4.3 常用的黑客攻防技术
4.3.1 端口扫描攻防
方式二：只开放允许端口。可以利用系统的“TCP/IP筛选”功 能实现，设置的时候，“只允许”系统的一些基本网络通讯需 要的端口即可。 (2) 屏蔽出现扫描症状的端口 检查各端口，有端口扫描症状时，立即屏蔽该端口。
4.3 常用的黑客攻防技术
4.3.1 端口扫描攻防
3．端口扫描攻击 端口扫描攻击采用探测技术，攻击者可将它用于寻找他们 能够成功攻击的服务。连接在网络中的所有计算机都会运行许 多使用 TCP 或 UDP 端口的服务，而所提供的已定义端口达 6000个以上。通常，端口扫描不会造成直接的损失。然而，端 口扫描可让攻击者找到可用于发动各种攻击的端口。
端口扫描
扫描方式 Ping扫描 真实扫描：发送ICMP请求包给目标IP地址，有响应则 表示主机开机。 TCP Ping：发送特殊的TCP包给通常都打开且没有过 滤的端口（例如80端口），有响应则表示主机开机。
端口扫描
常用扫描工具 nmap、netcat Xcan，superscan
源端口 序列号 确认号 数据偏 移 保 留 UR G A C K P S H R S T S Y N F I N 窗口 目的端口
校验和
紧急指针
选项
数据
填充项
端口扫描
扫描方式 TCP Connect（）扫描 利用操作系统提供的connect()系统调用，用来与每 一个感兴趣的目标计算机的端口进行连接。如果端口 处于侦听状态，就建立连接，端口可以访问。否则返 回－1，表示端口不可访问 。 不需要特殊的权限就可以调用，但是容易被防火墙过 滤掉
2. 端口扫描方式 端口扫描的方式有手工命令行方式和扫描器扫描方式。 手工扫描，需要熟悉各种命令，对命令执行后的输出进行分 析。如，Ping命令、Tracert命令、rusers和finger命令（后两 个是Unix命令）。 扫描器扫描，许多扫描软件都有分析数据的功能。如， SuperScan、Angry IP Scanner、、X-Scan、X-Scan、SAINT (Security Administrator's Integrated Network Tool，安 全管理员集成网络工具)、 Nmap、TCP connect 、TCP SYN 等
4.1
3. 端口分类
网络黑客概述
按端口号分布可分为三段： 1）公认端口 ( 0～1023 )，又称常用端口，为已经公认定义或 为将要公认定义的软件保留的。这些端口紧密绑定一些服务 且明确表示了某种服务协议。如80端口表示HTTP协议。 2）注册端口 ( 1024～49151 )，又称保留端口, 这些端口松散 绑定一些服务。 3）动态/私有端口（49152～65535)。理论上不应为服务器分 配这些端口。 按协议类型将端口划分为TCP和UDP端口： 1）TCP端口是指传输控制协议端口，需要在客户端和服务器 之间建立连接，提供可靠的数据传输。如Telnet服务的23端 口。 2）UDP端口是指用户数据包协议端口，不需要在客户端和服 务器之间建立连接。常见的端口有DNS服务的53端口。
“骇客”是英文“Cacker”的译音，意为“破译者和搞破 坏的人”。是指那些在计算机技术上有一定特长，非法闯入远程 计算机及其网络系统，获取和破坏重要数据，或为私利而制造麻 烦的具有恶意行为特征的人。骇客的出现玷污了黑客，使人们把 “黑客”和“骇客”混为一体。
4.1
网络黑客概述
2. 中国黑客的形成与发展
1994年4月20日，中国国家计算与网络设施工程（The National Computing and Networking Facility of China ， NCFC)通过美国Sprint公司，连入Internet的64K国际专线并 开通，实现了与Internet的全功能连接。中国成为直接接入 Internet的国家，互联网终于面向中国人民开放了。从那时起， 中国黑客开始了原始萌动。 时至今日，国内黑客中却是为了谋取暴利而散发木马等 行为的“毒客”占主流。中国互联网形成了惊人完善的黑客 病毒产业链，制造木马、传播木马、盗窃账户信息、第三方 平台销赃、洗钱，分工明确。从反传统反商业、带着理想主 义和政治热情的红客占主流到近年非法牟利的毒客横行，这 是一个无奈的变化。
4.1
4.1.1 黑客概念及类型
1. 黑客及其演变
网络黑客概述
“黑客”是英文“Hacker”的译音，源于Hack，本意为“干 了一件非常漂亮的事”。原指一群专业技能超群、聪明能干、精 力旺盛、对计算机信息系统进行非授权访问的人。后来成为专门 利用计算机进行破坏或入侵他人计算机系统的人的代言词。
4.1
3. 黑客的类型
网络黑客概述
把黑客大分为“正”、“邪”两类，也就是我 们经常听说的“黑客”和“红客”。
把黑客分红客、破坏者和间谍三种类型，红客 是指“国家利益至高无上”的、正义的“网络大 侠”；破坏者也称“骇客”；间谍是指“利益至上” 的计算机情报“盗猎者”。
4.1
4.1.2 黑客概念及类型
4.3 常用的黑客攻防技术
案例4-6
关闭DNS端口服务
操作方法与步骤： 1）打开“控制面板”窗口。 鼠标单击“状态栏”左边“开始”按钮，弹出开始菜单。在开始 菜单上选择“设置”→ “控制面板”。 2）打开“服务”窗口。 在“控制面板”窗口上，双击“管理工具”。在“管理工具”窗 口上，双击“服务”。在“服务”窗口上的右侧，选择DNS。 3）关闭DNS服务 在“DNS Client 的属性”窗口。启动类型项：选择“自动”。 服务状态项：选择 <停止>。选择<确定>。在服务选项中选择关闭掉 计算机的一些没有使用的服务，如FTP服务、DNS服务、IIS Admin服 务等，它们对应的端口也被停用了。
隐身退出
4.2
黑客攻击的目的及步骤
课堂讨论：
1. 黑客攻击的目的与步骤？ 2. 黑客找到攻击目标后,会继续那几步的攻击操作？ 3. 黑客的行为有哪些？
4.3 常用的黑客攻防技术
4.3.1 端口扫描攻防
端口扫描是管理员发现系统的安全漏洞，加强系统的安全 管理，提高系统安全性能的有效方法。端口扫描成为黑客发现 获得主机信息的一种最佳手段。
4.3 常用的黑客攻防技术
4.3.1 端口扫描攻防
4.端口扫描的防范对策
端口扫描的防范又称系统“加固”。网络的关键之处使用 防火墙对来源不明的有害数据进行过滤可以有效减轻端口扫描 攻击防范端口扫描的主要方法有两种： (1) 关闭闲置及有潜在危险端口 方式一：定向关闭指定服务的端口。计算机的一些网络服务会 有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的 端口也会被关闭了。
1.端口扫描及扫描器
（1）端口扫描。是使用端口扫描工具（程序）检查目标主机在 哪些端口可以建立TCP 连接，如果可以建立连接，则说明主机 在那个端口被监听。 （2）扫描器。扫描器也称扫描工具或扫描软件，是一种自动检测 远程或本地主机安全性弱点的程序。
4.3 常用的客攻防技术
4.3.1 端口扫描攻防
黑客行为：盗窃资料；攻击网站；进行恶作剧；告知漏洞；
获取目标主机系统的非法访问权等。
4.2 黑客攻击的目的及步骤
4.2.2 黑客攻击的步骤
黑客攻击步骤变幻莫测，但其整个攻击过程有一定规律， 一般可分为“攻击五部曲”。
隐藏IP 踩点扫描 获得特权 种植后门 就是隐藏黑客的位置，以免被发现。 主要是通过各种途径对所要攻击的目标进 行多方了解，确保信息准确，确定攻击时 间和地点。 即获得管理权限。 黑客利用程序的漏洞进入系统后安 装后门程序，以便日后可以不被察 觉地再次进入系统。 黑客一旦确认自己是安全的，就开始 侵袭网络，为了避免被发现，黑客在 入侵完毕后会及时清除登录日志以 及其他相关日志，隐身退出。
全国高校管理与工程类 学科系列规划教材
教育部高校管理与工程教学指导 委员会、机械工业出版社
第 4 章 黑客攻防与入侵检测
目
1 2 3 4 5 6 7
4.1 4.2 4.3 4.4 4.5 4.6 4.7
录
网络黑客概述 黑客攻击的目的及步骤 常见黑客攻防技术 防范攻击的措施和步骤 入侵检测概述 Sniffer检测实验 本章小结
4.1
网络黑客概述
2. 黑客入侵通道 — 端口
计算机通过端口实现与外部通信的连接，黑客攻击是将 系统和网络设置中的各种端口作为入侵通道。这里所指的端 口是逻辑意义上的端口，是指网络中面向连接服务和无连接 服务的通信协议端口（Protocol port），是一种抽象的软件 结构，包括一些数据结构和I/O（输入/输出）缓冲区。 端口号：端口通过端口号标记（只有整数），范围： 0~65535（216-1） 目的端口号：用来通知传输层协议将数据送给哪个软件来处 理。 源端口号：一般是由操作系统自己动态生成的一个从1024～ 65535的号码。
端口扫描
扫描方式 TCP SYN 扫描 “半开放”扫描，利用TCP的三次握手过程。 扫描程序发送的是一个SYN数据包，如果目的主机返 回SYN|ACK表示端口处于侦听状态；如果返回RST，表 示端口没有处于侦听态。当收到一个SYN|ACK后，扫 描程序发送一个RST信号，来关闭这个连接过程。 隐蔽性较强，一般不会在目标计算机上留下记录。但 必须要有root权限才能建立自己的SYN数据包，并且 可以被防火墙和特定的监测程序检测到。
目
录
本章要点
● ● ● ●
● ● ● ● ●
黑客基础知识及防范攻击的措施和方法 常见黑客攻防技术及应用 常用入侵检测技术及防御系统概念、功能与应用 Sniffer检测实验
教学目标
重点
掌握黑客基础知识及入侵检测概念 熟悉黑客常用的攻击方法及攻击步骤 掌握黑客攻防技术 掌握入侵检测系统功能、工作原理、特点及应用 了解检测黑客入侵实验