FTP服务通过 TCP传输,默认 端口20数据传 输,21命令传输
1）TCP端口需要在客户端和服务器之间建立连接,提供可靠的数据传
常见的端口有DNS服务的53端口。
9
4.2 黑客攻击的目的及过程
4.2.1 黑客攻击的目的及种类
1. 黑客攻击的目的及行为
最大网络攻击案件幕后黑手被捕。 2013年一荷兰男子SK因涉嫌有史以来最大的网络攻击案件而被捕。 SK对国际反垃圾邮件组织Spamhaus等网站，进行了前所未有的 一系列的大规模分布式拒绝服务攻击(DDoS)，在高峰期攻击达到 每秒300G比特率，导致欧洲的某些局部地区互联网速度缓慢，同 时致使成千上万相关网站无法正常运行服务。 黑客攻击其目的： 其一，为了得到物质利益；是指获取金钱财物；
20
4.3 常用的黑客攻防技术
4.3.4 特洛伊木马攻防
2．特洛伊木马攻击过程
利用微软Scripts脚本漏洞对浏览者硬盘格式化的HTML页面.若攻击 者将木马执行文件下载到被攻击主机的一个可执行WWW目录里,则可通 过编制CGI程序在攻击主机上执行木马目录。
木马攻击的基本过程分为6个步骤：
4
4.1 黑客概念及攻击途径
2.黑客的类型
把黑客分为 “正”、“邪”两 类，也就是经常听 说的“黑客”和 “红客”。
把黑客分为红 客、破坏者和间谍 三种类型，红客是 指“国家利益至高 无上”的、正义的 “网络大侠”；破 坏者也称“骇客”； 间谍是指“利益至 上”情报“盗猎 者”。
5
4.1 黑客概念及攻击途径
7
4.1 黑客概念及攻击途径
2. 黑客入侵通道 — 端口
端口是指网络中面向连接/无连接服务的通信协议端口,是 一种抽象的软件结构,包括一些数据结构和I/O缓冲区。计算机 通过端口实现与外部通信的连接/数据交换,黑客攻击是将系统 和网络设置中的各种(逻辑)端口作为入侵通道.
端口号：端口通过端口号标记（只有整数）, 范围：
18

4.3 常用的黑客攻防技术
4.3.3 密码破解的攻防

1. 密码破解攻击的方法
1）通过网络监听非法得到用户口令 2）利用Web页面欺骗 3）强行破解用户口令 4）密码分析的攻击 5) 放置木马程序
2. 密码破解防范对策
通常保持密码安全应注意的要点： 1) 不要将密码写下来，以免遗失； 2) 不要将密码保存在电脑文件中； 3) 不要选取显而易见的信息做密码； 4) 不要让他人知道； 5) 不要在不同系统中使用同一密码；
“黑客”是英文“Hacker”的译音,源于Hack,本意为“干了 一件非常漂亮的事”。原指一群专业技能超群、聪明能干、精 力旺盛、对计算机信息系统进行非授权访问的人。后来成为专 门利用计算机进行破坏或入侵他人计算机系统的人的代言词。
“骇客”是英文“Cacker”的译音，意为“破译者和 搞破坏的人”。骇客的出现玷污了黑客，使人们把“黑 客”和“骇客”混为一体。
19
4.3 常用的黑客攻防技术
4.3.4 特洛伊木马的攻防
1．特洛伊木马概述
特洛伊木马（Trojan horse）简称“木马”。黑客借用古 希腊神话《木马屠城记》其名，将隐藏在正常程序中的一段恶 意代码称作特洛伊木马。 木马系统组成：由硬件部分、软件部分和连接控制部分组 成。一般都包括客户端和服务端两个程序，客户端用于远程控 制植入木马，服务器端即是木马程序。 木马特点：伪装成一个实用工具、游戏等,诱使用户下载并 将其安装在PC或服务器上;侵入用户电脑并进行破坏;一般木马 执行文件较小,若将木马捆绑到其他正常文件上很难发现;木马 可与最新病毒、漏洞工具一起使用,几乎可躲过杀毒软件.
0~65535（216-1） 目的端口号:用于通知传输层协议将数据送给具体处理软件
源端口号：一般是由操作系统动态生成的号码：
1024 ～ 65535
8
4.1 黑客概念及攻击途径
3.按端口号分布可分为三段： 端口分类
1）公认端口 ( 0～1023 ),又称常用端口,为已经或将要公认定义的软件
保留的.这些端口紧密绑定一些服务且明确表示了某种服务协议.如80端 口表示HTTP协议(Web服务). 2）注册端口 ( 1024～49151 ),又称保留端口, 这些端口松散绑定一些 服务。 3）动态/私有端口(49152～65535).理论上不为服务器分配. 按协议类型将端口划分为TCP和UDP端口： 输.如Telnet服务的23端口,SMTP默认25。 2）UDP端口不需要在客户端和服务器之间建立连接.
端口扫描的防范又称系统“加固”.网络的关键处使用防火 墙对来源不明的有害数据进行过滤,可有效减轻端口扫描攻击, 防范端口扫描的主要方法有两种： (1)关闭闲置及有潜在危险端口 方式一：定向关闭指定服务的端口。计算机的一些网络服 务为系统分配默认的端口，应将闲置服务-端口关闭。
16
4.3 常用的黑客攻防技术
15
4.3 常用的黑客攻防技术
4.3.1 端口扫描攻防
3．端口扫描攻击 端口扫描攻击采用探测技术，攻击者可将其用于寻找能够 成功攻击的服务。连接在网络中的计算机都会运行许多使用TCP 或UDP端口的服务,而所提供的已定义端口达6000个以上.端口扫 描可让攻击者找到可用于发动各种攻击的端口。 4.端口扫描的防范对策
17
4.3 常用的黑客攻防技术
4.3.2 网络监听攻防


1. 网络监听
网络监听是指通过某种手段监视网络状态、数据流以及网络上传 输信息的行为。网络监听是主机的一种工作模式。


2．网络监听的检测
Sniffer主要功能： 1）监听计算机在网络上所产生的多种信息； 2）监听计算机程序在网络上发送和接收的信息，包括用户的账号 、密码和机密数据资料等。这是一种常用的收集有用数据的方法。 3）在以太网中，Sniffer将系统的网络接口设定为混杂模式，可 监听到所有流经同一以太网网段的数据包，而且不管其接受者或发送 者是否运行Sniffer的主机。 预防网络监听所采用方法有很多种。
6
4.1 黑客概念及攻击途径
4.1.2 黑客攻击的主要途径
1. 黑客攻击的漏洞 系统漏洞又称缺陷。漏洞是在硬件、软件、协议 的具体实现或系统安全策略上存在的缺陷，从而可使 攻击者能够在未授权的情况下访问或破坏系统。
造成漏洞的原因分析如下： 1）计算机网络协议本身的缺陷。 2）系统研发的缺陷。 3）系统配置不当。 4）系统安全管理中的问题。
12
4.2 黑客攻击的目的及过程
黑客攻击企业内部局域网过程，图4-1是攻击过程的示意图.
① 用Ping查询企业内部网站服务器的IP
② 用IP Network Browser 扫描企业内部局域网IP ③ ④ ⑤ ⑥ ⑦ 用PortScan扫描企业内部局域网PORT 用WWW hack入侵局域网络E-mail 破解Internet账号与口令（或密码） 用Legion扫描局域网 植入特洛伊木马
3. 黑客的形成与发展
20 世纪60 年代，在美国麻省理工学院的人工智能实验室里， 有一群自称为黑客的学生们以编制复杂的程序为乐趣，当初并 没有功利性目的。此后不久，连接多所大学计算机实验室的美 国国防部实验性网络 APARNET 建成，黑客活动便通过网络传 播到更多的大学乃至社会。后来，有些人利用手中掌握的“绝 技”，借鉴盗打免费电话的手法，擅自闯入他人的计算机系统， 干起隐蔽活动。随着APARNET 逐步发展成为因特网，黑客们 的活动天地越来越广阔，人数也越来越多，形成鱼目混珠的局 面。
其二，为了满足精神需求。是指满足个人心理欲望.
黑客行为：攻击网站；盗窃资料；进行恶作剧；告知漏洞；获取目 标主机系统的非法访问权等。
10
4.2 黑客攻击的目的及过程
4.2.1 黑客攻击的目的及种类
2. 黑客攻击手段及种类
大量木马病毒伪装成“东莞艳舞视频”网上疯传。2014年2月，央视 《新闻直播间》曝光了东莞的色情产业链，一时间有关东莞信息点击量剧 增，与之有关的视频、图片信息也蜂拥而至。仅过去的24小时内，带有 “东莞”关键词的木马色情网站（伪装的“钓鱼网站”）拦截量猛增11.6%， 相比平时多出近10万次。大量命名为“东莞艳舞视频”、“东莞桑拿酒店 视频”的木马和广告插件等恶意软件出现，致使很多用户机密信息被盗。
第4章
黑客攻防与检测防御
目
1 2 3 4 5 6 7录4.1 黑客概念及攻击途径 4.2 黑客攻击的目的及过程 4.3 常用的黑客攻防技术 4.4 网络攻击的防范措施 4.5 入侵检测与防御系统概述 4.6 Sniffer网络监测实验 4.7 本章小结
2
目
录
教学目标
●
●
了解黑客攻击的目的及攻击步骤
案例 关闭DNS端口服务
操作方法与步骤： 1）打开“控制面板”窗口。 2）打开“服务”窗口。 “控制面板”→“管理工具”→“服务”,选择DNS。 3）关闭DNS服务 在“DNS Client 的属性”窗口.启动类型项:选择“自动” 服务状态项：选<停止>-<确定>。在服务选项中选择关闭掉一些 没使用的服务，如FTP服务、DNS服务、IIS Admin服务等，对应 的端口也停用。 方式二：只开放允许端口.可用系统的“TCP/IP筛选”功能实 现,设置时只允许系统的一些基本网络通讯需要的端口. (2) 屏蔽出现扫描症状的端口 检查各端口，有端口扫描症状时，立即屏蔽该端口。
图 4-1 黑客攻击企业内部局域网的过程示意图 13
4.3 常用的黑客攻防技术
4.3.1 端口扫描的攻防
端口扫描是管理员发现系统的安全漏洞，加强系统的安全 管理，提高系统安全性能的有效方法。端口扫描成为黑客发现 获得主机信息的一种最佳手段。
1.端口扫描及扫描器
（1）端口扫描.是使用端口扫描工 具检查目标主机在哪些端口可建 立TCP连接,若可连接，则表明 主机在那个端口被监听。 （2）扫描器。扫描器也称扫描工具或扫描软件,是一种自动检测 远程或本地主机安全性弱点的程序。