第23卷第03期2011年03月農(nóng)業(yè)圖書情報(bào)學(xué)刊Journal of Library and Information Sciences in AgricultureVol．23, No．03Mar.

第23卷第03期2011年03月

農(nóng)業(yè)圖書情報(bào)學(xué)刊

Journal of Library and Information Sciences in Agriculture

Vol．23, No．03Mar. 2011信息安全之黑客攻擊流程分析

劉百平

（南京工業(yè)職業(yè)技術(shù)學(xué)院圖書館，江蘇

南京

210046）

摘要：解釋黑客概念，描述黑客攻擊行為，分析黑客攻擊的流程。詳細(xì)介紹了攻擊前準(zhǔn)備階段工作，各類攻擊信

息的收集方法和途徑，從開放端口分析、系統(tǒng)漏洞掃描、公開的信息、社會(huì)工程學(xué)四個(gè)方面介紹了信息的收集。常用端口介紹，常見系統(tǒng)漏洞列舉。

關(guān)鍵詞：黑客；攻擊流程；端口；系統(tǒng)漏洞；社會(huì)工程學(xué)中圖分類號(hào)：G250

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1002-1248（2011）03-0068-04

Analysis of the Hacker Attacking Process of Information Security

LIU Bai-ping

(Library,Nanjing Institution of Industry &Technology, Nanjing 210046, China)

Abstract:This paper aims to explain the concept of hackers, describe hackers ’attack behavior and analyze the flow of attack

of hackers. The author introduces the work of preparation stage before the attack in details and all kinds of methods and ways of attack information, which from open port analysis, system vulnerability scanning, public information, social engineering four aspects to collect. The commonly used port is introduced and the common system vulnera-bilities are listed.

Keywords:hacker; attack process; port, system bug and hole; vulnerability social engineering

隨著互聯(lián)網(wǎng)的發(fā)展和普及，他對(duì)人們的生活影響越來越大，個(gè)人或者單位都有自己保密的數(shù)據(jù)存計(jì)算機(jī)上。由于黑客的出現(xiàn)，網(wǎng)絡(luò)安全問題受到了極大的挑戰(zhàn)。黑客工具的簡(jiǎn)單化和傻瓜化，也方便了一些懷有不良動(dòng)機(jī)的人利用手中的黑客工具進(jìn)行大肆攻擊，使用戶面臨著網(wǎng)絡(luò)安全的重大威脅。

或計(jì)算機(jī)告訴不信任的朋友。論黑客的任何事情。

（5）不在BBS 上談

（6）不將已經(jīng)破解得到賬號(hào)和

密碼告訴任何人。日本《新黑客字典》把黑客定義為：喜歡探索軟件程序奧秘、并從中增長(zhǎng)了其個(gè)人才干的人。新聞媒體經(jīng)常使用“黑客”這個(gè)術(shù)語(yǔ)來描述那些蓄意的、帶有犯罪意圖非法進(jìn)入系統(tǒng)和網(wǎng)絡(luò)的人，其實(shí)描述這類人更恰當(dāng)?shù)男g(shù)語(yǔ)應(yīng)該是駭客（Cfiminal hacker ，Craker ）。

1什么是黑客(hacker)

人們通常把黑客看作是試圖闖入計(jì)算機(jī)并造成破壞的人。這是具有貶義的性質(zhì)，其實(shí)真正的黑客不是這個(gè)樣子的。真正的黑客是有所為有所不為的，他們一般遵循以下幾條準(zhǔn)側(cè)。計(jì)算機(jī)和網(wǎng)絡(luò)。

（1）不隨意攻擊用戶

（3）義務(wù)做一些

（2）盡量多地編寫一些免費(fèi)軟件，

2黑客攻擊的過程

簡(jiǎn)單地說，攻擊就是指一切對(duì)計(jì)算機(jī)的非授權(quán)行為，攻擊的全過程應(yīng)該是有攻擊者發(fā)起，攻擊者應(yīng)用一定得攻擊方法和攻擊策略，利用一些攻擊技術(shù)或工具，對(duì)目標(biāo)信息系統(tǒng)進(jìn)行非法訪問，達(dá)到一定得攻擊效果，并實(shí)現(xiàn)攻擊者的預(yù)定目標(biāo)。因此凡是試圖繞過系統(tǒng)的安全策略或是對(duì)系統(tǒng)進(jìn)行滲透，

并且這些軟件的源代碼是公開的。論組及軟件供應(yīng)站臺(tái)。

收稿日期：2010-11-27

力所能及的事，維護(hù)管理相關(guān)的黑客論壇、新聞?dòng)?/p>

（4）不輕易將入侵過的網(wǎng)站

作者簡(jiǎn)介：劉百平（1981-），男，南京工業(yè)職業(yè)技術(shù)學(xué)院圖書館，助理館員。

第3期劉百平：信息安全之黑客攻擊流程分析69

以獲取信息、修改信息甚至破壞目標(biāo)網(wǎng)絡(luò)或系統(tǒng)功能的行為都可以、稱為黑客攻擊。根據(jù)攻擊的概念，黑客進(jìn)行攻擊時(shí)，一般都遵循如下流程。

的端口及開放的服務(wù)、利用安全掃描器掃描系統(tǒng)存在的漏洞和弱點(diǎn)信息、利用公開的信息和社會(huì)工程學(xué)獲取有價(jià)值的信息資源。

2.1準(zhǔn)備階段

黑客攻擊之前要了解目標(biāo)主機(jī)的網(wǎng)絡(luò)結(jié)構(gòu)、收集目標(biāo)系統(tǒng)的各類信息等，其主要工作有如下幾部分。

2.1.3.1開放端口分析

首先黑客要知道目標(biāo)主機(jī)使用的是什么操作系統(tǒng)，常用的掃描工具如Nmap ，Superscan 都可以完成這項(xiàng)任務(wù)。最簡(jiǎn)單的方法是使用Ping 命令，一般都是用PING 來查看TTL 值來判斷。詳細(xì)如下：

2.1.1保護(hù)隱藏自己

黑客攻擊前一般都會(huì)利用別人的計(jì)算機(jī)來隱藏自己真實(shí)的IP 地址信息，達(dá)到隱藏保護(hù)自己的目的。最常見的就是IP 欺騙，此外還有郵件欺騙、

TTL=128，這是WINNT/2K/XP。TTL=32，這是WIN95/98/ME。TTL=256，這是UNIX 。TTL=64，

這是LINUX 。以上都是默認(rèn)情況，實(shí)際可能被欺騙。所以使用ping 命令的可信度低。

然后是對(duì)其開放端口進(jìn)行服務(wù)分析，看是否有能被攻擊利用的服務(wù)。電腦上有很多的端口（65

WEB 欺騙、ARP 欺騙等。要實(shí)現(xiàn)IP 地址欺騙，最

簡(jiǎn)單的方法就是盜用IP 地址，在Windows 系統(tǒng)中，可以使用網(wǎng)絡(luò)配置工具改變本機(jī)IP 地址，在UNIX 系統(tǒng)中，可以使用ifconfig 命令來改變地址。

535個(gè)），當(dāng)然大部分端口是關(guān)閉的。每個(gè)網(wǎng)絡(luò)連接

都要用一個(gè)端口，每個(gè)端口有它特定的用途。在

2.1.2確認(rèn)目標(biāo)主機(jī)

黑客在發(fā)起攻擊前，首先要選擇攻擊目標(biāo)。網(wǎng)絡(luò)上有許多的主機(jī)，黑客首先要尋找他希望得到的有價(jià)值的站點(diǎn)，在Internet 上能真正標(biāo)識(shí)主機(jī)的是

windows 系統(tǒng)的端口分配中，劃分為三類端口分別

為已知端口（0～1023）、注冊(cè)端口（1024～49

151）、動(dòng)態(tài)端口（49152～65535）。常用網(wǎng)絡(luò)服務(wù)

端口有：

IP 地址。黑客利用域名和IP 地址就可以順利找到目

標(biāo)主機(jī)。最常用的方法是利用whois 數(shù)據(jù)庫(kù)服務(wù)。簡(jiǎn)單來說，whois 就是一個(gè)用來查詢域名是否已經(jīng)被注冊(cè)，以及注冊(cè)域名的詳細(xì)信息的數(shù)據(jù)庫(kù)（如域名所有人、域名注冊(cè)商、域名注冊(cè)日期和過期日期等）。通過whois 來實(shí)現(xiàn)對(duì)域名信息的查詢。其工作原理：whois 服務(wù)是一個(gè)在線的“請(qǐng)求/響應(yīng)”式服務(wù)。Whois Server 運(yùn)行在后臺(tái)監(jiān)聽43端口，當(dāng)In-

21端口：21端口主要用于FTP （File Transfer Protocol ，文件傳輸協(xié)議）服務(wù)。

23端口：23端口主要用于Telnet （遠(yuǎn)程登錄）

服務(wù)，是Internet 上普遍采用的登錄和仿真程序，最初設(shè)計(jì)被用來方便管理員遠(yuǎn)程管理計(jì)算機(jī)，可現(xiàn)在真正將其發(fā)揮到極致的是“黑客”！

25端口：25端口為SMTP （Simple Mail Trans-fer Protocol ，簡(jiǎn)單郵件傳輸協(xié)議）服務(wù)器所開放，

主要用于發(fā)送郵件，如今絕大多數(shù)郵件服務(wù)器都使用該協(xié)議。

ternet 用戶搜索一個(gè)域名（或主機(jī)、聯(lián)系人等其他信

息）時(shí)，Whois Server 首先建立一個(gè)與Client 的

TCP 連接，然后接收用戶請(qǐng)求的信息并據(jù)此查詢后

臺(tái)域名數(shù)據(jù)庫(kù)。如果數(shù)據(jù)庫(kù)中存在相應(yīng)的記錄，它會(huì)將相關(guān)信息如所有者、管理信息以及技術(shù)聯(lián)絡(luò)信息等，反饋給Client 。待Server 輸出結(jié)束，Client 關(guān)閉連接，至此，一個(gè)查詢過程結(jié)束。

53端口：53端口為DNS （Domain Name Serv-er ，域名服務(wù)器）服務(wù)器所開放，主要用于域名解

析，DNS 服務(wù)在NT 系統(tǒng)中使用的最為廣泛。

67、68端口：67、68端口分別是為Bootp 服務(wù)

的Bootstrap Protocol Server （引導(dǎo)程序協(xié)議服務(wù)端）和Bootstrap Protocol Client （引導(dǎo)程序協(xié)議客戶端）開放的端口。

2.1.3收集系統(tǒng)信息和相關(guān)漏洞信息

黑客在攻擊之前需要收集信息，才能實(shí)施有效的攻擊，信息收集是一把雙刃劍，管理員也可以利用信息收集技術(shù)發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)，對(duì)攻擊者來說確定入侵的目標(biāo)主機(jī)后，黑客就會(huì)設(shè)法了解其所在的網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制機(jī)制、系統(tǒng)信息和其他信息。收集系統(tǒng)信息的方法有利用端口掃描工具掃描開放

79端口：79端口是為Finger 服務(wù)開放的，主

要用于查詢遠(yuǎn)程主機(jī)在線用戶、操作系統(tǒng)類型以及是否緩沖區(qū)溢出等用戶的詳細(xì)信息。

80端口：80端口是為HTTP （Hyper Text

70農(nóng)業(yè)圖書情報(bào)學(xué)刊：網(wǎng)絡(luò)技術(shù)第23卷

Transport Protocol ，超文本傳輸協(xié)議）開放的，這是

上網(wǎng)沖浪使用最多的協(xié)議，主要用于在WWW （World Wide Web ，萬維網(wǎng)）服務(wù)上傳輸信息的協(xié)議。

于網(wǎng)絡(luò)的漏洞掃描工具，能夠監(jiān)測(cè)到這些低版本的

DNS Bind 是否在運(yùn)行。

基于主機(jī)的漏洞掃描器，掃描目標(biāo)系統(tǒng)的漏洞的原理，和基于網(wǎng)絡(luò)的漏洞掃描器的原理類似，不過，兩者的體系結(jié)構(gòu)不相同?；谥鳈C(jī)的漏洞掃描器通常在目標(biāo)系統(tǒng)上安裝了一個(gè)代理（Agent ）或是服務(wù)（Services ），以便能夠訪問所有的文件和進(jìn)程，這也使的基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。常見的漏洞包括：操作系統(tǒng)漏洞、Web 服務(wù)器漏洞、FTP 服務(wù)器漏洞、數(shù)據(jù)庫(kù)服務(wù)器漏洞、應(yīng)用程序漏洞。

110端口是為POP3（郵件協(xié)議3）服務(wù)開放

的，POP2、POP3都是主要用于接收郵件的。

135端口：135端口主要用于使用RPC （Re-mote Procedure Call ，遠(yuǎn)程過程調(diào)用）協(xié)議并提供DCOM （分布式組件對(duì)象模型）服務(wù)。

137端口：137端口主要用于“NetBIOS Name Service ”

（NetBIOS 名稱服務(wù)）。

139端口：139端口是為“NetBIOS Session Ser-vice ”提供的，主要用于提供Windows 文件和打印

機(jī)共享以及Unix 中的Samba 服務(wù)。

Windows XP 操作系統(tǒng)中常見漏洞有：UPNP 服

務(wù)漏洞，升級(jí)程序漏洞，幫助和支持中心漏洞，壓縮文件夾漏洞，Windows Media Player 漏洞，RDP 漏洞，VM 漏洞，熱鍵漏洞，遠(yuǎn)程桌面明文賬戶名傳送漏洞，快速賬號(hào)切換功能造成賬號(hào)鎖定漏洞，終端服務(wù)IP 欺騙漏洞，GDI 拒絕服務(wù)漏洞。比較不錯(cuò)的漏洞掃描工具有：nikto ，ngssoftware ，metas-

3389端口：遠(yuǎn)程桌面

對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描，能得到許多有用的信息。進(jìn)行掃描的方法很多，可以是手工進(jìn)行掃描，也可以用端口掃描軟件進(jìn)行。在手工進(jìn)行掃描時(shí)，需要熟悉各種命令。對(duì)命令執(zhí)行后的輸出進(jìn)行分析。如netstat 命令，功能是顯示網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息，可以讓用戶得知目前都有哪些網(wǎng)絡(luò)連接正在運(yùn)作。ping 命令，用于查看網(wǎng)絡(luò)上的主機(jī)是否在工作，它向該主機(jī)發(fā)送ICMP E-

ploit ，retina ，Iss 等。2.1.3.3公開的信息

公開的信息可以從目標(biāo)機(jī)構(gòu)的網(wǎng)頁(yè)得到，上面也許會(huì)泄露一些信息。在一些情況下，公司會(huì)在不知不覺中泄露了大量信息。公司認(rèn)為是一般公開的以及能爭(zhēng)取客戶的信息，都能為攻擊者利用。這種信息一般被稱為開放來源信息。

開放的來源是關(guān)于公司或者它的合作伙伴的一般、公開的信息，任何人能夠得到。這意味著存取或者分析這種信息比較容易，并且沒有犯罪的因素，是很合法的。這里列出幾種獲取信息的例子。公司新聞信息：如某公司為展示其技術(shù)的先進(jìn)性和能為客戶提供最好的監(jiān)控能力、容錯(cuò)能力、服務(wù)速度，往往會(huì)不經(jīng)意間泄露了系統(tǒng)的操作平臺(tái)、交換機(jī)型號(hào)、及基本的線路連接。

公司員工信息：大多數(shù)

公司網(wǎng)站上附有姓名地址簿，在上面不僅能發(fā)現(xiàn)

CHO_REQUEST包。有時(shí)我們想從網(wǎng)絡(luò)上的某臺(tái)主

機(jī)上下載文件，可是又不知道那臺(tái)主機(jī)是否開著，就需要使用ping 命令查看。用掃描軟件進(jìn)行掃描時(shí)，許多掃描器軟件都有分析數(shù)據(jù)的功能。典型掃描工具：nmap 。

2.1.3.2系統(tǒng)漏洞掃描

黑客在選擇目標(biāo)時(shí)，首先要確定的是目標(biāo)主機(jī)存在哪些漏洞，是否可以利用這些漏洞為跳板實(shí)施攻擊。所以，在我們的日常網(wǎng)絡(luò)管理中，全面封堵這些漏洞是非常必要的，也是必須的。在系統(tǒng)漏洞方面，又以操作系統(tǒng)本身的安全漏洞最受黑客歡迎，當(dāng)然應(yīng)用程序的安全漏洞也不能熟視無睹。目前，漏洞掃描，從底層技術(shù)來劃分，能分為基于網(wǎng)絡(luò)的掃描和基于主機(jī)的掃描這兩種類型。

基于網(wǎng)絡(luò)的漏洞掃描器，就是通過網(wǎng)絡(luò)來掃描遠(yuǎn)程計(jì)算機(jī)中的漏洞。比如，利用低版本的DNS

CEO 和財(cái)務(wù)總監(jiān)，也可能知道公司的VP 和主管是

誰(shuí)。新聞組：現(xiàn)在越來越多的技術(shù)人員使用新聞組、論壇來幫助解決公司的問題，攻擊者看這些要求并把他們與電子信箱中的公司名匹配，這樣就能提供一些有用的信息。使攻擊者知道公司有什么設(shè)備，也幫助他們揣測(cè)出技術(shù)支持人員的水平。

Bind 漏洞，攻擊者能夠獲取root 權(quán)限，侵入系統(tǒng)或

攻擊者能夠在遠(yuǎn)程計(jì)算機(jī)中執(zhí)行惡意代碼。使用基

2.1.3.4利用社會(huì)工程學(xué)

第3期劉百平：信息安全之黑客攻擊流程分析71

社會(huì)工程學(xué)攻擊是利用人們的心理特征，如人的本能反應(yīng)、好奇心、信任、貪圖便宜等騙取用戶的信任、獲取機(jī)密信息、系統(tǒng)設(shè)置等不公開的資料。黑客利用社會(huì)工程學(xué)的基本目標(biāo):都是為了獲得目標(biāo)系統(tǒng)未授權(quán)訪問路徑或是對(duì)重要信息進(jìn)行欺騙，網(wǎng)絡(luò)入侵，工業(yè)情報(bào)盜取，身份盜取，或僅僅是擾亂系統(tǒng)或網(wǎng)絡(luò)。常見的方法有十度分隔法、學(xué)會(huì)說行話、借用目標(biāo)企業(yè)的“等待音樂”、電話號(hào)碼欺詐、利用壞消息作案、濫用網(wǎng)民對(duì)社交網(wǎng)站的信任。息萬變，黑客的攻擊方法和目的各有不同，他們的攻擊流程也不會(huì)完全相同，上面介紹分析的步驟只是針對(duì)一般情況而言的，具體問題還要具體分析。參考文獻(xiàn)：[1]王昭, 袁春. 信息安全原理與應(yīng)用[M].電子工業(yè)出版社,2010. [2]陳芳, 秦連清. 黑客攻防300招[M].人民郵電出版社,2009. [3]趙燕, 朱書敏.DOS 命令行實(shí)用精解[M].電子工業(yè)出版社, 2007.

2.2實(shí)施攻擊

當(dāng)黑客探測(cè)到足夠的各類所需的攻擊系統(tǒng)的信息，對(duì)系統(tǒng)的安全弱點(diǎn)有了充分的了解后，就會(huì)開始發(fā)動(dòng)攻擊了。首先是獲取控制權(quán)，黑客可以使用FTP ，Telnet 等工具進(jìn)入目標(biāo)主機(jī)系統(tǒng)，獲得控制權(quán)。獲得控制權(quán)之后，在系統(tǒng)中植入木馬或遠(yuǎn)程操作程序，就可以實(shí)現(xiàn)攻擊的目的了，竊取所需要的各種敏感信息，如信用卡、游戲賬號(hào)、軟件資料、財(cái)務(wù)報(bào)表、客戶名單等。在日常生活中QQ 號(hào)被盜就是黑客通過木馬程序完成的。

2.3建立后門與清理痕跡

一般入侵成功后，黑客為了達(dá)到長(zhǎng)期控制主機(jī)的目的，會(huì)立刻在系統(tǒng)中建立后門，這樣可以隨時(shí)登陸該系統(tǒng)。后門是一種登錄系統(tǒng)的方法，它不僅繞過系統(tǒng)已有的安全設(shè)置，而且還能挫敗系統(tǒng)上各種增強(qiáng)的安全設(shè)置。從技術(shù)上將，后門的類型主要有：網(wǎng)頁(yè)后門、線程插入后門、擴(kuò)展后門、C/S后門等。日志往往會(huì)記錄黑客入侵的痕跡，為了避免被目標(biāo)系統(tǒng)管理員發(fā)現(xiàn)犯罪證據(jù)，在完成入侵后，需要清除其中的系統(tǒng)日志文件、應(yīng)用程序日志文件以及防火墻日志文件等。或者用假的日志覆蓋入侵前的系統(tǒng)日志。至此，一次完整的黑客攻擊就完成了。

3結(jié)束語(yǔ)

作為一名信息安全工作者，一些黑客的基本知識(shí)是必須掌握的，其中包括各種黑客入侵工具、網(wǎng)絡(luò)知識(shí)（IP 地址、端口、服務(wù)、網(wǎng)絡(luò)協(xié)議等）、各種系統(tǒng)漏洞、黑客攻擊的特點(diǎn)、黑客攻擊方式、黑客攻擊流程。只有了解了這些，信息安全工作者才能更好的采取具有針對(duì)性的防范措施。網(wǎng)絡(luò)世界瞬