【正文】 蓋跟蹤 黑客的最后一招便是在受害系統(tǒng)上創(chuàng)建一些后門及陷阱，以便入侵者一時(shí)興起時(shí)，卷土重來，并能以特權(quán)用戶的身份控制整個(gè)系統(tǒng)。創(chuàng)建后門的主要方法有創(chuàng)建具有特權(quán)用戶權(quán)限的虛假用戶賬號、安裝批處理、安裝遠(yuǎn)程控制工具、使用木馬程序替換系統(tǒng)程序、安裝監(jiān)控機(jī)制及感染啟動(dòng)文件等。 創(chuàng)建后門 黑客常用的工具有 rootkit、sub7( cron、 at、 UNIX的 rc、Windows啟動(dòng)文件夾、Netcat(VNC(BO2K(secadmin、 Invisible Keystroke Logger、。 如果黑客未能成功地完成第四步的獲取訪問權(quán)，那么他們所能采取的最惡毒的手段便是進(jìn)行拒絕服務(wù)攻擊。即使用精心準(zhǔn)備好的漏洞代碼攻擊系統(tǒng)使目標(biāo)服務(wù)器資源耗盡或資源過載，以致于沒有能力再向外提供服務(wù)。攻擊所采用的技術(shù)主要是利用協(xié)議漏洞及不同系統(tǒng)實(shí)現(xiàn)的漏洞。 拒絕服務(wù)攻擊 網(wǎng)絡(luò)是多種信息技術(shù)的集合體，它的運(yùn)行依靠相關(guān)的大量技術(shù)標(biāo)準(zhǔn)和協(xié)議。作為網(wǎng)絡(luò)的入侵者，黑客的工作主要是通過對技術(shù)和實(shí)際實(shí)現(xiàn)中的邏輯漏洞進(jìn)行挖掘，通過系統(tǒng)允許的操作對沒有權(quán)限操作的信息資源進(jìn)行訪問和處理。目前，黑客對網(wǎng)絡(luò)的攻擊主要是通過網(wǎng)絡(luò)中存在的拓?fù)渎┒匆约皩ν馓峁┓?wù)的實(shí)現(xiàn)漏洞實(shí)現(xiàn)成功的滲透。 黑客技術(shù)概述 除了使用這些技術(shù)上的漏洞，黑客還可以充分利用人為運(yùn)行管理中存在的問題對目標(biāo)網(wǎng)絡(luò)實(shí)施入侵。通過欺騙、信息搜集等社會工程學(xué)的方法，黑客可以從網(wǎng)絡(luò)運(yùn)行管理的薄弱環(huán)節(jié)入手，通過對人本身的習(xí)慣的把握，迅速地完成對網(wǎng)絡(luò)用戶身份的竊取并進(jìn)而完成對整個(gè)網(wǎng)絡(luò)的攻擊。 可以看出，黑客的技術(shù)范圍很廣，涉及網(wǎng)絡(luò)協(xié)議解析、源碼安全性分析、密碼強(qiáng)度分析和社會工程學(xué)等多個(gè)不同的學(xué)科。入侵一個(gè)目標(biāo)系統(tǒng)，在早期需要黑客具有過硬的協(xié)議分析基礎(chǔ)、深厚的數(shù)學(xué)功底。但由于網(wǎng)絡(luò)的共享能力以及自動(dòng)攻擊腳本的成熟與廣泛的散播，現(xiàn)在黑客的行為愈演愈烈，而對黑客的技術(shù)要求也在不斷地降低。 目前，在實(shí)施網(wǎng)絡(luò)攻擊中，黑客所使用的入侵技術(shù)主要包括以下幾種： 協(xié)議漏洞滲透； 密碼分析還原； 應(yīng)用漏洞分析與滲透； 社會工程學(xué)； 拒絕服務(wù)攻擊； 病毒或后門攻擊。 網(wǎng)絡(luò)中包含著種類繁多但層次清晰的網(wǎng)絡(luò)協(xié)議規(guī)范。這些協(xié)議規(guī)范是網(wǎng)絡(luò)運(yùn)行的基本準(zhǔn)則，也是構(gòu)建在其上的各種應(yīng)用和服務(wù)的運(yùn)行基礎(chǔ)。但對于底層的網(wǎng)絡(luò)協(xié)議來說，對于安全的考慮有著先天的不足，部分網(wǎng)絡(luò)協(xié)議具有嚴(yán)重的安全漏洞。通過對網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議的分析，黑客可以從中總結(jié)出針對協(xié)議的攻擊過程，利用協(xié)議的漏洞實(shí)現(xiàn)對目標(biāo)網(wǎng)絡(luò)的攻擊。 協(xié)議漏洞滲透 隨著網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)安全越來越得到管理者的重視，大量陳舊的網(wǎng)絡(luò)協(xié)議被新的更安全的網(wǎng)絡(luò)協(xié)議所代替。作為現(xiàn)代網(wǎng)絡(luò)的核心協(xié)議， TCP/IP協(xié)議正在不斷地得到安全的修補(bǔ)，即在不破壞正常協(xié)議流程的情況下，修改影響網(wǎng)絡(luò)安全的部分。當(dāng)然，由于先天的不足，一些協(xié)議上的漏洞是無法通過修改協(xié)議彌補(bǔ)的。通過應(yīng)用這些固有的協(xié)議漏洞，黑客開發(fā)出了針對特定網(wǎng)絡(luò)協(xié)議環(huán)境下的網(wǎng)絡(luò)攻擊技術(shù)，這些技術(shù)以會話偵聽與劫持技術(shù)和地址欺騙技術(shù)應(yīng)用較多。 傳統(tǒng)的以太網(wǎng)絡(luò)使用共享的方式完成對數(shù)據(jù)分組的傳送。這在目前尤其在一些已經(jīng)有一定歷史的網(wǎng)絡(luò)中是主要的分組發(fā)送方式。在這種方式下，發(fā)往目的結(jié)點(diǎn)的分組數(shù)據(jù)實(shí)際上被發(fā)送給了所在網(wǎng)段的每一個(gè)結(jié)點(diǎn)。目的結(jié)點(diǎn)接收這些分組，并與其他結(jié)點(diǎn)共享傳送帶寬。雖然從帶寬的利用率上，這樣做的實(shí)現(xiàn)利用率并不高，但由于實(shí)際的實(shí)現(xiàn)較為簡單，同時(shí)造價(jià)較低，因此在網(wǎng)絡(luò)中得到了廣泛的應(yīng)用。正是根據(jù)共享式的網(wǎng)絡(luò)環(huán)境的數(shù)據(jù)共享特性，黑客技術(shù)中出現(xiàn)了會話竊聽與劫持技術(shù)。 只要可以作為目標(biāo)網(wǎng)絡(luò)環(huán)境的一個(gè)結(jié)點(diǎn)，就可以接收到目標(biāo)網(wǎng)絡(luò)中流動(dòng)的所有數(shù)據(jù)信息。這種接收的設(shè)置非常簡單，對于普通的計(jì)算機(jī)，只要將網(wǎng)卡設(shè)為混雜模式就可以達(dá)到接收處理所有網(wǎng)絡(luò)數(shù)據(jù)的目的。利用會話竊聽技術(shù)，入侵者可以通過重組數(shù)據(jù)包將網(wǎng)絡(luò)內(nèi)容還原，輕松地獲得明文信息。例如，當(dāng)前的網(wǎng)站登錄中，在密碼傳輸方面使用的方式幾乎都是明文傳送。因此，這類密碼也就相當(dāng)容易獲得。由于人的因素，每個(gè)人使用的用戶名和密碼都只限于幾個(gè)。通過獲取明文密碼信息，入侵者不但可以輕易地以被監(jiān)聽者的身份進(jìn)入到各個(gè)網(wǎng)站，還可以通過搜集的用戶密碼表進(jìn)入被監(jiān)聽人的計(jì)算機(jī)進(jìn)行破壞。 會話竊聽技術(shù)是網(wǎng)絡(luò)信息搜集的一種重要方式，而利用 TCP協(xié)議的漏洞，黑客更可以對所窺探的 TCP連接進(jìn)行臨時(shí)的劫持，以會話一方用戶的身份繼續(xù)進(jìn)行會話。會話劫持的根源在于 TCP協(xié)議中對分組的處理。 在傳統(tǒng)的網(wǎng)絡(luò)中，存在著大量的簡單認(rèn)證方式，這些方式的基本原則就是以主機(jī)的 IP地址作為認(rèn)證的基礎(chǔ)，即所謂的主機(jī)信任。通過設(shè)定主機(jī)信任關(guān)系，用戶對網(wǎng)絡(luò)的訪問和管理行為變得簡單，很大程度上提高了網(wǎng)絡(luò)的易用性。 這樣的認(rèn)證行為基于以下網(wǎng)絡(luò)協(xié)議原則，即在網(wǎng)絡(luò)中，所有的計(jì)算機(jī)都是通過如 IP這樣的地址進(jìn)行辨認(rèn)，每一個(gè)主機(jī)具有固定的并且是惟一（這里的惟一相對于所在網(wǎng)絡(luò)而言）的地址。通過確認(rèn) IP就可以確認(rèn)目標(biāo)主機(jī)的身份。但就像現(xiàn)實(shí)中有假的身份證一樣，網(wǎng)絡(luò)的地址也可以被假冒，這就是所謂 IP地址的欺騙。由于網(wǎng)絡(luò)的基礎(chǔ)協(xié)議在安全性上的漏洞，這種假冒遠(yuǎn)較現(xiàn)實(shí)中的假冒方便簡單。通過對地址的假冒，入侵者可以獲得所仿冒地址計(jì)算機(jī)的所有特權(quán)，也就容易攻入到其他給被仿冒計(jì)算機(jī)提供信任連接的計(jì)算機(jī)上，造成機(jī)密泄漏。如果防火墻配置不當(dāng)，這種攻擊甚至可以繞過防火墻，破壞防火墻內(nèi)的計(jì)算機(jī)。 為了保證數(shù)據(jù)的安全性，現(xiàn)在通常的方法是對數(shù)據(jù)進(jìn)行加密，防止可疑的截取行為造成的信息泄漏。對于數(shù)據(jù)的加密通常需要一個(gè)密鑰，數(shù)據(jù)與密鑰通過加密算法自動(dòng)機(jī)進(jìn)行合成，生成密文。對于不知道密鑰的攻擊者來說，截獲的密文難以理解。而對于非對稱加密算法，即使攻擊者知道密鑰，也無法從密文中還原出明文信息。這樣就可以保證網(wǎng)絡(luò)通信信息的安全性。同樣，對于認(rèn)證用的密碼信息，一般也是使用強(qiáng)度較高的加密算法進(jìn)行加密，以密文的形式存儲在系統(tǒng)中。這些密文使用加密算法的強(qiáng)度一般較高，黑客即使獲得密文存儲文件，也難以從這些密文中分析出正確的密碼。 密碼分析還原 密碼學(xué)等加密技術(shù)向人們做出保證，密碼的攻破理論上是不可行的，如果采用蠻力攻擊的話，所用的時(shí)間將長到足夠保證安全的程度。但現(xiàn)實(shí)中，密碼的破解卻并不如理論中所保證的那樣困難。隨著計(jì)算機(jī)運(yùn)算速度的指數(shù)級提高，相同的運(yùn)算量所使用的時(shí)間明顯地縮短。同時(shí)，對加密算法的強(qiáng)度分析以及社會工程學(xué)的密碼篩選技術(shù)的不斷發(fā)展，現(xiàn)實(shí)網(wǎng)絡(luò)中的大量密碼可以在可接受的時(shí)間內(nèi)被分析還原。密碼分析與還原技術(shù)不使用系統(tǒng)和網(wǎng)絡(luò)本身的漏洞，雖然涉及對密碼算法的強(qiáng)度分析，但它主要利用的是人的惰性以及系統(tǒng)的錯(cuò)誤配置。應(yīng)用這類技術(shù)手段攻擊通常是可以通過人工手段避免的，只要嚴(yán)格要求網(wǎng)絡(luò)所在用戶的密碼強(qiáng)度，還是可以避免大部分的攻擊，但由于這涉及人員管理，代價(jià)也非常大。 目前網(wǎng)絡(luò)中使用的加密算法，從加密的種類上來分，主要包括對稱加密和非對稱加密兩種基本的類別。根據(jù)分析的出發(fā)點(diǎn)不同，密碼分析還原技術(shù)主要分為密碼還原技術(shù)和密碼猜測技術(shù)。對于網(wǎng)絡(luò)上通用的標(biāo)準(zhǔn)加密算法來說，攻擊這類具有很高強(qiáng)度加密算法的手段通常是使用后一種技術(shù)。在進(jìn)行攻擊的時(shí)候，密碼分析還原所針對的對象主要是通過其他偵聽手段獲取到的認(rèn)證數(shù)據(jù)信息，包括系統(tǒng)存儲認(rèn)證信息的文件或利用連接偵聽手段獲取的用戶登錄的通信信息數(shù)據(jù)。 密碼還原技術(shù)主要針對的是強(qiáng)度較低的加密算法。通過對加密過程的分析，從加密算法中找出算法的薄弱環(huán)節(jié)，從加密樣本中直接分析出相關(guān)的密鑰和明文。對于非對稱算法，可以通過對密文的反推將明文的可能范圍限定在有限的范圍內(nèi)，達(dá)到還原密文的結(jié)果。這種方法需要對密碼算法有深入的研究，同時(shí)，相關(guān)算法的密碼還原過程的出現(xiàn)，也就注定了相應(yīng)加密算法壽命的終結(jié)。 對于目前網(wǎng)絡(luò)上通行的標(biāo)準(zhǔn)加密算法來說，從理論和實(shí)踐中還沒出現(xiàn)對應(yīng)的密碼還原過程，因此密碼還原技術(shù)的使用并不多。但對于沒有公開加密算法的操作系統(tǒng)來說，由于算法的強(qiáng)度不夠，在過程被了解后，黑客就會根據(jù)分析中獲得的算法漏洞完成密碼還原的算法?，F(xiàn)在，對于 Windows操作系統(tǒng)來說，用戶認(rèn)證的加密算法就已經(jīng)被分析攻破，用戶只要使用密碼破解程序就可以完成對系統(tǒng)上所有密碼的破解，獲取系統(tǒng)上所有用戶的訪問權(quán)限。 密碼還原技術(shù)需要目標(biāo)系統(tǒng)使用強(qiáng)度不高的、有一定安全漏洞的加密算法，而對于一般的成熟加密算法，密碼攻擊主要使用的是密碼猜測技術(shù)。密碼猜測技術(shù)的原理主要是利用窮舉的方法猜測可能的明文密碼，將猜測的明文經(jīng)過加密后與實(shí)際的密文進(jìn)行比較，如果所猜測的密文與實(shí)際的密文相符，則表明密碼攻擊成功，攻擊者可以利用這個(gè)密碼獲得相應(yīng)用戶的權(quán)限。往往這樣猜測出來的密碼與實(shí)際的密碼相一致。 密碼猜測技術(shù)的核心在于如何根據(jù)已知的信息調(diào)整密碼猜測的過程，在盡可能短的時(shí)間內(nèi)破解密碼。從理論上講，密碼猜測的破解過程需要一段很長的時(shí)間，而實(shí)際上，應(yīng)用密碼猜測技術(shù)實(shí)現(xiàn)對系統(tǒng)的攻擊是目前最為有效的攻擊方式。這種方法比想像的更加有效的原因是許多人在選擇密碼時(shí)，技巧性都不是很好，密碼復(fù)雜性不高。簡單的密碼非常容易猜到，例如，很多人使用用戶名加上一些有意義的數(shù)字（生日或是連續(xù)數(shù)字序列等）作為自己的密碼，甚至有些人的密碼與用戶名相同，一些密碼長度只有幾個(gè)甚至一個(gè)字符。這類密碼容易記憶，但也方便了入侵者。 密碼猜測技術(shù)就是利用人們的這種密碼設(shè)置習(xí)慣，針對所搜集到的信息，對有意義的單詞和用戶名與生日形式的數(shù)列代碼或簡單數(shù)字序列進(jìn)行排列組合，形成密碼字典，同時(shí)根據(jù)所搜集到的用戶信息，對字典的排列順序進(jìn)行調(diào)整。以這個(gè)生成的字典作為基礎(chǔ)，模擬登錄的方式，逐一進(jìn)行匹配操作，密碼猜測工具可以利用這種方式破解大量的系統(tǒng)。密碼猜測技術(shù)的核心就是這種密碼字典的生成技術(shù)。上述的生成方式是密碼字典的基本生成原則。 隨著對目標(biāo)網(wǎng)絡(luò)用戶信息搜集的深入，密碼猜測工具對字典進(jìn)行的篩選越來越精細(xì)，字典序列調(diào)整的依據(jù)也就越多。對于攻擊用的密碼猜測技術(shù)，其主要目的就是為了獲取對目標(biāo)網(wǎng)絡(luò)的訪問權(quán)限，它是黑客入侵過程中介于信息搜集和攻擊之間的攻擊過程。從對目標(biāo)網(wǎng)絡(luò)的密碼猜測攻擊中就可以了解到目標(biāo)網(wǎng)絡(luò)對安全的重視程度。在以往黑客攻擊的事件中，有大量目標(biāo)網(wǎng)絡(luò)由于不重視安全管理，用戶的密碼強(qiáng)度不夠，黑客可以在幾分鐘甚至幾秒鐘的時(shí)間內(nèi)破解大量一般用戶甚至是管理員賬戶的密碼。 任何的應(yīng)用程序都不可避免地存在著一些邏輯漏洞，這在 IT行業(yè)中已經(jīng)形成了共識。這一點(diǎn)，對于安全隱患也同樣適用。在這方面操作系統(tǒng)也不例外，幾乎每天都有人宣布發(fā)現(xiàn)了某個(gè)操作系統(tǒng)的安全漏洞。而這些安全漏洞也就成為了入侵者的攻擊對象。通過對這些安全漏洞的分析，確認(rèn)漏洞的引發(fā)方式以及引發(fā)后對系統(tǒng)造成的影響，攻擊者可以使用合適的攻擊程序引發(fā)漏洞的啟動(dòng)，破壞整個(gè)服務(wù)系統(tǒng)的運(yùn)行過程，進(jìn)而滲透到服務(wù)系統(tǒng)中，造成目標(biāo)網(wǎng)絡(luò)的損失。 應(yīng)用漏洞分析與滲透 目前，對各個(gè)網(wǎng)站的攻擊幾乎都使用到了應(yīng)用漏洞分析與滲透技術(shù)，攻擊者或是利用 WWW服務(wù)器的漏洞，或是利用操作系統(tǒng)的缺陷攻入服務(wù)器，篡改網(wǎng)站主頁。最近經(jīng)常提及的對微軟的 IIS服務(wù)器的攻擊，就是利用 IIS對 unicode解釋的缺陷實(shí)現(xiàn)的。由于這類錯(cuò)誤，入侵者甚至只使用瀏覽器就可以隨意地篡改網(wǎng)站服務(wù)器的內(nèi)容。最新的病毒 Nimda也是利用了 Outlook Express的安全漏洞迅速地傳播開來的。 應(yīng)用漏洞從錯(cuò)誤類型上主要包括服務(wù)流程漏洞和邊界條件漏洞。 服務(wù)流程漏洞指服務(wù)程序在運(yùn)行處理過程中，由于流程次序的顛倒或?qū)σ馔鈼l件的處理的隨意性，造成用戶有可能通過特殊類型的訪問繞過安全控制部分或使服務(wù)進(jìn)入到異常的運(yùn)行狀態(tài)。 例如，著名的 IIS漏洞就是由 unicode的解釋過程在路徑安全確認(rèn)過程之后這樣的流程錯(cuò)誤產(chǎn)生的。利用這種流程錯(cuò)誤，用戶可以將路徑分割符分解為unicode編碼中的兩個(gè)字符，造成服務(wù)在確認(rèn)路徑的時(shí)候被誤認(rèn)為屬于文件名而分析通過，在經(jīng)過uni