1黑客入门必修知识

第一章黑客入门必修知识1.1网络安全发展过程人们一方面在享受网络带来的便利和效益，另一方面又不得不“提心吊胆”的提防各种网络安全事件的发生。网络应用的发展，也让网络安全的重要性越来越受到关注。1）严峻的信息安全问题2000年2月6日前后，美国YAHOO等8家大型网站接连遭受黑客的攻击，直接经济损失约为12亿美元（网上拍卖“电子港湾”网站、亚马逊网站、AOL）此次安全事故具有以下的特点：攻击直接针对商业应用攻击造成的损失巨大信息网络安全关系到全社会2）中国信息安全热点1.中国超过美国成为全球第一大拥有互联网用户数的国家截至2008年6月，中国网民数量达到2.53亿，成为世界上网民最多的国家。同时，443端口的流量端口排名从2007年的第4位上升到第2位，这说明已经有大量网站部署了SSL证书来确保网上机密信息安全。2.公安部开展2008年度信息网络安全状况调查公安部公共信息网络安全监察局于2008年度开展的全国信息网络安全状况和计算机病毒疫情调查数据显示，我国信息网络安全事件发生比例为62.7%；计算机病毒感染率为85.5％，说明我国互联网安全状况依然严峻。其中多次发生网络安全事件的比例为50％，多次感染病毒的比例为66.8％，说明我国互联网用户的网络安全意识仍比较薄弱,对发生网络安全事件未给予足够重视。3）急需解决的若干安全问题信息安全与高技术犯罪1999年，上海XX证券部电脑主机被入侵2000年2月14日，中国选择网（上海）受到黑客攻击，造成客户端机器崩溃，并采用类似攻击YAHOO的手法，通过攻击服务器端口，造成内存耗尽和服务器崩溃我国约有64%的公司信息系统受到攻击，其中金融业占总数的57%不受欢迎的垃圾邮件的现象愈演愈烈1999年4月26日，CIH病毒“世纪风暴”媒体内容的安全性4)网络安全概念网络安全的意义所谓“网络安全”，是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断。5)网络攻击与防御进攻和防御是对立统一的矛盾体。必须树立“积极防御”的网络战指导思想，因为在网络战中“进攻未必就是最好的防御”。“网络防御作战”的成熟研究，是网络战尽早达到“攻防平衡”的前提和基础。1.2什么是黑客黑客（Hacker）——原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。1）黑客发展历史凯文•米特尼克是美国20世纪最著名的黑客之一，被喻为“头号电脑黑客”。他是“社会工程学”的创始人1979年他和他的伙伴侵入了北美空防指挥部1983年的电影《战争游戏》演绎了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战莫里斯蠕虫（MorrisWorm）时间1988年肇事者RobertT.Morris,美国康奈尔大学学生，其父是美国国家安全局安全专家机理利用sendmail,finger等服务的漏洞，消耗CPU资源，拒绝服务影响Internet上大约6000台计算机感染，占当时Internet联网主机总数的10%，造成9600万美元的损失CERT/CC的诞生DARPA成立CERT（ComputerEmergencyResponseTeam），以应付类似“蠕虫（MorrisWorm）”事件94年末，俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元96年8月17日，美国司法部的网络服务器遭到黑客入侵，并将“美国司法部”的主页改为“美国不公正部”，将司法部部长的照片换成了阿道夫·希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字96年9月18日，黑客光顾美国中央情报局的网络服务器，将其主页由“中央情报局”改为“中央愚蠢局”96年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址98年2月25日，美国国防部四个海军系统和七个空军系统的电脑网页遭侵入98年5月底，印度原子研究中心的主页()遭侵入98年8月31日，澳大利亚主要政党和政府官员的网站遭黑客袭击，网址被篡改98年9月13日，纽约时报站点（）遭黑客袭击2000年2月，著名的Yahoo、eBay等高利润站点遭到持续两天的拒绝服务攻击，商业损失巨大2002年3月底，美国华盛顿著名艺术家GloriaGeary在eBay拍卖网站的帐户，被黑客利用来拍卖IntelPentium芯片2002年6月，日本2002年世界杯组委会的官方网站由于黑客成功侵入并在该网站上发布侮辱性内容而被迫关闭中美五一黑客大战2001年5月1日是国际劳动节，5月4日是中国的青年节，而5月7日则是中国在南斯拉夫的大使馆被炸两周年的纪念日。中国黑客在这几个重大的纪念日期间对美国网站发起了大规模的攻击美国部分被黑网站美国加利福尼亚能源部日美社会文化交流会白宫历史协会UPI新闻服务网华盛顿海军通信站其它12%网络服务6%军事网站2%教育网站4%机构网站6%商业网站65%政府网站5%国内网站遭攻击的分布红色代码–2001年7月19日，全球的入侵检测系统(IDS)几乎同时报告遭到不名蠕虫攻击–在红色代码首次爆发的短短9小时内，以迅雷不及掩耳之势迅速感染了250,000台服务器–最初发现的红色代码蠕虫只是篡改英文站点主页，显示“Welcometo!HackedbyChinese!”–随后的红色代码蠕虫便如同洪水般在互联网上泛滥，发动拒绝服务(DoS)攻击以及格式化目标系统硬盘，并会在每月20日～28日对白宫的攻击，使白宫的地址。“红色代码”的蔓延速度尼姆达（Nimda）尼姆达是在9·11恐怖袭击整整一个星期后出现的，当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒尼姆达是在早上9:08发现的，明显比红色代码更快、更具有摧毁功能，半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部电脑，总共造成将近10亿美元的经济损失传播方式包括：电子邮件、网络临近共享文件、IE浏览器的内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、CodeRedII和Sadmind/IIS蠕虫留下的后门等SQLSlammer蠕虫Slammer的传播数度比“红色代码”快两个数量级在头一分钟之内，感染主机数量每8.5秒增长一倍；3分钟后该病毒的传播速度达到峰值（每秒钟进行5500万次扫描）；接下来，其传播速度由于自身挤占了绝大部分网络带宽而开始下降；10分钟后，易受攻击的主机基本上已经被感染殆尽30分钟后在全球的感染面积2003年8月11日首先被发现，然后迅速扩散，这时候距离被利用漏洞的发布日期还不到1个月该蠕虫病毒针对的系统类型范围相当广泛（包括WindowsNT/2000/XP）截至8月24日，国内被感染主机的数目为25~100万台全球直接经济损失几十亿美金RPCDCOM蠕虫2）黑客必须了解的网络知识1、IP地址2、端口（Port）3、服务（service）4、网络协议（Protocol）面向连接的TCP协议面向非连接的UDP协议3）黑客必须掌握的基本技能1、有一定的英文基础2、掌握基本软件使用（常用命令、有关工具软件）3、初步了解网络协议和工作原理4、有一定的编程基础5、熟悉网络应用程序1.3黑客攻击的特点想要更好地保护网络不受黑客的攻击，就必须对黑客的攻击方法、攻击原理、攻击过程有深入和详细的了解，才能更有效、更具针对性地进行主动防护。想要在别人面前炫耀自己的技术，如进入别人的电脑去修改一个文件或目录名。恶作剧、练功，这是许多人或学生入侵或破坏的最主要原因，除了有练功的效果外还有些许网络探险的感觉。窃取数据，可能是偷取硬盘中的文件或各种上网密码，然后从事各种商业应用。想复仇的事后报复者，如对老板或公司制度不满，事先把报复程序或病毒程序写入所编程序，并规定在将来某时，或某条件下激活发作，摧毁原公司网络系统。抗议或宣示，如2001年5月1日中美黑客大战，中美两国的黑客相互攻击对方网站，双方均有数以千计的网站遭到攻击，轻者被篡改主页面，严重的则整个系统遭受毁灭性打击。1）黑客为什么要攻击？2）黑客主要攻击方式A．攻击的位置（1）远程攻击（子网以外）（2）本地攻击（局域网内）（3）伪远程攻击B.攻击的深度表层攻击读访问非根式的写与执行访问根式的写和执行访问简单拒绝服务；本地用户获得非授权读权限；本地用户获得非授权写权限；远程用户获得非授权帐号信息；远程用户获得特权文件的读权限；远程用户获得特权文件的写权限；远程用户拥有了系统管理员权限。C.攻击的层次之间的关系根式的写与执行访问非根式的写与执行访问读访问表层攻击第一层：邮件炸弹攻击和拒绝服务攻击第二层：本地用户获得非授权读访问第三层：本地用户获得非授权文件的写权限第四层：远程用户获得非授权的帐号和远程用户获得文件的读权限第五层：远程用户获得特许文件的写权限第六层：远程用户获得根权限本地攻击远程攻击D.攻击分类在最高层次，攻击被分为两类：主动攻击：包含攻击者访问他所需要信息的故意行为。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。被动攻击：主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。探测攻击隐藏踩点扫描查点窃听欺骗拒绝服务数据驱动攻击键击记录网路监听非法访问数据攫取密码文件获取口令恶意代码网络欺骗导致异常型资源耗尽型欺骗型缓冲区溢出格式化字符串攻击输入验证攻击同步漏洞攻击信任漏洞攻击日志清理安装后门内核套件图1、攻击分类就目前常见的攻击，大致可以分为几大类（参见图1）：窃听：指攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的常用攻击方法有：键击记录：是植入操作系统内核的隐蔽软件，通常实现为一个键盘设备驱动程序，能够把每次键击都记录下来，存放到攻击者指定的隐藏的本地文件中。如PCAgent等。网络监听：是攻击者一旦在目标网络上获得一个立足点之后刺探网络情报的最有效方法，通过设置网卡的混杂模式获得网络上所有的数据包，并从中抽取安全关键信息，如明文方式传输的口令。如Win32平台下的sniffer等免费工具，Unix平台下的libpcap网络监听工具库。非法访问数据：是攻击者或内部人员违反安全策略对其访问权限之外的数据进行非法访问。获取密码文件：攻击者进行口令破解获取特权用户或其他用户口令的必要前提。欺骗：指攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法，属于此类攻击的方法有：获取口令：通过缺省口令、口令猜测和口令破解三种途径。针对一些弱口令进行猜测。也可以使用专门的口令猜测工具进行口令破解，如遍历字典或高频密码列表从而找到正确的口令。如Win32平台的LOphtcrack等。恶意代码：包括特洛伊木马应用程序、邮件病毒、网页病毒等，通常冒充成有用的软件工具、重要的信息等，诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制，在启动后悄悄安装恶意程序，通常为攻击者给出能够完全控制该主机的远程连接。网络欺骗：攻击者通过向攻击目标发送冒充其信任主机的网络数据包，达到获取访问权或执行命令的攻击方法。具体的有IP欺骗、会话劫持、ARP重定向和R