人民邮电出版社：高等学校计算机专业《计算机网络安全》课程教材教学资源（PPT课件）第6章 黑客入侵技术

第嫜章黑客入侵技术 人民邮电出版社

第6章 黑客入侵技术

61端口扫描 6.2网络监听 6.3IP电子软骗 6.4拒绝服务攻击 6.5特洛伊木马 6.6E-mai炸弹 6.7缓冲区溢出 人民邮电出版社

6.1 端 口 扫 描 6.2 网 络 监 听 6.3 IP电子欺骗 6.4 拒绝服务攻击 6.5 特洛伊木马 6.6 E-mail 炸 弹 6.7 缓冲区溢出

6.1端口扫描 6.1.1端口扫描简介 扫描器是一种自动检测远程或本地主机安全性 弱点的程序,通过使用它扫描TCP端口,并记录反 馈信息,可以不留痕迹地发现远程服务器中各种 TcP端口的分配、提供的服务和它们的软件版本。 这就能直观地或间接地了解到远程主机存在的安全 问题。 人民邮电出版社

6.1 端 口 扫 描 6.1.1 端口扫描简介 扫描器是一种自动检测远程或本地主机安全性 弱点的程序，通过使用它扫描TCP端口，并记录反 馈信息，可以不留痕迹地发现远程服务器中各种 TCP端口的分配、提供的服务和它们的软件版本。 这就能直观地或间接地了解到远程主机存在的安全 问题

6.1.2端口扫描的原理 下面介绍入侵者们如何利用上述这些信息, 来隐藏自己的端口扫描。 1. TCP connect()扫描 2. TCP SYN扫描 3. TCP FIN扫描 4. Fragmentation扫描 5. UDP recfrom()和 write()扫描 6.ICMP扫描 人民邮电出版社

6.1.2 端口扫描的原理 下面介绍入侵者们如何利用上述这些信息， 来隐藏自己的端口扫描。 1．TCP connect( )扫描 2．TCP SYN扫描 3．TCP FIN扫描 4．Fragmentation 扫描 5．UDP recfrom( )和write( )扫描 6．ICMP扫描

6.13端口扫描的工具 今1.NSS NSS,即网络安全扫描器,是一个非常隐蔽的扫描 器。 *2. SATAN SATAN的英文全称为 Security Administrator Tool for Analyzing Networks,即安全管理员的网络分 析工具。 SATAN是一个分析网络的安全管理、测试 与报告工具。 23. Strobe Strobe是一个超级优化TP端口检测程序,能快速 地识别指定机器上正运行什么服务,用于扫描网络 漏洞。它可以记录指定机器的所有开放端口。 人民邮电出版社

6.1.3 端口扫描的工具 ❖ 1．NSS NSS，即网络安全扫描器，是一个非常隐蔽的扫描 器。 ❖ 2．SATAN SATAN的英文全称为Security Administrator Tool for Analyzing Networks，即安全管理员的网络分 析工具。SATAN是一个分析网络的安全管理、测试 与报告工具。 ❖ 3．Strobe Strobe是一个超级优化TCP端口检测程序，能快速 地识别指定机器上正运行什么服务，用于扫描网络 漏洞。它可以记录指定机器的所有开放端口

6.2网络监听 621网络监听的原理 当信息以明文的形式在网络上传播时,黑客就 可以使用监听的方式来进行攻击。只要将网络接口 设置为监听模式,便可以源源不断地将网上传输的 信息截获。监听只能是同一个网段的主机。这里同 个网段是指物理上的连接,因为不是同一个网段 的数据包,在网关就被滤掉了,传不到该网段来。 网络监听的最大用处是获得用户口令。 人民邮电出版社

6.2 网 络 监 听 6.2.1 网络监听的原理 当信息以明文的形式在网络上传播时，黑客就 可以使用监听的方式来进行攻击。只要将网络接口 设置为监听模式，便可以源源不断地将网上传输的 信息截获。监听只能是同一个网段的主机。这里同 一个网段是指物理上的连接，因为不是同一个网段 的数据包，在网关就被滤掉了，传不到该网段来。 网络监听的最大用处是获得用户口令

1.监听的可能性 网络监听是黑客们常用的一种方法。 表6.1描述了在通常的一些传输介质上,信息 被监听的可能性。 人民邮电出版社

❖ 1．监听的可能性 网络监听是黑客们常用的一种方法。 表6.1描述了在通常的一些传输介质上，信息 被监听的可能性

表61不同的数据链路上传输的信息被监听的可能性 数据链路 监听的可能性 说明 Ethernet网是一个广播型的网络, Internet的大多数包监听事件都是一些 Ethernet 运行在一台计算机中的包监听程序的结果,这台计算机和其他计算机, 个网关或者路由器形成一个以太网 FDDI 尽管令牌网内在的并不是一个广播网络,但实际上,带有令牌的那些包 Token ring 在传输过程中,平均也要经过网络上一半的计算机,高的数据传输率可 以使监听变得困难 电话线可以被一些与电话公司协作的人或者一些有机会在物理上访问到 电话线 中等 线路的人搭线窃听,在微波线路上的信息也会被截获:在实际中,高速 的调制解调器将比低速的调制解调器搭线窃听困难一些,因为高速调制 解调器中引入了许多频率 许多已经开发出来的、使用有线电视信号发送IP数据包的系统都依靠R P通过有线电视 调制解调器,RF调制解调器使用一个TV通道用于上行;一个用于下行; 在这些线路上传输的信息没有加密,因此,可以被一些能在物理上访问 到TV电缆的人截听 微波和无线电 高 无线电本来就是一个广播型的传输媒介,任何有一个无线电接收机的人 都可以截获那些传输的信息 人民邮电出版祖

表6.1不同的数据链路上传输的信息被监听的可能性 数 据 链 路 监听的可能性 说 明 Ethernet 高 Ethernet网是一个广播型的网络，Internet的大多数包监听事件都是一些 运行在一台计算机中的包监听程序的结果，这台计算机和其他计算机， 一个网关或者路由器形成一个以太网 FDDI Token_ring 高 尽管令牌网内在的并不是一个广播网络，但实际上，带有令牌的那些包 在传输过程中，平均也要经过网络上一半的计算机，高的数据传输率可 以使监听变得困难 电话线 中等 电话线可以被一些与电话公司协作的人或者—些有机会在物理上访问到 线路的人搭线窃听，在微波线路上的信息也会被截获；在实际中，高速 的调制解调器将比低速的调制解调器搭线窃听困难一些，因为高速调制 解调器中引入了许多频率 IP通过有线电视 高 许多已经开发出来的、使用有线电视信号发送IP数据包的系统都依靠RF 调制解调器，RF调制解调器使用—个TV通道用于上行；一个用于下行； 在这些线路上传输的信息没有加密，因此，可以被一些能在物理上访问 到TV电缆的人截听 微波和无线电 高 无线电本来就是一个广播型的传输媒介，任何有一个无线电接收机的人 都可以截获那些传输的信息

2.以太网中可以监听的原因 当主机工作在监听模式下,那么,无论数据包 中的目标物理地址是什么,主机都将接收。 如果一台主机处于监听模式下,它还能接收到 发向与自己不在同一子网(使用了不同的掩码、IP 地址和网关)的主机的那些信息包。 人民邮电出版社

2．以太网中可以监听的原因 当主机工作在监听模式下，那么，无论数据包 中的目标物理地址是什么，主机都将接收。 如果一台主机处于监听模式下，它还能接收到 发向与自己不在同—子网（使用了不同的掩码、IP 地址和网关）的主机的那些信息包

622网络监听的检测 1.简单的检测方法 (1)方法 对于怀疑运行监听程序的机器,用正确的IP地址 和错误的物理地址去ping,运行监听程序的机器会有 响应。这是因为正常的机器不接收错误的物理地址, 处于监听状态的机器能接收 (2)方法二 往网上发大量不存在的物理地址的包,由于监听 程序将处理这些包,会导致性能下降。通过比较前后 该机器性能( icmp echo delay等方法)加以判断。 人民邮电出版

6.2.2 网络监听的检测 1．简单的检测方法 （1）方法一 对于怀疑运行监听程序的机器，用正确的IP地址 和错误的物理地址去ping，运行监听程序的机器会有 响应。这是因为正常的机器不接收错误的物理地址， 处于监听状态的机器能接收。 （2）方法二 往网上发大量不存在的物理地址的包，由于监听 程序将处理这些包，会导致性能下降。通过比较前后 该机器性能（icmp echo delay等方法）加以判断