黑客入侵流程及相关技术

（电子商务1班 赵冲 2220113179）

摘要：“黑客”一词是由英语Hacker音译出来的。他们伴随着计算机和网络的发展而产生成长。黑客技术经历了整个计算机历史，可以说自从有了计算机，有了系统就产生了黑客。黑客技术虽伴随着计算机技术而生，却高于计算机技术，并且鞭策着计算机技术的发展。黑客技术纷繁复杂，但其攻击流程却大致相同：踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门和拒绝服务攻击。本文就着重介绍了这九个步骤以及各步运用的相关技术。

关键词：黑客 入侵流程 入侵技术 入侵工具

尽管黑客攻击系统的技能有高低之分，入侵系统手法多种多样，但他们对目标系统实施攻击的流程大致相同。其攻击过程可归纳为以下9个步骤：踩点（foot printing）、扫描（scanning）、查点（enumeration）、获取访问权（gaining access）、权限提升（escalating privilige）、窃取（pilfering）、掩盖踪迹（covering track）、创建后门（creating back doors）和拒绝服务攻击（denial of services）。如下图：

图1 黑客攻击流程

1.踩点

“踩点”原意为策划一项盗窃活动的准备阶段。举例来说，当盗贼决定抢劫一家银行时，他们不会大摇大摆地走进去直接要钱，而是狠下一番工夫来搜集这家银行的相关信息，包括武装押运车的路线及时间、摄像头的位置、逃跑出口等信息。在黑客攻击领域，“踩点”是传统概念的电子化形式。“踩点”的主要目的是获取目标的如下信息：因特网网络域名、网络地址分配、域名服务器、邮件交换主机和网关等关键系统的位置及软硬件信息；内联网和Internet内容类似，但主要关注内部网络的独立地址空间及名称空间；远程访问模拟/数字电话号码和VPN访问点；外联网与合作伙伴及子公司的网络的连接地址、连接类型及访问控制机制；开放资源未在前4类中列出的信息，例如Usenet、雇员配置文件等。

为达到以上目的，黑客常采用以下技术。

（1）开放信息源搜索。通过一些标准搜索引擎，揭示一些有价值的信息。例如，通过使用Usenet工具检索新闻组（newsgroup）工作帖子，往往能揭示许多有用的东西。通过使用Google检索Web的根路径C:\\inetpub，揭示目标系统为Windows2003。对于一些配置过于粗心大意的服务器，利用搜索引擎甚至可以获得password等重要的安全信息文件。

（2）whois查询。Whois是目标Internet域名注册数据库。目前，可用的whois数据库很多，例如，查询com、net、edu及org等结尾的域名可通过http://www.networksolutions.com得到，而查询美国以外的域名则应通过查询http://www.allwhois.com得到相应whois数据库服务器的地址后完成进一步查询。

通过对whois数据库的查询，黑客能够得到以下用于发动攻击的重要信息：注册机构，得到特定的注册信息和相关的whois服务器；机构本身，得到与特定目标相关的全部信息；域名，得到与某个域名相关的全部信息；网络，得到与某个网络或IP相关的全部信息；联系点（POC），得到与某个人（一般是管理联系人）的相关信息。

（3）DNS区域传送。DNS区域传送是一种DNS服务器的冗余机制。通过该机制，辅DNS服务器能够从主DNS服务器更新自己的数据，以便主DNS服务器不可用时，辅DNS服务器能够接替主DNS服务器工作。正常情况下，DNS区域传送只对辅DNS服务器开放。然而，当系统管理员配置错误时，将导致任何主机均可请求主DNS服务器提供一个区域数据的备份，以致目标域中所有主机信息泄露。能够实现DNS区域传送的常用工具有dig、nslookup及Windows版本的Sam Spade。

2.扫描

踩点已获得一定信息（IP地址范围、DNS服务器地址和邮件服务器地址等），下一步需要确定目标网络范围内有哪些系统是“活动”的，以及它们提供哪些服务。与盗窃案的踩点相比，扫描就像是辨别建筑物的位置并观察它们有哪些门窗。扫描的主要目的是使攻击者对攻击的目标系统所提供的各种服务进行评估，以便集中精力在最有希望的途径上发动攻击。

扫描中采用的主要技术有Ping扫射（ping sweep）、端口扫描、操作系统检测及旗标（banner）的获取。

（1）Ping扫射。Ping扫射是判别主机是否“活动”的有效方式。Ping用于向目标主机发送ICMP回射请求（echo request）分组，并期待由此引发的表明目标系统“活动”的回射应答（echo reply）分组。常用的Ping扫射工具有操作系统的Ping命令及用于扫射网段的fping、WS_ping等。

（2）端口扫描。端口扫描就是连接到目标主机的TCP和UDP端口上，确定哪些服务正在运行及服务的版本号，以便发现相应服务程序的漏洞。著名的扫描工具有superscan及NetScan Tool Pro（www.nwpsw.com）。

（3）操作系统检测。由于许多漏洞是和操作系统紧密相关的，因此，确定操作系统类型对于黑客攻击目标来说也十分重要。目前用于探测操作系统的技术主要可以分为两类：利用系统旗标信息，利用TCP/IP堆栈指纹。每种技术进一步细分为主动鉴别和被动鉴别。目前，常用的检测工具有Nmap、Queso和Siphon。

（4）旗标获取。在旗标获取方法中，使用一个打开端口来联系和识别系统提供的服务及版本号。最常用的方法是连接到一个端口，按Enter键几次，看返回什么类型的信息。

（5）安全措施探查。目前，一般的网络服务器都会配置安全防护设备，基本的有防火墙、入侵检测，一些重要的安全服务器会配置蜜罐系统、防DoS攻击系统和过滤邮件等。在扫描过程中根据扫描结果，需要判断目标使用了哪些安全防护措施。

获取的内容包括：

• 获取目标的网络路径信息。目标网段信息：确认目标所在的网段、掩码情况；判断安全区域划分情况；为可能的跳板攻击做准备。目标路由信息：确认目标所在的具体路由情况，判断在路由路径上的各个设备类型，如路由器、三层交换机或防火墙。

• 了解目标架设的具体路由情况，确认目标是否安装了安全设施。一般对攻击影响较大的包括防火墙、入侵检测和蜜罐系统。

• 了解目标使用的安全设备情况。这对攻击的隐蔽性影响很大，同时也决定了在后期安全后门的困难程度。这部分主要包括入侵检测、日志审计及防病毒安装情况。

3.查点

通过扫描，入侵者掌握了目标系统所使用的操作系统，下一个工作是查点。查点就是搜索特定系统上用户和用户组名、路由表、SNMP信息、共享资源、服务程序及旗标等信息。其中，旗标抓取是查点技术的基础，可以定义为连接到远程应用程序并观察它的输出。攻击者可以识别目标系统上运行的各项服务工作模型，以便对其潜在弱点展开研究。查点所采用的技术依操作系统而定。在Windows系统上主要采用的技术有“查点NetBIOS”线路、空会话（null session）、SNMP代理和活动目录（active directory）等。Windows系统上主要有以下工具。

（1）Windows系统命令，如net view、nbtstat、nbtscan和nltest。

（2）第三方软件，如：Netviewx、Userdump、User2sid、GetAcct、DumpSec。

4.获取访问权

在搜集到目标系统足够信息后，下一步要完成的工作自然是得到目标系统的访问权而完成对目标系统的入侵。对于Windows系统采用的主要技术有NetBIOS SMB密码猜测（包括手工及字典猜测）、窃听LM及NTLM认证散列、攻击IIS Web服务器及远程溢出攻击。著名的密码窃听工具有sniffer pro、TCPdump、LC4和readsmb。字典攻击工具有LC4、John the RIPper、NAT、SMBGrind。对于访问限制的服务，通过暴力破解的方式获取访问权限。

5.权限提升

一旦攻击者通过前面4步获得了任意普通用户的访问权限后，攻击者就会试图将普通用户权限提升至超级用户权限，以便完成对系统的完全控制。这种从低级权限开始，通过各种手段得到较高权限的过程称为权限提升。权限提升所采取的技术主要有通过得到的密码文件，利用现有工具软件，破解系统上其他用户名及口令；利用不同操作系统及服务的漏洞，利用管理员不正确的系统配置等。

Netddemsg工具利用网络动态数据交换服务的漏洞攻击Windows2003，并把权限提升到System水平；Debploit工具利用Windows会话管理器的漏洞进行攻击；Xdebug工具利用Windows内核调试功能的漏洞实行攻击。对因特网的用户来说，攻击Windows系统最重要的权限提升和进攻路线是Web浏览和电子邮件处理。常用的口令破解工具有John the RIPper，得到Windows Server 2003管理员权限的工具有lc_message、getadmin、sechole、Invisible Keystroke Logger。

从技术角度讲，获得Administrator权限并不等于获得Windows主机的最高权限。System账户，也叫“Local System”或“NT AUTHORITY \ SYSTEM”账户，其权限比Administrator账户还要高。不过，有了Administrator权限，就可以利用Windows的计划任务服务打开一个命令shell去获得System账户的权限。

6.窃取

获得Administrator权限后，攻击者必须得到账户的口令。在Windows系统中，口令以密文的形式存放在安全账号管理器（security accounts manager，SAM）中，SAM中存有本地系统或域控制器所控制范围内的用户名及其口令。

在Windows 2003系统和以后的域控制器上，口令密文都存放在Active Directory（即%windir%WindowsDS\ntds.dit）中。在默认安装的情况下，ntds.dit文件的大小接近于10MB，且采用了加密格式，攻击者很难进行离线分析。在不是域控制器的系统上，SAM文件存放在文件夹c:\windows\system32\config中，通常无法下载。SAM备份文件存放在文件夹c:\windows\repair中，可以下载。

攻击者破解SAM文件，按照以下步骤。

（1）用另一种操作系统（如DOS系统的NTFSDOS工具包）启动目标主机，把存放口令密文的文件复制到移动硬盘上。

（2）复制硬盘修复工具包所创建的SAM备份文件。Windows的SAM备份文件存放在文件夹c:\windows\repair中，该文件被SYSKEY加密。

（3）窃听Windows系统的身份验证过程。

（4）利用PwDump 7工具提取口令密文。PwDump7工具可以绕过SYSKEY机制，它利用“DLL注射”急速把自身的代码加载到另一个高优先级的进程空间；然后发出一个内部API调用去访问经由SYSKEY加密的口令，而无需对它们进行破解。被加载的高优先级进程是lsass.exe，它是本地安全管理子系统（local security authority subsystem，LSASS）。当PwDump7的代码“注射”到LSASS的地址空间和用户上下文时，便能自动查出LSASS的进程ID。PwDump7可以从TCP 139或TCP 445号端口远程提取口令密文，但无法攻击本地系统。

（5）L0phtCrack破解口令密文。

7.掩盖踪迹

黑客并非踏雪无痕，一旦黑客入侵系统，必然留下痕迹。此时，黑客需要做的首要工作就是清除所以入侵痕迹，避免自己被检测出来，以便能够随时返回被入侵系统继续干坏事或作为入侵其他系统的中级跳板。掩盖踪迹的主要工作有禁止系统审计、清空事件日志、隐藏作案工具及使用人们称为rootkit的工具组替换那些常用的操作系统命令。

（1）关闭审计功能。利用资源工具箱中的auditpol审计程序关闭/打开（Disable/Enable）审计功能易如反掌。因此，攻击者经常是行事时将审计关闭，离开目标系统前再将审计打开，于是auditpol就保持不变。

（2）清理事件日志。在获得管理员权限的过程中，攻击者利用自己的主机事件查看器（Event Viewer）删除Windows事件日志（Event Log）留下的踪迹，但同时会留下一条新的记录，说明事件日志已被入侵者清空。这样，可能引起目标系统管理员的警觉。如果改用手工改动日志文件，也不能确保成功，因为Windows系统使用的日志语法比较复杂。常用的清除系统日志工具有zap、wzap和wted。

（3）隐藏文件。在目标系统上保留一个工具箱以供再次入侵时使用，这就是入侵者的意愿。但是，攻击者隐藏工具也不能采取简单地改变文件属性的方法，因为在资源管理器中可以用“显示所有文件”选项显示隐藏的文件。

8.创建后门

黑客的最后一招便是在受害系统上创建一些后门及陷阱，以便入侵者一时兴起时，卷土重来，并能以特权用户的身份控制整个系统。创建后门的主要方法有创建具有特权用户权限的虚假用户账号、安装批处理、安装远程控制工具、使用木马程序替换系统程序、安装监控机制及感染启动文件等。黑客常用的工具有rootkit、sub7、cron、at、Windows启动文件夹、Netcat、VNC、BO2K、secadmin、Invisible Keystroke Logger、remove.exe等。

9.拒绝服务攻击

如果黑客未能成功地完成第四步的获取访问权，那么他们所能采取的最恶毒的手段便是进行拒绝服务攻击。即用漏洞代码攻击系统，使目标服务器资源耗尽或资源过载，以致没用能力再向外提供服务。攻击所采用的技术主要是利用协议漏洞及不同系统实现的漏洞。

参考文献：

（1）胡道元 《网络安全》第二版，北京：清华大学出版社，2008

（2）黄传河 《网络安全防御技术实践教程》，北京：清华大学出版社，2010

（3）宋西军 《计算机网络安全技术》，北京：北京大学出版社，2009

黑客入侵流程及相关技术