《網(wǎng)絡(luò)信息安全技術(shù)》課件第5章

第5章黑客攻擊和防范技術(shù)5.1黑客攻擊及其原因5.2黑客攻擊的流程5.3黑客攻擊技術(shù)分析5.4網(wǎng)絡(luò)環(huán)境下的攻擊

5.1黑客攻擊及其原因

5.1.1黑客及起源

黑客（Hacker）起源上世紀(jì)50年代的美國(guó)，一般認(rèn)為最早在麻省理工學(xué)院的實(shí)驗(yàn)室中出現(xiàn)。早期的黑客技術(shù)水平高超、精力充沛，熱衷于挑戰(zhàn)難題。直到60、70年代，黑客一詞仍然極富褒義，用來(lái)稱呼那些智力超群、獨(dú)立思考、奉公守法的計(jì)算機(jī)迷，他們?nèi)硇耐度腚娔X技術(shù)，對(duì)計(jì)算機(jī)的最大潛力進(jìn)行探索。黑客推動(dòng)了個(gè)人計(jì)算機(jī)革命，倡導(dǎo)了現(xiàn)行的計(jì)算機(jī)開(kāi)放式體系結(jié)構(gòu)，打破了計(jì)算機(jī)技術(shù)的壁壘，在電腦發(fā)展史上留下了自己的貢獻(xiàn)。隨著黑客群體的擴(kuò)大，黑客從行為上、目的上出現(xiàn)了分化。從行為和動(dòng)機(jī)上劃分，黑客行為有“善意”和“惡意”兩種：即所謂的白帽（WhiteHat）黑客和黑帽（BlackHat）黑客。

（1）白帽黑客利用其個(gè)人或群體的高超技術(shù)，長(zhǎng)期致力于改善計(jì)算機(jī)及其環(huán)境，不斷尋找系統(tǒng)弱點(diǎn)及脆弱性并公布于眾，促使各大計(jì)算機(jī)廠商改善服務(wù)質(zhì)量及產(chǎn)品，提醒普通用戶系統(tǒng)的安全隱患。白帽利用他們的技能做一些對(duì)計(jì)算機(jī)系統(tǒng)有益的事情，其行為更多的是一種公眾測(cè)試形式。（2）黑帽黑客也被稱為Cracker，主要利用個(gè)人掌握的攻擊手段和入侵方法，非法侵入并破壞計(jì)算機(jī)系統(tǒng)，從事一些惡意的破壞活動(dòng)。近期的黑帽開(kāi)始以個(gè)人私利為目的，竊取數(shù)據(jù)、篡改用戶的計(jì)算機(jī)系統(tǒng)，從事的是一種犯罪行為。

黑客攻擊網(wǎng)絡(luò)的手段花樣百出，令人防不勝防。分析和研究

黑客活動(dòng)的規(guī)律和采用的技術(shù)，對(duì)加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，防止網(wǎng)絡(luò)犯罪有很好的借鑒作用。另外，黑客技術(shù)是一把雙刃劍，通過(guò)它既可以非法入侵或攻擊他人的電腦，又可以了解系統(tǒng)安全隱患、黑客入侵的手段，掌握保護(hù)電腦、防范入侵的方法。我們?cè)诹私夂诳图夹g(shù)時(shí)，首先應(yīng)該明確學(xué)習(xí)的正確目的，必須意識(shí)到技術(shù)的濫用會(huì)導(dǎo)致違法甚至犯罪行為，最終受到法律的制裁。5.1.2黑客入侵與攻擊

對(duì)于企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，網(wǎng)絡(luò)攻擊的來(lái)源可能是企業(yè)內(nèi)部心懷不滿的員工、外部的網(wǎng)絡(luò)黑客，甚至是競(jìng)爭(zhēng)對(duì)手。攻擊者可以竊聽(tīng)網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫(kù)的信息；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容，偽造用戶身份和簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫(kù)的內(nèi)容，摧毀網(wǎng)絡(luò)服務(wù)系統(tǒng)，散布計(jì)算機(jī)病毒，使整個(gè)企業(yè)網(wǎng)絡(luò)陷入癱瘓。

黑客攻擊往往來(lái)自網(wǎng)絡(luò)外部，互聯(lián)網(wǎng)的發(fā)展使網(wǎng)絡(luò)攻擊變得更加容易，攻擊的時(shí)間和手段更加難以預(yù)測(cè)。外部黑客的攻擊往往具有很大隨意性，很可能因?yàn)橐环N新的攻擊手段出現(xiàn)，使黑客們手癢難耐一試身手。近年來(lái)，黑客攻擊規(guī)?；霈F(xiàn)，網(wǎng)絡(luò)安全防范已經(jīng)成為網(wǎng)絡(luò)安全的首要問(wèn)題。隨著計(jì)算機(jī)技術(shù)的發(fā)展，在計(jì)算機(jī)上處理業(yè)務(wù)已由單機(jī)數(shù)學(xué)運(yùn)算、文件處理，基于簡(jiǎn)單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在信息處理能力提高的同時(shí)，系統(tǒng)的連結(jié)能力也在不斷的提高。但在連結(jié)信息能力、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出。在網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)安全技術(shù)比較發(fā)達(dá)的美國(guó)，也無(wú)法避免地遭受了一系列的黑客攻擊。在黑客群體誕生后，幾乎每年都有震驚業(yè)界的黑客入侵事件發(fā)生，影響較大的黑客入侵事件如下。

1979年，北美空中防務(wù)指揮部的計(jì)算機(jī)主機(jī)遭到黑客入侵，入侵者凱文·米特尼克竟然年僅15歲，所用的設(shè)備僅僅是一臺(tái)電腦和一部調(diào)制解調(diào)器。

1983年，美國(guó)聯(lián)邦調(diào)查局逮捕了6名侵入60多臺(tái)電腦的少年黑客，被入侵的電腦系統(tǒng)包括斯洛恩·凱特林癌癥紀(jì)念中心和洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室，這是首次針對(duì)黑客的拘捕行動(dòng)。

1987年，美國(guó)電話電報(bào)公司的內(nèi)部網(wǎng)絡(luò)和中心交換系統(tǒng)遭黑客入侵，入侵者是年僅16歲的赫爾伯特·齊恩，齊思被美聯(lián)邦執(zhí)法部門(mén)起訴，并首次依據(jù)美國(guó)1986年生效的“計(jì)算機(jī)欺詐與濫用法案”被判有罪。

1988年，美康奈爾大學(xué)研究生莫里斯制造了蠕蟲(chóng)病毒，感染了6000多個(gè)系統(tǒng)；同年，美國(guó)軍事網(wǎng)的一部聯(lián)網(wǎng)電腦被黑客入侵，迫使美國(guó)國(guó)防部切斷了非保密軍事網(wǎng)與ARPA之間的物理連接。

1991年，美國(guó)國(guó)會(huì)宣布在海灣戰(zhàn)爭(zhēng)期間國(guó)防部的計(jì)算機(jī)被黑客入侵，修改或復(fù)制了一些非保密的與戰(zhàn)爭(zhēng)相關(guān)的敏感情報(bào)，入侵者是幾個(gè)荷蘭少年黑客。

1995年，“世界頭號(hào)電腦黑客”凱文·米特尼克被捕。他被指控闖入許多電腦網(wǎng)絡(luò)，包括入侵北美空中防務(wù)體系、美國(guó)國(guó)防部，偷竊了2萬(wàn)個(gè)信用卡號(hào)和復(fù)制軟件。同年，俄羅斯黑客列文在英國(guó)被捕。他被控用筆記本電腦從紐約花旗銀行非法轉(zhuǎn)移至少370萬(wàn)美元到世界各地由他和他的同黨控制的賬戶。

1998年，美國(guó)五角大樓網(wǎng)站遭受了“有史以來(lái)最大規(guī)模、最系統(tǒng)性的攻擊行動(dòng)”，黑客侵入了許多政府非保密性的敏感電腦網(wǎng)絡(luò)，查詢并修改數(shù)據(jù)信息。同年，馬薩諸塞州伍切斯特機(jī)場(chǎng)導(dǎo)航系統(tǒng)因一名少年黑客入侵而中斷6小時(shí)。

1999年5月1月，美國(guó)參議院、白宮和美國(guó)陸軍網(wǎng)絡(luò)以及數(shù)十個(gè)政府網(wǎng)站都被黑客攻陷。同時(shí)，因北約導(dǎo)彈襲擊中國(guó)駐南斯拉夫聯(lián)盟使館，中國(guó)黑客群體出擊并攻破多個(gè)網(wǎng)站。

2000年2月，美國(guó)數(shù)家頂級(jí)互聯(lián)網(wǎng)站——雅虎、亞馬遜、電子港灣、CNN在三天時(shí)間內(nèi)遭黑客入侵癱瘓。黑客大規(guī)模使用了“拒絕服務(wù)式”的攻擊手段，即用大量無(wú)用信息阻塞網(wǎng)站的服務(wù)器，使其不能提供正常服務(wù)。

從攻擊事件不難看出。黑客的攻擊和入侵呈現(xiàn)出了很多新的特點(diǎn)，已經(jīng)從最初的個(gè)人攻擊演變成了群體攻擊，由于各種黑客工具的出現(xiàn)使得黑客年齡呈降低趨勢(shì)，黑客行為的危害和破壞性越來(lái)越大，部分攻擊行為帶有明顯的牟利目的，甚至帶有強(qiáng)烈的政治目的。黑客的攻擊造成了直接和間接的經(jīng)濟(jì)損失，WarroonResearch的調(diào)查表明，1997年世界排名前一千的公司幾乎都曾被黑客闖入。據(jù)美國(guó)FBI統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。Ernst和Young報(bào)告稱，由于信息安全被竊或?yàn)E用，幾乎80%的大型企業(yè)遭受損失。根據(jù)美國(guó)FBI的調(diào)查，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過(guò)170億美元。75％的公司報(bào)告財(cái)政損失是由于計(jì)算機(jī)系統(tǒng)的安全問(wèn)題造成的。但只有17％的公司愿意報(bào)告黑客入侵，大部分公司由于擔(dān)心負(fù)面影響而不愿聲張。在所有的損失中雖然只有59％可以定量估算，但平均每個(gè)組織的損失已達(dá)40萬(wàn)美元之多。黑客入侵的損失已經(jīng)不僅僅是被攻擊的網(wǎng)站和所屬企業(yè)，甚至波及到相關(guān)國(guó)家的經(jīng)濟(jì)和社會(huì)生活。在2002年2月黑客大規(guī)模的攻擊行動(dòng)中，雅虎網(wǎng)站的網(wǎng)絡(luò)停止運(yùn)行3小時(shí)，這令它損失了幾百萬(wàn)美金的交易。而據(jù)統(tǒng)計(jì)在這整個(gè)行動(dòng)中美國(guó)經(jīng)濟(jì)共損失了十多億美金。由于業(yè)界人心惶惶，亞馬遜（A）、AOL、雅虎（Yahoo!）、eBay的股價(jià)均告下挫，以科技股為主的那斯達(dá)克指數(shù)（Nasdaq）打破過(guò)去連續(xù)三天創(chuàng)下新高的升勢(shì)，下挫了六十三點(diǎn)，杜瓊斯工業(yè)平均指數(shù)周三收市時(shí)也跌了二百五十八點(diǎn)。遇襲的網(wǎng)站包括雅虎、亞馬遜和B、MSN.com、網(wǎng)上拍賣(mài)行eBay以及新聞網(wǎng)站CNN.com，估計(jì)這些襲擊把Internet交通拖慢了百分二十。在這次震驚世界的網(wǎng)絡(luò)攻擊事件中，攻擊者采用了分布式拒絕服務(wù)（DDoS，DistributedDenialofService）攻擊手段，在數(shù)小時(shí)之內(nèi)，對(duì)目標(biāo)服務(wù)器發(fā)動(dòng)了最猛烈的攻擊，使這些號(hào)稱最安全的網(wǎng)站也難以抵擋。當(dāng)年“美國(guó)八大著名網(wǎng)站被‘黑’、克林頓總統(tǒng)親自召集網(wǎng)絡(luò)安全會(huì)議并撥款20億美元”，曾經(jīng)給人們?cè)黾恿嗽S多談資，也給公眾上了一堂生動(dòng)的信息安全課，而這一事件的影響力是持久、深遠(yuǎn)的。另一場(chǎng)災(zāi)難性的網(wǎng)絡(luò)攻擊是針對(duì)愛(ài)沙尼亞及波羅的海國(guó)家的網(wǎng)絡(luò)攻擊，由于這些國(guó)家廣泛依賴在線交易和電子商務(wù)，2007年4月到5月的3個(gè)星期里，黑客的攻擊一波接著一波，網(wǎng)絡(luò)攻擊幾乎關(guān)閉了波羅的海國(guó)家的政府。

卡內(nèi)基梅隆大學(xué)CERT研究中心是美國(guó)政府的網(wǎng)絡(luò)技術(shù)咨詢支持機(jī)構(gòu)，多年來(lái)一直保持著網(wǎng)絡(luò)安全數(shù)據(jù)的權(quán)威發(fā)布者身份。每年CERT都會(huì)統(tǒng)計(jì)一下PC用戶遭受網(wǎng)絡(luò)攻擊的次數(shù)，CERT研究中心公布的從1998年到1999年，攻擊事件增長(zhǎng)圖表如圖5.1所示。圖5.11998-1999年攻擊事件增長(zhǎng)趨勢(shì)圖5.1.3黑客攻擊原因

1.黑客攻擊的動(dòng)機(jī)

早期的黑客更多的出于對(duì)技術(shù)的好奇和癡迷，而現(xiàn)在有相當(dāng)數(shù)量的黑客攻擊行為以獲利為目的。白帽黑客通常對(duì)電腦有較強(qiáng)的好奇心，有研究黑客技術(shù)和突破系統(tǒng)限制的欲望，經(jīng)常會(huì)以在黑客群體中獲得個(gè)人聲望為目的。黑帽黑客在最初往往也只是對(duì)高水平的黑客可以隨意入侵他人的系統(tǒng)比較好奇，并在了解了黑客攻擊技術(shù)之后無(wú)節(jié)制地進(jìn)行嘗試，并在后來(lái)為獲利非法竊取信息破壞系統(tǒng)，給網(wǎng)絡(luò)造成了極大的安全威脅。大量的案例分析表明黑客進(jìn)行入侵和攻擊的常見(jiàn)原因和理由。

（1）技術(shù)好奇心

黑客攻擊最大的動(dòng)機(jī)來(lái)自于好奇心，他們對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)感到好奇，希望通過(guò)探究這些網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)和機(jī)理，了解它們是如何工作的，如何能最大限度的突破限制訪問(wèn)各種內(nèi)容。

（2）提高個(gè)人聲望

黑客通常具有很高的虛榮心，希望在別人面前炫耀一下自己的技術(shù)，比如進(jìn)入別人電腦修改一下文件和系統(tǒng)，展示自己的技術(shù)和能力。黑客往往熱衷于侵入和破壞具有高安全性和高價(jià)值的目標(biāo)以提高在黑客社會(huì)中的可信度及知名度，讓他人對(duì)自己更加崇拜。（3）智力挑戰(zhàn)

為了向自己的智力和計(jì)算機(jī)水平極限挑戰(zhàn)，或?yàn)榱讼蛩遂乓C明自己的能力；還有些甚至為了好玩和惡作劇進(jìn)行黑客攻擊，這是許多黑客入侵或破壞的主要原因，除了有提高水平的目的外還有些探險(xiǎn)的感覺(jué)。

（4）竊取信息

部分黑客在Internet上監(jiān)視個(gè)人、企業(yè)及競(jìng)爭(zhēng)對(duì)手的活動(dòng)信息及數(shù)據(jù)文件，以達(dá)到竊取情報(bào)的目的。竊取他人的私人信息和機(jī)密信息。（5）報(bào)復(fù)心理

部分黑客由于對(duì)加薪、升職、表?yè)P(yáng)等制度對(duì)雇主心存不滿，認(rèn)為自己沒(méi)有受到重視和尊重，往往通過(guò)網(wǎng)絡(luò)攻擊行為反擊雇主，也希望借此引起別人的注意。甚至由于對(duì)他人的某些做法有成見(jiàn)，又不想當(dāng)面指責(zé)，于是攻擊電腦捉弄一下。

（6）獲取利益

有相當(dāng)一部分電腦黑客行為是為了盈利和竊取數(shù)據(jù)，盜取他人的QQ、網(wǎng)游密碼等，然后從事商業(yè)活動(dòng)，取得個(gè)人利益。（7）政治目的

黑客往往會(huì)針對(duì)自己個(gè)人認(rèn)為的敵對(duì)國(guó)展開(kāi)網(wǎng)絡(luò)的攻擊和破壞活動(dòng)，或者由于個(gè)人及組織對(duì)政府不滿而進(jìn)行破壞活動(dòng)；這類黑客的動(dòng)機(jī)不是獲利，而是為了發(fā)泄政治不滿，一般采用的手法包括更改網(wǎng)頁(yè)發(fā)泄情緒、植入電腦病毒破壞電腦系統(tǒng)等。

2.黑客攻擊能成功的原因

系統(tǒng)的安全隱患是黑客入侵的客觀原因，由于Internet的開(kāi)放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安全問(wèn)題。為了解決這些安全問(wèn)題，各種安全機(jī)制、策略和工具被研究和應(yīng)用。然而，即使使用了各種安全工具和機(jī)制，網(wǎng)絡(luò)安全仍然隱患很多，總體來(lái)看，黑客可利用的系統(tǒng)安全隱患包括了網(wǎng)絡(luò)傳輸和協(xié)議的漏洞、系統(tǒng)的漏洞、管理的漏洞，甚至還包括不完善的人為因素，黑客利用這些信息、漏洞和BUG進(jìn)入系統(tǒng)。這些安全隱患主要可以歸結(jié)為以下幾點(diǎn)：（1）任何安全機(jī)制都有應(yīng)用范圍和環(huán)境限制

企業(yè)和個(gè)人采用的各種安全防范手段，都存在應(yīng)用范圍問(wèn)題。比如，防火墻是一種有效且廣泛使用的安全設(shè)備，通過(guò)屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，保護(hù)網(wǎng)絡(luò)安全。但是對(duì)于內(nèi)部網(wǎng)絡(luò)中主機(jī)之間的相互訪問(wèn)，由內(nèi)部發(fā)起的攻擊，防火墻往往無(wú)能為力。因此，對(duì)于內(nèi)部人員分起的入侵行為和內(nèi)外勾結(jié)的入侵行為，防火墻是很難有效檢測(cè)和防范的。（2）安全工具的使用效果受到人為因素的影響

安全工具往往包含了復(fù)雜的設(shè)置過(guò)程，使用者決定了能不能達(dá)到期望的效果，不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安全因素。例如，WindowsNT在進(jìn)行合理的設(shè)置后可以達(dá)到C2級(jí)的安全性，但很少有人能夠?qū)T本身的安全策略進(jìn)行完整合理的設(shè)置。雖然可以通過(guò)靜態(tài)掃描工具來(lái)檢測(cè)系統(tǒng)是否進(jìn)行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較，針對(duì)具體的應(yīng)用環(huán)境和專門(mén)的應(yīng)用需求就很難判斷設(shè)置的正確性。（3）傳統(tǒng)安全工具無(wú)法防范系統(tǒng)的后門(mén)

防火墻很難考慮系統(tǒng)后門(mén)等安全問(wèn)題，多數(shù)情況下，防火墻很難察覺(jué)這類入侵行為；比如說(shuō)，微軟ASP源碼訪問(wèn)安全漏洞，在IIS服務(wù)器4.0以前一直存在，這實(shí)際上是設(shè)計(jì)者留下后門(mén)，使得任何人都可用瀏覽器方便地調(diào)出ASP程序的源碼，收集系統(tǒng)信息，進(jìn)而對(duì)系統(tǒng)進(jìn)行攻擊。對(duì)于這類通過(guò)后門(mén)的未授權(quán)訪問(wèn)行為，防火墻是無(wú)法檢測(cè)，因?yàn)閷?duì)于防火墻來(lái)說(shuō)，該訪問(wèn)過(guò)程完全符合正常的WEB訪問(wèn)規(guī)定，唯一區(qū)別是該訪問(wèn)的請(qǐng)求鏈接中多了一個(gè)后綴。（4）系統(tǒng)存在大量的安全漏洞和系統(tǒng)BUG

即使系統(tǒng)沒(méi)有有意設(shè)置的后門(mén)，但只要是一個(gè)程序，就可能存在BUG和漏洞，甚至連安全工具本身也可能存在安全漏洞。網(wǎng)絡(luò)安全公司和專家?guī)缀趺刻於紩?huì)公布新的BUG和漏洞，程序員在修改已知BUG的同時(shí)又可能引入新的BUG。系統(tǒng)BUG經(jīng)常被黑客利用，而且這種攻擊通常不會(huì)產(chǎn)生日志，幾乎無(wú)據(jù)可查?，F(xiàn)有的安全工具很難發(fā)現(xiàn)利用BUG造成內(nèi)存溢的攻擊手段。據(jù)美國(guó)計(jì)算機(jī)緊急響應(yīng)小組發(fā)布的數(shù)據(jù)顯示，2005年安全研究人員共發(fā)現(xiàn)了5198個(gè)軟件漏洞，其中在Windows操作系統(tǒng)中發(fā)現(xiàn)了812處漏洞，在各個(gè)版本的Unix/Linux系統(tǒng)（包括Mac在內(nèi)）中發(fā)現(xiàn)了2328個(gè)漏洞，而另有2058個(gè)漏洞可影響多種操作系統(tǒng)。（5）黑客的攻擊手段在不斷地更新，新的工具不斷出現(xiàn)

然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與，才能發(fā)現(xiàn)以前未知的安全問(wèn)題，使得安全人員對(duì)新出現(xiàn)的安全問(wèn)題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并解決某方面的安全問(wèn)題時(shí)，其他安全問(wèn)題又會(huì)出現(xiàn)。因此，黑客總是可以使用全新的、先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。大量的安全機(jī)制都是從主觀的角度設(shè)計(jì)的，他們沒(méi)有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來(lái)決定安全對(duì)策，因此造成上述的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來(lái)及時(shí)地調(diào)整系統(tǒng)的安全策略。很多組織正在致力于提出更強(qiáng)大的主動(dòng)策略和方案來(lái)增強(qiáng)網(wǎng)絡(luò)的安全性，然而入侵檢測(cè)是更為有效的解決途徑。

5.2黑客攻擊的流程

黑客進(jìn)行網(wǎng)絡(luò)攻擊的手段多種多樣，攻擊系統(tǒng)的技能有高低之分，但黑客攻擊的一般過(guò)程大致相同?？傮w來(lái)說(shuō)，可以歸結(jié)為三個(gè)主要階段，具體包括：第一階段進(jìn)行信息收集，收集被攻擊方的有關(guān)各種主機(jī)和系統(tǒng)信息、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等，分析被攻擊方可能存在的漏洞；第二階段利用已經(jīng)了解的系統(tǒng)信息和可利用的漏洞，使用系統(tǒng)命令或者黑客工具，獲得對(duì)系統(tǒng)的基礎(chǔ)訪問(wèn)權(quán)利，此時(shí)黑客的用戶權(quán)限還比較低，通常無(wú)法完成破壞活動(dòng)。再此基礎(chǔ)上并進(jìn)一步提升用戶權(quán)力，利用各種漏洞，破解超級(jí)用戶密碼，或者植入黑客程序，提升對(duì)系統(tǒng)的控制權(quán)，通常以獲得超級(jí)用戶為目標(biāo)；第三階段，消除入侵痕跡，刪除訪問(wèn)日志和各種訪問(wèn)痕跡，避免遭到追蹤，同時(shí)植入木馬、設(shè)置后門(mén)便于下次再次入侵。

黑客的攻擊過(guò)程可進(jìn)一步劃分為9個(gè)具體步驟：踩點(diǎn)（FootPrinting）、掃描（Scanning）、查點(diǎn)（Enumeration）、獲取訪問(wèn)權(quán)（GainingAccess）、權(quán)限提升（EscalatingPrivilege）、竊?。≒ilfering）、清除痕跡（CoveringTrack）、創(chuàng)建后門(mén)（CreatingBackDoors）、拒絕服務(wù)攻擊（DenialofServices）。黑客攻擊流程如圖5.1所示。圖5.2黑客具體攻擊過(guò)程圖5.2.1網(wǎng)絡(luò)踩點(diǎn)

網(wǎng)絡(luò)踩點(diǎn)是黑客在入侵和攻擊目標(biāo)計(jì)算機(jī)系統(tǒng)之前，主動(dòng)或被動(dòng)的獲取信息的情報(bào)收集工作?！安赛c(diǎn)”原意為不法分子進(jìn)行違法犯罪活動(dòng)的準(zhǔn)備階段，針對(duì)黑客攻擊引申為集中調(diào)查目標(biāo)網(wǎng)絡(luò)的公共或非公共資源，收集盡可能多的信息并加以分析，以便確定可以采取哪種具體方式攻擊，找到入侵突破口的持續(xù)過(guò)程。黑客入侵前的信息刺探很重要，經(jīng)過(guò)對(duì)目標(biāo)主機(jī)的簡(jiǎn)單檢測(cè)，就可以知道對(duì)方主機(jī)操作系統(tǒng)類型、開(kāi)放了哪些網(wǎng)絡(luò)服務(wù)、是否存在漏洞等信息。黑客通常都是通過(guò)對(duì)某個(gè)目標(biāo)進(jìn)行有計(jì)劃、有步驟的踩點(diǎn)，收集和整理出一份目標(biāo)站點(diǎn)信息安全現(xiàn)狀的完整剖析圖，結(jié)合工具的配合使用，來(lái)完成對(duì)整個(gè)目標(biāo)的詳細(xì)分析，找出可下手的地方。通常，踩點(diǎn)得到的信息被用來(lái)尋找可利用的漏洞和下手處，最終達(dá)到控制目標(biāo)主機(jī)的目的。踩點(diǎn)階段搜集到的信息在后續(xù)的黑客攻擊中起到了重要的作用。黑客踩點(diǎn)獲取信息所采用的技術(shù)方法并不復(fù)雜，通常采用的技術(shù)包括：

（1）公開(kāi)信息源搜索

例如，通過(guò)使用Google檢索Web的根路徑C:\Inetpub，可以發(fā)現(xiàn)操作系統(tǒng)是WindowsNT/2000的攻擊目標(biāo)。通過(guò)公開(kāi)信息了解一些網(wǎng)站的基本內(nèi)容，如果是Web系統(tǒng)，需要確定網(wǎng)站的腳本類型，確定網(wǎng)站所用的整站系統(tǒng)，同一個(gè)網(wǎng)站其他主機(jī)的情況、后臺(tái)管理頁(yè)面位置等。（2）Whois查詢

Whois是目標(biāo)Internet域名數(shù)據(jù)庫(kù)，通過(guò)查詢可獲得用于發(fā)起攻擊的重要信息。通過(guò)對(duì)Whois數(shù)據(jù)庫(kù)的查詢，黑客能夠得到注冊(cè)機(jī)構(gòu)、機(jī)構(gòu)本身、域名、網(wǎng)絡(luò)IP、聯(lián)系點(diǎn)的相關(guān)信息。（3）DNS區(qū)域傳送

DNS區(qū)域傳送是一種DNS服務(wù)器的冗余機(jī)制。正常情況下，DNS區(qū)域傳送操作只對(duì)DNS服務(wù)器開(kāi)放，通過(guò)該機(jī)制，輔DNS服務(wù)器能夠從其主DNS服務(wù)器更新域名的數(shù)據(jù)。在系統(tǒng)管理員配置錯(cuò)誤情況下，導(dǎo)致任何主機(jī)都可請(qǐng)求主DNS服務(wù)器提供一個(gè)區(qū)域信息的拷貝，黑客冒充身份請(qǐng)求數(shù)據(jù)，可以非法獲得目標(biāo)域中的主機(jī)信息。（4）相關(guān)的社會(huì)信息

社會(huì)信息主要是目標(biāo)站點(diǎn)的一些企業(yè)名稱、主要負(fù)責(zé)人信息、IT部門(mén)員工及負(fù)責(zé)人信息、企業(yè)的合作伙伴，分支機(jī)構(gòu)等，還包括其他公開(kāi)社會(huì)信息資料。

踩點(diǎn)的作用主要是收集各種可用信息，主要包括網(wǎng)絡(luò)域名DNS、網(wǎng)絡(luò)地址范圍、關(guān)鍵系統(tǒng)的位置、目標(biāo)站點(diǎn)的一些社會(huì)信息。這些都是入侵滲透測(cè)試所必須的重要信息，也是黑客入侵的第一步?！安赛c(diǎn)”獲得的目標(biāo)信息主要包括因特網(wǎng)的網(wǎng)絡(luò)域名、網(wǎng)絡(luò)IP地址、DNS、郵件交換主機(jī)、默認(rèn)網(wǎng)關(guān)等信息；企業(yè)網(wǎng)的內(nèi)部網(wǎng)絡(luò)的獨(dú)立地址空間及名稱空間；支持遠(yuǎn)程訪問(wèn)的撥號(hào)系統(tǒng)訪問(wèn)號(hào)碼和VPN訪問(wèn)點(diǎn)；外聯(lián)網(wǎng)與合作伙伴及子公司的網(wǎng)絡(luò)的連接地址、連接類；其他信息開(kāi)放資源，例如Usenet、雇員配置文件等。在踩點(diǎn)的過(guò)程中，操作系統(tǒng)踩點(diǎn)是首要的一步，決定了后續(xù)掃描、入侵工具和策略的選擇。踩點(diǎn)的方式主要有被動(dòng)和主動(dòng)兩種方式。被動(dòng)方式是指通過(guò)嗅探網(wǎng)絡(luò)數(shù)據(jù)流、竊聽(tīng)手段獲得信息；主動(dòng)方式主要進(jìn)行主動(dòng)掃描和攻擊獲取信息。

（1）被動(dòng)踩點(diǎn)是指攻擊者不主動(dòng)發(fā)送數(shù)據(jù)包，是通過(guò)嗅探網(wǎng)絡(luò)上的正常數(shù)據(jù)包來(lái)確定主機(jī)操作系統(tǒng)。（2）主動(dòng)踩點(diǎn)是主動(dòng)針對(duì)目標(biāo)機(jī)器發(fā)送數(shù)據(jù)包并進(jìn)行分析和回復(fù)，從arin和whois數(shù)據(jù)庫(kù)獲得數(shù)據(jù)，查看網(wǎng)站源代碼，通過(guò)社交工程獲取信息等。該方法可以根據(jù)想要構(gòu)造數(shù)據(jù)包，但是很容易驚動(dòng)目標(biāo)，使入侵者暴露在入侵檢測(cè)系統(tǒng)之下。

黑客要對(duì)某個(gè)具體的目標(biāo)網(wǎng)絡(luò)或主機(jī)進(jìn)行入侵，黑客們獲取攻擊目標(biāo)的信息越詳細(xì)準(zhǔn)確，入侵過(guò)程就越容易，入侵成功率也就越高。因此，黑客在攻擊某個(gè)目標(biāo)網(wǎng)絡(luò)之前，會(huì)花費(fèi)大量的時(shí)間來(lái)研究和收集與目標(biāo)網(wǎng)絡(luò)相關(guān)的各種重要信息，甚至花費(fèi)90%以上的時(shí)間來(lái)研究目標(biāo)網(wǎng)絡(luò)，以便能獲得一個(gè)完整的可攻擊的方案。5.2.2網(wǎng)絡(luò)掃描

1.掃描技術(shù)的分類

掃描中采用的主要方法有Ping掃描（PingSweep）、TCP/UDP端口掃描、操作系統(tǒng)檢測(cè)以及旗標(biāo)（Banner）的獲取。

網(wǎng)絡(luò)掃描技術(shù)包括被動(dòng)式策略和主動(dòng)式策略兩種。被動(dòng)式策略就是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查。主動(dòng)式策略是基于網(wǎng)絡(luò)的，它通過(guò)執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。被動(dòng)式掃描不會(huì)對(duì)系統(tǒng)造成破壞，而主動(dòng)式掃描對(duì)系統(tǒng)進(jìn)行模擬攻擊，可能會(huì)對(duì)系統(tǒng)造成一定的破壞或干擾。

從掃描的具體運(yùn)行速度上看，掃描技術(shù)可以分為慢速掃描和亂序掃描。 慢速掃描：對(duì)非連續(xù)端口進(jìn)行掃描，并且源地址不一致，時(shí)間間隔長(zhǎng)且沒(méi)有規(guī)律的掃描。 亂序掃描：對(duì)連續(xù)的端口進(jìn)行掃描，源地址一致，時(shí)間間隔短的掃描。

從掃描技術(shù)針對(duì)的對(duì)象來(lái)看，網(wǎng)絡(luò)掃描技術(shù)主要包括主機(jī)存在性掃描、端口掃描和漏洞掃描三種類型。利用網(wǎng)絡(luò)掃描器工具可以了解對(duì)方主機(jī)和網(wǎng)絡(luò)的操作系統(tǒng)、安全設(shè)備、開(kāi)放的端口、提供的服務(wù)、用戶列表、是否存在空/弱口令、是否存在可利用的重大漏洞等信息。

1）主機(jī)存在性掃描

主機(jī)存在性掃描的目的是為了確定目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時(shí)盡可能多地了解主機(jī)所在目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。主機(jī)存在性掃描主要采用ICMP協(xié)議完成，通過(guò)發(fā)送一個(gè)ICMPECHO數(shù)據(jù)包到目標(biāo)主機(jī)，如果對(duì)方主機(jī)返回ICMPECHOREPLY數(shù)據(jù)包，就說(shuō)明主機(jī)是存活狀態(tài)；如果對(duì)方主機(jī)沒(méi)有ICMPECHOREPLY返回，就可以初步判斷主機(jī)沒(méi)有在線或者使用了某些過(guò)濾設(shè)備過(guò)濾了ICMP的REPLY消息。主機(jī)掃描的方法主要包括以下幾種：（1）Ping掃描PingSweep（ICMPSweep）。主機(jī)存在性掃描可以使用ping命令完成，掃描操作相對(duì)簡(jiǎn)單，例如：。主機(jī)掃描的目的主要就是靠ICMP得到目標(biāo)站點(diǎn)的信息、主機(jī)連接情況等，通過(guò)返回的TTL值得到對(duì)方主機(jī)的操作系統(tǒng)。掃描結(jié)果“TTL”參數(shù)后帶著一個(gè)數(shù)值，該數(shù)值的含義如下。

255：UNIX及類UNIX操作系統(tǒng)；

128：微軟WindowsNT/2000及以上版本操作系統(tǒng)；

64：CompaqTru645.0操作系統(tǒng)；

32：微軟Windows95操作系統(tǒng)。因此，通過(guò)“TTL”值我們就可以大致判斷出目標(biāo)主機(jī)的操作系統(tǒng)，但是這個(gè)“TTL”值并不一定十分準(zhǔn)確?！癟TL”值可以由管理員修改，所以“TTL”值只能作為一個(gè)參考。

使用ping命令的主機(jī)掃描是判斷主機(jī)是否在線的有效方式。除了Ping命令，還可以使用UNIX下的fping、ws_ping等工具，Windows下的pinger等工具，并且可以針對(duì)一個(gè)網(wǎng)段加快掃描過(guò)程。

該方法會(huì)在目標(biāo)主機(jī)的DNS服務(wù)器中留下攻擊者的LOG記錄，因?yàn)閺挠蛎絀P地址的轉(zhuǎn)化需要查詢?cè)揇NS服務(wù)器，所以使用時(shí)一般采用第三方主機(jī)檢測(cè)。（2）ICMP廣播(BroadcastICMP)。對(duì)于小型或者中等網(wǎng)絡(luò)使用Ping每臺(tái)主機(jī)的方法來(lái)進(jìn)行探測(cè)是一種可接受的行為，但對(duì)于一些主機(jī)數(shù)量或IP地址大的網(wǎng)絡(luò)（如A、B類子網(wǎng)），這種方法就顯得比較慢，因?yàn)镻ing在處理下一個(gè)命令之前將會(huì)等待正在探測(cè)主機(jī)的回應(yīng)。通過(guò)發(fā)送ICMPECHOREQUEST到廣播地址或者目標(biāo)網(wǎng)絡(luò)地址，可以一次性針對(duì)多臺(tái)主機(jī)來(lái)進(jìn)行目標(biāo)網(wǎng)絡(luò)主機(jī)活動(dòng)探測(cè)。

ICMP廣播的請(qǐng)求會(huì)廣播到目標(biāo)網(wǎng)絡(luò)中的所有主機(jī)，所有活動(dòng)的主機(jī)都將會(huì)發(fā)送ICMPECHOREPLY到攻擊者的源IP地址（或者是被攻擊者控制的第三方IP地址）。由于防火墻等網(wǎng)絡(luò)設(shè)備會(huì)過(guò)濾掉類似消息，因此這種技術(shù)的主機(jī)探測(cè)只適用于探測(cè)目標(biāo)網(wǎng)絡(luò)的UNIX主機(jī)。（3）使用非應(yīng)答的ICMP（NONEREPLYICMP）。除了ICMPECHOREPLY消息之外，攻擊者還可以使用非應(yīng)答ICMP消息進(jìn)行探測(cè)。ICMPTimeStampRequest和REPLY允許一個(gè)節(jié)點(diǎn)查詢另一個(gè)節(jié)點(diǎn)的當(dāng)前時(shí)間，返回值是自午夜開(kāi)始計(jì)算的毫秒數(shù)。攻擊者可以自行初始化標(biāo)識(shí)符和序列號(hào)，填寫(xiě)發(fā)起時(shí)間戳，然后發(fā)送報(bào)文給目標(biāo)主機(jī)。目標(biāo)主機(jī)接受請(qǐng)求后，填寫(xiě)接受和傳送的時(shí)間戳，把信息類型改變?yōu)镽EPLY應(yīng)答并送回給發(fā)送者。返回值即是自午夜開(kāi)始計(jì)算的毫秒數(shù)，攻擊者從而獲取了主機(jī)和路由器的存在和活動(dòng)性。2)端口掃描

黑客確定了目標(biāo)主機(jī)的活動(dòng)性和操作系統(tǒng)信息后，會(huì)進(jìn)一步掃描目標(biāo)主機(jī)，獲取目標(biāo)主機(jī)開(kāi)放的端口，以進(jìn)一步來(lái)了解其開(kāi)放的網(wǎng)絡(luò)服務(wù)。掃描端口常用的黑客工具有SuperScan和XScan等，當(dāng)然這些工具也是網(wǎng)絡(luò)安全防護(hù)人員的有力工具。網(wǎng)絡(luò)上的主機(jī)主要采用TCP/IP協(xié)議，目標(biāo)主機(jī)如果開(kāi)放了相應(yīng)的網(wǎng)絡(luò)服務(wù)，相應(yīng)地會(huì)有一個(gè)開(kāi)放端口接收外部通信請(qǐng)求。從原理上看，只要利用工具掃描目標(biāo)主機(jī)的端口，就可以了解目標(biāo)主機(jī)開(kāi)放了哪些網(wǎng)絡(luò)服務(wù)。端口掃描的結(jié)果是得到目標(biāo)主機(jī)開(kāi)放的網(wǎng)絡(luò)服務(wù)端口列表，這些開(kāi)放的端口與網(wǎng)絡(luò)服務(wù)相對(duì)應(yīng)，通過(guò)這些開(kāi)放的服務(wù)端口，黑客就能了解目標(biāo)主機(jī)運(yùn)行的服務(wù)，然后就可以進(jìn)一步有針對(duì)性地了解和分析相應(yīng)服務(wù)的安全漏洞，并進(jìn)行針對(duì)性的攻擊。

由于計(jì)算機(jī)端口類型不同，端口掃描通常分為T(mén)CP和UDP掃描。根據(jù)掃描的技術(shù)手段，已知的端口掃描類型主要包括：開(kāi)放掃描、半開(kāi)放掃描和隱蔽掃描三種。各種掃描類型又有多種方法，下面分別從多個(gè)方法進(jìn)行分析和探測(cè)。（1）開(kāi)放掃描使用完整的TCP三次握手來(lái)對(duì)目標(biāo)主機(jī)的端口進(jìn)行嘗試性的連接，因此很容易檢測(cè)到目標(biāo)主機(jī)的端口。開(kāi)放掃描主要包括TCPConnec掃描和TCP反向探測(cè)掃描。

（2）半開(kāi)放掃描與開(kāi)放掃描相反，半開(kāi)放（Halfopen）掃描方法并不使用完整的TCP三次握手來(lái)進(jìn)行連接嘗試。在掃描時(shí)，發(fā)出的連接都是只建立到目標(biāo)主機(jī)的TCP半開(kāi)放連接（單個(gè)SYN包）。半開(kāi)放掃描主要包括TCPSYN掃描和IPID頭掃描。（3）隱蔽掃描是指一些較難被入侵檢測(cè)系統(tǒng)和操作系統(tǒng)發(fā)現(xiàn)的掃描方法。這些方法的特征是通過(guò)設(shè)置、不設(shè)置、全部設(shè)置TCP頭中的某個(gè)或某些標(biāo)志位（ACK、FIN、RST等），將掃描數(shù)據(jù)偽裝成正常的數(shù)據(jù)通信，穿透防火墻進(jìn)行端口探測(cè)。該類掃描的另一個(gè)特點(diǎn)就是一般反向確定結(jié)果，即當(dāng)對(duì)方?jīng)]有任何響應(yīng)時(shí)認(rèn)為目標(biāo)端口是開(kāi)放的，而如果返回端口不存在數(shù)據(jù)包則認(rèn)為目標(biāo)端口是關(guān)閉的。端口掃描的具體方法主要包括以下幾種：

（1）TCP連接（Connect）掃描。TCP連接（Connect）掃描是完整的TCP開(kāi)放掃描（包括SYN、SYN/ACK、ACK等）方法。它的缺點(diǎn)是很容易被對(duì)方的防火墻、入侵檢測(cè)設(shè)備探測(cè)并過(guò)濾，從而無(wú)法得到真實(shí)的端口開(kāi)放情況。通常，TCP連接掃描是在成功滲透到內(nèi)網(wǎng)，繞過(guò)網(wǎng)絡(luò)邊緣防護(hù)設(shè)備后，針對(duì)內(nèi)網(wǎng)主機(jī)進(jìn)行的端口服務(wù)情況掃描。該掃描方法的優(yōu)點(diǎn)在于非常易于實(shí)現(xiàn)，只需使用系統(tǒng)調(diào)用網(wǎng)絡(luò)編程就可以完成，并且采用正常的TCP訪問(wèn)，不需要有特殊用戶權(quán)限，掃描結(jié)果準(zhǔn)確。但是攻擊者無(wú)法實(shí)施源地址欺騙，容易被對(duì)方的入侵檢測(cè)系統(tǒng)或防火墻檢測(cè)到。TCP連接掃描需要以某個(gè)真實(shí)的地址完成，因?yàn)槌晒B接的第三步還需要根據(jù)服務(wù)器發(fā)送的序列號(hào)來(lái)發(fā)送ACK標(biāo)志的數(shù)據(jù)包。（2）TCPSYN掃描。TCPSYN掃描是一種最主要的半開(kāi)放掃描方法，因?yàn)樵搾呙璺椒ㄖ唤⒌侥繕?biāo)主機(jī)的TCP半開(kāi)放連接（單個(gè)SYN包）。如果探測(cè)到目標(biāo)系統(tǒng)上的端口是開(kāi)放的，則返回SYN/ACK包；如果端口關(guān)閉，則目標(biāo)主機(jī)返回RST/ACK數(shù)據(jù)包。根據(jù)發(fā)送的初始TCP包標(biāo)志位的不同，存在多種半開(kāi)放掃描方式。

TCPSYN掃描的過(guò)程是首先向目標(biāo)主機(jī)的特定端口發(fā)送一個(gè)SYN包，如果應(yīng)答包為RST包，則說(shuō)明該端口是關(guān)閉的，不需要進(jìn)一步處理；如果應(yīng)答包為一個(gè)SYN/ACK包，將發(fā)送一個(gè)RST包，停止建立連接，便完成了連接建立過(guò)程，所以稱為“半開(kāi)放連接掃描”。該方法中客戶端發(fā)送RST數(shù)據(jù)包給目標(biāo)服務(wù)器是非常關(guān)鍵的。該掃描方法比開(kāi)放連接掃描方法更隱蔽且速度快，不易被跟蹤，掃描結(jié)果也很準(zhǔn)確。但是該方法的訪問(wèn)過(guò)程與SYN洪水拒絕服務(wù)攻擊比較類似，易被防火墻過(guò)濾，且入侵檢測(cè)系統(tǒng)一般也有SYN包的報(bào)警機(jī)制。（3）IPID頭掃描（IPIDHeaderScanning）。IPID頭掃描也叫啞掃描（DumpScanning），掃描主機(jī)偽造第三方主機(jī)的網(wǎng)絡(luò)地址，向目標(biāo)主機(jī)發(fā)送SYN掃描數(shù)據(jù)包，觀察應(yīng)答數(shù)據(jù)包的IP序列號(hào)增長(zhǎng)情況獲取端口的狀態(tài)。該方法不直接掃描目標(biāo)主機(jī)，也不直接和它進(jìn)行連接，隱蔽性非常好，但是對(duì)第三方主機(jī)的要求較高。第三方主機(jī)是一臺(tái)連接在Internet上的機(jī)器，但是很少甚至幾乎沒(méi)有同其他主機(jī)進(jìn)行通信，作為啞主機(jī)使用。

該方法主要利用大多數(shù)操作系統(tǒng)TCP/IP協(xié)議棧的特殊性來(lái)實(shí)現(xiàn)，該方式的最大優(yōu)點(diǎn)是被掃描的主機(jī)無(wú)法追查掃描者的源地址，另外該掃描方式也不是必須使用TCPSYN掃描，只要滿足端口開(kāi)放和關(guān)閉時(shí)啞主機(jī)對(duì)掃描的主機(jī)有不同的響應(yīng)，但是該方法必須依賴第三方的啞主機(jī)。（4）SYN/ACK掃描。黑客通過(guò)主動(dòng)發(fā)送帶SYN/ACK標(biāo)志的數(shù)據(jù)包，在基于TCP協(xié)議的網(wǎng)絡(luò)服務(wù)中，如果一個(gè)端口關(guān)閉則會(huì)返回RST標(biāo)志，而開(kāi)放的端口則會(huì)忽略該包，不返回任何信息。該方法存在這種可能，Server的目標(biāo)端口是關(guān)閉的，但回送的RST包被防火墻過(guò)濾掉了，或者在網(wǎng)絡(luò)傳輸過(guò)程中丟失了，這時(shí)掃描者接收不到RST數(shù)據(jù)包，就會(huì)認(rèn)定目標(biāo)端口是開(kāi)放的，即造成誤判。由于網(wǎng)絡(luò)環(huán)境中往往都存在防火墻，因此這將使得掃描結(jié)果的可信度下降。

（5）TCPFIN掃描。掃描者向目標(biāo)主機(jī)端口發(fā)出單個(gè)的TCPFIN包，如果服務(wù)端口是關(guān)閉的，目標(biāo)主機(jī)將返回RST包。該方法比TCPSYN更加隱蔽，可以躲避大多數(shù)入侵檢測(cè)系統(tǒng)的檢測(cè)，但檢測(cè)結(jié)果容易受到干擾不是非?？煽浚襎CPFIN掃描只對(duì)UNIX/Linux系統(tǒng)有效。（6）TCPACK掃描。TCPACK掃描可以用于檢查防火墻的規(guī)則集，攻擊者通過(guò)構(gòu)造一些特殊包，讓構(gòu)造的單個(gè)包通過(guò)包過(guò)濾防火墻，檢查是否存在響應(yīng)。如果與防火墻狀態(tài)表中的會(huì)話不相符合的ACK響應(yīng)包被過(guò)濾，說(shuō)明防火墻的策略比較完善。一些簡(jiǎn)單的包過(guò)濾防火墻，將直接放行允許ACK連接請(qǐng)求。

TCPACK掃描針對(duì)BSD系列服務(wù)主機(jī)非常有效，利用其操作系統(tǒng)的IP協(xié)議棧實(shí)現(xiàn)中的BUG來(lái)完成檢測(cè)。在鑒別端口的狀態(tài)時(shí)，一個(gè)方法是檢查回送RST包的IP頭TTL值，另一個(gè)方法是檢查T(mén)CP頭中的滑動(dòng)窗口大小。（7）XMAS掃描。XMAS掃描是向目標(biāo)主機(jī)發(fā)送一個(gè)將所有標(biāo)志位都設(shè)置為有效的特殊TCP包，這些標(biāo)志位包括：ACK、FIN、RST、SYN、URG和PSH。如果對(duì)方服務(wù)端口是開(kāi)放的，則會(huì)完全忽略這個(gè)包，而不返回任何數(shù)據(jù)包；如果端口是關(guān)閉的，則會(huì)回送一個(gè)RST數(shù)據(jù)包。

（8）NULL空掃描。NULL掃描與XMAS掃描相反，NULL掃描將TCP包中的所以標(biāo)志位都置為無(wú)效。當(dāng)這個(gè)數(shù)據(jù)包被發(fā)送到基于BSD操作系統(tǒng)的主機(jī)時(shí)，如果目標(biāo)端口是開(kāi)放的，則不會(huì)返回任何數(shù)據(jù)包；如果目標(biāo)端口是關(guān)閉的，則被掃描主機(jī)將發(fā)回一個(gè)RST包。但是要注意不同的操作系統(tǒng)會(huì)有不同的響應(yīng)方式。（9）UDP掃描。UDP掃描是指掃描一些目標(biāo)主機(jī)的UDP端口開(kāi)放情況。UDP協(xié)議比較簡(jiǎn)單，通常打開(kāi)端口對(duì)請(qǐng)求不發(fā)送任何確認(rèn)信息，掃描比較困難。當(dāng)攻擊者向一個(gè)未打開(kāi)的UDP端口發(fā)送一個(gè)數(shù)據(jù)包時(shí)，許多主機(jī)會(huì)返回一個(gè)ICMP_PORT_UNREACH錯(cuò)誤。這樣就能夠發(fā)現(xiàn)哪個(gè)端口是關(guān)閉的。另外，這種掃描方法很慢，因?yàn)镽FC1812對(duì)ICMP錯(cuò)誤消息的產(chǎn)生速率做了規(guī)定。

針對(duì)TCP端口，還有TCPRPC掃描等方法，用來(lái)獲取遠(yuǎn)程過(guò)程調(diào)用RPC端口、判斷是否所有端口關(guān)閉等。TCP端口最容易被攻擊的端口包括端口23和80，它們分別提供遠(yuǎn)程登錄Telnet服務(wù)和網(wǎng)站W(wǎng)eb服務(wù)。

3）漏洞掃描

漏洞掃描與前面的IP掃描和端口掃描不同，它需要事先了解已知的系統(tǒng)和網(wǎng)絡(luò)漏洞，開(kāi)發(fā)和利用專用掃描工具對(duì)目標(biāo)地址和主機(jī)進(jìn)行掃描。針對(duì)操作系統(tǒng)和知名網(wǎng)絡(luò)服務(wù)，漏洞掃描通過(guò)探測(cè)不同版本操作系統(tǒng)的漏洞，獲取網(wǎng)絡(luò)服務(wù)端口來(lái)識(shí)別系統(tǒng)提供的服務(wù)及版本號(hào)。漏洞掃描可分為系統(tǒng)漏洞掃描和Web漏洞掃描兩種。黑客進(jìn)行漏洞掃描，需要利用已知的漏洞庫(kù)進(jìn)行分析，比較有名的漏洞庫(kù)包括ISS的x－force漏洞庫(kù)、安全焦點(diǎn)的bugtraq數(shù)據(jù)庫(kù)。漏洞庫(kù)對(duì)于漏洞掃描有很大幫助。通過(guò)漏洞掃描可以檢測(cè)出一些操作系統(tǒng)或應(yīng)用程序配置漏洞，通常包括操作系統(tǒng)或應(yīng)用程序代碼漏洞、舊的或作廢的軟件版本、特洛伊木馬或后門(mén)程序、致命的特權(quán)相關(guān)的漏洞、拒絕服務(wù)漏洞、以及Web和cgi漏洞。

操作系統(tǒng)檢測(cè)是非常重要的漏洞檢測(cè)內(nèi)容，在前期踩點(diǎn)的基礎(chǔ)上，進(jìn)一步確定操作系統(tǒng)類型和弱點(diǎn)，對(duì)于黑客進(jìn)行下一步的攻擊任務(wù)來(lái)說(shuō)非常重要。目前用于探測(cè)操作系統(tǒng)的技術(shù)主要可以分為利用系統(tǒng)旗標(biāo)信息和利用TCP/IP堆棧指紋兩類，常用的輔助檢測(cè)工具有Nmap、Queso、Siphon等。

2.黑客掃描技術(shù)分析

黑客掃描技術(shù)主要是在隱蔽的前提下，對(duì)目標(biāo)主機(jī)進(jìn)行檢測(cè)的技術(shù)，主要特點(diǎn)包括：包特征的隨機(jī)化、慢速掃描、分片掃描、源地址欺騙、分布式（合作）掃描等內(nèi)容。它在保證不被檢測(cè)到的前提下進(jìn)一步發(fā)現(xiàn)目標(biāo)主機(jī)的安全信息。黑客掃描技術(shù)具體的特征如下：

1）包特征的隨機(jī)化

包特征包括IP頭中的生存期TTL字段、TCP源端口、TCP目的端口等信息。在正常的通信中，某主機(jī)收到的數(shù)據(jù)包一般是雜亂無(wú)章的，如果掃描數(shù)據(jù)包都來(lái)自同一個(gè)IP地址或端口，很容易被檢測(cè)到，為了將掃描行為偽裝成正常通信，黑客就會(huì)將這些包特征隨機(jī)化。

2）慢速掃描

許多入侵檢測(cè)系統(tǒng)會(huì)統(tǒng)計(jì)并限制某個(gè)IP地址在一段時(shí)間內(nèi)的連接次數(shù)。當(dāng)其短時(shí)連接次數(shù)超出設(shè)定的范圍時(shí)，入侵檢測(cè)系統(tǒng)就會(huì)報(bào)警。為了躲避這類連接次數(shù)的檢測(cè)，黑客會(huì)用很慢的速度來(lái)掃描防護(hù)嚴(yán)密的目標(biāo)主機(jī)。

3）分片掃描

根據(jù)TCP/IP協(xié)議規(guī)定，所有IP數(shù)據(jù)包都可以進(jìn)行分片傳送。在IP數(shù)據(jù)包頭部有分片標(biāo)志位，目標(biāo)主機(jī)操作系統(tǒng)檢查該標(biāo)志位，并據(jù)此進(jìn)行包的重組。分片存在最小和最大長(zhǎng)度，在RFC791中有相關(guān)規(guī)定。

4）源地址欺騙

黑客需要保護(hù)自己的真實(shí)IP不被發(fā)現(xiàn)，在進(jìn)行端口掃描時(shí)，他們會(huì)偽造大量含有虛假源IP地址的數(shù)據(jù)包同時(shí)發(fā)給掃描目標(biāo)。目標(biāo)主機(jī)無(wú)法從大量IP地址中判斷掃描真實(shí)的發(fā)起者，黑客從而就避免了被反跟蹤。

5）分布式掃描

分布式掃描也稱為合作掃描，即一組黑客事先約定分工，共同對(duì)一臺(tái)目標(biāo)主機(jī)或某個(gè)網(wǎng)絡(luò)進(jìn)行掃描。例如每個(gè)人掃描某些端口或某些主機(jī)，這樣每個(gè)黑客發(fā)起的掃描數(shù)較小，掃描整體速度快，且難以被發(fā)現(xiàn)。5.2.3黑客查點(diǎn)

黑客踩點(diǎn)的過(guò)程中，主要搜集了特定系統(tǒng)上用戶和用戶組名、路由表、SNMP信息、共享資源、服務(wù)程序及旗標(biāo)等信息。黑客要進(jìn)一步選擇立刻發(fā)起攻擊的進(jìn)攻點(diǎn)，需要對(duì)目標(biāo)系統(tǒng)進(jìn)行更有針對(duì)性的“查點(diǎn)”。因?yàn)橛辛瞬赛c(diǎn)和掃描的基礎(chǔ)，“查點(diǎn)”將更有針對(duì)性地探測(cè)系統(tǒng)的漏洞和安全薄弱環(huán)節(jié)。

查點(diǎn)階段與前期信息收集技術(shù)的區(qū)別主要是在入侵性方面。在查點(diǎn)階段，黑客將真正連接到目標(biāo)系統(tǒng)并發(fā)出一系列查詢命令，所做的活動(dòng)會(huì)被系統(tǒng)日志記錄。系統(tǒng)管理員一般會(huì)在第一時(shí)間注意到這些蛛絲馬跡，從而采取措施進(jìn)行防護(hù)。查點(diǎn)可以收集更多的信息來(lái)分析目標(biāo)系統(tǒng)可能存在的安全弱點(diǎn)。比如，合法用戶的賬戶名、默認(rèn)Web安裝和文件、配置不當(dāng)?shù)墓蚕碣Y源等都是黑客進(jìn)行查點(diǎn)時(shí)希望找到的有效目標(biāo)信息。

在Windows系統(tǒng)下的查點(diǎn)活動(dòng)主要采用的技術(shù)包括對(duì)NetBIOS的查點(diǎn)、空會(huì)話（NullSession)測(cè)試、SNMP代理探測(cè)、活動(dòng)目錄(ActiveDirectory)的檢測(cè)等。查點(diǎn)可以采用Windows自帶的系統(tǒng)命令，也可以采用第三方專門(mén)的工具進(jìn)行。Windows系統(tǒng)命令主要包括netview、nbtstat、nbtscan及nltest等。常用的第三方工具包括Netviewx、Userdump、NAT、DumpSec等，第三方工具會(huì)大大提高查點(diǎn)的方便性和效率。

1.NetBIOS命名服務(wù)查點(diǎn)

netview命令可以說(shuō)是最典型的Windows平臺(tái)自帶查點(diǎn)工具。它是一個(gè)非常簡(jiǎn)單、功能強(qiáng)大的命令行工具，基本用途就是列舉網(wǎng)絡(luò)里都有哪些域、這些域里又有哪些主機(jī)。使用netview命令查看網(wǎng)絡(luò)里有哪些域的例子如下：

C：＼>netview/domain

給“/domain”開(kāi)關(guān)加上一個(gè)域名作參數(shù)，netview命令就可將指定域里的計(jì)算機(jī)列出來(lái)，命令如下：

C：＼>netview/domain：labgroup另一個(gè)查點(diǎn)工具是Windows自帶的nbtstat程序，使用nbtstat命令也可以查看NetBIOS域名，并調(diào)出某個(gè)遠(yuǎn)程系統(tǒng)的NetBIOS域名/機(jī)器名清單，得到的信息中往往可以推斷出系統(tǒng)漏洞等信息，命令如下：

C：＼>nbtstat-5

2.SMB服務(wù)查點(diǎn)

SMB查點(diǎn)主要是針對(duì)Windows平臺(tái)上被黑客經(jīng)常利用的安全漏洞空連接。服務(wù)器消息塊(SMB，ServerMessageBlock)是微軟文件和打印機(jī)共享的基礎(chǔ)服務(wù)，也是迄今為止對(duì)系統(tǒng)安全影響最為嚴(yán)重的Windows組件之一。SMB規(guī)范中的某些API會(huì)通過(guò)TCP的139和445端口泄露大量極有價(jià)值的信息，用戶甚至不需要經(jīng)過(guò)身份驗(yàn)證就可以獲得。匿名攻擊者可以利用空連接訪問(wèn)API服務(wù)，從遠(yuǎn)程服務(wù)器提取非常有用的信息，其中包括至關(guān)重要的賬戶名信息，甚至能建立到Windows系統(tǒng)的連接。使用netuse命令查看遠(yuǎn)程系統(tǒng)上有哪些共享卷建立了空連接，命令如下：

C：＼>netuse＼＼5＼IPC$

攻擊者得到結(jié)果后，就可以用netview命令查看遠(yuǎn)程系統(tǒng)上的共享卷信息，命令如下：

C：＼>netview＼＼5

3.其他查點(diǎn)方法

Windows下還可以使用其他多種查點(diǎn)方法，如遠(yuǎn)程過(guò)程調(diào)用(RPC，MicrosoftRemoteProcedureCall)查點(diǎn)、域名解析系統(tǒng)(DNS，DomainNameSystem)查點(diǎn)、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP，SimpleNetworkManagementProtocol)查點(diǎn)、活動(dòng)目錄(AD，ActiveDirectory)查點(diǎn)等。5.2.4獲取訪問(wèn)權(quán)

黑客要進(jìn)行實(shí)際的入侵攻擊，獲取系統(tǒng)的基本訪問(wèn)權(quán)限是首要條件。黑客在搜集到足夠的目標(biāo)系統(tǒng)的信息后，下一步要完成的工作就是得到目標(biāo)系統(tǒng)的訪問(wèn)權(quán)，進(jìn)而完成對(duì)目標(biāo)系統(tǒng)的入侵。

Windows系統(tǒng)下獲取訪問(wèn)權(quán)限主要采用的技術(shù)有NetBIOSSMB密碼猜測(cè)（包括手工及字典猜測(cè)）、LM及NTLM認(rèn)證散列竊聽(tīng)、IISWeb服務(wù)攻擊及遠(yuǎn)程緩沖區(qū)溢出。UNIX系統(tǒng)采用的主要技術(shù)有保密密碼攻擊、系統(tǒng)密碼竊聽(tīng)、活動(dòng)服務(wù)的數(shù)據(jù)驅(qū)動(dòng)式攻擊(例如緩沖區(qū)溢出、輸入驗(yàn)證、字典攻擊等)、RPC攻擊、NFS攻擊以及針對(duì)XWindows系統(tǒng)的攻擊等。在搜集到目標(biāo)系統(tǒng)的信息后，經(jīng)過(guò)一系列探測(cè)，如果試探出了可以利用的漏洞，那就意味著黑客可以獲得攻擊該目標(biāo)主機(jī)的初步權(quán)限。目前的操作系統(tǒng)內(nèi)部復(fù)雜，系統(tǒng)權(quán)限控制相對(duì)較弱，黑客只要能登錄目標(biāo)主機(jī)，那么借助木馬和黑客程序就可以順利地提升權(quán)限。

在某些極端情況下，黑客在取得并提升權(quán)限時(shí)會(huì)采用破壞目標(biāo)主機(jī)操作系統(tǒng)部分功能的方法來(lái)實(shí)現(xiàn)。很多時(shí)候，針對(duì)安全防護(hù)性能比較好的系統(tǒng)，密碼竊聽(tīng)術(shù)和字典攻擊術(shù)是獲取訪問(wèn)權(quán)的惟一途徑。著名的密碼竊聽(tīng)工具有snifferpro、TCPdump、LC4、readsmb等；字典攻擊工具有LC4、JohntheRIPper、NAT、SMBGrind及fgrind等。當(dāng)然，這些軟件不僅僅是黑客用來(lái)進(jìn)行非法攻擊的工具，也是眾多網(wǎng)絡(luò)安全人員使用的有力工具。5.2.5權(quán)限提升

較低的系統(tǒng)訪問(wèn)權(quán)限往往不能滿足黑客入侵和控制系統(tǒng)的目的。黑客在獲得了系統(tǒng)上任意級(jí)別的普通用戶訪問(wèn)權(quán)限后，會(huì)進(jìn)一步采用各種攻擊手段提升至更高或超級(jí)用戶權(quán)限，以便完成對(duì)系統(tǒng)的完全控制。

雖然管理員經(jīng)常有一定的安全意識(shí)，會(huì)給其他用戶建立一個(gè)限制權(quán)限的普通用戶賬號(hào)，并認(rèn)為這樣就安全了，但是由于操作系統(tǒng)和眾多的服務(wù)漏洞，造成用普通用戶賬號(hào)登錄后，可以利用工具GetAdmin等程序很容易地將自己加到管理員組或者新建一個(gè)具有管理員權(quán)限的用戶。所以，更可靠的安全防護(hù)方法是將攻擊者擋在系統(tǒng)大門(mén)之外。權(quán)限提升所采取的技術(shù)主要有通過(guò)得到的密碼文件、利用現(xiàn)有工具軟件、破解系統(tǒng)上其他用戶名及口令、利用不同操作系統(tǒng)及服務(wù)的漏洞（例如Windows2000NetDDE漏洞）、利用管理員不正確的系統(tǒng)配置等。權(quán)限提升可以使用權(quán)限獲取階段采用的口令破解工具，有JohnTheRIPper等。Windows下獲取管理員權(quán)限的工具有l(wèi)c_message、getadmin、sechole、InvisibleKeystrokeLogger。5.2.6竊取信息

竊取信息是攻擊者對(duì)一些敏感數(shù)據(jù)進(jìn)行篡改、添加、刪除及復(fù)制的過(guò)程，是攻擊者真正實(shí)施破壞行為的環(huán)節(jié)。Windows下的注冊(cè)表是黑客竊取信息的首要目標(biāo)，90%以上的黑客對(duì)Windows攻擊的手段都離不開(kāi)讀寫(xiě)注冊(cè)表。注冊(cè)表內(nèi)保存了計(jì)算機(jī)中的關(guān)鍵信息。注冊(cè)表項(xiàng)由鍵名和鍵值組成，其中存儲(chǔ)了Window操作系統(tǒng)的所有配置。黑客關(guān)注的敏感信息包括Windows系統(tǒng)的注冊(cè)表、UNIX系統(tǒng)的rhost和Passwd文件等。5.2.7清除痕跡

黑客對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行信息探測(cè)或入侵系統(tǒng)，會(huì)在操作系統(tǒng)和相應(yīng)的服務(wù)日志中留下痕跡。黑客攻擊通常使用代理或者被自己控制的“肉雞”，以隱藏自己的IP和身份。如果能入侵成功，清除日志是黑客清除入侵痕跡的決定性步驟。掩蓋蹤跡的主要工作是禁止系統(tǒng)審計(jì)、清空事件日志、隱藏作案工具及使用rootkit的工具組替換常用的操作系統(tǒng)命令等。為了避免被目標(biāo)主機(jī)的管理員發(fā)覺(jué)，黑客在完成入侵之后需要清除其中的系統(tǒng)日志文件、應(yīng)用程序日志文件和防火墻的日志文件等，清理完畢即可從目標(biāo)主機(jī)中退出。常用的清除日志工具有zap、wzap、wted，或者使用簡(jiǎn)單的shell命令echo寫(xiě)空數(shù)據(jù)到日志文件中都可以完成。

例如，當(dāng)用戶訪問(wèn)WindowsIIS服務(wù)器以后，IIS服務(wù)程序都會(huì)記錄訪問(wèn)者的IP地址、訪問(wèn)時(shí)間以及是否成功等信息。清除服務(wù)器日志最簡(jiǎn)單的方法是直接刪除日志文件夾下的日志文件，但是刪除日志文件會(huì)引起管理員關(guān)注。由于入侵的過(guò)程一般是短暫的，只會(huì)在一個(gè)Log文件中保存為訪問(wèn)記錄，只要在該Log文件中刪除所有自己的記錄就可以隱藏訪問(wèn)痕跡了。5.2.8創(chuàng)建后門(mén)

黑客入侵主機(jī)或網(wǎng)絡(luò)系統(tǒng)并取得管理員權(quán)限后，會(huì)在其中建立訪問(wèn)后門(mén)或安裝木馬，以達(dá)到長(zhǎng)期控制目標(biāo)主機(jī)的目的。黑客以后可以直接通過(guò)后門(mén)入侵主機(jī)系統(tǒng)。

創(chuàng)建后門(mén)的方法有很多，主要包括創(chuàng)建具有特權(quán)的隱藏用戶賬號(hào)、安裝批處理、安裝遠(yuǎn)程控制工具、給系統(tǒng)程序安裝木馬、安裝監(jiān)控程序或者植入病毒感染啟動(dòng)文件等。

黑客常用的工具有rootkit、sub7、cron、at、UNIX下的rc、Windows啟動(dòng)文件夾、Netcat、VNC、BO2K、secadmin、remove.exe等。實(shí)際入侵中使用比較多的方法是木馬入侵，木馬是一種能竊取用戶存儲(chǔ)在電腦中的賬戶、密碼等信息的應(yīng)用程序。黑客通過(guò)木馬程序可以輕易地入侵并控制用戶電腦，并在用戶不知情的狀況下竊取信息或者通過(guò)用戶的電腦進(jìn)行各種破壞活動(dòng)。5.2.9拒絕服務(wù)攻擊

黑客破壞主機(jī)和網(wǎng)絡(luò)服務(wù)的另一個(gè)手段是拒絕服務(wù)(DoS，DenialofService)攻擊。如果黑客無(wú)法成功地獲取訪問(wèn)權(quán)并竊取信息和入侵系統(tǒng)，通常會(huì)采用拒絕服務(wù)攻擊來(lái)影響系統(tǒng)提供服務(wù)。國(guó)際權(quán)威機(jī)構(gòu)“SecurityFAQ”的定義指出，拒絕服務(wù)攻擊就是消耗目標(biāo)主機(jī)系統(tǒng)或者網(wǎng)絡(luò)的資源，從而干擾或者癱瘓其為合法用戶提供的服務(wù)。

拒絕服務(wù)攻擊通常使用精心準(zhǔn)備好的漏洞代碼攻擊系統(tǒng)，使目標(biāo)服務(wù)器資源耗盡或資源過(guò)載，以致于沒(méi)有能力再向外提供服務(wù)。拒絕服務(wù)攻擊所采用的技術(shù)主要是利用協(xié)議漏洞及不同系統(tǒng)實(shí)現(xiàn)的漏洞。分布式服務(wù)攻擊DDoS是利用網(wǎng)絡(luò)上的多臺(tái)計(jì)算機(jī)，采用分布式數(shù)據(jù)攻擊方式對(duì)單個(gè)或者多個(gè)目標(biāo)同時(shí)發(fā)起DoS攻擊。分布式拒絕服務(wù)攻擊的目標(biāo)是“癱瘓對(duì)手”，而不是傳統(tǒng)的破壞和竊密，不需要實(shí)際侵入或控制目標(biāo)系統(tǒng)，利用遍布全球的聯(lián)網(wǎng)計(jì)算機(jī)即可發(fā)起攻擊。目前DDoS攻擊方式已經(jīng)發(fā)展成為一個(gè)非常嚴(yán)峻的網(wǎng)絡(luò)公共安全問(wèn)題，被稱為“黑客終極武器”。但是不幸的是，目前對(duì)付拒絕服務(wù)攻擊還沒(méi)有特別有效的方法，由于TCP/IP互聯(lián)網(wǎng)協(xié)議的缺陷和網(wǎng)絡(luò)的無(wú)國(guó)界性，導(dǎo)致目前的國(guó)家機(jī)制和法律都很難追查和懲罰DDoS攻擊者。DDoS攻擊也逐漸與蠕蟲(chóng)、Botnet相結(jié)合，發(fā)展成為自動(dòng)化、集中受控、分布式攻擊的網(wǎng)絡(luò)黑客工具。

DoS從防御到追蹤，已經(jīng)有了很多理論和方法。防御方面的理論和方法比如SynCookie、HIP(HistorybasedIPfiltering)、ACC控制等，另外在追蹤方面也提出許多理論和方法，比如IPTraceback、ICMPTraceback、HashBasedIPtraceback、Marking等。但目前的技術(shù)僅能起到緩解攻擊、保護(hù)主機(jī)的作用，要徹底杜絕DDoS攻擊將是一個(gè)浩大的工程技術(shù)問(wèn)題，需要國(guó)際社會(huì)的共同合作和努力。 5.3黑客攻擊技術(shù)分析

5.3.1協(xié)議漏洞滲透

1.會(huì)話竊聽(tīng)與劫持技術(shù)

早期的以太網(wǎng)使用共享線路的方式進(jìn)行數(shù)據(jù)包的傳送，現(xiàn)在部分共享型的網(wǎng)絡(luò)設(shè)備仍在使用。這種情況下，發(fā)往目的結(jié)點(diǎn)的數(shù)據(jù)包實(shí)際上被發(fā)送給了所在網(wǎng)段的每一個(gè)結(jié)點(diǎn)。目的結(jié)點(diǎn)接收這些數(shù)據(jù)包，并與其他結(jié)點(diǎn)共享傳送帶寬。針對(duì)共享式網(wǎng)絡(luò)環(huán)境數(shù)據(jù)共享網(wǎng)絡(luò)通路的特性，黑客技術(shù)中出現(xiàn)了會(huì)話竊聽(tīng)與劫持技術(shù)。

會(huì)話竊聽(tīng)技術(shù)是網(wǎng)絡(luò)信息搜集的一種重要方式，而利用TCP協(xié)議的漏洞，黑客還可以對(duì)所竊聽(tīng)的TCP連接進(jìn)行臨時(shí)的劫持，以會(huì)話一方用戶的身份繼續(xù)進(jìn)行信息交互。會(huì)話劫持的根源在于TCP協(xié)議中對(duì)數(shù)據(jù)包的共享傳送處理。

2.地址欺騙技術(shù)

在非保密的網(wǎng)絡(luò)環(huán)境中，存在著大量的簡(jiǎn)單主機(jī)認(rèn)證方式，這種方式的基本原則就是以主機(jī)的IP地址作為認(rèn)證的基礎(chǔ)。通過(guò)設(shè)定主機(jī)信任關(guān)系，用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)和管理行為變得簡(jiǎn)單，大大改善了網(wǎng)絡(luò)的可用性。

網(wǎng)絡(luò)通信中，所有的計(jì)算機(jī)都是通過(guò)IP地址、MAC地址等進(jìn)行標(biāo)識(shí)的，每一個(gè)主機(jī)都具有固定的并且是惟一的地址，通過(guò)確認(rèn)IP就可以確認(rèn)目標(biāo)主機(jī)的身份。網(wǎng)絡(luò)地址可能被假冒，即IP地址欺騙。雖然可以采用MAC綁定的方式防止IP欺騙，但黑客很容易假冒MAC地址。由于網(wǎng)絡(luò)的基礎(chǔ)協(xié)議在安全性上的漏洞，這種假冒行為方便簡(jiǎn)單。通過(guò)對(duì)地址的假冒，入侵者可以獲得所仿冒地址計(jì)算機(jī)的訪問(wèn)特權(quán)，使得具有信任連接的計(jì)算機(jī)容易被攻擊，造成機(jī)密文件泄漏。如果防火墻配置不當(dāng)，這種攻擊甚至可以繞過(guò)防火墻，破壞防火墻內(nèi)的計(jì)算機(jī)。5.3.2密碼分析還原

1.密碼還原技術(shù)

密碼還原技術(shù)主要針對(duì)的是強(qiáng)度較低的加密算法，目的是希望從密文中直接分析出密鑰，這種方法需要對(duì)密碼算法有深入的研究。它通過(guò)對(duì)加密過(guò)程的分析，找出加密算法的弱點(diǎn)，從加密歷史樣本中直接分析推算出使用的密鑰和明文。對(duì)于非對(duì)稱算法，可以通過(guò)對(duì)密文的反推將明文的可能范圍限定在有限的范圍之內(nèi)，達(dá)到恢復(fù)明文的結(jié)果。一個(gè)加密算法的密碼還原過(guò)程的出現(xiàn)，也就注定了該加密算法壽命的終結(jié)。目前的標(biāo)準(zhǔn)加密算法還沒(méi)有對(duì)應(yīng)的密碼還原過(guò)程，因此密碼還原技術(shù)的使用并不多。但對(duì)于沒(méi)有公開(kāi)加密算法的操作系統(tǒng)來(lái)說(shuō)，由于算法的強(qiáng)度不夠，在加密過(guò)程被泄露后，黑客就會(huì)根據(jù)分析中獲得的算法漏洞完成密碼還原?，F(xiàn)在，對(duì)于Windows操作系統(tǒng)來(lái)說(shuō)，用戶認(rèn)證的加密算法已經(jīng)被分析攻破，用戶只要使用密碼破解程序就可能完成對(duì)系統(tǒng)上所有用戶密碼的破解，獲取系統(tǒng)上所有用戶的訪問(wèn)權(quán)限。

2.密碼猜測(cè)技術(shù)

密碼猜測(cè)技術(shù)的原理通常是依據(jù)密碼字典，利用窮舉的方法猜測(cè)可能的明文密碼。猜測(cè)過(guò)程中將明文用猜測(cè)的密鑰加密后與實(shí)際的密文進(jìn)行比較，如果所猜測(cè)的密文與已有的密文相符，則表明密碼攻擊成功。攻擊者猜測(cè)到密碼之后，就可以利用這個(gè)密碼獲得相應(yīng)用戶的權(quán)限。密碼猜測(cè)技術(shù)的核心在于如何根據(jù)已知的信息調(diào)整密碼猜測(cè)的過(guò)程，以盡可能短的時(shí)間破解密碼。從理論上講，密碼猜測(cè)的破解過(guò)程需要一段很長(zhǎng)的時(shí)間。而實(shí)際上，許多人在選擇密碼時(shí)，密碼復(fù)雜性不高，這使得密碼猜測(cè)技術(shù)對(duì)系統(tǒng)的攻擊成為目前最為有效的攻擊方式。用戶為了自己的密碼容易記憶，會(huì)選擇簡(jiǎn)單的密碼，這些密碼非常容易猜到，例如，很多人使用簡(jiǎn)單的數(shù)字串，或者用戶名加上一些有意義的數(shù)字（生日或是連續(xù)數(shù)字序列等）作為自己的密碼，甚至有些人的密碼與用戶名相同，一些密碼長(zhǎng)度只有幾個(gè)甚至一個(gè)字符，大大方便了入侵者。據(jù)一款即時(shí)通信的用戶密碼統(tǒng)計(jì)發(fā)現(xiàn)，有相當(dāng)多用戶的密碼是“12345”。密碼猜測(cè)技術(shù)就是利用人們這種密碼設(shè)置習(xí)慣，針對(duì)所搜集到的用戶信息，使用有意義的單詞和用戶名與生日形式的數(shù)列代碼或簡(jiǎn)單數(shù)字序列進(jìn)行排列組合，形成密碼字典。同時(shí)在猜測(cè)過(guò)程中，根據(jù)所搜集到的用戶信息，還要對(duì)字典的排列順序進(jìn)行調(diào)整。以這個(gè)生成的字典作為基礎(chǔ)，模擬登錄的方式，逐一進(jìn)行匹配操作，密碼猜測(cè)工具可以利用這種方式破解大量的系統(tǒng)。密碼猜測(cè)技術(shù)的核心就是這種密碼字典的生成技術(shù)，也有很多事先準(zhǔn)備的通用密碼字典供黑客使用。攻擊者對(duì)目標(biāo)網(wǎng)絡(luò)用戶信息搜集得越廣泛，密碼猜測(cè)工具對(duì)字典進(jìn)行的篩選就能做到越精細(xì)，字典序列組合調(diào)整的依據(jù)也就越多。密碼猜測(cè)技術(shù)是黑客入侵過(guò)程中介于信息搜集和攻擊之間的攻擊過(guò)程，其主要目的就是為了獲取對(duì)目標(biāo)網(wǎng)絡(luò)的訪問(wèn)權(quán)限。黑客攻擊的歷史事件中，有大量案例是由于目標(biāo)網(wǎng)絡(luò)不重視安全管理，用戶的密碼強(qiáng)度不夠，使得黑客在幾分鐘甚至幾秒鐘的時(shí)間內(nèi)即可破解大量一般用戶甚至是管理員賬戶的密碼，并進(jìn)一步入侵系統(tǒng)進(jìn)行破壞。

5.3.3應(yīng)用漏洞分析與滲透

1.服務(wù)流程漏洞

服務(wù)流程漏洞指服務(wù)程序在運(yùn)行過(guò)程中，由于系統(tǒng)運(yùn)行次序的顛倒或程序缺乏有效的異常條件處理，造成用戶可以繞過(guò)系統(tǒng)的安全控制部分，或使系統(tǒng)服務(wù)進(jìn)入到異常的運(yùn)行狀態(tài)。

2.邊界條件漏洞

邊界條件漏洞則主要針對(duì)很多服務(wù)程序中存在的邊界處理不嚴(yán)謹(jǐn)?shù)那闆r，實(shí)現(xiàn)系統(tǒng)攻擊。在對(duì)服務(wù)程序的開(kāi)發(fā)過(guò)程中，很多邊界條件尤其是對(duì)輸入信息的合法性處理往往很難做到完全不出問(wèn)題，在正常情況下，對(duì)邊界條件考慮的不嚴(yán)密并不會(huì)造成明顯的問(wèn)題，但這種不嚴(yán)密的處理卻會(huì)成為黑客入侵的安全隱患。在邊界條件漏洞中，以內(nèi)存溢出錯(cuò)誤最為普遍，影響也最為嚴(yán)重。有很多攻擊都是利用超長(zhǎng)的數(shù)據(jù)填滿數(shù)據(jù)區(qū)并造成溢出錯(cuò)誤，利用這種溢出在沒(méi)有寫(xiě)權(quán)限的內(nèi)存中寫(xiě)入非法數(shù)據(jù)。緩沖區(qū)溢出攻擊是黑客入侵計(jì)算機(jī)網(wǎng)絡(luò)的重要方法和途徑，著名的莫里斯蠕蟲(chóng)就是利用計(jì)算機(jī)緩沖區(qū)溢出漏洞進(jìn)行攻擊的案例。黑客利用軟件的緩沖區(qū)溢出問(wèn)題，精心設(shè)計(jì)入侵程序代碼，使這個(gè)入侵程序代碼覆蓋系統(tǒng)堆棧的內(nèi)容，從而獲取程序的控制權(quán)，之后便發(fā)起進(jìn)一步的攻擊。

SQL注入式攻擊是比較流行的一種利用數(shù)據(jù)庫(kù)系統(tǒng)漏洞的攻擊技術(shù)，它通常針對(duì)動(dòng)態(tài)網(wǎng)頁(yè)進(jìn)行攻擊。SQL注入式攻擊就是攻擊者針對(duì)安全防護(hù)較差的系統(tǒng)，把SQL命令插入到Web表單的輸入域或頁(yè)面請(qǐng)求的查詢字符串中，欺騙服務(wù)器執(zhí)行惡意的SQL命令，以非法獲取數(shù)據(jù)或系統(tǒng)訪問(wèn)權(quán)。5.3.4社會(huì)工程學(xué)方法

1.物理分析手段

（1）黑客可以簡(jiǎn)單冒充合法身份進(jìn)入公司。

黑客通常以維護(hù)人員或是顧問(wèn)身份，走進(jìn)工作區(qū)。通常情況下，入侵者可以對(duì)整個(gè)工作區(qū)進(jìn)行觀察了解，直到找到一些密碼或是一些可以利用的資料之后離開(kāi)。另一種獲得信息的手段就是在工作區(qū)偷窺并記住公司雇員鍵入的關(guān)鍵服務(wù)器密碼。黑客甚至可以趁工作人員離開(kāi)，借用未關(guān)閉和未鎖定的工作計(jì)算機(jī)，采用下載并安裝木馬等手段快速獲取網(wǎng)絡(luò)入侵方法。（2）最簡(jiǎn)便可行的社會(huì)工程學(xué)手段是通過(guò)打電話完成的。

在社會(huì)工程學(xué)方法中那些黑客冒充失去密碼的合法雇員，甚至是以一個(gè)高層或是重要人員的身份，打電話從其他用戶甚至管理員那里獲得信息，黑客經(jīng)常通過(guò)這種簡(jiǎn)單的方法獲得訪問(wèn)密碼。黑客通過(guò)電話請(qǐng)求密碼是充分分析了各種機(jī)構(gòu)的內(nèi)部結(jié)構(gòu)，一般機(jī)構(gòu)尤其是大型企業(yè)等都會(huì)設(shè)置咨詢臺(tái)或者網(wǎng)絡(luò)服務(wù)中心。這些咨詢機(jī)構(gòu)人員一般接受的訓(xùn)練都是要求他們待人友善，而其職責(zé)就是為他人提供幫助并提供別人所需要的信息，因此經(jīng)常成為社會(huì)工程學(xué)家們的攻擊目標(biāo)。咨詢和服務(wù)人員所接受的安全領(lǐng)域的培訓(xùn)與教育很少，這就給黑客造成了可乘之機(jī)。（3）翻垃圾是黑客常用的另一種社會(huì)工程學(xué)手段。

很多企業(yè)和機(jī)構(gòu)對(duì)廢舊打印紙或便簽沒(méi)有粉碎處理，直接作為垃圾并運(yùn)送到垃圾堆。這里面往往包含了大量危害安全的信息，包括企業(yè)的電話簿、機(jī)構(gòu)表格、備忘錄等。黑客可以利用獲得的這些信息，進(jìn)行有計(jì)劃的攻擊。電話簿可以向黑客提供員工的姓名、電話號(hào)碼來(lái)作為目標(biāo)和冒充的對(duì)象。機(jī)構(gòu)的表格包含的信息可以讓他們知道機(jī)構(gòu)中的高級(jí)員工的姓名。備忘錄中的信息可以讓他們獲得有用信息來(lái)幫助他們扮演可信任的身份。企業(yè)的規(guī)定可以讓他們了解機(jī)構(gòu)的安全情況如何。近期工作安排表可以讓黑客知道在某一時(shí)間段有哪些員工出差不在公司。系統(tǒng)手冊(cè)、敏感信息，還有其他的技術(shù)資料可以幫助黑客闖入機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)。（4）在互聯(lián)網(wǎng)中使用社會(huì)工程學(xué)方法來(lái)獲取密碼。

許多用戶都喜歡把自己所有賬號(hào)的密碼設(shè)置為同一個(gè)，所以黑客可以通過(guò)竊取互聯(lián)網(wǎng)密碼，來(lái)獲得內(nèi)部賬號(hào)的使用權(quán)。而用戶在互聯(lián)網(wǎng)上時(shí)往往使用即時(shí)通信、郵件、注冊(cè)社區(qū)賬號(hào)等，黑客一方面可以方便地與攻擊目標(biāo)用戶接近，另一方面可以使用各種手段對(duì)用戶的互聯(lián)網(wǎng)賬號(hào)密碼進(jìn)行分析和破解。黑客常用的方法是通過(guò)在線表格進(jìn)行社會(huì)工程學(xué)攻擊。比如，網(wǎng)上流行通過(guò)發(fā)布彩票中獎(jiǎng)的消息，要求用戶輸入姓名、聯(lián)系地址以及密碼。這些表格不僅可以以在線表格的方式發(fā)送，同樣可以使用普通郵件進(jìn)行發(fā)送。如果是使用普通信件方式的話，這些表格看上去就會(huì)更加像是從合法的機(jī)構(gòu)中發(fā)出的，欺騙的可能性也就更大了。黑客在線獲得信息的另一種方法是冒充網(wǎng)絡(luò)管理員，通過(guò)電子郵件向用戶索要密碼。此外，黑客也有可能放置彈出窗口，誘使用戶重新輸入賬號(hào)與密碼。用戶為了繼續(xù)使用系統(tǒng)，一般會(huì)輸入自己的互聯(lián)網(wǎng)、銀行賬號(hào)甚至工作中的賬號(hào)密碼。（5）電子郵件可以用來(lái)直接獲取系統(tǒng)訪問(wèn)權(quán)限。

黑客利用獲得的企業(yè)內(nèi)部人員電子郵件地址，發(fā)送偽裝較好的電子郵件，在附件中攜帶病毒、蠕蟲(chóng)或者木馬。用戶由于缺乏安全防范意識(shí)，經(jīng)常會(huì)點(diǎn)擊并啟動(dòng)附件中的木馬和后門(mén)程序，該程序就可能被安裝，黑客就直接獲得了一個(gè)隱蔽的攻擊通道，利用木馬的宿主計(jì)算機(jī)獲得了系統(tǒng)的直接訪問(wèn)權(quán)限，為下一步攻擊更重要的系統(tǒng)做準(zhǔn)備。為了提高E-mail攻擊的成功率，一個(gè)黑客可以截取任一個(gè)合法用戶發(fā)送的E-mail信息，并偽造或者重放這些E-mail消息。因?yàn)樗l(fā)自于一個(gè)合法的用戶，這些信息看來(lái)是絕對(duì)安全可靠的，企業(yè)員工很容易放松警惕。黑客也可以通過(guò)已經(jīng)控制的用戶計(jì)算機(jī)，通過(guò)木馬調(diào)用郵件客戶端，發(fā)送帶病毒或木馬的電子郵件給地址列表中的其他人，來(lái)擴(kuò)大被控制的計(jì)算機(jī)數(shù)量。

2.心理分析手段

黑客還可以從心理學(xué)角度進(jìn)行社會(huì)工程學(xué)方式的攻擊，采用的說(shuō)服手段往往包括角色扮演、討好、同情、拉關(guān)系、收買(mǎi)等。這些方法不同于物理手段的社會(huì)工程學(xué)方法，黑客充分利用用戶的心理，說(shuō)服目標(biāo)泄露所需要的敏感信息。

（1）角色扮演。黑客構(gòu)造某種類型的角色并按該角色的身份行事，角色通常是越簡(jiǎn)單越好，比如IT支持部門(mén)的技術(shù)支持人員、上級(jí)經(jīng)理、可信的維修人員等第三方人員或者企業(yè)同事。某些時(shí)候這種手段會(huì)與物理手段中的打電話方式結(jié)合，黑客與目標(biāo)對(duì)象聯(lián)系，扮演特定角色，索取需要的信息。通常情況下，這種方式并不是任何時(shí)候都有效的，黑客往往會(huì)專心調(diào)查目標(biāo)機(jī)構(gòu)中的某一個(gè)比較重要的人物，并在他外出時(shí)冒充他的身份來(lái)打電話詢問(wèn)信息。（2）利用信任和友善心理。社會(huì)工程學(xué)手段還可以僅僅是簡(jiǎn)單地通過(guò)信任和友善來(lái)套取信息。大多數(shù)人都希望在企業(yè)中與同事搞好關(guān)系，非常愿意傾聽(tīng)并相信打電話來(lái)尋求幫助的同事所說(shuō)的話。黑客只需要了解企業(yè)內(nèi)部人員和業(yè)務(wù)信息，獲得基本的信任，并傾訴自己的困難和苦惱，并稍稍恭維一下目標(biāo)對(duì)象，就會(huì)讓目標(biāo)人員樂(lè)意進(jìn)一步合作甚至主動(dòng)提供訪問(wèn)系統(tǒng)的幫助。（3）利用反向社會(huì)工程學(xué)手段。非法獲得信息更為高級(jí)的手段稱為“反向社會(huì)工程學(xué)”。黑客會(huì)扮演一個(gè)不存在的但是權(quán)利很大的人物，讓企業(yè)雇員主動(dòng)地向他詢問(wèn)信息。如果深入地研究，細(xì)心地計(jì)劃與實(shí)施的話，反向社會(huì)工程學(xué)攻擊手段可以讓黑客獲得更多更好的機(jī)會(huì)來(lái)從雇員那里獲得有價(jià)值的信息。但是這需要大量的時(shí)間來(lái)準(zhǔn)備，研究以及進(jìn)行一些前期的黑客工作。反向社會(huì)工程學(xué)包括暗中破壞、自我推銷和進(jìn)行幫助三個(gè)部分。黑客先是對(duì)網(wǎng)絡(luò)進(jìn)行暗中破壞，讓網(wǎng)絡(luò)出現(xiàn)一定的故障，然后冒充維護(hù)人員對(duì)網(wǎng)絡(luò)進(jìn)行維修，并從雇員那里獲得他真正需要的信息。那些雇員往往因?yàn)榫W(wǎng)絡(luò)中出現(xiàn)的問(wèn)題得到快速解決而高興，不會(huì)想到他是個(gè)別有用心的黑客。社會(huì)工程學(xué)方法不是利用目標(biāo)系統(tǒng)和網(wǎng)絡(luò)中的技術(shù)漏洞，它主要利用相關(guān)人員對(duì)安全管理制度實(shí)際操作中的靈活性，對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行滲透并獲取訪問(wèn)權(quán)限。社會(huì)工程學(xué)的攻擊對(duì)象是目標(biāo)網(wǎng)絡(luò)中的人員、資料和目標(biāo)網(wǎng)絡(luò)中的運(yùn)行管理制度。人員的安全意識(shí)培養(yǎng)以及安全知識(shí)的培訓(xùn)，其花費(fèi)往往是巨大的，但很難徹底保證員工不被黑客利用，因此這種攻擊技術(shù)很難防范。所以，社會(huì)工程學(xué)作為一種重要的信息搜集的方式，在黑客攻擊的踩點(diǎn)階段被廣泛采用。5.3.5惡意拒絕服務(wù)攻擊

惡意拒絕服務(wù)攻擊最主要的目的是造成被攻擊服務(wù)器因資源耗盡或系統(tǒng)部分崩潰而無(wú)法繼續(xù)服務(wù)。雖然這種情況下服務(wù)本身并未被攻破，但由于企業(yè)主機(jī)和服務(wù)長(zhǎng)時(shí)間無(wú)法訪問(wèn)，使其所提供服務(wù)的信任度下降，影響企業(yè)以及用戶對(duì)網(wǎng)絡(luò)服務(wù)的使用，甚至由于影響電子商務(wù)系統(tǒng)、正常的業(yè)務(wù)郵件系統(tǒng)而造成重大的經(jīng)濟(jì)損失。

DoS攻擊實(shí)際上還是利用網(wǎng)絡(luò)協(xié)議的一些薄弱環(huán)節(jié)，通過(guò)發(fā)送大量無(wú)效請(qǐng)求數(shù)據(jù)包造成服務(wù)器進(jìn)程無(wú)法短期釋放，大量積累，耗盡系統(tǒng)資源，使得服務(wù)器無(wú)法對(duì)正常的請(qǐng)求進(jìn)行響應(yīng)，造成服務(wù)的癱瘓。常見(jiàn)的DoS攻擊主要是帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉而無(wú)法提供正常訪問(wèn)；連通性攻擊則是用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，最終導(dǎo)致計(jì)算機(jī)連接數(shù)耗盡，無(wú)法響應(yīng)和處理合法用戶的正常請(qǐng)求。早期的單一DoS攻擊一般是一對(duì)一模式，也就是說(shuō)在攻擊計(jì)算機(jī)與被攻擊計(jì)算機(jī)之間完成，當(dāng)被攻擊的計(jì)算機(jī)CPU速度低、內(nèi)存小或網(wǎng)絡(luò)帶寬小時(shí)，目標(biāo)主機(jī)服務(wù)受到的破壞是明顯的。當(dāng)面對(duì)大型企業(yè)和高帶寬的服務(wù)系統(tǒng)時(shí)，攻擊者往往采用DDoS攻擊，其體系通常由傀儡控制、攻擊用傀儡、攻擊目標(biāo)三部分組成?？刂浦鳈C(jī)和傀儡主機(jī)分別用作攻擊控制和實(shí)際攻擊，DDoS的實(shí)際攻擊包從傀儡機(jī)上發(fā)出，控制主機(jī)只發(fā)布攻擊命令而不參與實(shí)際的攻擊，可以避免被跟蹤。DDoS利用大量的傀儡機(jī)來(lái)發(fā)起進(jìn)攻，用比從前更大的規(guī)模來(lái)進(jìn)攻目標(biāo)網(wǎng)絡(luò)。早期的DDoS攻擊一般控制離目標(biāo)主機(jī)距離比較近的傀儡主機(jī)，隨著網(wǎng)絡(luò)帶寬的大幅提高，攻擊者的傀儡機(jī)位置可以分布在更大的范圍內(nèi)，選擇起來(lái)更靈活也更隱蔽。所有的攻擊信息通常都有虛假回復(fù)地址，服務(wù)器卻無(wú)法找到用戶的正常回復(fù)，這就大大增加了服務(wù)器的處理負(fù)擔(dān)。根據(jù)TCP協(xié)議的規(guī)定，服務(wù)器相關(guān)進(jìn)程會(huì)進(jìn)行暫時(shí)的等候，有時(shí)超過(guò)一分鐘后才進(jìn)行進(jìn)程和網(wǎng)絡(luò)端口資源的釋放。由于不斷地發(fā)送這種虛假的連接請(qǐng)求信息，當(dāng)進(jìn)入等待釋放的資源增加速度遠(yuǎn)大于系統(tǒng)釋放進(jìn)程的速度時(shí)，就會(huì)造成服務(wù)器中待釋放的資源不斷積累，最終造成資源的耗盡而導(dǎo)致服務(wù)器癱瘓。惡意拒絕服務(wù)攻擊并不是只利用安全漏洞，往往是在其他攻擊手段失敗后的報(bào)復(fù)性措施，或者配合其他手段一起使用。例如在地址欺騙攻擊方式中，黑客一般先對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行拒絕服務(wù)攻擊，使得目標(biāo)計(jì)算機(jī)無(wú)法進(jìn)行正常響應(yīng)，從而黑客可以假冒目標(biāo)主機(jī)應(yīng)答完成地址欺騙攻擊。目前還沒(méi)有很好的拒絕服務(wù)攻擊防范手段，因此這種攻擊方法被惡意的攻擊者大量地使用。5.3.6病毒或后門(mén)攻擊

黑客最常用的攻擊手段是使用病毒或木馬技術(shù)滲透到對(duì)方的主機(jī)系統(tǒng)里，從而實(shí)現(xiàn)對(duì)遠(yuǎn)程目標(biāo)主機(jī)的控制。病毒或后門(mén)攻擊技術(shù)主要是漏洞攻擊技術(shù)和社會(huì)工程學(xué)攻擊技術(shù)的綜合應(yīng)用。

計(jì)算機(jī)病毒和木馬技術(shù)不斷進(jìn)步，其功能非常復(fù)雜、強(qiáng)大，所采用的隱蔽技術(shù)也越來(lái)越高。計(jì)算機(jī)聯(lián)網(wǎng)或者訪問(wèn)一個(gè)帶有木馬的網(wǎng)頁(yè)都可能造成病毒和木馬的感染。由于網(wǎng)絡(luò)的發(fā)展，木馬的流行程度遠(yuǎn)遠(yuǎn)高于傳統(tǒng)意義上的病毒，并且現(xiàn)代的病毒也很少僅僅以破壞系統(tǒng)為目的，經(jīng)常與木馬程序結(jié)合，控制被感染的主機(jī)系統(tǒng)。木馬控制用戶主機(jī)后，就可以任意地修改用戶計(jì)算機(jī)的參數(shù)設(shè)定，復(fù)制文件，窺視整個(gè)硬盤(pán)中的內(nèi)容等。病毒（或木馬）感染計(jì)算機(jī)，還可以為遠(yuǎn)程入侵者提供控制被感染計(jì)算機(jī)的后門(mén)，著名的冰河病毒就是典型代表。通常，入侵者通過(guò)各種手段進(jìn)入到內(nèi)部主機(jī)后，會(huì)在用戶主機(jī)上安裝后門(mén)服務(wù)程序，并監(jiān)視和控制主機(jī)的操作。

這種攻擊手段的可怕之處在于其自我保護(hù)和復(fù)制能力。病毒或后門(mén)在為黑客提供通道的同時(shí)，還不斷地在目標(biāo)網(wǎng)絡(luò)內(nèi)部進(jìn)行擴(kuò)散，感染更多主機(jī)，影響正常用戶的使用。 5.4網(wǎng)絡(luò)環(huán)境下的攻擊

5.4.1針對(duì)遠(yuǎn)程接入的攻擊

1.VPN攻擊

VPN虛擬專用網(wǎng)是目前企業(yè)和各種機(jī)構(gòu)的標(biāo)準(zhǔn)安全接入方式，它為企業(yè)的遠(yuǎn)程分支機(jī)構(gòu)、個(gè)人用戶、家庭辦公提供企業(yè)網(wǎng)和辦公系統(tǒng)的接入服務(wù)。由于VPN接入后可以直接進(jìn)入內(nèi)部網(wǎng)，因此對(duì)黑客具有很大的誘惑力，針對(duì)VPN的各種入侵方法也不斷出現(xiàn)。VPN主要的攻擊包括對(duì)加密數(shù)據(jù)的攻擊和試圖入侵內(nèi)部網(wǎng)絡(luò)的攻擊。

VPN通?？梢苑譃殒溌穼覸PN、IP層VPN以及SSLVPN三種。鏈路層VPN通常由電信運(yùn)營(yíng)商提供，安全級(jí)別較高，攻擊難度較大。對(duì)于大多數(shù)中小型企業(yè)，為了便于工作及部署，基本都是采用PPTP及強(qiáng)化的IPSecVPN，這也是黑客攻擊的主要目標(biāo)。至于大型企業(yè)及分支眾多的分店型企業(yè)，則較多使用SSLVPN，由于此類VPN通常會(huì)將內(nèi)網(wǎng)的其他服務(wù)盡量進(jìn)行隔離，因此使得黑客入侵成本較高，但黑客一旦攻入可能會(huì)獲得更大的利益，也成為黑客的攻擊目標(biāo)。而針對(duì)VPN的惡意攻擊，常見(jiàn)的有中間人攻擊、DoS攻擊等。在對(duì)VPN設(shè)備進(jìn)行攻擊前，也需要先對(duì)攻擊目標(biāo)進(jìn)行踩點(diǎn)和掃描，來(lái)發(fā)現(xiàn)及識(shí)別目標(biāo)和已知漏洞。例如，對(duì)于最常見(jiàn)的微軟公司PPTPVPN利用PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議），在安全方面