1、高中版 第三部分,第三课 科学上网 提防网络入侵,案例一:李俊于2006年10月开始制作计算机病毒“熊猫烧香”,12月初,李俊在互联网上叫卖该病毒,同时也请王磊及其他网友帮助出售该病毒。随着病毒的出售和赠送给网友,“熊猫烧香”病毒迅速在互联网上传播。 从2006年12月至2007年2月,李俊共获利145149元,王磊共获利8万元,张顺共获利1.2万元。由于“熊猫烧香”病毒的传播感染,影响了山西、河北、辽宁、广东、湖北、北京、上海、天津等省市的众多单位和个人的计算机系统的正常运行。2007年2月2日,李俊将其网站关闭,之后再未开启该网站。2007年2月4日、5日、7日被告人李俊、王磊、张顺、雷磊
2、分别被仙桃市公安局抓获归案。李俊、王磊、张顺归案后退出所得全部赃款。李俊交出“熊猫烧香”病毒专杀工具。思考:对这样事情你有怎样的看法?李俊的做法你认同吗?你觉得他利用这样的渠道获利合适吗?,案例二:,美国白宫工作人员 案发日期:7月29日 国 家:美国 类 别:政府 攻击性质:黑客行为主义 攻击方式:账户劫持 攻 击 者:叙利亚电子军 案件描述:叙利亚电子军获取了美国白宫三个工作人员的官方twitter帐号,并且利用这些帐号进一步钓鱼攻击其他的员工。思考:网络入侵会带来多大的风险与影响?你还知道类似的案例吗?,随着网络的迅速扩张和电子商务的兴起,越来越多的企业以及政府部门依靠网络传递信息。然而
3、网络的开放性与共享性使它很容易受到外界的攻击与破坏,信息的安全保密性受到了严重的影影响。 以此同时,网上黑客的攻击活动也逐渐猖獗。人们发现保护资源和数据的安全,让其免受来自恶意入侵者的威胁是件非常重要的事。系统入侵要留意,换句话就是说要加强电脑自身安全系数,一般情况下系统入侵,都是带有一定的目的性,个人的电脑可能不会遭遇到这种情况,或者说遭遇这种情况比较小,但是各个事业单位、企业、政府部门就不一样了,他们的电脑里有很多重要的信息,军事部门更有一些国家机密的信息。,大家已经是高中生,人生观与价值观也逐步形成,未来的互联网肯定要比现在更普及,出现问题的几率也会越来越多,我们学习的目的当然不是像专家
4、一样,但是要了解的关于系统入侵常见的手段以及如何防范要有一定的了解与认识。 在这里介绍一个大家都很熟悉的名词黑客。泛指擅长IT技术的人群、计算机科学家。Hacker们精通各种编程语言和各类操作系统,伴随着计算机和网络的发展而产生成长。,一.网络入侵方法,1.口令入侵 所谓口令入侵,就是指用一些软件解开已经得到但被人加密的口令文档,不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传,使得入侵电脑网络系统有时变得相当简单,一般不需要很深入了解系统的内部结构,是初学者的好方法。,2.特洛伊木马术
5、说到特洛伊木马,只要知道这个故事的人就不难理解,它最典型的做法可能就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中,这时合法用户的程序代码已被该变。一旦用户触发该程序,那么依附在内的黑客指令代码同时被激活,这些代码往往能完成黑客指定的任务。由于这种入侵法需要黑客有很好的编程经验,且要更改代码、要一定的权限,所以较难掌握。但正因为它的复杂性,一般的系统管理员很难发现。,主要网络入侵技术分析 (1)木马入侵分析 特洛伊木马是Trojan的中译,是借自”木马屠城记”中那只木马的名字。现今计算机术语借用其名,意思是“一经进入,后患无穷”特洛伊木马原则上它和 Laplink等程序
6、一样,只是一种远程管理工具。 而且本身不带伤害性,也没有感染力,但是却给入侵者提供了对主机的完全控制的权限,可以为所欲为。特洛伊木马驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作,其实质只是一个通过端口进行通信的网络客户机用及务程序。对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机。,木马程序的服务器端,为了避免被发现,多数都要进行隐藏处理,隐藏技术目前可分两种一种是作为服务和作为线程融入内核把木马服务器端的程序注册为一个服务,这样木马就会从任务列表中消失了另一种是木马作为一个线程,一个其它应用程序的线程,把自身注入
7、其它应用程序的地址空间增加查杀的难度,黑客还是用种种手段躲避了这种侦察,一种是合并端口法,使用特殊的手段,在一个端口上同时绑定两个TCP或者UDP 连接,目前出现了使用类似方法的程序,通过把自己的木马端口绑定于特定的服务端口之上。,当木马入侵成功时,会在主机上产生一些入侵特征,对木马入侵的分析,主要从以下几个特征入手:, 主机注册表的改动,一般的木马都会在主机的注册表中写入特定的信息。 特定文件的出现不同的木马程序在文件系统中会存在相应的特征文件。 系统中新增服务的监测。 系统中系统文件的修改信息新文件,或者文件修改的日期,大小变化等。 陌生端口的开放。 对开放端口的监听进程的变更信息。 异常
8、连接的出现。 主机网络流量的异常。 进程列表中的可疑进程。,(2)DOS攻击分析 拒绝服务攻击是目前黑客广泛使用的一种攻击手段,利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应,从而导致宕机或网络瘫痪。分布式拒绝服务 DDOS,攻击手段是在传统的 DOS攻击基础之上产生的一类攻击方式,-就是利用更多的傀儡机来发起进攻,以创造比从前更大的规模来进攻受害者,攻击按原理分为两类一类是协议攻击,量正常的联机消耗被害目标的资源,由于黑客会准备多台主机发起攻击目标,只要单位时间内攻击方发出的网络流量高于目标所能处理速度“即可消耗掉目标的处理能力”而使正常的使用者无法使用服务,攻击的
9、特征主要表现为,一段时间内发往某主机或从主机发出的数据流量异常 特定类型的数据流量或者端口流量异常增加 发往特定主机的数据流量产生数次大的起伏 被攻击主机上有大量等待的连接 网络中充斥着大量的无用的数据包,3.监听法 这是一个很实用但风险也很大的黑客入侵方法,但还是有很多入侵系统的黑客采用此类方法,正所谓艺高人胆大。网络节点或工作站之间的交流是通过信息流的转送得以实现,而当在一个没有集线器的网络中,数据的传输并没有指明特定的方向,这时每一个网络节点或工作站都是一个接口。这就好比某一节点说:“嗨!你们中有谁是我要发信息的工作站。” 此时,所有的系统接口都收到了这个信息,一旦某个工作站说:“嗨!那
10、是我,请把数据传过来。”联接就马上完成。有一种叫sniffer的软件,它可以截获口令,可以截获秘密的信息,可以用来攻击相邻的网络。,二、入侵网络的步骤,1. 攻击的准备阶段 首先需要说明的是,入侵者的来源有两种,一种是内部人员利用自己的工作机会和权限来获取不应该获取的权限而进行的攻击。另一种是外部人员入侵,包括远程入侵、网络节点接入入侵等。本节主要讨论远程攻击。进行网络攻击是一件系统性很强的工作,其主要工作流程是:收集情报,远程攻击,远程登录,取得普通用户的权限,取得超级用户的权限,留下后门,清除日志。,(1)确定攻击的目的 攻击者在进行一次完整的攻击之前首先要确定攻击要达到什么样的目的,即给
11、对方造成什么样的后果。常见的攻击目的有破坏型和入侵型两种。破坏型攻击指的只是破坏攻击目标,使其不能正常工作,而不能随意控制目标的系统的运行。要达到破坏型攻击的目的,主要的手段是拒绝服务攻击(Denial Of Service)。另一类常见的攻击目的是入侵攻击目标,这种攻击是要获得一定的权限来达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍,威胁性也更大。因为黑客一旦获取攻击目标的管理员权限就可以对此服务器做任意动作,包括破坏性的攻击。此类攻击一般也是利用服务器操作系统、应用软件或者网络协议存在的漏洞进行的。当然还有另一种造成此种攻击的原因就是密码泄露,攻击者靠猜测或者穷举法来得到服务
12、器用户的密码,然后就可以用和真正的管理员一样对服务器进行访问。,(2)信息收集 除了确定攻击目的之外,攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系统类型及版本,目标提供哪些服务,各服务器程序的类型与版本以及相关的社会信息。要攻击一台机器,首先要确定它上面正在运行的操作系统是什么,因为对于不同类型的操作系统,其上的系统漏洞有很大区别,所以攻击的方法也完全不同,甚至同一种操作系统的不同版本的系统漏洞也是不一样的。要确定一台服务器的操作系统一般是靠经验,有些服务器的某些服务显示信息会泄露其操作系统。,2. 攻击的实施阶段 (1)获得权限 当收集到足够的信息之后,
13、攻击者就要开始实施攻击行动了。作为破坏性攻击,只需利用工具发动攻击即可。而作为入侵性攻击,往往要利用收集到的信息,找到其系统漏洞,然后利用该漏洞获取一定的权限。有时获得了一般用户的权限就足以达到修改主页等目的了,但作为一次完整的攻击是要获得系统最高权限的,这不仅是为了达到一定的目的,更重要的是证明攻击者的能力,这也符合黑客的追求。能够被攻击者所利用的漏洞不仅包括系统软件设计上的安全漏洞,也包括由于管理配置不当而造成的漏洞。,(2)权限的扩大 只有获得了最高的管理员权限之后,才可以做诸如网络监听、打扫痕迹之类的事情。要完成权限的扩大,不但可以利用已获得的权限在系统上执行利用本地漏洞的程序,还可以放一些木马之类的欺骗程序来套取管理员密码,这种木马是放在本地套取最高权限用的,而不能进行远程控制。,(3)隐藏踪迹 攻击者在获得系统最高管理员权限之后就可以随意修改系统上的文件了(只对常规 Unix系统而言),包括日志文件,所以一般黑客想要隐藏自己的踪迹的话,就会对日志进行修改。最简单的方法当然就是删除日志文件了,但这样做虽然避免了系统管理员根据IP追踪到自己,但也明确无误地告诉了管理员,系统己经被人侵了。所以最常用的办法是只对日志文件中有关自己的那一部分做修改。关于修改方法的具体细节根据不同的操作系统有所区别,网络上有许多此类功能的程序。,
