第2講黑客攻擊技術§2.1黑客概述§2.2網絡掃描§2.3網絡監聽§2.4密碼破解攻擊§2.5緩沖區溢出攻擊§2.6拒絕服務攻擊§2.7網絡后門和木馬§2.8物理攻擊與防范§2.9社會工程學攻擊信息安全概論22023/2/5§2.1黑客概述黑客(Hacker)源于英語動詞Hack，意為“劈、砍”，引申為“辟出、開辟”，進一步的意思是“干了一件非常漂亮的工作”。在20世紀早期的麻省理工學院校園口語中，黑客則有“惡作劇”之意，尤其是指手法巧妙、技術高明的惡作劇。有一部分人認為，黑客是“熱愛并精通計算機技術的網絡狂熱者”，并賦予他們“網上騎士”桂冠；相反，另一部分人則認為黑客是“企圖非法獲取計算機系統訪問權的人”，甚至將其描述為“網絡恐怖主義分子”；大多數人則認為，黑客是“試圖通過網絡非法獲取他人計算機系統訪問權并濫用計算機技術的人”。信息安全概論32023/2/5§2.1黑客概述根據我國現行法律的有關規定，對黑客可以給出兩個定義：廣義的黑客是指利用計算機技術，非法侵入或擅自操作他人(包括國家機關、社會組織及個人)計算機信息系統，對電子信息交流安全具有不同程度的威脅性和危害性的人；狹義的黑客，是指利用計算機技術，非法侵入并擅自操作他人計算機信息系統，對系統功能、數據或者程序進行干擾、破壞，或者非法侵入計算機信息系統并擅自利用系統資源，實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的人。狹義的黑客包括在廣義的黑客之中，前者基本上是計算機犯罪的主體，后者的行為不一定都構成犯罪。信息安全概論42023/2/5§2.1黑客概述黑客入侵和破壞的危險黑客”在網上的攻擊活動每年以十倍速增長。修改網頁進行惡作劇、竊取網上信息興風作浪。非法進入主機破壞程序、阻塞用戶、竊取密碼。串入銀行網絡轉移金錢、進行電子郵件騷擾。黑客可能會試圖攻擊網絡設備，使網絡設備癱瘓。信息安全概論52023/2/5典型的攻擊步驟§2.1黑客概述預攻擊探測發現漏洞，采取攻擊行為獲得攻擊目標的控制權系統安裝系統后門繼續滲透網絡，直至獲取機密數據消滅蹤跡收集信息，如OS類型，提供的服務端口等破解口令文件，或利用緩存溢出漏洞獲得系統帳號權限，并提升為root權限方便以后使用以此主機為跳板，尋找其他主機的漏洞消除所有入侵腳印，以免被管理員發覺隱藏自身信息安全概論62023/2/5§2.1黑客概述預攻擊探測Ping掃描：用于發現攻擊目標操作系統識別掃描：對目標主機運行的操作系統進行識別端口掃描：用于查看攻擊目標處于監聽或運行狀態的服務漏洞掃描：掃描對方系統有什么漏洞可以利用目前主流的掃描工具包括流光、Nmap、Nessus、SSS等都實現了這些技術。信息安全概論72023/2/5§2.1黑客概述黑客入侵的行為模型信息安全概論82023/2/5掃描器是自動檢測遠程或本地主機安全性漏洞的程序包。使用掃描器，不僅可以很快地發現本地主機系統配置和軟件上存在的安全隱患，而且還可以不留痕跡地發現遠在另一個半球的一臺主機的安全性漏洞，這種自動檢測功能快速而準確。不同的人使用掃描器會有不同的結果：如果系統管理員使用了掃描器，它將直接有助于加強系統安全性；而對于黑客來說，掃描器是他們進行攻擊入手點，不過，由于掃描器不能直接攻擊網絡漏洞，所以黑客使用掃描器找出目標主機上各種各樣的安全漏洞后，利用其他方法進行惡意攻擊。§2.2網絡掃描信息安全概論92023/2/5操作系統本身的ping工具

C:\>ping

Pingingwith32bytesofdata:Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128Pingstatisticsfor:

Packets:Sent=4,Received=4,Lost=0(0%loss),

Approximateroundtriptimesinmilli-seconds:

Minimum=0ms,Maximum=0ms,Average=0ms

TTL=125左右的主機應該是Windows系列的§2.2網絡掃描信息安全概論102023/2/5操作系統本身的ping工具

C:\>ping

Pingingwith32bytesofdata:Requesttimedout.

Replyfrom:bytes=32time=250msTTL=237

Replyfrom:bytes=32time=234msTTL=237

Replyfrom:bytes=32time=234msTTL=237Pingstatisticsfor:

Packets:Sent=4,Received=3,Lost=1(25%loss),

Approximateroundtriptimesinmilli-seconds:

Minimum=234ms,Maximum=250ms,Average=179ms

TTL=235左右的主機應該是Unix系列的§2.2網絡掃描信息安全概論112023/2/5主機掃描——工具軟件：SuperScan

主界面§2.2網絡掃描信息安全概論122023/2/5主機掃描——工具軟件：SuperScan

§2.2網絡掃描信息安全概論132023/2/5系統用戶掃描——工具軟件：GetNTUser主要功能：掃描出NT主機上存在的用戶名。自動猜測空密碼和與用戶名相同的密碼。可以使用指定密碼字典猜測密碼?？梢允褂弥付ㄗ址麃砀F舉猜測密碼?！?.2網絡掃描信息安全概論142023/2/5系統用戶掃描——工具軟件：GetNTUser主界面§2.2網絡掃描信息安全概論152023/2/5系統用戶掃描——工具軟件：GetNTUser設置掃描的目標主機§2.2網絡掃描信息安全概論162023/2/5系統用戶掃描——工具軟件：GetNTUser

獲得用戶列表§2.2網絡掃描信息安全概論172023/2/5系統用戶掃描——工具軟件：GetNTUser§2.2網絡掃描信息安全概論182023/2/5系統用戶掃描——工具軟件：GetNTUser設置字典文件§2.2網絡掃描信息安全概論192023/2/5系統用戶掃描——工具軟件：GetNTUser§2.2網絡掃描信息安全概論202023/2/5系統用戶掃描——工具軟件：GetNTUser使用字典文件對用戶口令

進行測試§2.2網絡掃描信息安全概論212023/2/5系統用戶掃描——工具軟件：GetNTUser

§2.2網絡掃描信息安全概論222023/2/5端口掃描工具PortScan

SuperScanNetScanToolsWinScanNTOScannerWUPSNmapNT§2.2網絡掃描信息安全概論232023/2/5開放端口掃描——工具軟件：PortScan主界面§2.2網絡掃描信息安全概論242023/2/5開放端口掃描——工具軟件：PortScan設置目標主機和端口范圍后單擊Start

§2.2網絡掃描信息安全概論252023/2/5開放端口掃描——工具軟件：PortScan§2.2網絡掃描信息安全概論262023/2/5開放端口掃描——工具軟件：SuperScan

主界面§2.2網絡掃描信息安全概論272023/2/5開放端口掃描——工具軟件：SuperScan端口掃描§2.2網絡掃描信息安全概論282023/2/5開放端口掃描——工具軟件：SuperScan

§2.2網絡掃描信息安全概論292023/2/5開放端口掃描——工具軟件：SuperScan§2.2網絡掃描信息安全概論302023/2/5開放端口掃描——工具軟件：SuperScan

§2.2網絡掃描信息安全概論312023/2/5共享目錄掃描——工具軟件：Shed主界面§2.2網絡掃描信息安全概論322023/2/5共享目錄掃描——工具軟件：Shed設置掃描的主機范圍§2.2網絡掃描信息安全概論332023/2/5共享目錄掃描——工具軟件：Shed

§2.2網絡掃描信息安全概論342023/2/5共享目錄掃描——工具軟件：Shed§2.2網絡掃描信息安全概論352023/2/5針對預攻擊探測的防范措施Pingsweep：安裝防火墻或相關工具軟件，禁止某些ICMPping，使用NAT隱藏內部網絡結構Portscan：安裝防火墻或相關工具軟件，禁止訪問不該訪問的服務端口OSfingerprint：安裝防火墻或相關工具軟件，只允許訪問少量服務端口，缺乏必要的信息，無法判斷OS類型資源和用戶掃描：防范NetBIOS掃描的最直接方法就是不允許對TCP/UDP135到139端口的訪問，如通過防火墻或路由器的配置等。對單獨的主機，可使用NetBIOSoverTCP/IP項失效或注冊表配置來實現?！?.2網絡掃描信息安全概論362023/2/5漏洞掃描漏洞掃描是一種最常見的攻擊模式，用于探測系統和網絡漏洞，如獲取系統和應用口令，嗅探敏感信息，利用緩存區溢出直接攻擊等。針對某一類型的漏洞，都有專門的攻擊工具。也有一些功能強大綜合掃描工具，對系統進行全面探測和漏洞掃描。綜合漏洞掃描和攻擊工具X-Scan流光SSS§2.2網絡掃描信息安全概論372023/2/5漏洞掃描——工具軟件：X-Scan主界面§2.2網絡掃描信息安全概論382023/2/5漏洞掃描——工具軟件：X-Scan

§2.2網絡掃描信息安全概論392023/2/5漏洞掃描——工具軟件：X-Scan

§2.2網絡掃描信息安全概論402023/2/5漏洞掃描——工具軟件：X-Scan

§2.2網絡掃描信息安全概論412023/2/5漏洞掃描——工具軟件：X-Scan

§2.2網絡掃描信息安全概論422023/2/5漏洞掃描——工具軟件：Fluxay主界面§2.2網絡掃描信息安全概論432023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網絡掃描信息安全概論442023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網絡掃描信息安全概論452023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網絡掃描信息安全概論462023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網絡掃描信息安全概論472023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網絡掃描信息安全概論482023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網絡掃描信息安全概論492023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網絡掃描信息安全概論502023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網絡掃描信息安全概論512023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網絡掃描信息安全概論522023/2/5漏洞掃描——工具軟件：Fluxay

§2.2網絡掃描信息安全概論532023/2/5漏洞掃描——工具軟件：SSS主界面§2.2網絡掃描掃描主機漏洞掃描某種特定的漏洞文本編輯形式拒絕服務攻擊測試信息安全概論542023/2/5漏洞掃描——工具軟件：SSS

§2.2網絡掃描掃描所有的標準端口，除了Dostests掃描所有的端口(1~65355)，除了Dostests只掃描標準端口信息安全概論552023/2/5漏洞掃描——工具軟件：SSS

§2.2網絡掃描信息安全概論562023/2/5漏洞掃描——工具軟件：SSS

§2.2網絡掃描信息安全概論572023/2/5漏洞掃描——工具軟件：SSS

§2.2網絡掃描信息安全概論582023/2/5漏洞掃描——工具軟件：SSS

§2.2網絡掃描信息安全概論592023/2/5漏洞掃描——工具軟件：SSS

§2.2網絡掃描信息安全概論602023/2/5漏洞掃描——工具軟件：SSS

§2.2網絡掃描信息安全概論612023/2/5漏洞掃描——工具軟件：SSS

§2.2網絡掃描信息安全概論622023/2/5漏洞掃描——工具軟件：SSS

§2.2網絡掃描信息安全概論632023/2/5漏洞攻擊的防范措施安裝防火墻，禁止訪問不該訪問的服務端口，使用NAT隱藏內部網絡結構安裝入侵檢測系統，檢測漏洞攻擊行為安裝安全評估系統，先于入侵者進行模擬漏洞攻擊，以便及早發現漏洞并解決提高安全意識，經常給操作系統和應用軟件打補丁§2.2網絡掃描信息安全概論642023/2/5§2.3網絡監聽所謂網絡監聽就是獲取在網絡上傳輸的信息。通常，這種信息并不是特定發給自己計算機的。一般情況下，系統管理員為了有效地管理網絡、診斷網絡問題而進行網絡監聽。然而，黑客為了達到其不可告人的目的，也進行網絡監聽。以太網中信息傳輸的原理：發送信息時，發送方將對所有的主機進行廣播，廣播包的包頭含有目的主機的物理地址，如果地址與主機不符，則該主機對數據包不予理睬，只有當地址與主機自己的地址相同時主機才會接受該數據包，但網絡監聽程序可以使得主機對所有通過它的數據進行接收或改變。網絡監聽使得進行監聽的機器響應速度變得非常慢。

信息安全概論652023/2/5網絡監聽的作用可以截獲用戶口令可以截獲秘密的或專用的信息可以用來攻擊相鄰的網絡可以對數據包進行詳細的分析可以分析出目標主機采用了哪些協議§2.3網絡監聽信息安全概論662023/2/5常用的監聽工具SnifferProIrisWinSnifferpswmonitorfssniffer§2.3網絡監聽信息安全概論672023/2/5網絡嗅探——工具軟件SnifferPro主界面§2.3網絡監聽信息安全概論682023/2/5網絡嗅探——工具軟件SnifferPro捕獲定義過濾器§2.3網絡監聽信息安全概論692023/2/5網絡嗅探——工具軟件SnifferPro設置捕獲條件IP地址條件§2.3網絡監聽信息安全概論702023/2/5網絡嗅探——工具軟件SnifferPro設置捕獲條件協議捕獲編輯§2.3網絡監聽信息安全概論712023/2/5網絡嗅探——工具軟件SnifferPro如捕獲http數據包§2.3網絡監聽信息安全概論722023/2/5網絡嗅探——工具軟件SnifferPro保存過濾規則條件§2.3網絡監聽信息安全概論732023/2/5網絡嗅探——工具軟件SnifferPro監視器儀表板，顯示捕包的個數§2.3網絡監聽信息安全概論742023/2/5網絡嗅探——工具軟件SnifferPro捕獲面板，查看捕獲報文的數量和緩沖區的利用率§2.3網絡監聽信息安全概論752023/2/5網絡嗅探——工具軟件SnifferPro監視器矩陣，出現主機所在局域網的所有通信連接

§2.3網絡監聽信息安全概論762023/2/5網絡嗅探——工具軟件SnifferPro選中要監視的IP地址，右擊選擇“捕獲”§2.3網絡監聽信息安全概論772023/2/5網絡嗅探——工具軟件SnifferPro專家分析系統進行數據包分析§2.3網絡監聽信息安全概論782023/2/5網絡嗅探——工具軟件SnifferPro

§2.3網絡監聽信息安全概論792023/2/5捕獲的報文報文解碼二進制內容信息安全概論802023/2/5針對網絡嗅探攻擊的防范措施安裝VPN網關，防止對網間網信道進行嗅探對內部網絡通信采取加密處理采用交換設備進行網絡分段采取技術手段發現處于混雜模式的主機，發掘“鼴鼠”§2.3網絡監聽信息安全概論812023/2/5網絡監聽的檢測方法

對于懷疑運行監聽程序的機器，用正確的IP地址和錯誤的物理地址去ping，運行監聽程序的機器會有響應。這是因為正常的機器不接收錯誤的物理地址，處于監聽狀態的機器能接收。往網上發大量不存在的物理地址的包，由于監聽程序將處理這些包導致性能下降。通過比較前后該機器性能加以判斷。這種方法難度比較大。搜索所有主機上運行的進程。搜索監聽程序。若入侵者使用的是免費軟件。管理員就可以檢查目錄，找出監聽程序，但這很困難且費時。§2.3網絡監聽信息安全概論822023/2/5密碼與用戶賬戶的有效利用是網絡安全性的最大問題之一。密碼破解是描述在使用或不使用工具的情況下滲透網絡、系統或資源以解鎖用密碼保護的資源的一個術語。密碼破解不一定涉及復雜的工具。它可能與找一張寫有密碼的貼紙一樣簡單，而這張紙就貼在顯示器上或者藏在鍵盤底下。另一種暴力技術稱為“垃圾搜尋”（DumpsterDiving），它基本上就是一個攻擊者把垃圾搜尋一遍以找出可能含有密碼的廢棄文檔?！?.4密碼破解攻擊信息安全概論832023/2/5密碼破解的常見技術字典攻擊混合攻擊暴力攻擊§2.4密碼破解攻擊信息安全概論842023/2/5密碼破解的常見技術字典攻擊到目前為止，一個簡單的字典攻擊（DictionaryAttack）是闖入機器的最快方法。字典文件（一個充滿字典文字的文本文件）被裝入破解應用程序（如L0phtCrack），它是根據由應用程序定位的用戶賬戶運行的。因為大多數密碼通常是簡單的，所以運行字典攻擊通常足以實現目的?；旌瞎舯┝簟?.4密碼破解攻擊信息安全概論852023/2/5密碼破解的常見技術字典攻擊

混合攻擊混合攻擊將數字和符號添加到文件名以成功破解密碼。許多人只通過在當前密碼后加一個數字來更改密碼。其模式通常采用這一形式：第一月的密碼是“cat”；第二個月的密碼是“cat1”；第3個月的密碼是“cat2”，依次類推。暴力攻擊§2.4密碼破解攻擊信息安全概論862023/2/5密碼破解的常見技術字典攻擊

混合攻擊

暴力攻擊暴力攻擊（BruteForceAttack）是最全面的攻擊形式，雖然它通常需要很長的時間工作，這取決于密碼的復雜程度。根據密碼的復雜程度，某些暴力攻擊可能花費一個星期的時間?！?.4密碼破解攻擊信息安全概論872023/2/5破解操作系統口令——工具軟件GetNTUser§2.4密碼破解攻擊信息安全概論882023/2/5破解操作系統口令——工具軟件L0phtCrack主界面§2.4密碼破解攻擊Demo信息安全概論892023/2/5破解操作系統口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論902023/2/5破解操作系統口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論912023/2/5破解操作系統口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論922023/2/5破解操作系統口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論932023/2/5破解操作系統口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論942023/2/5破解操作系統口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論952023/2/5破解操作系統口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論962023/2/5破解操作系統口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論972023/2/5破解操作系統口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論982023/2/5破解操作系統口令——工具軟件L0phtCrack

§2.4密碼破解攻擊信息安全概論992023/2/5破解Word文檔密碼——工具軟件AOXPPRAdvancedOfficeXPPasswordRecovery§2.4密碼破解攻擊Demo信息安全概論1002023/2/5破解Word文檔密碼——工具軟件PasswordRecoveryForMicrosoftWord§2.4密碼破解攻擊Demo信息安全概論1012023/2/5破解PPT文檔密碼——工具軟件PasswordRecoveryForMicrosoftPowerpoint§2.4密碼破解攻擊信息安全概論1022023/2/5破解ACCESS文檔密碼——工具軟件PasswordRecoveryForMicrosoftACCESS§2.4密碼破解攻擊信息安全概論1032023/2/5破解各種Office文檔密碼——工具軟件PasswordRecoveryForMicrosoftOffice§2.4密碼破解攻擊信息安全概論1042023/2/5緩沖區溢出是一種非常普遍、非常危險的漏洞，在各種操作系統、應用軟件中廣泛存在。利用緩沖區溢出攻擊，可以導致程序運行失敗、系統當機、重新啟動等后果。更為嚴重的是，可以利用它執行非授權指令，甚至可以取得系統特權，進而進行各種非法操作。緩沖區溢出的原理是通過往程序的緩沖區寫超出其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，使程序轉而執行其他指令，以達到攻擊的目的。造成緩沖區溢出的原因是程序中沒有仔細檢查用戶輸入的參數?！?.5緩沖區溢出攻擊信息安全概論1052023/2/5例如：voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}strcpy()直接把str的內容copy到buffer中。這樣只要str的長度大于16，就會造成buffer的溢出，使程序運行出錯。存在象strcpy這樣的問題的標準函數還有strcat()、sprintf()、vsprintf()、gets()、scanf()等?！?.5緩沖區溢出攻擊信息安全概論1062023/2/5緩沖區溢出攻擊之所以成為一種常見的安全攻擊手段，其原因在于緩沖區溢出漏洞太普遍了，并且攻擊易于實現。而且，緩沖區溢出成為遠程攻擊的主要手段其原因在于緩沖區溢出漏洞給予了攻擊者他所想要的一切：植入并且執行攻擊代碼。被植入的攻擊代碼以一定的權限運行有緩沖區溢出漏洞的程序，從而得到被攻擊主機的控制權?！?.5緩沖區溢出攻擊信息安全概論1072023/2/5拒絕服務攻擊，簡稱DoS（DenialofService）攻擊。DoS攻擊通過搶占目標主機系統資源使系統過載或崩潰，破壞和拒絕合法用戶對網絡、服務器等資源的訪問，達到阻止合法用戶使用系統的目的，是常用的一種攻擊方式。DoS屬于破壞型攻擊。它對目標系統本身的破壞性并不是很大，但影響了正常的工作和生活秩序，間接損失嚴重，社會效應惡劣。凡是造成目標計算機拒絕提供服務的攻擊都稱為DoS攻擊。DoS可能由網絡部件的物理損壞引起，也可能由網絡負荷超載所引起，還可能由不正確的使用網絡協議而引起?！?.6拒絕服務攻擊信息安全概論1082023/2/5DoS攻擊的兩種基本形式計算機網絡帶寬攻擊。以極大的通信量沖擊網絡，使網絡所有可用的帶寬都被消耗掉，最后導致合法用戶的請求無法通過。連通性攻擊。用大量的連接請求沖擊計算機，最終導致計算機無法再處理合法用戶的請求。DoS攻擊發生時的特點消耗系統或網絡資源，使系統過載或崩潰。難以辨別真假。使用不應存在的非法數據包來達到拒絕服務攻擊的目的。有大量的數據包來自相同的源?！?.6拒絕服務攻擊信息安全概論1092023/2/5DoS攻擊類型SYNfloodSmurflandPingofdeathUDPFloodteardrop§2.6拒絕服務攻擊信息安全概論1102023/2/5SYNflood（同步風暴）攻擊當前最流行的DoS與DDoS的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡的攻擊方式。TCP是基于連接的，為了在服務端和客戶端之間傳送TCP數據，必須先建立TCP連接。建立TCP連接的標準過程：請求端發送一個包含SYN標志的TCP報文，同步報文會指明客戶端使用的端口以及TCP連接的初始序號服務器收到SYN報文后，返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加1客戶端也返回一個ACK給服務器端，同樣TCP序列號被加1§2.6拒絕服務攻擊信息安全概論1112023/2/5SYNflood（同步風暴）攻擊假設一個用戶向服務器發送了SYN報文后突然死機或掉線，那么服務器在發出SYN+ACK應答報文后是無法收到客戶端的ACK報文的。在這種情況下服務器端會重試，再次發送SYN+ACK給客戶端，并等待一段時間，判定無法建立連接后，丟棄這個未完成的連接。這段等待時間稱為SYN中止時間（Timeout），一般為30秒～2分鐘。如果攻擊者大量模擬這種情況，服務器端為了維護非常大的半連接列表就會消耗非常多的資源。此時從正?？蛻舻慕嵌葋砜?，服務器已經喪失了對正常訪問的響應，這便是SYNFlood攻擊的機理。§2.6拒絕服務攻擊信息安全概論1122023/2/5SYNflood（同步風暴）攻擊§2.6拒絕服務攻擊SYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。〢CK（確認連接）發起方應答方信息安全概論1132023/2/5SYNflood（同步風暴）攻擊§2.6拒絕服務攻擊SYN（我可以連接嗎？）ACK（可以）/SYN（請確認！）攻擊者受害者偽造地址進行SYN請求為何還沒回應不能建立正常的連接其它正常用戶得不到響應就是讓你白等？？？信息安全概論1142023/2/5正常tcpconnect攻擊者受害者大量的tcpconnect這么多需要處理？不能建立正常的連接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用戶正常tcpconnectSYNflood（同步風暴）攻擊§2.6拒絕服務攻擊信息安全概論1152023/2/5針對SYNflood攻擊的防范措施優化系統配置優化路由器配置完善基礎設施使用防火墻主動監視§2.6拒絕服務攻擊縮短超時時間，增加板連接隊列長度，關閉不必要的服務等配置路由器的外網卡，丟棄那些來自外部網而源IP地址具有內部網絡地址的包；配置路由器的內網卡，丟棄那些即將發到外部網而源IP地址不具有內部網絡地址的包。這種方法可以有效地減少攻擊的可能。在網絡關鍵點上安裝監視軟件，監視TCP/IP流量，收集通信控制信息，分析狀態，辨別攻擊行為現有的網絡體系結構沒有對源IP地址進行檢查的機制，也不具備追蹤網絡數據包的物理傳輸路徑的機制，使得發現攻擊者困難。而且許多攻擊手段都是利用現有網絡協議的缺陷。因此對整個網絡體系結構的再改造十分重要。采用半透明網關技術的防火墻能有效防范SYNflood攻擊信息安全概論1162023/2/5Smurf攻擊該攻擊向一個子網的廣播地址發一組ICMP回應請求數據包,并且將源地址偽裝成想要攻擊的主機地址。子網中所有主機都將向被偽裝的源地址發回ICMP回應應答。攻擊者通過幾百個數據包就可以產生成千上萬的數據包，這樣不僅可以造成目標主機的拒絕服務，而且還會使目標子網的網絡本身也遭到DoS攻擊?！?.6拒絕服務攻擊信息安全概論1172023/2/5Land攻擊IP協議中IP源地址和目標地址相同操作系統如WindowNT不知道該如何處理這種情況，就可能造成死機。Land攻擊向UDP目標端口135發送偽裝的RPC的UDP數據包，使之看上去像一個RPC服務器在向另一個RPC服務器發送數據，目標服務器將返回一個REJECT數據包，而源服務器用另一個REJECT數據包應答，結果就會造成死循環，只有當數據包作為異常處理被丟掉時循環才會中止。如果將偽裝的UDP數據包發送至多臺主機，就會產生多個循環，將消耗大量處理器資源和網絡帶寬?！?.6拒絕服務攻擊信息安全概論1182023/2/5Pingofdeath攻擊根據有關IP協議規定的RFC791，占有16位的總長度控制字確定了IP包的總長度為65535字節，其中包括IP數據包的包頭長度。Pingtodeath攻擊發送超大尺寸的ICMP數據包，使得封裝該ICMP數據包的IP數據包大于65535字節，目標主機無法重新組裝這種數據包分片，可能造成緩沖區溢出、系統崩潰?！?.6拒絕服務攻擊信息安全概論1192023/2/5UDPFlood攻擊用Chargen和Echo來傳送毫無用處的數據來占用所有的帶寬。在攻擊過程中，通過偽造與某一主機的Chargen服務之間的一次UDP連接，回復地址指向開著Echo服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數據流，如果足夠多的數據流就會導致針對帶寬消耗的拒絕服務攻擊。杜絕UDPFlood攻擊的最好辦法是關掉不必要的TCP/IP服務，或者配置防火墻以阻斷來自Internet的UDP服務請求，不過這可能會阻斷一些正常的UDP服務請求?！?.6拒絕服務攻擊信息安全概論1202023/2/5UDPFlood攻擊——工具軟件UDPFlooder一種采用UDP-Flood攻擊方式的DoS軟件，它可以向特定的IP地址和端口發送UDP包§2.6拒絕服務攻擊信息安全概論1212023/2/5UDPFlood攻擊——工具軟件UDPFlooder控制面板管理工具性能§2.6拒絕服務攻擊信息安全概論1222023/2/5UDPFlood攻擊——工具軟件UDPFlooder

在“性能對象”框中選擇UDP協議，在“從列表選擇計數器”中，選擇“DatagramReceived/Sec”即對收到的UDP數據包進行計數，添加對UDP數據包的計數器§2.6拒絕服務攻擊信息安全概論1232023/2/5UDPFlood攻擊——工具軟件UDPFlooder

§2.6拒絕服務攻擊信息安全概論1242023/2/5UDPFlood攻擊——工具軟件UDPFlooder系統監視器對UDP的監測圖§2.6拒絕服務攻擊信息安全概論1252023/2/5UDPFlood攻擊——工具軟件UDPFlooder

在被攻擊的計算機上打開snifferpro，可以捕捉UDP數據包，看到大量內容為“UDPFlood.Serverstresstest”的UDP數據包§2.6拒絕服務攻擊信息安全概論1262023/2/5Teardrop（淚滴）攻擊它利用的是系統在實現時的一個錯誤，即攻擊特定的IP協議棧實現片段重組代碼存在的缺陷。當網絡分組穿越不同的網絡時，有時候需要根據網絡最大傳輸單元MTU來把它們分割成較小的片，早期的Linux系統在處理IP分片重組問題時，盡管對片段是否過長進行檢查，但對過短的片段卻沒有進行驗證，所以導致了淚滴形式的攻擊，會造成系統的死機或重新啟動防御淚滴攻擊的最好辦法是升級服務包軟件，如下載操作系統補丁或升級操作系統等。另外，在設置防火墻時對分組進行重組而不進行轉發，也可以防止這種攻擊?！?.6拒絕服務攻擊信息安全概論1272023/2/5分布式拒絕服務攻擊，簡稱DDoS（DistributedDenialofService）攻擊。一種基于DoS的特殊形式的拒絕服務攻擊。攻擊者將多臺受控制的計算機聯合起來向目標計算機發起DoS攻擊，它是一種大規模協作的攻擊方式，主要瞄準比較大的商業站點，具有較大的破壞性§2.6拒絕服務攻擊信息安全概論1282023/2/5DDoS攻擊網絡結構DDoS攻擊由攻擊者、主控端（master）、代理端(zombie)三部分組成，三者在攻擊中扮演不同的角色。攻擊者是整個DDoS攻擊發起的源頭，它事先已經取得了多臺主控端計算機的控制權主控端計算機分別控制著多臺代理端計算機。在主控端計算機上運行著特殊的控制進程，可以接收攻擊者發來的控制指令，操作代理端計算機對目標計算機發起DDoS攻擊?！?.6拒絕服務攻擊信息安全概論1292023/2/5§2.6拒絕服務攻擊clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFlood信息安全概論1302023/2/5DDoS的攻擊步驟黑客使用掃描工具探測掃描大量主機尋找潛在入侵目標。黑客設法入侵有安全漏洞的主機并獲取控制權。這些主機將被用于放置后門、sniffer或守護程序甚至是客戶程序。黑客在得到入侵計算機清單后，從中選出滿足建立網絡所需要的主機，放置已編譯好的守護程序，并對被控制的計算機發送命令。黑客發送控制命令給主機，準備啟動對目標系統的攻擊主機發送攻擊信號給被控制計算機開始對目標系統發起攻擊。目標系統被無數的偽造的請求所淹沒，從而無法對合法用戶進行響應，DDOS攻擊成功?！?.6拒絕服務攻擊信息安全概論1312023/2/5DDoS攻擊的防范增強系統安全性，例如加固系統用戶和口令的安全性；及早發現系統存在的攻擊漏洞，及時安裝系統補丁程序；禁止所有不必要的服務；周期性的對系統進行安全性審核等。利用防火墻、路由器等網絡和網絡安全設備加固網絡的安全性，如禁止對主機非開放服務的連接、限制同時打開的SYN半連接數量、嚴格限制服務程序的對外訪問請求等。強化路由器等網絡設備的訪問控制功能，配置好訪問控制列表的過濾規則，禁止網絡不用的UDP和ICMP包通過?！?.6拒絕服務攻擊信息安全概論1322023/2/5DDoS攻擊的防范加強與ISP的合作，當發現攻擊現象時，與ISP協商實施嚴格的路由訪問控制策略，以保護帶寬資源和內部網絡。采用DDoS監測工具，加強對DDoS攻擊的監測，例如DDoSPing、ZombieZapper和wtrinscan等，它們可以檢測具有代表性的攻擊，比如Wintrinoo，Stacheldraht和TFN等?！?.6拒絕服務攻擊信息安全概論1332023/2/5對付正在進行的DDOS攻擊首先，檢查攻擊來源，通常黑客會通過很多假的IP地址發起攻擊，此時，用戶若能夠分辨出哪些是真IP地址，哪些是假IP地址，然后了解這些IP來自哪些網段，再找網段管理員把機器關掉，即可消除攻擊。其次，找出攻擊者所經過的路由，把攻擊屏蔽掉。若黑客從某些端口發動攻擊，用戶可把這些端口屏蔽掉，以狙擊入侵。最后一種比較折衷的方法是在路由器上濾掉ICMP。§2.6拒絕服務攻擊信息安全概論1342023/2/5DDOS攻擊——工具DDoSer軟件分為生成器(DDoSMaker.exe)與DDoS攻擊者程序(DDoSer.exe)兩部分DDoS攻擊程序通過生成器DDoSMaker.exe生成。生成時可以自定義一些設置（攻擊目標域名或IP地址、端口等）DDoS攻擊程序默認的文件名DDoSer.exe，可改名。攻擊程序類似木馬軟件的服務器端程序，程序運行后不會顯示任何界面，看上去好象沒有反應，其實它已經將自己復制到系統里面了，并且會在每次開機時自動運行，此時可以將拷過去的安裝程序刪除。DDoSer使用的攻擊手段是SYNFlood方式?！?.6拒絕服務攻擊信息安全概論1352023/2/5DDOS攻擊——工具DDoSer§2.6拒絕服務攻擊信息安全概論1362023/2/5DDOS攻擊——工具DDoSer軟件就會自動生成一個DDoSer.exe的可執行文件，這個文件就是攻擊程序運行DDoSer.exe后，這臺主機就成了攻擊者的代理端，主機會自動發出大量的半連接SYN請求，可以通過netstat命令來查看網絡狀態§2.6拒絕服務攻擊信息安全概論1372023/2/5DDOS攻擊——CC攻擊CC主要是用來攻擊頁面的對于論壇，訪問的人越多，論壇的頁面越多，數據庫就越大，被訪問的頻率也越高，占用的系統資源也就相當可觀CC就是充分利用這個特點，模擬多個用戶(多少線程就是多少用戶)不停的進行訪問(訪問那些需要大量數據操作，就是需要大量CPU時間的頁面)代理可以有效地隱藏身份，也可以繞開所有的防火墻，因為幾乎所有的防火墻都會檢測并發的TCP/IP連接數目，超過一定數目一定頻率就會被認為是Connection-Flood§2.6拒絕服務攻擊信息安全概論1382023/2/5代理查找和驗證軟件——“花刺代理”§2.6拒絕服務攻擊信息安全概論1392023/2/5代理查找和驗證軟件——“花刺代理”§2.6拒絕服務攻擊信息安全概論1402023/2/5代理查找和驗證軟件——“花刺代理”§2.6拒絕服務攻擊信息安全概論1412023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務攻擊信息安全概論1422023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務攻擊信息安全概論1432023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務攻擊信息安全概論1442023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務攻擊信息安全概論1452023/2/5DDOS攻擊——CC攻擊§2.6拒絕服務攻擊信息安全概論1462023/2/5§2.7網絡后門與木馬為了保持對已經入侵的主機長久的控制，需要在主機上建立網絡后門，以后可以直接通過后門入侵系統。網絡后門是保持對目標主機長久控制的關鍵策略?？梢酝ㄟ^建立服務端口和克隆管理員帳號來實現。只要能不通過正常登錄進入系統的途徑都稱之為網絡后門。后門的好壞取決于被管理員發現的概率。只要是不容易被發現的后門都是好后門。留后門的原理和選間諜是一樣的，讓管理員看了感覺沒有任何特別的。信息安全概論1472023/2/5一、遠程啟動Telnet服務利用主機上的Telnet服務，有管理員密碼就可以登錄到對方的命令行，進而操作對方的文件系統。如果Telnet服務是關閉的，就不能登錄了。默認情況下，Windows2000Server的Telnet是關閉的啟動本地Telnet服務方法一：運行窗口輸入tlntadmn.exe命令§2.7網絡后門與木馬信息安全概論1482023/2/5一、遠程啟動Telnet服務利用主機上的Telnet服務，有管理員密碼就可以登錄到對方的命令行，進而操作對方的文件系統。如果Telnet服務是關閉的，就不能登錄了。默認情況下，Windows2000Server的Telnet是關閉的啟動本地Telnet服務方法二：程序管理工具Telnet服務器管理§2.7網絡后門與木馬信息安全概論1492023/2/5一、遠程啟動Telnet服務在隨后啟動的DOS窗口中輸入4啟動本地Telnet服務§2.7網絡后門與木馬信息安全概論1502023/2/5一、遠程啟動Telnet服務——工具RTCS.vbe使用該工具需要知道對方具有管理員權限的用戶名和密碼命令的語法是：“cscriptRTCS.vbe對方IP用戶名密碼123”，其中cscript是操作系統自帶的命令，RTCS.vbe是該工具軟件腳本文件，1是登錄系統的驗證方式，23是Telnet開放的端口該命令根據網絡的速度，執行的時候需要一段時間§2.7網絡后門與木馬信息安全概論1512023/2/5一、遠程啟動Telnet服務——工具RTCS.vbe開啟遠程主機Telnet服務的過程§2.7網絡后門與木馬信息安全概論1522023/2/5一、遠程啟動Telnet服務——工具RTCS.vbe執行完成后，對方的Telnet服務就被開啟了。在DOS提示符下，登錄目標主機的Telnet服務輸入命令“Telnet對方IP”，因為Telnet的用戶名和密碼是明文傳遞的，出現確認發送信息對話框§2.7網絡后門與木馬信息安全概論1532023/2/5一、遠程啟動Telnet服務——工具RTCS.vbe輸入字符“y”，進入Telnet的登錄界面，需要輸入主機的用戶名和密碼如果用戶名和密碼沒有錯誤，將進入對方主機的命令行§2.7網絡后門與木馬信息安全概論1542023/2/5一、遠程啟動Telnet服務——工具RTCS.vbe§2.7網絡后門與木馬信息安全概論1552023/2/5二、建立Web服務和Telnet服務——工具wnc.exe工具軟件wnc.exe可以在對方的主機上開啟兩個服務：Web服務和Telnet服務。其中Web服務的端口是808，Telnet服務的端口是707。只要在對方的命令行下執行wnc.exe就可以§2.7網絡后門與木馬信息安全概論1562023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

執行完畢后，利用命令“netstat-an”來查看開啟的808和707端口§2.7網絡后門與木馬信息安全概論1572023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

說明服務端口開啟成功，可以連接該目標主機提供的這兩個服務了。首先測試Web服務808端口，在瀏覽器地址欄中輸入“http://對方IP:808”，出現主機的盤符列表§2.7網絡后門與木馬信息安全概論1582023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

可以向對方服務器下載和上傳文件§2.7網絡后門與木馬信息安全概論1592023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

可以利用命令“telnet對方IP707”登錄到對方的命令行§2.7網絡后門與木馬信息安全概論1602023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

不用任何的用戶名和密碼就登錄了對方主機的命令行§2.7網絡后門與木馬信息安全概論1612023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

通過707端口也可以方便的獲得對方的管理員權限。wnc.exe的功能強大，但是該程序不能自動加載執行，需要將該文件加到自啟動程序列表中。一般將wnc.exe文件放到對方的winnt目錄或者winnt/system32目錄下，這兩個目錄是系統環境目錄，執行這兩個目錄下的文件不需要給出具體的路徑?！?.7網絡后門與木馬信息安全概論1622023/2/5二、建立Web服務和Telnet服務——工具wnc.exe將wnc.exe文件加入自啟動程序列表的方法首先將wnc.exe和reg.exe文件拷貝對方的winnt目錄下然后利用reg.exe文件將wnc.exe加載到注冊表的自啟動項目中，命令的格式為：“reg.exeaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vservice/dwnc.exe”§2.7網絡后門與木馬信息安全概論1632023/2/5二、建立Web服務和Telnet服務——工具wnc.exe

如果可以進入對方主機的圖形界面，可以查看一下對方的注冊表的自啟動項，已經被修改§2.7網絡后門與木馬信息安全概論1642023/2/5三、讓禁用的Guest具有管理員權限操作系統所有的用戶信息都保存在注冊表中但是如果直接使用“regedit”命令打開注冊表，該鍵值是隱藏的§2.7網絡后門與木馬信息安全概論1652023/2/5三、讓禁用的Guest具有管理員權限可以利用工具軟件psu.exe得到該鍵值的查看和編輯權將psu.exe拷貝對方主機的C盤下，并在任務管理器查看對方主機winlogon.exe進程的ID號或者使用pulist.exe文件查看該進程的ID號§2.7網絡后門與木馬信息安全概論1662023/2/5三、讓禁用的Guest具有管理員權限該進程號為192，下面執行命令“psu-pregedit-ipid”其中pid為Winlogon.exe的進程號§2.7網絡后門與木馬信息安全概論1672023/2/5三、讓禁用的Guest具有管理員權限在執行該命令的時候必須將注冊表關閉，執行完命令以后，注冊表編輯器被自動打開，查看SAM下的鍵值§2.7網絡后門與木馬信息安全概論1682023/2/5三、讓禁用的Guest具有管理員權限查看Administrator和guest默認的鍵值Windows2000操作系統上，Administrator一般為0x1f4，§2.7網絡后門與木馬信息安全概論1692023/2/5三、讓禁用的Guest具有管理員權限查看Administrator和guest默認的鍵值Windows2000操作系統上，Administrator一般為0x1f4，guest一般為0x1f5§2.7網絡后門與木馬信息安全概論1702023/2/5三、讓禁用的Guest具有管理員權限帳戶配置信息：根據“0x1f4”和“0x1f5”找到Administrator和guest帳戶的配置信息，右欄目F鍵值中保存了帳戶的密碼信息§2.7網絡后門與木馬信息安全概論1712023/2/5三、讓禁用的Guest具有管理員權限拷貝管理員配置信息：雙擊“000001F4”目錄下鍵值“F”，將看到的這些二進制信息全選，并拷貝到出來?！?.7網絡后門與木馬信息安全概論1722023/2/5三、讓禁用的Guest具有管理員權限覆蓋Guest用戶的配置信息：將拷貝出來的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中，Guest帳戶就具有管理員權限了?！?.7網絡后門與木馬信息安全概論1732023/2/5三、讓禁用的Guest具有管理員權限保存鍵值：為了能夠使Guest帳戶在禁用的狀態登錄，需要將Guest帳戶信息導出注冊表。選擇User目錄，然后選擇菜單欄“注冊表”下的菜單項“導出注冊表文件”，將該鍵值保存為一個配置文件§2.7網絡后門與木馬信息安全概論1742023/2/5三、讓禁用的Guest具有管理員權限刪除Guest帳戶信息：打開計算機管理對話框，并在注冊表中分別刪除Guest和“00001F5”兩個目錄§2.7網絡后門與木馬信息安全概論1752023/2/5三、讓禁用的Guest具有管理員權限刷新用戶列表：這個刷新對方主機的用戶列表，會出現用戶找不到的對話框§2.7網絡后門與木馬信息安全概論1762023/2/5三、讓禁用的Guest具有管理員權限將剛才導出的信息文件導入注冊表然后刷新用戶列表就不會出現剛才的對話框了§2.7網絡后門與木馬信息安全概論1772023/2/5三、讓禁用的Guest具有管理員權限接著在對方主機的命令行下修改Guest的用戶屬性首先修改Guest帳戶的密碼，比如改成“wantao”，并將Guest帳戶開啟和停止§2.7網絡后門與木馬信息安全概論1782023/2/5三、讓禁用的Guest具有管理員權限查看guest帳戶屬性：再查看一下計算機管理窗口中的Guest帳戶，發現該帳戶是禁用的§2.7網絡后門與木馬信息安全概論1792023/2/5三、讓禁用的Guest具有管理員權限利用禁用的guest帳戶登錄注銷退出系統然后用用戶名：“guest”，密碼：“wantao”登錄系統可以登錄，并且該帳戶是管理員權限§2.7網絡后門與木馬信息安全概論1802023/2/5四、連接終端服務的軟件終端服務是Windows操作系統自帶的，可以遠程通過圖形界面操縱服務器。在默認的情況下終端服務的端口號是3389。可以在系統服務中查看終端服務是否啟動§2.7網絡后門與木馬信息安全概論1812023/2/5四、連接終端服務的軟件服務默認的端口是3389，可以利用命令“netstat-an”來查看該端口是否開放§2.7網絡后門與木馬信息安全概論1822023/2/5四、連接終端服務的軟件管理員為了遠程操作方便，服務器上的該服務一般都是開啟的。這就給黑客們提供一條可以遠程圖形化操作主機的途徑。利用該服務，目前常用的有三種方法連接到對方主機使用Windows2000的遠程桌面連接工具使用WindowsXP的遠程桌面連接工具使用基于瀏覽器方式的連接工具§2.7網絡后門與木馬信息安全概論1832023/2/5四、連接終端服務的軟件——Windows2000自帶的終端服務工具mstsc.exe該工具只要設置要連接主機的IP地址和連接桌面的分辨率就可以§2.7網絡后門與木馬信息安全概論1842023/2/5四、連接終端服務的軟件——Windows2000自帶的終端服務工具mstsc.exe如果目標主機的終端服務是啟動的，可以直接登錄到對方的桌面，在登錄框輸入用戶名和密碼就可以在圖形化界面種操縱對方主機了§2.7網絡后門與木馬信息安全概論1852023/2/5四、連接終端服務的軟件——Windows2000自帶的終端服務工具mstsc.exe§2.7網絡后門與木馬信息安全概論1862023/2/5四、連接終端服務的軟件

——WindowsXP自帶的終端服務工具mstsc.exe界面簡單，只要輸入對方的IP地址就可以了§2.7網絡后門與木馬信息安全概論1872023/2/5五、安裝并啟動終端服務——工具軟件djxyxs.exe假設對方不僅沒有開啟終端服務，而且沒有安裝終端服務所需要的軟件。工具軟件djxyxs.exe可以給對方安裝并開啟該服務。在該工具軟件中已經包含了安裝終端服務所需要的所有文件§2.7網絡后門與木馬信息安全概論1882023/2/5五、安裝并啟動終端服務——工具軟件djxyxs.exe將該文件上傳并拷貝到對方服務器的Winnt\temp目錄下然后執行djxyxs.exe文件，該文件會自動進行解壓將文件全部放置到當前的目錄下§2.7網絡后門與木馬信息安全概論1892023/2/5木馬是一種可以駐留在對方系統中的一種程序。木馬一般由兩部分組成：服務器端和客戶端。服務器端程序安裝在被控制計算機中，一般通過電子郵件等手段讓用戶在其計算機中運行，達到控制該計算機的目的?？蛻舳顺绦蚴强刂普咚褂玫?，用于對受控的計算機進行控制。服務器端程序和客戶端程序建立起連接就可以實現對遠程計算機的控制了。木馬運行時，首先服務器端獲得本地計算機的最高操作權限，當本地計算機連入網絡后，客戶端可與服務器端建立連接，并向服務器端發送各種基本的操作請求，由服務器端完成這些請求，即實現對本地計算機的控制了?！?.7網絡后門與木馬信息安全概論1902023/2/5木馬本身不具備繁殖性和自動感染的功能。木馬程序表面上看上去沒有任何的損害，實際隱藏著可以控制用戶整個計算機系統、打開后門等危害系統安全的功能Windows下的木馬有：Netbus、subseven、BO、冰河、網絡神偷等。Unix下的木馬有：Rhost++、Login后門、rootkit等§2.7網絡后門與木馬信息安全概論1912023/2/5木馬分類：遠