保障与安全攻击踩点

Ⅰ黑客与攻击攻击〔2〕1.一、黑客概述什么是黑客？黑客是“Hacker〞的音译，源于动词Hack，其引申意义是指“干了一件非常漂亮的事〞。这里说的黑客是指那些精于某方面技术的人。对于计算机而言，黑客就是精通网络、系统、外设以及软硬件技术的人。什么是骇客？有些黑客逾越尺度，运用自己的知识去做出有损他人权益的事情，就称这种人为骇客〔Cracker，破坏者〕。2.黑客分类目前将黑客分成三类：第一类：破坏者；第二类：红客；第三类：间谍3.黑客的行为开展趋势网站被黑可谓是家常便饭，世界范围内一般美国和日本的网站比较难入侵，韩国、澳大利亚等国家的网站比较容易入侵，黑客的行为有三方面开展趋势：手段高明化：黑客界已经意识到单靠一个人力量远远不够了，已经逐步形成了一个团体，利用网络进行交流和团体攻击，互相交流经验和自己写的工具。活动频繁化：做一个黑客已经不再需要掌握大量的计算机和网络知识，学会使用几个黑客工具，就可以再互联网上进行攻击活动，黑客工具的群众化是黑客活动频繁的主要原因。动机复杂化：黑客的动机目前已经不再局限于为了国家、金钱和刺激。已经和国际的政治变化、经济变化紧密的结合在一起。4.黑客精神要成为一名好的黑客，需要具备四种根本素质：“Free〞精神、探索与创新精神、反传统精神和合作精神。1、“Free〞(自由、免费)的精神需要在网络上和本国以及国际上一些高手进行广泛的交流，并有一种奉献精神，将自己的心得和编写的工具和其他黑客共享。2、探索与创新的精神所有的黑客都是喜欢探索软件程序奥秘的人。他们探索程序与系统的漏洞，在发现问题的同时会提出解决问题的方法。5.黑客精神3、反传统的精神找出系统漏洞，并筹划相关的手段利用该漏洞进行攻击，这是黑客永恒的工作主题，而所有的系统在没有发现漏洞之前，都号称是平安的。4、合作的精神成功的一次入侵和攻击，在目前的形式下，单靠一个人的力量已经没有方法完成了，通常需要数人，数百人的通力协作才能完成任务，互联网提供了不同国家黑客交流合作的平台。6.黑客守那么任何职业都有相关的职业道德，一名黑客同样有职业道德，一些守那么是必须遵守的，不会给自己招来麻烦。归纳起来就是“黑客十二条守那么〞。1、不要恶意破坏任何的系统，这样做只会给你带来麻烦。2、不要破坏别人的软件和资料。3、不要修改任何系统文件，如果是因为进入系统的需要而修改了系统文件，在目的到达后将他改回原状。4、不要轻易的将你要黑的或者黑过的站点告诉你不信任的朋友。5、在发表黑客文章时不用真实名字。7.黑客守那么6、正在入侵的时候，不要随意离开电脑。7、不要入侵或破坏政府机关的主机。8、将笔记放在平安的地方。9、已侵入的电脑中的账号不得去除或修改。10、可以为隐藏自己的侵入而作一些修改，但要尽量保持原系统的平安性，不能因为得到系统的控制权而将门户大开。11、不要做一些无聊、单调并且愚蠢的重复性工作。12、做真正的黑客，读遍所有有关系统平安或系统漏洞的书。8.二、攻击五部曲一次成功的攻击，都可以归纳成根本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲〞1、隐藏IP2、踩点扫描3、获得系统或管理员权限4、种植后门5、在网络中隐身9.1、隐藏IP这一步必须做，因为如果自己的入侵的痕迹被发现了，当FBI找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑〔俗称“肉鸡〞〕，利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡〞的IP地址。第二种方式是做多级跳板“Sock代理〞，这样在入侵的电脑上留下的是代理计算机的IP地址。比方攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡〞或者“代理〞，这样跨国度的攻击，一般很难被侦破。10.2、踩点扫描踩点就是通过各种途径对所要攻击的目标进行多方面的了解〔包括任何可得到的蛛丝马迹，但要确保信息的准确〕，确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。11.3、获得系统或管理员权限得到管理员权限的目的是连接到远程计算机，对其进行控制，到达自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限通过管理漏洞获得管理员权限通过软件漏洞得到系统权限通过监听获得敏感信息进一步获得相应权限通过弱口令获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权通过欺骗获得权限以及其他有效的方法。12.4、种植后门为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。13.5、在网络中隐身一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。在入侵完毕后需要去除登录日志以及其他相关的日志。14.三、攻击和平安的关系黑客攻击和网络平安是紧密结合在一起的，研究网络平安不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络平安就是闭门造车。某种意义上说没有攻击就没有平安，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。网络攻击有善意也有恶意的，善意的攻击可以帮助系统管理员检查系统漏洞，恶意的攻击可以包括：为了私人恩怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮助以及一些无目的攻击。15.Ⅱ踩点技术16.一、网络信息获取概述

假设我们需要打击一个军事目标，那么采取的第一步行动通常是情报收集。要到达这个目的，可以有很多方法。比方，利用军事通信卫星对目标区域进行拍照，或者利用其他特殊侦察设备如高空侦察机、无线电接收机等等对目标实施情报收集。当然在进行情报获取时必须保持高度警惕，以防被敌方觉察。在获得足够的作战信息之后，将采取一系列的军事行动对敌军事目标实施打击……完成任务。17. 在此过程当中，情报的收集是非常重要的一个环节。如果无法获得足够多的情报(信息)，换句话说，即目标的防护体系非常严格，那么我们就不太可能对其发动有效进攻。 这同样适用于计算机网络的入侵和对抗。 聪明的黑客在尝试获得系统的特权之前，会做大量的信息获取工作。如果从获取的信息显示出目标计算机系统的平安防护水平低下，那么黑客就很容易发动一次攻击，并且获得系统的非授权访问。18. 然而，如果目标计算机系统保护森严，黑客在发动攻击之前将不得不三思而后行。这将依赖于目标计算机系统所采用的防护工具和平安系统。因此，我们事先获得的有关目标系统的信息量多少将是攻击成功与否的关键。 这一局部我们将详细地讨论各种有关网络信息获取的技术和技巧，主要包括以下三个方面：19.1.踩点(Footprinting) 踩点也就是要通过各种途径对所要攻击的目标进行多方面的了解〔包括任何可得到的蛛丝马迹，但要确保信息的准确〕。踩点的目的就是探察对方的各方面情况，确定攻击的时机。模清楚对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。踩点指获取有关目标计算机网络和主机系统平安态势的信息。不同的系统有不同的轮廓(Profile)，也就是说，对于其他站点来说是独一无二的特性。在踩点这一步骤当中，主要收集的信息包括：①各种联系信息，包括名字、邮件地址和号码、号；②IP地址范围；③ DNS效劳器；④邮件效劳器。20.2.网络扫描技术(Scanning) 网络扫描技术指检测目标系统是否同互联网连接、所提供的网络效劳类型等等。扫描采用的技术包括Ping扫射、端口扫描和操作系统识别等。通过网络扫描所能够获得的信息有：①被扫描系统所运行的TCP/UDP效劳；②系统体系结构(Sparc，Alpha，x86)；③通过互联网可以访问的IP地址范围；④操作系统类型。 网络扫描类似于小偷检查一所房子的门窗。它属于信息获取的第二步。21.3.查点技术(Enumeration)

提取系统的有效账号或者输出资源名的过程称为查点。通常这种信息是通过主动同目标系统建立连接来获得的，因此这种查询在本质上要比踩点和端口扫描更具入侵性(Intrusive)。 查点技术通常跟操作系统有关，所收集的信息有用户名和组名信息、系统类型信息、路由表信息以及SNMP信息。下表列举了在网络信息获取阶段所能识别的信息。22.

可识别的关键信息23.二、攻击目标确实定网页搜寻 通常我们都会从目标所在的主页开始(如果有的话)。目标网页可以给我们提供大量的有用信息，甚至某些与平安相关的配置信息。在此我们需要识别的信息包括网页的位置、相关公司或者实体、号码、联系人名字和电子邮件地址、到其他Web效劳器的链接。

24. 此外，也可查看网页的HTML源代码及其注释，注释当中或许包含没有公开显示的内容。还可以用工具将整个站点镜像下来后进行脱机浏览，这可大大提高我们踩点活动的效率。镜像整个Web站点的优秀工具有：用于UNIX系统的Wget(:///software/wget/wget.html)以及Windows系统下的Teleport(://tenmax)(如以下图所示)。25.用Teleport进行站点镜像26.链接搜索 接下来我们可以通过互联网上的超级搜索引擎来获得同目标系统相关的信息。搜索的范围包括各种新闻网站、IRC、Usenet、电子邮件和文件数据库。像://dogpile能够同时搜索多个搜索引擎。27. 最后，我们可以使用某些类似Altavista或Hotbot这样的主流搜索引擎提供的高级搜索功能，而这些搜索引擎为我们寻找指向目标系统所在域的链接的所有网站提供了便利的手段。初看起来这也许意义不大，不过我们由此可以开掘某些隐含的信息。假设某个单位的雇员在自己家里或在目标网络所在站点构建了一个非正式Web网站，而该Web效劳器可能并不平安或者未得到该单位的批准。因此通过确定哪些网站是实际链接到目标单位的Web效劳器，我们就可以搜索潜在的非正式网站，如以下图所示。图中的搜索结果是所有链接回… 的网站。因此很容易找出所有同你目标网站有关的线索。28.关键字“xidian〞的搜索结果29.

所有指向目标网站的链接30.EDGAR搜索 对于公开从事商贸的目标公司，我们可以查询在://网站上的证券和交易委员会(SEC，SecuritiesandExchangesCommission)EDGAR数据库，如下图。31.目标相关实体查询32. 管理自己的互联网链接成了各个组织机构面临的最大问题之一。这在他们主动归靠或兼并其他实体时尤为突出。因此关注新近归靠的实体相当重要。可查阅的最正确SEC出版物包括10-Q和10-K。10-Q是某个机构最近一季度以来所做事情的快照，包括购并其他实体或对其他实体的处置。10-K是某个机构一年以来所做事情的写照，可能不如10-Q及时。通过搜索“subsidiary(子公司)〞或“subsequentevents(后续事件)〞这样的关键词仔细筛读这些文档不失为一个好想法。这也许能提供有关新近归靠的实体的信息。各个机构往往是手忙脚乱地把新近归靠的实体连接到自己的大公司网络，极少顾及平安。因此混水摸鱼地利用归靠实体存在的平安弱点足以让我们蛙跳(Leapfrog)到母公司网络中。33.

使用EDGAR搜索时，记住你所寻找的实体的名称应不同于母公司。这在你接下去从InterNIC(互联网网络信息中心)数据库中执行针对机构本身的查询时变得相当关键。34.三、网络查点

Whois查询 WHOIS就是一个用来查询已经被注册域名的详细信息的数据库〔如域名所有人、域名注册商、域名注册日期和过期日期等〕。通过WHOIS来实现对域名注册信息查询〔WHOISDatabase〕。中国站长之家WHOIS查询系统支持国际域名WHOIS查询，国内域名WHOIS查询，英文域名WHOIS查询，中文域名WHOIS查询。

有多种机制可以来查询Whois数据库，见下表。不管采用什么机制，得到的信息都是一样的。35.表Whois搜索技巧36. InterNIC数据库只包含非军事和非美国政府的网络域，即、.edu、.net和.org。要是这些注册机构无法提供你所需的信息，那就需要查询下表所列的Whois效劳器。 每次查询可取得不同的信息。通常通过Whois数据库查询可以得到以下信息：(1)注册机构：显示特定的注册信息和相关Whois效劳器； (2)机构本身：显示与某个特定机构相关的所有信息； (3)域名：显示与某个特定域名相关的所有信息； (4)网络：显示与某个特定网络或单个IP地址相关的所有信息； (5)联系点(POC)：显示与某位特定人员(一般是管理方面联系人)相关的所有信息。37.表

政府、军事和跨国公司的Whois数据库38. 以下图显示了对域名yahoo的搜索结果，其中给出了该域名的注册机构(alldomainsINC.)、Whois效劳器、相应的域名效劳器、当前状态以及记录的创立时间、更新时间和过期时间。39.图对域名yahoo的查询40. 我们也可以从InterNIC直接查询不同国家的域名注册机构，然后从域名注册机构查询特定域的信息。以下图列举了中国大陆地区的局部域名注册机构。41.图InterNIC列举的有关中国大陆的注册机构(registrar)42. 有了注册机构信息，我们就可以通过其Whois效劳器进一步来查询域yahoo的其他信息。以下图给出了详细的域名查询结果，其中还包含了域名所对应的机构以及相应的联系人信息。这类查询通常能提供如下信息： (1)注册人； (2)域名； (3)管理方面联系人； (4)记录创立时间和更新时间； (5)主DNS效劳器和辅DNS效劳器。43.图域yahoo的详细信息44. 管理方面，联系人的信息相当重要。因为它可能向你告知负责互联网连接或防火墙的管理人员。它还列出了和号码。执行拨号入侵时，这些信息非常有用。在所列的号码范围内启动拨号轰炸程序就是一个不错的入口点。另外还可用于冒充管理方面联系人对目标机构内轻信别人的用户实施社会工程(SocialEngineering)攻击。攻击者会自称是管理方面联系人，给轻信的用户发送一个欺骗性电子邮件消息。令人惊奇的是，这种入侵的成功率相当高。许多用户会按照邮件消息所要求的修改密码。45.记录创立和更改日期指示信息本身的精确度。如果记录是在5年前创立的，但此后从未更新过，那么几乎可以肯定其中某些信息(譬如管理方面联系人)已过期。 最后提供的信息是权威性DNS效劳器。首先列出的是主DNS效劳器，随后列出的都是辅DNS效劳器。另外，我们可以尝试使用所列的网络范围着手对ARIN(AmericanRegistryforInternetNumbers)数据库进行网络查询。46.网络信息查询 利用ARIN数据库我们还可以查询某个域名所对应的网络地址分配信息。以下图显示的是给域名yahoo分配的IP地址段：～55。图中还列出了其它很多有用的信息。47.

目标网络地址查询48. 除了对域名进行查询，我们还可以对某个IP地址进行查询以获得拥有该IP地址的机构信息。以下图给出了IP地址4的查询结果，从中可以得知该IP地址属于亚太网络信息中心所有，并进一步给出了该IP地址的域名效劳器以及对应的Whois效劳器地址：:///apnic-bin/whois2.pl。这样我们可以继续往下查询，查询结果见后图所示。49.图

特定IP地址查询50.图

对IP地址4的查询结果51.

从上图中我们可以看出，IP地址4属于西安电子科技大学。在该查询当中还可以得到联系人信息(POC，PointOfContact)，结果如下：

person: MingYeaddress: ~{Nw025gWS?F<<4sQ'~} address: PresidentOfficeaddress: Xidian Universityaddress: No.2Taibai Roadaddress: Xi'an,Shaanxi,52. address: China phone: +86295261020ext.2203 fax-no: +86295262281e-mail: xdu@nic-hdl: MY3-CN notify: address-allocation- staff@ mnt-by: MAINT-NULL changed: szhu@19951225 source: APNIC53.四、DNS信息获取

区和区传送 域名系统允许把一个DNS命名空间分割成多个区，各个区分别保存一个或多个DNS域的名字信息。对于包含在每个区当中的DNS域名，该区就自动成为这些DNS域的授权信息发布源。 一个区可以作为单个DNS域名的存储数据库。如果在该域下继续增加其它子域，那么这些子域可以作为同一个区的一局部，也可以属于另一个区。因此，一旦增加一个子域，那么它可以是作为原始区记录的一局部来管理，或委派给另外一个区来支持这个子域。54. 以下图显示了microsoft域，它包含microsoft的域名。当microsoft域首次被作为一个效劳器时，被配置为所有MicrosoftDNS名字空间的惟一一个区。如果microsoft需要使用子域，那么这些子域必须包含在这个区中或者委派给另外的区来管理。55.图microsoft区56. 在这个例子当中，域example.microsoft是一个新的子域，它是作为自己的区来管理的。不过microsoft区必须包含一些资源记录(ResourceRecords)来提供委派信息，这些信息给出了example.microsoft子域的DNS效劳器信息。如果microsoft区不使用子域委派，那么子域的数据仍然是microsoft区的一局部。例如，子域dev.microsoft仍由microsoft区管理。57.五、网络侦察

Traceroute是一种非常有用的网络故障诊断工具，同时也是非常好的获取网络拓扑结构信息的好手。我们知道互联网中数据包的传送依靠网中的传输介质和网络设备(路由器、交换机、效劳器和网关等等)的交换从一端传输到另一端。 通过Traceroute命令我们可以跟踪TCP/IP数据包从出发点(Source)到达目的地(Destination)所走的路径。UNIX系统中，我们称之为Traceroute，MSWindows系统中为Tracert。Traceroute通过发送小的数据包到目的设备直到其返回，来测量其需要多长时间。一条路径上的每个设备Traceroute要探测三次。输出结果中包括每次测试的时间(ms)和设备的名称(如有的话)及其IP地址。58. 该实用诊断程序通过向目的地发送具有不同生存时间(TTL，TimeToLive)的Internet控制信息协议(ICMP)echo报文，以确定到达目的地的路由。路径上的每个路由器都要在转发该ICMPecho报文之前将其TTL值至少减1，因此TTL是有效的跳转计数器。当报文的TTL值减少到0时，路由器向源系统发回ICMP超时信息。通过发送TTL为1的第一个echo报文并且在随后的发送中每次将TTL值加1，直到目标响应或到达最大TTL值，Tracert就可以确定整条路由。通过检查中间路由器发回的ICMP超时(TimeExceeded)信息，可以定位这些中间路由器。注意，有些路由器“安静〞地丢弃生存时间过期的报文。下面我们以Windows系统下的Tracert命令为例说明其用法，下表为Tracert命令的参数选项说明。59.

tracert[-d][-hmaximum_hops][-jcomputer-list][-wtimeout]target_name60.表Tracert命令的参数选项说明61. 以下图显示了从源站点(9)到达目的地()所经过的中间网络设备。最左边的2，3，4列分别给出了中间每跳的响应时间。最右边一列给出了中间设备的IP地址和主机名字(如果有的话)。62.图

路由跟踪结果63.

Tracert使用的是ICMP协议分组，这类分组通常是很多防火墙过滤的目标，所以很可能被防火墙挡在目标网络之外，从而无法获得进一步的网络信息。 UNIX系统的Traceroute工具还支持使用UDP协议分组，而且用户还可以自己指定所使用的端口号n

(命令开关为：-pn)。这样我们可以使用DNS查询端口53号作为起始端口号，这种分组通过访问控制设备的概率相对要高。 必须注意的是，Traceroute每发送一个数据包，目的主机端口号都会自动增加1。要解决这个问题必须下载补丁程序进行更新。64. 同样，路由跟踪也有相应的图形化工具，比方VisualRoute(://visualware/visualroute/index.html)和XTraceroute(://dtek.chalmers.se/~d3august/xt/)。感兴趣的读者可以在站点:///atlas/routes.html上找到相关工具的链接。65.网络扫描黑客攻击五部曲中第二步踩点扫描中的扫描，一般分成两种策略:一种是主动式策略另一种是被动式策略。66.网络扫描概述被动式策略就是基于主机之上，对系统中不适宜的设置，脆弱的口令以及其他同平安规那么抵触的对象进行检查。主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反响，从而发现其中的漏洞。扫描的目的就是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的平安漏洞逐项进行检查，目标可以是工作站、效劳器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。67.扫描方式主动式扫描一般可以分成：1、活动主机探测；2、ICMP查询；3、网络PING扫描；4、端口扫描；5、标识UDP和TCP效劳；6、指定漏洞扫描；7、综合扫描。扫描方式可以分成两大类：慢速扫描和乱序扫描。1、慢速扫描：对非连续端口进行扫描，并且源地址不一致、时间间隔长没有规律的扫描。2、乱序扫描：对连续的端口进行扫描，源地址一致，时间间隔短的扫描。68.被动式策略扫描被动式策略是基于主机之上，对系统中不适宜的设置，脆弱的口令以及其他同平安规那么抵触的对象进行检查。被动式扫描不会对系统造成破坏，而主动式扫描对系统进行模拟攻击，可能会对系统造成破坏。69.案例1系统用户扫描可以使用工具软件：GetNTUser，该工具可以在Winnt4以及Win2000操作系统上使用，主要功能包括：〔1〕扫描出NT主机上存在的用户名。〔2〕自动猜测空密码和与用户名相同的密码。〔3〕可以使用指定密码字典猜测密码。〔4〕可以使用指定字符来穷举猜测密码。70.扫描对IP为09的计算机进行扫描，首先将该计算机添加到扫描列表中，选择菜单File下的菜单项“添加主机〞，输入目标计算机的IP地址，如以下图所示。可以得到对方的用户列表了。点击工具栏上的图标，得到的用户列表如图4-4所示。71.密码破解利用该工具可以对计算机上用户进行密码破解，首先设置密码字典，设置完密码字典以后，将会用密码字典里的每一个密码对目标用户进行测试，如果用户的密码在密码字典中就可以得到该密码。72.设置密码字典选择菜单栏工具下的菜单项“设置〞，设置密码字典为一个文本文件，如下图。73.进行系统破解利用密码字典中的密码进行系统破解，选择菜单栏工具下的菜单项“字典测试〞，程序将按照字典的设置进行逐一的匹配，如下图。74.案例2开放端口扫描得到对方开放了哪些端口也是扫描的重要一步。使用工具软件PortScan可以到得到对方计算机都开放了哪些端口，主界面如下图。75.端口扫描对09的计算机进行端口扫描，在Scan文本框中输入IP地址，点击按钮“START〞，开始扫描如下图。76.案例3共享目录扫描通过工具软件Shed来扫描对方主机，得到对方计算机提供了哪些目录共享。工具软件的主界面如下图。77.扫描一个IP地址段该软件可以扫描一个IP地址段的共享信息，这里只扫描IP为09的目录共享情况。在起始IP框和终止IP框中都输入09，点击按钮“开始〞就可以得到对方的共享目录了，如下图。78.案例4利用TCP协议实现端口扫描实现端口扫描的程序可以使用TCP协议和UDP协议，原理是利用Socket连接对