计算机网络课件.ppt

远程受控端程序的自启动 Windows启动目录 注册表启动 Run(RunOnce/RunOnceEx/RunServices） KnownDLLs 修改文件关联方式 系统配置文件启动 Win.ini System.ini 服务启动 其他启动 * 远程受控端程序的隐藏 在任务栏（包括任务管理器）中隐藏自己 初步隐藏 注册为系统服务 不适用于Win2k/NT 启动时会先通过窗口名来确定是否已经在运行，如果是则不再启动 防止过多的占用资源 进程隐藏 远程线程插入其他进程（不适用于Win9X） Hook技术 * 远程控制数据传输方式 ICMP协议传送 反弹端口 + HTTP隧道技术 * 反弹端口连接模式 * 1024 反弹式的远程 控制程序 防火墙 IP数据包过滤 目标主机 Windows 系统 骗取系统 IE 进 程 木马线程 正常线程 进入合法应用程序 正常线程 … Internet Explorer 浏览网页 端口 监听端口 传统远程控制程序 远程控制的防御 远程端口扫描 本地进程—端口察看 Fport / Vision AntiyPorts APorts 本地进程察看 Pslist Listdlls 注册表监控 Regmon 文件监控 Filemon 使用专用的查杀工具 加强使用者的安全意识 * * Vision * AntiyPorts DoS与DDoS攻击 DoS (Denial of Service)攻击的中文含义是拒绝服务攻击 DDoS (Distributed Denial of Service)攻击的中文含义是分布式拒绝服务攻击 * 拒绝服务攻击的种类 发送大量的无用请求，致使目标网络系统整体的网络性能大大降低，丧失与外界通信的能力。 利用网络服务以及网络协议的某些特性，发送超出目标主机处理能力的服务请求，导致目标主机丧失对其他正常服务请求的相应能力。 利用系统或应用软件上的漏洞或缺陷，发送经过特殊构造的数据包，导致目标的瘫痪（称之为nuke) * 拒绝服务攻击典型举例 SynFlood Smurf PingFlood UDP Flooder * 拒绝服务攻击—SynFlood 正常的TCP/IP三次握手 SynFlood攻击 * 服务器 客户端 SYN SYN+ACK ACK 握手完成，开始传送数据，系统消耗很少 被攻击主机 攻击主机 伪造源地址 不存在的主机 不断重试及等待，消耗系统资源 不响应 SYN SYN+ACK SynFlood的防御对策 重新设置一些TCP/IP协议参数 增加TCP监听套解字未完成连接队列的最大长度 减少未完成连接队列的超时等待时间 类似于SYN Cookies的特殊措施 选择高性能的防火墙 SYN Threshold类 SYN Defender类 SYN Proxy类 * 拒绝服务攻击—Smurf攻击 * Attacker Target 目标机器会接收很多来自中介网络的请求 中介网络 放大器 broadcast echo request 源地址被欺骗为被攻击主机地址 其它拒绝服务攻击 Fraggle Ping of Death UdpFlood TearDrop 电子邮件炸弹 * Nuke类拒绝服务攻击 Win Nuke RPC Nuke SMB Die * 分布式拒绝服务攻击 DDoS是DoS攻击的延伸，威力巨大，具体攻击方式多种多样。 分布式拒绝服务攻击就是利用一些自动化或半自动化的程序控制许多分布在各个地方的主机同时拒绝服务攻击同一目标 。 攻击一般会采用IP地址欺骗技术，隐藏自己的IP地址，所以很难追查。 * 信息收集—技术手段 Ping Tracert / Traceroute Rusers / Finger Host / nslookup * 端口扫描 目的 判断目标主机开启了哪些端口及其对应的服务 常规扫描技术 调用connect函数直接连接被扫描端口 无须任何特殊权限 速度较慢，易被记录 高级扫描技术 利用探测数据包的返回信息（例如RST）来进行间接扫描 较为隐蔽，不易被日志记录或防火墙发现 * TCP SYN扫描 也叫半开式扫描 利用TCP连接三次握手的第一次进行扫描 * 被扫描主机 开放的端口 不提供服务的端口 防火墙过滤的端口 扫描器 SYN SYN SYN SYN+ACK握手 RST 重置 没有回应或者其他 端口扫描工具 Nmap 简介 被称为“扫描器之王” 有for Unix和for Win的两种版本 需要Libpcap库和Winpcap库的支持 能够进行普通扫描、各种高级扫描和操作系统类型鉴别等 使用 -sS：半开式扫描 -sT:普通connect()扫描 -sU：udp端口扫描 -O：操作系统鉴别 -P0：强