遠程控制與黑客入侵

1、 第第11章遠程控制與黑客入侵章遠程控制與黑客入侵n11.1 遠程控制遠程控制 n11.2 黑客入侵黑客入侵 n11.3 黑客攻擊與防范黑客攻擊與防范 n11.4 ARP欺騙欺騙 11.1 遠程控制遠程控制n11.1.1 遠程控制概述遠程控制概述n遠程控制是在網(wǎng)絡(luò)上由一臺計算機（主控端遠程控制是在網(wǎng)絡(luò)上由一臺計算機（主控端Remote/客戶端）遠距離去控制另一臺計算機客戶端）遠距離去控制另一臺計算機（被控端（被控端Host/服務(wù)器端）的技術(shù)，服務(wù)器端）的技術(shù)，這里的遠程這里的遠程不是字面意思的遠距離，一般指通過網(wǎng)絡(luò)控制遠不是字面意思的遠距離，一般指通過網(wǎng)絡(luò)控制遠端計算機，大多數(shù)時候人們所說的遠

2、程控制往往端計算機，大多數(shù)時候人們所說的遠程控制往往指在局域網(wǎng)中的遠程控制而言。當操作者使用主指在局域網(wǎng)中的遠程控制而言。當操作者使用主控端計算機控制被控端計算機時，就如同坐在被控端計算機控制被控端計算機時，就如同坐在被控端計算機的屏幕前一樣，可以啟動被控端計算控端計算機的屏幕前一樣，可以啟動被控端計算機的應(yīng)用程序，可以使用被控端計算機的文件資機的應(yīng)用程序，可以使用被控端計算機的文件資料，甚至可以利用被控端電腦的外部打印設(shè)備料，甚至可以利用被控端電腦的外部打印設(shè)備（打印機）和通信設(shè)備（調(diào)制解調(diào)器或者專線等）（打印機）和通信設(shè)備（調(diào)制解調(diào)器或者專線等）來進行打印和訪問互聯(lián)網(wǎng)，來進行打印和訪問互聯(lián)

3、網(wǎng)，11.1.2 遠程控制軟件的原理遠程控制軟件的原理n遠程控制軟件一般分兩個部分遠程控制軟件一般分兩個部分:一部分是客戶端程一部分是客戶端程序序Client，另一部分是服務(wù)器端程序，另一部分是服務(wù)器端程序Server(或或Systry)，在使用前需要將客戶端程序安裝到主控，在使用前需要將客戶端程序安裝到主控端計算機上，將服務(wù)器端程序安裝到被控端計算端計算機上，將服務(wù)器端程序安裝到被控端計算機上。機上。它的控制的過程一般是先在主控端計算機它的控制的過程一般是先在主控端計算機上執(zhí)行客戶端程序，像一個普通的客戶一樣向被上執(zhí)行客戶端程序，像一個普通的客戶一樣向被控端計算機中的服務(wù)器端程序發(fā)出信號，建

4、立一控端計算機中的服務(wù)器端程序發(fā)出信號，建立一個特殊的遠程服務(wù)，然后通過這個遠程服務(wù)，使個特殊的遠程服務(wù)，然后通過這個遠程服務(wù)，使用各種遠程控制功能發(fā)送遠程控制命令，控制被用各種遠程控制功能發(fā)送遠程控制命令，控制被控端計算機中的各種應(yīng)用程序運行，稱這種遠程控端計算機中的各種應(yīng)用程序運行，稱這種遠程控制方式為基于遠程服務(wù)的遠程控制?？刂品绞綖榛谶h程服務(wù)的遠程控制。n通過遠程控制軟件，可以進行很多方面的遠程控通過遠程控制軟件，可以進行很多方面的遠程控制，包括獲取目標計算機屏幕圖像、窗口及進程制，包括獲取目標計算機屏幕圖像、窗口及進程列表；記錄并提取遠端鍵盤事件列表；記錄并提取遠端鍵盤事件(擊鍵序

5、列，即監(jiān)擊鍵序列，即監(jiān)視遠端鍵盤輸入的內(nèi)容視遠端鍵盤輸入的內(nèi)容) 等。等。11.1.3 遠程控制技術(shù)的應(yīng)用范疇n1、遠程辦公、遠程辦公n這種遠程的辦公方式不僅大大緩解了城市交通狀況，這種遠程的辦公方式不僅大大緩解了城市交通狀況，減少了環(huán)境污染，還免去了人們上下班路上奔波的減少了環(huán)境污染，還免去了人們上下班路上奔波的辛勞，更可以提高企業(yè)員工的工作效率和工作興趣。辛勞，更可以提高企業(yè)員工的工作效率和工作興趣。n2、遠程技術(shù)支持、遠程技術(shù)支持n通常，遠距離的技術(shù)支持必須依賴技術(shù)人員和用戶通常，遠距離的技術(shù)支持必須依賴技術(shù)人員和用戶之間的電話交流來進行，這種交流既耗時又容易出之間的電話交流來進行，這種

6、交流既耗時又容易出錯。許多用戶對計算機知道得很少，然而當遇到問錯。許多用戶對計算機知道得很少，然而當遇到問題時，人們必須向無法看到計算機屏幕的技術(shù)人員題時，人們必須向無法看到計算機屏幕的技術(shù)人員描述問題的癥狀，并且嚴格遵守技術(shù)人員的指示精描述問題的癥狀，并且嚴格遵守技術(shù)人員的指示精確地描述屏幕上的內(nèi)容，但是由于用戶計算機專業(yè)確地描述屏幕上的內(nèi)容，但是由于用戶計算機專業(yè)知識非常少，描述往往不得要領(lǐng)，說不到點子上，知識非常少，描述往往不得要領(lǐng)，說不到點子上，這就給技術(shù)人員判斷故障制造了非常大的障礙。這就給技術(shù)人員判斷故障制造了非常大的障礙。n3、遠程交流、遠程交流n利用遠程技術(shù)，商業(yè)公司可以實現(xiàn)與

7、用戶的利用遠程技術(shù)，商業(yè)公司可以實現(xiàn)與用戶的遠程交流，采用交互式的教學模式，通過實遠程交流，采用交互式的教學模式，通過實際操作來培訓用戶，使用戶從技術(shù)支持專業(yè)際操作來培訓用戶，使用戶從技術(shù)支持專業(yè)人員那里學習案例知識變得十分容易。而教人員那里學習案例知識變得十分容易。而教師和學生之間也可以利用這種遠程控制技術(shù)師和學生之間也可以利用這種遠程控制技術(shù)實現(xiàn)教學問題的交流，學生可以不用見到老實現(xiàn)教學問題的交流，學生可以不用見到老師，就得到老師手把手的輔導和講授。師，就得到老師手把手的輔導和講授。n4、遠程維護和管理、遠程維護和管理n網(wǎng)絡(luò)管理員或者普通用戶可以通過遠程控制網(wǎng)絡(luò)管理員或者普通用戶可以通過遠

8、程控制技術(shù)為遠端的計算機安裝和配置軟件、下載技術(shù)為遠端的計算機安裝和配置軟件、下載并安裝軟件修補程序、配置應(yīng)用程序和進行并安裝軟件修補程序、配置應(yīng)用程序和進行系統(tǒng)軟件設(shè)置。系統(tǒng)軟件設(shè)置。11.1.4 Windows XP遠程控制的實現(xiàn) nWindows XP“遠程桌面遠程桌面”的應(yīng)用的應(yīng)用nWindows XP系統(tǒng)系統(tǒng)“遠程協(xié)助遠程協(xié)助”的應(yīng)用的應(yīng)用11.2 黑客入侵黑客入侵1 什么是黑客？什么是黑客？ 黑客也稱黑客也稱“駭客駭客”(hacker)，該詞的原意是，該詞的原意是極富褒義的，它源于英語動詞極富褒義的，它源于英語動詞“劈劈”(hack)，因，因而早期的而早期的“黑客黑客”(hacke

9、r)可以用來稱呼手藝精可以用來稱呼手藝精湛的木匠。湛的木匠。 在在20世紀的世紀的60至至70年代之間，年代之間，“黑客黑客”(hacker)也曾經(jīng)專用來形容那些有獨立思考那里的電腦也曾經(jīng)專用來形容那些有獨立思考那里的電腦“迷迷”，如果他們在軟件設(shè)計上干了一件非常漂，如果他們在軟件設(shè)計上干了一件非常漂亮的工作，或者解決了一個程序難題，同事們經(jīng)亮的工作，或者解決了一個程序難題，同事們經(jīng)常高呼常高呼“hacker”。 于是于是“黑客黑客”(hacker)就被定義為就被定義為“技術(shù)嫻熟技術(shù)嫻熟的具有編制操作系統(tǒng)的具有編制操作系統(tǒng)OS級軟件水平的人級軟件水平的人”。 許多處于許多處于Unix時代早期的

10、時代早期的“黑客黑客”(hacker)都云都云集在麻省理工學院和斯坦福大學，正是這樣一群人建集在麻省理工學院和斯坦福大學，正是這樣一群人建成了今天的成了今天的“硅谷硅谷”。后來某些具有后來某些具有“黑客黑客”水平的人物利用通訊軟件或者水平的人物利用通訊軟件或者通過網(wǎng)絡(luò)非法進入他人系統(tǒng)，截獲或篡改電腦數(shù)據(jù)，通過網(wǎng)絡(luò)非法進入他人系統(tǒng)，截獲或篡改電腦數(shù)據(jù)，危害信息安全。危害信息安全。 于是于是“黑客黑客”開始有了開始有了“電腦入侵者電腦入侵者”或或“電腦電腦搗亂分子搗亂分子”的惡名。的惡名。 11.2 .1 網(wǎng)絡(luò)入侵的基本過程網(wǎng)絡(luò)入侵的基本過程n現(xiàn)在黑客入侵網(wǎng)絡(luò)的手段十分豐富，令人防現(xiàn)在黑客入侵網(wǎng)絡(luò)

11、的手段十分豐富，令人防不勝防。不勝防。n但是，認真分析與研究黑客入侵網(wǎng)絡(luò)活動的但是，認真分析與研究黑客入侵網(wǎng)絡(luò)活動的手段和技術(shù)，實施必要的技術(shù)措施，就能防手段和技術(shù)，實施必要的技術(shù)措施，就能防止黑客入侵網(wǎng)絡(luò)。止黑客入侵網(wǎng)絡(luò)。n下面在介紹黑客入侵網(wǎng)絡(luò)的基本過程：下面在介紹黑客入侵網(wǎng)絡(luò)的基本過程：第一步是確定入侵的目標第一步是確定入侵的目標 n大多數(shù)情況下，網(wǎng)絡(luò)入侵者都會首先對被攻大多數(shù)情況下，網(wǎng)絡(luò)入侵者都會首先對被攻擊的目標進行確定和探測。擊的目標進行確定和探測。第二步是信息收集與分析第二步是信息收集與分析n在獲取目標機其所在網(wǎng)絡(luò)類型后，還須進一步獲在獲取目標機其所在網(wǎng)絡(luò)類型后，還須進一步獲取有

12、關(guān)信息，如目標機的取有關(guān)信息，如目標機的IP地址，系統(tǒng)管理人員地址，系統(tǒng)管理人員的地址，操作系統(tǒng)類型與版本等，根據(jù)這些信息的地址，操作系統(tǒng)類型與版本等，根據(jù)這些信息進行分析，可得到有關(guān)被攻擊方系統(tǒng)中可能存在進行分析，可得到有關(guān)被攻擊方系統(tǒng)中可能存在的漏洞。的漏洞。n如利用如利用WHOIS查詢，可了解技術(shù)管理人員的名查詢，可了解技術(shù)管理人員的名字信息。字信息。n若是運行一個若是運行一個host命令，可獲取目標網(wǎng)絡(luò)中有關(guān)命令，可獲取目標網(wǎng)絡(luò)中有關(guān)機器的機器的IP地址信息，還可識別出目標機器的操作地址信息，還可識別出目標機器的操作系統(tǒng)類型。系統(tǒng)類型。n再運行一些再運行一些Usernet和和Web查詢

13、可以知曉有關(guān)技查詢可以知曉有關(guān)技術(shù)人員是否經(jīng)常上術(shù)人員是否經(jīng)常上Usernet等。等。第三步是對端口第三步是對端口(Port)與漏洞挖掘與漏洞挖掘 n黑客要收集或編寫適當?shù)墓ぞ?，并在對操作系統(tǒng)的黑客要收集或編寫適當?shù)墓ぞ撸⒃趯Σ僮飨到y(tǒng)的分析的基礎(chǔ)上，對工具進行評估，判斷有哪些漏洞分析的基礎(chǔ)上，對工具進行評估，判斷有哪些漏洞和區(qū)域沒有覆蓋到。和區(qū)域沒有覆蓋到。n在盡可能短的時間內(nèi)對目標進行端口與漏洞掃描。在盡可能短的時間內(nèi)對目標進行端口與漏洞掃描。n完成掃描后，可對所或數(shù)據(jù)進行分析，發(fā)現(xiàn)安全漏完成掃描后，可對所或數(shù)據(jù)進行分析，發(fā)現(xiàn)安全漏洞，如洞，如FTB漏洞，漏洞，NFS輸出到未授權(quán)程序中，不

14、受限輸出到未授權(quán)程序中，不受限制的制的X服務(wù)器訪問，不受限制的調(diào)制解調(diào)器，服務(wù)器訪問，不受限制的調(diào)制解調(diào)器，Sendmail的漏洞，的漏洞，NIS口令文件訪問等?？诹钗募L問等。n下面將對有關(guān)的端口與漏洞進行分析。下面將對有關(guān)的端口與漏洞進行分析。 公認端口公認端口(Well Known Ports) n這類端口也常稱之為這類端口也常稱之為“常用端口常用端口”。n它們的端口號從它們的端口號從0到到1023之間。之間。n“常用端口常用端口”緊密綁定于一些特定的服務(wù)，不緊密綁定于一些特定的服務(wù)，不允許改變。允許改變。n例如：例如：80端口是為端口是為HTTP通信協(xié)議所專用，通信協(xié)議所專用，8000

15、端口用于端口用于QQ通信等等。通信等等。 2 注冊端口注冊端口(Registered Ports) n這類端口的端口號從這類端口的端口號從1024到到4915l，它們松散，它們松散地綁定于一些服務(wù)，用于其他的服務(wù)和目的。地綁定于一些服務(wù)，用于其他的服務(wù)和目的。n由于注冊端口多數(shù)沒有明確定義出服務(wù)對象，由于注冊端口多數(shù)沒有明確定義出服務(wù)對象，因此常會被木馬定義和使用。因此常會被木馬定義和使用。3 動態(tài)和或私有端口動態(tài)和或私有端口(Dynamic andor Private Ports) n這類端口的端口號從這類端口的端口號從49152到到65535。n由于這些端口容易隱蔽，也常常不為人由于這些端

16、口容易隱蔽，也常常不為人所注意，因此也常會被木馬定義和使用。所注意，因此也常會被木馬定義和使用。常見的常見的TCP協(xié)議端口有協(xié)議端口有 n(1) 21號端口，用于文件傳輸協(xié)議號端口，用于文件傳輸協(xié)議FTP。文件。文件傳輸服務(wù)包括上傳、下載大容量的文件和數(shù)據(jù)，傳輸服務(wù)包括上傳、下載大容量的文件和數(shù)據(jù)，例如主頁。例如主頁。n(2) 23號端口，用于遠程登陸號端口，用于遠程登陸Telnet。遠程登陸。遠程登陸允許用戶以自己的身份遠程連接到電腦上，通允許用戶以自己的身份遠程連接到電腦上，通過這種端口可以提供一種基于過這種端口可以提供一種基于DOS模式下的通模式下的通信服務(wù)，如純字符界面的信服務(wù)，如純字

17、符界面的BBS。n(3) 25號端口，用于簡單郵件傳送協(xié)議號端口，用于簡單郵件傳送協(xié)議SMTP。簡單郵件傳送協(xié)議是用于發(fā)送郵件。簡單郵件傳送協(xié)議是用于發(fā)送郵件。n(4) 80號端口，用于號端口，用于“超文本傳輸協(xié)超文本傳輸協(xié)議議”HTTP。這是用得最多的協(xié)議，網(wǎng)絡(luò)上。這是用得最多的協(xié)議，網(wǎng)絡(luò)上提供網(wǎng)頁資源的電腦提供網(wǎng)頁資源的電腦(“Web服務(wù)器服務(wù)器”)只有打只有打開開80號端口，才能夠提供號端口，才能夠提供“WWW服務(wù)服務(wù)”。 n(5) 110號端口，用于接收郵件協(xié)議號端口，用于接收郵件協(xié)議POP3。它和。它和SMTP相對應(yīng)，接收郵件協(xié)議只用于接收相對應(yīng)，接收郵件協(xié)議只用于接收POP3郵件。

18、郵件。n(6) 139端口，用于為端口，用于為NetBIOS提供服務(wù)，例如提供服務(wù)，例如WindowsXP的文件和打印機共享服務(wù)。的文件和打印機共享服務(wù)。n(NetBIOS是是“網(wǎng)絡(luò)基本輸入輸出系統(tǒng)網(wǎng)絡(luò)基本輸入輸出系統(tǒng)”，系統(tǒng)可以利，系統(tǒng)可以利用多種模式將用多種模式將NetBIOS名解析為相應(yīng)的名解析為相應(yīng)的IP地址，從而地址，從而實現(xiàn)局域網(wǎng)內(nèi)的通信，但在實現(xiàn)局域網(wǎng)內(nèi)的通信，但在Intenet上上NetBIOS就相當就相當于一個后門，很多攻擊者都是通過于一個后門，很多攻擊者都是通過NetBIOS漏洞發(fā)起漏洞發(fā)起攻擊的攻擊的)。n 53號端口，用于域名解析服務(wù)號端口，用于域名解析服務(wù)DNS。n

19、161號端口，用于簡單網(wǎng)絡(luò)管理協(xié)議號端口，用于簡單網(wǎng)絡(luò)管理協(xié)議SNMP。n 3389端口，端口，WindowsXP默認允許遠程用戶連接默認允許遠程用戶連接到本地電腦端口。到本地電腦端口。n 40008000號端口，用于號端口，用于QQ和和OICQ服務(wù)。服務(wù)。n 137和和138號端口，用于網(wǎng)絡(luò)鄰居之間傳輸文件。號端口，用于網(wǎng)絡(luò)鄰居之間傳輸文件。常見的常見的UDP協(xié)議的端口有：協(xié)議的端口有：n所謂的漏洞一詞原本指系統(tǒng)的安全缺陷。所謂的漏洞一詞原本指系統(tǒng)的安全缺陷。漏洞也是在硬件、軟件、協(xié)議的具體實現(xiàn)漏洞也是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以或系統(tǒng)安全策略上存在的缺陷

20、，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。壞系統(tǒng)。n它形成的原因非常復雜，或者是由于系統(tǒng)它形成的原因非常復雜，或者是由于系統(tǒng)設(shè)計者的疏忽或其他目的在程序代碼的隱設(shè)計者的疏忽或其他目的在程序代碼的隱蔽處保留的某些端口或者后門；或者是由蔽處保留的某些端口或者后門；或者是由于要實現(xiàn)某些功能。于要實現(xiàn)某些功能。n比如網(wǎng)絡(luò)之間的通信而設(shè)計的端口；或者比如網(wǎng)絡(luò)之間的通信而設(shè)計的端口；或者是外來入侵者刻意打開的某些端口。是外來入侵者刻意打開的某些端口。nWindows環(huán)境中的輸入法漏洞，這個漏洞曾經(jīng)使環(huán)境中的輸入法漏洞，這個漏洞曾經(jīng)使許多入侵者輕而易舉地控制了

21、使用許多入侵者輕而易舉地控制了使用Windows環(huán)境環(huán)境的計算機：的計算機：Windows XP Professional中的一個允中的一個允許計算機進行遠程交互通信的許計算機進行遠程交互通信的“遠程過程調(diào)用協(xié)遠程過程調(diào)用協(xié)議議”RPC(Remote Procedure Call)，又成為了，又成為了“沖擊波沖擊波”病毒入侵的漏洞。如此等等，因而這病毒入侵的漏洞。如此等等，因而這些都可以認為是系統(tǒng)中存在的安全漏洞。些都可以認為是系統(tǒng)中存在的安全漏洞。第四步實施攻擊。第四步實施攻擊。 n根據(jù)已知的根據(jù)已知的“漏洞漏洞”或者或者“弱口令弱口令”，實施入侵。，實施入侵。n通過猜測程序可對截獲的擁護賬

22、號和口令進行破通過猜測程序可對截獲的擁護賬號和口令進行破譯。譯。n利用破譯的口令可對截獲的系統(tǒng)密碼文件進行破利用破譯的口令可對截獲的系統(tǒng)密碼文件進行破譯；利用網(wǎng)絡(luò)和系統(tǒng)的薄弱環(huán)節(jié)和安全漏洞可實譯；利用網(wǎng)絡(luò)和系統(tǒng)的薄弱環(huán)節(jié)和安全漏洞可實施電子引誘（如安放特洛伊木馬）等。施電子引誘（如安放特洛伊木馬）等。n黑客們或修改網(wǎng)頁進行惡作劇，或破壞系統(tǒng)程序黑客們或修改網(wǎng)頁進行惡作劇，或破壞系統(tǒng)程序或放病毒使系統(tǒng)癱瘓，或竊取政治，軍事，商業(yè)或放病毒使系統(tǒng)癱瘓，或竊取政治，軍事，商業(yè)秘密，或進行電子郵件騷擾，轉(zhuǎn)移資金賬戶，竊秘密，或進行電子郵件騷擾，轉(zhuǎn)移資金賬戶，竊取金錢等。取金錢等。n所謂所謂“弱口令弱口令

23、”就是就是“簡單的密碼簡單的密碼”。n因為口令就是人們常說的密碼，因為口令就是人們常說的密碼，“弱弱”在網(wǎng)在網(wǎng)絡(luò)的術(shù)語里就是絡(luò)的術(shù)語里就是“簡單簡單”的意思。的意思。n許多網(wǎng)絡(luò)計算機往往就是因為設(shè)置了簡單的許多網(wǎng)絡(luò)計算機往往就是因為設(shè)置了簡單的密碼而被黑客入侵成功。密碼而被黑客入侵成功。n因此，應(yīng)該對因此，應(yīng)該對“弱口令弱口令”問題給予足夠的重問題給予足夠的重視視。n讓黑客即使登錄到我們的計算機之上，也因讓黑客即使登錄到我們的計算機之上，也因為無法破解密碼而達不到控制計算機或者竊為無法破解密碼而達不到控制計算機或者竊取數(shù)據(jù)的目的。取數(shù)據(jù)的目的。弱口令弱口令第五步留下第五步留下“后門后門” n由

24、于黑客滲透主機系統(tǒng)之后，往往要留下后門以由于黑客滲透主機系統(tǒng)之后，往往要留下后門以便今后再次入侵。便今后再次入侵。n留下后門的技術(shù)有多種方法，包括提升帳戶權(quán)限留下后門的技術(shù)有多種方法，包括提升帳戶權(quán)限或者增加管理帳號或者安裝特洛伊木馬等?；蛘咴黾庸芾韼ぬ柣蛘甙惭b特洛伊木馬等。n所謂所謂“后門后門”是指后門程序又稱特洛伊木馬是指后門程序又稱特洛伊木馬(Trojan horse)，也簡稱，也簡稱“木馬木馬”，其用途在于潛，其用途在于潛伏在網(wǎng)絡(luò)計算機中，從事搜集信息或便于黑客進伏在網(wǎng)絡(luò)計算機中，從事搜集信息或便于黑客進入的動作。入的動作。n后門是一種登錄系統(tǒng)的方法，它不僅繞過系統(tǒng)已后門是一種登錄系統(tǒng)

25、的方法，它不僅繞過系統(tǒng)已有的安全設(shè)置，而且還能挫敗系統(tǒng)上各種增強的有的安全設(shè)置，而且還能挫敗系統(tǒng)上各種增強的安全設(shè)置。安全設(shè)置。 第六步清除日志第六步清除日志 n黑客對目標機進行一系列的攻擊后，通過檢查黑客對目標機進行一系列的攻擊后，通過檢查被攻擊方的日志，可以了解入侵過程中留下的被攻擊方的日志，可以了解入侵過程中留下的“痕跡痕跡”；這樣入侵者就知道需要刪除哪些文；這樣入侵者就知道需要刪除哪些文件來毀滅入侵證據(jù)。件來毀滅入侵證據(jù)。n為了達到隱蔽自己入侵行為的目的，清除日志為了達到隱蔽自己入侵行為的目的，清除日志信息對于黑客來講是必不可少的。信息對于黑客來講是必不可少的。n在現(xiàn)實生活中，很多內(nèi)部

26、網(wǎng)絡(luò)或者企業(yè)網(wǎng)絡(luò)根在現(xiàn)實生活中，很多內(nèi)部網(wǎng)絡(luò)或者企業(yè)網(wǎng)絡(luò)根本沒有啟動審計機制，這給入侵追蹤造成了巨本沒有啟動審計機制，這給入侵追蹤造成了巨大的困難。大的困難。11.2 .2 黑客入侵的層次與種類黑客入侵的層次與種類n黑客入侵的方式多種多樣，危害程度也不盡相同，黑客入侵的方式多種多樣，危害程度也不盡相同，按黑客進攻的方法和危害程度可分為以下級別和層按黑客進攻的方法和危害程度可分為以下級別和層次：次：n 郵件爆炸攻擊（郵件爆炸攻擊（email bomb）（第一層）（第一層）n 簡單服務(wù)拒絕攻擊（簡單服務(wù)拒絕攻擊（denial of service）（第一層）（第一層）n 本地用戶獲得非授權(quán)讀訪問（

27、第二層）本地用戶獲得非授權(quán)讀訪問（第二層）n 遠程用戶獲得非授權(quán)的帳號（第三層）遠程用戶獲得非授權(quán)的帳號（第三層）n 遠程用戶獲得了特權(quán)文件的讀權(quán)限（第四層）遠程用戶獲得了特權(quán)文件的讀權(quán)限（第四層）n 遠程用戶獲得了特權(quán)文件的寫權(quán)限（第五層）遠程用戶獲得了特權(quán)文件的寫權(quán)限（第五層）n 遠程用戶有了根（遠程用戶有了根（root）權(quán)限（黑客已經(jīng)攻克系）權(quán)限（黑客已經(jīng)攻克系統(tǒng)）（第六層）統(tǒng)）（第六層） 11.3 黑客攻擊與防范黑客攻擊與防范n黑客攻擊的一般流程是黑客攻擊的一般流程是：“獲取目標獲取目標IP地址地址”、“掃描目標開放的端口和破解弱口令掃描目標開放的端口和破解弱口令”以及以及“入侵入侵目

28、標目標”。n1獲取遠程目標獲取遠程目標IP地址地址 n獲取遠程目標的獲取遠程目標的IP地址的方法很多，有通過具有自地址的方法很多，有通過具有自動上線功能的掃描工具將存在系統(tǒng)漏洞的目標電腦動上線功能的掃描工具將存在系統(tǒng)漏洞的目標電腦的的IP地址捕獲：有使用專門的掃描工具進行掃描獲地址捕獲：有使用專門的掃描工具進行掃描獲得，例如下面要介紹的得，例如下面要介紹的X-Scan；n有通過某些網(wǎng)絡(luò)通信工具等。有通過某些網(wǎng)絡(luò)通信工具等。n此外也可以通過此外也可以通過PING命令直接解析對方的命令直接解析對方的IP地地址。址。 2掃描遠程目標漏洞掃描遠程目標漏洞n當需要掃描的當需要掃描的IP地址范圍確定后，入

29、侵者就要獲取地址范圍確定后，入侵者就要獲取目標計算機上的漏洞目標計算機上的漏洞(也稱為也稱為“開放的端口開放的端口”)和弱口和弱口令等其他信息。令等其他信息。n“端口掃描端口掃描”(port scanning)是主動對目標計算機的是主動對目標計算機的選定端口進行掃描，它掃描目標計算機的選定端口進行掃描，它掃描目標計算機的TCP協(xié)議協(xié)議或或UDP協(xié)議端門，實時地發(fā)現(xiàn)協(xié)議端門，實時地發(fā)現(xiàn)“漏洞漏洞”，以便入侵。，以便入侵。n 利用軟件掃描端口和破解弱口令利用軟件掃描端口和破解弱口令n 本例以本例以X-Scan來進行說明怎樣利用掃描軟件來掃描來進行說明怎樣利用掃描軟件來掃描端口和破解弱口令。端口和破

30、解弱口令。 3入侵目標計算機入侵目標計算機n(1)與目標計算機建立連接與目標計算機建立連接n當通過當通過X-Scan的掃描，發(fā)現(xiàn)了有用戶使用了的掃描，發(fā)現(xiàn)了有用戶使用了“弱弱口令口令”。n例如例如IP地址為：地址為：3的主機上有一個名字為：的主機上有一個名字為：Administrator的管理員用戶使用了的管理員用戶使用了“弱口令弱口令”為為空。因此就很容易造成入侵。黑客如果要利用空。因此就很容易造成入侵。黑客如果要利用“弱口令弱口令”登錄到這臺計算機上。只要在本地計登錄到這臺計算機上。只要在本地計算機上發(fā)布以下命令：算機上發(fā)布以下命令：nnet use 59.68.29.

31、83ipc$ 123456user：Administrator(2)上傳木馬上傳木馬n在目標計算機上建立一個連接之后，就可以利用在目標計算機上建立一個連接之后，就可以利用DOS的命令上傳一個木馬文件：的命令上傳一個木馬文件：serven.exe，當然也，當然也可以下載目標計算機上的文件?？梢韵螺d目標計算機上的文件。n上傳一個木馬文件上傳一個木馬文件server.exe的命令為：的命令為：nCopyserver.exe0adminSsystem32n上傳一個木馬文件上傳一個木馬文件server.exe后，為了讓它在指定的后，為了讓它在指定的時間自動執(zhí)行，用以下命令獲取對方的

32、計算機時間。時間自動執(zhí)行，用以下命令獲取對方的計算機時間。nNet time6(3)打掃痕跡打掃痕跡n上述工作完成后，黑客一般要打掃痕跡，上述工作完成后，黑客一般要打掃痕跡，避免對方發(fā)現(xiàn)。避免對方發(fā)現(xiàn)。n用以下命令刪除共享：用以下命令刪除共享：net Share admin$/del。11.4 ARP欺騙欺騙n(1) ARP欺騙的含義欺騙的含義n眾所周知，眾所周知，IP地址是不能直接用來進行通信的，地址是不能直接用來進行通信的，這是因為這是因為IP地址只是主機在抽象的網(wǎng)絡(luò)層中的地地址只是主機在抽象的網(wǎng)絡(luò)層中的地址。址。n如果要將網(wǎng)絡(luò)層中傳送的數(shù)據(jù)報交給目的主機，如果要將網(wǎng)絡(luò)

33、層中傳送的數(shù)據(jù)報交給目的主機，還要傳到數(shù)據(jù)鏈路層轉(zhuǎn)變成硬件地址后才能發(fā)送還要傳到數(shù)據(jù)鏈路層轉(zhuǎn)變成硬件地址后才能發(fā)送到實際的網(wǎng)絡(luò)上。到實際的網(wǎng)絡(luò)上。n由于由于IP地址是地址是32位的，而局域網(wǎng)的硬件地址是位的，而局域網(wǎng)的硬件地址是48位的，因此它們之間不存在簡單的映射關(guān)系。位的，因此它們之間不存在簡單的映射關(guān)系。n將一臺計算機的將一臺計算機的IP地址翻譯成等價的硬件地址的地址翻譯成等價的硬件地址的過程叫做地址解析。過程叫做地址解析。 (2) ARP欺騙原理欺騙原理n如果一臺計算機如果一臺計算機A要與另一臺計算機要與另一臺計算機B進行通信時，進行通信時， 它就會先在自己的列表中搜尋一下這個被訪問的

34、它就會先在自己的列表中搜尋一下這個被訪問的IP地址所對應(yīng)的地址所對應(yīng)的MAC地址，如果找到了就直接進行通地址，如果找到了就直接進行通信，如果表中沒有的話，主機信，如果表中沒有的話，主機A則會向網(wǎng)內(nèi)發(fā)一個廣則會向網(wǎng)內(nèi)發(fā)一個廣播來尋找被訪問目標播來尋找被訪問目標B的的MAC地址，當被訪問目標地址，當被訪問目標B收到廣播后它就會自動回應(yīng)一個信息給發(fā)廣播的機收到廣播后它就會自動回應(yīng)一個信息給發(fā)廣播的機器器A， 其他機器則不會給發(fā)廣播的機器其他機器則不會給發(fā)廣播的機器A回應(yīng)任何信回應(yīng)任何信息，這樣計算機息，這樣計算機A就可以更新列表并與計算機就可以更新列表并與計算機B進行進行正常通信。正常通信。n由此可

35、見，由此可見，ARP協(xié)議是建立在網(wǎng)內(nèi)所有計算機的高協(xié)議是建立在網(wǎng)內(nèi)所有計算機的高度信任基礎(chǔ)上來進行工作的，因此這就為黑客提供度信任基礎(chǔ)上來進行工作的，因此這就為黑客提供了攻擊的好機會。了攻擊的好機會。(3) ARP攻擊的方式攻擊的方式n根據(jù)根據(jù)ARP欺騙的原理可知攻擊的方式有以下兩種：欺騙的原理可知攻擊的方式有以下兩種：n1）中間人攻擊）中間人攻擊n中間人攻擊就是攻擊者將自己的主機作為被攻擊主機間的中間人攻擊就是攻擊者將自己的主機作為被攻擊主機間的橋梁，可以查看它們之間的通信，提取重要的信息或者修橋梁，可以查看它們之間的通信，提取重要的信息或者修改通信內(nèi)容或者不作任何修改原樣發(fā)送出去，這使得被攻改通信內(nèi)容或者不作任何修改原樣發(fā)送出去，這使得被攻擊主機間沒有任何的秘密而言。擊主機間沒有任何的秘密而言。n2）拒絕服務(wù)攻擊）拒絕服務(wù)攻擊n拒絕服務(wù)攻擊就是使目標主機不能響應(yīng)外界請求，從而不拒絕服務(wù)攻擊就是使目標主機不能響應(yīng)外界請求，從而不能對外提