1、第 2 章網絡攻擊與防范 第 2 章網絡攻擊與防范 2.1黑客概述2.2常見的網絡攻擊2.3攻擊步驟2.4網絡攻擊的實施2.5留后門與清痕跡的防范方法2.1黑客概述 2.1.1 黑客的由來1.黑客的發展史2.黑客的含義所謂黑客，是指利用通信軟件，通過網絡非法進入他人計算機系統，獲取或篡改各種數據，危害信息安全的入侵者或入侵行為。在日本新黑客詞典中，對黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個人才干的人。他們不像絕大多數電腦使用者那樣，只規規矩矩地了解別人指定了解的狹小部分知識?！?在中華人民共和國公共安全行業標準（GA 163-1997）中，黑客被定義為“對計算機系統進行非授權訪問的

2、人員”。這也是目前大多數人對黑客的理解。2.1.2 黑客文化 黑客們充分利用互聯網跟那些興趣相同的人成為朋友和伙伴。在互聯網還不是很普及的時候，黑客們通過訪問他們自己建立的留言板系統（BBS），來與其他黑客聯系。黑客可以將BBS放在自己的計算機上，讓人們登陸系統去發送消息、共享信息、玩游戲以及下載程序。 2.1.3 知名黑客史蒂夫喬布斯和斯蒂芬沃茲尼克，蘋果公司創始人，都是黑客。他們早期的一些活動很像一些惡意黑客的行為。但是，喬布斯和沃茲尼亞克超越了惡意行為，開始專心開發計算機硬件和軟件。他們的努力開辟了個人電腦的時代。李納斯托沃茲，Linux之父，一名正直的著名黑客。在黑客圈里，Linux系

3、統非常受歡迎。托沃茲促進了開放源代碼軟件觀念的形成，向人們證明了只要你向所有人公開信息，你就可以收獲不可思議的財富。理查德斯托爾曼，人稱RMS，是自由軟件運動，GNU計劃和自由軟件基金的創始人。他促進了免費軟件和自由訪問計算機的理念的推廣。同時他與一些組織（比如免費軟件基金會）一起合作，反對諸如數字版權管理這樣的政策。喬納森詹姆斯，他在16歲的時候成為了首位被監禁的青少年黑客，并因此惡名遠播。他曾經入侵過很多著名組織的站點，包括美國國防部下設的國防威脅降低局（DTRA）。通過此次黑客行動，他捕獲了用戶名和密碼，并瀏覽高度機密的電子郵件。詹姆斯還曾入侵過美國宇航局的計算機，并竊走價值170萬美元

4、的軟件。據美國司法部長稱，他所竊取的軟件主要用于維護國際空間站的物理環境，包括對濕度和溫度的控制。當詹姆斯的入侵行為被發現后，美國宇航局被迫關閉了整個計算機系統，并因此花費了納稅人的4.1萬美元。目前，詹姆斯正計劃成立一家計算機安全公司。2.1.3 知名黑客凱文米特尼克，在上世紀八十年代他可謂是惡名昭著，17歲的時候他潛入了北美空中防御指揮部（NORAD）。美國司法部曾經將米特尼克稱為“美國歷史上被通緝的頭號計算機罪犯”，他的所作所為已經被記錄在兩部好萊塢電影中，分別是Takedown和Freedom Downtime。米特尼克最初破解了洛杉磯公交車打卡系統，因此他得以免費乘車。在此之后，他也

5、同蘋果聯合創始人斯蒂芬沃茲尼克（Steve Wozniak）一樣，試圖盜打電話。米特尼克首次被判有罪是因為非法侵入Digital Equipment公司的計算機網絡，并竊取軟件。之后的兩年半時間里，米特尼克展開了瘋狂的黑客行動。他開始侵入計算機，破壞電話網絡，竊取公司商業秘密，并最終闖入了美國國防部預警系統。后來，他因為入侵計算機專家、黑客Tsutomu Shimomura的家用計算機而落網。在長達5年零8個月的單獨監禁之后，米特尼克現在的身份是一位計算機安全作家、顧問和演講者。2.1.3 知名黑客凱文鮑爾森，也叫“黑暗但丁”，他因非法入侵洛杉磯KIIS-FM電話線路而聞名全美，同時也因此獲得

6、了一輛保時捷汽車。美國聯邦調查局（FBI）也曾追查鮑爾森，因為他闖入了FBI數據庫和聯邦計算機，目的是獲取敏感信息。鮑爾森的專長是入侵電話線路，他經常占據一個基站的全部電話線路。鮑爾森還經常重新激活黃頁上的電話號碼，并提供給自己的伙伴用于出售。他最終在一家超市被捕，并被處以五年監禁。在監獄服刑期間，鮑爾森擔任了Wired雜志的記者，并升任高級編輯。阿德里安拉莫，他熱衷入侵各大公司的內部網絡，比如微軟公司等。他喜歡利用咖啡店、復印店或圖書館的網絡來從事黑客行為，因此獲得了一個“不回家的黑客”的綽號。拉莫經常能發現安全漏洞，并對其加以利用。通常情況下，他會通知企業有關漏洞的信息。在拉莫的入侵名單上

7、包括雅虎、花旗銀行、美洲銀行和Cingular等知名公司。由于侵入紐約時報內部網絡，拉莫成為頂尖數碼罪犯之一。也正是因為這一罪行，他被處以6.5萬美元罰款，以及六個月家庭禁閉和兩年緩刑。拉莫現在是一位著名公共發言人，同時還是一名獲獎記者。2.1.3 知名黑客2.1.4 2013年上半年國際國內重大互聯網安全事件（1）著名VPS網站linode被黑客入侵2013年4月上旬，美國VPS（Virtual Private Server，指虛擬專用服務器）供應商Linode遭黑客入侵。黑客竊取了Linode客戶的信用卡號碼和哈希加密密碼，甚至公布了部分密碼、源代碼片段和目錄列表作為入侵Linode成功的

8、證據。（2）Carberp工具包源碼泄露Carberp是一款專門用于盜取銀行信息的惡意軟件，據說能夠逃避反病毒軟件的檢測，并且能夠感染硬盤的主引導記錄（MBR）。2013年4月，犯罪份子通過該惡意軟件從烏克蘭和俄羅斯盜取了大約169萬美元。6月份，Carberp的源代碼在網上出售，標價為5萬美元。（3）美聯社Twitter賬戶被黑2013年4月23日，美聯社的Twitter賬號被黑客劫持，并發布假消息稱白宮爆炸，美國總統奧巴馬在恐怖襲擊中受傷。消息雖然只傳播了幾分鐘，但引發了美國股市的跳水，導致道瓊斯工業平均指數在瞬間下跌超150點。（4）IE8爆出“勞動節水坑”漏洞2013年5月初，黑客利用

9、了一個存在于IE8瀏覽器中的0day漏洞實施攻擊，在美國勞工部網站植入木馬病毒，當用戶使用IE8內核瀏覽器打開該網站時，木馬病毒將自動下載并執行，使用戶網絡賬戶及個人隱私面臨被竊風險，該漏洞是2013年上半年威脅最高的安全漏洞。（5）雅虎日本稱2200萬用戶ID疑遭泄露（6）黑客利用CSRF鏈接攻擊路由器，威脅幾百萬用戶（7）美國黑客組織從ATM機竊取4500萬美元（8）微軟Xbox Live遭黑客入侵（9）超級網銀安全風險被犯罪分子利用，24秒騙10萬（10）美國“棱鏡門”引發國際社會高度關注（11）大眾點評網域名被劫持幾個小時影響大量用戶使用（12）Facebook現安全漏洞（13）韓國總

10、統府官網被黑（14）中國內地162萬主機IP遭控制（15）Opera被入侵（16）國內網絡兼職欺詐泛濫（17）客戶400萬資金被盜刷，銀行眼看著錢被取走（18）35歲的美國著名黑客巴納拜杰克暴斃2.1.5 黑客的行為發展趨勢 1黑客組織化2黑客技術的工具化、智能化（1）黑客開發的工具。（2）很多網絡安全工具可以當作黑客工具來使用，同樣是掃描器，網絡管理員可以用它來檢查系統漏洞，防患于未然，黑客也可以用它來尋找攻擊入口，為實施攻擊做好準備，另外還有很多常用的網絡工具也能當作黑客工具來用，如Telnet、Ftp等等。主要表現在以下3個方面。（1）反檢測技術攻擊者采用了能夠隱藏攻擊工具的技術，這使得

11、安全專家通過各種分析方法來判斷新的攻擊的過程變得更加困難和耗時。（2）動態行為以前的攻擊工具按照預定的單一步驟發起進攻，現在的自動攻擊工具能夠按照不同的方法更改它們的特征，如隨機選擇預定的決策路徑，或者通過入侵者直接控制。（3）攻擊工具的模塊化3黑客技術普及化 黑客技術普及化的原因有以下三個方面：（1）黑客組織的形成，使黑客的人數迅速擴大，如美國的“大屠殺2600”的成員就曾達到150萬人，這些黑客組織還提供大量的黑客工具，使掌握黑客技術的人數劇增。（2）黑客站點的大量出現。通過Internet，任何人都能訪問到這些站點，學習黑客技術也不再是一件困難的事。（3）計算機教育的普及，很多人在學習黑

12、客技術上不再存在太多的專業障礙。 4黑客年輕化 由于中國互聯網的普及，形成全球一體化，甚至連很多偏遠的地方也可以從網絡上接觸到世界各地的信息資源，所以越來越多對這方面感興趣的中學生，也已經踏足到這個領域。有資料統計，我國計算機犯罪者主要是1930歲的男性，平均年齡約為23歲，而央視中國法治報道則將這個年齡拉低到19歲。這種現象反映出我們的網絡監管及相關法律部門的管理存在著極大的漏洞。5黑客的破壞力擴大化 中國電子商務研究中心最新數據顯示，2012年國內網購市場交易規模已經超過1萬億大關，但在市場繁榮的背后，卻是近年來手段不斷翻新的黑客行為，并逐漸形成了研發、制作、調試、銷售、教學等各環節完備的

13、“黑客產業鏈”。國內多家網絡安全公司監測數據顯示，購物欺詐網站、股票或彩票欺詐網站、木馬、QQ盜號、釣魚網站等各類網絡詐騙手段日益猖獗，給用戶造成的直接經濟損失已超過50億元，并按每年15%左右的速度增長。2.2常見的網絡攻擊1竊聽2數據篡改 3身份欺騙（IP地址欺騙）4 盜用口令攻擊（Password-Based Attacks）5拒絕服務攻擊（Denial-of-Service Attack） 6中間人攻擊（Man-in-the-Middle Attack） 7盜取密鑰攻擊（Compromised-Key Attack）8Sniffer 攻擊（Sniffer Attack） 9應用層攻擊（

14、Application-Layer Attack） 9應用層攻擊（Application-Layer Attack） （1）閱讀、添加、刪除、修改用戶數據或操作系統 （2）在用戶應用系統中引入病毒程序 （3）引入Sniffer，對用戶網絡進行分析，以獲取所需信息，并導致用戶網絡的崩潰或癱瘓 （4）引起用戶應用系統的異常終止 （5）解除用戶系統中的其他安全控制，為其新一輪攻擊打開方便之門2.2.1攻擊目的 網絡攻擊正朝著具有更多的商業動機發展。隨著動機改變，質量也在改變。我認為，在許多情況下，網絡攻擊都是專業軟件開發人員所為。他們的主要目的有：竊取信息獲取口令控制中間站點獲得超級用戶權限2.2.

15、2攻擊事件分類 在信息系統中，存在3類安全威脅：外部攻擊：攻擊者來自系統外部 。內部攻擊：內部越權行為 。行為濫用：合法用戶濫用特權。可將攻擊事件分為以下5類 1破壞型攻擊2利用型攻擊3信息收集型攻擊4垃圾信息攻擊5網絡欺騙攻擊2.3攻擊步驟 1確定攻擊的目標2收集被攻擊對象的有關信息3利用適當的工具進行掃描。4實施攻擊。5鞏固控制 7清除痕跡6繼續深入2.3攻擊步驟 2.4網絡攻擊的實施 1調查、收集和判斷目標網絡系統的網絡結構等信息2制定攻擊策略和確定攻擊目標3掃描目標系統4攻擊目標系統2.4.1網絡信息搜集 1用ping來識別操作系統C:ping Pinging with 32 byte

16、s of data:Reply from : bytes=32 time10ms TTL=128 Reply from : bytes=32 time10ms TTL=128 Reply from : bytes=32 time10ms TTL=128 Reply from : bytes=32 time C:ping Pinging with 32 bytes of data:Request timed out. Reply from : bytes=32 time=250ms TTL=237 Reply from : bytes=32 time=234ms TTL=237 Reply fr

17、om : bytes=32 time=234ms TTL=237Ping statistics for : Packets: Sent = 4， Received = 3， Lost = 1 (25% loss)， Approximate round trip times in milli-seconds: Minimum = 234ms， Maximum = 250ms， Average = 179ms2.直接通過聯接端口根據其返回的信息Microsoft Windows 2000 Version 5.00.2195 版權所有 1985-1998 Microsoft Corp.C:telne

18、t 80 輸入get 回車 如果返回， HTTP/1.1 400 Bad Request Server: Microsoft-IIS/5.0Date: Fri， 11 Jul 2003 02:31:55 GMT Content-Type: text/html Content-Length: 87The parameter is incorrect.遺失對主機的連接。 C: 那么這臺就肯定是indows的系統了。如果返回：Method Not Implementedget to / not supported. Invalid method in request getApache/1.3.27

19、 Server at Port 80遺失對主機的連接。 C: 那么多數就是UINX的系統了。如果返回， Connected to . 220 ready， dude (vsFTPd 1.1.0: beat me， break me)User (none): 那么這就是一臺UINX的機子了。如果開了23端口，這個就簡單了，直接telnet上去。如果返回， Microsoft Windows Version 5.00 (Build 2195) Welcome to Microsoft Telnet Service Telnet Server Build 5.00.99201.1 login: 那么

20、這肯定是一臺windows的機子了如果返回， SunOS 5.8 login: 不用說了，這當然是一臺UINX的機子了，并且版本是SunOS 5.8的。 3.利用專門的軟件來識別（1）著名的nmap，它采用的是主動式探測，探測時會主動向目標系統發送探測包，根據目標目標機回應的數據包來，叛斷對方機器的操作系統。（2）天眼，采用的是被動式的探測方法。 不向目標系統發送數據包，只是被動地探測網絡上的通信數據，通過分析這些數據來判斷操作系統的類型。配合superscan使用，效果很好。具體的使用方法，在此就不具體介紹了。有興趣的學生可以到網上搜索一下關于天眼使用方法的文章。2.4.2端口掃描 1.什么

21、是掃描器2.掃描器能干什么3.常用的端口掃描技術（1）TCP connect() 掃描 （2）TCP SYN掃描（3）TCP FIN 掃描（4）IP段掃描（5）FTP 返回攻擊（6）TCP 反向 ident掃描220 FTP server (Version wu-2.4(3) Wed Dec 14) ready. 220 FTP server ready. 220 xx.Telcom.xxxx.EDU FTP server (Version wu-2.4(3) Tue Jun 11) ready. 220 lem FTP server (SunOS 4.1) ready. 220 xxx.xx

22、x.es FTP server (Version wu-2.4(11) Sat Apr 27) ready. 220 elios FTP server (SunOS 4.1) ready 這種方法不能成功的情景： 220 FTP server (Version DG-2.0.39 Sun May 4) ready. 220 xxx.xx.xxxxx.EDU Version wu-2.4.2-academBETA-12(1) Fri Feb 7 220 ftp Microsoft FTP Service (Version 3.0). 220 xxx FTP server (Version wu-

23、2.4.2-academBETA-11(1) Tue Sep 3) ready. 220 FTP server (Version wu-2.4.2-academBETA-13(6) ready. 3.常用的端口掃描技術（7）UDP ICMP端口不能到達掃描 （8）UDP recvfrom()和write() 掃描（9）ICMP echo掃描2.4.3基于認證的入侵防范 1.IPC$入侵IPC$本來主要是用來遠程管理計算機的，但實際上往往被入侵者用來與遠程主機實現通信和控制。入侵者能夠利用它做到：建立、拷貝、刪除遠程計算機文件；在遠程計算機上執行命令。1）遠程文件操作2）留后門賬號3）IPC$空

24、連接漏洞4）IPC$入侵常見問題2.遠程管理計算機1）遠程管理2）查看信息：3）開啟遠程主機服務的其他辦法4）常見問題：2.4.4信息隱藏技術 （1）數字水印技術(Digital Watermark)（2）隱寫術(Steganography)2.4.5安全解決方案 1.刪除默認共享（1）首先了解本機共享資源，在cmd窗口輸入“net share”命令；（2）刪除共享資源：2.禁止空連接進行枚舉攻擊的方法有了IPC$空連接作為連接基礎，入侵者可以進行反復的試探性連接，直到連接成功、獲取密碼，這就為入侵者暴力破解提供了可能性，被入侵只是時間問題。為了解決這個問題，打開注冊表編輯器，在：HKEY_L

25、OCAL_MACHINESYSTEMCurrentControlSetControlLSA中把Restrict Anonymous=DWORD的鍵值改為：00000001(也可以改為2，不過改為2后可能造成一些服務不能正常工作)。修改完畢重起計算機，這樣便禁止了空連接進行枚舉攻擊。要說明的是，這種方法并不能禁止建立空連接?，F在再使用X-Scan對計算機進行安全檢測，便會發現該主機不再泄露用戶列表和共享列表，操作系統類型也不會被X-Scan識別。3.關閉Server服務Server服務是IPC$和默認共享所依賴的服務，如果關閉它，IPC$和默認共享便不存在，但同時也使服務器喪失其他一些服務功能，因此該方法不適合服務器使用，只適合個人計算機使用。通過“控制面板”“管理工具”“服務”打開服務管理器，在服務列表中找到Server服務，鼠標右擊，在彈出菜單中選擇“屬性”，然后選擇“禁用”，重起生效。還可使用D