安全ppt
8
二、远程攻击的步骤
安全ppt
9
1、寻找目标主机并收集目标信息
1）锁定目标
利用域名和IP地址都可以顺利找到主机。DNS 协议不对转换或信息性的更新进行身份认证，这使 得该协议被人以一些不同的方式加以利用。黑客只 需实施一次域转换操作就能得到所有主机的名称以 及内部IP地址。
安全ppt
10
个工具软件，它将许多应用集成在一起的工具，其中
包括: Ping、IP地址范围扫描、目标主机端口扫描、邮
件炸弹、过滤邮件、Finger主机等都是非常实用的工
具。
安全ppt
11
3）系统分析
目标主机采用的是什么操作系统。黑客使用 具有已知响应类型的数据库的自动工具，对来自 目标主机的、对坏数据包传送所作出的响应进行 检查。由于每种操作系统都有其独特的响应方法。 通过将此独特的响应与数据库中的已知响应进行 对比，黑客经常能够确定出目标主机所运行的操 作系统。
安全ppt
13
b.来源于电子邮件地址
有些用户电子邮件地址（指@符号前面的部分） 与其取邮件的帐号是一致的
c.非常全面的X.500功能
有些主机提供了X.500的目录查询服务。如何 知道是否提供X.500的功能，扫描目标主机的端口， 如果端口105的状态已经被"激活"，在自己的机器上 安装一个X.500的客户查询的工具，选择目标主机， 可以获得意想不到的信息。
安全ppt
15
5）获得管理员信息
运行一个查询命令host，可获得保存在目标域服务 器中的所有信息。WHOIS查询，可识别出技术管理 人员。
运行一些Usenet和WEB查询。系统管理员的职责
是维护站点的安全，当他们遇到各种问题时，许多管理员会迫不源自待地将这些问题发到Usenet或邮件
列表上以寻求答案。只要肯花一些时间来寻找此系
计算机系统安全 第10章
攻击与应急响应
安全ppt
1
一、基本概念
安全ppt
2
1、攻击的位置
（1）远程攻击：从该子网以外的地方向该子网或 者该子网内的系统发动攻击。
（2）本地攻击：通过所在的局域网，向本单位的 其他系统发动攻击，在本机上进行非法越权访问也 是本地攻击。
（3）伪远程攻击：指内部人员为了掩盖攻击者的 身份，从本地获取目标的一些必要信息后，攻击过 程从外部远程发起，造成外部入侵的现象。
安全ppt
12
4）获取帐号信息
对于陌生的目标主机可能只知道它有一个 ROOT用户，至于其他帐户一无所知，要想登录 目标主机我们至少要知道一个普通用户
a.利用目标主机的Finger功能
对黑客软件HAKTEK，它的Finger功能可以 完全胜任，记录帐号信息，经过一段时间的监测， 就会积累一定的帐号信息。finger很可能暴露入 侵者的行为，为了避免finger查询产生标记，绝 大多数入侵者使用finger gateways（finger网关）。
安全ppt
14
d.习惯性常用帐号
根据平时的经验，一些系统总有一些习惯性的 常用帐号，这些帐号都是系统中因为某种应用而设 置的。例如：制作WWW网站的帐号可能是html、 www、web等，安装ORACLE数据库的可能有oracle 的 帐 号 ， 用 户 培 训 或 教 学 而 设 置 的 user1、user2、 student1、student2、client1、client2等帐户，一些常 用的英文名字也经常会使用，例如：tom、john等， 因此可以根据系统所提供的服务和在其主页得到的 工作人员的名字信息进行猜测。
（l）从攻击方来看这些攻击行为着上去像什么，
（2）从被攻击方来看这些攻击行为看上去像什么。
通过检查攻击方的日志文件入侵者能大致了解对 一个几乎没有保护措施的目标进行攻击时攻击行为着 上去像什么
2）服务分析
用提供不同服务的应用程序试一试就知道了，例 如：使用Telnet、FTP等用户软件向目标主机申请服务， 如果主机有应答就说明主机提供了这个服务，开放了 这个端口的服务。
黑客常用一些象PORTSCAN这样的工具软件，对
目标主机一定范围的端口进行扫描。这样可全部掌握
目标主机的端口情况。HAKTEK是一个非常实用的一
统管理员的地址（和其他的一些信息）便能彻底地
了解他的网络、他的安全概念以及他的个性。因为
发出这种邮件的系统管理员总会指明他们的组织结
构、网络的拓扑结构和他们面临的问题。
安全ppt
16
2、攻击测试
大部分的入侵者并不想尝试这种行为，因为这需 要一定的费用。在此步骤中，首先要建立一个和目标 一样的环境。一旦将此环境建立起来后，就可对它进 行一系列的攻击。在此过程中，有两件事需要注意：
7）涂改信息 8）暴露信息 9）挑战 10）政治意图 11）经济利益 12）破坏
安全ppt
5
4、攻击的人员
1）黑客：为了挑战和获取访问权限 2）间谍：为了政治情报信息 3）恐怖主义者：为了政治目的而制造恐怖 4）公司雇佣者：为了竞争经济利益 5）职业犯罪：为了个人的经济利益 6）破坏者：为了实现破坏
安全ppt
6
5、攻击的工具
1）用户命令：攻击者在命令行状态下或者图形用户接
口方式输入命令。
2）脚本或程序：在用户接口处初始化脚本和程序。
3）自治主体：攻击者初始化一个程序或者程序片断， 独立地执行操作，挖掘弱点。
4）工具箱：攻击者使用软件包（包含开发弱点的脚本、 程序、自治主体）。
5）分布式工具：攻击者分发攻击工具到多台主机，通 过协作方式执行攻击特定的目标。
安全ppt
3
2、攻击的层次
1）简单拒绝服务（如邮件炸弹攻击） 2）本地用户获得非授权读或者写权限 3）远程用户获得了非授权的帐号 4）远程用户获得了特权文件的读写权限 5）远程用户拥有了根（root）权限
安全ppt
4
3、攻击的目的
1）进程的执行 2）获取文件和传输中的数据 3）获得超级用户权限 4）对系统的非法访问 5）进行不许可的操作 6）拒绝服务
6）电磁泄漏
安全ppt
7
6、攻击的时间
大部分的攻击（或至少是商业攻击时间）一般是服务 器所在地的深夜。
客观原因。在白天，大多数入侵者要工作或学习，以 至没空进行攻击。
速度原因。网络正变得越来越拥挤，因此最佳的工作 时间是在网络能提供高传输速度的时间速率的时间。
保密原因。白天系统管理员一旦发现有异常行为。他 们便会跟踪而来。