计算机网络安全技术讲座

计算机网络平安技术计算机网络平安技术讲讲 座座江苏技术师范学院江苏技术师范学院计算机科学与工程学院计算机科学与工程学院潘潘 瑜瑜Mail:ypanjstu.edu 2006年年7月月1网络平安管理员必须网络平安管理员必须十分了解网络面临的十分了解网络面临的威胁和可能受到的攻威胁和可能受到的攻击击知己知彼、百战百胜知己知彼、百战百胜2006年年7月月2vv背景介绍背景介绍背景介绍背景介绍vv关于黑客关于黑客关于黑客关于黑客vv普通用户普通用户普通用户普通用户可能受到的可能受到的可能受到的可能受到的攻击攻击攻击攻击vv网络或主机网络或主机网络或主机网络或主机可能受到的可能受到的可能受到的可能受到的攻击攻击攻击攻击vv常见问题常见问题常见问题常见问题vv结束语结束语结束语结束语内容提要内容提要2006年年7月月3报告内容提要报告内容提要 背景介绍背景介绍2006年年7月月4网络中存在的平安威胁网络中存在的平安威胁 网络网络内部、外部泄密内部、外部泄密拒绝效劳攻击拒绝效劳攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丧失、信息丧失、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫2006年年7月月5这就是黑客？2006年年7月月6什么是黑客什么是黑客？黑客黑客黑客黑客hackerhackerhackerhacker是那些检查网络系统完整性和平安性的是那些检查网络系统完整性和平安性的是那些检查网络系统完整性和平安性的是那些检查网络系统完整性和平安性的人，他们通常非常精通计算机硬件和软件知识，并有能力通人，他们通常非常精通计算机硬件和软件知识，并有能力通人，他们通常非常精通计算机硬件和软件知识，并有能力通人，他们通常非常精通计算机硬件和软件知识，并有能力通过创新的方法剖析系统。过创新的方法剖析系统。过创新的方法剖析系统。过创新的方法剖析系统。“黑客通常会去寻找网络中漏洞，但是往往并不去破坏计黑客通常会去寻找网络中漏洞，但是往往并不去破坏计黑客通常会去寻找网络中漏洞，但是往往并不去破坏计黑客通常会去寻找网络中漏洞，但是往往并不去破坏计算机系统。算机系统。算机系统。算机系统。正是因为黑客的存在，人们才会不断了解计算机系统中存在正是因为黑客的存在，人们才会不断了解计算机系统中存在正是因为黑客的存在，人们才会不断了解计算机系统中存在正是因为黑客的存在，人们才会不断了解计算机系统中存在的平安问题。的平安问题。的平安问题。的平安问题。入侵者入侵者入侵者入侵者CrackerCrackerCrackerCracker只不过是那些利用网络漏洞破坏网络的人，只不过是那些利用网络漏洞破坏网络的人，只不过是那些利用网络漏洞破坏网络的人，只不过是那些利用网络漏洞破坏网络的人，他们往往会通过计算机系统漏洞来入侵，他们也具备广泛的他们往往会通过计算机系统漏洞来入侵，他们也具备广泛的他们往往会通过计算机系统漏洞来入侵，他们也具备广泛的他们往往会通过计算机系统漏洞来入侵，他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。真正的黑电脑知识，但与黑客不同的是他们以破坏为目的。真正的黑电脑知识，但与黑客不同的是他们以破坏为目的。真正的黑电脑知识，但与黑客不同的是他们以破坏为目的。真正的黑客应该是一个负责任的人，他们认为破坏计算机系统是不正客应该是一个负责任的人，他们认为破坏计算机系统是不正客应该是一个负责任的人，他们认为破坏计算机系统是不正客应该是一个负责任的人，他们认为破坏计算机系统是不正当的。当的。当的。当的。现在现在现在现在hackerhackerhackerhacker和和和和CrackerCrackerCrackerCracker已经混为一谈，人们通常将入侵计算机已经混为一谈，人们通常将入侵计算机已经混为一谈，人们通常将入侵计算机已经混为一谈，人们通常将入侵计算机系统的人统称为黑客。系统的人统称为黑客。系统的人统称为黑客。系统的人统称为黑客。2006年年7月月7黑客们通常遵守的标准黑客们通常遵守的标准1 1不恶意破坏任何系统不恶意破坏任何系统,这样做只会带来麻烦。恶意破坏它人的这样做只会带来麻烦。恶意破坏它人的软件或系统将导致法律刑责软件或系统将导致法律刑责,如果只是使用别人的电脑如果只是使用别人的电脑,那仅为那仅为非法使用非法使用2 2绝不修改任何系统文件绝不修改任何系统文件,除非认为有绝对把握的文件，或者有除非认为有绝对把握的文件，或者有绝对的必要。绝对的必要。3 33 3 不要将已破解的任何信息与人分享，除非此人可以信赖。不要将已破解的任何信息与人分享，除非此人可以信赖。4 44 4 当发送相关信息到当发送相关信息到BBSBBS时，对于当前所做的黑事尽可能说的时，对于当前所做的黑事尽可能说的模糊一些，以防止模糊一些，以防止BBSBBS受到警告。受到警告。5 55 5 在在BBSBBS上上PostPost文章的时候不要使用真名和真实的文章的时候不要使用真名和真实的 号码。号码。2006年年7月月8黑客们通常遵守的标准黑客们通常遵守的标准6 6 如如果果黑黑了了某某个个系系统统，绝绝对对不不要要留留下下任任何何的的蛛蛛丝丝马马迹迹。绝绝对对不不要要留留下下大大名名或或者者是是绰绰号号之之类类的的，这这时时由由于于成成功功的的兴兴奋奋所所导导致致的的个个人人过过度度表表现现欲欲望望会会害死黑客的。害死黑客的。7 7 不要侵入或破坏政府机关的主机。不要侵入或破坏政府机关的主机。8 8 不在家庭不在家庭 中谈论你中谈论你HackHack的任何事情。的任何事情。9 9 将黑客资料放在平安的地方。将黑客资料放在平安的地方。10 10 想想真真正正成成为为黑黑客客，你你必必须须真真枪枪实实弹弹去去做做黑黑客客应应该该做做的的事事情情。不不能能仅仅仅仅靠靠坐坐在在家家里里读读些些黑黑客客之之类类的的文文章章或或者者从从BBSBBS中中扒扒点点东东西西，就就能能成成为为黑黑客客，这这不不是是黑黑客客的的真真正正含含义义。目目前前黑黑客客在在信信息息平平安安范范畴畴内内特特指指：对对电电脑脑系系统统的的非法侵入者。非法侵入者。2006年年7月月9黑客入侵和破坏的危险黑客入侵和破坏的危险黑客在网上的攻击活动每年以十倍速增长。黑客在网上的攻击活动每年以十倍速增长。修改网页进行恶作剧、窃取网上信息兴风作浪。修改网页进行恶作剧、窃取网上信息兴风作浪。非法进入主机破坏程序、阻塞用户、窃取密码。非法进入主机破坏程序、阻塞用户、窃取密码。串入银行网络转移金钱、进行电子邮件骚扰。串入银行网络转移金钱、进行电子邮件骚扰。黑客可能会试图攻击网络设备，使网络设备瘫痪。黑客可能会试图攻击网络设备，使网络设备瘫痪。美国每年因黑客美国每年因黑客而造成的经济损而造成的经济损失近百亿美元失近百亿美元他们利用网络平安的脆弱性，无孔不入！他们利用网络平安的脆弱性，无孔不入！2006年年7月月10我国信息平安事件统计我国信息平安事件统计年份年份事件报道数目事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756总数总数47711CERT有关平安事件的统计有关平安事件的统计 2001526582002（上）431362006年年7月月1111/29/96CIA HOMEPAGEDOJ HOMEPAGEUSAFHOMEPAGE被黑的被黑的WEBWEB页面举例页面举例2006年年7月月12因特网上常见的黑客站点因特网上常见的黑客站点INTERNET INTERNET 上有超过上有超过30,000 30,000 个黑客站点：个黑客站点：黑客咨询站黑客咨询站 黑暗魔域黑暗魔域 黑客专家黑客专家 黑客工作室黑客工作室 中国红客中国红客 黑客俱乐部黑客俱乐部 来自于黑客站点主页上的一些目录来自于黑客站点主页上的一些目录兴旺的一伙：为了兴趣和利益兴旺的一伙：为了兴趣和利益击破隐藏的口令保护击破隐藏的口令保护发送发送EMAILEMAIL的漏洞列表的漏洞列表如何成为一个如何成为一个UNIXUNIX黑客黑客你曾经想成为特权用户吗？你曾经想成为特权用户吗？怎样隐藏你的痕迹或破坏怎样隐藏你的痕迹或破坏G.Mark Hardy2006年年7月月13哪些人会成为黑客？哪些人会成为黑客？黑客的态度黑客技术与网络平安书黑客的态度黑客技术与网络平安书做一名黑客有很多乐趣，但却是些要费很多做一名黑客有很多乐趣，但却是些要费很多气力方能得到的乐趣。气力方能得到的乐趣。这些努力需要动这些努力需要动力。力。一个问题不应该被解决两次共享信息一个问题不应该被解决两次共享信息黑客们应该从来不会被愚蠢的重复性劳动所黑客们应该从来不会被愚蠢的重复性劳动所困扰困扰黑客们是天生的反权威主义者。黑客们是天生的反权威主义者。态度不能替代能力态度不能替代能力2006年年7月月14哪些人会成为黑客？哪些人会成为黑客？对操作系统有深入的研究对操作系统有深入的研究对操作系统有深入的研究对操作系统有深入的研究 得到一个开放源码的得到一个开放源码的得到一个开放源码的得到一个开放源码的UnixUnixUnixUnix并学会使用、运行它并学会使用、运行它并学会使用、运行它并学会使用、运行它 熟悉网络协议，特别是精通熟悉网络协议，特别是精通熟悉网络协议，特别是精通熟悉网络协议，特别是精通TCP/IPTCP/IPTCP/IPTCP/IP协议协议协议协议 学习如何编程学习如何编程学习如何编程学习如何编程 Python,C,Perl,and LISPPython,C,Perl,and LISPPython,C,Perl,and LISPPython,C,Perl,and LISP 学会如何使用学会如何使用学会如何使用学会如何使用WWWWWWWWWWWW和写和写和写和写HTMLHTMLHTMLHTML 收集相关系统漏洞，对漏洞的分析能帮助发现新漏洞收集相关系统漏洞，对漏洞的分析能帮助发现新漏洞收集相关系统漏洞，对漏洞的分析能帮助发现新漏洞收集相关系统漏洞，对漏洞的分析能帮助发现新漏洞和提高防护能力和提高防护能力和提高防护能力和提高防护能力2006年年7月月15报告内容提要报告内容提要普通用户可能普通用户可能受到的攻击受到的攻击2006年年7月月16普通用户可能受到的攻击普通用户可能受到的攻击侵入系统侵入系统侵入系统侵入系统获取机密信息获取机密信息获取机密信息获取机密信息计算机病毒计算机病毒计算机病毒计算机病毒逻辑炸弹逻辑炸弹逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马特洛伊木马特洛伊木马网络攻击网络攻击网络攻击网络攻击平安防范平安防范平安防范平安防范2006年年7月月17侵入系统侵入系统 侵入侵入侵入侵入Win9XWin9X系统系统系统系统 新建用户新建用户新建用户新建用户 取消用户登录取消用户登录取消用户登录取消用户登录 文件共享文件共享文件共享文件共享 网络邻居网络邻居网络邻居网络邻居 运行命令：运行命令：运行命令：运行命令：202.112.10.117c$202.112.10.117c$侵入侵入侵入侵入windows2000/windows XPwindows2000/windows XP 输入法输入法输入法输入法 GuestGuest用户用户用户用户 文件共享文件共享文件共享文件共享 突破屏幕保护突破屏幕保护突破屏幕保护突破屏幕保护2006年年7月月18获取机密信息获取机密信息 文件拷贝文件拷贝文件拷贝文件拷贝 用户密码窃取用户密码窃取用户密码窃取用户密码窃取 安装专用软件获取计算机登录密码：安装专用软件获取计算机登录密码：安装专用软件获取计算机登录密码：安装专用软件获取计算机登录密码：CmosCmos密码、密码、密码、密码、WindowsWindows密码、屏密码、屏密码、屏密码、屏幕保护口令密码幕保护口令密码幕保护口令密码幕保护口令密码 如如如如CmosPwdCmosPwd、awardaward、ScreenScreen、ntkdntkd、pwltoolpwltool、openpassopenpass等等等等 加密文件的破译加密文件的破译加密文件的破译加密文件的破译 如如如如ZipPassZipPass、CrackArjCrackArj、RecoversRecovers、Wwprt11dWwprt11d等等等等 安装木马，记录键盘信息等，如安装木马，记录键盘信息等，如安装木马，记录键盘信息等，如安装木马，记录键盘信息等，如KeyKeyKeyKey、HookDumpHookDump 破坏计算机文件破坏计算机文件破坏计算机文件破坏计算机文件2006年年7月月19计算机病毒计算机病毒破坏计算机正常运行的程序破坏计算机正常运行的程序破坏计算机正常运行的程序破坏计算机正常运行的程序具有传染性、隐蔽性、潜伏性、破坏性等特点具有传染性、隐蔽性、潜伏性、破坏性等特点具有传染性、隐蔽性、潜伏性、破坏性等特点具有传染性、隐蔽性、潜伏性、破坏性等特点包括引导型、文件型、和混合型包括引导型、文件型、和混合型包括引导型、文件型、和混合型包括引导型、文件型、和混合型2006年年7月月20逻辑炸弹逻辑炸弹 逻辑炸弹是一段潜伏的程序，它以某种逻辑状态逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。只有当系统状态满足触发条件时才被激活。2006年年7月月21特洛伊木马特洛伊木马木马的工作原理木马的工作原理木马的工作原理木马的工作原理;木马的分类：木马的分类：木马的分类：木马的分类：远程访问型；远程访问型；远程访问型；远程访问型；密码发送型；密码发送型；密码发送型；密码发送型；键盘记录型；键盘记录型；键盘记录型；键盘记录型；毁坏型。毁坏型。毁坏型。毁坏型。常见的几种木马：常见的几种木马：常见的几种木马：常见的几种木马：BO2000BO2000BO2000BO2000；冰河；冰河；冰河；冰河；SubSevenSubSevenSubSevenSubSeven；2006年年7月月22木马常用欺骗法木马常用欺骗法 捆绑欺骗：如把木马效劳端和某个游戏捆绑成一个文件捆绑欺骗：如把木马效劳端和某个游戏捆绑成一个文件捆绑欺骗：如把木马效劳端和某个游戏捆绑成一个文件捆绑欺骗：如把木马效劳端和某个游戏捆绑成一个文件在邮件中发给别人在邮件中发给别人在邮件中发给别人在邮件中发给别人 ；危险下载点：攻破一些下载站点后，下载几个下载量大危险下载点：攻破一些下载站点后，下载几个下载量大危险下载点：攻破一些下载站点后，下载几个下载量大危险下载点：攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载的软件，捆绑上木马，再悄悄放回去让别人下载的软件，捆绑上木马，再悄悄放回去让别人下载的软件，捆绑上木马，再悄悄放回去让别人下载 ；或直；或直；或直；或直接将木马改名上载到接将木马改名上载到接将木马改名上载到接将木马改名上载到FTPFTP网站上，等待别人下载；网站上，等待别人下载；网站上，等待别人下载；网站上，等待别人下载；文件夹惯性点击：把木马文件伪装成文件夹图标后，放文件夹惯性点击：把木马文件伪装成文件夹图标后，放文件夹惯性点击：把木马文件伪装成文件夹图标后，放文件夹惯性点击：把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹；在一个文件夹中，然后在外面再套三四个空文件夹；在一个文件夹中，然后在外面再套三四个空文件夹；在一个文件夹中，然后在外面再套三四个空文件夹；zipzip伪装：将一个木马和一个损坏的伪装：将一个木马和一个损坏的伪装：将一个木马和一个损坏的伪装：将一个木马和一个损坏的zipzip包捆绑在一起，然包捆绑在一起，然包捆绑在一起，然包捆绑在一起，然后指定捆绑后的文件为后指定捆绑后的文件为后指定捆绑后的文件为后指定捆绑后的文件为zipzip图标；图标；图标；图标；网页木马法网页木马法网页木马法网页木马法 2006年年7月月23常见木马程序常见木马程序Inet20：可以发送密码出去的木马，启动位置HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunInetHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSendIndoc：可把对方的机器信息，OUTLOOK，ICQ，硬盘，以及网络消息发送出去的木马，启动位置HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnceMsgsrv16=Msgsrv16HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceMsgsrv16=Msgsrv16HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMsgsrv16=Msgsrv16HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunMsgsrv16=Msgsrv16HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesMsgsrv16=Msgsrv16Fatalerr：骗取别人密码的东西，出现错误的提示窗口，让你从新输入密码，然后将密码保存到c:os32779.sysEps：偷别人E-MAIL密码的木马。删除方法Winstart.bat:cttynul2006年年7月月24冰河介绍冰河介绍 国内黑客组织编写；国内黑客组织编写；国内黑客组织编写；国内黑客组织编写；分为效劳器端和客户端：分为效劳器端和客户端：分为效劳器端和客户端：分为效劳器端和客户端：G_Server.exeG_Server.exeG_Server.exeG_Server.exe和和和和G_Client.exeG_Client.exeG_Client.exeG_Client.exe 功能齐全：功能齐全：功能齐全：功能齐全：跟踪屏幕变化；跟踪屏幕变化；跟踪屏幕变化；跟踪屏幕变化；记录各种口令；记录各种口令；记录各种口令；记录各种口令；获取系统信息；获取系统信息；获取系统信息；获取系统信息；控制系统；控制系统；控制系统；控制系统；注册表操作；注册表操作；注册表操作；注册表操作；文件操作；文件操作；文件操作；文件操作；点对点通信点对点通信点对点通信点对点通信 缺省使用缺省使用缺省使用缺省使用7626762676267626端口端口端口端口2006年年7月月25冰河介绍冰河介绍2006年年7月月26冰河介绍冰河介绍启动冰河启动冰河2006年年7月月27木马的防范木马的防范 木马首先会隐藏自己：木马首先会隐藏自己：木马首先会隐藏自己：木马首先会隐藏自己：在任务栏中隐藏在任务栏中隐藏在任务栏中隐藏在任务栏中隐藏 ；在任务管理器中隐形在任务管理器中隐形在任务管理器中隐形在任务管理器中隐形 ；悄没声息地启动悄没声息地启动悄没声息地启动悄没声息地启动 ：如启动组、：如启动组、：如启动组、：如启动组、win.iniwin.iniwin.iniwin.ini、system.inisystem.inisystem.inisystem.ini、注册表等；、注册表等；、注册表等；、注册表等；注意自己的端口；注意自己的端口；注意自己的端口；注意自己的端口；伪装成驱动程序及动态链接库：如伪装成驱动程序及动态链接库：如伪装成驱动程序及动态链接库：如伪装成驱动程序及动态链接库：如Kernl32.dllKernl32.dllKernl32.dllKernl32.dll，sysexlpr.exe sysexlpr.exe sysexlpr.exe sysexlpr.exe 等。等。等。等。防范：防范：防范：防范：端口扫描；端口扫描；端口扫描；端口扫描；查看连接；查看连接；查看连接；查看连接；检查注册表检查注册表检查注册表检查注册表 ；查找文件查找文件查找文件查找文件 ；杀病毒软件或木马去除软件。杀病毒软件或木马去除软件。杀病毒软件或木马去除软件。杀病毒软件或木马去除软件。2006年年7月月28流行木马大去除流行木马大去除 BO2000：查看注册表HEKY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicse中是否存在Umgr32.exe的键值。有那么将其删除。重新启动电脑，并将WindowsSystem中的Umgr32.exe删除。NetSpy：查看注册表HEKY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun中是否有“Spynotify.exe和“Netspy.exe。有那么将其删除。重新启动电脑后将WindowsSystem中的相应文件删除。Happy99：此程序运行时，会在翻开一个名为“Happynewyear1999的窗口，并出现美丽的烟花，它会复制到Windows主文件夹的“System目录下，更名为Ska.exe，并创立文件Ska.dll，同时修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。检查注册HEKY-LOCAL-MACHINESoftwreMicrosoftWindowsCurrentVersionRunOnce中有无键值Ska.exe。有那么将其删除。删除WindowsSystem中的Ska.exe和Ska.dll两个文件，将Wsock32.ska更名为Wscok32.dll。NetBus：在MS-DOS方式下用“Netstat-a命令查看12345端口是否开启；在注册表相应位置中是否有可疑文件。去除注册表中的NetBus的主键。重新启动电脑，删除可执行文件即可。2006年年7月月29流行木马大去除流行木马大去除Asylum：这个木马程序是修改了system.ini、win.ini两个文件；查一下system.ini文件下面的BOOT项，看看“shell=explorer.exe，如不是那么删除它，用回上面的设置，并记下原来的文件名以便回过头去在纯DOS下删除它。再翻开win.ini文件，看在windows项下的“run=是不是有什么文件名，一般情况下是没有任何加载值的，如有记下它以便回过头过在纯DOS下删除相应的文件名。冰河：用纯DOS启动进入系统，删除你安装的windows下的systemkernel32.exe和systemsysexplr.exe两个木马文件删除后进入windows系统进入注册表中，找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices两项，然后查找kernel32.exe和sysexplr.exe两个键值。再找到HKEY_CLASSES_ROOTtxtfileopencommand,看在键值中是不是已改为“sysexplr.exe%1，如是改回notepad.exe%12006年年7月月30流行木马大去除流行木马大去除GOP：GOP木马会在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键下添加一个键值让自己自动运行。首先要禁止该项。点击“开始“运行，输入“msinfo32，查看其中的“软件环境“正在运行的任务，如果发现哪个工程只有程序名和路径，而没有版本、厂商和说明，就应该提高警惕了。一般说来，GOP木马在这里显示的版本为“不能用。运行regedit，进入到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键，记住刚刚那个身份不明的运行工程，找到后删除该键值。然后关闭计算机，稍候一下启动计算机。还记得刚刚查看到的工程路径吧？那就是木马的程序的藏身之处！删除木马程序本身。2006年年7月月31恶意代码恶意代码 聊天室或浏览网页时发生，主要是聊天室或浏览网页时发生，主要是聊天室或浏览网页时发生，主要是聊天室或浏览网页时发生，主要是ScriptScript代码代码代码代码 默认主页被修改默认主页被修改默认主页被修改默认主页被修改 IEIE标题栏被修改标题栏被修改标题栏被修改标题栏被修改 开机时出现提示框开机时出现提示框开机时出现提示框开机时出现提示框 IEIE地址栏下多出了文字地址栏下多出了文字地址栏下多出了文字地址栏下多出了文字 在注在注在注在注 册表中对册表中对册表中对册表中对IEIE相关的注册表项如相关的注册表项如相关的注册表项如相关的注册表项如 默认主页等修改无效默认主页等修改无效默认主页等修改无效默认主页等修改无效 Internet ExploerInternet Exploer中点击右键，菜单中出现非法站点的链接中点击右键，菜单中出现非法站点的链接中点击右键，菜单中出现非法站点的链接中点击右键，菜单中出现非法站点的链接 修改了操作系统修改了操作系统修改了操作系统修改了操作系统 实例：实例：实例：实例：img src=“javascript:n=1;do 令浏览器令浏览器令浏览器令浏览器端翻开无数个窗口。预防：关闭端翻开无数个窗口。预防：关闭端翻开无数个窗口。预防：关闭端翻开无数个窗口。预防：关闭javajava HtmlHtml页面格式化客户端硬盘等。页面格式化客户端硬盘等。页面格式化客户端硬盘等。页面格式化客户端硬盘等。HtmlHtml翻开本地一个超长文件名所指的文件，致使翻开本地一个超长文件名所指的文件，致使翻开本地一个超长文件名所指的文件，致使翻开本地一个超长文件名所指的文件，致使WindowsWindows死机死机死机死机2006年年7月月32网络攻击网络攻击拒绝效劳型炸弹拒绝效劳型炸弹OOBOOB攻击攻击IGMPIGMP炸弹炸弹2006年年7月月33OOB攻击攻击OOB(Out Of Band)OOB(Out Of Band)，是，是TCP/IPTCP/IP的一种的一种传输模式传输模式对对Win95/WinNt4.0Win95/WinNt4.0以前的版本起作用以前的版本起作用向向139139端口发送端口发送0 0字节的数据包，系统字节的数据包，系统会尽力恢复该数据包，导致系统资源会尽力恢复该数据包，导致系统资源费尽费尽常见工具常见工具WinNukeWinNuke、VOOBVOOB、IPHackerIPHacker等等2006年年7月月34OOB攻击攻击WinNukeVOOB2006年年7月月35IGMP炸弹炸弹IGMPIGMP是一种类似于是一种类似于ICMPICMP的协议，尚处于试的协议，尚处于试验阶段；验阶段；系统收到畸形的系统收到畸形的IGMPIGMP包时，会出现蓝屏、包时，会出现蓝屏、死机；死机；如如:NewIgmp:NewIgmp、Ping-gPing-g、IcmpFlooderIcmpFlooder等；等；防范：可以使用个人防火墙。防范：可以使用个人防火墙。2006年年7月月36IPHacker启动启动IpHacker2006年年7月月37电子邮件炸弹电子邮件炸弹发送地址不详、数量巨大、容量庞大、充满发送地址不详、数量巨大、容量庞大、充满发送地址不详、数量巨大、容量庞大、充满发送地址不详、数量巨大、容量庞大、充满乱码或脏话的恶意邮件，即垃圾邮件；乱码或脏话的恶意邮件，即垃圾邮件；乱码或脏话的恶意邮件，即垃圾邮件；乱码或脏话的恶意邮件，即垃圾邮件；如如如如KaBoom!KaBoom!、HakTekHakTek等等等等2006年年7月月38KaBoom2006年年7月月39黑客是否光临过你的电脑黑客是否光临过你的电脑计算机有时死机，有时重新启动；计算机有时死机，有时重新启动；在没有什么特殊操作时，却拼命读写硬盘；在没有什么特殊操作时，却拼命读写硬盘；莫名其妙的对软驱进行操作；莫名其妙的对软驱进行操作；没有运行大程序，但系统速度运行减慢；没有运行大程序，但系统速度运行减慢；系统运行了你没有运行的非必要的程序；系统运行了你没有运行的非必要的程序；出现了你想不到的网络连接。出现了你想不到的网络连接。2006年年7月月40检查系统日志检查系统日志Windows应用程序日志、平安日志、系统日志、应用程序日志、平安日志、系统日志、DNS日志默认位置：日志默认位置：%sys temroot%sys tem32config，默认文件大小，默认文件大小512KB平安日志文件：平安日志文件：%sys temroot%sys tem32configSecEvent.EVT系统日志文件：系统日志文件：%sys temroot%sys tem32configSysEvent.EVT应用程序日志文件：应用程序日志文件：%sys temroot%sys tem32configAppEvent.EVTInternet信息效劳信息效劳FTP日志默认位置：日志默认位置：%sys temroot%sys tem32logfilesmsftpsvc1，默认每天一个日志，默认每天一个日志Internet信息效劳信息效劳WWW日志默认位置：日志默认位置：%sys temroot%sys tem32logfilesw3svc1，默认每天一个日志，默认每天一个日志Scheduler效劳日志默认位置：效劳日志默认位置：%sys temroot%schedlgu.txt 2006年年7月月41检查系统日志检查系统日志Unix系统系统LOGLOG目录：目录：/usr/adm/usr/adm：早期版本的：早期版本的UNIXUNIX/var/adm/var/adm：新一点的版本使用这个位置：新一点的版本使用这个位置/var/log/var/log：一些版本的：一些版本的SolarisSolaris，LinuxBSDLinuxBSD，FreeBSDFreeBSD使用这个位置使用这个位置/etc/etc：大多数：大多数UNIXUNIX版本把版本把utmputmp放在此处，一些也把放在此处，一些也把wtmpwtmp放在这里，这也是放在这里，这也是syslog.confsyslog.conf的位的位置置下面的一些文件根据你所在的目录不同而不同：下面的一些文件根据你所在的目录不同而不同：acctacct或或pacctpacct：记录每个用户使用的命令记录；：记录每个用户使用的命令记录；access_logaccess_log：主要使用来效劳器运行了：主要使用来效劳器运行了NCSAHTTPDNCSAHTTPD，这记录文件会有什么站点连接过，这记录文件会有什么站点连接过 你的效你的效劳器；劳器；aculogaculog：保存着你拨出去的：保存着你拨出去的MODEMSMODEMS记录；记录；lastloglastlog：记录了用户最近的：记录了用户最近的LOGINLOGIN记录和每个用户的最初目的地，有时是最后不成功记录和每个用户的最初目的地，有时是最后不成功LOGINLOGIN的的记录；记录；loginlogloginlog：记录一些不正常的：记录一些不正常的LOGINLOGIN记录；记录；messagesmessages：记录输出到系统控制台的记录，另外的信息由：记录输出到系统控制台的记录，另外的信息由syslogsyslog来生成；来生成；securitysecurity：记录一些使用：记录一些使用UUCPUUCP系统企图进入限制范围的事例；系统企图进入限制范围的事例；sulogsulog：记录使用：记录使用susu命令的记录；命令的记录；utmputmp：记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不：记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不 断变化；断变化；utmpxutmpx：UTMPUTMP的扩展；的扩展；wtmpwtmp：记录用户登录和退出事件；：记录用户登录和退出事件；syslogsyslog：最重要的日志文件，使用：最重要的日志文件，使用syslogdsyslogd守护程序来获得日志信息；守护程序来获得日志信息；/dev/log/dev/log：一个：一个UNIXUNIX域套接字，接受在本地机器上运行的进程所产生的消息；域套接字，接受在本地机器上运行的进程所产生的消息；/dev/klog/dev/klog：一个从：一个从UNIXUNIX内核接受消息的设备；内核接受消息的设备；2006年年7月月42平安防范平安防范 为为为为win98win98加把锁加把锁加把锁加把锁 按照正常方式在按照正常方式在按照正常方式在按照正常方式在win98win98中添加一个用户名和密码；中添加一个用户名和密码；中添加一个用户名和密码；中添加一个用户名和密码；重新启动计算机重新启动计算机重新启动计算机重新启动计算机,在登录时按在登录时按在登录时按在登录时按escesc键，采用默认方式进入键，采用默认方式进入键，采用默认方式进入键，采用默认方式进入系统；系统；系统；系统；启动注册表管理程序；启动注册表管理程序；启动注册表管理程序；启动注册表管理程序；进入进入进入进入HKEY_LOCAL_MACHINESOFTWAREMicrosoftwinHKEY_LOCAL_MACHINESOFTWAREMicrosoftwindowscurrentversionpoliciesexplorerdowscurrentversionpoliciesexplorer 新建新建新建新建NoResttrictRunNoResttrictRun、NoDesktopNoDesktop、NoFindNoFind、NoSetFoldersNoSetFolders、NoRunNoRun、NoTaskbarNoTaskbar等六个等六个等六个等六个DWORDDWORD值，值，值，值，其值为其值为其值为其值为1 1；删除缺省用户开始菜单删除缺省用户开始菜单删除缺省用户开始菜单删除缺省用户开始菜单“程序菜单及程序菜单及程序菜单及程序菜单及“文档菜单所文档菜单所文档菜单所文档菜单所显示的所有内容；显示的所有内容；显示的所有内容；显示的所有内容；关闭注册表编辑器；关闭注册表编辑器；关闭注册表编辑器；关闭注册表编辑器；重启系统。重启系统。重启系统。重启系统。2006年年7月月43平安防范平安防范Windows 2000下修改注册表加强下修改注册表加强PC平安平安 设置生存时间设置生存时间位置：位置：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 值：值：DefaultTTL REG_DWORD 0-0 xff(0-255 十进制十进制,默认值默认值128)说明：指定传出说明：指定传出IP数据包中设置的默认生存时间数据包中设置的默认生存时间(TTL)值值.TTL决定了决定了IP数据数据包在到达目标前在网络中生存的最大时间。它实际上限定了包在到达目标前在网络中生存的最大时间。它实际上限定了IP数据包在丢数据包在丢弃前允许通过的路由器数量。有时利用此数值来探测远程主机操作系统。弃前允许通过的路由器数量。有时利用此数值来探测远程主机操作系统。防止防止ICMP重定向报文的攻击重定向报文的攻击Y_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0 x0(默认值为默认值为0 x1)说明：该参数控制说明：该参数控制Windows 2000是否会改变其路由表以响应网络设备是否会改变其路由表以响应网络设备(如路如路由器由器)发送给它发送给它 的的ICMP重定向消息，有时会被利用来干坏事重定向消息，有时会被利用来干坏事.Win2000中默中默认值为认值为1，表示响应，表示响应ICMP重定向报重定向报。2006年年7月月44平安防范平安防范 禁止响应禁止响应禁止响应禁止响应ICMPICMP路由通告报文路由通告报文路由通告报文路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface TcpipParametersInterfacesinterface PerformRouterDiscovery REG_DWORD 0 x0(PerformRouterDiscovery REG_DWORD 0 x0(默认值为默认值为默认值为默认值为0 x2)0 x2)说明：说明：说明：说明：“ICMP“ICMP路由公告功能可造成他人计算机的网络连接异常、路由公告功能可造成他人计算机的网络连接异常、路由公告功能可造成他人计算机的网络连接异常、路由公告功能可造成他人计算机的网络连接异常、数据被窃听、计算机被数据被窃听、计算机被数据被窃听、计算机被数据被窃听、计算机被 用于流量攻击等严重后果。此问题曾导致校用于流量攻击等严重后果。此问题曾导致校用于流量攻击等严重后果。此问题曾导致校用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积，长时间的网络异常。因此建议关闭响应园网某些局域网大面积，长时间的网络异常。因此建议关闭响应园网某些局域网大面积，长时间的网络异常。因此建议关闭响应园网某些局域网大面积，长时间的网络异常。因此建议关闭响应ICMPICMP路由通告报文。路由通告报文。路由通告报文。路由通告报文。Win2000Win2000中默认值为中默认值为中默认值为中默认值为2 2，表示当，表示当，表示当，表示当DHCPDHCP发送路发送路发送路发送路由器发现选项时启用。由器发现选项时启用。由器发现选项时启用。由器发现选项时启用。防止防止防止防止SYNSYN洪水攻击洪水攻击洪水攻击洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters TcpipParameters SynAttackProtect REG_DWORD 0 x2(SynAttackProtect REG_DWORD 0 x2(默认值为默认值为默认值为默认值为0 x0)0 x0)说明：说明：说明：说明：SYNSYN攻击保护包括减少攻击保护包括减少攻击保护包括减少攻击保护包括减少SYN-ACKSYN-ACK重新传输次数，重新传输次数，重新传输次数，重新传输次数，,以减少分以减少分以减少分以减少分配资源所保存的时配资源所保存的时配资源所保存的时配资源所保存的时 间。路由缓存项资源分配延迟，直到建立连接为间。路由缓存项资源分配延迟，直到建立连接为间。路由缓存项资源分配延迟，直到建立连接为间。路由缓存项资源分配延迟，直到建立连接为止。如果止。如果止。如果止。如果synattackprotect=2synattackprotect=2，那么，那么，那么，那么AFDAFD的连接指示一直延迟到三路的连接指示一直延迟到三路的连接指示一直延迟到三路的连接指示一直延迟到三路握手完成为止。注意，仅在握手完成为止。注意，仅在握手完成为止。注意，仅在握手完成为止。注意，仅在TcpMaxHalfOpenTcpMaxHalfOpen和和和和 TcpMaxHalfOpenRetriedTcpMaxHalfOpenRetried设置超出范围时，保护机制才会采取措施。设置超出范围时，保护机制才会采取措施。设置超出范围时，保护机制才会采取措施。设置超出范围时，保护机制才会采取措施。2006年年7月月45平安防范平安防范 禁止禁止禁止禁止C$C$、D$D$一类的缺省共享一类的缺省共享一类的缺省共享一类的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentConHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters trolSetServiceslanmanserverparameters AutoShareServerAutoShareServer、REG_DWORDREG_DWORD、0 x0 0 x0 禁止禁止禁止禁止ADMIN$ADMIN$缺省共享缺省共享缺省共享缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentConHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameterstrolSetServiceslanmanserverparameters AutoShareWksAutoShareWks、REG_DWORDREG_DWORD、0 x0 0 x0 限制限制限制限制IPC$IPC$缺省共享缺省共享缺省共享缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentConHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa trolSetControlLsa restrictanonymous REG_DWORD restrictanonymous REG_DWORD 0 x0 0 x0 缺省缺省缺省缺省 0 x1 0 x1 匿名用户无法列举本机用户列表匿名用户无法列举本机用户列表匿名用户无法列举本机用户列表匿名用户无法列举本机用户列表 0 x2 0 x2 匿名用户无法连接本机匿名用户无法连接本机匿名用户无法连接本机匿名用户无法连接本机IPC$IPC$共享共享共享共享 说明说明说明说明:不建议使用不建议使用不建议使用不建议使用2 2，否那么可能会造成你的一些效，否那么可能会造成你的一些效，否那么可能会造成你的一些效，否那么可能会造成你的一些效劳无法启动，如劳无法启动，如劳无法启动，如劳无法启动，如SQL Server SQL Server 2006年年7月月46平安防范平安防范 不支持不支持不支持不支持IGMPIGMP协议协议协议协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersvicesTcpipParameters IGMPLevel REG_DWORD 0 x0(IGMPLevel REG_DWORD 0 x0(默认值为默认值为默认值为默认值为0 x2)0 x2)说明：说明：说明：说明：Win9xWin9x下有个下有个下有个下有个bugbug，就是用可以用，就是用可以用，就是用可以用，就是用可以用IGMPIGMP使别人蓝屏，修使别人蓝屏，修使别人蓝屏，修使别人蓝屏，修改注册表可以修正这个改注册表可以修正这个改注册表可以修正这个改注册表可以修正这个 bug bug。Win2000Win2000虽然没这个虽然没这个虽然没这个虽然没这个bugbug了，但了，但了，但了，但IGMPIGMP并不是必要的，因此照样可以去掉。并不是必要的，因此照样可以去掉。并不是必要的，因此照样可以去掉。并不是必要的，因此照样可以去掉。不支持路由功能不支持路由功能不支持路由功能不支持路由功能 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters vicesTcpipParameters IPEnableRouter REG_DWORD 0 x0(IPEnableRouter REG_DWORD 0 x0(默认值为默认值为默认值为默认值为0 x0)0 x0)说明：把值设置为说明：把值设置为说明：把值设置为说明：把值设置为0 x10 x1可以使可以使可以使可以使Win2000Win2000具备路由功能，由此带具备路由功能，由此带具备路由功能，由此带具备路由功能，由此带来不必要的问题。来不必要的问题。来不必要的问题。来不必要的问题。2006年年7月月47报告内容提要报告内容提要网络或主机可能受到的攻击网络或主机可能受到的攻击2006年年7月月48网络或主机可能受到的攻击网络或主机可能受到的攻击网络攻击的一般步骤网络攻击的一般步骤扫描器扫描器缓冲区溢出缓冲区溢出口令攻击口令攻击Sniffer利用利用Web进行攻击进行攻击拒绝效劳攻击拒绝效劳攻击欺骗攻击欺骗攻击2006年年7月月49攻击的三个阶段攻击的三个阶段准备阶段：寻找目标，收集信息准备阶段：寻找目标，收集信息实施阶段：获得初始的访问控制权实施阶段：获得初始的访问控制权与特权与特权善后工作：去除踪迹，留下后门。善后工作：去除踪迹，留下后门。G.Mark Hardy2006年年7月月50攻击的目的攻击的目的 获取控制权获取控制权获取控制权获取控制权 好奇、恶作剧、证明实力好奇、恶作剧、证明实力好奇、恶作剧、证明实力好奇、恶作剧、证明实力 执行进程执行进程执行进程执行进程 获取文件和传输中的数据获取文件和传输中的数据获取文件和传输中的数据获取文件和传输中的数据 获取超级用户权限、越权使用资源获取超级用户权限、越权使用资源获取超级用户权限、越权使用资源获取超级用户权限、越权使用资源 对系统进行非法访问对系统进行非法访问对系统进行非法访问对系统进行非法访问 进行不许可操作、越权使用进行不许可操作、越权使用进行不许可操作、越权使用进行不许可操作、越权使用 拒绝效劳拒绝效劳拒绝效劳拒绝效劳 涂改信息、暴露信息涂改信息、暴露信息涂改信息、暴露信息涂改信息、暴露信息G.Mark Hardy2006年年7月月51信息收集信息收集突破网络系统的第一步是各种形式的信息收集。黑客可以使用下面几种工具来收集这些信息：SNMP协议，用来查阅非平安路由器的路由表，从而了解目标机构网络拓扑的内部细节。TraceRoute程序能够得出到达目标主机所要经过的网络数和路由器数。Whois协议是一种信息效劳，能够提供有关所有DNS域和负责各个域的系统管理员数据。不过这些数据常常是过时的。DNS效劳器可以访问主机的IP地址表和它们对应的主机名。Finger协议能够提供特定主机上用户们的详细信息注册名、号码、最后一次注册的时间等。Ping程序可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中，可以Ping网络上每个可能的主机地址，从而可以构造出实际驻留在网络上的主机的清单。2006年年7月月52平安弱点的探测平安弱点的探测通过漏洞扫描，找出主机上可以利用的漏洞。通过漏洞扫描，找出主机上可以利用的漏洞。收集到目标机构的网络信息之后，黑客会探测每个主机以寻求一个平安收集到目标机构的网络信息之后，黑客会探测每个主机以寻求一个平安上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机。上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机。由于已经知道的效劳脆弱性较少，水平高的黑客能够写出短小的程序来由于已经知道的效劳脆弱性较少，水平高的黑客能够写出短小的程序来试图连接到目标主机上