信息安全技术 第3章(黑客攻击技术)ppt课件.ppt

第11章 黑客技术,11.1 黑客的动机11.2 黑客攻击的流程11.3 黑客技术概述11.4 针对网络的攻击11.5 本章小结习题,黑客的动机究竟是什么？在回答这个问题前，我们应对黑客的种类有所了解，原因是不同种类的黑客动机有着本质的区别。从黑客行为上划分，黑客有“善意”与“恶意”两种，即所谓白帽（White Hat）及黑帽（Black Hat）。白帽利用他们的技能做一些善事，而黑帽则利用他们的技能做一些恶事。白帽长期致力于改善计算机社会及其资源，为了改善服务质量及产品，他们不断寻找弱点及脆弱性并公布于众。与白帽的动机相反，黑帽主要从事一些破坏活动，从事的是一种犯罪行为。,11.1 黑客的动机,大量的案例分析表明黑帽具有以下主要犯罪动机。（1） 好奇心许多黑帽声称，他们只是对计算机及电话网感到好奇，希望通过探究这些网络更好地了解它们是如何工作的。（2） 个人声望通过破坏具有高价值的目标以提高在黑客社会中的可信度及知名度。（3） 智力挑战为了向自己的智力极限挑战或为了向他人炫耀，证明自己的能力；还有些甚至不过是想做个“游戏高手”或仅仅为了“玩玩”而已。,（4） 窃取情报在Internet上监视个人、企业及竞争对手的活动信息及数据文件，以达到窃取情报的目的。（5） 报复电脑罪犯感到其雇主本该提升自己、增加薪水或以其他方式承认他的工作。电脑犯罪活动成为他反击雇主的方法，也希望借此引起别人的注意。（6） 金钱有相当一部分电脑犯罪是为了赚取金钱。,（7） 政治目的任何政治因素都会反映到网络领域。主要表现有： 敌对国之间利用网络的破坏活动； 个人及组织对政府不满而产生的破坏活动。这类黑帽的动机不是钱，几乎永远都是为政治，一般采用的手法包括更改网页、植入电脑病毒等。,尽管黑客攻击系统的技能有高低之分，入侵系统手法多种多样，但他们对目标系统实施攻击的流程却大致相同。其攻击过程可归纳为以下9个步骤：踩点（Foot Printing）、扫描（scanning）、查点（enumeration）、获取访问权（Gaining Access）、权限提升（Escalating Privilege）、窃取（pilfering）、掩盖踪迹（Covering Track）、创建后门（Creating Back Doors）、拒绝服务攻击（Denial of Services）。黑客攻击流程如图11.1所示。,11.2 黑客攻击的流程,图11.1 黑客攻击流程图,“踩点”原意为策划一项盗窃活动的准备阶段。举例来说，当盗贼决定抢劫一家银行时，他们不会大摇大摆地走进去直接要钱，而是狠下一番工夫来搜集这家银行的相关信息，包括武装押运车的路线及运送时间、摄像头的位置、逃跑出口等信息。在黑客攻击领域，“踩点”是传统概念的电子化形式。“踩点”的主要目的是获取目标的如下信息：,11.2.1 踩点,（1） 因特网网络域名、网络地址分配、域名服务器、邮件交换主机、网关等关键系统的位置及软硬件信息。（2） 内联网与Internet内容类似，但主要关注内部网络的独立地址空间及名称空间。（3） 远程访问模拟/数字电话号码和VPN访问点。（4） 外联网与合作伙伴及子公司的网络的连接地址、连接类型及访问控制机制。（5） 开放资源未在前4类中列出的信息，例如 Usenet、雇员配置文件等。为达到以上目的，黑客常采用以下技术。,1.开放信息源搜索通过一些标准搜索引擎，揭示一些有价值的信息。例如，通过使用Usenet工具检索新闻组（newsgroup）工作帖子，往往能揭示许多有用东西。通过使用Google检索Web的根路径C:Inetpub,揭示出目标系统为Windows NT/2000。,2.whois查询whois是目标Internet域名注册数据库。目前，可用的whois数据库很多，例如，查询com、net、edu及org等结尾的域名可通过http:/得到，而查询美国以外的域名则应通过查询http:/得到相应whois数据库服务器的地址后完成进一步的查询。通过对whois数据库的查询，黑客能够得到以下用于发动攻击的重要信息：注册机构，得到特定的注册信息和相关的whois服务器；,机构本身，得到与特定目标相关的全部信息；域名，得到与某个域名相关的全部信息；网络，得到与某个网络或IP相关的全部信息；联系点（POC），得到与某个人（一般是管理联系人）的相关信息。例如，下面是通过http:/查询到的IBM公司的信息：Registrant:IBM Corporation (IBMDOM)Old Orchard Rd.Armonk, NY 10504US,Domain Name: IBM.COMAdministrative Contact, Technical Contact:Trio, Nicholas R(SZFHGULFPI)nrtWATSON.IBM.COMPO BOX 218YORKTOWN HTS, NY105980218US(914) 9451850 123 123 1234,Record expires on 20Mar2005.Record created on 19Mar1986.Database last updated on 8May2003 21:18:57 EDT.Domain servers in listed order:NS.WATSON.IBM.COM129.34.20.80NS.ALMADEN.IBM.COM198.4.83.35NS.AUSTIN.IBM.COM192.35.232.34NS.ERS.IBM.COM204.146.173.35,3.DNS区域传送DNS区域传送是一种DNS服务器的冗余机制。通过该机制，辅DNS服务器能够从其主DNS服务器更新自己的数据，以便主DNS服务器不可用时，辅DNS服务器能够接替主DNS服务器工作。正常情况下，DNS区域传送操作只对辅DNS服务器开放。然而，当系统管理员配置错误时，将导致任何主机均可请求主DNS服务器提供一个区域数据的拷贝，以至于目标域中所有主机信息泄露。能够实现DNS区域传送的常用工具有dig、nslookup及Windows版本的 Sam Spade（其网址为http:/www.samspade.org）。,通过踩点已获得一定信息（IP地址范围、DNS服务器地址、邮件服务器地址等），下一步需要确定目标网络范围内哪些系统是“活动”的，以及它们提供哪些服务。与盗窃案之前的踩点相比，扫描就像是辨别建筑物的位置并观察它们有哪些门窗。扫描的主要目的是使攻击者对攻击的目标系统所提供的各种服务进行评估，以便集中精力在最有希望的途径上发动攻击。扫描中采用的主要技术有Ping扫射（Ping Sweep）、TCP/UDP端口扫描、操作系统检测以及旗标（banner）的获取。,11.2.2 扫描,1.Ping扫射Ping扫射是判别主机是否“活动”的有效方式。Ping用于向目标主机发送“ICMP”回射请求（Echo Request）分组，并期待由此引发的表明目标系统“活动”的回射应答（Echo Reply）分组。常用的ping扫射工具有操作系统的Ping命令及用于扫射网段的fping、WS_ping等。,2.端口扫射端口扫描就是连接到目标机的TCP和UDP端口上，确定哪些服务正在运行及服务的版本号，以便发现相应服务程序的漏洞。著名的扫描工具有UNIX系统上运行的Netcat （http:/ utilities）及Nmap（http:/www.insecure.org/nmap），Windows系统上运行的 superscan（http:/ Tool Pro 2003（http:/）。,3.操作系统检测由于许多漏洞是和操作系统紧密相关的，因此，确定操作系统类型对于黑客攻击目标来说也十分重要。目前用于探测操作系统的技术主要可以分为两类：利用系统旗标信息和利用TCP/IP堆栈指纹。每种技术进一步细分为主动鉴别及被动鉴别。目前，常用的检测工具有Nmap、Queso(http:/www.apostols.org/projectz/queso)、Siphon(http:/)。注：为什么要识别远程主机的OS？OS识别是入侵或安全检测需要收集的重要信息，是分析漏洞和各种安全隐患的基础。只有确定了远程主机的操作系统类型，版本，才能对其安全状况做进一步评估。 2：什么能标识远程主机的OS信息？端口及其运行的服务，主机上运行的程序种类及版本信息，TCP/IP协议栈实现的差异等等，凡是能标明某个类型版本OS与其他所有不同类型版本OS不同的差别均可作为标识远程主机OS信息的手段。,4.旗标获取最后一种扫描手段是旗标获取。在旗标获取方法中，使用一个打开端口来联系和识别系统提供的服务及版本号。最常用的方法是连接到一个端口，按 Enter 键几次，看返回什么类型的信息。例如： Netat_svr# Telnet 192.168.5.33 22SSH-1.99-OpenSSH_3.1p1表明该端口提供SSH服务，版本号为3.1p1。旗标是重要而危险的信息！了解了旗标和其一般获取方法，你就知道该怎么样来利用那些已经公布出来的应用程序漏洞（现在很多是溢出或格式化字符串类的）了，,通过扫描，入侵者掌握了目标系统所使用的操作系统，下一步工作是查点。查点就是搜索特定系统上用户和用户组名、路由表、SNMP信息、共享资源、服务程序及旗标等信息。查点所采用的技术依操作系统而定。在Windows系统上主要采用的技术有“查点NetBIOS”线路、空会话（Null Session）、SNMP代理、活动目录（Active Directory）等。Windows系统上主要使用以下工具：（1） Windows系统命令net view、nbtstat、nbtscan及nltest。,11.2.3 查点,（2） 第三方软件 Netviewx(http:/www.ibt.ku.dk/jesper/NetViewX/default.htm)；Userdump(http:/,在UNIX系统上采用的技术有RPC查点、NIS查点、NFS查点及SNMP查点等。UNIX系统上常用的工具有rpcinfo、rpcdump、showmount、finger、rwho、ruser、nmap、telnet、nc及snmpwalk等。,在搜集到目标系统的足够信息后，下一步要完成的工作自然是得到目标系统的访问权进而完成对目标系统的入侵。对于Windows系统采用的主要技术有NetBIOSSMB密码猜测（包括手工及字典猜测）、窃听LM及NTLM认证散列、攻击IIS Web服务器及远程缓冲区溢出。而UNIX系统采用的主要技术有蛮力密码攻击；密码窃听；通过向某个活动的服务发送精心构造的数据，以产生攻击者所希望的结果的数据驱动式攻击(例如缓冲区溢出、输入验证、字典攻击等)；RPC攻击；NFS攻击以及针对X-Windows系统的攻击等。,11.2.4 获取访问权,著名的密码窃听工具有sniffer pro(http:/)、TCPdump、LC4(L0phtcrack version 4，http:/ the RIPper(http:/,一旦攻击者通过前面4步获得了系统上任意普通用户的访问权限后，攻击者就会试图将普通用户权限提升至超级用户权限，以便完成对系统的完全控制。这种从一个较低权限开始，通过各种攻击手段得到较高权限的过程称为权限提升。权限提升所采取的技术主要有通过得到的密码文件，利用现有工具软件，破解系统上其他用户名及口令；利用不同操作系统及服务的漏洞（例如Windows 2000 NetDDE漏洞），利用管理员不正确的系统配置等。,11.2.5 权限提升,常用的口令破解工具有John The RIPper、 John The RIPper，得到Windows NT管理员权限的工具有lc_message、getadmin、sechole、Invisible Keystroke Logger（http:/,一旦攻击者得到了系统的完全控制权，接下来将完成的工作是窃取，即进行一些敏感数据的篡改、添加、删除及复制（例如Windows系统的注册表、UNIX系统的rhost文件等）。通过对敏感数据的分析，为进一步攻击应用系统做准备。,11.2.6 窃取,黑客并非踏雪无痕，一旦黑客入侵系统，必然留下痕迹。此时，黑客需要做的首要工作就是清除所有入侵痕迹，避免自己被检测出来，以便能够随时返回被入侵系统继续干坏事或作为入侵其他系统的中继跳板。掩盖踪迹的主要工作有禁止系统审计、清空事件日志、隐藏作案工具及使用人们称为rootkit的工具组替换那些常用的操作系统命令。常用的清除日志工具有zap、wzap、wted。,11.2.7 掩盖跟踪,黑客的最后一招便是在受害系统上创建一些后门及陷阱，以便入侵者一时兴起时，卷土重来，并能以特权用户的身份控制整个系统。创建后门的主要方法有创建具有特权用户权限的虚假用户账号、安装批处理、安装远程控制工具、使用木马程序替换系统程序、安装监控机制及感染启动文件等。,11.2.8 创建后门,黑客常用的工具有rootkit、sub7(http:/)、cron、at、UNIX的rc、Windows启动文件夹、Netcat(http:/ Keystroke Logger、remove.exe等。,如果黑客未能成功地完成第四步的获取访问权，那么他们所能采取的最恶毒的手段便是进行拒绝服务攻击。即使用精心准备好的漏洞代码攻击系统使目标服务器资源耗尽或资源过载，以致于没有能力再向外提供服务。攻击所采用的技术主要是利用协议漏洞及不同系统实现的漏洞。,11.2.9 拒绝服务攻击,3.7 黑客攻击的思路,假设某黑客想人侵某企业网络中心一台Win2000的Web服务器，入侵的目标为拿到”Win2000的管理员账户或者修改网站首页。他可能的攻击思路流程大致如右图所示。,3.7.1 信息收集,信息收集通常有以下一些方法： （1）从一些社会信息入手； （2）找到网络地址范围； （3）找到关键的机器地址； （4）找到开放端口和入口点； （5）找到系统的制造商和版本； 信息收集又分为社会工程和技术手段收集。,社会工程学,（）通过一些公开的信息，如办公室电话号码、管理员生日、姓氏姓名、家庭电话，来尝试弱口令，通过搜索引擎来了解目标网络结构、关于主机更详细的信息，虽然几率很小，至今仍会有管理员犯一些经典的错误，例如某高能所将自己网络改进方案放之网上，详细到每台设备的地址配置，为攻击者留下可乘之机。,（2）如果以上尝试失败，可能会通过各种途径获得管理员及内部人员的信任，例如网络聊天，然后发送加壳木马软件或者键盘记录工具。如一段时间熟悉之后，他可能会利用MS04-028漏洞利用工具将自己的照片帮定一个木马，然后将之将之传到网上，同时附一个http:/ （3）如果管理员已经给系统打了补丁，MS04-028漏洞无法利用。攻击者可能通过协助其解决技术问题,帮助其测试软件、交朋友等名义，能够直接有机会进入网络机房。进入机房利用查看服务器机会，可以开设一隐藏账户（新开一账户或者激活Guest账户都容易被发觉，如何建一隐藏账户见相关资料）。,如果时间足够，直接登陆机器或通过网上邻居破解服务器Sam库得到管理员账户和密码也是不错的选择，下载Sam库破解工具LC4（或者LC5），直接破解管理员当前账户。如果10位以下纯数字密码，LC4有能力在1小时内破解完成。,（LC4破解本地SAM库界面）,（4）也可能通过查找最新的漏洞库去反查具有漏洞的主机，再实施攻击。 技术手段收集 攻击者通过Windows自带命令也可以收集很多对攻击有利的信息。如 DNSnslookup，PingTraceroute，Whois等。,3.7.2 端口扫描,通过前一节基本的信息收集，黑客可能已经获得攻击对象的IP地址、网络结构、操作系统系统等信息，接着可以针对性地进行漏洞扫描。 常用扫描软件 扫描软件有 SSS（Shadow Security Scanner），Nmap、Xsan、Superscan，以及国产流光等，SSS是俄罗斯的一套非常专业的安全漏洞扫描软件，能够扫描目标服务器上的各种漏洞，包括很多漏洞扫描、端口扫描、操作系统检测、账号扫描等等，而且漏洞数据可以随时更新。,扫描远程主机 开放端口扫描：通过开放哪些端口判断主机开放哪些服务。 操作系统识别：SSS本身就提供了强大的操作系统识别能力，也可以使用其他工具进行主机操作系统检测。 主机漏洞分析：SSS可对远程主机进行漏洞检测分析，这更方便了黑客了解远程主机的状态，选择合适的攻击入口点，进行远程入侵。,3.7.3 漏洞利用,由于SSS本身只是一个漏洞扫描软件，针对漏洞本身不带有任何利用或者攻击功能。攻击者对于已知漏洞知道如何实施渗透的，可以直接渗透。对于不熟悉的漏洞，则必须找出相应的漏洞利用工具或者利用方法。 攻击者通过 Google，Baidu或者一些黑客网站的漏洞引擎去搜索“漏洞关键字符”“利用”或“攻击”去寻找相关入侵技术文档或者工具，另外通过己知的漏洞的一些操作系统、服务、应用程序的特征关键字，去搜索更多的目标机器。,3.7.4 攻击阶段,在扫描过漏洞之后，进入攻击阶段，根据扫描结果采用的攻击方法也不一样，举例如下： （1）如攻击者通过扫描得到系统存在IDQ漏洞，那么攻击者通过搜索“IDQ溢出下载”，就能搜索到IDQ over这样的工具。具体过程见3.2节的“idaidq缓冲区溢出漏洞”攻击实现，通过溢出得到 Shell，然后通过 Net use增加管理员账户。 （2）如果没有溢出漏洞，可以继续查看相关服务漏洞。如 IIS的 Unicode，可能安装 ServerU等其他可利用漏洞。如果扫描结果和个人经验判断显示无任何己知漏洞。可以考虑暴力破解管理员账户（如果对方未作账户锁定或者设置安全策略），对Administrator口令实施强行破解。,如果目标主机是一台个人主机，绝大部分情况下均使用Administrator帐号进行登陆，且个人防范意识较差的话，选择的密码一般都较简单，如“主机名”、“11111”、“12345”等简单密码（方便自己的快速登陆）。所以考虑利用NetBIOS会话服务（TCP 139）进行远程密码猜测。 这里攻击者使用NAT（NetBIOS Auditing Tool）进行强行破解：构造一个可能的用户账户表，以及简单的密码字典，然后用NAT进行破解。 NAT穷举破解管理员账户界面参见下页图示：,（NAT穷举破解管理员账户界面）,（3）如果系统本身没有任何己知漏洞，攻击者考虑从服务的应用开始人手攻击。尤其Web应用漏洞更是频多，大致攻击步骤如下（排序不一定代表攻击顺序先后）： 首先判断所使用的系统来源，如论坛的版本号、新闻系统来源，主要通过版权信息，html源文件（非程序源代码）的Meta信息，系统注释说明特征字。 通过已知系统特征信息去搜索系统源代码，下载分析，包括管理后台，上传后台，数据库名称路径等。尝试站外提交、下载数据库等。,如果没有找到特征信息，用专门搜索工具(如 NBSI）搜索管理后台登陆页。管理后台上通常有版权信息。如果没有，尝试在用户名里输入“or1=1-”一类的注入语句。有时候即使不能绕过后台，也能返回数据库地址等信息。 以上尝试都没有成功，可以尝试爆库（http:/xxxxxx.xxxx/inc/conn.asp，如果出错信息中可以显示出数据库的路径，就存在这个漏洞见下图）或者使用工具注入（如 Domain3.5）。,（爆库成功结果）,如果上述任何尝试都无功而返，可以考虑此站任何可以进行交互地方如图像上传、更改图像、个性签名等处，进行抓包，分析提交数据，找出上传漏洞或者XSS漏洞进行利用。 一切攻击尝试都无功而返，说明管理员防范技术很好或者攻击者的技能不够，攻击者不可能入侵每一台机器，但可能会试图通过一些拒绝式服务攻击去阻止目标系统的正常运行。,3.7.5 后攻击阶段,如获得管理员账户或者Webshell，黑客可能会按以下流程进行后攻击操作： （1）添加隐藏的管理员账户。 （2）拷贝后门到目标机器。 （3）启动后门。 （4）修补常见漏洞，避免更多黑客进入系统。 （5）将此服务器作为代理服务器或者进一步入侵与此机有信任关系的网络。 （6）安装一些监控木马（记录银行账户，QQ密码），或者在 Web服务器 index里加入隐藏木马，达到其他目的（安装工具条，发起DDoS，投放AD）。,（7）删除登陆以及操作日志(WinDirSystem32LogFiles）。 利用溢出攻击，可以直接获得管理员账户，如果通过Web攻击，也可以通过一些Webshell工具以及SQL注入得到或增加管理员账户。为了今后更好控制主机，例如监控主机键盘记录或者屏幕，或是拷贝Sam库回来破解其他管理员账户密码工具，或通过远程控制工具的控制目标服务器等（例如安装远程控制服务RAMDIN），我们可以在对方的服务器上安装一个后门程序。具体步骤如下（假设后门为NC（Netcat）： 利用刚刚获取的 Administrator口令，通过 Net use映射对方驱动器映射为本机 X盘，语句为： C:net use X:对方 IPC“管理员密码”/USER:“管理员账户名”,然后将netcat主程序nc.exe复制到目标主机的系统目录下（便于隐藏），可将程序名称改为容易迷惑对方的名字，如rundll32.exe、ddedll32.exe等。 木马拷贝到对方机器，并将其安装执行。利用 at计划任务命令远程启动 NetCat，供远程连接使用。另外，再添加每日运行计划以便日后使用。如果对方停止计划任务，可用Microsoft的Netsvc强制启动。 at命令语句为:C:at服务 IP 16:24 C:Nc.exeinstall netsvc语句为:C: netsvc schedule 对方服务器 IP /start,如果攻击者对开启的服务的名称（cmd下net start可以看到当前启动的服务）不满意，怀疑被管理员发现，还可以将安装的服务名称改成系统服务名，如 Fax服务，这样隐藏得更加彻底: 首先，将系统的fax服务给删除: C:sc 对方 IP delete fax 然后再将NC服务改名: C:sc 对方 IP config NC displaynameFax,对于web应用攻击，黑客还可在对方的Index或者Default页面中加人0大小窗口的隐藏的iframe，去加载任何一个恶意的网页，如木马、Cookie收集网页等。也有可能上传一些Webshell具，准备随时管理被入侵的网站。 对于另外一些黑客，可能会考虑删除日志（IIS 默认的日志在:WinDirSystem32LogFiles下，删除全部文件）；一些黑客会考虑修补服务器漏洞，如删除弱口令、遍历漏洞等，防止服务器被再次攻击，但会给自己留下后门长期占用。另外一些黑客会去告诉管理员漏洞之所在，或者直接在其机器上留下痕迹，如在首页上署名（你们网站有漏洞，通常为脚本青年所为）。,3.8 黑客攻击防范,Windows NT（New Technology)是微软公司第一个真正意义上的网络操作系统，发展经过Windows NT3.0/NT4.0/NT5.0（Windows 2000）和 NT6.0（Windows 2003）等众多版本，并逐步占据了广大中小网络操作系统的市场。下面主要介绍一些基本的Windows安全措施： 物理安全、停止Guest帐号、限制用户数量。 创建多个管理员帐号、管理员帐号改名。 陷阶帐号、更改默认权限、设置安全密码。 屏幕保护密码、使用NTFS分区。 运行防毒软件和确保备份盘安全。 关闭不必要的端口、开启审核策略。,操作系统安全策略、关闭不必要的服务。 开启密码策略、开启账户策略、备份敏感文件。 不显示上次登录名、禁止建立空连接和下载最新的补丁。 上述9条安全措施，可以对照关键字通过搜索引擎来了解如何配置。还可以考虑以下的一些高级安全措施： 关闭DirectDraw、关闭默认共享。 禁用 Dump File、文件加密系统。 加密Temp文件夹、锁住注册表、关机时清除文件。 禁止软盘光盘启动、使用智能卡、使用IPSec。 禁止判断主机类型、抵抗DDOS。 禁止Guest访问日志和数据恢复软件。,除此之外，还需考虑： 保证服务器所提供的服务安全，对服务器的TCP进行端口过滤。 使用防护产品防病毒、防火墙、入侵检测，并保证所有的策略库及时更新，并尽量考虑使用网络版防毒产品和专业服务器防毒产品。 对Web服务器做网络负载平衡，对公网对内网通信使用VPN，大的内部网络进行Vlan划分。 使用加密技术，如 PGP加密邮件，使用 PKI-公钥相关软件及服务，多因素认证、动态口令卡等。,使用Outlook或者Foxmail接收邮件,选择纯文本格式阅读邮件。 使用Windows传统风格文件夹，显示所有的文件和后缀名。 保证Web安全。 a.对网络上下载的免费代码需要反复检测。 b.对数据库要进行改名，设置强壮的管理员密码和修改复杂的数据库表名。 C.删除管理系统的特征字符（如动力文章的“Powered by：MyPower Ver3.51”），如有可能更改特征的文件名，如显示文章的Article_Show.asp，可改成其他没有特征的文件名如“xxssh.asp”（需要注意跟此页面关联的页面连接也得更改成新的文件名）。 d.使用文件比对软件如 Beyond Compare查看 Web目录有程序文件与上传备份文件对比，判断有无被入侵者更改。,文件比较,59,Windows漏洞的安全扫描工具,工具一：MBSAMBSA（Microsoft Baseline Security Analyzer，微软基准安全分析器），该软件能对Windows、Office、IIS、SQL Server等软件进行安全和更新扫描（见下图），扫描完成后会用“X”将存在的漏洞标示出来，并提供相应的解决方法来指导用户进行修补。 工具二：UpdatescanUPDATESCAN是微软公司针对每月发布的补丁所开发的补丁扫描工具，不同于MBSA的是，每月UPDATESCAN都会 有新的版本。,网络是多种信息技术的集合体，它的运行依靠相关的大量技术标准和协议。作为网络的入侵者，黑客的工作主要是通过对技术和实际实现中的逻辑漏洞进行挖掘，通过系统允许的操作对没有权限操作的信息资源进行访问和处理。目前，黑客对网络的攻击主要是通过网络中存在的拓扑漏洞以及对外提供服务的实现漏洞实现成功的渗透。,11.3 黑客技术概述,除了使用这些技术上的漏洞，黑客还可以充分利用人为运行管理中存在的问题对目标网络实施入侵。通过欺骗、信息搜集等社会工程学的方法，黑客可以从网络运行管理的薄弱环节入手，通过对人本身的习惯的把握，迅速地完成对网络用户身份的窃取并进而完成对整个网络的攻击。可以看出，黑客的技术范围很广，涉及网络协议解析、源码安全性分析、密码强度分析和社会工程学等多个不同的学科。入侵一个目标系统，在早期需要黑客具有过硬的协议分析基础、深厚的数学功底。但由于网络的共享能力以及自动攻击脚本的成熟与广泛的散播，现在黑客的行为愈演愈烈，而对黑客的技术要求也在不断地降低。,目前，在实施网络攻击中，黑客所使用的入侵技术主要包括以下几种：协议漏洞渗透；密码分析还原；应用漏洞分析与渗透；社会工程学；拒绝服务攻击；病毒或后门攻击。,网络中包含着种类繁多但层次清晰的网络协议规范。这些协议规范是网络运行的基本准则，也是构建在其上的各种应用和服务的运行基础。但对于底层的网络协议来说，对于安全的考虑有着先天的不足，部分网络协议具有严重的安全漏洞。通过对网络标准协议的分析，黑客可以从中总结出针对协议的攻击过程，利用协议的漏洞实现对目标网络的攻击。,11.3.1 协议漏洞渗透,随着网络的不断发展，网络安全越来越得到管理者的重视，大量陈旧的网络协议被新的更安全的网络协议所代替。作为现代网络的核心协议，TCP/IP协议正在不断地得到安全的修补，即在不破坏正常协议流程的情况下，修改影响网络安全的部分。当然，由于先天的不足，一些协议上的漏洞是无法通过修改协议弥补的。通过应用这些固有的协议漏洞，黑客开发出了针对特定网络协议环境下的网络攻击技术，这些技术以会话侦听与劫持技术和地址欺骗技术应用较多。,1.会话侦听与劫持技术传统的以太网络使用共享的方式完成对数据分组的传送。这在目前尤其在一些已经有一定历史的网络中是主要的分组发送方式。在这种方式下，发往目的结点的分组数据实际上被发送给了所在网段的每一个结点。目的结点接收这些分组，并与其他结点共享传送带宽。虽然从带宽的利用率上，这样做的实现利用率并不高，但由于实际的实现较为简单，同时造价较低，因此在网络中得到了广泛的应用。正是根据共享式的网络环境的数据共享特性，黑客技术中出现了会话窃听与劫持技术。,只要可以作为目标网络环境的一个结点，就可以接收到目标网络中流动的所有数据信息。这种接收的设置非常简单，对于普通的计算机，只要将网卡设为混杂模式就可以达到接收处理所有网络数据的目的。利用会话窃听技术，入侵者可以通过重组数据包将网络内容还原，轻松地获得明文信息。例如，当前的网站登录中，在密码传输方面使用的方式几乎都是明文传送。因此，这类密码也就相当容易获得。由于人的因素，每个人使用的用户名和密码都只限于几个。通过获取明文密码信息，入侵者不但可以轻易地以被监听者的身份进入到各个网站，还可以通过搜集的用户密码表进入被监听人的计算机进行破坏。,会话窃听技术是网络信息搜集的一种重要方式，而利用TCP协议的漏洞，黑客更可以对所窥探的TCP连接进行临时的劫持，以会话一方用户的身份继续进行会话。会话劫持的根源在于TCP协议中对分组的处理。,2.地址欺骗技术在传统的网络中，存在着大量的简单认证方式，这些方式的基本原则就是以主机的IP地址作为认证的基础，即所谓的主机信任。通过设定主机信任关系，用户对网络的访问和管理行为变得简单，很大程度上提高了网络的易用性。,这样的认证行为基于以下网络协议原则，即在网络中，所有的计算机都是通过如IP这样的地址进行辨认，每一个主机具有固定的并且是惟一（这里的惟一相对于所在网络而言）的地址。通过确认IP就可以确认目标主机的身份。但就像现实中有假的身份证一样，网络的地址也可以被假冒，这就是所谓IP地址的欺骗。由于网络的基础协议在安全性上的漏洞，这种假冒远较现实中的假冒方便简单。通过对地址的假冒，入侵者可以获得所仿冒地址计算机的所有特权，也就容易攻入到其他给被仿冒计算机提供信任连接的计算机上，造成机密泄漏。如果防火墙配置不当，这种攻击甚至可以绕过防火墙，破坏防火墙内的计算机。,为了保证数据的安全性，现在通常的方法是对数据进行加密，防止可疑的截取行为造成的信息泄漏。对于数据的加密通常需要一个密钥，数据与密钥通过加密算法自动机进行合成，生成密文。对于不知道密钥的攻击者来说，截获的密文难以理解。而对于非对称加密算法，即使攻击者知道密钥，也无法从密文中还原出明文信息。这样就可以保证网络通信信息的安全性。同样，对于认证用的密码信息，一般也是使用强度较高的加密算法进行加密，以密文的形式存储在系统中。这些密文使用加密算法的强度一般较高，黑客即使获得密文存储文件，也难以从这些密文中分析出正确的密码。,11.3.2 密码分析还原,密码学等加密技术向人们做出保证，密码的攻破理论上是不可行的，如果采用蛮力攻击的话，所用的时间将长到足够保证安全的程度。但现实中，密码的破解却并不如理论中所保证的那样困难。随着计算机运算速度的指数级提高，相同的运算量所使用的时间明显地缩短。同时，对加密算法的强度分析以及社会工程学的密码筛选技术的不断发展，现实网络中的大量密码可以在可接受的时间内被分析还原。密码分析与还原技术不使用系统和网络本身的漏洞，虽然涉及对密码算法的强度分析，但它主要利用的是人的惰性以及系统的错误配置。应用这类技术手段攻击通常是可以通过人工手段避免的，只要严格要求网络所在用户的密码强度，还是可以避免大部分的攻击，但由于这涉及人员管理，代价也非常大。,目前网络中使用的加密算法，从加密的种类上来分，主要包括对称加密和非对称加密两种基本的类别。根据分析的出发点不同，密码分析还原技术主要分为密码还原技术和密码猜测技术。对于网络上通用的标准加密算法来说，攻击这类具有很高强度加密算法的手段通常是使用后一种技术。在进行攻击的时候，密码分析还原所针对的对象主要是通过其他侦听手段获取到的认证数据信息，包括系统存储认证信息的文件或利用连接侦听手段获取的用户登录的通信信息数据。,1.密码还原技术密码还原技术主要针对的是强度较低的加密算法。通过对加密过程的分析，从加密算法中找出算法的薄弱环节，从加密样本中直接分析出相关的密钥和明文。对于非对称算法，可以通过对密文的反推将明文的可能范围限定在有限的范围内，达到还原密文的结果。这种方法需要对密码算法有深入的研究，同时，相关算法的密码还原过程的出现，也就注定了相应加密算法寿命的终结。,对于目前网络上通行的标准加密算法来说，从理论和实践中还没出现对应的密码还原过程，因此密码还原技术的使用并不多。但对于没有公开加密算法的操作系统来说，由于算法的强度不够，在过程被了解后，黑客就会根据分析中获得的算法漏洞完成密码还原的算法。现在，对于Windows操作系统来说，用户认证的加密算法就已经被分析攻破，用户只要使用密码破解程序就可以完成对系统上所有密码的破解，获取系统上所有用户的访问权限。,2.密码猜测技术密码还原技术需要目标系统使用强度不高的、有一定安全漏洞的加密算法，而对于一般的成熟加密算法，密码攻击主要使用的是密码猜测技术。密码猜测技术的原理主要是利用穷举的方法猜测可能的明文密码，将猜测的明文经过加密后与实际的密文进行比较，如果所猜测的密文与实际的密文相符，则表明密码攻击成功，攻击者可以利用这个密码获得相应用户的权限。往往这样猜测出来的密码与实际的密码相一致。,密码猜测技术的核心在于如何根据已知的信息调整密码猜测的过程，在尽可能短的时间内破解密码。从理论上讲，密码猜测的破解过程需要一段很长的时间，而实际上，应用密码猜测技术实现对系统的攻击是目前最为有效的攻击方式。这种方法比想像的更加有效的原因是许多人在选择密码时，技巧性都不是很好，密码复杂性不高。简单的密码非常容易猜到，例如，很多人使用用户名加上一些有意义的数字（生日或是连续数字序列等）作为自己的密码，甚至有些人的密码与用户名相同，一些密码长度只有几个甚至一个字符。这类密码容易记忆，但也方便了入侵者。,密码猜测技术就是利用人们的这种密码设置习惯，针对所搜集到的信息，对有意义的单词和用户名与生日形式的数列代码或简单数字序列进行排列组合，形成密码字典，同时根据所搜集到的用户信息，对字典的排列顺序进行调整。以这个生成的字典作为基础，模拟登录的方式，逐一进行匹配操作，密码猜测工具可以利用这种方式破解大量的系统。密码猜测技术的核心就是这种密码字典的生成技术。上述的生成方式是密码字典的基本生成原则。,随着对目标网络用户信息搜集的深入，密码猜测工具对字典进行的筛选越来越精细，字典序列调整的依据也就越多。对于攻击用的密码猜测技术，其主要目的就是为了获取对目标网络的访问权限，它是黑客入侵过程中介于信息搜集和攻击之间的攻击过程。从对目标网络的密码猜测攻击中就可以了解到目标网络对安全的重视程度。在以往黑客攻击的事件中，有大量目标网络由于不重视安全管理，用户的密码强度不够，黑客可以在几分钟甚至几秒钟的时间内破解大量一般用户甚至是管理员账户的密码。,任何的应用程序都不可避免地存在着一些逻辑漏洞，这在IT行业中已经形成了共识。这一点，对于安全隐患也同样适用。在这方面操作系统也不例外，几乎每天都有人宣布发现了某个操作系统的安全漏洞。而这些安全漏洞也就成为了入侵者的攻击对象。通过对这些安全漏洞的分析，确认漏洞的引发方式以及引发后对系统造成的影响，攻击者可以使用合适的攻击程序引发漏洞的启动，破坏整个服务系统的运行过程，进而渗透到服务系统中，造成目标网络的