第七章黑客攻击与防范知识点难点要求第一节黑客攻击介绍7.1.1黑客与入侵者7.1.2黑客攻击的目的7.1.3黑客攻击的3个阶段7.1.4黑客攻击手段第二节黑客攻击常用工具7.2.1网络监听（2）监听模式的设置 要使主机工作在监听模式下，需要向网络接口发送I/O控制命令；将其设置为监听模式。在UNIX系统中，发送这些命令需要超级用户的权限。在UNIX系统中普通用户是不能进行网络监听的。但是，在上网的Windows95中，则没有这个限制。只要运行这一类的监听软件即可，而且具有操作方便，对监听到信息的综合能力强的特点。3.常用的监听工具2．Sniffit软件 Sniffit是由LawrenceBerkeley实验室开发的，运行于Solaris、SGI和Linux等平台的一种免费网络监听软件，具有功能强大且使用方便的特点。使用时，用户可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。 4.网络监听的检测方法二： 往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能下降。通过比较前后该机器性能（icmpechodelay等方法）加以判断。这种方法难度比较大。 方法三： 一个看起来可行的检查监听程序的方法是搜索所有主机上运行的进程。那些使用DOS、WindowsforWorkgroup或者Windows95的机器很难做到这一点。而使用UNIX和WindowsNT的机器可以很容易地得到当前进程的清单。7.2.2扫描器2.端口扫描 （１）端口 许多TCP/IP程序可以通过Internet启动，这些程序大都是面向客户/服务器的程序。当inetd接收到一个连接请求时，它便启动一个服务，与请求客户服务的机器通讯。为简化这一过程，每个应用程序（比如FTP、Telnet）被赋予一个唯一的地址，这个地址称为端口。在一般的Internet服务器上都有数千个端口，为了简便和高效，为每个指定端口都设计了一个标准的数据帧。换句话说，尽管系统管理员可以把服务绑定（bind）到他选定的端口上，但服务一般都被绑定到指定的端口上，它们被称为公认端口。第三节黑客攻击常见的两种形式7.3.1E-mail攻击接受代理则是负责将信件根据信件的信息而分发至不同的邮件信箱。 传输代理要求能够接受用户邮件程序送来的信件，解读收信人的具体地址，根据SMTP（SimpleMailTransportProtocol）协议将它正确无误地传递到目的地。而接收代理POP（PostOfficeProtocol，网络邮局协议或网络中转协议）则必须能够把用户的邮件被用户读取至自己的主机。 2.E-mail的安全漏洞 （1）HotmailService存在漏洞 （2）sendmail存在安全漏洞 （3）用Web浏览器查看邮件带来的漏洞 （4）E-mail服务器的开放性带来的威胁 （5）E-mail传输形式的潜在威胁 7.3.2特洛伊木马攻击（4）木马程序启动并发挥作用 黑客通常都是和用户的电脑中木马程序联系，当木马程序在用户的电脑中存在的时候，黑客就可以通过控制器断的软件来命令木马做事。这些命令是在网络上传递的，必须要遵守TCP/IP协议。TCP/IP协议规定电脑的端口有256X256=65536个，从0到65535号端口，木马可以打开一个或者几个端口，黑客使用的控制器断软件就是通过木马的端口进入用户的电脑的。 特洛伊木马要能发挥作用必须具备三个因素： ①木马需要一种启动方式，一般在注册表启动组中； ②木马需要在内存中才能发挥作用； ③木马会打开特别的端口，以便黑客通过这个端口和木马联系。2.特洛伊程序的存在形式 (1)大部分的特洛伊程序存在于编译过的二进制文件中。 (2)特洛伊程序也可以在一些没有被编译的可执行文件中发现。 4.特洛伊程序的删除 删除木马最简单的方法是安装杀毒软件，现在很多杀毒软件都能删除多种木马。但是由于木马的种类和花样越来越多，所以手动删除还是最好的办法。木马在启动后会被加载到注册表的启动组中，它会先进入内存，然后打开端口。所以在查找木马时要先使用TCPVIEW，而后开始查找开放的可疑端口。发现黑客 发现黑客入侵后的对策 7.4.1发现黑客7.4.2发现黑客入侵后的对策（4）管理员可以使用一些工具来监视黑客，观察他们在做什么。这些工具包括snoop、ps、lastcomm和ttywatch等。 （5）ps、w和who这些命令可以报告每一个用户使用的终端。如果黑客是从一个终端访问系统，这种情况不太好，因为这需要事先与电话公司联系。 （6）使用who和netstat可以发现入侵者从哪个主机上过来，然后可以使用finger命令来查看哪些用户登录进远程系统。 （7）修复安全漏洞并恢复系统，不给黑客留有可乘之机。 小结：