網(wǎng)絡(luò)攻擊步驟與原理

1、在網(wǎng)路這個(gè)不斷更新的世界里,網(wǎng)絡(luò)中的安全漏洞無(wú)處不在。即使舊的安全漏洞補(bǔ)上了,新的安全漏洞又將不斷的涌現(xiàn)。網(wǎng)絡(luò)攻擊正是利用這些存在的漏洞和安全的隱患對(duì)系統(tǒng)和資源進(jìn)行攻擊。也許有人對(duì)網(wǎng)絡(luò)安全抱有無(wú)所謂的態(tài)度,認(rèn)為最多不過是盜用別人的帳號(hào),造成不了多大的危害。他們只是認(rèn)為“安全”只是對(duì)那些大公司的網(wǎng)站而言。其實(shí),但從技術(shù)說,黑客入侵的動(dòng)機(jī)是成為目主機(jī)的主人。只要他們獲得了一臺(tái)網(wǎng)絡(luò)主機(jī)的超級(jí)用戶的權(quán)限后,他們就有可能在主機(jī)上修改資源的配置、安置木馬程序、隱藏跟蹤、執(zhí)行程序進(jìn)程等等。我們誰(shuí)又愿意別人在我們的機(jī)器上肆無(wú)忌憚的擁有這些特權(quán)呢?更何況這些攻擊者的動(dòng)機(jī)又不是這樣的簡(jiǎn)單。因此,我們每一個(gè)人都有可

2、能面臨著安全威脅,都有必要對(duì)網(wǎng)絡(luò)安全有所了解,并能夠處理一些安全方面的問題。下面我們就來看一下那些攻擊者是如何找到你的計(jì)算機(jī)中的安全漏洞的。第一步,隱藏自己的位置普通的攻擊者都會(huì)利用別人的電腦來隱藏他們真實(shí)的IP地址。老練的攻擊者還會(huì)利用800無(wú)線轉(zhuǎn)接服務(wù)連接ISP,然后盜用他人的帳號(hào)上網(wǎng)。第二步,尋找主機(jī)并進(jìn)行分析主機(jī)攻擊者首先要尋找目標(biāo)主機(jī)并分析主機(jī)。在互聯(lián)網(wǎng)上都真正的識(shí)別主機(jī)的IP地址,域名是為了便于記憶主機(jī)的IP地址而另外其的名字,只要利用域名和IP地址就可以順利的找到目標(biāo)主機(jī)。當(dāng)然,知道了要攻擊的位置還是遠(yuǎn)遠(yuǎn)不夠的,還必須將主機(jī)的操作系統(tǒng)的類型及其所提供的服務(wù)資料做個(gè)全面的了解。此時(shí)

3、,攻擊者會(huì)利用一些掃描工具,輕松的獲取目標(biāo)主機(jī)運(yùn)行的是那種操作系統(tǒng)的那個(gè)版本,系統(tǒng)有那些帳戶,WWW FTP TELNE SMTP等服務(wù)程序是何種版本等資料,為入侵做好準(zhǔn)備。第三步,獲取帳號(hào)和密碼,登錄主機(jī)攻擊者向入侵一臺(tái)主機(jī),首先要有該主機(jī)的一個(gè)帳號(hào)和密碼,否則連登錄都是無(wú)法進(jìn)行的。這樣常常迫使他們現(xiàn)設(shè)法盜竊帳號(hào)文件,首先破解,從中獲取某帳號(hào)和口令,另外尋找合適的時(shí)機(jī)以次身份進(jìn)入主機(jī),當(dāng)然了,利用某些工具過系統(tǒng)漏洞登錄主機(jī)是攻擊者常用的一種技法。第四步,獲取控制權(quán)攻擊者們用FRP TELNET 等工具利用系統(tǒng)漏洞進(jìn)入主機(jī)系統(tǒng)獲得控制權(quán)后,就會(huì)做兩件事情:清除記錄和留下后門。他會(huì)更改某些系統(tǒng)設(shè)

4、置、在系統(tǒng)置入木馬程序或其他一些遠(yuǎn)程操縱程序,以便他日后可以不知不覺的再次進(jìn)入系統(tǒng)。大多數(shù)的后門程序是預(yù)先編好的,只要需要想辦法修改時(shí)間和權(quán)限就可以使用了,甚至新文件的大小都可源文件的一模一樣。攻擊者一般都會(huì)使用REP傳遞這些文件,以便留下FTP記錄。清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后,攻擊者的下一步動(dòng)作就要開始了。第五步,竊取網(wǎng)絡(luò)資源和特權(quán)攻擊者找到目標(biāo)后,會(huì)繼續(xù)下一步的攻擊了。如:下載敏感的信息,實(shí)施竊取帳號(hào)密碼、信用卡號(hào)等經(jīng)濟(jì)的盜竊,視網(wǎng)絡(luò)癱瘓。攻擊的原理和手法所謂的口令的入侵就是指使用某些合法用戶的帳號(hào)和口令登錄到目的主機(jī),然后實(shí)施攻擊活動(dòng)。這種方法的前提是必須的到該主

5、機(jī)的某個(gè)合法用戶的帳號(hào),然后進(jìn)行合法用戶的口令的破解。獲得普通用戶的帳號(hào)的方法很多。例如利用目標(biāo)主機(jī)的FINGER功能:當(dāng)用FINGE命令查詢時(shí),主機(jī)系統(tǒng)會(huì)將保存用戶資料的顯示在終端計(jì)算機(jī)上。利用目標(biāo)主機(jī)的X.500服務(wù)有些主機(jī)沒有關(guān)閉X.500的目錄查詢服務(wù),也給攻擊者提供了獲得信息的一條簡(jiǎn)易的路徑。從電子郵件地址中收集:有些用戶的電子郵件暴露了自己主機(jī)的帳號(hào)查看主機(jī)是否有慣用的帳號(hào),有經(jīng)驗(yàn)的用戶知道,很多的系統(tǒng)會(huì)使用一些慣用的帳號(hào),、造成帳號(hào)的泄露。這又有三種方法:(1是通過網(wǎng)絡(luò)監(jiān)聽非法的手段來獲取用戶的口令,這一類的方法有一定的局限性,但是危害卻是很大的。監(jiān)聽者往往采用中途截?fù)舻姆椒ㄒ彩?/p>

6、獲取用戶帳戶和密碼的一條有效的途徑。當(dāng)下,很多的協(xié)議根本就沒有采用任何的加密或身份認(rèn)證的技術(shù),如在TELNET FIP HTTP SMTP 等協(xié)議中,用戶帳號(hào)和密碼信息都是一明文的形式傳輸?shù)?。此時(shí)若攻擊者利用數(shù)據(jù)包截取工具便更可能收集到你的帳戶和密碼。還有一種中途截?fù)舻姆椒ǜ拥膮柡?他可以在你同服務(wù)器端完成”三次握手”建立鏈接之后,在通信過程中扮演第三者的角色,假冒服務(wù)器身份來欺騙你,在假冒你向服務(wù)器發(fā)出惡意的請(qǐng)求,其造成的后果是不堪設(shè)想的。另外,攻擊者優(yōu)勢(shì)還會(huì)利用軟件和硬件工具時(shí)刻檢視系統(tǒng)主機(jī)的工作,等待記錄用戶登陸信息,從而獲得用戶的密碼;或者就是編制緩沖區(qū)錯(cuò)誤的程序來獲得超級(jí)用戶權(quán)限。

7、(2是在知道了用戶帳戶后(如電子郵件的的前半部分利用一些專門的軟件強(qiáng)行破解用戶的口令,這種方法不受網(wǎng)段的限制,但是攻擊者要有足夠的耐心和時(shí)間,如采用字典窮列發(fā)來破解用戶的密碼。攻擊者可以通過一些工具程序,自動(dòng)的從電腦的字典里取出一個(gè)單詞,作為用戶的口令,在輸給遠(yuǎn)端的主機(jī),申請(qǐng)進(jìn)入系統(tǒng);若是口令錯(cuò)誤,就按順序來取出下一個(gè)單詞,進(jìn)行下一個(gè)嘗試,并且一直循環(huán)下去,知道找到了正確的口令或字典里的單詞嘗試完為止。由于破解這個(gè)過程是計(jì)算機(jī)自動(dòng)完成的,因而幾個(gè)小時(shí)就可以把上十萬(wàn)條的記錄的單詞的字典里的單詞嘗試一遍。(3是利用系統(tǒng)管理員的失誤。現(xiàn)代的unix操作系統(tǒng)中用戶的基本的信息都是存放在passwd文件

8、中的,而所有的口令則是經(jīng)過des加密方法存放在一個(gè)叫shadow的文件中。黑客們獲取口令的文件后,就會(huì)利用專門的破解des加密法的程序來破解口令。同時(shí),由于為數(shù)少的操作系統(tǒng)存在許多的漏洞,這些缺陷一旦被找到,黑客就可以長(zhǎng)驅(qū)直入了。2放置特洛伊木馬程序特洛伊木馬程序是直接侵入用戶電腦并進(jìn)行破壞,他常常被偽裝成工具程序或者游戲等誘惑使用戶打開帶有特洛伊木馬程序的郵件或者直接從網(wǎng)上下載,一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后他們就向特洛伊人在敵人的城外留下滿藏士兵的木馬一樣留在自己的電腦中,并且在自己的計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在window啟動(dòng)是悄悄的執(zhí)行的程序。當(dāng)您鏈接在互聯(lián)網(wǎng)上時(shí)候,

9、這個(gè)程序就會(huì)通知攻擊者,來報(bào)告你的ip地址,以及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后,在利用這個(gè)潛伏在其中的程序,就可以任意的修改你的計(jì)算機(jī)的參數(shù)設(shè)定復(fù)制文件窺視你整個(gè)硬盤中的內(nèi)容等等,從而達(dá)到控制你的計(jì)算機(jī)的目的。在網(wǎng)上用戶可以利用IE瀏覽器進(jìn)行各種各樣的WEB站點(diǎn)的訪問,例如閱讀新聞組、咨詢產(chǎn)品價(jià)格、訂閱報(bào)紙、電子商務(wù)等。然而一般的用戶恐怕不會(huì)想到這些問題的存在,正在訪問的網(wǎng)頁(yè)已經(jīng)被黑客篡改過,網(wǎng)頁(yè)上的信心都是虛假的。例如黑客用戶要瀏覽的網(wǎng)頁(yè)的地址改寫成黑客自己的服務(wù)器,當(dāng)用戶瀏覽網(wǎng)頁(yè)的時(shí)候,實(shí)際上向黑客的服務(wù)器發(fā)出了請(qǐng)求,那么黑客可以達(dá)到欺騙的目的了。一般的WEB欺騙實(shí)用的是兩種技術(shù)手

10、段,及URL地址重寫技術(shù)和相關(guān)的信息的掩蓋技術(shù)。利用URL地址,是這些地址都向攻擊者的WEB服務(wù)器,即攻擊者可以將自己的Web地址加在所有URL地址的前面。這樣,當(dāng)用戶與站點(diǎn)進(jìn)行安全鏈接時(shí),就會(huì)毫無(wú)防備進(jìn)入攻擊者的服務(wù)器中來,于是用記的所有的信息便處在攻擊者的檢視之中了。但由于瀏覽器材一般均設(shè)有地址欄和狀態(tài)欄,當(dāng)瀏覽器與某個(gè)站點(diǎn)邊連接時(shí),可以在地址欄和狀態(tài)欄里獲得連接中的WEB站點(diǎn)及其相關(guān)的傳輸信息,用戶由此可以發(fā)現(xiàn)問題,所以攻擊者往往在URL地址重寫的同時(shí),利用相關(guān)的掩蓋技術(shù),即一般用的Javascript程序來重寫地址樣和狀態(tài)樣,以達(dá)到其掩蓋的目的。電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通

11、訊方式。攻擊者可以使用一些電子郵件炸彈軟件或這CGI程序向目的郵箱發(fā)送大量的內(nèi)容重復(fù)和無(wú)用的垃圾郵件。從而使目的郵箱被撐爆了而無(wú)法來使用。當(dāng)垃圾郵件的發(fā)送留戀特別大時(shí),還有可能造成郵件系統(tǒng)對(duì)正常工作反映緩慢,甚至癱瘓。相對(duì)于其他的攻擊手段來說,這種攻擊方法具有簡(jiǎn)單見效的優(yōu)點(diǎn)。電子郵件的攻擊方法有兩種:(1是電子郵件轟炸和電子郵件滾雪球,也就是通常說的郵件炸彈,指的是用偽造IP地址和電子郵件地址向同一個(gè)信箱發(fā)送數(shù)以千計(jì)的甚至無(wú)窮的內(nèi)容相同的垃圾郵件,致使受害人的郵箱被炸,嚴(yán)重的時(shí)候可能會(huì)給電子郵件的服務(wù)器操作系統(tǒng)帶來危險(xiǎn),甚至癱瘓。(2是電子郵件欺騙,攻擊者佯稱自己是系統(tǒng)管理員,給用戶發(fā)送郵件要

12、求用戶修改口令或貌似正常的附件加載病毒或者其他的木馬程序。攻擊者突破了一個(gè)主機(jī)后,往往依次主機(jī)作為根據(jù)地來攻擊其他主機(jī),他們可以使用網(wǎng)絡(luò)監(jiān)聽的方法,嘗試攻破同一網(wǎng)絡(luò)內(nèi)其他主機(jī)。也可以通過IP期盼和主機(jī)信任關(guān)系攻擊其他的主機(jī)。這類方法是很狡猾的,但是由于某些網(wǎng)絡(luò)技術(shù)很難掌握,例如TCP/IP欺騙攻擊。攻擊者通過外部計(jì)算機(jī)偽裝成另外的一臺(tái)合法的計(jì)算機(jī)來實(shí)現(xiàn)。它能破壞兩臺(tái)計(jì)算機(jī)之間的通信鏈路上的數(shù)據(jù),其偽裝的目的在于哄騙網(wǎng)絡(luò)中其他的計(jì)算機(jī)誤將攻擊者的計(jì)算機(jī)作為合法的計(jì)算機(jī)加以接受,誘使其他的機(jī)器向他發(fā)送數(shù)據(jù)或允許他修改數(shù)據(jù)。TCP/IP欺騙可以發(fā)生在TCP/IP系統(tǒng)中的所有層次上,包括數(shù)據(jù)鏈路層、網(wǎng)

13、絡(luò)層、及其應(yīng)用層均容易受到影響。如果底層受到了損害的話,則應(yīng)用層的所有協(xié)議都將處于危險(xiǎn)之中。另外由于用戶本身不直接于底層互相交流。因而對(duì)底層的攻擊是更加有欺騙性的。網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式,在這種模式下,主機(jī)可以接收到本網(wǎng)絡(luò)段在同一物理通道上傳輸?shù)乃行畔?而不管這些信息的發(fā)送的方和接收方是誰(shuí),而攻擊者及可能在兩端進(jìn)行數(shù)據(jù)的監(jiān)聽了。此時(shí)若兩臺(tái)主機(jī)進(jìn)行數(shù)據(jù)通信的信息沒有加密,只有使用網(wǎng)絡(luò)監(jiān)聽工具就可以輕而易舉的截取包括帳號(hào)在內(nèi)的信息資料,雖然網(wǎng)絡(luò)監(jiān)聽獲得的用戶帳戶和口令有一定的局限性,但是監(jiān)聽者往往能夠獲得其所在網(wǎng)絡(luò)的所有用戶的帳戶和口令。利用黑客軟件工具是互聯(lián)網(wǎng)上比較常用的一種攻擊手法。B

14、ACK ORIFICE2000、冰河等都是比較著名的木馬,他們可以非法的獲取用戶電腦里的超級(jí)用戶級(jí)權(quán)利,可以對(duì)去進(jìn)行完全的控制,除了可以進(jìn)行文件操作外,同時(shí)也可以進(jìn)行對(duì)方桌面的抓圖獲取密碼的操作。這些黑客軟件分為用戶端可服務(wù)器端,當(dāng)黑客進(jìn)行攻擊的時(shí)候,會(huì)使用用戶端程序登錄到已經(jīng)安裝好服務(wù)器端的程序的電腦,這些服務(wù)器程序往往比較小,一般會(huì)隨附帶在某些軟件上,有可能用戶下載一個(gè)小游戲并運(yùn)行是,黑客軟件的服務(wù)器端就安裝完成了,而且大部分的黑客軟件的重生能力是比較強(qiáng)的,給用戶造成了一定的麻煩。特別是最近出現(xiàn)的一種記事本文件欺騙手法,表面上看起來是一個(gè)記事本文件,但實(shí)際上是一個(gè)附帶了黑客程序的可執(zhí)行程序,另外有些程序也會(huì)偽裝成圖片和其他格式的文件。許多系統(tǒng)都有這樣那樣的漏洞。其中一些是操作系統(tǒng)或應(yīng)用軟件的本身具有的。例如緩沖區(qū)溢出攻擊。由于許多系統(tǒng)不檢查程序一緩沖之間的情況,就任意就收任意長(zhǎng)度的數(shù)據(jù)輸入,把溢出的數(shù)據(jù)放在堆棧里,系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)出超出緩沖區(qū)所