第11章遠程控制與黑客入侵11.1遠程控制11.2黑客入侵11.3黑客攻擊與防范11.4ARP欺騙1可編輯ppt11.1遠程控制11.1.1遠程控制概述遠程控制是在網絡上由一臺計算機（主控端Remote/客戶端）遠距離去控制另一臺計算機（被控端Host/服務器端）的技術，這里的遠程不是字面意思的遠距離，一般指通過網絡控制遠端計算機，大多數時候人們所說的遠程控制往往指在局域網中的遠程控制而言。當操作者使用主控端計算機控制被控端計算機時，就如同坐在被控端計算機的屏幕前一樣，可以啟動被控端計算機的應用程序，可以使用被控端計算機的文件資料，甚至可以利用被控端電腦的外部打印設備（打印機）和通信設備（調制解調器或者專線等）來進行打印和訪問互聯網，2可編輯ppt11.1.2遠程控制軟件的原理遠程控制軟件一般分兩個部分:一部分是客戶端程序Client，另一部分是服務器端程序Server(或Systry)，在使用前需要將客戶端程序安裝到主控端計算機上，將服務器端程序安裝到被控端計算機上。它的控制的過程一般是先在主控端計算機上執行客戶端程序，像一個普通的客戶一樣向被控端計算機中的服務器端程序發出信號，建立一個特殊的遠程服務，然后通過這個遠程服務，使用各種遠程控制功能發送遠程控制命令，控制被控端計算機中的各種應用程序運行，稱這種遠程控制方式為基于遠程服務的遠程控制。通過遠程控制軟件，可以進行很多方面的遠程控制，包括獲取目標計算機屏幕圖像、窗口及進程列表；記錄并提取遠端鍵盤事件(擊鍵序列，即監視遠端鍵盤輸入的內容)等。3可編輯ppt11.1.3遠程控制技術的應用范疇1、遠程辦公這種遠程的辦公方式不僅大大緩解了城市交通狀況，減少了環境污染，還免去了人們上下班路上奔波的辛勞，更可以提高企業員工的工作效率和工作興趣。2、遠程技術支持通常，遠距離的技術支持必須依賴技術人員和用戶之間的電話交流來進行，這種交流既耗時又容易出錯。許多用戶對計算機知道得很少，然而當遇到問題時，人們必須向無法看到計算機屏幕的技術人員描述問題的癥狀，并且嚴格遵守技術人員的指示精確地描述屏幕上的內容，但是由于用戶計算機專業知識非常少，描述往往不得要領，說不到點子上，這就給技術人員判斷故障制造了非常大的障礙。4可編輯ppt3、遠程交流利用遠程技術，商業公司可以實現與用戶的遠程交流，采用交互式的教學模式，通過實際操作來培訓用戶，使用戶從技術支持專業人員那里學習案例知識變得十分容易。而教師和學生之間也可以利用這種遠程控制技術實現教學問題的交流，學生可以不用見到老師，就得到老師手把手的輔導和講授。4、遠程維護和管理網絡管理員或者普通用戶可以通過遠程控制技術為遠端的計算機安裝和配置軟件、下載并安裝軟件修補程序、配置應用程序和進行系統軟件設置。5可編輯ppt11.1.4WindowsXP遠程控制的實現WindowsXP“遠程桌面”的應用WindowsXP系統“遠程協助”的應用6可編輯ppt11.2黑客入侵1什么是黑客？黑客也稱“駭客”(hacker)，該詞的原意是極富褒義的，它源于英語動詞“劈”(hack)，因而早期的“黑客”(hacker)可以用來稱呼手藝精湛的木匠。在20世紀的60至70年代之間，“黑客”(hacker)也曾經專用來形容那些有獨立思考那里的電腦“迷”，如果他們在軟件設計上干了一件非常漂亮的工作，或者解決了一個程序難題，同事們經常高呼“hacker”。于是“黑客”(hacker)就被定義為“技術嫻熟的具有編制操作系統OS級軟件水平的人”。

7可編輯ppt許多處于Unix時代早期的“黑客”(hacker)都云集在麻省理工學院和斯坦福大學，正是這樣一群人建成了今天的“硅谷”。后來某些具有“黑客”水平的人物利用通訊軟件或者通過網絡非法進入他人系統，截獲或篡改電腦數據，危害信息安全。于是“黑客”開始有了“電腦入侵者”或“電腦搗亂分子”的惡名。

8可編輯ppt11.2.1網絡入侵的基本過程現在黑客入侵網絡的手段十分豐富，令人防不勝防。但是，認真分析與研究黑客入侵網絡活動的手段和技術，實施必要的技術措施，就能防止黑客入侵網絡。下面在介紹黑客入侵網絡的基本過程：9可編輯ppt第一步是確定入侵的目標

大多數情況下，網絡入侵者都會首先對被攻擊的目標進行確定和探測。10可編輯ppt第二步是信息收集與分析在獲取目標機其所在網絡類型后，還須進一步獲取有關信息，如目標機的IP地址，系統管理人員的地址，操作系統類型與版本等，根據這些信息進行分析，可得到有關被攻擊方系統中可能存在的漏洞。如利用WHOIS查詢，可了解技術管理人員的名字信息。若是運行一個host命令，可獲取目標網絡中有關機器的IP地址信息，還可識別出目標機器的操作系統類型。再運行一些Usernet和Web查詢可以知曉有關技術人員是否經常上Usernet等。11可編輯ppt第三步是對端口(Port)與漏洞挖掘

黑客要收集或編寫適當的工具，并在對操作系統的分析的基礎上，對工具進行評估，判斷有哪些漏洞和區域沒有覆蓋到。在盡可能短的時間內對目標進行端口與漏洞掃描。完成掃描后，可對所或數據進行分析，發現安全漏洞，如FTB漏洞，NFS輸出到未授權程序中，不受限制的X服務器訪問，不受限制的調制解調器，Sendmail的漏洞，NIS口令文件訪問等。下面將對有關的端口與漏洞進行分析。12可編輯ppt公認端口(WellKnownPorts)

這類端口也常稱之為“常用端口”。它們的端口號從0到1023之間。“常用端口”緊密綁定于一些特定的服務，不允許改變。例如：80端口是為HTTP通信協議所專用，8000端口用于QQ通信等等。13可編輯ppt2注冊端口(RegisteredPorts)

這類端口的端口號從1024到4915l，它們松散地綁定于一些服務，用于其他的服務和目的。由于注冊端口多數沒有明確定義出服務對象，因此常會被木馬定義和使用。14可編輯ppt3動態和／或私有端口(Dynamicand／orPrivatePorts)

這類端口的端口號從49152到65535。由于這些端口容易隱蔽，也常常不為人所注意，因此也常會被木馬定義和使用。15可編輯ppt常見的TCP協議端口有

(1)21號端口，用于文件傳輸協議FTP。文件傳輸服務包括上傳、下載大容量的文件和數據，例如主頁。(2)23號端口，用于遠程登陸Telnet。遠程登陸允許用戶以自己的身份遠程連接到電腦上，通過這種端口可以提供一種基于DOS模式下的通信服務，如純字符界面的BBS。16可編輯ppt(3)25號端口，用于簡單郵件傳送協議SMTP。簡單郵件傳送協議是用于發送郵件。(4)80號端口，用于“超文本傳輸協議”HTTP。這是用得最多的協議，網絡上提供網頁資源的電腦(“Web服務器”)只有打開80號端口，才能夠提供“WWW服務”。17可編輯ppt(5)110號端口，用于接收郵件協議POP3。它和SMTP相對應，接收郵件協議只用于接收POP3郵件。(6)139端口，用于為NetBIOS提供服務，例如WindowsXP的文件和打印機共享服務。(NetBIOS是“網絡基本輸入輸出系統”，系統可以利用多種模式將NetBIOS名解析為相應的IP地址，從而實現局域網內的通信，但在Intenet上NetBIOS就相當于一個后門，很多攻擊者都是通過NetBIOS漏洞發起攻擊的)。18可編輯ppt①53號端口，用于域名解析服務DNS。②161號端口，用于簡單網絡管理協議SNMP。③3389端口，WindowsXP默認允許遠程用戶連接到本地電腦端口。④4000／8000號端口，用于QQ和OICQ服務。⑤137和138號端口，用于網絡鄰居之間傳輸文件。常見的UDP協議的端口有：19可編輯ppt所謂的漏洞一詞原本指系統的安全缺陷。漏洞也是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。它形成的原因非常復雜，或者是由于系統設計者的疏忽或其他目的在程序代碼的隱蔽處保留的某些端口或者后門；或者是由于要實現某些功能。比如網絡之間的通信而設計的端口；或者是外來入侵者刻意打開的某些端口。20可編輯pptWindows環境中的輸入法漏洞，這個漏洞曾經使許多入侵者輕而易舉地控制了使用Windows環境的計算機：WindowsXPProfessional中的一個允許計算機進行遠程交互通信的“遠程過程調用協議”RPC(RemoteProcedureCall)，又成為了“沖擊波”病毒入侵的漏洞。如此等等，因而這些都可以認為是系統中存在的安全漏洞。21可編輯ppt第四步實施攻擊。

根據已知的“漏洞”或者“弱口令”，實施入侵。通過猜測程序可對截獲的擁護賬號和口令進行破譯。利用破譯的口令可對截獲的系統密碼文件進行破譯；利用網絡和系統的薄弱環節和安全漏洞可實施電子引誘（如安放特洛伊木馬）等。黑客們或修改網頁進行惡作劇，或破壞系統程序或放病毒使系統癱瘓，或竊取政治，軍事，商業秘密，或進行電子郵件騷擾，轉移資金賬戶，竊取金錢等。22可編輯ppt所謂“弱口令”就是“簡單的密碼”。因為口令就是人們常說的密碼，“弱”在網絡的術語里就是“簡單”的意思。許多網絡計算機往往就是因為設置了簡單的密碼而被黑客入侵成功。因此，應該對“弱口令”問題給予足夠的重視。讓黑客即使登錄到我們的計算機之上，也因為無法破解密碼而達不到控制計算機或者竊取數據的目的。弱口令23可編輯ppt第五步留下“后門”

由于黑客滲透主機系統之后，往往要留下后門以便今后再次入侵。留下后門的技術有多種方法，包括提升帳戶權限或者增加管理帳號或者安裝特洛伊木馬等。所謂“后門”是指后門程序又稱特洛伊木馬(Trojanhorse)，也簡稱“木馬”，其用途在于潛伏在網絡計算機中，從事搜集信息或便于黑客進入的動作。后門是一種登錄系統的方法，它不僅繞過系統已有的安全設置，而且還能挫敗系統上各種增強的安全設置。

24可編輯ppt第六步清除日志

黑客對目標機進行一系列的攻擊后，通過檢查被攻擊方的日志，可以了解入侵過程中留下的“痕跡”；這樣入侵者就知道需要刪除哪些文件來毀滅入侵證據。為了達到隱蔽自己入侵行為的目的，清除日志信息對于黑客來講是必不可少的。在現實生活中，很多內部網絡或者企業網絡根本沒有啟動審計機制，這給入侵追蹤造成了巨大的困難。25可編輯ppt11.2.2黑客入侵的層次與種類黑客入侵的方式多種多樣，危害程度也不盡相同，按黑客進攻的方法和危害程度可分為以下級別和層次：●郵件爆炸攻擊（emailbomb）（第一層）●簡單服務拒絕攻擊（denialofservice）（第一層）●本地用戶獲得非授權讀訪問（第二層）●遠程用戶獲得非授權的帳號（第三層）●遠程用戶獲得了特權文件的讀權限（第四層）●遠程用戶獲得了特權文件的寫權限（第五層）●遠程用戶有了根（root）權限（黑客已經攻克系統）（第六層）26可編輯ppt11.3黑客攻擊與防范黑客攻擊的一般流程是：“獲取目標IP地址”、“掃描目標開放的端口和破解弱口令”以及“入侵目標”。1．獲取遠程目標IP地址

獲取遠程目標的IP地址的方法很多，有通過具有自動上線功能的掃描工具將存在系統漏洞的目標電腦的IP地址捕獲：有使用專門的掃描工具進行掃描獲得，例如下面要介紹的X-Scan；有通過某些網絡通信工具等。此外也可以通過PING命令直接解析對方的IP地址。27可編輯ppt2．掃描遠程目標漏洞當需要掃描的IP地址范圍確定后，入侵者就要獲取目標計算機上的漏洞(也稱為“開放的端口”)和弱口令等其他信息。“端口掃描”(portscanning)是主動對目標計算機的選定端口進行掃描，它掃描目標計算機的TCP協議或UDP協議端門，實時地發現“漏洞”，以便入侵。

利用軟件掃描端口和破解弱口令本例以X-Scan來進行說明怎樣利用掃描軟件來掃描端口和破解弱口令。28可編輯ppt3．入侵目標計算機(1)與目標計算機建立連接當通過X-Scan的掃描，發現了有用戶使用了“弱口令”。例如IP地址為：3的主機上有一個名字為：Administrator的管理員用戶使用了“弱口令”為空。因此就很容易造成入侵。黑客如果要利用“弱口令”登錄到這臺計算機上。只要在本地計算機上發布以下命令：netuse\\3\ipc$"123456"／user："Administrator"29可編輯ppt(2)上傳木馬在目標計算機上建立一個連接之后，就可以利用DOS的命令上傳一個木馬文件：serven.exe，當然也可以下載目標計算機上的文件。上傳一個木馬文件server.exe的命令為：Copyserver.exe\\0\adminS\system32上傳一個木馬文件server.exe后，為了讓它在指定的時間自動執行，用以下命令獲取對方的計算機時間。Nettime\\630可編輯ppt(3)打掃痕跡上述工作完成后，黑客一般要打掃痕跡，避免對方發現。用以下命令刪除共享：netShareadmin$/del。31可編輯ppt11.4ARP欺騙(1)ARP欺騙的含義眾所周知，IP地址是不能直接用來進行通信的，這是因為IP地址只是主機在抽象的網絡層中的地址。如果要將網絡層中傳送的數據報交給目的主機，還要傳到數據鏈路層轉變成硬件地址后才能發送到實際的網絡上。由于IP地址是32位的，而局域網的硬件地址是48位的，因此它們之間不存在簡單的映射關系。將一臺計算機的IP地址翻譯成等價的硬件地址的過程叫做地址解析。32可編輯ppt(2)ARP欺騙原理如果一臺計算機A要與另一臺計算機B進行通信時，它就會先在自己的列表中搜尋一下這個被訪問的IP地址所對應的MAC地址，如果找到了就直接進行通信，如果表中沒有的話，主機A則會向網內發一個廣播來尋找被訪問目標B的MAC地址，當被訪問目標B收到廣播后它就會自動回應一個信息給發廣播的機器A，其他機器則不會給發廣播的機器A回應任何信息，這樣計算機A就可以更新列表并與計算機B進行正常通信。由此可見，ARP協議是建立在網內所有計算機的高度信任基礎上來進行工作的，因此這就為黑客提供了攻擊的好機會。33可編輯ppt(3)ARP攻擊的方式根據ARP欺騙的原理可知攻擊的方式有以下兩種：1）中間人攻擊中間人攻擊就是攻擊者將自己的主機作為被攻擊主機間的橋梁，可以查看它們之間的通信，提取重要的信