黑客攻击原理和预防

§ 旧课回顾

1 掌握利用系统本身和相关工具及时更新系统补丁。

2 掌握MBSA 2.0.1的使用。

§ 教学重点和难点

1 掌握黑客攻击的主要类型及各自的攻击原理。

2 了解典型黑客攻击的主要步骤及各步所用的主要工具。

第五章 黑客攻击原理和预防

5.1 何谓黑客

【黑客】最早源自英文hacker，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“软件骇客”(software cracker)。 黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。 但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。

黑客和骇客根本的区别是：黑客们建设，而骇客们破坏。

【红客】 —— 一个让人肃然起敬的名字!红客可以说是中国黑客起的名字。英文“honker”是红客的译音，红客，是一群为捍卫中国的主权而战的黑客们，他们的精神是令人敬佩的。

【蓝客】 —— 特别喜欢蓝色的黑客们！ 蓝客，也属于黑客群，蓝客，是指一些利用或发掘系统漏洞，D.o.S（Denial Of Service）系统，或者令个人操作系统（Windows）蓝屏。

“蓝客”一词由中国蓝客联盟在2001年9月提出。当初的蓝客联盟（中国蓝客联盟）是一个非商业性的民间网络技术机构，联盟进行有组织有计划的计算机与网络安全技术方面的研究、交流、整理与推广工作，提倡自由、开放、平等、互助的原则。

【飞客】 —— 电信网络的先行者！ 飞客，经常利用程控交换机的漏洞，进入并研究电信网络，虽然他们不出名，但对电信系统作出了很大的贡献。

5.1.1 威胁的动机

1 贪心 － 偷窃或者敲诈

2 恶作剧 – 无聊的计算机程序员

3 名声 – 显露出计算机经验与才智，以便证明他们的能力和获得名气

4 报复/宿怨 – 解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人

5 无知 – 失误和破坏了信息还不知道破坏了什么

6 黑客道德 - 这是许多构成黑客人物的动机

7 仇恨 - 国家和民族原因

8 间谍 －政治和军事目的谍报工作

9 商业 －商业竞争，商业间谍

5.1.2 黑客守则

1 不恶意破坏系统

2 不修改系统文档

3 不在bbs上谈论入侵事项

4 不把要侵入的站点告诉不信任的朋友

5 在post文章时不用真名

6 入侵时不随意离开用户主机

7 不入侵政府机关系统

8 不在电话中谈入侵事项

9 将笔记保管好

10 要成功就要实践

11 不删除或涂改已入侵主机的帐号

12 不与朋友分享已破解的帐号

5.1.3 黑客入侵攻击的一般过程

1 确定攻击的目标。

2 收集被攻击对象的有关信息。

3 利用适当的工具进行扫描。

4 建立模拟环境，进行模拟攻击。

5 实施攻击。

6 清除痕迹。

实例：例举对动网论坛6.0版本的上传漏洞进行注入攻击的操作。

5.1.4 黑客攻击的主要类型

 目前黑客网络攻击的类型主要有以下几种。

 利用监听嗅探技术获取对方网络上传输的有用信息。

 利用拒绝服务攻击使目的网络暂时或永久性瘫痪。

 利用网络协议上存在的漏洞进行网络攻击。

 利用系统漏洞，如缓冲区溢出或格式化字符串等，以获得目的主机控制权。

 利用网络数据库存在的安全漏洞，获取或破坏对方重要数据。

 利用计算机病毒传播快、破坏范围广特性，开发合适的病毒破坏对方网络。

5.2 黑客攻击原理和预防

5.2.1 网络监听

网络监听也就是通常我们所说的“网络嗅探”，所利用的就是通常称之为“嗅探器”（Sniffer）的工具软件。嗅探器是利用计算机的网络接口，截获目的计算机数据报文的一种技术。

不同传输介质的网络的可监听性是不同的。一般来说，以太网被监听的可能性比较高，因为以太网是一个广播型的网络；FDDI Token被监听的可能性也比较高，尽管它不是一个广播型网络，但带有令牌的那些数据包在传输过程中，平均要经过网络上一半的计算机；微波和无线网被监听的可能性同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易地截获。

网络监听的原理就是通过截获网络中的数据包，然后对数据包进行分析，得到所需的信息，如连接所用的用户账户信息、IP地址、MAC地址等信息。然而，一般情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包，要能监听到网络上其他用户的通信，就需要把网卡设置为混杂（promiscuous）模式。这样该网卡就可以接收传输在网络上的每一个数据包。

5.2.2 拒绝服务攻击

拒绝服务（Denial of Service，DoS）攻击是目前最常见的一种攻击类型。这类攻击和其他大部分攻击不同的是，它们不是以获得网络或网络上信息的访问权为目的，而是要使受攻击方耗尽网络、操作系统或应用程序有限的资源而崩溃，从而不能为其他正常用户提供服务。这就是这类攻击被称为“拒绝服务攻击”的真正原因。

DoS攻击方式有很多种，常见的DoS攻击方式有：同步洪流（SYNFlood）、死亡之Ping（Ping of Death）、Finger炸弹、Land攻击、Ping洪流、Rwhod和Smurf等。

DoS攻击的基本过程如下：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息。由于地址是伪造的，所以服务器一直等不到回传的消息，然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

5.2.3 源IP地址欺骗

IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性。许多应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的前提。

IP地址欺骗的原理是这样的：黑客先向被攻击目标的TCP端口发送大量SYN请求，这些请求的源地址是使用一个合法的但是虚假的IP地址（可能使用该合法IP地址的主机没有开机）。而受攻击的主机往往是会向该IP地址发送响应的，但可惜是杳无音信。与此同时IP包会通知受攻击主机的TCP：该主机不可到达，但不幸的是TCP会认为是一种暂时错误，并继续尝试连接（比如继续对该IP地址进行路由，发出SYN/ACK数据包等等），直至确信无法连接。这样一来，真正IP持有者会收到SYN/ACK响应，而随之发送RST给受攻击主机，从而断开连接。

5.2.4 源路由欺骗攻击

源路由欺骗原理：在通常情况下，信息包从起点到终点走过的路径是由位于此两点间的路由器决定的，数据包本身只知道去往何处，但不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里，使数据包循着一个对方不可预料的路径到达目的主机。

5.2.5 缓冲区溢出

通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令。如果这些指令是放在有Root权限的内存中，那么一旦这些指令得到了运行，黑客就以Root权限控制了系统，达到入侵的目的；缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能，使攻击者获得程序的控制权。缓冲区溢出的一般攻击步骤为：在程序的地址空间里安排适当的代码——通过适当的地址初始化寄存器和存储器，让程序跳到黑客安排的地址空间中执行。

5.2.6 密码攻击

密码攻击通过多种不同方法实现，包括蛮力攻击（brute force attack）、特洛伊木马程序、IP欺骗和报文嗅探。尽管报文嗅探和IP欺骗可以捕获用户账号和密码，但密码攻击通常指的是反复地试探、验证用户账号或密码。这种反复试探被称为蛮力攻击。

通常蛮力攻击使用运行于网络上的程序来执行并企图注册到共享资源中，例如服务器。一旦攻击者成功地获得了资源的访问权，他就拥有了与那些账户的用户相同的权利。如果这些账户有足够的特权，攻击者可以为将来的访问创建一个后门，这样就不用担心被危及用户账号的任何身份和密码的改变。

5.2.7 应用层攻击

应用层攻击能够使用多种不同的方法来实现，最常见的方法是使用服务器上通常可找到的应用软件（如SQL Server、Sendmail、PostScript和FTP）缺陷，通过使用这些缺陷，攻击者能够获得计算机的访问权，以及在该计算机上运行相应应用程序所需账户的许可权。

应用层攻击的一种最新形式是使用许多公开化的新技术，如HTML规范、Web浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序，包括Java applet和Active X控件等，并通过用户的浏览器调用它们，很容易达到入侵、攻击的目的。

在应用层攻击中，容易遭受攻击的目标包括路由器、数据库、Web和FTP服务器及与协议相关的服务，如DNS、WINS和SMB。

5.3 黑客攻击的基本步骤

黑客要实施攻击，一般来说必须有3个基本步骤：搜集信息（踩点）→选择目标，实施攻击→上传黑客程序，下载用户数据。黑客攻击的关键一步就是搜集信息，也就是踩点。

5.3.1 搜集初始信息

黑客首先要搜集的初始信息主要包括：开放信息源（open source information）、公司新闻信息、目标公司员工信息和新闻组等。在这一步骤中所采用的工具主要是Whois和Nslookup程序。有关Whois程序的具体使用方法参见书中介绍。

5.3.2查找网络地址范围

当攻击者获取目标计算机的IP地址后，下一步就需要找出目标计算机所在网络的地址范围或者子网掩码。攻击者能用两种方法找到这一信息，较容易的方法是使用ARINWhois网站（http://www.arin.com/）工具搜索找到信息；较困难的方法是使用Traceroute解析结果。

5.3.3 查找活动机器

在知道了IP地址范围后，攻击者会想知道哪些机器是活动的，哪些不是。使用Ping可以找到网络上哪些机器是活动的。但Ping有一个缺点，一次只能Ping一台机器。攻击者希望同时Ping多台机器，看哪些有反应，这种技术一般被称为Ping sweeping。也可使用超级ping（PingPlus）要具软件。另外，Nmap也能用来确定哪些机器是活动的。具体使用方法参见书中介绍。

5.3.4 查找开放端口和入口点

网络通信除了需要知道目标IP地址外，还需要知道对方开放的端口。所以黑客攻击前也要知道可以利用的端口。此时可以利用Port Scanners（端口扫描器）工具软件进行。目前流行的扫描类型：TCP conntect扫描、TCP SYN扫描、FIN扫描、ACK扫描。常用端口扫描程序有：ScanPort和Nmap。

5.3.5 查看操作系统类型

攻击者知道哪些机器是活动的和哪些端口是开放的后，下一步是要识别每台主机运行哪种操作系统。判断操作系统类型的一种相对比较准确的方法是利用网络操作系统里的TCP/IP堆栈作为特殊的“指纹”。因为不同的操作系统在网络底层协议的各种实现细节上略有不同。可以通过远程向目标发送特殊的包，然后通过返回的包来确定操作系统类型。有专门用来探测远程主机并确定在运行哪种操作系统的程序，如Nmap、CheckOS、Queso和Satan等。

5.3.6 扫描弱点

攻击者了解目标系统中主要端口所运行的服务也是相当重要的，因为他们可以从这些信息中找到攻击的切入点。在其中所利用的工具主要有Vulnerability Scanners和Telnet。

5.3.7 画出网络图

进展到这个阶段，现在可以画出网络图使他能找出最好的入侵方法了。攻击者可以使用Traceroute或者Ping来找到这个信息，也可以使用诸如Cheops那样的程序，自动地画出网络图。Visual Ping是一个真实展示包经过网络的路线的程序。它不仅向攻击者展示了经过的系统，也展示了系统的地理位置。

攻击的目的主要是建立账户、安装远程控制器和发现信任关系全面攻击和获取特权。字典攻击工具有：黑客字典、字典专家、超级字典生成器和生日密码生成器等；后门攻击类工具有：Hall、Hacktelnet、BackDoor、Rmistaller、Winshell等。

作业：

1. 简述DoS攻击的原理。

2.简述典型黑客攻击的步骤及各步实施的主要方法。

本文来源：https://www.2haoxitong.net/k/doc/4cf9156ab84ae45c3b358cf1.html