黑客常用入侵与攻击手段分析

黑客常用入侵与攻击手段分析 黑客常用入侵与攻击手段分析
(3)、木马入侵
说到特洛伊木马，它最典型的做法就是把一个能帮助黑客 完成某一特定动作的程序依附在某一合法用户的正常程序中， 这时合法用户的程序代码已被改变。一旦用户触发该程序，那 么依附在内的黑客指令代码同时被激活，这些代码往往能完成 黑客指定的任务。由于这种入侵法需要黑客有很好的编程经验， 且要更改代码、要一定的权限，所以较难掌握。但正因为它的 复杂性，一般的系统管理员很难发现。 目前网络上流行的特洛伊木马种类,数量都很多.其中有些功 能非常强大,破坏性也极大.并且很难查杀,如果不慎中了木马,也 就等于在您的系统中开了一道后门,入侵者通过这个后门可以为 所欲为(查看,复制,删除您的系统文件.截取用户系统的各种密码， 甚至可以全权控制这台机器,后果极其严重.）
上面的两组截图就是通过扫描发现存在于Microsoft IIS 5.0 系统上的CGI漏洞，如果对这些漏洞进行Buffer Overflow 攻击，就可以获得对方具有ROOT权限的SHELL。 黑客常用入侵与攻击手段分析
(5-1)、拒绝服务攻击(Dos攻击)
DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求 来占用过多的服务资源，致使服务超载，无法响应其他的请求。这些服 务资源包括网络带宽，文件系统空间容量，开放的进程或者向内的连接。 这种攻击会导致资源的匮乏，无论计算机的处理速度多么快，内存容量 多么大，互连网的速度多么快都无法避免这种攻击带来的后果。因为任 何事都有一个极限，所以，总能找到一个方法使请求的值大于该极限值， 因此就会使所提供的服务资源匮乏，象是无法满足需求。千万不要自认 为自己拥有了足够宽的带宽就会有一个高效率的网站，拒绝服务攻击会 使所有的资源变得非常渺小。 1. 死亡之ping（ping of death） 由于在早期的阶段，路由器对所传输的文件包最大尺寸都有限制， 许多操作系统对TCP／IP的实现在ICMP包上都是规定64KB，并且在对 包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载 荷生成缓冲区，一旦产生畸形即声称自己的尺寸超过ICMP上限的包， 也就是加载的尺寸超过64KB上限时，就会出现内存分配错误，导致 TCP／IP堆栈崩溃，致使接受方当机。这种攻击方式主要是针对 Windows 9X操作系统的，而Unix、Linux、Solaris。 Mac OS都具 有抵抗一般ping of death攻击的能力。 黑客常用入侵与攻击手段分析
黑客常用入侵与攻击手段分析
(5-3)、拒绝服务攻击(Dos攻击)
4.
Land攻击 在Land攻击中，一个特别打造的SYN包中的原地址和目标地址都 被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址 发送SYN一ACK消息，结果这个地址又发回ACK消息并创建一个空连接， 每一个这样的连接都将保留直到超时掉。对Land攻击反应不同，许多 UNIX系Leabharlann Baidu将崩溃，而WindowsNT会变的极其缓慢（大约持续五分钟）。
2. 通过FTP服务端口，对目标系统进行FTP账号暴力破解。但由于未能获 得目标主机的用户账号，所以暴力破解的成功率大大降低。
3. 通过远程IPC联接，暴力破解对方系统登陆账号。但由于不能获得用 户名列表，并且64K的ISDN出口带宽太窄，效果也不太理想。
4. 通过IIS的CGI漏洞入侵对方系统。由于从扫描结果中发现对方存在 “文件名解释错误”这一严重CGI漏洞，所以这是本次入侵的绝佳途 径。
黑客常用入侵与攻击手段分析
(6-5)、安装Socks5后门程序
将后门程序上传到目标主机，并且运行。如下图所 示：该目标主机已经被做成了一台专用的Socks5代理跳板。
黑客常用入侵与攻击手段分析
(6-6)、安装Telnet后门
联接目标主机注册表，修改对方TELNET服务的身份 验证方式。远程启动目标主机的Telnet服务。以后就可以 在任何时候用前面建立的用户账号Telnet上远程主机。
6.
黑客常用入侵与攻击手段分析
(6)、一次简单入侵全过程
下面将演示一次真实的入侵全过程，目的在于让那些不关注网络 安全问题或者抱有侥幸心理的系统管理员警醒。提高企业内部网络的 安全已经势在必行，网络安全的警钟要时刻响于系统管理员的耳中。
本次入侵全过程将分以下几个步骤： • • • 对目标主机进行系统安全扫描 分析扫描结果 入侵对方系统，取得命令执行权限
黑客常用入侵与攻击手段分析
(6-2)、分析扫描结果
通过对目标系统的全面扫描,得到了很多关于目标主机的信息, 但经分析发现很多信息对本次的入侵没有多少作用。如：从开放端口信息 中了解到目标主机上同时运行了WEB服务和FTP服务，但FTP服务不支持匿 名登陆。并且对方主机禁止读取用户名列表等。根据目标主机的特点，有 如下几种入侵方式： 1. 通过共享入侵。由于对方共享的资源非常有限，并且要求身份验证， 所以首先要破解共享密码。
如上图所示，LC3在极短的时间内就破译出WIN2000用户 密码文件SAM中的两个账号密码。由于现代计算机的运行速 度越来越快，因此对密码文件的威胁也越来越大。 黑客常用入侵与攻击手段分析
(2)、口令入侵(远程破解)
口令入侵的另一种形式就是通过在线破解用户密码。由于计 算机性能的不断提高和宽带上网的普及，使在线破解用户密码 的可能性越来越高。互联网上越来越多的工具可以用来破解用 户的登陆密码、信箱密码、SQL数据库密码等。如果用户的密 码不够强壮，便很容量被这些工具破解。
•
•
安装后门程序，建立帐号
清除入侵痕迹，完成入侵
黑客常用入侵与攻击手段分析
(6-1)、扫描
在入侵之前，首先要做的第一件事情就是对目标主机进行 全面扫描，收集对方主机信息和系统安全漏洞。在互联网上下载一个 用来扫描系统信息和安全漏洞的工具。通过对目标主机的扫描结果可 以看出对方主机是Windows2000 Server，并且运行了IIS系统。（由 于本次并不是教大家如何去入侵Internet上的主机，所以只简单列出 了扫描的部分结果信息。）如下图：
5. Smurf攻击 一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播 地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最 终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻 塞，所以它比ping of deaih洪水的流量高出一或两个数量级。更加 复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。
黑客常用入侵与攻击手段分析
• • 内 容：黑客常用入侵与攻击方法的介绍、真实入侵过程实录 目 的：通过对常用入侵与攻击方法的简单介绍，让大家对互联网络 的安全问题有初步的认识。然后通过反面的入侵过程演示，加深印象， 以促使大家对互联网络的安全问题引起高度的重视和关注。
目
1. 2. 3.
录
共享入侵 口令入侵 木马入侵
4.
5. 6.
系统漏洞入侵
拒绝服务攻击 一次简单入侵全过程
黑客常用入侵与攻击手段分析
(1)、共享入侵
共享入侵是最简单的黑客入侵方式，只要你连入互联网的计 算机的共享是打开的，在世界任何地方的计算机都可以和你进 行连接、查看你的计算机内的内容。
上面两副截图就是对两台主机进行扫描后发现的共享目录列表。 如果对它们的访问不需要身份验证，那么互联网上的任何用户 都能够阅读、复制、甚至删除其中的内容。其后果当然是你不 希望看到的。 黑客常用入侵与攻击手段分析
The End
黑客常用入侵与攻击手段分析
(5-2)、拒绝服务攻击(Dos攻击)
2. UDP洪水（UDP flood） 各种各样的假冒攻击利用简单的TCP／IP服务。如Chargen和EchQ 来传送毫无用处的数据来占用所有的带宽。通过伪造与某一主机的 Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一 台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足 够多的数据流就会导致带宽的服务攻击。 3. SYN洪水（SYN flood） 一些TCP／IP堆栈的实现只能等待从有限数量的计算机发来的ACK 消息，因为他们只有限度数量的内存缓冲区用于创建连接，如果这些 缓冲区内充满了虚假连接的初始信息，该服务器就会对接下来的连接 停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制 的实现里， SYN洪水具有类似的影响。 不过未来的SYN洪水令人担忧，这是由于释放洪水的并不寻求响应， 所以无法从一个简单高容量的传输中鉴别出来。
经过分析后决定采用第四种方式入侵对方系统。
黑客常用入侵与攻击手段分析
(6-3)、进行缓冲区溢出攻击
由于对方系统存在“文件名解释错误漏洞”，通过对此漏 洞进行“缓冲区溢出”攻击，获得具有ROOT权限的SHELL。
黑客常用入侵与攻击手段分析
(6-4)、获得远程SHELL
上图所示,现在已经对目标系统进行了“溢出”攻击,通 过监听目标主机的99端口,便可获得对方传送过来的SHELL,如下图:
黑客常用入侵与攻击手段分析
(4)、系统漏洞入侵
各种操作系统和应用程序都存在或多或少的BUG和漏洞， 而这些漏洞往往是黑客入侵系统的一个重要途径。通过分析并 利用这些漏洞,入侵者能获得不同程度的系统控制权.最经常被用 到的攻击方法就是利用Buffer Overflow(缓冲区溢出)来获得被攻 击系统的一个带有ROOT权限的SHELL.如果一旦入侵者获得了 这个SHELL,那么就可以在被攻击系统上为所欲为。如：执行程 序、启动停止系统服务、添加账号、执行文件的复制、删除操 作等等。
黑客常用入侵与攻击手段分析
(5-4)、拒绝服务攻击(Dos攻击)
5. 电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断 的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带 宽。由于这种攻击方式简单易用，也有很多发匿名邮件的工具，而且 只要对方获悉你的电子邮件地址就可以进行攻击，所以这是大家最值 得防范的一个攻击手段。 畸形消息攻击 目前无论是Windows、Unix、Linux等各类操作系统上的许多服务 都存在安全隐患问题，由于这些服务在处理信息之前没有进行适当正 确的错误校验，所以一旦在收到畸形的信息就有可能会崩溃。
黑客常用入侵与攻击手段分析
(6-5)、建立用户账号
获得了目标主机的SHELL，现在可以在目标系统中执行 任何命令。当然执行这些命令的主要目的是为了以后的再次入侵 该系统作好必要的铺垫，包括建立用户账号、安装后门程序、共 享对方的所有资源等。
黑客常用入侵与攻击手段分析
(6-6)、准备上传后门程序
在上一步，我们已经在目标系统中建立了一个本地账号 SERVER，并且将该账号的权限提升到系统管理员权限。以后随时 可以通过此账号进入对方系统。现在已经有了目标主机的登陆账 号，利用此账号将后门程序上传至目标主机。
(2)、口令入侵(本地破解)
所谓口令入侵，就是指用一些软件解开已经得到但被人加 密的口令文档，不过许多黑客已大量采用一种可以绕开或屏蔽 口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口 令保护的程序通常被称为“Crack”。由于这些软件的广为流传， 使得入侵电脑网络系统有时变得相当简单。如NT/2000平台下的 LC3,UNIX/LINUX平台下的John。
黑客常用入侵与攻击手段分析
(6-6)、清除入侵痕迹，完成入侵
经过上面的工作，已完成了对目标主机的入侵过程。入侵 到了结尾阶段，清除目标主机上的系统和IIS日志文件，擦除入侵 足迹，完成入侵。此次入侵取得了目标主机的全部控制权限。并 且安装了socks5后门代理程序和Telnet后门。以后不但可以轻易 的进入目标系统,而且还可用来作为向另外的主机发起攻击的中间 站，成为替罪羊。 由此可见，如果您的系统拥有这样或那样的安全隐患，并且 又没有采用性能稳定的企业级防火墙，那么您的系统很可能轻而 易举地被黑客攻破。窃取贵公司的重要资料、商业信息。并且随 时可能毁掉这些企业中最为重要的，无形的资产。