《黑客攻防入门秘籍》 学习笔记 （二）

一、黑客专业术语：

1 肉鸡。被黑客攻破病植入了病毒的计算机。

2 挂马。所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库“备份/恢复”或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒。

3后门。黑客成功控制了目标计算机后，向其植入特定程序，改程序就称为后门程序。它能帮助黑客达到随时监控的目的。

 二、需要了解的网络应用技术：网络协议相关。

TCP/IP

ARP：地址解析协议。鞥能够将已知IP地址解析位对应物理地址（mac地址）。

SMTP：简单邮件传输协议。用于由源地址到目的地址传送邮件的规则。

ICMP：控制报文协议。用于在IP主机，路由器之间传递控制信息。包括网络联通与否，主机是否存在，路由是否可用等信息。报告问题而非解决问题。解决问题由发送方完成。

洪水攻击：MAC泛洪 和应用程序泛洪。

mac泛洪：

1，2层交换机是基于MAC地址去转发数据帧的。
2，转发过程中依靠对CAM表的查询来确定正确的转发接口。
3，一旦在查询过程中无法找到相关目的MAC对应的条目，此数据帧将作为广播帧来处理。
4，CAM表的容量有限，只能储存不多的条目，当CAM表记录的MAC地址达到上限后，新的条目将不会添加到CAM表中。

基于以上原理，我们会发现一个非常有趣的现象。某台PC不断发送去往未知目的地的数据帧，且每个包的源MAC地址都不同，当这样 的数据包发送的速度足够快之后，快到在刷新时间内将交换机的CAM表迅速填满。CAM表被这些伪造的MAC地址占据，真实的MA C地址条目却无法进入CAM表。那么任何一个经过交换机的正常单播数据帧都会以广播帧的形式来处理。

应用程序泛洪：

应用程序泛洪发生在OSI第七层，目的是消耗应用程序或系统资源，比较常见的应用程序泛洪是什么呢？没错，就是垃圾邮件，但一般无法产生严重的结果。其它类型的应用程序泛洪可能是在服务器上持续运行高CPU消耗的程序或者用持续不断的认证请求对服务器进行泛洪攻击，意思就是当TCP连接完成后，在服务器提示输入密码的时候停止响应。（百度百科）

从定义上说，攻击者对 网络资源发送过量数据时就发生了 洪水攻击，这个 网络资源可以是 router，switch，host，application等。

常见的洪水攻击包含MAC泛洪

TCP SYN泛洪和 应用程序 泛洪。接下来简单的分别解释一下以上这些：MAC泛洪发生在OSI第二层，攻击者进入LAN内，将假冒源MAC地址和目的MAC地址将 数据帧发送到以太网上导致 交换机的内容可 寻址 存储器（CAM）满掉，然后交换机失去转发功能，导致攻击者可以像在 共享式以太网上对某些帧进行 嗅探，这种攻击可以通过端口安全技术方式，比如端口和MAC地址绑定。

网络泛洪

网络泛洪包括Smurf和DDos：　smurf发生在OSI第三层，就是假冒ICMP广播ping，如果 路由器没有关闭定向广播，那攻击者就可以在某个网络内对其它网络发送定向广播ping，哪个网络中的 主机越是多，造成的结果越是严重，因为每个主机默认都会响应这个ping，导致链路流量过大而 拒绝服务，所以属于增幅泛洪攻击，当然也可以对本网络发送广播ping。（ Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量 网络传输 充斥目标系统，引起目标系统拒绝为正常系统进行服务。）

（ 分布式拒绝 服务 (DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序 通讯 ，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/ 服务 器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。）

DDos发生在OSI第三、四层，攻击侵入许多因特网上的系统，将DDos控制 软件安装进去，然后这些系统再去感染其它系统，通过这些代理，攻击者将攻击指令发送给DDos控制软件，然后这个系统就去控制下面的代理系统去对某个IP地址发送大量假冒的 网络流量，然后受攻击者的网络将被这些假的流量所占据就无法为他们的正常用户提供服务了。

TCP SYN 泛洪发生在OSI第四层，这种方式利用TCP协议的特性，就是 三次握手。攻击者发送TCP SYN，SYN是TCP 三次握手中的第一个数据包，而当服务器返回ACK后，该攻击者就不对其进行再确认，那这个TCP连接就处于 挂起状态，也就是所谓的半连接状态，服务器收不到再确认的话，还会重复发送ACK给攻击者。这样更加会浪费服务器的 资源。攻击者就对服务器发送非常大量的这种TCP连接，由于每一个都没法完成 三次握手，所以在服务器上，这些TCP连接会因为 挂起状态而消耗CPU和内存，最后服务器可能 死机，就无法为正常用户提供服务了。

（ SYN（synchronous）是TCP/IP建立连接时使用的握手信号。在客户机和 服务器 之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN+ACK应答表示接收到了这个消息，最后客户机再以 ACK 消息响应。这样在客户机和 服务器 之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。）

（ SYN攻击属于DOS攻击的一种，它利用 TCP协议 缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、 防火墙 等网络系统。）

最后 应用程序泛洪发生在OSI第七层，目的是消耗应用程序或 系统资源，比较常见的应用程序泛洪是什么呢？没错，就是 垃圾邮件，但一般无法产生严重的结果。其它类型的 应用程序 泛洪可能是在服务器上持续运行高CPU消耗的程序或者用持续不断的认证请求对服务器进行泛洪攻击，意思就是当TCP连接完成后，在服务器提示输入密码的时候停止响应。

对于大部分的攻击都能通过IDS来防御或日志分析来判断。

（百度百科）

黑客常用DOS命令：

1 ping

ping 127.0.0.1 测试是否安装TCP/IP协议

ping 某个ip地址 查看其是否联网。

ping 参数 ：

-a 将输入IP地址解析为NetBios名

（

1.计算机名：
右击“我的电脑”，选择“属性”，在“系统属性”对话框的“计算机名”选项卡里，可以设置计算机名。
计算机名是对域（或工作组）中的计算机的标识，如果你的计算机名设置为“至清水”，则在网上邻居里，其他和你一个域（或工作组）的用户，能看到你的计算机，并且名称是“至清水”。
2.主机名：
主机名指得是网络上设备的名称，主机名即计算机名，是用来标识计算机在“网上邻居”里是身份的，这样其他用户在网上邻居里就可以找到想要查看的计算机，然后查看他共享的资料了。
3.用户账户名：
单击“开始”→“控制面板”→“用户账户”，在打开的“用户账户”对话框中，可以挑选一个账户类型，并设置相应的名称、密码、显示图片、密码提示信息（防止忘记密码时使用）等。
用户账户名是计算机用户在登录系统时，设置的用户名（也可以设置密码）。
用户账户一般分为计算机管理员账户（administrator）和来宾账户（Guest）。
4.NetBIOS名：
NETBIOS是一个协议，是由IBM公司开发的，主要用于数十台计算机的小型局域网。NetBIOS协议的主要作用是为了给局域网提供网络以及其他特殊功能，系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，实现信息通讯，所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。
NetBIOS 名称包含16 个字节。每个名称的前15个字节是用户指定的，表示标识与网络上单个用户或计算机相关联的某个资源的唯一名称或者标识与网络上的一组用户或计算机相关联的某个资源的组名。
每个 NetBIOS名称中的第16 个字符被 Microsoft NetBIOS 客户用作名称后辍，用来标识该名称，并表明用该名称在网络上注册的资源的有关信息。每个   NetBIOS名称都配置成一个唯一的（专有的）名称或组（非专有的）名。

）

-n count  发送n次。默认n=4

-t 一直发送知道按下ctrl+c

三 用 nbtstat命令获取主机的netbios信息：

nbtstat：显示基于 TCP/IP 的 NetBIOS (NetBT) 协议统计资料、本地计算机和远程计算机的 NetBIOS 名称表和 NetBIOS 名称缓存。Nbtstat 可以刷新 NetBIOS 名称 缓存 和使用 Windows Internet  名称服务  (WINS) 注册的名称。使用不带参数的 nbtstat 显示帮助

nbtstat -a +IP地址

nbtstat 参数：

-a remotename

显示远程计算机的 NetBIOS 名称表，其中，RemoteName 是远程计算机的 NetBIOS 计算机名称。NetBIOS 名称表是与运行在该计算机上的 应用程序相对应的 NetBIOS 名称列表。

-A IPAddress

显示远程计算机的 NetBIOS 名称表，其名称由远程计算机的 IP 地址指定（以小数点分隔）。

-c

显示 NetBIOS 名称缓存内容、NetBIOS 名称表及其解析的各个地址。

-n

显示本地计算机的 NetBIOS 名称表。Registered 的状态表明该名称是通过广播还是 WINS  服务器注册的。

-r

显示 NetBIOS 名称解析统计资料。在配置为使用 WINS 且运行 Windows XP 或 Windows Server 2003  操作系统的计算机上，该参数将返回已通过广播和 WINS 解析和注册的名称号码。

-R

清除 NetBIOS 名称缓存的内容并从 Lmhosts 文件中重新加载带有 #PRE 标记的项目。

-RR

释放并刷新通过 WINS  服务器注册的本地计算机的 NetBIOS 名称。

-s

显示 NetBIOS  客户端和 服务器会话，并试图将目标 IP 地址转化为名称。

-S

显示 NetBIOS  客户端和 服务器会话，只通过 IP 地址列出远程计算机。

（百度百科）

四 用netstat命令查看网络状态 netstat -a

netstat 参数：

-a 显示所有socket，包括正在监听的。
　　-c 每隔1秒就重新显示一遍，直到用户中断它。
　　-i 显示所有网络接口的信息，格式“netstat -i”。
　　-n 以网络IP地址代替名称，显示出网络连接情形。
　　-r显示核心路由表，格式同“route -e”。
　　-t 显示TCP协议的连接情况
　　-u 显示UDP协议的连接情况。
　　-v 显示正在进行的工作。
　　-p 显示指定协议信息。
　　-b 显示在创建每个连接或侦听端口时涉及的可执行程序。
　　-e 显示以太网统计。此选项可以与 -s 选项结合使用。
　　-f 显示外部地址的完全限定域名(FQDN)。
　　-o 显示拥有的与每个连接关联的进程 ID。
　　-s 显示每个协议的统计。
　　-x 显示 NetworkDirect 连接、侦听器和共享端点。
　　-y 显示所有连接的 TCP 连接模板。无法与其他选项结合使用。（百度百科）

五 用net命令管理网络资源和用户信息：

net命令包含了管理网络环境，服务，用户，登录等windows操作系统中大部分重要的管理功能。使用该命令可以轻松管理本地或者远程计算机的网络环境。以及各种服务程序的运行和配置，或者进行用户管理和登录管理等。

net use 查看本地计算机网络连接

net user 查看本地计算机上的用户账户信息

tracert 是路由器跟踪实用程序。用于确定IP数据报访问目标所采取的路径。tracert命令用IP生存时间段和ICMP错误消息来确定从一个主机到网络上其它主机的路由。

五 用ftp命令进入ftp子环境下载文件

ftp  -v -d -I -n -g 主机名

-v 显示远程服务器所有相应信息。

-d 使用调试方式。显示在客户端和服务器之间传递的所有ftp命令。

-I 传送多个文件时关闭交换提示

-n 限制ftp的自动登录，即不使用。

-g 取消全局文件名。

六：ipconfig 命令查看当前计算机的TCP/IP设置

ipconfig用户显示当前计算机的TCP/IP的设置值。这些消息一般用来检测人工培植的TCP/IP是否正确。

ipconfig /all

七 黑客入侵方式：

数据驱动攻击 通过向某个程序发送数据，以产生非预期结果的攻击。通常为攻击者给出访目标系统的权限，数据驱动攻击分为缓冲区溢出攻击，格式化字符串攻击，输入验证攻击，同步漏洞攻击，信任漏洞攻击等。

伪造信息攻击   通过发送伪造的路由器信息构造系统源主机和目标主机的虚假路径，从而使流向目标主机的数据包均经过攻击者的系统主机，这样就恩能够给攻击者提供敏感信息和有用的密码。

针对信息弱点攻击 

远端操控

对ICMP报文攻击

针对源路径选项的弱点攻击

以太网传播攻击。

http://baike.baidu.com/link?url=AB7cgRDLCfPnQFgx_k12qJv_uZfjNFUV0DZGKMvS01pHJQXHu6CmPEI-wLCsO5MB 黑客攻击百度百科