常见攻击防御技术 2009年9月份目录Hacker的起源Hacker的发展典型人物典型人物典型人物Hacker的泛滥黑客的分类目录黑客攻击分类预攻击探测典型攻击过程黑客攻击通常思路从已经取得控制权的主机上通过telnet或rsh跳跃 从windows主机上通过wingates等服务进行跳跃 利用配置不当的代理服务器进行跳跃 先通过拨号找寻并连入某台主机，然后通过这台主机预攻击探测相关命令获取 手工获取banner 漏洞扫描技术 预攻击探测相关网络命令--Ping相关网络命令--finger手工获取Banner预攻击探测活动主机的扫描ICMPecho扫描BroadcastICMP扫描尝试连接常用端口方式扫描预攻击探测操作系统扫描操作系统扫描获取标识信息获取标识信息WindowsAPITCP/IP协议栈其他识别方式（TTL）预攻击探测端口扫描技术端口扫描技术端口扫描技术（1）TCPconnect扫描 这是最基本的扫描方式。如果目标主机上的某个端口处于侦听状态，可根据其IP地址和端口号使用标准的connect()调用来与之建立连接。若目标主机未开放该端口，则connect操作失败。因此，使用这种方法可以检测到目标主机开放了那些端口。在执行这种扫描方式时，不需要对目标主机拥有任何权限。 （2）TCPSYN扫描 这种技术通常认为是“半”扫描，扫描程序发送一个SYN数据包，等待目标主机的应答。如果目标主机返回SYN|ACK，表示端口处于侦听状态。若返回RST，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序发送一个RST数据包，来终止这个连接。这种扫描技术的优点在于一般不会再目标计算机上留下纪录。但要求攻击者在发起攻击的计算机上必须有root权限，因为不是通过标准的connect调用来扫描端口，必须直接在网络上向目标主机发送SYN和RST数据包。（3）TCPFIN扫描 向目标主机的某个端口发送FIN数据包，若端口处于侦听状态，目标主机不会回复FIN数据包。相反，若端口未被侦听，目标主机会用适当的RST来回复。这种方法须依赖于系统的实现。某些系统对所有的FIN一律回复RST，不管端口是否打开。在这种情况下，TCPFIN扫描就不适用了。 （4）IP分片扫描 这种方法不直接发送TCP探测数据包，而是预先将数据包分成两个较小的IP数据包传送给目标主机。目标主机收到这些IP段后，会把它们组合还原为原先的TCP探测数据包。将数据包分片的目的是使他们能够通过防火墙和包过滤器，将一个TCP分为几个较小的数据包，可能会穿过防火墙而到达目标主机。 FIN的包（或者是任何没有ACK或SYN标记的包）（5）UDP端口扫描 许多主机在你向一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACH错误，需要root权限。 （6）UDPrecvfrom()和write()扫描 如果攻击者在发起攻击的计算机上没有root权限，它不能读到端口不可达（ICMP_PORT_UNREACH）错误数据包。在Linux中可以间接的检测到是否收到了目标主机的这个应答数据包。例如，对一个未侦听端口的第二个write()调用将失败。在非阻塞的UDP套接字上调用recvfrom()时，如果未收到这个应答，返回EAGAIM（其意思是可以重试）。如果收到这个应答，则返回ECONNREFUSED（连接被拒绝）。可以根据recvfrom（）和write（）的返回字来判断目标主机是否发送了ICMP_PORT_UNREACH应答。预攻击探测帐号扫描Finger服务探测NetBios探测预攻击探测漏洞扫描预攻击探测常见攻击行为暴力猜解就是从口令侯选器中一一选取单词，或用枚 举法选取，然后用各种同样的加密算法进行加密再比较。 一致则猜测成功，否则再尝试。 口令候选器 枚举法 口令加密 口令比较 获取口令的方法 防御方法 暴力猜解暴力猜解攻击暴力猜解攻击常见攻击行为利用已知漏洞的攻击缓冲区溢出攻击防止缓冲区溢出攻击的方法常见攻击行为什么是特洛伊安装后门安装后门后门攻击技术常见攻击行为拒绝服务攻击拒绝服务攻击-smurf攻击smurf攻击smurf防御拒绝服务攻击-分布式拒绝服务攻击分布式拒绝服务攻击分类分布式拒绝服务攻击过程分布式拒绝服务攻击分布式拒绝服务攻击术语分布式拒绝服务攻击防御绿盟--黑洞常见攻击行为sniffer原理sniffer方式sniffer危害防止sniffer常见攻击行为社会工程目录黑客攻击前的必备漏洞扫描技术工具