第3章-网络扫描及网络监听

第3章网络扫描与网络监听

概述

本章主要介绍黑客的相关知识、网络踩点的方法、网络扫描和网络监听技术。其中，网络扫描是黑客实施攻击前获得目标及其漏洞信息的重要手段，而网络监听则是黑客向内部网进行渗透的常用手法。目录一.黑客概述

二.网络踩点

3.1黑客概述3.1.1黑客的概念“黑客”一词是由英文单词“Hacker”音译过来的。最初起源于20世纪50年代，是指那些精力充沛、热衷于解决计算机难题的程序员。当时计算机非常昂贵，只存在于各大院校与科研机构，技术人员使用一次计算机，需要很复杂的手续，而且计算机的效率也不高，为了绕过一些限制，最大限度地利用这些昂贵的计算机，一些程序员们就写出了一些简洁高效的捷径程序，这些程序往往较原有的程序系统更完善，这种行为被称为“Hack”,而“Hacker”就是从事这种行为的人。3.1黑客概述3.1.1黑客的概念20世纪60、70年代，黑客一词仍是褒义词，用于指代那些独立思考、奉公守法的计算机迷，他们智力超群，对计算机全身心投入，从事黑客活动意味着对计算机的最大潜能进行智力上的自由探索。随着互联网的日益扩大，逐渐形成了黑客群体。正是这些黑客，倡导了一场个人计算机革命，倡导了现代计算机的开放体系结构，打破了以往计算机技术只掌握在少数人手里的局面，是计算机发展史上的英雄。3.1黑客概述李纳斯·托瓦兹斯蒂夫·盖瑞·沃兹尼亚克理查德·马修·斯托曼肯·汤普生卡普尔莫里斯3.1黑客概述3.1黑客概述3.1黑客概述3.1.1黑客的概念从黑客的起源来看，称计算机犯罪的人为黑客是对Hacker本质的误解，只会使用一些软件入侵系统的人根本没有任何资格和黑客这个词相提并论。黑客：首先应该在某项安全技术上有出众的能力，即技术上的行家，另外，还应具有自由、共享的精神和正义的行为，即热衷于解决问题，并能无偿帮助他人。3.1黑客概述3.1.1黑客的概念黑客们为了与其他黑客相区别自封了三顶帽子，即“黑帽子”、“白帽子”和“灰帽子”。黑帽子：以入侵他人计算机系统为乐趣并进行破坏的人。白帽子：入侵系统进行安全研究并主动帮助别人修补漏洞的网络安全人员。灰帽子：指那些发现系统漏洞，并在公开场合探讨这些漏洞和安全防范措施的计算机技术爱好者。3.1黑客概述3.1.2攻击的概念攻击是对系统全策略的一种侵犯，是指任何企图破坏计算机资源的完整性（未授权的数据修改）、机密性（未授权的数据泄露或未授权的服务的使用）以及可用性（拒绝服务）的活动。通常，“攻击”和“入侵”同指这样一种活动。3.1黑客概述3.1.3攻击的分类互联计算机的威胁来自很多形式。1980年，Anderson在其著名的报告中，对不同类型的计算机系统安全威胁进行了划分，他将入侵分为外部闯入、内部授权拥护的越权使用和滥用三种类型，并以此为基础提出了不同安全渗透的检测方法。目前，攻击分类的主要依据有：威胁来源、攻击方式、安全属性、攻击目的和攻击使用的技术手段等。这里给出几种攻击分类方式。3.1黑客概述1.按照威胁的来源，潜在入侵者的攻击可以被粗略地分成两类。外来人员攻击和内部人员攻击2.按照安全属性，Stalling将攻击分为四类，如图3.1所示。3.按照攻击方式，攻击可分为主动攻击和被动攻击。被动攻击包括窃听和监听。常用保护方法：加密。此攻击检测困难。主动攻击包括伪装、应答、修改文件、拒绝服务。此攻击难阻止、但可以检测、并修复。3.1黑客概述4.按照入侵者的攻击目的，可将攻击分为下面四类。

(1)拒绝服务攻击：是最容易实施的攻击行为，它企图通过使目标计算机崩溃或把它压跨来阻止其提供服务。主要包括：Land，Synflooding(UDPflooding)，Pingofdeath，Smurf(Fraggle)，Teardrop，TCPRST攻击，Jot2，电子邮件炸弹，畸形消息攻击。(2)利用型攻击：是一类试图直接对你的机器进行控制的攻击。主要包括：口令猜测，特洛伊木马，缓冲区溢出。(3)信息收集型攻击：这类攻击并不对目标本身造成危害，而是被用来为进一步入侵提供有用的信息。主要包括：扫描（包括：端口扫描、地址扫描、反向映射、慢速扫描），体系结构刺探，利用信息服务（包括：DNS域转换、Finger服务，LDAP服务）。(4)假消息攻击：用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。黑客攻击案例1、1988年11月：罗伯特·塔潘·莫里斯对阵全球

罗伯特·塔潘·莫里斯(RobertTappanMorris)1988年成为康奈尔大学(CornellUniversity)的研究生，他研制出一种自我复制的蠕虫，并赋予它使命：确定互联网的规模(goouttodeterminethesizeoftheinternet)。事与愿违，蠕虫的复制无法控制，它感染了数千台电脑，造成了数百万美元的损失，并促使美国政府针对电脑创建了应急响应(createaemergencyresponseforcomputers)。

由于意外的失误，莫里斯最终被指控违反计算机欺诈与滥用法案(ComputerFraud&AbuseAct)，被判处1万美元罚金，及400小时社区服务。莫里斯的源代码存放于一个黑色3.5英寸软盘中，在波士顿科学博物馆(BostonMuseumofScience)中进行展示。黑客攻击案例2、2014年11月：索尼影业遭黑客攻击事件

美国索尼影业遭到黑客攻击，事件起因于该公司近日发行的“以刺杀朝鲜最高领导人金正恩”为主题的电影《采访》，由于多方介入，此事已经发酵成一起国际政治事件。11月22日，索尼影业网络系统遭黑客攻击，员工信件及影视明星的私人信息被泄露12月7日，朝鲜否认其为黑客事件幕后指使，但赞扬此行动为“正义之举”12月16日，自称“和平护卫队”的黑客团体威胁将在放映地点发动类似于9·11的恐怖袭击，电影纽约首映取消12月17日，美国主要院线声明撤销放映电影《采访》，索尼取消圣诞公映12月19日：FBI指控朝鲜是黑客事件的始作俑者；奥巴马称索尼取消公映是“错误”黑客攻击造成危害危害国家安全造成经济损失,破坏社会稳定破坏社会政策秩序引发网络黑客混战黑客攻击解决方法立法控制成立专门应对机构制定反黑公约世界联合行动增加财政投入3.1黑客概述5.按照入侵者使用的技术手段，攻击技术主要分为以下四类。网络信息收集技术：包括目标网络中主机的拓扑结构分析技术、目标网络服务分布分析技术和目标网络漏洞扫描技术。目标网络权限提升技术：包括本地权限提升和远程权限提升。目标网络渗透技术：包括后门技术、Sniffer技术、欺骗技术、tunnel及代理技术。目标网络摧毁技术：包括目标服务终止、目标系统瘫痪和目标网络瘫痪。3.2网络踩点

踩点，也就是信息收集。黑客实施攻击前要做的第一步就是“踩点”。与劫匪抢银行类似，攻击者在实施攻击前会使用公开的和可利用的信息来调查攻击目标。通过信息收集，攻击者可获得目标系统的外围资料，如机构的注册资料、网络管理员的个人爱好、网络拓扑图等。攻击者将收集来的信息进行整理、综合和分析后，就能够初步了解一个机构网络的安全态势和存在的问题，并据此拟定出一个攻击方案。3.2网络踩点肉鸡就是被黑客攻破，种植了木马病毒的电脑，黑客可以随意操纵它并利用它做任何事情，就象傀儡。肉鸡可以是各种系统，如windows、linux、unix等，更可以是一家公司、企业、学校甚至是政府军队的服务器。如何检测呢？3.2网络踩点注意以下几种基本的情况：

1：QQ、MSN的异常登录提醒（系统提示上一次的登录IP不符）

2：网络游戏登录时发现装备丢失或与上次下线时的位置不符，甚至用正确的密码无法登录。

3：有时会突然发现你的鼠标不听使唤，在你不动鼠标的时候，鼠标也会移动，并且还会点击有关按钮进行操作。

4：正常上网时，突然感觉很慢，硬盘灯在闪烁，就像你平时在COPY文件。

3.2网络踩点5：当你准备使用摄像头时，系统提示，该设备正在使用中。6：在你没有使用网络资源时，你发现网卡灯在不停闪烁。如果你设定为连接后显示状态，你还会发现屏幕右下角的网卡图标在闪。7：服务列队中出可疑程服务。8：宽带连接的用户在硬件打开后未连接时收到不正常数据包。（可能有程序后台连接）3.2网络踩点9：防火墙失去对一些端口的控制。10：上网过程中计算机重启。11：有些程序如杀毒软件防火墙卸载时出现闪屏（卸载界面一闪而过，然后报告完成。）12：一些用户信任并经常使用的程序（QQ`杀毒）卸载后。目录文仍然存在，删除后自动生成。13：电脑运行过程中或者开机的时候弹出莫名其妙的对话框3.2网络踩点我们可以借助一些软件来观察网络活动情况，以检查系统是否被入侵。1．注意检查防火墙软件的工作状态比如金山网镖、360安全卫士等。在网络状态页，会显示当前正在活动的网络连接，仔细查看相关连接。如果发现自己根本没有使用的软件在连接到远程计算机，就要小心了。3.2网络踩点2．推荐使用tcpview，可以非常清晰的查看当前网络的活动状态。一般的木马连接，是可以通过这个工具查看到结果的。这里说一般的木马连接，是区别于某些精心构造的rootkit木马采用更高明的隐藏技术，不易被发现的情况。3.2网络踩点3．使用360、金山清理专家等进行在线诊断，特别注意全面诊断的进程项清理专家会对每一项进行安全评估，当遇到未知项时，需要特别小心。4．清理专家百宝箱的进程管理器可以查找可疑文件，帮你简单的检查危险程序所在。3.2网络踩点1.关闭高危端口2.及时打补丁即升级杀毒软件3.经常检查系统4.盗版WindowsXP存在巨大风险5.小心使用移动存储设备6.安全上网如何避免呢？

3.2网络踩点

踩点3.2网络踩点Intranet又称为企业内部网，是Internet技术在企业内部的应用。它实际上是采用Internet技术建立的企业内部网络，它的核心技术是基于Web的计算。Intranet的基本思想是:在内部网络上采用TCP/IP作为通信协议，利用Internet的Web模型作为标准信息平台，同时建立防火墙把内部网和Internet分开。当然Intranet并非一定要和Internet连接在一起，它完全可以自成一体作为一个独立的网络。3.2网络踩点whois（读作“Whois”，而非缩写）是用来查询域名的IP以及所有者等信息的传输协议。whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期等）。通过whois来实现对域名信息的查询。3.2网络踩点1．利用搜索引擎搜索引擎是一个非常有利的踩点工具，如Google具有很强搜索能力，能够帮助攻击者准确地找到目标，包括网站的弱点和不完善配置。比如，多数网站只要设置了目录列举功能，Google就能搜索出Indexof页面，如图3.2。3.2网络踩点打开Indexof页面就能够浏览一些隐藏在互联网背后的开放了目录浏览的网站服务器的目录，并下载本无法看到的密码账户等有用文件，如图3.3。3.2网络踩点2．利用whois数据库除了搜索引擎外，Internet上的各种whois数据库也是非常有用的信息来源。这些数据库包含各种关于