1、網絡安全中黑客主要手段和攻擊方法 發布時間：2008-05-14 17:59:48 （一）黑客常用手段 1、網絡掃描-在Internet上進行廣泛搜索，以找出特定計算機或軟件中的弱點。 2、網絡嗅探程序-偷偷查看通過Internet的數據包，以捕獲口令或全部內容。通過安裝偵聽器程序來監視網絡數據流，從而獲取連接網絡系統時用戶鍵入的用戶名和口令。 3、拒絕服務 -通過反復向某個Web站點的設備發送過多的信息請求，黑客可以有效地堵塞該站點上的系統，導致無法完成應有的網絡服務項目(例如電子郵件系統或聯機功能)，稱為“拒絕服務”問題。 4、欺騙用戶-偽造電子郵件地址或Web頁地址，從用戶處騙得口令、信

2、用卡號碼等。欺騙是用來騙取目標系統，使之認為信息是來自或發向其所相信的人的過程。欺騙可在IP層及之上發生（地址解析欺騙、IP源地址欺騙、電子郵件欺騙等）。當一臺主機的IP地址假定為有效，并為Tcp和Udp服務所相信。利用IP地址的源路由，一個攻擊者的主機可以被偽裝成一個被信任的主機或客戶。 5、特洛伊木馬-一種用戶察覺不到的程序，其中含有可利用一些軟件中已知弱點的指令。 6、后門-為防原來的進入點被探測到，留幾個隱藏的路徑以方便再次進入。 7、惡意小程序-微型程序，修改硬盤上的文件，發送虛假電子郵件或竊取口令。 8、競爭撥號程序-能自動撥成千上萬個電話號碼以尋找進入調制解調器連接的路徑。邏輯炸

3、彈計算機程序中的一條指令，能觸發惡意操作。 9、緩沖器溢出- 向計算機內存緩沖器發送過多的數據，以摧毀計算機控制系統或獲得計算機控制權。 10、口令破譯-用軟件猜出口令。通常的做法是通過監視通信信道上的口令數據包，破解口令的加密形式。 11、社交工程-與公司雇員談話，套出有價值的信息。 12、垃圾桶潛水-仔細檢查公司的垃圾，以發現能幫助進入公司計算機的信息。 （二）黑客攻擊的方法： 1、隱藏黑客的位置 典型的黑客會使用如下技術隱藏他們真實的IP地址: 利用被侵入的主機作為跳板; 在安裝Windows 的計算機內利用Wingate 軟件作為跳板;利用配置不當的Proxy作為跳板。 更老練的黑客會

4、使用電話轉接技術隱蔽自己。他們常用的手法有:利用800 號電話的私人轉接服務聯接ISP, 然后再盜用他人的賬號上網;通過電話聯接一臺主機,再經由主機進入Internet。 使用這種在電話網絡上的"三級跳"方式進入Internet 特別難于跟蹤。理論上,黑客可能來自世界任何一個角落。如果黑客使用800號撥號上網,他更不用擔心上網費用。 2、網絡探測和資料收集 黑客利用以下的手段得知位于內部網和外部網的主機名。 使用nslookup 程序的ls命令; 通過訪問公司主頁找到其他主機; 閱讀FTP服務器上的文擋; 聯接至mailserver 并發送 expn請求; Finger 外

5、部主機上的用戶名。 在尋找漏洞之前,黑客會試圖搜集足夠的信息以勾勒出整個網絡的布局。利用上述操作得到的信息,黑客很容易列出所有的主機,并猜測它們之間的關系。 3、找出被信任的主機 黑客總是尋找那些被信任的主機。這些主機可能是管理員使用的機器,或是一臺被認為是很安全的服務器。 一步,他會檢查所有運行nfsd或mountd的主機的NFS輸出。往往這些主機的一些關鍵目錄(如/usr/bin、/etc和/home)可以被那臺被信任的主機mount。 Finger daemon 也可以被用來尋找被信任的主機和用戶,因為用戶經常從某臺特定的主機上登錄。 黑客還會檢查其他方式的信任關系。比如,他可以利用CG

6、I 的漏洞,讀取/etc/hosts.allow 文件等等。 分析完上述的各種檢查結果,就可以大致了解主機間的信任關系。下一步, 就是探測這些被信任的主機哪些存在漏洞,可以被遠程侵入。 4、找出有漏洞的網絡成員 當黑客得到公司內外部主機的清單后,他就可以用一些Linux 掃描器程序尋找這些主機的漏洞。黑客一般尋找網絡速度很快的Linux 主機運行這些掃描程序。 所有這些掃描程序都會進行下列檢查: TCP 端口掃描; RPC 服務列表; NFS 輸出列表; 共享(如samba、netbiox)列表; 缺省賬號檢查; Sendmail、IMAP、POP3、RPC status 和RPC mount

7、d 有缺陷版本檢測。 進行完這些掃描,黑客對哪些主機有機可乘已胸有成竹了。 如果路由器兼容SNMP協議,有經驗的黑客還會采用攻擊性的SNMP 掃描程序進行嘗試, 或者使用"蠻力式"程序去猜測這些設備的公共和私有community strings。 5、利用漏洞 現在,黑客找到了所有被信任的外部主機,也已經找到了外部主機所有可能存在的漏洞。下一步就該開始動手入侵主機了。 黑客會選擇一臺被信任的外部主機進行嘗試。一旦成功侵入,黑客將從這里出發,設法進入公司內部的網絡。但這種方法是否成功要看公司內部主機和外部主機間的過濾策略了。攻擊外部主機時,黑客一般是運行某個程序,利用外部主機

8、上運行的有漏洞的daemon竊取控制權。有漏洞的daemon包括Sendmail、IMAP、POP3各個漏洞的版本,以及RPC服務中諸如statd、mountd、pcnfsd等。有時,那些攻擊程序必須在與被攻擊主機相同的平臺上進行編譯。 6、獲得控制權黑客利用daemon的漏洞進入系統后會做兩件事:清除記錄和留下后門。 他會安裝一些后門程序,以便以后可以不被察覺地再次進入系統。大多數后門程序是預先編譯好的,只需要想辦法修改時間和權限就可以使用,甚至于新文件的大小都和原有文件一樣。黑客一般會使用rcp 傳遞這些文件,以便不留下FTP記錄。 一旦確認自己是安全的,黑客就開始侵襲公司的整個內部網 7

9、竊取網絡資源和特權 黑客找到攻擊目標后,會繼續下一步的攻擊,步驟如下: （1）下載敏感信息 如果黑客的目的是從某機構內部的FTP或WWW服務器上下載敏感信息,他可以利用已經被侵入的某臺外部主機輕而易舉地得到這些資料。 （2）攻擊其他被信任的主機和網絡 大多數的黑客僅僅為了探測內部網上的主機并取得控制權,只有那些"雄心勃勃"的黑客,為了控制整個網絡才會安裝特洛伊木馬和后門程序,并清除記錄。 那些希望從關鍵服務器上下載數據的黑客,常常不會滿足于以一種方式進入關鍵服務器。他們會費盡心機找出被關鍵服務器信任的主機,安排好幾條備用通道。 （3）安裝sniffers 在內部網上,黑客要想迅速獲得大量的賬號(包括用戶名和密碼),最為有效的手段是使用"sniffer" 程序。 黑客會使用上面各節提到的方法,獲得系統的控制權并留下再次侵入的后門,以保證sniffe