3.2 黑客攻击技术_信息安全防御技术与实施-QQ阅读男生玄幻网

书名：信息安全防御技术与实施
作者名：韦文思徐津主编
本章字数：3951字
更新时间：2020-08-27 19:31:33

3.2 黑客攻击技术

3.2.1 黑客攻击的步骤

尽管黑客攻击系统的技能有高低之分，入侵系统手法多种多样，但他们对目标系统实施攻击的流程却大致相同。其攻击过程可归纳为以下9个步骤：踩点（Foot Printing）、扫描（scanning）、查点（enumeration）、获取访问权（Gaining Access）、权限提升（Escalating Privilege）、窃取（pilfering）、掩盖踪迹（Covering Track）、创建后门（Creating Back Doors）、拒绝服务攻击（Denial of Services）。

（1）踩点。踩点的主要目的是获取目标主机的信息，比如网络域名、网络地址分配、域名服务器、邮件交换主机、网关等关键系统的位置及软硬件信息等。

（2）扫描。扫描通过踩点已获得了目标主机的一定信息，下一步需要确定目标网络范围内哪些主机是“活动”的，以及它们提供哪些服务，以便集中精力在最有希望的攻破的点上发动攻击。

（3）查点。查点就是根据扫描到的目标主机采用的不同操作系统进一步确定其上用户和用户组名、路由表、SNMP信息、共享资源、服务程序及旗标等信息。

（4）获取访问权。在搜集到目标系统的足够信息后，下一步要完成的工作自然是设法获得目标系统的访问权，为进一步的入侵创造条件。

（5）权限提升。攻击者通过前面的步骤获得的系统访问权往往是最普通的使用权限，但是却能使攻击者接触到更多的信息，此时攻击者往往会利用这些信息（如存放密码的文件等）获得更高权限的用户的密码，或者将已经获得的普通用户权限提升至超级用户权限，以便完成对系统的完全控制。

（6）窃取。此时黑客就会对其感兴趣的信息进行窃取。

（7）掩盖踪迹。上述的工作中，黑客必然会留下痕迹。此时，黑客需要做的首要工作就是清除所有入侵痕迹，避免自己被检测出来，以便能够继续保持对被入侵系统的控制。

（8）创建后门。好的管理员往往会定期更换现有以后的密码，为了不在管理员更改密码后失去对被入侵主机的控制。黑客往往会在被入侵主机上创建一些后门及陷阱，以便更好的控制被入侵主机。

（9）拒绝服务攻击。而如果黑客的目的是破坏，那么现在他就能发起最可怕的攻击。拒绝服务攻击，从而使受害主机彻底失去提供服务的能力。

3.2.2 应对黑客攻击的策略

在对网络攻击进行分析和识别的基础上，认真制订有针对性的策略，设置强有力的安全保障体系，在网络中层层设防，使攻击者无计可施。可以参考以下几点：

（1）未雨绸缪。预防为主，定期做好重要数据的备份工作，定期检查系统的安全工作。

（2）提高安全意识。不要从Internet上随意下载不知名的软件、游戏等；不要打开来历不明的电子邮件及其附件；及时更新系统补丁；使用尽可能负责的密码；更不要随便运行黑客程序。

（3）配合使用防火墙和防病毒产品。这两个产品是网络安全的有力保障，也是比较成熟的网络安全防护手段。

（4）设置代理服务器，隐藏自己的IP地址。

总之，要以预防为主，谨慎行事。

3.2.3 黑客攻击的工具

1. 密码破解

密码破解不一定涉及复杂的工具，它可能非常简单，比如找一张写有密码的纸条，而这张纸就贴在显示器上或者藏在键盘底下。当然，密码破解也可能涉及更高级的复杂技术。下面给出一些在密码破解中使用的更常见的技术：

（1）字典攻击（Dictionary attack）。到目前为止，一个简单的字典攻击是闯入计算机的最快方法。字典攻击的原理是将字典文件（一个充满可能口令的文本文件）装入破解应用程序（如L0phtCrack），然后由应用程序自动进行账户和密码的匹配工作。因为大多数密码通常是简单的，所以运行字典攻击通常可实现入侵的目的。

（2）混合攻击（Hybrid attack）。另一个众所周知的攻击形式是混合攻击，混合攻击将数字和符号添加到密码中以成功破解密码。因为许多人只通过在当前密码后加一个数字来更改密码，其模式通常采用这一形式：第一个月的密码是“cat”；第二个月的密码是“cat1”；第三个月的密码是“cat2”，依此类推。所以混合攻击也是很好的破解密码手段。

（3）蛮力攻击（Bruteforce attack）。蛮力攻击是最全面的攻击形式，它的密码破解不依赖于任何字典文件，而是尝试所有的可能。这种攻击的缺点是理论上虽然可以破解出密码，但它通常需要很长的时间，甚至不能在有限的时间内完成。

对付密码破解的最好的方式是使用复杂的密码，另外对系统的登录尝试次数进行限制。

2. 嗅探器

注意：

嗅探器是一把双刃剑，这里主要介绍黑客对其的使用，侧重于其对网络安全不利方面的介绍。

嗅探器是一种能够捕获网络报文的设备，黑客利用嗅探器会对网络造成如下的危害：

（1）能够捕获口令。

（2）能够捕获专用的或者机密的信息。

（3）可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限。

事实上，如果在用户网络上存在非授权的嗅探器就意味着用户的系统已经暴露在别人面前了。一般黑客只嗅探每个报文的前200到300个字节，因为用户名和口令都包含在这一部分中，这是黑客关心的真正部分。当然，也可以嗅探给定接口上的所有报文，如果有足够的空间进行存储，有足够的时间进行处理，将会发现另一些非常有用的东西。

将嗅探器放置于被攻击计算机或网络附近，这样将捕获到很多口令。还有一个比较好的方法就是放在网关上，这样就能捕获网络和其他网络进行身份鉴别的过程。这样的方式将成倍地增加黑客能够攻击的范围。

一般可以防御嗅探器攻击的方法有：检测和消灭嗅探器；将数据隐藏，使嗅探器无法发现；会话加密。

3. 扫描器

注意：

扫描器是一把双刃剑，这里主要介绍黑客对其的使用，侧重于其对网络安全不利方面的介绍。

扫描器技术的发展已有十多年的历史，目前已经是一个非常成熟的产品类型。黑客利用漏洞扫描产品对目标网络、服务器、网络设备等进行扫描，即可发现那些存在漏洞或被安装了木马程序的主机，发现服务程序存在的配置错误等，以此发现网络中存在的弱点，并以此为突破口对目标主机实施攻击。实际上日常发生的黑客入侵事件中，90%以上的行为都是从扫描开始的。

扫描器的主要用途有：

● 发现漏洞。即通过对漏洞扫描来准确地发现网络中哪些主机或设备存在哪些漏洞。

● 获得可用的报表。即通过对扫描发现的漏洞进行统计分析，产生有意义的报表，其中包括漏洞的详细描述和修补方法。

● 展示资产漏洞情况。通过扫描来了解到网络中各主机当前的漏洞情况及修补情况。

● 对付扫描器的最好方法是使用防火墙，目前主流的防火墙都可以有效地防止扫描器的攻击。

4. 特洛伊木马

在历史上有名的特洛伊战争中，一只藏着军队的木马混进了城，藏在木马里的军队在半夜偷偷出来，打开城门，里应外合，大获全胜。顾名思义，特洛伊木马的攻击手段，就是将一些“后门”、“特殊通道”隐藏在某个软件里，使用该软件的人无意识的中招，成为被攻击、被控制的对象。

现在这种木马程序开始并入“病毒”的概念，大部分杀毒软件具有检查和清除“木马”的功能，其实木马和病毒还不一样，病毒本身是具有传播性和破坏性的，木马本身是和宿主在一起，通常自己不具备传播性，通过宿主的传播而传播（Nimda将病毒和木马混合，则是一种新的发展方向），而本身无破坏性，是由攻击者通过木马的入口进行操作而实现破坏和入侵的。

木马的攻击步骤如下：

（1）制造木马通常需要一个服务端应用和一个客户端应用，服务端的部分能够在中木马的计算机上开启一个隐身服务，从而能够接收从客户端发送的请求，客户端则是能够搜寻服务端并通过服务端控制对方的计算机主机。

（2）通常需要选择宿主，也就是将木马程序种在某些正常而合理的程序身上，部分木马程序没有宿主独立存在，就不需要这个步骤了。原理上，宿主文件可以是任何可执行文件。

（3）选择传播途径，比如将宿主文件放到网络上供人下载，或者给某人发邮件说有个好玩的游戏作为附件，又或者放到服务器管理员通常可以看到的位置，起个有诱惑力的名字。当然还有像nimda病毒所做的，通过系统安全漏洞强行种植木马。

（4）当木马已经成功在对方计算机主机上执行的时候，通过客户端连接对方主机，进行远程控制和操作。

关于木马的防护手段可以从分析木马的原理入手，木马攻击成功的一个必要前提是接收方运行了宿主文件，因此提高安全意识，是防止中招的根本：

● 要小心邮件的附件，如果邮件来源不清楚，千万不要打开（木马和病毒在依附宿主的环节上很类似。

● 不要从非正规站点下载任何东西。

● 目前优秀的反病毒防火墙可以对通用的木马进行报警。

● 随时监控系统，比如正在运行的进程，正在访问的用户，如果发现有陌生和可疑的进程，应当立即追踪，并寻找相关系统日志文件。

● 定期检查系统当前开放的端口，看看是否有无法判别的服务端口存在，通常木马程序会开辟一个服务响应端口。

● 如果作为共享服务的提供商的服务器管理员，当在服务器的共享区域上发现了具有吸引力的可执行文件时，请不要急于打开。如果确实希望执行，安全的做法是，先复制到一台与网络不相连的独立计算机上，然后以普通用户身份打开执行。最后查验计算机的进程和端口情况，以确认其是否含有木马。

5. E-maⅰl炸弹

电子邮件炸弹，英文是E-mail Bomb，它是黑客常用的攻击手段。邮件炸弹实质上就是发送地址不详，容量宠大，充满了乱码或脏话的恶意邮件，也可称之为大容量的邮件垃圾。由于每个人的邮件信箱都是有限的，当庞大的邮件垃圾到达信箱的时候，就会把信箱挤爆，把正常的邮件给冲掉。同时，由于它占用了大量的网络资源，常常导致网络塞车，使大量的用户不能正常地工作，所以说邮件炸弹的危害是相当大的。

关于E-mail炸弹的防范方法有：

● 解除电子邮件炸弹。用邮件程序的邮件过滤功能来过滤信件，它不会把信件直接从主机上下载下来，只会把所有信件的头部信息送过来，它包含了信件的发送者，信件的主题等信息，检查头部信息，看到有来历可疑信件，可直接输入指令把它从服务器直接删除掉。

● 拒收某个用户信件。这种方法可使在收到某个特定用户的信件后，自动把信件退回。

● 自动转信。可以将邮件自动转发到一个存储空间很大的大信箱，有用的信件也就不那么容易被毁坏了。

注意：

现在越来越多的邮件服务提供商都会在服务器端采用垃圾邮件过滤技术，可以起到很好的防范E-mail炸弹的作用，用户可以优先选择这样的邮件服务。