黑客远程攻击的常用技术

《黑客远程攻击的常用技术》由会员分享，可在线阅读，更多相关《黑客远程攻击的常用技术（5页珍藏版）》请在金锄头文库上搜索。

1、1 IP 与 Port黑客远程攻击的入手点锁定IP。在Internet上能真正标识主机的是IP地址,IP地址是每台上网计算机的唯一并独有的一个地址，这个地址不与任何一台计算机的地址 系统相同。(2) IP隐藏。IP欺骗，就是伪造他人的源IP地址。其实质就是让一台机器来扮演另一台机器 ，借以达到蒙混过关的目的。通常用来隐藏IP地址的方法有3种： 吏用ProxyServe; 吏用WinGate Server; 吏用 木马程序。(3) 端口分析。Port是计算机与外部网络相连的逻辑接口，也是计算机的第一道屏障。当黑客锁定目标之后，接着就是针对这个目标进行Port扫描，找出Port的服务有哪些，这样就

2、可以一一打开进行侵入的测试。(4) 端口扫描原理。扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答， 通过这种方法，可以搜集到很多关于目标主机的各种有用的信息。扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助人们发现目标机的某些内在的弱 点，而这些现存的弱点可能是破坏目标机安全的关键。端口防御。每一项服务都对应相应的端口，如众所周知的WWW服务的端口是80,smtp的端口是25,ftp 的端口是 21,QQ的端口是4000。Win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭了无用的服 务。2 口令入侵(1) 口令破解的概念。

3、在互连网上，口令是用来确认用户身份的一种常用方法。 所谓口令入侵就是指用一些软件解开得到的经过加密的口令文档。(2) 口令保护。防范的办法很简单，只要使自己的口令不在英语字典中，且不便于猜测即可。3拒绝服务攻击拒绝服务(Denial-of-service,DDos)攻击是指拒绝系统的合法用户使用系统、信 息或功能等资源的攻击。DDos攻击一般不 允许攻击者访问或修改计算机中的信息或 实际信息。DDos攻击只是一种破坏行为。(1)DDos的工作原理。首先，攻击者通过利用系统服务的漏洞或者管理员的配置错误等方法，来进入一些安全措施较差的小型站点以及单位中的服务器。然后，攻击者在所侵入的服务器上安装

4、攻击软件。其目的在于隔离网络联系，保护攻击者，使自己不会 在攻击进行时受到监控系统的跟踪，同时也能够更好地协调进攻。最后，攻击者从攻击控制台向各个攻击服务器发出对特定目标的攻击命令。攻击服务器接到攻击命令后，每一个攻击服务器都会向目 标主机发出大量的服务请求数据包。这些数据包经过伪装，无法识别它的来源。而 且,这些包所请求的服务往往要消耗较大的系统资源，如 CPU或网络带宽，这就会导 致目标主机网络和系统资源的耗尽，从而停止服务，甚至会导致系统崩溃。(2)DDos的防御。DDos攻击的主要效果是消耗目标机器的带宽，所以是很难防御的。但有很多方法可以检测到这种攻击。 可以通过IDS来防御和检测，

5、分析得到的UDP报文，寻找那些针对本地不同端口的 同时又是从一个源地址的同一个端口发来的UDP报文。或者可以拿出10个以上的UDP 报文，分析是否来自同一个地址。相同的地址，相同的端口，不同的只是端口报 文，那么这个就必须得注意了。还有一种就是寻找那些相同的源地址和相同的目标地址的ICMP Port Unreachable的信息。这些方法都可以使管理员识别到攻击来自何方。4缓冲区溢出攻击(1)攻击原理。所谓 Buffer Overflow中文译为缓冲区溢出。缓冲区是作为数据处理中转站，内存中存放数据的地方，在程序 试图将数据放到计算机内存中的某一位置，但没有足够空间时会发生缓冲区溢出。 顾名思

6、义就是说所用的缓冲区太小了，以软件导刊2006年第4期管理论坛网络与信息安全管理论坛网络与信息安全 致装不下那么多东西。缓冲区溢出指的是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈 ，使程序转而执行其它指令，以达到攻击的目的。缓冲区溢出的过程。那么，如何制造缓冲区溢出呢?一个程序在内存中通常分为程序段、数据段、堆栈3部分。程序段中存放程序代码和静态局部变量，数据段中存放全局变量，而动态数据则存放在堆栈中，用来保留函数的调用现场、数返回值、auto变量等。当程序发生函数调用时，计算机做如下操作：首先把参数压入堆栈；然后保存指令寄存器(IP)中的内

7、容作为返回地 址(RET);第3个压入堆栈中的是基址寄存器(FP);然后把当前的栈指针(SP)拷贝到FP，作为新的地址；最后为本地变量留出一定空间，把SP减去适当的数值。Example: void function(char *str) char buffer16; strcpy (buffer,str);void main()char large_string256;inti；for (i=0;iv256;i+) large_stringi=，A； function (large_string);当调用函数function()时，堆栈情况如附图所示。低端内存高端内存栈顶buffer sfp

8、ret str栈底附图缓冲区溢出如果将上例中的A，替换成执行代码（一般为黑客程序）并写入缓冲区，只需覆盖返回地址RET的内容，使它指向缓冲区的开头，就可以达到运行其它指令的目的。5网络监听攻击网络监听工具可以监视网络的状态、 数据流动情况以及网络上传输的信息。当 信息以明文的形式在网络上传输时，便可 以使用网络监听的方式来进行攻击。网络 监听可以在网上的任何一个位置实施，如 局域网中的一台主机、网关上或远程的调 制解调器之间等。网络监听原理。Ethernet协议的工 作方式是将要发送的数据包发往连接在一 起的所有主机。在包头中包括有应该接收 数据包的主机的正确地址，因为只有与数 据包中目标地址

9、一致的那台主机才能接收 到信息包。当连接在同一条电缆或集线器 上的主机被逻辑地分为几个子网的时候 那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网的主机的数据包，在同一个物理信道上传 输的所有信息都可以被接收到。(2)网络监听防范对策。对于Sniffer 网络监听最有效的手段就是进行合理的网络分段，并在网络中使用交换机和网桥。对于嗅探器较高的“灵敏度”,最好力求作到及时检测和消 灭嗅探器、会话加密和数据隐藏，使嗅探器无法发挥作用。可以通过下面的措施可以防止受Sniff的攻击： 交换设备； 加密； 入侵检测； 使用antisniffer软件。6特洛伊木马的攻击(1)特洛伊

10、木马的机理。特洛伊木马(Trojan horse)或称木马，是包含在合法程序里的未授权的程序。这些未授权的程序 执行用户未知的功能。木马具有一定的隐蔽性，在完成一些功能的同时最终危害到用户的软 件。木马的传播方式主要有两种：一种是通过E-mai 1,控制端将木马程序以附件的 形式通过电子邮件发送到用户端(收信人)，收信人只要打开附件就会被植入木马 程序。另一种是黑客将木马程序捆绑在软件安装程序上，用户在不知道的情况下下 载并安装，木马程序随着安装程序的安装也就自动地安装到用户的计算机上。(2)木马防治。知道了 “木马”的工作原理，查杀“木马”就变得很容易，最安全也是 最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后再对编辑win.ini文件进行编辑。