第23卷第03期2011年03月農業(yè)圖書情報學刊Journal of Library and Information Sciences in AgricultureVol．23, No．03Mar.

第23卷第03期2011年03月

農業(yè)圖書情報學刊

Journal of Library and Information Sciences in Agriculture

Vol．23, No．03Mar. 2011信息安全之黑客攻擊流程分析

劉百平

（南京工業(yè)職業(yè)技術學院圖書館，江蘇

南京

210046）

摘要：解釋黑客概念，描述黑客攻擊行為，分析黑客攻擊的流程。詳細介紹了攻擊前準備階段工作，各類攻擊信

息的收集方法和途徑，從開放端口分析、系統(tǒng)漏洞掃描、公開的信息、社會工程學四個方面介紹了信息的收集。常用端口介紹，常見系統(tǒng)漏洞列舉。

關鍵詞：黑客；攻擊流程；端口；系統(tǒng)漏洞；社會工程學中圖分類號：G250

文獻標識碼：A

文章編號：1002-1248（2011）03-0068-04

Analysis of the Hacker Attacking Process of Information Security

LIU Bai-ping

(Library,Nanjing Institution of Industry &Technology, Nanjing 210046, China)

Abstract:This paper aims to explain the concept of hackers, describe hackers ’attack behavior and analyze the flow of attack

of hackers. The author introduces the work of preparation stage before the attack in details and all kinds of methods and ways of attack information, which from open port analysis, system vulnerability scanning, public information, social engineering four aspects to collect. The commonly used port is introduced and the common system vulnera-bilities are listed.

Keywords:hacker; attack process; port, system bug and hole; vulnerability social engineering

隨著互聯(lián)網(wǎng)的發(fā)展和普及，他對人們的生活影響越來越大，個人或者單位都有自己保密的數(shù)據(jù)存計算機上。由于黑客的出現(xiàn)，網(wǎng)絡安全問題受到了極大的挑戰(zhàn)。黑客工具的簡單化和傻瓜化，也方便了一些懷有不良動機的人利用手中的黑客工具進行大肆攻擊，使用戶面臨著網(wǎng)絡安全的重大威脅。

或計算機告訴不信任的朋友。論黑客的任何事情。

（5）不在BBS 上談

（6）不將已經(jīng)破解得到賬號和

密碼告訴任何人。日本《新黑客字典》把黑客定義為：喜歡探索軟件程序奧秘、并從中增長了其個人才干的人。新聞媒體經(jīng)常使用“黑客”這個術語來描述那些蓄意的、帶有犯罪意圖非法進入系統(tǒng)和網(wǎng)絡的人，其實描述這類人更恰當?shù)男g語應該是駭客（Cfiminal hacker ，Craker ）。

1什么是黑客(hacker)

人們通常把黑客看作是試圖闖入計算機并造成破壞的人。這是具有貶義的性質，其實真正的黑客不是這個樣子的。真正的黑客是有所為有所不為的，他們一般遵循以下幾條準側。計算機和網(wǎng)絡。

（1）不隨意攻擊用戶

（3）義務做一些

（2）盡量多地編寫一些免費軟件，

2黑客攻擊的過程

簡單地說，攻擊就是指一切對計算機的非授權行為，攻擊的全過程應該是有攻擊者發(fā)起，攻擊者應用一定得攻擊方法和攻擊策略，利用一些攻擊技術或工具，對目標信息系統(tǒng)進行非法訪問，達到一定得攻擊效果，并實現(xiàn)攻擊者的預定目標。因此凡是試圖繞過系統(tǒng)的安全策略或是對系統(tǒng)進行滲透，

并且這些軟件的源代碼是公開的。論組及軟件供應站臺。

收稿日期：2010-11-27

力所能及的事，維護管理相關的黑客論壇、新聞討

（4）不輕易將入侵過的網(wǎng)站

作者簡介：劉百平（1981-），男，南京工業(yè)職業(yè)技術學院圖書館，助理館員。

第3期劉百平：信息安全之黑客攻擊流程分析69

以獲取信息、修改信息甚至破壞目標網(wǎng)絡或系統(tǒng)功能的行為都可以、稱為黑客攻擊。根據(jù)攻擊的概念，黑客進行攻擊時，一般都遵循如下流程。

的端口及開放的服務、利用安全掃描器掃描系統(tǒng)存在的漏洞和弱點信息、利用公開的信息和社會工程學獲取有價值的信息資源。

2.1準備階段

黑客攻擊之前要了解目標主機的網(wǎng)絡結構、收集目標系統(tǒng)的各類信息等，其主要工作有如下幾部分。

2.1.3.1開放端口分析

首先黑客要知道目標主機使用的是什么操作系統(tǒng)，常用的掃描工具如Nmap ，Superscan 都可以完成這項任務。最簡單的方法是使用Ping 命令，一般都是用PING 來查看TTL 值來判斷。詳細如下：

2.1.1保護隱藏自己

黑客攻擊前一般都會利用別人的計算機來隱藏自己真實的IP 地址信息，達到隱藏保護自己的目的。最常見的就是IP 欺騙，此外還有郵件欺騙、

TTL=128，這是WINNT/2K/XP。TTL=32，這是WIN95/98/ME。TTL=256，這是UNIX 。TTL=64，

這是LINUX 。以上都是默認情況，實際可能被欺騙。所以使用ping 命令的可信度低。

然后是對其開放端口進行服務分析，看是否有能被攻擊利用的服務。電腦上有很多的端口（65

WEB 欺騙、ARP 欺騙等。要實現(xiàn)IP 地址欺騙，最

簡單的方法就是盜用IP 地址，在Windows 系統(tǒng)中，可以使用網(wǎng)絡配置工具改變本機IP 地址，在UNIX 系統(tǒng)中，可以使用ifconfig 命令來改變地址。

535個），當然大部分端口是關閉的。每個網(wǎng)絡連接

都要用一個端口，每個端口有它特定的用途。在

2.1.2確認目標主機

黑客在發(fā)起攻擊前，首先要選擇攻擊目標。網(wǎng)絡上有許多的主機，黑客首先要尋找他希望得到的有價值的站點，在Internet 上能真正標識主機的是

windows 系統(tǒng)的端口分配中，劃分為三類端口分別

為已知端口（0～1023）、注冊端口（1024～49

151）、動態(tài)端口（49152～65535）。常用網(wǎng)絡服務

端口有：

IP 地址。黑客利用域名和IP 地址就可以順利找到目

標主機。最常用的方法是利用whois 數(shù)據(jù)庫服務。簡單來說，whois 就是一個用來查詢域名是否已經(jīng)被注冊，以及注冊域名的詳細信息的數(shù)據(jù)庫（如域名所有人、域名注冊商、域名注冊日期和過期日期等）。通過whois 來實現(xiàn)對域名信息的查詢。其工作原理：whois 服務是一個在線的“請求/響應”式服務。Whois Server 運行在后臺監(jiān)聽43端口，當In-

21端口：21端口主要用于FTP （File Transfer Protocol ，文件傳輸協(xié)議）服務。

23端口：23端口主要用于Telnet （遠程登錄）

服務，是Internet 上普遍采用的登錄和仿真程序，最初設計被用來方便管理員遠程管理計算機，可現(xiàn)在真正將其發(fā)揮到極致的是“黑客”！

25端口：25端口為SMTP （Simple Mail Trans-fer Protocol ，簡單郵件傳輸協(xié)議）服務器所開放，

主要用于發(fā)送郵件，如今絕大多數(shù)郵件服務器都使用該協(xié)議。

ternet 用戶搜索一個域名（或主機、聯(lián)系人等其他信

息）時，Whois Server 首先建立一個與Client 的

TCP 連接，然后接收用戶請求的信息并據(jù)此查詢后

臺域名數(shù)據(jù)庫。如果數(shù)據(jù)庫中存在相應的記錄，它會將相關信息如所有者、管理信息以及技術聯(lián)絡信息等，反饋給Client 。待Server 輸出結束，Client 關閉連接，至此，一個查詢過程結束。

53端口：53端口為DNS （Domain Name Serv-er ，域名服務器）服務器所開放，主要用于域名解

析，DNS 服務在NT 系統(tǒng)中使用的最為廣泛。

67、68端口：67、68端口分別是為Bootp 服務

的Bootstrap Protocol Server （引導程序協(xié)議服務端）和Bootstrap Protocol Client （引導程序協(xié)議客戶端）開放的端口。

2.1.3收集系統(tǒng)信息和相關漏洞信息

黑客在攻擊之前需要收集信息，才能實施有效的攻擊，信息收集是一把雙刃劍，管理員也可以利用信息收集技術發(fā)現(xiàn)系統(tǒng)的弱點，對攻擊者來說確定入侵的目標主機后，黑客就會設法了解其所在的網(wǎng)絡結構、訪問控制機制、系統(tǒng)信息和其他信息。收集系統(tǒng)信息的方法有利用端口掃描工具掃描開放

79端口：79端口是為Finger 服務開放的，主

要用于查詢遠程主機在線用戶、操作系統(tǒng)類型以及是否緩沖區(qū)溢出等用戶的詳細信息。

80端口：80端口是為HTTP （Hyper Text

70農業(yè)圖書情報學刊：網(wǎng)絡技術第23卷

Transport Protocol ，超文本傳輸協(xié)議）開放的，這是

上網(wǎng)沖浪使用最多的協(xié)議，主要用于在WWW （World Wide Web ，萬維網(wǎng)）服務上傳輸信息的協(xié)議。

于網(wǎng)絡的漏洞掃描工具，能夠監(jiān)測到這些低版本的

DNS Bind 是否在運行。

基于主機的漏洞掃描器，掃描目標系統(tǒng)的漏洞的原理，和基于網(wǎng)絡的漏洞掃描器的原理類似，不過，兩者的體系結構不相同?；谥鳈C的漏洞掃描器通常在目標系統(tǒng)上安裝了一個代理（Agent ）或是服務（Services ），以便能夠訪問所有的文件和進程，這也使的基于主機的漏洞掃描器能夠掃描更多的漏洞。常見的漏洞包括：操作系統(tǒng)漏洞、Web 服務器漏洞、FTP 服務器漏洞、數(shù)據(jù)庫服務器漏洞、應用程序漏洞。

110端口是為POP3（郵件協(xié)議3）服務開放

的，POP2、POP3都是主要用于接收郵件的。

135端口：135端口主要用于使用RPC （Re-mote Procedure Call ，遠程過程調用）協(xié)議并提供DCOM （分布式組件對象模型）服務。

137端口：137端口主要用于“NetBIOS Name Service ”

（NetBIOS 名稱服務）。

139端口：139端口是為“NetBIOS Session Ser-vice ”提供的，主要用于提供Windows 文件和打印

機共享以及Unix 中的Samba 服務。

Windows XP 操作系統(tǒng)中常見漏洞有：UPNP 服

務漏洞，升級程序漏洞，幫助和支持中心漏洞，壓縮文件夾漏洞，Windows Media Player 漏洞，RDP 漏洞，VM 漏洞，熱鍵漏洞，遠程桌面明文賬戶名傳送漏洞，快速賬號切換功能造成賬號鎖定漏洞，終端服務IP 欺騙漏洞，GDI 拒絕服務漏洞。比較不錯的漏洞掃描工具有：nikto ，ngssoftware ，metas-

3389端口：遠程桌面

對目標計算機進行端口掃描，能得到許多有用的信息。進行掃描的方法很多，可以是手工進行掃描，也可以用端口掃描軟件進行。在手工進行掃描時，需要熟悉各種命令。對命令執(zhí)行后的輸出進行分析。如netstat 命令，功能是顯示網(wǎng)絡連接、路由表和網(wǎng)絡接口信息，可以讓用戶得知目前都有哪些網(wǎng)絡連接正在運作。ping 命令，用于查看網(wǎng)絡上的主機是否在工作，它向該主機發(fā)送ICMP E-

ploit ，retina ，Iss 等。2.1.3.3公開的信息

公開的信息可以從目標機構的網(wǎng)頁得到，上面也許會泄露一些信息。在一些情況下，公司會在不知不覺中泄露了大量信息。公司認為是一般公開的以及能爭取客戶的信息，都能為攻擊者利用。這種信息一般被稱為開放來源信息。

開放的來源是關于公司或者它的合作伙伴的一般、公開的信息，任何人能夠得到。這意味著存取或者分析這種信息比較容易，并且沒有犯罪的因素，是很合法的。這里列出幾種獲取信息的例子。公司新聞信息：如某公司為展示其技術的先進性和能為客戶提供最好的監(jiān)控能力、容錯能力、服務速度，往往會不經(jīng)意間泄露了系統(tǒng)的操作平臺、交換機型號、及基本的線路連接。

公司員工信息：大多數(shù)

公司網(wǎng)站上附有姓名地址簿，在上面不僅能發(fā)現(xiàn)

CHO_REQUEST包。有時我們想從網(wǎng)絡上的某臺主

機上下載文件，可是又不知道那臺主機是否開著，就需要使用ping 命令查看。用掃描軟件進行掃描時，許多掃描器軟件都有分析數(shù)據(jù)的功能。典型掃描工具：nmap 。

2.1.3.2系統(tǒng)漏洞掃描

黑客在選擇目標時，首先要確定的是目標主機存在哪些漏洞，是否可以利用這些漏洞為跳板實施攻擊。所以，在我們的日常網(wǎng)絡管理中，全面封堵這些漏洞是非常必要的，也是必須的。在系統(tǒng)漏洞方面，又以操作系統(tǒng)本身的安全漏洞最受黑客歡迎，當然應用程序的安全漏洞也不能熟視無睹。目前，漏洞掃描，從底層技術來劃分，能分為基于網(wǎng)絡的掃描和基于主機的掃描這兩種類型。

基于網(wǎng)絡的漏洞掃描器，就是通過網(wǎng)絡來掃描遠程計算機中的漏洞。比如，利用低版本的DNS

CEO 和財務總監(jiān)，也可能知道公司的VP 和主管是

誰。新聞組：現(xiàn)在越來越多的技術人員使用新聞組、論壇來幫助解決公司的問題，攻擊者看這些要求并把他們與電子信箱中的公司名匹配，這樣就能提供一些有用的信息。使攻擊者知道公司有什么設備，也幫助他們揣測出技術支持人員的水平。

Bind 漏洞，攻擊者能夠獲取root 權限，侵入系統(tǒng)或

攻擊者能夠在遠程計算機中執(zhí)行惡意代碼。使用基

2.1.3.4利用社會工程學

第3期劉百平：信息安全之黑客攻擊流程分析71

社會工程學攻擊是利用人們的心理特征，如人的本能反應、好奇心、信任、貪圖便宜等騙取用戶的信任、獲取機密信息、系統(tǒng)設置等不公開的資料。黑客利用社會工程學的基本目標:都是為了獲得目標系統(tǒng)未授權訪問路徑或是對重要信息進行欺騙，網(wǎng)絡入侵，工業(yè)情報盜取，身份盜取，或僅僅是擾亂系統(tǒng)或網(wǎng)絡。常見的方法有十度分隔法、學會說行話、借用目標企業(yè)的“等待音樂”、電話號碼欺詐、利用壞消息作案、濫用網(wǎng)民對社交網(wǎng)站的信任。息萬變，黑客的攻擊方法和目的各有不同，他們的攻擊流程也不會完全相同，上面介紹分析的步驟只是針對一般情況而言的，具體問題還要具體分析。參考文獻：[1]王昭, 袁春. 信息安全原理與應用[M].電子工業(yè)出版社,2010. [2]陳芳, 秦連清. 黑客攻防300招[M].人民郵電出版社,2009. [3]趙燕, 朱書敏.DOS 命令行實用精解[M].電子工業(yè)出版社, 2007.

2.2實施攻擊

當黑客探測到足夠的各類所需的攻擊系統(tǒng)的信息，對系統(tǒng)的安全弱點有了充分的了解后，就會開始發(fā)動攻擊了。首先是獲取控制權，黑客可以使用FTP ，Telnet 等工具進入目標主機系統(tǒng)，獲得控制權。獲得控制權之后，在系統(tǒng)中植入木馬或遠程操作程序，就可以實現(xiàn)攻擊的目的了，竊取所需要的各種敏感信息，如信用卡、游戲賬號、軟件資料、財務報表、客戶名單等。在日常生活中QQ 號被盜就是黑客通過木馬程序完成的。

2.3建立后門與清理痕跡

一般入侵成功后，黑客為了達到長期控制主機的目的，會立刻在系統(tǒng)中建立后門，這樣可以隨時登陸該系統(tǒng)。后門是一種登錄系統(tǒng)的方法，它不僅繞過系統(tǒng)已有的安全設置，而且還能挫敗系統(tǒng)上各種增強的安全設置。從技術上將，后門的類型主要有：網(wǎng)頁后門、線程插入后門、擴展后門、C/S后門等。日志往往會記錄黑客入侵的痕跡，為了避免被目標系統(tǒng)管理員發(fā)現(xiàn)犯罪證據(jù)，在完成入侵后，需要清除其中的系統(tǒng)日志文件、應用程序日志文件以及防火墻日志文件等?；蛘哂眉俚娜罩靖采w入侵前的系統(tǒng)日志。至此，一次完整的黑客攻擊就完成了。

3結束語

作為一名信息安全工作者，一些黑客的基本知識是必須掌握的，其中包括各種黑客入侵工具、網(wǎng)絡知識（IP 地址、端口、服務、網(wǎng)絡協(xié)議等）、各種系統(tǒng)漏洞、黑客攻擊的特點、黑客攻擊方式、黑客攻擊流程。只有了解了這些，信息安全工作者才能更好的采取具有針對性的防范措施。網(wǎng)絡世界瞬