搜索
黑客攻防剖析3.1“黑客”与“骇客”一、黑客(Hacker)1.黑客的兴起黑客最早始于20世纪50年代,最早的计算机1946年在宾夕法尼亚大学出现,而最早的黑客出现于麻省理式学院,贝尔实验室也有。最初的黑客一般都是一些高级的技术人员,他们热衷于挑战、崇尚自由并主张信息的共享。1994年以来,因特网在全球的迅猛发展为人们提代了方便、自由和无限的财富,政治、军事、经济、科技、教育、文化等各个方面都越来越网络化,并且逐渐成为人们生活、娱乐的一部分。可以说,信息时代已经到来,信息已成为物质和能量以外维持人类社会的第三资之出源,它是未来生活中的重要介质。随着计算机的普及和因特网技术的迅速发展,黑客也随之出现了。2.黑客的定义与特征“黑客”一词是由英语Hacker英译出来的,是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而产生成长。黑客对计算机有着狂热的兴趣和执着的追求,他们不断地研究计算机和网络知识,发现计算机和网络中存在的漏洞,喜欢挑战高难度的网络系统并从中找到漏洞,然后向管理员提出解决和修补漏洞的方法。黑客不干涉政治,不受政治利用,他们的出现推动了计算机和网络的发展与完善。黑客所做的不是恶意破坏,他们是一群纵横与网络上的大侠,追求共享、免费,提倡自由、平等。黑客的存在是由于计算机技术的不健全,从某中意义上来讲,计算机的安全需要更多黑客去维护。借用myhk的一句话“黑客存在的意义就是使网络变的日益安全完善”。但是到了今天,黑客一词已经被用于那些专门利用计算机进行破坏或入侵他人的代言词,对这些人正确的叫法应该是cracker,有人也翻译成“骇客”,也正是由于这些人的出现玷污了“黑客”一词,使人们把黑客和骇客混为一体,黑客被人们认为是在网络上进行破坏的人。一个黑客即使从意识和技术水平上已经达到黑客水平,也决不会声称自己是一名黑客,因为黑客只有大家推认的,没有自封的,他们重视技术,更重视思想和品质。3.黑客存在的意义黑客存在的意义就是使网络变的日益安全完善,然而,也可能让网络遭受到前所未有的威胁!在中国,从来就没有出现过真正的黑客,以后会不会出现还不知道。不要吃惊,这就是事实。你一定要死磕,说小榕是黑客,或者黄鑫是黑客,或者安焦看雪有一大帮黑客,如果你还在18岁以前,这么认为是没错的,年轻总要有一些无知的冲动。那帮人确实是玩代码的好手,或者叫做专业的程序员,相对于一个年轻的菜鸟,他们确实能够有资格被称之为黑客。如果你要说那谁谁流光玩的很棒,会做免杀,玩木马,盗QQ,有很多肉鸡,所以他是黑客。我可以负责任的说,这种人不是黑客,这种人是驴,这里不是骂人,说是驴是有原因的。想想驴整天干什么?----无休止的围着磨盘拉磨,重复一个机械的动作。想想那种人整天干什么?----无休止的点击鼠标左键,扫肉鸡,放木马。实质和驴干的是一样的活,无非一头驴拉磨,一头驴点鼠标左键。什么是真正的黑客?黑客的定义是崇尚自由与挑战的计算机狂热者,可以征服计算机。从这个意义上说,全世界能够称之为黑客的人屈指可数,中国没有。是的,一个也没有。即使是你说听说过的最强的高手,从某种意义上说他们仍被计算机的枷锁锁住,被束缚在windows操作系统或者linux操作系统或者OS/2或者......被束缚在intel,或者AMD,或者......被束缚在VC,BCB,VB,DELPHI或者......,记住,这些全都是美国人的(LINUS大侠也在美国工作),自由从来都是不被束缚的,所以不必惊讶,中国没有黑客。二、骇客(Cracker)骇客是“cracker”的音译,就是“破解者”的意思。这些人做的事情更多的是破解商业软件、恶意入侵别人的网站并造成损失。骇客具有与黑客同样的本领,只不过在行事上有些差别而已,这也是人们常常很难分清黑客与骇客的原因之一。骇客并不固定是些什么人,我们每个人都有可能成为骇客,只要你知道一些相关网络与计算机知识就可以(当然要是高手)。在最高层次,攻击可被分为两类:主动攻击:包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口25找出公司运行的邮件服务器的信息;伪造无效IP地址去连接服务器,使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此,如果要寻找他们是很容易发现的。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。被动攻击:主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。3.2黑客攻击分类1、按照TCP/IP协议层次进行分类①针对数据链路层的攻击②针对网络层的攻击③针对传输层的攻击④针对应用层的攻击2、按照攻击者目的分类①DOS和DDOS②Sniffer监听③会话劫持与网络欺骗④获得被攻击主机的控制权,针对应用层协议的缓冲区溢出基本上目的都是为了得到被攻击主机的shell3、按危害范围分类①局域网范围②广域网范围3.3基于协议的攻击手法与防范3.3.1ARP协议漏洞漏洞描述攻击实现ARP欺骗防范3.3.2ICMP协议漏洞漏洞描述攻击实现ICMP攻击的防范ARP攻击ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARP协议主要负责将局域网中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址位192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B.整个转换过程是一台主机先向目标主机发送包含有IP地址和MAC地址的数据包,通过MAC地址两个主机就可以实现数据传输了.从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp-d后,又可恢复上网。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。局域网中我们最常接触的ARP攻击其实并不是病毒,而是网络执法、P2P终结者之类的软件造成的,这类软件的目的其实就是封一些多线程下载的软件,譬如迅雷、Flashget等,这样一来便使得局域网中这类软件不能正常使用,从而达到自己独占大部分网络资源的目的。针对这类现象,上边的做法看上去挺麻烦的,简单一点,装一个ARP防火墙或者开启局域网ARP防护一般都能解决。比如360安全卫士的实时保护选项里的“局域网ARP攻击拦截”,只要开启这一选项很多问题都迎刃而解。ICMP数据包ICMP是“InternetControlMessageProtocol”(Internet控制消息协议)的缩写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。我们在网络中经常会使用到ICMP协议,只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令,这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机.比如,可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定,向主机发起“PingofDeath”(死亡之Ping)攻击。“PingofDeath”攻击的原理是:如果ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机。此外,向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命。虽然ICMP协议给黑客以可乘之机,但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪,提前做好准备,就可以有效地避免ICMP攻击造成的损失。对于“PingofDeath”攻击,可以采取两种方法进行防范:第一种方法是在路由器上对ICMP数据包进行带宽限制,将ICMP占用的带宽控制在一定的范围内,这样即使有ICMP攻击,它所占用的带宽也是非常有限的,对整个网络的影响非常少;第二种方法就是在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包。设置ICMP数据包处理规则的方法也有两种,一种是在操作系统上设置包过滤,另一种是在主机上安装防火墙。freebsd下可以使用ipfw来防止ping(icmp)3.3.3TCP协议漏洞漏洞描述攻击实现防御方法3.3.4其他协议明文传输漏洞漏洞描述攻击实现3.4操作系统漏洞攻击3.4.1输入法漏洞漏洞描述攻击实现远程攻击攻击防范3.4.2IPC$攻击漏洞描述防范IPC$入侵3.4.3RemoteProcedureCall(RPC)漏洞3.5针对IIS漏洞攻击1、IIS(Inter-ICSoundbus)又称I2S,是菲利浦公司提出的串行数字音频总线协议[1]。目前很多音频芯片和MCU都提供了对IIS的支持。IIS总线只处理声音数据。其他信号(如控制信号)必须单独传输。为了使芯片的引出管脚尽可能少,IIS只使用了三根串行总线。这三根线分别是:提供分时复用功能的数据线、字段选择线(声道选择)、时钟信号线。2、InternetInformationServer的缩写为(IIS)是一个WorldWideWebserver。Gopherserver和FTPServer全部包容在里面。IIS意味着你能发布网页,并且有ASP(ActiveServerPages)、JAVA、VBscript产生页面,有着一些扩展功能。IIS支持一些有趣的东西,象有编辑环境的界面(FRONTPAGE)、有全文检索功能的(INDEXSERVER)、有多媒体功能的(NETSHOW)。其次,IIS是随WindowsNTServer4.0一起提供的文件和应用程序服务器,是在W