版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、莆田學院網(wǎng)絡(luò)技術(shù)教研室,第5章 網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身,5.1 木馬攻擊 5.2 網(wǎng)絡(luò)后門 5.3 清除攻擊痕跡,莆田學院網(wǎng)絡(luò)技術(shù)教研室,概 述,本章主要介紹網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身技術(shù),主要包括木馬、后門和清除攻擊痕跡等。這個技術(shù)與方法都是黑客攻擊常用的技術(shù)方法。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,5.1.1 木馬概述特洛伊木馬簡稱木馬,英文叫做“Trojan horse” ,其名稱取自希臘神話的特洛伊木馬記。古希臘傳說,特
2、洛伊王子帕里斯訪問希臘,誘走了王后海倫,希臘人因此遠征特洛伊。圍攻9年后,到第10年,希臘將領(lǐng)奧德修斯獻了一計,就是把一批勇士埋伏在一匹巨大的木馬腹內(nèi),放在城外后,佯作退兵,如圖5.1所示。特洛伊人以為敵兵已退,就把木馬作為戰(zhàn)利品搬入城中。到了夜間,埋伏在木馬中的勇士跳出來,打開了城門,希臘將士一擁而入攻下了城池。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,特洛伊木馬簡稱木馬,英文叫做“ Trojan horse” 。,莆田學院網(wǎng)絡(luò)技術(shù)
3、教研室,5.1 木馬攻擊,利用計算機程序漏洞入侵后竊取文件,多不會直接對電腦造成危害,而以控制為主,這樣的程序被稱為木馬。木馬的特點: 木馬是一種基于遠程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點。 隱蔽性是指木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn),會用多種手段隱藏木馬; 非授權(quán)性是指一旦客戶端與服務(wù)器端連接后,客戶端將享有服務(wù)器端大部分操作權(quán)限,包括修改文件、修改注冊表、控制鼠標、鍵盤等。,莆田學院網(wǎng)絡(luò)技術(shù)
4、教研室,5.1 木馬攻擊,木馬的組成: 木馬一般由兩個程序組成,一個是客戶端,另一個是服務(wù)器端。如果要給別人的計算機種植木馬,則受害者一方運行的是服務(wù)器端程序,而自己使用的是客戶端來控制受害者機器。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,木馬的運行過程: 木馬被激活后,進入內(nèi)存,并開啟事先定義的木馬端口,準備與控制端建立連接。這時服務(wù)端用戶可以在MS-DOS方式下,鍵入netstat -an查看端口狀態(tài),一
5、般個人電腦在脫機狀態(tài)下是不會有端口開放的,如果有端口開放,就要注意是否感染木馬了。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去,收信人只要打開附件系統(tǒng)就會感染木馬;另一種是軟件下載,一些非正規(guī)的網(wǎng)站以提供軟件下載為名義,將木馬捆綁在軟件安裝程序上,下載后,只要一運行這些程序,木馬就會自動安裝。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,1.
6、密碼發(fā)送型木馬 密碼發(fā)送型木馬的目的是找到所有的隱藏密碼,并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類的木馬不會在每次的Windows重啟時重啟,而且它們大多數(shù)使用25端口發(fā)送E-mail。2. 鍵盤記錄型木馬 鍵盤記錄型木馬非常簡單,它們只做一件事情,就是記錄受害者的鍵盤敲擊,并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著Windows的啟動而啟動,知道受害者在線并且記錄每一件事。,莆田學
7、院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,3. 毀壞型木馬 毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡單,并且很容易被使用。它們可以自動地刪除用戶計算機上的所有的.DLL、INI或EXE文件。4. FTP 型木馬 FTP 型木馬打開用戶計算機的21端口(FTP所使用的默認端口),使每一個人都可以用一個FTP 客戶端程序不用密碼連接到該計算機,并且可以進行最高權(quán)限的上傳下載。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1
8、 木馬攻擊,木馬常用的欺騙方法如下:捆綁欺騙:把木馬服務(wù)端和某個游戲捆綁成一個文件在郵件中發(fā)給別人。危險下載點:攻破一些下載站點后,下載幾個下載量大的軟件,捆綁上木馬,再悄悄放回去讓別人下載;或直接將木馬改名上載到FTP網(wǎng)站上,等待別人下載。文件夾慣性點擊:把木馬文件偽裝成文件夾圖標后,放在一個文件夾中,然后在外面再套三四個空文件夾。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1 木馬攻擊,木馬常用的欺騙方法如下:zip偽裝:將一個木馬和一個
9、損壞的zip包捆綁在一起,然后指定捆綁后的文件為zip圖標。網(wǎng)頁木馬法:有的網(wǎng)頁是自帶木馬的,只要打開該網(wǎng)頁,立刻就會安裝上木馬。,常見的木馬很多,Windows下有Netbus、subseven、BO、冰河、網(wǎng)絡(luò)神偷等。UNIX下有Rhost ++、Login后門、rootkit等。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,下面以Windows下的冰河木馬為例子,介紹木馬的原理。冰河實際上是一個小小的服務(wù)器程序(安裝在要入侵的
10、機器中),這個小小的服務(wù)端程序功能十分強大,通過客戶端(安裝在入侵者的機器中)的各種命令來控制服務(wù)端的機器,并可以輕松的獲得服務(wù)端機器的各種系統(tǒng)信息。1999年上半年,一個名叫黃鑫的人寫出了冰河木馬軟件。冰河在國內(nèi)一直是不可動搖的領(lǐng)軍木馬,有人說在國內(nèi)沒用過冰河的人等于沒用過木馬,可見冰河木馬的重要性。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,冰河木馬的服務(wù)器端程序名為G_Server.exe,客戶端程序名為G_Client.ex
11、e。冰河木馬目的是遠程訪問、控制。冰河的開放端口7626據(jù)傳為其生日號。2.2版本后均非黃鑫制作。如圖5.2所示為冰河不同版本的圖標。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,冰河木馬的功能如下:自動跟蹤目標機屏幕變化,同時可以完全模擬鍵盤及鼠標輸入,即在同步被控端屏幕變化的同時,監(jiān)控端的一切鍵盤及鼠標操作將反映在被控端屏幕(局域網(wǎng)適用)。記錄各種口令信息:包括開機口令、屏保口令、各種共享資源口令及絕大多數(shù)在對話框中出現(xiàn)過的口
12、令信息,且1.2以上的版本中允許用戶對該功能自行擴充,2.0以上版本還同時提供了擊鍵記錄功能。獲取系統(tǒng)信息:包括計算機名、注冊公司、當前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當前顯示分辨率、物理及邏輯磁盤信息等多項系統(tǒng)數(shù)據(jù)。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,限制系統(tǒng)功能:包括遠程關(guān)機、遠程重啟計算機、鎖定鼠標、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項功能限制。遠程文件操作:包括創(chuàng)建、上傳、下載、復制、刪除文件或目錄、文件壓縮、快速瀏覽文
13、本文件、遠程打開文件(提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式)等多項文件操作功能。注冊表操作:包括對主鍵的瀏覽、增刪、復制、重命名和對鍵值的讀寫等所有注冊表操作功能。發(fā)送信息:以四種常用圖標向被控端發(fā)送簡短信息。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,點對點通訊:以聊天室形式同被控端進行在線交談。 下面來看看冰河木馬的使用。首選可以采用一些端口掃描工具如X-way、Superscan、X
14、-Scan等掃描一個網(wǎng)段內(nèi)的所有主機,看看這些主機有哪些7626端口是開放的。如圖5.3所示為使用X-way掃描一個網(wǎng)段中的7626端口。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,點對點通訊:以聊天室形式同被控端進行在線交談。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,X-way的掃描結(jié)果如圖5.4所示。發(fā)現(xiàn)了6臺機器的7626端口是開放的,這表明這6臺機器可能都有冰河木馬。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,如圖
15、5.5所示,為冰河的主界面,可以看到它可以完成屏幕抓圖、控制、修改服務(wù)器配置、冰河信使等功能。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,如圖5.6所示為通過冰河可以得到對方機器的一些密碼。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,如圖5.7所示為受害者的一些信息可以通過郵件發(fā)送給控制方。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,如圖5.8所示,為受害者機器采用netstat –an命令看到的7626端口是開放的,莆田學
16、院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,如圖5.9所示為采用冰河信使給受害者計算機發(fā)信息。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,如圖5.10所示為采用冰河控制對方計算機。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,5.1.4 木馬的防范防治木馬的危害,應(yīng)該采取以下措施:安裝殺毒軟件和個人防火墻,并及時升級。把個人防火墻設(shè)置好安全等級,防止未知程序向外傳送數(shù)據(jù)。可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。
17、如果使用IE瀏覽器,應(yīng)該安裝卡卡安全助手、360安全衛(wèi)士等防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件,以免被木馬趁機侵入。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,5.1.4 木馬的防范,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,5.1.4 木馬的防范 選中“Internet協(xié)議(TCP/IP)”點擊“屬性”。出現(xiàn)如圖5.12所示的界面。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,5.1.4 木馬的防范
18、點擊“高級”按鈕,出現(xiàn)如圖5.13所示的界面。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,5.1.4 木馬的防范點擊“屬性”按鈕,出現(xiàn)如圖5.13所示的界面。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.1.3 木馬例子,5.1.4 木馬的防范點擊“添加”按鈕,添加相應(yīng)的允許端口。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.2 網(wǎng)絡(luò)后門,1. 后門介紹 早期的電腦黑客,在成功獲得遠程系統(tǒng)的控制權(quán)后,希望能有一種技術(shù)使得他們在任意的時間都可以再次進
19、入遠程系統(tǒng),于是后門程序就出現(xiàn)了。 后門是指那些繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。在軟件的開發(fā)階段,程序員常常會在軟件內(nèi)創(chuàng)建后門程序以便可以修改程序設(shè)計中的缺陷。但是,如果這些后門被其他人知道,或是在發(fā)布軟件之前沒有刪除后門程序,那么它就存在安全隱患,容易被黑客當成漏洞進行攻擊。傳統(tǒng)意義上的后門程序往往只是能夠讓黑客獲得一個SHELL,通過這個SHELL進而進行一些遠程控制操作。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.
20、2 網(wǎng)絡(luò)后門,2. 后門實例 全球著名黑客米特尼克在15歲的時候,闖入了“北美空中防務(wù)指揮系統(tǒng)”的計算機主機內(nèi),他和另外一些朋友翻遍了美國指向前蘇聯(lián)及其盟國的所有核彈頭的數(shù)據(jù)資料,然后又悄無聲息地溜了出來,這就是黑客歷史上利用“后門”進行入侵的一次經(jīng)典之作。如圖5.16所示為黑客米特尼克。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.2 網(wǎng)絡(luò)后門,2. 后門實例全球著名黑客米特尼克在15歲的時候,,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.2 網(wǎng)絡(luò)后門
21、,3. 后門的防御方法 后門的防范相對于木馬來說,更加的困難,因為系統(tǒng)本身就包括遠程桌面、遠程協(xié)助這些可以進行遠程維護的后門,所以對用戶來講更加的困難。(1) 首先對使用的操作系統(tǒng)以及軟件要有充分的了解,確定它們之中是否存在后門。如果存在的話就需要及時關(guān)閉,以免這些后門被黑客所利用,比如系統(tǒng)的遠程桌面、遠程協(xié)助等。(2) 關(guān)閉系統(tǒng)中不必要的服務(wù),這些服務(wù)中有相當一部分對于個人用戶來說不但沒有作用,而且安全方面也存在很大的
22、隱患,比如Remote Registry、Terminal Services等,這樣同樣可以防范系統(tǒng)服務(wù)被黑客利用。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.2 網(wǎng)絡(luò)后門,(3) 安裝網(wǎng)絡(luò)防火墻,這樣可以有效地對黑客發(fā)出的 連接命令進行攔截。即使是自己的系統(tǒng)被黑客安裝了后門程序,也能阻止黑客的進一步控制操作。(4) 安裝最新版本的殺毒軟件,并且將病毒庫升級到最新的版本。另外再安裝一個注冊表監(jiān)控程序,可以隨時對注冊表的變化進行監(jiān)控,有效地防范后門的
23、入侵。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,操作系統(tǒng)日志是對操作系統(tǒng)中的操作或活動進行的記錄,不管是用戶對計算機的操作還是應(yīng)用程序的運行情況都能全面記錄下來。黑客在非法入侵電腦以后所有行動的過程也會被日志記錄在案。所以黑客在攻擊之后,如果刪除這些日志記錄,就顯得很重要了。 雖然一個日志的存在不能提供完全的可記錄性,但日志能使系統(tǒng)管理員和安全官員做到:,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,發(fā)現(xiàn)試圖攻擊系統(tǒng)安
24、全的重復舉動(例如:一個攻擊者試圖冒充administrator或root登錄)。 跟蹤那些想要越權(quán)的用戶(例如:那些使用sudo 命令作為root 執(zhí)行命令的用戶)。 跟蹤異常的使用模式(例如:有人在工作時間以外的時間登錄計算機)。 實時跟蹤侵入者。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,5.3.1 Windows下清除攻擊痕跡 Windows下的日志信息可以在“控制面板”->“管理工具”->“事
25、件查看器”當中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的安全日志。如圖5.19所示為事件查看器中的系統(tǒng)日志。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,5.3.1 Windows下清除攻擊痕跡 Windows下的日志信息可以在“控制面板”->“管理工具”->“事件查看器”當中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的安全日志。
26、如圖5.19所示為事件查看器中的系統(tǒng)日志。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,5.3.1 Windows下清除攻擊痕跡 Windows下的日志信息可以在“控制面板”->“管理工具”->“事件查看器”當中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的安全日志。如圖5.19所示為事件查看器中的系統(tǒng)日志。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,這三種日志文件的存
27、放位置分別如下:1. 安全日志文件默認位置: %systemroot%\system32\config\SecEvent.EVT。2. 系統(tǒng)日志文件默認位置:%systemroot%\system32\config\SysEvent.EVT。3. 應(yīng)用程序日志文件:%systemroot%\system32\config\AppEvent.EVT。,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,這三種日志文件的存放位置分別如下:,
28、莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,5.3.2 Unix下清除攻擊痕跡 不同版本的Unix日志文件的目錄是不同的,最常用的目錄如下:/usr/adm 早期版本的 Unix /var/adm 較新版本的 Unix /var/log 用于Solaris,Linux,BSD等 /etc Unix system V早期版本 在這些目錄或其子目錄下,可以找到以下日志文件(也許是其中的一部分):lastlog
29、 記錄用戶最后一次成功登錄時間 loginlog 不良的登陸嘗試記錄,莆田學院網(wǎng)絡(luò)技術(shù)教研室,5.3 清除攻擊痕跡,messages 記錄輸出到系統(tǒng)主控臺以及由syslog系統(tǒng)服務(wù)程序產(chǎn)生的消息 utmp 記錄當前登錄的每個用戶 utmpx 擴展的utmp wtmp 記錄每一次用戶登錄和注銷的歷史信息 wtmpx 擴展的wtmp vold.log 記錄使用外部介質(zhì)出現(xiàn)的錯誤 xferkig 記錄Ftp的存取情況 sulog
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 網(wǎng)絡(luò)后門與隱身
- 網(wǎng)絡(luò)后門
- 第5章_學位論文網(wǎng)絡(luò)學術(shù)資源
- 第5章 網(wǎng)絡(luò)營銷案例分析
- sdh原理(華為)-第5章 sdh網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)保護機理
- 第7章 網(wǎng)絡(luò)系統(tǒng)集成與網(wǎng)絡(luò)維護
- 第7章 網(wǎng)絡(luò)沖浪
- 第6章---網(wǎng)絡(luò)層
- 第6章 圖與網(wǎng)絡(luò)圖
- 第5章--無線傳感器網(wǎng)絡(luò)傳輸層協(xié)議
- 第11章 網(wǎng)絡(luò)應(yīng)用故障
- 第08章_無線低速網(wǎng)絡(luò)
- 第3章 網(wǎng)絡(luò)設(shè)備
- 第2章網(wǎng)絡(luò)營銷
- 第8章 全光與智能光網(wǎng)絡(luò)
- 進行測驗-第2章-網(wǎng)絡(luò)體系結(jié)構(gòu)與網(wǎng)絡(luò)協(xié)議測試
- 智能控制第5章 神經(jīng)網(wǎng)絡(luò)在控制中的應(yīng)用
- 第1章網(wǎng)絡(luò)安全概述
- 第2章 神經(jīng)網(wǎng)絡(luò)(2)
- 網(wǎng)絡(luò)流量監(jiān)控-第2章 網(wǎng)絡(luò)基礎(chǔ)知識
評論
0/150
提交評論