黑客常見攻擊手法和步驟
【簡 介】
黑客常用的攻擊步驟可以說變幻莫測,但縱觀其整個攻擊過程,還是有一定規律可循的,一般可以分:攻擊前奏'實施攻擊'鞏固控制'繼續深入幾個過程.下面我們來具體瞭解一下這幾個過程.
1攻擊前奏
黑客在發動攻擊目標'瞭解目標的網絡結構,收集各種目標系統的信息等.
鎖定目標:網絡上上有許多主機,黑客首先要尋找他找的站點的.當然能真正標識主機的是lp地址,黑客會利用域名和lp地址就可以順利地找到目標主機.
瞭解目標的網絡結構:
確定要攻擊的目標後,黑客就會設法瞭解其所在的網絡結構,哪裏是網關'路由,哪裏有防火牆,ids,哪些主機與要攻擊的目標主機關係密切等,最簡單地就是用tracert命令追蹤路由,也可以發一些數據包看其是否能通過來猜測其防火牆過濾則的設定等.當然老練的黑客在幹這些的時候都會利用別的計算機來間接的探測,從而隱藏他們真實的lp地址.
收集系統信息:
在收集到目標的第一批網絡信息之後,黑客會對網絡上的每臺主機進行全面的系統分析,以尋求該主機的安全漏洞或安全弱點.收集系統信息的方法有:開放端口分析利用信息服務'利用安全掃描器,社會工程.開放端口分析.首先黑客要知道目標主機採用的是什麼操作系統什麼版本,如果目標開放telnet服務,那隻要telnet www.hackervip.com(目標主機),就會顯示"digitalunlx(xx.xx.xx.)(ttypl)login:"這樣的系統信息.接着黑客還會檢查其開放端口進行服務分析,看是否有能被利用的服務.因特網上的主機大部分都提供。
www、mail、ftp、telnet等日常網絡服務,通常情況下telnet服務的端口是23等,www服務的端口是80,ftp服務的口是21,利用信息服務.像snmp服務、traceroute程序、whois服務可用來查閱網絡系統路由器的路由表,從而瞭解目標主機所在網絡的拓撲結構及其內部細節,traceroute程序能夠用該程序獲得到達目標主機所要經過的網絡數和路由器數,whois協議服務能提供所有有關的dns域和相關的管理參數,finger協議可以用finger服務來獲取一個指一個指定主機上的所有用戶的詳細信息(如用戶註冊名、電話號碼、最後註冊時間以及他們有沒有讀郵件等等).所有如果沒有特殊的需要,管理員應該關閉這些服務.利用安掃描器,收集系統信息當然少不了安全掃描器黑客會利用一些安全掃描器來幫他們發現系統的各種漏洞,包括各種系統服務漏洞,應用軟件漏洞,cgi,弱口令用戶等等.(關於社會工程收集信息在攻擊方法篇中有具體介紹).
2實施攻擊
當黑客探測到了足夠的系統信息,對系統的安全弱點有了瞭解後就會發動攻擊,當然他們會根據不同的網絡結構、不同的系統情況而採用的不同的攻擊手段.一般,黑客攻擊的終極目的是能夠控制目標系統,竊取其中的機密文件等,但並不是每次黑客攻擊都能夠得逞控制目標主機的目的的,所以有時黑客也會發動拒絕服務攻擊之類的干擾攻擊,使系統不能正常工作.關於黑客上具體採用的一些攻擊方法我們在下面黑客攻擊方法中有詳細的介紹,這裏就不細說了.
3鞏固控制
黑客利用種種手段進入目標主機系統並獲得控制權之後,不是像大家想象的那樣會馬上進行破壞活動,刪除數據、塗改網頁等,那是毛頭小夥子們乾的事情.一般入侵成功後,黑客爲了能長時間表的保留和鞏固他對系統的控制權,不被管理員發現,他會做兩件事:清除記錄和留下後門.日誌往往會記錄上一些黑攻擊的蛛絲馬跡,黑客當然不會留下這些"犯罪證據",他會把它刪了或用假日誌覆蓋它,爲了日後面以不被覺察地再次進入系統,黑客會更改某些系統設置、在系統中置入、特洛伊木馬或其他一些遠程操縱程序.
4繼續深入
清除日誌、刪除拷貝的文件等腰三角形手段來隱藏自己的蹤跡之後,攻擊者就開始下一步的行動;竊取主機上的各種敏感信息:軟件資料、客戶名單、財務報表,信用卡號等等,也可能是什麼都不動,只是把你的系統作爲他存放黑客程序或資料的倉庫,也可能黑客會利用這臺已經攻陷的主機去繼續他下一步的攻擊,如:繼續入侵內部網絡,或者利用這臺主機發動d.o.s攻擊使網絡癱瘓.
網絡世界瞬息萬變,黑客們各有不同,他們的攻擊流程也不會全相同,上面我們提的攻擊步驟是對一般情況而言的,是絕大部分黑客正常情況下采用的攻擊步驟.