基本介紹
“黑客技術”一詞是由英語Hackte音譯出來的,拼“Hackte”。近段時間,一個很普通的黑客攻擊手段把世界上一些頂級的大網站輪流考驗了一遍,結果證明即使是如yahoo這樣具有雄厚的技術支持的高性能商業網站,黑客都可以給他們帶來經濟損失。這在一定程度上損害了人們對Internet和電子商務的信心,也引起了人們對黑客的嚴重關注和對黑客技術的思考。
黑客技術屬于科學技術的範疇
黑客技術是Internet上的一個客觀存在,對此我們無須諱言。和國防科學技術一樣,黑客技術既有攻擊性,也有防護的作用。黑客技術不斷地促使計算機和網絡産品供應商不斷地改善他們的産品,對整個Internet的發展一直起着推動作用。就象我們不能因為原子彈具有強大的破壞力而否認制造原子彈是高科技一樣,我們也不能因為黑客技術具有對網絡的破壞力而将其屏棄于科學技術的大門之外。發現并實現黑客技術通常要求這個人對計算機和網絡非常精通,發現并證實一個計算機系統漏洞可能需要做大量測試、分析大量代碼和長時間的程序編寫,這和一個科學家在實驗室中埋頭苦幹沒有太大的區别。發現者不同于那些在網上尋找并使用别人已經寫好的黑客軟件的人。這個區别就好象武器發明者和使用者的區别。不象一個國家可以立法禁止民間組織和個人擁有槍枝一樣,很顯然,法律不能禁止個人擁有黑客技術。
應該辨證地看待黑客技術
它的作用是雙面的。和一切科學技術一樣,黑客技術的好壞取決于使用它的人。計算機系統和網絡漏洞的不斷發現促使産品開發商修補産品的安全缺陷,同時也使他們在設計時更加注意安全。研究過黑客技術的管理員會把自己使用的操作系統和網絡配置得更安全。如果沒有那些公布重大漏洞發現并提出修補建議的黑客,Internet不可能象今天這樣讓人們受益,也不會有今天這麼強壯(相對于以前而言)。
利用黑客技術從事非法破壞活動為自己謀取私利,理所當然是遭人唾棄的行為。這種人不是把精力放在對系統缺陷的發現研究與修補上,而是出于某種目的設法入侵系統,竊取資料、盜用權限和實施破壞活動。
黑客技術和網絡安全是分不開的
可以說黑客技術的存在導緻了網絡安全行業的産生。
一個典型的産品安全公告産生的過程是這樣的(這裡的例子是微軟的一個漏洞):一個黑客在測試一個程序時,發現存在有不正常的現象,于是他開始對這個程序進行分析。經過應用程序分析、反編譯和跟蹤測試等多種技術手段,黑客發現該程序的确存在漏洞,于是針對該漏洞編寫了一個能獲取系統最高控制權的攻擊程序,證實該漏洞的确存在。随後,這位黑客向微軟寫信通知其漏洞細節,并附上了攻擊程序,要求微軟修補該漏洞。微軟開始對此不予答複。無奈,黑客在其網站上對世人公布了該漏洞,并提供攻擊程序下載給訪問者測試。頓時很多Internet上的網絡安全論壇上都談論此事,很快傳遍了Internet。這時微軟馬上對該bug進行分析,随後在其安全版塊上公布有關的安全公告,并提供解決方案和補丁程序下載。
對于這種情況,惡意黑客會利用微軟的安全公告公布的漏洞去破壞系統;而網絡安全專家會根據安全公告提醒用戶修補系統;網絡安全産品開發商則會根據該漏洞的情況開發相應的檢測程序;而網絡安全服務商則會為用戶檢測該漏洞并提供解決方案。
反黑組織
随着黑客對互聯網造成的危害性,不少人也組織起來反黑客了,國内的黑吧安全網也出了專門的系列教程,建議網民們多關注,上網前提就是電腦需要安全不被入侵。
為了避免黑客給廣大網友帶來不必要損失,請大家多關注各大反黑組織網站的教程。
目前internet網絡的基礎是脆弱的
Internet的基礎是TCP/IP協議、網絡設備和具有聯網能力的操作系統。TCP/IP協議族有一些先天的設計漏洞,很多即使到最新的版本仍然存在。更有的漏洞,是和Internet的開放特性有關的,可以說是補無可補。最近發生的對各頂級網站的攻擊方式就是利用internet的開放特性和TCP/IP協議的漏洞。
網絡設備如路由器,擔負着Internet上最複雜繁重的吞吐和交通指揮工作,功能強大而且複雜,以目前的技術而論,沒有可能完全避免漏洞。以占市場份額70%以上的Cisco産品而論,其已知的漏洞有30多條。
各種操作系統也存在先天缺陷和由于不斷增加新功能帶來的漏洞。Unix操作系統就是一個很好的例子。Unix的曆史可以追溯到60年代中。大多數Unix操作系統的源代碼都是公開的,30多年來,各種各樣的人不斷地為Unix開發操作系統和應用程序,這種協作方式是松散的,早期這些程序多是以學生完成課題的方式或由研究室的軟件開發者突擊完成的,它們構成了Unix的框架,這個框架當初沒有經過嚴密的論證,直到今天,商業Unix操作系統如Solaris和SCOUnix都還是構建在這個基礎之上的,除非重新改變設計思想,推翻三十年來的Unix系統基礎,否則以後還必須遵循這個标準。這種情況導緻了Unix系統存在很多緻命的漏洞。
最新的版本雖然改進了以往發現的安全問題,但是随着新功能的增加,又給系統帶來了新的漏洞,很多軟件開發人員隻為完成系統的功能而工作,用戶日新月異的需求和硬件的飛速發展,使生産商不可能也沒有時間對每一個新産品做圓滿的安全測試,一些正式的軟件工業标準有利于改善這種局面,即使生産商按照這些工業标準開發測試,也難以保證十全十美,因為源代碼公開的特性,使黑客有足夠的條件來分析軟件中可能存在的漏洞。處于溫室中的作物無法适應自然環境的洗禮,目前脆弱的網絡必須經曆磨難,付出代價,否則必将經受不住曆史的考驗。
全世界對黑客技術的研究顯得嚴重不足
如果從整個社會的文明現狀來看,黑客技術并非尖端科技,充其量隻能說是internet領域的基礎課題。發現黑客技術并不要求太多底層的知識,它并不神秘,但計算機産品供應商對其一直諱莫如深,黑客技術的發展從局部來說讓産品供應商不安,這造成整個計算機行業對黑客技術的重視不夠,從而導緻當今世上黑客組織和黑客技術研究都呈無政府狀态。從長遠的角度看,黑客對産品的測試和修補建議将促進産品的安全性,對客戶和供應商都是有利的。現在世界上也許還沒有哪一個國家真正投入人力和物力研究黑客技術,所以造成目前的Internet基礎仍然薄弱,對于一個黑客來說,要制造一個令媒體關注的新聞是一件很容易的事情。這也是網絡安全令世人擔憂的原因之一。
網絡安全公司需要黑客的參與
從事網絡安全技術服務的公司,如果沒有研究開發黑客技術的水平,或者沒有發現客戶系統潛在隐患的能力,其服務質量是提不上來的。目前國際上很多從事網絡安全業務的公司紛紛雇請黑客從事網絡安全檢測與産品開發,甚至一些政府部門也不惜重金招納黑客為其服務。因為網絡安全的防範對象是惡意黑客,所以必須有了解攻擊手段的黑客參與,才能更全面地防範黑客攻擊。合格的網絡安全專家必須具有黑客的能力,不了解黑客技術的網絡安全專家是不可想象的。
一個國家的黑客技術發展是有利于國家安全的
國内的一個網絡安全小組---cnns的前身,在去年對日本、台灣地區和美國的網絡安全狀況進行了遠程分析和調查,并與中國的網絡安全狀況做了對比,調查顯示:
日本和台灣的網絡安全水平和中國相似,從人員和研究力度上看,日本網絡安全和黑客技術水平比中國顯得要薄弱,但在硬件設置和安全産品方面,日本對重要站點的保護措施和資金投入顯得比中國做得充足,安全檢測産品和防火牆使用較為普遍,很多網站都有防火牆,雖然管理不善,但這些措施對網絡安全的保護起到了一定的作用,彌補了黑客技術的不足,所以總體安全水平比中國差不多。
台灣的總體網絡安全狀況比大陸略差,特别是政府部門的網站,安全程度不如國内的政府網站。而美國的網絡安全狀況比中國和日本都強了不止一籌,這和遍布美國的黑客組織和大量的網絡安全産品供應商有關。另外美國出品的操作系統産品和軟件在市場上占有領先的份額,這有利于黑客技術的發展。在黑客技術的研究和網絡安全産品的開發上,美國都是全球做得最好的。
internet的開放互連的特征決定黑客技術可以跨國攻擊,它既可以用于攻擊,也可以用于防禦。用兵之道,必須攻防兼備。所以未來信息戰的勝負有賴于一個國家的整體黑客技術水平,這是不需要諱言的。
黑客技術的發現,對有關的軟件開發商和信息産業是"短痛",從長遠的角度看卻是有利的。而對于信息國防安全的高度而言,黑客技術的發展更有利于國防建設的大局。它的客觀存在性決定了如果我們不去了解和研究它,則會受制于它。在信息技術越來越發達的今天,我們需要開發自己的網絡安全産品來為信息産業保駕護航,更需要本領高強的黑客參與網絡安全産品的研究開發和測試,這樣産品的質量才上得去。
現代國家的網絡無法完全和Internet脫離
一個現代國家的重要部門的網絡無法完全和Internet脫離
網絡化的趨勢不可避免,任何行業都需要網絡通信。綜觀處于應用階段的網絡技術和硬件,發展走在最前面的依然是internet。所以TCP/IP網絡互聯技術被廣泛地用于各行各業。有關部門認識到Internet的安全脆弱性,采取了一定的措施,例如使重要部門的網絡在物理上與Internet完全脫離。這是比較有效的。但網絡安全是一個整體的概念,隻要能接觸重要部門網絡的人沒有完全與Internet脫
離,就不能說該網絡與Internet已經完全脫離。比如一個重要部門的系統管理員,他經常上網的個人電腦上就可能有他所在重要部門的機密資料,通過順藤摸瓜的方法,黑客可以獲取更多他們想要的信息。黑客還可能通過電話、無線電和衛星信号傳輸的方式對重要部門的網絡進行滲透。
未來信息戰的可能性是存在的
當今社會的信息化程度越來越高,計算機和網絡與人們的生活的關系越來越緊密。一個現代化國家的社會信息網絡如果遭到毀滅性打擊,足以使人們的生活倒退幾十年。這種戰争比較文明,不會造成人員傷亡,但破壞力絕不比一場常規戰争小。相對于傳統的戰争和能造成地球毀滅的核戰争而言,信息戰的可能性也許更大。在網絡更加發達的未來社會,除了高能量電磁波的攻擊外,信息對抗戰的主力将是黑客。
誠然,網絡的基礎設施是電腦,而不是單片機,黑客的攻擊是基于代碼的數據流攻擊而不是強大的電流攻擊,美國政府能勉強應付棘手的D.O.S攻擊,而且就算網絡在攻擊下癱瘓,也能在數小時内恢複。五角大樓還對過臭名昭着的Internet蠕蟲,這些難關他們都一一過來了。可是,真正的黑客和網絡安全專家應該能意識到,真正有組織的大規模的信息戰還沒有來。
個人的力量是有限的,再厲害的黑客,再高明的代碼都不足以對付一個國家和社會;真正的威脅來自于政府組織的全方位攻擊,這種攻擊不僅僅局限于代碼和數據流攻擊,還包括信息滲透,機密資料連環破解,和人工的物理接觸。從整體上來說,全世界的網絡都存在着被人忽視的管理漏洞,機密的資料和控制指令總會有渠道洩露出去。
真正的信息戰沒有到來以前,誰也估計不到破壞會到什麼程度。這取決于國家之間的攻守準備。要打赢這場戰争,除了對網絡安全技術要有足夠準備外,其它方面的人力和物質準備可能不會比一場局部的常規戰争少。
國内網絡安全的投入和培訓不足
據估計,國内電子商務站點的網絡管理人員至少有90%以上沒有受過正規的網絡安全培訓;這幾年中國的Internet處于發展建設階段,大部分的ISP和其它從事信息産業的公司都沒有精力在網絡安全進行必要的人力和物力投入,很多重要站點的管理員都是Internet的新手,一些操作系統如Unix,它們在那些有經驗的系統管理員的配置下尚且有缺陷,在這些新手手中更是漏洞百出。很多服務器至少有三種以上的漏洞可以使入侵者獲取系統的最高控制權。
一些公司對網絡安全問題非常輕視。他們認為,他們的服務器上沒有重要數據,也沒有資金往來,如果有人入侵他們的系統,最多是竄改一下首頁而已,談不上大的危害。但他們可能沒有意識到,如果惡意黑客入侵他們的機器後,用這台服務器的身份對其它有重要資源的服務器做案,造成第三方的損失後,公司可能成為該案的"替罪羊"。
發展有中國特色的網絡安全
發展有中國特色的網絡安全/黑客技術是強網之路。
無可否認,在計算機領域上我們的技術整體上比西方發達國家落後。
internet基礎協議是開放的,Unix系統的代碼基本上是開放的,操作系統開放源代碼是必然的趨勢。硬件是别人的。但軟件可以是自己的。在計算機領域,中國的軟件技術明顯優于硬件。黑客技術不是一個非常底層的領域,其開放性尤其明顯。對系統極具破壞力的攻擊程序代碼和腳本在internet上不難免費得到,相對于獲得商業軟件産品的源代碼來說,黑客程序的源代碼更容易設法獲取。黑客技術是起源于開放的Unix環境,在Internet上得到繁榮的發展。這個特性決定了黑客技術是無法封鎖的。黑客組織具有無政府主義的特色,不樂于接受管制。
去年5月北約轟炸我駐南大使館之後,民間的中國黑客對美國和北約的網絡系統發動了很成功的一系列攻擊,事情發生後,克林頓總統曾經簽署了一個命令,要求黑客組織不要擴散黑客技術,但卻被黑客們嗤之以鼻。從信息戰的角度看,對黑客技術的要求應該是:"人無我有,人有我全"。
很多國家都制定了未來信息戰的方略,作為一個愛好和平的國家,我們的信息戰方略應該是以防禦為主的。但我們不可能不研究那些攻擊性極強的高深黑客技術,正如雖然我們不想使用核武器,但我們不得不去研制它一樣。去年,俄羅斯黑客成功地對美國五角大樓的計算機系統實行了滲透,并竊取了一些機密資料。有迹象顯示,俄國黑客還可能入侵了最高機密的計算機系統,據新聞周刊(NEWSWEEK)的報導,俄國黑客使用的入侵手段是"不可能檢測到的"。對于美國這種對計算機依賴程度很高的國家而言,俄羅斯黑客的這種手段是很具威懾力的。這種美國人不了解的技術,永遠是他們的心頭大患。
付出一定代價是必要的。早付出比晚付出好
對于計算機病毒,包括國人在内的計算機用戶都為它付出了沉重的代價。無數重要的數據被病毒吞噬消失得無影無蹤。但多年來經過幾代人與計算機病毒的鬥争,我國對病毒的研究和反病毒技術已經走在了世界的前列。壞事來得早比來得晚好。在和平年代,我們有充足的時間應付不利的事件,經曆的風浪越多,将更使我們有足夠的經驗應付惡劣環境下的突發事件。
如果平時我們沒有對付高明的黑客攻擊的經驗,很難使我們相信我們有能力去打一場未來可能發生的信息戰争。
保障網絡安全進行立法是必要
在正确地認識黑客技術作用的基礎上,對保障網絡安全進行立法是必要的。
我們的立法應該着重于保護用戶利益,而不應該鼓勵缺乏網絡保安措施的系統運行于Internet上。過分嚴格的法律保障将使人們忽略自己保護系統的責任,用戶應該對具有明顯漏洞的系統負責,比如一個重要用戶沒有設置密碼,那麼管理員和用戶對由此帶來的安全威脅和經濟損失應該承擔主要的責任。這正如把貴重錢物扔在公共場所被别人撿走,粗心大意的主人所負的責任應該比占有失物的人大的道理一樣。法律打擊的對象應該是那些利用黑客研究成果從事破壞活動的人(這些人往往是沒有能力發現黑客技術的)。
Internet對我們的工作和生活将會越來越重要,全世界對這個巨大的信息寶藏正進行不斷的發掘和利用,人們在獲得巨大利益的同時,也面臨着各種各樣的威脅,網絡安全威脅帶來的損害與人們對網絡的依賴程度成正比。中國對黑客技術的認識和對網絡安全的研究正處于起步階段,在我們進行現代化建設的時代,網絡安全越來越成為關系國計民生的大事,它需要全社會的重視,讓我們用勇于探索,大膽創新的精神來精心研發網絡安全産品和維護我們的網絡安全,為中國信息産業保駕護航!
quot;輕用其芒,動即有傷,是為兇器;深藏若拙,臨機取決,是為利器。HK不是從真正意義上的去黑,而是挑戰自己,挑戰困難,堅毅,執着,智慧……"
發展曆程
在早期互聯網中,Web并非互聯網的主流應用,相對來說,基于SMTP、POP3、FTP、IRC等協議的服務擁有着絕大多數的用戶。因此黑客們主要的攻擊目标是網絡、操作系統以及軟件等領域,Web安全領域的攻擊與防禦技術均處于非常原始的階段。
相關術語
俗話說,入鄉随俗,既然入了黑客的門,就必須懂得黑客的行話,下面編者将介紹黑客專用術語。
1.肉雞
所謂“肉雞”是一種很形象的比喻,比喻那些可以随意被我們控制的電腦,對方可以是WINDOWS系統,也可以是UNIX/LINUX系統,可以是普通的個人電腦,也可以是大型的服務器,我們可以象操作自己的電腦那樣來操作它們,而不被對方所發覺。
2.木馬
就是那些表面上僞裝成了正常的程序,但是當這些被程序運行時,就會獲取系統的整個控制權限。有很多黑客就是熱中與使用木馬程序來控制别人的電腦,比如灰鴿子,黑洞,PcShare等等。
3.網頁木馬
表面上僞裝成普通的網頁文件或是将自己的代碼直接插入到正常的網頁文件中,當有人訪問時,網頁木馬就會利用對方系統或者浏覽器的漏洞自動将配置好的木馬的服務端下載到訪問者的電腦上來自動執行。
4.挂馬
就是在别人的網站文件裡面放入網頁木馬或者是将代碼潛入到對方正常的網頁文件裡,以使浏覽者中馬。
5.後門
這是一種形象的比喻,入侵者在利用某些方法成功的控制了目标主機後,可以在對方的系統中植入特定的程序,或者是修改某些設置。這些改動表面上是很難被察覺的,但是入侵者卻可以使用相應的程序或者方法來輕易的與這台電腦建立連接,重新控制這台電腦,就好象是入侵者偷偷的配了一把主人房間的鑰匙,可以随時進出而不被主人發現一樣。
通常大多數的特洛伊木馬(Trojan Horse)程序都可以被入侵者用于制作後門(BackDoor)
6.rootkit
rootkit是攻擊者用來隐藏自己的行蹤和保留root(根權限,可以理解成WINDOWS下的system或者管理員權限)訪問權限的工具。通常,攻擊者通過遠程攻擊的方式獲得root訪問權限,或者是先使用密碼猜解(破解)的方式獲得對系統的普通訪問權限,進入系統後,再通過,對方系統内存在的安全漏洞獲得系統的root權限。然後,攻擊者就會在對方的系統中安裝rootkit,以達到自己長久控制對方的目的,rootkit與我們前邊提到的木馬和後門很類似,但遠比它們要隐蔽,黑客守衛者就是很典型的rootkit,還有國内的ntroorkit等都是不錯的rootkit工具。
7.IPC$
是共享“命名管道”的資源,它是為了讓進程間通信而開放的餓命名管道,可以通過驗證用戶名和密碼獲得相應的權限,在遠程管理計算機和查看計算機的共享資源時使用。
8.弱口令
指那些強度不夠,容易被猜解的,類似123,abc這樣的口令(密碼)
9.默認共享
默認共享是WINDOWS2000/XP/2003系統開啟共享服務時自動開啟所有硬盤的共享,因為加了"quot;符号,所以看不到共享的托手圖表,也稱為隐藏共享。
10.shell
指的是一種命令指行環境,比如我們按下鍵盤上的“開始鍵+R”時出現“運行”對話框,在裡面輸入“cmd”會出現一個用于執行命令的黑窗口,這個就是WINDOWS的Shell執行環境。通常我們使用遠程溢出程序成功溢出遠程電腦後得到的那個用于執行系統命令的環境就是對方的shell
11.WebShell
WebShell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境,也可以将其稱做是一種網頁後門。黑客在入侵了一個網站後,通常會将這些asp或php後門文件與網站服務器WEB目錄下正常的網頁文件混在一起,好後就可以使用浏覽器來訪問這些asp 或者php後門,得到一個命令執行環境,以達到控制網站服務器的目的。可以上傳下載文件,查看數據庫,執行任意程序命令等。國内常用的WebShell有海陽ASP木馬,Phpspy,c99shell等
12.溢出
确切的講,應該是“緩沖區溢出”。簡單的解釋就是程序對接受的輸入數據沒有執行有效的檢測而導緻錯誤,後果可能是造成程序崩潰或者是執行攻擊者的命令。大緻可以分為兩類:(1)堆溢出;(2)棧溢出。
13.注入
随着B/S模式應用開發的發展,使用這種模式編寫程序的程序員越來越來越多,但是由于程序員的水平參差不齊相當大一部分應用程序存在安全隐患。用戶可以提交一段數據庫查詢代碼,根據程序返回的結果,獲得某些他想要知的數據,這個就是所謂的SQLinjection,即:SQL注入。
14.注入點
是可以實行注入的地方,通常是一個訪問數據庫的連接。根據注入點數據庫的運行帳号的權限的不同,你所得到的權限也不同。
15.内網
通俗的講就是局域網,比如網吧,校園網,公司内部網等都屬于此類。查看IP地址如果是在以下三個範圍之内的話,就說明我們是處于内網之中的:10.0.0.0—10.255.255.255,172.16.0.0—172.31.255.255,192.168.0.0—192.168.255.255
16.外網
直接連入INTERNET(互連網),可以與互連網上的任意一台電腦互相訪問,IP地址不是保留IP(内網)IP地址。
17.端口
(Port)相當于一種數據的傳輸通道。用于接受某些數據,然後傳輸給相應的服務,而電腦将這些數據處理後,再将相應的恢複通過開啟的端口傳給對方。一般每一個端口的開放的偶對應了相應的服務,要關閉這些端口隻需要将對應的服務關閉就可以了。
18.3389、4899肉雞
3389是Windows終端服務(Terminal Services)所默認使用的端口号,該服務是微軟為了方便網絡管理員遠程管理及維護服務器而推出的,網絡管理員可以使用遠程桌面連接到網絡上任意一台開啟了終端服務的計算機上,成功登陸後就會象操作自己的電腦一樣來操作主機了。這和遠程控制軟件甚至是木馬程序實現的功能很相似,終端服務的連接非常穩定,而且任何殺毒軟件都不會查殺,所以也深受黑客喜愛。黑客在入侵了一台主機後,通常都會想辦法先添加一個屬于自己的後門帳号,然後再開啟對方的終端服務,這樣,自己就随時可以使用終端服務來控制對方了,這樣的主機,通常就會被叫做3389肉雞。Radmin是一款非常優秀的遠程控制軟件,4899就是Radmin默認使以也經常被黑客當作木馬來使用(正是這個原因,目前的殺毒軟件也對Radmin查殺了)。有的人在使用的服務端口号。因為Radmin的控制功能非常強大,傳輸速度也比大多數木馬快,而且又不被殺毒軟件所查殺,所用Radmin管理遠程電腦時使用的是空口令或者是弱口令,黑客就可以使用一些軟件掃描網絡上存在Radmin空口令或者弱口令的主機,然後就可以登陸上去遠程控制對惡劣,這樣被控制的主機通常就被成做4899肉雞。
19.免殺
就是通過加殼、加密、修改特征碼、加花指令等等技術來修改程序,使其逃過殺毒軟件的查殺。
20.加殼
就是利用特殊的算法,将EXE可執行程序或者DLL動态連接庫文件的編碼進行改變(比如實現壓縮、加密),以達到縮小文件體積或者加密程序編碼,甚至是躲過殺毒軟件查殺的目的。目前較常用的殼有UPX,ASPack、PePack、PECompact、UPack、免疫007、木馬彩衣等等。
21.花指令
就是幾句彙編指令,讓彙編語句進行一些跳轉,使得殺毒軟件不能正常的判斷病毒文件的構造。說通俗點就是”殺毒軟件是從頭到腳按順序來查找病毒。如果我們把病毒的頭和腳颠倒位置,殺毒軟件就找不到病毒了“。
初級技術
網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。确保網絡系統的信息安全是網絡安全的目标,信息安全包括兩個方面:信息的存儲安全和信息的傳輸安全。信息的存儲安全是指信息在靜态存放狀态下的安全,如是否會被非授權調用等。信息的傳輸安全是指信息在動态傳輸過程中安全。為了确保網絡信息的傳輸安全,有以下幾個問題:
(1)對網絡上信息的監聽;
(2)對用戶身份的仿冒;
(3)對網絡上信息的篡改;
(4)對發出的信息予以否認;
(5)對信息進行重發。
對于一般的常用入侵方法主要有
1.口令入侵
所謂口令入侵,就是指用一些軟件解開已經得到但被人加密的口令文檔,不過許多黑客已大量采用一種可以繞開或屏蔽口令保護的程序來完成這項工作。對于那些可以解開或屏蔽口令保護的程序通常被稱為“Crack”。由于這些軟件的廣為流傳,使得入侵電腦網絡系統有時變得相當簡單,一般不需要很深入了解系統的内部結構,是初學者的好方法。
2.特洛伊木馬術
說到特洛伊木馬,隻要知道這個故事的人就不難理解,它最典型的做法可能就是把一個能幫助黑客完成某一特定動作的程序依附在某一合法用戶的正常程序中,這時合法用戶的程序代碼已被該變。一旦用戶觸發該程序,那麼依附在内的黑客指令代碼同時被激活,這些代碼往往能完成黑客指定的任務。由于這種入侵法需要黑客有很好的編程經驗,且要更改代碼、要一定的權限,所以較難掌握。但正因為它的複雜性,一般的系統管理員很難發現。
3.監聽法
這是一個很實用但風險也很大的黑客入侵方法,但還是有很多入侵系統的黑客采用此類方法,正所謂藝高人膽大。
網絡節點或工作站之間的交流是通過信息流的轉送得以實現,而當在一個沒有集線器的網絡中,數據的傳輸并沒有指明特定的方向,這時每一個網絡節點或工作站都是一個接口。這就好比某一節點說:“嗨!你們中有誰是我要發信息的工作站。”
此時,所有的系統接口都收到了這個信息,一旦某個工作站說:“嗨!那是我,請把數據傳過來。”聯接就馬上完成。
目前有網絡上流傳着很多嗅探軟件,利用這些軟件就可以很簡單的監聽到數據,甚至就包含口令文件,有的服務在傳輸文件中直接使用明文傳輸,這也是非常危險的。
4.E-mail技術
使用email加木馬程序這是黑客經常使用的一種手段,而且非常奏效,一般的用戶,甚至是網管,對網絡安全的意識太過于淡薄,這就給很多黑客以可乘之機。
5.病毒技術
作為一個黑客,如此使用應該是一件可恥的事情,不過大家可以學習,畢竟也是一種攻擊的辦法,特殊時間,特殊地點完全可以使用。
6.隐藏技術
攻擊的準備階段
首先需要說明的是,入侵者的來源有兩種,一種是内部人員利用自己的工作機會和權限來獲取不應該獲取的權限而進行的攻擊。另一種是外部人員入侵,包括遠程入侵、網絡節點接入入侵等。本節主要讨論遠程攻擊。
進行網絡攻擊是一件系統性很強的工作,其主要工作流程是:收集情報,遠程攻擊,遠程登錄,取得普通用戶的權限,取得超級用戶的權限,留下後門,清除日志。主要内容包括目标分析,文檔獲取,破解密碼,日志清除等技術,下面分别介紹。
1.确定攻擊的目的
攻擊者在進行一次完整的攻擊之前首先要确定攻擊要達到什麼樣的目的,即給對方造成什麼樣的後果。常見的攻擊目的有破壞型和入侵型兩種。破壞型攻擊指的隻是破壞攻擊目标,使其不能正常工作,而不能随意控制目标的系統的運行。要達到破壞型攻擊的目的,主要的手段是拒絕服務攻擊(Denial Of Service)。另一類常見的攻擊目的是入侵攻擊目标,這種攻擊是要獲得一定的權限來達到控制攻擊目标的目的。應該說這種攻擊比破壞型攻擊更為普遍,威脅性也更大。因為黑客一旦獲取攻擊目标的管理員權限就可以對此服務器做任意動作,包括破壞性的攻擊。此類攻擊一般也是利用服務器操作系統、應用軟件或者網絡協議存在的漏洞進行的。當然還有另一種造成此種攻擊的原因就是密碼洩露,攻擊者靠猜測或者窮舉法來得到服務器用戶的密碼,然後就可以用和真正的管理員一樣對服務器進行訪問。
2.信息收集
除了确定攻擊目的之外,攻擊前的最主要工作就是收集盡量多的關于攻擊目标的信息。這些信息主要包括目标的操作系統類型及版本,目标提供哪些服務,各服務器程序的類型與版本以及相關的社會信息。
要攻擊一台機器,首先要确定它上面正在運行的操作系統是什麼,因為對于不同類型的操作系統,其上的系統漏洞有很大區别,所以攻擊的方法也完全不同,甚至同一種操作系統的不同版本的系統漏洞也是不一樣的。要确定一台服務器的操作系統一般是靠經驗,有些服務器的某些服務顯示信息會洩露其操作系統。例如當我們通過TELNET連上一台機器時,如果顯示
Unix(r)System V Release 4.0
login:
那麼根據經驗就可以确定這個機器上運行的操作系統為SUN OS 5.5或5.5.l。但這樣确定操作系統類型是不準确的,因為有些網站管理員為了迷惑攻擊者會故意更改顯示信息,造成假象。
還有一種不是很有效的方法,諸如查詢DNS的主機信息(不是很可靠)來看登記域名時的申請機器類型和操作系統類型,或者使用社會工程學的方法來獲得,以及利用某些主機開放的SNMP的公共組來查詢。
另外一種相對比較準确的方法是利用網絡操作系統裡的TCP/IP堆棧作為特殊的“指紋”來确定系統的真正身份。因為不同的操作系統在網絡底層協議的各種實現細節上略有不同。可以通過遠程向目标發送特殊的包,然後通過返回的包來确定操作系統類型。例如通過向目标機發送一個FIN的包(或者是任何沒有ACK或SYN标記的包)到目标主機的一個開放的端口然後等待回應。許多系統如windows、 BSDI、CISCO、 HP/UX和IRIX會返回一個RESET。
通過發送一個SYN包,它含有沒有定義的TCP标記的TCP頭。那麼在Linux系統的回應包就會包含這個沒有定義的标記,而在一些别的系統則會在收到SYN+BOGU包之後關閉連接。或是利用尋找初始化序列長度模闆與特定的操作系統相匹配的方法。利用它可以對許多系統分類,如較早的Unix系統是64K長度,一些新的Unix系統的長度則是随機增長。還有就是檢查返回包裡包含的窗口長度,這項技術根據各個操作系統的不同的初始化窗口大小來唯一确定它們。利用這種技術實現的工具很多,比較著名的有NMAP、CHECKOS、QUESO等。
獲知目标提供哪些服務及各服務daemon的類型、版本同樣非常重要,因為已知的漏洞一般都是對某一服務的。這裡說的提供服務就是指通常我們提到的喘口,例如一般TELNET在23端口,FTP在對21端口,WWW在80端口或8080端口,這隻是一般情況,網站管理完全可以按自己的意願修改服務所監聽的端口号。在不同服務器上提供同一種服務的軟件也可以是不同,我們管這種軟件叫做daemon,例如同樣是提供FTP服務,可以使用wuftp、proftp,ncftp等許多不同種類的daemon。确定daemon的類型版本也有助于黑客利用系統漏洞攻破網站。
另外需要獲得的關于系統的信息就是一些與計算機本身沒有關系的社會信息,例如網站所屬公司的名稱、規模,網絡管理員的生活習慣、電話号碼等。這些信息看起來與攻擊一個網站沒有關系,實際上很多黑客都是利用了這類信息攻破網站的。例如有些網站管理員用自己的電話号碼做系統密碼,如果掌握了該電話号碼,就等于掌握了管理員權限進行信息收集可以用手工進行,也可以利用工具來完成,完成信息收集的工具叫做掃描器。用掃描器收集信息的優點是速度快,可以一次對多個目标進行掃描。
攻擊的實施階段
1.獲得權限
當收集到足夠的信息之後,攻擊者就要開始實施攻擊行動了。作為破壞性攻擊,隻需利用工具發動攻擊即可。而作為入侵性攻擊,往往要利用收集到的信息,找到其系統漏洞,然後利用該漏洞獲取一定的權限。有時獲得了一般用戶的權限就足以達到修改主頁等目的了,但作為一次完整的攻擊是要獲得系統最高權限的,這不僅是為了達到一定的目的,更重要的是證明攻擊者的能力,這也符合黑客的追求。
能夠被攻擊者所利用的漏洞不僅包括系統軟件設計上的安全漏洞,也包括由于管理配置不當而造成的漏洞。前不久,因特網上應用最普及的著名www服務器提供商Apache的主頁被黑客攻破,其主頁面上的Powered by Apache圖樣(羽毛狀的圖畫)被改成了Powered byMicrosoft Backoffice的圖樣,那個攻擊者就是利用了管理員對Webserver用數據庫的一些不當配置而成功取得最高權限的。
當然大多數攻擊成功的範例還是利用了系統軟件本身的漏洞。造成軟件漏洞的主要原因在于編制該軟件的程序員缺乏安全意識。當攻擊者對軟件進行非正常的調用請求時造成緩沖區溢出或者對文件的非法訪問。其中利用緩沖區溢出進行的攻擊最為普遍,據統計80%以上成功的攻擊都是利用了緩沖區溢出漏洞來獲得非法權限的。關于緩沖區溢出在後面用專門章節來作詳細解釋。
無論作為一個黑客還是一個網絡管理員,都需要掌握盡量多的系統漏洞。黑客需要用它來完成攻擊,而管理員需要根據不同的漏洞來進行不同的防禦措施。了解最新最多的漏洞信息,可以到諸如Rootshell、Packetstorm、Securityfocus等網站去查找。
2.權限的擴大
系統漏洞分為遠程漏洞和本地漏洞兩種,遠程漏洞是指黑客可以在别的機器上直接利用該漏洞進行攻擊并獲取一定的權限。這種漏洞的威脅性相當大,黑客的攻擊一般都是從遠程漏洞開始的。但是利用遠程漏洞獲取的不一定是最高權限,而往往隻是一個普通用戶的權限,這樣常常沒有辦法做黑客們想要做的事。這時就需要配合本地漏洞來把獲得的權限進行擴大,常常是擴大至系統的管理員權限。
隻有獲得了最高的管理員權限之後,才可以做諸如網絡監聽、打掃痕迹之類的事情。要完成權限的擴大,不但可以利用已獲得的權限在系統上執行利用本地漏洞的程序,還可以放一些木馬之類的欺騙程序來套取管理員密碼,這種木馬是放在本地套取最高權限用的,而不能進行遠程控制。例如一個黑客已經在一台機器上獲得了一個普通用戶的賬号和登錄權限,那麼他就可以在這台機器上放置一個假的su程序。一旦黑客放置了假su程序,當真正的合法用戶登錄時,運行了su,并輸入了密碼,這時root密碼就會被記錄下來,下次黑客再登錄時就可以使用su變成root了。
攻擊的善後工作
1.日志系統簡介
如果攻擊者完成攻擊後就立刻離開系統而不做任何善後工作,那麼他的行蹤将很快被系統管理員發現,因為所有的網絡操作系統一般都提供日志記錄功能,會把系統上發生的動作記錄下來。所以,為了自身的隐蔽性,黑客一般都會抹掉自己在日志中留下的痕迹。想要了解黑客抹掉痕迹的方法,首先要了解常見的操作系統的日志結構以及工作方式。Unix的日志文件通常放在下面這幾個位置,根據操作系統的不同略有變化
/usr/adm——早期版本的Unix。
/Var/adm新一點的版本使用這個位置。
/Varflort一些版本的Solaris、 Linux BSD、Free BSD使用這個位置。
/etc,大多數Unix版本把Utmp放在此處,一些Unix版本也把Wtmp放在這裡,這也是Syslog.conf的位置。
下面的文件可能會根據你所在的目錄不同而不同:
acct或pacct-一記錄每個用戶使用的命令記錄。
accesslog主要用來服務器運行了NCSA HTTP服務器,這個記錄文件會記錄有什麼站點連接過你的服務器。
aculo保存撥出去的Modems記錄。
lastlog記錄了最近的Login記錄和每個用戶的最初目的地,有時是最後不成功Login的記錄。
loginlog一記錄一些不正常的L0gin記錄。
messages——記錄輸出到系統控制台的記錄,另外的信息由Syslog來生成
security記錄一些使用 UUCP系統企圖進入限制範圍的事例。
sulog記錄使用su命令的記錄。
utmp記錄當前登錄到系統中的所有用戶,這個文件伴随着用戶進入和離開系統而不斷變化。
Utmpx,utmp的擴展。
wtmp記錄用戶登錄和退出事件。
Syslog最重要的日志文件,使用syslogd守護程序來獲得。
2.隐藏蹤迹
攻擊者在獲得系統最高管理員權限之後就可以随意修改系統上的文件了(隻對常規 Unix系統而言),包括日志文件,所以一般黑客想要隐藏自己的蹤迹的話,就會對日志進行修改。最簡單的方法當然就是删除日志文件了,但這樣做雖然避免了系統管理員根據IP追蹤到自己,但也明确無誤地告訴了管理員,系統己經被人侵了。所以最常用的辦法是隻對日志文件中有關自己的那一部分做修改。關于修改方法的具體細節根據不同的操作系統有所區别,網絡上有許多此類功能的程序,例如 zap、 wipe等,其主要做法就是清除 utmp、wtmp、Lastlog和Pacct等日志文件中某一用戶的信息,使得當使用w、who、last等命令查看日志文件時,隐藏掉此用戶的信息。
管理員想要避免日志系統被黑客修改,應該采取一定的措施,例如用打印機實時記錄網絡日志信息。但這樣做也有弊端,黑客一旦了解到你的做法就會不停地向日志裡寫入無用的信息,使得打印機不停地打印日志,直到所有的紙用光為止。所以比較好的避免日志被修改的辦法是把所有日志文件發送到一台比較安全的主機上,即使用loghost。即使是這樣也不能完全避免日志被修改的可能性,因為黑客既然能攻入這台主機,也很可能攻入loghost。
隻修改日志是不夠的,因為百密必有一漏,即使自認為修改了所有的日志,仍然會留下一些蛛絲馬迹的。例如安裝了某些後門程序,運行後也可能被管理員發現。所以,黑客高手可以通過替換一些系統程序的方法來進一步隐藏蹤迹。這種用來替換正常系統程序的黑客程序叫做rootkit,這類程序在一些黑客網站可以找到,比較常見的有LinuxRootKit,現在已經發展到了5.0版本了。它可以替換系統的ls、ps、netstat、inetd等等一系列重要的系統程序,當替換了ls後,就可以隐藏指定的文件,使得管理員在使用ls命令時無法看到這些文件,從而達到隐藏自己的目的。
3.後門
一般黑客都會在攻入系統後不隻一次地進入該系統。為了下次再進入系統時方便一點,黑客會留下一個後門,特洛伊木馬就是後門的最好範例。Unix中留後門的方法有很多種,下面介紹幾種常見的後門,供網絡管理員參考防範。
密碼破解後門
這是入侵者使用的最早也是最老的方法,它不僅可以獲得對Unix機器的訪問,而且可 以通過破解密碼制造後門。這就是破解口令薄弱的帳号。以後即使管理員封了入侵者的當前帳号,這些新的帳号仍然可能是重新侵入的後門。多數情況下,入侵者尋找口令薄弱的未使用帳号,然後将口令改的難些。當管理員尋找口令薄弱的帳号是,也不會發現這些密碼已修改的帳号。因而管理員很難确定查封哪個帳号。
Rhosts + +後門
在連網的Unix機器中,象Rsh和Rlogin這樣的服務是基于rhosts文件裡的主機名使用簡 單的認證方法。用戶可以輕易的改變設置而不需口令就能進入。入侵者隻要向可以訪問的某用戶的rhosts文件中輸入"+ +",就可以允許任何人從任何地方無須口令便能進入這個帳号。特别當home目錄通過NFS向外共享時,入侵者更熱中于此。這些帳号也成 了入侵者再次侵入的後門。許多人更喜歡使用Rsh,因為它通常缺少日志能力。許多管理員經常檢查 "+ +",所以入侵者實際上多設置來自網上的另一個帳号的主機名和用戶名,從而不易被發現。
校驗和及時間戳後門
早期,許多入侵者用自己的trojan程序替代二進制文件。系統管理員便依靠時間戳和系 統校驗和的程序辨别一個二進制文件是否已被改變,如Unix裡的sum程序。入侵者又發展了使trojan文件和原文件時間戳同步的新技術。它是這樣實現的: 先将系統時鐘撥回到原文件時間,然後調整trojan文件的時間為系統時間。一旦二進制trojan文件與 原來的精确同步,就可以把系統時間設回當前時間。Sum程序是基于CRC校驗,很容易騙過。入侵者設計出了可以将trojan的校驗和調整到原文件的校驗和的程序。MD5是被 大多數人推薦的,MD5使用的算法目前還沒人能騙過。
Login後門
在Unix裡,login程序通常用來對telnet來的用戶進行口令驗證。 入侵者獲取login.c的原代碼并修改,使它在比較輸入口令與存儲口令時先檢查後門口令。如果用戶敲入後門口令,它将忽視管理員設置的口令讓你長驅直入。這将允許入侵者進入任何帳号,甚至是root。由于後門口令是在用戶真實登錄并被日志記錄到utmp和wtmp前産生一個訪問 的,所以入侵者可以登錄獲取shell卻不會暴露該帳号。管理員注意到這種後門後,便用"strings"命令搜索login程序以尋找文本信息。 許多情況下後門口令會原形畢露。入侵者就開始加密或者更好的隐藏口令,使strings命令失效。 所以更多的管理員是用MD5校驗和檢測這種後門的。
Telnetd後門
當用戶telnet到系統,監聽端口的inetd服務接受連接随後遞給in.telnetd,由它運行 login.一些入侵者知道管理員會檢查login是否被修改,就着手修改in.telnetd. 在in.telnetd内部有一些對用戶信息的檢驗,比如用戶使用了何種終端。典型的終端 設置是Xterm或者VT100.入侵者可以做這樣的後門,當終端設置為"letmein"時産生一個不要任何驗證的shell. 入侵者已對某些服務作了後門,對來自特定源端口的連接産生一個shell。
其他相關
威脅報告:看黑客如何感染網絡
根據Websense安全實驗室發布的《Websense 2012年威脅報告》,我們看到三個因素正在成為數據竊取“得力助手”:第一,基于社交網絡生成的各種誘餌,這是當前極富成效的攻擊手段;第二,現代惡意軟件在滲入時已具備回避安全檢測的能力;第三,機密數據的洩露方式日益複雜。為了幫助企業有效的應對威脅現狀,該報告不僅陳列了最新的安全調查發現,還為安全專業人士提供多起案例進行參考,并提出切實可行的防範建議。
Websense中國安全實驗室經理洪敬風表示:“傳統的安全防線已經失去了作用,面對現代威脅環境,隻有依靠多點檢測的實時防禦方案,深度檢測和分析入站的每一個網頁與電子郵件内容以及出站敏感數據傳送才能幫助企業有效緩解數據洩露等信息安全風險。在我們的觀察中發現:利用Web和電子郵件進行攻擊幾乎發生在每一起惡意數據竊取行動中;而以人為突破口發起的各種社會工程學攻擊更是越加普遍。因為新一代攻擊者懂得針對一個目标基于多種威脅渠道從多個數據點發起攻擊,所以隻有充分了解威脅的整個生命周期,并且能夠将數據安全嵌入各個環節的解決方案才能夠有效防止新的威脅。”
關鍵發現:
82%的惡意網站被托管在已經被惡意份子控制的主機上。主機一旦被惡意份子攻陷則不再能提供可被信任的基準、雲或者托管服務。從大的環境來講,這阻礙了社會經濟的發展,因為雲技術被大量應用于發展商業、交通和文化。
55%的數據竊取源于基于Web的惡意軟件通訊。
43%的Facebook分享為流媒體,其中有不少為病毒式視頻。目前它所占比例已經超過Facebook第二大内容分類——新聞與媒體5倍。流媒體的所占比例是一個很重要的線索,因為當前的各種Web誘餌(視頻、虛假禮品贈與、虛假調查問卷和詐騙等)都是從吸引人的好奇心出發,并越來越多地被使用在社交網絡上。Websense是Facebook的内容安全合作夥伴,緻力幫助Facebook掃描其内容更新中的所有 Web鍊接,所以 Websense調查員對社交網絡内容具有深入的了解和敏銳的觀察。
50%的惡意軟件的重定向地址指向美國,其次是加拿大。
60%的釣魚網站主機在美國,還有一大部分在加拿大。而美國亦是托管最多惡意軟件的國家,占總量的36%,緊随其後的是俄羅斯。
74%的電子郵件是垃圾郵件,在前一年這個數據是84%.總體來說,在對抗垃圾郵件僵屍網絡方面的努力頗有成效。而另一方面,在垃圾郵件的總量下降的同時,我們看到92%的垃圾郵件都包含一個URL鍊接,這說明混合電子郵件和Web威脅的攻擊正在上升。排名前五位的垃圾郵件誘餌有:訂單狀态通知、票務确認、交貨通知、測試郵件,以及退稅通知。另外,魚叉式網絡釣魚攻擊也在持續增長,大多數被用于針對性攻擊。
Websense安全實驗室分析了超過20萬個安卓應用,發現了大量的包含惡意目地和許可的軟件。可以預計,未來将會有更多的用戶會成為惡意移動應用程序的受害者。
先進威脅的生命周期可以被分為6個階段:誘惑、重定向、攻擊工具包、dropper木馬文件、自動通訊,和數據竊取。其中每一個階段都有不同的特征,需要專門的實時防禦系統。傳統的安全防護手段因為主要關注第四階段,并且隻能夠基于已知威脅特征庫查找惡意軟件,所以在現代威脅面前頓時失靈。先進威脅中使用的dropper木馬可能在數小時或者數天中都無法被傳統安全工具檢測到。
Websense安全實驗室運用Websense ThreatSeeker Network對全球互聯網威脅進行實時監測。Websense ThreatSeeker Network每小時掃描4千多萬個Web網站和1千多萬封電子郵件,以查找不當内容和惡意代碼。利用全球超過5千萬個節點的實時數據采集系統,Websense ThreatSeeker Networks監測并分類Web、郵件以及數據内容,這使得Websense在審查Internet及電子郵件内容方面具有獨一無二的可視能力。
