黑客攻防技術(shù)探索

□于 涌 王 典 張 鑫 任利峰

一、黑客攻擊的主要途徑

黑客攻擊主要依靠計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)中的漏洞，攻擊計(jì)算機(jī)硬件或軟件、協(xié)議、系統(tǒng)安全策略等，使計(jì)算機(jī)容易受到損害。

二、黑客攻擊手段的種類

(一)網(wǎng)絡(luò)監(jiān)聽(tīng)。在網(wǎng)絡(luò)中，當(dāng)信息進(jìn)行傳播的時(shí)候，可以利用工具，將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)的模式，便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到，從而進(jìn)行攻擊。其實(shí)網(wǎng)絡(luò)監(jiān)聽(tīng)最開(kāi)始是應(yīng)用于網(wǎng)絡(luò)管理，如同遠(yuǎn)程控制軟件一樣，后來(lái)其強(qiáng)大功能逐漸破黑客利用。

(二)拒絕服務(wù)攻擊。拒絕服務(wù)攻擊的攻擊方式就是從一臺(tái)或多臺(tái)計(jì)算機(jī)向服務(wù)器發(fā)送大量的數(shù)據(jù)包，致使服務(wù)器過(guò)度使用而導(dǎo)致服務(wù)器系統(tǒng)的宕機(jī)或資源的巨大消耗，最后就會(huì)使用不了網(wǎng)絡(luò)，拒絕服務(wù)攻擊其目的就是利用拒絕服務(wù)來(lái)?yè)p壞服務(wù)器的硬件等。

(三)欺騙攻擊。欺騙攻擊主要包括：使用源IP地址欺騙和原路由欺騙攻擊。

(四)源IP地址欺騙。通常認(rèn)為，如果分組可以沿著路由達(dá)到目的地并且響應(yīng)分組也可以回到源地，則源IP地址定是有效的，盜用或冒用他人的IP地址即可進(jìn)行欺騙攻擊。

(五)源路由欺騙攻擊。數(shù)據(jù)包通常從起點(diǎn)到終點(diǎn)以及路由器之間的路徑開(kāi)始決定，數(shù)據(jù)包本身只知去處而不知其路徑原始路由允許數(shù)據(jù)包的發(fā)送方寫(xiě)入數(shù)據(jù)中的數(shù)據(jù)包的路徑，使得緩沖區(qū)溢出將長(zhǎng)內(nèi)容寫(xiě)入程序的緩沖區(qū)，會(huì)導(dǎo)致緩沖區(qū)溢出，從而破壞程序的堆棧，使程序執(zhí)行其他命令。如果這些指令被儲(chǔ)存在具有ROOT權(quán)限的內(nèi)存中，當(dāng)這些指令正常工作時(shí)，黑客可以獲得這些程序的所有權(quán)來(lái)控制具有ROOOT權(quán)限的系統(tǒng)，從而達(dá)到入侵效果。

三、黑客攻擊的方式

攻擊主要通過(guò)各種不同的方法，包括暴力攻擊、特洛伊木馬程序IP欺騙和消息嗅探。暴力攻擊來(lái)反復(fù)探測(cè)和驗(yàn)證用戶帳戶或密碼。特別是常用木馬病毒等進(jìn)行攻擊，獲取資源的訪問(wèn)權(quán)，竊取賬戶用戶的權(quán)力，為以后再次入侵創(chuàng)建后門(mén)。另外，應(yīng)用層攻擊可以用很多種不一樣的方法來(lái)攻擊，常見(jiàn)方法是用服務(wù)器上的應(yīng)用軟件(如SQLSever,FTP等)缺陷，獲得計(jì)算機(jī)的訪問(wèn)權(quán)和應(yīng)用程序所需賬戶的許可權(quán)。

四、黑客攻擊的過(guò)程

(一)隱藏IP。隱藏IP就是隱藏黑客的IP地址，即隱藏黑客所使用計(jì)算機(jī)的真正地理位置，以免被發(fā)現(xiàn)。典型的隱藏真實(shí)IP地址的方法主要利用被控制的其他主機(jī)作為跳板，有兩種方式。一是一般先入侵到連接互聯(lián)網(wǎng)上的某一臺(tái)計(jì)算機(jī)，俗稱“肉雞”或“傀儡機(jī)”，然后利用這臺(tái)計(jì)算機(jī)當(dāng)作攻擊的實(shí)施者，就算是被發(fā)現(xiàn)了，也是“雞肉”IP地址。二是做多級(jí)跳板“Sock代理”，可以隱蔽入侵者真實(shí)的IP地址，留下的是代理計(jì)算機(jī)的IP地址。打個(gè)比方，黑客們一般攻擊國(guó)內(nèi)的一家網(wǎng)站，他們就會(huì)選擇離其比較遠(yuǎn)的國(guó)家的計(jì)算機(jī)作為“肉雞”進(jìn)行跨國(guó)攻擊，像這樣類似的案件就比較難攻破。

(二)踩點(diǎn)掃描。踩點(diǎn)掃描主要是通過(guò)各種方式和手段對(duì)被攻擊的目標(biāo)信息進(jìn)行搜索和收集，以確保攻擊的詳細(xì)準(zhǔn)確信息以及位置和時(shí)間。黑客攻擊是從黑客那里收集信息，并概述整個(gè)網(wǎng)絡(luò)的布局。掃描是利用各種掃描工具來(lái)尋找孔洞。掃描工具可以執(zhí)行以下檢查:TCP端口掃描;RPC服務(wù)列表;NPS輸出列表;共享列表;默認(rèn)賬戶檢查;Sendmal IMAP、POP3、RPCstatis和RPC也可以掛載有缺陷的版本檢測(cè)。當(dāng)它們?nèi)勘粧呙韬?，黑客就?huì)知道他們對(duì)這些主機(jī)有信心。但是這種方法是否成功取決于網(wǎng)絡(luò)內(nèi)外主機(jī)之間的過(guò)濾策略。

(三)獲得特權(quán)。獲得特權(quán)即獲得管理權(quán)限，最終要完成的是遠(yuǎn)程用網(wǎng)絡(luò)來(lái)登陸目標(biāo)計(jì)算機(jī)從而使獲得權(quán)限對(duì)其實(shí)施控制并且達(dá)到攻擊目標(biāo)主機(jī)的目的。獲得權(quán)限方式分為6種：由系統(tǒng)或軟件漏洞獲得系統(tǒng)權(quán)限；由管理漏洞獲取管理員權(quán)限；利用遠(yuǎn)程監(jiān)聽(tīng)來(lái)竊取主機(jī)的重要信息(賬號(hào)和密碼)；通過(guò)窮舉法得到遠(yuǎn)程管理員的用戶密碼，以黑掉目標(biāo)主機(jī)信任的另一臺(tái)計(jì)算機(jī)，從而使目標(biāo)計(jì)算機(jī)被攻克；由欺騙獲得權(quán)限以及其他方法。

(四)種植后門(mén)。后門(mén)制作其實(shí)就是指黑客們方便再次光臨此計(jì)算機(jī)的一種做法，它是指黑客利用計(jì)算機(jī)系統(tǒng)中BUG來(lái)留下下次還可進(jìn)入的軟件，方便以后再次光臨這臺(tái)計(jì)算機(jī)所留的一種手段。這種手段會(huì)很常用，也不易被發(fā)現(xiàn)。大多數(shù)后門(mén)程序(特洛伊木馬)都是預(yù)編譯的，您只需要找到修改時(shí)間和權(quán)限的方法。

(五)隱身退出。通常黑客一旦確認(rèn)自己是安全的，就開(kāi)始發(fā)動(dòng)攻擊侵入網(wǎng)絡(luò)。為了隱藏自己不被發(fā)現(xiàn)，黑客們一般侵入完他人計(jì)算機(jī)后會(huì)直接刪除登錄日志和其他的系統(tǒng)日志，及時(shí)隱身退出，這樣會(huì)有效地解決別人找自己的麻煩。

五、網(wǎng)絡(luò)監(jiān)聽(tīng)

網(wǎng)絡(luò)監(jiān)控是監(jiān)控計(jì)算機(jī)網(wǎng)絡(luò)狀態(tài)和數(shù)據(jù)上傳行為的一種方式。在網(wǎng)絡(luò)監(jiān)控模式下，計(jì)算機(jī)在同一物理通道上傳輸?shù)乃行畔?，無(wú)論是發(fā)送方還是接收方，只有在兩臺(tái)計(jì)算機(jī)之間沒(méi)有加密通信時(shí)才使用網(wǎng)絡(luò)監(jiān)控。工具可以很容易地截獲帳戶中的所有信息。

六、網(wǎng)絡(luò)監(jiān)聽(tīng)檢測(cè)

沒(méi)有通過(guò)互聯(lián)網(wǎng)傳輸?shù)臄?shù)據(jù)包已被修改，因此網(wǎng)絡(luò)監(jiān)控不容易被發(fā)現(xiàn)。Linx下的嗅探攻擊的程序檢測(cè)方法相對(duì)簡(jiǎn)單。

黑客攻擊事件為網(wǎng)絡(luò)系統(tǒng)的安全帶來(lái)了嚴(yán)重的威脅與嚴(yán)峻的挑戰(zhàn)。使用積極有效的防御措施將會(huì)減少損失，并提高網(wǎng)絡(luò)系統(tǒng)的安全性。普及網(wǎng)絡(luò)安全知識(shí)教育，激發(fā)對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)，增強(qiáng)防范意識(shí)，強(qiáng)化防范措施切實(shí)增強(qiáng)用戶對(duì)網(wǎng)絡(luò)的防范能力。

七、網(wǎng)絡(luò)攻擊的防范策略

防范黑客攻擊需要主觀關(guān)注，積極客觀地采取措施制定規(guī)章制度和管理制度。推廣網(wǎng)絡(luò)安全教育，使用戶需要了解網(wǎng)絡(luò)安全知識(shí)和相關(guān)安全策略。管理層應(yīng)該確定安全對(duì)象，建立強(qiáng)大的安全系統(tǒng)，并根據(jù)安全級(jí)別的保護(hù)規(guī)定保護(hù)網(wǎng)絡(luò)。認(rèn)真制定防御攻擊方法，利用科技手段，有針對(duì)性地在網(wǎng)絡(luò)層防御，使每個(gè)級(jí)別都成為一個(gè)道路層面，使攻擊者沒(méi)有時(shí)間去攻擊。防范黑客攻擊的技術(shù)主要有：數(shù)據(jù)加密、身份認(rèn)證、數(shù)字簽名、建立完整的訪問(wèn)控制策略、安全市場(chǎng)等。從技術(shù)上講，我們必須注意研究和開(kāi)發(fā)新方法。

八、網(wǎng)絡(luò)攻擊的防范措施

通常，具體的防范攻擊措施與步驟主要包括以下幾個(gè)方面：一是加強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)，提高對(duì)網(wǎng)絡(luò)安全的防范，并且要向他人推廣及宣傳。二是要經(jīng)常更新計(jì)算機(jī)里的系統(tǒng)補(bǔ)丁，以防出現(xiàn)漏洞讓黑客有機(jī)可乘。三是盡量避免從互聯(lián)網(wǎng)上下載未知的軟件和游戲程序。四是不要隨意打開(kāi)來(lái)自未知來(lái)源的電子郵件和文件，并將不熟悉的人員運(yùn)行到用戶的程序中。五是不要隨便運(yùn)行黑客程序。六是在支持HTML的B上，如果發(fā)現(xiàn)提交警告并查看源代碼，將有助于強(qiáng)制使用密碼。七是設(shè)置安全密碼。使用字母數(shù)字混排，常見(jiàn)的密碼設(shè)置不同，重要的密碼通常會(huì)被替換。八是使用防病毒，防黑客等防火墻軟件。九是隱藏自己的IP地址。可采取的方法有:使用代理服務(wù)器進(jìn)行中轉(zhuǎn)，用戶在線聊天BBS等不會(huì)留下自己的IP;使用工具軟件，如Mate huent Seuin來(lái)隱藏自己的主機(jī)地址，避免在BBS和聊天室暴露個(gè)人信息。