黑客攻防和计算机网络安全基础.docx
- 文档编号:27809990
- 上传时间:2023-07-05
- 格式:DOCX
- 页数:34
- 大小:56.83KB
黑客攻防和计算机网络安全基础.docx
《黑客攻防和计算机网络安全基础.docx》由会员分享,可在线阅读,更多相关《黑客攻防和计算机网络安全基础.docx(34页珍藏版)》请在冰豆网上搜索。
黑客攻防和计算机网络安全基础
1、端口:
1)公认端口:
也称为“常用端口”,这类端口的端口号从0到1023,它们紧密地绑定于一些特定的服务。
例如:
21端口分配给FTP服务,而23号端口是Telnet服务专用的,25端口分配给5MPT(简单邮件传输协议)服务,80端口是HTTP通信所使用的,135端口分配给RPC(远程过程调用)服务,从这些端口通常不会被像木马这样的黑客程序利用;2)注册端口:
注册端口号从1024到49151,它们松散地绑定于一些服务。
;3)动态和/或私有端口:
端口与从49152到65535。
实际上有些较为特殊的程序,特别是一些木马程序就非常喜欢使用这些端口,因为这些端口常常不被引起注意,容易隐蔽。
2、使用TCP协议的常见端口主要有以下几种:
FTP、Telnet、SMPT、POP3、HTTP、DNS、SNMP、QQ。
3、查看端口:
1)选择“开始>运行”菜单打开“运行”对话框,在“打开”下拉列表文本框中输入“cmd”命令,然后单击“确定”按钮;2)在命令提示符状态下输入“netstat-a-n”命令,然后按下“Enter”键可以看到以数字形式显示的TCP和UDP连接的端口号及其状态。
4、关闭端口:
在默认的情况下,有很多不安全的或没有什么用的端口是开启的,例如Telnet服务的23端口、FTP服务的21端口、STMP服务的25端口、RPC服务的135端口等。
为了保证系统的安全性,此时可以通过下面的方法来关闭/开启端口,将自己不用的端口全部封锁起来:
1)选择“开始>控制面板>管理工具>服务”窗口,在服务窗口中有一项“TerminalServices”服务项。
该服务项的作用是允许许多位用户连接和控制一台机器,并且在远程计算机上显示桌面和应用程序,这是远程桌面(包括管理员的远程桌面)、快速用户切换、远程协助和终端服务器的基础结构;2)在该服务项上单击鼠标右键,在弹出的快捷菜单中选择“属性”菜单项打开“TerminalServices的属性(本地计算机)”对话框。
在“常规”选项卡中的“启动类型”下拉列表中选择“已禁用”选项,然后单击“确定”按钮即可;3)在桌面“我的电脑”上单击鼠标右键,在弹出的快捷菜单中选择“属性”菜单项打开“属性”对话框,切换到“远程”选项卡中,撤选“允许从这台计算机发送远程协助邀请”复选框和“允许用户远程连接到此计算机”复选框,然后单击“确定”按钮即可。
这样关闭了远程管理终端服务就相当于关闭了对应的端口。
5、限制端口的方法:
对于个人用户来说,可以限制计算机中所有的端口,因为个人的机器不必对外提供任何服务。
而对于对外提供网络服务的服务器来说,则可把必须利用的端口(例如WWW端口80、FTP端口21、邮件服务器端口25、110等)开放,其他的端口则全部关闭,这样可以保护机器不被探测和攻击。
对于采用Windows2000或者WindowsXP的用户来说,不需要安装任何其他的软件,只要利用“TCP/IP筛选”功能即可限制服务器的端口。
具体的操作步骤如下:
1)在桌面的“网上邻居”图标上单击鼠标右键,在弹出的快捷菜单中选择“属性”菜单项打开“网络连接”窗口;2)双击“本地连接”图标,弹出“本地连接状态”对话框,然后切换到“常规”选项卡中;3)单击“属性”按钮打开“本地连接属性”对话框,在“此连接使用下列项目”列表框中选择“Internet协议(TCP/IP)”选项,然后单击“属性”按钮;4)随即会弹“Internet协议(TCP/IP)属性”对话框,然后单击“高级”按钮;5)随即会弹出“高级TCP/IP设置”对话框,切换到“选项”选项卡中,在“可选的设置”列表框中选择“TCP/IP筛选”选项;6)单击“属性”按钮打“TCP/IP筛选”对话框,选中“启用TCP/IP筛选(所有适配器)”复选框,然后选中该对话框左侧的“只允许”单选按钮,此时用户就可以自己添加或删除TCP、UDP或IP的各种端口了。
添加或者删除完毕并重新启动机器以后,该服务器主机就被保护起来了。
如果只是上网浏览网页,可以不添加任何端口。
但是如果要利用一些网络联络工具,例如OICQ的话,就要把“4000”这个端口打开。
同样,如果发现某个常用的网络工具不能起作用,则需要了解其在主机所开的端口,然后在“TCP/IP筛选”对话框中添加上相应的功能端口即可。
6、net命令:
net命令是一种基于网络上的命令,它的功能很强大,可以管理网络环境、服务、用户、登录等本地以及远程信息。
1)netview:
显示域列表、计算机列表或指定计算机的共享资源列表;2)netuser:
添加或更改用户帐号或显示用户帐号信息,该命令也可以写为netusers;3)netuse\\192.168.0.1\ipc$““/user:
hack:
与对方主机192.168.0.1建立ipc$连接,对方用户名为hack,密码为空的话只需要加引号即可;4)netuse z:
\\192.168.0.1\c$:
映射对方计算机的C盘到本地的Z盘;5)nettime\\192.168.0.1:
使计算机的时钟与另一台计算机或域的时间同步,如果不使用/set选项则显示对方的主机时间;6)netStart:
启动服务或显示已启动服务的列表。
不带参数则显示已打开的服务;7)netPause:
暂停正在运行的服务;8)netstop:
停止WindowsNT网络服务;9)netstatistics:
显示本地工作站或服务器服务的统计记录;10)netshare:
创建、删除或显示共享资源;11)netSession:
列出或断开本地计算机和与之连接的客户端的会话;11)netSend:
向网络的其他用户、计算机或通信名发送消息;12)netPrint:
显示或控制打印作业及打印队列;13)netLocalgroup:
添加、显示或更改本地组;13)netGroup:
在WindowsNTserver域中添加、显示或更改全局组;14)显示某个服务器上所有打开的共享文件名及锁定的文件数;15)netConfig:
显示当前运行的可配置服务,或更改某项服务的设置;16)netComputer:
从域数据库中添加或删除计算机;16)netAccounts:
更新用户帐户数据库、更改密码及所有帐号的登录要求。
7、telnet命令:
telnet命令是一个非常实用和功能强大的命令。
用户可以使用telnet命令进行远和登录。
1)close:
关闭与远端主机的连接;2)openhostname:
与主机hostname建立连接;3)quit:
退出telnet;4)setescapecharater:
设置escape字符,一般缺省的escape字符为Ctrl-1。
这个命令在用telnet级联几个主机时比较有用;5)setecho:
如果是echoon,那么从键盘上输入的字符将显示在屏幕上,如果是echooff,将看不到键盘输入的字符;6)Z:
从telnet状态回到shell,此时两台主机的连接不断;7)fg:
从shell回到telnet状态。
要从telnet状态重新回到远端主机,只需按下“Enter”键即可实现。
8、ftp命令:
fpt命令是Internet用户使用的最频繁的命令之一,在[命令提示符]窗中口输入“ftp”命令即可进入ftp子环境界面,ftp的命令格式为:
ftp-v-d-i-n-g[主机名]。
1)-v:
显示远和服务器的所有响应信息;2)-d:
使用调试方式,显示在客户端和服务器之间传递的所有ftp命令;3)-i:
传送多个文件时关闭交互提示;4)-n:
限制ftp的自动登录,即不使用;5)-g:
取消全局文件名;6)open2121:
假如端口是2121;7)username:
提示用户输入用户名;8)user1234:
提示用户输入密码;9)dir:
查看FTP服务器中的文件及目录;10)mkdirqint:
在FTP服务器上的根目录下建立qint目录;11)cdqint:
可以进入当前目录的下一级目录;12)bin:
如果不首先执行这个命令,上传下载的速度都会很慢;13)lcdd:
\qint:
定位要地默认文件夹,可以事先在D:
盘中创建;14)dir:
查看本地文件夹中的文件及目录;15)putmy01.jpg:
将当前目录(d:
\qint)中的文件mym01.jpg上传到FTP服务器默认目录。
可以用“mput*.*”将所有的文件上传到ftp服务器上;16)getd123.jpg(将FTP服务器默认目录中的文件d123.ipg下载到当前目录下(d:
\qint),可以用“mput*.*”将所有的文件下载到d:
\qint);17)delete*.*:
删除目录qint中的所有文件;18)cd..(返回至上一级目录,即根目录,返回上一级目录用“cd..”,注意:
中间有空格。
返回根目录用“cd\”;19)mrdirqint(删除目录qint。
要删除目录,在此目录下不能有文件及目录,不然将无法删除);20)bye:
退出ftp服务。
9、其他命令:
1)tracert:
是路由跟踪实用程序,用于确定IP数据报访问目标所采取的路径。
Tracert命令用IP生存时间字段和错误消息来确定从一个主机到网络上其他主机的路由;2)ipconfig:
选择[开始]>[运行]菜单项打开[运行]对话框,在[打开]下拉列表框中输入“cmd”命令并单击“确定”按钮打开[命令提示符]窗口,在光标闪烁的位置输入“cd\”命令并按下[Enter]键,然后即可使用ipconfig查看本机地址;3)route:
一般用于控制网络路由表;4)netsh命令:
可以让用户从本地或者远程显示或者或者修改当前运行的计算机的网络配置,例如修改IP地址等;5)arp命令:
是一个重要的TCP/IP协议,并且用于确定对应IP地址的网卡物理地址。
10、Windows系统的漏洞产生的原因主要有以下3种:
1)人为因素:
编程人员的人为因素。
在程序编写的过程中,为了实现不可告人的目的,编程人员在程序代码的隐蔽处保留后门;2)客观因素:
受编程人员的能力、经验和当时的安全技术、加密方法所限,在程序中难免会有不足之处,轻则影响程序的效率,重则会导致非授权用户的权限提升;3)硬件因素:
由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现出来。
11、Windpws系统中的安全隐患:
1)操作系统中的;2)代码庞大复杂,代码重用现象严重;3)盲目追求易用性和兼容性;4)Unicode的支持;5)扩展名欺骗;6)无法辨别“\”和“/”;7)UNC路径支持;8)设备文件名问题;9)注册表庞大而复杂;10)WSH;11)系统权限分配繁冗;12)默认兼容lanman验证;13)设计失误;14)Windows系统中的bug。
11、Windows2000中的漏洞:
1)输入法漏洞:
通过该漏洞用户可以浏览计算机上的所有文件,并且可以执行net.exe命令添加Administrator级别的管理员用户,从而完全控制计算机;2)Unicode漏洞:
攻击者可以通过IE浏览器远程运行被攻击计算机的cmd.exe文件,从而使该计算机的文件暴露,并且可以随意地执行和更改文件;3)ISAPI缓冲区扩展溢出漏洞:
攻击者向装有IIS5.0的Windows服务器发送特定的数据造成缓冲区溢出,从而控制IIS服务,甚至获取服务器的最高权限;4)MSSQLServer的SA空密码漏洞:
攻击者可在安装MSSQLServer的Windows2000服务器上新建Administrator组用户;5)系统管理权限漏洞:
操作系统权限有可能被登录至Windows2000的普通用户所窃取;6)路径优先漏洞:
本地攻击者可以利用该漏洞在系统中放置木马,并以系统登录用户安全权限执行;7)NetDDE消息权限提升漏洞:
网络动态数据交换是一种在不同的Windows应用程序之间动态地共享数据的技术,该共享通过受信任共享的通信通道完成,受信任共享由网络DDE代理服务管理。
本地机器的进程可以向网络DDE代理发出请求,包括指定针对某个受信任共享应运行的应用程序。
但由于网络DDE代理运行在本地系统用户的安全范围中并处理所有的请求,因此攻击者可以使网络DDE代理在本地系统用户的安全范围中执行其指定的代码,从而提升权限并完全地控制本地机器;8)RDP拒绝服务漏洞:
向RDP服务端口提交多个畸形包会导致服务器崩溃;9)域控制器拒绝服务漏洞:
提交至域控制器的大量无效请求将导致系统停止响应;10)事件查看器存在缓冲区溢出:
可使事件查看器崩溃或执行任意代码;11)UDP套接字拒绝服务漏洞:
当接收恶意电子邮件或访问某个恶意网站时,Windows2000会停止DNS解析,而Windows98则会拒绝接受新的TCP连接;12)安全帐户管理漏洞:
安全帐户管理数据库可以由Administrator户和Administrator组中的所有成员、备份操作员、服务器操作员及所有具有备份特权的人员所复制;13)IIS5.0的HTR映射远程堆溢出漏洞:
Windows的IIS5.0对“htr”文件的映射请求处理存在堆溢出漏洞,远程攻击者可以利用该漏洞获取主机普通用户的访问权限;14)IIS5.0的ASP缓冲溢出漏洞:
IIS5.0的ASP的ISAPI过滤器存在远程缓冲区溢出漏洞,远程攻击者可以利用该漏洞获取主机普通用户的访问权限;15)Narrator本地密码信息泄露漏洞:
恶意攻击者可以使计算机读出用户名和密码;16)SMTP认证漏洞:
SMTP用户认证可跳过;17)IIS5.0/5.1验证漏洞:
IIS验证漏洞导致泄露系统信息及账户可以通过暴力法破解;18)SQLServer的函数库漏洞:
在Windows2000和SQLServer7.0/2000系统中,由于函数库本身存在的问题会导致内存溢出和拒绝服务。
本地攻击者利用该漏洞可以获取系统特权或进行D.o.S攻击,并且可以运行攻击程序使其产生拒绝服务;19)IIS5.0伪造拒绝服务漏洞:
通过向IIS5.0发送某些请求可导致IIS5.0拒绝服务;20)调试寄存器漏洞:
通过该漏洞可以提升用户权限;21)drwtsn32.exe:
文件的故障使文件的默认权限设置不当,可能导致敏感住处泄漏;22)快捷方式漏洞:
Windows快捷方式可以导致本地拒绝服务和用户口令散列值泄漏及执行恶意程序;23)UTF漏洞:
IIS存在UTF目录遍历漏洞,攻击者利用该漏洞可以执行任意代码;24)IIS5.0SEARCH方法远程攻击漏洞:
容易导致远程攻击;25)LDAP:
远程攻击者利用MicrosoftLDAP漏洞可以改变管理员口令;26)IIS5.0拒绝服务漏洞:
利用设备文件导致IIS拒绝服务;27)Telnet漏洞:
存在着很多重大安全漏洞;28)登录服务恢复模式空密码漏洞:
恶意用户可以对系统进行物理访问,并拥有管理员权限;29)默认注册许可漏洞:
一些Windows注册键值被设备为错误的默认值,使攻击者改变系统设置,甚至远程控制主机;30)域帐号锁定漏洞:
微软Windows2000域帐号锁定可绕过;31)终端服务器登录缓存溢出漏洞:
该漏洞允许恶意用户引发终端服务崩溃或在服务器上执行恶意代码;32)Activex参数漏洞:
该漏洞可以允许恶意用户在另一台主机上运行代码;33)IIS5.0Cross-SiteScripting漏洞:
可以影响运行于Web服务器的任何软件,接受用户输入并生成Web页;34)组策略漏洞:
以独占方式打开组策略文件导致组策略应用被阻塞,攻击者可以阻止组策略的应用;35)数字签名缓冲区溢出漏洞:
允许攻击者运行代码;36)Active控件漏洞:
使Windows9X以上的版本拒绝服务;37)SMB漏洞:
拒绝服务;38)网络连接管理器漏洞:
导致用户权限的提升。
12、WindowsXP系统中的漏洞:
1)UPNP服务漏洞:
允许攻击者执行任意指令;2)升级程序漏洞:
如果将WindowsXP升级至WindowsXPProIE6.0则会重新安装,以前的补丁程序将被全部清除;3)帮助和支持中心漏洞:
删除用户系统的文件;4)压缩文件夹漏洞:
WindowsXP压缩文件夹可按攻击者的选择运行代码;5)服务拒绝漏洞:
服务拒绝;6)WindowsMediaPlay漏洞:
可能导致用户信息的泄漏,缓存路径泄漏;7)RDP漏洞:
信息泄露并拒绝服务;8)VM漏洞:
可能造成信息泄露并执行攻击者的代码;9)热键漏洞:
设置热键后,由于WindowsXP的自注销功能可使系统“假注销”,因此其他的用户可以通过热键调用程序;10)账号快速切换漏洞:
WindowsXP快速帐号切换功能存在问题,可被造成账号锁定,使所有非管理员账号均无法登录。
13、黑客常用的入侵方式:
1)数据驱动攻击;2)系统文件非法利用;3)伪造信息攻击;4)针对信息协议弱点攻击;5)远端操纵;6)利用系统管理员失误攻击;7)重新发送(REPLAY)攻击;8)对ICMP报文攻击进行;9)针对源路径选项的弱点攻击;10)以太网广播攻击;11)跳跃式攻击;12)窃取TCP协议连接;13)夺取系统控制权。
14、个人电脑安全防护策略:
1)杀(防)毒软件不可少;2)个人防火墙不可替代;3)分类设置复杂密码;4)防止网络病毒与木马:
不下载来路不明的软件及程序,应选择信誉较好的下载网站下载软件,将下载的软件及程序集中放在非引导分区的某个目录,在使用之前最好用杀毒软件查杀病毒或者安装一个实时监控病毒的软件,随时监控网上传递的信息。
另外不要打开来历不明的电子邮件应当将其拒之门外;5)警惕“网络钓鱼”;6)防范间谍软件;7)只在必要时共享文件夹;8)不要随意浏览黑客网站和非法网站;9)定期备份重要数据。
15、在Windows中运行组策略:
1)在Windows2000/XP/2003系统中系统默认已经安装了组策略程序。
选择[开始]>[运行]菜单项打开[运行]对话框,在[打开]下拉列表框中输入“gpedit.msc”命令并单击“确定”按钮可打开[组策略]编辑器,此时打开的组策略对象是当前的计算机,如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开。
在左窗格中选择需要更改的选项,这里选择[用户配置]>[管理模板]>[任务栏和开始菜单]选项,在右窗格中单击[关闭通知区域清理]选项,然后单击工具栏中的[属性]按钮,随即会打开[关闭通知区域清理属性]对话框,从中选中[已启用]、[未配置]或者[已禁用]单选按钮即可对计算机策略进行管理。
16、重命名默认账户:
Windows内置了Administrator和Guest帐户,而Administrator就是具有全部权限的管理员帐户,一些“爆破手”可以通过密码猜测或爆力破解的方法获得这一帐户的口令,所以建议用户重命名这两个帐户。
1)打开[组策略]编辑器,依次展开[“本地计算机”策略]>[计算机配置]>[Windows设置]>[安全设置]>[本地策略]分支,然后选择[安全选项]选项;2)在右侧的窗格中分别双击[重命名系统管理员帐户]和[重命名来宾帐户]选项,在弹出的对话框中重新输入一个账户名即可重命名Administrator和Guest帐户。
对于黑客来说,得到Administrator账户的密码是他们梦寐以求的事情。
但该帐户不能被删除或者禁用,所以要保证该账户的安全,可行的办法就是改名或使用一个复杂的密码。
17、账户锁定策略:
有些黑客会利用账户词典和密码词典远程破解Windows账户以便通过IPC$或终端服务远程登录到Windows,启用帐户锁定策略可以有效地防止黑客通过这种方法远程破解Windows账户。
18、密码策略:
大多数Windows用户的帐户使用的却是“弱口令”(密码可以被轻易破解的口令),甚至有些用户的Administrator账户是空口令,这是非常不安全的,极易遭受黑客的攻击。
为了防止账户和密码设置上的“轻率”,使用户的Windows账户有一个复杂的密码,可以启用密码策略。
19、隐藏桌面上的系统图标:
一般情况下隐藏桌面上的系统图标是通过修改注册表来实现的,这势必会有一定的风险性,而采用[组策略]编辑器就可以方便快捷地达到此目的。
20、设置用户权限:
当多人共用一台电脑时,可以利用[组策略]编辑器来快速地设置用户的权限。
21、其他策略:
1)禁止更改桌面设置;2)禁止访问[控制面板];3)防止用户使用[添加或删除程序];4)禁止更改[开始]菜单和任务栏;5)限制使用应用程序。
22、禁止访问和编辑注册表:
注册表是Windows操作系统的灵魂所在,任何的对注册表的错误修改都有可能让系统瘫痪。
因此要保护好注册表,使其免于被他人修改和控制。
一般对注册表的操作都是通过注册表编辑器来完成时:
选择[开始]>[运行]菜单项打开[运行]对话框,在[打开]下拉列表文本框中输入“regedit.exe”命令,单击“确定”按钮即可打开[注册表编辑器]窗口,使用阻止访问注册表编辑策略将禁用Regedit.exe,以禁用Windows注册表编辑器,具体的操作步骤如下:
1)打开[组策略]编辑器,依次展开[“本地计算机”策略]>[用户配置]>[管理模板]分支,然后选择[系统]选项;2)双击右侧窗格中的[阻止访问注册表编辑工具]选项打开[阻止访问注册表编辑工具属性]对话框,然后选中[已启用]单选按钮。
可以看到此时的[禁用后台运行regedit?
]功能被激活。
此时单击“确定”按钮应用设置,然后再次打开[运行]对话框,并在[打开]下拉列表文本框中输入“regedit.exe”命令,单击“确定”按钮即会弹出提示框,提示“注册表编辑已被管理员停用”。
如果用户对注册表不是很熟悉,最好不要轻易地动手修改、更新注册表,否则容易发生危险。
23、连接网络注册表:
即使经常使用注册表的用户也可能忽略了一个重要的功能,即注册表编辑器菜单中的“连接网络注册表”。
打开[注册表编辑器]对话框,选择[文件]>[连接网络注册表]菜单项即可打开[选择计算机]对话框。
该功能在某些情况下是很有用的,例如可以方便网络管理员对网络中的计算机进行管理,但也可能被黑客利用从而对他人的计算机的注册表进行远程操作,这是十分危险的。
而且在Windows2000中,系统默认允许对注册表进行远程操作。
在Windows2000系统中禁用该服务的具体步骤如下:
1)选择[开始]>[设置]>[控制面板]菜单项打开[控制面板]窗口,依次打开[管理工具]>[服务]窗口,本地计算机中的所有服务即会显示出来;2)在名称为“RemiteRegistryService”、描述为“允许远程注册表操作”的服务上单击鼠标右键,在弹出的快捷菜单中选择[属性]菜单项;3)在打开的对话框中切换到[常规]选项卡,在[启动类型]下拉列表框中选择[已禁用]选项,然后单击“确定”按钮即可。
24、设置注册表防止系统隐私信息被泄露:
在Windows系统运行出错的时候,系统内部有一个DRWATSON程序会自动地将系统调用的隐私信息保存下来,隐私信息将保存在user.dmp和drwtsn32.log文件中去。
攻击者可以通过破解这个程序而了解系统的隐私信息,因此需要阻止该程序将信息泄露出去。
25、在注册表中关闭默认共享保证系统安全:
在默认安装Windows系统的情况下,为了管理方便,所有的硬盘都是隐藏共享的,将系统安装分区自动进行共享,这样即可以网络中访问该用户的资源。
26、略施小计吓跑不怀好意的菜鸟:
计算机用户通常都非常厌恶自己的电脑被别人在自己不知情的状况下进行某些操作或者设置。
对于一些计算机水平不高的“菜鸟”,可以略施小计警示一下,使其下次再也没有胆量随便操作用户的计算机。
27、修改系统注册表防止SYN洪水攻击:
SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求耗费CPU和内存资源。
SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统。
28、删除系统中的随机启动木马:
一般
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 黑客 攻防 计算机 网络安全 基础