黑客入侵流程及相关技术.doc

黑客入侵流程及相关技术 （电子商务1班 赵冲 2220113179） 摘要：“黑客”一词是由英语Hacker音译出来的。他们伴随着计算机和网络的发展而产生成长。黑客技术经历了整个计算机历史，可以说自从有了计算机，有了系统就产生了黑客。黑客技术虽伴随着计算机技术而生，却高于计算机技术，并且鞭策着计算机技术的发展。黑客技术纷繁复杂，但其攻击流程却大致相同：踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门和拒绝服务攻击。本文就着重介绍了这九个步骤以及各步运用的相关技术。 关键词：黑客 入侵流程 入侵技术 入侵工具 尽管黑客攻击系统的技能有高低之分，入侵系统手法多种多样，但他们对目标系统实施攻击的流程大致相同。其攻击过程可归纳为以下9个步骤：踩点（foot printing）、扫描（scanning）、查点（enumeration）、获取访问权（gaining access）、权限提升（escalating privilige）、窃取（pilfering）、掩盖踪迹（covering track）、创建后门（creating back doors）和拒绝服务攻击（denial of services）。如下图： 图1 黑客攻击流程 1.踩点 “踩点”原意为策划一项盗窃活动的准备阶段。举例来说，当盗贼决定抢劫一家银行时，他们不会大摇大摆地走进去直接要钱，而是狠下一番工夫来搜集这家银行的相关信息，包括武装押运车的路线及时间、摄像头的位置、逃跑出口等信息。在黑客攻击领域，“踩点”是传统概念的电子化形式。“踩点”的主要目的是获取目标的如下信息：因特网网络域名、网络地址分配、域名服务器、邮件交换主机和网关等关键系统的位置及软硬件信息；内联网和Internet内容类似，但主要关注内部网络的独立地址空间及名称空间；远程访问模拟/数字电话号码和VPN访问点；外联网与合作伙伴及子公司的网络的连接地址、连接类型及访问控制机制；开放资源未在前4类中列出的信息，例如Usenet、雇员配置文件等。 为达到以上目的，黑客常采用以下技术。 （1）开放信息源有哪些信誉好的足球投注网站。通过一些标准有哪些信誉好的足球投注网站引擎，揭示一些有价值的信息。例如，通过使用Usenet工具检索新闻组（newsgroup）工作帖子，往往能揭示许多有用的东西。通过使用Google检索Web的根路径C:\\inetpub，揭示目标系统为Windows2003。对于一些配置过于粗心大意的服务器，利用有哪些信誉好的足球投注网站引擎甚至可以获得password等重要的安全信息文件。 （2）whois查询。Whois是目标Internet域名注册数据库。目前，可用的whois数据库很多，例如，查询com、net、edu及org等结尾的域名可通过得到，而查询美国以外的域名则应通过查询得到相应whois数据库服务器的地址后完成进一步查询。 通过对whois数据库的查询，黑客能够得到以下用于发动攻击的重要信息：注册机构，得到特定的注册信息和相关的whois服务器；机构本身，得到与特定目标相关的全部信息；域名，得到与某个域名相关的全部信息；网络，得到与某个网络或IP相关的全部信息；联系点（POC），得到与某个人（一般是管理联系人）的相关信息。 （3）DNS区域传送。DNS区域传送是一种DNS服务器的冗余机制。通过该机制，辅DNS服务器能够从主DNS服务器更新自己的数据，以便主DNS服务器不可用时，辅DNS服务器能够接替主DNS服务器工作。正常情况下，DNS区域传送只对辅DNS服务器开放。然而，当系统管理员配置错误时，将导致任何主机均可请求主DNS服务器提供一个区域数据的备份，以致目标域中所有主机信息泄露。能够实现DNS区域传送的常用工具有dig、nslookup及Windows版本的Sam Spade。 2.扫描 踩点已获得一定信息（IP地址范围、DNS服务器地址和邮件服务器地址等），下一步需要确定目标网络范围内有哪些系统是“活动”的，以及它们提供哪些服务。与盗窃案的踩点相比，扫描就像是辨别建筑物的位置并观察它们有哪些门窗。扫描的主要目的是使攻击者对攻击的目标系统所提供的各种服务进行评估，以便集中精力在最有希望的途径上发动攻击。 扫描中采用的主要技术有Ping扫射（ping sweep）、端口扫描、操作系统检测及旗标（banner）的获取。 （1）Ping扫射。Ping扫射是判别主机是否“活动”的有效方式。Ping用于向目标主机发送ICMP回射请求（echo request）分组，并期待由此引发的表明目标系统“活动”的回射应答（echo reply）分组。常用的Ping扫射工具有操作系统的Ping命令及用于扫射网段的fping、WS_ping等。 （2）端口扫描。