搜索
系统漏洞攻防技巧漏洞是程序设计上的疏忽,在任何程序中都是无法绝对避免的。黑客总是不断地寻找有价值的、可被利用的漏洞进行试验,以达到自己的目的。本章将介绍一些针对常见漏洞的攻击技巧以及弥补这些漏洞的方法,希望给大家一些帮助。第一节黑客远程网络攻击起步一、锁定目标Internet上每一台主机都有一个符合自己的名字,就像每个人都有一个合适的称谓一样,我们把这样的主机名字称做域名。然而一个人可能会有几个名字,域名的定义也会有同样的情况,在Internet上能真正标识主机的是IP地址,域名只是为了便于记忆IP指定的主机而起的名字。当然利用域名和IP地址都可以顺利找到主机。要攻击谁首先要确定目标,就是要知道这台主机的域名或者IP地址,例如:yahoo.com、1.1.1.1等。知道了要攻击目标的位置还很不够,还需要了解系统类型、操作系统、提供服务等全面的资料,才能做到“知己知彼,百战不殆”。如何获取相关信息,下面我们将详细介绍,如果对网络域名和IP地址不清楚的,赶紧翻一下手头的书,并且现在练习一下PING命令吧!相信在实战中会用得到!有什么用?如果PING目标主机返回时间太长或你根本PING不通目标主机,你如何继续呢!二、服务分析Internet上的主机大部分都提供、MAIL、FTP、BBS等网络信息服务,基本每一台主机都同时提供几种服务,一台主机为何能够提供如此多的服务呢?UNIX系统是一种多用户多任务的系统,将网络服务划分给许多不同的端口,每一个端口提供一种不同服务,一个服务会有一个程序时刻监视端口活动,并且给予应有的应答。端口的定义已经成为了标准,例如:FTP服务的端口是21,TELNET服务的端口是23,等。我们如何知道目标主机提供了什么服务呢?通过用于不同服务的应用程序试一试就知道了,例如:使用TELNET、FTP等用户软件向目标主机申请服务,如果主机有应答就说明主机提供了这个服务,开放了这个端口的服务,但我们现在只需知道目标主机的服务端口是否是“活”的,不过这样试比较麻烦并且资料不全,我们会经常使用一些像Portscan这样的工具对目标主机一定范围的端口进行扫描,这样可以全部掌握目标主机的端口情况。现在介绍一个好工具,缺少它,我们就不能顺利完成工作。HAKTEK是一个非常实用的工具软件,它将许多应用集成在一起,其中包括:PING、IP范围扫描、目标主机端口扫描、邮件炸弹、过滤邮件、FINGER主机,等都非常实用。完成目标主机扫描任务,首先告诉HAKTEK目标主机的位置,即域名或IP地址。然后选择端口扫描,输入扫描范围,开始扫描,屏幕很快返回“活”的端口号以及对应的服务。对资料的收集非常迅速完整。现在我们只知道目标主机是否开放了端口,还不知道目标主机使用的是什么系统,每一个端口的服务程序使用的是什么版本的系统。接下来我们将要做的是系统分析,对于目标主机所使用的系统和端口服务程序的版本通过一些操作来获取,以便我们完成网络攻击。第二节面对Ping漏洞该怎么做一、安全须知Windows的操作系统谁都知道比较危险,原因就是漏洞实在很多。利用系统自身的缺陷来进行各种入侵向来就是黑客常得手的重要途径。由此带来的安全问题也威胁着计算机的安全。我们常用Ping命令来检查网络是否畅通,可是这个命令也能给系统带来严重的后果,黑客常常通过Ping命令发送大量的数据包使得计算机的CPU使用率居高不下而崩溃,通常在一个时段内连续向计算机发出大量请求而导致CPU处理不及而死机。二、防范措施步骤1:需要打开在电脑的桌面,右键点击“网上邻居”→“属性”→“本地连接”→“属性”→“Internet协议(TCP/IP)”→“属性→“高级”→“选项”→“TCP/IP筛选”→“属性”。步骤2:你看到一个窗口是关于“TCP/IP筛选”,先点击选中“启用TCP/IP筛选(所有适配器)”。然后分别在“TCP端口、UDP端口和IP协议”的添加框上,点击“只允许”,后按添加按钮,然后在跳出的对话框输入端口,通常我们用来上网的端口是:80、8080,而邮件服务器的端口是:25、110,FTP的端口是20、21,同样地进行UDP端口和IP协议的添加。步骤3:打开“控制面板”→“管理工具”→“本地安全策略”,然后右击“IP安全策略,在本地机器”选“管理IP筛选器和IP筛选器操作”,在管理IP筛选器和IP筛选器操作列表中添加一个新的过滤规则,名称输入“防止ICMP攻击”,然后按添加,在源地址选任何IP地址,目标地址选我的IP地址,协议类型为ICMP,设置完毕。步骤4:在“管理筛选器操作”,取消选中“使用添加向导”,添加,在常规中输入名字“Deny的操作”,安全措施为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。步骤5:点击“IP安全策略,在本地机器”,选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”,通过增加过滤规则向导,把刚刚定义的“防止ICMP攻击”过滤策略指定给ICMP过滤器,然后选择刚刚定义“Deny的操作”,然后右击“防止ICMP攻击”并启用。第三节妙取IP地址IP地址的获取方法根据攻击类型的不同而有所不同,目前网上有很多工具可以用来获取IP地址,其实我们可以不需要任何工具也可以获取IP地址,只需要几个指令就可以完成,下面我们来看看怎样简简单单地获取IP地址。第一种:针对网站服务器的攻击,获取网站IP最简单的方法就是用ping指令来完成,具体方法如下:ping,不管对方防火墙是否允许PING指令回显都无所谓,因为这个PING获取的IP是DNS解析出来的。第二种:针对个人的攻击获取IP地址,用一个Windows内置的指令来完成嗅探。这个嗅探需要你向对方首先发起通讯,比如跟对方聊MSN的时候,关闭其他网络使用,然后用命令:netstat-n。这时就会显示出你的电脑在网络上正在通讯的IP地址,同时显示通讯的类型是TCP还是UDP,自己开放的通讯端口和对方开放的通讯端口,还有通讯的状态。最后说一下,上面说的命令都是基于命令提示符的,都需在命令提示符环境下使用。第四节强行关闭任务管理器的进程WindowsXP/2000的任务管理器是一个非常有用的工具,能让你看到系统中正在运行哪些程序(进程),只要你平时多看任务管理器中的进程列表,熟悉系统的基本进程,就可以随时发现可疑进程,这对防范木马和病毒大有益处。不过有一些可疑进程,你用任务管理器却无法杀掉,这该怎么办呢?一、哪些系统进程不能关掉Windows运行的时候,会启动多个进程。只要你按下“Ctrl+Alt+Del”键打开任务管理器,单击“进程”标签,即可看到这些进程。不过有一些进程个人用户根本用不到,例如Systray.exe(显示系统托盘小喇叭图标)、Ctfmon.exe(微软Office输入法)、Winampa.exe等,我们完全可以禁止它们,这样做并不会影响系统的正常运行。二、如何关闭任务管理器不能关闭的进程如果你在任务管理器中无法关闭某个可疑进程,可以使用下面的方法强行关闭,注意不要杀掉进程表中的系统核心进程。1.使用WindowsXP/2000自带的工具从Windows2000开始,Windows系统就自带了一个用户态调试工具Ntsd,它能够杀掉大部分进程,因为被调试器附着的进程会随调试器一起退出,所以只要你在命令行下使用Ntsd调出某进程,然后退出Ntsd即可终止该进程,而且使用Ntsd会自动获得Debug权限,因此Ntsd能杀掉大部分的进程。操作方法:单击“开始”→“程序”→“附件”→“命令提示符”,输入命令:ntsd-cq-pPID(把最后那个PID改成你要终止的进程的PID)。在进程列表中你可以查到某个进程的PID,例如我们要关闭Explorer.exe进程,输入“ntsd-cq-p408”即可。以上参数-p表示后面跟随的是进程PID,-cq表示执行退出Ntsd的调试命令,从命令行把以上参数传递过去就行了。2.使用专门的软件来杀进程任务管理器杀不掉的进程,你可以使用专门的软件来关闭。有很多软件可以杀进程,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、Killprocess等。(1)进程杀手2.5它能够浏览系统中正在运行的所有进程,包括任务管理器也看不到的进程,可以精简进程、自动中止系统基本进程以外的所有进程,对木马和病毒进程有一定清除作用,你可以用它随时中止任一个正在运行的进程,选中该进程,按“中止进程”按钮即可。(2)IceSword如今系统级木马后门功能越来越强,一般都可轻易隐藏进程、端口、注册表、文件信息,普通进程工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,可以查出所有隐藏进程。要查看当前进程,请点击“进程”按钮,在右部列出的进程中,隐藏的进程会以红色醒目地标记出,以方便查找系统级后门。如果要结束某进程,可以先选中它(按住Ctrl键可选择多个进程),然后使用右键菜单的“结束进程”,即可关闭。(3)柳叶擦眼它可以列出系统中所有的进程(包括隐藏的),并可以杀死进程,能自动标示出系统文件,自动中止基本进程外的所有进程,还具有IE保护功能。运行软件后,单击“柳叶擦眼”可以显示当前正在运行的所有进程,你只需注意那些“定义级别”为“未知”及“危险”的进程,按“降妖伏魔”按钮关闭它们即可。(4)系统查看大师1.0目前许多木马都是在后台运行的,它们运行时会隐藏自己的窗口,因此你无法在屏幕上看到它们。该软件可以获取隐藏的不可见窗口,让你发现木马踪影并关闭。软件运行后,在左侧视图中点击“取不可见窗口”按钮,右侧的窗口中就会显示出所有当前运行的、隐藏的不可见窗口标题,选定其中的可疑窗口,然后点击右下端的“结束此窗口”按钮,即可关闭。如果你要关闭某进程,可以单击“进程列表”按钮,选中该进程,然后右击鼠标,在弹出的窗口中单击“结束进程”即可。第五节分解入侵电脑全过程第一步下载必备的工具软件。1号软件为端口扫描工具“网络刺客II”,2号软件是著名的国产木马“冰河”。下载完毕并解压缩之后进行第二步。第二步运行1号软件,首先出现的是“网络刺客II注册向导”,点击“稍后(Q)”进入了网络刺客II的主界面。第三步在网络刺客II的主界面里选“工具箱(U)”→“主机查找器(H)”,进入“搜索因特网主机”界面。第四步进入“搜索因特网主机”界面后,在“起始地址”栏填入“***.***.0.0”,其中***.***自己选择,比如你可以选61.128或选61.200等等。在“结束地址”栏填入“***.***.255.255”,其中***.***的选择要和前面一样。“端口”栏填入7626,其他栏保持默认不动。好了,以上设置就是要搜索从***.***.0.0到***.***.255.255这一段IP地址中有冰河木马的计算机了,点击“开始搜索”。第五步观察“总进度”和“段进度”是否在走动。如果没有走动,那一定是IP地址设置不对,请认真检查。如果两个进度都在走动,你就成功一半了,至少你会使用网络刺客II扫描网上开放某一端口的计算机了。下面你要作的就是静静的等待,大约20~30分钟后,最下面的记录栏里就应该出现记录了(一般情况下,应该有5、6条记录)。每一条记录代表找到的感染了冰河木马的计算机,前面是该计算机的IP地址,后面是7626(冰河木马端口)。第六步点击“停止搜索”,但不要退出程序,到第十二步时还要用。运行2号软件冰河,进入冰河主界面。选“文件[F]”→“添加主机[A]”进入添加主机窗口。第七步在“添加主机”窗口,“显示名称”栏里填入第五步里搜索到的第一条IP地址,当IP地址填入“显示名称”里后,“主机地址”里就自动填入相同的IP了。“访问口令”不填,“监听端口”保持默认的7626。好了,检查一下IP有没有填错,点击“确定”,在冰河主界面的“文件管理器”里就出现了刚才填入的IP地址了。第八步这一步和下一步最重要,请认真看清楚!在冰河的主界面里,点击“