【正文】 客入侵系統(tǒng)，必然留下痕跡。掩蓋蹤跡的主要工作有禁止系統(tǒng)審計、清空事件日志、隱藏作案工具及使用人們稱為 rootkit的工具組替換那些常用的操作系統(tǒng)命令。 掩蓋跟蹤 黑客的最后一招便是在受害系統(tǒng)上創(chuàng)建一些后門及陷阱，以便入侵者一時興起時，卷土重來，并能以特權(quán)用戶的身份控制整個系統(tǒng)。 創(chuàng)建后門 黑客常用的工具有 rootkit、sub7( cron、 at、 UNIX的 rc、Windows啟動文件夾、Netcat(VNC(BO2K(secadmin、 Invisible Keystroke Logger、。即使用精心準(zhǔn)備好的漏洞代碼攻擊系統(tǒng)使目標(biāo)服務(wù)器資源耗盡或資源過載，以致于沒有能力再向外提供服務(wù)。 拒絕服務(wù)攻擊 網(wǎng)絡(luò)是多種信息技術(shù)的集合體，它的運行依靠相關(guān)的大量技術(shù)標(biāo)準(zhǔn)和協(xié)議。目前，黑客對網(wǎng)絡(luò)的攻擊主要是通過網(wǎng)絡(luò)中存在的拓撲漏洞以及對外提供服務(wù)的實現(xiàn)漏洞實現(xiàn)成功的滲透。通過欺騙、信息搜集等社會工程學(xué)的方法，黑客可以從網(wǎng)絡(luò)運行管理的薄弱環(huán)節(jié)入手，通過對人本身的習(xí)慣的把握，迅速地完成對網(wǎng)絡(luò)用戶身份的竊取并進而完成對整個網(wǎng)絡(luò)的攻擊。入侵一個目標(biāo)系統(tǒng)，在早期需要黑客具有過硬的協(xié)議分析基礎(chǔ)、深厚的數(shù)學(xué)功底。 目前，在實施網(wǎng)絡(luò)攻擊中，黑客所使用的入侵技術(shù)主要包括以下幾種： 協(xié)議漏洞滲透； 密碼分析還原； 應(yīng)用漏洞分析與滲透； 社會工程學(xué)； 拒絕服務(wù)攻擊； 病毒或后門攻擊。這些協(xié)議規(guī)范是網(wǎng)絡(luò)運行的基本準(zhǔn)則，也是構(gòu)建在其上的各種應(yīng)用和服務(wù)的運行基礎(chǔ)。通過對網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議的分析，黑客可以從中總結(jié)出針對協(xié)議的攻擊過程，利用協(xié)議的漏洞實現(xiàn)對目標(biāo)網(wǎng)絡(luò)的攻擊。作為現(xiàn)代網(wǎng)絡(luò)的核心協(xié)議， TCP/IP協(xié)議正在不斷地得到安全的修補，即在不破壞正常協(xié)議流程的情況下，修改影響網(wǎng)絡(luò)安全的部分。通過應(yīng)用這些固有的協(xié)議漏洞，黑客開發(fā)出了針對特定網(wǎng)絡(luò)協(xié)議環(huán)境下的網(wǎng)絡(luò)攻擊技術(shù)，這些技術(shù)以會話偵聽與劫持技術(shù)和地址欺騙技術(shù)應(yīng)用較多。這在目前尤其在一些已經(jīng)有一定歷史的網(wǎng)絡(luò)中是主要的分組發(fā)送方式。目的結(jié)點接收這些分組，并與其他結(jié)點共享傳送帶寬。正是根據(jù)共享式的網(wǎng)絡(luò)環(huán)境的數(shù)據(jù)共享特性，黑客技術(shù)中出現(xiàn)了會話竊聽與劫持技術(shù)。這種接收的設(shè)置非常簡單，對于普通的計算機，只要將網(wǎng)卡設(shè)為混雜模式就可以達到接收處理所有網(wǎng)絡(luò)數(shù)據(jù)的目的。例如，當(dāng)前的網(wǎng)站登錄中，在密碼傳輸方面使用的方式幾乎都是明文傳送。由于人的因素，每個人使用的用戶名和密碼都只限于幾個。 會話竊聽技術(shù)是網(wǎng)絡(luò)信息搜集的一種重要方式，而利用 TCP協(xié)議的漏洞，黑客更可以對所窺探的 TCP連接進行臨時的劫持，以會話一方用戶的身份繼續(xù)進行會話。 在傳統(tǒng)的網(wǎng)絡(luò)中，存在著大量的簡單認證方式，這些方式的基本原則就是以主機的 IP地址作為認證的基礎(chǔ)，即所謂的主機信任。 這樣的認證行為基于以下網(wǎng)絡(luò)協(xié)議原則，即在網(wǎng)絡(luò)中，所有的計算機都是通過如 IP這樣的地址進行辨認，每一個主機具有固定的并且是惟一（這里的惟一相對于所在網(wǎng)絡(luò)而言）的地址。但就像現(xiàn)實中有假的身份證一樣，網(wǎng)絡(luò)的地址也可以被假冒，這就是所謂 IP地址的欺騙。通過對地址的假冒，入侵者可以獲得所仿冒地址計算機的所有特權(quán)，也就容易攻入到其他給被仿冒計算機提供信任連接的計算機上，造成機密泄漏。 為了保證數(shù)據(jù)的安全性，現(xiàn)在通常的方法是對數(shù)據(jù)進行加密，防止可疑的截取行為造成的信息泄漏。對于不知道密鑰的攻擊者來說，截獲的密文難以理解。這樣就可以保證網(wǎng)絡(luò)通信信息的安全性。這些密文使用加密算法的強度一般較高，黑客即使獲得密文存儲文件，也難以從這些密文中分析出正確的密碼。但現(xiàn)實中，密碼的破解卻并不如理論中所保證的那樣困難。同時，對加密算法的強度分析以及社會工程學(xué)的密碼篩選技術(shù)的不斷發(fā)展，現(xiàn)實網(wǎng)絡(luò)中的大量密碼可以在可接受的時間內(nèi)被分析還原。應(yīng)用這類技術(shù)手段攻擊通常是可以通過人工手段避免的，只要嚴格要求網(wǎng)絡(luò)所在用戶的密碼強度，還是可以避免大部分的攻擊，但由于這涉及人員管理，代價也非常大。根據(jù)分析的出發(fā)點不同，密碼分析還原技術(shù)主要分為密碼還原技術(shù)和密碼猜測技術(shù)。在進行攻擊的時候，密碼分析還原所針對的對象主要是通過其他偵聽手段獲取到的認證數(shù)據(jù)信息，包括系統(tǒng)存儲認證信息的文件或利用連接偵聽手段獲取的用戶登錄的通信信息數(shù)據(jù)。通過對加密過程的分析，從加密算法中找出算法的薄弱環(huán)節(jié)，從加密樣本中直接分析出相關(guān)的密鑰和明文。這種方法需要對密碼算法有深入的研究，同時，相關(guān)算法的密碼還原過程的出現(xiàn)，也就注定了相應(yīng)加密算法壽命的終結(jié)。但對于沒有公開加密算法的操作系統(tǒng)來說，由于算法的強度不夠，在過程被了解后，黑客就會根據(jù)分析中獲得的算法漏洞完成密碼還原的算法。 密碼還原技術(shù)需要目標(biāo)系統(tǒng)使用強度不高的、有一定安全漏洞的加密算法，而對于一般的成熟加密算法，密碼攻擊主要使用的是密碼猜測技術(shù)。往往這樣猜測出來的密碼與實際的密碼相一致。從理論上講，密碼猜測的破解過程需要一段很長的時間，而實際上，應(yīng)用密碼猜測技術(shù)實現(xiàn)對系統(tǒng)的攻擊是目前最為有效的攻擊方式。簡單的密碼非常容易猜到，例如，很多人使用用戶名加上一些有意義的數(shù)字（生日或是連續(xù)數(shù)字序列等）作為自己的密碼，甚至有些人的密碼與用戶名相同，一些密碼長度只有幾個甚至一個字符。 密碼猜測技術(shù)就是利用人們的這種密碼設(shè)置習(xí)慣，針對所搜集到的信息，對有意義的單詞和用戶名與生日形式的數(shù)列代碼或簡單數(shù)字序列進行排列組合，形成密碼字典，同時根據(jù)所搜集到的用戶信息，對字典的排列順序進行調(diào)整。密碼猜測技術(shù)的核心就是這種密碼字典的生成技術(shù)。 隨著對目標(biāo)網(wǎng)絡(luò)用戶信息搜集的深入，密碼猜測工具對字典進行的篩選越來越精細，字典序列調(diào)整的依據(jù)也就越多。從對目標(biāo)網(wǎng)絡(luò)的密碼猜測攻擊中就可以了解到目標(biāo)網(wǎng)絡(luò)對安全的重視程度。 任何的應(yīng)用程序都不可避免地存在著一些邏輯漏洞，這在 IT行業(yè)中已經(jīng)形成了共識。在這方面操作系統(tǒng)也不例外，幾乎每天都有人宣布發(fā)現(xiàn)了某個操作系統(tǒng)的安全漏洞。通過對這些安全漏洞的分析，確認漏洞的引發(fā)方式以及引發(fā)后對系統(tǒng)造成的影響，攻擊者可以使用合適的攻擊程序引發(fā)漏洞的啟動，破壞整個服務(wù)系統(tǒng)的運行過程，進而滲透到服務(wù)系統(tǒng)中，造成目標(biāo)網(wǎng)絡(luò)的損失。最近經(jīng)常提及的對微軟的 IIS服務(wù)器的攻擊，就是利用 IIS對 unicode解釋的缺陷實現(xiàn)的。最新的病毒 Nimda也是利用了 Outlook Express的安全漏洞迅速地傳播開來的。 服務(wù)流程漏洞指服務(wù)程序在運行處理過程中，由于流程次序的顛倒或?qū)σ馔鈼l件的處理的隨意性，造成用戶有可能通過特殊類型的訪問繞過安全控制部分或使服務(wù)進入到異常的運行狀態(tài)。利用這種流程錯誤，用戶可以將路徑分割符分解為unicode編碼中的兩個字符，造成服務(wù)在確認路徑的時候被誤認為屬于文件名而分析通過，在經(jīng)過unicode解釋后，系統(tǒng)根據(jù)指定的路徑達到了對系統(tǒng)非公開資源的非法訪問。 邊界條件漏洞則主要針對服務(wù)程序中存在的邊界處理不嚴謹?shù)那闆r。在邊界漏洞中，以內(nèi)存溢出錯誤最為普遍，影響也最為嚴重。 這些數(shù)據(jù)有些只是單純地造成相關(guān)服務(wù)的停止，而另一些則帶有可運行信息，通過溢出，重定向了返回指針，啟動寫入數(shù)據(jù)中的運行代碼，獲取遠程操作系統(tǒng)的超級管理員權(quán)限或是對數(shù)據(jù)進行破壞，造成服務(wù)甚至整個系統(tǒng)的崩潰。這種類型的攻擊是目前應(yīng)用最多的攻擊方式，對于網(wǎng)絡(luò)的影響也最為嚴重。隨著應(yīng)用程序的復(fù)雜性不斷提高，邊界條件類型的漏洞將會不斷出現(xiàn)，而基于這種漏洞的攻擊也會不斷增加。社會工程學(xué)主要是利用說服或欺騙的方法來獲得對信息系統(tǒng)的訪問。 社會工程學(xué) 簡單地說，社會工程學(xué)就是黑客對人類天性趨于信任傾向的聰明利用。信任是一切安全的基礎(chǔ)。這也是許多很有經(jīng)驗的安全專家所強調(diào)的。 物理上，入侵發(fā)生的物理地點可以是工作區(qū)、電話、目標(biāo)企業(yè)垃圾堆，甚至是在網(wǎng)上。大多數(shù)情況下，入侵者可以對整個工作區(qū)進行深入的觀察，直到找到一些密碼或是一些可以利用的資料之后離開。 （ 2） 最流行的社會工程學(xué)手段是通過電話進行的。一般機構(gòu)的咨詢臺容易成為這類攻擊的目標(biāo)。咨詢臺人員一般接受的訓(xùn)練都是要求他們待人友善，并能夠提供別人所需要的信息，所以這就成為了社會工程學(xué)家們的金礦。 （ 3） 翻垃圾是另一種常用的社會工程學(xué)手段。在垃圾堆中可以找出很多危害安全的信息，包括企業(yè)的電話簿、機構(gòu)表格、備忘錄等。電話簿可以向黑客提供員工的姓名、電話號碼來作為目標(biāo)和冒充的對象。備忘錄中的信息可以讓他們一點點地獲得有用信息來幫助他們扮演可信任的身份。日期安排表更是重要，黑客可以知道在某一時間有哪些員工出差不在公司。廢舊硬件，特別是硬盤，黑客可以對它進行恢復(fù)來獲取有用信息。這主要是因為許多用戶都把自己所有賬號的密碼設(shè)置為同一個。黑客常用的一種手段是通過在線表格進行社會工程學(xué)攻擊。這種表格不僅可以以在線表格的方式發(fā)送，同樣可以使用普通郵件進行發(fā)送。黑客在線獲得信息的另一種方法是冒充為該網(wǎng)絡(luò)的管理員，通過電子郵件向用戶索要密碼。此外，黑客也有可能放置彈出窗口，并讓它看起來像是整個網(wǎng)站的一部分，聲稱是用來解決某些問題的，誘使用戶重新輸入賬號與密碼。如果想做到進一步安全的話，系統(tǒng)管理員應(yīng)當(dāng)警告用戶，除非是與合法可信網(wǎng)絡(luò)工作員工進行面對面交談，否則任何時候都不能公開自己的密碼。例如，從某位有信任關(guān)系的人那里發(fā)來的電子郵件附件中可能攜帶病毒、蠕蟲或者木馬。只要存在缺乏安全防范意識的用戶，后門就可能被安裝，黑客就獲得了一個隱蔽的攻擊通道，為下一步攻擊更重要的系統(tǒng)做準(zhǔn)備?；镜恼f服手段包括扮演、討好、同情、拉關(guān)系等。 （ 1） 扮演一般來講是構(gòu)造某種類型的角色并按該角色的身份行事。角色通常是越簡單越好。但是這種方式并不是任何時候都有效。 （ 2） 還有一種比較有爭議的社會工程學(xué)手段是僅僅簡單地表現(xiàn)出友善的一面來套取信息。所以黑客只需要獲得基本的信任就可以了，稍稍恭維一下目標(biāo)就會讓目標(biāo)樂意進一步合作。黑客會扮演一個不存在的但是權(quán)利很大的人物，讓企業(yè)雇員主動地向他詢問信息。但是這需要大量的時間來準(zhǔn)備，研究以及進行一些前期的黑客工作。黑客先是對網(wǎng)絡(luò)進行暗中破壞，讓網(wǎng)絡(luò)出現(xiàn)明顯的問題，然后對網(wǎng)絡(luò)進行維修并從雇員那里獲得他真正需要的信息。 社會工程學(xué)的攻擊對象是目標(biāo)網(wǎng)絡(luò)中的工作人員和目標(biāo)網(wǎng)絡(luò)中的運行管理制度。社會工程學(xué)沒有或是很少利用目標(biāo)網(wǎng)絡(luò)中的技術(shù)漏洞，它利用人員對制度實際操作中的靈活性，對目標(biāo)網(wǎng)絡(luò)進行滲透。因此，社會工程學(xué)作為一種重要的信息搜集的方式，在黑客攻擊的踩點階段被廣泛采用。這樣的入侵對于服務(wù)器來說可能并不會造成損害，但可以造成人們對被攻擊服務(wù)器所提供服務(wù)的信任度下降，影響公司的聲譽以及用戶對網(wǎng)絡(luò)服務(wù)的使用。 惡意拒絕服務(wù)攻擊 通過普通的網(wǎng)絡(luò)連線，使用者傳送信息要求服務(wù)器予以確定，于是服務(wù)器回復(fù)用戶。 “ 拒絕服務(wù) ” 的攻擊方式就是利用了服務(wù)器在回復(fù)過程中存在的資源占用缺陷，用戶將眾多要求確認的信息傳送到服務(wù)器，使服務(wù)器里充斥著這種無用的信息。根據(jù)協(xié)議的規(guī)定，服務(wù)器相關(guān)進程會進行暫時的等候，有時超過一分鐘，之后才進行進程資源的釋放。 最基本的 DoS攻擊就是利用這種合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)器的響應(yīng)。單一的 DoS攻擊一般是采用一對一的方式，當(dāng)攻擊目標(biāo) CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等各項性能指標(biāo)不高時，效果是明顯的。這樣分布式的拒絕服務(wù)攻擊手段（ DDoS）就應(yīng)運而生了。 高速廣泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖?，也為DDoS攻擊創(chuàng)造了極為有利的條件。而現(xiàn)在電信骨干結(jié)點之間的連接都是以 G為級別的，大城市之間更可以達到 連接，這使得攻擊可以從更遠的地方或者其他城市發(fā)起，攻擊者的傀儡機位置可以分布在更大的范圍內(nèi)，選擇起來更靈活了?？芸刂坪凸粲每芊謩e用做控制和實際發(fā)起攻擊。對傀儡控制和攻擊用傀儡計算機，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的 DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被