黑客常用入侵与攻击手段分析

黑客常用入侵与攻击手段分析黑客常用入侵与攻击手段分析1.共享入侵2.口令入侵3.木马入侵4.系统漏洞入侵5.拒绝服务攻击6.一次简单入侵全过程•内容：黑客常用入侵与攻击方法的介绍、真实入侵过程实录•目的：通过对常用入侵与攻击方法的简单介绍，让大家对互联网络的安全问题有初步的认识。然后通过反面的入侵过程演示，加深印象，以促使大家对互联网络的安全问题引起高度的重视和关注。目录黑客常用入侵与攻击手段分析(1)、共享入侵共享入侵是最简单的黑客入侵方式，只要你连入互联网的计算机的共享是打开的，在世界任何地方的计算机都可以和你进行连接、查看你的计算机内的内容。上面两副截图就是对两台主机进行扫描后发现的共享目录列表。如果对它们的访问不需要身份验证，那么互联网上的任何用户都能够阅读、复制、甚至删除其中的内容。其后果当然是你不希望看到的。黑客常用入侵与攻击手段分析(2)、口令入侵(本地破解)所谓口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传，使得入侵电脑网络系统有时变得相当简单。如NT/2000平台下的LC3,UNIX/LINUX平台下的John。如上图所示，LC3在极短的时间内就破译出WIN2000用户密码文件SAM中的两个账号密码。由于现代计算机的运行速度越来越快，因此对密码文件的威胁也越来越大。黑客常用入侵与攻击手段分析(2)、口令入侵(远程破解)口令入侵的另一种形式就是通过在线破解用户密码。由于计算机性能的不断提高和宽带上网的普及，使在线破解用户密码的可能性越来越高。互联网上越来越多的工具可以用来破解用户的登陆密码、信箱密码、SQL数据库密码等。如果用户的密码不够强壮，便很容量被这些工具破解。黑客常用入侵与攻击手段分析黑客常用入侵与攻击手段分析(3)、木马入侵说到特洛伊木马，它最典型的做法就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已被改变。一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客指定的任务。由于这种入侵法需要黑客有很好的编程经验，且要更改代码、要一定的权限，所以较难掌握。但正因为它的复杂性，一般的系统管理员很难发现。目前网络上流行的特洛伊木马种类,数量都很多.其中有些功能非常强大,破坏性也极大.并且很难查杀,如果不慎中了木马,也就等于在您的系统中开了一道后门,入侵者通过这个后门可以为所欲为(查看,复制,删除您的系统文件.截取用户系统的各种密码，甚至可以全权控制这台机器,后果极其严重.）黑客常用入侵与攻击手段分析(4)、系统漏洞入侵各种操作系统和应用程序都存在或多或少的BUG和漏洞，而这些漏洞往往是黑客入侵系统的一个重要途径。通过分析并利用这些漏洞,入侵者能获得不同程度的系统控制权.最经常被用到的攻击方法就是利用BufferOverflow(缓冲区溢出)来获得被攻击系统的一个带有ROOT权限的SHELL.如果一旦入侵者获得了这个SHELL,那么就可以在被攻击系统上为所欲为。如：执行程序、启动停止系统服务、添加账号、执行文件的复制、删除操作等等。上面的两组截图就是通过扫描发现存在于MicrosoftIIS5.0系统上的CGI漏洞，如果对这些漏洞进行BufferOverflow攻击，就可以获得对方具有ROOT权限的SHELL。黑客常用入侵与攻击手段分析(5-1)、拒绝服务攻击(Dos攻击)DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，致使服务超载，无法响应其他的请求。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者向内的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多么快，内存容量多么大，互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限，所以，总能找到一个方法使请求的值大于该极限值，因此就会使所提供的服务资源匮乏，象是无法满足需求。千万不要自认为自己拥有了足够宽的带宽就会有一个高效率的网站，拒绝服务攻击会使所有的资源变得非常渺小。1.死亡之ping（pingofdeath）由于在早期的阶段，路由器对所传输的文件包最大尺寸都有限制，许多操作系统对TCP／IP的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，一旦产生畸形即声称自己的尺寸超过ICMP上限的包，也就是加载的尺寸超过64KB上限时，就会出现内存分配错误，导致TCP／IP堆栈崩溃，致使接受方当机。这种攻击方式主要是针对Windows9X操作系统的，而Unix、Linux、Solaris。MacOS都具有抵抗一般pingofdeath攻击的能力。黑客常用入侵与攻击手段分析(5-2)、拒绝服务攻击(Dos攻击)2.UDP洪水（UDPflood）各种各样的假冒攻击利用简单的TCP／IP服务。如Chargen和EchQ来传送毫无用处的数据来占用所有的带宽。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。3.SYN洪水（SYNflood）一些TCP／IP堆栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有限度数量的内存缓冲区用于创建连接，如果这些缓冲区内充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。不过未来的SYN洪水令人担忧，这是由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。黑客常用入侵与攻击手段分析(5-3)、拒绝服务攻击(Dos攻击)4.Land攻击在Land攻击中，一个特别打造的SYN包中的原地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN一ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。对Land攻击反应不同，许多UNIX系统将崩溃，而WindowsNT会变的极其缓慢（大约持续五分钟）。5.Smurf攻击一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，所以它比pingofdeaih洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。黑客常用入侵与攻击手段分析(5-4)、拒绝服务攻击(Dos攻击)5.电子邮件炸弹电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。由于这种攻击方式简单易用，也有很多发匿名邮件的工具，而且只要对方获悉你的电子邮件地址就可以进行攻击，所以这是大家最值得防范的一个攻击手段。6.畸形消息攻击目前无论是Windows、Unix、Linux等各类操作系统上的许多服务都存在安全隐患问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，所以一旦在收到畸形的信息就有可能会崩溃。黑客常用入侵与攻击手段分析(6)、一次简单入侵全过程下面将演示一次真实的入侵全过程，目的在于让那些不关注网络安全问题或者抱有侥幸心理的系统管理员警醒。提高企业内部网络的安全已经势在必行，网络安全的警钟要时刻响于系统管理员的耳中。本次入侵全过程将分以下几个步骤：•对目标主机进行系统安全扫描•分析扫描结果•入侵对方系统，取得命令执行权限•安装后门程序，建立帐号•清除入侵痕迹，完成入侵黑客常用入侵与攻击手段分析(6-1)、扫描在入侵之前，首先要做的第一件事情就是对目标主机进行全面扫描，收集对方主机信息和系统安全漏洞。在互联网上下载一个用来扫描系统信息和安全漏洞的工具。通过对目标主机的扫描结果可以看出对方主机是Windows2000Server，并且运行了IIS系统。（由于本次并不是教大家如何去入侵Internet上的主机，所以只简单列出了扫描的部分结果信息。）如下图：黑客常用入侵与攻击手段分析(6-2)、分析扫描结果通过对目标系统的全面扫描,得到了很多关于目标主机的信息,但经分析发现很多信息对本次的入侵没有多少作用。如：从开放端口信息中了解到目标主机上同时运行了WEB服务和FTP服务，但FTP服务不支持匿名登陆。并且对方主机禁止读取用户名列表等。根据目标主机的特点，有如下几种入侵方式：1.通过共享入侵。由于对方共享的资源非常有限，并且要求身份验证，所以首先要破解共享密码。2.通过FTP服务端口，对目标系统进行FTP账号暴力破解。但由于未能获得目标主机的用户账号，所以暴力破解的成功率大大降低。3.通过远程IPC联接，暴力破解对方系统登陆账号。但由于不能获得用户名列表，并且64K的ISDN出口带宽太窄，效果也不太理想。4.通过IIS的CGI漏洞入侵对方系统。由于从扫描结果中发现对方存在“文件名解释错误”这一严重CGI漏洞，所以这是本次入侵的绝佳途径。经过分析后决定采用第四种方式入侵对方系统。黑客常用入侵与攻击手段分析(6-3)、进行缓冲区溢出攻击由于对方系统存在“文件名解释错误漏洞”，通过对此漏洞进行“缓冲区溢出”攻击，获得具有ROOT权限的SHELL。黑客常用入侵与攻击手段分析(6-4)、获得远程SHELL上图所示,现在已经对目标系统进行了“溢出”攻击,通过监听目标主机的99端口,便可获得对方传送过来的SHELL,如下图:黑客常用入侵与攻击手段分析(6-5)、建立用户账号获得了目标主机的SHELL，现在可以在目标系统中执行任何命令。当然执行这些命令的主要目的是为了以后的再次入侵该系统作好必要的铺垫，包括建立用户账号、安装后门程序、共享对方的所有资源等。黑客常用入侵与攻击手段分析(6-6)、准备上传后门程序在上一步，我们已经在目标系统中建立了一个本地账号SERVER，并且将该账号的权限提升到系统管理员权限。以后随时可以通过此账号进入对方系统。现在已经有了目标主机的登陆账号，利用此账号将后门程序上传至目标主机。黑客常用入侵与攻击手段分析(6-5)、安装Socks5后门程序将后门程序上传到目标主机，并且运行。如下图所示：该目标主机已经被做成了一台专用的Socks5代理跳板。黑客常用入侵与攻击手段分析(6-6)、安装Telnet后门联接目标主机注册表，修改对方TELNET服务的身份验证方式。远程启动目标主机的Telnet服务。以后就可以在任何时候用前面建立的用户账号Telnet上远程主机。黑客常用入侵与攻击手段分析(6-6)、清除入侵痕迹，完成入侵经过上面的工作，已完成了对目标主机的入侵过程。入侵到了结尾阶段，清除目标主机上的系统和IIS日志文件，擦除入侵足迹，完成入侵。此次入侵取得了目标主机的全部控制权限。并且安装了socks5后门代理程序和Telnet后门。以后不但可以轻易的进入目标系统,而且还可用来作为向另外的主机发起攻击的中间站，成为替罪羊。由此可见，如果您的系统拥有这样或那样的安全隐患，并且又没有采用性能稳定的企业级防火墙，那么您的系统很可能轻而易举地被黑客攻破。窃取贵公司的重要资料、商业信息。并且随时可能毁掉这些企业中最为重要的，无形的资产。TheEnd