第五章 网络入侵与攻击.pptVIP

第五章 网络入侵与攻击 5.2 黑客攻击的目的及步骤 　　　　5.2.1 黑客攻击的目的 　　　　（1）进程的执行 有些程序只能在一种系统中运行，到了另一个系统将无法运行。攻击者为了攻击的需要，往往需要找一个中间站点来运行所需要的程序。此外，假使有一个中间站点能够访问另一个严格受控的站点或网络，入侵者可能会先攻击这个中间站点，借助于中间站点主机对严格受控的站点或进行攻击。 （2）获取文件和传输中的数据 攻击者的目标是系统中的重要数据。攻击者可通过登上目标主机，或是使用网络监听进行攻击。入侵者也会将当前用户目录下的文件系统中的/etc/hosts或/etc/passwd复制回去。 （3）获取超级用户的权限 在局域网中，网络监听程序必需有UNIX系统超级用户的权限。因此，掌握了一台主机的超级用户权限，才可以说掌握了整个子网。 （5）进行不许可的操作 许多的用户都有意无意地去尝试尽量获取超出允许的一些权限，便寻找管理员配置中的漏洞，或者找一些工具来突破系统的安全防线，例如，特洛伊木马就是一种用得很多的手段。 （6）拒绝服务 拒绝服务的方式很多，如将连接局域网的电缆接地；向域名服务器发送大量的无意义的请求，使得它无法完成从其他的主机来的名字解析请求；制造网络风暴，让网络中充斥大量的封包，占据网络的带宽，延缓网络的传输。 （7）涂改信息 涂改信息包括对重要文件的修改、更换，删除，是一种很恶劣的攻击行为。不真实的或者错误的信息都将对用户造成很大的损失。 （8）暴露信息 若攻击者直接发给自己的站点也可能被系统记录下来，暴露自己的身份和地址，于是攻击者窃取信息时，往往将这些信息和数据送到一个公开的FTP站点，或者利用电子邮件寄往一个可以拿到的地方，等以后再从这些地方取走。 5.2.2 黑客入侵的一般步骤 基于以上目的，黑客会对计算机网络系统进行各种各样的攻击。虽然他们针对的目标和采用的方法各不相同，但所用的攻击步骤却有很多的共同性。 5.2.2 黑客入侵的一般步骤 (1)寻找目标主机并分析目标主机 在internet上能真正标识主机的是IP地址，黑客利用域名和IP地址就可以顺利地找到目标主机，然后开始惧有关目标主机的有用信息。这些信息包括目标主机的硬件信息、操作系统信息、运行的应用程序信息及目标主机所在网络的信息和用户信息 (2)登录主机 第一种是获取账号秘码，黑客首先设法盗窃账户文件，然后进行破解，从中获得某些用户帐户和口令，再寻觅合适时机以此身份进入主机。 第二种方法是利用某些工具或已知的系统漏洞系统登录目标主机。 (3)得到超级用户权限，控制主机 如果黑客取得了普通用户的账号，就可以利用FTP、Telnet等工具进入目标主机。之后黑客会因为普通用户权限有限，而想方获得超级用户权力、进而成为目标主机的主要。 (4)清除记录，设置后门 黑客获得目标主机的控制权后，会把入侵系统进的各种登录信息全部删除，以防目标系统的管理员发现。同时黑客还会更改某些系统设置，在系统中置入特洛伊木马或其他一些远程控制程序，作为以后入侵该主机的“后门”。 5.3 常见的黑客攻击技术 5.3.1口令攻击 所谓口令攻击是指使用某些合法用户的账号和口令登录到目标主机，然后再实施攻击活动。这种方法的前提是必须首先得到目标主机上某个合法用户的账号，然后再进行合法用户口令的破译。 获得普通用户账号的方法很多，如利用目标主机的finger功能查询或从电子邮件地址中收集等。 对口令进行破译的方法: (1)暴力破解。暴力破解基本上是一种被动攻击的方式。黑客在知道用户的账户号后，利用一些专门的软件强行破解用户口令，这种方法不受网段限限制，但需要有足够的耐心和时间。这些工具软件可以自动地从黑客字典中取出一个单词一，作为用户的口令输入给远端的主机，申请进入系统。 (2)登录界面攻击法。黑客可以在被攻击的主机上，利用程序伪造一个登录界面，以骗取用户的账号和密码。当用户在这个伪造四界面个键入登录信息后，程序可将用户的输入信息记录并传送到黑客的主机，然后关闭界面，给出提示信息“系统故障”或“输入错误”，要求用户重新输入。 (3)网络监听。黑客可以通过网络监听非法得到的用户口令，这类方法有一定的局限性，但危害性极大。由于很多网络协议根本就没有彩任何加密或身份认证技术，如在telnet、FTP、HTTP、SMTP等传输协议中，用户账号和密码信息都是以文明格式传输的，此时若黑客利用数据包截取工具便可很容易收集到用户的账号和密码。另外，黑客有时还会利用软件和硬件工具时刻监视系统主机的工作，等待记录用户登录信息，从而取得用户密码。 (4)密码探测。