返回
培训课件计算机网络安全教程

培训课件计算机网络安全教程

ID:33479074

大小:2.62 MB

页数:150页

时间:2018-05-23

培训课件计算机网络安全教程_第1页
培训课件计算机网络安全教程_第2页
培训课件计算机网络安全教程_第3页
培训课件计算机网络安全教程_第4页
培训课件计算机网络安全教程_第5页
资源描述:

《培训课件计算机网络安全教程》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、计算机网络安全教程第五章网络入侵5.1物理攻击与防范5.2暴力攻击5.3Unicode漏洞专题5.4社会工程学攻击55.5缓冲区溢出攻击5.6拒绝服务攻击5.7分布式拒绝服务攻击5.8其他漏洞攻击防范拒绝服务攻击5.9社会工程学攻击5.1社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。社会工程学攻击举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是

2、无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。网络攻击技术-社交工程黑客们最常用的一种攻击手段能得到使用技术手段不能得到的好处防火墙和IDS对这种攻击不起作用需要高超的人际交往技术常用方式电话电子商务网络攻击技术-社交工程社交工程种类假冒权威假扮同情个人利益改善自我感觉不引人注意的职业奖赏社交工程(SocialEngineering)假冒权威黑客冒充公司的

3、领导人员在大公司中,不认识所有上司的情况非常普通在Internet上,黑客可以通过邮件列表发出入侵的安全警告,并提供解决问题的指令,指令被设计成能使黑客访问系统。足够显眼的标题和时髦的行话社交工程(SocialEngineering)假扮电话、电子邮件、聊天室和短消息里假扮你的熟人如果你是新来的职员,冒充你的同事同情如果一个人打电话来,讲述他的困难,你不帮助他吗?个人利益假冒来自财务部门的员工,访问系统管理员社交工程(续)改善自我感觉自我感觉良好的人易于被欺骗黑客进入热情的经理房间,表明自己是来自市场部的新员工,会得到详细的介绍社

4、交工程(续)不引人注意的职业来自天然气、电力公司或者电话公司的员工请求拨号等上机操作人们会单独把黑客放在房间里奖赏提供某种形式的奖赏会引诱人泄露信息口令比赛-赢大奖、展示创造性,请列出密码避免受到社交工程攻击极度警惕Donottrustanystranger即使是很友好的人怀疑一切声称并不代表他有权这样做询问他们的权限绝大多数社交工程在高度警惕下破产避免受到社交工程攻击(续)验证出处当某人电子邮件要求时,要求来电话确证对于电话里的请求,要求回电号码并确证员工号码或者身份证避免受到社交工程攻击(续)说不对于逾越日常行为准则的要求,要

5、拒绝要求按照正常程序和规定书面报告和授权信息用户培训培训员工,提高安全意识物理攻击与防范5.2获取管理员密码1权限提升2物理安全是保护一些比较重要的设备不被接触。物理安全比较难防,因为攻击往往来自能够接触到物理设备的用户。引言获取管理员密码1用户登录以后,所有的用户信息都存储在系统的一个进程中,这个进程是:“winlogon.exe”,WindowsLogonProcess,WindowsNT用户登陆程序,管理用户登录和退出。该进程的正常路径应是C:WindowsSystem32且是以SYSTEM用户运行获取管理员密码1案例5

6、-1得到管理员密码用户登录以后,所有的用户信息都存储在系统的一个进程中,这个进程是:“winlogon.exe”,可以利用程序将当前登录用户的密码解码出来,如图5-1所示。获取管理员密码1使用FindPass等工具可以对该进程进行解码,然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录,执行该程序,将得到当前用户得登录名,如图5-2所示。权限提升2有时候,管理员为了安全,给其他用户建立一个普通用户帐号,认为这样就安全了。常用的方法:社会工程学本地溢出利用scripts目录的可执行权限替换系统服务替换admin

7、常用程序利用autorun.infServ-U提升权限SQL帐户密码泄露权限提升2用普通用户帐号登录后,可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。案例5-2普通用户建立管理员帐号利用Hacker帐户登录系统,在系统中执行程序GetAdmin.exe,程序自动读取所有用户列表,在对话框中点击按钮“New”,在框中输入要新建的管理员组的用户名,如图5-5所示。案例5-2普通用户建立管理员帐号输入一个用户名“IAMHacker”,点击按钮“确定”以后,然后点击主窗口的按钮“OK”,出现添加成

8、功的窗口,如图5-6所示。暴力攻击5.3字典文件1暴力破解操作系统密码2暴力破解邮箱密码3暴力破解软件密码4暴力攻击是一种发现密码的尝试,其方法是系统地尝试字母、数字和符号的每种可能组合,直到发现一个可起作用的正确组合。攻击者总可以通过暴力攻击获得

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。