第二章-黑客攻击主要手段分析

第2章黑客攻击主要手段分析本章要点:黑客攻击的目的、步骤、常用工具和手段识别黑客攻击行为1网络安全技术第2章黑客攻击主要手段分析2.1黑客和网络攻击2.2黑客攻击的基本工具2.3常用攻击手段2网络安全技术本章教学目标了解黑客攻击的目的及攻击步骤

熟悉黑客常用的攻击方法

掌握防范黑客的措施

掌握黑客攻击过程，并防御黑客攻击3网络安全技术攻击事件2005年,三季黑客攻击事件比同期增加150%

2007-06-21,五角大楼电子邮件系统遭黑客入侵,美国国防部的电脑系统每天可能遭到数百次的黑客攻击.新华网洛杉矶2007年３月２１日赛门铁克公司日前发布的报告指出，美国是全球网络黑客的大本营，其每年产生的恶意电脑攻击行为远高于其他国家，占全球网络黑客攻击行为总数的约３１％。4网络安全技术5网络安全技术什么是黑客？6网络安全技术前言提起黑客，总是那么神秘莫测。在人们眼中，黑客是一群聪明绝顶，精力旺盛的年轻人，一门心思地破译各种密码，以便偷偷地、未经允许地打入政府、企业或他人的计算机系统，窥视他人的隐私。这群“电脑捣乱分子”尤其喜欢在夜间连上调制解调器开始在网上寻找目标，象一群怯光的蝙蝠，扇翅滑过城市黑暗的夜，穿行于广袤无垠的网络空间。其实，黑客成为人们眼中“电脑捣乱分子”的代名词，只是近几年的事。黑客的产生与变迁，有一语难以概之的复杂背景，并且与计算机技术的发展紧密相关。一部“黑客史”其实就是一部计算机发展的历史。7网络安全技术黑客的定义黑客这个名词是由英文“hacker”音译来过的。而“hacker”又是源于英文动词“hack”。（“hack”在字典里的意思为：劈砍，引申为“干了一件不错的事情”）黑客并不是指入侵者。黑客起源与50年代麻省立功学院的实验室里。他们喜欢追求新的技术，新的思维，热充解决问题。但到了90年代，黑客渐渐变成“入侵者”。因为，人们的心态一直在变，而黑客的本质也一直在变。许多所谓的黑客，学会技术后，干起犯法的事情。例如，进入银行系统盗取信用卡密码，利用系统漏洞进入服务器后进行破坏，利用黑客程序（特洛伊木马）控制别人的机子。这些都是可耻的。也因为一件件可耻的事情暴光后，传媒把“黑客”这个名词强加在“入侵者”身上。令人们认为黑客=入侵者！8网络安全技术黑客的起源一般认为，黑客起源于50年代麻省理工学院的实验室中，他们精力充沛，热衷于解决难题。60、70年代，“黑客”一词极富褒义，用于指代那些独立思考、奉公守法的计算机迷，他们智力超群，对电脑全身心投入，从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索，为电脑技术的发展做出了巨大贡献。正是这些黑客，倡导了一场个人计算机革命，倡导了现行的计算机开放式体系结构，打破了以往计算机技术只掌握在少数人手里的局面，开了个人计算机的先河，提出了“计算机为人民所用”的观点，他们是电脑发展史上的英雄。9网络安全技术黑客守则任何职业都有相关的职业道德，黑客也有其“行规”，一些守则是必须遵守的，归纳起来就是“黑客守则”。

1）不要恶意破坏任何系统，否则会给自己带来麻烦。

2）不要破坏别人的软件和资料。

3）不要修改任何系统文件，如果是由于进入系统的需要，则应该在目的达到后将其恢复原状。

4）不要轻易地将你要黑的或者黑过的站点告诉不信任的朋友。

5）在发表黑客文章时不要用自己的真实名字。

6）正在入侵的时候，不要随意离开自己的电脑10网络安全技术黑客守则

7）不要入侵或破坏政府机关的主机。

8）将自己的笔记放在安全的地方。

9）已侵入的电脑中的账号不得清除或修改。

10）可以为隐藏自己的侵入而作一些修改，但要尽量保持原系统的安全性，不能因为得到系统的控制权而将门户大开。

11）勿做无聊、单调并且愚蠢的重复性工作。

12）要做真正的黑客，读遍所有有关系统安全或系统漏洞的书籍。11网络安全技术黑客技术黑客技术，简单地说，是对计算机系统和网络的缺陷和漏洞的发现，以及针对这些缺陷实施攻击的技术。这里说的缺陷，包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。12网络安全技术真正的黑客是指真正了解系统，对电脑有创造有贡献的人们。而不是以破坏为目的的入侵者。能否成功当一名黑客，最重要的是心态，而不是技术。

13网络安全技术真正耻辱“黑客”的是：某个人利用学到的黑客技术，非法进入主机后，更改，删除和破坏主机的资料。黑客技术正如一把刀。落在警察里是好工具，落在歹徒里就是一个作案工具。14网络安全技术数千黑客聚会美国讨论电脑安全问题数千名职业黑客、政府探员和电脑安全的热心人士2007年8月1日聚集在美国拉斯韦加斯开会，讨论最新发现的电脑安全薄弱环节，并敦促大公司采取措施加强防范。报道说，与会人士将重点讨论今年的两大网络袭击事件，一是爱沙尼亚的银行、媒体和政府机构的网站遭到计划周密的侵袭；二是T.J.Maxx母公司和玛莎百货商店的电脑信息泄露，导致至少4500万个信用卡和借方卡的信息可能被犯罪分子用于诈骗。15网络安全技术红客可以说是中国黑客起的名字。英文“honker”是红客的译音。红客，是一群为捍卫中国的主权而战的黑客们！他们的精神是令人敬佩的！16网络安全技术破解者Cracker

喜欢探索软件程序！他们的目标是一些需要注册的软件。他们通常利用Debug，找出内存中的密码。17网络安全技术18网络安全技术19网络安全技术历史上最著名的几次黑客事件

1999年，梅利莎病毒使世界上300多家公司的电脑系统崩溃，该病毒造成的损失接近4亿美金，它是首个具有全球破坏力的病毒，该病毒的编写者戴维·史密斯在编写此病毒时仅30岁1983年，凯文·米特尼克因被发现使用一台大学里的电脑擅自进入今日互联网的前身ARPA网，并通过该网进入了美国五角大楼的电脑，而被判在加州的青年管教所管教6个月。

20网络安全技术历史上最著名的几次黑客事件2000年，年仅15岁，绰号黑手党男孩的黑客在2000年2月6日到2月14日情人节期间成功侵入包括雅虎、eBay和Amazon在内的大型网站服务器，他成功阻止服务器向用户提供服务，他于当年被捕。

21网络安全技术历史上最著名的几次黑客事件2001年，中美撞机事件发生后，中美黑客之间发生的网络大战愈演愈烈。自4月4日以来，美国黑客组织PoizonBox不断袭击中国网站。对此，我国的网络安全人员积极防备美方黑客的攻击。中国一些黑客组织则在“五一”期间打响了“黑客反击战”。

22网络安全技术历史上最著名的几次黑客事件2008年，一个全球性的黑客组织，利用ATM欺诈程序在一夜之间从世界49个城市的银行中盗走了900万美元。最关键的是，目前FBI还没破案，甚至据说连一个嫌疑人还没找到。

23网络安全技术历史上最著名的几次黑客事件2009年，7月7日，韩国总统府、国会、国情院和国防部等国家机关，以及金融界、媒体和防火墙企业网站遭到黑客的攻击。9日韩国国家情报院和国民银行网站无法被访问。韩国国会、国防部、外交通商部等机构的网站一度无法打开。这是韩国遭遇的有史以来最强的一次黑客攻击。

24网络安全技术怎样避免成为受害者？小心从个人发出的询问员工或其他内部资料的来路不明的电话，访问或者电子邮件信息。如果一个不认识的个人声称来自某合法机构，请设法直接向该机构确认他或她的身份。除非你能够确定某人有权得到此类资料，否则不要供个人信息或者你所在机构的信息给他，包括你所在机构的组织结构和网络方面的信息。不要在电子邮件中泄露私人的或财务方面的信息，不要回应征求此类信息的邮件，也包括不要点击此类邮件中的链接。在检查某个网站的安全性之前不要在网络上发送机密信息。注意一个网站的URL地址。恶意网站可以看起来和合法网站一样，但是它的URL地址可能使用了修改过的拼写或域名（例如将.com变为.net）。25网络安全技术如果你认为已受危害该如何做？如果你确信已经泄露了你所在机构的机密信息，请向你所在机构的适当人员报告，包括网络管理员。这样他们就能够对可疑的或不正常的活动提高警惕。如果你确信你的财务账号被侵害了，请迅速联系你的财务机构并关闭可能被侵害的账号。观察你的账号中任何无法解释的收费。请考虑将攻击报告给警察，并发送一份报告给相关安全机构。26网络安全技术2.1.1黑客的行为

学习技术伪装自己发现漏洞

利用漏洞27网络安全技术学习技术初级黑客要学习的知识是比较困难的，因为他们没有基础，所以学习起来要接触非常多的基本内容，然而今天的互联网给读者带来了很多的信息，这就需要初级学习进行选择：太深的内容可能会给学习带来困难；太“花哨”的内容又对学习黑客没有用处。所以初学者不能贪多，应该尽量寻找一本书和自己的完整教材、循序渐进的进行学习。28网络安全技术伪装自己黑客的一举一动都会被服务器记录下来，所以黑客必须伪装自己使得对方无法辨别其真实身份，这需要有熟练的技巧，用来伪装自己的IP地址、使用跳板逃避跟踪、躲开防火墙等。29网络安全技术伪装自己伪装是需要非常过硬的基本功才能实现的，这对于初学都来说成的上“大成境界”了，也就是说初学都不可能用短时间学会伪装，所以我并不鼓励初学者利用自己学习的知识对网络进行攻击，否则一旦自己的行迹败露，最终害的是自己。如果有朝一日你成为了真正的黑客，我也同样不赞成你对网络进行攻击，毕竟黑客的成长是一种学习，而不是一种犯罪。30网络安全技术发现漏洞漏洞对黑客来说是最重要的信息，黑客要经常学习别人发现的漏洞，并努力自己寻求未知漏洞，并从海量的漏洞中寻找有价值的、可被利用的漏洞进行试验。31网络安全技术发现漏洞黑客对寻找漏洞的执著是常人难以想象的，他们的口号说“打破权威”，从一次又一次的黑客实践中，黑客也用自己的实际行动向世人印证了这一点世界上没有“不存在的漏洞”的程序。在黑客中，所谓的“天衣无缝”不过是“没有找到”而已。32网络安全技术利用漏洞对于黑客来说，漏洞要被修补；对于另一类黑客来说，漏洞要用来破坏。而他们的基本前提是利用漏洞，黑客利用漏洞会做出以下事情：1获得系统信息：有些漏洞可以泄露系统信息，从而进一步入侵系统；2入侵系统：通过漏洞进入系统内部，可获得服务器上的内部资料；3寻找下一个目标：一个胜利意味着下一个目标的出现，黑客应该充分利用自己已经掌管的服务器作为工具，寻找并入侵一个系统；33网络安全技术34网络安全技术2.1.2黑客攻击的目的获取保密信息破坏网络信息的完整性攻击网络的可用性改变网络运行的可控性逃避责任35网络安全技术获取保密信息网络信息的保密性目标是防止未授权泄露敏感信息。网络中需要保密的信息包括网络重要配置文件、用户账号、注册信息、商业数据等。36网络安全技术获取保密信息获取保密信息包括以下几个方面：1获取超级用户的权限。具有超级用户的权限，意味着可以做任何事情，这对入侵者无疑是一个莫大的诱惑。在一个局域网中，只有掌握了，多台主机的超级用户权限，才可以说掌握了整个子网37网络安全技术获取保密信息2对系统进行非法访问。一般来说，计算机系统是允许其他用户访问的。因此必须以一种非正常的行为来得到访问的权利。这种攻击的目的不是说要做什么，或许只是为访问而攻击。38网络安全技术获取保密信息例如：在一个有许多WINDOWSXP的用户网络中，常常有许多用户把自己的目录共享出来，于是别人就可以从容地在这些计算机上浏览、寻找自己感兴趣的东西，或者删除和更换文件。39网络安全技术获取保密信息3获取文件盒传输中的数据。攻击者的目标就是系统中的重要数据，因此攻击者主要通过登录目标主机，或是使用网络监听进行攻击来获取文件和传输中的数据

40网络安全技术常见的针对信息保密的攻击方法1使用社会工程手段骗取用户名和密码一个名为“QQ大盗”的木马病毒，应引起用户警惕。病毒运行后，关闭当前运行的QQ,伪造QQ登录窗口，并要求重新输入QQ账密。用户一旦轻信，QQ账号信息将被发送至黑客指定服务器，届时用户将面临QQ被盗、隐私信息泄露等风险。

41网络安全技术常见的针对信息保密的攻击方法2免费发送软件，内含盗取计算机信息的功能；3通过搭线窃听，偷看网络传输数据等进行拦截网络信息；4使用敏感的无线电接收设备，远距离接收计算机操作者的输入和屏幕显示产生的电磁辐射，远距离还原计算机操作者的信息42网络安全技术常见的针对信息保密的攻击方法5将网络信息重定向。攻击者利用技术手段将信息发送端重定向到攻击者所在的计算机，然后再转发给接收者例如，攻击者伪造某网上银行域名(或相似域名)，欺骗用户输入帐号和密码43网络安全技术破坏网络信息的完整性网络信息的完整性目标是防止未授权信息修改有时在特定环境中，完整性比保密性更重要例如，在将一笔电子交易的金额由100万改为1000万，比泄露这笔交易本身结果更严重44网络安全技术攻击网络的可用性可用性是指信息可被授权者访问并按需求使用的特性，保证合法用户对信息和资源的使用不会被不合理的拒绝，拒绝服务攻击就是针对网络可用性进行攻击，拒绝服务的方式很多，比如：

将连接局域网的电缆接地；制造网络风暴等。45网络安全技术网络风暴由于网络的设计和连接问题，或其他原因导致广播在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪。这就是网络风暴。

46网络安全技术改变网络运行的可控性可控性是指对信息的传播及内容具有控制能力的特性。授权机构可以随时控制信息的机密性，能够对信息实施安全监控。例如：网络蠕虫垃圾邮件域名服务数据破坏（污染域名服务器缓存数据）47网络安全技术逃避责任攻击者为了能够逃避惩罚，往往会通过删除攻击的痕迹等方式抵赖攻击行为，或进行责任转嫁，达到陷害他人的目的。攻击者为了攻击的需要，往往就会找一个中间站点来运行所需要的程序，并且这样也可以避免暴露自己的真实目的。48网络安全技术2.1.3黑客攻击的步骤对于网络安全来说，成功防御的一个基本组成部分就是要了解敌人。就象防御工事必须进行总体规划一样，网络安全管理人员必须了解黑客的工具和技术，并利用这些知识来设计应对各种攻击的网络防御框架。49网络安全技术黑客攻击的步骤根据来自国际电子商务顾问局白帽黑客认证的资料显示，成功的黑客攻击包含了五个步骤：搜索、扫描、获得权限、保持连接，消除痕迹。在本文中，我们就将对每个阶段进行详细的分析。50网络安全技术黑客攻击的步骤-搜索搜索可能是耗费时间最长的阶段，有时间可能会持续几个星期甚至几个月。黑客会利用各种渠道尽可能多的了解企业类型和工作模式，包括下面列出这些范围内的信息：51网络安全技术黑客攻击的步骤-搜索互联网搜索社会工程垃圾数据搜寻域名管理/搜索服务非侵入性的网络扫描52网络安全技术黑客攻击的步骤-搜索这些类型的活动由于是处于搜索阶段，所以属于很难防范的。很多公司提供的信息都属于很容易在网络上发现的。而员工也往往会受到欺骗而无意中提供了相应的信息，随着时间的推移，公司的组织结构以及潜在的漏洞就会被发现，整个黑客攻击的准备过程就逐渐接近完成了。53网络安全技术黑客攻击的步骤-搜索不过，这里也提供了一些你可以选择的保护措施，可以让黑客攻击的准备工作变得更加困难，其中包括：软件版本和补丁级别电子邮件地址关键人员的姓名和职务确保纸质信息得到妥善处理接受域名注册查询时提供通用的联系信息禁止对来自周边局域网/广域网设备的扫描企图进行回应54网络安全技术黑客攻击的步骤-扫描一旦攻击者对公司网络的具体情况有了足够的了解，他或她就会开始对周边和内部网络设备进行扫描，以寻找潜在的漏洞，其中包括：开放的端口开放的应用服务包括操作系统在内的应用漏洞保护性较差的数据传输每一台局域网/广域网设备的品牌和型号55网络安全技术黑客攻击的步骤-扫描在扫描周边和内部设备的时间，黑客往往会受到入侵防御(IDS)或入侵检测(IPS)解决方案的阻止，但情况也并非总是如此。老牌的黑客可以轻松绕过这些防护措施。56网络安全技术黑客攻击的步骤-扫描下面提供了防止被扫描的措施，可以在所有情况使用：关闭所有不必要的端口和服务关键设备或处理敏感信息的设备，只容许响应经过核准设备的请求加强管理系统的控制，禁止直接访问外部服务器，在特殊情况下需要访问的时间，也应该在访问控制列表中进行端到端连接的控制确保局域网/广域网系统以及端点的补丁级别是足够安全的。57网络安全技术黑客攻击的步骤-获得权限攻击者获得了连接的权限就意味着实际攻击已经开始。通常情况下，攻击者选择的目标是可以为攻击者提供有用信息，或者可以作为攻击其它目标的起点。在这两种情况下，攻击者都必须取得一台或者多台网络设备某种类型的访问权限。58网络安全技术黑客攻击的步骤-获得权限除了在上面提到的保护措施外，安全管理人员应当尽一切努力，确保最终用户设备和服务器没有被未经验证的用户轻易连接。这其中包括了拒绝拥有本地系统管理员权限的商业客户以及对域和本地管理的服务器进行密切监测。此外，物理安全措施可以在发现实际攻击的企图时，拖延入侵者足够长的时间，以便内部或者外部人员(即保安人员或者执法机构)进行有效的反应。59网络安全技术黑客攻击的步骤-获得权限最后，我们应该明确的一点是，对高度敏感的信息来说进行加密和保护是非常关键的。即使由于网络中存在漏洞，导致攻击者获得信息，但没有加密密钥的信息也就意味着攻击的失败。不过，这也不等于仅仅依靠加密就可以保证安全了。对于脆弱的网络安全来说，还可能存在其它方面的风险。举例来说，系统无法使用或者被用于犯罪，都是可能发生的情况。60网络安全技术黑客攻击的步骤-网络连接为了保证攻击的顺利完成，攻击者必须保持连接的时间足够长。虽然攻击者到达这一阶段也就意味他或她已成功地规避了系统的安全控制措施，但这也会导致攻击者面临的漏洞增加。61网络安全技术黑客攻击的步骤-消除痕迹在实现攻击的目的后，攻击者通常会采取各种措施来隐藏入侵的痕迹和并为今后可能的访问留下控制权限。因此，关注反恶意软件、个人防火墙和基于主机的入侵检测解决方案，禁止商业用户使用本地系统管理员的权限访问台式机。在任何不寻常活动出现的时间发出警告，所有这一切操作的制定都依赖于你对整个系统情况的了解。因此，为了保证整个网络的正常运行，安全和网络团队和已经进行攻击的入侵者相比，至少应该拥有同样多的知识。62网络安全技术2.2黑客攻击的基本工具黑客很聪明，他们经常利用别人在安全领域广泛使用的工具和技术。一般来说他们如果不自己设计工具，就必须利用现有的工具。63网络安全技术2.2.1黑客攻击的基本工具扫描器：网络扫描，是基于Internet的、探测远端网络或主机信息的一种技术，也是保证系统和网络安全必不可少的一种手段。主机扫描，是指对计算机主机或者其他网络设备进行安全性检测，以找出安全隐患和系统漏洞。总体而言，网络扫描和主机扫描都可归入扫描一类。

64网络安全技术黑客攻击的基本工具主机扫描漏洞，主要通过以下两种方法来检查目标主机是否存在漏洞：

1在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在。65网络安全技术黑客攻击的基本工具2通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。66网络安全技术漏洞扫描技术可以分为：

ping扫描端口扫描OS探测脆弱点扫描防火墙规则探测Banner67网络安全技术网络监听工具网络监听工具是网络管理员常用的一类管理工具。使用这种工具,网络管理员可以监视网络的状态、数据流动情况以及网络上传输的信息。但是网络监听工具也是黑客的常用工具。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获。68网络安全技术网络监听工具一个较为完整的基于网络监听程序一般包括以下步骤：

(一)数据包捕获：数据包捕获常用的方法有两种

1通过设置硬路由器的监听端口

2利用以太网络的传播特性69网络安全技术网络监听工具(二)数据包过滤与分解一些基本的过滤规则如下：站过滤协议过滤服务过滤通用过滤70网络安全技术网络监听工具(三)数据分析：就是对已经捕获的数据包进行各种分析，例如，网络流量分析、数据包中信息分析、敏感信息提取分析等，其功能取决于系统要达到的目的。71网络安全技术2.2.