攻击五部曲
• 一次成功的攻击，都可以归纳成基本的五步 骤，但是根据实际情况可以随时调整。归纳 起来就是“黑客攻击五部曲”
– 1、隐藏IP – 2、踩点扫描 – 3、获得系统或管理员权限 – 4、种植后门 – 5、在网络中隐身
1、隐藏IP
• 这一步必须做，因为如果自己的入侵的痕迹被发现了，当 FBI找上门的时候就一切都晚了。
入侵前的准备和防范方法
• • • • • • • 本身: 一定要安全 客观条件:必须连接互联网, 必须有漏洞 目标: 202.197.187.160 查询IP ip:[59.34.197.239]
• • • •
•
地理位置查询: /ip/ http://www. /ips8.asp 扫描:
5．CCERT CCERT是中国教育和科研计算机网紧急响应组的简称，
它对中国教育和科研计算机网及会员单位的网络安全事件提供
快速的响应或技术支持服务，也对社会其他网络用户提供与安 全事件响应相关的咨询服务。网络地址是。
6．软件厂商网站 微软公司：
紧急升级通告：
/support/kb/articles/Q224/4/20.ASP
端口扫描
网络系统漏洞扫描
漏洞概念 漏洞又称为脆弱性，它是指计算机系统中与安全策略相冲 突的状态或错误，这些状态或错误将导致攻击者非授权访问、
假冒用户执行操作及拒绝服务。CC标准指出，威胁主体利用
漏洞实现攻击。然而，网络系统的漏洞是广泛存在的，包括通 信协议、操作系统软件应用系统和网络管理等都有或多或少的
网络系统漏洞来源
网络系统中漏洞的来源有许多种，主要有以下几类： (1) 软件编程错误，如未对用户输入数据的合法性进行验证，使攻击 者非法进入系统。 (2) 安全配置不当，如系统和应用的配置有误，或配置参数、访问权 限、策略安装位置有误。 (3) 测试不充分，大型软件日益复杂，软件测试不完善，甚至缺乏安 全测试。 (4) 安全意识薄弱，如选取简单口令。 (5) 安全管理人员的疏忽，如没有良好的安全策略及执行制度，重技术， 轻管理，从而导致安全隐患。
4、种植后门
• 为了保持长期对自己胜利果实的访问权,在 已经攻破的计算机上种植一些供自己访问 的后门。
5、在网络中隐身
• 一次成功入侵之后，一般在对方的计算机 上已经存储了相关的登录日志，这样就容 易被管理员发现。 • 在入侵完毕后需要清除登录日志已及其他 相关的日志。
攻击和安全的关系
• 黑客攻击和网络安全的是紧密结合在一起的，研究网络安 全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不 研究网络安全就是闭门造车。 • 某种意义上说没有攻击就没有安全，系统管理员可以利用 常见的攻击手段对系统进行检测，并对相关的漏洞采取措 施。 • 网络攻击有善意也有恶意的，善意的攻击可以帮助系统管 理员检查系统漏洞，恶意的攻击可以包括：为了私人恩怨 而攻击、商业或个人目的获得秘密资料、民族仇恨、利用 对方的系统资源满足自己的需求、寻求刺激、给别人帮忙 以及一些无目的攻击。
漏洞，这些漏洞的存在成为网络系统的安全隐患。因此，漏洞
管理已经成为网络管理的重要工作之一。
漏洞与网络安全 研究表明，网络系统中漏洞的存在是网络攻击成功的必要
条件之一，攻击者要成功入侵关键在于及早发现和利用目标网
络系统的漏洞。攻击者利用漏洞对网络系统安全构成的威胁有： 普通用户权限提升、获取本地管理员权限、获取远程管理员权 限、本地拒绝服务、远程拒绝服务、服务器信息泄露、远程非 授权文件访问、读取受限文件、口令恢复、欺骗等。下表是与 漏洞相关的安全重大事件统计表。
黑客守则
• 任何职业都有相关的职业道德，一名黑客同样有职业道德，一些守则是必须 遵守的，不让会给自己招来麻烦。归纳起来就是“黑客十二条守则”。
– 1、不要恶意破坏任何的系统，这样做只会给你带来麻烦。 – 2、不要破坏别人的软件和资料。 – 3、不要修改任何系统文件，如果是因为进入系统的需要而修改了系统文件，请在 目的达到后将他改回原状。 – 4、不要轻易的将你要黑的或者黑过的站点告诉你不信任的朋友。 – 5、在发表黑客文章时不要用你的真实名字。 – 6、正在入侵的时候，不要随意离开你的电脑。 – 7、不要入侵或破坏政府机关的主机。 – 8、将你的笔记放在安全的地方。 – 9、已侵入的电脑中的账号不得清除或修改。 – 10、可以为隐藏自己的侵入而作一些修改，但要尽量保持原系统的安全性，不能 因为得到系统的控制权而将门户大开。 – 11、不要做一些无聊、单调并且愚蠢的重复性工作。 – 12、做真正的黑客，读遍所有有关系统安全或系统漏洞的书。
•
2、探索与创新的精神
– 所有的黑客都是喜欢探索软件程序奥秘的人。他们探索程序与系统的漏洞，在发现问题 的同时会提出解决问题的方法。
•
3、反传统的精神
– 找出系统漏洞，并策划相关的手段利用该漏洞进行攻击，这是黑客永恒的工作主题，而 所有的系统在没有发现漏洞之前，都号称是安全的。
•
4、合作的精神
– 成功的一次入侵和攻击，在目前的形式下，单靠一个人的力量已经没有办法完成了，通 常需要数人，数百人的通力协作才能完成任务，互联网提供了不同国家黑客交流合作的 平台。
网络地址是。
3．CVE CVE(Common Vulnerabilities and Exposures)是Mitre公司开 发的项目，它提供正式的通用漏洞命名标准服务。目前，CVE 已发布的正式漏洞有两千余条。网络地址是。
• 通常有两种方法实现自己IP的隐藏：
– 第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利 用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。 – 第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下 的是代理计算机的IP地址。
• 比如攻击A国的站点，一般选择离A国很远的B国计算机作 为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难 被侦破。
– 动机复杂化：黑客的动机目前已经不再局限于为了国家、金钱和刺 激。已经和国际的政治变化、经济变化紧密的结合在一起。
黑客精神
• • 要成为一名好的黑客，需要具备四种基本素质：“Free”精神、探索与创新精神、 反传统精神和合作精神。 1、“Free”(自由、免费)的精神
– 需要在网络上和本国以及国际上一些高手进行广泛的交流，并有一种奉献精神，将自己 的心得和编写的工具和其他黑客共享。
4．CNCERT/CC
CNCERT/CC是国家计算机网络应急技术处理协调中心的
简称，它是在信息产业部互联网应急处理协调办公室的直接领
导下，负责协调我国各计算机网络安全事件应急小组(CERT) 共同处理国家公共互联网上的安全紧急事件，为国家公共互联 网、国家主要网络信息应用系统以及关键部门提供计算机网络 安全的监测、预警、应急、防范等安全服务和技术支持，及时 收集、核实、汇总、发布有关互联网安全的权威性信息，组织 国内计算机网络安全应急组织进行国际合作和交流的组织。网 络地址是。
2、踩点扫描
• 踩点就是通过各种途径对所要攻击的目标进 行多方面的了解（包括任何可得到的蛛丝马 迹，但要确保信息的准确），确定攻击的时 间和地点。
• 扫描的目的是利用各种工具在攻击目标的IP 地址或地址段的主机上寻找漏洞。扫描分成 两种策略：被动式策略和主动式策略。
3、获得系统或管理员权限
• 得到管理员权限的目的是连接到远程计算机，对 其进行控制，达到自己攻击目的。获得系统及管 理员权限的方法有：
– – – – – – – 通过系统漏洞获得系统权限 通过管理漏洞获得管理员权限 通过软件漏洞得到系统权限 通过监听获得敏感信息进一步获得相应权限 通过弱口令获得远程管理员的用户密码 通过穷举法获得远程管理员的用户密码 通过攻破与目标机有信任关系另一台机器进而得到目 标机的控制权 – 通过欺骗获得权限以及其他有效的方法。
历年重大安全事件与安全漏洞的统计表
时间 1988 年 2000 年 2001 年 2002 年 2003 年 安全重大事件名 Internet 蠕虫 分布式拒绝服务攻击 红色代码蠕虫 Slammer 蠕虫 冲击波蠕虫 Sendmail 及 finger 漏洞 TCP/IP 协议漏洞 微软 Web 服务器 IIS 4.0 或 5.0 中 index 服务的安全漏洞 微软 M S SQL 数据库系统漏洞 微软操作系统 DCOM RPC 缓冲区溢出漏洞 所利用的漏洞
网络系统漏洞发布机制
漏洞发布机制是一种向公众或用户公开漏洞信息的一套方 法。将漏洞信息公布给用户，帮助人们采取措施及时堵住漏洞， 不让攻击者有失。漏洞发布一般由软、硬件开发商、安全组织、 黑客或用户来进行。漏洞发布方式主要有三种形式：网站、电 子邮件以及安全论坛。网络管理员通过访问漏洞发布网站和安 全论坛或订阅漏洞发布电子邮件就能及时获取漏洞信息。漏洞 信息公布内容一般包括：漏洞编号、发布日期、安全危害级别、 漏洞名称、漏洞影响平台、漏洞解决建议等。例如，如下图所 示，国家计算机网络应急技术处理协调中心于2005年2月10日 发布微软的漏洞信息。
网络踩点
• 踩点就是通过各种途径对所要攻击的目标进行多方面 的了解（包括任何可得到的蛛丝马迹，但要确保信息 的准确）。 • 常见的踩点方法包括：
– – – – – 在域名及其注册机构的查询 公司性质的了解 对主页进行分析 邮件地址的搜集 目标IP地址范围查询。
• 踩点的目的就是探察对方的各方面情况，确定攻击的 时机。模清楚对方最薄弱的环节和守卫最松散的时刻， 为下一步的入侵提供良好的策略。
黑客分类
• 目前将黑客的分成三类：
• 第一类：破坏者； • 第二类：红客； • 第三类：间谍
黑客的行为发展趋势
• 网站被黑可谓是家常便饭，世界范围内一般美国和日本的网 站比较难入侵，韩国、澳大利亚等国家的网站比较容易入侵， 黑客的行为有三方面发展趋势：
– 手段高明化：黑客界已经意识到单靠一个人力量远远不够了，已经 逐步形成了一个团体，利用网络进行交流和团体攻击，互相交流经 验和自己写的工具。 – 活动频繁化：做一个黑客已经不再需要掌握大量的计算机和网路知 识，学会使用几个黑客工具，就可以在互联网上进行攻击活动，黑 客工具的大众化是黑客活动频繁的主要原因。