黑客入侵一般模型和流程

  • 内容
  • 相关

网络黑客的主要攻击手法有:获取口令、放置木马、web欺骗技术、电子邮件攻击、通过一个节点攻击另一节点、网络监听、寻找系统漏洞、利用缓冲区溢出窃取特权等。

网络攻击过程一般可以分为本地入侵和远程入侵。

远程攻击的一般过程:远程攻击的准备阶段、远程攻击的实施阶段、远程攻击的善后阶段。远程攻击的准备阶段:确定攻击目标、信息收集、服务分析、系统分析、漏洞分析。

常见的攻击目的有破坏型和入侵型两种。

破坏型攻击——是指只破坏攻击目标,使之不能正常工作,而不能随意控制目标上的系统运行。入侵型攻击——这种攻击要获得一定的权限才能达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍,威胁性也更大。因为攻击者一旦掌握了一定的权限、甚至是管理员权限就可以对目标做任何动作,包括破坏性质的攻击。

信息收集阶段:利用一切公开的、可利用的信息来调查攻击目标。包括目标的操作系统类型及版本、相关软件的类型、版本及相关的社会信息。包括以下技术:低级技术侦察(社交工程、物理闯入、垃圾搜寻)、Web搜索、Whois数据库、域名系统(DNS)侦察。

确定目标主机采用何种操作系统原理:协议栈指纹(Fingerprint)

远程攻击的实施阶段:作为破坏性攻击,可以利用工具发动攻击即可。作为入侵性攻击,往往需要利用收集到的信息,找到其系统漏洞,然后利用漏洞获取尽可能高的权限。 包括三个过程:预攻击探测:为进一步入侵提供有用信息;口令破解与攻击提升权限;实施攻击:缓冲区溢出、拒绝服务、后门、木马、病毒。

远程攻击常用的攻击方法:第一类:使用应用程序和操作系统的攻击获得访问权:基于堆栈的缓冲区溢出、密码猜测、网络应用程序攻击。第二类:使用网络攻击获得访问权:嗅探、IP地址欺骗、会话劫持。第三类:拒绝服务攻击。

远程攻击的善后阶段:维护访问权、掩盖踪迹和隐藏。攻击者在获得系统最高管理员权限之后就可以任意修改系统上的文件了,所以一般黑客如果想隐匿自己的踪迹,最简单的方法就是删除日志文件。但这也明确无误地告诉了管理员系统已经被入侵了。更常用的办法是只对日志文件中有关自己的那部分作修改。

黑客入侵的一般模型可描述如下:

黑客入侵一般模型和流程

为防止黑客入侵,个人用户常见防护措施:防火墙、杀毒软件定期升级和杀毒、定期及时升级系统和软件补丁、定期备份系统或重要文件、加密重要文件、关闭不常用端口、关闭不常用程序和服务、发现系统异常立刻检查。

网络管理常用的防护措施:完善安全管理制度、采用访问控制措施、运行数据加密措施、数据备份与恢复 。

物理环境的安全性体现:包括通信线路的安全,物理设备的安全,机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力、防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。

筛选入侵目标

大多数DNS服务器允许用户获取域名记录文件内容,这样就可以了解到网站的详细网络分布结构。另外网络服务商可以查询得到公司地址及人员内部邮件、电话等,以及单位注册的IP范围等重要信息。

扫描

扫描器是一种自动检测远程或本地主机安全性弱点的程序。集成了常用的各种扫描技术。

扫描器的扫描对象:能自动发送数据包去探测和攻击远端或本地的端口和服务,并自动收集和记录目标主机的各项反馈信息。

扫描器对网络安全的作用:据此提供一份可靠的安全性分析报告,报告可能存在的脆弱性。

网络扫描器的主要功能:扫描目标主机识别其工作状态(开/关机)、识别目标主机端口的状态(监听/关闭)、识别目标主机操作系统的类型和版本、识别目标主机服务程序的类型和版本、分析目标主机、目标网络的漏洞(脆弱点)、生成扫描结果报告。

网络扫描的作用:可以对计算机网络系统或网络设备进行安全相关的检测,以找出安全隐患和可能被黑客利用的漏洞。

网络漏洞:网络漏洞是系统软、硬件存在安全方面的脆弱性,安全漏洞的存在导致非法用户入侵系统或未经授权获得访问权限,造成信息篡改、拒绝服务或系统崩溃等问题。

一个完整的网络安全扫描分为三个阶段:

第一阶段:发现目标主机或网络。

第二阶段:发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。

第三阶段:根据收集到的信息判断或者进一步测试系统是否存在安全漏洞。

网络安全扫描技术包括PING扫描、操作系统探测、穿透防火墙探测、端口扫描、漏洞扫描等:

1)PING扫描用于扫描第一阶段,识别系统是否活动。

2)OS探测、穿透防火墙探测、端口扫描用于扫描第二阶段。OS探测是对目标主机运行的OS进行识别;穿透防火墙探测用于获取被防火墙保护的网络资料;端口扫描是通过与目标系统的TCP/IP端口连接,并查看该系统处于监听或运行状态的服务。

3)漏洞扫描用于安全扫描第三阶段,通常是在端口扫描的基础上,进而检测出目标系统存在的安全漏洞。

漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:

1)基于漏洞库的特征匹配:通过端口扫描得知目标主机开启的端口以及端口上的网络服务后,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;

2)基于模拟攻击:通过模拟黑客的攻击手段,编写攻击模块,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。

常用扫描工具:SATAN、Nmap、Nessus、X-scan

扫描技术一般可以分为主动扫描和被动扫描两种,它们的共同点在于在其执行的过程中都需要与受害主机互通正常或非正常的数据报文。其中主动扫描是主动向受害主机发送各种探测数据包,根据其回应判断扫描的结果。被动扫描由其性质决定,它与受害主机建立的通常是正常连接,发送的数据包也属于正常范畴,而且被动扫描不会向受害主机发送大规模的探测数据。

扫描的防御技术:反扫描技术、端口扫描监测工具、防火墙技术、审计技术、其它防御技术。

防范主动扫描可以从以下几个方面入手:(1)减少开放端口,做好系统防护;(2)实时监测扫描,及时做出告警;(3)伪装知名端口,进行信息欺骗。

被动扫描防范方法到目前为止只能采用信息欺骗(如返回自定义的banner信息或伪装知名端口)这一种方法。

扫描器是一把双刃剑?扫描器能够自动的扫描检测本地和远程系统的弱点,为使用者提供帮助。系统或网络管理员可以利用它来检测其所管理的网络和主机中存在哪些漏洞,以便及时打上补丁,增加防护措施,或用来对系统进行安全等级评估。黑客可以利用它来获取主机信息,寻找具备某些弱点的主机,为进一步攻击做准备。因此,扫描器是一把双刃剑。 普通用户对扫描的防御:用户要减少开放的端口,关闭不必的服务,合理地配置防火墙,以防范扫描行为。

嗅探器(sniffer)

嗅探器(sniffer)是利用计算机的网络接口截获目的地为其它计算机的数据报文的一种技术。工作在网络的底层,能够把网络传输的全部数据记录下来。

1)嗅探攻击的基本原理是:当网卡被设置为混杂接收模式时,所有流经网卡的数据帧都会被网卡接收,然后把这些数据传给嗅探程序,分析出攻击者想要的敏感信息,如账号、密码等,这样就实现了窃听的目的。

2)嗅探器造成的危害:能够捕获口令;能够捕获专用的或者机密的信息;可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限;窥探低级的协议信息。被动嗅探入侵往往是黑客实施一次实际劫持或入侵的第一步。

3)Sniffer的正面应用:在系统管理员角度来看,网络监听的主要用途是进行数据包分析,通过网络监听软件,管理员可以观测分析实时经由的数据包,从而快速的进行网络故障定位。

4)Sniffer的反面应用:入侵者与管理员感兴趣的(对数据包进行分析)有所不同,入侵者感兴趣的是数据包的内容,尤其是账号、口令等敏感内容。

资源扩张

资源扩张是指利用已获得的密码尝试登录其它主机或者其它服务。

拒绝服务DoS

拒绝服务( Denial of Service,简称DoS),是利用传输协议中的某个弱点、系统存在的漏洞、或服务的漏洞,对目标系统发起大规模的进攻,用超出目标处理能力的海量数据包消耗可用系统资源、带宽资源等,或造成程序缓冲区溢出错误,致使其无法处理合法用户的正常请求,无法提供正常服务,最终致使网络服务瘫痪,甚至系统死机。简单的说,拒绝服务攻击就是让攻击目标瘫痪的一种“损人不利己”的攻击手段。

LC和SAM

在Windows操作系统中用户账号的安全管理使用了安全账号管理SAM(Security Account Manager)机制,用户账号和口令经过Hash加密变换后以Hash列表的形式存放在%System Root%\System32\config下的SAM文件中。Windows平台口令审核工具(LC)是通过破解这个SAM文件来获得用户名和密码的。

缓冲区溢出

缓冲区是包含相同数据类型实例的一个连续的计算机内存块。是程序运行期间在内存中分配的一个连续的区域,可以保存相同数据类型的多个实例,用于保存包括字符数组在内的各种数据类型。

所谓溢出,就是灌满, 使内容物超过顶端, 边缘,或边界,其实就是所填充的数据超出了原有的缓冲区边界。

所谓缓冲区溢出,就是向固定长度的缓冲区中写入超出其预先分配长度的内容,造成缓冲区中数据的溢出,从而覆盖了缓冲区周围的内存空间。黑客借此精心构造填充数据,导致原有流程的改变,让程序转而执行特殊的代码,最终获取控制权。

本文标签:

版权声明:若无特殊注明,本文皆为《舜哥哥吖》原创,转载请保留文章出处。

本文链接:黑客入侵一般模型和流程 - http://www.shungg.cn/post/135

发表评论

电子邮件地址不会被公开。 必填项已用*标注