让无数人头疼的网络攻击到底是什么?究竟隐藏了哪些不为人知的秘密?
文章目錄
- 1、網絡攻擊三部曲
- 1.1、攻擊的準備階段
- 1.1.1、確定攻擊的目的
- 1.1.2、信息收集
- 1.1.3、服務分析
- 1.1.4、目標主機的系統分析
- 1.1.5、漏洞分析
- 1.2、攻擊的實施階段
- 1.3、攻擊的善后階段
- 2、網絡信息搜集
- 2.1常用的DOS命令
- 2.1.1、 ping命令
- 2.1.2、 netstat 命令
- 2.1.3、nbtstat命令
- 2.2、網站信息收集
- 2.1.1、中國互聯網絡信息中心(http://www.cnnic.com.cn)
- 2.2.2、 中國萬網( http://www.net.cn)
- 2.2.3、EDGAR數據庫
- 3、結構探測
- 3.1、VisualRoute 探測
- 3.2、tracert命令
- 4、資源搜集
- 4.1、共享資源簡介
- 4.1.1、 建立共享資源的條件
- 4.2、共享資源搜索
- 4.2.1、掃描器簡介
- 4.2.2、常用掃描器工具
- 5、網絡攻擊的善后階段
- 5.1、隱藏技術
- 5.1.1、文件傳輸與文件隱藏技術
- 5.1.2、掃描隱藏技術
- 5.1.3、入侵隱藏技術
- 5.2、留后門
- 5.2.1、賬號后門
- 5.2.2、漏洞后門
- 5.2.3、木馬后門
1、網絡攻擊三部曲
1.1、攻擊的準備階段
1.1.1、確定攻擊的目的
攻擊目的是指想要給受侵者造成什么樣的后果
常見的有破壞型和入侵型兩種
1.1.2、信息收集
搜集盡量多的關于攻擊目標的信息
這些信息包括公開的信息和主動探測的信息
- 使用 Tracert 命令探測網絡結構
- 使用 whois協議 搜集信息
1.1.3、服務分析
獲取目標主機上提供了哪些服務、相應端口是否開放、各服務所使用的軟件版本類型
- 標準服務與端口的對應關系
1.1.4、目標主機的系統分析
在知道了目標主機開放的服務之后,可以連接這些服務
然后根據連接過程中的返回消息,分析目標主機的操作系統
- Windows家族的TTL一般為128
- Unix系統的TTL為255
1.1.5、漏洞分析
一般借助軟件如Nessus、X-Scan等綜合型漏洞檢測工具、wVS等專用型漏洞檢測工具等自動分析
- WVS檢測報告
1.2、攻擊的實施階段
- 非法提權
- 植入后門
- 建立后門賬號
- 種植木馬
1.3、攻擊的善后階段
- 刪除日志
- 刪除操作記錄
- 文件隱藏
2、網絡信息搜集
2.1常用的DOS命令
2.1.1、 ping命令
ping命令是入侵者經常使用的網絡命令,該命令用于測試網絡連接性,通過發送特定形式的ICMP包來請求主機的回應,進而獲得主機的一些屬性
- ping命令的使用格式:
參數說明
| -t | 一直ping下去,直到按下Ctrl+C組合鍵結束 |
| -a | ping 的同時把IP地址轉換成主機名 |
| -l | 指定數據包的大小,默認為32個字節,最大為65527 |
| -f | 在數據包中發送“不要分段”標志,數據包不會被路由設備分段 |
| -n count | 設定ping的次數 |
| -i TTL | 設置ICMP包的生存時間(指ICMP包能夠傳到臨近的第幾個節點) |
- 例如使用命令: ping192.168.1.1
- 如果返回的結果是 “Reply from 192.168.1.1: bytestime<10ms tl=62” 目標主機有響應,說明192.168.1.1這臺主機是活動的
- 如果返回的結果是 "Request timed out.” 則目標主機不是活動的,即目標主機不在線或安裝有網絡防火墻,這樣的主機是不容易入侵的
- 不同的操作系統對于ping 的TTL返回值是不同的
| UNIX類 | 255 |
| Windows95 | 32 |
| Windows NT/2000/2003 | 128 |
| Compap Tru64 5.0 | 64 |
- 因此,入侵者便可以根據不同的TTI返回值來推測目標究竟屬于何種操作系統
- 對于入侵者的這種信息收集手段,網管可以通過修改注冊表來改變默認的TTL返回值
在一般情況下黑客是如何得到目標IP地址和目標主機的地理位置的呢?
① 由域名得到網站IP地址
- 方法一:ping命令試探
例如,黑客想知道百度服務器的P地址,可以在MS-DOS中鍵入
“ping www.baidu.com' 命令
可以看出,www.baidu.com對應的IP地址為 202.108.22.43
- 方法二:nslookup 命令
同樣以百度服務器為例,在MS-DOS中鍵入
“nslookup www.baidu.com” 命令,回車后等到域名查詢結果
Addresses后面列出的就是www.baidu.com所使用的Web服務器群里的IP
上面介紹的是黑客經常使用的兩種最基本方法
此外,還有一些軟件(如Lansee)附帶域名轉換P的功能,實現起來更簡單,功能更強大
從這兩種方法中可以看出:
- ping命令方便、快捷
- nslookup命令查詢到的結果更為詳細
② 由IP得到目標主機的地理位置
- 由于P地址的分配是全球統一管理的
- 因此黑客可以通過查詢有關機構的IP地址數據庫來得到該P所對應的地理位置
- 由于IP管理機構多處于國外,而且分布比較零散
因此在這里介紹一個能查詢到IP數據庫的網站
網站一: http://ip.loveroot.com
例如,要查詢202.108.22.5(百度的P)的物理地址,可以在圖中的“IP地址”右面的文本框輸入“202.108.22.5”,然后單擊“查詢”按鈕,就會得到如圖所示的查詢結果
2.1.2、 netstat 命令
netstat命令有助于了解網絡的整體使用情況,它可以顯示當前正在活動的網絡連接的詳細信息,如采用的協議類型、當前主機與遠端相連主機(一個或多個)的IP地址以及它們之間的連接狀態等
- netstat 命令的使用格式
參數說明
| -a | 顯示所有主機的端口號 |
| -e | 顯示以太網統計信息,該參數可以與-s選項結合使用 |
| -n | 以數字表格形式顯示地址和端口 |
| -p proto | 顯示特定的協議的具體使用信息 |
| -r | 顯示本地路由表的內容 |
| -s | 顯示每個協議的使用狀態(包括TCP、UDP、IP) |
| interval | 重新顯示所選的狀態,每次顯示之間的間隔數(單位秒) |
- netstat命令的主要用途是檢測本地系統開放的端口
- 這樣做可以了解自己的系統開放了什么服務
- 還可以初步推斷系統是否存在木馬
- 因為常見的網絡服務開放的默認端口輕易不會被木馬占用
2.1.3、nbtstat命令
nbtstat命令用于顯示本地計算機和遠程計算機的基于TCP/IP (NetBT)的NetBIOS 統計資料、NetBIOS名稱表和NetBIOS名稱緩存
nbtstat可以刷新NetBIOS名稱緩存和注冊的Windows Internet名稱服務(WINS)名稱。使用不帶參數的nbtstat顯示幫助
- nbtstat 命令的使用格式
參數說明
| -a remotename | -a remotename顯示遠程計算機的NetBIOS名稱表,其中,remotename是遠程計算機的NetBIOS計算機名稱 |
| -A IPaddress | -A IPaddress顯示遠程計算機的NetBIOS名稱表,其名稱由遠程計算機的P地址指定(以小數點分隔) |
| -c | 顯示NetBIOS名稱緩存內容、NetBIOS名稱表及其解析的各個地址 |
| -n | 顯示本地計算機的NetBIOS名稱表 |
| -r | 顯示NetBIOS名稱解析統計資料 |
| -R | 清除NetBIOS名稱緩存的內容,并從Lmhosts文件中重新加載帶有#PRE標記的項目 |
| -RR | 重新釋放并刷新通過WINS注冊的本地計算機的NetBIOS名稱 |
| -s | 顯示NetBIOS客戶和服務器會話,并試圖將目標P地址轉化為名稱 |
| -S | 顯示NetBIOS客戶和服務器會話,只通過P地址列出遠程計算機 |
| Interval | 重新顯示選擇的統計資料,可以中斷每個顯示之間的Interval 中指定的秒數。如果省略該參數,nbtstat將只顯示一次當前的配置信息 |
2.2、網站信息收集
- 一個網站在正式發布之前,需要向有關機構申請域名
- 域名信息和相關的甲請信息存儲在管理機構的數據庫中
- 信息一般是公開的,從中包含了一定的敏感信息:
- 注冊人的姓名
- 注冊人的E-mail,聯系電話,傳真等
- 注冊機構、通信地址、郵編
- 注冊有效時間、失效時間
- 通常,查詢域名注冊信息的方法被稱為“WHOIS”
- Linux系統找自帶 WHOIS命令,而Windows系統中并沒有
可以通過以下幾個網站來查詢域名注冊信息
2.1.1、中國互聯網絡信息中心(http://www.cnnic.com.cn)
中國互聯網絡信息中心是比較權威的機構,記錄著所有以cn為結尾的域名注冊信息
2.2.2、 中國萬網( http://www.net.cn)
中國萬網,號稱是中國最大的域名和網站托管服務提供商,不僅提供.cn的域名注冊信息,而且還有.com、.net 等
2.2.3、EDGAR數據庫
美國的上市公司要求在美國證券交易委員會(Security and Exchange Commission,SEC)登記,這些信息可以通過EDGAR數據庫進行訪問,地址 http://www.sec.gov/edgar.shtml
3、結構探測
一般來說,網絡的基本結構如下:
對于Windows平臺,使用相關工具可以大體推斷目標網絡的基本結構。
3.1、VisualRoute 探測
- VisualRoute是圖形化的路由跟蹤工具
- 它是為了方便網管分析故障節點而設計的
- 可以使用專門的VisualRoute 軟件
- 也可以到 http:/www.linkwan.com/vr 使用該網站提供的VisualRoute 功能
3.2、tracert命令
tracert是路由跟蹤命令,通過該命令的返回結果,可以獲得本地到達目標主機所經過的網絡設備
- tracert命令的使用格式:
參數說明
| -d | 不需要把IP地址轉換成域名 |
| -h maximum _hops | 允許跟蹤的最大跳躍數 |
| -j host-list | 經過的主機列表 |
| -w timeout | 每次回復的最大允許延時 |
4、資源搜集
4.1、共享資源簡介
這里提及的共享資源是指在Windows系統中的“共享磁盤”、“共享文件夾”、“共享文件”、“共享打印機”等。對于一般的共享,下面都會有個“托手”的標志,而對于以“$”結尾的共享卻沒有“托手”標志,屬于隱藏共享
4.1.1、 建立共享資源的條件
- 條件一:需要有足夠的權限
- 條件二:已安裝“Microsoft 網絡文件和打印機共享”組件
- 條件三:已安裝NetBEUI協議。如果沒有安裝NetBEUI協議,那么只能使用IP地址來互相訪問共享資源如果安裝了NetBEUI協議,便可以在同一局域網內使用主機名互相訪問共享資源
如果滿足上述條件,就可以在計算機上建立“共享資源”了。
4.2、共享資源搜索
4.2.1、掃描器簡介
- 掃描器就是能夠自動”完成探測任務的一種工具
- 黑客們用它來代替重復的手工勞動,實現對目標網絡信息的自動搜集、整理甚至分析
- 使用掃描器都能搜集到什么信息呢?可以這樣說,需要搜集什么樣的信息,黑客們就會有什么樣的掃描器
4.2.2、常用掃描器工具
- 工具Ipscan
Ipscan可以判斷目標網段內有無活動主機。其中,紅色顯示的是不在線主機,藍色顯示的是活動主機,最后面顯示的是主機名
- 工具Legion(共享資源掃描器>
Legion可以實現對共享資源的掃描,然后將共享資源映射到本地
- 工具Lansee (局域網查看工具)
Lansee可以對局域網中的主機進行掃描,并獲得局域網內的共享資源
通過前面的介紹可知,如果共享資源設置不當,極有可能導致計算機被入侵者控制
可以通過以下幾條安全解決方案來保證共享資源的安全
- 盡量不要開放共享資源。
- 在不得不開放共享資源的條件下,把訪問者的權限降至最低
- 禁用光盤自動運行功能以防止 autorun.inf造成的入侵。
- 盡量不要使用Window 9x系統運行共享服務,如果使用則需要先給系統打補丁包
- 切忌共享系統磁盤,特別是系統文件所在的C盤
5、網絡攻擊的善后階段
5.1、隱藏技術
5.1.1、文件傳輸與文件隱藏技術
- 所謂“隱藏入侵”,是指入侵者利用其他計算機代替自己執行掃描、漏洞溢出、連接建立、遠程控制等操作
- 入侵者們把這種代替他們完成入侵任務的計算機稱為“肉雞”
- 在隱藏技術中必然涉及到入侵者將文件傳輸到“肉雞”中并隱藏的問題
- 幾種常見文件傳輸方式
- IPCS文件傳輸:使用命令行或映射網絡驅動器方式
- FTP傳輸
- ·打包傳輸:將大量的文件進行壓縮后再傳送
- 文件隱藏
- ·簡單隱藏:利用attrib命令為文件添加“隱藏”和“系統”屬性
- 利用專用文件夾隱藏:利用隱藏工具 SFind.exe將文件隱藏到系統專用文件夾
5.1.2、掃描隱藏技術
- 入侵者通過制作“掃描代理肉雞”的方法來隱藏自己的掃描行為
- 手工制作掃描代理是入侵者們制作掃描型“肉雞”的通用方法
- 其思路是把掃描器傳輸到“肉雞”內部,然后入侵者通過遠程控制使該“肉雞”執行掃描程序
- 入侵者通過這種方法能夠實現“多跳”掃描
5.1.3、入侵隱藏技術
- 在入侵中,入侵者一般利用跳板技術實現隱藏
- 這里指的跳板可稱為“入侵代理”或“入侵型肉雞”,它存在于入侵者與遠程主機/服務器之間
- 用來代替入侵者與遠程主機/服務器建立網絡連接或者漏洞溢出
- 這種間接的連接方式可以避免與遠程主機/服務器的直接接觸,從而實現入侵中的隱藏
如圖所示,入侵者通過跳板一、跳板二與遠程主機/服務器建立連接,可以看出,在該攻擊模型中,與遠程主機/服務器直接接觸的只有“跳板二”主機,因此,即使入侵行為被遠程主機/服務器發覺,也能夠直接查出只是“跳板二”主機,入侵者主機沒有直接暴露給遠程主機/服務器,實現了入侵中的隱身
5.2、留后門
從入侵者角度來看,后面分為賬號后門、漏洞后門和木馬后門
5.2.1、賬號后門
- 賬號永遠是系統敞開的大門
- 入侵者為了能夠永久控制遠程主機/服務器
- 他們會在第一次入侵成功后便馬上在遠程主機/服務器內部建立一個備用的管理員賬號,這種賬號就是“后門賬號”
- 入侵者常用的留賬號后門的方法是克隆賬號
- 克隆帳號是通過修改注冊表的SAM來實現的
- SAM (Security Account Manager)是專門用來管理Windows系統中賬號的數據庫,里面存放了一個賬號所有的屬性,包括賬號的配置文件路徑、賬號權限、賬號密碼等
要修改SAM,經常需要使用工具PSU.exe
使用方式是: psu[參數選項]
- p<要運行的文件名>
- i<要su到的進程號>默認su到的進程為system
克隆賬號的步驟如下:
(1) 修改SAM
-
步驟一
打開注冊表編輯器,可以看到,SAM一般是無法進行修改的。如果想修改,必須提升權限
-
步驟二
通過進程管理器查看System進程,并記錄該進程PID,Windows2000一般為8
-
步驟三
使用psu.exe提升權限
-
步驟四
查看SAM中的賬號信息,其中 Users\Names下有所有賬號列表,在 User鍵下,以十六進制數字為名的鍵記錄著賬號的權限、密碼等配置 -
步驟五
克隆賬號,就是把Guest 賬號的權限克隆為管理員權限 -
步驟六
禁用Guest賬號
-
步驟七
查看Guest賬號
使用的命令:
- 步驟八
使用Guest賬號進行IPC5$連接,測試賬號是否可用
雖然在步驟六中禁用了Guest 賬號,我們仍然可以使用該賬號
(2) 命令行方式克隆賬號
使用命令行方式克隆賬號需要工具
- reg.exe:命令行下的注冊表編輯工具
- psu.exe:權限提升工具
- pslist.exe:查看遠程主機進程
- 步驟一
編寫BAT 文件 backdoor.bat
-
步驟二
使用pslist.exe查看遠程主機的System進程PID
使用命令為“pslist llip -u用戶名-p 密碼” -
步驟三
上傳 backdoor.bat,運行批處理進行賬號克隆 -
步驟四
建立IPCS連接進行驗證,退出
5.2.2、漏洞后門
- 通過前面介紹的服務器上IIS的 Unicode、.ida&.idq等漏洞
- 入侵者能夠毫不費力地遠程控制服務器的操作系統
- 實際上入侵者不僅能夠通過漏洞實現最初的入侵,還能夠通過制造漏洞來留下系統的后門
- (1)制造 Unicode漏洞
- 步驟一:找出Web根目錄;
- 步驟二:拷貝cmd.exe到IIS目錄中,一般可放在IIS的Scripts 文件夾中
- 步驟三:使用文件隱藏方法隱藏文件;
- 步驟四:驗證Unicode后門
- (2)制造.idq漏洞
- 步驟一:把 idq.dll 傳入遠程服務器的Scripts目錄中
- 步驟二:隱藏后門文件;
- 步驟三:利用idq或ida漏洞進行入侵
5.2.3、木馬后門
- 木馬具有體積小、功能強的的特點
- 有一些木馬相當于一個嵌入在Windows系統內部的微型系統
- 通過與木馬的連接,入侵者可以不經過任何認證而直接控制Windows系統,從而實現遠程控制
- 實際上,入侵者除了使用木馬進行入侵外,還經常使用木馬制作系統后門
- 常見的木馬后門程序有Wollf、Winshell、WinEggDrop、SQL后門
總結
以上是生活随笔為你收集整理的让无数人头疼的网络攻击到底是什么?究竟隐藏了哪些不为人知的秘密?的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 计算机系统基础:文件管理相关知识笔记
- 下一篇: python整数因子_Python:通过