【正文】 便是進(jìn)行拒絕服務(wù)攻擊。創(chuàng)建后門的主要方法有創(chuàng)建具有特權(quán)用戶權(quán)限的虛假用戶賬號、安裝批處理、安裝遠(yuǎn)程控制工具、使用木馬程序替換系統(tǒng)程序、安裝監(jiān)控機(jī)制及感染啟動文件等。常用的清除日志工具有 zap、 wzap、 wted。此時，黑客需要做的首要工作就是清除所有入侵痕跡，避免自己被檢測出來，以便能夠隨時返回被入侵系統(tǒng)繼續(xù)干壞事或作為入侵其他系統(tǒng)的中繼跳板。通過對敏感數(shù)據(jù)的分析，為進(jìn)一步攻擊應(yīng)用系統(tǒng)做準(zhǔn)備。權(quán)限提升所采取的技術(shù)主要有通過得到的密碼文件，利用現(xiàn)有工具軟件，破解系統(tǒng)上其他用戶名及口令；利用不同操作系統(tǒng)及服務(wù)的漏洞（例如 Windows 2022 NetDDE漏洞），利用管理員不正確的系統(tǒng)配置等。 一旦攻擊者通過前面 4步獲得了系統(tǒng)上任意普通用戶的訪問權(quán)限后，攻擊者就會試圖將普通用戶權(quán)限提升至超級用戶權(quán)限，以便完成對系統(tǒng)的完全控制。 獲取訪問權(quán) 著名的密碼竊聽工具有 sniffer pro( TCPdump、LC4(L0phtcrack version 4， readsmb。對于 Windows系統(tǒng)采用的主要技術(shù)有NetBIOS SMB密碼猜測（包括手工及字典猜測）、竊聽 LM及 NTLM認(rèn)證散列、攻擊 IIS Web服務(wù)器及遠(yuǎn)程緩沖區(qū)溢出。 UNIX系統(tǒng)上常用的工具有 rpcinfo、 rpcdump、 showmount、 finger、rwho、 ruser、 nmap、 tel、 nc及 snmpwalk等。 查點 （ 2） Netviewx()； Userdump()。 在 Windows系統(tǒng)上主要采用的技術(shù)有 “ 查點NetBIOS”線路、空會話（ Null Session）、 SNMP代理、活動目錄（ Active Directory）等。查點就是搜索特定系統(tǒng)上用戶和用戶組名、路由表、 SNMP信息、共享資源、服務(wù)程序及旗標(biāo)等信息。 例如： \[Netat_svr\] Tel 22 表明該端口提供 SSH服務(wù)，版本號為 。在旗標(biāo)獲取方法中，使用一個打開端口來聯(lián)系和識別系統(tǒng)提供的服務(wù)及版本號。每種技術(shù)進(jìn)一步細(xì)分為主動鑒別及被動鑒別。著名的掃描工具有 UNIX系統(tǒng)上運(yùn)行的 Netcat （ utilities）及 Nmap（ Windows系統(tǒng)上運(yùn)行的 superscan（ 及 NetScan Tool Pro 2022（ 由于許多漏洞是和操作系統(tǒng)緊密相關(guān)的，因此，確定操作系統(tǒng)類型對于黑客攻擊目標(biāo)來說也十分重要。常用的 ping掃射工具有操作系統(tǒng)的 Ping命令及用于掃射網(wǎng)段的 fping、 WS_ping等。 掃描 Ping掃射是判別主機(jī)是否 “ 活動 ” 的有效方式。掃描的主要目的是使攻擊者對攻擊的目標(biāo)系統(tǒng)所提供的各種服務(wù)進(jìn)行評估，以便集中精力在最有希望的途徑上發(fā)動攻擊。能夠?qū)崿F(xiàn) DNS區(qū)域傳送的常用工具有 dig、 nslookup及 Windows版本的 Sam Spade（其網(wǎng)址為 通過踩點已獲得一定信息（ IP地址范圍、 DNS服務(wù)器地址、郵件服務(wù)器地址等），下一步需要確定目標(biāo)網(wǎng)絡(luò)范圍內(nèi)哪些系統(tǒng)是 “ 活動 ” 的，以及它們提供哪些服務(wù)。正常情況下，DNS區(qū)域傳送操作只對輔 DNS服務(wù)器開放。 例如，下面是通過 IBM公司的信息： Registrant: IBM Corporation (IBM DOM) Old Orchard Rd. Armonk, NY 10504 US Domain Name: Administrative Contact, Technical Contact: Trio, Nicholas R(SZFHGULFPI) PO BOX 218 YORKTOWN HTS, NY10598 0218 US (914) 945 1850 123 123 1234 Record expires on 20 Mar 2022. Record created on 19 Mar 1986. Database last updated on 8 May 2022 21:18:57 EDT. Domain servers in listed order: DNS區(qū)域傳送是一種 DNS服務(wù)器的冗余機(jī)制。目前，可用的 whois數(shù)據(jù)庫很多，例如，查詢 、 、 edu及等結(jié)尾的域名可通過國以外的域名則應(yīng)通過查詢 whois數(shù)據(jù)庫服務(wù)器的地址后完成進(jìn)一步的查詢。通過使用 Google檢索 Web的根路徑 C:\\Ipub,揭示出目標(biāo)系統(tǒng)為 Windows NT/2022。 通過一些標(biāo)準(zhǔn)搜索引擎，揭示一些有價值的信息。 （ 5） 開放資源未在前 4類中列出的信息，例如 Use、雇員配置文件等。 （ 3） 遠(yuǎn)程訪問模擬 /數(shù)字電話號碼和 VPN訪問點?！?踩點 ” 的主要目的是獲取目標(biāo)的如下信息： 踩點 （ 1） 因特網(wǎng)網(wǎng)絡(luò)域名、網(wǎng)絡(luò)地址分配、域名服務(wù)器、郵件交換主機(jī)、網(wǎng)關(guān)等關(guān)鍵系統(tǒng)的位置及軟硬件信息。舉例來說，當(dāng)盜賊決定搶劫一家銀行時，他們不會大搖大擺地走進(jìn)去直接要錢，而是狠下一番工夫來搜集這家銀行的相關(guān)信息，包括武裝押運(yùn)車的路線及運(yùn)送時間、攝像頭的位置、逃跑出口等信息。黑客攻擊流程如圖 示。 盡管黑客攻擊系統(tǒng)的技能有高低之分，入侵系統(tǒng)手法多種多樣，但他們對目標(biāo)系統(tǒng)實施攻擊的流程卻大致相同。主要表現(xiàn)有： ①敵對國之間利用網(wǎng)絡(luò)的破壞活動； ②個人及組織對政府不滿而產(chǎn)生的破壞活動。 （ 6） 金錢 有相當(dāng)一部分電腦犯罪是為了賺取金錢。 （ 5） 報復(fù) 電腦罪犯感到其雇主本該提升自己、增加薪水或以其他方式承認(rèn)他的工作。 （ 3） 智力挑戰(zhàn) 為了向自己的智力極限挑戰(zhàn)或為了向他人炫耀，證明自己的能力；還有些甚至不過是想做個 “ 游戲高手 ” 或僅僅為了 “ 玩玩 ” 而已。 （ 1） 好奇心 許多黑帽聲稱，他們只是對計算機(jī)及電話網(wǎng)感到好奇，希望通過探究這些網(wǎng)絡(luò)更好地了解它們是如何工作的。與白帽的動機(jī)相反，黑帽主要從事一些破壞活動，從事的是一種犯罪行為。白帽利用他們的技能做一些善事，而黑帽則利用他們的技能做一些惡事。第 11章 黑客技術(shù) 黑客的動機(jī) 黑客攻擊的流程 黑客技術(shù)概述 針對網(wǎng)絡(luò)的攻擊 本章小結(jié) 習(xí)題 黑客的動機(jī)究竟是什么？在回答這個問題前，我們應(yīng)對黑客的種類有所了解，原因是不同種類的黑客動機(jī)有著本質(zhì)的區(qū)別。從黑客行為上劃分，黑客有“ 善意 ” 與 “ 惡意 ” 兩種，即所謂白帽（ White Hat）及黑帽（ Black Hat）。白帽長期致力于改善計算機(jī)社會及其資源，為了改善服務(wù)質(zhì)量及產(chǎn)品，他們不斷尋找弱點及脆弱性并公布于眾。 黑客的動機(jī) 大量的案例分析表明黑帽具有以下主要犯罪動機(jī)。 （ 2） 個人聲望 通過破壞具有高價值的目標(biāo)以提高在黑客社會中的可信度及知名度。 （ 4） 竊取情報 在 Inter上監(jiān)視個人、企業(yè)及競爭對手的活動信息及數(shù)據(jù)文件，以達(dá)到竊取情報的目的。電腦犯罪活動成為他反擊雇主的方法，也希望借此引起別人的注意。 （ 7） 政治目的 任何政治因素都會反映到網(wǎng)絡(luò)領(lǐng)域。這類黑帽的動機(jī)不是錢，幾乎永遠(yuǎn)都是為政治，一般采用的手法包括更改網(wǎng)頁、植入電腦病毒等。其攻擊過程可歸納為以下 9個步驟：踩點（ Foot Printing）、掃描（ scanning）、查點（ enumeration）、獲取訪問權(quán)（ Gaining Access）、權(quán)限提升（ Escalating Privilege）、竊?。?pilfering）、掩蓋蹤跡（ Covering Track）、創(chuàng)建后門（ Creating Back Doors）、拒絕服務(wù)攻擊（ Denial of Services）。 黑客攻擊的流程 圖 黑客攻擊流程圖 “ 踩點 ” 原意為策劃一項盜竊活動的準(zhǔn)備階段。在黑客攻擊領(lǐng)域， “ 踩點 ” 是傳統(tǒng)概念的電子化形式。 （ 2） 內(nèi)聯(lián)網(wǎng)與 Inter內(nèi)容類似，但主要關(guān)注內(nèi)部網(wǎng)絡(luò)的獨(dú)立地址空間及名稱空間。 （ 4） 外聯(lián)網(wǎng)與合作伙伴及子公司的網(wǎng)絡(luò)的連接地址、連接類型及訪問控制機(jī)制。 為達(dá)到以上目的，黑客常采用以下技術(shù)。例如，通過使用 Use工具檢索新聞組（ newsgroup）工作帖子，往往能揭示許多有用東西。 whois是目標(biāo) Inter域名注冊數(shù)據(jù)庫。通過對 whois數(shù)據(jù)庫的查詢，黑客能夠得到以下用于發(fā)動攻擊的重要信息： 注冊機(jī)構(gòu)，得到特定的注冊信息和相關(guān)的 whois服務(wù)器； 機(jī)構(gòu)本身，得到與特定目標(biāo)相關(guān)的全部信息； 域名，得到與某個域名相關(guān)的全部信息； 網(wǎng)絡(luò)，得到與某個網(wǎng)絡(luò)或 IP相關(guān)的全部信息； 聯(lián)系點（ POC），得到與某個人（一般是管理聯(lián)系人）的相關(guān)信息。通過該機(jī)制，輔 DNS服務(wù)器能夠從其主 DNS服務(wù)器更新自己的數(shù)據(jù)，以便主 DNS服務(wù)器不可用時，輔 DNS服務(wù)器能夠接替主 DNS服務(wù)器工作。然而，當(dāng)系統(tǒng)管理員配置錯誤時，將導(dǎo)致任何主機(jī)均可請求主 DNS服務(wù)器提供一個區(qū)域數(shù)據(jù)的拷貝，以至于目標(biāo)域中所有主機(jī)信息泄露。與盜竊案之前的踩點相比，掃描就像是辨別建筑物的位置并觀察它們有哪些門窗。 掃描中采用的主要技術(shù)有 Ping掃射（ Ping Sweep）、TCP/UDP端口掃描、操作系統(tǒng)檢測以及旗標(biāo)（ banner）的獲取。Ping用于向目標(biāo)主機(jī)發(fā)送 “ ICMP”回射請求（ Echo Request）分組，并期待由此引發(fā)的表明目標(biāo)系統(tǒng) “ 活動 ” 的回射應(yīng)答（ Echo Reply）分組。 端口掃描就是連接到目標(biāo)機(jī)的 TCP和 UDP端口上，確定哪些服務(wù)正在運(yùn)行及服務(wù)的版本號，以便發(fā)現(xiàn)相應(yīng)服務(wù)程序的漏洞。目前用于探測操作系統(tǒng)的技術(shù)主要可以分為兩類：利用系統(tǒng)旗標(biāo)信息和利用 TCP/IP堆棧指紋。目前，常用的檢測工具有 Nmap、Queso(Siphon( 最后一種掃描手段是旗標(biāo)獲取。最常用的方法是連接到一個端口，按 Enter 鍵幾次，看返回什么類型的信息。 通過掃描，入侵者掌握了目標(biāo)系統(tǒng)所使用的操作系統(tǒng)，下一步工作是查點。查點所采用的技術(shù)依操作系統(tǒng)而定。 Windows系統(tǒng)上主要使用以下工具： （ 1） Windows系統(tǒng)命令 view、 nbtstat、 nbtscan及 nltest。 User2sid( GetAcct( DumpSec( Legion( NAT( 在 UNIX系統(tǒng)上采用的技術(shù)有 RPC查點、 NIS查點、NFS查點及 SNMP查點等。 在搜集到目標(biāo)系統(tǒng)的足夠信息后，下一步要完成的工作自然是得到目標(biāo)系統(tǒng)的訪問權(quán)進(jìn)而完成對目標(biāo)系統(tǒng)的入侵。而 UNIX系統(tǒng)采用的主要技術(shù)有蠻力密碼攻擊；密碼竊聽；通過向某個活動的服務(wù)發(fā)送精心構(gòu)造的數(shù)據(jù)，以產(chǎn)生攻擊者所希望的結(jié)果的數(shù)據(jù)驅(qū)動式攻擊 (例如緩沖區(qū)溢出、輸入驗證、字典攻擊等 )； RPC攻擊； NFS攻擊以及針對 XWindows系統(tǒng)的攻擊等。字典攻擊工具有 LC John the RIPper( NAT、SMBGrind( fgrind。這種從一個較低權(quán)限開始，通過各種攻擊手段得到較高權(quán)限的過程稱為權(quán)限提升。 權(quán)限提升 常用的口令破解工具有 John The RIPper、 John The RIPper，得到 Windows NT管理員權(quán)限的工具有 lc_message、 getadmin、 sechole、 Invisible Keystroke Logger（ 一旦攻擊者得到了系統(tǒng)的完全控制權(quán)，接下來將完成的工作是竊取，即進(jìn)行一些敏感數(shù)據(jù)的篡改、添加、刪除及復(fù)制（例如 Windows系統(tǒng)的注冊表、UNIX系統(tǒng)的 rhost文件等）。 竊取 黑客并非踏雪無痕，一旦黑