搜索
第2章黑客与攻击技术2.1黑客概述2.1.1黑客1.什么是黑客黑客是“Hacker”的音译,源于动词Hack,其引申意义是指“干了一件非常漂亮的事”。这里说的黑客是指那些精于某方面技术的人。对于计算机而言,黑客是指既具有高超的专业技术(精通网络、系统、外设以及软硬件技术),又能遵守黑客行为准则的人。通常所说的“黑客”指的是骇客(Cracker,破坏者),是那些怀有不良企图,强行闯入他人系统或以某种恶意目的干扰他人的网络,运用自己的知识去做出有损他人权益的事情的人,也称入侵者。任何职业都有相关的职业道德,黑客也有其“行规”,一些守则是必须遵守的,归纳起来就是“黑客守则”。(1)不要恶意破坏任何系统,否则会给自己带来麻烦。(2)不要破坏别人的软件和资料。(3)不要修改任何系统文件,如果是由于进入系统的需要,则应该在目的达到后将其恢复原状。(4)不要轻易地将你要黑的或者黑过的站点告诉不信任的朋友。(5)在发表黑客文章时不要用自己的真实名字。2.黑客守则2.黑客守则(6)正在入侵的时候,不要随意离开自己的电脑。(7)不要入侵或破坏政府机关的主机。(8)将自己的笔记放在安全的地方。(9)已侵入的电脑中的账号不得清除或修改。(10)可以为隐藏自己的侵入而作一些修改,但要尽量保持原系统的安全性,不能因为得到系统的控制权而将门户大开。(11)勿做无聊、单调并且愚蠢的重复性工作。(12)要做真正的黑客,读遍所有有关系统安全或系统漏洞的书籍。3.黑客的威胁趋势198019851990199520012003时间(年)高各种攻击者的综合威胁程度低对攻击者技术知识和技巧的要求黑客攻击越来越容易实现,威胁程度越来越高4.黑客攻击的目标针对基础设施、安全设备的攻击终端、用户系统——基础设施危害范围更大、造成损失更大、负面影响更大主机、服务器——安全设备安全设备“后面”往往毫无戒备,用户对安全设备的依赖性更大针对业务流程、信息内容的安全威胁垃圾信息(垃圾邮件、垃圾广告、……)有害信息(反动、色情、暴力、……)针对业务系统设计漏洞的攻击5.黑客攻击的演变(1)攻击手段在快速改变如今各种黑客工具唾手可得,各种各样的黑客网站到处都是。网络攻击的自动化程度和攻击速度不断提高,利用分工协同的扫描方式、配合灵活的任务配置和加强自身隐蔽性,来实现大规模、高效率的安全扫描。安全脆弱的系统更容易受到损害;从以前需要依靠人启动软件工具发起的攻击,发展到攻击工具可以自己发动新的攻击;攻击工具的开发者正在利用更先进的技术武装攻击工具,攻击工具的特征比以前更难发现,攻击工具越来越复杂。(2)漏洞被利用的速度越来越快安全问题的技术根源是软件和系统的安全漏洞,正是一些别有用心的人利用了这些漏洞,才造成了安全问题。新发现的各种系统与网络安全漏洞每年都要增加一倍,每年都会发现安全漏洞的新类型,网络管理员需要不断用最新的软件补丁修补这些漏洞。黑客经常能够抢在厂商修补这些漏洞前发现这些漏洞并发起攻击。(3)有组织的攻击越来越多攻击的群体在改变,从个体到有组织的群体,各种各样黑客组织不断涌现,进行协同作战。在攻击工具的协调管理方面,随着分布式攻击工具的出现,黑客可以容易地控制和协调分布在Internet上的大量已部署的攻击工具。目前,分布式攻击工具能够更有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。(4)攻击的目的和目标在改变从早期的以个人表现的无目的的攻击,到有意识有目的的攻击,攻击目标在改变;从早期的以军事敌对为目标向民用目标转变,民用计算机受到越来越多的攻击,公司甚至个人的电脑都成为了攻击目标。更多的职业化黑客的出现,使网络攻击更加有目的性。黑客们已经不再满足于简单、虚无飘渺的名誉追求,更多的攻击背后是丰厚的经济利益。(5)攻击行为越来越隐密攻击者已经具备了反侦破、动态行为、攻击工具更加成熟等特点。反侦破是指黑客越来越多地采用具有隐蔽攻击特性的技术,使安全专家需要耗费更多的时间来分析新出现的攻击工具和了解新的攻击行为。动态行为是指现在的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为,而不是像早期的攻击工具那样,仅能够以单一确定的顺序执行攻击步骤。(6)攻击的破坏效果增大由于用户越来越多地依赖计算机网络提供各种服务,完成日常业务,黑客攻击网络基础设施造成的破坏影响越来越大。由于攻击技术的进步,攻击者可以较容易地利用分布式攻击技术,对受害者发动破坏性攻击。随着黑客软件部署自动化程度和攻击工具管理技巧的提高,安全威胁的不对称性将继续增加。攻击者的数量也不断增加。1.信息收集黑客首先要确定攻击的目标,然后利用社会学攻击、黑客技术等方法和手段,收集目标主机的各种信息。收集信息并不会对目标主机造成危害,只是为进一步攻击提供有价值的信息。2.入侵并获得初始访问权黑客要想入侵一台主机,必须要有该主机的账号和密码,所以黑客首先要设法盗取账户文件,并进行破解,以获得用户的账号和密码,然后以合法的身份登录到被攻击的主机上。3.获得管理员权限,实施攻击有了普通账号就可以侵入到目标主机之中,由于普通账号的权限有限,所以黑客会利用系统的漏洞、监听、欺骗、口令攻击等技术和手段获取管理员的权限,然后实施对该主机的绝对控制。2.1.2黑客攻击的步骤2.1.2黑客攻击的步骤4.种植后门为了保持对“胜利果实”长期占有的欲望,在已被攻破的主机上种植供自己访问的后门程序。5.隐藏自己当黑客实施攻击以后,通常会在被攻击主机的日志中留下相关的信息,所以黑客一般会采用清除系统日志或者伪造系统日志等方法来销毁痕迹,以免被跟踪。2.1.2黑客攻击的步骤攻击主机确定目标信息收集漏洞挖掘攻击网络留下后门清除日志结束攻击2.1.3黑客常用的攻击手段目前常见的黑客攻击手段主要有以下几种:1.社会工程学攻击社会工程学攻击是指利用人性的弱点、社会心理学等知识来获得目标系统敏感信息的行为。攻击者如果没有办法通过物理入侵直接取得所需要的资料,就会通过计策或欺骗等手段间接获得密码等敏感信息,通常使用电子邮件、电话等形式对所需要的资料进行骗取,再利用这些资料获取主机的权限以达到其攻击的目的。1.社会工程学攻击(1)打电话请求密码尽管不像前面讨论的策略那样聪明,但打电话寻问密码却经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员,经常通过这种简单的方法重新获得密码。(2)伪造Email通过使用telnet,黑客可以截取任何用户Email的全部信息,这样的Email消息是真实的,因为它发自于合法的用户。利用这种机制,黑客可以任意进行伪造,并冒充系统管理员轻松地获得大量的信息,以实施他们的恶意阴谋。信息收集就是对目标主机及其相关设施、管理人员进行非公开的了解,用于对攻击目标安全防卫工作情况的掌握。(1)简单信息收集。可以通过一些网络命令对目标主机进行信息查询。如,Ping、Finger、Whois、Tracerroute等。(2)网络扫描。使用扫描工具对网络地址、开放端口等情况扫描。(3)网络监听。使用监听工具对网络数据包进行监听,以获得口令等敏感信息。2.信息收集型攻击3.欺骗型攻击通常利用实体之间的信任关系而进行的一种攻击方式,主要形式有:(1)IP欺骗。使用其它主机的IP地址来获得信息或者得到特权。(2)Web欺骗。通过主机间的信任关系,以Web形式实施的一种欺骗行为。(3)邮件欺骗。用冒充的Email地址进行欺骗。(4)非技术类欺骗。主要是针对人力因素的攻击,通过社会工程技术来实现。通常是利用系统漏洞或缺陷进行的攻击。(1)缓冲区溢出:是指通过有意设计而造成缓冲区溢出的现象,目的是使程序运行失败,或者为了获得系统的特权。(2)拒绝服务攻击:如果一个用户占用大量资源,系统就没有剩下的资源再提供服务,导致死机等现象的发生,如,死亡之Ping、泪滴(Teardrop)、UDP洪水、SYN洪水、Land攻击、邮件炸弹、Fraggle攻击等。(3)分布式拒绝服务攻击:攻击者通常控制多个分布的“傀儡”主机,对某一目标发动拒绝服务的攻击。4.漏洞与缺陷攻击5.利用型攻击利用型攻击是指试图直接对主机进行控制的攻击,常见有:(1)猜口令。通过分析或暴力攻击等手段获取合法账户的口令。(2)木马攻击。这里的“木马”是潜在威胁的意思,种植过木马的主机将会完全被攻击者掌握和控制。6.病毒攻击致使目标主机感染病毒,从而造成系统损坏、数据丢失、拒绝服务、信息泄密、性能下降等现象的攻击。病毒攻击是当今网络信息安全的主要威胁之一。2.1.4黑客入侵后的应对措施1.发现黑客发现信息系统是否被入侵不是件容易的事,即使已经有黑客入侵,也可能永远发现不了。如果黑客破坏了站点的安全性,则追踪他们,方法有:借助工具来发现,如:扫描、监听等对可疑行为进行检查,如检查系统命令等查看屡次失败的访问口令2.应急操作(1)估计形势估计入侵造成的破坏程度,如,是否已经入侵?是否还滞留?是否来自内部等。(2)切断连接立即采取行动,切断连接,如,关闭服务器,追踪黑客等。(3)分析问题分析新近发生的安全事件,并制定一个计划。(4)采取行动实施紧急反应计划,修补漏洞,恢复系统。3.抓住入侵者遵循一定的原则,有利于抓住入侵者定期检查登录文件注意不寻常的登录注意突然活跃的账号预判入侵者的活动时间2.1.5黑客与信息安全进入21世纪,黑客的行为又呈现出新的特点,主要表现为:(1)群体组织化(2)地域全球化(3)构成大众化(4)阵容年轻化(5)技术智能化(6)手段多样化(7)动机商业化(8)身份合法化(9)行为军事化2.2网络扫描2.2.1扫描的概念网络扫描就是对计算机系统或者其他网络设备进行与安全相关的检测,以找出目标系统所放开放的端口信息、服务类型以及安全隐患和可能被黑客利用的漏洞。它是一种系统检测、有效防御的工具。如果被黑客掌握,它也可以成为一种有效的入侵工具。2.2.2网络扫描的原理网络扫描的基本原理是通过网络向目标系统发送一些特征信息,然后根据反馈情况,获得有关信息。网络扫描通常采用两种策略:第一种是被动式策略,所谓被动式策略就是基于主机之上,对系统中不合适的设置、脆弱的口令以及其他与安全规则抵触的对象进行检查;第二种是主动式策略,主动式策略是基于网络的,它通过执行一些脚本文件,模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。利用被动式策略扫描称为安全扫描,利用主动式策略扫描称为网络安全扫描。1.端口扫描端口扫描是指通过检测远程或本地系统的端口开放情况,来判断系统所安装的服务和相关信息。其原理是向目标工作站、服务器发送数据包,根据信息反馈来分析当前目标系统的端口开放情况和更多细节信息。主要的目的是:判断目标主机中开放了哪些服务判断目标主机的操作系统(1)TCPconnect()扫描这是最基本的TCP扫描。操作系统提供的connect()系统调用,用来与每一个感兴趣的目标主机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。(2)TCPSYN扫描这种技术通常认为是“半开放”扫描,因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包,好象准备打开一个实际的连接并等待反应一样。一个ACK的返回信息表示端口处于侦听状态;一个RST返回,表示端口没有处于侦听态。(2)TCPSYN扫描客户端服务器端客户端服务器端正常过程半开连接SYNSYN/ACKACKSYNSYN/ACKSYN/ACKSYNTimeout(3)TCPFIN扫描有的时候可能SYN扫描都不够秘密。一些防火墙和包过滤器会对一些指定的端口进行监视,有的程序能检测到这些扫描。FIN数据包可能会没有任何麻烦的通过。这种扫描方法的思想是,关闭的端口会用适当的RST来回复FIN数据包。这种方法和系统的实现有一定的关系。有的系统不管端口是否打开,都回复RST,这样,这种扫描方法就不适用了。这种方法在区分Un