網(wǎng)絡(luò)黑客與入侵檢測

網(wǎng)絡(luò)黑客與入侵檢測項(xiàng)目提出最近多位公司員工發(fā)現(xiàn)自己計算機(jī)中的內(nèi)容突然丟失或被篡改，有的計算機(jī)還出現(xiàn)莫名其妙的重新啟動現(xiàn)象。網(wǎng)絡(luò)管理員接到報告后，迅速趕到現(xiàn)場查看，發(fā)現(xiàn)這幾臺計算機(jī)的硬盤均被不同程度地共享了，有的計算機(jī)中被植入了木馬，有的計算機(jī)中正在運(yùn)行的進(jìn)程和服務(wù)被突然停止。而查看這些計算機(jī)的日志卻沒有任何發(fā)現(xiàn)。這是為什么呢？項(xiàng)目分析從這幾臺計算機(jī)的現(xiàn)象來看，非常明顯，它們是被黑客攻擊了。調(diào)查發(fā)現(xiàn)這幾臺出現(xiàn)問題的計算機(jī)存在著一些共同點(diǎn)：有的員工為了自己使用方便或其他一些原因，將自己計算機(jī)的用戶名和密碼記錄在了桌子旁邊的本子上有的員工設(shè)置的用戶名和密碼非常簡單，甚至根本沒有設(shè)置密碼；幾臺計算機(jī)的操作系統(tǒng)均為WindowsXPProfessional而且均默認(rèn)打開了IPC$共享和默認(rèn)共享；有的計算機(jī)未安裝任何殺毒軟件和防火墻，有的安裝了殺毒軟件但很久未做升級，有的計算機(jī)的本地安全策略的安全選項(xiàng)中，“網(wǎng)絡(luò)訪問賬戶的共享和安全模式”的安全設(shè)置為“經(jīng)典－本地用戶以自己的身份驗(yàn)證”。由于公司員工所在的辦公室的人員進(jìn)出較多，有可能他們的用戶名和密碼被他人獲知。機(jī)器中未安裝殺毒軟件和防火墻，可能導(dǎo)致他人利用黑客工具可以非常輕松地侵入這些計算機(jī)，然后設(shè)置硬盤共享、控制計算機(jī)的服務(wù)和進(jìn)程等。另外安全選項(xiàng)中的“經(jīng)典－本地用戶以自己的身份驗(yàn)證”一項(xiàng)的默認(rèn)設(shè)置應(yīng)為“僅來賓：本地用戶以來賓身份驗(yàn)證”，這樣的設(shè)置可以使本地賬戶的網(wǎng)絡(luò)登錄將自動映射到Guest賬戶，否則，只要獲知本地用戶的密碼，就有可能侵入用戶的計算機(jī)并訪問和共享系統(tǒng)資源了。項(xiàng)目分析本次黑客攻擊的大致過程可能如下：獲得目標(biāo)主機(jī)的用戶名和密碼利用黑客攻擊軟件對這些目標(biāo)主機(jī)進(jìn)行攻擊，完成設(shè)置硬盤共享、控制服務(wù)和進(jìn)程、安裝木馬等操作清除目標(biāo)主機(jī)的日志內(nèi)容，消除入侵痕跡還有可能對某些目標(biāo)主機(jī)進(jìn)行了監(jiān)視甚至控制。只要給計算機(jī)及時打上安全補(bǔ)丁，設(shè)置強(qiáng)口令，安裝最新的殺毒軟件和防火墻，可以防范大部分的黑客攻擊。項(xiàng)目分析相關(guān)知識

網(wǎng)絡(luò)攻防概述1.黑客概述(1)黑客的由來黑客是“Hacker”的音譯，源于動詞Hack，在美國麻省理工學(xué)院校園俚語中是“惡作劇”的意思，尤其是那些技術(shù)高明的惡作劇，確實(shí)，早期的計算機(jī)黑客個個都是編程高手。因此，“黑客”是人們對那些編程高手、迷戀計算機(jī)代碼的程序設(shè)計人員的稱謂。真正的黑客有自己獨(dú)特的文化和精神，并不破壞其他人的系統(tǒng)，他們崇拜技術(shù)，對計算機(jī)系統(tǒng)的最大潛力進(jìn)行智力上的自由探索。相關(guān)知識美國《發(fā)現(xiàn)》雜志對黑客有以下5種定義。①研究計算機(jī)程序并以此增長自身技巧的人。②對編程有無窮興趣和熱忱的人。③能快速編程的人。④某專門系統(tǒng)的專家，如“UNIX系統(tǒng)黑客”。⑤惡意闖入他人計算機(jī)或系統(tǒng)，意圖盜取敏感信息的人。對于這類人最合適的用詞是Cracker(駭客)，而非Hacker。兩者最主要的不同是，Hacker創(chuàng)造新東西，Cracker破壞東西。相關(guān)知識(2)黑客攻擊的動機(jī)①貪心②惡作?、勖暍軋髲?fù)/宿怨⑤無知/好奇⑥仇恨⑦間諜⑧商業(yè)相關(guān)知識2.網(wǎng)絡(luò)攻擊的步驟一般的攻擊都分為3個階段，即攻擊的準(zhǔn)備階段、攻擊的實(shí)施階段、攻擊的善后階段，如圖所示。網(wǎng)絡(luò)攻擊的步驟(1)攻擊的準(zhǔn)備階段 ①確定攻擊目的②收集目標(biāo)信息③準(zhǔn)備攻擊工具網(wǎng)絡(luò)攻擊的步驟(2)攻擊的實(shí)施階段本階段實(shí)施具體的攻擊行動。作為破壞性攻擊，只需要利用工具發(fā)起攻擊即可；而作為入侵性攻擊，往往需要利用收集到的信息，找到系統(tǒng)漏洞，然后利用該漏洞獲取一定的權(quán)限。大多數(shù)攻擊成功的范例都是利用被攻擊者系統(tǒng)本身的漏洞。能夠被攻擊者利用的漏洞不僅包括系統(tǒng)軟件設(shè)計上的漏洞，也包括由于管理配置不當(dāng)而造成的漏洞。網(wǎng)絡(luò)攻擊的步驟攻擊實(shí)施階段的一般步驟如下。①隱藏自己的位置。攻擊者利用隱藏IP地址等方式保護(hù)自己不被追蹤。②利用收集到的信息獲取賬號和密碼，登錄主機(jī)。③利用漏洞或者其他方法獲得控制權(quán)并竊取網(wǎng)絡(luò)資源和特權(quán)。例如，下載敏感信息；竊取賬戶密碼、信用卡號碼；使網(wǎng)絡(luò)癱瘓等。也可以更改某些系統(tǒng)設(shè)置，在系統(tǒng)中放置特洛伊木馬或其他遠(yuǎn)程控制程序，以便日后可以不被察覺地再次進(jìn)入系統(tǒng)。網(wǎng)絡(luò)攻擊的步驟(3)攻擊的善后階段對于攻擊者來說，完成前兩個階段的工作，也就基本完成了攻擊的目的，所以，攻擊的善后階段往往會被忽視。如果完成攻擊后不做任何善后工作，那么他的行蹤會很快被細(xì)心的系統(tǒng)管理員發(fā)現(xiàn)，因?yàn)樗械木W(wǎng)絡(luò)操作系統(tǒng)一般都提供日志記錄功能，記錄所執(zhí)行的操作。網(wǎng)絡(luò)攻擊的步驟為了自身的隱蔽性，高水平的攻擊者會抹掉在日志中留下的痕跡。最簡單的方法就是刪除日志，這樣做雖然避免了自己的信息被系統(tǒng)管理員追蹤到，但是也明確無誤地告訴了對方系統(tǒng)被入侵了，所以最常見的方法是對日志文件中有關(guān)自己的那一部分進(jìn)行修改。清除完日志后，需要植入后門程序，因?yàn)橐坏┫到y(tǒng)被攻破，攻擊者希望日后能夠不止一次地進(jìn)入該系統(tǒng)。為了下次攻擊的方便，攻擊者都會留下一個后門。充當(dāng)后門的工具種類非常多，如傳統(tǒng)的木馬程序。為了能夠?qū)⑹芎χ鳈C(jī)作為跳板去攻擊其他目標(biāo)，攻擊者還會在其上安裝各種工具，包括嗅探器、掃描器、代理等。網(wǎng)絡(luò)攻擊的防范策略在對網(wǎng)絡(luò)攻擊進(jìn)行分析的基礎(chǔ)上，應(yīng)當(dāng)認(rèn)真制定有針對性的防范策略。明確安全對象，設(shè)置強(qiáng)有力的安全保障體系。有的放矢，在網(wǎng)絡(luò)中層層設(shè)防，使每一層都成為一道關(guān)卡，從而讓攻擊者無隙可鉆。還必須做到未雨綢繆，預(yù)防為主，備份重要的數(shù)據(jù)，并時刻注意系統(tǒng)運(yùn)行狀況。以下是針對眾多令人擔(dān)心的網(wǎng)絡(luò)安全問題所提出的幾點(diǎn)建議。網(wǎng)絡(luò)攻擊的防范策略(1)提高安全意識①不要隨意打開來歷不明的電子郵件及文件，不要隨便運(yùn)行不太了解的人發(fā)送的程序，比如“特洛伊”類黑客程序就是欺騙接收者運(yùn)行。②盡量避免從Internet下載不知名的軟件、游戲程序。即使從知名的網(wǎng)站下載的軟件也要及時用最新的病毒和木馬查殺軟件對軟件和系統(tǒng)進(jìn)行掃描。③密碼設(shè)置盡可能使用字母數(shù)字混排，單純的英文或者數(shù)字很容易窮舉。將常用的密碼設(shè)置不同，防止被人查出一個，連帶到重要密碼。重要密碼最好經(jīng)常更換。④及時下載安裝系統(tǒng)補(bǔ)丁程序。⑤不要隨便運(yùn)行黑客程序，許多這類程序運(yùn)行時會發(fā)出用戶的個人信息。⑥定期備份重要數(shù)據(jù)。網(wǎng)絡(luò)攻擊的防范策略(2)使用防病毒和防火墻軟件防火墻是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個網(wǎng)絡(luò)的屏障，也可稱為控制進(jìn)/出兩個方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋外部網(wǎng)絡(luò)的侵入。將防病毒工作當(dāng)成日常例行工作，及時更新防病毒軟件和病毒庫。網(wǎng)絡(luò)攻擊的防范策略(3)隱藏自己的IP地址保護(hù)自己的IP地址是很重要的。事實(shí)上，即便用戶的機(jī)器上安裝了木馬程序，若沒有該機(jī)器IP地址，攻擊者也是沒有辦法入侵的，而保護(hù)IP地址的最好方法是設(shè)置代理服務(wù)器。代理服務(wù)器能起到外部網(wǎng)絡(luò)申請訪問內(nèi)部網(wǎng)絡(luò)的轉(zhuǎn)接作用，其功能類似于一個數(shù)據(jù)轉(zhuǎn)發(fā)器，它主要控制哪些用戶能訪問哪些服務(wù)類型。目標(biāo)系統(tǒng)的探測1.常用DOS命令ping命令nslookup命令netstat命令目標(biāo)系統(tǒng)的探測2.掃描器(1)掃描器的作用掃描器對于攻擊者來說是必不可少的工具，但也是網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)安全維護(hù)中的重要工具。因?yàn)閽呙柢浖窍到y(tǒng)管理員掌握系統(tǒng)安全狀況的必備工具，是其他工具所不能替代的。通過掃描工具可以提前發(fā)現(xiàn)系統(tǒng)的漏洞，打好補(bǔ)丁，做好防范。目標(biāo)系統(tǒng)的探測掃描器的主要功能如下。①檢測主機(jī)是否在線。②掃描目標(biāo)系統(tǒng)開放的端口，有的還可以測試端口的服務(wù)信息。③獲取目標(biāo)操作系統(tǒng)的敏感信息。④破解系統(tǒng)口令。⑤掃描其他系統(tǒng)敏感信息。例如，CGIScanner、ASPScanner、從各個主要端口取得服務(wù)信息的Scanner、數(shù)據(jù)庫Scanner以及木馬Scanner等。目前各種掃描器軟件有很多，比較著名的有X-scan、流光(Fluxay)、X-Port、SuperScan、PortScan、Nmap、X-WAY等。目標(biāo)系統(tǒng)的探測(2)端口掃描端口掃描是入侵者搜集信息的常用手法，通過端口掃描，能夠判斷出目標(biāo)主機(jī)開放了哪些服務(wù)、運(yùn)行哪種操作系統(tǒng)，為下一步的入侵做好準(zhǔn)備。端口掃描嘗試與目標(biāo)主機(jī)的某些端口建立TCP連接，如果目標(biāo)主機(jī)端口有回復(fù)，則說明該端口開放，即為“活動端口”。目標(biāo)系統(tǒng)的探測(3)掃描工具①X-scan掃描器。X-scan是國內(nèi)最著名的綜合掃描器之一，它完全免費(fèi)，是不需要安裝的綠色軟件，界面支持中文和英文兩種語言，提供了圖形界面和命令行兩種操作方式。X-scan把掃描報告和“安全焦點(diǎn)”網(wǎng)站相連接，對掃描到的每個漏洞進(jìn)行“風(fēng)險等級”評估，并提供漏洞描述、漏洞解決方案，方便網(wǎng)絡(luò)管理員測試、修補(bǔ)漏洞。X-Scan的主界面如圖所示。目標(biāo)系統(tǒng)的探測X-Scan的使用步驟如下。步驟1：設(shè)置檢測范圍。步驟2：設(shè)置掃描模塊。掃描模塊包括開放服務(wù)、NT-Server弱口令、NetBIOS信息、SNMP信息、遠(yuǎn)程操作系統(tǒng)、TELNET弱口令、SSH弱口令、REXEC弱口令、FTP弱口令、SQL-Server弱口令、WWW弱口令、CVS弱口令、VNC弱口令、POP3弱口令、SMTP弱口令、IMAP弱口令、NNTP弱口令、SOCK5弱口令、IIS編碼/解碼漏洞、漏洞檢測腳本等20多個模塊。目標(biāo)系統(tǒng)的探測步驟3：設(shè)置并發(fā)掃描及端口相關(guān)設(shè)置。并發(fā)線程：值越大速度越快(建議設(shè)為500)。并發(fā)主機(jī)：值越大掃描主機(jī)越多(建議設(shè)為10)。建議跳過ping不通的主機(jī)。步驟4：設(shè)置待檢測端口，確定檢測方式。檢測方式有TCP和SYN兩種方式。目標(biāo)系統(tǒng)的探測②流光(Fluxay)掃描器。流光是非常優(yōu)秀的掃描工具，它是由國內(nèi)高手小榕精心打造的綜合掃描器。其功能非常強(qiáng)大，不僅能夠像X-Scan那樣掃描眾多漏洞、弱口令，而且集成了常用的入侵工具，如字典工具、NT/IIS工具等，還獨(dú)創(chuàng)了能夠控制“肉機(jī)”進(jìn)行掃描的“流光Sensor工具”和為“肉機(jī)”安裝服務(wù)的“種植者”工具。③X-Port掃描器。X-Port提供多線程方式掃描目標(biāo)主機(jī)的開放端口，掃描過程中根據(jù)TCP/IP堆棧特征被動識別操作系統(tǒng)類型，若沒有匹配記錄，嘗試通過NetBIOS判斷是否為Windows系列操作系統(tǒng)，并嘗試獲取系統(tǒng)版本信息。目標(biāo)系統(tǒng)的探測④SuperScan掃描器。SuperScan是一個集“端口掃描”、“ping”、“主機(jī)名解析”于一體的掃描器。其功能如下。檢測主機(jī)是否在線。IP地址和主機(jī)名之間的相互轉(zhuǎn)換。通過TCP連接試探目標(biāo)主機(jī)運(yùn)行的服務(wù)。掃描指定范圍的主機(jī)端口。支持使用文件列表來指定掃描主機(jī)范圍。⑤其他端口掃描工具。包括PortScan、Nmap、X-WAY等。網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是黑客在局域網(wǎng)中常用的一種技術(shù)，在網(wǎng)絡(luò)中監(jiān)聽其他人的數(shù)據(jù)包，分析數(shù)據(jù)包，從而獲得一些敏感信息，如賬號和密碼等。網(wǎng)絡(luò)監(jiān)聽原本是網(wǎng)絡(luò)管理員經(jīng)常使用的一個工具，主要用來監(jiān)視網(wǎng)絡(luò)的流量、狀態(tài)、數(shù)據(jù)等信息，比如SnifferPro就是許多網(wǎng)絡(luò)管理員的必備工具。另外，分析數(shù)據(jù)包對于防黑客技術(shù)(如對掃描過程、攻擊過程有深入了解)也非常重要，從而對防火墻制定相應(yīng)規(guī)則來防范。所以網(wǎng)絡(luò)監(jiān)聽工具和網(wǎng)絡(luò)掃描工具一樣，也是一把雙刃劍，要正確地對待。網(wǎng)絡(luò)監(jiān)聽對于網(wǎng)絡(luò)監(jiān)聽，可以采取以下措施進(jìn)行防范。加密劃分VLAN口令破解1.口令破解概述為了安全起見，現(xiàn)在幾乎所有的系統(tǒng)都通過訪問控制來保護(hù)自己的數(shù)據(jù)。訪問控制最常用的方法就是口令(密碼)保護(hù)，口令應(yīng)該說是用戶最重要的一道防護(hù)門。攻擊者攻擊目標(biāo)是常常把破解用戶的口令作為攻擊的開始。只要攻擊者能猜測到或者確定用戶的口令，就能獲得機(jī)器或網(wǎng)絡(luò)的訪問權(quán)，并能訪問到用戶能訪問到的任何資源。如果這個用戶有管理員的權(quán)限，將是極其危險的。口令破解一般攻擊者常常通過下面幾種方法獲取用戶的密碼口令：暴力破解、Sniffer密碼嗅探、社會工程學(xué)(即通過欺詐手段獲取)以及木馬程序或鍵盤記錄程序等。系統(tǒng)賬戶密碼的暴力破解主要是基于密碼匹配的破解方法，最基本的方法有兩個：窮舉法字典法常用的密碼破解工具和審核工具有很多，如Windows平臺的SMBCrack、L0phtCrack、SAMInside等?？诹钇平?.口令破解示例SMBCrack是基于Windows操作系統(tǒng)的口令破解工具，使用了SMB協(xié)議。因?yàn)閃indows可以在同一個會話內(nèi)進(jìn)行多次口令試探，所以用SMBCrack可以破解操作系統(tǒng)的口令。假設(shè)目標(biāo)主機(jī)的用戶名為abc，密碼為123456，為了提高實(shí)驗(yàn)效果，提前制作好字典文件user.txt和pass.txt，口令破解結(jié)果如圖所示。針對暴力破解，Windows操作系統(tǒng)有很有效的防護(hù)方法，只要啟動賬戶鎖定策略就可以了。如果操作系統(tǒng)口令被破解了，黑客就可以利用一些工具獲得對方系統(tǒng)的Shell，那么用戶的信息將很容易被竊取。口令破解3.口令破解的防范對網(wǎng)絡(luò)用戶的用戶名和口令(密碼)進(jìn)行驗(yàn)證，是防止非法訪問的第一道防線。用戶在注冊網(wǎng)絡(luò)時，需輸入用戶名和密碼，服務(wù)器將驗(yàn)證其合法性。在用戶名與密碼兩者之中，密碼是問題的關(guān)鍵所在。據(jù)統(tǒng)計，大約80%的安全隱患是由于密碼設(shè)置不當(dāng)引起的。因此，密碼的設(shè)置無疑是十分講求技巧的?？诹钇平馊粲ＷC密碼的安全，應(yīng)當(dāng)遵循以下規(guī)則：①用戶密碼應(yīng)包含英文字母的大小寫、數(shù)字和可打印字符，甚至是非打印字符，將這些符號排列組合使用，以期達(dá)到最好的保密效果。②用戶密碼不要太規(guī)則，不要使用用戶姓名、生日、電話號碼、常用單詞等作為密碼。③根據(jù)黑客軟件的工作原理，參照密碼破譯的難易程度，以破解需要的時間為排序指標(biāo)，密碼長度設(shè)置時應(yīng)遵循7位或14位的整數(shù)倍原則?？诹钇平猗茉谕ㄟ^網(wǎng)絡(luò)驗(yàn)證密碼過程中，不得以明文方式傳輸，以免被監(jiān)聽截獲。⑤密碼不得以明文方式存儲在系統(tǒng)中，確保密碼以加密的形式寫在硬盤上且包含密碼的文件是只讀的。⑥密碼應(yīng)定期修改，避免重復(fù)使用舊密碼，采用多套密碼的命名規(guī)則。⑦建立賬號鎖定機(jī)制。一旦同一賬號密碼校驗(yàn)錯誤若干次即斷開連接并鎖定該賬號，經(jīng)過一段時間以后才能解鎖。IPC$入侵1.IPC$概述IPC$是Windows系統(tǒng)特有的一項(xiàng)管理功能，是Microsoft公司為了方便用戶使用計算機(jī)而設(shè)定的，主要用來遠(yuǎn)程管理計算機(jī)。事實(shí)上使用這個功能最多的人不是網(wǎng)絡(luò)管理員，而是入侵者。IPC后面的$表示它是隱藏的共享。通過IPC$連接，入侵者能夠?qū)崿F(xiàn)控制目標(biāo)主機(jī)。IPC(InternetProcessConnection)是共享“命名管道”的資源，它是為了讓進(jìn)程間通信而開放的命名管道，可以通過驗(yàn)證用戶名和口令來獲得相應(yīng)的權(quán)限，在建立連接時，如果使用空的用戶名和密碼所建立起來的連接，稱為空連接?？者B接相當(dāng)于匿名訪問，權(quán)限很低，但可枚舉出目標(biāo)主機(jī)的用戶名列表。不過，通過修改注冊表可禁止枚舉出用戶列表。在獲得用戶列表后，使用密碼字典，可進(jìn)行密碼探測，或通過密碼暴力破解，來獲得賬戶的密碼。

2.IPC$入侵方法(1)IPC$連接的建立與斷開①建立IPC$連接。假設(shè)04主機(jī)的用戶名為abc，密碼為123456，則輸入以下命令。

netuse\\04\IPC$"123456"/user:"abc"

若要建立空連接，則輸入以下命令。

netuse\\04\IPC$""/user:""②建立網(wǎng)絡(luò)驅(qū)動器，輸入以下命令。

netusez:\\04\C$

若要刪除網(wǎng)絡(luò)驅(qū)動器，輸入以下命令。

netusez:/delete③斷開IPC$連接。輸入以下命令。

netuse\\04\IPC$/delete(2)建立后門賬號①編寫批處理文件。在“記事本”中輸入“netusersysback123456/add”和“netlocalgroupadministratorssysback/add”命令，另存為hack.bat文件。②與目標(biāo)主機(jī)建立IPC$連接。③復(fù)制文件到目標(biāo)主機(jī)。輸入“copyhack.bat\\04\C$”命令，把hack.bat文件復(fù)制到目標(biāo)主機(jī)的C盤中。④通過計劃任務(wù)使遠(yuǎn)程主機(jī)執(zhí)行hack.bat文件，輸入“nettime\\04”命令，查看目標(biāo)系統(tǒng)時間。⑤假設(shè)目標(biāo)系統(tǒng)的時間為22:30，則可輸入“at\\0422:35c:\hack.bat”命令，計劃任務(wù)添加完畢后，使用“netuse*/delete”命令，斷開IPC$連接。⑥驗(yàn)證賬號是否成功建立。等一段時間后，估計遠(yuǎn)程主機(jī)已經(jīng)執(zhí)行了hack.bat文件。通過sysback賬號建立IPC$連接。若連接成功，說明sysback后門賬號已經(jīng)成功建立。3.IPC$入侵的防范IPC$在為管理員提供了方便的同時，也留下了嚴(yán)重的安全隱患，防范IPC$入侵的方法有以下3種。①刪除默認(rèn)共享。②禁止利用空連接進(jìn)行用戶名枚舉攻擊。在注冊表中，把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵的值改為1。修改完畢后重新啟動計算機(jī)，這樣便禁止了利用空連接進(jìn)行用戶名枚舉攻擊(nbtstat

–aIP)。不過要說明的是，這種方法并不能禁止建立空連接。③關(guān)閉Server服務(wù)。Server服務(wù)是IPC$和默認(rèn)共享所依賴的服務(wù)，如果關(guān)閉Server服務(wù)，IPC$和默認(rèn)共享便不存在，但同時服務(wù)器也喪失了其他一些服務(wù)，因此該方法只適合個人計算機(jī)使用。④屏蔽139、445端口。沒有這兩個端口的支持，是無法建立IPC$連接的，因此屏蔽139、445端口同樣可以阻止IPC$入侵。緩沖區(qū)溢出攻擊緩沖區(qū)溢出是一種非常普通、非常危險的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在著。利用緩沖區(qū)溢出漏洞，可以執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)管理員權(quán)限，進(jìn)行各種非法操作。緩沖區(qū)溢出攻擊1.緩沖區(qū)溢出原理緩沖區(qū)溢出攻擊是指通過向程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，以達(dá)到攻擊的目的。造成緩沖區(qū)溢出的原因是沒有仔細(xì)檢查程序中用戶輸入的參數(shù)。例如下面的程序：

#include<stdio.h>#include<string.h>charbigbuffer[]="0123456789";main(){charsmallbuffer[5];

strcpy(smallbuffer,bigbuffer);}緩沖區(qū)溢出攻擊上面的strcpy()將bigbuffer中的內(nèi)容復(fù)制到smallbuffer中。因?yàn)閎igbuffer中的字符數(shù)(10)大于smallbuffer能容納的字符數(shù)(5)，造成smallbuffer的溢出，使程序運(yùn)行出錯。通過制造緩沖區(qū)溢出使程序運(yùn)行一個用戶shell，再通過shell執(zhí)行其他命令。如果該程序?qū)儆趓oot且有suid權(quán)限，攻擊者就獲得了一個有root權(quán)限的shell，可以對系統(tǒng)進(jìn)行任意操作。緩沖區(qū)溢出攻擊2.緩沖區(qū)溢出攻擊的防范緩沖區(qū)溢出攻擊的防范主要從操作系統(tǒng)安全和程序設(shè)計兩方面實(shí)施。操作系統(tǒng)安全是最基本的防范措施，方法也很簡單，就是及時下載和安裝系統(tǒng)補(bǔ)丁。程序設(shè)計方面的措施主要有以下幾個方面。①編寫正確的代碼。編寫正確的代碼是一件有意義但耗時的工作，盡管人們知道了如何編寫安全的程序，具有安全漏洞的程序依舊出現(xiàn)，因此人們開發(fā)了一些工具和技術(shù)來幫助程序員編寫安全正確的程序。緩沖區(qū)溢出攻擊②非執(zhí)行的緩沖區(qū)。通過使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使攻擊者不可能執(zhí)行被攻擊程序輸入緩沖區(qū)的代碼，這種技術(shù)被稱為非執(zhí)行的緩沖區(qū)技術(shù)。③數(shù)組邊界檢查。數(shù)組邊界檢查完全防止了緩沖區(qū)溢出的產(chǎn)生和攻擊，但相對而言代價較大。④程序指針失效前進(jìn)行完整性檢查。即便一個攻擊者成功地改變了程序的指針，由于系統(tǒng)事先檢測到了指針的改變，因此這個指針將不會被使用。雖然這種方法不能使所有的緩沖區(qū)溢出失效，但能阻止絕大多數(shù)的緩沖區(qū)溢出攻擊。拒絕服務(wù)攻擊1.拒絕服務(wù)攻擊的定義拒絕服務(wù)(DenialofServices，DoS)攻擊從廣義上講可以指任何導(dǎo)致網(wǎng)絡(luò)設(shè)備(服務(wù)器、防火墻、交換機(jī)、路由器等)不能正常提供服務(wù)的攻擊，現(xiàn)在一般指的是針對服務(wù)器的DoS攻擊。這種攻擊可能是網(wǎng)線被拔下或者網(wǎng)絡(luò)的交通堵塞等，最終結(jié)果是正常用戶不能使用所需要的服務(wù)。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS是一種很簡單但又很有效的攻擊方式。尤其是對于ISP、電信部門、還有DNS服務(wù)器、Web服務(wù)器、防火墻等來說，DoS攻擊的影響都是非常大的。拒絕服務(wù)攻擊2.拒絕服務(wù)攻擊的目的DoS攻擊的目的是拒絕服務(wù)訪問，破壞組織的正常運(yùn)行，最終會使部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。有些人認(rèn)為DoS攻擊是沒有用的，因?yàn)镈oS攻擊不會直接導(dǎo)致系統(tǒng)滲透。但是，黑客使用DoS攻擊有以下目的。①使服務(wù)器崩潰并讓其他人也無法訪問。②黑客為了冒充某個服務(wù)器，就對其進(jìn)行DoS攻擊，使之癱瘓。③黑客為了啟動安裝的木馬，要求系統(tǒng)重新啟動，DoS攻擊可以用于強(qiáng)制服務(wù)器重新啟動。拒絕服務(wù)攻擊3.拒絕服務(wù)攻擊的原理DoS攻擊就是想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問，這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問。DoS攻擊的方式有很多種，根據(jù)其攻擊的手法和目的不同，主要有以下兩種不同的存在形式。①資源耗盡攻擊。指攻擊者以消耗主機(jī)的可用資源為目的，使目標(biāo)服務(wù)器忙于應(yīng)付大量非法的、無用的連接請求，占用了服務(wù)器所有的資源，造成服務(wù)器對正常的請求無法再做出及時響應(yīng)，從而形成事實(shí)上的服務(wù)中斷，這也是最常見的拒絕服務(wù)攻擊形式。這種攻擊主要利用的是網(wǎng)絡(luò)協(xié)議或者是系統(tǒng)的一些特點(diǎn)和漏洞進(jìn)行攻擊，主要的攻擊方法有死亡之Ping、SYNFlood、UDPFlood、ICMPFlood、Land、Teardrop等，針對這些漏洞的攻擊，目前在網(wǎng)絡(luò)中都有大量的工具可以利用。拒絕服務(wù)攻擊②帶寬耗盡中止。指攻擊者以消耗服務(wù)器鏈路的有效帶寬為目的，通過發(fā)送大量的有用或無用的數(shù)據(jù)包，將整條鏈路的帶寬全部占用，從而使合法用戶請求無法通過鏈路到達(dá)服務(wù)器。例如，蠕蟲對網(wǎng)絡(luò)的影響。具體的攻擊方式有很多，如發(fā)送垃圾郵件，向匿名FTP傳送垃圾文件，把服務(wù)器的硬盤塞滿；合理利用策略鎖定賬戶，一般服務(wù)器都有關(guān)于賬戶鎖定的安全策略，某個賬戶連續(xù)3次登錄失敗，那么這個賬戶將被鎖定。破壞者偽裝一個賬戶去錯誤地登錄，使這個賬戶被鎖定，正常的合法用戶則不能使用這個賬戶登錄系統(tǒng)了。拒絕服務(wù)攻擊以下是幾種常見的拒絕服務(wù)攻擊。(1)死亡之Ping死亡之Ping(PingofDeath)是最古老、最簡單的拒絕服務(wù)攻擊，它發(fā)送大于65535字節(jié)的ICMP數(shù)據(jù)包，如果ICMP數(shù)據(jù)包的尺寸超過64KB上限時，主機(jī)就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，致使主機(jī)死機(jī)。此外，向目標(biāo)主機(jī)長時間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包最終也會使系統(tǒng)癱瘓。大量的ICMP數(shù)據(jù)包會形成“ICMP風(fēng)暴”，使目標(biāo)主機(jī)耗費(fèi)大量的CPU資源。正確地配置操作系統(tǒng)和防火墻、阻斷ICMP以及任何未知協(xié)議都可以防范此類攻擊。(2)SYNFlood攻擊SYNFlood攻擊利用的是TCP協(xié)議缺陷。通常一次TCP連接的建立包括3次握手過程：①客戶端發(fā)送SYN包給服務(wù)器；②服務(wù)器分配一定的資源并返回SYN＋ACK包，并等待連接建立的最后的ACK包；③最后客戶端發(fā)送ACK包。這樣兩者之間的連接建立起來，并可以通過連接傳送數(shù)據(jù)。SYNFlood攻擊就是瘋狂地發(fā)送SYN包，而不返回ACK包，當(dāng)服務(wù)器未收到客戶端的ACK包時，規(guī)范標(biāo)準(zhǔn)規(guī)定必須重發(fā)SYN＋ACK包，一直到超時才將此條目從未連接隊(duì)列中刪除。SYNFlood攻擊消耗CPU和內(nèi)存資源，導(dǎo)致系統(tǒng)資源占用過多，沒有能力響應(yīng)其他操作，或者不能響應(yīng)正常的網(wǎng)絡(luò)請求，如圖所示。由于TCP/IP相信數(shù)據(jù)包的源IP地址，攻擊者還可以偽造源IP地址，如圖6-8所示，給追查造成很大的的困難。SYNFlood攻擊除了能影響主機(jī)外，還危害路由器、防火墻等網(wǎng)絡(luò)系統(tǒng)，事實(shí)上SYNFlood攻擊并不管目標(biāo)是什么系統(tǒng)，只要這些系統(tǒng)打開TCP服務(wù)就可以實(shí)施。SYNFlood攻擊實(shí)現(xiàn)起來非常簡單，網(wǎng)絡(luò)上有大量現(xiàn)成的SYNFlood攻擊工具，如xdos、Pdos、SYN-Killer等。以xdos為例，選擇隨機(jī)的源IP地址和源端口，并填寫目標(biāo)機(jī)器IP地址和TCP端口，運(yùn)行后就會發(fā)現(xiàn)目標(biāo)系統(tǒng)運(yùn)行緩慢，甚至死機(jī)。UDPFlood、ICMPFlood攻擊的原理與SYNFlood攻擊類似。關(guān)于SYNFlood攻擊的防范，目前許多防火墻和路由器都可以做到。首先關(guān)閉不必要的TCP/IP服務(wù)，對防火墻進(jìn)行配置，過濾來自同一主機(jī)的后續(xù)連接，然后根據(jù)實(shí)際的情況來判斷。(3)Land攻擊Land攻擊是打造一個特別的SYN包，包的源IP地址和目標(biāo)IP地址都被設(shè)置成被攻擊的服務(wù)器IP地址，這時將導(dǎo)致服務(wù)器向自己的IP地址發(fā)送SYN＋ACK包，結(jié)果這個IP地址又發(fā)回ACK包并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時。不同的系統(tǒng)對Land攻擊的反應(yīng)不同，許多UNIX系統(tǒng)會崩潰，而Windows會變得極其緩慢(大約持續(xù)5min)。(4)Teardrop攻擊Teardrop(淚珠)攻擊的原理是，IP數(shù)據(jù)包在網(wǎng)絡(luò)中傳遞時，數(shù)據(jù)包可以分成更小的片段，攻擊者可以通過發(fā)送兩段(或者更多)數(shù)據(jù)包來實(shí)現(xiàn)。第一個包的偏移量為0，長度為N，第二個包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機(jī)器的重新啟動。關(guān)于Land攻擊、Teardrop攻擊的防范，給系統(tǒng)打上最新的補(bǔ)丁即可。4.分布式拒絕服務(wù)攻擊的原理分布式拒絕服務(wù)(DistributedDenialofServices，DDoS)攻擊是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎或政府部門的站點(diǎn)。與早期的DoS相比，DDoS借助數(shù)百臺、數(shù)千臺甚至數(shù)萬臺受控制的機(jī)器向同一臺機(jī)器同時發(fā)起攻擊，如圖6-9所示，這種來勢迅猛的攻擊令人難以防備，具有很大的破壞力。DDoS攻擊分為3層：攻擊者、主控端和代理端，三者在攻擊中扮演著不同的角色。(1)攻擊者。攻擊者所用的計算機(jī)是攻擊主控臺，可以是網(wǎng)絡(luò)上的任何一臺主機(jī)。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。(2)主控端。主控端是攻擊者非法侵入并控制的一批主機(jī)，這些主機(jī)還分別控制著大量的代理主機(jī)。在主控端主機(jī)上安裝了特定的程序，因此它們可以接收攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。(3)代理端。代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接收和運(yùn)行主控端發(fā)來的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)動攻擊。攻擊者發(fā)起DDoS攻擊的第一步，就是尋找在Internet上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。第二步是在被入侵主機(jī)上安裝攻擊程序，其中一部分主機(jī)充當(dāng)攻擊的主控端，另一部分主機(jī)充當(dāng)攻擊的代理端，最后各部分主機(jī)各司其職，在攻擊者的調(diào)遣下對攻擊對象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時不會受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。DDoS攻擊實(shí)施起來有一定的難度，它要求攻擊者必須具備入侵他人計算機(jī)的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝，使發(fā)動DDoS攻擊變成一件輕而易舉的事情。5.分布式拒絕服務(wù)攻擊的防范到目前為止，對DDoS的防御還是比較困難的。首先，這種攻擊是利用了TCP/IP協(xié)議的漏洞，要完全抵御DDoS攻擊從原理上講不太現(xiàn)實(shí)。就好像有1000個人同時給你家里打電話，這時候你的朋友還打得進(jìn)來嗎？雖然人們不能完全杜絕DDoS，但還是可以盡量避免它給系統(tǒng)帶來更大的危害。(1)在服務(wù)上關(guān)閉不必要的服務(wù)，限制同時打開的SYN半連接數(shù)目，縮短SYN半連接的超時時間，及時更新系統(tǒng)補(bǔ)丁。(2)在防火墻方面，禁止對主機(jī)的非開放服務(wù)的訪問，限制同時打開的SYN最大連接數(shù)，啟用防火墻的防DDoS的功能，嚴(yán)格限制對外開放的服務(wù)器的向外訪問以防止自己的服務(wù)器被當(dāng)作傀儡機(jī)。(3)在路由器方面，使用訪問控制列表(ACL)過濾，設(shè)置SYN數(shù)據(jù)包流量速率，升級版本過低的操作系統(tǒng)，為路由器做好日志記錄。(4)ISP/ICP要注意自己管理范圍內(nèi)的客戶托管主機(jī)不要成為傀儡機(jī)，因?yàn)橛行┩泄苤鳈C(jī)的安全性較差，應(yīng)該和客戶搞好關(guān)系，努力解決可能存在的問題。(5)骨干網(wǎng)絡(luò)運(yùn)營商在自己的出口路由器上進(jìn)行源IP地址的驗(yàn)證，如果在自己的路由表中沒有用到這個數(shù)據(jù)包源IP的路由，就丟掉這個包。這種方法可以阻止黑客利用偽造的源IP地址來進(jìn)行分布式拒絕服務(wù)攻擊。當(dāng)然這樣做可能會降低路由器的效率，這也是骨干網(wǎng)絡(luò)運(yùn)營商非常關(guān)注的問題，所以這種做法真正實(shí)施起來還很困難。對分布式拒絕服務(wù)的原理與應(yīng)付方法的研究一直在進(jìn)行中，找到一個既有效又切實(shí)可行的方案不是一朝一夕的事情。但目前至少可以做到把自己的網(wǎng)絡(luò)與主機(jī)維護(hù)好，首先讓自己的主機(jī)不成為被人利用的對象去攻擊別人；其次，在受到攻擊的時候，要盡量保存證據(jù)，以便事后追查，一個良好的網(wǎng)絡(luò)和系統(tǒng)日志是必要的。項(xiàng)目實(shí)施1任務(wù)1:黑客入侵的模擬演示1.任務(wù)目標(biāo)

(1)掌握常用黑客入侵的工具及其使用方法。

(2)了解黑客入侵的基本過程。

(3)了解黑客入侵的危害性。2.任務(wù)內(nèi)容

(1)模擬攻擊前的準(zhǔn)備工作。

(2)利用X-Scan掃描器得到遠(yuǎn)程主機(jī)B的弱口令。

(3)利用Recton工具遠(yuǎn)程入侵主機(jī)B。

(4)利用DameWare軟件遠(yuǎn)程監(jiān)控主機(jī)B。項(xiàng)目實(shí)施

3.完成任務(wù)所需的設(shè)備和軟件

(1)裝有WindowsXP操作系統(tǒng)的PC機(jī)1臺，作為主機(jī)A(攻擊機(jī))。

(2)裝有WindowsServer2003操作系統(tǒng)的PC機(jī)1臺，作為主機(jī)B(被攻擊機(jī))。

(3)X-Scan、Recton、DameWare工具軟件各1套。項(xiàng)目實(shí)施4.任務(wù)實(shí)施步驟(1)模擬攻擊前的準(zhǔn)備工作步驟1：由于本次模擬攻擊所用到的工具軟件均可被較新的殺毒軟件和防火墻檢測出來并自動進(jìn)行隔離或刪除，因此，在模擬攻擊前要先將兩臺主機(jī)安裝的殺毒軟件和Windows防火墻等全部關(guān)閉。步驟2：在默認(rèn)的情況下，兩臺主機(jī)的IPC$共享、默認(rèn)共享、135端口和WMI(WindowsManagementInstrumentation，Windows管理規(guī)范)服務(wù)均處于開啟狀態(tài)，在主機(jī)B上禁用TerminalServices服務(wù)(主要用于遠(yuǎn)程桌面連接)后重新啟動計算機(jī)。項(xiàng)目實(shí)施步驟3：設(shè)置主機(jī)A(攻擊機(jī))的IP地址為01，主機(jī)B(被攻擊機(jī))的IP地址為02(IP地址可以根據(jù)實(shí)際情況自行設(shè)定)，兩臺主機(jī)的子網(wǎng)掩碼均為。設(shè)置完成后用ping命令測試兩臺主機(jī)連接成功。步驟4：為主機(jī)B添加管理員用戶“abc”，密碼為“123”。項(xiàng)目實(shí)施步驟5：打開主機(jī)B的“控制面板”中的“管理工具”，執(zhí)行“本地安全策略”命令，在“本地策略”的“安全選項(xiàng)”中找到“網(wǎng)絡(luò)訪問：本地賬戶的共享和安全模式”策略，并將其修改為“經(jīng)典-本地用戶以自己的身份驗(yàn)證”，如圖所示。項(xiàng)目實(shí)施(2)利用X-Scan掃描器得到遠(yuǎn)程主機(jī)B的弱口令步驟1：在主機(jī)A上安裝X-Scan掃描器。在用戶名字典文件nt_user.dic中添加由a、b、c三個字母隨機(jī)組合的用戶名，如abc、cab、bca等，每個用戶名占一行，中間不要有空行。步驟2：在弱口令字典文件weak_pass.dic中添加由1、2、3三個數(shù)字隨機(jī)組合的密碼，如123、321、213等，每個密碼占一行，中間不要有空行。項(xiàng)目實(shí)施步驟3：運(yùn)行X-Scan掃描器，選擇“設(shè)置”→“掃描參數(shù)”命令，打開“掃描參數(shù)”對話框，指定IP范圍為02，如圖所示。項(xiàng)目實(shí)施步驟4：選擇左側(cè)窗格中的“全局設(shè)置”→“掃描模塊”選項(xiàng)，在右側(cè)窗格中，為了加快掃描速度，這里僅選中“NT-Server弱口令”復(fù)選框，如圖所示，單擊“確定”按鈕。步驟5：在X-Scan主窗口中，單擊工具欄中的開始掃描按鈕，開始掃描，如圖所示。步驟6：等一會兒，掃描結(jié)束，會彈出一個掃描結(jié)果報告，如圖所示，可見已經(jīng)猜測出用戶abc的密碼為123。(3)利用Recton工具遠(yuǎn)程入侵主機(jī)B①遠(yuǎn)程啟動TerminalServices服務(wù)。步驟1：在主機(jī)B上，設(shè)置允許遠(yuǎn)程桌面連接，如圖6-15所示。在主機(jī)A中運(yùn)行mstsc.exe命令，設(shè)置遠(yuǎn)程計算機(jī)的IP地址(02)和用戶名(abc)后，再單擊“連接”按鈕，彈出無法連接到遠(yuǎn)程桌面的提示信息，如圖6-16所示，這是因?yàn)橹鳈C(jī)B上沒有開啟TerminalServices服務(wù)。步驟2：在主機(jī)A中運(yùn)行入侵工具Rectonv2.5，在“Terminal”選項(xiàng)卡中，輸入遠(yuǎn)程主機(jī)(主機(jī)B)的IP地址(02)、用戶名(abc)、密碼(123)，端口(3389)保持不變，并選中“自動重啟”復(fù)選框，如圖所示。步驟3：單擊“開始執(zhí)行”按鈕，則會開啟主機(jī)B上的TerminalServices服務(wù)，然后主機(jī)B會自動重新啟動。步驟4：主機(jī)B自動重新啟動完成后，在主機(jī)A上再次運(yùn)行mstsc.exe命令，設(shè)置遠(yuǎn)程計算機(jī)的IP地址(02)和用戶名(abc)后，再單擊“連接”按鈕，此時出現(xiàn)了遠(yuǎn)程桌面登錄界面，如圖所示，輸入密碼后即可實(shí)現(xiàn)遠(yuǎn)程桌面登錄。②遠(yuǎn)程啟動和停止Telnet服務(wù)。步驟1：在“Telnet”選項(xiàng)卡中，輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，單擊“開始執(zhí)行”按鈕，即可遠(yuǎn)程啟動主機(jī)B上的Telnet服務(wù)，如圖所示。如果再次單擊“開始執(zhí)行”按鈕，則會遠(yuǎn)程停止主機(jī)B上的Telnet服務(wù)。步驟2：遠(yuǎn)程啟動主機(jī)B上的Telnet服務(wù)后，在主機(jī)A上運(yùn)行“telnet02”命令，與主機(jī)B建立Telnet連接，此時系統(tǒng)詢問“是否將本機(jī)密碼信息送到遠(yuǎn)程計算機(jī)(y/n)”，如圖所示。步驟3：輸入“n”表示no，再按回車鍵。此時系統(tǒng)要求輸入主機(jī)B的登錄用戶名(login)和密碼(password)，這里分別輸入“abc”和“123”，密碼在輸入時沒有回顯，如圖所示。步驟4：此時與主機(jī)B的Telnet連接已成功建立，命令提示符也變?yōu)椤癈:\DocumentsandSettings\abc>”。在該命令提示符后面輸入并執(zhí)行DOS命令，如“dirc:\”命令，即可顯示主機(jī)B上的C盤根目錄中的所有文件和文件夾信息，如圖所示。步驟5：黑客可以利用Telnet連接和DOS命令，在遠(yuǎn)程主機(jī)上建立新用戶，并將新用戶提升為管理員，如執(zhí)行“netuseruser1123/add”命令表示新建用戶“user1”，密碼為“123”；再執(zhí)行“netlocalgroupadministratorsuser1/add”

命令表示將用戶“user1”加入到管理員組administrators中，如圖所示。步驟6：此時，可在主機(jī)B上驗(yàn)證是否新增了用戶“user1”，并隸屬于administrators組，如圖所示。也可在命令提示符后面輸入“netuseruser1”命令來查看驗(yàn)證。步驟7：黑客可以利用新建的管理員賬號user1作為后門，方便下次入侵該計算機(jī)。如果需要遠(yuǎn)程刪除該賬號，可輸入“netuseruser1/del”命令。如果需要斷開本次Telnet連接，可輸入“exit”命令。③在遠(yuǎn)程主機(jī)上執(zhí)行CMD命令。步驟1：在“CMD命令”選項(xiàng)卡中，輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，在“CMD”文本框中輸入“netshareD$=D:\”命令，如圖所示，單擊“開始執(zhí)行”按鈕，即可開啟遠(yuǎn)程主機(jī)的D盤共享，這種共享方式隱蔽性較高，而且是完全共享，在主機(jī)B中不會出現(xiàn)一只手托住盤的共享標(biāo)志。步驟2：此時若在主機(jī)A的瀏覽器地址欄中輸入“\\02\d$”，即可訪問主機(jī)B(已開啟Guest賬戶)的D盤，并可以進(jìn)行復(fù)制、刪除等操作，如圖所示。步驟3：如果需要關(guān)閉遠(yuǎn)程主機(jī)的D盤共享，可在“CMD”文本框中輸入“netshareD$/delete”命令。當(dāng)然，可在“CMD”文本框中輸入其他命令，達(dá)到遠(yuǎn)程運(yùn)行各種程序的目的。④清除遠(yuǎn)程主機(jī)上的日志。黑客為了消除各種入侵痕跡，最后需要清除日志。在“日志”選項(xiàng)卡中，輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，單擊“開始執(zhí)行”按鈕，可以清除遠(yuǎn)程主機(jī)上的日志。⑤重新啟動遠(yuǎn)程主機(jī)。在“重啟”選項(xiàng)卡中，輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，單擊“開始執(zhí)行”按鈕，即可重新啟動遠(yuǎn)程主機(jī)。⑥控制遠(yuǎn)程主機(jī)中的進(jìn)程。步驟1：在“進(jìn)程”選項(xiàng)卡中，輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，在進(jìn)程列表處右擊，選擇“獲取進(jìn)程信息”命令，可以顯示主機(jī)B上目前正在運(yùn)行的所有進(jìn)程。步驟2：如果需要關(guān)閉某進(jìn)程，如360殺毒進(jìn)程“360sd.exe”，防止以后要上傳的木馬文件被殺毒軟件等殺除，可右擊該進(jìn)程，選擇“關(guān)閉進(jìn)程”命令即可，如圖所示。⑦控制遠(yuǎn)程主機(jī)中的服務(wù)。步驟1：在“服務(wù)”選項(xiàng)卡中，輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，在服務(wù)列表處右擊，選擇“獲取服務(wù)信息”命令，可以顯示主機(jī)B上的所有服務(wù)名、當(dāng)前狀態(tài)和啟動類型等信息，如圖所示。其中“狀態(tài)”列中，“Running”表示該服務(wù)已經(jīng)啟動，“Stopped”表示該服務(wù)已經(jīng)停止。“啟動類型”列中，“Auto”表示自動啟動，“Manual”表示手動啟動，“Disabled”表示已禁用。步驟2：可以右擊某個服務(wù)，選擇“啟動/停止服務(wù)”命令，改變所選服務(wù)的當(dāng)前狀態(tài)。⑧控制遠(yuǎn)程主機(jī)中的共享。步驟1：在“共享”選項(xiàng)卡中，輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼后，在共享列表處右擊，選擇“獲取共享信息”命令，可以查看遠(yuǎn)程主機(jī)當(dāng)前所有的共享信息，如圖所示。步驟2：如果要在遠(yuǎn)程主機(jī)上新建共享，可以右擊共享列表，選擇“創(chuàng)建共享”命令，此時會連續(xù)彈出三個對話框，根據(jù)提示分別輸入要創(chuàng)建的共享名、共享路徑和備注信息后即可在遠(yuǎn)程主機(jī)上新建共享磁盤或文件夾。用這種方法新建的共享與使用CMD命令新建的共享是一樣的，在遠(yuǎn)程主機(jī)上不會顯示共享圖標(biāo)，且為完全共享。步驟3：如果需要關(guān)閉某共享，可以在該共享上右擊，選擇“關(guān)閉共享”命令即可。⑨向遠(yuǎn)程主機(jī)種植木馬步驟1：在“種植者”選項(xiàng)卡中，輸入遠(yuǎn)程主機(jī)的IP地址、用戶名和密碼。從圖6-29可以知道，遠(yuǎn)程主機(jī)上已有IPC$共享，因此在這里可以選中“IPC上傳”單選按鈕，單擊“本地文件”文本框右側(cè)的按鈕，選擇要種植的木馬程序，如“C:\木馬.exe”，該程序必須為可執(zhí)行文件。步驟2：單擊“獲取共享目錄”按鈕，再在“共享目錄”和“對應(yīng)路徑”下拉列表中選擇相應(yīng)的選項(xiàng)。在“啟動參數(shù)”文本框中設(shè)置木馬程序啟動時需要的參數(shù)，這里不需要設(shè)置啟動參數(shù)，如圖6-30所示。步驟3：單擊“開始種植”按鈕后，所選擇的木馬程序文件將被復(fù)制到遠(yuǎn)程主機(jī)的共享目錄中，木馬程序還將進(jìn)行倒計時，60秒后啟動已經(jīng)種植在遠(yuǎn)程主機(jī)上的木馬程序。(4)利用DameWare軟件遠(yuǎn)程監(jiān)控主機(jī)B步驟1：在主機(jī)A中安裝并運(yùn)行DameWare(迷你中文版4.5)軟件，如圖所示，輸入遠(yuǎn)程主機(jī)B的IP地址、用戶名和口令(密碼)。步驟2：單擊“設(shè)置”按鈕，在打開的對話框中選擇“服務(wù)安裝選項(xiàng)”選項(xiàng)卡，選中“設(shè)置服務(wù)啟動類型為‘手動’－默認(rèn)為‘自動’”和“復(fù)制配置文件DWRCS.INI”復(fù)選框，如圖所示。步驟3：單擊“編輯”按鈕，在打開的對話框中選擇“通知對話框”選項(xiàng)卡，取消選中“連接時通知”復(fù)選框，如圖所示。步驟4：在“附加設(shè)置”選項(xiàng)卡中，取消選中所有的復(fù)選框，如圖所示，這樣設(shè)置的目的是在連接并監(jiān)控遠(yuǎn)程主機(jī)時不易被其發(fā)現(xiàn)。步驟5：單擊“確定”