防黑高手-黑客攻击是怎么产生的

由 0晋身 200%防黑高手 张晓兵 陈 鹏 谢 巍 彭爱华 张忠将 齐文普 编 著 内蒙古科学技术出版社 1 第 1 章 黑客攻击是怎么产生的 黑客攻击是怎么产生的 1第 章 《 电 脑 爱 好 者 》 2 1.1 为什么会有攻击 一般认为，黑客起源于20世纪50年代麻省理工学院的实验室中，他们精力充沛，热衷于解决难题。 20世纪六七十年代，“黑客”一词极富褒义，用于指代那些独立思考、奉公守法的计算机迷，他 们智力超群，对电脑全身心投入，从事黑客活动意味着对计算机的潜力进行智力上的自由探索。 到了20世纪八九十年代，计算机越来越重要，大型数据库也越来越多，同时，信息越来越集中在 少数人的手里——这一场新时期的“圈地运动”引起了黑客们的极大反感。黑客认为，信息应共享， 而不是被少数人所垄断，于是开始将注意力转移到涉及各种机密的信息数据库上。因此而产生了破解口 令（Password cracking）、开天窗（Trapdoor）、走后门（Backdoor）、安放特洛伊木马（Trojan horse） 等黑客活动，还利用操作系统和程序的相关漏洞进行的创造性攻击。 如今的黑客鱼龙混杂，既有善意的以发现计算器系统漏洞为乐趣的“计算机黑客”（Hacker），又有玩 世不恭、好恶作剧的“计算机黑客”（Cyberbunk），还有纯粹以私欲为目的、任意篡改数据，非法获取信 息的“计算机黑客”（Cracker）。 一、黑客攻击的前提 网络通信自身存在漏洞或因配置不当而产生安全漏洞 ； 用户使用的操作系统存在安全漏洞 ； 用户使用的程序语言本身具有安全隐患。 二、攻击实施的工具 通过使用网络命令进行攻击 ； 使用专用软件（例如，X-scan等网络扫描软件） ； 攻击者自己编写软件，非法进入本地或者远程用户的主机系统。 三、黑客攻击产生的危害 获得、修改、删除用户系统的信息，或者在用户系统上增加垃圾（或有害信息）。 1.2 攻击的主要方式 随着网络攻击技术的飞速发展，网络世界的安全性不断受到挑战。对于攻击者自身来说，要闯入大部 分人的电脑实在是太容易了。如果你要上网，就免不了遇到攻击，所以必须知己知彼，才能在网上保证自 身安全。那么常用攻击手段有哪些呢？ 3 第 1 章 黑客攻击是怎么产生的 1.2.1 获取口令 产生攻击的前提之一是获得目标电脑的口令，所以我们需要把守的第一关就是保护好自己的口令。获 取口令通常有三种方法： ·暴力破解 ·欺骗 ·监听和嗅探 一、暴力破解 暴力破解的途径可分为两种，一种是通过远程试探（通俗的说法就是进行猜测），显然这样反复试探的 效率会比较低，并且对于使用者的入门也非常困难。他们不需要对被攻击方的服务器有太深入的了解，只要 知道一个用户账号和登录入口就可以开始尝试破解。另外一种是获取对方的密码文件后在本地破解。对于那 些口令安全系数极低的用户，暴力破解的过程可以在几十秒时间内将其破解。 可以作为攻击对象的口令有很多，例如屏幕保护程序口令、Windows登录口令、局域网共享口令、远 程共享口令、远程桌面口令、数据库 SQL Server 7.0/2000口令、数据库Access Data- base口令等。 如图1-2-1所示是用破解软件Cain破解 Access数据库密码的过程，这个软件破解能力 极强，几乎可以捕获所有的账号口令。 二、欺骗 在网上，用户可以利用IE等浏览器进行各种各样的WEB站点访问，如阅读新闻组、咨询产品价格、订 阅报纸、开展电子商务等。然而一般的用户恐怕不会想到，正在访问的网页可能已经被黑客篡改过，网页上 的信息是伪装的！黑客可以将用户要浏览的网页URL （网址） 改写为指向黑客自己的服务器，当用户浏览 目标网页的时候，实际上是向黑客服务器发出请求，这样黑客就达到了欺骗的目的。 三、监听和嗅探(Sniffer) 网络的一个特点就是数据总在流动中，从一处到另一处 ；而互联网是由错综复杂的各种网络交汇而成 的，也就是说，当你的数据从网络的一台电脑传到另一台电脑的时候，通常会经过大量不同的网络设备，用 tracert命令就可以看到这种路径是如何进行的。如果传输过程中，有人看到了传输中的数据，那么问题就 出现了——这就好比你给别人发了一封邮件，在半路上被人拆开偷看了。这样说或许你还不是很担心，但试 想一下，如果这个传送的数据是你的信用卡账号和密码，后果又会怎么样呢…… 嗅探监听主要有两种途径 ： 一种是将监听工具软件放到通过Internet连接的其他设备上，或者放到可以控制网络连接设备的电脑 图 1-2-1 攻击者用 cain破解 Access数据库密码 《 电 脑 爱 好 者 》 4 上，例如网关服务器和路由器。当然，要实现这样的效果可能也需要其他黑客技术，比如通过木马方式将嗅 探器发给某个网络管理员，使其不自觉的为攻击者进行安装。 另外一种是通过局域网将监听工具放到个人电脑中，实现对整个局域网的监听。 其原理是这样的 ：共享Hub获得子 网内需要接收的数据时，并不是直接发送 到指定主机，而是通过广播方式发送到每 个电脑上 ；真正的接受者电脑会收下该 数据，而其他非接受者的电脑则会扔掉这 些数据，这些操作本来与电脑操作者无 关，是系统自动完成的。但是若其他非接 收者有意收集数据的话，他是可以将那些 原本不属于他的数据打开的，这就是安全 隐患！ 如图1-2-2所示是利用Cain 嗅探 到邮箱密码的软件界面。 1.2.2 电子邮件攻击 电子邮件是大多数人和外界交往的主要手段之一，它也因此成为恶意攻击的重要目标。 电子邮件攻击主要有三种威胁： ·邮件炸弹 ·邮件病毒 ·邮件欺骗 一、邮件炸弹 电子邮件炸弹，英文是Email Bomb。相对于其他的攻击手段来说，这种攻击方法可谓简单，实质 就是发送地址不详、容量庞大、充满了乱码或者谩骂的恶意邮件，也可称之为大容量的邮件垃圾。由于 个人邮件信箱通常都容量有限，因此当庞大的邮件垃圾到达信箱时，就会把信箱完全占据，把正常的邮 件给冲掉。同时，由于它占用了大量的网络流量，常常导致网络“塞车”，使大量的用户不能正常地工 作。所以说邮件炸弹的危害是相当大的。现在已经有很多种能自动产生邮件炸弹的软件程序，而且有逐 渐普及的趋势。 二、邮件病毒 “邮件病毒”得名于它的传播途径，其实性质和普通的电脑病毒一样。它们一般是通过在邮件中夹 带“附件”的方式进行扩散。只有当你运行了该附件中的病毒程序以后，这个病毒才能感染你，一度 流行的“美丽杀手”、“Happy99病毒” 等就是邮件病毒。 三、邮件欺骗 通过将自己的邮件地址伪装成系统管理员，攻击者冒充系统管理员给用户发送邮件，要求用户修改口 图 1-2-2 利用 cain可以嗅探邮箱密码 5 第 1 章 黑客攻击是怎么产生的 令，口令可能为指定字符串，或者在貌似正常的附件中加载病毒或其他木马程序，这类欺骗只要用户提高警 惕，一般危害性不是太大。 1.2.3 特洛伊木马攻击 “特洛伊木马程序”技术是黑客常用的攻击方法。看过电影“特洛伊”的读者肯定对其中的个希腊人故 意留在特洛伊城前的藏满士兵的木马记忆犹新。希腊人久攻特洛伊不下，因此制造撤兵的假相，故意在城前 留下一具巨大的木马。特洛伊人高兴地把木马当作战利品抬进城去。当晚，正当特洛伊人沉湎于美酒和歌舞 的时候，藏在木马腹内的20名希腊士兵 杀出，打开城门，里应外合，特洛伊立刻 被攻陷。这里的“特洛伊木马”也正得名 于此，它通过在你的电脑系统隐藏一个会 在Windows启动时悄悄运行的程序，采 用服务器／客户机的运行方式，从而在你 上网时控制你的电脑，以便窃取你的口 令、浏览你的驱动器、修改你的文件、登 录注册等。如图1-2-3 所示是冰河木 马控制其他电脑的例子。 一般的木马程序都包括客户端和服务端两个程序，其中客户端即为攻击对象，也就是攻击者通过 Internet植入控制木马的机器 ；服务器端程序即是木马控制程序，能够遥控攻击对象。 木马入侵的前提是把木马执行程序植入攻击对象的电脑系统里，目前常用的方法有放入邮件附件、夹 在下载软件中等，通过类似来自朋友的生日贺卡等伪装，引诱攻击对象打开执行文件。当你打开这个文件 后，可能确实有贺卡的画面出现，但这时木马已经悄悄在你的后台运行了。一般的木马执行文件非常小，大 部分都是几千字节到几十千字节，因此如果把木马捆绑到其他正常文件上，很难被发现。现在有些网站提供 的下载软件往往捆绑了木马文件，在运行这些下载文件的同时，你也运行了木马。 如何防范木马程序呢？可以通过安装运行杀毒软 件，例如Norton AntiVirus 2004，并且启用自动防护。 如图1-2-4 所示是Norton AntiVirus 2004发现冰河木 马的实际例子。 1.2.4 寻找系统漏洞 许多操作系统都有这样那样的安全漏洞，其中一些是操作系统或应用软件本身具有的，如Sendmail 图 1-2-3 是冰河木马控制其他电脑 图 1-2-4 Norton AntiVirus 2004发现冰河木马 《 电 脑 爱 好 者 》 6 漏洞，Windows 98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前，很难防 御黑客的破坏，除非你将网线拔掉。还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统 中，将目录和文件以“可写”的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下， 这都会给黑客带来可乘之机，应及时加以修正。下面给大家演示一个实际例子——Windows的WebDAV漏 洞。 目的：熟悉Windows的WebDAV漏洞，利用IIS服务器中存在的WebDAV缓冲溢出漏洞发起针对 Windows操作系统的攻击，获取Windows操作系统System账户Shell，并在被攻击主机上添加管理员账 号，安装后门程序。 一、漏洞原理 WebDAV用于对WEB内容的认证和版本控制，是对HTTP 1.1协议的一个扩展。这个溢出漏洞存在 于NtDLL.dll(实现路径转换功能)中，而IIS的WebDAV组件使用了这个有漏洞的dll。当向IIS 5.0服务发送 一个经过特殊构造的请求时，攻击者能以系统权限执行任意代码，并得到系统完全控制权，从而导致WEB 服务器上的信息泄漏。利用此漏洞可以非常容易的攻击一台IIS服务器，并且可能会出现以此漏洞为目标的 蠕虫。 二、利用漏洞攻击过程 Step1:扫描有漏洞的主机。 使用WebDAV的Scan工具扫描某网 段内的所有主机，扫描完毕后会产生一个 主机是否可能存在WebDAV缓冲溢出漏洞 的列表，如图1-2-5所示，从中选择一台 有漏洞的主机进行攻击。 Step2:攻击目标机使其溢出。 使用Webdavx3工具对192.168.0.1进行缓冲溢出尝试性攻击，如图1-2-6所示，在命令提示符环境 下进入Webdavx3所在的目录，然后使用 Webdavx3＋ IP 的形式进行攻击，例如 “Webdavx3 192.168.0.1”。如果程序没有溢 出成功的提示，在经过极小一段时间的等待 后，请自行测试攻击是否成功。 图 1-2-5 扫描WebDAV漏洞 图 1-2-6 进行溢出攻击 7 第 1 章 黑客攻击是怎么产生的 Step3 ：判断是否溢出成功。 WebDAV缓冲溢出成功的标志是在目标机的7788端口上打开Telnet服务，不需要用户名和口令，直 接登录成功后可以得到System账户的Shell。 图1-2-7显示了缓冲溢出没有成 功时Telnet登录主机时的情况。 图1-2-8和图1-2-9显示了缓冲溢出成功时，获得 远程Shell的情况。 Step4 ：如图1-2-10所示，添 加管理员账户。 这里给guest账户改密码，然后将其提升到administrator组中。这个漏洞溢出成功后在telnet中是盲 打的，命令没有完成不会有回显，所以注意不要打错。 Step5 ：安装后门，删除日志，扩大成果(在后文的相关部分将做详细描述)。 三、防范WebDAV漏洞 1.修补程序下载：修补程序可从WindowsUpdate Web站点获得。 2.安装平台：此修补程序可以安装在运行Windows 2000的系统上Service Pack 2或Service pack 3 （Windows 2000 Service Pack 4中将包含此问题的修复）。 图 1- 2- 7 未攻击或攻击未成功的现象 图 1-2-8 用 Telnet登录目标机 图 1-2-9 登录成功 图 1-2-10 添加管理员账户 《 电 脑 爱 好 者 》 8 3.是否需要重新启动 ：是。 4.验证修补程序安装 ：要验证修补程序是否已安装到计算机上，请确认计算机上已创建了以下注 册表项 ： HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Updates\Windows 2000\SP4\Q815021。 要验证各个文件，请使用以下注册表项中提供的日期/时间和版本信息 ： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist。 1 .3 找到自己的漏洞——使用扫描器 攻击者在进行一次完整的攻击之前，首先要确定攻击要达到什么样的目的，即给对方造成什么样的 后果。常见的攻击目的有破坏型和入侵型两种。破坏型攻击指的只是破坏攻击目标，使其不能正常工作， 而不能随意控制目标系统的运行。要达到破坏型攻击的目的，主要的手段是拒绝服务攻击（Denial Of Service）。另一类常见的攻击是入侵攻击目标，这种攻击是要获得一定的权限来达到控制攻击目标的目 的。应该说这种攻击比破坏型攻击更为普遍，威胁性也更大。因为黑客一旦获取攻击目标的管理员权限， 就可以对此服务器做任意动作，包括破坏性的攻击。此类攻击一般也是利用服务器操作系统、应用软件 或者网络协议存在的漏洞进行的。当然还有另一种造成此种攻击的原因就是密码泄露，攻击者靠猜测或者 穷举法来得到服务器用户的密码，然后就可以用密码像真正的管理员一样对服务器进行访问。 除了确定攻击目的之外，攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。这些信息主要 包括目标的操作系统类型及版本，目标提供哪些服务。一般攻击者收集目标信息通常会用扫描器。 1.3.1 扫描器原理 扫描器是一种自动检测远程或本地主机安全弱点的程序，通过使用扫描器你可以不留痕迹地发现远程 服务器的各种TCP端口的分配、提供的服务和它们的软件版本。这就能让我们间接地或直观地了解到远程 主机所存在的安全问题。 一般黑客使用的漏洞扫描器，通常由以 下几个部分组成，如图1-3-1所示。 1.漏洞数据库模块 ：漏洞数据库包含了各种操作系统的各种漏洞信息，以及如何检测漏洞的指令。由 于新的漏洞会不断出现，该数据库需要经常更新，以便能够检测到新发现的漏洞。 2.用户配置控制台模块 ：用户配置控制台与安全管理员进行交互，用来设置要扫描的目标系统，以及 图 1-3-1 典型漏洞扫描体系结构 9 第 1 章 黑客攻击是怎么产生的 扫描哪些漏洞。 3.扫描引擎模块 ：扫描引擎是扫描器的关键部分。根据用户配置控制台部分的相关设置，扫描引擎组 装好相应的数据包，发送到目标系统，将接收到的目标系统的应答数据包与漏洞数据库中的漏洞特征进行比 较，来判断所选择的漏洞是否存在。 4.当前活动的扫描知识库模块 ：通过查看内存中的配置信息，把该模块监控当前活动的扫描以及将要 扫描的漏洞的相关信息提供给扫描引擎，同时还要接收扫描引擎返回的扫描结果。 5.结果存储器和报告生成工具 ：报告生成工具是利用当前活动扫描知识库中存储的扫描结果，生成扫 描报告。扫描报告将告诉用户配置控制台设置了哪些选项，根据这些设置，扫描结束后，在哪些目标系统上 发现了哪些漏洞。 扫描器通过选用远程TCP/IP不同端口的服务，并记录目标给予的回答，通过这种方法，可以搜集 到很多关于目标主机的各种有用信息（比如 ：是否能用匿名登陆，是否有可写的FTP目录，是否能用 telnet等。） 1.3.2 SuperScan的攻击过程 一、软件介绍 SuperScan是由Foundstone开发的一款免费的，但功能十分强大的工具，与许多同类工具比较，它 既是一款黑客工具，又是一款网络安全工具。一名黑客可以利用它的拒绝服务攻击（DoS，denial of service） 来收集远程网络主机信息。而作为安全工具，SuperScan能够帮助你发现网络中的弱点。 二、获得方式 SuperScan4.0中文版是免费的， SuperScan4.0只能在Windows XP或者Windows 2000上运行。对 一些老版本的操作系统，你必须下载SuperScan3.0版。 三、扫描的使用 给SuperScan解压后，双击SuperScan4.exe， 开始使用。打开主界面，默认为扫描（Scan）菜单，允 许你输入一个或多个主机名或IP范围。你也可以选文 件下的输入地址列表。输入主机名或IP范围后开始扫 描，点Play button，SuperScan开始扫描地址，如图 1-3-2所示为SuperScan4.0扫描界面。 扫描进程结束后，SuperScan将提供一个主机列表，是关于每台扫描过的主机被发现的开放端口信息， 如图1-3-3所示。SuperScan还有选择以HTML格式显示信息的功能。 图 1-3-2 SuperScan4.0扫描界面 《 电 脑 爱 好 者 》 10 四、主机和服务器扫描设置 从以上的例子，你已经能够从一群主机中执行简单 的扫描，然而，很多时候需要你定制扫描。在图1-3-4上 看到的“查找主机和服务”选项。这个选项让你在扫描的 时候看到更多信息。 在菜单的顶部，我们可以设置查找主机的方法有几个选项：重复请求（echo requests）、时间戳请求 （timestamp）、地址屏蔽请求（address mask requests）、消息请求（information requests）。 你选择的选项越多，那么扫描用的时间就越长。如果你正在试图尽量多地收集一个明确的主机的信息，建议 你首先执行一次常规的扫描以发现主机，然后再利用可选的请求选项来扫描。 在菜单的底部，包括UDP端口扫描和TCP端口扫描项。通过屏幕的截图，注意到SuperScan最初开 始扫描的仅仅是那几个最普通的常用端口。原因是TCP和UDP端口各自都有65536个之多，若对每个可能 开放端口的 IP地址，进行两种端口共130000余次的端口扫描，可以想像那将需要多长的时间。因此 SuperScan最初开始扫描的仅仅是那几个最普通的常用端口，但提供扫描额外端口的选项。 五、扫描选项设置 如图1-3-5所示，允许进一步的控制扫描进程。菜单中的首选项是定制扫描过程中主机和通过审查的 服务数，默认值是1；如果连接不太可靠，我们还可以选择2，设置更大的连接服务数目。 接下来的选项，能够设置主机名解析的数量。同样，数量1足够了，除非你的连接不可靠。另一个选 图 1-3-3 报告显示扫描了主机的 IP 和其端口是开放的 图 1-3-4 设置被扫描端口 11 第 1 章 黑客攻击是怎么产生的 项是获取标志（Banner Grabbing）的设置，Banner Grabbing是根据显示一些信息尝试得到远程主机的回应。 默认的延迟是8000毫秒，如果你所连接的主机较慢，这 个时间就显的不够长。旁边的滚动条是扫描速度调节选 项，能够利用它来调节SuperScan在发送每个包所要等 待的时间。要扫描最快，当然是调节滚动条为0。可是，扫 描速度设置为 0，有包溢出的潜在可能。如果担心 SuperScan引起过量包溢出，我们可以调慢SuperScan 的扫描速度。 六、工具选项设置 SuperScan的工具选项（Tools）是人们比较喜欢的 选项之一。它允许你很快的得到许多明确的主机信息。正 确输入主机名或者IP地址和默认的连接服务器，然后点击 你要得到相关信息的按纽。图1-3-6显示得到的各种信 息。 七、Windows枚举选项设置 最后的功能选项是Windows枚举选项，大概就像你 猜测的一样，如果你设法收集的信息是关于Linux/UNIX 主机的，那这个选项是没什么用的。但若你需要Windows 主机的信息，它确实是很方便的。如图1-3-7所示，能 够提供从单个主机到用户群组，再到协议策略的所有信 息。这个选项给人的最深刻的印象是它能产生大量的透明 信息。 SuperScan是攻击者常用的工具之一，只有我们了解它的用法，才能知道攻击者是通过什么方式探测 我们的主机信息 ；进而才能知道如何减轻众多的潜在攻击，并有效保护你的电脑的安全。 图 1- 3- 5 设置扫描选项控制扫描速度和数量 图 1- 3- 6 通过工具选项目可以收集各种主机信息 图 1-3-7 此选项能探测Windows主机的大量信息 《 电 脑 爱 好 者 》 12 1.3.3 X-Scan的使用 一、软件介绍 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行 两种操作方式。扫描内容包括 ：远程操作系统类型及版本，端口状态及端口BANNER信息、CGI漏洞、 IIS漏洞、RPC漏洞，NT服务器NETBIOS信息以及SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3- SERVER、NT-SERVER弱口令用户等。扫描结果保存在“log”目录中，index_·.htm为扫描结果索引文件。 对于一些已知漏洞，软件给出了相应的漏洞描述、利用程序及解决。你还可以通过作者网站的"安全文 献"和"漏洞引擎"栏目查阅相关说明。最新版本是X-Scan-v3.1。 X-Scan是完全免费软件，无需注册，无需安装（解压缩即可运行，自动检查并安装WinPCap驱动程序）。 二、扫描模块设置 打开X-Scan-v2.3-cn，点击设 置，选择扫描模块。如图1-3-8所示。 三、“基本设置”页 · 指定IP范围：可以输入独立IP地址 或域名，也可输入以“-”和“,”分隔的 IP 范围，如“10.3.7.1-10.3.7.12, 10.3.7.1-16.3.7. 19”，如图1-3-9所示。 · 从文件中获取主机列表：选中该复 选框将从文件中读取待检测主机地址，文 件格式应为纯文本，每一行可包含独立IP或 域名，也可包含以“-”和“,”分隔的 IP范 围。 · 报告文件：扫描结束后生成的报告 文件名，保存在LOG目录下。 · 报告文件类型：目前支持 TXT和 HTML两种格式。 · 扫描完成后自动生成并显示报告 ： 如标题所述。 图 1- 3- 8 扫描模块可以设置扫描主机的信息 图 1-3-9 基本设置 13 第 1 章 黑客攻击是怎么产生的 · 保存主机列表 ：选中该复选框后，在扫描过程中检测到存活状态主机将自动记录到列表文件中。 · 列表文件 ：用于保存主机列表的文件名，保存在LOG目录下。 四、“高级设置”页 如图1-3-10所示。 · 最大并发线程数量 ：可以同时检测的主 机数量。每扫描一个主机将启动一个CheckHost 进程。 · 显示详细进度 ：将在主界面普通信息栏 中显示详细的扫描过程。 · 跳过没有响应的主机 ：如果X-Scan运行 于NT4.0系统，只能通过ICMP Ping方式对目标主 机进行检测，而在WIN2K以上版本的Windows系 统下，若具备管理员权限则通过TCP Ping的方式 进行存活性检测。 · 跳过没有检测到开放端口的主机 ： 若在 用户指定的TCP端口范围内没有发现开放端口，将跳过对该主机的后续检测。 · 无条件扫描 ：如标题所述。 五、“端口相关设置”页 如图 1-3-11所示。 · 待检测端口：输入以“-”和“ ,” 分隔的TCP端口范围。 · 检测方式：目前支持 TCP完全连接和 SYN半开扫描两种方式。 · 根据响应识别服务：根据端口返回的信 息智能判断该端口对应的服务。 · 主动识别操作系统类型：端口扫描结束 后采用NMAP的方法由TCP/IP堆栈指纹识别目标 操作系统。 · 预设知名服务端口：如标题所述。 六、“NASL相关设置”页 如图1-3-12所示。 · 攻击脚本列表 ：由于目前Scripts目录中的脚本数量已超过3000个，在批量扫描中可以通过定制脚 本列表，只选取高风险级别漏洞进行检测，以加快扫描速度。 · 全选：若需要选择所有NASL脚本，应选中该复选框。 · 选择脚本 ：打开脚本选择窗口，通过风险级别、检测手段、漏洞类型等分类方式定制脚本列表。 · 脚本运行超时（秒） ：设置一个脚本可运行的最长时间，超时后将被强行终止。 · 网络读取超时（秒） ：设置TCP连接每次读取数据的最长时间，超时数据将被忽略。 图 1-3-10 高级设置 图 1-3-11 端口相关设置 《 电 脑 爱 好 者 》 14 · 跳过针对主机的破坏性脚本 ：如标题所 述。 · 检测脚本间的依赖关系 ：NASL脚本间相 互是有关联的，比如一个脚本先获取服务的版 本，另一个脚本再根据服务版本进行其他检测。 如果打乱了脚本的执行顺序可能会影响扫描结 果，但也由于脚本间不需要互相等待，会节省扫 描时间。 · 顺序执行针对服务的破坏性脚本 ：如果 一个脚本正在尝试D.O.S某个服务，另一个脚本 同时在获取该服务信息，或同时有其他脚本尝试 溢出该服务，将导致扫描结果不正确。但如果脚 本间不需要互相等待，将会节省扫描时间。 七、“网络设置”页 如图1-3-13所示。 网络适配器——选择适当的网络适配器以 便WinPCap驱动过滤相应的数据包，否则可能 会漏报由WinPCap驱动接收数据的NASL脚本 检测结果，也会影响采用NMAP的方法识别目标 操作系统的结果。对于拨号用户，应当选择 “\Device\Packet_NdisWanIp”。 ：X-Scan还支持命令行操作方式。由 于篇幅所限，在此就不一一介绍。 1.4 对你发动攻击 一般攻击通常要做的事情是获取权限和提升权限。当收集到足够的信息之后，攻击者就要开始实施 攻击行动了。作为破坏性攻击，只需利用工具发动攻击即可。而作为入侵性攻击，往往要利用收集到的信 息，找到其系统漏洞，然后利用该漏洞获取一定的权限。有时获得了一般用户的权限就足以达到修改主页等 目的了，但作为一次完整的攻击是要获得系统最高权限的。 1.4.1 获取权限 大多数攻击成功的范例还是利用了系统软件本身的漏洞。造成软件漏洞的主要原因在于编制该软件的 程序员缺乏安全意识。当攻击者对软件进行非正常的调用请求时，可能造成缓冲区溢出或者对文件的非法访 图 1-3-12 NASL相关设置 图 1-3-13 网络设置 15 第 1 章 黑客攻击是怎么产生的 问。其中利用缓冲区溢出进行的攻击最为普遍，据统计80％以上成功的攻击都是利用了缓冲区溢出漏洞来 获得非法权限的。 系统漏洞分为远程漏洞和本地漏洞两种，远程漏洞是指黑客可以在别的机器上直接利用该漏洞进行攻 击并获取一定的权限。这种漏洞的威胁性相当大，黑客的攻击一般都是从远程漏洞开始的。但是利用远 程漏洞获取的不一定是最高权限，而往往只是一个普通用户的权限，这样常常没有办法做黑客们想要做的 事。这时就需要配合本地漏洞来把获得的权限进行扩大，常常是扩大至系统的管理员权限。 只有获得了最高的管理员权限之后，才可以做诸如网络监听、打扫痕迹之类的事情。要完成权限的 扩大，不但可以利用已获得的权限在系统上执行利用本地漏洞的程序，还可以放一些木马之类的欺骗程序 来套取管理员密码，这种木马是放在本地套取最高权限用的，而不能进行远程控制。 1.4.2 拒绝服务 DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思。从网络攻击的各种方法和所 产生的破坏情况来看，DoS算是一种很简单但又很有效 的进攻方式，它的目的就是拒绝你的服务访问，破坏组 织的正常运行，最终它会使你的部分Internet连接和网络 系统失效。DoS的攻击方式有很多种，最基本的DoS攻 击就是利用合理的服务请求来占用过多的服务资源，从 而使合法用户无法得到服务。DoS攻击的原理如图1-4- 1所示。 拒绝服务攻击主要用来攻击域名服务器、路由器以及其他网络服务，使被攻击者无法提供正常的服务。 这是一类危害极大的攻击方式，严重的可以使一个网络瘫痪。 拒绝服务攻击是指一个用户通过占用大量的共享资源，导致系统没有剩余的资源给其他用户使用的攻 击。拒绝服务的攻击会降低资源的可用性，这些资源可以是处理器、磁盘空间、CPU使用的时间、打印机、 调制解调器等，甚至是系统管理员的时间。攻击的结果是减低或失去服务。它利用Internet协议组的有关工 具，拒绝合法的用户对目标系统和信息的合法访问。有如下几方面的表现 ：使目标系统死机、使端口处于 停顿状态，在计算机屏幕上发出杂乱信息，改变文件名称，删除关键的程序文件，扭曲系统的资源状态，使 系统的处理速度降低。在几乎所有的情况下，拒绝服务攻击没有表示出攻入的危险，也就是说，攻击者通过 这种攻击手段并不会破坏数据的完整性或获得未经授权的权限，他们的目的只是捣乱而非破坏。 拒绝服务攻击企图通过使你的计算机崩溃或把它压跨来阻止你提供服务，拒绝服务攻击是最容易实施 的攻击行为，主要包括以下几种。 一、死亡之 ping （ping of death） 概览：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在 ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效 载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包，也就是加载的尺寸超过64K上 限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。 防御 ：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些 图 1-4-1 DoS攻击的原理 《 电 脑 爱 好 者 》 16 攻击，包括：从Windows98之后的Windows NT(service pack 3之后)、Linux、Solaris和Mac OS都具 有抵抗一般ping of death攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都能防 止此类攻击。 二、泪滴（teardrop） 概览 ：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中、包的标题头所包含的信息来实现自己 的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以 前的NT）在收到含有重叠偏移的伪造分段时将崩溃。 防御 ：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。 三、UDP洪水（UDP flood） 概览 ：各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满 带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服 务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，足够多的数据流就会导致带宽的服 务攻击。 防御 ：关掉不必要的TCP/IP服务，或者对防火墙进行配置，阻断来自Internet的请求这些服务的UDP请求。 四、SYN洪水（SYN flood） 概览 ：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存 缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应。 防御 ：在防火墙上过滤来自同一主机的后续连接。 未来的SYN洪水令人担忧，由于释放洪水的人并不 寻求响应，所以无法从一个简单高容量的传输中将SYN洪水鉴别出来。 五、Land攻击 概览 ：在Land攻击中，一个特别打造的SYN包会把它的原地址和目标地址都设置成某一个服务器地 址，此举将导致接受数据的服务器向自身发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个 空连接，每一个这样的连接都将保留。对Land攻击反应不同，许多UNIX系统将崩溃，而NT则变的极其 缓慢（大约持续五分钟）。 防御 ：打最新的补丁，或者在防火墙进行配置，将那些在外部接口入站的含有内部源地址的数据滤掉， 包括10域、127域、192.168域、172.16到172.31域。 1.5 攻击后的处理 1.5.1 巩固权限——留后门 选一个适合这台主机的后门，然后上传（上传方法可参看IPC入侵全攻略），这里要注意后门的取 名和开的口（或 ping后门）。在主机上装上后门后，一定要与主机断开 ipc连接，不然在会话中会老 是留有记录。 17 第 1 章 黑客攻击是怎么产生的 再通过后门上传你要用到的程序，比如做代理的、扫描的、sniffer的等，放这些程序的目录最好是放 的深一些，名字取的好听些，也可用软件把它隐藏了，如这个主机没有查sniffer的东西，那给它装上个 sniffer，fssniffer或x-sniff，wollf里的sniff用用还是挺好的，都可以侦听ftp/pop3等的明文传输密码。如 果它开着WEB服务，那还可以给它放上个脚本木马，脚本木马如果放得好的话，检测难度非常大，而管理 员在做WEB备份的时候也会把它备份进去，一个好的ASP木马可以完全地接管一台NT。然后把主机上的 认为有用的文件全下载下来，如WEB程序的数据库连接代码里会有数据库用户名和口令信息，更隐蔽的请 看克隆管理员账号。例如Wollf新出的wollf-v1.5，它集成了很多功能，可惜太显眼了，杀毒软件看到了就 眼红。 1.5.2 删除日志——清除踪迹 如果攻击者完成攻击后就立刻离开系统，而不做任何善后工作，那么他的行踪将很快被系统管理员发 现，因为所有的网络操作系统一般都提供日志记录功能，会把系统上发生的动作记录下来。所以，为了自身 的隐蔽性，黑客一般都会抹掉自己在日志中留下的痕迹。想要了解黑客抹掉痕迹的方法，首先要了解常见的 操作系统的日志结构以及工作方式。 对于Windows系统日志，可以通过如下操作来打开系统自带的日志，选择“开始->设置->控制面 板->管理工具->事件查看器”，该查看窗口中包括三种日志： · 应用程序日志 ：记录了重要的应用程序产生的错误和成功信息。 · 安全日志 ：主要记录着Windows操作系统的组件所产生的日志，比如IIS中自带的ftp日志等。 · 系统日志 ：主要记录审核策略的日志。 下面我们看看黑客怎样利用Elsave远程删除Windows的日志文件。 两台装有Windows 2000 的计算机，称为 A（10.3.7.41）与 B（10.3.7.42），A为攻击方，B 为日志被清除方。 Step1:打开B的Windows 事件查看器，可以看到日志中有 各种信息的记录，如图1-5-1所 示。 Step2:A机器上使用net use 命令与远程主机B（10.3.7.42）建立连接，其中用户名为administrator， 密码为空 。 图 1-5-1 Windows 2000系统日志 《 电 脑 爱 好 者 》 18 Step3: 清除日志 首先我们得了解Elsave语法，如图1- 5-2所示。 其中-s用来指定目标服务器；-l用来确定需要操作的日志（应用程序日志，安全日志，系统日志 之一） ；-F 指定要存储日志的文件名，必须是一个绝对路径，而且文件不能已经存在，不然会报错；- C 清除日志；-q用来向时间日志写入错误，如图1-5-3所示。 将目标机的系统日 志保存到一个名为1.txt的 文件并清除，如图1-5-4 所示。 命令执行后，在D盘根目录下出现一个4.txt文件，记事 本打开为乱码，说明导出的日志是经过一定编码的，而B的 事件查看器中系统日志已经为空，如图1-5-5所示。 1.6 防范入侵基本方法 相比较而言，从长期效果看，防止被黑的痛苦要少得多，而且这使我们不得不恢复系统的可能性要 小得多。在对网络攻击进行上述分析与识别的基础上，我们应当认真制定有针对性的策略。明确安全对象， 图 1-5-2 获取 ipc$进程间通信 图 1-5-3 elsave语法 图 1-5-4 elsave擦除 B主机的系统日志 图 1-5-5 B 主机擦除后的系统日志 19 第 1 章 黑客攻击是怎么产生的 设置强有力的安全保障体系。有的放矢，在网络中层层设防，发挥网络的每层作用，使每一层都成为一道关 卡，从而让攻击者无隙可钻、无计可使。还必须做到未雨稠缪，预防为主，将重要的数据备份并时刻注意系 统运行状况。以下是笔者针对众多令人担心的网络安全问题，提出的几点建议。 1.6.1 提高安全意识 1.不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序，比如“特洛 伊”类木马程序等。 2.尽量避免从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件也要及时用最新的 杀毒软件和木马查杀软件对软件和系统进行扫描。 3.密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易被穷举。将常用的密码设置为各不 相同，防止被人查出一个，连带到猜出其他重要密码。重要密码最好经常更换。 4.及时下载安装系统补丁程序。 5.不随便运行黑客程序，不少这类程序运行时会发出你的个人信息。 6.在支持HTML的BBS上，如发现提交警告，先看源代码，很可能是骗取密码的陷阱。 1.6.2 常规的防范措施 1.使用防毒、防黑等防火墙软件 防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信 的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络 的侵入。常用防火墙包括网络防火墙和病毒防火墙，如瑞星、天网、蓝盾、木马克星、安全之星1+e等。 有人认为防火墙不重要或防火墙没用，这种看法很不对！首先，没有十全十美的防火墙 ；其次，防火墙 和我们家的门、墙一样都只能防“小贼”，那么请问你家会不会因为有门也防不了小贼而不装门呢？这只 是第一条防线。 2.设置代理服务器，隐藏自已的IP地址 保护自己的IP地址是很重要的。事实上，即使你的机器上被安装了木马程序，若没有你的IP地址， 攻击者也是没有办法的，而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请 访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。 当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被 服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网 络转发这项请求。 3.将防毒、防黑当成日常例性工作，定时更新防毒组件，将防毒软件保持在常驻状态，以彻底防毒。 4.由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒。 5.对于重要的个人资料做好严密的保护，并养成资料备份的习惯。 在家庭环境或者非常小的网络中，我们可以用几个系统内置的工具来生成最少数量的数据备份（不包 括程序）。Windows XP自带了一个很好的备份工具。你可以用它将系统备份到任何媒介。此外，更简单 的一个选择是使用“文件和设置转移向导”。每隔几个星期，最好运行一下 Windows XP 中的“文件和 设置转移向导”，为所有数据和配置文件创建备份副本。然后将这些备份烧制到 CD 上，或者复制到另一 个硬盘上。万一系统出现故障，只需几个小时即可重建系统，重新安装所有修补程序，然后用“文件和设 《 电 脑 爱 好 者 》 20 置转移向导”恢复数据和配置文件。作为一种补充的安全措施，还可以用漫游配置文件来配置家里的系统。 该配置文件虽然只漫游到同系统中的另一个硬盘，但是这种做法至少在发生硬盘故障的时候能够为数据提供 保护。