第7章黑客原理与防范措施

1、第七章黑客原理与防范措施主要内容7.1 黑客简介7.2 黑客攻击的一般步骤7.3 常见的黑客攻击方法7.4 黑客攻击防范措施 月11日上午8点多，中国移动的网站首页显示的不是“移动信息专家”，而是一行涂鸦：“恳请移动的话费能便宜点不”原来是中国移动网站遭到黑客突袭。 黑客事件百度称遭大规模黑客攻击12日搜索“罢工”近半小时9月12日17点30分，有北京、重庆等地的网友反映百度无法正常使用，出现“请求超时”（Requesttime out）的信息。这次攻击造成了百度搜索服务在全国各地出现了近30分钟的故障。随后，百度技术部门的员工们快速反应，将问题解决并恢复百度服务。9月12日晚上11时37分，

2、百度空间发表了针对不明攻击事件的声明。“今天下午，百度遭受有史以来最大规模的不明身份黑客攻击，导致百度搜索服务在全国各地出现了近30分钟的故障。”百度首席技术官刘建国对记者说，“黑客使用的攻击手段是同步泛滥（synflooding），这是一种分布式服务拒绝（DDOS）方法。就是通过大量的虚假IP地址，建立不完整连接，使服务超载，从而不能提供正常的服务。”经过百度技术工程师与不明身份的黑客斗争，百度的搜索服务已经在12日傍晚恢复正常。黑客事件27.1 黑客简介一、什么是黑客 “黑客”一词，源于英文Hacker，原指专门研究、热心于计算机技术和发现计算机、网络漏洞的计算机爱好者，通常都是水平高超的

3、电脑专家，尤其是程序设计人员。 “黑客”所做的不是恶意破坏，黑客的存在是由于计算机技术的不健全，从某种意义上来讲，计算机的安全需要更多黑客去维护。 “黑客存在的意义就是使网络变的日益安全完善”。 但是到了今天，黑客一词为英文“cracker”，也翻译成“骇客”。为什么呢？ 黑客成为那些专门利用计算机进行破坏或入侵他人的代言词。 “黑客”和“骇客”混为一体，黑客被人们认为是在网络上进行破坏的人。 二、黑客发展简史一般认为，黑客起源于20世纪50年代麻省理工学院的实验室，一般都是些高级技术人员，热衷于挑战、崇尚自由和主张信息共享。60年代，黑客代指独立思考、奉公守法的计算机迷，他们利用分时技术允许

4、多个用户同时执行多道程序，扩大了计算机及网络的使用范围.70年代，黑客倡导了一场个人计算机革命，他们发明并生产了个人计算机，打破了以往计算机技术只掌握在少数人手里的局面，并提出了计算机为人民所用的观点。其领头人是苹果公司的创建人史蒂夫乔布斯。在这一时期，黑客们也发明了一些侵入计算机系统的基本技巧，如破解密码、开天窗等。80年代，黑客的代表是软件设计师，包括比尔盖茨在内的这一代黑客为个人计算机设计出了各种应用软件。而就在这时，随着计算机重要性的提高，大型数据库也越来越多，信息越来越集中在少数人手里。黑客开始为信息共享而奋斗，这时黑客开始频繁入侵各大计算机系统。 如今的黑客队伍人员杂乱，既有善意的

5、以发现计算机系统漏洞为乐趣的“计算机黑客”(Hacker)，又有玩世不恭好恶作剧的“计算机怪客”(Cyberbunk)，还有纯粹以私利为目的、任意篡改数据、非法获取信息的“计算机骇客” (Cracker)。此外在我国，还有以捍卫国家尊严和主权为己任的“红客” (Hunker)。三、中国黑客发展 第1代(19961998)：大部分是从事科研、机械等方面工作的人。他们凭着较高的文化素质、计算机技术水平和对网络热爱迅速发展为黑客。后来参加工作为从事网络安全技术研究或成为“派客”（即网络安全保护者） 1998年，爆发了东南亚金融危机，且在一些地区发生了严重针对华人的暴乱。当时残害华人的消息在新闻媒体上

6、报道后，国内计算机爱好者怀着一片爱国之心和对同胞惨遭杀害的悲痛之心，纷纷对这些进行抗议。中国黑客对这些地区网站发动了攻击，众多网站悬挂起中华人民共和国五星红旗，当时黑客代表组织为“绿色兵团”。 第2代(19982000)：此时的黑客一部分是从事计算机的工作者和网络爱好者，另一部分是在校学生。 这一代的兴起是由1999年5月8日美国轰炸驻中国南斯拉夫大使馆时间引发，黑客代表组织为原“中国黑客联盟”。第3代(20002003)：主要由在校学生组成。采用技术主要是照搬网上一些由前人总结出经验和攻击手法。这一代的兴起是由2001年4月的一起撞机事件引发，黑客代表组织为“红客联盟”和“中国鹰派” 第4代

7、(2003至今)：黑客组织由大联盟开始向小组团队模式发展，更注重小组间的技术交流和团队合作精神。比较出色有“邪恶八进制”、“火狐技术联盟”等。四、中国黑客现状和发展趋势 如今国内黑客网站门派繁多，但整体素质不如人 意。主要原因是整体技术功底薄弱，夸大作风； 内容粗制滥造，原创作品少，相互抄袭，研究层 次级别低；缺少一个统一协调中国黑客界行动发 展的组织。 目前中国黑客发展总体可归为五大趋势： 黑客年轻化； 黑客破坏力扩大化； 黑客技术迅速普及； 黑客技术的工具化； 黑客组织化。五、黑客精神以及行为准则 一名真正的黑客，一般会尊重如下的黑客精神以及行为准则。1. 黑客精神 Free(自由、免费)

8、的精神 探索与创新的精神 反传统的精神 合作的精神2行为准则不随便攻击个人用户及站点 虽然黑客们在找到系统漏洞并侵入时，往往都会很小心避免造成损失，并尽量善意地提醒管理者，但在这个过程中有许多因素都是未知的。没有人能肯定最终会是什么结果，因此一个好的黑客是不会随便攻击个人用户及站点的.多编写一些有用的软件 这些软件都是免费的，但又和一般的共享软件有所不同，因为这些软件的源代码同时也是公开的。帮助别的黑客测试与调试软件 没有人能写出完全没有一点错误或是不再需要改进的完美软件，因而对软件的测试与调试非常重要，测试与调试软件甚至会比编写软件更耗费精力。但在黑客的世界中，这或许算不了什么，因为在写出一

9、个软件后，会有许多其他的黑客热心帮助测试与调试.义务做一些力所能及的事 黑客们都以探索漏洞与编写程序为乐，但在黑客圈子中，除了探索漏洞与编写程序外，还有许多其他杂事，如维护和管理相关的黑客论坛、新闻讨论组以及邮件列表，维持大的软件供应站台，推动RFC和其他技术标准等。洁身自好，不与“怪客”混在一起 真正的黑客总是耻于与“怪客为伍，他们不会随意破解商业软件并将其广泛流传，也不会恶意侵入别人的网站并造成损失。他们的所作所为更像是对于网络安全的监督。六、黑客的发展方向在未来的社会中，黑客依然会是计算机技术发展的一种动力。特别是在计算机安全检查维护方面，黑客将扮演着举足轻重的角色。目前，越采越多的政府

10、和公司管理者要求黑客向他们传授有关计算机安全方面的技术。而从善的黑客正成为各部门和公司抢用的炙手可热的人才。许多公司和政府机构都邀请黑客为他们检查系统的安全性，甚至还请他们设计新的防护措施。例如，网景公司在两位加州大学研究生黑客发现网景公司设计的信用卡购物软件程序的漏洞并公布于众之后，网景修正了缺陷并宣布举办名为“网景缺陷大奖赛”的竞赛，那些发现和找到该公司产品中漏洞的黑客可获1000美元奖金。美国各大站点受黑客攻击后，美国政府也力邀黑客采商讨网络安全问题。硅谷老板则聘请黑客来对付黑客，美国波士顿著名黑客团体Lopht被Stake公司招安，八位留着长发的年轻黑客进入该公司从事计算机安全防护业务

11、。无疑，技术高超的黑客会对计算机安全技术的发展做出贡献，他们将是现代社会的一笔无价财富。 同时，也必须看到加强计算机管理立法工作的重要性，运用法律的手段对黑客在网络上的犯罪行为加以坚决打击。7.2 黑客攻击的一般步骤(1)隐身黑即是空。聪明的黑客首先会隐藏自己的位置。普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还会利用800 的无人转接服务联接ISP，然后再盗用他人的帐号上网。 (2)踩点搜索信息。踩点即通过多种途径获得有关目标系统的大量信息，包括域名、IP地址范围、邮件地址、用户账号、网络拓扑、路由跟踪信息、系统运行状态等。 (3)扫描探测漏洞。如果说踩点阶段获得的是诸如

12、“姓甚名谁”的信息，那么扫描阶段所要获得的就是“以往病史”及“目前身体状况”一类的信息，这些敏感或漏洞信息可以被黑客直接利用来进行攻击。 扫描阶段黑客可能施展的各种手段包括端口扫描、操作系统类型探测、针对特定应用及服务的漏洞扫描(包括Web漏洞扫描、Windows漏洞扫描、SNMP漏洞扫描、RPC漏洞扫描等)。(4)嗅探 Sniffer技术。通过嗅探，黑客可以获得大量的敏感信息，包括用户账号、登录密码、邮件内容等。(5)进攻直捣龙门。一般性的攻击方法包括DoS(拒绝服务)攻击、DDoS攻击、密码破解攻击、网络欺骗类型的攻击、会话劫持攻击、缓冲区溢出攻击等。(6)操纵窃取网络资源和特权。黑客依据

13、获取的普通访问权进行提升权限(获取超级管理员控制权)、消除痕迹、留置后门等纵向行为模式。到这一步时，黑客如果进行下载敏感信息，窃取账号密码、信用卡号，使网络瘫痪等活动，已经是易如反掌了。7.3 常用黑客攻击的方法一、信息收集型攻击信息收集型攻击并不对目标本身造成危害，顾名思义这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构探测、利用信息服务。1.扫描技术 地址扫描 端口扫描 反响映射 地址扫描 概述：运用Ping这样的程序探测目标地址，对此做出响应的表示其存在。 防御：在防火墙上过滤掉ICMP应答消息。端口扫描 概述：通常使用一些软件，向大范围的主机连接一系列的TCP端口

14、，扫描软件报告成功建立了连接的主机所开的端口。 防御：防御方法很简单，安装防火墙即可。反响映射 概述：向主机发送虚假消息，然后根据返回host unreachable这一消息特征判断出哪些主机是存在的。 防御：NAT和非路由代理服务器能够自动抵御，也可在防火墙上过滤host unreachable ICMP应答即可。 扫描工具推荐介绍（1） shadow security 目前非常红火，功能非常强大。几点缺点：占用的系统资源很大；不适合进行大规模扫描；所有版本均有一个bug，就是在扫到8383端口的imail server时，会大规模误报，而在检测主机类型时也会有一定偏差。但其作为一个非商业性

15、的扫描器,已经难能可贵了。可以在下载到最新版和注册机。（2） Nmap(Network mapper) 不但能扫描出TCP/UDP端口，还能用于扫描/侦测大型网络。在有下载。2. 体系结构探测 概述：黑客使用具有已知响应类型数据库的自动工具，对来自目标主机的、对坏数据包检查。通过这种方式用户能确定出目标主机的名称以及内部的IP地址。 防御：去掉或修改各种Banner(即系统自动反馈给访问者的有关自身名称、版本等信息)，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。3.利用信息服务 DNS域转换 概述：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同

16、的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只须实施一次域转换操作，就能得到所有主机的名称以及内部IP地址。 防御：在防火墙处过滤掉域转换请求即可抵御此类攻击。 Finger服务 LDAP服务 致命工具介绍 使用的工具软件是：SMBDie，该软件对打了SP3、SP4的计算机依然有效，必须打专门的SMB补丁，软件的主界面如图所示。 攻击的时候，需要两个参数：对方的IP地址和对方的机器名，窗口中分别输入这两项，如图所示。然后再点按钮“Kill”，如果参数输入没有错误的话，对方计算机立刻重启或蓝屏，命中率几乎100%，被攻击的计算机蓝屏界面如图所示。二、利用型攻击 利用型攻击是一类试图直

17、接对计算机进行控制的攻击，最常见的有3种。 1.密码猜测 概述：一旦黑客识别了一台主机，而且发现了基于NetBIOS、Telnet或NFS这样的服务可利用的用户账号，成功的密码猜测能提供对计算机的控制。 防御：要选用难以猜测的密码，例如大小写字母、数字和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。 密码猜测工具推荐介绍几乎所有黑客的工具箱内都有密码破解工具。黑客在入侵的第一阶段，通常先尝试破解电脑的密码，而大多数的系统（包括Windows NT 及UNIX）都把密码储存在电脑的特定文件里。黑客偷到这个文件后，就

18、会用工具配合一部字典来进行破解。密码破解工具的作用，就是通过解码得到密码。破解工具能把字典中的每一个字编码后，比较密码编码的“值”，如果两者相符就找出了密码，这种破解方式又称为“暴力破解”(brute-force crack)。运转破解工具的系统愈快，解码的时间就愈短。它当然也能用来破解上网账号或电子邮箱的密码。L0phtCrack 黑客组织“L0pht重工业”(L0pht Heavy Industries)号称是“白帽黑客精英中的摇滚巨星”，它在1997年发表了L0phtCrack这个软件，功效强大且容易使用，按一个键就可以破解密码，连新手也能操作自如。新版本的功能更是先进，利用一台Pent

19、ium II 450 电脑，可在一天内破解所有由字母与数字混合的密码。 防御L0phtCrack的基本方法 l.应使密码不易被猜中，比如善用各类符号，避免使用字典上的字词。黑客们公认由字母、数字与符号合成的七位数密码(例如a4%H6# )最难破解。 2.经常改换密码，最好每隔一个月改一次。 3.凡是附带密码机制的项目，例如开机、硬盘、上网、电子邮件等，都要设定密码，不要怕麻烦。 4.有些网站要求使用者先设定一个密码才能进入，此时千万不要填入账号或开机密码，因为很多网站会把网友设置的密码储存在一个数据库内，黑客会先试用这些密码。 5.不要把密码告诉任何人，如果必须这样做，也不要用 或电子邮件传递

20、。 6.不要用自己的生日、 号码、车牌号码、姓名或其它的资料当密码，严防身边的黑客。 2. “特洛伊木马” 概述：“特洛伊木马”是一种直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做“后门”程序，程序包括NetBus、BackOrifice和BO2k、冰河，用于控制系统的良性程序如netcat、VNC、pcAnywhere、RemotelyAnywhere。理想的“后门”程序会隐蔽地运行。 防御：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。“灰鸽子”

21、简介 灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。 软件攻击之特洛伊木马客户端主界面如图所示： 特点：端口反弹木马的工作原理，使防火墙形同虚设 ：在传输层，和传统的木马恰恰相反，被控端（服务端）执行客户端的命令，但它不监听一个端口，而是主动去连接客户端；客户端给服务端下达命令，但它不主动去连接服务端，而是开一个端口监听服务端的连接。 反向连接，被控制电脑“自动上线”：灰鸽子是反向连接的

22、木马，也就是说，被控制电脑会主动连接控制端电脑。冰河、BO2000这些传统的木马要连接被控端电脑必须告知客户端被控电脑的IP地址和端口等信息，而灰鸽子则不同，灰鸽子的客户端启动后，被控制电脑会争先连接到客户端，如同好友上线。功能：1)模枋Windows资源管理器，可以对被控制电脑上的文件进行复制、粘贴、删除、重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用；2)可以查看被控制电脑的系统信息、剪切板上的信息等；可以远程操作被控制电脑的进程、服务；可以远程禁用被控制电脑的共享和创建新的共享，还可以把被控制电脑设置为一台代理服务器；3)不但可以连继的捕获远程电脑屏幕，还能把本地的鼠标及键盘

23、操作传送到被控制电脑，实现远程实时控制功能；4)可以监控被控电脑上的摄像头,还有语音监听和发送功能，可以和被控电脑进行语音对话。5)灰鸽子还能模拟注册表编辑器，操作远程注册表就像操作本地注册表一样方便；6)命令广播，如关机、重启或打开网页等，这样单击一个按钮就可以让多台机器同时关机、重启或打开网页等。 3.缓冲区溢出 概述：由于在很多服务程序中，粗心大意的程序员使用像strcpy()、strcat()类似的不进行有效位检查的函数，最终可能导致恶意黑客编写一小段利用程序来进一步打开安全豁口，然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，系统的控制权就会被夺取。

24、 防御：利用SafeLib、tripwire这样的程序保护系统，或者不断安装补丁更新操作系统。三、假消息攻击 用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。1DNS高速缓存污染 由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来，并把用户引向黑客自己的主机。 防御：在防火墙上过滤入站的DNS更新，外部DNS服务器应不能更改内部服务器对内部计算机的认识。2伪造电子邮件 由于SMTP并不对邮件发送者的身份进行鉴定，因此黑客可以对内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的“特洛伊木马”程序，或

25、者是一个引向恶意网站的连接。 使用PGP等安全工具，并安装电子邮件证书即可防御此类攻击。四、服务拒绝攻击服务拒绝攻击企图通过耗尽网络资源，使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为。下面举一些例子： 死亡之Ping (Ping of death)概述：在早期阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCPIP栈的实现在ICMP包上都是规定64KB，并且在读取包的标题头之后，要根据该标题头中包含的信息来为有效载荷生成缓冲区，当产生畸形的、声称自己的尺寸超过ICMP上限的包，也就是加载的尺寸超过64KB上限时，就会出现内存分配错误，导致TCPIP堆栈

26、崩溃，致使接收方死机。 防御：现在所有的标准TCPIP都可对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击。另外配置防火墙，阻断ICMP以及任何未知协议，都将防止此类攻击。而且Windows20002003、Linux等都具有抵抗一般死亡之Ping 攻击的能力。Land攻击 概述：在Land攻击中，一个特别打造的SYN包的原地址和目标地址都被设置成某一个服务器地址，此举将导致接收服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时。对Land攻击反应不同，许多Unix实现将崩溃，NT变得极其缓慢(大约持续五分钟)。 防

27、御：添加最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉(包括10域、127域、域、到域)。SYN Flood原理正常的三次握手建立通讯的过程SYN （我可以连接吗？）ACK （可以）/SYN（请确认！）ACK （确认连接）发起方应答方SYN Flood原理SYN （我可以连接吗？）ACK （可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接连接耗尽正常tcp connect攻击者受害者大量的tcp connect这么多需要处理？不能建立正常的连接正常tcp connect正常tcp connect正常tcp co

28、nnect正常tcp connect正常用户正常tcp connect电子邮件炸弹 概述：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台计算机向同一地址不断地发送大量的电子邮件，攻击者能够耗尽接收者网络的带宽。此外，以前一般用户的电子邮箱容量很小，平时大家收发邮件，传送软件都会觉得容量不够，如果电子邮箱一下子被几百、几千甚至上万封电子邮件所占据，这时电子邮件的总容量就会超过电子邮箱的总容量，以至造成邮箱超负荷而崩溃。 防御：在邮件服务器端可对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。对于广大邮箱使用者，应注意以下防范规则： 不要将自己的邮箱地址到处传播，特别是申请上网账号时I

29、SP送的电子信箱，该信箱一般按字节收费。 最好用POP3收信，可以用Outlook或Foxmail等POP收信工具收取E-Mail。例如用Outlook，可以设定对各种条件的E-Mail的处理方式。 当某人不停地发送邮件时，可以先打开一封信，看清对方地址，然后在收件工具的过滤器中选择不再接收从该地址来的信，直接从服务器删除。 在收信时，一旦看见邮件列表的数量超过平时正常邮件数量的若干倍，应当马上停止下载邮件，然后再从服务器上删除炸弹邮件。 不要认为邮件发送有个回复功能，就可以报复发炸弹的人。发件人有可能用的是假地址发信，这个地址也许填得与收件人地址相同。这样不但不能回报对方，还会使自己的邮箱彻

30、底完结。 还可以用一些工具软件防止邮件炸弹，例如echom201就是一个功能强大的砍信机，每分钟能砍到1000封电子邮件，是对付邮件炸弹的好工具。 JAVA炸弹原理 一般在聊天室可用的炸弹有两种， 一种是使用JavaScript编制的，只有在支持JavaScript的聊天室才可以使用它，具体的手段有：发死循环、让对方打开指定的窗口、让对方打开无数个新的窗口、给对方传输网上的文件、使对方打开自己硬盘上的文件、用图片让对方的CPU超负荷、让对方无数次地换行等。 另外一种炸弹是基于IP原理的，使用时需要知道对方的IP地址或者主机支持扩展邮件的标准。如果主机是Unix操作系统，且支持扩展邮件标准，那么