常见网络***手法

常见网络***手法  
          当系统接入Internet后,便面临着日益增长的安全性威胁。作为一个网络用户或管理员，熟悉***常用的***手法，对于维护自身网络和系统的安全是很有用的。  
          常见的基于Internet的***方法有九种:  
  1、基于口令的***  
  2、网络偷窥和报文劫持***  
  3、利用受托访问的***  
  4、IP欺骗***  
  5、伪社会角色***  
  6、顺序号预测***  
  7、会话劫持***  
  8、利用弱点的***  
  9、利用共享库的***   
  10、放置特洛伊***程序
  11、WWW的欺骗技术
  12、电子邮件***
  13、网络监听【嗅探***】
  14、利用***软件***
  15、安全漏洞*** 【漏洞***，病毒***】
  16、端口扫描***
  17、社会工程学***
  18、拒绝服务***

 

  下面就以上九种方法分别作一下简单介绍  
  1、口令***是***最喜欢采用的***系统的方法。首先，他们企图用一个注册证书和口令来闯入系统，逐个试口令直到成功为止，然而这样做很繁琐，他们便用一些程序逐个尝试每个字符，直到找到口令。因此自动口令***很快以“基于字典”的***出现。现如今Linux的使用正在迅速普及，而它不像其它操作系统那样在一定次数的注册失败后封锁该用户，因此它更容易受到基于字典的***。换句话说，***可以无数次的以错误口令尝试进入Linux系统，而系统既不断开连接，也不提醒管理员。  
        一些***能成功使用诸如Telnet、FTP等服务，从而得到口令文件。操作系统一般会加密口令文件中的口令。而Linux加密所有的口令文件都用同一种算法，***能轻松绕过用该算法读取口令文件。

 

所谓口令***是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施***活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如
利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；
利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给***者提供了获得信息的一条简易途径；
从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；
查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。
这又有三种方法：
(1)是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大。监听者往往采用中途截击的方法也是获取用户帐户和密码的一条有效途径。当下，很多协议根本就没有采用任何加密或身份认证技术，如在Telnet、FTP、HTTP、SMTP等传输协议中，用户帐户和密码信息都是以明文格式传输的，此时若***者利用数据包截取工具便可很容易收集到你的帐户和密码。还有一种中途截击***方法更为厉害，它可以在你同服务器端完成“三次握手”建立连接之后，在通信过程中扮演“第三者”的角色，假冒服务器身份欺骗你，再假冒你向服务器发出恶意请求，其造成的后果不堪设想。另外，***者有时还会利用软件和硬件工具时刻监视系统主机的工作，等待记录用户登录信息，从而取得用户密码；或者编制有缓冲区溢出错误的SUID程序来获得超级用户权限。
(2)是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但***者要有足够的耐心和时间。如：采用字典穷举法（或称暴力法）来破解用户的密码。***者可以通过一些工具程序，自动地从电脑字典中取出一个单词，作为用户的口令，再输入给远端的主机，申请进入系统；若口令错误，就按序取出下一个单词，进行下一个尝试，并一直循环下去，直到找到正确的口令或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成，因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。
(3)是利用系统管理员的失误。在现代的Unix操作系统中，用户的基本信息存放在passwd文件中，而所有的口令则经过DES加密方法加密后专门存放在一个叫shadow的文件中。***们获取口令文件后，就会使用专门的破解DES加密法的程序来解口令。同时，由于为数不少的操作系统都存在许多安全漏洞、Bug或一些其他设计缺陷，这些缺陷一旦被找出，***就可以长驱直入。例如，让Windows95／98系统后门洞开的BO就是利用了Windows的基本设计缺陷。

  
  2、这或许是最难的***方法，但它对互联网商务同样具有极大的威胁。在互联网上传输的报文在到达目的地以前，会通过无数的计算机，使用报文窥探，***能够阻截两地间传输的报文。获得报文后，***便能从中获取该报文的主机名、用户名以及口令。***一般把报文窥探作为IP欺骗***的前奏。安全专家经常把报文窥探称为网络偷窥。  
  3、该***方式常在有受托访问***机制操作系统的网络中使用。特别对Linux系统，这种受托机制是极大的安全隐患。在这种系统中，用户能创建受托主机文件，该文件包含主机名或用户于访问系统的地址。如果用户想有一个受托连接，只能用rlogin或其它类似的命令，因此若***能猜到受托主机的名字，他就能获得系统的扩展访问权限。更糟糕的是，大多数***知道Linux系统管理员在根目录创建rhosts文件，而使得用户能以超级用户权限在主机间随意移动访问，因为多数管理员开始意识到rhosts花费颇大，它会轻易地授权聪明的***未认证的根目录访问权。  
  4、该***方式主要应用于用IP协议传送的报文中，在网络中，一台计算机常常向其他计算机传送或接收计算机认证。在***使用IP欺骗法来***网络时，他们提供错误的认证，也就是说***通过复制主机的TCP/IP地址，而宣称自己是网络中的或受托网中的主机。IP欺骗法让***获得的是返回（而不是发出的）报文。一度是费时费力的苦事，现在变得简单多了，利用自动工具***能在20秒内执行一次完全的IP欺骗***。  

***者在突破一台主机后，往往以此主机作为根据地，***其他主机(以隐蔽其***路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，***其他主机。
这类***很狡猾，但由于某些技术很难掌握，如TCP／IP欺骗***。***者通过外部计算机伪装成另一台合法机器来实现。它能磙坏两台机器间通信链路上的数据，其伪装的目的在于哄骗网络中的其它机器误将其***者作为合法机器加以接受，诱使其它机器向他发送据或允许它修改数据。TCP／IP欺骗可以发生TCP／IP系统的所有层次上，包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外由于用户本身不直接与底层相互相交流，因而对底层的***更具有欺骗性。

  5、随着Internet和网络越来越广泛的使用，这种***方式也变得更常见更具危险性。***给用户发送一封Email告诉他自己是系统管理员，这就是伪社会角色***(social   engineering   attacks)的一个典型例子。通常，电子邮件会要求用户用Email发回它的口令或其它重要信息。还有就是利用社会工程学的知识骗取有关重要的信息，而后加以利用。因此抵御这种***的方法是学习计算机(含网络)知识以及社会工程学。  
  6、它是***用IP欺骗进入Linux系统时使用的常见技术。任何TCP/IP连接在开始时都需要连接的计算机交换"握手"信息或含有顺序号的起始报文，计算机把顺序号当作每次传输的一部分，它依据内部时钟来创建顺序号。在UNIX的诸多版本中，顺序号运行在用人们的算法创建的模板中。  
  7、它比IP欺骗方法更普遍，原因时它对进出网络的数据都能实施***，而且它不需要预测"握手"顺序号，而使***变得易行。在这种***方式中，***者寻找一条现有的的两台计算机间的连接。通常是服务器和客户间的,然后穿过未加保护的路由器或不合适的防火墙，他就能检验到交换信息的计算机所用的相关顺序号。  
        ***者得到合法用户的地址信息后，便模仿用户地址来劫持用户通话。然后，主机会断开于合法用户的连接，***者就获得了于合法用户同样的访问权。  
        防范会话劫持是非常困难的，就连检测它也不是容易的事情。为了防止会话劫持，必须加强保护网络中可能被***实施劫持***的区域。例如，应删除不必要的缺省帐号，补好网络的安全漏洞以免路由器或防火墙遭受未授权的侵袭。另外，加密也是一种防范措施。检测会话劫持如果在没有用户实际交流的情况下，几乎不可能成功。因为劫持者是以被劫持用户的身份出现在网络中的。  
  8、它包括受托访问***和其他很多内容。各种主要的操作系统都有其缺陷弱点，只是访问的难易程度有所不同。另一方面，在***活动期间遭遇到网络弱点的可能性是十分渺小的。  
  9、它一般出现在UNIX和Linux系统中，所谓共享库是操作系统为了满足每个程序的要求将某一文件装入RAM中的一套程序函数。***为了达到特定目的，经常会使用新的程序代替共享库中的程序。问题的解决访问较简单：为系统设置保护措施，定期检查
以确保共享库中的元素的可靠性。  
10、特洛伊***程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊***程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的***一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知***者，来报告您的IP地址以及预先设定的端口。***者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。
11、在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被***篡改过，网页上的信息是虚假的！例如***将用户要浏览的网页的URL改写为指向***自己的服务器，当用户浏览目标网页的时候，实际上是向***服务器发出请求，那么***就可以达到欺骗的目的了。
一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信关信息掩盖技术。利用URL地址，使这些地址都向***者的Web服务器，即***者可以将自已的Web地址加在所有URL地址的前面。这样，当用户与站点进行安全链接时，就会毫不防备地进入***者的服器，于是用记的所有信息便处于***者的监视之中。但由于浏览器材一般均设有地址栏和状态栏，当浏览器与某个站点边接时，可以在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息，用户由此可以发现问题，所以***者往往在URLf址重写的同时，利用相关信息排盖技术，即一般用JavaScript程序来重写地址样和状枋样，以达到其排盖欺骗的目的。
12、电子邮件是互联网上运用得十分广泛的一种通讯方式。***者可以使用一些邮件×××软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其它的***手段来说，这种***方法具有简单、见效快等优点。
电子邮件***主要表现为两种方式：
(1)是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件×××，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；
(2)是电子邮件欺骗，***者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他***程序。
13、 网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而***者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具(如NetXRay for Windows95／98／NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。
14、利用***软件***是互联网上比较多的一种***手法。Back Orifice2000、冰河等都是比较著名的特洛伊***，它们可以非法地取得用户电脑的超级用户级权利，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。这些***软件分为服务器端和用户端，当***进行***时，会使用用户端程序登陆上已安装好服务器端程序的电脑，这些服务器端程序都比较小，一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时，***软件的服务器端就安装完成了，而且大部分***软件的重生能力比较强，给用户进行清除造成一定的麻烦。特别是最近出现了一种TXT文件欺骗手法，表面看上去是一个TXT文本文件，但实际上却是一个附带***程序的可执行程序，另外有些程序也会伪装成图片和其他格式的文件。
15、许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出***。由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样***者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若***者特别配置一串准备用作***的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行***。如***者利用POP3一定要在根目录下运行的这一漏洞发动***，破坏的根目录，从而获得超级用户的权限。又如，ICMP协议也经常被用于发动拒绝服务***。它的具体手法就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务***的进攻。它们的繁殖能力极强，一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件，而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言，也有可能遭到大量数据包的***使其无法进行正常的网络操作。
16、 所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有：Connect()扫描。Fragmentation扫描。
17、社会工程学是指隐藏在身边的小偷总是让人防不胜防。要知道大部分的人的QQ密码都和什么姓名、年龄、生日、电话等等有关，毕竟这些和自己相关容易记忆嘛，密码保护的问题也是什么：“我的爱人是？”“我的老婆/老公/男朋友叫什么？”“我是那里人？”等等，可你想过没有，要是你身边的人通过社会工程学要得到这些资料是很容易的的，那你的帐户还能很安全吗？
18、互联网上许多大网站都遭受过此类***。实施拒绝服务***（DDoS）的难度比较小，但它的破坏性却很大。它的具体手法就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务***的进攻。它们的繁殖能力极强，一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件，而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。

        在采用上述的种种手法对目标系统进行破坏时，***往往采取一定的策略。  

转载于:https://blog.51cto.com/llier/134108