天擎-第3部分

小说：天擎字数：每页4000字

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！

技术，对我们加强网络安全建议、防止网络犯罪有很好的借鉴作用。本文简要介绍了黑客攻击网络的一般过程以及常用的网络攻击工具。　
远程攻击的一般过程
1。收集被攻击方的有关信息，分析被攻击方可能存在的漏洞　
黑客首先要确定攻击的目标。在获取目标机及其所在的网络类型后，还需进一步获取有关信息，如目标机的IP地址、操作系统类型和版本、系统管理人员的邮件地址等，根据这些信息进行分析，可得到有关被攻击方系统中可能存在的漏洞。如运行一个host命令，可以获得目标网络中有关机器的IP地址信息，还可识别出目标机的操作系统类型。利用WHOIS查询，可了解技术管理人员的名字信息。运行一些User和Web查询可了解有关技术人员是否经常上User，等等。　
收集有关技术人员的信息是很重要的。系统管理员的职责是维护站点的安全。当他们遇到问题时，有些人会迫不及待地将问题发到User上或邮件列表上寻求解答。而这些邮件中往往有他们的组织结构、网络拓扑和所面临的问题等信息。另外，若一个系统管理员经常在安全邮件列表或论坛中讨论各种安全技术和问题，就说明他有丰富的经验和知识，对安全有深入的了解，并作好了抵御攻击的准备。反之，若一个系统管理员提出的问题是初级的，甚至没有理解某些安全概念，则说明此人经验不丰富。　
每个操作系统都有自己的一套漏洞，有些是已知的，有些则需要仔细研究才能发现。而管理员不可能不停地阅读每个平台的安全报告，因此极有可能对某个系统的安全特性掌握的不够。　
通过对上述信息的分析，就可以得到对方计算机网络可能存在的漏洞。　
2。建立模拟环境，进行模拟攻击，测试对方可能的反应　
根据第一步所获得的信息，建立模拟环境，然后对模拟目标机进行一系列的攻击。通过检查被攻击方的日志，可以了解攻击过程中留下的“痕迹”。这样攻击者就知道需要删除哪些文件来毁灭其入侵证据。　
3。利用适当的工具进行扫描　
收集或编写适当的工具，并在对操作系统分析的基础上，对工具进行评估，判断有哪些漏洞和区域没有覆盖到。然后在尽可能短的时间内对目标进行扫描。完成扫描后，可对所获数据进行分析，发现安全漏洞，如FTP漏洞、NFS输出到未授权程序中、不受限制的X服务器访问、不受限制的调制解调器、Sendmail的漏洞、NIS口令文件访问等。　
4。实施攻击　
根据己知的漏洞，实施攻击。通过猜测程序可对截获的用户帐号和口令进行破译；利用破译程序可对截获的系统密码文件进行破译；利用网络和系统本身的薄弱环节和安全漏洞可实施电子引诱（如安放特洛伊木马）等等。黑客们或者修改网页进行恶作剧，或破坏系统程序或放病毒使系统陷入瘫痪，或窃取政治、军事、商业秘密；或进行电子邮件骚扰或转移资金账户，窃取金钱等等。
常用工具介绍
扫描器　
在Inter安全领域，扫描器是最出名的破解工具。所谓扫描器，实际上是自动检测远程或本地主机安全性弱点的程序。扫描器选通TCPIP端口和服务，并记录目标机的回答，以此获得关于目标机的信息。理解和分析这些信息，就可能发现破坏目标机安全性的关键因素。常用的扫描器有很多，有些可以在Inter上免费得到，下面做一简要介绍。　
NSS（网络安全扫描器）：是用Perl语言编写的，可执行Sendmail、匿名FTP、NFS出口、TFTP、Hosts。equiv、Xhost等常规检查。　
Strobe（超级优化TCP端口检测程序）：是一个TCP端口扫描器，可以记录指定机器的所有开放端口，快速识别指定机器上正在运行什么服务，提示什么服务可以被攻击。　
SATAN
（安全管理员的网络分析工具）：用于扫描远程主机，发现漏洞。包括：FTPD的漏洞和可写的FTP目录、NFS漏洞、NIS漏洞、RSH漏洞、Sendmail、X服务器漏洞等。　
Jakal：是一个秘密扫描器，它启动但并不完成与目标主机的SYNACK过程，因此可以扫描一个区域而不留下任何痕迹，能够避开端口扫描探测器的探测追踪。　
IdengTCPscan：是一个更加专业化的扫描器，能够识别指定TCP端口进程的使用者，即能够测出该进程的UID；　
CONNECT：用于扫描TFTP服务器子网。　
FSPScan：用于扫描FSP服务器。　
XSCAN：扫描具有X服务器漏洞的子网或主机。　
SAFESuite：是快速、先进、全面的UNIX网络安全扫描器。可以对指定网络执行各种不同的攻击，探测网络环境中特定的安全漏洞，包括：Sendmail、TFP、NNTP、Tel、
RPC、NFS等。　
扫描器还在不断发展变化，每当发现新的漏洞，检查该漏洞的功能就会被加入已有的扫描器中。扫描器不仅是黑客用作网络攻击的工具，也是维护网络安全的重要工具。系统管理人员必须学会使用扫描器。　
口令入侵　
所谓的口令入侵，是指破解口令或屏蔽口令保护。但实际上，真正的加密口令是很难逆向破解的。黑客们常用的口令入侵工具所采用的技术是仿真对比，利用与原口令程序相同的方法，通过对比分析，用不同的加密口令去匹配原口令。　
Inter上大多数服务器运行的是UNIX或类UNIX操作系统。在UNIX平台上，用户登录ID和口令都存放在etcpasswd中。UNIX以数据加密标准DES为基础，以ID为密钥，对口令进行加密。而加密算法Crypt（3）是公开的。虽然加密算法分开，但目前还没有能够逆向破解其加密信息的方法。　
黑客们破解口令的过程大致如下：首先将大量字表中的单词用一定规则进行变换，再用加密算法进行加密。看是否与etcpasswd文件中加密口令相匹配者：若有，则口令很可能被破解。单词变换的规则一般有：大小写交替使用；把单词正向、反向拼写后，接在一起（如cannac）；在每个单词的开头和或结尾加上数字1等等。同时，在Inter上有许多字表可用。如果用户选择口令不恰当，口令落入了字表库，黑客们获得了etcpasswd文件，基本上就等于完成了口令破解任务。　
特洛依木马（trojan　horse）　
所谓特洛依程序是指任何提供了隐藏的、用户不希望的功能的程序。它可以以任何形式出现，可能是任何由用户或客户引入到系统中的程序。特洛依程序提供或隐藏了一些功能，这些功能可以泄漏一些系统的私有信息，或者控制该系统。　
特洛依程序表面上是无害的、有用的程序，但实际上潜伏着很大的危险性。如在Wuarchive　FTP　daemon（ftpd）2。2版中发现有特洛依程序，该特洛依程序允许任何用户（本地的和远端的）以root帐户登录UNIX。这样的特洛依程序可以导致整个系统被侵入，因为首先它很难被发现。在它被发现之前，可能已经存在几个星期甚至几个月了。其次在这段时间内，具备了root权限的入侵者，可以将系统按照他的需要进行修改。这样即使这个特洛依程序被发现了，在系统中也留下了系统管理员可能没有注意到的漏洞。　
网络嗅探器（Sniffer）　
Sniffer用来截获网络上传输的信息，用在以太网或其它共享传输介质的网络上。放置Sniffer，可使网络接口处于广播状态，从而截获网上传输的信息。利用Sniffer可截获口令、秘密的和专有的信息，用来攻击相邻的网络。Sniffer的威胁还在于被攻击方无法发现。Sniffer是被动的程序，本身在网络上不留下任何痕迹。　常用的Sniffer有：Gobbler、ETHLOAD、man、Esniff。c、Linux　Sniffer。c、NitWitc等等。　
破坏系统　
常见的破坏装置有邮件炸弹和病毒等。其中邮件炸弹的危害性较小，而病毒的危害性则很大。　
邮件炸弹是指不停地将无用信息传送给攻击方，填满对方的邮件信箱，使其无法接收有用信息。另外，邮件炸弹也可以导致邮件服务器的拒绝服务。常用的Email炸弹有：UpYours、KaBoom、Avalanche、Unabomber、eXtreme　Mail、Homicide、Bombtrack、FlameThrower等。　
病毒程序与特洛依程序有明显的不同。特洛依程序是静态的程序，存在于另一个无害的被信任的程序之中。特洛依程序会执行一些未经授权的功能，如把口令文件传递给攻击者，或给他提供一个后门。攻击者通过这个后门可以进入那台主机，并获得控制系统的权力。　
病毒程序则具有自我复制的功能，它的目的就是感染计算机。在任何时候病毒程序都是清醒的，监视着系统的活动。一旦系统的活动满足了一定的条件，病毒就活跃起来，把自己复制到那个活动的程序中去。
黑客基本术语简介：
什么是TCPIP　
是一种网络通信协议，他规范了网络上所有的通信设备，尤其是一个主机与另一个主机之间的数据往来格式以及传送方式。，TCPIP是INTER的基础协议，也是一种电脑数据打包和寻址的标准方法。在数据传诵中，可以形象地理解为两个信封，TCP和IP就像是信封，要传递的信息被划为若干段，每一段塞入一个TCP信封，并在该信封面上记录有分段号的信息，再将TCP信封塞入IP大信封，发送上网。　
什么是路由器
路由器应该是在网络上使用最高的设备之一了，它的主要作用就是路由选路，将IP数据包正确的送到目的地，因此也叫IP路由器。　
什么是蜜罐　
好比是情报收集系统。蜜罐好象是故意让人攻击的目标，引诱黑客来攻击，所有攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对你的服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。　
什么是拒绝服务攻击　
DOS是DENIAL　OF　SERVICE的简称，即拒绝服务，造成DOS的攻击行为被称为DOS攻击，其目的是使计算机或网络无法正常服务，最常见的DOS攻击有计算机网络宽带攻击和连通性攻击，连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源被消耗，最终计算机无法再处理合法用户的请求。　
什么是脚本注入攻击（SQL　INJECTION）　
所谓脚本注入攻击者把SQL命令插入到WEB表单的输入域或也面请求的查学字符串，欺骗服务器执行恶意的SQL命令，在某些表单中，用户输入的内容直接用来构造动态的SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。　
什么是防火墙？它是如何确保网络安全的
使用防火墙（Firewall）是一种确保网络安全的方法。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。
什么是后门？为什么会存在后门？
后门（Back　Door）是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或是在发布软件之前没有删除，那么它就成了安全隐患。　
什么叫入侵检测
入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象　
什么叫数据包监测，它有什么作用
数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时，他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页，这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据，而数据包监测工具就允许某人截获数据并且查看它。
在这里值得一题的是，美国的落山基级骇动力潜艇就有几艘专们用于海底电缆的数据监听。特别是太平洋。
什么是NIDS
NIDS是work　Intrusion　Detection　System的缩写，即网络入侵检测系统，主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。　
什么叫SYN�

返回目录上一页下一页回到顶部赞（0）踩（0）

第3部分

天擎-第3部分

你可能喜欢的