computer 版 (精华区)

发信人: neverbw (一切随缘), 信区: network
标  题: 网络常见攻击与防范完全手册(3)
发信站: 听涛站 (2001年12月20日23:08:30 星期四), 站内信件

9、端口扫描攻击
　　所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输
协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服
务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有：Connect()扫描。Fragm
entation扫描。
四、攻击者常用的攻击工具
　　1、D.O.S攻击工具：
　　如WinNuke通过发送OOB漏洞导致系统蓝屏；Bonk通过发送大量伪造的UDP数据包导致
系统重启；TearDrop通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃；WinArp通过发特
殊数据包在对方机器上产生大量的窗口；Land通过发送大量伪造源IP的基于SYN的TCP请
求导致系统重启动；FluShot通过发送特定IP包导致系统凝固；Bloo通过发送大量的ICM
P数据包导致系统变慢甚至凝固；PIMP通过IGMP漏洞导致系统蓝屏甚至重新启动；Jolt通
过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动。
　　2、木马程序
　　(1)、BO2000(BackOrifice)：它是功能最全的TCP／IP构架的攻击工具，可以搜集信
息，执行系统命令，重新设置机器，重新定向网络的客户端／服务器应用程序。BO2000
支持多个网络协议，它可以利用TCP或UDP来传送，还可以用XOR加密算法或更高级的3DE
S加密算法加密。感染BO2000后机器就完全在别人的控制之下，黑客成了超级用户，你的
所有操作都可由BO2000自带的“秘密摄像机”录制成“录像带”。
　　(2)、“冰河”：冰河是一个国产木马程序，具有简单的中文使用界面，且只有少数
流行的反病毒、防火墙才能查出冰河的存在。冰河的功能比起国外的木马程序来一点也
不逊色。 它可以自动跟踪目标机器的屏幕变化，可以完全模拟键盘及鼠标输入，即在使
被控端屏幕变化和监控端产生同步的同时，被监控端的一切键盘及鼠标操作将反映在控
端的屏幕。它可以记录各种口令信息，包括开机口令、屏保口令、各种共享资源口令以
及绝大多数在对话框中出现过的口令信息；它可以获取系统信息；它还可以进行注册表
操作，包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。
　　(3)、NetSpy：可以运行于Windows95／98／NT／2000等多种平台上，它是一个基于
TCP／IP的简单的文件传送软件，但实际上你可以将它看作一个没有权限控制的增强型F
TP服务器。通过它，攻击者可以神不知鬼不觉地下载和上传目标机器上的任意文件，并
可以执行一些特殊的操作。
　　(4)、Glacier：该程序可以自动跟踪目标计算机的屏幕变化、获取目标计算机登录
口令及各种密码类信息、获取目标计算机系统信息、限制目标计算机系统功能、任意操
作目标计算机文件及目录、远程关机、发送信息等多种监控功能。类似于BO2000。
　　(5)、KeyboardGhost：Windows系统是一个以消息循环(MessageLoop)为基础的操作
系统。系统的核心区保留了一定的字节作为键盘输入的缓冲区，其数据结构形式是队列
。键盘幽灵正是通过直接访问这一队列，使键盘上输入你的电子邮箱、代理的账号、密
码Password（显示在屏幕上的是星号）得以记录，一切涉及以星号形式显示出来的密码
窗口的所有符号都会被记录下来，并在系统根目录下生成一文件名为KG.DAT的隐含文件
。
　　(6)、ExeBind：这个程序可以将指定的攻击程序捆绑到任何一个广为传播的热门软
件上，使宿主程序执行时，寄生程序也在后台被执行，且支持多重捆绑。实际上是通过
多次分割文件，多次从父进程中调用子进程来实现的。
五、网络攻击应对策略
　　在对网络攻击进行上述分析与识别的基础上，我们应当认真制定有针对性的策略。
明确安全对象，设置强有力的安全保障体系。有的放矢，在网络中层层设防，发挥网络
的每层作用，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。还必须做
到未雨稠缪，预防为主 ，将重要的数据备份并时刻注意系统运行状况。以下是针对众多
令人担心的网络安全问题，提出的几点建议
　　1、提高安全意识
　　(1)不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程
序，比如“特洛伊”类黑客程序就需要骗你运行。
　　(2)尽量避免从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软
件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。
　　(3)密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易穷举。将常用的
密码设置不同，防止被人查出一个，连带到重要密码。重要密码最好经常更换。
　　(4)及时下载安装系统补丁程序。
　　(5)不随便运行黑客程序，不少这类程序运行时会发出你的个人信息。
　　(6)在支持HTML的BBS上，如发现提交警告，先看源代码，很可能是骗取密码的陷阱
。
　　2、使用防毒、防黑等防火墙软件。
　　防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进
/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内
部和外部网络，以阻档外部网络的侵入。
　　3、设置代理服务器，隐藏自已的IP地址。
　　保护自己的IP地址是很重要的。事实上，即便你的机器上被安装了木马程序，若没
有你的IP地址，攻击者也是没有办法的，而保护IP地址的最好方法就是设置代理服务器
。代理服务器能起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数
据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种
网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象
、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就
向内部网络转发这项请求。
　　4、将防毒、防黑当成日常例性工作，定时更新防毒组件，将防毒软件保持在常驻状
态，以彻底防毒。
　　5、由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒
。
　　6、对于重要的个人资料做好严密的保护，并养成资料备份的习惯。

--
         当爱情不再完美
         我宁愿选择无悔
        不管来生多么美丽
    我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]