入侵技术原理

5．隐藏行踪
作为一个入侵者，攻击者总是惟恐自己的行踪被发现，所
以在进入系统之后，聪明的攻击者要做的第一件事就是隐 藏自己的行踪，攻击者隐藏自己的行踪通常要用到如下技 术： 连接隐藏，如冒充其他用户、修改 LOGNAME环境变 量、修改utmp日志文件、使用IP SPOOF技术等； 进程隐藏，如使用重定向技术减少PS给出的信息量、 用特洛伊木马代替PS程序等； 篡改日志文件中的审计信息； 改变系统时间，造成日志文件数据紊乱，以迷惑系统管 理员。
信息的收集
信息的收集并不对目标产生危害，只是为进一步的 入侵提供有用信息。黑客可能会利用下列的公开协议或 工具，收集驻留在网络系统中的各个主机系统的相关信 息： （1）TraceRoute程序 能够用该程序获得到达目标 主机所要经过的网络数和路由器数。 （2）SNMP协议 用来查阅网络系统路由器的路由表，从 而了解目标主机所在网络的拓扑结构及其内部细节 （3）DNS服务器 该服务器提供了系统中可以访问的主 机IP地址表和它们所对应的主机名。 （4）Whois协议 该协议的服务信息能提供所有有关的 DNS域和相关的管理参数。 （5）Ping实用程序 可以用来确定一个指定的主机的位 置或网线是否连通。
扫描 网络
选中 攻击 目标 获取超级 用户权限
擦除入 侵痕迹
安装后 门新建 帐号
从事其它 非法活动
实例1:远程桌面登陆
略
看操作.
实例2:绕过windows 2000登陆 验证机制
受影响的软件及系统：
==================== - Microsoft Windows 2000 - Microsoft Windows 2000 with SP1 这个问题影响所有使用简体中文输入法的Windows 2000系 统。很多微软自带的简体中文输入法中的帮助栏包含了一 些选项可以打开浏览器窗口或者进行一些设置。正常情况 下，在用户未登录进系统时，用户不应该被允许访问这些 选项。但是，在Windows 2000进行登录验证的提示界面下 ，用户可以打开各种输入法的帮助栏，并可以利用其中的 一些功能访问文件系统。这也就绕过了Windows 2000的登 录验证机制，并能以管理员权限访问系统。
会话过程
在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的，
等； 替换系统本身的共享库文件； 安装各种特洛伊木马程序，修改系统的源代码； 安装sniffers。
典型的网络攻击示意图
利用系统已知的漏 洞、通过输入区向 CGI发送特殊的命 令、发送特别大的 数据造成缓冲区溢 出、猜测已知用户 的口令，从而发现 突破口。
攻击其它 主机 获取普通 用户权限 获取或 修改信息
利用被侵入的主机作为跳板，如在安装Windows的计
算机内利用Wingate软件作为跳板，利用配置不当的 Proxy作为跳板； 使用电话转接技术隐蔽自己，如利用800电话的无人 转接服务联接ISP；
盗用他人的账号上网，通过电话联接一台主机，再经
由主机进入Internet； 免费代理网关； 伪造IP地址； 假冒用户账号。
4. 对于安装了Service Pack 1的Windows 2000系统 ，在IE窗口中不能直接进入目录，打开文件也不
能执行程序。但是仍然可以删除或者拷贝程序， 攻击者也可以通过将重要目录/文件设置成共享来 远程访问。
解决办法:
方法一：
Windows系统的输入法文件的后缀是*.ime ，在 Windows2000系列中是放置在本身安装目录（例如： C:\WINNT）中的system32文件夹中，一共有六个文件分 别对应的是： WINABC.IME 智能ABC输入法 PINTLGNT.IME 微软拼音输入法 WINGB.IME 内码输入法 WINPY.IME 全拼输入法 WINSP.IME 双拼输入法 WINZM.IME 郑码输入法
续
通常攻击者只有获得对系统的物理访问权限才可以利
用此漏洞进行攻击，但是，如果系统安装了Terminal Service (终端服务)，攻击者也可能通过网络进行远程 攻击。 测试方法： ========== 1. 在Windows 2000登陆界面将光标移至用户名输入框 ，按键盘上的Ctrl+Shift键，这时在缺省的安装状态下 会出现输入法状态条(例如全拼，双拼，郑码等等)
4．获得控制权
攻击者要想入侵一台主机，首先要有该主机的一个
账号和口令，再想办法去获得更高的权限，如系统 管理账户的权限。获取系统管理权限通常有以下途 径：
获得系统管理员的口令，如专门针对root用户的口令
攻击； 利用系统管理上的漏洞：如错误的文件许可权，错误 的系统配置，某些SUID程序中存在的缓冲区溢出问 题等； 让系统管理员运行一些特洛伊木马程序，使计算机内 的某一端口开放，再通过这一端口进入用户的计算机。
系统或应用服务
主要探测的方式

（1）自编程序 对某些系统，互联网上已发布了其安全漏洞所在， 但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程 序，那么黒客就可以自己编写一段程序进入到该系统进行破坏。 （2）慢速扫描 由于一般扫描侦测器的实现是通过监视某个时 间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样 黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。 （3）体系结构探测 黑客利用一些特殊的数据包传送给目标主 机，使其作出相对应的响应。由于每种操作系统的响应时间和方式 都是不一样的，黒客利用这种特征把得到的结果与准备好的数据库 中的资料相对照，从中便可轻而易举地判断出目标主机操作系统所 用的版本及其他相关信息。 （4）利用公开的工具软件 像审计网络用的安全分析工具 SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或 子网进行扫描，寻找安全方面的漏洞。
利用漏洞获得 超级用户权限
留后门 隐藏用户
更改主页信息 用john登录 服务器
网络攻击的步骤
攻击者在一次攻击过 程中的通常做法是：
首先隐藏位置，接着 网络探测和资料收集、 对系统弱点进行挖掘、 获得系统控制权、隐 藏行踪，最后实施攻 击、开辟后门等七个 步骤，如右图所示。
1．隐藏位置
攻击者经常使用如下技术隐藏其真实的IP地址或 者域名：
IPC IPC$(Internet Process Connection) 是共享“命名管
道”的资源，它是为了让进程间通信而开放的命名 管道，通过提供可信任的用户名和口令，连接双方 可以建立安全的通道并以此通道进行加密数据的交 换，从而实现对远程计算机的访问。 IPC$是NT/2000的一项新功能，它有一个特点，即 在同一时间内，两个IP之间只允许建立一个连接。 NT/2000在提供了ipc$功能的同时，在初次安装系 统时还打开了默认共享，即所有的逻辑共享 (c$,d$,e$……)和系统目录winnt或windows (admin$) 共享。所有的这些，微软的初衷都是为了方便管理 员的管理，但在有意无意中，导致了系统安全性的 降低。
目前发现微软拼音输入法和智能ABC输入法不受 此问题影响。
NSFOCUS安全小组建议您将其它输入法文件删除 或者改名存放。
对于其它的的微软以及第三方输入法，也可能存 在问题，建议用户根据测试步骤中的介绍自行检 查。
方法二：
因为这些操作是通过调用输入法的帮助文件来进行的。您 也可以通过删除或者重命名输入法的帮助文件来加以解决 。经过搜索Windows2000有将近几百个帮助文件，其中输 入法分别对应的是安装目录(例如：C:\WINNT)中help文件 夹中： WINIME.CHM 输入法操作指南 WINSP.CHM 双拼输入法帮助 WINZM.CHM 郑码输入法帮助 WINPY.CHM 全拼输入法帮助 WINGB.CHM 内码输入法帮助 对于其它的的微软以及第三方输入法，也可能存在问题， 建议用户根据测试步骤中的介绍自行检查。
2. 将鼠标移至输入法状态条点击鼠标右键，在出现的对话
框中选择"帮助"，选择"操作指南"或"输入法入门"（微软拼 音输入法和智能ABC没有这个选项），在出现的"操作指南 "或"输入法入门"窗口中会出现几个按钮，在"选项"栏中可 以对网络设置进行修改。
3. 在窗口的标题栏上右键，选择"跳至URL..."，在对话框 中输入"c:\"等路径，就可以看到目录内容。尽管不能直接 进入目录、打开文件、执行程序，但是可以进行更名、删 除、共享等操作。 也可以在帮助文件中查找链接，在链接上按Shift+鼠标左 键，可以打开一个IE的窗口。在里面可以以及网络邻居， 访问控制面板等资源，也可以打开执行任意浏览本地硬盘 程序。
3．弱点挖掘 系统中漏洞的存在是系统受到备
种安全威胁的根源。外部攻击者wenku.baidu.com软件漏洞。 的攻击主要利用了系统提供的网 络服务中的漏洞；内部人员作案 主机信任关系漏 则利用了系统内部服务及其配置 洞。 上的漏洞，而拒绝服务攻击主要 寻找有漏洞的网 是利用资源分配上的漏洞，长期 络成员。 占用有限资源不释放，使其它用 户得不到应得的服务，或者是利 安全策略配置漏 用服务处理中的漏洞，使该服务 洞。 崩溃。攻击者攻击的重要步骤就 是尽量挖掘出系统的弱点/漏洞， 通信协议漏洞。 并针对具体的漏洞研究相应的攻 网络业务系统漏 击方法。常见的漏洞有： 洞。
7．开辟后门
一次成功的入侵通常要耗费攻击者的大量时间与精力，
所以精于算计的攻击者在退出系统之前会在系统中制 造一些后门，以方便自己的下次入侵，攻击者设计后 门时通常会考虑以下方法：
放宽文件许可权； 重新开放不安全的服务，如REXD、TFTP等； 修改系统的配置，如系统启动文件、网络服务配置文件
2．网络探测和资料收集
网络探测和资料收集主要是为了寻找目标主机和收集目
标信息。 攻击者首先要寻找目标主机并分析目标主机。在 Internet上能真正标识主机的是IP地址，域名是为了便 于记忆主机的IP地址而另起的名字，只要利用域名和IP 地址就可以顺利地找到目标主机。当然，知道了要攻击 目标的位置还是远远不够的，还必须将主机的操作系统 类型及其所提供服务等资料作个全面的了解，为攻击作 好充分的准备。攻击者感兴趣的信息主要包括：操作系 统信息、开放的服务端口号、系统默认账号和口令、邮 件账号、IP地址分配情况、域名信息、网络设备类型、 网络通信协议、应用服务器软件类型等。 步骤：锁定目标、服务分析 、系统分析 、获取账号信 息 、获得管理员信息
方法三: 安装补丁:
提供了补丁程序下载地址，
简体中文Windows 2000 : http://www.microsoft.com/Downloads/Release.asp?Re leaseID=24631 英文版Windows 2000 : http://www.microsoft.com/Downloads/Release.asp?Re leaseID=24627 我们推荐使用Windows 2000系统的用户尽快下载并安 装相应的补丁
.
主要攻击类型
1、DOS命令攻击:
(1) 系统内部命令 (2)系统外部命令,需要下载 2、木马攻击 3、分布式工具攻击

二.黑客攻击一般过程
http ftp telnet smtp
端口扫描
黑客攻击一般过程
用户名:john 口令:john1234 口令暴力攻击
黑客攻击一般过程
6．实施攻击
不同的攻击者有不同的攻击目的，可能是为了 获得机密文件的访问权，也可能是为了破坏系
统数据的完整性，也可能是为了获得整个系统 的控制权（系统管理权限），以及其他目的等。 一般说来，可归结为以下几种方式：
下载敏感信息； 在目标系统中安装探测器软件，以便进一步收集攻击
者感兴趣的信息，或进一步发现受损系统在网络中的 信任等级； 攻击其它被信任的主机和网络； 使网络瘫痪； 修改或删除重要数据。