黑客攻與防第一講

黑客攻與防信息學(xué)院：劉麗heikegongyufang@126.comHeike000000內(nèi)容提要黑客和黑客技術(shù)的相關(guān)概念黑客攻擊的步驟，以及黑客攻擊和網(wǎng)絡(luò)安全的關(guān)系典型的網(wǎng)絡(luò)安全事件黑客概述什么是黑客？黑客是“Hacker”的音譯，源于動(dòng)詞Hack，其引申意義是指“干了一件非常漂亮的事”。這里說的黑客是指那些精于某方面技術(shù)的人。對于計(jì)算機(jī)而言，黑客就是精通網(wǎng)絡(luò)、系統(tǒng)、外設(shè)以及軟硬件技術(shù)的人。什么是駭客？有些黑客逾越尺度，運(yùn)用自己的知識去做出有損他人權(quán)益的事情，就稱這種人為駭客（Cracker，破壞者）。黑客分類目前將黑客的分成三類：第一類：破壞者；第二類：紅客；第三類：間諜黑客的行為發(fā)展趨勢網(wǎng)站被黑可謂是家常便飯，世界范圍內(nèi)一般美國和日本的網(wǎng)站比較難入侵，韓國、澳大利亞等國家的網(wǎng)站比較容易入侵，黑客的行為有三方面發(fā)展趨勢：手段高明化：黑客界已經(jīng)意識到單靠一個(gè)人力量遠(yuǎn)遠(yuǎn)不夠了，已經(jīng)逐步形成了一個(gè)團(tuán)體，利用網(wǎng)絡(luò)進(jìn)行交流和團(tuán)體攻擊，互相交流經(jīng)驗(yàn)和自己寫的工具?；顒?dòng)頻繁化：做一個(gè)黑客已經(jīng)不再需要掌握大量的計(jì)算機(jī)和網(wǎng)路知識，學(xué)會使用幾個(gè)黑客工具，就可以再互聯(lián)網(wǎng)上進(jìn)行攻擊活動(dòng)，黑客工具的大眾化是黑客活動(dòng)頻繁的主要原因。動(dòng)機(jī)復(fù)雜化：黑客的動(dòng)機(jī)目前已經(jīng)不再局限于為了國家、金錢和刺激。已經(jīng)和國際的政治變化、經(jīng)濟(jì)變化緊密的結(jié)合在一起。黑客精神要成為一名好的黑客，需要具備四種基本素質(zhì)：“Free”精神、探索與創(chuàng)新精神、反傳統(tǒng)精神和合作精神。1、“Free”(自由、免費(fèi))的精神需要在網(wǎng)絡(luò)上和本國以及國際上一些高手進(jìn)行廣泛的交流，并有一種奉獻(xiàn)精神，將自己的心得和編寫的工具和其他黑客共享。2、探索與創(chuàng)新的精神所有的黑客都是喜歡探索軟件程序奧秘的人。他們探索程序與系統(tǒng)的漏洞，在發(fā)現(xiàn)問題的同時(shí)會提出解決問題的方法。3、反傳統(tǒng)的精神找出系統(tǒng)漏洞，并策劃相關(guān)的手段利用該漏洞進(jìn)行攻擊，這是黑客永恒的工作主題，而所有的系統(tǒng)在沒有發(fā)現(xiàn)漏洞之前，都號稱是安全的。4、合作的精神成功的一次入侵和攻擊，在目前的形式下，單靠一個(gè)人的力量已經(jīng)沒有辦法完成了，通常需要數(shù)人，數(shù)百人的通力協(xié)作才能完成任務(wù)，互聯(lián)網(wǎng)提供了不同國家黑客交流合作的平臺。黑客守則任何職業(yè)都有相關(guān)的職業(yè)道德，一名黑客同樣有職業(yè)道德，一些守則是必須遵守的，不讓會給自己招來麻煩。歸納起來就是“黑客十二條守則”。1、不要惡意破壞任何的系統(tǒng)，這樣做只會給你帶來麻煩。2、不要破壞別人的軟件和資料。3、不要修改任何系統(tǒng)文件，如果是因?yàn)檫M(jìn)入系統(tǒng)的需要而修改了系統(tǒng)文件，請?jiān)谀康倪_(dá)到后將他改回原狀。4、不要輕易的將你要黑的或者黑過的站點(diǎn)告訴你不信任的朋友。5、在發(fā)表黑客文章時(shí)不要用你的真實(shí)名字。6、正在入侵的時(shí)候，不要隨意離開你的電腦。7、不要入侵或破壞政府機(jī)關(guān)的主機(jī)。8、將你的筆記放在安全的地方。9、已侵入的電腦中的賬號不得清除或修改。10、可以為隱藏自己的侵入而作一些修改，但要盡量保持原系統(tǒng)的安全性，不能因?yàn)榈玫较到y(tǒng)的控制權(quán)而將門戶大開。11、不要做一些無聊、單調(diào)并且愚蠢的重復(fù)性工作。12、做真正的黑客，讀遍所有有關(guān)系統(tǒng)安全或系統(tǒng)漏洞的書。攻擊五部曲一次成功的攻擊，都可以歸納成基本的五步驟，但是根據(jù)實(shí)際情況可以隨時(shí)調(diào)整。歸納起來就是“黑客攻擊五部曲”1、隱藏IP2、踩點(diǎn)掃描3、獲得系統(tǒng)或管理員權(quán)限4、種植后門5、在網(wǎng)絡(luò)中隱身1、隱藏IP這一步必須做，因?yàn)槿绻约旱娜肭值暮圹E被發(fā)現(xiàn)了，當(dāng)FBI找上門的時(shí)候就一切都晚了。通常有兩種方法實(shí)現(xiàn)自己IP的隱藏：第一種方法是首先入侵互聯(lián)網(wǎng)上的一臺電腦（俗稱“肉雞”），利用這臺電腦進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。第二種方式是做多極跳板“Sock代理”，這樣在入侵的電腦上留下的是代理計(jì)算機(jī)的IP地址。比如攻擊A國的站點(diǎn)，一般選擇離A國很遠(yuǎn)的B國計(jì)算機(jī)作為“肉雞”或者“代理”，這樣跨國度的攻擊，一般很難被偵破。2、踩點(diǎn)掃描踩點(diǎn)就是通過各種途徑對所要攻擊的目標(biāo)進(jìn)行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確），確定攻擊的時(shí)間和地點(diǎn)。掃描的目的是利用各種工具在攻擊目標(biāo)的IP地址或地址段的主機(jī)上尋找漏洞。掃描分成兩種策略：被動(dòng)式策略和主動(dòng)式策略。3、獲得系統(tǒng)或管理員權(quán)限得到管理員權(quán)限的目的是連接到遠(yuǎn)程計(jì)算機(jī)，對其進(jìn)行控制，達(dá)到自己攻擊目的。獲得系統(tǒng)及管理員權(quán)限的方法有：通過系統(tǒng)漏洞獲得系統(tǒng)權(quán)限通過管理漏洞獲得管理員權(quán)限通過軟件漏洞得到系統(tǒng)權(quán)限通過監(jiān)聽獲得敏感信息進(jìn)一步獲得相應(yīng)權(quán)限通過弱口令獲得遠(yuǎn)程管理員的用戶密碼通過窮舉法獲得遠(yuǎn)程管理員的用戶密碼通過攻破與目標(biāo)機(jī)有信任關(guān)系另一臺機(jī)器進(jìn)而得到目標(biāo)機(jī)的控制權(quán)通過欺騙獲得權(quán)限以及其他有效的方法。4、種植后門為了保持長期對自己勝利果實(shí)的訪問權(quán),在已經(jīng)攻破的計(jì)算機(jī)上種植一些供自己訪問的后門。5、在網(wǎng)絡(luò)中隱身一次成功入侵之后，一般在對方的計(jì)算機(jī)上已經(jīng)存儲了相關(guān)的登錄日志，這樣就容易被管理員發(fā)現(xiàn)。在入侵完畢后需要清除登錄日志已經(jīng)其他相關(guān)的日志。攻擊和安全的關(guān)系黑客攻擊和網(wǎng)絡(luò)安全的是緊密結(jié)合在一起的，研究網(wǎng)絡(luò)安全不研究黑客攻擊技術(shù)簡直是紙上談兵，研究攻擊技術(shù)不研究網(wǎng)絡(luò)安全就是閉門造車。某種意義上說沒有攻擊就沒有安全，系統(tǒng)管理員可以利用常見的攻擊手段對系統(tǒng)進(jìn)行檢測，并對相關(guān)的漏洞采取措施。網(wǎng)絡(luò)攻擊有善意也有惡意的，善意的攻擊可以幫助系統(tǒng)管理員檢查系統(tǒng)漏洞，惡意的攻擊可以包括：為了私人恩怨而攻擊、商業(yè)或個(gè)人目的獲得秘密資料、民族仇恨、利用對方的系統(tǒng)資源滿足自己的需求、尋求刺激、給別人幫忙以及一些無目的攻擊。典型的網(wǎng)絡(luò)安全事件時(shí)間發(fā)生的主要事件損失1983年“414黑客”。這6名少年黑客被控侵入60多臺電腦，1987年赫爾伯特·齊恩（“影子鷹”）闖入美國電話電報(bào)公司1988年羅伯特-莫里斯“蠕蟲”程序。造成了1500萬到1億美元的經(jīng)濟(jì)損失。1990年“末日軍團(tuán)”4名黑客中有3人被判有罪。1995年米特尼克偷竊了2萬個(gè)信用卡號8000萬美元的巨額損失。1998年2月德國計(jì)算機(jī)黑客米克斯特使美國七大網(wǎng)站限于癱瘓狀態(tài)時(shí)間發(fā)生的主要事件損失1998年兩名加州少年黑客。以色列少年黑客“分析家查詢五角大樓網(wǎng)站并修改了工資報(bào)表和人員數(shù)據(jù)。1999年4月“ＣＩＨ”病毒保守估計(jì)全球有６千萬部的電腦受害。1999年北京江民KV300殺毒軟件損失260萬元。2000年2月“雅虎"、“電子港灣"、亞馬孫、微軟網(wǎng)絡(luò)等美國大型國際互聯(lián)網(wǎng)網(wǎng)站。損失就超過了10億美元，其中僅營銷和廣告收入一項(xiàng)便高達(dá)1億美元。2000年4月闖入電子商務(wù)網(wǎng)站的威爾斯葛雷，估計(jì)導(dǎo)致的損失可能超過三百萬美元。2000年10月27全球軟件業(yè)龍頭微軟懷疑被一伙藏在俄羅斯圣彼得堡的電腦黑客入侵可能竊取了微軟一些最重要軟件產(chǎn)品的源代碼或設(shè)計(jì)藍(lán)圖。羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震撼了整個(gè)世界。由原本寂寂無名的大學(xué)生羅伯特·莫里斯（22歲）制造的這個(gè)蠕蟲病毒入侵了大約6000個(gè)大學(xué)和軍事機(jī)構(gòu)的計(jì)算機(jī)，使之癱瘓。此后，從CIH到美麗莎病毒，從尼姆達(dá)到紅色代碼，病毒、蠕蟲的發(fā)展愈演愈烈。凱文?米特尼克凱文?米特尼克是美國20世紀(jì)最著名的黑客之一，他是《社會工程學(xué)》的創(chuàng)始人1979年（15歲）他和他的伙伴侵入了“北美空中防務(wù)指揮系統(tǒng)”，翻閱了美國所有的核彈頭資料，令大人不可置信。不久破譯了美國“太平洋電話公司”某地的改戶密碼，隨意更改用戶的電話號碼。2010年十大安全事件1.內(nèi)鬼作亂:前弗吉尼亞州的一名IT主管，因故意破壞裝有機(jī)密文件的企業(yè)計(jì)算機(jī)而被判27個(gè)月監(jiān)禁和6700美元賠償金。

2.美國政府加強(qiáng)網(wǎng)絡(luò)安全建設(shè)美國總統(tǒng)奧巴馬成立了一個(gè)以確保美國政府網(wǎng)絡(luò)安全為宗旨的專門委員會。7月的一份報(bào)告指出美國政府在近期內(nèi)會大量搜羅網(wǎng)絡(luò)安全方面的人才并將擴(kuò)大該專業(yè)的教育規(guī)模。3.云計(jì)算服務(wù)安全問題云計(jì)算是服務(wù)是IT未來的發(fā)展趨勢。目前企業(yè)越來越多地以服務(wù)的方式購買解決方案，云計(jì)算服務(wù)將成為未來數(shù)據(jù)安全研究的重點(diǎn)4.維基解密掀起軒然大波維基解密網(wǎng)站正在繼續(xù)轟炸互聯(lián)網(wǎng)，其最近公布的美國外交機(jī)密文件正在挑釁美國政府，外交官和同盟。7月26日，“維基解密”在《紐約時(shí)報(bào)》《衛(wèi)報(bào)》和《鏡報(bào)》配合下，在網(wǎng)上公開了多達(dá)9.2萬份的駐阿美軍秘密文件，引起軒然大波。5.僵尸網(wǎng)絡(luò)頭目被逮捕雖然僵尸網(wǎng)絡(luò)目前還沒有形成大規(guī)模的犯罪團(tuán)伙，然而FBI已經(jīng)開始全球合作，跨國界地追捕這些罪犯。例如，美國FBI與州政府和其他國家的和執(zhí)法人員合作切斷了該組織的金融鏈，F(xiàn)BI與州政府總逮捕了37名犯罪人員，另有11名犯罪分子在英國被逮捕。6.發(fā)現(xiàn)安全隱患通知責(zé)任人還是公開發(fā)布?六月，Google安全工程師塔維斯?奧曼迪(TavisOrmandy)告之微軟WindowsXP和WindowsServer2003存在一個(gè)安全漏洞，微軟公司也承認(rèn)收到該報(bào)告。五天后，奧曼迪將缺陷相關(guān)的部分概念驗(yàn)證攻擊代碼公布在網(wǎng)上，引起了微軟的極大不滿。微軟譴責(zé)奧曼迪公布利用零日缺陷的代碼使Windows客戶面臨較大的攻擊風(fēng)險(xiǎn)。7.黑客多貪財(cái)

8.Stuxnet惡意軟件攻擊核設(shè)施Stuxnet惡意軟件滲透到全球，意在攻擊伊朗核設(shè)施.11月30日，伊朗總統(tǒng)內(nèi)賈德今天證實(shí)了國內(nèi)的核電站被Stuxnet攻擊，位于布什爾和納坦茲的伊朗核設(shè)施濃縮鈾離心機(jī)被病毒破壞。普遍猜測Stuxnet傳染源集中在以色列。9.蘋果再掀風(fēng)浪蘋果公司封殺Flash，與Adobe公司開戰(zhàn)。雖然Flash用戶人數(shù)龐大，但是HTML5似乎正成為趨勢。蘋果、谷歌和微軟都表示支持HTML5。10.安全行業(yè)掀起并購狂潮越來越多的IT公司意識到安全的重要性，安全領(lǐng)域并購潮一觸即發(fā)。在短短的六個(gè)月時(shí)間內(nèi)，這些企業(yè)并購支出將近100億美元：賽門鐵克公司(Symantec)拿下了VeriSign，PGP和GuardianEdge;IBM收購了BigFix，OpenPages和PSSSystems;惠普購買了Fortify和ArcSight;CA吞并了Arcot。2011年十大IT安全事件1.索尼又是“第一”索尼公司今年發(fā)生的安全事故絕對是其歷史上難以洗刷的恥辱。。。。。索尼還承認(rèn)數(shù)據(jù)庫中的1200個(gè)未加密的信用卡信息也很容易被讀取。網(wǎng)站恢復(fù)后，索尼不得不要求網(wǎng)站用戶重設(shè)密碼，還遭到了數(shù)十人的集體起訴。為此索尼至少失損失了1.78億美元。

2.FidelityNational公司1300萬美元的教訓(xùn)2011年5月，F(xiàn)idelityNationalInformationServices報(bào)道說由于一些“未經(jīng)授權(quán)的活動(dòng)”，該公司損失了1300萬美元。有媒體稱是因?yàn)橐恍┚W(wǎng)絡(luò)犯罪份子侵入該公司網(wǎng)絡(luò)并進(jìn)入了保存賬號余額的中央數(shù)據(jù)庫。罪犯獲得了22個(gè)合法的預(yù)付卡，將復(fù)制的副本帶到了希臘、俄羅斯、西班牙、瑞典、克蘭和英國，一方面通過滲透該公司在佛羅里達(dá)州滲透，總部設(shè)在佛羅里達(dá)州杰克遜維爾的公司系統(tǒng)增加卡內(nèi)余額，另一方面同伙則利用副本在以上幾個(gè)國家通過ATM機(jī)提取現(xiàn)金。至今罪犯尚未被逮捕。

3.黑客使花旗集團(tuán)蒙羞花旗集團(tuán)是2011年受黑客之害的幾家公司之一。該銀行6月份報(bào)道說黑客竊取了銀行系統(tǒng)中21萬卡持有人的姓名、賬戶號碼和電子郵件地址信息，而其它的一些信息如出生日期和社會安全號碼沒有泄露。4.世嘉帶給用戶的也不只是游戲和歡樂2011年6月，世嘉公司在線游戲網(wǎng)站受到攻擊，130萬用戶個(gè)人信息外泄，世嘉被迫關(guān)閉了該服務(wù)。黑客盜走了用戶的出生日期、郵件和賬戶密碼，幸運(yùn)的是沒有信用卡號或其它支付數(shù)據(jù)被竊取。案件發(fā)生后，世嘉向網(wǎng)站用戶表達(dá)了歉意并承諾加強(qiáng)網(wǎng)站安全。5.新聞出版商吉普林格的用戶登上頭條新聞2011年7月，基普林格公司向外宣布某黑客竊取了該公司14.2萬客戶的姓名、密碼和信用卡號。該公司拖延了2個(gè)星期才不得不承認(rèn)了這一事件的發(fā)生，卻向客戶解釋道如此晚才通知客戶是因?yàn)樗麄冃枰_認(rèn)受損狀況。6.黑客們擺了VacationlandVendors一道9月，VacationlandVendors宣布黑客從該公司系統(tǒng)竊取了信用卡和借記卡號碼。隱私權(quán)資訊中心稱4萬人利益受損，黑客訪問了2008年12月12日至2011年5月25日間這4萬名用戶的信用卡和借記卡交易。VacationlandVendors回應(yīng)稱此次事件的發(fā)生是由于安全漏洞，并聘請了安全顧問來幫助防止再受黑客攻擊。此外還建議受害人通知發(fā)卡和信貸機(jī)構(gòu)，防止欺詐事件發(fā)生。7.馬薩諸塞州失業(yè)人員的額外擔(dān)心：馬薩諸塞州勞動(dòng)和勞動(dòng)力發(fā)展執(zhí)行辦公室5月時(shí)發(fā)現(xiàn)部門電腦感染病毒，黑客盜取了部分失業(yè)人員的姓名、地址和社會保障號。辦公室發(fā)言人承認(rèn)病毒剛侵入部門計(jì)算機(jī)系統(tǒng)不久就被發(fā)現(xiàn)，但計(jì)算機(jī)工程師未能采取措施徹底刪除病毒。數(shù)據(jù)庫損壞除了影響到1200名使用該機(jī)構(gòu)電腦存檔季度報(bào)告的雇主外，還感染了1500臺該機(jī)構(gòu)的失業(yè)人員辦公室電腦。8.美國威斯康星大學(xué)捕獲病毒威斯康星州大學(xué)密爾沃基大學(xué)8月份在服務(wù)器上發(fā)現(xiàn)病毒，7.5萬學(xué)生和學(xué)校