【正文】 現(xiàn) 。 通過主機間的信任關(guān)系 ， 以 Web形式實施的一種欺騙行為 。 使用監(jiān)聽工具對網(wǎng)絡(luò)數(shù)據(jù)包進行監(jiān)聽 ， 以獲得口令等敏感信息 。 如 ， Ping、 Finger、 Whois、Tracerroute等 。 利用這種機制 ， 黑客可以任意進行偽造 ， 并冒充系統(tǒng)管理員輕松地獲得大量的信息 ， 以實施他們的惡意陰謀 。 攻擊者如果沒有辦法通過物理入侵直接取得所需要的資料，就會通過計策或欺騙等手段間接獲得密碼等敏感信息，通常使用電子郵件、電話等形式對所需要的資料進行騙取，再利用這些資料獲取主機的權(quán)限以達到其攻擊的目的。 3． 獲得管理員權(quán)限 ， 實施攻擊 有了普通賬號就可以侵入到目標(biāo)主機之中 ， 由于普通賬號的權(quán)限有限 ， 所以黑客會利用系統(tǒng)的漏洞 、 監(jiān)聽 、 欺騙 、 口令攻擊等技術(shù)和手段獲取管理員的權(quán)限 ， 然后實施對該主機的絕對控制 。攻擊者的數(shù)量也不斷增加。 ? 動態(tài)行為是指現(xiàn)在的自動攻擊工具可以根據(jù)隨機選擇、預(yù)先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為，而不是像早期的攻擊工具那樣，僅能夠以單一確定的順序執(zhí)行攻擊步驟。 ? 更多的職業(yè)化黑客的出現(xiàn)，使網(wǎng)絡(luò)攻擊更加有目的性。 （ 3）有組織的攻擊越來越多 攻擊的群體在改變，從個體到有組織的群體，各種各樣黑客組織不斷涌現(xiàn)，進行協(xié)同作戰(zhàn)。 ? 安全脆弱的系統(tǒng)更容易受到損害； ? 從以前需要依靠人啟動軟件工具發(fā)起的攻擊，發(fā)展到攻擊工具可以自己發(fā)動新的攻擊； ? 攻擊工具的開發(fā)者正在利用更先進的技術(shù)武裝攻擊工具，攻擊工具的特征比以前更難發(fā)現(xiàn)，攻擊工具越來越復(fù)雜。 （ 11） 勿做無聊 、 單調(diào)并且愚蠢的重復(fù)性工作 。 （ 7） 不要入侵或破壞政府機關(guān)的主機 。 （ 3） 不要修改任何系統(tǒng)文件 ， 如果是由于進入系統(tǒng)的需要 ， 則應(yīng)該在目的達到后將其恢復(fù)原狀 。 通常所說的 “ 黑客 ” 指的是駭客 （ Cracker， 破壞者 ） ， 是那些懷有不良企圖 ， 強行闖入他人系統(tǒng)或以某種惡意目的干擾他人的網(wǎng)絡(luò) ， 運用自己的知識去做出有損他人權(quán)益的事情的人 ， 也稱入侵者 。第 2章 黑客與攻擊技術(shù) 黑客概述 黑客 1． 什么是黑客 黑客是 “ Hacker” 的音譯 ， 源于動詞 Hack， 其引申意義是指“ 干了一件非常漂亮的事 ” 。 任何職業(yè)都有相關(guān)的職業(yè)道德 ， 黑客也有其 “ 行規(guī) ” ， 一些守則是必須遵守的 ， 歸納起來就是 “黑客守則 ”。 （ 4） 不要輕易地將你要黑的或者黑過的站點告訴不信任的朋友 。 （ 8） 將自己的筆記放在安全的地方 。 （ 12） 要做真正的黑客 ， 讀遍所有有關(guān)系統(tǒng)安全或系統(tǒng)漏洞的書籍 。 （ 2）漏洞被利用的速度越來越快 安全問題的技術(shù)根源是軟件和系統(tǒng)的安全漏洞，正是一些別有用心的人利用了這些漏洞，才造成了安全問題。 在攻擊工具的協(xié)調(diào)管理方面，隨著分布式攻擊工具的出現(xiàn)，黑客可以容易地控制和協(xié)調(diào)分布在 Inter上的大量已部署的攻擊工具。 ? 黑客們已經(jīng)不再滿足于簡單、虛無飄渺的名譽追求，更多的攻擊背后是豐厚的經(jīng)濟利益。 （ 6）攻擊的破壞效果增大 由于用戶越來越多地依賴計算機網(wǎng)絡(luò)提供各種服務(wù)，完成日常業(yè)務(wù)，黑客攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成的破壞影響越來越大。 1． 信息收集 黑客首先要確定攻擊的目標(biāo) ， 然后利用社會學(xué)攻擊 、 黑客技術(shù)等方法和手段 ， 收集目標(biāo)主機的各種信息 。 黑客攻擊的步驟 黑客攻擊的步驟 4．種植后門 為了保持對“勝利果實”長期占有的欲望，在已被攻破的主機上種植供自己訪問的后門程序。 1．社會工程學(xué)攻擊 （ 1）打電話請求密碼 盡管不像前面討論的策略那樣聰明 ， 但打電話尋問密碼卻經(jīng)常奏效 。 信息收集就是對目標(biāo)主機及其相關(guān)設(shè)施 、 管理人員進行非公開的了解 ， 用于對攻擊目標(biāo)安全防衛(wèi)工作情況的掌握 。 （ 2） 網(wǎng)絡(luò)掃描 。 2．信息收集型攻擊 3．欺騙型攻擊 通常利用實體之間的信任關(guān)系而進行的一種攻擊方式 ， 主要形式有： （ 1） IP欺騙 。 （ 3） 郵件欺騙 。 通常是利用系統(tǒng)漏洞或缺陷進行的攻擊 。 4．漏洞與缺陷攻擊 5．利用型攻擊 利用型攻擊是指試圖直接對主機進行控制的攻擊 ， 常見有： （ 1） 猜口令 。 6．病毒攻擊 致使目標(biāo)主機感染病毒 ， 從而造成系統(tǒng)損壞 、 數(shù)據(jù)丟失 、 拒絕服務(wù) 、 信息泄密 、 性能下降等現(xiàn)象的攻擊 。 （ 2） 切斷連接 立即采取行動 ， 切斷連接 ， 如 ， 關(guān)閉服務(wù)器 ， 追蹤黑客等 。 ? 它是一種系統(tǒng)檢測 、 有效防御的工具 。 ? 利用被動式策略掃描稱為安全掃描 ， 利用主動式策略掃描稱為網(wǎng)絡(luò)安全掃描 。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，用來與每一個感興趣的目標(biāo)主機的端口進行連接。 ? 掃描程序發(fā)送的是一個 SYN數(shù)據(jù)包，好象準備打開一個實際的連接并等待反應(yīng)一樣。 ? FIN數(shù)據(jù)包可能會沒有任何麻煩的通過。 ? 這種方法在區(qū)分 Unix和 NT時，是十分有用的。 ? 但是，許多主機在你向一個未打開的 UDP端口發(fā)送一個數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACH錯誤。 ? 這樣就將一個 TCP頭分成好幾個數(shù)據(jù)包，從而過濾器就很難探測到。 ? 漏洞掃描一般分為 3類： ? 操作系統(tǒng)掃描 ? 網(wǎng)絡(luò)安全掃描 ? 數(shù)據(jù)庫安全掃描 ? 基于網(wǎng)絡(luò)的漏洞掃描技術(shù)：通過網(wǎng)絡(luò)來測試主機安全性，它檢測主機當(dāng)前可用的服務(wù)及其開放端口，查找可能被遠程試圖惡意訪問者攻擊的大量漏洞、隱患及安全脆弱點。 網(wǎng)絡(luò)掃描的防范 ? 預(yù)防端口掃描的檢測是一個大的難題 ， 因為每個網(wǎng)站的服務(wù) （ 端口 ） 都是公開的 ， 所以一般無法判斷是否有人在進行端口掃描 。 ? 對于慢掃描，可以在一段較長時間內(nèi)對此類請求數(shù)據(jù)包進行聯(lián)合分析，若發(fā)現(xiàn)某特定時間段內(nèi)，主機較為均勻地接受到此類數(shù)據(jù)包請求，則判斷為慢速掃描。 網(wǎng)絡(luò)監(jiān)聽 監(jiān)聽的概念 1． 什么是監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽也被稱作網(wǎng)絡(luò)嗅探（ Sniffer）。它具有以下特點： （ 1） 隱蔽性強 。 其中 ， 網(wǎng)絡(luò)監(jiān)聽效果最好的地方是在網(wǎng)絡(luò)中某些具有戰(zhàn)略意義的位置 ， 如網(wǎng)關(guān) 、 路由器 、防火墻之類的設(shè)備或重要網(wǎng)段；而使用最方便的地方是在網(wǎng)絡(luò)中的一臺主機中 。 （ 4） 分析網(wǎng)絡(luò)結(jié)構(gòu) ， 進行網(wǎng)絡(luò)滲透 。 監(jiān)聽的原理 所謂混雜接收模式是指網(wǎng)卡可以接收網(wǎng)絡(luò)中傳輸?shù)乃袌笪?，無論其目的 MAC地址是否為該網(wǎng)卡的 MAC地址。 1． 檢測網(wǎng)絡(luò)嗅探 網(wǎng)絡(luò)嗅探的檢測其實是很麻煩的 ， 由于嗅探器需要將網(wǎng)絡(luò)中入侵的網(wǎng)卡設(shè)置為混雜模式才能工作 ， 所以可以通過檢測混雜模式網(wǎng)卡的工具來發(fā)現(xiàn)網(wǎng)絡(luò)嗅探 。 監(jiān)聽的防范 1．檢測網(wǎng)絡(luò)嗅探 對于 SunOS和其他的 BSD Unix系統(tǒng)可以使用Lsof命令來檢測嗅探器的存在 。 （ 2） 加密通信會話 ， 如采用 SSH將傳輸?shù)臄?shù)據(jù)進行加密 。 Web攻擊的原理 Web欺騙攻擊的原理是打斷從被攻擊者主機到目標(biāo)服務(wù)器之間的正常連接，并建立一條從被攻擊主機到攻擊主機再到目標(biāo)服務(wù)器的連接。 ? 制造假象：消除所有可能會留下的攻擊線索。 2．長期的方法 （ 1） IP地址 、 子網(wǎng) 、 域的限制：它可以保護單個的文檔 ， 也可以保護整個的目錄 。 IP地址欺騙 IP地址欺騙的概念 1． IP地址盜用 IP地址盜用是指一臺主機有目的地使用他人合法的 IP地址，而不用自己的 IP地址的行為。 ? 其實質(zhì)就是讓一臺機器來扮演另一臺機器 ， 以達到蒙混過關(guān)的目的 。 IP欺騙的原理 ? IP欺騙是利用主機之間的正常的信任關(guān)系來發(fā)動的 ， 這種信任是有別于用戶間的信任和應(yīng)用層的信任的 。 值得注意的是 ， 并不是在任何情況下都要使被假冒的主機癱瘓 ，但在 Ether網(wǎng)上的 IP欺騙必須要這么做 ， 否則會引起網(wǎng)絡(luò)掛起 。 只要在路由器中設(shè)置不允許聲稱來自于內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)包通過就行了 。 IP地址可以盜用 ， 但現(xiàn)代加密技術(shù)在理論上是很難可破解的 。 緩沖區(qū)溢出的原理