搜索
.主要攻击类型1、DOS命令攻击:(1)系统内部命令(2)系统外部命令,需要下载2、木马攻击3、分布式工具攻击端口扫描httpftptelnetsmtp二.黑客攻击一般过程黑客攻击一般过程口令暴力攻击用户名:john口令:john1234黑客攻击一般过程用john登录服务器利用漏洞获得超级用户权限留后门隐藏用户更改主页信息网络攻击的步骤攻击者在一次攻击过程中的通常做法是:首先隐藏位置,接着网络探测和资料收集、对系统弱点进行挖掘、获得系统控制权、隐藏行踪,最后实施攻击、开辟后门等七个步骤,如右图所示。1.隐藏位置攻击者经常使用如下技术隐藏其真实的IP地址或者域名:利用被侵入的主机作为跳板,如在安装Windows的计算机内利用Wingate软件作为跳板,利用配置不当的Proxy作为跳板;使用电话转接技术隐蔽自己,如利用800电话的无人转接服务联接ISP;盗用他人的账号上网,通过电话联接一台主机,再经由主机进入Internet;免费代理网关;伪造IP地址;假冒用户账号。2.网络探测和资料收集网络探测和资料收集主要是为了寻找目标主机和收集目标信息。攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提供服务等资料作个全面的了解,为攻击作好充分的准备。攻击者感兴趣的信息主要包括:操作系统信息、开放的服务端口号、系统默认账号和口令、邮件账号、IP地址分配情况、域名信息、网络设备类型、网络通信协议、应用服务器软件类型等。步骤:锁定目标、服务分析、系统分析、获取账号信息、获得管理员信息信息的收集信息的收集并不对目标产生危害,只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息:(1)TraceRoute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数。(2)SNMP协议用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节(3)DNS服务器该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。(4)Whois协议该协议的服务信息能提供所有有关的DNS域和相关的管理参数。(5)Ping实用程序可以用来确定一个指定的主机的位置或网线是否连通。3.弱点挖掘系统中漏洞的存在是系统受到备种安全威胁的根源。外部攻击者的攻击主要利用了系统提供的网络服务中的漏洞;内部人员作案则利用了系统内部服务及其配置上的漏洞,而拒绝服务攻击主要是利用资源分配上的漏洞,长期占用有限资源不释放,使其它用户得不到应得的服务,或者是利用服务处理中的漏洞,使该服务崩溃。攻击者攻击的重要步骤就是尽量挖掘出系统的弱点/漏洞,并针对具体的漏洞研究相应的攻击方法。常见的漏洞有:系统或应用服务软件漏洞。主机信任关系漏洞。寻找有漏洞的网络成员。安全策略配置漏洞。通信协议漏洞。网络业务系统漏洞。主要探测的方式(1)自编程序对某些系统,互联网上已发布了其安全漏洞所在,但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序,那么黒客就可以自己编写一段程序进入到该系统进行破坏。(2)慢速扫描由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。(3)体系结构探测黑客利用一些特殊的数据包传送给目标主机,使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的,黒客利用这种特征把得到的结果与准备好的数据库中的资料相对照,从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。(4)利用公开的工具软件像审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或子网进行扫描,寻找安全方面的漏洞。4.获得控制权攻击者要想入侵一台主机,首先要有该主机的一个账号和口令,再想办法去获得更高的权限,如系统管理账户的权限。获取系统管理权限通常有以下途径:获得系统管理员的口令,如专门针对root用户的口令攻击;利用系统管理上的漏洞:如错误的文件许可权,错误的系统配置,某些SUID程序中存在的缓冲区溢出问题等;让系统管理员运行一些特洛伊木马程序,使计算机内的某一端口开放,再通过这一端口进入用户的计算机。5.隐藏行踪作为一个入侵者,攻击者总是惟恐自己的行踪被发现,所以在进入系统之后,聪明的攻击者要做的第一件事就是隐藏自己的行踪,攻击者隐藏自己的行踪通常要用到如下技术:连接隐藏,如冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件、使用IPSPOOF技术等;进程隐藏,如使用重定向技术减少PS给出的信息量、用特洛伊木马代替PS程序等;篡改日志文件中的审计信息;改变系统时间,造成日志文件数据紊乱,以迷惑系统管理员。6.实施攻击不同的攻击者有不同的攻击目的,可能是为了获得机密文件的访问权,也可能是为了破坏系统数据的完整性,也可能是为了获得整个系统的控制权(系统管理权限),以及其他目的等。一般说来,可归结为以下几种方式:下载敏感信息;在目标系统中安装探测器软件,以便进一步收集攻击者感兴趣的信息,或进一步发现受损系统在网络中的信任等级;攻击其它被信任的主机和网络;使网络瘫痪;修改或删除重要数据。7.开辟后门一次成功的入侵通常要耗费攻击者的大量时间与精力,所以精于算计的攻击者在退出系统之前会在系统中制造一些后门,以方便自己的下次入侵,攻击者设计后门时通常会考虑以下方法:放宽文件许可权;重新开放不安全的服务,如REXD、TFTP等;修改系统的配置,如系统启动文件、网络服务配置文件等;替换系统本身的共享库文件;安装各种特洛伊木马程序,修改系统的源代码;安装sniffers。典型的网络攻击示意图选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令,从而发现突破口。实例1:远程桌面登陆略看操作.实例2:绕过windows2000登陆验证机制受影响的软件及系统:====================-MicrosoftWindows2000-MicrosoftWindows2000withSP1这个问题影响所有使用简体中文输入法的Windows2000系统。很多微软自带的简体中文输入法中的帮助栏包含了一些选项可以打开浏览器窗口或者进行一些设置。正常情况下,在用户未登录进系统时,用户不应该被允许访问这些选项。但是,在Windows2000进行登录验证的提示界面下,用户可以打开各种输入法的帮助栏,并可以利用其中的一些功能访问文件系统。这也就绕过了Windows2000的登录验证机制,并能以管理员权限访问系统。续通常攻击者只有获得对系统的物理访问权限才可以利用此漏洞进行攻击,但是,如果系统安装了TerminalService(终端服务),攻击者也可能通过网络进行远程攻击。测试方法:==========1.在Windows2000登陆界面将光标移至用户名输入框,按键盘上的Ctrl+Shift键,这时在缺省的安装状态下会出现输入法状态条(例如全拼,双拼,郑码等等)2.将鼠标移至输入法状态条点击鼠标右键,在出现的对话框中选择帮助,选择操作指南或输入法入门(微软拼音输入法和智能ABC没有这个选项),在出现的操作指南或输入法入门窗口中会出现几个按钮,在选项栏中可以对网络设置进行修改。3.在窗口的标题栏上右键,选择跳至URL...,在对话框中输入c:\等路径,就可以看到目录内容。尽管不能直接进入目录、打开文件、执行程序,但是可以进行更名、删除、共享等操作。也可以在帮助文件中查找链接,在链接上按Shift+鼠标左键,可以打开一个IE的窗口。在里面可以以及网络邻居,访问控制面板等资源,也可以打开执行任意浏览本地硬盘程序。4.对于安装了ServicePack1的Windows2000系统,在IE窗口中不能直接进入目录,打开文件也不能执行程序。但是仍然可以删除或者拷贝程序,攻击者也可以通过将重要目录/文件设置成共享来远程访问。解决办法:方法一:Windows系统的输入法文件的后缀是*.ime,在Windows2000系列中是放置在本身安装目录(例如:C:\WINNT)中的system32文件夹中,一共有六个文件分别对应的是:WINABC.IME智能ABC输入法PINTLGNT.IME微软拼音输入法WINGB.IME内码输入法WINPY.IME全拼输入法WINSP.IME双拼输入法WINZM.IME郑码输入法目前发现微软拼音输入法和智能ABC输入法不受此问题影响。NSFOCUS安全小组建议您将其它输入法文件删除或者改名存放。对于其它的的微软以及第三方输入法,也可能存在问题,建议用户根据测试步骤中的介绍自行检查。方法二:因为这些操作是通过调用输入法的帮助文件来进行的。您也可以通过删除或者重命名输入法的帮助文件来加以解决。经过搜索Windows2000有将近几百个帮助文件,其中输入法分别对应的是安装目录(例如:C:\WINNT)中help文件夹中:WINIME.CHM输入法操作指南WINSP.CHM双拼输入法帮助WINZM.CHM郑码输入法帮助WINPY.CHM全拼输入法帮助WINGB.CHM内码输入法帮助对于其它的的微软以及第三方输入法,也可能存在问题,建议用户根据测试步骤中的介绍自行检查。方法三:安装补丁:提供了补丁程序下载地址,简体中文Windows2000:=24631英文版Windows2000:=24627我们推荐使用Windows2000系统的用户尽快下载并安装相应的补丁IPCIPC$(InternetProcessConnection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。会话过程在WindowsNT4.0中是使用挑战响应协议与远程机器建立一个会话的,建立成功的会话将成为一个安全隧道,建立双方通过它互通信息,这个过程的大致顺序如下:1)会话请求者(客户)向会话接收者(服务器)传送一个数据包,请求安全隧道的建立;2)服务器产生一个随机的64位数(实现挑战)传送回客户;3)客户取得这个由服务器产生的64位数,用试图建立会话的帐号的口令打乱它,将结果返回到服务器(实现响应);4)服务器接受响应后发送给本地安全验证(LSA),LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号,核实本地发生;如果请求的帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为正确后,一个访问令牌产生,然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。空会话空会话是在没有信任的情况下与服务器建立的会话(即未提供用户