黑客攻防---从零开始认识黑客,简单认知

一、黑客认知

1.1-----认识黑客

  黑客是一类掌握超高计算机技术的人群。凭着掌握的知识,他们既可以从事保护计算机和保护网络安全的工作,又可以选择入侵他人计算机或者破坏网络,对于黑客而言,他们所做的事情总是带有一定目的的,也许是为了炫耀,也许是为了报复。

1.2-----区别黑客与骇客

  黑客的原意是指那些精通操作系统和网络技术的人群,黑客所做的不是恶意破坏,他们是一群纵横于网络上的技术人员,热衷于科技探索、计算机科学研究。在黑客圈中,Hack一词带有正面的意义,例如 system hacker 是指熟悉操作系统的设计与维护的黑客;password hacker 是指擅长找出使用者密码的黑客;computer hacker 是指通晓计算机可以让计算机乖乖听话的黑客。

  而骇客则不一样,骇客是指利用所掌握的计算机技术,从事恶意破解商业软件、恶意入侵别人的网站或计算机等事务的人。

  总的说来,黑客是一类主要负责维护计算机和网络安全的人员。其实黑客与骇客本质上都是相同的,级闯入计算机系统/软件者。黑客和骇客并没有一个十分明显的界限,但随着两者含义越来越模糊,因此造成了黑客一词越来越接近骇客。

1.3-----提醒:认识红客,中国组织

  红客是英文单词Honker 的中文音译,它代表着一种精神,既热爱祖国、坚持正义和开拓进取的精神。因此只要具备这种精神斌热衷于计算机技术的人都可以成为Honker。Honker是Hacker中的一部分人,这部分人一维护国家利益为己任,不利用掌握的计算机技术和网络技术入侵自己国家的计算机和服务器。他们维护正义,为国争光。 

二、成为黑客必须掌握的知识

大家若想成为黑客,并不是一朝一夕的事情,需要掌握大量的计算机专业知识和技术,如果只是掌握了基础的DOS命令和一两款远程控制工具是算不上黑客的。成为黑客必须掌握的知识包括:一定的英文水平、理解常用的黑客术语和网络安全术语、熟练使用常用DOS命令和黑客工具,以及掌握主流的编程语言以及脚本语言。

1.一定的英文水平

黑客学习的计算机知识虽然主要来源于国内,但是却经常需要参考国外的相关资料和教程,而国外的资料和教程大多数为英文版本,因此就需要具有一定的英文水平,以确保能够看懂国外的一些参考资料。

2.理解常用的黑客术语和网络安全术语

在常见的黑客论坛中,经常会看到肉鸡、挂马和后门等词语,这些词语可以统称为黑客术语,如果不理解这些词语,则在与其他黑客交流技术或经验时就会有障碍。除了掌握相关的黑客术语之外,作为黑客,还需要掌握TCP/IP协议、ARP协议等网络安全术语。

3.熟练使用常用DOS命令和黑客工具

常用DOS命令是指在DOS环境下使用的一些命令,主要包括Ping、netstat以及net命令等。利用这些命令可以实现对应不同的功能,如,利用使用Ping命令可以获取目标计算机的IP地址以及主机名。而黑客工具则是指用来远程入侵或者查看是否存在漏洞的工具,例如使用X-Scan可以查看目标计算机是否存在漏洞,利用EXE捆绑器可以制作带木马的其他应用程序。

4.掌握主流的编程语言以及脚本语言

从Internet中获取的黑客工具通常是其他黑客利用指定类别的编程语言(C++、Java等)制作的,如果想要成为一名黑客高手,仅仅使用别人制作的工具是不够的,需要具有创新精神,通过掌握主流的C++、Java等编程语言来编制属于自己的黑客工具。同时还需要掌握JavaScript,VBScript等脚本语言,用于自己编写脚本,实现脚本入侵。

提示:认识黑客攻击的目的

黑客攻击目标计算机或服务器的目的主要有3个,分别是盗取账户密码、恶作剧以及炫耀高超的计算机技术,其中盗取账户密码属于违法的行为,用户一定不要使用本书介绍的黑客工具去入侵他人的计算机。

三、认识IP地址

        【教学导入】大家都对电话号码都是比较熟悉的,假如我要给某个同学家打电话,那么首先他家一定要有个号码,并且整个号码是唯一的,否则会带来很多误会,比如,0898-86232121。那么,同样的道理,我们的电脑要能上网,他也是要有个IP地址的。这个个IP地址就相当于电话号码的功能一样一样,也是唯一的。

【IP地址的概念】

         IP是英文Internet Protocol的缩写,意思是“网络之间互连的协议”,也就是为计算机网络相互连接进行通信而设计的协议。按照TCP/IP(Transport Control Protocol/Internet Protocol,传输控制协议/Internet协议)协议规定,IP地址用二进制来表示,每个IP地址长32bit,比特换算成字节,就是4个字节。例如一个采用二进制形式的IP地址是“00001010000000000000000000000001”,这么长的地址,人们处理起来也太费劲了。为了方便人们的使用,IP地址经常被写成十进制的形式,中间使用符号“.”分开不同的字节。于是,上面的IP地址可以表示为“10.0.0.1”。IP地址的这种表示法叫做“点分十进制表示法”,这显然比1和0容易记忆得多。有人会以为,一台计算机只能有一个IP地址,这种观点是错误的。我们可以指定一台计算机具有多个IP地址,因此在访问互联网时,不要以为一个IP地址就是一台计算机;另外,通过特定的技术,也可以使多台服务器共用一个IP地址,这些服务器在用户看起来就像一台主机似的。

【IP地址的分类】

         A:1-127,B:128-191;C:192-223;D:224-239;E:240-255一般我们用的最多的是C类,D、E是作为备用的。但是局域网当中的IP地址很特殊,一般都是以192.168开头的,IP地址又分为静态IP和动态IP,

【动态分配IP地址】

什么是动态分配IP地址呢?IP地址的动态分配原理:把所有的IP地址集中起来管理,等到有人提出请求的时候,分配其中的任意一个IP地址给他,而他用完之后就把使用权收回。也就是说只要同时打开的计算机数量少于或等于可供分配的IP地址,那么,每台计算机就会自动获取一个IP地址,并实现与Internet的连接。这样既可以保证所有的人够能上网,又可以避免资源的浪费。动态IP是靠DHCP来分配的。

【IP地址的分配和管理】

是有专门的部门来管理的,这个单位就是:LANA,其他的部门是没有权利的,就好如一个单位没有权力决定自己所属城市的街道名称和门牌号。如何分配IP地址 
TCP/IP协议需要针对不同的网络进行不同的设置,且每个节点一般需要一个“IP地址”、一个“子网掩码”、一个“默认网关”。不过,可以通过动态主机配置协议(DHCP),给客户端自动分配一个IP地址,避免了出错,也简化了TCP/IP协议的设置。那么,局域网怎么分配IP地址呢?互联网上的IP地址统一由一个叫“IANA”(Internet Assigned Numbers Authority,互联网网络号分配机构)的组织来管理。

【IP地址的发展前景】

目前,我们用的还是第四带IP地址,位数是32位,理论上最多可以又2的32次方,个数很有限,所以我们现在产生了第六代IP地址,位数是128位,就是2的128次方,IPV6个数是无限的,加入把IPV4看作一个鸡蛋,那么IPV6就好比以个地球,,意思就是说地球上的每个沙子都可以分配一个IP地址。

四、黑客的专用通道——端口

随着计算机网络技术的发展,原来物理上的接口(如键盘、鼠标、网卡、显示卡)已不能满足网络通信的要求,而TCP/IP协议作为网络通信的标准协议就解决了这个通信难题。TCP/IP协议集成到操作系统的内核中,这就相当于在操作系统中引入了一种新的输入/输出接口技术,因为在TCP/IP协议中引入了一种称为“Socket(套接字)”的应用程序接口。有了这样一种接口技术,一台计算机就可以通过软件的方式与任何一台具有Soket接口的的计算机进行通信。端口在计算机编程上也就是"Soket接口"。简言之,端口就是计算机与外界通信交流的出口。

端口的分类  

           有了这些端口后,这些端口又是如何工作的呢?例如一台服务器为什么可以同时是Web服务器,也可以是FTP服务器,还可以是邮件服务器等等?在网络传输中,各种服务采用不同的端口分别提供不同的服务。例如通常情况下TCP/IP协议规定Web采用80号端口,FTP采用21号端口等;而邮件服务器则采用25号端口。这样通过不同的端口,计算机就可以与外界进行互不干扰的通信。

         根据分析,服务器端口娄最大可以有65535个但是实际上常用的端口才几十个,由此可以看出未定义的端口相当多、这就是那么多黑客程序都可以采用某种方法,定义出一个特殊的端口来达到入侵目的的原因所在。为了定义出这个端口,就要依靠某种程序在计算机启动之前自动加载到内存,强行控制计算机打开那个特殊的端口。这个程序就是“后门”程序,也就是常说的木马程序。

          简单地说,这些木马程序在入侵之前先通过某一种手段在一台个人计算机中植入一个程序,打开某个特定的端口,俗称“后门”(BackDoor),使这台计算机变成一台开放性极高(用户拥有极高权限)的FTP服务器,然后从后门就可以达到入侵的目的。

          端口分为硬件端口和软件端口两种,其中硬件端口又称接口,它分为串行和并行接口。 串行接口有USB,COM和IEEE1394等。最早的串行接口是RS-232;而我们平常使用的打印机接口就是并行接口。软件接口一般是指网络中面向连接服务和无连接服务的通信协议。在网络技术中,端口(PORT)大致有两种意思;

       一是物理意义上的端口例如ADSL Modem,集线器、交换机、路由器等用于连接其他的网络设备的接口,例如RJ-45端口,SC端口等; 二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,例如用于浏览网页的服务的80端口,用于FTP服务的21端口等。下面要讲述的就是逻辑意义上的端口。

逻辑意义上的端口有多种分类标准,常见的分类标准有以下两种:

1.按端口号分布划分

按端口号分布划分可分为“公认端口”、“注册端口” 以及“动态和/或私有端口”等。
        公认端口(Well Know Ports)也称为“常用端口”。这类端口的端口号从0到1023,它们紧密地绑定于一些特定的服务。通常这些端口的通信明确地表明了某种服务的协议这种端口不可以再重新定义它作用对象。例如21端口分配FTP服务,而23号是telnet服务专用的,25端口分配给SMTP(简单邮件传输协议)服务,80端口是HTTP通信所使用的,135端口分配给RPC(远程过程调用)服务,这些端口通常不会被像木马这样的黑客程序利用。(小千:为什么不会利用??)

       注册端口 注册端口(Registered Ports)的端口号从1024到49151.它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其他的目的。这些端口多数没有明确的定义服务对象,不同的程序可以根据实际需要自己定义,如后面要介绍的远程控制软件和木马程序中都会有这些端口的定义。须记住这些常见的程序端口在木马程序的防护和查杀上是非常有必要的。
     动态和/或私有端口
    动态和/或私有端口(Dynamic and/or private Ports)的端口号从49152到65535,从理论上讲不应该把常用服务分配在这些端口上。但实际上有些较为特殊的程序,特别是一些木马程序就非常喜欢使用这些端口,因为这些端口常常不被引起注意,容易隐蔽。

 2.按协议类型划分

根据所提供的服务方式的不同,端口又可以分为"TCP端口"和"UDP端口"两种因为计算机之间相互通信一般是采用这两种通信协议。前面所介绍的“连接方式”是一种直接与接收方进行的连接,发送信息以后可以确认信息是否到达,这种方式大多采用TCP协议;另一种方式不是直接与接收方进行连接,只管把信息放在网上发出去而不等信息是否到达,也就是“无连接方式”,这种方式大多采用UDP协议。IP协议也是一种无连接方式。对应使用以上这两种通信协议的服务所提供的端口,

也就分为“TCP端口”和“UDP”端口两种。

使用TCP协议的常见端口主要有以下几种:

FTP
    定义了文件传输协议,使用21端口。某计算机开了FTP服务便是启动了文件传输服务。下载文件和上传主页都要用到FTP服务。

Telnet
一种用于远程登录的端口,用户可以以自己的身份远程连接到计算机上,通过这种端口可以提供一种基于DOS模式下的通信服务。如以前的BBS是纯字符界面的,支持BBS的服务器会将23端口打开,以对外提供服务。

SMTP
简单邮件传送协议,现在很多邮件服务器使用的都是这个协议,用于发送邮件。如常见免费邮件服务中使用的就是这个邮件服务端口,所以在电子邮件设置中经常开放的是25号端口。

POP3
   它是SMTP对应的,用于接收邮件。通常情况下POP3协议所使用的是110端口。只要有相应的使用POP3协议的程序(例如Foxmail或Outlook),就可以不以Web方式 登录邮箱界面,而直接使用邮件程序就可以收到邮件。


使用UDP协议的常见端口主要有以下几种。
 
   HTTP
  这是用户使用的最多的协议,也就是常说的“超文本传输协议”。上网浏览网页时,就得在提供网页资源的计算机上打开80端口以提供服务。常说的“WWW服务”,“WEB服务器”等使用的就是这个端口。

   DNS
用于域名解析服务,这种服务在WindowsNT系统中用得最多。因特网上的每一台计算机都有一个网络地址与之对应,这个地址就是IP地址,它以纯数字的形式表示。然而这种表示方法不便于记忆,于是出现了域名,访问计算机的时候只需要变换DNS服务器来完成。DNS用的是53号端口。

SNMP
 简单网络管理协议,使用161号端口,是用来管理网络设备的。由于网络设备很多,因此无连接的服务就能 体现出其优势。

    QQ
QQ程序既接受服务又提供服务,这样两个聊天的人才是平等的。QQ使用的是无连接的协议,即UDP协议。QQ服务使用的8000号端口侦听是否有信息到来,客户端使用4000号端口向外发送信息。在计算机的6万多个端口中,通常把端口号为1024以内的称为常用端口,这些常用端口对应的服务通常情况下是固定的。

五、黑客藏匿的首选地——系统进程

在Windows系统中,进程是程序在系统中的一次执行活动。它主要包括系统进程和程序进程两种。凡是用于完成操作系统各种功能的进程都统称为系统进程,而通过启动应用程序所产生的进程则统称为程序进程。由于系统进程是随着操作系统的启动而启动的,因此黑客经常会进行一定的设置,使得系统中的木马或病毒对应的进程与系统进程的名称十分相似,从而达到欺骗用户的目的。

认识系统进程

系统进程的主要作用是确保操作系统能够正常运行,在Windows 7系统中,右击任务栏任意空白处,在弹出的快捷菜单中单击“启动任务管理器”命令,打开“Windows任务管理器”窗口,切换至“进程”选项卡,便可看见当前正在运行的所有进程。用户名为SYSTEM所对应的进程便是系统进程。

系统进程的名称和基本含义
名称 基 本 含 义
conime.exe 该进程与输入法编辑器相关,能够确保正常调整和编辑系统中的输入法
csrss.exe 该进程是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务
ctfmon.exe 该进程与输入法有关,该进程的正常运行能够确保语言栏能正常显示在任务栏中
explorer.exe 该进程是Windows资源管理器,可以说是Windows图形界面外壳程序,该进程的正常运行能够确保在桌面上显示桌面图标和任务栏
lsass.exe 该进程用于Windows操作系统的安全机制、本地安全和登录策略
services.exe 该进程用于启动和停止系统中的服务,如果用户手动终止该进程,系统也会重新启动该进程
smss.exe 该进程用于调用对话管理子系统,负责用户与操作系统的对话
svchost.exe 该进程是从动态链接库 (DLL) 中运行的服务的通用主机进程名称,如果用户手动终止该进程,系统也会重新启动该进程
system 该进程是Windows页面内存管理进程,它能够确保系统的正常启动
system idle process 该进程的功能是在CPU空闲时发出一个命令,使CPU挂起(暂时停止工作),从而有效降低CPU内核的温度
winlogon.exe 该程序是Windows NT 用户登录程序,主要用于管理用户登录和退出

在Windows 7系统中,用户可以手动关闭和新建部分系统进程,如explorer.exe进程就可以手动关闭和新建。进程被关闭后,桌面上将只显示桌面墙纸,重新创建该进程后将会再次在桌面上显示桌面图标和任务栏。

STEP01:单击“启动任务管理器”命令

STEP02:结束explorer.exe进程

STEP03:确认结束该进程

STEP04:查看桌面显示信息

STEP05:单击“新建任务”命令

STEP06:新建explorer.exe进程

提示:在结束explorer.exe进程后打开“Windows任务管理器”窗口

结束explorer.exe进程后,桌面上将不会显示任务栏,此时若要再次打开“Windows任务管理器”窗口,可以通过按【Ctrl+Alt+Del】组合键实现。

STEP07:查看创建进程后的桌面

提示:重新加载explorer.exe的妙用

重新加载explorer.exe进程可用于安全卸载接入电脑的U盘,若无法安全地卸载U盘,则可在重新加载explorer.exe进程后再次安全删除它。

六、黑客常用术语

网上查询的时候都会看到类似与“肉鸡”,“后门”,“shell”,之类的专业术语。但是很多像我一样的菜鸟们都不明白具体的含义。

         今天在网上瞎逛的时候看到了一篇不错的帖子,特地发上来和大家分享一下。

        (高手勿喷呀) 当然有什么错误或不足的地方也希望各位指出并且修改。(咱也不能误人子弟是吧。。。)

        1.肉鸡:所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是Unix/Linux系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以象操作自己的电脑那样来操作它们,而不被对方所发觉。

         2.木马:就是那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。有很多黑客就是 热中与使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等。

        3.网页木马:表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行 。

        4.挂马:就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马 。

        5.后门:这是一种形象的比喻,入侵者在利用某些方法成功的控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置。这些改动表面上是很难被察觉的,但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接,重新控制这台电脑,就好象是入侵者偷偷的配了一把主人房间的要是,可以随时进出而不被主人发现一样通常大多数的特洛伊木马(Trojan Horse)程序都可以被入侵者用语制作后门(BackDoor) 。

         6.rootkit:rootkit是攻击者用来隐藏自己的行踪和保留root(根权限,可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过,对方系统内存在的安全漏洞获得系统的root权限。然后,攻击者就会在对方的系统中安装rootkit,以达到自己长久控制对方的目的,rootkit与我们前边提到的木马和后门很类似,但远比它们要隐蔽,黑客守卫者就是很典型的rootkit,还有国内的ntroorkit等都是不错的rootkit工具。

         7.IPC$:是共享“命名管道”的资源,它是为了让进程间通信而开放的饿命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用 。

         8.弱口令:指那些强度不够,容易被猜解的,类似123,abc这样的口令(密码) 。

         9.默认共享:默认共享是WINDOWS2000/XP/2003系统开启共享服务时自动开启所有硬盘的共享,因为加了”$”符号,所以看不到共享的托手图表,也成为隐藏共享。

         10.shell:指的是一种命令指行环境,比如我们按下键盘上的“开始键 R”时出现“运行”对话框,在里面输入“cmd”会出现一个用于执行命令的黑窗口,这个就是WINDOWS的Shell执行环境。通常我们使用远程溢出程序成功溢出远程电脑后得到的那个用于执行系统命令的环境就是对方的shell 。

         11.WebShell:WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门。黑客在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,好后就可以使用浏览器来访问这些asp 或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。可以上传下载文件,查看数据库,执行任意程序命令等。国内常用的WebShell有海阳ASP木马,Phpspy,c99shell等 。

         12.溢出:确切的讲,应该是“缓冲区溢出”。简单的解释就是程序对接受的输入数据没有执行有效的检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。大致可以分为两类:(1)堆溢出;(2)栈溢出。

        13.注入:随着B/S模式应用开发的发展,使用这种模式编写程序的程序员越来越来越多,但是由于程序员的水平参差不齐相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想要知的数据,这个就是所谓的SQLinjection,即:SQL注意入

        14.注入点:是可以实行注入的地方,通常是一个访问数据库的连接。根据注入点数据库的运行帐号的权限的不同,你所得到的权限也不同。

       15.内网:通俗的讲就是局域网,比如网吧,校园网,公司内部网等都属于此类。查看IP地址如果是在以下三个范围之内的话,就说明我们是处于内网之中的:10.0.0.0—10.255.255.255,172.16.0.0—172.31.255.255,192.168.0.0—192.168.255.255     

        16.外网:直接连入INTERNET(互连网),可以与互连网上的任意一台电脑互相访问,IP地址不是保留IP(内网)IP地址 。

        17.端口:(Port)相当于一种数据的传输通道。用于接受某些数据,然后传输给相应的服务,而电脑将这些数据处理后,再将相应的恢复通过开启的端口传给对方。一般每一个端口的开放的偶对应了相应的服务,要关闭这些端口只需要将对应的服务关闭就可以了 什么是TCP/IP 是一种网络通信协议,他规范了网络上所有的通信设备,尤其是一个主机与另一个主机之间的数据往来格式以及传送方式.,TCP/IP是INTERNET的基础协议,也是一种电脑数据打包和寻址的标准方法.在数据传诵中,可以形象地理解为两个信封,TCP和IP就像是信封,要传递的信息被划为若干段,每一段塞入一个TCP信封,并在该信封面上记录有分段号的信息,再将TCP信封塞入IP大信封,发送上网. 什么是路由器 路由器应该是在网络上使用最高的设备之一了,它的主要作用就是路由选路,将IP数据包正确的送到目的地,因此也叫IP路由器. 什么是蜜罐 好比是情报收集系统.蜜罐好象是故意让人攻击的目标,引诱黑客来攻击,所有攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对你的服务器发动的最新的攻击和漏洞.还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络. 什么是拒绝服务攻击 DOS是DENIALOFSERVICE的简称,即拒绝服务,造成DOS的攻击行为被称为DOS攻击,其目的是使计算机或网络无法正常服务,最常见的DOS攻击有计算机网络宽带攻击和连通性攻击,连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源被消耗,最终计算机无法再处理合法用户的请求. 什么是脚本注入攻击(SQLINJECTION) 所谓脚本注入攻击者把SQL命令插入到WEB表单的输入域或也面请求的查学字符串,欺骗服务器执行恶意的SQL命令,在某些表单中,用户输入的内容直接用来构造动态的SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击. 什么是防火墙?它是如何确保网络安全的 使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 什么是后门?为什么会存在后门? 后门(BackDoor)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在软件之前没有删除,那么它就成了安全隐患。 什么叫入侵检测 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象

18.数据包监测  : 它有什么作用 数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。 什么是NIDS NIDS是NetworkIntrusionDetectionSystem的缩写,即网络入侵检测系统,主要用于检测Hacker或Cracker 通过网络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一 种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。 什么叫SYN包 TCP连接的第一个包,非常小的一种数据包。SYN攻击包括大量此类的包,由于这些包看上去实际不存在的站点,因此无法有效进行处理。 加密技术是指什么 加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。 加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合 ,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法。在安全保密中,可通过适当的 钥加密技术和管理机制来保证网络的信息通信***域网内部的ARP攻击是指什么 ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。 基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当 前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般 情况下,受到ARP攻击的计算机会出现两种现象: 1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。 2.计算机不能正常上网,出现网络中断的症状。 因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。 什么叫欺骗攻击?它有哪些攻击方式 网络欺骗的技术主要有:HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有:IP欺骗、ARP欺骗、 DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗(通过指定路由,以假冒身份与其他主机进行合法通信或发送 假报文,使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。 嗅探 计算机网络的共享通讯道的,支持每对通讯计算机独占通道的交换机/集线器仍然过于昂贵,共享意为着 计算机能够接收到发送给其他计算机的信息,捕获在网络中传输的数据信息就称为嗅探. 木马 全称为特洛伊木马(TrojanHorse),是根据希腊神话传说中一次战争而得名。麦尼劳斯派兵讨伐特洛伊国 王,他们假装打败,然后留下一个大木马,而木马里却藏着最强悍的勇士!最后等晚上时间一到,木马里的勇 士就冲出来把敌人打败了。这就是后来的”木马计”,而黑客中的木马有点后门的意思,就是把预谋的功能隐 藏在公开的功能里,掩饰真正的企图。 肉鸡 已经被攻击了,对其具有控制权的主机。 跳板 一个具有辅助作用的机器,利用这个主机作为一个间接工具,来入侵其他主机,一般和肉鸡连用。 弱口令 所谓弱口令也就是指密码与用户名相同,密码为空的用户名与密码组合,也包括那些密码强度不够,容易 被猜解的组合,一般专业认识不会犯这种错误。 权限 计算机用户对于文件及目录的建立,修改,删除以及对于某些服务的访问,程序的执行,是以权限的形式 来严格区分的.被赋予了相应的权限,就可以进行相应的操作,否则就不可以. 溢出 程序在处理我们提交给它的数据时,有的时候忘了检查数据的大小与合法性,那么这些数据可能会超过属 于自己的地盘,覆盖到其它数据的盘.如果这些超长数据被精心的策划构造的话,可能会被黑客去执行任意命令 .打个比喻来说,windows系统是一个人,会一杯一杯喝我们给它准备的水,其中有一个杯子太小了,我们倒入 了大量的水它就会溢出到别的杯子里去,而溢出到别的杯子里的东西我们事先可以设计好,而系统并不知道,这以为这本来就是那个杯子里的东西,于是我们可以完成一定的任务.

19.端口的利用:要网络上,知道一台电脑的ip地址,只是相当于知道了它的居住地址,要和它进行通信,我们还要知道它 开了哪些端口,比如说我们到一家医院,挂号要到1号窗口,划价要到2号窗口,取药要到3号窗口.那么与计算 机的通信也是一样的,要上qq,你得登陆到腾讯服务器的8000端口,要浏览x档案的论坛,你得与其80端口进行 联系,要ftp登陆空间,传输文件,我们又得服务器的21端口连接了.可以说,端口就是一种数据的传输通道, 用于接收某些数据,然后传给相应的服务,而电脑将这些数据处理后,再将相应的回复通过端口传给对方. ip地址 inter上的电脑有许多,为了让他们能够相互识别,inter上的每一台主机都分配有一个唯一的32位地址, 该地址称为ip地址,也称作网际地址,ip地址由4个数值部分组成,每个数值部分可取值0-255,各部分之间用 一个‘.‘分开。 ARP 地址解析协议(AddressResolutionProtocol) 此协议将网络地址映射到硬件地址. RARP 反向地址解析协议(ReverseAddressResolutionProtocol) 此协议将硬件地址映射到网络地址 UDP 用户数据报协议(UserDatagramProtocol) 这是提供给用户进程的无连接协议,用于传送数据而不执行正确性检查。 FTP 文件传输协议(FileTransferProtocol) 允许用户以文件操作的方式(文件的增、删、改、查、传送等)与另一主机相互通信。 SMTP 简单邮件传送协议(SimpleMailTransferProtocol) SMTP协议为系统之间传送电子邮件。 TELNET 终端协议(TelTerminalProcotol) 允许用户以虚终端方式访问远程主机 HTTP 超文本传输协议(HypertextTransferProcotol) TFTP 简单文件传输协议(TrivialFileTransferProtocol) Shell Shell就是系统于用户的交换式界面。简单来说,就是系统与用户的一个沟通环境,我们平时用到的DOS就是一个Shell(Win2K或cmd.exe)。 Root Unix里最高权限的用户,也就是超级管理员。 Admin WindowsNT/2K/XP里最高权限的用户,也就是超级管理员。 Rootshell 通过一个溢出程序,在主机溢出一个具有Root权限的Shell。 Exploit 溢出程序。Exploit里通常包含一些Shellcode。 Shellcode 溢出攻击要调用的函数,溢出后要一个交换式界面进行操作。所以说就有了Shellcode。 AccesControllist(ACL) 访问控制列表。 AddressResolutionProtocol(ARP) 地址解析协议。 Administratoraccount 管理员帐号。 ARPANET 阿帕网(Inter的简称)。 accesstoken 访问令牌。 adaptivespeedleveling 自适应速度等级调整。 algorithm 算法alias别名。 anlpasswd 一种与PASSWD 相似的代理密码检查器。 applicatlons 应用程序异步传递模式。 accoutlockout 帐号封锁。 accoutpolicies 记帐策略。 accounts 帐号。 adapter 适配器

七、黑客常用DOS命令

提到DOS命令相信不少电脑爱好者都不会陌生,网络中的多数神秘黑客恶意攻击也多数是采用DOS攻击或者DDOS攻击,无论是DoS攻击还是DDoS攻击,简单的看,都只是一种破坏网络服务的黑客方式,电脑百事网也经常会遭到一些陌生的DOS攻击,这种攻击预防也是比较困难的,需要有一定的防护实力,经常有网友问编辑会不会黑客,能否教教我?其实笔者对黑客也仅仅只了解阶段,我们更加注重防御,同时希望大家喜欢学黑客,但尽量别做一些破坏活动,因为攻击与破坏本身就违法,我们应当了解黑客,学会防御才是正道,下面为大家分享一些入门的DOS命令知识,以下都掌握了,你也就差不多到了入门黑客水平了。


传说中神秘的黑客形象
 


某某网经常也会遭到陌生的黑客攻击(以DDOS为主)

                                                            靶机测试


                                      入侵ip检测


                                                                      dos命令操作界面窗口

一)MD——建立子目录命令  


1.功能:创建新的子目录 
2.类型:内部命令 
3.格式:MD[盘符:][路径名]〈子目录名〉 
4.使用说明: 
(1)“盘符”:指定要建立子目录的磁盘驱动器字母,若省略,则为当前驱动器; 
(2)“路径名”:要建立的子目录的上级目录名,若缺省则建在当前目录下。 
例:(1)在C盘的根目录下创建名为FOX的子目录;(2)在FOX子目录下再创建USER子目录。 
C:、>MD FOX (在当前驱动器C盘下创建子目录FOX) 
C:、>MD FOX 、USER (在FOX 子目录下再创建USER子目录) 

(二)CD——改变当前目录 


1.功能:显示当前目录 
2.类型:内部命令 
3.格式:CD[盘符:][路径名][子目录名]
4.使用说明: 
(1)如果省略路径和子目录名则显示当前目录; 
(2)如采用“CD、”格式,则退回到根目录; 
(3)如采用“CD.。”格式则退回到上一级目录。 
例:(1)进入到USER子目录;(2)从USER子目录退回到子目录;(3)返回到根目录。 
C:、>CD FOX 、USER(进入FOX子目录下的USER子目录) 
C:、FOX、USER>CD.。 (退回上一级根目录) 
C:、FOX>CD、 (返回到根目录) 
C:、> 

(三)RD——删除子目录命令 


1.功能:从指定的磁盘删除了目录。 
2.类型:内部命令 
3.格式:RD[盘符:][路径名][子目录名]
4.使用说明: 
(1)子目录在删除前必须是空的,也就是说需要先进入该子目录,使用DEL(删除文件的命令)将其子目录下的文件删空,然后再退回到上一级目录,用RD命令删除该了目录本身; 
(2)不能删除根目录和当前目录。 
例:要求把C盘FOX子目录下的USER子目录删除,操作如下: 
第一步:先将USER子目录下的文件删空; 
C、>DEL C:、FOX、USER、*。*
第二步,删除USER子目录。 
C、>RD C:、FOX、USER

(四)DIR——显示磁盘目录命令


1.功能:显示磁盘目录的内容。 
2.类型:内部命令 
3.格式:DIR [盘符][路径][/P][/W]
4.
使用说明:/P的使用;当欲查看的目录太多,无法在一屏显示完屏幕会一直往上卷,不容易看清,加上/P参数后,屏幕上会分面一次显示23行的文件信息,然后暂停,并提示:Pressany key to continue
/W的使用:加上/W只显示文件名,至于文件大小及建立的日期和时间则都省略。加上参数后,每行可以显示五个文件名。 
PATH——路径设置命令 
1.功能:设备可执行文件的搜索路径,只对文件有效。 
2.类型:内部命令 
3.格式:PATH[盘符1]目录[路径名1]{[;盘符2:],〈目录路径名2〉…}
4.使用说明: 
(1)当运行一个可执行文件时,DOS会先在当前目录中搜索该文件,若找到则运行之;若找不到该文件,则根据PATH命令所设置的路径,顺序逐条地到目录中搜索该文件; 
(2)PATH命令中的路径,若有两条以上,各路径之间以一个分号“;”隔开; 
(3)PATH命令有三种使用方法: 
PATH[盘符1:][路径1][盘符2:][路径2]…(设定可执行文件的搜索路径)  PATH:(取消所有路径) 
PATH:(显示目前所设的路径) 

(六)TREE——显示磁盘目录结构命令


1.功能:显示指定驱动器上所有目录路径和这些目录下的所有文件名。 
2.类型:外部命令 
3.格式:TREE[盘符:][/F][》PRN]
4.使用说明: 
(1)使用/F参数时显示所有目录及目录下的所有文件,省略时,只显示目录,不显示目录下的文件; 
(2)选用>PRN参数时,则把所列目录及目录中的文件名打印输出。 

八、黑客攻防前的准备工作

 

通常来讲,除了傻瓜黑客外,真正的黑客在进行攻击前总会花很多时间和精力去搜集目标主机的相关信息,比如对方使用的什么操作系统、管理员账号是否为空口令或者弱口令、系统是否存在某些严重的漏洞……掌握了这些信息,攻击成功又多了几分胜算。越成熟的黑客花费在信息搜索上的时间往往越多,信息搜集、筛选、分析……这是最枯燥却也是最重要的工作,那么黑客是如何进行这些信息搜集工作的呢?

  一、巧用工具 轻松探测操作系统版本

X-Scan是一款功能比较全面的扫描器程序,扫描器是黑客兵器库中不可或缺的一部分,有了它的帮助,“黑客”们就会如虎添翼。扫描器不同于一些常见的攻击工具,它只能用来发现问题,而不能直接攻击目标机器,通过执行如下操作,可以完成远程电脑的操作系统探测:

  第1步:首先,下载X-Scan 中文版。

  第2步:在完成下载并解压后,运行其中的“Xscan_gui.exe”打开如图所示的界面。

  第3步:依次单击“设置”→“扫描参数”菜单,在弹出的如图所示对话框中,在“检测范围”设置面板的“指定IP范围”栏中输入要扫描的目标电脑的IP地址。

  第4步:在“全局设置”→“扫描模块”设置界面中勾选“远程操作系统”项,通过右侧的说明,可以看出远程电脑的操作系统识别是通过“SNMP、NETBIOS协议主动识别远程操作系统类型及版本”插件来完成的,如图2-3所示。

  第5步:在单击“确定”按钮返回到“Xscan_gui.exe”主窗口后,单击“开始扫描”按钮后,耐心等待片刻就可以看到如图所示的扫描结果了。

  第6步:在左侧的扫描目标右侧可以看到“Windows 2003”的标识,这告诉我们这是一台正在使用Windows 2003的电脑,进而可以分析出这台电脑可能是台服务器,理由很简单:个人电脑一般只会安装Windows XP或Vista。

二、活用Ping命令 轻松获取网络连接与系统信息

Ping命令是测试网络连接、信息发送和接收状况的实用型工具,这是一个系统内置的探测工具。下面给出一些Ping命令的典型使用方法,以及如何判断系统相关信息。

  实例1:检测本机

  要检测本机的网卡驱动程序及TCP/IP协议是否正常,只需在“命令提示符”窗口中输入“Ping 127.0.0.1”命令即可。由于127.0.0.1这个保留的IP地址指向到本机,所以可以通过此命令来检查本机的网卡驱动。

  实例2:多参数合用检测

  假设,现在使用“Ping –a -t 202.102.48.141”命令对IP地址为202.102.48. 141的计算机进行探测,可以得到如图所示的反馈信息。

 通过反馈信息,可以得知上述命令中的参数“-a”检测出了该机的Net BIOS名为dns.sq.js.cn;参数“-t”在不断向该机发送数据包。

  通常,Ping命令会反馈如下两种结果:

  结果1:请求超时

  这表示没有收到网络设备返回的响应数据包,也就是说网络不通。出现这个结果原因很复杂,通常有如下几种可能:

  对方装有防火墙并禁止ICMP回显。

  对方已经关机。

  本机的IP设置不正确或网关设置错误。

  网线不通。

  结果2:来自 202.102.*.141 的回复: 字节=32 时间<1ms TTL=128

  这表示网络畅通,探测使用的数据包大小为32Bytes,响应时间小于1ms。TTL这个值需要细说一下,TTL全称“Time To Live”,中文意思就是存活时间,是指一个数据包在网络中的生存周期,网管可以通过它了解网络环境,辅助维护工作,通过TTL值可以粗略判断出对方计算机使用的操作系统类型,以及本机到达目标主机所经过的路由数。例举:

  当检查本机的网络连通情况时,通常会使用Ping命令给某个目标主机(如本机)发送ICMP数据包。在本机中生成ICMP数据包时,系统就会给这个ICMP数据包初始化一个TTL值,如Windows XP就会生成“128”,然后将这个ICMP数据包发送出去,遇到网络路由设备转发时,TTL值就会被减去“1”,最后到达目标主机,如果在转发过程中TTL值变成“0”,路由设备就会丢弃这个ICMP数据包。

  提示:TTL值在网络应用中很有用处,可以根据返回信息中的TTL值来推断发送的数据包到达目标主机所经过的路由数。路由发生在0SI网络参考模型中的第三层即网络层。

  例如,用户要根据Ping命令返回的TTL值,判断到达IP地址为“202.102.48.141”的目标主机所经过的路由数。在命令提示符下输入“Ping 202.102.48.141”命令后,接着会显示信息“Reply from 202.102.48.141: bytes=32 time=15ms TTL=126”,可以看出返回的TTL值为126,与Windows NT/2000/XP主机的TTL值128最接近,因此可以推断出该主机类型可能为Windows NT/2000/XP中的一种,又因为“128-126=2”,所以可以得知数据到达该主机经过了2个路由。

  提示:不同的操作系统,它的TTL值也是不相同的。默认情况下,Linux系统的TTL值为64或255,Windows NT/2000/XP系统的TTL值为128,Windows 98系统的值为32,UNIX主机的TTL值为255。

 三、搜索引擎 轻松探测网站漏洞

  通过搜索引擎网站,黑客可以通过搜索特殊的“关键词”来查找到一些具有漏洞的网站。比方说,在动态网站中一般会有CONN.ASP这个文件,它用于存储数据库文件的路径、名称等信息。显然,这个文件是非常重要的,所以,黑客在搜索引擎中总是喜欢使用它做为搜索关键词,如:

inurl:/admin+conn.asp

  其中,admin表示后台管理目录,它通常用于存储所有的管理文件。当然,也可以改成一些其它的目录名,但目录名要在网站中存在才行.

  在单击第一个搜索结果后,将会打开如图所示的页面,在这里可以看到这个网站的管理结构。

  其中,甚至可以看到存储网站内容(如管理员用户名和密码)的数据库文件(后缀名为mdb),在单击此文件后,可以立即把它下载到当前电脑中。

  在使用Access 2007等软件打开此数据库文件后,就可以获得网站各种重要的信息了,此时,网站的管理权限已经意味着被黑客得手了。

  提示:在www.google.com中黑客使用的关键词有很多,如upload.asp site:tw、inurl:winntsystem32inetsrv等,这些关键词都可以为黑客起到为虎作伥的作用。

四、超乎想象 Google Hacker探测实例

  当搜索引擎的强大“入侵”功能让黑客着迷时,各种各样可以利用搜索引擎来进行黑客任务的工具就层出不穷了。下面,就以实例的方法为读者们演示一下“Google Hacker”的使用过程。为此,需要执行如下操作:

  第1步:首先下载“Google Hacker”这款软件。

  第2步:接着,在“关键词”列表中选择一个关键词,并单击“Google it”按钮继续

  第3步:随即,将会打开IE浏览器访问www.goole.com,并会自动输入指定的关键词进行搜索

  第4步:由于列举的关键词都是常见的漏洞,所以搜索结果的数量通常都会比较惊人。

九、如何在计算机中搭建虚拟环境

              刚接触网站的站长经常问虚拟主机是什么?为什么做网站需要用到网站空间呢?可不可以在本地搭建环境?针对这些问题我就整理下,帮助新手站长更好的选择合适的虚拟空间,让网站更安全稳定的运行。

虚拟主机是什么?

            虚拟主机就是平时大家常说的空间,它是网络产品,是利用软件在服务器硬盘上划分出来的一部分虚拟的容量。主要是供一些小型的网站使用,虚拟主机有FTP权限,并建有根目录,用户只需要把网站数据上传到根目录内,并解析自己的域名到虚拟主机IP。即可访问网站,它支持的程序是默认分配好的,CPU以及IIS也是从服务器上共享的,一般针对小型网站使用。

为什么做网站需要虚拟空间?
从用户的访问来看,每一台虚拟主机和一台独立的主机完全一样。效果一样,但费用却大不一样了。由于多台虚拟主机共享一台真实主机的资源,每个虚拟主机用户承受的硬件费用、网络维护费用、通信线路的费用均大幅度降低,Internet真正成为人人用得起的网络!

许多企业建立网站都采用这种方法,这样不仅大大节省了购买机器和租用专线的费用,同时也不必为使用和维护服务器的技术问题担心,更不必聘用专门的管理人员,因为这些事都由我们来料理了。虚拟空间加上采用高带宽的线路,使网站的的访问速度和安全性得到很大的提升。每台主机的用户数量我们会控制在一定量的范围内,在充分利用主机的性能同时又能保障户利益。
 

搭建本地虚拟主机环境------------靶机

有一款很好的虚拟主机软件叫PHPstudy,它是建立一个含php+apache+mysql的服务器,支持PHP编程的网站和mysql数据库正常运行。

伴随着网络的快速发展,站长如雨后春笋版崛起。大多数都想搭建个人网站。再加上现在虚拟主机提供商多如牛毛而且虚拟空间的限制性较多,对IIS连接数和流量限制也不是很懂,不知道那家虚拟主机提供商好?不知道怎样才能买到性价比最高的虚拟主机?在选择提供商的时候应该注意以下几个方面来选择网站空间。

一、虚拟空间的管理功能
亿恩科技提供商独有强大的主机控制面板管理系统,可直接进行域名绑定、网站开启关闭、设置默认首页、修改FTP密码,在线压缩/解压等的操作,让您操作更简单更便捷。高品质的硬件配置,实时数据备份,避免数据丢失,让您不再担心安全、不再担心不会管理自己的网站。

二、网络环境安全、稳定、速度
拥有优质的机房硬件,中原地区最专业的亿恩数据中心,专业的技术团队,完善的服务体系,全力保障您的网络安全环境,提供速度快、稳定强、安全高的网络环境。境内、境外、多种语言、不同类型的空间应有尽有,所有空间即时开通、即时使用。

三、主机是否需要备案
国外虚拟空间和香港主机是不需要备案的,如何选择香港虚拟主机是不需要备案的,如果选择国内的虚拟主机要联系主机提供商咨询备案信息,亿恩科技为您提供快速备案服务,一站式解决域名、空间、网站、备案等服务需求。

四、免费试用和售后服务
向主机提供商征求免费试用虚拟主机系列产品,省心省力,满意后付款,免去您的后顾之忧。

十、认识黑客常用入侵方法

在Interent中,为了防止黑客入侵自己的计算机,就必须了解黑客入侵目标计算机的常用方法。黑客常用的入侵方法有数据驱动攻击、系统文件非法利用、伪造信息攻击 以及远端操纵等,下面就简单介绍这些入侵方法。

数据驱动攻击

数据驱动攻击是指黑客向目标计算机发送或复制的表面上看来无害的特殊程序被执行时所发起的攻击。该攻击可以让黑客在目标计算机上修改与网络安全有关的文件,从而使黑客在下一次更容易入侵该目标计算机。数据驱动攻击主要包括缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。

伪造信息攻击

伪造信息攻击是指黑客通过发送伪造的路由信息,构造源计算机和目标计算机之间的虚假路径,从而使流向目标计算机的数据包均经过黑客所操作的计算机,从而获取这些数据包中的银行账户密码等个人敏感信息。

伪造信息攻击

伪造信息攻击是指黑客通过发送伪造的路由信息,构造源计算机和目标计算机之间的虚假路径,从而使流向目标计算机的数据包均经过黑客所操作的计算机,从而获取这些数据包中的银行账户密码等个人敏感信息。

针对信息协议弱点攻击

在局域网中,IP地址的源路径选项允许IP数据包自己选择一条通往目标计算机的路径。当黑客试图连接位于防火墙后面的一台不可达到的计算机A时,他只需要在送出的请求报文中设置IP地址源路径选项,使得报文的某一个目的地址指向防火墙,但是最终地址却指向计算机A。当报文到达防火墙时被允许通过,因为它指向的是防火墙而不是计算机A。防火墙的IP层处理该报文的源路径被改变,并发送到内部网上,报文就这样到达了不可到达的计算机A,从而实现了针对信息协议弱点攻击。

远端操纵

远端操纵是指黑客在目标计算机中启动一个可执行程序,该程序将会显示一个伪造的登录界面,当用户在该界面中输入账户、密码等登录信息后,程序将用户输入的账户、密码传送到黑客的计算机中。同时程序关闭登录界面,提示“系统出现故障”信息,要求用户重新登录。这种攻击类似于在Internet中经常遇到的钓鱼网站。

利用系统管理员失误攻击

在局域网中,人是局域网安全最重要的因素之一,当系统管理员出现WWW服务器系统的配置差错、普通用户使用户权限扩大等失误时,这些失误便可为黑客提供可乘之机。黑客利用这些失误,再加上掌握的finger、netstat等命令,从而实现入侵攻击。

重新发送攻击

重新发送攻击是指黑客收集特定的IP数据包篡改其数据,然后再将这些IP数据包一一重新发送,从而欺骗接收数据的目标计算机,实现该攻击。

ICMP报文攻击

在局域网中,重定向消息可以改变路由器的路由列表,路由器可以根据这些消息建议计算机采取另一条更好的路径传播数据。而ICMP报文攻击是指黑客可以有效地利用重定向消息,把连接转向一个不可靠的计算机或路径,或者使所有报文通过一个不可靠的计算机来转发,从而实现攻击。

针对源路径选择的弱点攻击

针对源路径选择的弱点攻击是指黑客通过操作一台位于局域网外部的计算机,向局域网中传送一个具有内部计算机地址的源路径报文。由于路由器会相信这个报文,因此会发送回答报文至位于局域网外部的计算机,因为这是P的源路径选项要求。对付这种攻击的防御方法是适当地配置路由器,让路由器抛弃那些由局域网外部传送进来却声称是内部计算机传来的报文。

以太网广播法

以太网广播法攻击模式是指将计算机网卡接口设置为乱模式(promiscuous),从而实现截取局域网中的所有数据包,分析数据包中保存的账户和密码,从而窃取信息的目的。

跳跃式攻击

在Internet中,许多网站的服务器或巨型计算机使用UNIX操作系统。黑客会设法先登录其中一台装有UNIX的计算机,通过该操作系统的漏洞来取得系统特权,然后再以此为据点访问并入侵其余计算机,这被称为跳跃(Island-hopping)。

黑客在攻击最终目的计算机之前往往会这样跳几次。例如一位在美国的黑客在进入美国联邦调查局的网络之前,可能会先登录到亚洲的一台计算机,再从那里登录到加拿大的一台计算机,然后再跳到欧洲,最后从法国的一台计算机向美国联邦调查局网络发起攻击。这样一来,被攻击的计算机即使发现了黑客是从何处向自己发起了攻击的,管理人员也很难顺藤摸瓜找到黑客。更何况黑客一旦取得某台计算机的系统特权,可以在退出时删掉系统日志,把“藤”割断。

窃取TCP协议连接

在几乎所有由UNIX实现的协议族中,存在着一个广为人知的漏洞,这个漏洞使得窃取TCP连接成为可能。当TCP连接正在建立时,服务器用一个含有初始序列号的应答报文来确认用户请求。这个序列号无特殊要求,只要是唯一的就可以了。客户端收到回答后,再对其确认一次,连接便建立了。TCP协议规范要求每秒更换序列号25万次,但大多数的UNIX系统实际更换频率远小于此数量,而且下一次更换的数字往往是可以预知的,而黑客正是有这种可预知服务器初始序列号的能力,使得入侵攻击可以完成。唯一可以防止这种攻击的方法是使初始序列号的产生更具有随机性,最安全的解决方法是用加密算法产生初始序列号,由此产生的额外的CPU运算负载对现在的硬件速度来说是可以忽略的

夺取系统控制权

在UNIX系统中,太多的文件只能由超级用户创建,而很少可以由某一类用户所创建,这使得系统管理员必须在root权限下进行操作,其实这种做法并不是很安全的。由于黑客攻击的首要对象就是root,其中最常受到攻击的目标是超级用户的密码。严格来说,UNIX下的用户密码是没有加密的,它只是作为DES算法加密一个常用字符串的密钥。现在出现了许多用来解密的软件工具,它们利用CPU的高速度穷尽式搜索密码。攻击一旦成功,黑客就会成为UNIX系统中的管理员。因此,应将系统中的用户权限进行划分,如设定邮件系统管理员管理,那么邮件系统邮件管理员可以在不具有超级用户特权的情况下很好地管理邮件系统,这会使系统安全很多。

 

相关推荐
©️2020 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页