8.2 黑客攻击步骤介绍

8.2 黑客攻击步骤介绍

8.2.1 什么是攻击行为

什么是攻击行为？基本上任何一种威胁网络主机安全的行为都是攻击行为。一种更正式的定义是：一种攻击行为是“一个安全漏洞或一个安全漏洞的一种情况”。所以，只要网络或主机存在安全威胁，攻击行为就会发生。因此，为避免攻击行为，必须减少或消除薄弱环节。但是在提高安全的同时，我们还必须意识到这样做会以牺牲性能为代价。

 

8.2.2 攻击的步骤

一般一个攻击行为主要分为三个过程：攻击前、攻击过程中、攻击完成后。

究竟是什么因素造成了主机网络的不安全？主要是因为系统、协议及数据库等安全设计上存在缺陷。无论是系统协议自身设计的缺陷，还是由于人为造成的，这些都能够被攻击者所利用并发起攻击，所以我们一定要熟知攻击者们的攻击步骤，才能响应的预防。

攻击前

攻击前的主要工作就是收集信息。

攻击者在入侵网络前，必须通过各种方法了解网络或主机（如IP地址范围、开放的服务和端口、应用软件版本等）的情况，找出其中的弱电，才能进行攻击。通常用到的手段主要有扫描、寻找活动主机、开放端口、画出网络图，除技术手段外还会用到欺骗、假冒，甚至利用一顿晚餐、一个电话、一份丢弃的文件，都可能使用户将自己的弱电暴露出来。

一些常用的程序：

Ping、Quickping、TraceRoute、Whois、SNMP

 

攻击过程中

1.端口探测

SuperScan

X-Scan

Nmap

协议栈指纹技术：用于确定目标主机运行的操作系统类型。它检测主机TCP/IP栈，探测以收集特征，进行多种栈“测试”，从而区分不同的操作系统。主要用到FIN端口探测、ACK值取样、Bogus标志探测、TCP选项处理、初始序列号取样、TCP窗口大小、分片处理、SYN洪泛、ICMP错误消息抑制、ICMP错误消息反馈、服务类型等。

2.应用程序旗标探测

旗标探测（banner grabbing）直接对主机进行Telnet或者Ftp链接，默认情况下，将得到远程主机返回的Banner信息。

3.漏洞探测

在收集到初始信息后，攻击者们会探测目标网络上的每台主机，来寻求系统内部安全漏洞。

X-scan

SSS

4.自编程序

较高水平的攻击者会利用用户未打补丁程序这段时间，自编程序进入到系统中进行破坏。

5.体系结构探测

攻击者们将一些图书的数据包传送给目标主机，使其做出相对的响应。由于每种操作系统的响应时间和方式都是不一样的，他们利用这种特征把得到的结果与准备好的数据库中的资料相对比，便可以轻而易举地判断出目标主机操作系统所使用的版本及其他信息。

6.嗅探

 

攻击完成后

攻击者在完成攻击后一定会采取某些措施来隐藏自己的踪迹，否则一旦被人发现就会受到相应的制裁。

日志文件

文件信息（文件的访问、修改时间等）

网络通信监控和保护设备