当前位置：文档库 › 计算机安全员培训 CD3 PPT转Word

计算机安全员培训 CD3 PPT转Word

黑客攻击与防范

网络黑客及其常用的攻击手段

网络黑客的防范策略

“网络钓鱼”攻击与防范

端口及端口安全

安全使用电子邮件

拒绝服务攻击与防范

安全设置口令

网络黑客的产生和类型

网络黑客攻击步骤

黑客常用的攻击方式

网络黑客的产生和类型

1．网络黑客的产生

HACKER(黑客)一词来自于英语HACK，黑客一族起源于20世纪70年代美国麻省理工学院的实验室，当时在那里聚集了大批精通计算机科学，具备良好科学索质的高级人才，经常研究或开发出许多新的具有开创意义的产品或技术，营造了良好的文化氮围，逐渐就形成了一种独特的黑客文化。

网络黑客的常见类型

(1)恶作剧型

喜欢进入他人网站，以删除某些文字或图像、篡改网址、主页信息来显示自己的厉害，此做法多为增添笑话自娱或娱人。

(2)隐蔽攻击型

躲在暗处以匿名身份对网络发动攻击，往往不易被人识破；或者干脆冒充网络合法用户，侵入网络“行黑”。这种行为由于是在暗处实施的主动攻击行为，因此对社会危害极大。

(3)定时炸弹型

在实施时故意在网络上布下陷阱，或故意在网络维护软件内安插逻辑炸弹或后门程序，在特定的时间或特定条件下，引发一系列具有连锁反应性质的破坏行动，或干扰网络正常运行致使网络完全瘫痪。(4)矛盾制造型

非法进入他人网络，修改其电子邮件的内容或厂商签约日期，进而破坏甲乙双方交易，并借此方式了解双方商谈的报价，乘机介入其商品竞争。有些黑客还利用政府上网的机会，修改公众信息，挑起社会矛盾。

(5)职业杀手型

此种黑客以职业杀手著称，经常以监控方式将他人网站内由国外传来的资料迅速清除，使得原网站使用公司无法得知国外最新资料或订单，或者将电脑病毒植人他人网络内，使其网络无法正常运行。更有甚者，进入军事情报机关的内部网络，干扰军事指挥系统的正常工作，任意

修改军方首脑的指示和下级通过网络传递到首脑机关的情报，篡改军事战略部署，导致部队调防和军事运输上的障碍，达到干扰和摧毁国防军事系统的目的。严重者可以导致局部战争的失败。

(6)窃密高手型

出于某些集团利益的需要或者个人的私利，利用高技术手段窃取网络上的加密信息，使高度敏感信息泄密。或者窃取情报用于威胁利诱政府公职人员，导致内外勾结进一步干扰破坏内部网的运行。有关商业秘密的情报，一旦被黑客截获，还可能引发局部地区或全球的经济危机或政治动荡。

(7)业余爱好型

计算机爱好者受到好奇心驱使，往往在技术上追求精益求精，丝毫未感到自己的行为对他人造成的影响，介于无意识攻击行为。这种人可以帮助某些内部网络堵塞漏洞和防止损失扩大。有些爱好者还能够帮助政府部门修正网络错误。

网络黑客的攻击步骤

(1)寻找目标主机并分析目标主机

通过一些常用的网络命令或端口扫描工具来获取目标主机的域名和IP地址及系统漏洞。

(2)登录主机

黑客通过使用工具或盗取帐号和密码的方式，登录主机。

(3)得到超级用户权限、控制主机

利用盗取的帐号和密码，获得普通用户的权限，然后再获取超级用户的权限，成为目标主机的主人。

(4)清除记录、设置后门

黑客获得超级用户的权限后，能删除自己入侵的全部记录，并能在系统中植入木马，作为以后入侵该主机的“后门”。

黑客常用的攻击方式

(1)获取口令

一是通过网络监听非法得到用户口令。这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户帐号和口令，对局域网安全威胁巨大；

二是在知道用户的帐号后(如电子邮件＠前面的部分)利用一些专门软件强行破解用户口今；

三是在获得一个服务器上的用户口令文件后，用暴力破解程序破解用户口令，这种方法对那些口令安全系数极低的用户，如某用户帐号为zys ，其口令就是zys123、zys168等，只需在短短的一两分钟内，甚至几十秒内就可以将其破解。

(2)放置特洛伊木马程序

特洛伊木马程序常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些

邮件的附件或者执行了这些程序之后，它们就会悄悄执行。当用户连接到互联网上时，这个程序就会通知黑客，来报告用户的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改用户计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等，从而达到控制用户计算机的目的。(3)web欺骗技术

在网上用户可以利用IE等浏览器进行各种各样的web站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：

正在访问的网页已经被黑客篡改过，网页上的信息是虚假的。例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。

(3)web欺骗技术

(4)电子邮件攻击

一是发送邮件炸弹，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；

二是电子邮件欺骗，攻击者佯称自己为系统管理员，给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序。

(5)通过一个节点来攻击其他节点

黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机，也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如IP欺骗，因此较少黑客使用。

(6)网络监听

网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如Sniffer for Linux等就可以轻而易举地获取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。

(7)寻找系统漏洞

许多系统都有这样那样的安全漏洞(BUGs)，其中一些是操作系统或应用软件本身具有的，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉，还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加密的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。

(8)利用帐号进行攻击

有的黑客会利用操作系统提供的缺省帐号和密码进行攻击，例如许多U

IX主机都有FTP和Guest等缺省帐号(其密码和帐号相同)，有的甚至没有口令。黑客用U

IX操作系统提供的命令如Fi

ger和Ruser等收集信息，不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕，将系统提供的缺省帐号关掉或提醒无口令用户增加口令一般都能克服。

(9)窃取特权

利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效，危害性极大。

网络黑客的防范策略

1．隐藏IP地址

2．关闭不必要的端口

3．更换管理员帐号

4．杜绝Guest帐号的入侵

5．封死黑客的“后门”

6．做好IE的安全设置

7．安装必要的安全软件

8．防范木马程序

9．不要回陌生人的邮件

10．及时给系统打补丁

1．隐藏IP地址

IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP 地址，等于为攻击行为准备好了目标，可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。

2．关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序(比如

et—watch)，该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭不用的端口。

3．更换管理员帐号

Administrator帐号拥有最高的系统权限，黑客入侵的常用手段之一就是试图获取Administrator帐号的密码，所以我们要重新配置Administrator帐号。

首先是为Administrator帐号设置一个强大复杂的密码，然后我们重命名Administratorr帐号，再创建一个没有管理员权限的Administrator 帐号欺骗入侵者。这样一来，入侵者就很难搞清哪个帐号真正拥有管理员权限，也就在一定程度上减少了危险性。

4．杜绝Guest帐号的入侵

Guest帐号即所谓的来宾帐号，它可以访问计算机，但受到限制，同时Guest帐号也为黑客入侵打开了方便之门，所以禁用或彻底删除Guest帐号是最好防止攻击的办法，但在某些必须使用到Guest帐号的情况下，就需要通过其他途径来做好防御工作了。

5．封死黑客的“后门”

(1)删掉不必要的协议

对于服务器和主机来说，一般只安装TCP／IP协议就够了。鼠标右击“网上邻居”，选择“属性”，再点击“本地连接”，选择“属性”，卸载不必要的协议。其中

etBIOS是很多安全缺陷的源泉，对于不需要提供文件和打印共享的主机，可以将绑定在TCP／IP协议的

etBIOS给关闭，避免针对

etBIOS的攻击。

(2)关闭“文件和打印共享”

文件和打印共享也是引发黑客入侵的安全漏洞。所以在不使用“文件和打印共享”的情况下，我们应将其关闭。即便确实需要共享，也应该为共享资源设置访问密码。

(3)禁止建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码，因此我们必须禁止建立空连接。

(4)关闭不必要的服务

服务开很多可以给管理带来方便，但也会给黑客留下可乘之机，因此对于一些确实用不到的服务，最好关闭。比如在不需要远程管理计算机时，将有关远程网络登录的服务关掉。

6．做好IE的安全设置

要避免恶意网页的攻击就要禁止恶意代码的运行。IE对此提供了多种选择，具体设置步骤是：“工具”—“Internet选项”—“安全”一“自定义级别”，建议您将ActiveX控件与Java相关选项禁用。

7．安装必要的安全软件

在电脑中安装并使用必要的防黑软件、杀毒软件和防火墙。

8．防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

(1) 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

(2) 在“开始”—“程序”—“启动”选项里看是否有不明的运行项目，如果有，删除即可。

9．不要回复陌生人的邮件

有些黑容可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封传给用户，要求用户输入上网的帐号与密码，如果按下“确定”，用户的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不要上当。

10．及时给系统打补丁

及时使用Wi

dows Update 给系统打补丁是保证系统安全的最好办法。

“网络钓鱼”攻击与防范

1 “网络钓鱼”的定义

“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的web站点来进行诈骗活动，受骗者往往泄露自己的财务数据，如信用卡号、帐号、口令等内容，诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等机构，获取用户敏感情息进行非法活动，据统计在所有接到诈骗信息的用户中，有高达5％的人都会对这些骗局做出响应。

2、“网络钓鱼”的主要手法

一是发送电子邮件，以虚假信息引诱用户中圈套。诈骗分子发送大量欺诈性邮件，冒充成一个容易被大家信任的组织，这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中输入账号和密码，或是以各种理由要求收件人登录某网页提交用户名、密码、身份证号、银行帐号等信息，继而窃取用户资金。

二是建立假冒网上银行、网上证券等网站，骗取用户账号和密码实施盗窃。犯罪分子建立的网站，域名和网页内容都与真实的网上银行系统、网上证券交易平台极为相似，引诱用户输入账号、密码等信息，进而窃取用户资金；还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意代码，屏蔽一些可以用来辨别网站真假的重要信息。

三是利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年，罪犯余某建立“奇特器材网”网站，发布出售间谍器材、黑客工具等虚假信息，诱骗顾主将购货款汇入作案所使用的多个银行账号，然后转移钱款。

四是利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式截取用户账号和密码，并发送到指定邮箱，严重威胁用户资产。

五是利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部分用户贪图方便设置的弱口令，对银行卡密码进行破解。

实际上，不法分子在实施网络诈骗的犯罪活动中，经常采取以上几种手法交织、配合进行，还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。

“网络钓鱼”的防范

(1)对要求重新输入账号信息，否则将停掉信用卡账号之类的邮件不予理睬。

(2)更重要的是，不要回复或者点击邮件的链接，如果想核实电子邮件的信息，使用电话等方式；若想访问某个公司的网站，使用浏览器直接访问，而不要点击邮件中的链接。

( 3)留意网址。多数合法网站的网址相对较短，通常以.com或者. gov 结尾，仿冒网站的地址通常较长，只是在其中包括部分合法企业的名字，甚至根本不包含。

(4)避免开启来路不明的电子邮件及文件，安装杀毒软件并及时升级病毒特征库和操作系统补丁，附件不要直接在浏览器中打开，要下载到本地之后，先用杀毒软件扫描，保证安全之后方可打开。

(5)使用网络银行时，选择使用网络凭证及约定账号方式进行转账交易，不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。

(6)大部分的“网络钓鱼”信件是使用英文，除非你在国外申请该服务，不然收到的应该都是中文信件。

(7)将可疑软件转发给网络安全机构。

(8)如果受到欺骗，最好尽快更换密码和取消金融帐号。

端口及端口安全

1 端口概述

随着计算机网络技术的发展，原来物理上的接口(如键盘、鼠标、网卡、显示卡等输入／输出接口)已不能满足网络通信的需求，TCP／IP 协议作为网络通信的标准协议就解决了这个通信难题。TCP／IP协议集成到操作系统的内核中，这就相当于在操作系统中引入了一种新的输入／输出接口技术，因为在TCP／IP协议中引入了一种称之为“Socket ”应用程序接口。有了这样一种接口技术，一台计算机就可以通过软件的方式与任何一合具有“Socket”接口的计算机进行通信。

端口及端口安全

计算机端口有65536个，但是实际上常用的端口才几十个，由此可以看出未定义的端口相当多。许多入侵程序都可以通过各种方法找到一个特殊的端口，来达到入侵的目的。

(1)公认端口：从0到1023，紧密绑定于一些服务，通常这些端口的通讯明确表明了某种服务的协议。例如：HTTP协议通常使用80端口。

(2)注册端口：从1024到49151，松散地绑定于各种软件，也就是说

有许多服务绑定于这些端口，这些端口同样用于许多其他目的。例如，许多系统处理动态端口从1024左右开始。

(3)动态和私有端口：从49152到65535。理论上不应该在这些端口上加载其他服务。实际上，计算机通常从1024起分配动态端口服务。

端口概述

下面列出普通用户常用的一些端口服务：

(1)FTP：文件传输协议，使用21端口。某主机开了21端口讲的就是文件传输服务，可以下载文件，上传网页。

(2)Telnet: 早期的BBS是纯字符界面的，支持BBS的服务器将23端口打开，对外提供服务。其实Telnet的真正目的是远程登录，用户可以以自己的身份远程连接到主机上。

(3)HTTP：超文本传送协议。浏览网页就需要用到这个协议．提供网页资源的主机默认打开80端口以提供服务。

(4)SMTP：邮件传送协议。现在很多邮件服务器用的都是这个协议，用于发送邮件。目标计算机开放的是25端口。

(5)POP3：和SMTP对应，POP3用于接收邮件。通常情况下，POP3协议所用的是110端口。只要有相应的使用POP3协议的程序，不需要从Web方式登录进邮箱界面就可以收信。例如Foxmail,Outlook等。

(6)DNS：域名解析服务。互联网上的每一台计算机都有一个网络地址与之对应，这个地址就是我们常说的IP地址，它以纯数字的形式表示。然而却不便记忆，于是就出现了域名。访问主机的时候只需要知道域名，域名和IP地址之间的变换由DNS服务器来完成。DNS用的是53端口。

(7)SNMP：简单网络管理协议，使用161端口，是用来管理网络设备的。在网络设备多、无连接服务的情况下，就能体现其优势。

(8)聊天软件QQ：QQ的程序既接受服务，又提供服务，这样两个聊天的人才能实现。QQ用的是无连接协议，其服务器使用8000端口，客户端通常使用4000端口。如果上述两个端口正在使用，就依次顺序叠加。

端口操作

1．关闭／开启端口

2．系统管理员可以“重定向”端口

3．查询端口使用情况

端口操作-开启和关闭端口

默认的情况下，有很多不安全的或无用的端口是开启的，比如Telnet 服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等。为了保证系统的安全性，用户可以通过下面方法来关闭／开启端口。

端口操作-开启和关闭端口

(1)关闭端口

比如在windows 2003／XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”，接着在打开的服务窗口中找到并单击“simple Mail Transfer Protocol(SMTP)”服务，右击该服务，在弹出式菜单中选择“停止”命令来停止该服务，然后双击该服务，在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务，也关闭了对应的端口。

(2)开启端口

如果要开启该端口只要先双击该服务。在“启动类型”中选择“自动”，单击“确定”按钮，右击该服务，在弹出式菜单中选择“启动”命令，即可启用该服务，打开相应的端口。

端口操作-“重定向”端口

实现重定向是为了隐藏公认的默认端口，降低受破坏率。大多数“重定向”端口与原端口有相似之处，以增加迷惑性。这样如果有攻击者要对一个公认的默认端口进行攻击，则必须先进行端口扫描，增加了攻击难度。

netstat （DOS命令）可以监控TCP／IP网络，显示路由表、实际的网络连接以及每一个网络接口设备的状态信息，查看当前网络连接状态，显示对方主机IP地址以及本地提供服务的端口等信息。