网络安全第2章黑客与攻击技术

《网络安全第2章黑客与攻击技术》由会员分享，可在线阅读，更多相关《网络安全第2章黑客与攻击技术（103页珍藏版）》请在装配图网上搜索。

1、第第2 2章章 黑客与攻击技术黑客与攻击技术 2.1黑客概述 2.1.1 2.1.1 黑客黑客 1什么是黑客什么是黑客 黑黑客客是是“HackerHacker”的的音音译译，源源于于动动词词HackHack，其其引引申申意意义义是是指指“干干了了一一件件非非常常漂漂亮亮的的事事”。这这里里说说的的黑黑客客是是指指那那些些精精于于某某方方面面技技术术的的人人。对对于于计计算算机机而而言言，黑黑客客是是指指既既具具有有高高超超的的专专业业技技术术（精精通通网网络络、系系统统、外外设设以以及及软软硬硬件件技技术术），又又能能遵遵守守黑黑客客行行为为准则的人。准则的人。通通常常所所说说的的“黑黑客客”

2、指指的的是是骇骇客客（CrackerCracker，破破坏坏者者），是是那那些些怀怀有有不不良良企企图图，强强行行闯闯入入他他人人系系统统或或以以某某种种恶恶意意目目的的干干扰扰他他人人的的网网络络，运运用用自自己己的的知知识识去去做做出出有有损损他他人人权权益益的的事事情情的的人人，也也称入侵者。称入侵者。任任何何职职业业都都有有相相关关的的职职业业道道德德，黑黑客客也也有有其其“行行规规”，一一些些守守则则是是必必须须遵遵守守的的，归归纳纳起起来来就就是是“黑黑客客守守则则”。（1 1）不不要要恶恶意意破破坏坏任任何何系系统统，否否则则会会给给自自己己带带来来麻麻烦。烦。（2 2）不要破坏

3、别人的软件和资料。）不要破坏别人的软件和资料。（3 3）不不要要修修改改任任何何系系统统文文件件，如如果果是是由由于于进进入入系系统统的需要，则应该在目的达到后将其恢复原状。的需要，则应该在目的达到后将其恢复原状。（4 4）不不要要轻轻易易地地将将你你要要黑黑的的或或者者黑黑过过的的站站点点告告诉诉不不信任的朋友。信任的朋友。（5 5）在发表黑客文章时不要用自己的真实名字。）在发表黑客文章时不要用自己的真实名字。2 2黑客守则黑客守则 2 2黑客守则黑客守则 （6 6）正在入侵的时候，不要随意离开自己的电脑。）正在入侵的时候，不要随意离开自己的电脑。（7 7）不要入侵或破坏政府机关的主机。）不

4、要入侵或破坏政府机关的主机。（8 8）将自己的笔记放在安全的地方。）将自己的笔记放在安全的地方。（9 9）已侵入的电脑中的账号不得清除或修改。）已侵入的电脑中的账号不得清除或修改。（1010）可可以以为为隐隐藏藏自自己己的的侵侵入入而而作作一一些些修修改改，但但要要尽尽量量保保持持原原系系统统的的安安全全性性，不不能能因因为为得得到到系系统统的的控控制制权权而而将将门门户大开。户大开。（1111）勿做无聊、单调并且愚蠢的重复性工作。）勿做无聊、单调并且愚蠢的重复性工作。（1212）要要做做真真正正的的黑黑客客，读读遍遍所所有有有有关关系系统统安安全全或或系系统统漏洞的书籍。漏洞的书籍。3.3.

5、黑客的威胁趋势黑客的威胁趋势1980 1985 1990 1995 2001 2003时间（年）时间（年）高高各种攻击者的综合威胁各种攻击者的综合威胁程度程度低低对攻击者技术知识和技巧的对攻击者技术知识和技巧的要求要求黑客攻击越来越容易实现，威胁程度越来越高黑客攻击越来越容易实现，威胁程度越来越高4.4.黑客攻击的目标黑客攻击的目标n针对基础设施、安全设备的攻击针对基础设施、安全设备的攻击n终端、用户系统终端、用户系统基础设施基础设施n危害范围更大、造成损失更大、负面影响更大危害范围更大、造成损失更大、负面影响更大n主机、服务器主机、服务器安全设备安全设备n安全设备安全设备“后面后面”往往毫无

6、戒备，用户对安全设备的依赖往往毫无戒备，用户对安全设备的依赖性更大性更大n针对业务流程、信息内容的安全威胁针对业务流程、信息内容的安全威胁n垃圾信息（垃圾邮件、垃圾广告、垃圾信息（垃圾邮件、垃圾广告、）n有害信息（反动、色情、暴力、有害信息（反动、色情、暴力、）n针对业务系统设计漏洞的攻击针对业务系统设计漏洞的攻击5.5.黑客黑客攻击的演变攻击的演变（1 1）攻击手段在快速改变）攻击手段在快速改变 如今各种黑客工具唾手可得，各种各样的黑客网站如今各种黑客工具唾手可得，各种各样的黑客网站到处都是。网络攻击的自动化程度和攻击速度不断提高，到处都是。网络攻击的自动化程度和攻击速度不断提高，利用分工协

7、同的扫描方式、配合灵活的任务配置和加强利用分工协同的扫描方式、配合灵活的任务配置和加强自身隐蔽性，来实现大规模、高效率的安全扫描。自身隐蔽性，来实现大规模、高效率的安全扫描。n安全脆弱的系统更容易受到损害；安全脆弱的系统更容易受到损害；n从以前需要依靠人启动软件工具发起的攻击，发展到攻击从以前需要依靠人启动软件工具发起的攻击，发展到攻击工具可以自己发动新的攻击；工具可以自己发动新的攻击；n攻击工具的开发者正在利用更先进的技术武装攻击工具，攻击工具的开发者正在利用更先进的技术武装攻击工具，攻击工具的特征比以前更难发现，攻击工具越来越复杂。攻击工具的特征比以前更难发现，攻击工具越来越复杂。（2 2

8、）漏洞被利用的速度越来越快）漏洞被利用的速度越来越快 安全问题的技术根源是软件和系统的安全安全问题的技术根源是软件和系统的安全漏洞，正是一些别有用心的人利用了这些漏洞，漏洞，正是一些别有用心的人利用了这些漏洞，才造成了安全问题。才造成了安全问题。新发现的各种系统与网络安全漏洞每年都新发现的各种系统与网络安全漏洞每年都要增加一倍，每年都会发现安全漏洞的新类型，要增加一倍，每年都会发现安全漏洞的新类型，网络管理员需要不断用最新的软件补丁修补这网络管理员需要不断用最新的软件补丁修补这些漏洞。黑客经常能够抢在厂商修补这些漏洞些漏洞。黑客经常能够抢在厂商修补这些漏洞前发现这些漏洞并发起攻击。前发现这些漏

9、洞并发起攻击。（3 3）有组织的攻击越来越多）有组织的攻击越来越多 攻击的群体在改变，从个体到有组织的群攻击的群体在改变，从个体到有组织的群体，各种各样黑客组织不断涌现，进行协同作体，各种各样黑客组织不断涌现，进行协同作战。战。在攻击工具的协调管理方面，随着分布式在攻击工具的协调管理方面，随着分布式攻击工具的出现，黑客可以容易地控制和协调攻击工具的出现，黑客可以容易地控制和协调分布在分布在InternetInternet上的大量已部署的攻击工具。上的大量已部署的攻击工具。目前，分布式攻击工具能够更有效地发动拒绝目前，分布式攻击工具能够更有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全服务

10、攻击，扫描潜在的受害者，危害存在安全隐患的系统。隐患的系统。（4 4）攻击的目的和目标在改变）攻击的目的和目标在改变n从早期的以个人表现的无目的的攻击，到有意识有目从早期的以个人表现的无目的的攻击，到有意识有目的的攻击，攻击目标在改变；的的攻击，攻击目标在改变；n从早期的以军事敌对为目标向民用目标转变，民用计从早期的以军事敌对为目标向民用目标转变，民用计算机受到越来越多的攻击，公司甚至个人的电脑都成算机受到越来越多的攻击，公司甚至个人的电脑都成为了攻击目标。为了攻击目标。n更多的职业化黑客的出现，使网络攻击更加有目的性。更多的职业化黑客的出现，使网络攻击更加有目的性。n黑客们已经不再满足于简单

11、、虚无飘渺的名誉追求，黑客们已经不再满足于简单、虚无飘渺的名誉追求，更多的攻击背后是丰厚的经济利益。更多的攻击背后是丰厚的经济利益。（5 5）攻击行为越来越隐密）攻击行为越来越隐密 攻击者已经具备了反侦破、动态行为、攻攻击者已经具备了反侦破、动态行为、攻击工具更加成熟等特点。击工具更加成熟等特点。n反侦破是指黑客越来越多地采用具有隐蔽攻击特性反侦破是指黑客越来越多地采用具有隐蔽攻击特性的技术，使安全专家需要耗费更多的时间来分析新的技术，使安全专家需要耗费更多的时间来分析新出现的攻击工具和了解新的攻击行为。出现的攻击工具和了解新的攻击行为。n动态行为是指现在的自动攻击工具可以根据随机选动态行为是

12、指现在的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为，而不是像早期的攻击工来变化它们的模式和行为，而不是像早期的攻击工具那样，仅能够以单一确定的顺序执行攻击步骤。具那样，仅能够以单一确定的顺序执行攻击步骤。（6 6）攻击的破坏效果增大）攻击的破坏效果增大 由于用户越来越多地依赖计算机网络提供各种服由于用户越来越多地依赖计算机网络提供各种服务，完成日常业务，黑客攻击网络基础设施造成的破务，完成日常业务，黑客攻击网络基础设施造成的破坏影响越来越大。坏影响越来越大。由于攻击技术的进步，攻击者可以较容易地利用由

13、于攻击技术的进步，攻击者可以较容易地利用分布式攻击技术，对受害者发动破坏性攻击。随着黑分布式攻击技术，对受害者发动破坏性攻击。随着黑客软件部署自动化程度和攻击工具管理技巧的提高，客软件部署自动化程度和攻击工具管理技巧的提高，安全威胁的不对称性将继续增加。攻击者的数量也不安全威胁的不对称性将继续增加。攻击者的数量也不断增加。断增加。1 1信息收集信息收集 黑黑客客首首先先要要确确定定攻攻击击的的目目标标，然然后后利利用用社社会会学学攻攻击击、黑黑客客技技术术等等方方法法和和手手段段，收收集集目目标标主主机机的的各各种种信信息息。收收集集信信息息并并不不会会对对目目标标主机造成危害，只是为进一步攻

14、击提供有价值的信息。主机造成危害，只是为进一步攻击提供有价值的信息。2 2入侵并获得初始访问权入侵并获得初始访问权 黑黑客客要要想想入入侵侵一一台台主主机机，必必须须要要有有该该主主机机的的账账号号和和密密码码，所所以以黑黑客客首首先先要要设设法法盗盗取取账账户户文文件件，并并进进行行破破解解，以以获获得得用用户户的的账账号号和和密码，然后以合法的身份登录到被攻击的主机上。密码，然后以合法的身份登录到被攻击的主机上。3 3获得管理员权限，实施攻击获得管理员权限，实施攻击 有有了了普普通通账账号号就就可可以以侵侵入入到到目目标标主主机机之之中中，由由于于普普通通账账号号的的权权限限有有限限，所所

15、以以黑黑客客会会利利用用系系统统的的漏漏洞洞、监监听听、欺欺骗骗、口口令令攻攻击击等等技技术和手段获取管理员的权限，然后实施对该主机的绝对控制。术和手段获取管理员的权限，然后实施对该主机的绝对控制。2.1.22.1.2黑客攻击的步骤黑客攻击的步骤 2.1.22.1.2黑客攻击的步骤黑客攻击的步骤4 4种植后门种植后门 为了保持对为了保持对“胜利果实胜利果实”长期占有的欲望，长期占有的欲望，在已被攻破的主机上种植供自己访问的后门程在已被攻破的主机上种植供自己访问的后门程序。序。5 5隐藏自己隐藏自己 当黑客实施攻击以后，通常会在被攻击主当黑客实施攻击以后，通常会在被攻击主机的日志中留下相关的信息

16、，所以黑客一般会机的日志中留下相关的信息，所以黑客一般会采用清除系统日志或者伪造系统日志等方法来采用清除系统日志或者伪造系统日志等方法来销毁痕迹，以免被跟踪。销毁痕迹，以免被跟踪。2.1.22.1.2黑客攻击的步骤黑客攻击的步骤攻击主机确定目标信息收集漏洞挖掘攻击网络留下后门清除日志结束攻击2.1.32.1.3黑客常用的攻击手段黑客常用的攻击手段 目前常见的黑客攻击手段主要有以下几种：目前常见的黑客攻击手段主要有以下几种：1社会工程学攻击社会工程学攻击 社会工程学攻击是指利用人性的弱点、社社会工程学攻击是指利用人性的弱点、社会心理学等知识来获得目标系统敏感信息的行会心理学等知识来获得目标系统敏

17、感信息的行为。为。攻击者如果没有办法通过物理入侵直接取攻击者如果没有办法通过物理入侵直接取得所需要的资料，就会通过计策或欺骗等手段得所需要的资料，就会通过计策或欺骗等手段间接获得密码等敏感信息，通常使用电子邮件、间接获得密码等敏感信息，通常使用电子邮件、电话等形式对所需要的资料进行骗取，再利用电话等形式对所需要的资料进行骗取，再利用这些资料获取主机的权限以达到其攻击的目的。这些资料获取主机的权限以达到其攻击的目的。1 1社会工程学攻击社会工程学攻击 （1 1）打电话请求密码）打电话请求密码 尽尽管管不不像像前前面面讨讨论论的的策策略略那那样样聪聪明明，但但打打电电话话寻寻问问密密码码却却经经常

18、常奏奏效效。在在社社会会工工程程中中那那些些黑黑客客冒冒充充失失去去密密码码的的合合法法雇雇员员，经经常常通通过过这这种种简简单单的的方方法法重重新新获获得得密码。密码。（2 2）伪造）伪造EmailEmail 通通过过使使用用telnettelnet，黑黑客客可可以以截截取取任任何何用用户户EmailEmail的的全全部部信信息息，这这样样的的EmailEmail消消息息是是真真实实的的，因因为为它它发发自自于于合合法法的的用用户户。利利用用这这种种机机制制，黑黑客客可可以以任任意意进进行行伪伪造造，并并冒冒充充系系统统管管理理员员轻轻松松地地获获得得大大量量的的信信息息，以以实实施他们的恶

19、意阴谋。施他们的恶意阴谋。信信息息收收集集就就是是对对目目标标主主机机及及其其相相关关设设施施、管管理理人人员员进进行行非非公公开开的的了了解解，用用于于对对攻攻击击目目标标安安全全防防卫卫工工作作情情况的掌握。况的掌握。（1 1）简简单单信信息息收收集集。可可以以通通过过一一些些网网络络命命令令对对目目标标主主机机进进行行信信息息查查询询。如如，PingPing、FingerFinger、WhoisWhois、TracerrouteTracerroute等。等。（2 2）网网络络扫扫描描。使使用用扫扫描描工工具具对对网网络络地地址址、开开放放端口等情况扫描。端口等情况扫描。（3 3）网网络络

20、监监听听。使使用用监监听听工工具具对对网网络络数数据据包包进进行行监听，以获得口令等敏感信息。监听，以获得口令等敏感信息。2 2信息收集型攻击信息收集型攻击3 3欺骗型攻击欺骗型攻击 通通常常利利用用实实体体之之间间的的信信任任关关系系而而进进行行的的一一种种攻攻击击方式，主要形式有：方式，主要形式有：（1 1）IPIP欺欺骗骗。使使用用其其它它主主机机的的IPIP地地址址来来获获得得信信息息或者得到特权。或者得到特权。（2 2）WebWeb欺欺骗骗。通通过过主主机机间间的的信信任任关关系系，以以WebWeb形形式实施的一种欺骗行为。式实施的一种欺骗行为。（3 3）邮件欺骗。用冒充的）邮件欺骗

21、。用冒充的EmailEmail地址进行欺骗。地址进行欺骗。（4 4）非非技技术术类类欺欺骗骗。主主要要是是针针对对人人力力因因素素的的攻攻击击，通过社会工程技术来实现。通过社会工程技术来实现。通常是利用系统漏洞或缺陷进行的攻击。通常是利用系统漏洞或缺陷进行的攻击。（1 1）缓缓冲冲区区溢溢出出：是是指指通通过过有有意意设设计计而而造造成成缓缓冲冲区区溢溢出出的的现现象象，目目的的是是使使程程序序运运行行失失败败，或或者者为为了了获获得得系系统的特权。统的特权。（2 2）拒拒绝绝服服务务攻攻击击：如如果果一一个个用用户户占占用用大大量量资资源源，系系统统就就没没有有剩剩下下的的资资源源再再提提供

22、供服服务务，导导致致死死机机等等现现象象的的发发生生，如如，死死亡亡之之PingPing、泪泪滴滴（TeardropTeardrop）、UDPUDP洪洪水水、SYNSYN洪水、洪水、LandLand攻击、邮件炸弹、攻击、邮件炸弹、FraggleFraggle攻击等。攻击等。（3 3）分分布布式式拒拒绝绝服服务务攻攻击击：攻攻击击者者通通常常控控制制多多个个分分布的布的“傀儡傀儡”主机，对某一目标发动拒绝服务的攻击。主机，对某一目标发动拒绝服务的攻击。4 4漏洞与缺陷攻击漏洞与缺陷攻击5 5利用型攻击利用型攻击 利利用用型型攻攻击击是是指指试试图图直直接接对对主主机机进进行行控控制制的攻击，常见

23、有：的攻击，常见有：（1 1）猜猜口口令令。通通过过分分析析或或暴暴力力攻攻击击等等手手段获取合法账户的口令。段获取合法账户的口令。（2 2）木木马马攻攻击击。这这里里的的“木木马马”是是潜潜在在威威胁胁的的意意思思，种种植植过过木木马马的的主主机机将将会会完完全全被被攻攻击者掌握和控制。击者掌握和控制。6 6病毒攻击病毒攻击 致致使使目目标标主主机机感感染染病病毒毒，从从而而造造成成系系统统损损坏坏、数数据据丢丢失失、拒拒绝绝服服务务、信信息息泄泄密密、性性能下降等现象的攻击。能下降等现象的攻击。病病毒毒攻攻击击是是当当今今网网络络信信息息安安全全的的主主要要威威胁之一。胁之一。2.1.42

24、.1.4黑客入侵后的应对措施黑客入侵后的应对措施 1 1发现黑客发现黑客 发发现现信信息息系系统统是是否否被被入入侵侵不不是是件件容容易易的的事事，即即使使已已经经有有黑黑客客入入侵侵，也也可可能能永永远远发发现现不不了了。如如果果黑黑客客破破坏坏了了站站点点的的安安全全性性，则追踪他们，方法有：则追踪他们，方法有：n借助工具来发现，如：扫描、监听等借助工具来发现，如：扫描、监听等n对可疑行为进行检查，如检查系统命令等对可疑行为进行检查，如检查系统命令等n查看屡次失败的访问口令查看屡次失败的访问口令2 2应急操作应急操作（1 1）估计形势）估计形势 估估计计入入侵侵造造成成的的破破坏坏程程度度

25、，如如，是是否否已已经经入入侵侵？是否还滞留？是否来自内部等。是否还滞留？是否来自内部等。（2 2）切断连接）切断连接 立立即即采采取取行行动动，切切断断连连接接，如如，关关闭闭服服务务器器，追追踪黑客等。踪黑客等。（3 3）分析问题）分析问题 分析新近分析新近发发生的安全事件，并制定一个生的安全事件，并制定一个计计划。划。（4 4）采取行动）采取行动 实施紧急反应计划，修补漏洞，恢复系统。实施紧急反应计划，修补漏洞，恢复系统。3 3抓住入侵者抓住入侵者n遵循一定的原则，有利于抓住入侵者遵循一定的原则，有利于抓住入侵者n定期检查登录文件定期检查登录文件n注意不寻常的登录注意不寻常的登录n注意突

26、然活跃的账号注意突然活跃的账号n预判入侵者的活动时间预判入侵者的活动时间2.1.52.1.5黑客与信息安全黑客与信息安全 进进入入2121世世纪纪，黑黑客客的的行行为为又又呈呈现现出出新新的特点，主要表现为：的特点，主要表现为：（1 1）群体组织化）群体组织化（2 2）地域全球化）地域全球化（3 3）构成大众化）构成大众化（4 4）阵容年轻化）阵容年轻化（5 5）技术智能化）技术智能化（6 6）手段多样化）手段多样化（7 7）动机商业化）动机商业化（8 8）身份合法化）身份合法化（9 9）行为军事化）行为军事化2.22.2网络扫描网络扫描 2.2.12.2.1扫描的概念扫描的概念n网网络络扫扫

27、描描就就是是对对计计算算机机系系统统或或者者其其他他网网络络设设备备进进行行与与安安全全相相关关的的检检测测，以以找找出出目目标标系系统统所所放放开开放放的的端端口口信信息息、服服务务类类型型以以及及安安全全隐隐患患和和可可能能被被黑黑客客利利用用的漏洞。的漏洞。n它是一种系统检测、有效防御的工具。它是一种系统检测、有效防御的工具。n如如果果被被黑黑客客掌掌握握，它它也也可可以以成成为为一一种种有有效效的的入入侵侵工工具。具。2.2.22.2.2网络扫描的原理网络扫描的原理 n网网络络扫扫描描的的基基本本原原理理是是通通过过网网络络向向目目标标系系统统发发送送一一些些特特征征信息，然后根据反馈

28、情况，获得有关信息。信息，然后根据反馈情况，获得有关信息。n网络扫描通常采用两种策略：网络扫描通常采用两种策略：n第第一一种种是是被被动动式式策策略略，所所谓谓被被动动式式策策略略就就是是基基于于主主机机之之上上，对对系系统统中中不不合合适适的的设设置置、脆脆弱弱的的口口令令以以及及其其他他与与安安全全规规则则抵抵触触的的对对象象进行检查；进行检查；n第第二二种种是是主主动动式式策策略略，主主动动式式策策略略是是基基于于网网络络的的，它它通通过过执执行行一一些些脚脚本本文文件件，模模拟拟对对系系统统进进行行攻攻击击的的行行为为并并记记录录系系统统的的反反应应，从从而发现其中的漏洞。而发现其中的

29、漏洞。n利利用用被被动动式式策策略略扫扫描描称称为为安安全全扫扫描描，利利用用主主动动式式策策略略扫扫描描称为网络安全扫描。称为网络安全扫描。1.1.端口扫描端口扫描n端口扫描是指通过检测远程或本地系统的端口开端口扫描是指通过检测远程或本地系统的端口开放情况，来判断系统所安装的服务和相关信息。放情况，来判断系统所安装的服务和相关信息。n其原理是向目标工作站、服务器发送数据包，根其原理是向目标工作站、服务器发送数据包，根据信息反馈来分析当前目标系统的端口开放情况据信息反馈来分析当前目标系统的端口开放情况和更多细节信息。和更多细节信息。n主要的目的是：主要的目的是：n判断目标主机中开放了哪些服务判

30、断目标主机中开放了哪些服务n判断目标主机的操作系统判断目标主机的操作系统（1 1）TCP connect()TCP connect()扫描扫描 n这是最基本的这是最基本的TCPTCP扫描。操作系统提供的扫描。操作系统提供的connectconnect()()系统调用，用来与每一个感兴趣的目标主系统调用，用来与每一个感兴趣的目标主机的端口进行连接。机的端口进行连接。n如果端口处于侦听状态，那么如果端口处于侦听状态，那么connect()connect()就就能成功。否则，这个端口是不能用的，即没能成功。否则，这个端口是不能用的，即没有提供服务。有提供服务。（2 2）TCP SYNTCP SYN扫

31、描扫描n这这种种技技术术通通常常认认为为是是“半半开开放放”扫扫描描，因因为为扫描程序不必要打开一个完全的扫描程序不必要打开一个完全的TCPTCP连接。连接。n扫描程序发送的是一个扫描程序发送的是一个SYNSYN数据包，好象准数据包，好象准备打开一个实际的连接并等待反应一样。备打开一个实际的连接并等待反应一样。n一个一个ACKACK的返回信息表示端口处于侦听状态；的返回信息表示端口处于侦听状态；一个一个RSTRST返回，表示端口没有处于侦听态。返回，表示端口没有处于侦听态。（2 2）TCP SYNTCP SYN扫描扫描客户端服务器端客户端服务器端正常过程半开连接SYNSYN/ACKACKSYN

32、SYN/ACKSYN/ACKSYN Timeout（3 3）TCP FIN TCP FIN 扫描扫描n有有的的时时候候可可能能SYNSYN扫扫描描都都不不够够秘秘密密。一一些些防防火火墙墙和和包包过过滤滤器器会会对对一一些些指指定定的的端端口口进进行行监监视视，有有的的程程序序能检测到这些扫描。能检测到这些扫描。nFINFIN数据包可能会没有任何麻烦的通过。这种扫描数据包可能会没有任何麻烦的通过。这种扫描方法的思想是，关闭的端口会用适当的方法的思想是，关闭的端口会用适当的RSTRST来回复来回复FINFIN数据包。这种方法和系统的实现有一定的关系。数据包。这种方法和系统的实现有一定的关系。有的

33、系统不管端口是否打开，都回复有的系统不管端口是否打开，都回复RSTRST，这样，这样，这种扫描方法就不适用了。这种扫描方法就不适用了。n这种方法在区分这种方法在区分UnixUnix和和NTNT时，是十分有用的。时，是十分有用的。（4 4）UDP ICMPUDP ICMP端口不能到达扫描端口不能到达扫描n这这种种方方法法使使用用的的是是UDPUDP。由由于于这这个个协协议议很很简简单单，所所以以扫扫描描相相对对比比较较困困难难。因因为为打打开开的的端端口口对对扫扫描描探探测测并并不不发发送送一一个个确确认认，关关闭闭的的端端口也并不需要发送一个错误数据包。口也并不需要发送一个错误数据包。n但是，

34、许多主机在你向一个未打开的但是，许多主机在你向一个未打开的UDPUDP端端口发送一个数据包时，会返回一个口发送一个数据包时，会返回一个ICMP_PORT_UNREACHICMP_PORT_UNREACH错误。这样你就能发现错误。这样你就能发现哪个端口是关闭的。哪个端口是关闭的。（5 5）IPIP包分段扫描包分段扫描n这种不能算是新方法，只是其它技术的变化。这种不能算是新方法，只是其它技术的变化。n它并不是直接发送它并不是直接发送TCPTCP探测数据包，而是将探测数据包，而是将数据包分成几个较小的数据包分成几个较小的IPIP段。段。n这样就将一个这样就将一个TCPTCP头分成好几个数据包，从头分

35、成好几个数据包，从而过滤器就很难探测到。而过滤器就很难探测到。（6 6）慢速扫描）慢速扫描n由于一般扫描检测器的实现是通过监视某个由于一般扫描检测器的实现是通过监视某个时间段里一台特定主机被连接的数目来决定时间段里一台特定主机被连接的数目来决定是否在被扫描，因此，攻击者可以通过使用是否在被扫描，因此，攻击者可以通过使用扫描速度慢一些的扫描软件进行扫描，这样扫描速度慢一些的扫描软件进行扫描，这样检测软件就不会判别出他在进行扫描了。检测软件就不会判别出他在进行扫描了。2.2.漏洞扫描漏洞扫描n漏洞扫描是指检测远程或本地系统中存在的安全缺陷。漏洞扫描是指检测远程或本地系统中存在的安全缺陷。n其原理是

36、，采用模拟攻击的形式，对工作站、服务器、其原理是，采用模拟攻击的形式，对工作站、服务器、交换机、数据库应用等各种对象可能存在的安全漏洞进交换机、数据库应用等各种对象可能存在的安全漏洞进行逐项检查，根据扫描结果形成安全性分析报告。行逐项检查，根据扫描结果形成安全性分析报告。n漏洞扫描一般分为漏洞扫描一般分为3 3类：类：n操作系统扫描操作系统扫描n网络安全扫描网络安全扫描n数据库安全扫描数据库安全扫描2.2.漏洞扫描漏洞扫描n基于网络的漏洞扫描技术：通过网络来测试主机安全基于网络的漏洞扫描技术：通过网络来测试主机安全性，它检测主机当前可用的服务及其开放端口，查找性，它检测主机当前可用的服务及其开

37、放端口，查找可能被远程试图恶意访问者攻击的大量漏洞、隐患及可能被远程试图恶意访问者攻击的大量漏洞、隐患及安全脆弱点。安全脆弱点。n基于主机的漏洞扫描技术：用于扫描本地主机，查找基于主机的漏洞扫描技术：用于扫描本地主机，查找安全漏洞，查杀病毒、木马、蠕虫等危害系统安全的安全漏洞，查杀病毒、木马、蠕虫等危害系统安全的恶意程序，主要是针对操作系统的扫描检测，通常涉恶意程序，主要是针对操作系统的扫描检测，通常涉及系统的内核、文件的属性、操作系统的补丁等问题，及系统的内核、文件的属性、操作系统的补丁等问题，还包括口令解密等。还包括口令解密等。2.2.漏洞扫描漏洞扫描n通过使用安全扫描器，可以：通过使用安

38、全扫描器，可以：n收集信息：包括远程操作系统识别、网络结构分析、收集信息：包括远程操作系统识别、网络结构分析、端口开放情况以及其他敏感信息，例如，提供的服端口开放情况以及其他敏感信息，例如，提供的服务、软件版本等。务、软件版本等。n检测漏洞：包括已知安全漏洞的检测、错误的配置检测漏洞：包括已知安全漏洞的检测、错误的配置检测、弱口令检测。检测、弱口令检测。2.2.32.2.3网络扫描的防范网络扫描的防范 n预预防防端端口口扫扫描描的的检检测测是是一一个个大大的的难难题题，因因为为每每个个网网站站的的服服务务（端端口口）都都是是公公开开的的，所所以以一一般般无法判断是否有人在进行端口扫描。无法判断

39、是否有人在进行端口扫描。n但但是是根根据据端端口口扫扫描描的的原原理理，扫扫描描器器一一般般都都只只是是查查看看端端口口是是否否开开通通，然然后后在在端端口口列列表表中中显显示示出出相应的服务。相应的服务。n因因此此，网网络络管管理理员员可可以以把把服服务务开开在在其其他他端端口口上上，如如可可以以将将HTTPHTTP服服务务固固定定的的8080端端口口改改为为其其他他端端口口，这样就容易区别合法的连接请求和扫描现象。这样就容易区别合法的连接请求和扫描现象。2.2.32.2.3网络扫描的防范网络扫描的防范n对于端口扫描的防范需要进行统计分析，即在对于端口扫描的防范需要进行统计分析，即在单位时间

40、内统计，当发现接收到超过上限数目单位时间内统计，当发现接收到超过上限数目的以扫描端口为目的的数据包请求时，可以判的以扫描端口为目的的数据包请求时，可以判断为发现了端口扫描攻击。断为发现了端口扫描攻击。n对于慢扫描，可以在一段较长时间内对此类请对于慢扫描，可以在一段较长时间内对此类请求数据包进行联合分析，若发现某特定时间段求数据包进行联合分析，若发现某特定时间段内，主机较为均匀地接受到此类数据包请求，内，主机较为均匀地接受到此类数据包请求，则判断为慢速扫描。则判断为慢速扫描。2.2.32.2.3网络扫描的防范网络扫描的防范 防范扫描可行的方法是：防范扫描可行的方法是：（1 1）关关闭闭掉掉所所有

41、有闲闲置置的的和和有有潜潜在在威威胁胁的的端口。端口。（2 2）通通过过防防火火墙墙或或其其它它安安全全系系统统检检查查各各端端口口，如如果果有有端端口口扫扫描描的的症症状状时时，就就立立即即屏屏蔽该端口。蔽该端口。（3 3）利利用用特特殊殊软软件件在在一一些些端端口口上上欺欺骗骗黑黑客，让其扫描和攻击客，让其扫描和攻击“陷阱陷阱”端口。端口。2.32.3网络监听网络监听2.3.12.3.1监听的概念监听的概念1 1什么是监听什么是监听 网络监听也被称作网络嗅探（网络监听也被称作网络嗅探（SnifferSniffer）。）。它工作在网络的底层，能够把网络传输的全部数据记它工作在网络的底层，能够

42、把网络传输的全部数据记录下来，黑客一般都是利用该技术来截取用户口令的。录下来，黑客一般都是利用该技术来截取用户口令的。网络监听是一种常用的被动式网络攻击方法，能帮助网络监听是一种常用的被动式网络攻击方法，能帮助入侵者轻易获得用其他方法很难获得的信息，包括用户口入侵者轻易获得用其他方法很难获得的信息，包括用户口令、账号、敏感数据、令、账号、敏感数据、IPIP地址、路由信息、地址、路由信息、TCPTCP套接字号套接字号等。等。网网络络监监听听通通常常在在网网络络接接口口处处截截获获计计算算机机之之间间通通信信的的数数据据流流，是是进进行行网网络络攻攻击击最最简简单单、最最有有效效的的方方法法。它具

43、有以下特点：它具有以下特点：（1 1）隐隐蔽蔽性性强强。进进行行网网络络监监听听的的主主机机只只是是被被动动地地接接收收在在网网络络中中传传输输的的信信息息，没没有有任任何何主主动动的的行行为为，既既不不修修改改在在网网络络中中传传输输的的数数据据包包，也也不不往往链链路路中中插插入入任任何数据，很难被网络管理员觉察到。何数据，很难被网络管理员觉察到。（2 2）手手段段灵灵活活。网网络络监监听听可可以以在在网网络络中中的的任任何何位位置置实实施施，可可以以是是网网络络中中的的一一台台主主机机、路路由由器器，也也可可以以是是调调制制解解调调器器。其其中中，网网络络监监听听效效果果最最好好的的地地

44、方方是是在在网网络络中中某某些些具具有有战战略略意意义义的的位位置置，如如网网关关、路路由由器器、防防火火墙墙之之类类的的设设备备或或重重要要网网段段；而而使使用用最最方方便便的的地地方方是在网络中的一台主机中。是在网络中的一台主机中。2 2监听的特点监听的特点 监监听听虽虽然然没没有有直直接接对对系系统统发发动动破破坏坏性性攻攻击击，但是其依旧是危险的，主要危害有：但是其依旧是危险的，主要危害有：（1 1）能够捕获口令。）能够捕获口令。（2 2）能够捕获专用的或者机密的信息。）能够捕获专用的或者机密的信息。（3 3）可可以以用用来来危危害害网网络络邻邻居居的的安安全全，或或者者用用来获取更高

45、级别的访问权限。来获取更高级别的访问权限。（4 4）分析网络结构，进行网络渗透。）分析网络结构，进行网络渗透。3 3监听的危害监听的危害2.3.22.3.2监听的原理监听的原理 正正常常情情况况下下，网网卡卡只只接接收收发发给给自自己己的的信信息息，但但是是如如果果将将网网卡卡模模式式设设置置为为PromiscuousPromiscuous（混混杂杂模模式式），网卡进行的数据包过滤将不同于普通模式。网卡进行的数据包过滤将不同于普通模式。在在普普通通模模式式下下，只只有有本本地地地地址址的的数数据据包包或或者者广广播播才才会会被被网网卡卡提提交交给给系系统统核核心心；否否则则这这些些数数据据包包

46、就就直直接接被网卡抛弃。被网卡抛弃。混混合合模模式式让让所所有有经经过过的的数数据据包包都都传传递递给给系系统统核核心心；然后被然后被SnifferSniffer等程序利用。等程序利用。2.3.22.3.2监听的原理监听的原理 所谓混杂接收模式是指网卡可以接收网络中传输所谓混杂接收模式是指网卡可以接收网络中传输的所有报文，无论其目的的所有报文，无论其目的MACMAC地址是否为该网卡的地址是否为该网卡的MACMAC地址。地址。由于网卡支持混杂模式，才使网卡驱动程序支持由于网卡支持混杂模式，才使网卡驱动程序支持MACMAC地址的修改成为可能；否则，就算修改了地址的修改成为可能；否则，就算修改了MA

47、CMAC地址，地址，但是网卡根本无法接收相应地址的报文，该网卡就变但是网卡根本无法接收相应地址的报文，该网卡就变得只能发送，无法接收，通信也就无法正常进行了。得只能发送，无法接收，通信也就无法正常进行了。要使机器成为一个嗅探器，需要一个特殊的软件要使机器成为一个嗅探器，需要一个特殊的软件（以太网卡的广播驱动程序）或者需要一种能使网络（以太网卡的广播驱动程序）或者需要一种能使网络处于混杂模式的网络软件。网络监听器处于混杂模式的网络软件。网络监听器SnifferSniffer就是这就是这样的软件。样的软件。1检测网络嗅探检测网络嗅探 网网络络嗅嗅探探的的检检测测其其实实是是很很麻麻烦烦的的，由由于

48、于嗅嗅探探器器需需要要将将网网络络中中入入侵侵的的网网卡卡设设置置为为混混杂杂模模式式才才能能工工作作，所所以以可可以以通通过过检检测测混混杂杂模模式式网网卡卡的的工工具具来来发现网络嗅探。发现网络嗅探。还还可可以以通通过过网网络络带带宽宽出出现现反反常常来来检检测测嗅嗅探探。通通过过某某些些带带宽宽控控制制器器，可可以以实实时时看看到到目目前前网网络络带带宽宽的的分分布布情情况况，如如果果某某台台机机器器长长时时间间的的占占用用了了较较大大的的带带宽宽，这这台台机机器器就就有有可可能能在在监监听听。通通过过带带宽宽控制器也可以察觉出网络通信速度的变化。控制器也可以察觉出网络通信速度的变化。2

49、.3.32.3.3监听的防范监听的防范 1 1检测网络嗅探检测网络嗅探 对对于于SunOSSunOS和和其其他他的的BSD BSD UnixUnix系系统统可可以以使使用用LsofLsof命令来检测嗅探器的存在。命令来检测嗅探器的存在。LsofLsof的的最最初初的的设设计计目目的的并并非非为为了了防防止止嗅嗅探探器器入入侵侵，但但因因为为在在嗅嗅探探器器入入侵侵的的系系统统中中，嗅嗅探探器器会会打打开开LsofLsof来来输输出出文文件件，并并不不断断传传送送信信息息给给该该文文件件，这样该文件的内容就会越来越大。这样该文件的内容就会越来越大。如如果果利利用用LsofLsof发发现现有有文文

50、件件的的内内容容不不断断地地增增大大，就可以怀疑系统被嗅探。就可以怀疑系统被嗅探。最最好好的的办办法法就就是是使使网网络络嗅嗅探探不不能能达达到到预预期期的的效果，使嗅探价值降低，可以使用的方法包括：效果，使嗅探价值降低，可以使用的方法包括：（1 1）采采用用安安全全的的拓拓扑扑结结构构，如如，网网络络分分段段越越细，嗅探器收集到的信息就越少。细，嗅探器收集到的信息就越少。（2 2）加加密密通通信信会会话话，如如采采用用SSHSSH将将传传输输的的数数据据进行加密。进行加密。（3 3）采采用用静静态态的的ARPARP或或者者IP-MACIP-MAC对对应应表表，可可防防止利用止利用ARPARP

51、欺骗进行的嗅探。欺骗进行的嗅探。2 2主动防御网络嗅探主动防御网络嗅探2.42.4WebWeb欺骗欺骗 2.4.1 2.4.1WebWeb欺骗的概念欺骗的概念 Web Web欺骗是指攻击者建立一个使人相信的欺骗是指攻击者建立一个使人相信的WebWeb站站点的点的“拷贝拷贝”，这个，这个WebWeb站点站点“拷贝拷贝”就像真的一样，就像真的一样，它具有原页面几乎所有页面元素。它具有原页面几乎所有页面元素。然而，攻击者控制了这个然而，攻击者控制了这个WebWeb站点的站点的“拷贝拷贝”，被攻击对象和真的，被攻击对象和真的WebWeb站点之间的所有信息流动都站点之间的所有信息流动都被攻击者所控制了。

52、被攻击者所控制了。2.4.22.4.2WebWeb攻击的原理攻击的原理 Web Web欺骗攻击的原理是打断从被攻击者主机到欺骗攻击的原理是打断从被攻击者主机到目标服务器之间的正常连接，并建立一条从被攻目标服务器之间的正常连接，并建立一条从被攻击主机到攻击主机再到目标服务器的连接。击主机到攻击主机再到目标服务器的连接。虽然这种攻击并不会直接造成被攻击者主机虽然这种攻击并不会直接造成被攻击者主机的软、硬件损坏，但是它所带来的危害也是不能的软、硬件损坏，但是它所带来的危害也是不能忽视的。忽视的。2.4.22.4.2WebWeb攻击的原理攻击的原理n改写改写URLURL：攻击者改写某个页面上的：攻击者

53、改写某个页面上的URLURL，使这，使这些连接都指向攻击者机器，而不是真正的服务些连接都指向攻击者机器，而不是真正的服务器。器。n开始攻击：诱惑被攻击对象连接到攻击者的假开始攻击：诱惑被攻击对象连接到攻击者的假的的WebWeb页面上。页面上。n制造假象：消除所有可能会留下的攻击线索。制造假象：消除所有可能会留下的攻击线索。2.4.32.4.3WebWeb欺骗的防范欺骗的防范 1 1短期的解决办法短期的解决办法 （1 1）上上网网浏浏览览时时，最最好好关关掉掉浏浏览览器器的的 JavaScriptJavaScript，只只有有当当访访问问熟熟悉悉的的网网站站时时才才打打开开它它，目目的的是是使使

54、攻攻击击者不能隐藏攻击的迹象。者不能隐藏攻击的迹象。（2 2）不不从从自自己己不不熟熟悉悉的的网网站站上上链链接接到到其其他他网网站站，特特别别是是链链接接那那些些需需要要输输入入个个人人账账户户名名和和密密码码的的有有关关电电子商务的网站。子商务的网站。（3 3）要要养养成成从从地地址址栏栏中中直直接接输输入入网网址址来来实实现现浏浏览览网站的好习惯。网站的好习惯。2 2长期的方法长期的方法 （1 1）IPIP地地址址、子子网网、域域的的限限制制：它它可可以以保保护护单单个个的的文文档档，也也可可以以保保护护整整个个的的目目录录。如如果果浏浏览览器器的的IPIP不不在在授授权权的的IPIP地

55、地址址之之列列，则则它它是是无无法法与与该该文文档档进进行行连连接接的，即通过授权的方式对的，即通过授权的方式对IPIP地址、子网和域进行保护。地址、子网和域进行保护。（2 2）用用户户名名和和密密码码：为为获获取取对对文文档档或或目目录录的的访访问问，需输入用户名和密码。需输入用户名和密码。（3 3）加密：这是通过公开密钥技术实现的，所有）加密：这是通过公开密钥技术实现的，所有传送的内容都是加密的，除了接收者之外无人可以读传送的内容都是加密的，除了接收者之外无人可以读懂。懂。2.52.5IPIP地址欺骗地址欺骗 2.5.12.5.1IPIP地址欺骗的概念地址欺骗的概念 1 1 IP IP地址

56、盗用地址盗用 IP IP地址盗用是指一台主机有目的地使用他地址盗用是指一台主机有目的地使用他人合法的人合法的IPIP地址，而不用自己的地址，而不用自己的IPIP地址的行为。地址的行为。带有假冒的带有假冒的IPIP地址的地址的IPIP包既可能来自同一包既可能来自同一网段内部，也可能来自网段外部。不同的情况网段内部，也可能来自网段外部。不同的情况有不同的结果。有不同的结果。2 2IPIP地址欺骗地址欺骗n所谓所谓IPIP地址欺骗，就是伪造某台主机的地址欺骗，就是伪造某台主机的IPIP地址的技术。地址的技术。n其其实实质质就就是是让让一一台台机机器器来来扮扮演演另另一一台台机机器器，以以达达到到蒙蒙

57、混过关的目的。混过关的目的。n被被伪伪造造的的主主机机往往往往具具有有某某种种特特权权或或者者被被另另外外的的主主机机所所信任。信任。n由由于于IPIP协协议议不不对对数数据据包包中中的的IPIP地地址址进进行行认认证证，因因此此任任何人不经授权就可伪造何人不经授权就可伪造IPIP包的源地址。包的源地址。nIPIP地址欺骗通常通过编程来实现。地址欺骗通常通过编程来实现。2.5.22.5.2IPIP欺骗的原理欺骗的原理 nIPIP欺欺骗骗是是利利用用主主机机之之间间的的正正常常的的信信任任关关系系来来发发动动的的，这这种种信信任任是是有有别别于于用用户户间间的的信信任任和和应应用用层的信任的。层

58、的信任的。n黑黑客客可可以以通通过过命命令令方方式式或或扫扫描描技技术术、监监听听技技术术来确定主机之间的信任关系。来确定主机之间的信任关系。2.5.22.5.2IPIP欺骗的原理欺骗的原理 假假如如一一个个局局域域网网内内的的主主机机间间存存在在着着某某种种信信任任关关系系，如如果果主主机机A A信信任任主主机机B B，主主机机B B信信任任主主机机C C，为为了了侵侵入入该该网络，黑客可以采用以下方法：网络，黑客可以采用以下方法：（1 1）通过假冒主机）通过假冒主机B B来欺骗主机来欺骗主机A A和主机和主机C C；（2 2）通过假冒主机）通过假冒主机A A和主机和主机C C来欺骗主机来欺

59、骗主机B B。为为了了假假冒冒C C去去欺欺骗骗主主机机B B，首首要要的的任任务务是是攻攻击击主主机机C C，使使其其瘫瘫痪痪，即即先先实实施施拒拒绝绝服服务务攻攻击击。值值得得注注意意的的是是，并并不不是是在在任任何何情情况况下下都都要要使使被被假假冒冒的的主主机机瘫瘫痪痪，但但在在EthernetEthernet网网上上的的IPIP欺欺骗骗必必须须要要这这么么做做，否否则则会会引引起起网网络挂起。络挂起。2.5.32.5.3IPIP欺骗的防范欺骗的防范 （1 1）放弃基于地址的信任策略）放弃基于地址的信任策略 IPIP欺欺骗骗是是建建立立在在信信任任的的基基础础之之上上的的，防防止止IP

60、IP欺欺骗骗的的最最好好的的方方法法就就是是放放弃弃以以地地址址为为基基础础的的验验证证。当当然然，这是以丧失系统功能、牺牲系统性能为代价的。这是以丧失系统功能、牺牲系统性能为代价的。（2 2）对数据包进行限制）对数据包进行限制 对对于于来来自自网网络络外外部部的的欺欺骗骗来来说说，防防止止这这种种攻攻击击的的方方法法很很简简单单，可可以以在在局局域域网网的的对对外外路路由由器器上上加加一一个个限限制制来来实实现现。只只要要在在路路由由器器中中设设置置不不允允许许声声称称来来自自于于内内部部网网络络中中的的数数据据包包通通过过就就行行了了。当当实实施施欺欺骗骗的的主主机机在在同同一一网网段段，

61、攻攻击击容容易易得得手手，且且不不容容易易防防范范。一般通过路由器对数据包的监控来防范一般通过路由器对数据包的监控来防范IPIP地址欺骗。地址欺骗。（3 3）应用加密技术）应用加密技术 对对数数据据进进行行加加密密传传输输和和验验证证也也是是防防止止IPIP欺欺骗骗的的好好方方法法。IPIP地地址址可可以以盗盗用用，但但现现代代加加密密技技术术在在理论上是很难可破解的。理论上是很难可破解的。2.62.6缓冲区溢出缓冲区溢出 2.6.12.6.1缓冲区溢出的概念缓冲区溢出的概念 缓缓冲冲区区溢溢出出攻攻击击是是一一种种系系统统攻攻击击的的手手段段，通通过过往往缓缓冲冲区区写写超超出出其其长长度度

62、的的内内容容，造造成成缓缓冲冲区区溢溢出出，从从而而破破坏坏程程序序的的堆堆栈栈，使使程程序序转转而而执执行行其其它它指指令令，以达到攻击的目的。以达到攻击的目的。2.6.22.6.2缓冲区溢出的原理缓冲区溢出的原理n缓冲区溢出的根本原因来自缓冲区溢出的根本原因来自C C语言（语言（C+C+）本质）本质的不安全性：的不安全性：n数组和指针的引用没有边界检查；数组和指针的引用没有边界检查；n标准标准C C函数库中存在许多非安全字符串操作，如函数库中存在许多非安全字符串操作，如strcpy()strcpy()、gets()gets()等。等。n当程序写入超过缓冲区的边界时，就发生所谓当程序写入超过

63、缓冲区的边界时，就发生所谓的的“缓冲区溢出缓冲区溢出”。2.6.22.6.2缓冲区溢出的原理缓冲区溢出的原理 void functon void functon（char*strchar*str）char buffer16 char buffer16；strcpy strcpy（bufferbuffer，strstr）；）；该该程程序序的的功功能能是是通通过过strcpystrcpy函函数数把把strstr中中的的字字符符串串拷拷贝贝到到数数组组buffer16buffer16中中去去，如如果果strstr的的长长度度超超过过1616就就会造成数组会造成数组bufferbuffer的溢出，使程

64、序出错。的溢出，使程序出错。2.6.22.6.2缓冲区溢出的原理缓冲区溢出的原理n向一个有限空间的缓冲区中植入超长字符串，可能出向一个有限空间的缓冲区中植入超长字符串，可能出现两个结果：现两个结果：n一是过长的字符串会覆盖下一个相邻的内存块，导致一一是过长的字符串会覆盖下一个相邻的内存块，导致一些不可预料的结果：也许程序可以继续，也许程序的执些不可预料的结果：也许程序可以继续，也许程序的执行出现奇怪现象，也许程序完全失败；行出现奇怪现象，也许程序完全失败；n另一种结果就是利用这种漏洞可以执行任意指令，甚至另一种结果就是利用这种漏洞可以执行任意指令，甚至可以得到超级用户（管理员）权限。可以得到超

65、级用户（管理员）权限。nC C语言把这一艰巨任务交给了开发人员，要求他们进语言把这一艰巨任务交给了开发人员，要求他们进行边界检查，编写安全的程序。然而这一要求往往被行边界检查，编写安全的程序。然而这一要求往往被人们忽视，从而给黑客有机可乘。人们忽视，从而给黑客有机可乘。2.6.32.6.3缓冲区溢出的防范缓冲区溢出的防范 （1 1）编写正确的代码）编写正确的代码 编编写写安安全全的的程程序序代代码码是是解解决决缓缓冲冲区区溢溢出出漏漏洞洞的的最最根根本本办办法法。在在程程序序开开发发时时就就要要考考虑虑可可能能的的安安全全问问题题，杜杜绝绝缓缓冲冲区区溢溢出出的的可可能能性性，尤尤其其在在C

66、C程程序序中中使使用用数数组组时时，只只要要数数组组边边界界不不溢溢出出，那那么么缓缓冲冲区区溢溢出出攻攻击击就就无无从从谈谈起起，所所以以对对所所有有数数组组的的读读写写操操作作都都应应控控制制在在正正确确的的范范围内，通常可通过优化技术来实现。围内，通常可通过优化技术来实现。（2 2）非执行的缓冲区）非执行的缓冲区 非非执执行行的的缓缓冲冲区区技技术术是是指指通通过过使使被被攻攻击击程程序序的的数数据据段段地地址址空空间间不不可可执执行行，从从而而使使得得攻攻击击者者不不可可能能执执行行被攻击程序输入缓冲区的代码。被攻击程序输入缓冲区的代码。2.6.32.6.3缓冲区溢出的防范缓冲区溢出的防范 （3 3）指针完整性检查）指针完整性检查 堆堆栈栈保保护护是是一一种种提提供供程程序序指指针针完完整整性性检检查查的的编编译译器器技技术术，通通过过检检查查函函数数活活动动记记录录中中的的返返回回地地址址来来实实现现。指指针针完完整整性性检检查查是是指指在在程程序序指指针针被被引引用用之之前前先检测它是否被改变，一旦改变就不会被使用。先检测它是否被改变，一旦改变就不会被使用。（4 4）用好安