网络攻击过程小结

黑客实施网络攻击首先要确定攻击的目标，然后搜集与攻击目标相关的信息，寻找目标系统的安全漏洞，再发动攻击。

1）确定攻击对象

黑客进行攻击，首先要确定攻击的目标。比如，某个具有特殊意义的站点、某个网站、具有敌对观点的宣传站点、解雇了黑客的单位的主页等等。黑客也可能找到DNS（域名系统）表，通过DNS可以知道机器名、互联网地址、机器类型，甚至还可知道机器的属主和单位。攻击目标还可能来自偶然看到的一个调制解调器的号码或贴在机器旁边的使用者的名字。

2）收集目标信息并进行弱点挖掘

信息收集的目的是为了进入所要攻击的目标网络，最重要的一种手段便是“社会工程学”。当前世界上的头号黑客—凯文·米特尼克，曾经在他出版的《反欺骗的艺术》中曾提到，人为因素才是安全的软肋。很多企业、学校、公司在信息安全方面投入大量的资金，但最终导致数据泄露的原因，往往却是放生在人本身上。或许大家难以想象，对于黑客们来说，通过一个用户名、一串数字、一段简单的对话、抑或是一张照片，他们就可以通过这些简单的线索，通过社会工程手段，加以筛选、整理后，就能把你的个人情况信息、家庭状况、经济实力、婚姻现状研究的一清二楚。虽然这个可能是最不起眼，而且还是最麻烦的方法。但这是一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这便是社会工程学黑客技术。

在具体技术上，下列这些的公开协议或工具，都可以用于收集驻留在网络系统中的各个主机系统的相关信息。

• SNMP协议

用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓补结构及其内部细节。

• TraceRoute程序

能够用该程序获得到达目标主机所要经过的网络数和路由器数。

• Whois协议

该协议的服务信息能提供所有有关的DNS域和相关的管理参数。

• DNS服务器

该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名。

• Finger协议

用来获取一个指定主机上的所有用户的详细信息（如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等）。

• Ping实用程序

可以用来判断一个指定的主机是否处于open状态。

在收集到攻击目标的一批网络信息之后，黑客会探测网络上的每台主机，以寻求该系统的安全漏洞或安全弱点，黑客可能使用下列方式自动扫描驻留在网络上的主机：

• 自编程序

对于某些产品或者系统，已经发现了一些安全漏洞，该产品或系统的厂商或组织会提供一些“补丁”程序给予弥补。但是用户并不一定及时使用这些“补丁”程序，因此产生了0day漏洞（零日漏洞）。黑客发现这些“补丁”程序的接口后会自己编写程序，通过该接口进入目标系统。这时该目标系统对于黑客来讲就变得一览无余了。

• 利用公开的工具

像互联网的电子安全扫描程序ISS（Internet Security Scanner）、审计网络用的安全分析工具 SATAN（Security Analysis Tool for Auditing Network）等。这样的工具可以对整个网络或子网进行扫描，寻找安全漏洞，既可以帮助系统管理员发现其管理的网络系统内部隐藏的安全漏洞、确定系统中哪些主机需要用“补丁”程序去堵塞漏洞；也方便了黑客收集目标系统的信息，获取攻击目标系统的非法访问权。

从收集到的目标信息中提取可使用的漏洞信息，包括操作系统或者服务软件漏洞、主机信任关系漏洞、目标网络使用者漏洞、通信协议漏洞、网络业务系统漏洞。

3）实施攻击

收集或探测到一些“有用”信息之后，黑客可能会对目标系统实施攻击。黑客一旦获得了对攻击的目标系统的访问权后，又可能有下述多种操作：

• 安装后门：在被入侵的系统上建立另外的新的安全漏洞或后门，方便以后入侵。包括放宽文件许可权、重新开放不安全服务，如TFTP等、修改系统配置、安装木马等；特别可以在目标系统中安装探测器软件，用来窥探所在系统的活动，收集自己感兴趣的一切信息，如Telnet和FTP的帐号名和口令等等；
• 横向扩张：进一步发现受损系统在网络中的信任等级，这样就可以通过该系统信任级展开横向攻击，从而实现对整个系统的攻击。
• 消除痕迹：消除攻击痕迹，避免反向追踪。如删除或者篡改日志文件和审计信息、删除或停止审计服务、修改完整性检测标签等。