信息安全系统工程黑客

1、黑客的类型和动机

从黑客行为上划分，黑客有“善意”与“恶意” 两种，即所谓白帽(White Hat)及黑帽 (Black Hat)。 白帽利用他们的技能做一些善事，长期致力于 改善计算机社会及其资源，为了改善服务质量 及产品，他们不断寻找弱点及脆弱性并公布于 众。 黑帽则利用他们的技能做一些恶事，主要从事 一些破坏活动，从事的是一种犯罪行为。

“黑帽”的动机

1、 好奇心：许多黑帽声称，他们只是对计算机及电话 网感到好奇，希望通过探究这些网络更好地了解它们是 如何工作的。 2、个人声望：通过破坏具有高价值的目标以提高在黑 客社会中的可信度及知名度。 3、智力挑战：为了向自己的智力极限挑战或为了向他 人炫耀，证明自己的能力；还有些甚至不过是想做个 “游戏高手”或仅仅为了“玩玩”而已。 4、窃取情报：在Internet上监视个人、企业及竞争对手 的活动信息及数据文件，以达到窃取情报的目的。

“黑帽”的动机(续)

5、报复：电脑罪犯感到其雇主本该提升自己、增 加薪水或以其他方式承认他的工作。电脑犯罪活动 成为他反击雇主的方法，也希望借此引起别人的注 意。 6、金钱：有相当一部分电脑犯罪是为了赚取金钱。 7、政治目的：任何政治因素都会反映到网络领域， 主要表现有：

1)敌对国之间利用网络的破坏活动； 2)个人及组织对政府不满而产生的破坏活动。这类黑 帽的动机不是钱，几乎永远都是为政治，一般采用的 手法包括更改网页、植入电脑病毒等。

2、黑客攻击的流程

2.1 踩点

“踩点”的主要目的是获取目标的如下信息：

1) 因特网网络域名、网络地址分配、域名服务器、邮 件交换主机、网关等关键系统的位置及软硬件信息。 2) 内联网与Internet内容类似，但主要关注内部网络 的独立地址空间及名称空间。 3) 远程访问模拟/数字电话号码和VPN访问点。 4) 外联网与合作伙伴及子公司的网络的连接地址、连 接类型及访问控制机制。 5) 开放资源未在前4类中列出的信息，例如 Usenet、 雇员配置文件等。

踩点采用的主要技术

1、开放信息源搜索

通过一些标准搜索引擎，揭示一些有价值的信 息。 whois是目标Internet域名注册数据库，目前， 可用的whois数据库很多。 DNS区域传送是一种DNS服务器的冗余机制。

2、whois查询

3、DNS区域传送

局域网主机发现

主机发现

通过测试发现局域网内的活动主机 可以利用ARP协议实现主机发现。 “地址解析”就是主机在发送帧前将目的逻辑地址转 换成目的物理

地址的过程。 在使用TCP/IP协议的以太网中ARP协议完成将IP 地址(逻辑)映射到MAC地址(物理)的过程。 向目标主机发送一个ARP请求，如果目标主机处于 活动状态则会返回其MAC地址，这样达到探测的 目的。

ARP—Address Resolution Protocol

ARP示意图

示例

利用ARP进行主机发现

关键函数：SendARP函数

SendARP是Microsoft Platform SDK中提供用来获得目标主 机的MAC地址的函数，它发送一个ARP请求报文，用来获 得与指定IP地址相应的物理地址。 1)DestIP:目的IP地址，ARP协议将试图获得这个IP地址 相对应的物理地址； 2)SrcIP:指定了发送者的IP地址，这个参数是可选的，调 用者可以用0填充； 3)pMacAddr:一个指向无符号长整型的指针，如果函数调 用成功，这个长整型变量将保存得到的物理地址； 4)phyAddrLen:一个指向无符号长整型的指针，如果函数 调用成功，这个长整型变量将保存得到的物理地址的长度。

SendArp声明如下：

利用ARP进行主机发现(续)

参考流程

显示局域网所 有活动主机的 IP地址。

示例

2.2 扫描

通过踩点已获得一定信息(IP地址范围、DNS服 务器地址、邮件服务器地址等),下一步需要确 定目标网络范围内哪些系统是“活动”的，以及 它们提供哪些服务。 扫描的主要目的是使攻击者对攻击的目标系统所 提供的各种服务进行评估，以便集中精力在最有 希望的途径上发动攻击。 扫描中采用的主要技术有：

Ping扫射(Ping Sweep)、TCP/UDP端口扫描、操作 系统检测以及旗标(banner)的获取。

利用TCP全扫描进行端口扫描

TCP全扫描 这种扫描方法直接连接到目标端口并完成一个完整的三次握 手过程(SYN,SYN/ACK和ACK)。 Windows操作系统提供了“connect()”函数来完成系统调用，用 来与每一个感兴趣的目标计算机的端口进行连接 如果端口处于侦听状态，那么connect()函数就能成功；否 则，connect()函数将调用失败。 优点 不需要任何权限，系统中任何用户都有权利使用这个调用。 缺点 如果对每个目标端口以线性的方式使用单独的 connect()函 数调用，那么将会花费相当长的时间。 容易被发觉，并且很容易被过滤掉。

利用TCP全扫描进行端口扫描(续)

关键函数：connect

尝试与目标端口建立连接，若返回 SOCKET_ERROR则表示目标端口关闭，否则 目标端口开放。

参数int mysocket; struct sockaddr_in serAddr; connect(mysocket, (sockaddr *)&serAddr, sizeof(sockaddr))

利用TCP全扫描进行端口扫描(续)

参考流程

示例

漏洞扫描

漏洞扫描是一种网络安全扫描技术，它基于局

域网或Internet远程检测目标网络或主机安全 性

通过漏洞扫描，系统管理员能够发现所维护的Web 服务器的各种TCP/IP端口的分配、开放的服务、 Web服务软件版本和这些服务及软件呈现在 Internet上的安全漏洞。

漏洞扫描技术采用积极的、非破坏性的办法来 检验系统是否含有安全漏洞

网络安全扫描技术与防火墙、安全监控系统互相配 合使用，能够为网络提供很高的安全性。

漏洞扫描(续)

漏洞扫描分为利用漏洞库的漏洞扫描和利 用模拟攻击的漏洞扫描利用漏洞库的漏洞扫描包括：CGI漏洞扫描、 POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫 描和HTTP漏洞扫描等。 利用模拟攻击的漏洞扫描包括：Unicode遍历 目录漏洞探测、FTP弱口令探测、OPENRelay 邮件转发漏洞探测等。 典型的工具：X-Scan 和 FTP-Scan 等。

2.3 查点

通过扫描，入侵者掌握了目标系统所使用的操作 系统，下一步工作是查点。 查点就是搜索特定系统上用户和用户组名、路由 表、SNMP信息、共享资源、服务程序及旗标等 信息。 查点所采用的技术依操作系统而定：

在Windows系统上主要采用的技术有“查点NetBIOS” 线路、空会话(Null Session)、SNMP代理、活动目 录(Active Directory)等； 在UNIX系统上采用的技术有RPC查点、NIS查点、 NFS查点及SNMP查点等。

2.4 获取访问权

在搜集到目标系统的足够信息后，下一步要完成的工作是 得到目标系统的访问权进而完成对目标系统的入侵。 对于Windows系统采用的主要技术有：

NetBIOS SMB密码猜测(包括手工及字典猜测)、窃听LM及 NTLM认证散列、攻击IIS Web服务器及远程缓冲区溢出。 蛮力密码攻击；密码窃听；通过向某个活动的服务发送精心构造 的数据，以产生攻击者所希望的结果的数据驱动式攻击(例如缓冲 区溢出、输入验证、字典攻击等);RPC攻击；NFS攻击以及针对 X-Windows系统的攻击等。

UNIX系统采用的主要技术有：

2.5 权限提升

一旦攻击者通过前面4步获得了系统上任意普通用 户的访问权限后，攻击者就会试图将普通用户权 限提升至超级用户权限，以便完成对系统的完全 控制。

这种从一个较低权限开始，通过各种攻击手段得到较 高权限的过程称为权限提升。通过得到的密码文件，利用现有工具软件，破解系统 上其他用户名及口令；利用不同操作系统及服务的漏 洞(例如Windows 2000 NetDDE漏洞),利用管理员 不正确的系统配置等。

权限提升所采取的技术有：

2.6 窃取

一旦攻击者得到了系统的完全控制权，接 下来将完成的工作是窃取，即进行一些敏 感数据的篡改、添

加、删除及复制(例如 Windows系统的注册表、UNIX系统的rhost 文件等)。 通过对敏感数据的分析，为进一步攻击应 用系统做准备。

2.7 掩盖跟踪

一旦黑客入侵系统，会留下痕迹。

因此，黑客需要做的首要工作就是清除所有入 侵痕迹，避免自己被检测出来，以便能够随时 返回被入侵系统继续干坏事或作为入侵其他系 统的中继跳板。 禁止系统审计、清空事件日志、隐藏作案工具 及使用人们称为rootkit的工具组替换那些常用 的操作系统命令。

掩盖踪迹的主要工作有：

本文来源：https://www.bwwdw.com/article/nfq1.html