网络安全第2章黑客与攻击技术
（6）攻击的破坏效果增大
由于用户越来越多地依赖计算机网络提供各种服 务，完成日常业务，黑客攻击网络基础设施造成的破 坏影响越来越大。
由于攻击技术的进步，攻击者可以较容易地利用 分布式攻击技术，对受害者发动破坏性攻击。随着黑 客软件部署自动化程度和攻击工具管理技巧的提高， 安全威胁的不对称性将继续增加。攻击者的数量也不 断增加。
病毒攻击是当今网络信息安全的主要威 胁之一。
网络安全第2章黑客与攻击技术
2.1.4 黑客入侵后的应对措施
1．发现黑客 发现信息系统是否被入侵不是件容易
的事，即使已经有黑客入侵，也可能永远 发现不了。如果黑客破坏了站点的安全性， 则追踪他们，方法有：
n 借助工具来发现，如：扫描、监听等 n 对可疑行为进行检查，如检查系统命令等 n 查看屡次失败的访问口令
当黑客实施攻击以后，通常会在被攻击主 机的日志中留下相关的信息，所以黑客一般会 采用清除系统日志或者伪造系统日志等方法来 销毁痕迹，以免被跟踪。
网络安全第2章黑客与攻击技术
2.1.2 黑客攻击的步骤
确定目标 信息收集 漏洞挖掘
攻击网络
攻击主机
留下后门 清除日志 结束攻击
网络安全第2章黑客与攻击技术
网络安全第2章黑客与攻击技术
3.黑客的威胁趋势
黑客攻击越来越容易实现，威胁程度越来越高
高
对攻击者技术知识和技巧
的要求
各种攻击者的综合威胁 程度
低
时间（年）
1980
1985 1990
1995
2001 2003
网络安全第2章黑客与攻击技术
4.黑客攻击的目标
n 针对基础设施、安全设备的攻击
n 终端、用户系统——基础设施
击工具可以自己发动新的攻击； n 攻击工具的开发者正在利用更先进的技术武装攻击工具，
攻击工具的特征比以前更难发现，攻击工具越来越复杂。
网络安全第2章黑客与攻击技术
（2）漏洞被利用的速度越来越快
安全问题的技术根源是软件和系统的安全 漏洞，正是一些别有用心的人利用了这些漏洞， 才造成了安全问题。
新发现的各种系统与网络安全漏洞每年都 要增加一倍，每年都会发现安全漏洞的新类型， 网络管理员需要不断用最新的软件补丁修补这 些漏洞。黑客经常能够抢在厂商修补这些漏洞 前发现这些漏洞并发起攻击。
网络安全第2章黑客与攻击技术
2.2 网络扫描
2.2.1 扫描的概念
n 网络扫描就是对计算机系统或者其他网络设备进行 与安全相关的检测，以找出目标系统所放开放的端 口信息、服务类型以及安全隐患和可能被黑客利用 的漏洞。
n 它是一种系统检测、有效防御的工具。 n 如果被黑客掌握，它也可以成为一种有效的入侵工
网络安全第2章黑客与攻 击技术
2020/12/13
网络安全第2章黑客与攻击技术
2．黑客守则
任何职业都有相关的职业道德，黑客也有其“行 规”，一些守则是必须遵守的，归纳起来就是“黑客 守则”。
（1）不要恶意破坏任何系统，否则会给自己带来麻 烦。
（2）不要破坏别人的软件和资料。 （3）不要修改任何系统文件，如果是由于进入系统 的需要，则应该在目的达到后将其恢复原状。 （4）不要轻易地将你要黑的或者黑过的站点告诉不 信任的朋友。 （5）在发表黑客文章时不要用自己的真实名字。
n 其原理是向目标工作站、服务器发送数据包，根 据信息反馈来分析当前目标系统的端口开放情况 和更多细节信息。
n 主要的目的是：
n 判断目标主机中开放了哪些服务 n 判断目标主机的操作系统
网络安全第2章黑客与攻击技术
（1）TCP connect() 扫描
n 这是最基本的TCP扫描。操作系统提供的 connect()系统调用，用来与每一个感兴趣 的目标主机的端口进行连接。
（2）网络扫描。使用扫描工具对网络地址、开放 端口等情况扫描。
（3）网络监听。使ຫໍສະໝຸດ 监听工具对网络数据包进行 监听，以获得口令等敏感信息。
网络安全第2章黑客与攻击技术
3．欺骗型攻击
通常利用实体之间的信任关系而进行的一种攻击 方式，主要形式有：
（1）IP欺骗。使用其它主机的IP地址来获得信息 或者得到特权。
网络安全第2章黑客与攻击技术
（3）有组织的攻击越来越多
攻击的群体在改变，从个体到有组织的群 体，各种各样黑客组织不断涌现，进行协同作 战。
在攻击工具的协调管理方面，随着分布式 攻击工具的出现，黑客可以容易地控制和协调 分布在Internet上的大量已部署的攻击工具。 目前，分布式攻击工具能够更有效地发动拒绝 服务攻击，扫描潜在的受害者，危害存在安全 隐患的系统。
具。
网络安全第2章黑客与攻击技术
2.2.2 网络扫描的原理
n 网络扫描的基本原理是通过网络向目标系统发送一些特征 信息，然后根据反馈情况，获得有关信息。
n 网络扫描通常采用两种策略：
n 第一种是被动式策略，所谓被动式策略就是基于主机之上，对系 统中不合适的设置、脆弱的口令以及其他与安全规则抵触的对象 进行检查；
网络安全第2章黑客与攻击技术
3．抓住入侵者
n 遵循一定的原则，有利于抓住入侵者
n 定期检查登录文件 n 注意不寻常的登录 n 注意突然活跃的账号 n 预判入侵者的活动时间
网络安全第2章黑客与攻击技术
2.1.5 黑客与信息安全
进入21世纪，黑客的行为又呈现出新 的特点，主要表现为： （1）群体组织化 （2）地域全球化 （3）构成大众化 （4）阵容年轻化 （5）技术智能化 （6）手段多样化 （7）动机商业化 （8）身份合法化 （9）行为军事化
5.黑客攻击的演变
（1）攻击手段在快速改变
如今各种黑客工具唾手可得，各种各样的黑客网站 到处都是。网络攻击的自动化程度和攻击速度不断提高， 利用分工协同的扫描方式、配合灵活的任务配置和加强 自身隐蔽性，来实现大规模、高效率的安全扫描。
n 安全脆弱的系统更容易受到损害； n 从以前需要依靠人启动软件工具发起的攻击，发展到攻
n 如果端口处于侦听状态，那么connect()就 能成功。否则，这个端口是不能用的，即没 有提供服务。
有了普通账号就可以侵入到目标主机之中，由于普通账号的权 限有限，所以黑客会利用系统的漏洞、监听、欺骗、口令攻击等技 术和手段获取管理员的权限，然后实施对该主机的绝对控制。
网络安全第2章黑客与攻击技术
2.1.2 黑客攻击的步骤
4．种植后门 为了保持对“胜利果实”长期占有的欲望，
在已被攻破的主机上种植供自己访问的后门程 序。 5．隐藏自己
2.1.3 黑客常用的攻击手段
目前常见的黑客攻击手段主要有以下几种： 1．社会工程学攻击
社会工程学攻击是指利用人性的弱点、社 会心理学等知识来获得目标系统敏感信息的行 为。
攻击者如果没有办法通过物理入侵直接取 得所需要的资料，就会通过计策或欺骗等手段 间接获得密码等敏感信息，通常使用电子邮件、 电话等形式对所需要的资料进行骗取，再利用 这些资料获取主机的权限以达到其攻击的目的。
n 第二种是主动式策略，主动式策略是基于网络的，它通过执行一 些脚本文件，模拟对系统进行攻击的行为并记录系统的反应，从 而发现其中的漏洞。
n 利用被动式策略扫描称为安全扫描，利用主动式策略扫描 称为网络安全扫描。
网络安全第2章黑客与攻击技术
1.端口扫描
n 端口扫描是指通过检测远程或本地系统的端口开 放情况，来判断系统所安装的服务和相关信息。
网络安全第2章黑客与攻击技术
（4）攻击的目的和目标在改变
n 从早期的以个人表现的无目的的攻击，到有意识有目 的的攻击，攻击目标在改变；
n 从早期的以军事敌对为目标向民用目标转变，民用计 算机受到越来越多的攻击，公司甚至个人的电脑都成 为了攻击目标。
n 更多的职业化黑客的出现，使网络攻击更加有目的性。 n 黑客们已经不再满足于简单、虚无飘渺的名誉追求，
n 危害范围更大、造成损失更大、负面影响更大
n 主机、服务器——安全设备
n 安全设备“后面”往往毫无戒备，用户对安全设备的依赖 性更大
n 针对业务流程、信息内容的安全威胁
n 垃圾信息（垃圾邮件、垃圾广告、……） n 有害信息（反动、色情、暴力、……） n 针对业务系统设计漏洞的攻击
网络安全第2章黑客与攻击技术
网络安全第2章黑客与攻击技术
5．利用型攻击
利用型攻击是指试图直接对主机进行控制 的攻击，常见有：
（1）猜口令。通过分析或暴力攻击等手 段获取合法账户的口令。
（2）木马攻击。这里的“木马”是潜在 威胁的意思，种植过木马的主机将会完全被攻 击者掌握和控制。
网络安全第2章黑客与攻击技术
6．病毒攻击
致使目标主机感染病毒，从而造成系统 损坏、数据丢失、拒绝服务、信息泄密、性 能下降等现象的攻击。
更多的攻击背后是丰厚的经济利益。
网络安全第2章黑客与攻击技术
（5）攻击行为越来越隐密
攻击者已经具备了反侦破、动态行为、攻 击工具更加成熟等特点。
n 反侦破是指黑客越来越多地采用具有隐蔽攻击特性 的技术，使安全专家需要耗费更多的时间来分析新 出现的攻击工具和了解新的攻击行为。
n 动态行为是指现在的自动攻击工具可以根据随机选 择、预先定义的决策路径或通过入侵者直接管理， 来变化它们的模式和行为，而不是像早期的攻击工 具那样，仅能够以单一确定的顺序执行攻击步骤。
网络安全第2章黑客与攻击技术
2．应急操作
（1）估计形势 估计入侵造成的破坏程度，如，是否已经入侵？
是否还滞留？是否来自内部等。 （2）切断连接
立即采取行动，切断连接，如，关闭服务器，追 踪黑客等。 （3）分析问题
分析新近发生的安全事件，并制定一个计划。 （4）采取行动
实施紧急反应计划，修补漏洞，恢复系统。