遠(yuǎn)程控制與黑客入侵課件

1、遠(yuǎn)程控制與黑客入侵 第第11章遠(yuǎn)程控制與黑客入侵章遠(yuǎn)程控制與黑客入侵n11.1 遠(yuǎn)程控制遠(yuǎn)程控制 n11.2 黑客入侵黑客入侵 n11.3 黑客攻擊與防范黑客攻擊與防范 n11.4 ARP欺騙欺騙 遠(yuǎn)程控制與黑客入侵11.1 遠(yuǎn)程控制遠(yuǎn)程控制n11.1.1 遠(yuǎn)程控制概述遠(yuǎn)程控制概述n遠(yuǎn)程控制是在網(wǎng)絡(luò)上由一臺計算機(jī)（主控端遠(yuǎn)程控制是在網(wǎng)絡(luò)上由一臺計算機(jī)（主控端Remote/客戶端）遠(yuǎn)距離去控制另一臺計算機(jī)客戶端）遠(yuǎn)距離去控制另一臺計算機(jī)（被控端（被控端Host/服務(wù)器端）的技術(shù)，服務(wù)器端）的技術(shù)，這里的遠(yuǎn)程這里的遠(yuǎn)程不是字面意思的遠(yuǎn)距離，一般指通過網(wǎng)絡(luò)控制遠(yuǎn)不是字面意思的遠(yuǎn)距離，一般指通過網(wǎng)絡(luò)控

2、制遠(yuǎn)端計算機(jī)，大多數(shù)時候人們所說的遠(yuǎn)程控制往往端計算機(jī)，大多數(shù)時候人們所說的遠(yuǎn)程控制往往指在局域網(wǎng)中的遠(yuǎn)程控制而言。當(dāng)操作者使用主指在局域網(wǎng)中的遠(yuǎn)程控制而言。當(dāng)操作者使用主控端計算機(jī)控制被控端計算機(jī)時，就如同坐在被控端計算機(jī)控制被控端計算機(jī)時，就如同坐在被控端計算機(jī)的屏幕前一樣，可以啟動被控端計算控端計算機(jī)的屏幕前一樣，可以啟動被控端計算機(jī)的應(yīng)用程序，可以使用被控端計算機(jī)的文件資機(jī)的應(yīng)用程序，可以使用被控端計算機(jī)的文件資料，甚至可以利用被控端電腦的外部打印設(shè)備料，甚至可以利用被控端電腦的外部打印設(shè)備（打印機(jī)）和通信設(shè)備（調(diào)制解調(diào)器或者專線等）（打印機(jī)）和通信設(shè)備（調(diào)制解調(diào)器或者專線等）來進(jìn)行打

3、印和訪問互聯(lián)網(wǎng)，來進(jìn)行打印和訪問互聯(lián)網(wǎng)，遠(yuǎn)程控制與黑客入侵11.1.2 遠(yuǎn)程控制軟件的原理遠(yuǎn)程控制軟件的原理n遠(yuǎn)程控制軟件一般分兩個部分遠(yuǎn)程控制軟件一般分兩個部分:一部分是客戶端程一部分是客戶端程序序Client，另一部分是服務(wù)器端程序，另一部分是服務(wù)器端程序Server(或或Systry)，在使用前需要將客戶端程序安裝到主控，在使用前需要將客戶端程序安裝到主控端計算機(jī)上，將服務(wù)器端程序安裝到被控端計算端計算機(jī)上，將服務(wù)器端程序安裝到被控端計算機(jī)上。機(jī)上。它的控制的過程一般是先在主控端計算機(jī)它的控制的過程一般是先在主控端計算機(jī)上執(zhí)行客戶端程序，像一個普通的客戶一樣向被上執(zhí)行客戶端程序，像一個普

4、通的客戶一樣向被控端計算機(jī)中的服務(wù)器端程序發(fā)出信號，建立一控端計算機(jī)中的服務(wù)器端程序發(fā)出信號，建立一個特殊的遠(yuǎn)程服務(wù)，然后通過這個遠(yuǎn)程服務(wù)，使個特殊的遠(yuǎn)程服務(wù)，然后通過這個遠(yuǎn)程服務(wù)，使用各種遠(yuǎn)程控制功能發(fā)送遠(yuǎn)程控制命令，控制被用各種遠(yuǎn)程控制功能發(fā)送遠(yuǎn)程控制命令，控制被控端計算機(jī)中的各種應(yīng)用程序運行，稱這種遠(yuǎn)程控端計算機(jī)中的各種應(yīng)用程序運行，稱這種遠(yuǎn)程控制方式為基于遠(yuǎn)程服務(wù)的遠(yuǎn)程控制?？刂品绞綖榛谶h(yuǎn)程服務(wù)的遠(yuǎn)程控制。n通過遠(yuǎn)程控制軟件，可以進(jìn)行很多方面的遠(yuǎn)程控通過遠(yuǎn)程控制軟件，可以進(jìn)行很多方面的遠(yuǎn)程控制，包括獲取目標(biāo)計算機(jī)屏幕圖像、窗口及進(jìn)程制，包括獲取目標(biāo)計算機(jī)屏幕圖像、窗口及進(jìn)程列表；記錄

5、并提取遠(yuǎn)端鍵盤事件列表；記錄并提取遠(yuǎn)端鍵盤事件(擊鍵序列，即監(jiān)擊鍵序列，即監(jiān)視遠(yuǎn)端鍵盤輸入的內(nèi)容視遠(yuǎn)端鍵盤輸入的內(nèi)容) 等。等。遠(yuǎn)程控制與黑客入侵11.1.3 遠(yuǎn)程控制技術(shù)的應(yīng)用范疇n1、遠(yuǎn)程辦公、遠(yuǎn)程辦公n這種遠(yuǎn)程的辦公方式不僅大大緩解了城市交通狀況，這種遠(yuǎn)程的辦公方式不僅大大緩解了城市交通狀況，減少了環(huán)境污染，還免去了人們上下班路上奔波的減少了環(huán)境污染，還免去了人們上下班路上奔波的辛勞，更可以提高企業(yè)員工的工作效率和工作興趣。辛勞，更可以提高企業(yè)員工的工作效率和工作興趣。n2、遠(yuǎn)程技術(shù)支持、遠(yuǎn)程技術(shù)支持n通常，遠(yuǎn)距離的技術(shù)支持必須依賴技術(shù)人員和用戶通常，遠(yuǎn)距離的技術(shù)支持必須依賴技術(shù)人員和用

6、戶之間的電話交流來進(jìn)行，這種交流既耗時又容易出之間的電話交流來進(jìn)行，這種交流既耗時又容易出錯。許多用戶對計算機(jī)知道得很少，然而當(dāng)遇到問錯。許多用戶對計算機(jī)知道得很少，然而當(dāng)遇到問題時，人們必須向無法看到計算機(jī)屏幕的技術(shù)人員題時，人們必須向無法看到計算機(jī)屏幕的技術(shù)人員描述問題的癥狀，并且嚴(yán)格遵守技術(shù)人員的指示精描述問題的癥狀，并且嚴(yán)格遵守技術(shù)人員的指示精確地描述屏幕上的內(nèi)容，但是由于用戶計算機(jī)專業(yè)確地描述屏幕上的內(nèi)容，但是由于用戶計算機(jī)專業(yè)知識非常少，描述往往不得要領(lǐng)，說不到點子上，知識非常少，描述往往不得要領(lǐng)，說不到點子上，這就給技術(shù)人員判斷故障制造了非常大的障礙。這就給技術(shù)人員判斷故障制造了

7、非常大的障礙。遠(yuǎn)程控制與黑客入侵n3、遠(yuǎn)程交流、遠(yuǎn)程交流n利用遠(yuǎn)程技術(shù)，商業(yè)公司可以實現(xiàn)與用戶的利用遠(yuǎn)程技術(shù)，商業(yè)公司可以實現(xiàn)與用戶的遠(yuǎn)程交流，采用交互式的教學(xué)模式，通過實遠(yuǎn)程交流，采用交互式的教學(xué)模式，通過實際操作來培訓(xùn)用戶，使用戶從技術(shù)支持專業(yè)際操作來培訓(xùn)用戶，使用戶從技術(shù)支持專業(yè)人員那里學(xué)習(xí)案例知識變得十分容易。而教人員那里學(xué)習(xí)案例知識變得十分容易。而教師和學(xué)生之間也可以利用這種遠(yuǎn)程控制技術(shù)師和學(xué)生之間也可以利用這種遠(yuǎn)程控制技術(shù)實現(xiàn)教學(xué)問題的交流，學(xué)生可以不用見到老實現(xiàn)教學(xué)問題的交流，學(xué)生可以不用見到老師，就得到老師手把手的輔導(dǎo)和講授。師，就得到老師手把手的輔導(dǎo)和講授。n4、遠(yuǎn)程維護(hù)和管

8、理、遠(yuǎn)程維護(hù)和管理n網(wǎng)絡(luò)管理員或者普通用戶可以通過遠(yuǎn)程控制網(wǎng)絡(luò)管理員或者普通用戶可以通過遠(yuǎn)程控制技術(shù)為遠(yuǎn)端的計算機(jī)安裝和配置軟件、下載技術(shù)為遠(yuǎn)端的計算機(jī)安裝和配置軟件、下載并安裝軟件修補程序、配置應(yīng)用程序和進(jìn)行并安裝軟件修補程序、配置應(yīng)用程序和進(jìn)行系統(tǒng)軟件設(shè)置。系統(tǒng)軟件設(shè)置。遠(yuǎn)程控制與黑客入侵11.1.4 Windows XP遠(yuǎn)程控制的實現(xiàn) nWindows XP“遠(yuǎn)程桌面遠(yuǎn)程桌面”的應(yīng)用的應(yīng)用nWindows XP系統(tǒng)系統(tǒng)“遠(yuǎn)程協(xié)助遠(yuǎn)程協(xié)助”的應(yīng)用的應(yīng)用遠(yuǎn)程控制與黑客入侵11.2 黑客入侵黑客入侵1 什么是黑客？什么是黑客？ 黑客也稱黑客也稱“駭客駭客”(hacker)，該詞的原意是，該詞的

9、原意是極富褒義的，它源于英語動詞極富褒義的，它源于英語動詞“劈劈”(hack)，因，因而早期的而早期的“黑客黑客”(hacker)可以用來稱呼手藝精可以用來稱呼手藝精湛的木匠。湛的木匠。 在在20世紀(jì)的世紀(jì)的60至至70年代之間，年代之間，“黑客黑客”(hacker)也曾經(jīng)專用來形容那些有獨立思考那里的電腦也曾經(jīng)專用來形容那些有獨立思考那里的電腦“迷迷”，如果他們在軟件設(shè)計上干了一件非常漂，如果他們在軟件設(shè)計上干了一件非常漂亮的工作，或者解決了一個程序難題，同事們經(jīng)亮的工作，或者解決了一個程序難題，同事們經(jīng)常高呼常高呼“hacker”。 于是于是“黑客黑客”(hacker)就被定義為就被定義為

10、“技術(shù)嫻熟技術(shù)嫻熟的具有編制操作系統(tǒng)的具有編制操作系統(tǒng)OS級軟件水平的人級軟件水平的人”。 遠(yuǎn)程控制與黑客入侵 許多處于許多處于Unix時代早期的時代早期的“黑客黑客”(hacker)都云都云集在麻省理工學(xué)院和斯坦福大學(xué)，正是這樣一群人建集在麻省理工學(xué)院和斯坦福大學(xué)，正是這樣一群人建成了今天的成了今天的“硅谷硅谷”。后來某些具有后來某些具有“黑客黑客”水平的人物利用通訊軟件或者水平的人物利用通訊軟件或者通過網(wǎng)絡(luò)非法進(jìn)入他人系統(tǒng)，截獲或篡改電腦數(shù)據(jù)，通過網(wǎng)絡(luò)非法進(jìn)入他人系統(tǒng)，截獲或篡改電腦數(shù)據(jù)，危害信息安全。危害信息安全。 于是于是“黑客黑客”開始有了開始有了“電腦入侵者電腦入侵者”或或“電腦電

11、腦搗亂分子搗亂分子”的惡名。的惡名。 遠(yuǎn)程控制與黑客入侵11.2 .1 網(wǎng)絡(luò)入侵的基本過程網(wǎng)絡(luò)入侵的基本過程n現(xiàn)在黑客入侵網(wǎng)絡(luò)的手段十分豐富，令人防現(xiàn)在黑客入侵網(wǎng)絡(luò)的手段十分豐富，令人防不勝防。不勝防。n但是，認(rèn)真分析與研究黑客入侵網(wǎng)絡(luò)活動的但是，認(rèn)真分析與研究黑客入侵網(wǎng)絡(luò)活動的手段和技術(shù)，實施必要的技術(shù)措施，就能防手段和技術(shù)，實施必要的技術(shù)措施，就能防止黑客入侵網(wǎng)絡(luò)。止黑客入侵網(wǎng)絡(luò)。n下面在介紹黑客入侵網(wǎng)絡(luò)的基本過程：下面在介紹黑客入侵網(wǎng)絡(luò)的基本過程：遠(yuǎn)程控制與黑客入侵第一步是確定入侵的目標(biāo)第一步是確定入侵的目標(biāo) n大多數(shù)情況下，網(wǎng)絡(luò)入侵者都會首先對被攻大多數(shù)情況下，網(wǎng)絡(luò)入侵者都會首先對被攻

12、擊的目標(biāo)進(jìn)行確定和探測。擊的目標(biāo)進(jìn)行確定和探測。遠(yuǎn)程控制與黑客入侵第二步是信息收集與分析第二步是信息收集與分析n在獲取目標(biāo)機(jī)其所在網(wǎng)絡(luò)類型后，還須進(jìn)一步獲在獲取目標(biāo)機(jī)其所在網(wǎng)絡(luò)類型后，還須進(jìn)一步獲取有關(guān)信息，如目標(biāo)機(jī)的取有關(guān)信息，如目標(biāo)機(jī)的IP地址，系統(tǒng)管理人員地址，系統(tǒng)管理人員的地址，操作系統(tǒng)類型與版本等，根據(jù)這些信息的地址，操作系統(tǒng)類型與版本等，根據(jù)這些信息進(jìn)行分析，可得到有關(guān)被攻擊方系統(tǒng)中可能存在進(jìn)行分析，可得到有關(guān)被攻擊方系統(tǒng)中可能存在的漏洞。的漏洞。n如利用如利用WHOIS查詢，可了解技術(shù)管理人員的名查詢，可了解技術(shù)管理人員的名字信息。字信息。n若是運行一個若是運行一個host命令，

13、可獲取目標(biāo)網(wǎng)絡(luò)中有關(guān)命令，可獲取目標(biāo)網(wǎng)絡(luò)中有關(guān)機(jī)器的機(jī)器的IP地址信息，還可識別出目標(biāo)機(jī)器的操作地址信息，還可識別出目標(biāo)機(jī)器的操作系統(tǒng)類型。系統(tǒng)類型。n再運行一些再運行一些Usernet和和Web查詢可以知曉有關(guān)技查詢可以知曉有關(guān)技術(shù)人員是否經(jīng)常上術(shù)人員是否經(jīng)常上Usernet等。等。遠(yuǎn)程控制與黑客入侵第三步是對端口第三步是對端口(Port)與漏洞挖掘與漏洞挖掘 n黑客要收集或編寫適當(dāng)?shù)墓ぞ?，并在對操作系統(tǒng)的黑客要收集或編寫適當(dāng)?shù)墓ぞ?，并在對操作系統(tǒng)的分析的基礎(chǔ)上，對工具進(jìn)行評估，判斷有哪些漏洞分析的基礎(chǔ)上，對工具進(jìn)行評估，判斷有哪些漏洞和區(qū)域沒有覆蓋到。和區(qū)域沒有覆蓋到。n在盡可能短的時間內(nèi)

14、對目標(biāo)進(jìn)行端口與漏洞掃描。在盡可能短的時間內(nèi)對目標(biāo)進(jìn)行端口與漏洞掃描。n完成掃描后，可對所或數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)安全漏完成掃描后，可對所或數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)安全漏洞，如洞，如FTB漏洞，漏洞，NFS輸出到未授權(quán)程序中，不受限輸出到未授權(quán)程序中，不受限制的制的X服務(wù)器訪問，不受限制的調(diào)制解調(diào)器，服務(wù)器訪問，不受限制的調(diào)制解調(diào)器，Sendmail的漏洞，的漏洞，NIS口令文件訪問等?？诹钗募L問等。n下面將對有關(guān)的端口與漏洞進(jìn)行分析。下面將對有關(guān)的端口與漏洞進(jìn)行分析。遠(yuǎn)程控制與黑客入侵 公認(rèn)端口公認(rèn)端口(Well Known Ports) n這類端口也常稱之為這類端口也常稱之為“常用端口常用端口”。

15、n它們的端口號從它們的端口號從0到到1023之間。之間。n“常用端口常用端口”緊密綁定于一些特定的服務(wù)，不緊密綁定于一些特定的服務(wù)，不允許改變。允許改變。n例如：例如：80端口是為端口是為HTTP通信協(xié)議所專用，通信協(xié)議所專用，8000端口用于端口用于QQ通信等等。通信等等。 遠(yuǎn)程控制與黑客入侵2 注冊端口注冊端口(Registered Ports) n這類端口的端口號從這類端口的端口號從1024到到4915l，它們松散，它們松散地綁定于一些服務(wù)，用于其他的服務(wù)和目的。地綁定于一些服務(wù)，用于其他的服務(wù)和目的。n由于注冊端口多數(shù)沒有明確定義出服務(wù)對象，由于注冊端口多數(shù)沒有明確定義出服務(wù)對象，因此

16、常會被木馬定義和使用。因此常會被木馬定義和使用。遠(yuǎn)程控制與黑客入侵3 動態(tài)和或私有端口動態(tài)和或私有端口(Dynamic andor Private Ports) n這類端口的端口號從這類端口的端口號從49152到到65535。n由于這些端口容易隱蔽，也常常不為人由于這些端口容易隱蔽，也常常不為人所注意，因此也常會被木馬定義和使用。所注意，因此也常會被木馬定義和使用。遠(yuǎn)程控制與黑客入侵常見的常見的TCP協(xié)議端口有協(xié)議端口有 n(1) 21號端口，用于文件傳輸協(xié)議號端口，用于文件傳輸協(xié)議FTP。文件。文件傳輸服務(wù)包括上傳、下載大容量的文件和數(shù)據(jù)，傳輸服務(wù)包括上傳、下載大容量的文件和數(shù)據(jù)，例如主頁。

17、例如主頁。n(2) 23號端口，用于遠(yuǎn)程登陸號端口，用于遠(yuǎn)程登陸Telnet。遠(yuǎn)程登陸。遠(yuǎn)程登陸允許用戶以自己的身份遠(yuǎn)程連接到電腦上，通允許用戶以自己的身份遠(yuǎn)程連接到電腦上，通過這種端口可以提供一種基于過這種端口可以提供一種基于DOS模式下的通模式下的通信服務(wù)，如純字符界面的信服務(wù)，如純字符界面的BBS。遠(yuǎn)程控制與黑客入侵n(3) 25號端口，用于簡單郵件傳送協(xié)議號端口，用于簡單郵件傳送協(xié)議SMTP。簡單郵件傳送協(xié)議是用于發(fā)送郵件。簡單郵件傳送協(xié)議是用于發(fā)送郵件。n(4) 80號端口，用于號端口，用于“超文本傳輸協(xié)超文本傳輸協(xié)議議”HTTP。這是用得最多的協(xié)議，網(wǎng)絡(luò)上。這是用得最多的協(xié)議，網(wǎng)絡(luò)

18、上提供網(wǎng)頁資源的電腦提供網(wǎng)頁資源的電腦(“Web服務(wù)器服務(wù)器”)只有打只有打開開80號端口，才能夠提供號端口，才能夠提供“WWW服務(wù)服務(wù)”。 遠(yuǎn)程控制與黑客入侵n(5) 110號端口，用于接收郵件協(xié)議號端口，用于接收郵件協(xié)議POP3。它和。它和SMTP相對應(yīng)，接收郵件協(xié)議只用于接收相對應(yīng)，接收郵件協(xié)議只用于接收POP3郵件。郵件。n(6) 139端口，用于為端口，用于為NetBIOS提供服務(wù)，例如提供服務(wù)，例如WindowsXP的文件和打印機(jī)共享服務(wù)。的文件和打印機(jī)共享服務(wù)。n(NetBIOS是是“網(wǎng)絡(luò)基本輸入輸出系統(tǒng)網(wǎng)絡(luò)基本輸入輸出系統(tǒng)”，系統(tǒng)可以利，系統(tǒng)可以利用多種模式將用多種模式將Net

19、BIOS名解析為相應(yīng)的名解析為相應(yīng)的IP地址，從而地址，從而實現(xiàn)局域網(wǎng)內(nèi)的通信，但在實現(xiàn)局域網(wǎng)內(nèi)的通信，但在Intenet上上NetBIOS就相當(dāng)就相當(dāng)于一個后門，很多攻擊者都是通過于一個后門，很多攻擊者都是通過NetBIOS漏洞發(fā)起漏洞發(fā)起攻擊的攻擊的)。遠(yuǎn)程控制與黑客入侵n 53號端口，用于域名解析服務(wù)號端口，用于域名解析服務(wù)DNS。n 161號端口，用于簡單網(wǎng)絡(luò)管理協(xié)議號端口，用于簡單網(wǎng)絡(luò)管理協(xié)議SNMP。n 3389端口，端口，WindowsXP默認(rèn)允許遠(yuǎn)程用戶連接默認(rèn)允許遠(yuǎn)程用戶連接到本地電腦端口。到本地電腦端口。n 40008000號端口，用于號端口，用于QQ和和OICQ服務(wù)。服務(wù)

20、。n 137和和138號端口，用于網(wǎng)絡(luò)鄰居之間傳輸文件。號端口，用于網(wǎng)絡(luò)鄰居之間傳輸文件。常見的常見的UDP協(xié)議的端口有：協(xié)議的端口有：遠(yuǎn)程控制與黑客入侵n所謂的漏洞一詞原本指系統(tǒng)的安全缺陷。所謂的漏洞一詞原本指系統(tǒng)的安全缺陷。漏洞也是在硬件、軟件、協(xié)議的具體實現(xiàn)漏洞也是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。壞系統(tǒng)。n它形成的原因非常復(fù)雜，或者是由于系統(tǒng)它形成的原因非常復(fù)雜，或者是由于系統(tǒng)設(shè)計者的疏忽或其他目的在程序代碼的隱設(shè)計者的疏忽或其他目的在程序代

21、碼的隱蔽處保留的某些端口或者后門；或者是由蔽處保留的某些端口或者后門；或者是由于要實現(xiàn)某些功能。于要實現(xiàn)某些功能。n比如網(wǎng)絡(luò)之間的通信而設(shè)計的端口；或者比如網(wǎng)絡(luò)之間的通信而設(shè)計的端口；或者是外來入侵者刻意打開的某些端口。是外來入侵者刻意打開的某些端口。遠(yuǎn)程控制與黑客入侵nWindows環(huán)境中的輸入法漏洞，這個漏洞曾經(jīng)使環(huán)境中的輸入法漏洞，這個漏洞曾經(jīng)使許多入侵者輕而易舉地控制了使用許多入侵者輕而易舉地控制了使用Windows環(huán)境環(huán)境的計算機(jī)：的計算機(jī)：Windows XP Professional中的一個允中的一個允許計算機(jī)進(jìn)行遠(yuǎn)程交互通信的許計算機(jī)進(jìn)行遠(yuǎn)程交互通信的“遠(yuǎn)程過程調(diào)用協(xié)遠(yuǎn)程過程調(diào)

22、用協(xié)議議”RPC(Remote Procedure Call)，又成為了，又成為了“沖擊波沖擊波”病毒入侵的漏洞。如此等等，因而這病毒入侵的漏洞。如此等等，因而這些都可以認(rèn)為是系統(tǒng)中存在的安全漏洞。些都可以認(rèn)為是系統(tǒng)中存在的安全漏洞。遠(yuǎn)程控制與黑客入侵第四步實施攻擊。第四步實施攻擊。 n根據(jù)已知的根據(jù)已知的“漏洞漏洞”或者或者“弱口令弱口令”，實施入侵。，實施入侵。n通過猜測程序可對截獲的擁護(hù)賬號和口令進(jìn)行破通過猜測程序可對截獲的擁護(hù)賬號和口令進(jìn)行破譯。譯。n利用破譯的口令可對截獲的系統(tǒng)密碼文件進(jìn)行破利用破譯的口令可對截獲的系統(tǒng)密碼文件進(jìn)行破譯；利用網(wǎng)絡(luò)和系統(tǒng)的薄弱環(huán)節(jié)和安全漏洞可實譯；利用網(wǎng)

23、絡(luò)和系統(tǒng)的薄弱環(huán)節(jié)和安全漏洞可實施電子引誘（如安放特洛伊木馬）等。施電子引誘（如安放特洛伊木馬）等。n黑客們或修改網(wǎng)頁進(jìn)行惡作劇，或破壞系統(tǒng)程序黑客們或修改網(wǎng)頁進(jìn)行惡作劇，或破壞系統(tǒng)程序或放病毒使系統(tǒng)癱瘓，或竊取政治，軍事，商業(yè)或放病毒使系統(tǒng)癱瘓，或竊取政治，軍事，商業(yè)秘密，或進(jìn)行電子郵件騷擾，轉(zhuǎn)移資金賬戶，竊秘密，或進(jìn)行電子郵件騷擾，轉(zhuǎn)移資金賬戶，竊取金錢等。取金錢等。遠(yuǎn)程控制與黑客入侵n所謂所謂“弱口令弱口令”就是就是“簡單的密碼簡單的密碼”。n因為口令就是人們常說的密碼，因為口令就是人們常說的密碼，“弱弱”在網(wǎng)在網(wǎng)絡(luò)的術(shù)語里就是絡(luò)的術(shù)語里就是“簡單簡單”的意思。的意思。n許多網(wǎng)絡(luò)計算機(jī)往

24、往就是因為設(shè)置了簡單的許多網(wǎng)絡(luò)計算機(jī)往往就是因為設(shè)置了簡單的密碼而被黑客入侵成功。密碼而被黑客入侵成功。n因此，應(yīng)該對因此，應(yīng)該對“弱口令弱口令”問題給予足夠的重問題給予足夠的重視視。n讓黑客即使登錄到我們的計算機(jī)之上，也因讓黑客即使登錄到我們的計算機(jī)之上，也因為無法破解密碼而達(dá)不到控制計算機(jī)或者竊為無法破解密碼而達(dá)不到控制計算機(jī)或者竊取數(shù)據(jù)的目的。取數(shù)據(jù)的目的。弱口令弱口令遠(yuǎn)程控制與黑客入侵第五步留下第五步留下“后門后門” n由于黑客滲透主機(jī)系統(tǒng)之后，往往要留下后門以由于黑客滲透主機(jī)系統(tǒng)之后，往往要留下后門以便今后再次入侵。便今后再次入侵。n留下后門的技術(shù)有多種方法，包括提升帳戶權(quán)限留下后門

25、的技術(shù)有多種方法，包括提升帳戶權(quán)限或者增加管理帳號或者安裝特洛伊木馬等?；蛘咴黾庸芾韼ぬ柣蛘甙惭b特洛伊木馬等。n所謂所謂“后門后門”是指后門程序又稱特洛伊木馬是指后門程序又稱特洛伊木馬(Trojan horse)，也簡稱，也簡稱“木馬木馬”，其用途在于潛，其用途在于潛伏在網(wǎng)絡(luò)計算機(jī)中，從事搜集信息或便于黑客進(jìn)伏在網(wǎng)絡(luò)計算機(jī)中，從事搜集信息或便于黑客進(jìn)入的動作。入的動作。n后門是一種登錄系統(tǒng)的方法，它不僅繞過系統(tǒng)已后門是一種登錄系統(tǒng)的方法，它不僅繞過系統(tǒng)已有的安全設(shè)置，而且還能挫敗系統(tǒng)上各種增強的有的安全設(shè)置，而且還能挫敗系統(tǒng)上各種增強的安全設(shè)置。安全設(shè)置。 遠(yuǎn)程控制與黑客入侵第六步清除日志第六

26、步清除日志 n黑客對目標(biāo)機(jī)進(jìn)行一系列的攻擊后，通過檢查黑客對目標(biāo)機(jī)進(jìn)行一系列的攻擊后，通過檢查被攻擊方的日志，可以了解入侵過程中留下的被攻擊方的日志，可以了解入侵過程中留下的“痕跡痕跡”；這樣入侵者就知道需要刪除哪些文；這樣入侵者就知道需要刪除哪些文件來毀滅入侵證據(jù)。件來毀滅入侵證據(jù)。n為了達(dá)到隱蔽自己入侵行為的目的，清除日志為了達(dá)到隱蔽自己入侵行為的目的，清除日志信息對于黑客來講是必不可少的。信息對于黑客來講是必不可少的。n在現(xiàn)實生活中，很多內(nèi)部網(wǎng)絡(luò)或者企業(yè)網(wǎng)絡(luò)根在現(xiàn)實生活中，很多內(nèi)部網(wǎng)絡(luò)或者企業(yè)網(wǎng)絡(luò)根本沒有啟動審計機(jī)制，這給入侵追蹤造成了巨本沒有啟動審計機(jī)制，這給入侵追蹤造成了巨大的困難。

27、大的困難。遠(yuǎn)程控制與黑客入侵11.2 .2 黑客入侵的層次與種類黑客入侵的層次與種類n黑客入侵的方式多種多樣，危害程度也不盡相同，黑客入侵的方式多種多樣，危害程度也不盡相同，按黑客進(jìn)攻的方法和危害程度可分為以下級別和層按黑客進(jìn)攻的方法和危害程度可分為以下級別和層次：次：n 郵件爆炸攻擊（郵件爆炸攻擊（email bomb）（第一層）（第一層）n 簡單服務(wù)拒絕攻擊（簡單服務(wù)拒絕攻擊（denial of service）（第一層）（第一層）n 本地用戶獲得非授權(quán)讀訪問（第二層）本地用戶獲得非授權(quán)讀訪問（第二層）n 遠(yuǎn)程用戶獲得非授權(quán)的帳號（第三層）遠(yuǎn)程用戶獲得非授權(quán)的帳號（第三層）n 遠(yuǎn)程用戶獲得

28、了特權(quán)文件的讀權(quán)限（第四層）遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限（第四層）n 遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限（第五層）遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限（第五層）n 遠(yuǎn)程用戶有了根（遠(yuǎn)程用戶有了根（root）權(quán)限（黑客已經(jīng)攻克系）權(quán)限（黑客已經(jīng)攻克系統(tǒng)）（第六層）統(tǒng)）（第六層） 遠(yuǎn)程控制與黑客入侵11.3 黑客攻擊與防范黑客攻擊與防范n黑客攻擊的一般流程是黑客攻擊的一般流程是：“獲取目標(biāo)獲取目標(biāo)IP地址地址”、“掃描目標(biāo)開放的端口和破解弱口令掃描目標(biāo)開放的端口和破解弱口令”以及以及“入侵入侵目標(biāo)目標(biāo)”。n1獲取遠(yuǎn)程目標(biāo)獲取遠(yuǎn)程目標(biāo)IP地址地址 n獲取遠(yuǎn)程目標(biāo)的獲取遠(yuǎn)程目標(biāo)的IP地址的方法很多，有通過具有

29、自地址的方法很多，有通過具有自動上線功能的掃描工具將存在系統(tǒng)漏洞的目標(biāo)電腦動上線功能的掃描工具將存在系統(tǒng)漏洞的目標(biāo)電腦的的IP地址捕獲：有使用專門的掃描工具進(jìn)行掃描獲地址捕獲：有使用專門的掃描工具進(jìn)行掃描獲得，例如下面要介紹的得，例如下面要介紹的X-Scan；n有通過某些網(wǎng)絡(luò)通信工具等。有通過某些網(wǎng)絡(luò)通信工具等。n此外也可以通過此外也可以通過PING命令直接解析對方的命令直接解析對方的IP地地址。址。 遠(yuǎn)程控制與黑客入侵2掃描遠(yuǎn)程目標(biāo)漏洞掃描遠(yuǎn)程目標(biāo)漏洞n當(dāng)需要掃描的當(dāng)需要掃描的IP地址范圍確定后，入侵者就要獲取地址范圍確定后，入侵者就要獲取目標(biāo)計算機(jī)上的漏洞目標(biāo)計算機(jī)上的漏洞(也稱為也稱為“

30、開放的端口開放的端口”)和弱口和弱口令等其他信息。令等其他信息。n“端口掃描端口掃描”(port scanning)是主動對目標(biāo)計算機(jī)的是主動對目標(biāo)計算機(jī)的選定端口進(jìn)行掃描，它掃描目標(biāo)計算機(jī)的選定端口進(jìn)行掃描，它掃描目標(biāo)計算機(jī)的TCP協(xié)議協(xié)議或或UDP協(xié)議端門，實時地發(fā)現(xiàn)協(xié)議端門，實時地發(fā)現(xiàn)“漏洞漏洞”，以便入侵。，以便入侵。n 利用軟件掃描端口和破解弱口令利用軟件掃描端口和破解弱口令n 本例以本例以X-Scan來進(jìn)行說明怎樣利用掃描軟件來掃描來進(jìn)行說明怎樣利用掃描軟件來掃描端口和破解弱口令。端口和破解弱口令。 遠(yuǎn)程控制與黑客入侵3入侵目標(biāo)計算機(jī)入侵目標(biāo)計算機(jī)n(1)與目標(biāo)計算機(jī)建立連接與目標(biāo)

31、計算機(jī)建立連接n當(dāng)通過當(dāng)通過X-Scan的掃描，發(fā)現(xiàn)了有用戶使用了的掃描，發(fā)現(xiàn)了有用戶使用了“弱弱口令口令”。n例如例如IP地址為：地址為：3的主機(jī)上有一個名字為：的主機(jī)上有一個名字為：Administrator的管理員用戶使用了的管理員用戶使用了“弱口令弱口令”為為空。因此就很容易造成入侵。黑客如果要利用空。因此就很容易造成入侵。黑客如果要利用“弱口令弱口令”登錄到這臺計算機(jī)上。只要在本地計登錄到這臺計算機(jī)上。只要在本地計算機(jī)上發(fā)布以下命令：算機(jī)上發(fā)布以下命令：nnet use 3ipc$ 123456user：Administrator遠(yuǎn)程控制與黑客

32、入侵(2)上傳木馬上傳木馬n在目標(biāo)計算機(jī)上建立一個連接之后，就可以利用在目標(biāo)計算機(jī)上建立一個連接之后，就可以利用DOS的命令上傳一個木馬文件：的命令上傳一個木馬文件：serven.exe，當(dāng)然也，當(dāng)然也可以下載目標(biāo)計算機(jī)上的文件?？梢韵螺d目標(biāo)計算機(jī)上的文件。n上傳一個木馬文件上傳一個木馬文件server.exe的命令為：的命令為：nCopyserver.exe0adminSsystem32n上傳一個木馬文件上傳一個木馬文件server.exe后，為了讓它在指定的后，為了讓它在指定的時間自動執(zhí)行，用以下命令獲取對方的計算機(jī)時間。時間自動執(zhí)行，用以下命令獲取對方的計算機(jī)時間。

33、nNet time6遠(yuǎn)程控制與黑客入侵(3)打掃痕跡打掃痕跡n上述工作完成后，黑客一般要打掃痕跡，上述工作完成后，黑客一般要打掃痕跡，避免對方發(fā)現(xiàn)。避免對方發(fā)現(xiàn)。n用以下命令刪除共享：用以下命令刪除共享：net Share admin$/del。遠(yuǎn)程控制與黑客入侵11.4 ARP欺騙欺騙n(1) ARP欺騙的含義欺騙的含義n眾所周知，眾所周知，IP地址是不能直接用來進(jìn)行通信的，地址是不能直接用來進(jìn)行通信的，這是因為這是因為IP地址只是主機(jī)在抽象的網(wǎng)絡(luò)層中的地地址只是主機(jī)在抽象的網(wǎng)絡(luò)層中的地址。址。n如果要將網(wǎng)絡(luò)層中傳送的數(shù)據(jù)報交給目的主機(jī)，如果要將網(wǎng)絡(luò)層中傳送的數(shù)據(jù)報交給目

34、的主機(jī)，還要傳到數(shù)據(jù)鏈路層轉(zhuǎn)變成硬件地址后才能發(fā)送還要傳到數(shù)據(jù)鏈路層轉(zhuǎn)變成硬件地址后才能發(fā)送到實際的網(wǎng)絡(luò)上。到實際的網(wǎng)絡(luò)上。n由于由于IP地址是地址是32位的，而局域網(wǎng)的硬件地址是位的，而局域網(wǎng)的硬件地址是48位的，因此它們之間不存在簡單的映射關(guān)系。位的，因此它們之間不存在簡單的映射關(guān)系。n將一臺計算機(jī)的將一臺計算機(jī)的IP地址翻譯成等價的硬件地址的地址翻譯成等價的硬件地址的過程叫做地址解析。過程叫做地址解析。 遠(yuǎn)程控制與黑客入侵(2) ARP欺騙原理欺騙原理n如果一臺計算機(jī)如果一臺計算機(jī)A要與另一臺計算機(jī)要與另一臺計算機(jī)B進(jìn)行通信時，進(jìn)行通信時， 它就會先在自己的列表中搜尋一下這個被訪問的它就

35、會先在自己的列表中搜尋一下這個被訪問的IP地址所對應(yīng)的地址所對應(yīng)的MAC地址，如果找到了就直接進(jìn)行通地址，如果找到了就直接進(jìn)行通信，如果表中沒有的話，主機(jī)信，如果表中沒有的話，主機(jī)A則會向網(wǎng)內(nèi)發(fā)一個廣則會向網(wǎng)內(nèi)發(fā)一個廣播來尋找被訪問目標(biāo)播來尋找被訪問目標(biāo)B的的MAC地址，當(dāng)被訪問目標(biāo)地址，當(dāng)被訪問目標(biāo)B收到廣播后它就會自動回應(yīng)一個信息給發(fā)廣播的機(jī)收到廣播后它就會自動回應(yīng)一個信息給發(fā)廣播的機(jī)器器A， 其他機(jī)器則不會給發(fā)廣播的機(jī)器其他機(jī)器則不會給發(fā)廣播的機(jī)器A回應(yīng)任何信回應(yīng)任何信息，這樣計算機(jī)息，這樣計算機(jī)A就可以更新列表并與計算機(jī)就可以更新列表并與計算機(jī)B進(jìn)行進(jìn)行正常通信。正常通信。n由此可見，

36、由此可見，ARP協(xié)議是建立在網(wǎng)內(nèi)所有計算機(jī)的高協(xié)議是建立在網(wǎng)內(nèi)所有計算機(jī)的高度信任基礎(chǔ)上來進(jìn)行工作的，因此這就為黑客提供度信任基礎(chǔ)上來進(jìn)行工作的，因此這就為黑客提供了攻擊的好機(jī)會。了攻擊的好機(jī)會。遠(yuǎn)程控制與黑客入侵(3) ARP攻擊的方式攻擊的方式n根據(jù)根據(jù)ARP欺騙的原理可知攻擊的方式有以下兩種：欺騙的原理可知攻擊的方式有以下兩種：n1）中間人攻擊）中間人攻擊n中間人攻擊就是攻擊者將自己的主機(jī)作為被攻擊主機(jī)間的中間人攻擊就是攻擊者將自己的主機(jī)作為被攻擊主機(jī)間的橋梁，可以查看它們之間的通信，提取重要的信息或者修橋梁，可以查看它們之間的通信，提取重要的信息或者修改通信內(nèi)容或者不作任何修改原樣發(fā)送出去，這使得被攻改通信內(nèi)容或者不作任何修改原樣發(fā)送出去，