黑客基础知识概述

本章精粹：狙击黑客——黑客攻防技术见招拆招·2·随着互联网对人们日常生活影响的深入，人们的生活已经很难离开网络。与此同时，网络的安全问题也引起了人们的高度关注。而黑客则是网络世界中很神秘的一类人，他们有时会义务去维护网络的安全，有时却又以网络破坏者的形象出现。本章将揭开黑客的神秘面纱，并对与他们有关的常用知识进行初步介绍。1.1黑客基础知识概述黑客（Hacker）的原意是指那些精通操作系统和网络技术，并利用其专业知识编制新程序的人。但到了今天，黑客一词已被用于泛指那些专门利用计算机搞破坏或恶作剧的家伙，对这些人的正确英文叫法是Cracker，故又称“骇客”。这些人往往具有非凡的计算机技术和网络知识，除通过正当手段来对他人的计算机进行物理性破坏和重装系统外，他们还可以通过网络来操作其他人的计算机，例如，将别人的计算机当跳板来盗取另一台计算机内的文件、破坏系统、格式化磁盘、监视他人计算机、倫窥他人隐私、远程控制他人计算机、入侵攻击他人或公司的服务器等。1.1.1为什么会受到黑客入侵其实，许多时候，大多数黑客进行攻击的理由都很简单，大体存在如下几个方面的原因。（1）想要在别人面前炫耀一下自己的技术，例如进入心仪女孩的机器上去修改一个文件或目录名，算是打个招呼，不但给其一个惊喜，也会让她对自己更加崇拜。（2）看不惯一些人的做法，可又不便当面指责，于是攻击他的电脑，更有甚者获得他的隐私，在适当的时机揭其老底，令其难堪。（3）好玩、恶作剧、练功。这是许多人，其中包括学生，入侵或破坏网络的主要原因，除了有练功的效果外，同时还有一种网络探险的刺激。（4）窃取数据。偷取入侵的主机硬盘中的文件或各种网上密码之后，从事各种商业应用活动，甚至恶意偷窃银行存款等。（5）抗议与宣示。这是敌对国、敌对势力之间最常出现的黑客行为，例如2001年5月中美黑客大战，两国的黑客互相攻击对方网站，双方均有数千计的网站遭到攻击，轻者被篡改主页面，严重者则整个系统遭到毁灭性的打击。1.1.2全面认识IP地址在网络上，只要利用IP地址都可以找到目标主机。因此，如果想要攻击某个网络主机，首先就要确定该目标主机的域名或者IP地址。所谓IP地址就是一种主机编址方式，给每个连接在Internet上的主机分配一个32位（bit，比特）地址，也称为网际协议地址。按照TCP/IP（TransportControlProtocol/InternetProtocol，传输控制协议/Internet协议）第1章黑客其实并不神秘·3·协议的规定，IP地址用二进制来表示，每个IP地址长32位，位换算成字节就是4个字节。例如一个采用二进制形式的IP地址是00001010000000000000000000000001，这么长的地址人们处理起来就会很费劲，为了方便使用，IP地址经常被写成十进制的形式，中间使用符号“.”分为4个不同的十进制数，这样就可以用XXX.XXX.XXX.XXX的形式来表示，每组XXX代表小于等于255的十进制数，例如192.168.38.6。IP地址的这种表示方法称为“点分十进制表示法”，这显然比二进制的1或0容易记忆。IP地址是如何划分的呢？在互联网中的每个接口有一个唯一的IP地址与其对应，该地址并不是平面形式的地址空间，而是具有一定的结构，一般情况下，IP地址可以分为5大类，如图1-1所示。网络号主机号网络号主机号主机号网络号多播组号（留待后用）14位16位21位8位28位27位7位24位A类B类C类D类E类000001111111111图1-15类IP地址在A类中，第1段为网络位，后3段为主机位，其范围为1～127，例如127.255.255.255；在B类中，前两段是网络位，后两段为主机位，其范围为128～191，例如191.255.255.255；在C类中，前3段为网络位，后1段为主机位，其范围为192～223，例如223.255.255.255；D类地址用于多播，也叫做组播地址，在互联网上不能作为接点地址使用，其范围为224～239，例如239.255.255.255；E类地址用于科学研究，也不能在互联网上使用，其范围为240～254。注意：全0和全1的IP地址禁止使用，因为全0代表本网络，而全1是广播地址（在CISCO上可以使用全0地址）。一般情况下，常用的是A、B、C这3类地址。1.2黑客的专用通道：端口随着网络技术的发展，原来物理上的端口（例如，鼠标、键盘、网卡、显卡等输入/输出接口）已不能满足网络通信的要求，而TCP/IP协议则被集成到了操作系统的内核中，这就相当于在操作系统中引入了一种新的输入/输出接口技术。因为在TCP/IP协议中引入了一种被称为Socket的应用程序接口技术，这就使得一台计算机可以通过软件方式与任何一台具有Socket接口的计算机进行通信。狙击黑客——黑客攻防技术见招拆招·4·1.2.1端口的概念与作用端口（port）可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口，例如，USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入/输出）缓冲区。端口是传输层的内容，是面向连接的，它们对应着网络上常见的一些服务。这些常见的服务可划分为使用TCP端口（面向连接，如打电话）和使用UDP端口（无连接，如写信）两种。在网络中可以被命名和寻址的通信端口是一种可分配资源，由网络OSI（OpenSystemInterconnectionReferenceModel，开放系统互联参考模型）协议可知，传输层与网络层的区别是传输层提供进程通信能力，网络通信的最终地址不仅包括主机地址，还包括可描述进程的某种标识。所以，当应用程序（调入内存运行后一般称为进程）通过系统调用与某端口建立连接（Binding，绑定）后，传输层传给该端口的数据都被相应的进程所接收，相应进程发给传输层的数据都从该端口输出。1.2.2端口的分类在网络技术中，端口大致有两种意思：一是物理意义上的商品，例如，集线器、交换机、路由器等用于连接其他网络设备的接口；二是逻辑意义上的端口，一般指TCP/IP协议中的端口，范围为0～65535，例如，浏览网页服务的80端口，用于FTP服务的21端口等。逻辑意义上的端口有多种分类标准，常见的分类标准有如下两种。1．按端口号分布划分按端口号分布划分可以分为公认端口、注册端口以及动态和/或私有端口等。公认端口公认端口（WellKnownPorts）也称为常用端口，端口号为0～1023，它们紧密地绑定于一些特殊的服务。通常，这些端口的通信明确地表明了某种服务协议，不可再重新定义它的作用对象。例如，21端口分配给FTP服务；23号端口分配给Telnet服务专用；25号端口分配全SMTP（简单邮件传输协议）服务；80端口是HTTP通信使用的；135端口分配给RPC（远程过程调用）服务等，通常不会被像木马这样的黑客程序利用。注册端口注册端口（RegisteredPorts）的端口号为1024～49151，它们松散地绑定一些服务，也即有许多服务绑定于这些端口，这些端口同样用于许多其他目的，并且多数没有明确定义对象，不同的程序可以根据需要自己定义。记住这些常见程序端口，在木马程序的防护和查杀上非常有必要。第1章黑客其实并不神秘·5·动态和/或私有端口动态和/或私有端口（Dynamicand/orPrivatePorts）的端口号为49152～65535，理论上不应该把常用服务分配在这些端口上，但实际上有些较为特殊的程序，特别是一些木马程序就非常喜欢使用这些端口，因为这些端口常常不会引起人们的注意，容易隐蔽。2．按协议类型划分根据所提供的服务方式，端口又可分为TCP端口和UDP端口两种。一般直接与接收方进行的连接方式，大多是采用TCP协议；如果只是把信息放在网上发布出去而不去关心信息是否到达，也就是无连接方式，这种方式则大多采用UDP协议。使用TCP协议的常见端口主要有如下几种。FTP定义了文件传输协议，使用21端口。某计算机开通了FTP服务便启动了文件传输服务，下载文件和上传主页都要用到FTP服务。Telnet一种用于远程登录的端口，用户可以以自己的身份远程连接到计算机上。通过这种端口可提供一种基于DOS模式的通信服务，例如支持纯字符界面BBS的服务器会将23端口打开，以对外提供服务。SMTP现在很多邮件服务器都是使用这个简单邮件传送协议来发送邮件的。例如常见免费邮件服务中使用的就是此邮件服务端口，所以在电子邮件设置中经常会看到有SMTP端口设置栏，服务器开放的是25号端口。POP3POP3协议用于接收邮件，通常使用110端口。只要有相应使用POP3协议的程序（例如Outlook等），即可直接使用邮件程序收到邮件（例如使用126邮箱的用户就没有必要先进入126网站，再进入自己的邮箱来收信了。）使用UDP协议的常见端口主要有如下几种。HTTP这是用户使用最多的协议，也即超文本传输协议。当上网浏览网页时，就要在提供网页资源的计算机上打开80号端口以提供服务。通常的“服务”、“Web服务器”等使用的就是这个端口。DNSDNS用于域名解析服务，这种服务在WindowsNT系统中用得最多。Internet上的每一台计算机都有一个网络地址与之对应，这个地址就是IP地址，它以纯数字的形式表示。但由于这种表示方法不便于记忆，于是就出现了域名，访问计算机时只需要知道域名即可，域名和IP地址之间的变换由DNS服务器来完成（DNS用的是53号端口）。SNMP简单网络管理协议，用来管理网络设备，使用161号端口。狙击黑客——黑客攻防技术见招拆招·6·QQQQ程序既提供服务又接收服务，使用的是无连接的协议，即UDP协议。QQ服务器使用8000号端口侦听是否有信息到来，客户端使用4000号端口向外发送信息。提示：在计算机的6万多个端口中，通常把端口号为1024以内称为常用端口，这些常用端口所对应的服务通常情况下是固定的。1.2.3查看端口为了查找目标主机上都开放了哪些端口，可以使用某些扫描工具对目标主机一定范围内的端口进行扫描。只有掌握目标主机上的端口开放情况，才能进一步对目标主机进行攻击。在Windows2000/Server2003/XP系统中，可以使用Netstat命令查看端口。选择【开始】→【运行】命令，即可打开【运行】对话框并在其中运行cmd命令，如图1-2所示；或选择【开始】→【所有程序】→【附件】→【命令提示符】命令，即可打开【命令提示符】窗口。在命令提示符后输入“netstat-a-n”命令并运行之后，即可看到以数字形式显示的TCP和UDP连接的端口号及其状态，如图1-3所示。图1-2【运行】对话框图1-3查看端口号状态如果攻击者使用扫描工具对目标主机进行扫描，即可获取目标计算机打开端口的情况，并了解目标计算机提供了哪些服务。根据这些信息，攻击者就可以对目标主机有一个初步的了解。如果在管理员不知情的情况下打开了太多端口，则可能出现两种情况：一种是提供的服务管理者没有注意到，例如安装IIS服务时，软件就会自动地增加很多服务；另一种是服务器被攻击者植入了木马程序，通过特殊的端口进行通信。这两种情况都比较危险，管理员不了解服务器提供的服务，就会减小系统的安全系数。第1章黑客其实并不神秘·7·1.2.4对IP和端口进行扫描黑客在发动攻击前一般都需要选定自己的攻击目标，也即先确定要攻击目标主机的IP地址和目标主机自身所存在的安全漏洞。为了获得这些信息，通常会通过一些扫描器工具软件对目标主机一定范围内的端口进行扫描，以完全掌握目标主机的端口开放情况。利用扫描器，黑客可以对某一网段的机器或某台目标机器进行快速漏洞扫描。因为传统的手工查找，不但查找漏洞的速度奇慢，而且多数情况下只能针对性地查找某一个特定的漏洞。而扫描器是一种快速寻找目标主机多种漏洞的工具，通过它很容易找到系统的漏洞和弱点，根据扫描器提供的漏洞报告和信息，即可方便地采用合适的攻击方法给