黑客入门1
黑客攻击解密黑客攻击解密
1.1 黑客攻击解密
1:黑客攻击流程解密黑客们的性格千奇百怪,但是他们攻击别人的步骤无外乎就是那几样,下面我们来看黑客们最常用的攻击步骤。
(1)给自己隐身普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP,然后再盗用他人的账号上网。这也是一个最基本的手段,攻击别人,肯定先要隐藏自己,以免被别人发现。
(2)寻找目标主机攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提供服务等资料作个全面的了解。此时,攻击者们会使用一些扫描器工具,轻松获取目标主机运行的操作系统、系统账户、服务器程序是何种版本等资料,为入侵作好充分的准备。
(3)登录主机攻击者要想入侵一台主机,首先要有该主机的一个账号和密码,否则连登录都无法进行。这样常迫使他们先设法盗窃账户文件,进行破解,从中获取某用户的账户和口令,再寻觅合适时机以此身份进入主机。当然,
利用某些工具或系统漏洞登录主机也是攻击者常用的一种方法。
第一章黑客入门黑客又名hacker,是一群喜欢用智力通过创造性方法来挑战脑力极限的人,特别是他们所感兴趣的领域。本章我们来认识一下黑客,看看他们是怎样
“黑”掉别人电脑的。
Skill
黑客攻击秘技随手查
2
黑客攻击解密黑客攻击解密黑客攻击解密黑客攻击解密
(4)控制目标主机攻击者们用FTP、Telnet等工具通过系统漏洞进入目标主机系统获得控制权之后,就会做两件事:清除记录和留下后门。他会更改某些系统设置,在系统中置入特洛伊木马或其他一些远程操纵程序,以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用了,甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件,以便不留下FTB记录。通过清除日志,删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。
(5)夺取网络资源和特权攻击者找到攻击目标后,会继续下一步的攻击。如:下载敏感信息;实施窃取账号密码、信用卡号等经济偷窃;使网络瘫痪等。
2:黑客攻击常用方法详解上面我们简单的了解了黑客一般的攻击流程,下面我们来详细了解下黑客攻击的常用手段。
(1)口令入侵所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。获得合法用户账号的方法很多,如:
利用目标主机的Finger功能,当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上。
利用目标主机的X.500服务,有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径。
从电子邮件地址中收集,有些用户电子邮件地址常会透露其在目标主机上的账号。
查看主机是否有习惯性的账号,有经验的用户都知道,很多系统会使用一些习惯性的账号,造成账号的泄露。
(2)放置特洛伊木马程序特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成
Skill
黑客攻击解密黑客攻击解密黑客入门3
黑客攻击解密黑客攻击解密工具程序或者游戏等,诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会像特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当用户连接到因特网上时,这个程序就会通知攻击者,报告IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
(3)WWW的欺骗技术在网上,用户可以利用IE等浏览器进行各种各样的WEB站点的访问,
如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,
网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
一般Web欺骗使用两种技术手段,即URL地址重写技术和相关信息掩盖技术。利用URL地址,使这些地址都指向攻击者的Web服务器,
即攻击者可以将自已的Web地址加在所有URL地址的前面。这样,当用户与站点进行安全链接时,就会毫不防备地进入攻击者的服务器,于是所有信息便处于攻击者的监视之中。但由于浏览器一般设有地址栏和状态栏,当浏览器与某个站点连接时,可以在地址栏和状态栏中获得连接中的Web站点地址及其相关的传输信息,用户由此可以发现问题,
所以攻击者往往在URL地址重写的同时,利用相关信息技术,即一般用
JavaScript程序来重写地址,以达到其欺骗的目的。
(4)电子邮件攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统反应缓慢甚至瘫痪。相对于其他的攻击手段来说,这种攻击方法具有简单、见效快等优点。
电子邮件攻击主要表现为两种方式:
电子邮件轰炸和电子邮件“滚雪球”。也就是通常所说的邮件炸黑客攻击秘技随手查
4
黑客攻击解密黑客攻击解密黑客攻击解密黑客攻击解密弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪。
电子邮件欺骗 。攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序。
(5)通过一个节点来攻击其他节点攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。
这类攻击很狡猾,但由于某些技术很难掌握(如TCP/IP欺骗攻击),因此攻击者通过外部计算机伪装成另一台合法计算机来实现。它能破坏两台计算机之间通信链路上的数据,其伪装的目的在于哄骗网络中的其他计算机误将其攻击者作为合法计算机加以接受,诱使其他机器向它发送数据或允许它修改数据。TCP/IP欺骗可以发生TCP/IP系统的所有层次上,包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外由于用户本身不直接与底层相互相交流,因而对底层的攻击更具有欺骗性。
(6)网络监听网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如
NetXRay等)就可轻而易举地截取包括口令和账号在内的信息资料。虽然网络监听获得的用户账号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户账号及口令。
(7)利用黑客软件攻击利用黑客软件攻击是互联网上比较多的一种攻击手法。Back
Orifice2000、冰河等都是比较著名的木马软件,它们可以非法地取得用黑客攻击解密黑客攻击解密黑客入门5
黑客攻击解密黑客攻击解密户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登录已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会附带于某些软件上。有可能当用户下载了一个小游戏并运行时,黑客软件的服务器端就安装完成了,而且大部分黑客软件的重生能力比较强,会给用户进行清除造成一定的麻烦。如TXT文件欺骗手法,表面看上去是一个TXT文本文件,但实际上却是一个附带黑客程序的可执行程序,另外有些程序也会伪装成图片和其他格式的文件。
(8)安全漏洞攻击许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击。由于很多系统不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,从而获得超级用户的权限。
又如,ICMP协议也经常被用于发动拒绝服务攻击。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,
从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击。它们的繁殖能力极强,一般通过
Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。
(9)端口扫描攻击所谓端口扫描,就是利用Socket编程与目标主机的某些端口建立
TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。
黑客攻击秘技随手查
6
网络攻击基本知识网络攻击基本知识网络攻击基本知识网络攻击基本知识
1.2 网络攻击基本知识
1:系统端口完全掌握端口攻击是很重要的一种攻击手段,了解每个端口已成为一名黑客的必修课,下面我们来看看这些系统端口到底包含了些什么意义。
端口号 服务 说明
0 Reserved 通常用于分析操作系统。这一方法能够工作
是因为在一些系统中“0”是无效端口,当
你试图使用通常的闭合端口连接它时将产生
不同的结果。一种典型的扫描,使用IP地址
为0.0.0.0,设置ACK位并在以太网层广播。
1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现
tcpmux的主要提供者,默认情况下tcpmux
在这种系统中被打开。
7 Echo 能看到许多人搜索Fraggle放大器时,发送
到X.X.X.0和X.X.X.255的信息。
19 Character 这是一种仅仅发送字符的服务。UDP版本将
Generator 会在收到UDP包后回应含有垃圾字符的包。
TCP连接时会发送含有垃圾字符的数据流直
到连接关闭。黑客利用IP欺骗可以发动Dos
攻击。伪造两个chargen服务器之间的UDP
包。同样Fraggle DoS攻击向目标地址的这
个端口广播一个带有伪造受害者IP的数据包,
受害者为了回应这些数据而过载。
21 FTP FTP服务器所开放的端口,用于上传、下载。
最常见的攻击者用于寻找打开anonymous
的FTP服务器的方法。这些服务器带有可读写
的目录。木马DolyTrojan、Fore、Invisible
FTP、WebEx、WinCrash和Blade Runner所
开放的端口。
Skill
网络攻击基本知识网络攻击基本知识黑客入门7
网络攻击基本知识网络攻击基本知识
22 Ssh PcAnywhere建立的TCP和这一端口的连接
可能是为了寻找ssh。这一服务有许多弱点,
如果配置成特定的模式,许多使用RSAREF库
的版本就会有不少的漏洞存在。
23 Telnet 远程登录,入侵者在搜索远程登录UNIX的服
务。大多数情况下扫描这一端口是为了找到
机器运行的操作系统。还有使用其他技术,
入侵者也会找到密码。木马Tiny Telnet Server
就开放这个端口。
25 SMTP SMTP服务器所开放的端口,用于发送邮件。
入侵者寻找SMTP服务器是为了传递他们的
SPAM。入侵者的账户被关闭,他们需要连接
到高带宽的E-MAIL服务器上,将简单的信息
传递到不同的地址。木马Antigen、Email
Password Sender、Haebu Coceda、
Shtrilitz Stealth、WinPC、WinSpy都开放这
个端口。
31 MSG 木马Master Paradise、Hackers Paradise开
放此Authentication端口。
42 WINS WINS复制。
Replication
53 Domain DNS 服务器所开放的端口,入侵者可能是试图进行
NameServer 区域传递(TCP),欺骗DNS(UDP)或隐藏
(DNS) 其他的通信。因此防火墙常常过滤或记录
端口。
67 Bootstrap 通过DSL和Cable modem的防火墙常会看见
Protocol 大量发送到广播地址255.255.255.255的数据。
Server 这些机器在向DHCP服务器请求一个地址。
黑客常进入它们,分配一个地址把自己作为局
部路由器而发起大量中间人(man-in-middle)
攻击。客户端向68端口广播请求配置,服务器
向67端口广播回应请求。这种回应使用广播是
因为客户端还不知道可以发送的IP地址。
黑客攻击秘技随手查
8
网络攻击基本知识网络攻击基本知识网络攻击基本知识网络攻击基本知识
69 Trival File 许多服务器与bootp一起提供这项服务,便于
Transfer 从系统下载启动代码。但是它们常常由于错误
配置而使入侵者能从系统中窃取任何文件。它
们也可用于系统写入文件。
79 Finger Server 入侵者用于获得用户信息,查询操作系统,探
测已知的缓冲区溢出错误,回应从自己机器到
其他机器Finger扫描。
80 HTTP 用于网页浏览。木马Executor开放此端口。
99 Metagram 后门程序ncx99开放此端口。
Relay
102 Message 消息传输代理。
transfer agent
(MTA)-X.400
over TCP/IP
109 Post Of? ce POP3服务器开放此端口,用于接收邮件,客户
Protocol 端访问服务器端的邮件服务。POP3服务有许多
-Version3 公认的弱点。关于用户名和密码交 换缓冲区溢
出的弱点至少有20个,这意味着入侵者可以在
真正登录前进入系统。成功登录后还有其他缓
冲区溢出错误。
110 SUN公司的 S常见RPC服务有rpc.mountd、NFS、rpc.
RPC服务所有 statd、rpc.csmd、rpc.ttybd、amd等端口。
113 Authentication 这是一个许多计算机上运行的协议,用于鉴别
Service TCP连接的用户。使用标准的这种服务可以获得
许多计算机的信息。但是它可作为许多服务的记
录器,尤其是FTP、POP、IMAP、SMTP和IRC
等服务。通常如果有许多客户通过防火墙访问这
些服务,将会看到许多这个端口的连接请求。记
住,如果阻断这个端口客户端会感觉到在防火墙
另一边与E-Mail服务器的缓慢连接。许多防火
墙支持TCP连接的阻断过程中发回RST。这将会
停止缓慢的连接。
119 Network News新闻组传输协议,承载USENET通信。这
News Transfer 个端口的连接通常是人们在寻找USENET服务
Protocol 器。多数ISP限制,只有他们的客户才能访问网络攻击基本知识网络攻击基本知识黑客入门9
网络攻击基本知识网络攻击基本知识
他们的新闻组服务器。打开新闻组服务器将允
许发/读任何人的帖子,访问被限制的新闻组
服务器,匿名发帖或发送SPAM。
135 Location Microsoft在这个端口运行DCE RPC end-
Service point mapper为它的DCOM服务。这与
UNIX 111端口的功能很相似。还有些Dos攻
击直接针对这个端口。
137 NETBIOS 其中137、138是UDP端口,当通过网上邻居
138 Name Service 传输文件时用这个端口。而通过139这个端口
139 进入的连接试图获得NetBIOS/SMB服务。这
个协议被用于Windows文件和打印机共享和
SAMBA。还有WINS Registration也用它。
143 Interim Mail 和POP3的安全问题一样,许多IMAP服务器存
Access 在有缓冲区溢出漏洞。一种LINUX蠕虫会通过
Protocol v2 这个端口繁殖,因此许多这个端口的扫描来自
不知情的已经被感染的用户。当REDHAT在他
们的LINUX发布版本中默认允许IMAP后,这些
漏洞变得很流行。这一端口还被用于IMAP2,
但并不流行。
161 SNMP SNMP允许远程管理设备。所有配置和运行信
息的储存在数据库中,通过SNMP可获得这些
信息。许多管理员的错误配置将被暴露在
Internet。Hackers将试图使用默认的密码
public、private访问系统。他们可能会试验所
有可能的组合。SNMP包可能会被错误的指向
用户的网络。
177 X Display 许多入侵者通过它访问X-windows操作台,它
Manager 同时需要打开6000端口。
ControlProtocol
389 LDAP、ILS 轻型目录访问协议和NetMeeting Internet
Locator Server共用这一端口。
443 Https 网页浏览端口,能提供加密和通过安全端口传
输的另一种HTTP。
456 [NULL] 木马HACKERS PARADISE开放此端口。
黑客攻击秘技随手查
10
网络攻击基本知识网络攻击基本知识网络攻击基本知识网络攻击基本知识
513 Login,remote 是从使用cable modem或DSL登录到子网中
login 的UNIX计算机发出的广播。这些人为入侵者进
入他们的系统提供了信息。
544 [NULL] kerberos kshell。
548 Macintosh Macintosh,文件服务。
File Services
553 CORBA IIOP 使用cable modem、DSL或VLAN将会看到
(UDP) 这个端口的广播。CORBA是一种面向对象的
RPC系统。入侵者可以利用这些信息进入系统。
3210 [NULL] 木马SchoolBus开放此端口。
4321
3333 dec-notes 木马Prosiak开放此端口。
3389 超级终端 Windows 2000终端开放此端口。
4000 QQ客户端 腾讯QQ客户端开放此端口。
4092 [NULL] 木马WinCrash开放此端口。
5632 pcAnywere 有时会看到很多这个端口的扫描,这依赖于用户
所在的位置。当用户打开pcAnywere时,它会
自动扫描局域网C类网以寻找可能的代理(这里
的代理是指agent而不是proxy)。入侵者也会
寻找开放这种服务的计算机。所以应该查看这种
扫描的源地址。一些搜寻pcAnywere的扫描包
常含端口22的UDP数据包。
6267 [NULL] 木马广外女生开放此端口。
6400 [NULL] 木马The tHing开放此端口。
6970 RealAudio RealAudio客户将从服务器的6970-7170的
UDP端口接收音频数据流。这是由TCP-7070
端口外向控制连接设置的。
8000 OICQ 腾讯QQ服务器端开放此端口。
8010 Wingate Wingate代理开放此端口。
8080 代理端口 WWW代理开放此端口。
11000 [NULL] 木马SennaSpy开放此端口。
11223 [NULL] 木马Progenic trojan开放此端口。
12223 [NULL] 木马Hack'99 KeyLogger开放此端口。
12361 [NULL] 木马Whack-a-mole开放此端口。
网络攻击基本知识网络攻击基本知识黑客入门11
网络攻击基本知识网络攻击基本知识
2:DOS常用命令一览
Dir
显示目录文件和子目录列表。
/p 每次都会显示一个列表屏幕。要查看下一屏,请按键盘上的任意键。
/w 以宽格式显示列表,在每一行上最多会显示5个文件名或目录名。
/s 列出指定目录及所有子目录中出现的每个指定的文件名。比
Windows环境下的查找快多了。
Attrib
显示、设置或删除指派给文件或目录的只读、存档、系统以及隐藏属性。如果在不含参数的情况下使用,则attrib会显示当前目录中所有文件的属性。
+r 设置只读属性。
-r 清除只读属性。
+a 设置存档文件属性。
-a 清除存档文件属性。
+s 设置系统属性。
-s 清除系统属性。
+h 设置隐藏属性。
-h 清除隐藏属性。
Cls
清除显示在命令提示符窗口中的所有信息,并返回空窗口,即
“清屏”。
Exit
退出当前程序并返回到系统。
Format
格式化
/q 执行快速格式化。删除以前已格式化卷的文件表和根目录,但
Skill
黑客攻击秘技随手查
12
网络攻击基本知识网络攻击基本知识网络攻击基本知识网络攻击基本知识不在扇区之间扫描损坏区域。使用/q命令行选项应该仅格式化以前已格式化的完好的卷。
Ipcon? g
显示所有当前的TCP/IP网络配置值、刷新动态主机配置协议(DHCP)
和域名系统(DNS)设置。使用不带参数的ipcon? g可以显示所有适配器的
IP地址、子网掩码、默认网关。
/all 显示适配器完整的TCP/IP 配置信息。
ipconfig等价于winipcfg,后者在Me、98 和 95 上可用。尽管
Windows XP没有提供像winipcfg命令一样的图形化界面,但可以使用
“网络连接”查看和更新IP地址。
该命令最适用于配置为自动获取IP地址的计算机。它使用户可以确定哪些TCP/IP配置值是由DHCP、自动专用IP地址(APIPA)和其他协议配置的。
Md
创建目录或子目录。
Move
将一个或多个文件从一个目录移动到指定的目录。
Nbtstat
显示本地计算机和远程计算机的基于TCP/IP(NetBT)协议的NetBIOS
统计资料、NetBIOS 名称表和NetBIOS名称缓存。Nbtstat可以刷新
NetBIOS名称缓存和注册的Windows Internet名称服务(WINS)名称。使用不带参数的nbtstat显示帮助。Nbtstat 命令行参数区分大小写。
-a remotename 显示远程计算机的NetBIOS名称表,其中,RemoteName是远程计算机的NetBIOS计算机名称。
-a IPAddress 显示远程计算机的NetBIOS名称表,其名称由远程计算机的IP地址指定(以小数点分隔)。
Netstat
显示活动的TCP连接、计算机侦听的端口、以太网统计信息、IP 路由表、IPv4统计信息(对于 IP、ICMP、TCP 和 UDP 协议)以及IPv6统计信息
(对于 IPv6、ICMPv6、通过 IPv6 的 TCP 以及通过 IPv6 的 UDP 协议)。
网络攻击基本知识网络攻击基本知识黑客入门13
网络攻击基本知识网络攻击基本知识使用时如果不带参数,netstat显示活动的 TCP 连接。
-a 显示所有活动的TCP连接以及计算机侦听的TCP和UDP端口。
Ping
通过发送“网际消息控制协议(ICMP)”回应请求消息来验证与另一台TCP/IP计算机的 IP级连接。回应应答消息的接收情况将和往返过程的次数一起显示出来。Ping是用于检测网络连接性、可到达性和名称解析的疑难问题的主要TCP/IP命令。如果不带参数,ping 将显示帮助。名称和IP地址解析是它的最简单应用,也是用得最多的。
-t 指定在中断前ping可以持续发送回应请求信息到目的地。
-lSize 指定发送的回应请求消息中“数据”字段的长度(以字节表示)。默认值为 32。size的最大值是65,527。
Rename (Ren)
更改文件的名称。
例如 ren *.abc *.cba。
Set
显示、设置或删除环境变量。如果没有任何参数,set命令将显示当前环境设置。
Shutdown
允许你关闭或重新启动本地或远程计算机。如果没有使用参数,
shutdown将注销当前用户。
-m ComputerName指定要关闭的计算机。
-txx 将用于系统关闭的定时器设置为 xx 秒,默认值是 20 秒。
-l 注销当前用户,这是默认设置。
-s 关闭本地计算机。
-r 关闭之后重新启动。
-a 中止关闭。除了-l和ComputerName外,系统将忽略其他参数。在超时期间,只可以使用 -a。
System File Checker (sfc)
Windows下才有,在重新启动计算机后扫描和验证所有受保护的黑客攻击秘技随手查
14
网络攻击基本知识网络攻击基本知识网络攻击基本知识网络攻击基本知识系统文件。
/scannow 立即扫描所有受保护的系统文件。
/scanonce 一次扫描所有受保护的系统文件。
/purgecache 立即清除“Windows 文件保护”文件高速缓存,并扫描所有受保护的系统文件。
/cachesize=x 设置“Windows 文件保护”文件高速缓存的大小,
以 MB 为单位。
Type
显示文本文件的内容。使用type命令查看文本文件或bat文件而不修改文件。
Tree
图像化显示路径或驱动器中磁盘的目录结构。
Xcopy
复制文件和目录,包括子目录。
/s 复制非空的目录和子目录。如果省略/s,xcopy将在一个目录中工作。
/e 复制所有子目录,包括空目录。
Copy
将一个或多个文件从一个位置复制到其他位置。
Del
删除指定文件。
ftp和bat批命令和net和telnet由于子命令太多,这里不说了,不过这几个都是常用到的。
网络攻击基本知识网络攻击基本知识网络攻击基本知识黑客入门15
网络攻击基本知识网络攻击基本知识
1.3 网络攻击入门
1:简单命令扫描端口不需要任何工具,只需一句DOS命令就可扫描一个网段的全部端口!在Windows 2000下开一个DOS窗口,然后执行,
for /l %a in (1,1,254) do start /min /low telnet 192.168.0.%a 3389
这样192.168.0.x这个网段的所有开放3389端口的主机都会暴露。这条命令执行后,会在任务栏开254个小窗口。然后telnet链接失败的窗口会在大约5秒后自动退出,剩下的窗口就是相对应开放端口的主机了。 看一下小窗口的标题可以得知主机的IP地址,如果你觉得机器性能很好的话
可以把/low参数去了。
现在扫描一台主机的多个端口,如下,
for /l %a in (1,1,65535) do start /low /min telnet 192.168.0.1%a
这样就扫描192.168.0.1的1到65535端口。
扫描一个网段的所有端口,如下,
for /l %a in (1,1,254) do for /l %b in (1,1,65535) do start /low/min
telnet 192.168.0.%a %b
这样就会扫描192.168.0.x网段的全部1到65535端口。
以上命令只能在Windows 2000下使用,因为/l累加参数是Windows
2000对for的扩展,当然Windows XP和Windows.NET都可以用。
2:IP地址的获取和隐藏在正式进行各种“黑客行为”之前,黑客会采取各种手段,探测(也可以说“侦察”)对方的主机信息,以便决定使用何种最有效的方法达到自己的目的。下面来看看黑客是如何获知最基本的网络信息——对方的IP
地址;以及用户如何防范自己的IP泄漏。
(1)获取目标IP地址
“IP”作为Net用户的重要标示,是黑客首先需要了解的。获取的方法较多,黑客也会因不同的网络情况采取不同的方法,如:在局域网内使用Ping指令,通过对方在网络中的名称而获得IP;而最有效的办法是截获并分析对方的网络数据包。用Windows 2003的网络监视器可以捕获网络数据包,可能一般的用户比较难看懂这些16进制的代码,而对于了解
Skill
Skill
网络攻击入门黑客攻击秘技随手查
16
网络攻击入门网络攻击入门网络攻击入门网络攻击入门网络知识的黑客,他们可以找到并直接通过软件解析截获后的数据包的IP
包头信息,再根据这些信息了解具体的IP。
(2)隐藏自己的IP
虽然侦察IP的方法多样,但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言,可以安装能够自动去掉发送数据包包头IP信息的“Norton Internet Security 2003”。不过使用“Norton
Internet Security”有些缺点,譬如:它耗费资源严重,降低计算机性能;在访问一些论坛或者网站时会受影响;不适合网吧用户使用等。现在的个人用户采用最普及隐藏IP的方法是使用代理,由于使用代理服务器后,“转址服务”会对发送出去的数据包有所修改,致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE等)都支持使用代理方式连接Internet,特别是QQ使用“ezProxy”等代理软件连接后,IP版的QQ都无法显示该IP地址。
不过使用代理服务器同样有一些缺点,如:会影响网络通讯的速度;需要网络上的一台能够提供代理能力的计算机,如果用户无法找到这样的代理服务器就不能使用代理(查找代理服务器时,可以使用“代理猎手”等工具软件扫描网络上的代理服务器)。
虽然代理可以有效地隐藏用户
IP,但高深的黑客亦可以绕过代理,
查找到对方的真实IP地址,用户在何种情况下使用何种方法隐藏IP,也要因情况而论。
3:端口扫描利器——流光使用入门流光这款软件除了能够像X-Scan那样扫描众多漏洞、弱口令外,还集成了常用的入侵工具,如字典工具、NT/IIS工具等,并独创了能够控制
“肉鸡”进行扫描的“流光Sensor工具”和为“肉鸡”安装服务的“种植者”工具,图1-1所示的是流光启动界面。
与X-Scan相比,流光的功能多一些,但操作起来难免繁杂。由于流光的功能过于强大,而且功能还在不断扩充中,因此流光的作者限制了流光所能扫描的IP范围,不允许流光扫描国内IP地址,而且流光测试版在功能上也有一定的限制。但是,入侵者为了能够最大限度地使用流光,
Skill
图1-1
网络攻击入门网络攻击入门黑客入门17
网络攻击入门网络攻击入门在使用流光之前,都需要用专门的破解程序对流光进行破解,去除IP范围和功能上的限制。
安装与打补丁完成后,打开流光,界面如图1-2所示。
图1-2
4,扫描指定网段主机
(1)打开高级扫描向导、设置扫描参数在流光5.0主界面下,通过选择“文件”→“高级扫描向导”或使用快捷健“Ctrl+W”打开高级扫描向导。在“起始地址”和“结束地址”
分别填入目标网段主机的开始和结束IP地址;在“目标系统”中选择检测的操作系统类型;在“获取主机名”、“PING检查”前面打钩;在“检测项目”中,选择“全选”;选好后如图1-3所示。
图1-3
Skill
黑客攻击秘技随手查
18
网络攻击入门网络攻击入门网络攻击入门网络攻击入门然后单击“下一步”按钮,在图中选中“标准端口扫描”,如图1-4
所示。
图1-4
继续单击“下一步”按钮,如图1-5所示进行设置。
图1-5
设置好所有检测项目后,单击“下一步”按钮打开如图1-6所示的界面,选择“本地主机”,表示使用本机执行扫描任务。
图1-6
说明
“标准端口扫描”:只对常见的端口进行扫描。
“自定端口扫描范围”:自定义端口范围进行扫描。
网络攻击入门网络攻击入门黑客入门19
网络攻击入门网络攻击入门
(2)开始扫描
在图1-6中单击“开始”按钮进行扫描。在扫描过程中,如果想要停止,通过单击最下角的“取消”按钮来实现,不过需要相当一段时间才能真正地停止,所以建议一次不要扫描范围太大的网段,如果因扫描时间过长而等不及,这时候再想让流光停下来也是不容易的。
(3)查看扫描报告扫描结束后,流光会自动生成HTML格式的扫描报告,如图1-7所示。
图1-7
需要指出的是,在扫描完成后,流光不仅把扫描结果整理成报告文件,而且还把可利用的主机列在流光界面的最下方,如图1-8所示。
图1-8
单击主机列表中的主机便可以直接对目标主机进行连接操作,如图
1-9所示。
图1-9
除了使用“高级扫描向导”配置高级扫描外,还可以直接选取高级扫描工具,如图1-10所示。
黑客攻击秘技随手查
20
网络攻击入门网络攻击入门网络攻击入门网络攻击入门图1-10
然后打开“高级扫描设置”,其界面如图1-11所示。
图1-11
关于流光的使用就介绍到这里,本节中所介绍的只是流光功能的一小部分,其他一些功能会在以后的实例中有所介绍。流光扫描器自身的设置是比较复杂的,有很多选项可以自由设定,因而也给使用者更大的发挥空间,可以根据网络和机器的状况来尝试改变这些设置,提高扫描器的性能。
5:简单命令检查木马一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
(1)检测网络连接如果你怀疑自己的计算机被别人安装了木马,或者是中了病毒,但
Skill
网络攻击入门网络攻击入门黑客入门21
网络攻击入门网络攻击入门是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用
Windows自带的网络命令来查看谁在连接你的计算机。
具体的命令格式是:netstat –an。
这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign
address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
(2)禁用不明服务很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
(3)轻松检查账户恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。
恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了
Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧!
黑客攻击秘技随手查
22
黑客入门技巧经典问答黑客入门技巧经典问答黑客入门技巧经典问答黑客入门技巧经典问答
1.4 黑客入门技巧经典问答
1:什么是网络安全?
答:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不被中断。
2:什么是计算机病毒?
答:计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
3:什么是木马?
答:木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。
4:什么是防火墙?它是如何确保网络安全的?
答:使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
5:什么是后门?为什么会存在后门?
答:后门(Back Door)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除,那么它就成了安全隐患。
6:什么叫入侵检测?
答:入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩
Skill
Skill
Skill
Skill
Skill
Skill
黑客入门技巧经典问答黑客入门技巧经典问答黑客入门23
黑客入门技巧经典问答黑客入门技巧经典问答展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象
7:什么叫数据包监测?它有什么作用?
答:数据包监测可以被认为是窃听电话线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。
8:什么是NIDS?
答:NIDS是Network Intrusion Detection System的缩写,即网络入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。
9:什么叫SYN包?
答:TCP连接的第一个包,非常小的一种数据包。SYN攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。
10:加密技术是指什么?
答:加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原
(解密)。
加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤,
密钥是用来对数据进行编码和解密的一种算法。在安全保密中,可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。
Skill
Skill
Skill
Skill
黑客攻击秘技随手查
24
黑客入门技巧经典问答黑客入门技巧经典问答黑客入门技巧经典问答黑客入门技巧经典问答
11:什么是操作系统型病毒?它有什么危害?
答:这种病毒会用它自己的程序加入操作系统或者取代部分操作系统进行工作,具有很强的破坏力,会导致整个系统瘫痪。而且由于感染了操作系统,这种病毒在运行时,会用自己的程序片断取代操作系统的合法程序模块。根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用,以及病毒取代操作系统的取代方式等,对操作系统进行破坏。同时,这种病毒对系统中文件的感染性也很强。
12:什么是DDoS?它会导致什么后果?
答:DDoS也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法,但是发起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机,当获得该主机的适当的访问权限后,攻击者在主机中安装软件的服务或进程(以下简称代理)。这些代理保持睡眠状态,
直到从它们的主控端得到指令,对指定的目标发起拒绝服务攻击。随着危害力极强的黑客工具的广泛传播使用,分布式拒绝服务攻击可以同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响,而分布于全球的几千个攻击将会产生致命的后果。
13:局域网内部的ARP攻击是指什么?
答:ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象,
不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
计算机不能正常上网,出现网络中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。
14:什么叫欺骗攻击?它有哪些攻击方式?
答:网络欺骗的技术主要有HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电
Skill
Skill
Skill
Skill
黑客入门技巧经典问答黑客入门技巧经典问答黑客入门25
黑客入门技巧经典问答黑客入门技巧经典问答子邮件欺骗、源路由欺骗(通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。
15:怎么样打开注册表编辑器
答:依次点击“开始”→“运行”→输入“regedit”,回车即可。
16:怎么进入Windows 下的MS-DOS模式?
答:依次点击“开始”→“所有程序”→“附件”→“命令提示符”,这时弹出的窗口就是DOS操作环境了。
17:怎么才能查出上网时的本机的IP地址?
答:在命令行提示符窗口下使用“ipcon? g”命令。
18:什么是ICMP?
答:ICMP的全称是Internet Control Message Protocol(网间报文控制协议),它是IP不可分割的一部分,用来提供错误报告。一旦发现各种错误类型就将其返回原主机,我们平时最常见的ping命令就是基于
ICMP的。
19:知道IP,能找出该IP用的是什么ISP和所在地区吗?
答:有许多工具有这个功能,如果没有工具也不用着急,我们可以用GOOGLE来找出他所在的地区。在搜索栏中输入你的IP地址,然后回车就可以搜索到你想要的答案了。
20:何谓WLAN,现在最流行的无线组网技术是什么?
答:WLAN为Wireless LAN的简称,即无线局域网。无线局域网是利用无线技术实现快速接入以太网的技术。综观现在的市场,IEEE 802.11b
技术在性能、价格各方面均超过了蓝牙、HomeRF等技术,逐渐成为无线接入以太网应用最为广泛的标准。由于IEEE 802.11b技术的不断成熟,
在全球范围内正在兴起无线局域网应用的高潮。
21:无线网络与有线网络相较之下,有哪些优点?
答:与有线网络相比,WLAN最主要的优势在于不需要布线,可以不受布线条件的限制,因此非常适合移动办公用户的需要,具有广阔市场
Skill
Skill
Skill
Skill
Skill
Skill
Skill
黑客攻击秘技随手查
26
黑客入门技巧经典问答黑客入门技巧经典问答前景。目前它已经从传统的医疗保健、库存控制和管理服务等特殊行业向更多行业拓展开去,甚至开始进入家庭以及教育机构等领域。
22:常见的无线网络协议有哪些,它们的特点是什么?
答:最常见的有IEEE 802.11,IEEE 802.11a、IEEE 802.11b、IEEE
802.11g。其中IEEE 802.11是IEEE(电气和电子工程师协会)最初制定的一个无线局域网标准。
IEEE 802.11b又被称为Wi-Fi,使用开放的2.4GHz直接序列扩频,
最大数据传输速率为11Mbps,也可根据信号强弱把传输率调整为
5.5Mbps、2 Mbps和1 Mbps带宽。无需直线传播传输范围为室外最大300米,室内有障碍的情况下最大100米,是现在使用的最多的传输协议。
Skill
黑客攻击解密黑客攻击解密
1.1 黑客攻击解密
1:黑客攻击流程解密黑客们的性格千奇百怪,但是他们攻击别人的步骤无外乎就是那几样,下面我们来看黑客们最常用的攻击步骤。
(1)给自己隐身普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP,然后再盗用他人的账号上网。这也是一个最基本的手段,攻击别人,肯定先要隐藏自己,以免被别人发现。
(2)寻找目标主机攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提供服务等资料作个全面的了解。此时,攻击者们会使用一些扫描器工具,轻松获取目标主机运行的操作系统、系统账户、服务器程序是何种版本等资料,为入侵作好充分的准备。
(3)登录主机攻击者要想入侵一台主机,首先要有该主机的一个账号和密码,否则连登录都无法进行。这样常迫使他们先设法盗窃账户文件,进行破解,从中获取某用户的账户和口令,再寻觅合适时机以此身份进入主机。当然,
利用某些工具或系统漏洞登录主机也是攻击者常用的一种方法。
第一章黑客入门黑客又名hacker,是一群喜欢用智力通过创造性方法来挑战脑力极限的人,特别是他们所感兴趣的领域。本章我们来认识一下黑客,看看他们是怎样
“黑”掉别人电脑的。
Skill
黑客攻击秘技随手查
2
黑客攻击解密黑客攻击解密黑客攻击解密黑客攻击解密
(4)控制目标主机攻击者们用FTP、Telnet等工具通过系统漏洞进入目标主机系统获得控制权之后,就会做两件事:清除记录和留下后门。他会更改某些系统设置,在系统中置入特洛伊木马或其他一些远程操纵程序,以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用了,甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件,以便不留下FTB记录。通过清除日志,删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。
(5)夺取网络资源和特权攻击者找到攻击目标后,会继续下一步的攻击。如:下载敏感信息;实施窃取账号密码、信用卡号等经济偷窃;使网络瘫痪等。
2:黑客攻击常用方法详解上面我们简单的了解了黑客一般的攻击流程,下面我们来详细了解下黑客攻击的常用手段。
(1)口令入侵所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。获得合法用户账号的方法很多,如:
利用目标主机的Finger功能,当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上。
利用目标主机的X.500服务,有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径。
从电子邮件地址中收集,有些用户电子邮件地址常会透露其在目标主机上的账号。
查看主机是否有习惯性的账号,有经验的用户都知道,很多系统会使用一些习惯性的账号,造成账号的泄露。
(2)放置特洛伊木马程序特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成
Skill
黑客攻击解密黑客攻击解密黑客入门3
黑客攻击解密黑客攻击解密工具程序或者游戏等,诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会像特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当用户连接到因特网上时,这个程序就会通知攻击者,报告IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
(3)WWW的欺骗技术在网上,用户可以利用IE等浏览器进行各种各样的WEB站点的访问,
如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,
网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
一般Web欺骗使用两种技术手段,即URL地址重写技术和相关信息掩盖技术。利用URL地址,使这些地址都指向攻击者的Web服务器,
即攻击者可以将自已的Web地址加在所有URL地址的前面。这样,当用户与站点进行安全链接时,就会毫不防备地进入攻击者的服务器,于是所有信息便处于攻击者的监视之中。但由于浏览器一般设有地址栏和状态栏,当浏览器与某个站点连接时,可以在地址栏和状态栏中获得连接中的Web站点地址及其相关的传输信息,用户由此可以发现问题,
所以攻击者往往在URL地址重写的同时,利用相关信息技术,即一般用
JavaScript程序来重写地址,以达到其欺骗的目的。
(4)电子邮件攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统反应缓慢甚至瘫痪。相对于其他的攻击手段来说,这种攻击方法具有简单、见效快等优点。
电子邮件攻击主要表现为两种方式:
电子邮件轰炸和电子邮件“滚雪球”。也就是通常所说的邮件炸黑客攻击秘技随手查
4
黑客攻击解密黑客攻击解密黑客攻击解密黑客攻击解密弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪。
电子邮件欺骗 。攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序。
(5)通过一个节点来攻击其他节点攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。
这类攻击很狡猾,但由于某些技术很难掌握(如TCP/IP欺骗攻击),因此攻击者通过外部计算机伪装成另一台合法计算机来实现。它能破坏两台计算机之间通信链路上的数据,其伪装的目的在于哄骗网络中的其他计算机误将其攻击者作为合法计算机加以接受,诱使其他机器向它发送数据或允许它修改数据。TCP/IP欺骗可以发生TCP/IP系统的所有层次上,包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外由于用户本身不直接与底层相互相交流,因而对底层的攻击更具有欺骗性。
(6)网络监听网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如
NetXRay等)就可轻而易举地截取包括口令和账号在内的信息资料。虽然网络监听获得的用户账号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户账号及口令。
(7)利用黑客软件攻击利用黑客软件攻击是互联网上比较多的一种攻击手法。Back
Orifice2000、冰河等都是比较著名的木马软件,它们可以非法地取得用黑客攻击解密黑客攻击解密黑客入门5
黑客攻击解密黑客攻击解密户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登录已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会附带于某些软件上。有可能当用户下载了一个小游戏并运行时,黑客软件的服务器端就安装完成了,而且大部分黑客软件的重生能力比较强,会给用户进行清除造成一定的麻烦。如TXT文件欺骗手法,表面看上去是一个TXT文本文件,但实际上却是一个附带黑客程序的可执行程序,另外有些程序也会伪装成图片和其他格式的文件。
(8)安全漏洞攻击许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击。由于很多系统不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,从而获得超级用户的权限。
又如,ICMP协议也经常被用于发动拒绝服务攻击。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,
从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击。它们的繁殖能力极强,一般通过
Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。
(9)端口扫描攻击所谓端口扫描,就是利用Socket编程与目标主机的某些端口建立
TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。
黑客攻击秘技随手查
6
网络攻击基本知识网络攻击基本知识网络攻击基本知识网络攻击基本知识
1.2 网络攻击基本知识
1:系统端口完全掌握端口攻击是很重要的一种攻击手段,了解每个端口已成为一名黑客的必修课,下面我们来看看这些系统端口到底包含了些什么意义。
端口号 服务 说明
0 Reserved 通常用于分析操作系统。这一方法能够工作
是因为在一些系统中“0”是无效端口,当
你试图使用通常的闭合端口连接它时将产生
不同的结果。一种典型的扫描,使用IP地址
为0.0.0.0,设置ACK位并在以太网层广播。
1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现
tcpmux的主要提供者,默认情况下tcpmux
在这种系统中被打开。
7 Echo 能看到许多人搜索Fraggle放大器时,发送
到X.X.X.0和X.X.X.255的信息。
19 Character 这是一种仅仅发送字符的服务。UDP版本将
Generator 会在收到UDP包后回应含有垃圾字符的包。
TCP连接时会发送含有垃圾字符的数据流直
到连接关闭。黑客利用IP欺骗可以发动Dos
攻击。伪造两个chargen服务器之间的UDP
包。同样Fraggle DoS攻击向目标地址的这
个端口广播一个带有伪造受害者IP的数据包,
受害者为了回应这些数据而过载。
21 FTP FTP服务器所开放的端口,用于上传、下载。
最常见的攻击者用于寻找打开anonymous
的FTP服务器的方法。这些服务器带有可读写
的目录。木马DolyTrojan、Fore、Invisible
FTP、WebEx、WinCrash和Blade Runner所
开放的端口。
Skill
网络攻击基本知识网络攻击基本知识黑客入门7
网络攻击基本知识网络攻击基本知识
22 Ssh PcAnywhere建立的TCP和这一端口的连接
可能是为了寻找ssh。这一服务有许多弱点,
如果配置成特定的模式,许多使用RSAREF库
的版本就会有不少的漏洞存在。
23 Telnet 远程登录,入侵者在搜索远程登录UNIX的服
务。大多数情况下扫描这一端口是为了找到
机器运行的操作系统。还有使用其他技术,
入侵者也会找到密码。木马Tiny Telnet Server
就开放这个端口。
25 SMTP SMTP服务器所开放的端口,用于发送邮件。
入侵者寻找SMTP服务器是为了传递他们的
SPAM。入侵者的账户被关闭,他们需要连接
到高带宽的E-MAIL服务器上,将简单的信息
传递到不同的地址。木马Antigen、Email
Password Sender、Haebu Coceda、
Shtrilitz Stealth、WinPC、WinSpy都开放这
个端口。
31 MSG 木马Master Paradise、Hackers Paradise开
放此Authentication端口。
42 WINS WINS复制。
Replication
53 Domain DNS 服务器所开放的端口,入侵者可能是试图进行
NameServer 区域传递(TCP),欺骗DNS(UDP)或隐藏
(DNS) 其他的通信。因此防火墙常常过滤或记录
端口。
67 Bootstrap 通过DSL和Cable modem的防火墙常会看见
Protocol 大量发送到广播地址255.255.255.255的数据。
Server 这些机器在向DHCP服务器请求一个地址。
黑客常进入它们,分配一个地址把自己作为局
部路由器而发起大量中间人(man-in-middle)
攻击。客户端向68端口广播请求配置,服务器
向67端口广播回应请求。这种回应使用广播是
因为客户端还不知道可以发送的IP地址。
黑客攻击秘技随手查
8
网络攻击基本知识网络攻击基本知识网络攻击基本知识网络攻击基本知识
69 Trival File 许多服务器与bootp一起提供这项服务,便于
Transfer 从系统下载启动代码。但是它们常常由于错误
配置而使入侵者能从系统中窃取任何文件。它
们也可用于系统写入文件。
79 Finger Server 入侵者用于获得用户信息,查询操作系统,探
测已知的缓冲区溢出错误,回应从自己机器到
其他机器Finger扫描。
80 HTTP 用于网页浏览。木马Executor开放此端口。
99 Metagram 后门程序ncx99开放此端口。
Relay
102 Message 消息传输代理。
transfer agent
(MTA)-X.400
over TCP/IP
109 Post Of? ce POP3服务器开放此端口,用于接收邮件,客户
Protocol 端访问服务器端的邮件服务。POP3服务有许多
-Version3 公认的弱点。关于用户名和密码交 换缓冲区溢
出的弱点至少有20个,这意味着入侵者可以在
真正登录前进入系统。成功登录后还有其他缓
冲区溢出错误。
110 SUN公司的 S常见RPC服务有rpc.mountd、NFS、rpc.
RPC服务所有 statd、rpc.csmd、rpc.ttybd、amd等端口。
113 Authentication 这是一个许多计算机上运行的协议,用于鉴别
Service TCP连接的用户。使用标准的这种服务可以获得
许多计算机的信息。但是它可作为许多服务的记
录器,尤其是FTP、POP、IMAP、SMTP和IRC
等服务。通常如果有许多客户通过防火墙访问这
些服务,将会看到许多这个端口的连接请求。记
住,如果阻断这个端口客户端会感觉到在防火墙
另一边与E-Mail服务器的缓慢连接。许多防火
墙支持TCP连接的阻断过程中发回RST。这将会
停止缓慢的连接。
119 Network News新闻组传输协议,承载USENET通信。这
News Transfer 个端口的连接通常是人们在寻找USENET服务
Protocol 器。多数ISP限制,只有他们的客户才能访问网络攻击基本知识网络攻击基本知识黑客入门9
网络攻击基本知识网络攻击基本知识
他们的新闻组服务器。打开新闻组服务器将允
许发/读任何人的帖子,访问被限制的新闻组
服务器,匿名发帖或发送SPAM。
135 Location Microsoft在这个端口运行DCE RPC end-
Service point mapper为它的DCOM服务。这与
UNIX 111端口的功能很相似。还有些Dos攻
击直接针对这个端口。
137 NETBIOS 其中137、138是UDP端口,当通过网上邻居
138 Name Service 传输文件时用这个端口。而通过139这个端口
139 进入的连接试图获得NetBIOS/SMB服务。这
个协议被用于Windows文件和打印机共享和
SAMBA。还有WINS Registration也用它。
143 Interim Mail 和POP3的安全问题一样,许多IMAP服务器存
Access 在有缓冲区溢出漏洞。一种LINUX蠕虫会通过
Protocol v2 这个端口繁殖,因此许多这个端口的扫描来自
不知情的已经被感染的用户。当REDHAT在他
们的LINUX发布版本中默认允许IMAP后,这些
漏洞变得很流行。这一端口还被用于IMAP2,
但并不流行。
161 SNMP SNMP允许远程管理设备。所有配置和运行信
息的储存在数据库中,通过SNMP可获得这些
信息。许多管理员的错误配置将被暴露在
Internet。Hackers将试图使用默认的密码
public、private访问系统。他们可能会试验所
有可能的组合。SNMP包可能会被错误的指向
用户的网络。
177 X Display 许多入侵者通过它访问X-windows操作台,它
Manager 同时需要打开6000端口。
ControlProtocol
389 LDAP、ILS 轻型目录访问协议和NetMeeting Internet
Locator Server共用这一端口。
443 Https 网页浏览端口,能提供加密和通过安全端口传
输的另一种HTTP。
456 [NULL] 木马HACKERS PARADISE开放此端口。
黑客攻击秘技随手查
10
网络攻击基本知识网络攻击基本知识网络攻击基本知识网络攻击基本知识
513 Login,remote 是从使用cable modem或DSL登录到子网中
login 的UNIX计算机发出的广播。这些人为入侵者进
入他们的系统提供了信息。
544 [NULL] kerberos kshell。
548 Macintosh Macintosh,文件服务。
File Services
553 CORBA IIOP 使用cable modem、DSL或VLAN将会看到
(UDP) 这个端口的广播。CORBA是一种面向对象的
RPC系统。入侵者可以利用这些信息进入系统。
3210 [NULL] 木马SchoolBus开放此端口。
4321
3333 dec-notes 木马Prosiak开放此端口。
3389 超级终端 Windows 2000终端开放此端口。
4000 QQ客户端 腾讯QQ客户端开放此端口。
4092 [NULL] 木马WinCrash开放此端口。
5632 pcAnywere 有时会看到很多这个端口的扫描,这依赖于用户
所在的位置。当用户打开pcAnywere时,它会
自动扫描局域网C类网以寻找可能的代理(这里
的代理是指agent而不是proxy)。入侵者也会
寻找开放这种服务的计算机。所以应该查看这种
扫描的源地址。一些搜寻pcAnywere的扫描包
常含端口22的UDP数据包。
6267 [NULL] 木马广外女生开放此端口。
6400 [NULL] 木马The tHing开放此端口。
6970 RealAudio RealAudio客户将从服务器的6970-7170的
UDP端口接收音频数据流。这是由TCP-7070
端口外向控制连接设置的。
8000 OICQ 腾讯QQ服务器端开放此端口。
8010 Wingate Wingate代理开放此端口。
8080 代理端口 WWW代理开放此端口。
11000 [NULL] 木马SennaSpy开放此端口。
11223 [NULL] 木马Progenic trojan开放此端口。
12223 [NULL] 木马Hack'99 KeyLogger开放此端口。
12361 [NULL] 木马Whack-a-mole开放此端口。
网络攻击基本知识网络攻击基本知识黑客入门11
网络攻击基本知识网络攻击基本知识
2:DOS常用命令一览
Dir
显示目录文件和子目录列表。
/p 每次都会显示一个列表屏幕。要查看下一屏,请按键盘上的任意键。
/w 以宽格式显示列表,在每一行上最多会显示5个文件名或目录名。
/s 列出指定目录及所有子目录中出现的每个指定的文件名。比
Windows环境下的查找快多了。
Attrib
显示、设置或删除指派给文件或目录的只读、存档、系统以及隐藏属性。如果在不含参数的情况下使用,则attrib会显示当前目录中所有文件的属性。
+r 设置只读属性。
-r 清除只读属性。
+a 设置存档文件属性。
-a 清除存档文件属性。
+s 设置系统属性。
-s 清除系统属性。
+h 设置隐藏属性。
-h 清除隐藏属性。
Cls
清除显示在命令提示符窗口中的所有信息,并返回空窗口,即
“清屏”。
Exit
退出当前程序并返回到系统。
Format
格式化
/q 执行快速格式化。删除以前已格式化卷的文件表和根目录,但
Skill
黑客攻击秘技随手查
12
网络攻击基本知识网络攻击基本知识网络攻击基本知识网络攻击基本知识不在扇区之间扫描损坏区域。使用/q命令行选项应该仅格式化以前已格式化的完好的卷。
Ipcon? g
显示所有当前的TCP/IP网络配置值、刷新动态主机配置协议(DHCP)
和域名系统(DNS)设置。使用不带参数的ipcon? g可以显示所有适配器的
IP地址、子网掩码、默认网关。
/all 显示适配器完整的TCP/IP 配置信息。
ipconfig等价于winipcfg,后者在Me、98 和 95 上可用。尽管
Windows XP没有提供像winipcfg命令一样的图形化界面,但可以使用
“网络连接”查看和更新IP地址。
该命令最适用于配置为自动获取IP地址的计算机。它使用户可以确定哪些TCP/IP配置值是由DHCP、自动专用IP地址(APIPA)和其他协议配置的。
Md
创建目录或子目录。
Move
将一个或多个文件从一个目录移动到指定的目录。
Nbtstat
显示本地计算机和远程计算机的基于TCP/IP(NetBT)协议的NetBIOS
统计资料、NetBIOS 名称表和NetBIOS名称缓存。Nbtstat可以刷新
NetBIOS名称缓存和注册的Windows Internet名称服务(WINS)名称。使用不带参数的nbtstat显示帮助。Nbtstat 命令行参数区分大小写。
-a remotename 显示远程计算机的NetBIOS名称表,其中,RemoteName是远程计算机的NetBIOS计算机名称。
-a IPAddress 显示远程计算机的NetBIOS名称表,其名称由远程计算机的IP地址指定(以小数点分隔)。
Netstat
显示活动的TCP连接、计算机侦听的端口、以太网统计信息、IP 路由表、IPv4统计信息(对于 IP、ICMP、TCP 和 UDP 协议)以及IPv6统计信息
(对于 IPv6、ICMPv6、通过 IPv6 的 TCP 以及通过 IPv6 的 UDP 协议)。
网络攻击基本知识网络攻击基本知识黑客入门13
网络攻击基本知识网络攻击基本知识使用时如果不带参数,netstat显示活动的 TCP 连接。
-a 显示所有活动的TCP连接以及计算机侦听的TCP和UDP端口。
Ping
通过发送“网际消息控制协议(ICMP)”回应请求消息来验证与另一台TCP/IP计算机的 IP级连接。回应应答消息的接收情况将和往返过程的次数一起显示出来。Ping是用于检测网络连接性、可到达性和名称解析的疑难问题的主要TCP/IP命令。如果不带参数,ping 将显示帮助。名称和IP地址解析是它的最简单应用,也是用得最多的。
-t 指定在中断前ping可以持续发送回应请求信息到目的地。
-lSize 指定发送的回应请求消息中“数据”字段的长度(以字节表示)。默认值为 32。size的最大值是65,527。
Rename (Ren)
更改文件的名称。
例如 ren *.abc *.cba。
Set
显示、设置或删除环境变量。如果没有任何参数,set命令将显示当前环境设置。
Shutdown
允许你关闭或重新启动本地或远程计算机。如果没有使用参数,
shutdown将注销当前用户。
-m ComputerName指定要关闭的计算机。
-txx 将用于系统关闭的定时器设置为 xx 秒,默认值是 20 秒。
-l 注销当前用户,这是默认设置。
-s 关闭本地计算机。
-r 关闭之后重新启动。
-a 中止关闭。除了-l和ComputerName外,系统将忽略其他参数。在超时期间,只可以使用 -a。
System File Checker (sfc)
Windows下才有,在重新启动计算机后扫描和验证所有受保护的黑客攻击秘技随手查
14
网络攻击基本知识网络攻击基本知识网络攻击基本知识网络攻击基本知识系统文件。
/scannow 立即扫描所有受保护的系统文件。
/scanonce 一次扫描所有受保护的系统文件。
/purgecache 立即清除“Windows 文件保护”文件高速缓存,并扫描所有受保护的系统文件。
/cachesize=x 设置“Windows 文件保护”文件高速缓存的大小,
以 MB 为单位。
Type
显示文本文件的内容。使用type命令查看文本文件或bat文件而不修改文件。
Tree
图像化显示路径或驱动器中磁盘的目录结构。
Xcopy
复制文件和目录,包括子目录。
/s 复制非空的目录和子目录。如果省略/s,xcopy将在一个目录中工作。
/e 复制所有子目录,包括空目录。
Copy
将一个或多个文件从一个位置复制到其他位置。
Del
删除指定文件。
ftp和bat批命令和net和telnet由于子命令太多,这里不说了,不过这几个都是常用到的。
网络攻击基本知识网络攻击基本知识网络攻击基本知识黑客入门15
网络攻击基本知识网络攻击基本知识
1.3 网络攻击入门
1:简单命令扫描端口不需要任何工具,只需一句DOS命令就可扫描一个网段的全部端口!在Windows 2000下开一个DOS窗口,然后执行,
for /l %a in (1,1,254) do start /min /low telnet 192.168.0.%a 3389
这样192.168.0.x这个网段的所有开放3389端口的主机都会暴露。这条命令执行后,会在任务栏开254个小窗口。然后telnet链接失败的窗口会在大约5秒后自动退出,剩下的窗口就是相对应开放端口的主机了。 看一下小窗口的标题可以得知主机的IP地址,如果你觉得机器性能很好的话
可以把/low参数去了。
现在扫描一台主机的多个端口,如下,
for /l %a in (1,1,65535) do start /low /min telnet 192.168.0.1%a
这样就扫描192.168.0.1的1到65535端口。
扫描一个网段的所有端口,如下,
for /l %a in (1,1,254) do for /l %b in (1,1,65535) do start /low/min
telnet 192.168.0.%a %b
这样就会扫描192.168.0.x网段的全部1到65535端口。
以上命令只能在Windows 2000下使用,因为/l累加参数是Windows
2000对for的扩展,当然Windows XP和Windows.NET都可以用。
2:IP地址的获取和隐藏在正式进行各种“黑客行为”之前,黑客会采取各种手段,探测(也可以说“侦察”)对方的主机信息,以便决定使用何种最有效的方法达到自己的目的。下面来看看黑客是如何获知最基本的网络信息——对方的IP
地址;以及用户如何防范自己的IP泄漏。
(1)获取目标IP地址
“IP”作为Net用户的重要标示,是黑客首先需要了解的。获取的方法较多,黑客也会因不同的网络情况采取不同的方法,如:在局域网内使用Ping指令,通过对方在网络中的名称而获得IP;而最有效的办法是截获并分析对方的网络数据包。用Windows 2003的网络监视器可以捕获网络数据包,可能一般的用户比较难看懂这些16进制的代码,而对于了解
Skill
Skill
网络攻击入门黑客攻击秘技随手查
16
网络攻击入门网络攻击入门网络攻击入门网络攻击入门网络知识的黑客,他们可以找到并直接通过软件解析截获后的数据包的IP
包头信息,再根据这些信息了解具体的IP。
(2)隐藏自己的IP
虽然侦察IP的方法多样,但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言,可以安装能够自动去掉发送数据包包头IP信息的“Norton Internet Security 2003”。不过使用“Norton
Internet Security”有些缺点,譬如:它耗费资源严重,降低计算机性能;在访问一些论坛或者网站时会受影响;不适合网吧用户使用等。现在的个人用户采用最普及隐藏IP的方法是使用代理,由于使用代理服务器后,“转址服务”会对发送出去的数据包有所修改,致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE等)都支持使用代理方式连接Internet,特别是QQ使用“ezProxy”等代理软件连接后,IP版的QQ都无法显示该IP地址。
不过使用代理服务器同样有一些缺点,如:会影响网络通讯的速度;需要网络上的一台能够提供代理能力的计算机,如果用户无法找到这样的代理服务器就不能使用代理(查找代理服务器时,可以使用“代理猎手”等工具软件扫描网络上的代理服务器)。
虽然代理可以有效地隐藏用户
IP,但高深的黑客亦可以绕过代理,
查找到对方的真实IP地址,用户在何种情况下使用何种方法隐藏IP,也要因情况而论。
3:端口扫描利器——流光使用入门流光这款软件除了能够像X-Scan那样扫描众多漏洞、弱口令外,还集成了常用的入侵工具,如字典工具、NT/IIS工具等,并独创了能够控制
“肉鸡”进行扫描的“流光Sensor工具”和为“肉鸡”安装服务的“种植者”工具,图1-1所示的是流光启动界面。
与X-Scan相比,流光的功能多一些,但操作起来难免繁杂。由于流光的功能过于强大,而且功能还在不断扩充中,因此流光的作者限制了流光所能扫描的IP范围,不允许流光扫描国内IP地址,而且流光测试版在功能上也有一定的限制。但是,入侵者为了能够最大限度地使用流光,
Skill
图1-1
网络攻击入门网络攻击入门黑客入门17
网络攻击入门网络攻击入门在使用流光之前,都需要用专门的破解程序对流光进行破解,去除IP范围和功能上的限制。
安装与打补丁完成后,打开流光,界面如图1-2所示。
图1-2
4,扫描指定网段主机
(1)打开高级扫描向导、设置扫描参数在流光5.0主界面下,通过选择“文件”→“高级扫描向导”或使用快捷健“Ctrl+W”打开高级扫描向导。在“起始地址”和“结束地址”
分别填入目标网段主机的开始和结束IP地址;在“目标系统”中选择检测的操作系统类型;在“获取主机名”、“PING检查”前面打钩;在“检测项目”中,选择“全选”;选好后如图1-3所示。
图1-3
Skill
黑客攻击秘技随手查
18
网络攻击入门网络攻击入门网络攻击入门网络攻击入门然后单击“下一步”按钮,在图中选中“标准端口扫描”,如图1-4
所示。
图1-4
继续单击“下一步”按钮,如图1-5所示进行设置。
图1-5
设置好所有检测项目后,单击“下一步”按钮打开如图1-6所示的界面,选择“本地主机”,表示使用本机执行扫描任务。
图1-6
说明
“标准端口扫描”:只对常见的端口进行扫描。
“自定端口扫描范围”:自定义端口范围进行扫描。
网络攻击入门网络攻击入门黑客入门19
网络攻击入门网络攻击入门
(2)开始扫描
在图1-6中单击“开始”按钮进行扫描。在扫描过程中,如果想要停止,通过单击最下角的“取消”按钮来实现,不过需要相当一段时间才能真正地停止,所以建议一次不要扫描范围太大的网段,如果因扫描时间过长而等不及,这时候再想让流光停下来也是不容易的。
(3)查看扫描报告扫描结束后,流光会自动生成HTML格式的扫描报告,如图1-7所示。
图1-7
需要指出的是,在扫描完成后,流光不仅把扫描结果整理成报告文件,而且还把可利用的主机列在流光界面的最下方,如图1-8所示。
图1-8
单击主机列表中的主机便可以直接对目标主机进行连接操作,如图
1-9所示。
图1-9
除了使用“高级扫描向导”配置高级扫描外,还可以直接选取高级扫描工具,如图1-10所示。
黑客攻击秘技随手查
20
网络攻击入门网络攻击入门网络攻击入门网络攻击入门图1-10
然后打开“高级扫描设置”,其界面如图1-11所示。
图1-11
关于流光的使用就介绍到这里,本节中所介绍的只是流光功能的一小部分,其他一些功能会在以后的实例中有所介绍。流光扫描器自身的设置是比较复杂的,有很多选项可以自由设定,因而也给使用者更大的发挥空间,可以根据网络和机器的状况来尝试改变这些设置,提高扫描器的性能。
5:简单命令检查木马一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
(1)检测网络连接如果你怀疑自己的计算机被别人安装了木马,或者是中了病毒,但
Skill
网络攻击入门网络攻击入门黑客入门21
网络攻击入门网络攻击入门是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用
Windows自带的网络命令来查看谁在连接你的计算机。
具体的命令格式是:netstat –an。
这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign
address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
(2)禁用不明服务很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
(3)轻松检查账户恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。
恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了
Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧!
黑客攻击秘技随手查
22
黑客入门技巧经典问答黑客入门技巧经典问答黑客入门技巧经典问答黑客入门技巧经典问答
1.4 黑客入门技巧经典问答
1:什么是网络安全?
答:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不被中断。
2:什么是计算机病毒?
答:计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
3:什么是木马?
答:木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。
4:什么是防火墙?它是如何确保网络安全的?
答:使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
5:什么是后门?为什么会存在后门?
答:后门(Back Door)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除,那么它就成了安全隐患。
6:什么叫入侵检测?
答:入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩
Skill
Skill
Skill
Skill
Skill
Skill
黑客入门技巧经典问答黑客入门技巧经典问答黑客入门23
黑客入门技巧经典问答黑客入门技巧经典问答展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象
7:什么叫数据包监测?它有什么作用?
答:数据包监测可以被认为是窃听电话线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。
8:什么是NIDS?
答:NIDS是Network Intrusion Detection System的缩写,即网络入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。
9:什么叫SYN包?
答:TCP连接的第一个包,非常小的一种数据包。SYN攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。
10:加密技术是指什么?
答:加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原
(解密)。
加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤,
密钥是用来对数据进行编码和解密的一种算法。在安全保密中,可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。
Skill
Skill
Skill
Skill
黑客攻击秘技随手查
24
黑客入门技巧经典问答黑客入门技巧经典问答黑客入门技巧经典问答黑客入门技巧经典问答
11:什么是操作系统型病毒?它有什么危害?
答:这种病毒会用它自己的程序加入操作系统或者取代部分操作系统进行工作,具有很强的破坏力,会导致整个系统瘫痪。而且由于感染了操作系统,这种病毒在运行时,会用自己的程序片断取代操作系统的合法程序模块。根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用,以及病毒取代操作系统的取代方式等,对操作系统进行破坏。同时,这种病毒对系统中文件的感染性也很强。
12:什么是DDoS?它会导致什么后果?
答:DDoS也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法,但是发起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机,当获得该主机的适当的访问权限后,攻击者在主机中安装软件的服务或进程(以下简称代理)。这些代理保持睡眠状态,
直到从它们的主控端得到指令,对指定的目标发起拒绝服务攻击。随着危害力极强的黑客工具的广泛传播使用,分布式拒绝服务攻击可以同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响,而分布于全球的几千个攻击将会产生致命的后果。
13:局域网内部的ARP攻击是指什么?
答:ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象,
不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
计算机不能正常上网,出现网络中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。
14:什么叫欺骗攻击?它有哪些攻击方式?
答:网络欺骗的技术主要有HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电
Skill
Skill
Skill
Skill
黑客入门技巧经典问答黑客入门技巧经典问答黑客入门25
黑客入门技巧经典问答黑客入门技巧经典问答子邮件欺骗、源路由欺骗(通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。
15:怎么样打开注册表编辑器
答:依次点击“开始”→“运行”→输入“regedit”,回车即可。
16:怎么进入Windows 下的MS-DOS模式?
答:依次点击“开始”→“所有程序”→“附件”→“命令提示符”,这时弹出的窗口就是DOS操作环境了。
17:怎么才能查出上网时的本机的IP地址?
答:在命令行提示符窗口下使用“ipcon? g”命令。
18:什么是ICMP?
答:ICMP的全称是Internet Control Message Protocol(网间报文控制协议),它是IP不可分割的一部分,用来提供错误报告。一旦发现各种错误类型就将其返回原主机,我们平时最常见的ping命令就是基于
ICMP的。
19:知道IP,能找出该IP用的是什么ISP和所在地区吗?
答:有许多工具有这个功能,如果没有工具也不用着急,我们可以用GOOGLE来找出他所在的地区。在搜索栏中输入你的IP地址,然后回车就可以搜索到你想要的答案了。
20:何谓WLAN,现在最流行的无线组网技术是什么?
答:WLAN为Wireless LAN的简称,即无线局域网。无线局域网是利用无线技术实现快速接入以太网的技术。综观现在的市场,IEEE 802.11b
技术在性能、价格各方面均超过了蓝牙、HomeRF等技术,逐渐成为无线接入以太网应用最为广泛的标准。由于IEEE 802.11b技术的不断成熟,
在全球范围内正在兴起无线局域网应用的高潮。
21:无线网络与有线网络相较之下,有哪些优点?
答:与有线网络相比,WLAN最主要的优势在于不需要布线,可以不受布线条件的限制,因此非常适合移动办公用户的需要,具有广阔市场
Skill
Skill
Skill
Skill
Skill
Skill
Skill
黑客攻击秘技随手查
26
黑客入门技巧经典问答黑客入门技巧经典问答前景。目前它已经从传统的医疗保健、库存控制和管理服务等特殊行业向更多行业拓展开去,甚至开始进入家庭以及教育机构等领域。
22:常见的无线网络协议有哪些,它们的特点是什么?
答:最常见的有IEEE 802.11,IEEE 802.11a、IEEE 802.11b、IEEE
802.11g。其中IEEE 802.11是IEEE(电气和电子工程师协会)最初制定的一个无线局域网标准。
IEEE 802.11b又被称为Wi-Fi,使用开放的2.4GHz直接序列扩频,
最大数据传输速率为11Mbps,也可根据信号强弱把传输率调整为
5.5Mbps、2 Mbps和1 Mbps带宽。无需直线传播传输范围为室外最大300米,室内有障碍的情况下最大100米,是现在使用的最多的传输协议。
Skill
