72黑客常用的系统攻击方法

第2章黑客常用的系统攻击方法2.2网络扫描工具原理与使用2.3网络监听原理与工具2.4木马2.1黑客概述计算机网络安全案例教程2.5拒绝服务攻击2.6缓冲区溢出2.7本章小结引例•2005年3月，金华警方破获一个专门盗取“传奇”游戏账号的黑客团伙，其中某一个黑客窃取的账号就价值百万元；•2005年11月，“QQ被盗第一案”被深圳警方破获，两名黑客出卖窃取的QQ号获利至少6.5万元。诈“骗”短信：黑客会先设立一个“钓鱼网站”，然后大量发送垃圾邮件、手机短信等，以“免费软件、手机彩铃”为诱饵欺骗用户登录，用户“上钩”之后就会中毒，或被欺骗进行网络购物。•2005年国庆黄金周，全国各地爆发大规模银行卡短信诈骗，其中某用户一次被骗走31万元。•2005年1月10日，唐山警方抓获黑客徐某，他操纵6万多台中毒电脑(僵尸网络)攻击一个音乐网站；有国外黑客利用类似的攻击来敲诈商业网站，每次敲诈的金额在1万到10万美元之间；而国内某黑客团伙则自称控制着数十万台电脑，可以在24小时之内为雇主网站带来上百万点击，或者让竞争对手的网站瘫痪。•自2005年年初以来，公安部、北京市公安局等相继发布警示，网络钓鱼欺诈、网络木马等犯罪行为正在成为新型高科技犯罪热点。案例思考题这些案例中的作案者是如何盗取账号及如何攻击其他网站的呢？黑客最早源自英文hacker，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“骇客”（cracker）。2.1黑客概述•2.1.1黑客（Hacker）与骇客（Cracker）•黑客一词，原指热心于计算机技术，水平高超的计算机专家，尤其是程序设计人员，他们通常精通计算机硬件和软件知识，并有能力通过创新的方法剖析系统。黑客通常会去寻找网络中漏洞，但是往往并不去破坏计算机系统。正是因为黑客的存在，人们才会不断了解计算机系统中存在的安全问题。•入侵者（Cracker）则是指那些利用网络漏洞破坏网络的人，他们往往会通过计算机系统漏洞来入侵，Cracker也具备广泛的计算机硬件和软件知识，但与黑客（Hacker）不同的是，他们以破坏为目的。黑客和骇客的根本区别是：黑客们建设，而骇客们破坏。图2.1三类黑客•2.1.2著名黑客•KevinMitnick—第一位被列入FBI通缉犯名单的骇客。他已经成为黑客的同义词。•RobertTappanMorris—莫里斯蠕虫的制造者，这是首个通过互联网传播的蠕虫，目的仅仅是探究互联网有多大，但造成约有6000台计算机遭到破坏。•JonathanJames—在16岁时，James成为第一名因为黑客行为而被送入监狱的未成年人，并因此恶名远播，曾入侵过很多著名组织，包括美国国防部下设的国防威胁降低局。通过此次黑客行动，他可以捕获用户名和密码，并浏览高度机密的电子邮件。James还曾入侵过美国宇航局的计算机。图2.2KevinMitnick图2.3JonathanJames图2.4RobertTappanMorris•2.1.3黑客守则•1．不要恶意破坏任何的系统，这样做只会给你带来麻烦；•2．不要破坏别人的软件和资料；•3．不要修改任何系统文件，如果是因为进入系统的需要而修改了系统文件，请在目的达到后将它改回原状；•4．不要轻易的将你要黑的或者黑过的站点告诉你不信任的朋友；•5．在发表黑客文章时不要用你的真实名字；•6．正在入侵的时候，不要随意离开你的计算机；•7．不要入侵或破坏政府机关的主机；•8．将你的笔记放在安全的地方；•9．已侵入的计算机中的账号不得清除或修改；•10．可以为隐藏自己的侵入而作一些修改，但要尽量保持原系统的安全性，不能因为得到系统的控制权而将门户大开；•11．不要做一些无聊、单调并且愚蠢的重复性工作；•12．做真正的黑客，读遍所有有关系统安全或系统漏洞的书。•2.1.4黑客行为的发展趋势•1．手段高明化黑客界已经意识到单靠一个人力量远远不够了，已经逐步形成了一个团体，利用网络进行交流和团体攻击，互相交流经验和自己写的工具。•2．活动频繁化做一个黑客已经不再需要掌握大量的计算机和网路知识，学会使用几个黑客工具，就可以再互联网上进行攻击活动，黑客工具的大众化是黑客活动频繁的主要原因。•3．动机复杂化黑客的动机目前已经不再局限于为了国家、金钱和刺激，已经和国际的政治变化、经济变化紧密的结合在一起。•Windows和linux都自带的一个扫描工具Ping，用于校验与远程计算机或本地计算机的连接。•Ping命令通过向计算机发送ICMP回应报文并且监听回应报文的返回，以校验与远程计算机或本地计算机的连接。•ping的原理就是首先建立通道，然后发送包，对方接受后返回信息。发送包的内容包括对方的IP地址、自己的地址、序列数；回应包的内容包括双方地址、时间等。由于ping命令只需要最低限度的权限，易被用来实施DDoS攻击。2.2网络扫描工具原理与使用•2.2.1Pingping格式：pingIP地址（或主机名），用法和参数如下图2.5所示：图2.5ping命令的各参数和用法主要的参数：-t：不停地ping，直到用户中断。-ncount：指定要ping多少次，默认值为4。例如ping–n8。结果如图2.6：图2.6ping–n8：制定发送到目标主机的数据包大小。默认的数据包大小是32字节，图2.7则指定了数据包的大小为100bytes。图2.7使用指定数据包大小参数的ping命令结果•2.2.2X-scan•X-scan是Xfocus小组自己写的一款扫描软件，有图形界面和命令行两种形式，运行在windows平台，功能较多，扫描速度快，最主要的是很易用，还可以自动升级。可以从，等站点下载X-Scan到本地硬盘，进行安装。图2.11X-Scan使用界面扫描内容包括：远程操作系统类型及版本；标准端口状态及端口Banner信息；SNMP信息；CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞；SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER；NT-SERVER弱口令用户，NT服务器NETBIOS信息；注册表信息等。X-scan主要的工作过程是首先探测目标主机运行的服务，然后探测开放端口，之后尝试攻击脚本（上千个…）,全部扫描完成后会自动生成一个结果网页，如图2.12。图2.12X-Scan扫描形成的报告网页•2.2.3nessus•nessus功能强大而又易于使用的远程安全扫描器。它的功能是对指定网络进行安全检查，找出该网络是否存在安全漏洞。该系统被设计为client/sever模式，服务器端负责进行安全检查，客户端用来配置管理服务器端。•在服务端还采用了plug-in的体系，允许用户加入执行特定功能的插件，这插件可以进行更快速和更复杂的安全检查。在Nessus中还采用了一个共享的信息接口，称之知识库，其中保存了前面进行检查的结果。检查的结果可以HTML、纯文本、LaTeX（一种文本文件格式）等几种格式保存。•nmap允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务，是目前为止最广为使用的国外端口扫描工具之一。可以从进行下载，并能很容易的安装到windows和unix操作系统中。•运行nmap后通常会得到一个目标机器的使用端口列表，包含服务名称、端口号、状态以及协议，状态有“open”,“filtered”和“unfiltered”三种。“open”指的是目标机器将会在该端口接受你的连接请求；‘filtered’指的是有防火墙、过滤装置或者其它的网络障碍物在这个端口阻挡了nmap进一步查明端口是否开放的动作；“unfiltered”则只有在大多数的扫描端口都处在“filtered”状态下才会出现的。•根据选项的使用，nmap还可以报告远程主机的以下特性：操作系统、TCP连续性、在各端口上绑定的应用程序用户的用户名、DNS名等。•格式：nmap[ScanType(s)][Options]hostornetlist。•2.2.4nmap•网络监听，在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，网络监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而一直倍受网络管理员的青睐。•然而，在另一方面，网络监听也给以太网安全带来了极大的隐患，许多的网络入侵往往都伴随着以太网内网络监听行为，从而造成口令失窃，敏感数据被截获等等连锁性安全事件。2.3网络监听原理与工具•以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在数据包头部信息中包含着应该接收数据包的主机的正确地址。因此，只有与数据包中目标地址一致的那台主机才能接收信包。但是，当主机工作在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。•局域网的这种工作方式，可以用一个形象的例子来比喻：一个大房间就像是一个共享的信道，里面的每个人好像是一台主机。人们所说的话是信息包，在大房间中到处传播。当我们对其中某个人说话时，所有的人都能听到。但只有名字相同的那个人，才会对这些话语做出反映，进行处理。其余的人听到了这些谈话，只能从发呆中猜测，是否在监听他人的谈话。如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网（使用了不同的掩码、IP地址和网关）的主机的那些信包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。•2.3.1网络监听的原理由于，Internet中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础之上。因此，直到现在，网络安全还是非常脆弱的。在通常的网络环境下，用户的所有信息，包手户头和口令信息都是以明文的方式在网上传输。因此，对于一个网络黑客和网络攻击者进行网络监听，获得用户的各种信息并不是一件很困难的事。只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。网络监听常常要保存大量的信息，对收集的信息进行大量的整理工作，因此，正在进行监听的机器对用户的请求响应很慢。这是因为：首先，网络监听软件运行时，需要消耗大量的处理器时间，如果在此时，就详细地分析包中的内容，许多包就会来不信接收而漏掉。因此，网络监听软件通常都是将监听到的包存放在文件中，待以后再分析。其次，网络中的数据包非常复杂，两台主机之间即使连续发送和接受数据包，在监听到的结果中，中间必然会夹杂了许多别的主机交互的数据包。监听软件将同一TCP会话的包整理到一起，已经是很不错了。如果还希望将用户的详细信息整理出来，需要根据协议对包进行大量的分析。其实，找这些信息并不是一件难事。只要根据一定的规律，很容易将有用的信息一一提取出来。1．SnifferProSnifferPro是一款非常著名监听的工具，是NAI公司推出的功能强大的协议分析软件。运行时需要的计算机内存比较大，否则运行比较慢。在安装过程中需要注意的是：SnifferPro安装大约占用70M左右的硬盘空间；安装完毕后，会自动在网卡上加载SnifferPro特殊的驱动程序（如图2.17）；安装的最后将提示填入相关信息及序列号，正确填写完毕，安装程序需要重新启动计算机；对于英文不好的管理员可以下载网上的汉化补丁。•2.3.2网络监听工具图2.17本地连接属性图第一次启动SnifferPro时，需要选择程序从哪个网络适配器接收数据，我们指定位于端口镜像所在位置的网卡。具体位于：File→SelectSettings→New，名称自定义，选择所在网卡下拉菜单，点击确定即可。（如图2.18）图2.18设置接收数据的网络适配器SnifferPro4.61）Dashboard（网络流量表）点击图2.19中①所指的图标，出现三个表，第一个表显示的是网络的使用率（Util