第 2 章 络攻击与防范

1、第 2 章网络攻击与防范 第 2 章网络攻击与防范 2.1黑客概述2.2常见的网络攻击2.3攻击步骤2.4网络攻击的实施2.5留后门与清痕迹的防范方法2.1黑客概述 2.1.1 黑客的由来1.黑客的发展史2.黑客的含义所谓黑客，是指利用通信软件，通过网络非法进入他人计算机系统，获取或篡改各种数据，危害信息安全的入侵者或入侵行为。在日本新黑客词典中，对黑客的定义是“喜欢探索软件程序奥秘，并从中增长了其个人才干的人。他们不像绝大多数电脑使用者那样，只规规矩矩地了解别人指定了解的狭小部分知识。” 在中华人民共和国公共安全行业标准（GA 163-1997）中，黑客被定义为“对计算机系统进行非授权访问的

2、人员”。这也是目前大多数人对黑客的理解。2.1.2 黑客文化 黑客们充分利用互联网跟那些兴趣相同的人成为朋友和伙伴。在互联网还不是很普及的时候，黑客们通过访问他们自己建立的留言板系统（BBS），来与其他黑客联系。黑客可以将BBS放在自己的计算机上，让人们登陆系统去发送消息、共享信息、玩游戏以及下载程序。 2.1.3 知名黑客史蒂夫乔布斯和斯蒂芬沃兹尼克，苹果公司创始人，都是黑客。他们早期的一些活动很像一些恶意黑客的行为。但是，乔布斯和沃兹尼亚克超越了恶意行为，开始专心开发计算机硬件和软件。他们的努力开辟了个人电脑的时代。李纳斯托沃兹，Linux之父，一名正直的著名黑客。在黑客圈里，Linux系

3、统非常受欢迎。托沃兹促进了开放源代码软件观念的形成，向人们证明了只要你向所有人公开信息，你就可以收获不可思议的财富。理查德斯托尔曼，人称RMS，是自由软件运动，GNU计划和自由软件基金的创始人。他促进了免费软件和自由访问计算机的理念的推广。同时他与一些组织（比如免费软件基金会）一起合作，反对诸如数字版权管理这样的政策。乔纳森詹姆斯，他在16岁的时候成为了首位被监禁的青少年黑客，并因此恶名远播。他曾经入侵过很多著名组织的站点，包括美国国防部下设的国防威胁降低局（DTRA）。通过此次黑客行动，他捕获了用户名和密码，并浏览高度机密的电子邮件。詹姆斯还曾入侵过美国宇航局的计算机，并窃走价值170万美元

4、的软件。据美国司法部长称，他所窃取的软件主要用于维护国际空间站的物理环境，包括对湿度和温度的控制。当詹姆斯的入侵行为被发现后，美国宇航局被迫关闭了整个计算机系统，并因此花费了纳税人的4.1万美元。目前，詹姆斯正计划成立一家计算机安全公司。2.1.3 知名黑客凯文米特尼克，在上世纪八十年代他可谓是恶名昭著，17岁的时候他潜入了北美空中防御指挥部（NORAD）。美国司法部曾经将米特尼克称为“美国历史上被通缉的头号计算机罪犯”，他的所作所为已经被记录在两部好莱坞电影中，分别是Takedown和Freedom Downtime。米特尼克最初破解了洛杉矶公交车打卡系统，因此他得以免费乘车。在此之后，他也

5、同苹果联合创始人斯蒂芬沃兹尼克（Steve Wozniak）一样，试图盗打电话。米特尼克首次被判有罪是因为非法侵入Digital Equipment公司的计算机网络，并窃取软件。之后的两年半时间里，米特尼克展开了疯狂的黑客行动。他开始侵入计算机，破坏电话网络，窃取公司商业秘密，并最终闯入了美国国防部预警系统。后来，他因为入侵计算机专家、黑客Tsutomu Shimomura的家用计算机而落网。在长达5年零8个月的单独监禁之后，米特尼克现在的身份是一位计算机安全作家、顾问和演讲者。2.1.3 知名黑客凯文鲍尔森，也叫“黑暗但丁”，他因非法入侵洛杉矶KIIS-FM电话线路而闻名全美，同时也因此获得

6、了一辆保时捷汽车。美国联邦调查局（FBI）也曾追查鲍尔森，因为他闯入了FBI数据库和联邦计算机，目的是获取敏感信息。鲍尔森的专长是入侵电话线路，他经常占据一个基站的全部电话线路。鲍尔森还经常重新激活黄页上的电话号码，并提供给自己的伙伴用于出售。他最终在一家超市被捕，并被处以五年监禁。在监狱服刑期间，鲍尔森担任了Wired杂志的记者，并升任高级编辑。阿德里安拉莫，他热衷入侵各大公司的内部网络，比如微软公司等。他喜欢利用咖啡店、复印店或图书馆的网络来从事黑客行为，因此获得了一个“不回家的黑客”的绰号。拉莫经常能发现安全漏洞，并对其加以利用。通常情况下，他会通知企业有关漏洞的信息。在拉莫的入侵名单上

7、包括雅虎、花旗银行、美洲银行和Cingular等知名公司。由于侵入纽约时报内部网络，拉莫成为顶尖数码罪犯之一。也正是因为这一罪行，他被处以6.5万美元罚款，以及六个月家庭禁闭和两年缓刑。拉莫现在是一位著名公共发言人，同时还是一名获奖记者。2.1.3 知名黑客2.1.4 2013年上半年国际国内重大互联网安全事件（1）著名VPS网站linode被黑客入侵2013年4月上旬，美国VPS（Virtual Private Server，指虚拟专用服务器）供应商Linode遭黑客入侵。黑客窃取了Linode客户的信用卡号码和哈希加密密码，甚至公布了部分密码、源代码片段和目录列表作为入侵Linode成功的

8、证据。（2）Carberp工具包源码泄露Carberp是一款专门用于盗取银行信息的恶意软件，据说能够逃避反病毒软件的检测，并且能够感染硬盘的主引导记录（MBR）。2013年4月，犯罪份子通过该恶意软件从乌克兰和俄罗斯盗取了大约169万美元。6月份，Carberp的源代码在网上出售，标价为5万美元。（3）美联社Twitter账户被黑2013年4月23日，美联社的Twitter账号被黑客劫持，并发布假消息称白宫爆炸，美国总统奥巴马在恐怖袭击中受伤。消息虽然只传播了几分钟，但引发了美国股市的跳水，导致道琼斯工业平均指数在瞬间下跌超150点。（4）IE8爆出“劳动节水坑”漏洞2013年5月初，黑客利用

9、了一个存在于IE8浏览器中的0day漏洞实施攻击，在美国劳工部网站植入木马病毒，当用户使用IE8内核浏览器打开该网站时，木马病毒将自动下载并执行，使用户网络账户及个人隐私面临被窃风险，该漏洞是2013年上半年威胁最高的安全漏洞。（5）雅虎日本称2200万用户ID疑遭泄露（6）黑客利用CSRF链接攻击路由器，威胁几百万用户（7）美国黑客组织从ATM机窃取4500万美元（8）微软Xbox Live遭黑客入侵（9）超级网银安全风险被犯罪分子利用，24秒骗10万（10）美国“棱镜门”引发国际社会高度关注（11）大众点评网域名被劫持几个小时影响大量用户使用（12）Facebook现安全漏洞（13）韩国总

10、统府官网被黑（14）中国内地162万主机IP遭控制（15）Opera被入侵（16）国内网络兼职欺诈泛滥（17）客户400万资金被盗刷，银行眼看着钱被取走（18）35岁的美国著名黑客巴纳拜杰克暴毙2.1.5 黑客的行为发展趋势 1黑客组织化2黑客技术的工具化、智能化（1）黑客开发的工具。（2）很多网络安全工具可以当作黑客工具来使用，同样是扫描器，网络管理员可以用它来检查系统漏洞，防患于未然，黑客也可以用它来寻找攻击入口，为实施攻击做好准备，另外还有很多常用的网络工具也能当作黑客工具来用，如Telnet、Ftp等等。主要表现在以下3个方面。（1）反检测技术攻击者采用了能够隐藏攻击工具的技术，这使得

11、安全专家通过各种分析方法来判断新的攻击的过程变得更加困难和耗时。（2）动态行为以前的攻击工具按照预定的单一步骤发起进攻，现在的自动攻击工具能够按照不同的方法更改它们的特征，如随机选择预定的决策路径，或者通过入侵者直接控制。（3）攻击工具的模块化3黑客技术普及化 黑客技术普及化的原因有以下三个方面：（1）黑客组织的形成，使黑客的人数迅速扩大，如美国的“大屠杀2600”的成员就曾达到150万人，这些黑客组织还提供大量的黑客工具，使掌握黑客技术的人数剧增。（2）黑客站点的大量出现。通过Internet，任何人都能访问到这些站点，学习黑客技术也不再是一件困难的事。（3）计算机教育的普及，很多人在学习黑

12、客技术上不再存在太多的专业障碍。 4黑客年轻化 由于中国互联网的普及，形成全球一体化，甚至连很多偏远的地方也可以从网络上接触到世界各地的信息资源，所以越来越多对这方面感兴趣的中学生，也已经踏足到这个领域。有资料统计，我国计算机犯罪者主要是1930岁的男性，平均年龄约为23岁，而央视中国法治报道则将这个年龄拉低到19岁。这种现象反映出我们的网络监管及相关法律部门的管理存在着极大的漏洞。5黑客的破坏力扩大化 中国电子商务研究中心最新数据显示，2012年国内网购市场交易规模已经超过1万亿大关，但在市场繁荣的背后，却是近年来手段不断翻新的黑客行为，并逐渐形成了研发、制作、调试、销售、教学等各环节完备的

13、“黑客产业链”。国内多家网络安全公司监测数据显示，购物欺诈网站、股票或彩票欺诈网站、木马、QQ盗号、钓鱼网站等各类网络诈骗手段日益猖獗，给用户造成的直接经济损失已超过50亿元，并按每年15%左右的速度增长。2.2常见的网络攻击1窃听2数据篡改 3身份欺骗（IP地址欺骗）4 盗用口令攻击（Password-Based Attacks）5拒绝服务攻击（Denial-of-Service Attack） 6中间人攻击（Man-in-the-Middle Attack） 7盗取密钥攻击（Compromised-Key Attack）8Sniffer 攻击（Sniffer Attack） 9应用层攻击（

14、Application-Layer Attack） 9应用层攻击（Application-Layer Attack） （1）阅读、添加、删除、修改用户数据或操作系统 （2）在用户应用系统中引入病毒程序 （3）引入Sniffer，对用户网络进行分析，以获取所需信息，并导致用户网络的崩溃或瘫痪 （4）引起用户应用系统的异常终止 （5）解除用户系统中的其他安全控制，为其新一轮攻击打开方便之门2.2.1攻击目的 网络攻击正朝着具有更多的商业动机发展。随着动机改变，质量也在改变。我认为，在许多情况下，网络攻击都是专业软件开发人员所为。他们的主要目的有：窃取信息获取口令控制中间站点获得超级用户权限2.2.

15、2攻击事件分类 在信息系统中，存在3类安全威胁：外部攻击：攻击者来自系统外部 。内部攻击：内部越权行为 。行为滥用：合法用户滥用特权。可将攻击事件分为以下5类 1破坏型攻击2利用型攻击3信息收集型攻击4垃圾信息攻击5网络欺骗攻击2.3攻击步骤 1确定攻击的目标2收集被攻击对象的有关信息3利用适当的工具进行扫描。4实施攻击。5巩固控制 7清除痕迹6继续深入2.3攻击步骤 2.4网络攻击的实施 1调查、收集和判断目标网络系统的网络结构等信息2制定攻击策略和确定攻击目标3扫描目标系统4攻击目标系统2.4.1网络信息搜集 1用ping来识别操作系统C:ping Pinging with 32 byte

16、s of data:Reply from : bytes=32 time10ms TTL=128 Reply from : bytes=32 time10ms TTL=128 Reply from : bytes=32 time10ms TTL=128 Reply from : bytes=32 time C:ping Pinging with 32 bytes of data:Request timed out. Reply from : bytes=32 time=250ms TTL=237 Reply from : bytes=32 time=234ms TTL=237 Reply fr

17、om : bytes=32 time=234ms TTL=237Ping statistics for : Packets: Sent = 4， Received = 3， Lost = 1 (25% loss)， Approximate round trip times in milli-seconds: Minimum = 234ms， Maximum = 250ms， Average = 179ms2.直接通过联接端口根据其返回的信息Microsoft Windows 2000 Version 5.00.2195 版权所有 1985-1998 Microsoft Corp.C:telne

18、t 80 输入get 回车 如果返回， HTTP/1.1 400 Bad Request Server: Microsoft-IIS/5.0Date: Fri， 11 Jul 2003 02:31:55 GMT Content-Type: text/html Content-Length: 87The parameter is incorrect.遗失对主机的连接。 C: 那么这台就肯定是indows的系统了。如果返回：Method Not Implementedget to / not supported. Invalid method in request getApache/1.3.27

19、 Server at Port 80遗失对主机的连接。 C: 那么多数就是UINX的系统了。如果返回， Connected to . 220 ready， dude (vsFTPd 1.1.0: beat me， break me)User (none): 那么这就是一台UINX的机子了。如果开了23端口，这个就简单了，直接telnet上去。如果返回， Microsoft Windows Version 5.00 (Build 2195) Welcome to Microsoft Telnet Service Telnet Server Build 5.00.99201.1 login: 那么

20、这肯定是一台windows的机子了如果返回， SunOS 5.8 login: 不用说了，这当然是一台UINX的机子了，并且版本是SunOS 5.8的。 3.利用专门的软件来识别（1）著名的nmap，它采用的是主动式探测，探测时会主动向目标系统发送探测包，根据目标目标机回应的数据包来，叛断对方机器的操作系统。（2）天眼，采用的是被动式的探测方法。 不向目标系统发送数据包，只是被动地探测网络上的通信数据，通过分析这些数据来判断操作系统的类型。配合superscan使用，效果很好。具体的使用方法，在此就不具体介绍了。有兴趣的学生可以到网上搜索一下关于天眼使用方法的文章。2.4.2端口扫描 1.什么

21、是扫描器2.扫描器能干什么3.常用的端口扫描技术（1）TCP connect() 扫描 （2）TCP SYN扫描（3）TCP FIN 扫描（4）IP段扫描（5）FTP 返回攻击（6）TCP 反向 ident扫描220 FTP server (Version wu-2.4(3) Wed Dec 14) ready. 220 FTP server ready. 220 xx.Telcom.xxxx.EDU FTP server (Version wu-2.4(3) Tue Jun 11) ready. 220 lem FTP server (SunOS 4.1) ready. 220 xxx.xx

22、x.es FTP server (Version wu-2.4(11) Sat Apr 27) ready. 220 elios FTP server (SunOS 4.1) ready 这种方法不能成功的情景： 220 FTP server (Version DG-2.0.39 Sun May 4) ready. 220 xxx.xx.xxxxx.EDU Version wu-2.4.2-academBETA-12(1) Fri Feb 7 220 ftp Microsoft FTP Service (Version 3.0). 220 xxx FTP server (Version wu-

23、2.4.2-academBETA-11(1) Tue Sep 3) ready. 220 FTP server (Version wu-2.4.2-academBETA-13(6) ready. 3.常用的端口扫描技术（7）UDP ICMP端口不能到达扫描 （8）UDP recvfrom()和write() 扫描（9）ICMP echo扫描2.4.3基于认证的入侵防范 1.IPC$入侵IPC$本来主要是用来远程管理计算机的，但实际上往往被入侵者用来与远程主机实现通信和控制。入侵者能够利用它做到：建立、拷贝、删除远程计算机文件；在远程计算机上执行命令。1）远程文件操作2）留后门账号3）IPC$空

24、连接漏洞4）IPC$入侵常见问题2.远程管理计算机1）远程管理2）查看信息：3）开启远程主机服务的其他办法4）常见问题：2.4.4信息隐藏技术 （1）数字水印技术(Digital Watermark)（2）隐写术(Steganography)2.4.5安全解决方案 1.删除默认共享（1）首先了解本机共享资源，在cmd窗口输入“net share”命令；（2）删除共享资源：2.禁止空连接进行枚举攻击的方法有了IPC$空连接作为连接基础，入侵者可以进行反复的试探性连接，直到连接成功、获取密码，这就为入侵者暴力破解提供了可能性，被入侵只是时间问题。为了解决这个问题，打开注册表编辑器，在：HKEY_L

25、OCAL_MACHINESYSTEMCurrentControlSetControlLSA中把Restrict Anonymous=DWORD的键值改为：00000001(也可以改为2，不过改为2后可能造成一些服务不能正常工作)。修改完毕重起计算机，这样便禁止了空连接进行枚举攻击。要说明的是，这种方法并不能禁止建立空连接。现在再使用X-Scan对计算机进行安全检测，便会发现该主机不再泄露用户列表和共享列表，操作系统类型也不会被X-Scan识别。3.关闭Server服务Server服务是IPC$和默认共享所依赖的服务，如果关闭它，IPC$和默认共享便不存在，但同时也使服务器丧失其他一些服务功能，因此该方法不适合服务器使用，只适合个人计算机使用。通过“控制面板”“管理工具”“服务”打开服务管理器，在服务列表中找到Server服务，鼠标右击，在弹出菜单中选择“属性”，然后选择“禁用”，重起生效。还可使用D