1、信息安全與技術信息安全與技術清華大學出版社第第7章章 黑客攻防剖析黑客攻防剖析 在計算機網絡日益成為生活中不可或缺的工具時，計算機網絡的安全性已經引起了公眾的高度重視。計算機網絡的安全威脅來自諸多方面，黑客攻擊是最重要的威脅來源之一。有效的防范黑客的攻擊首先應該做到知己知彼，方可百戰不殆。7.1 概述概述l7.1.1 黑客與駭客l7.1.2 黑客分類及目的7.1.1 黑客與駭客黑客與駭客l黑客起源于20世紀50年代美國著名高校的實驗室中，他們智力非凡、技術高超、精力充沛，熱衷于解決一個個棘手的計算機網絡難題。60、70年代，“黑客”一詞甚至于極富褒義，從事黑客活動意味著對計算機網絡的最大潛力進

2、行智力上的自由探索，所謂的“黑客”文化也隨之產生了。然后并非所有的人都能恪守“黑客”文化的信條專注于技術的探索，惡意的計算機網絡破壞者、信息系統的竊密者隨后層出不窮，人們把這部分主觀上有惡意企圖的人稱為“駭客”(Cracker破壞者)，試圖區別于“黑客”，同時也誕生了諸多的黑客分類方法。 7.1.1 黑客與駭客黑客與駭客l黑客起源于20世紀50年代美國著名高校的實驗室中，他們智力非凡、技術高超、精力充沛，熱衷于解決一個個棘手的計算機網絡難題。60、70年代，“黑客”一詞甚至于極富褒義，從事黑客活動意味著對計算機網絡的最大潛力進行智力上的自由探索，所謂的“黑客”文化也隨之產生了。然后并非所有的人

3、都能恪守“黑客”文化的信條專注于技術的探索，惡意的計算機網絡破壞者、信息系統的竊密者隨后層出不窮，人們把這部分主觀上有惡意企圖的人稱為“駭客”(Cracker破壞者)，試圖區別于“黑客”，同時也誕生了諸多的黑客分類方法。 7.1.2 黑客分類及目的黑客分類及目的l任何職業都有相關的職業道德，一名黑客同樣有職業道德，一些守則是必須遵守的，不讓會給自己招來麻煩。歸納起來就是“黑客十二條守則”。l不要惡意破壞任何的系統，這樣做只會給你帶來麻煩。l不要破壞別人的軟件和資料。l不要修改任何系統文件，如果是因為進入系統的需要而修改了系統文件，請在目的達到后將他改回原狀。l不要輕易的將你要黑的或者黑過的站點

4、告訴你不信任的朋友。l在發表黑客文章時不要用你的真實名字。l正在入侵的時候，不要隨意離開你的電腦。l不要入侵或破壞政府機關的主機。l將你的筆記放在安全的地方。l已侵入的電腦中的賬號不得清除或修改。l可以為隱藏自己的侵入而作一些修改，但要盡量保持原系統的安全性，不能因為得到系統的控制權而將門戶大開。l不要做一些無聊、單調并且愚蠢的重復性工作。l做真正的黑客，讀遍所有有關系統安全或系統漏洞的書。7.1.2 黑客分類及目的黑客分類及目的l任何職業都有相關的職業道德，一名黑客同樣有職業道德，一些守則是必須遵守的，不讓會給自己招來麻煩。歸納起來就是“黑客十二條守則”。l不要惡意破壞任何的系統，這樣做只會

5、給你帶來麻煩。l不要破壞別人的軟件和資料。l不要修改任何系統文件，如果是因為進入系統的需要而修改了系統文件，請在目的達到后將他改回原狀。l不要輕易的將你要黑的或者黑過的站點告訴你不信任的朋友。l在發表黑客文章時不要用你的真實名字。l正在入侵的時候，不要隨意離開你的電腦。l不要入侵或破壞政府機關的主機。l將你的筆記放在安全的地方。l已侵入的電腦中的賬號不得清除或修改。l可以為隱藏自己的侵入而作一些修改，但要盡量保持原系統的安全性，不能因為得到系統的控制權而將門戶大開。l不要做一些無聊、單調并且愚蠢的重復性工作。l做真正的黑客，讀遍所有有關系統安全或系統漏洞的書。7.2 黑客攻擊分類黑客攻擊分類黑

6、客攻擊在最高層次，攻擊可被分為兩類，主動攻擊和被動攻擊。l主動攻擊：包含攻擊者訪問他所需信息的故意行為。攻擊者是在主動地做一些不利于你或你的公司系統的事情。主動攻擊包括拒絕服務攻擊、信息篡改、資源使用、欺騙等攻擊方法。 l被動攻擊：主要是收集信息而不是進行訪問，數據的合法用戶對這種活動一點也不會覺察到。被動攻擊包括嗅探、信息收集等攻擊方法。 7.2 黑客攻擊分類黑客攻擊分類按照TCP/IP協議層次進行分類，可以分成針對數據鏈路層的攻擊、針對網絡層的攻擊、針對傳輸層的攻擊、針對應用層的攻擊。l針對數據鏈路層的攻擊：TCP/IP協議在該層次上有兩個重要的協議ARP（地址解析協議）和RARP（反地址

7、解析協議）。l針對網絡層的攻擊，該層次有三個重要協議：ICMP（互聯網控制報文協議）、IP(網際協議)、IGMP(因特網組管理協議)。l針對傳輸層的攻擊：TCP/IP協議傳輸層有兩個重要的協議TCP協議和UDP協議，該層次的著名攻擊手法更多，常見的有Teardrop攻擊（Teardrop Attack）、Land攻擊（Land Attack）、SYN洪水攻擊（SYN Flood Attack）、TCP序列號欺騙和攻擊等等，會話劫持和中間人攻擊也應屬于這一層次。l針對應用層的攻擊：該層次上面有許多不同的應用協議，比如說：DNS、FTP、SMTP等，針對協議本身的攻擊主要是DNS欺騙和竊取 7.3

8、 黑客攻擊步驟黑客攻擊步驟通常黑客的攻擊思路與策略分為三個階段，預攻擊階段、攻擊階段、后攻擊階段。預攻擊階段主要是信息的搜集，包括一些常規的信息獲取方式：端口掃描、漏洞掃描、搜索引擎、社會工程學等。在攻擊階段采取緩沖區溢出、口令猜測、應用攻擊等技術手段。后攻擊階段主要釋放木馬、密碼破解、隱身、清除痕跡。 7.3 黑客攻擊步驟黑客攻擊步驟預攻擊階段略信息收集通常黑客的攻擊思路與策略攻擊階段略后攻擊階段略端口掃描漏洞掃描搜索引擎社會工程學緩沖區溢出口令猜測應用攻擊釋放木馬密碼破解隱身清除痕跡本地溢出遠程溢出SQL注入工具實驗7.3 黑客攻擊步驟黑客攻擊步驟盡管黑客攻擊系統的技能有高低之分，入侵系統

9、手法多種多樣，但他們對目標系統實施攻擊的流程卻大致相同。其攻擊過程可歸納為以下9個步驟：踩點、掃描、查點、獲取訪問權、權限提升、竊取、掩蓋蹤跡、創建后門、拒絕服務攻擊。 7.4 黑客工具軟件黑客工具軟件l7.4.1 黑客工具軟件分類l7.4.2 黑客工具軟件介紹7.4.1 黑客工具軟件分類黑客工具軟件分類l黑客攻擊，除了掌握基本的操作系統知識以外，各種工具，如各類掃描器，一些比較優秀的木馬軟件、監聽類軟件等等。常用黑客軟件按用途可以分成下面幾類。 7.4.1 黑客工具軟件分類黑客工具軟件分類黑客攻擊，除了掌握基本的操作系統知識以外，各種工具，如各類掃描器，一些比較優秀的木馬軟件、監聽類軟件等等

10、。常用黑客軟件按用途可以分成下面幾類。 1防范工具類2信息搜集類3木馬與蠕蟲類4洪水類5密碼破解類6欺騙類7偽裝類7.4.1 黑客工具軟件分類黑客工具軟件分類l常用黑客軟件按性質分類可以分成下面幾類。1掃描類軟件2遠程監控類軟件3病毒和蠕蟲4系統攻擊和密碼破解5監聽類軟件7.4.2 黑客工具軟件介紹黑客工具軟件介紹1國產經典軟件簡介（1）溯雪密碼探測器（2）亂刀密碼破解（3）天網防火墻軟件（4）冰河木馬類軟件（5）小分析家監測類軟件（6）快速搜索端口掃描器7.4.2 黑客工具軟件介紹黑客工具軟件介紹2常見網絡安全軟件簡介（1）Local Port Scanner本地端口掃描器（2）A-spy系

11、統進程察看器（3）Netmon圖形化Netstat命令（4）LANguard Network Scanner局域網資料收集器（5）Leechsofts NetMonitorTCP/IP狀態分析程序（6）Attacker端口監聽程序（7）Isecure IP Scannernetbios共享掃描器（8）AnalogX Port Blocker端口屏蔽程序（9）bu Dummy Server端口屏蔽程序（10）bu Registry Edit注冊表修改程序7.5黑客攻擊防范黑客攻擊防范l7.5.1 網絡訪問控制技術l7.5.2 防火墻技術l7.5.3 數據加密技術l7.5.4 入侵檢測技術l7.5

12、.5 安全審計l7.5.6 網絡安全管理l7.5.7 發現黑客入侵后的對策7.5黑客攻擊防范黑客攻擊防范l在網絡環境下，由于種種原因，網絡被入侵和攻擊是難免的。但是，通過加強管理和采用必要的技術手段可以減少入侵和攻擊行為，避免因入侵和攻擊造成的各種損失。下面就介紹幾種主要的防范入侵和攻擊的技術措施。l防范黑客攻擊，要從以下幾個方面入手：網絡訪問控制技術、防火墻技術、入侵檢測、漏洞掃描、發現黑客、發現黑客入侵后的對策。 7.5.1 網絡訪問控制技術網絡訪問控制技術訪網絡訪問控制技術是網絡安全防范和保護的主要核心策略，它的主要任務是保證網絡資源不被非法使用和訪問。訪問控制規定了主體對客體訪問的限制

13、，并在身份識別的基礎上，根據身份對提出資源訪問的請求加以控制。網絡訪問控制技術是對網絡信息系統資源進行保護的重要措施，也是計算機系統中最重要和最基礎的安全機制。 7.5.2 防火墻技術防火墻技術防火墻是一種高級訪問控制設備，是置于不同網絡安全域之間的一系列部件的組合，是不同網絡安全域間通信流的惟一通道，它能根據有關的安全策略控制（允許、拒絕、監視、記錄）進出網絡的訪問行為。防火墻是網絡安全的屏障，是提供安全信息服務、實現網絡安全的基礎設施之一。 7.5.3 數據加密技術數據加密技術數據加密技術要求只有在指定的用戶或網絡下，才能解除密碼而獲得原來的數據，這就需要給數據發送方和接受方以一些特殊的信

14、息用于加解密，這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密算法分為專用密鑰和公開密鑰兩種。 7.5.4 入侵檢測技術l入侵檢測是對傳統安全產品的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。l它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。它能監視分析用戶及系統活動，查找用戶的非法操作，評估重要系統

15、和數據文件的完整性，檢測系統配置的正確性，提示管理員修補系統漏洞；能實時地對檢測到的入侵行為進行反應，在入侵攻擊對系統發生危害前利用報警與防護系統驅逐入侵攻擊，在入侵攻擊過程中減少入侵攻擊所造成的損失，在被入侵攻擊后收集入侵攻擊的相關信息，作為防范系統的知識，添加入侵策略集中，增強系統的防范能力，避免系統再次受到同類型的入侵攻擊。7.5.5 安全審計l網絡安全審計就是對企業網絡安全的脆弱性進行測試、評估、分析的過程。它就是在一個特定的網絡環境下，為了保障網絡和數據不受來自外網和內網用戶的入侵和破壞，而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件，以便集中報警、分析

16、、處理的一種技術手段，它是一種積極、主動的安全防御技術。其目的是為了在最大限度內保障網絡與信息的安全。7.5.6 網絡安全管理l安全管理就是指為實現信息安全的目標而采取的一系列管理制度和技術手段，包括安全檢測、監控、響應和調整的全部控制過程。需要指出的是，不論多么先進的安全技術，都只是實現信息安全管理的手段而已，信息安全源于有效地管理，要使先進的安全技術發揮較好的效果，就必須統一安全管理平臺，來總體配置、調控整個網絡多層面、分布式的安全系統，實現對各種網絡安全資源的集中監控、統一策略管理、智能審計及多種安全功能模塊之間的互動，從而有效簡化網絡安全管理工作，提升網絡的安全水平和可控制性、可管理性

17、，降低用戶的整體安全管理開銷。 7.5.7 發現黑客入侵后的對策l首先估計形勢。當證實遭到入侵時，采取的第一步行動是盡可能快地估計入侵造成的破壞程度。l然后要采取措施： （1）殺死這個進程來切斷黑客與系統的連接。 （2）使用工具詢問他們究竟想要做什么。（3）跟蹤這個連接，找出黑客的來路和身份。 （4）管理員可以使用一些工具來監視黑客，觀察他們在做什么。這些工具包括snoop、ps、lastcomm和ttywatch等。（5）ps、w和who這些命令可以報告每一個用戶使用的終端。如果黑客是從一個終端訪問系統，這種情況不太好，因為這需要事先與電話公司聯系。（6） 使用who和netstat可以發現入侵者從哪個主機上過來，然后可以使用finger命令來查看哪些用戶登錄進遠程系統。（7）修復安全漏洞并恢復系統，不給黑客留有可乘之機。本章小結（1）在計算機網絡日益成為生活中不可或缺的工具時，計算機網絡的安全性已經引起了公眾的高度重視。計算機網絡的安全威脅來自諸多方面，黑客攻擊是最重要的威脅來源之一。本章介紹了黑客和駭客的起源，概念；黑客的分類：白帽子、黑帽子、灰帽子；黑客的攻擊分類和步驟。（2）黑客攻擊，除了掌握基本的