程序，该特洛依程序允许任何用户(本地的和远端的)以root帐户登录
UNIX。这样的特洛依程序可以导致整个系统被侵入，因为首先它很 难被发现。在它被发现之前，可能已经存在几个星期甚至几个月了。 其次在这段时间内，具备了root权限的入侵者，可以将系统按照他的 需要进行修改。这样即使这个特洛依程序被发现了，在系统中也留下 了系统管理员可能没有注意到的漏洞。
防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(service
pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能 力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都可以防止。
内部资料，注意保密
宇信培训中心 21
用户的权限。
口令攻击：口令攻击一般包括穷举攻击和字典攻击。穷举攻击穷举所有可能的口令组 合来攻击口令的方法；字典攻击是指黑客利用计算机软件遍历一本字典中的所有条目 以猜测密码的一种攻击方法。
内部资料，注意保密
宇信培训中心 10
攻击的技术
特洛依木马(trojan horse)：所谓特洛依程序是指任何提供了隐藏的、 用户不希望的功能的程序。它可以以任何形式出现，可能是任何由用 户或客户引入到系统中的程序。特洛依程序提供或隐藏了一些功能， 这些功能可以泄漏一些系统的私有信息，或者控制该系统。 特洛依程序表面上是无害的、有用的程序，但实际上潜伏着很大 的危险性。如在Wuarchive FTP daemon(ftpd)2.2版中发现有特洛依
TCP/IP协议本身的一些缺陷可以被利用，使黑客可以对TCP/IP网络 进行攻击，网络欺骗的技术主要有：HoneyPot和分布式HoneyPot、 欺骗空间技术等。主要方式有：IP欺骗；ARP欺骗；DNS欺骗；Web 欺骗；电子邮件欺骗；源路由欺骗（通过指定路由，以假冒身份与其
它主机进行合法通信、或发送假报文，使受攻击主机出现错误动作；
物理临近攻击：是指未被授权的个人在物理意义
上接近网络、系统或设备，试图改变、收集信息
或拒绝他人对信息的访问。 内部人员攻击： 内部人员攻击可以分为恶意或无
恶意攻击。前者指内部人员对信息的恶意破坏或
不当使用，或使他人的访问遭到拒绝；后者由于 粗心、无知已经其他非恶意的原因而造成的破坏。
软硬件装配分发攻击：指在工厂生产或分销过程
内部资料，注意保密
宇信培训中心 12
攻击的技术
拒绝服务攻击：通过网络，也可使正在使用的计算机出现无响应、死 机的现象，这就是拒绝服务攻击，简称DoS（Denial of Service）。 这种攻击行为通过发送一定数量一定序列的报文，使网络服务器中充 斥了大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系 统不胜负荷以至于瘫痪、停止正常的网络服务。
中对硬件和软件进行的恶意修改。这种攻击可能 是在产品里引入恶意代码，比如后门。
内部资料，注意保密
宇信培训中心 8
攻击的流程
隐藏自身
预攻击探测
进行攻击
清除痕迹
内部资料，注意保密
宇信培训中心
攻击的技术
缓冲区溢出：在程序试图将数据放到机器内存中的某一个位置的时候，如果没有足够 的空间就会发生缓冲区溢出。大多造成缓冲区溢出的原因是程序中没有仔细检查用户 输入参数而造成的。 危害：一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致 系统崩溃；另有一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统根
给攻击者。
主动攻击： 主动攻击包括试图阻断或攻破保护机 制、植入恶意代码、偷窃或篡改信息。主动攻击
可能造成数据资料的泄露和散播，或导致拒绝服
务以及数据的篡改。包括大多数的未授权用户企 图以非正常手段和正常手段进入远程系统。
内部资料，注意保密
宇信培训中心 7
攻击的分类
内部资料，注意保密
宇信培训中心 17
网络攻击常用工具
扫描器：在Internet安全领域，扫描器是最出名的破解工具。所谓扫描器，实际上是
自动检测远程或本地主机安全性弱点的程序。扫描器选通TCP/IP端口和服务，并记
录目标机的回答，以此获得关于目标机的信息。理解和分析这些信息，就可能发现 破坏目标机安全性的关键因素。常用的扫描器有很多，有些可以在Internet上免费得 到，下面做一简要介绍。 NSS(网络安全扫描器)：是用Perl语言编写的，可执行Sendmail、匿名FTP、 NFS出口、TFTP、Hosts.equiv、Xhost等常规检查 。 Strobe(超级优化TCP端口检测程序)：是一个TCP端口扫描器，可以记录指定
宇信培训中心
自我介绍
姓名：张鑫
职务：讲师
职称：高级
产品：华为数通
工作年限：7年
宇信培训中心
学习目标
学习完此课程，您将会：

了解常见的网络攻击技术
了解常用的网络攻击工具
了解计算机取证
内部资料，注意保密
宇信培训中心 3
超越目标网络安全策略所限定的服务（入侵）或
者使目标网络服务受到影响甚至停止（攻击）的 所有行为。
内部资料，注意保密
宇信培训中心 6
攻击的分类
被动攻击： 被动攻击包括分析通信流，监视未被
保护的通信，解密弱加密通信，获取鉴别信息
（比如口令）。被动攻击可能造成在没有得到用 户同意或告知用户的情况下，将信息或文件泄露
内部资料，注意保密
宇信培训中心 16
网络攻击常用工具

AirSnort：一种获取加密密码的无线局域网络工具。当收集到足够的 数据包时，其会通过被动式地监控数据传输处理加密密码开始运作。 采用有线对等协议（WEP）的 802.11b 会因为出现数量巨大的安全漏 洞而瘫痪。
NT及UNIX，他们把Biblioteka 令加密后储存在档案系统内，以便当用户
登录时认证)； 第二步：攻击者以字典为辅助工具，用Password Crackers 开始尝试去破译口令。其办法是把字典的每一项进行 加密，然后两者进行比较。假若两个加密口令相符，黑客就会知 道该口令；假若两者不符，此工具继续重复工作，直到字典最后 一项。有时，黑客们甚至会试遍每一种字母的组合。使用该种方 法，口令破译的速度与加密及比较的速度有关。
常见的DoS工具有：同步洪流、WinNuke、死亡之PING、Echl攻击
、ICMP/SMURF、Finger炸弹、Land攻击、Ping洪流、Rwhod、 tearDrop、TARGA3、UDP攻击、OOB等。
内部资料，注意保密
宇信培训中心 13
攻击的技术
欺骗类攻击
地址欺骗（包括伪造源地址和伪造中间站点）等。
内部资料，注意保密
宇信培训中心 14
网络攻击技术 网络攻击常用工具 计算机取证
内部资料，注意保密
宇信培训中心 15
网络攻击常用工具
Password Crackers因其用途广泛而成为黑客使用的主流工具。 实施口令破译攻击分为两步，第一步：攻击者首先从被攻击对象 的计算机里读出一个加密口令档案(大部分系统，包括Windows
务器漏洞等。 Jakal：是一个秘密扫描器，它启动但并不完成与目标主机的SYN/ACK过程，因此 可以扫描一个区域而不留下任何痕迹，能够避开端口扫描探测器的探测追踪。 IdengTCPscan:是一个更加专业化的扫描器，能够识别指定TCP端口进程的使用者 ，即能够测出该进程的UID；
内部资料，注意保密
NNTP、Telnet、RPC、NFS等。
内部资料，注意保密
宇信培训中心 20
网络攻击常用工具
死亡之ping （ping of death）
概览：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统 对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之 后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声 称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内 存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。 防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数
内部资料，注意保密
宇信培训中心 11
攻击的技术
系统版本扫描：最简单的方法就是寻找各种操 作系统间的不同并写出探测程序。当使用了 足够的不同特征时，操作系统的探测精度就
有了很大保证。
端口扫描：端口是主机与外部通信的途径。 一个端口就是一个潜在的通信通道，有可 能是一个入侵通道。对目标主机进行端口 扫描，能得到许多有用的信息。
宇信培训中心 19
网络攻击常用工具
CONNECT：用于扫描TFTP服务器子网。


FSPScan:用于扫描FSP服务器。
XSCAN：扫描具有X服务器漏洞的子网或主机。 SAFESuite:是快速、先进、全面的UNIX网络安全扫描器。可以对指定网络执
行各种不同的攻击，探测网络环境中特定的安全漏洞，包括：Sendmail、TFP、
防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet
的请求这些服务的UDP请求。 。
内部资料，注意保密
宇信培训中心 22
网络攻击常用工具
电子邮件炸弹
概览：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大 量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。
网络嗅探器(Sniffer)： Sniffer用来截获网络上传输的信息，用在以太
网或其它共享传输介质的网络上。放置Sniffer，可使网络接口处于广 播状态，从而截获网上传输的信息。利用Sniffer可截获口令、秘密的 和专有的信息，用来攻击相邻的网络。Sniffer的威胁还在于被攻击方 无法发现。Sniffer是被动的程序，本身在网络上不留下任何痕迹。