网络安全与攻击

网络"入侵"三部曲

预攻击——信息搜集
搜集技术参数：
找到网络地址范围
找到关键的机器地址
找到开放端口和入口点
找到系统的类型和版本
找到目标网络结构或主机详细信息

搜集网络信息：
DNS、Ping、Trace route、Whois(域名注册信息)等。
搜集公开信息：
办公室电话号码、管理员生日、姓、家庭电话等，并利用这些信息猜解尝试系统的弱口令。

端口扫描：
端口扫描工具会向目标主机的每个端口发送消息，分析接收到的回应类型可以明确目标主机的端口开放情况，提供哪些服务，并探寻目标的弱点。
端口扫描是网络入侵必做的一件事，攻击者可以通过它了解到从哪里可探寻到可攻击的弱点。

漏洞扫描：
0day漏洞：搜集目标系统已存在,但官方还没有相关补丁的漏洞。
已知漏洞：基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现未打补丁的可利用漏洞。

隐藏自身：
以已经取得控制权的主机为跳板攻击其他主机，防止攻击者自身暴露。
一般以肉鸡或代理服务器为基础来隐藏，有经验的黑客会采用多层代理的方式尽可能的隐藏线索。

攻击——口令猜解
暴力破解：先设定口令可能使用的字符组合和长度，对所有的可能组合逐个试验。
字典破解：通过猜测口令所有者的设置密码机制，把一些信息作为口令生成的基础，利用字典生成器制作适当大小的字典。
在线破解：需要通过网络试探性的提交口令，这种方式一般需要编写脚本以及挂载字典。
离线破解：一般是需要先获得存放口令的文件，通过解析文件的方式获取密码。
攻击——社会工学
通过诱惑、欺骗、收买等方式获得管理员以及内部人员的信任。进而在网络聊天或邮件中发送加壳木马软件或者键盘记录工具。
通过协助其解决技术问题，帮助其测试软件，交朋友等名义，获得直接进入网络机房的机会，开设隐藏账户或偷偷进行破解。
攻击——网络钓鱼
克隆网站
相似域名
诱使点击
攻击——漏洞攻击
DOS(拒绝服务攻击)：利用合理规则耗尽目标服务器的全部资源
后攻击——维持权限，持续监听
添加隐藏的管理员帐户。
Copy后门程序到目标机器并设置自动(计划)启动。
修补常见漏洞，避免更多黑客进入系统。
将此服务器作为代理服务器进一步入侵与此机有信任关系的网络。
安装一些监控木马(记录银行帐户，QQ密码等)，或者在服务器Web目录里加入隐藏木马，达到其他目的(发起DDos，流氓软件，投放广告等)。
在系统日志中删除异常的登陆及其他操作。
木马由两个程序组成，一个是客户端，一个服务器端（被攻击的机器上运行），通过在宿主机器上运行服务器端程序，在用户毫无察觉的情况下，可以通过客户端程序控制攻击者机器、删除其文件、监控其操作等。
嗅探器sniffer：
嗅探器最早是为网络管理人员配备的工具，网络管理员通过嗅探器抓包随时掌握网络的实际情况，并监听数据内容。
黑客利用嗅探器可在已入侵计算机的网络接口上嗅探其它计算机的数据报文，获得更多利益。