黑客攻防 黑客攻防基础知识

460500587

网络上流行的扫描软件是用来检测管理员手中的系统，防患于未然的工具；就我个人而言，是找到进攻入口，做好入侵准备的必备工具。

一、常见的黑客攻击过程

主要目的是成为目标主机的所有者，获得一个网络主机的超级用户权限，达到入侵的目的，比如修改服务配置、安装木马程序、执行任意程序等。虽然网络安全日新月异，旧的安全漏洞已经被填满，但新的漏洞会层出不穷。网络攻击利用这些安全漏洞和缺陷来攻击系统和资源。以下描述黑客攻击的基本过程。

1.隐藏你的行踪

就是神不知鬼不觉的入侵目标主机，因此，在入侵之前，你要给自己做好伪装，不要让攻击者轻易发现。在网络攻击之前，隐藏你的真实IP地址。一般攻击者利用别人的电脑隐藏自己的真实IP，有的专家通过800电话的无人转接服务连接到ISP，然后利用别人的账号进行伪装。

2.查询并分析目标主机

如果攻击有目标，那么IP地址确实可以识别互联网中的主机，域名是对IP地址进行更好的内存管理的另一种体现，这样就可以利用域名和IP地址来确定目标主机。确定目标主机后，可以对其操作系统类型和服务进行全面的分析和了解。

一般攻击者只使用一些扫描器工具，就可以知道目标主机使用的操作系统的类型和版本，哪些用户对系统是开放的，以及Web等服务器程序的版本信息。，从而为入侵做好充分准备。

3.让正确的用户入侵

获取目标主机的授权用户是最基本的入侵手段。攻击者应该首先试图窃取目标主机的帐户文件并将其破解，以获得授权用户的帐号和密码，然后找到正确的时间以这种方式登录主机。一般情况下，攻击者通过一些黑恶攻击或系统漏洞登录目标主机。

4.离开后门，清除记录

获得授权用户后，可以成功登录目标主机系统，从而获得控制权，然后留下后门，清除记录，让攻击者在不被察觉的情况下再次入侵目标主机。

所谓的后门其实只是一些木马程序或者预编译的远程控制程序，把这些程序的修改时间和权限传送到目标主机的秘密地点进行隐藏是可以的。一般攻击者喜欢用rep来传输文件，以免被攻击者发现。攻击者还使用清除日志和删除复制文件等方法来清除自己的记录并隐藏自己的痕迹。

5.窃取网络资源

成功入侵目标主机后，主机的所有数据都会呈现给黑客，然后可以下载有用的数据，甚至导致主机及其网络瘫痪。

二、常用的网络防御技术

在广阔的网络世界里，当你在用技术攻击别人的时候，你可能是被人盯上了。只有保护好可能被攻击的弱点，才能保证我们“大本营”的安全。

以下是针对黑客常见攻击方式的几种常见防范方法的简要介绍。

1.防范协议欺骗攻击的措施

攻击方法之一是利用协议欺骗来窃取消息。为防止假冒源IP地址的攻击模式，可采用以下方法:

加密方法。在将数据包发送到网络之前对其进行加密需要正确更改网络配置，但它可以保证发送数据的完整性、真实性和机密性。

过滤方式。将路由器配置为拒绝来自网络外部和该网段内具有相同IP地址的连接请求。并且当数据包的IP地址不在该网段时，路由器不会发送该网段主机的数据包。但是，路由器过滤只对来自内部网络的外部数据包起作用，没有办法过滤网络中的外部可信主机。

2.针对拒绝服务攻击的预防措施

在拒绝服务攻击中，SYN Flood攻击是一种典型的攻击模式。为了防止拒绝服务攻击，可以采取以下防御措施:

配置和调整路由器上SYN半开放数据包的数量和个数。

为了防止SYN数据段攻击，我们可以为系统设置相应的内核参数，强制系统复位已经过期的SYN请求连接包，缩短超时常数，延长等待队列，使系统能够及时处理无效的SYN请求包。

必要的TCP侦听是在路由器前端完成的，只有完成3次握手过程后的数据包才能通过网段，从而有效保护了该网段内的服务器免受其攻击。

管道段可以生成无限系列的服务，防止信息泛滥攻击。

其实最好的办法就是找出攻击的机器和攻击者，但是不容易。因为一旦对方停止攻击，就很难再找到它的踪迹。唯一可行的方法是根据路由器信息和攻击包的特征，使用回溯法找到攻击源。

3.网络嗅探的防范措施

对于使用网络嗅探来检测自己系统的攻击者，可以采取以下措施来阻止他们:

网络分段。共享底层和线路的一组机器可以形成一个网段。在一个网段中，可以限制数据流，以防止嗅探工具。

加密。数据流中的一些数据信息可以加密，应用层也可以加密，但是应用层的加密会使大部分与网络和操作系统相关的信息失去保护。因此，需要根据信息安全级别和网络安全程序选择使用哪种加密方法。

一次性密码技术。这里使用的密码不会在网络中传输，而是在传输的两端直接匹配。因此，客户端可以使用从服务器获得的挑战和自己的密码来计算一个字符串并将其返回给服务器，服务器将使用比较算法来匹配它。如果匹配允许建立连接，所有的挑战和字符串只能使用一次。

禁止杂项节点。为了防止IBM兼容机器嗅探，可以安装不支持杂项错误的网卡。

4.防范缓冲区溢出攻击的措施

属于系统攻击的手段，主要是通过在程序的缓冲区中写入冗长的内容来达到限制缓冲区溢出的目的，从而破坏程序的堆栈，使程序改为执行其他指令，从而达到攻击的目的。

以下方法可用于防御缓冲区溢出攻击:

程序指针检查。在引用使用指针之前，请检查程序指针是否已被更改。只要系统提前检测到指针的变化，这个指针就不会被使用。

堆栈保护。这是一种提供程序指针完整性检测的编译器技术。一些特殊的字节被附加到程序指针堆栈中的函数返回的地址上。当函数返回时，首先检测这些附加字节是否已经被改变。因此，在函数返回之前，很容易检测到这种攻击。但是，如果攻击者预见到这些额外的字节，并且可以在溢出过程中创建它们，则攻击者可以跳过堆栈的保护测试。

数组边界检查。通过检测数组操作是否在正确的范围内，可以检测是否受到缓冲区溢出的攻击。目前主要的集中检查方法有Compaq编译器检查、Jones & amp；Kelly C数组边界检查、Purify内存访问检查等。