng)絡(luò)掃描四.網(wǎng)絡(luò)監(jiān)聽3.1黑客概述3.1黑客概述3.1黑客概述3.1黑客概述1.按照威脅的來源，潛在入侵者的攻擊可以被粗略地分成兩類。2.按照平安屬性，Stalling將攻擊分為四類，如圖3.1所示。3.按照攻擊方式，攻擊可分為主動攻擊和被動攻擊。3.1黑客概述3.1黑客概述3.2網(wǎng)絡(luò)踩點(diǎn)踩點(diǎn)，也就是信息收集。黑客實(shí)施攻擊前要做的第一步就是“踩點(diǎn)〞。與劫匪搶銀行類似，攻擊者在實(shí)施攻擊前會使用公開的和可利用的信息來調(diào)查攻擊目標(biāo)。通過信息收集，攻擊者可獲得目標(biāo)系統(tǒng)的外圍資料，如機(jī)構(gòu)的注冊資料、網(wǎng)絡(luò)管理員的個(gè)人愛好、網(wǎng)絡(luò)拓?fù)鋱D等。攻擊者將收集來的信息進(jìn)行整理、綜合和分析后，就能夠初步了解一個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的平安態(tài)勢和存在的問題，并據(jù)此擬定出一個(gè)攻擊方案。3.2網(wǎng)絡(luò)踩點(diǎn)

踩點(diǎn)，3.2網(wǎng)絡(luò)踩點(diǎn)1．利用搜索引擎搜索引擎是一個(gè)非常有利的踩點(diǎn)工具，如Google具有很強(qiáng)搜索能力，能夠幫助攻擊者準(zhǔn)確地找到目標(biāo)，包括網(wǎng)站的弱點(diǎn)和不完善配置。比方，多數(shù)網(wǎng)站只要設(shè)置了目錄列舉功能，Google就能搜索出Indexof頁面，如圖3.2。3.2網(wǎng)絡(luò)踩點(diǎn)翻開Indexof頁面就能夠?yàn)g覽一些隱藏在互聯(lián)網(wǎng)背后的開放了目錄瀏覽的網(wǎng)站效勞器的目錄，并下載本無法看到的密碼賬戶等有用文件，如圖3.3。3.2網(wǎng)絡(luò)踩點(diǎn)3.2網(wǎng)絡(luò)踩點(diǎn)下面給出一個(gè)例子，利用://提供的whois效勞查詢google信息，如圖3.4、圖3.5所示。3.2網(wǎng)絡(luò)踩點(diǎn)下面給出一個(gè)例子，利用://提供的whois效勞查詢google信息，如圖3.4、圖3.5所示。3.2網(wǎng)絡(luò)踩點(diǎn)3．利用DNS效勞器DNS效勞中維護(hù)的信息除了域名和IP地址的對應(yīng)關(guān)系外，還有主機(jī)類型、一個(gè)域中的郵件效勞器地址、郵件轉(zhuǎn)發(fā)信息、從IP地址到域名的反向解析信息等。用nslookup程序可以從DNS效勞器上查詢一些網(wǎng)站的相關(guān)信息，如圖3.6是查詢sina和163得到的結(jié)果。3.3網(wǎng)絡(luò)掃描掃描是進(jìn)行信息收集的一種必要工具，它可以完成大量的重復(fù)性工作，為使用者收集與系統(tǒng)相關(guān)的必要信息。對于黑客來講，掃描是攻擊系統(tǒng)時(shí)的有力助手；而對于管理員，掃描同樣具備檢查漏洞，提高平安性的重要作用。3.3網(wǎng)絡(luò)掃描3.3.1平安漏洞概述通常，網(wǎng)絡(luò)或主機(jī)中存在的平安漏洞是攻擊者成功地實(shí)施攻擊的關(guān)鍵。那么，什么是平安漏洞？平安漏洞產(chǎn)生的根源是什么？這些漏洞有哪些危害呢？1．平安漏洞的概念這里所說的漏洞不是一個(gè)物理上的概念，而是指計(jì)算機(jī)系統(tǒng)具有的某種可能被入侵者惡意利用的屬性，在計(jì)算機(jī)平安領(lǐng)域，平安漏洞通常又稱作脆弱性。簡單地說，計(jì)算機(jī)漏洞是系統(tǒng)的一組特性，惡意的主體能夠利用這組特性，通過已授權(quán)的手段和方式獲取對資源的未授權(quán)訪問，或者對系統(tǒng)造成損害。這里的漏洞既包括單個(gè)計(jì)算機(jī)系統(tǒng)的脆弱性，也包括計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞。3.3網(wǎng)絡(luò)掃描3.3網(wǎng)絡(luò)掃描3.3網(wǎng)絡(luò)掃描3.3.2為什么進(jìn)行網(wǎng)絡(luò)掃描很多入侵者常常通過掃描來發(fā)現(xiàn)存活的目標(biāo)及其存在的平安漏洞，然后通過漏洞入侵目標(biāo)系統(tǒng)。為了解決平安問題，網(wǎng)絡(luò)管理員也常借助掃描器對所管轄的網(wǎng)絡(luò)進(jìn)行掃描，以發(fā)現(xiàn)自身系統(tǒng)中的平安隱患和存在的棘手問題，然后修補(bǔ)漏洞排除隱患。所以說掃描是一把雙刃劍。為了解決平安隱患和提高掃描效率，很多公司和開源組織開發(fā)了各種各樣的漏洞評估工具，這些漏洞評估工具也被稱為掃描器，其種類繁多、性能各異。3.3網(wǎng)絡(luò)掃描3.3網(wǎng)絡(luò)掃描1．Ping掃描3.3網(wǎng)絡(luò)掃描在“開始IP〞和“結(jié)束IP〞文本框分別輸入需要進(jìn)行Ping掃描的起始地址和結(jié)束地址，并單擊右側(cè)按鈕將其參加右側(cè)文本框，如圖3.8所示。3.3網(wǎng)絡(luò)掃描在3.3網(wǎng)絡(luò)掃描掃描完成后可以單擊SuperScan提供的“查看HTML結(jié)果〞按鈕，查看主機(jī)存活情況，如圖3.10所示。3.3網(wǎng)絡(luò)掃描2．ICMP查詢?nèi)绻繕?biāo)主機(jī)阻塞了ICMP回顯請求報(bào)文，仍然可以通過使用其它類型的ICMP報(bào)文探測目標(biāo)主機(jī)是否存活，并收集到各種關(guān)于該系統(tǒng)的有價(jià)值的信息。例如，向該系統(tǒng)發(fā)送ICMP類型為13的消息，假設(shè)主機(jī)存活就能獲得該系統(tǒng)的系統(tǒng)時(shí)間；發(fā)送ICMP類型為17的消息，假設(shè)主機(jī)存活就能獲得該目標(biāo)主機(jī)的子網(wǎng)掩碼。3.3網(wǎng)絡(luò)掃描3.TCP掃射和UDP掃射另外，TCP掃射和UDP掃射也可用于發(fā)現(xiàn)目標(biāo)是否存活。從TCP連接的三次握手過程可以知道，如果向目標(biāo)發(fā)送一個(gè)SYN報(bào)文，那么無論收到一個(gè)SYN/ACK報(bào)文還是一個(gè)RST報(bào)文，都說明目標(biāo)處于存活狀態(tài)，或向目標(biāo)發(fā)送一個(gè)ACK報(bào)文，如果收到一個(gè)RST報(bào)文那么說明目標(biāo)存活。這就是TCP掃射的根本原理。如果向目標(biāo)特定端口發(fā)送一個(gè)UDP數(shù)據(jù)報(bào)之后，接收到ICMP端口不可達(dá)的錯(cuò)誤，那么說明目標(biāo)存活，否那么說明目標(biāo)不在線或者目標(biāo)的相應(yīng)UDP端口是翻開的。這是UDP掃射的原理。3.3網(wǎng)絡(luò)掃描3.3網(wǎng)絡(luò)掃描端口掃描分類

3.3網(wǎng)絡(luò)掃描3.3.5漏洞掃描漏洞掃描是使用漏洞掃描程序?qū)δ繕?biāo)系統(tǒng)進(jìn)行信息查詢，通過漏洞掃描，可以發(fā)現(xiàn)系統(tǒng)中存在的不平安的地方。針對各種效勞的漏洞是一個(gè)龐大的數(shù)字，在2001年一年中，僅微軟就針對自己的產(chǎn)品一共發(fā)布了上百個(gè)平安漏洞，而其中接近一半都是IIS漏洞。這些龐大的漏洞全部由手工檢測是非常困難的。3.3網(wǎng)絡(luò)掃描3.3網(wǎng)絡(luò)掃描3.3網(wǎng)絡(luò)掃描3.3網(wǎng)絡(luò)掃描3.3網(wǎng)絡(luò)掃描3．X-Scan：國內(nèi)最好的掃描器X-Scan是國內(nèi)最著名的綜合掃描器之一，完全免費(fèi)，是不需要安裝的綠色軟件，其界面支持中文和英文兩種語言，使用方式有圖形界面和命令行方式兩種，支持windows9x/NT4/2000操作系統(tǒng)。該掃描器是由國內(nèi)著名的網(wǎng)絡(luò)平安組織“平安焦點(diǎn)〞〔://〕開發(fā)完成的，支持多線程并發(fā)掃描，能夠及時(shí)生成掃描報(bào)告。它可以對遠(yuǎn)程效勞類型、操作系統(tǒng)類型及版本、各種弱口令漏洞、后門、應(yīng)用效勞漏洞、網(wǎng)絡(luò)設(shè)備漏洞和拒絕效勞漏洞等進(jìn)行掃描，并把掃描報(bào)告和平安焦點(diǎn)網(wǎng)站相連接，對掃描到的每個(gè)漏洞進(jìn)行“風(fēng)險(xiǎn)等級〞評估，提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測試、修補(bǔ)漏洞。3.3網(wǎng)絡(luò)掃描4．例子：X-scan的使用X-scan是一款功能強(qiáng)大的綜合掃描工具，其圖形界面如圖3.12所示。3.3網(wǎng)絡(luò)掃描掃描前首先進(jìn)行參數(shù)設(shè)置。翻開“設(shè)置〞->“掃描參數(shù)〞，如圖3.13所示；點(diǎn)擊“檢測范圍〞->“例如〞按照例如設(shè)置掃描地址范圍，如圖3.14所示；點(diǎn)擊“全局設(shè)置〞->“掃描模塊〞設(shè)置掃描內(nèi)容，如圖3.15所示。3.3網(wǎng)絡(luò)掃描掃描前首先進(jìn)行參數(shù)設(shè)置。翻開“設(shè)置〞->“掃描參數(shù)〞，如圖3.13所示；點(diǎn)擊“檢測范圍〞->“例如〞按照例如設(shè)置掃描地址范圍，如圖3.14所示；點(diǎn)擊“全局設(shè)置〞->“掃描模塊〞設(shè)置掃描內(nèi)容，如圖3.15所示。3.3網(wǎng)絡(luò)掃描掃描前首先進(jìn)行參數(shù)設(shè)置。翻開“設(shè)置〞->“掃描參數(shù)〞，如圖3.13所示；點(diǎn)擊“檢測范圍〞->“例如〞按照例如設(shè)置掃描地址范圍，如圖3.14所示；點(diǎn)擊“全局設(shè)置〞->“掃描模塊〞設(shè)置掃描內(nèi)容，如圖3.15所示。3.3網(wǎng)絡(luò)掃描

掃描參數(shù)設(shè)置完，點(diǎn)擊工具欄中的三角形的開始按鈕，即開始按照設(shè)定對范圍內(nèi)的主機(jī)進(jìn)行掃描，掃描過程的界面如圖3.16所示。3.3網(wǎng)絡(luò)掃描掃描結(jié)束后，生成html格式的掃描報(bào)告，如圖3.17所示。根據(jù)掃描結(jié)果，我們可以獲知哪些主機(jī)在線，這些主機(jī)開放了哪些端口/效勞，又存在著哪些平安漏洞等。3.4網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽，可以有效地對網(wǎng)絡(luò)數(shù)據(jù)、流量進(jìn)行偵聽、分析，從而排除網(wǎng)絡(luò)故障，但它同時(shí)又帶來了信息失竊等方面的極大平安隱患。網(wǎng)絡(luò)監(jiān)聽在平安領(lǐng)域引起人們普遍注意始于1994年，在那一年2月，相繼發(fā)生了幾次大的平安事件，一個(gè)不知名的人在眾多的主機(jī)和骨干網(wǎng)絡(luò)設(shè)備上安裝了網(wǎng)絡(luò)監(jiān)聽軟件，利用它對美國骨干互聯(lián)網(wǎng)和軍方網(wǎng)竊取了超過100000個(gè)有效的用戶名和口令。這事件可能是互聯(lián)網(wǎng)上最早的大規(guī)模的網(wǎng)絡(luò)監(jiān)聽事件了，它使早期網(wǎng)絡(luò)監(jiān)聽從“地下〞走向了公開，并迅速在群眾中普及開來。3.4網(wǎng)絡(luò)監(jiān)聽3.4.1Hub和網(wǎng)卡的工作原理以太網(wǎng)等很多網(wǎng)絡(luò)是基于總線方式的，物理上是播送的，就是當(dāng)一臺機(jī)器向另一臺機(jī)器發(fā)送數(shù)據(jù)時(shí)，共享Hub先接收數(shù)據(jù)，然后再把它接收到的數(shù)據(jù)轉(zhuǎn)發(fā)給Hub上的其它每一個(gè)接口，所以在共享Hub所連接的同一網(wǎng)段的所有機(jī)器的網(wǎng)卡都能接收到數(shù)據(jù)。而對于交換機(jī)，其內(nèi)部程序能夠記住每個(gè)接口的MAC地址，能夠?qū)⒔邮盏降臄?shù)據(jù)直接轉(zhuǎn)發(fā)到相應(yīng)接口上的計(jì)算機(jī)，不像共享Hub那樣發(fā)給所有的接口，所以交換式網(wǎng)絡(luò)環(huán)境下只有相應(yīng)的機(jī)器能夠接收到數(shù)據(jù)〔除了播送包〕。3.4網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的工作原理計(jì)算機(jī)網(wǎng)絡(luò)與電路不同，計(jì)算機(jī)網(wǎng)絡(luò)是共享通信通道。共享意味著計(jì)算機(jī)能夠接收到發(fā)送給其它計(jì)算機(jī)的信息。捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息就稱為Sniffering〔嗅探或監(jiān)聽〕。3.4網(wǎng)絡(luò)監(jiān)聽通常情況下，用戶并不直接和網(wǎng)絡(luò)底層打交道，一般用戶不能直接把網(wǎng)卡設(shè)成混雜模式，只有超級用戶才有這個(gè)權(quán)限。嗅探器通過將網(wǎng)卡設(shè)置成混雜模式，能夠捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包，3.4網(wǎng)絡(luò)監(jiān)聽3.4.4網(wǎng)絡(luò)監(jiān)聽的預(yù)防和檢測為了到達(dá)良好的嗅探效果，入侵者一般將嗅探器放置在被攻擊機(jī)器或網(wǎng)絡(luò)附近，這樣才能捕獲到很多口令，還有一個(gè)常見的方法就是放在網(wǎng)關(guān)上。如果嗅探器運(yùn)行在路由器上，或有路由功能的主機(jī)上，這樣就能捕獲到更多的口令。通常是入侵者進(jìn)入目標(biāo)系統(tǒng)后，使用嗅探這種攻擊手段來獲得更多信息。因此，對嗅探器的檢測要首先考慮這些位置。3.4網(wǎng)絡(luò)監(jiān)聽3.4.5常見的網(wǎng)絡(luò)監(jiān)聽工具目前常見的網(wǎng)絡(luò)監(jiān)聽工具主要有：SnifferPro、Ethereal、Sniffit、Dsniff、Libpcap/Winpcap、Tcpdump/Windump。這里重點(diǎn)介紹一下SnifferPro。SnifferPro是NAI推出的圖形化嗅探器，是目前最好、功能最強(qiáng)大的嗅探軟件之一。下面我們以這個(gè)軟件為例來說明一個(gè)嗅探器是如何工作的。3.4網(wǎng)絡(luò)監(jiān)聽3.4.5常見的網(wǎng)絡(luò)監(jiān)聽工具3.4網(wǎng)絡(luò)監(jiān)聽3.4.5常見的網(wǎng)絡(luò)監(jiān)聽工具3.4網(wǎng)絡(luò)監(jiān)聽3.4.5常見的網(wǎng)絡(luò)監(jiān)聽工具3.4網(wǎng)絡(luò)監(jiān)聽3.4.5常見的網(wǎng)絡(luò)監(jiān)聽工具3.4網(wǎng)絡(luò)監(jiān)聽3.4.5常見的網(wǎng)絡(luò)監(jiān)聽工具3.4網(wǎng)絡(luò)監(jiān)聽3.4.5常見的網(wǎng)絡(luò)監(jiān)聽工具3.4網(wǎng)絡(luò)監(jiān)聽3.4.5常見的網(wǎng)絡(luò)監(jiān)聽工具小結(jié) 這里主要給大家講述了網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽。 歡送大家提問？返回ThanksForAttendance!致謝李劍北京郵電大學(xué)信息平安中心E-mail:：130－01936882概述目錄4.1攻擊的一般流程4.1攻擊的一般流程4.1攻擊的一般流程例如：可以在DOS環(huán)境下輸入命令：c:\>telnet*.*80，如圖2.1所示。這時(shí)出現(xiàn)如圖2.2所示屏幕：4.1攻擊的一般流程例如：可以在DOS環(huán)境下輸入命令：c:\>telnet*.*80，如圖2.1所示。這時(shí)出現(xiàn)如圖2.2所示屏幕：4.1攻擊的一般流程從這個(gè)錯(cuò)誤命令的返回信息，可以知道如下信息：(1)對方Web效勞用的是版本。(2)對方用的是來做網(wǎng)頁的。(3)對方的IP是211.*.*.4。這就為進(jìn)一步的攻擊創(chuàng)造了條件。4.1攻擊的一般流程4.1攻擊的一般流程4.獲取權(quán)限：我們?nèi)肭之?dāng)然一局部目的是為了獲取權(quán)限。通過Web入侵能利用系統(tǒng)的漏洞獲取管理員后臺密碼，然后登錄后臺。這樣就可以上傳一個(gè)網(wǎng)頁木馬，如ASP木馬、php木馬等。根據(jù)效勞器的設(shè)置不同，得到的木馬的權(quán)限也不一樣，所以還要提升權(quán)限。4.1攻擊的一般流程5.提升權(quán)限：提升權(quán)限，將普通用戶的權(quán)限提升為更高一點(diǎn)的權(quán)限，比方管理員權(quán)限。這樣才有權(quán)限去做其他的事情。提權(quán)可以采用系統(tǒng)效勞的方法，社會工程學(xué)的方法，一般都是采用的第三方軟件的方法。 6.去除日志：當(dāng)入侵之后，當(dāng)然不想留下蛛絲馬跡。日志主要有系統(tǒng)日志，IIS日志和第三方軟件的日志，比方系統(tǒng)裝了入侵檢測系統(tǒng)，就會有這個(gè)日志。要刪除記錄，一般是采用攻擊刪除。當(dāng)然對于一些特殊記錄，那么需要手工刪除了。不然使用工具統(tǒng)統(tǒng)刪除了，管理員也會疑心的。1.字典攻擊〔Dictionaryattack〕到目前為止，一個(gè)簡單的字典攻擊是闖入機(jī)器的最快方法。字典文件〔一個(gè)充滿字典文字的文本文件〕被裝入破解應(yīng)用程序〔如L0phtCrack〕，它是根據(jù)由應(yīng)用程序定位的用戶帳戶運(yùn)行的。因?yàn)榇蠖鄶?shù)密碼通常是簡單的，所以運(yùn)行字典攻擊通常足以實(shí)現(xiàn)目的了。2.混合攻擊〔Hybridattack〕另一個(gè)眾所周知的攻擊形式是混合攻擊?；旌瞎魧?shù)字和符號添加到文件名以成功破解密碼。許多人只通過在當(dāng)前密碼后加一個(gè)數(shù)字來更改密碼。其模式通常采用這一形式：第一月的密碼是“cat〞；第二個(gè)月的密碼是“cat1〞；第三個(gè)月的密碼是“cat2〞，依次類推。3.暴力攻擊〔Bruteforceattack〕暴力攻擊是最全面的攻擊形式，雖然它通常需要很長的時(shí)間工作，這取決于密碼的復(fù)雜程度。根據(jù)密碼的復(fù)雜程度，某些暴力攻擊可能花費(fèi)一個(gè)星期的時(shí)間。在暴力攻擊中還可以使用LC5等工具。4.專業(yè)工具最常用的工具之有：(1)系統(tǒng)帳號破解工具LC5，如圖2.3所示。(2)Word文件密碼破解工具WordPasswordRecoveryMaster,如圖2.4所示。(3)郵箱口令破解工具：黑雨，如圖2.5所示。 (4)RAR壓縮文件破解工具：InteloreRARPasswordRecovery，如圖2.6所示。 (5)PowerPoint文件破解工具：Powerpoint-Password-Recovery.exe，如圖2.7所示。4.2.2緩沖區(qū)溢出攻擊緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)當(dāng)機(jī)、重新啟動等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。緩沖區(qū)溢出攻擊有多種英文名稱：bufferoverflow。第一個(gè)緩沖區(qū)溢出攻擊--Morris蠕蟲，它曾造成了全世界6000多臺網(wǎng)絡(luò)效勞器癱瘓。緩沖區(qū)溢出攻擊的原理主要是通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以到達(dá)攻擊的目的。造成緩沖區(qū)溢出的原因是程序中沒有仔細(xì)檢查用戶輸入的參數(shù)。例如下面程序：voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}4.2.3欺騙攻擊1.源IP地址欺騙攻擊許多應(yīng)用程序認(rèn)為如果數(shù)據(jù)包能夠使其自身沿著路由到達(dá)目的地，而且應(yīng)答包也可以回到源地，那么源IP地址一定是有效的，而這正是使源IP地址欺騙攻擊成為可能的前提。要防止源IP地址欺騙行為，可以采取以下措施來盡可能地保護(hù)系統(tǒng)免受這類攻擊：(1)拋棄基于地址的信任策略：阻止這類攻擊的一種非常容易的方法就是放棄以地址為根底的驗(yàn)證。不允許r類遠(yuǎn)程調(diào)用命令的使用；刪除.rhosts文件；清空/etc/hosts.equiv文件。這將迫使所有用戶使用其它遠(yuǎn)程通信手段，如telnet、ssh、skey等等。(2)使用加密方法：在包發(fā)送到網(wǎng)絡(luò)上之前，可以對它進(jìn)行加密。雖然加密過程要求適當(dāng)改變目前的網(wǎng)絡(luò)環(huán)境，但它將保證數(shù)據(jù)的完整性和真實(shí)性。(3)進(jìn)行包過濾：可以配置路由器使其能夠拒絕網(wǎng)絡(luò)外部與本網(wǎng)內(nèi)具有相同IP地址的連接請求。而且，當(dāng)包的IP地址不在本網(wǎng)內(nèi)時(shí)，路由器不應(yīng)該把本網(wǎng)主機(jī)的包發(fā)送出去。2.源路由欺騙攻擊在通常情況下，信息包從起點(diǎn)到終點(diǎn)走過的路徑是由位于此兩點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去往何處，但不知道該如何去。源路由可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過的路徑寫在數(shù)據(jù)包里，使數(shù)據(jù)包循著一個(gè)對方不可預(yù)料的路徑到達(dá)目的主機(jī)。下面仍以上述源IP欺騙中的例子給出這種攻擊的形式：為了防范源路由欺騙攻擊，一般采用下面兩種措施：(1)對付這種攻擊最好的方法是配置好路由器，使它拋棄那些由外部網(wǎng)進(jìn)來的卻聲稱是內(nèi)部主機(jī)的報(bào)文。(2)在路由器上關(guān)閉源路由。用命令noipsource-route。4.2.4DoS/DDoS攻擊 1.DoS攻擊拒絕效勞(DoS,DenialofService)攻擊是目前黑客廣泛使用的一種攻擊手段。最常見的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請求。4.2.4DoS/DDoS攻擊(1)SYNFlood:該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYNACK后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒有收到ACK一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請求提供效勞。4.2.4DoS/DDoS攻擊(2)Smurf：該攻擊向一個(gè)子網(wǎng)的播送地址發(fā)一個(gè)帶有特定請求〔如ICMP回應(yīng)請求〕的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。子網(wǎng)上所有主機(jī)都回應(yīng)播送包請求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。Smurf攻擊原理如圖2.9所示。(3)Land-based：攻擊者將一個(gè)包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。(4)PingofDeath：根據(jù)TCP/IP的標(biāo)準(zhǔn)，一個(gè)包的長度最大為65536字節(jié)。盡管一個(gè)包的長度不能超過65536字節(jié)，但是一個(gè)包分成的多個(gè)片段的疊加卻能做到。當(dāng)一個(gè)主機(jī)收到了長度大于65536字節(jié)的包時(shí)，就是受到了PingofDeath攻擊，該攻擊會造成主機(jī)的死機(jī)。(5)Teardrop：IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時(shí)，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段〔或者更多〕數(shù)據(jù)包來實(shí)現(xiàn)TearDrop攻擊。第一個(gè)包的偏移量為0，長度為N，第二個(gè)包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機(jī)器的重新啟動。(6)PingSweep：使用ICMPEcho訪問多個(gè)主機(jī)。(7)Pingflood:該攻擊在短時(shí)間內(nèi)向目的主機(jī)發(fā)送大量ping包，造成網(wǎng)絡(luò)堵塞或主機(jī)資源耗盡。圖2.10為典型的DDoS攻擊工具CCv2.1，它是一個(gè)強(qiáng)大的應(yīng)用層的DDoS攻擊工具。4.2.5SQL注入攻擊

4.2.5SQL注入攻擊

4.2.6網(wǎng)絡(luò)蠕蟲

蠕蟲(Worm)4.2.7社會工程社會工程學(xué)〔SocialEngineering〕,一種通過對受害者心理弱點(diǎn)、本能反響、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已成迅速上升甚至濫用的趨勢。社會工程學(xué)不能等同于一般的欺騙手法，它尤其復(fù)雜，即使自認(rèn)為最警惕最小心的人，一樣會被高明的社會工程學(xué)手段損害利益。4.2.7社會工程社會工程學(xué)〔SocialEngineering〕,4.2.7社會工程社會工程學(xué)〔SocialEngineering〕,4.2.7社會工程社會工程學(xué)〔SocialEngineering〕,4.2.7社會工程社會工程學(xué)〔SocialEngineering〕,4.2.7社會工程社會工程學(xué)〔SocialEngineering〕,4.2.7社會工程社會工程學(xué)〔SocialEngineering〕,4.2.7社會工程社會工程學(xué)〔SocialEngineering〕,下面做一個(gè)詳細(xì)的分析。細(xì)心的話，會發(fā)現(xiàn)這里有很多疑點(diǎn)。如下： 1.翻開真正的聯(lián)眾網(wǎng)站如圖2.21所示。會發(fā)現(xiàn)它和上面的假聯(lián)眾網(wǎng)站除了“有將活動專區(qū)〞區(qū)別以外，“在線游戲〞人數(shù)也不一樣。真正聯(lián)眾網(wǎng)站上在線游戲人數(shù)為344387人，而假聯(lián)眾網(wǎng)站上在線游戲人數(shù)為523757人。而且真正聯(lián)眾網(wǎng)站上的在線人數(shù)是變化的，而假聯(lián)眾網(wǎng)站上在線游戲人數(shù)是不變的。難道同為聯(lián)眾公司，在上面玩游戲的人數(shù)還不一樣嗎？ 2.上面“領(lǐng)獎?wù)f明〞里面要交688元手續(xù)費(fèi)，這里我們不僅要問，這688手續(xù)費(fèi)用為什么不從上面8000元資金中扣除呢？

思考題1.黑客攻擊的一般過程是什么？2.破解別人的密碼有幾種方式？3.什么是DDoS攻擊？4.什么是SQL注入攻擊？5.什么是社會工程攻擊？6.舉例說明，自己以前遇到過的可能遭受到攻擊時(shí)計(jì)算機(jī)的情況。

小結(jié)返回ThanksForAttendance!致謝第5章網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身李劍北京郵電大學(xué)信息平安中心E-mail:：130－01936882概述目錄5.1木馬攻擊5.2網(wǎng)絡(luò)后門5.3去除攻擊痕跡5.1木馬攻擊5.1.1木馬的概述 特洛伊木馬簡稱木馬，英文叫做“Trojanhouse〞，其名稱取自希臘神話的特洛伊木馬記。其名稱取自希臘神話的特洛伊木馬記。古希臘傳說，特洛伊王子帕里斯訪問希臘，誘走了王后海倫，希臘人因此遠(yuǎn)征特洛伊。圍攻9年后，到第10年，希臘將領(lǐng)奧德修斯獻(xiàn)了一計(jì)，就是把一批勇士埋伏在一匹巨大的木馬腹內(nèi)，放在城外后，佯作退兵，如圖5.1所示。特洛伊人以為敵兵已退，就把木馬作為戰(zhàn)利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來，翻開了城門，希臘將士一擁而入攻下了城池。5.1木馬攻擊5.1.1木馬的概述 特洛伊木馬簡稱木馬，英文叫做“Trojanhouse〞，其5.1木馬攻擊木馬一般有兩個(gè)程序，一個(gè)是客戶端，另一個(gè)是效勞器端。如果要給別人計(jì)算機(jī)上種木馬，那么受害者一方運(yùn)行的是效勞器端程序，而自己使用的是客戶端來控制受害者機(jī)器的。5.1木馬攻擊木馬的傳播方式主要有兩種:一種是通過E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要翻開附件系統(tǒng)就會感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會自動安裝。5.1木馬攻擊1.密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類的木馬不會在每次的Windows重啟時(shí)重啟，而且它們大多數(shù)使用25端口發(fā)送E--mail。2.鍵盤記錄型木馬鍵盤記錄型木馬非常簡單的，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著Windows的啟動而啟動，知道受害者在線并且記錄每一件事。5.1木馬攻擊3.毀壞型木馬毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡單，并且很容易被使用。它們可以自動地刪除用戶計(jì)算機(jī)上的所有的.DLL、INI或EXE文件。4.FTP型木馬FTP型木馬翻開用戶計(jì)算機(jī)的21端口〔FTP所使用的默認(rèn)端口〕，使每一個(gè)人都可以用一個(gè)FTP客戶端程序來不用密碼連接到該計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳下載。5.1木馬攻擊木馬常用的欺騙方法如下：1.捆綁欺騙：如把木馬效勞端和某個(gè)游戲捆綁成一個(gè)文件在郵件中發(fā)給別人。2.危險(xiǎn)下載點(diǎn)：攻破一些下載站點(diǎn)后，下載幾個(gè)下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載；或直接將木馬改名上載到FTP網(wǎng)站上，等待別人下載。3.文件夾慣性點(diǎn)擊：把木馬文件偽裝成文件夾圖標(biāo)后，放在一個(gè)文件夾中，然后在外面再套三四個(gè)空文件夾。5.1木馬攻擊木馬常用的欺騙方法如下：4.zip偽裝：將一個(gè)木馬和一個(gè)損壞的zip包捆綁在一起，然后指定捆綁后的文件為zip圖標(biāo)。5.網(wǎng)頁木馬法：有的網(wǎng)頁是自帶木馬的，只要翻開該網(wǎng)頁，立刻就會安裝上木馬。 常見的木馬很多，Windows下有Netbus、subseven、BO、冰河、網(wǎng)絡(luò)神偷等。UNIX下有Rhost++、Login后門、rootkit等。5.1.3木馬例子下面以Windows下的冰河木馬為例子，介紹木馬的原理。冰河實(shí)際上是一個(gè)小小的效勞器程序〔安裝在要入侵的機(jī)器中〕，這個(gè)小小的效勞端程序功能十分強(qiáng)大，通過客戶端〔安裝在入侵者的機(jī)器中〕的各種命令來控制效勞端的機(jī)器，并可以輕松的獲得效勞端機(jī)器的各種系統(tǒng)信息。1999年上半年，一個(gè)名叫黃鑫的人寫出了冰河木馬軟件。冰河在國內(nèi)一直是不可動搖的領(lǐng)軍木馬，有人說在國內(nèi)沒用過冰河的人等于沒用過木馬，可見冰河木馬的重要性。5.1.3木馬例子冰河木馬的效勞器端程序名為G_Server.exe，客戶端程序名為G_Client.exe。冰河木馬目的是遠(yuǎn)程訪問、控制。冰河的開放端口7626據(jù)傳為其生日號。2.2版本后均非黃鑫制作。如圖5.2所示為冰河不同版本的圖標(biāo)。5.1.3木馬例子冰河木馬的功能如下：1．自動跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用)。

2．記錄各種口令信息：包括開機(jī)口令、屏保口令、各種共享資源口令及絕大多數(shù)在對話框中出現(xiàn)過的口令信息，且1.2以上的版本中允許用戶對該功能自行擴(kuò)充，2.0以上版本還同時(shí)提供了擊鍵記錄功能。

3．獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。5.1.3木馬例子4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項(xiàng)功能限制。5．遠(yuǎn)程文件操作：包括創(chuàng)立、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程翻開文件〔提供了四中不同的翻開方式——正常方式、最大化、最小化和隱藏方式〕等多項(xiàng)文件操作功能。6．注冊表操作：包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作功能。7．發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡短信息。5.1.3木馬例子8．點(diǎn)對點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談。 下面來看看冰河木馬的使用。首選可以采用一些端口掃描工具如X-way、Superscan、X-Scan等掃描一個(gè)網(wǎng)段內(nèi)的所有主機(jī)，看看這些主機(jī)有哪些7626端口是開放的。如圖5.3所示為使用X-way掃描一個(gè)網(wǎng)段中的7626端口。5.1.3木馬例子8．點(diǎn)對點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談。

5.1.3木馬例子X-way的掃描結(jié)果如圖5.4所示。發(fā)現(xiàn)了6臺機(jī)器的7626端口是開放的，這說明這6臺機(jī)器可能都有冰河木馬。5.1.3木馬例子如圖5.5所示，為冰河的主界面，可以看到它可以完成屏幕抓圖、控制、修改效勞器配置、冰河信使等功能。5.1.3木馬例子如圖5.6所示為通過冰河可以得到對方機(jī)器的一些密碼。5.1.3木馬例子如圖5.7所示為受害者的一些信息可以通過郵件發(fā)送給控制方。5.1.3木馬例子如圖5.8所示，為受害者機(jī)器采用netstat–an命令看到的7626端口是開放的5.1.3木馬例子 如圖5.9所示為采用冰河信使給受害者計(jì)算機(jī)發(fā)信息。5.1.3木馬例子 如圖5.10所示為采用冰河控制對方計(jì)算機(jī)。5.1.3木馬例子5.1.3木馬例子5.1.4木馬的防范5.1.3木馬例子5.1.4木馬的防范 選中“Internet協(xié)議(TCP/IP)〞點(diǎn)擊“屬性〞。出現(xiàn)如圖5.12所示的界面。5.1.3木馬例子5.1.4木馬的防范點(diǎn)擊“高級〞按鈕，出現(xiàn)如圖5.13所示的界面。5.1.3木馬例子5.1.4木馬的防范點(diǎn)擊“高級〞按鈕，出現(xiàn)如圖5.13所示的界面。5.1.3木馬例子5.1.4木馬的防范點(diǎn)擊“高級〞按鈕，出現(xiàn)如圖5.13所示的界面。5.2網(wǎng)絡(luò)后門5.2網(wǎng)絡(luò)后門2.后門實(shí)例全球著名黑客米特尼克在15歲的時(shí)候，闖入了“北美空中防務(wù)指揮系統(tǒng)〞的計(jì)算機(jī)主機(jī)內(nèi)，他和另外一些朋友翻遍了美國指向前蘇聯(lián)及其盟國的所有核彈頭的數(shù)據(jù)資料，然后又悄無聲息地溜了出來，這就是黑客歷史上利用“后門〞進(jìn)行入侵的一次經(jīng)典之作。如圖5.16所示為黑客米特尼克。5.2網(wǎng)絡(luò)后門2.后門實(shí)例全球著名黑客米特尼克在15歲的時(shí)候，5.2網(wǎng)絡(luò)后門3.后門的防御方法后門的防范相對于木馬來說，更加的困難，因?yàn)橄到y(tǒng)本身就包括遠(yuǎn)程桌面、遠(yuǎn)程協(xié)助這些可以進(jìn)行遠(yuǎn)程維護(hù)的后門，所以對用戶來講更加的困難。(1)首先對使用的操作系統(tǒng)以及軟件要有充分的了解，確定它們之中是否存在后門。如果存在的話就需要及時(shí)關(guān)閉，以免這些后門被黑客所利用，比方系統(tǒng)的遠(yuǎn)程桌面、遠(yuǎn)程協(xié)助等。(2)關(guān)閉系統(tǒng)中不必要的效勞，這些效勞中有相當(dāng)一局部對于個(gè)人用戶來說不但沒有作用，而且平安方面也存在很大的隱患，比方RemoteRegistry、TerminalServices等，這樣同樣可以防范系統(tǒng)效勞被黑客利用。5.2網(wǎng)絡(luò)后門5.3去除攻擊痕跡 操作系統(tǒng)日志是對操作系統(tǒng)中的操作或活動進(jìn)行的記錄，不管是用戶對計(jì)算機(jī)的操作還是應(yīng)用程序的運(yùn)行情況都能全面記錄下來。黑客在非法入侵電腦以后所有行動的過程也會被日志記錄在案。所以黑客在攻擊之后，如果刪除這些日志記錄，就顯得很重要了。雖然一個(gè)日志的存在不能提供完全的可記錄性，但日志能使系統(tǒng)管理員和平安官員做到：1.發(fā)現(xiàn)試圖攻擊系統(tǒng)平安的重復(fù)舉動〔例如：一個(gè)攻擊者試圖冒充administrator或root登錄〕。2.跟蹤那些想要越權(quán)的用戶〔例如：那些使用sudo命令作為root執(zhí)行命令的用戶〕。3.跟蹤異常的使用模式〔例如：有人在工作時(shí)間以外的時(shí)間登錄計(jì)算機(jī)〕。4.實(shí)時(shí)跟蹤侵入者。5.3去除攻擊痕跡5.3.1Windows下去除攻擊痕跡 Windows下的日志信息可以在“控制面板〞->“管理工具〞->“事件查看器〞當(dāng)中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的平安日志。如圖5.19所示為事件查看器中的系統(tǒng)日志。5.3去除攻擊痕跡5.3.1Windows下去除攻擊痕跡 Windows下的日志信息可以在“控制面板〞->“管理工具〞->“事件查看器〞當(dāng)中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的平安日志。如圖5.19所示為事件查看器中的系統(tǒng)日志。5.3去除攻擊痕跡5.3.1Windows下去除攻擊痕跡 Windows下的日志信息可以在“控制面板〞->“管理工具〞->“事件查看器〞當(dāng)中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的平安日志。如圖5.19所示為事件查看器中的系統(tǒng)日志。5.3去除攻擊痕跡這三種日志文件的存放位置分別如下：1.平安日志文件默認(rèn)位置：%systemroot%\system32\config\SecEvent.EVT。2.系統(tǒng)日志文件默認(rèn)位置：%systemroot%\system32\config\SysEvent.EVT。3.應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT。5.3去除攻擊痕跡這三種日志文件的存放位置分別如下：5.3去除攻擊痕跡5.3.2Unix下去除攻擊痕跡 不同版本的Unix日志文件的目錄是不同的，最常用的目錄如下：/usr/adm早期版本的Unix/var/adm較新版本的Unix/var/log用于Solaris,Linux,BSD等/etcUnixsystemV早期版本在這些目錄或其子目錄下，可以找到以下日志文件〔也許是其中的一局部〕：lastlog記錄用戶最后一次成功登錄時(shí)間loginlog不良的登陸嘗試記錄5.3去除攻擊痕跡messages記錄輸出到系統(tǒng)主控臺以及由syslog系統(tǒng)效勞程序產(chǎn)生的消息utmp記錄當(dāng)前登錄的每個(gè)用戶utmpx擴(kuò)展的utmpwtmp記錄每一次用戶登錄和注銷的歷史信息wtmpx擴(kuò)展的wtmpvold.log記錄使用外部介質(zhì)出現(xiàn)的錯(cuò)誤xferkig記錄Ftp的存取情況sulog記錄su命令的使用情況acct記錄每個(gè)用戶使用過的命令aculog撥出自動呼叫記錄思考題1.什么是木馬？如何防范木馬攻擊？2.什么是后門，后門與木馬的異同點(diǎn)在哪里？3.Windows操作系統(tǒng)都有哪些日志文件，放在哪里？4．Windows操作系統(tǒng)都有哪些日志文件?小結(jié) 這里主要給大家講述了網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身。 歡送大家提問？返回ThanksForAttendance!致謝第6章計(jì)算機(jī)病毒與惡意軟件李劍北京郵電大學(xué)信息平安中心E-mail:：130－01936882概述本章來介紹計(jì)算機(jī)病毒和惡意軟件。在國外，有時(shí)將計(jì)算機(jī)病毒當(dāng)作惡意軟件來處理。而在我國，惡意軟件沒有明確的法律定義，只在互聯(lián)網(wǎng)協(xié)會對惡意軟件做了介紹，其中不包括計(jì)算機(jī)病毒的。目錄6.1計(jì)算機(jī)病毒概述

6.2典型的病毒分析6.3惡意軟件概述6.1計(jì)算機(jī)病毒概述6.1.1計(jì)算機(jī)病毒的概念用卡巴在平安模其實(shí)只要我們掌握一些病毒的命名規(guī)那么，我們就能通過殺毒軟件的報(bào)告中出現(xiàn)的病毒名來判斷該病毒的一些公有的特性了?！坝?jì)算機(jī)病毒〞為什么叫做病毒。首先，與醫(yī)學(xué)上的“病毒〞不同，它不是天然存在的，是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制具有特殊功能的程序。其能通過某種途徑潛伏在計(jì)算機(jī)存儲介質(zhì)(或程序)里,當(dāng)?shù)竭_(dá)某種條件時(shí)即被激活,它用修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中,從而感染它們，對計(jì)算機(jī)資源進(jìn)行破壞的這樣一組程序或指令集合。6.1計(jì)算機(jī)病毒概述6.1計(jì)算機(jī)病毒概述6.1.2計(jì)算機(jī)病毒產(chǎn)生的原因那么究竟它是如何產(chǎn)生的呢？其過程可分為：程序設(shè)計(jì)－＞傳播－＞潛伏－＞觸發(fā)－＞運(yùn)行－＞實(shí)行攻擊。究其產(chǎn)生的原因不外乎以下幾種：6.1計(jì)算機(jī)病毒概述6.1計(jì)算機(jī)病毒概述3.用于版權(quán)保護(hù)計(jì)算機(jī)開展初期，由于在法律上對于軟件版權(quán)保護(hù)還沒有象今天這樣完善。很多商業(yè)軟件被非法復(fù)制，有些開發(fā)商為了保護(hù)自己的利益制作了一些特殊程序，附在產(chǎn)品中。如：巴基斯坦病毒，其制作者是為了追蹤那些非法拷貝他們產(chǎn)品的用戶。用于這種目的的病毒目前已不多見。4.用于特殊目的某組織或個(gè)人為到達(dá)特殊目的，對政府機(jī)構(gòu)、單位的特殊系統(tǒng)進(jìn)行宣傳或破壞?；蛴糜谲娛履康?。6.1計(jì)算機(jī)病毒概述6.1計(jì)算機(jī)病毒概述6.1.4計(jì)算機(jī)病毒的特征1.傳染性傳染性是病毒的根本特征。在生物界，通過傳染病毒從一個(gè)生物體擴(kuò)散到另一個(gè)生物體。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計(jì)算機(jī)病毒也會通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。與生物病毒不同的是，計(jì)算機(jī)病毒是一段人為編制的6.1計(jì)算機(jī)病毒概述 2.隱蔽性病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個(gè)別的以隱含文件形式出