第3章-網(wǎng)絡(luò)掃描及網(wǎng)絡(luò)監(jiān)聽

第3章網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽

概述

本章主要介紹黑客的相關(guān)知識、網(wǎng)絡(luò)踩點的方法、網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)監(jiān)聽技術(shù)。其中，網(wǎng)絡(luò)掃描是黑客實施攻擊前獲得目標及其漏洞信息的重要手段，而網(wǎng)絡(luò)監(jiān)聽則是黑客向內(nèi)部網(wǎng)進行滲透的常用手法。目錄一.黑客概述

二.網(wǎng)絡(luò)踩點

3.1黑客概述3.1.1黑客的概念“黑客”一詞是由英文單詞“Hacker”音譯過來的。最初起源于20世紀50年代，是指那些精力充沛、熱衷于解決計算機難題的程序員。當時計算機非常昂貴，只存在于各大院校與科研機構(gòu)，技術(shù)人員使用一次計算機，需要很復(fù)雜的手續(xù)，而且計算機的效率也不高，為了繞過一些限制，最大限度地利用這些昂貴的計算機，一些程序員們就寫出了一些簡潔高效的捷徑程序，這些程序往往較原有的程序系統(tǒng)更完善，這種行為被稱為“Hack”,而“Hacker”就是從事這種行為的人。3.1黑客概述3.1.1黑客的概念20世紀60、70年代，黑客一詞仍是褒義詞，用于指代那些獨立思考、奉公守法的計算機迷，他們智力超群，對計算機全身心投入，從事黑客活動意味著對計算機的最大潛能進行智力上的自由探索。隨著互聯(lián)網(wǎng)的日益擴大，逐漸形成了黑客群體。正是這些黑客，倡導了一場個人計算機革命，倡導了現(xiàn)代計算機的開放體系結(jié)構(gòu)，打破了以往計算機技術(shù)只掌握在少數(shù)人手里的局面，是計算機發(fā)展史上的英雄。3.1黑客概述李納斯·托瓦茲斯蒂夫·蓋瑞·沃茲尼亞克理查德·馬修·斯托曼肯·湯普生卡普爾莫里斯3.1黑客概述3.1黑客概述3.1黑客概述3.1.1黑客的概念從黑客的起源來看，稱計算機犯罪的人為黑客是對Hacker本質(zhì)的誤解，只會使用一些軟件入侵系統(tǒng)的人根本沒有任何資格和黑客這個詞相提并論。黑客：首先應(yīng)該在某項安全技術(shù)上有出眾的能力，即技術(shù)上的行家，另外，還應(yīng)具有自由、共享的精神和正義的行為，即熱衷于解決問題，并能無償幫助他人。3.1黑客概述3.1.1黑客的概念黑客們?yōu)榱伺c其他黑客相區(qū)別自封了三頂帽子，即“黑帽子”、“白帽子”和“灰帽子”。黑帽子：以入侵他人計算機系統(tǒng)為樂趣并進行破壞的人。白帽子：入侵系統(tǒng)進行安全研究并主動幫助別人修補漏洞的網(wǎng)絡(luò)安全人員?；颐弊樱褐改切┌l(fā)現(xiàn)系統(tǒng)漏洞，并在公開場合探討這些漏洞和安全防范措施的計算機技術(shù)愛好者。3.1黑客概述3.1.2攻擊的概念攻擊是對系統(tǒng)全策略的一種侵犯，是指任何企圖破壞計算機資源的完整性（未授權(quán)的數(shù)據(jù)修改）、機密性（未授權(quán)的數(shù)據(jù)泄露或未授權(quán)的服務(wù)的使用）以及可用性（拒絕服務(wù)）的活動。通常，“攻擊”和“入侵”同指這樣一種活動。3.1黑客概述3.1.3攻擊的分類互聯(lián)計算機的威脅來自很多形式。1980年，Anderson在其著名的報告中，對不同類型的計算機系統(tǒng)安全威脅進行了劃分，他將入侵分為外部闖入、內(nèi)部授權(quán)擁護的越權(quán)使用和濫用三種類型，并以此為基礎(chǔ)提出了不同安全滲透的檢測方法。目前，攻擊分類的主要依據(jù)有：威脅來源、攻擊方式、安全屬性、攻擊目的和攻擊使用的技術(shù)手段等。這里給出幾種攻擊分類方式。3.1黑客概述1.按照威脅的來源，潛在入侵者的攻擊可以被粗略地分成兩類。外來人員攻擊和內(nèi)部人員攻擊2.按照安全屬性，Stalling將攻擊分為四類，如圖3.1所示。3.按照攻擊方式，攻擊可分為主動攻擊和被動攻擊。被動攻擊包括竊聽和監(jiān)聽。常用保護方法：加密。此攻擊檢測困難。主動攻擊包括偽裝、應(yīng)答、修改文件、拒絕服務(wù)。此攻擊難阻止、但可以檢測、并修復(fù)。3.1黑客概述4.按照入侵者的攻擊目的，可將攻擊分為下面四類。

(1)拒絕服務(wù)攻擊：是最容易實施的攻擊行為，它企圖通過使目標計算機崩潰或把它壓跨來阻止其提供服務(wù)。主要包括：Land，Synflooding(UDPflooding)，Pingofdeath，Smurf(Fraggle)，Teardrop，TCPRST攻擊，Jot2，電子郵件炸彈，畸形消息攻擊。(2)利用型攻擊：是一類試圖直接對你的機器進行控制的攻擊。主要包括：口令猜測，特洛伊木馬，緩沖區(qū)溢出。(3)信息收集型攻擊：這類攻擊并不對目標本身造成危害，而是被用來為進一步入侵提供有用的信息。主要包括：掃描（包括：端口掃描、地址掃描、反向映射、慢速掃描），體系結(jié)構(gòu)刺探，利用信息服務(wù)（包括：DNS域轉(zhuǎn)換、Finger服務(wù)，LDAP服務(wù)）。(4)假消息攻擊：用于攻擊目標配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件。黑客攻擊案例1、1988年11月：羅伯特·塔潘·莫里斯對陣全球

羅伯特·塔潘·莫里斯(RobertTappanMorris)1988年成為康奈爾大學(CornellUniversity)的研究生，他研制出一種自我復(fù)制的蠕蟲，并賦予它使命：確定互聯(lián)網(wǎng)的規(guī)模(goouttodeterminethesizeoftheinternet)。事與愿違，蠕蟲的復(fù)制無法控制，它感染了數(shù)千臺電腦，造成了數(shù)百萬美元的損失，并促使美國政府針對電腦創(chuàng)建了應(yīng)急響應(yīng)(createaemergencyresponseforcomputers)。

由于意外的失誤，莫里斯最終被指控違反計算機欺詐與濫用法案(ComputerFraud&AbuseAct)，被判處1萬美元罰金，及400小時社區(qū)服務(wù)。莫里斯的源代碼存放于一個黑色3.5英寸軟盤中，在波士頓科學博物館(BostonMuseumofScience)中進行展示。黑客攻擊案例2、2014年11月：索尼影業(yè)遭黑客攻擊事件

美國索尼影業(yè)遭到黑客攻擊，事件起因于該公司近日發(fā)行的“以刺殺朝鮮最高領(lǐng)導人金正恩”為主題的電影《采訪》，由于多方介入，此事已經(jīng)發(fā)酵成一起國際政治事件。11月22日，索尼影業(yè)網(wǎng)絡(luò)系統(tǒng)遭黑客攻擊，員工信件及影視明星的私人信息被泄露12月7日，朝鮮否認其為黑客事件幕后指使，但贊揚此行動為“正義之舉”12月16日，自稱“和平護衛(wèi)隊”的黑客團體威脅將在放映地點發(fā)動類似于9·11的恐怖襲擊，電影紐約首映取消12月17日，美國主要院線聲明撤銷放映電影《采訪》，索尼取消圣誕公映12月19日：FBI指控朝鮮是黑客事件的始作俑者；奧巴馬稱索尼取消公映是“錯誤”黑客攻擊造成危害危害國家安全造成經(jīng)濟損失,破壞社會穩(wěn)定破壞社會政策秩序引發(fā)網(wǎng)絡(luò)黑客混戰(zhàn)黑客攻擊解決方法立法控制成立專門應(yīng)對機構(gòu)制定反黑公約世界聯(lián)合行動增加財政投入3.1黑客概述5.按照入侵者使用的技術(shù)手段，攻擊技術(shù)主要分為以下四類。網(wǎng)絡(luò)信息收集技術(shù)：包括目標網(wǎng)絡(luò)中主機的拓撲結(jié)構(gòu)分析技術(shù)、目標網(wǎng)絡(luò)服務(wù)分布分析技術(shù)和目標網(wǎng)絡(luò)漏洞掃描技術(shù)。目標網(wǎng)絡(luò)權(quán)限提升技術(shù)：包括本地權(quán)限提升和遠程權(quán)限提升。目標網(wǎng)絡(luò)滲透技術(shù)：包括后門技術(shù)、Sniffer技術(shù)、欺騙技術(shù)、tunnel及代理技術(shù)。目標網(wǎng)絡(luò)摧毀技術(shù)：包括目標服務(wù)終止、目標系統(tǒng)癱瘓和目標網(wǎng)絡(luò)癱瘓。3.2網(wǎng)絡(luò)踩點

踩點，也就是信息收集。黑客實施攻擊前要做的第一步就是“踩點”。與劫匪搶銀行類似，攻擊者在實施攻擊前會使用公開的和可利用的信息來調(diào)查攻擊目標。通過信息收集，攻擊者可獲得目標系統(tǒng)的外圍資料，如機構(gòu)的注冊資料、網(wǎng)絡(luò)管理員的個人愛好、網(wǎng)絡(luò)拓撲圖等。攻擊者將收集來的信息進行整理、綜合和分析后，就能夠初步了解一個機構(gòu)網(wǎng)絡(luò)的安全態(tài)勢和存在的問題，并據(jù)此擬定出一個攻擊方案。3.2網(wǎng)絡(luò)踩點肉雞就是被黑客攻破，種植了木馬病毒的電腦，黑客可以隨意操縱它并利用它做任何事情，就象傀儡。肉雞可以是各種系統(tǒng)，如windows、linux、unix等，更可以是一家公司、企業(yè)、學校甚至是政府軍隊的服務(wù)器。如何檢測呢？3.2網(wǎng)絡(luò)踩點注意以下幾種基本的情況：

1：QQ、MSN的異常登錄提醒（系統(tǒng)提示上一次的登錄IP不符）

2：網(wǎng)絡(luò)游戲登錄時發(fā)現(xiàn)裝備丟失或與上次下線時的位置不符，甚至用正確的密碼無法登錄。

3：有時會突然發(fā)現(xiàn)你的鼠標不聽使喚，在你不動鼠標的時候，鼠標也會移動，并且還會點擊有關(guān)按鈕進行操作。

4：正常上網(wǎng)時，突然感覺很慢，硬盤燈在閃爍，就像你平時在COPY文件。

3.2網(wǎng)絡(luò)踩點5：當你準備使用攝像頭時，系統(tǒng)提示，該設(shè)備正在使用中。6：在你沒有使用網(wǎng)絡(luò)資源時，你發(fā)現(xiàn)網(wǎng)卡燈在不停閃爍。如果你設(shè)定為連接后顯示狀態(tài)，你還會發(fā)現(xiàn)屏幕右下角的網(wǎng)卡圖標在閃。7：服務(wù)列隊中出可疑程服務(wù)。8：寬帶連接的用戶在硬件打開后未連接時收到不正常數(shù)據(jù)包。（可能有程序后臺連接）3.2網(wǎng)絡(luò)踩點9：防火墻失去對一些端口的控制。10：上網(wǎng)過程中計算機重啟。11：有些程序如殺毒軟件防火墻卸載時出現(xiàn)閃屏（卸載界面一閃而過，然后報告完成。）12：一些用戶信任并經(jīng)常使用的程序（QQ`殺毒）卸載后。目錄文仍然存在，刪除后自動生成。13：電腦運行過程中或者開機的時候彈出莫名其妙的對話框3.2網(wǎng)絡(luò)踩點我們可以借助一些軟件來觀察網(wǎng)絡(luò)活動情況，以檢查系統(tǒng)是否被入侵。1．注意檢查防火墻軟件的工作狀態(tài)比如金山網(wǎng)鏢、360安全衛(wèi)士等。在網(wǎng)絡(luò)狀態(tài)頁，會顯示當前正在活動的網(wǎng)絡(luò)連接，仔細查看相關(guān)連接。如果發(fā)現(xiàn)自己根本沒有使用的軟件在連接到遠程計算機，就要小心了。3.2網(wǎng)絡(luò)踩點2．推薦使用tcpview，可以非常清晰的查看當前網(wǎng)絡(luò)的活動狀態(tài)。一般的木馬連接，是可以通過這個工具查看到結(jié)果的。這里說一般的木馬連接，是區(qū)別于某些精心構(gòu)造的rootkit木馬采用更高明的隱藏技術(shù)，不易被發(fā)現(xiàn)的情況。3.2網(wǎng)絡(luò)踩點3．使用360、金山清理專家等進行在線診斷，特別注意全面診斷的進程項清理專家會對每一項進行安全評估，當遇到未知項時，需要特別小心。4．清理專家百寶箱的進程管理器可以查找可疑文件，幫你簡單的檢查危險程序所在。3.2網(wǎng)絡(luò)踩點1.關(guān)閉高危端口2.及時打補丁即升級殺毒軟件3.經(jīng)常檢查系統(tǒng)4.盜版WindowsXP存在巨大風險5.小心使用移動存儲設(shè)備6.安全上網(wǎng)如何避免呢？

3.2網(wǎng)絡(luò)踩點

踩點3.2網(wǎng)絡(luò)踩點Intranet又稱為企業(yè)內(nèi)部網(wǎng)，是Internet技術(shù)在企業(yè)內(nèi)部的應(yīng)用。它實際上是采用Internet技術(shù)建立的企業(yè)內(nèi)部網(wǎng)絡(luò)，它的核心技術(shù)是基于Web的計算。Intranet的基本思想是:在內(nèi)部網(wǎng)絡(luò)上采用TCP/IP作為通信協(xié)議，利用Internet的Web模型作為標準信息平臺，同時建立防火墻把內(nèi)部網(wǎng)和Internet分開。當然Intranet并非一定要和Internet連接在一起，它完全可以自成一體作為一個獨立的網(wǎng)絡(luò)。3.2網(wǎng)絡(luò)踩點whois（讀作“Whois”，而非縮寫）是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議。whois就是一個用來查詢域名是否已經(jīng)被注冊，以及注冊域名的詳細信息的數(shù)據(jù)庫（如域名所有人、域名注冊商、域名注冊日期和過期日期等）。通過whois來實現(xiàn)對域名信息的查詢。3.2網(wǎng)絡(luò)踩點1．利用搜索引擎搜索引擎是一個非常有利的踩點工具，如Google具有很強搜索能力，能夠幫助攻擊者準確地找到目標，包括網(wǎng)站的弱點和不完善配置。比如，多數(shù)網(wǎng)站只要設(shè)置了目錄列舉功能，Google就能搜索出Indexof頁面，如圖3.2。3.2網(wǎng)絡(luò)踩點打開Indexof頁面就能夠瀏覽一些隱藏在互聯(lián)網(wǎng)背后的開放了目錄瀏覽的網(wǎng)站服務(wù)器的目錄，并下載本無法看到的密碼賬戶等有用文件，如圖3.3。3.2網(wǎng)絡(luò)踩點2．利用whois數(shù)據(jù)庫除了搜索引擎外，Internet上的各種whois數(shù)據(jù)庫也是非常有用的信息來源。這些數(shù)據(jù)庫包含各種關(guān)于