【正文】 關(guān)地址（現(xiàn)在是 B），先把數(shù)據(jù)包發(fā)往 B； B可以先竊取 A發(fā)出的數(shù)據(jù)包中的有關(guān)信息，再用 IP轉(zhuǎn)發(fā)或其他軟件將這些數(shù)據(jù)包轉(zhuǎn)發(fā)到 C，發(fā)出去。 35 Sniffer的工作原理 ?在正常情形下， B無法收到 A與 C之間的通信報文的。如果把安裝有 Sniffer軟件的計(jì)算機(jī)偽裝成為網(wǎng)關(guān)， Sniffer就能嗅到本地網(wǎng)中的數(shù)據(jù)。一個簡單的方法，就是 將安裝有 Sniffer軟件的計(jì)算機(jī)偽裝成為網(wǎng)關(guān) 。這樣，安裝了 Sniffer的主機(jī)可能收不到某些數(shù)據(jù)包， Sniffer軟件也就不能工作。由于 在一個以太網(wǎng)中，賬號和口令都是以明文形式傳輸?shù)?，因此一旦入侵者獲取了其中一臺主機(jī)的管理員權(quán)限，并將其配置成混雜模式，它就有可能對網(wǎng)絡(luò)中的其他所有計(jì)算機(jī)發(fā)起攻擊。這臺計(jì)算機(jī)上安裝的用于處理捕獲報文的軟件，就是一個嗅覺器。一個合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這兩種地址。以太網(wǎng)的特點(diǎn)就是這樣的一種共享網(wǎng)絡(luò)。 31 Sniffer的工作原理 ? （ 1）在共享網(wǎng)絡(luò)中的嗅覺器 ? 共享信道 是 Sniffer捕獲信息的根本所在。當(dāng)一段網(wǎng)絡(luò)運(yùn)行不好，速度較慢而又找不出問題所在時，用 Sniffer往往可以做出精確判斷。 29 信息收集類攻擊 30 Sniffer（嗅覺器） ? Sniffer（嗅覺器）是一個用于 捕獲網(wǎng)絡(luò)報文 的軟件。主要工作有： ?創(chuàng)建具有特權(quán)用戶權(quán)限的虛假用戶賬號； ?安裝批處理或遠(yuǎn)程控制工具； ?使用木馬程序替換系統(tǒng)程序； ?安裝監(jiān)控程序； ?感染啟動文件。主要工作有：禁止系統(tǒng)審計(jì)、隱藏作案工具、清空事件日志（使用 zap、 wzap、wted等）、替換系統(tǒng)常用操作命令等?？梢缘玫焦芾韱T權(quán)限的工具有： lc_message、 getadmin、 sechole、 Invisible、Keystroke、 Logger（ 25 黑客攻擊的一般過程 ? 7. 竊取 ? 竊取就是對一些敏感數(shù)據(jù)的篡改、添加、刪除和復(fù)制，以及通過對敏感數(shù)據(jù)的分析，為進(jìn)一步攻擊應(yīng)用系統(tǒng)做準(zhǔn)備。 ? 權(quán)限提升主要的技術(shù)是口令破解、利用漏洞以及不當(dāng)配置等進(jìn)行。 ? 5. 獲取訪問權(quán) 獲取訪問權(quán)是入侵的正式開始。 ?（ b）第三方工具 – Netviewx（ – Userdump（ – User2sid（ – GetAcct（ – DumpSec（ – Legion（ – NAT（ 20 黑客攻擊的一般過程 ? （ 2） UNIX系統(tǒng)上的主要技術(shù) ?PRG查點(diǎn) ?NIS查點(diǎn) ?NFS查點(diǎn) ?SNMP查點(diǎn) ?UNIX系統(tǒng)上常用的工具有： rpcinfo、 rpcdump、shomount、 finger、 rwho、 ruser、 nmap、 tel、 nc和snmpwalk等。 Nmap， Queso（ Siphon（ 18 黑客攻擊的一般過程 ? 3. 查點(diǎn) ? 查點(diǎn)就是搜索特定系統(tǒng)上用戶、用戶組名、路由表、 SNMP信息、共享資源、服務(wù)程序及旗標(biāo)等信息。如圖所示，目前操作系統(tǒng)檢測按技術(shù)原理可以分為：利用系統(tǒng)旗標(biāo)信息和利用 TCP/IP堆棧指紋兩種；按鑒別的主動性可以分為：主動鑒別和被動鑒別。 17 黑客攻擊的一般過程 ?（ d）操作系統(tǒng)檢測 – 許多漏洞與操作系統(tǒng)有關(guān)。 NetScan Tool Pro 2022（ ?（ c）旗標(biāo)獲取 – 旗標(biāo)獲取是通過一個打開的端口，來聯(lián)系和識別系統(tǒng)提供的服務(wù)及版本號。 Nmap（ – 在 Windows系統(tǒng)上運(yùn)行的重要掃描工具有： 187。 – 在 UNIX系統(tǒng)上運(yùn)行的重要掃描工具有： 187。常用的 Ping掃射工具有：操作系統(tǒng)的 Ping命令和用于掃射網(wǎng)段的 fping和 WS_ping等。 ?（ a） Ping掃射 – Ping掃射可以判別主機(jī)是否 “ 活動 ” 。 ? （ 3）掃描工具 目前，掃描程序已經(jīng)發(fā)展到了幾十種，有的小巧快捷，有的界面友好；有的功能單一，有的功能完善。 ?（ c） 基于應(yīng)用的掃描技術(shù) ，這種技術(shù)主要用于檢查應(yīng)用軟件包的設(shè)置和安全漏洞。然后產(chǎn)生檢驗(yàn)數(shù)，把這些檢驗(yàn)數(shù)同原來的檢驗(yàn)數(shù)相比較。這樣文件和數(shù)據(jù)流的細(xì)微變化就會被感知。缺點(diǎn)是與平臺相關(guān)，升級復(fù)雜。在實(shí)施策略上可以 采用被動式和主動式 兩種策略。漏洞掃描技術(shù)通過 安全掃描程序 實(shí)現(xiàn)。 在踩點(diǎn)獲得的信息的基礎(chǔ)上 ，黑客常編寫或收集適當(dāng)?shù)墓ぞ撸谳^短的時間內(nèi) 對目標(biāo)系統(tǒng)進(jìn)行 掃描 ，進(jìn)一步 確定攻擊對象的漏洞 。 13 黑客攻擊的一般過程 ? 2. 掃描 ? “ 蒼蠅不叮無縫的蛋 “ 。為了獲得這些信息，黑客要利用一些技術(shù)。 10 黑客攻擊的一般過程 11 黑客攻擊的一般過程 ? 1. 踩點(diǎn) ? 黑客確定了攻擊目標(biāo)后，一般要 收集被攻擊者的信息 ： ?目標(biāo)機(jī)的類型、 IP地址、所在網(wǎng)絡(luò)的類型； ?操作系統(tǒng)的類型、版本； ?系統(tǒng)管理人員的名字、郵件地址； ?…… 。 ? （ 4）攻擊時間持續(xù)化：由于網(wǎng)絡(luò)協(xié)議的漏洞和追蹤力量的薄弱，黑客肆無忌憚地對目標(biāo)進(jìn)行長時間的攻擊。 ? （ 2）攻擊目標(biāo)針對化：黑客攻擊的目標(biāo)越來越有針對性，并主要是針對意識形態(tài)和商業(yè)活動，如 Yahoo事件。 ? webshell常常被稱為匿名用戶 (入侵者 )通過 WEB服務(wù)端口對 WEB服務(wù)器有某種程度上操作的權(quán)限 ,由于其大多是以網(wǎng)頁腳本的形式出現(xiàn) ， 也有人稱之為網(wǎng)站后門工具 。 不同的端口開放了不同的服務(wù) 。 ? 后門 ：這個就是入侵后為方便我們下次進(jìn)入肉雞方便點(diǎn)所留下的東西 ， 親切的稱為后門 。 ? 2022年 5月 4日 ， 開始發(fā)作的 “ I Love You” 病毒如野火般地肆虐美國 ，進(jìn)而襲擊全球 ， 至少造成 100億美元的損失 。 DDoS是一種讓計(jì)算機(jī)或網(wǎng)絡(luò)大量地超載使用 TCP、 UDP或 ICMP的網(wǎng)絡(luò)通信量從而使之崩潰的攻擊 。 7 黑客入侵 ? 1999年 4月 26日 ， 臺灣大同工學(xué)院資訊工程系學(xué)生陳盈豪制造的 “ CIH”病毒發(fā)作 ， 震撼了全球 ， 據(jù)保守的估計(jì)至少有 6 000萬部電腦受害 。希特勒 ， 將司法部的徽章?lián)Q成了納粹黨的黨徽 ， 并加上一張色情女郎的圖片作為司法部長的助手 。 1997年由于黑客入侵美國空軍防務(wù)系統(tǒng) ， 迫使五角大樓把防務(wù)網(wǎng)絡(luò)關(guān)閉 24小時 。 ? 黑客們攻擊的對象往往是要害部門 。 6 黑客入侵 ? 1995年 8月 21日 ， 設(shè)防嚴(yán)密的花旗銀行 （ CITY BANK） 被前蘇聯(lián)克格勃人員通過 Inter侵入 ， 損失現(xiàn)金高達(dá) 1160萬美元 。 ? 就是精通計(jì)算機(jī)的網(wǎng)絡(luò)、系統(tǒng)、外設(shè)以及軟硬件技術(shù)的人。 這一章介紹黑客對于網(wǎng)絡(luò)的一些主要攻擊手段 ?！?網(wǎng)絡(luò)信息安全 》 中國科學(xué)技術(shù)大學(xué) 肖 明 軍 第 9章 網(wǎng)絡(luò)攻擊 ? 黑客技術(shù) ? 信息收集類攻擊 ? 入侵類攻擊 ? 欺騙類攻擊 ? 拒絕服務(wù)類攻擊 3 自從 20世紀(jì) 90年代以來 ， 幾乎每一個計(jì)算機(jī)信息系統(tǒng)都是在網(wǎng)絡(luò)環(huán)境下運(yùn)行的 。 在網(wǎng)絡(luò)環(huán)境下工作的計(jì)算機(jī) ， 除了經(jīng)常要受到病毒等惡意程序的侵害外 ，還要受到黑客的攻擊 。 4 黑 客 技 術(shù) 5 常見名詞 ? 什么是黑客（ Hacker的音譯）？ ? 源于動詞 Hack，其引申意義是指 “ 干了一件非常漂亮的事 ” 。 ? 什么是駭客（ Cracker，破壞者）？ ? 就是運(yùn)用自己的知識去做出有損他人權(quán)益的事情，就稱這種人為駭客。 而為了弄清真相并防止入侵者故伎重演 ， 花旗銀行又不得不出資 580萬美元的現(xiàn)金讓入侵者講述入侵秘密和詳細(xì)步驟 。 據(jù)美國五角大樓的一個研究小組稱 ，美國國防部一年中遭受到的攻擊就達(dá) 25萬次之多 。 1996年 8月17日 ， 黑客入侵美國司法部 ， 將 “ 美國司法部 ” 的主頁改成了 “ 美國不公正部 ” ， 將司法部部長的照片換成了阿道夫 同年的 9月 18日 ， 黑客們又將美國 “ 中央情報局 ” 主頁改成了 “ 中央愚蠢局 ” 。 ? 2022年 2月 5日夜晚 ， 國際著名的 Yahoo、 CNN（ 電子港灣 ） 、 亞馬遜 、微軟網(wǎng)絡(luò)等五大網(wǎng)站在 DDoS（ Distributed Denial of Service， 分布式拒絕服務(wù) ） 有組織地攻擊下相繼落馬 。 在 2月 7，8， 9三天里 ， 它使這些著名網(wǎng)站的損失高達(dá) 10億美元 ， 其中僅營業(yè)和廣告收入一項(xiàng)就達(dá) 1億美元 。 8 常見名詞 ? 漏洞 ：這個名詞根據(jù)字面意思就可以理解 ， 就好象一個房子 ， 門很結(jié)實(shí) ， 可是有個窗戶卻不好 ， 這就很可能造成被別人進(jìn)入 ， 入侵是也是相對的 ， 必須要有漏洞才可以入侵 。 ? 端口 ：這個是入侵是很重要的一個環(huán)節(jié) ， 端口這個東西就好象是我要買東西 ，需要在 1號窗口來結(jié)帳 ， 而開放的 1號窗口就好比響應(yīng)的端口 ， 端口可以形象的比喻成窗口 。 ? 肉雞 ： 不是吃的那種 ， 是中了我們的木馬 ， 或者留了后門 ， 可以被我們遠(yuǎn)程操控的機(jī)器 ， 現(xiàn)在許多人把有 WEBSHELL 權(quán)限的機(jī)器也叫肉雞 。 9 黑客攻擊的發(fā)展趨勢 ? 目前，黑客攻擊有如下發(fā)展趨勢： ? （ 1）攻擊工具的簡單化：目前，黑客工具的技術(shù)性越來越高，使用越來越簡單，并且大多是圖形化界面，容易操作。 ? （ 3）攻擊方式系統(tǒng)化：黑客在攻擊方式、時間、規(guī)模等方面一般都進(jìn)行了長時間的準(zhǔn)備和部署，系統(tǒng)地進(jìn)行攻擊。例如， DDoS長達(dá) 40余天的攻擊。 12 黑客攻擊的一般過程 ? 對攻擊對象信息的分析，可找到 被攻擊對象的脆弱點(diǎn) 。例如： ?運(yùn)行一個 host命令，可以獲得被攻擊目標(biāo)機(jī)的 IP地址信息，還可以識別出目標(biāo)機(jī)操作系統(tǒng)的類型； ?利用 whois查詢，可以了解技術(shù)管理人員的名字； ?運(yùn)行一些 User和 Web查詢，可以了解有關(guān)技術(shù)人員是否經(jīng)常上User等； ?利用 DNS區(qū)域傳送工具 dig、 nslookup及 Windows版本的 Sam Spade（網(wǎng)址為 息； ?一個管理人員經(jīng)常討論的問題也可以表明其技術(shù)水平的高低等。系統(tǒng)的漏洞會為攻擊提供機(jī)會和入口。 ? 漏洞掃描 就是自動檢測計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在安全方面存在的可能被黑客利用的脆弱點(diǎn)。所謂掃描，包含了 非破壞性原則 ，即不對網(wǎng)絡(luò)造成任何破壞。 14 黑客攻擊的一般過程 ? （ 1）被動式掃描策略 被動式掃描策略主要檢測系統(tǒng)中 不合適的設(shè)置 、 脆弱的口令 以及 同安全規(guī)則相抵觸的對象 ，具體還可以分為如下幾類： ?（ a） 基于主機(jī)的掃描技術(shù) ，通常它涉及系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等問題，能把一些簡單的口令解密和剔除，能非常準(zhǔn)確地定位系統(tǒng)存在的問題，發(fā)現(xiàn)漏洞。 ?（ b） 基于目標(biāo)的掃描技術(shù) ，基于目標(biāo)的掃描技術(shù)的基本原理是基于消息加密算法和哈希函數(shù)，如果函數(shù)的輸入有一點(diǎn)變化，輸出就會發(fā)生很大變化?；谀繕?biāo)的掃描技術(shù)通常用于檢測系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫、注冊號等。一旦發(fā)現(xiàn)改變就通知管理員。 15 黑客攻擊的一般過程 ? （ 2）主動式掃描策略 ?主動式掃描策略是 基于網(wǎng)絡(luò)的掃描技術(shù) ，主要 通過一些腳本文件對系統(tǒng)進(jìn)行攻擊 ，記錄系統(tǒng)的反應(yīng)，從中發(fā)現(xiàn)漏洞。被廣泛使用的掃描程序有如下一些。 Ping向目標(biāo)主機(jī)發(fā)送 ICMP回射請求分組，并期待目標(biāo)系統(tǒng)關(guān)于活動的回射應(yīng)答分組。 16 黑客攻擊的一般過程 ?（ b）端口掃描 – 掃描 TCP/UDP端口號，可以確定正在運(yùn)行的服務(wù)及其版本號，以發(fā)現(xiàn)相應(yīng)的服務(wù)程序的漏洞。 Netcat（ utilities） 187。 superscan（ ） 187。如連接到一個端口，按幾次 Enter鍵，看返回的信息是什么。因此，黑客要首先確定操作系統(tǒng)的類型。 – 目前常用的操作系統(tǒng)檢測工具有： 187。 查點(diǎn)采用的技術(shù)依操作系統(tǒng)而定： ? （ 1） Windows系統(tǒng)上的主要技術(shù) ?查點(diǎn) NetBIOS線路 ?空會話（ Null Session） ?SNMP代理 ?活動目錄（ Active Directory） ?其他 19 黑客攻擊的一般過程 ? Windows系統(tǒng)上使用的主要工具： ?（ a） Windows系統(tǒng)命令： view、 nbtstat、 nbtscan和 nltest。 21 黑客攻擊的一般過程 ? 4. 模擬攻擊 ? 進(jìn)行模擬攻擊，測試對方反應(yīng)，找出毀滅入侵證據(jù)的方法。 ? （ 1） Windows系統(tǒng)上的主要技術(shù) ?NetBIOSSMB密碼猜測； ?竊聽 LM及 NTLM認(rèn)證散列 ?攻擊 IIS Web服務(wù)器 ?遠(yuǎn)程緩沖區(qū)溢出 22 黑客攻擊的一般過程 ? （ 2） UNIX系統(tǒng)上的主要技術(shù) ?蠻力密碼攻擊 ?密碼竊聽 ?數(shù)據(jù)驅(qū)動式攻擊（如緩沖區(qū)溢出、輸入驗(yàn)證、字典攻擊等） ?RPC攻擊 ?NFS攻擊 ?針對 XWindows系統(tǒng)的攻擊