黑客攻击--中文百科全书

攻击手段

黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常採用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的资料为目的。下面为大家介绍4种黑客常用的攻击手段。

黑客攻击

1、后门程式

由于程式员设计一些功能复杂的程式时，一般採用模组化的程式设计思想，将整个项目分割为多个功能模组，分别进行设计、调试，这时的后门就是一个模组的秘密入口。在程式开发阶段，后门便于测试、变更和增强模组功能。正常情况下，完成设计之后需要去掉各个模组的后门，不过有时由于疏忽或者其他原因(如将其留在程式中，便于日后访问、测试或维护)后门没有去掉，一些别有用心的人会利用穷举搜寻法发现并利用这些后门，然后进入系统并发动攻击。

2、信息炸弹

信息炸弹是指使用一些特殊工具软体，短时间内向目标伺服器传送大量超出系统负荷的信息，造成目标伺服器超负荷、网路堵塞、系统崩溃的攻击手段。比如向未打补丁的 Windows 95系统传送特定组合的 UDP 封包，会导致目标系统当机或重啓;向某型号的路由器传送特定封包致使路由器当机;向某人的电子邮件传送大量的垃圾邮件将此信箱撑爆等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。

3、拒绝服务

拒绝服务又叫分散式D.O.S攻击，它是使用超出被攻击目标处理能力的大量封包消耗系统可用系统、频宽资源，最后致使网路服务瘫痪的一种攻击手段。作为攻击者，首先需要通过常规的黑客手段侵入并控製某个网站，然后在伺服器上安装并啓动一个可由攻击者发出的特殊指令来控製进程，攻击者把攻击对象的IP地址作为指令下达给进程的时候，这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网路伺服器频宽，对某个特定目标实施攻击，因而威力巨大，顷刻之间就可以使被攻击目标频宽资源耗尽，导致伺服器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。

4、网路监听

网路监听是一种监视网路状态、资料流以及网路上载输信息的管理工具，它可以将网路接口设定在监听模式，并且可以截获网上载输的信息，也就是说，当黑客登录网路主机并取得超级使用者许可权后，若要登录其他主机，使用网路监听可以有效地截获网上的资料，这是黑客使用最多的方法，但是，网路监听只能套用于物理上连线于同一网段的主机，通常被用做获取使用者口令。

5、密码破解当然也是黑客常用的攻击手段之一。

攻击工具

应该说，黑客很聪明，但是他们并不都是天才，他们经常利用别人在安全领域广泛使用的工具和技术。一般来说。他们如果不自己设计工具，就必须利用现成的工具。在网上，这种工具很多，从SATAN、ISS到非常短小实用的各种网路监听工具。

在一个UNIX系统中，当入侵完成后，系统设定了大大小小的漏洞，完全清理这些漏洞是很困难的，这时候只能重灌系统了。当攻击者在网路中进行监听，得到一些使用者的口令以后，只要有一个口令没有改变，那麽系统仍然是不安全的，攻击者在任何时候都可以重新访问这个网路。

对一个网路，困难在于登上目标主机。当登上去以后有许多的办法可以用。即使攻击者不做任何事，他仍然可以得到系统的重要信息，并扩散出去，例如:将系统中的hosts档案发散出去。严重的情况是攻击者将得到的以下口令档案放在网路上进行交流。每个工具由于其特定的设计都有各自独特的限製，因此从使用者的角度来看，所有使用的这种工具进行的攻击基本相同。例如目标主机是一台运行SunOS4.1.3的SAPRC工作站，那麽所有用Strobe工具进行的攻击，管理员听见到的现象可能完全是一样的。了解这些标志是管理员教育的一个重要方面。

对一个新的入侵者来说，他可能会按这些指导生硬地进行攻击，但结果经常令他失望。因为一些攻击方法已经过时了(系统升级或打补丁进行入侵只会浪费时间)，而且这些攻击会留下攻击者的痕迹。事实上，管理员可以使用一些工具，或者一些脚本程式，让它们从系统日志中抽取有关入侵者的信息。这些程式只需具备很强的搜寻功能即可(如Perl语言就很适合做这件事了)。

当然这种情况下，要求系统日志没有遭到入侵。随着攻击者经验的成长、他们开始研究一整套攻击的特殊方法，其中一些方法与攻击者的习惯有关。由于攻击者意识到了一个工具除了它的直接用途之外，还有其他的用途，在这些攻击中使用一种或多种技术来达到目的，这种类型的攻击称为混合攻击。

攻击工具不局限于专用工具，系统常用的网路工具也可以成为攻击的工具，例如:要登上目标主机，便要用到telnet与rlogin等命令，对目标主机进行侦察，系统中有许多的可以作为侦察的工具，如finger和showmount。甚至自己可以编写一些工具，这并不是一件很难的事。其发回,如当伺服器询问使用者名称时，黑客输入分号。这是一个UNIX命令，意思是传送一个命令、一些HTTP伺服器就会将使用者使用的分号过滤掉。入侵者将监听程式安装在UNIX伺服器上，对登录进行监听，例如监听23、21等连线埠。

通过使用者登录，把所监听到的使用者名称和口令储存起来，于是黑客就得到了账号和口令，在有大量的监听程式可以用，甚至自己可以编写一个监听程式。监听程式可以在windows95和windowsNT中运行。

除了这些工具以外，入侵者还可以利用特洛伊木马程式。例如:攻击者运行了一个监听程式，但有时不想让别人从ps命令中看到这个程式在执行(即使给这个程式改名，它的特殊的运行参数也能使系统管理员一眼看出来这是一个网路监听程式)。

攻击者可以将ps命令移到一个目录或换名，例如换成pss，再写一个shell程式，给这个shell程式起名为ps，放到ps所在的目录中:

#! /bin/ksh

ps-ef|grep-vsniffit|grep-vgrep

以后，当有人使用ps命令时，就不会发现有人在使用网路监听程式。这是一个简单的特洛伊木马程式。

另外，蠕虫病毒也可以成为网路攻击的工具，它虽然不修改系统信息，但它极大地延缓了网路的速度，给人们带来了麻烦。

补充说明

综述

随着网际网路黑客技术的飞速发展，网路世界的安全性不断受到挑战。对于黑客自身来说，要闯入大部分人的电脑实在是太容易了。如果你要上网，就免不了遇到黑客。所以必须知己知彼，才能在网上保持安全。那麽黑客们有哪些常用攻击手段呢?

获取口令

这种方式有三种方法:一是缺省的登录介面(ShellScripts)攻击法。在被攻击主机上啓动一个可执行程式，该程式显示一个伪造的登录介面。当使用者在这个伪装的介面上键入登录信息(使用者名称、密码等)后，程式将使用者输入的信息传送到攻击者主机，然后关闭介面给出提示信息系统故障，要求使用者重新登录。此后，才会出现真正的登录介面。二是通过网路监听非法得到使用者口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有使用者账号和口令，对区域网路安全威胁巨大;三是在知道使用者的账号后(如电子邮件@前面的部分)利用一些专门软体强行破解使用者口令，这种方法不受网段限製，但黑客要有足够的耐心和时间;尤其对那些口令安全系数极低的使用者，只要短短的一两分锺，甚至几十秒内就可以将其破解。

电子邮件

这种方式一般是採用电子邮件炸弹(E-mailBomb)，是黑客常用的一种攻击手段。指的是用伪造的IP地址和电子邮件地址向同一信箱传送数以千计、万计甚至无穷多次的内容相同的恶意邮件，也可称之为大容量的垃圾邮件。由于每个人的邮件信箱是有限的，当庞大的邮件垃圾到达信箱的时候，就会挤满信箱，把正常的邮件给沖掉。同时，因为它佔用了大量的网路资源，常常导致网路塞车，使使用者不能正常地工作，严重者可能会给电子邮件伺服器作业系统带来危险，甚至瘫痪。

木马

特洛伊木马程式技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows啓动时运行的程式，採用伺服器/客户机的运行方式，从而达到在上网时控製你电脑的目的。黑客利用它窃取你的口令、流览你的驱动器、修改你的档案、登录注册表等等，如流传极广的冰河木马，现在流行的很多病毒也都带有黑客性质，如影响面极广的Nimda、求职信和红色代码及红色代码II等。攻击者可以佯称自己为系统管理员(邮件地址和系统管理员完全相同)，将这些东西通过电子邮件的方式传送给你。如某些单位的网路管理员会定期给使用者免费传送防火墙升级程式，这些程式多为可执行程式，这就为黑客提供了可乘之机，很多使用者稍不注意就可能在不知不觉中遗失重要信息。

灰鸽子木马

诱入法

黑客编写一些看起来合法的程式，上载到一些FTP站点或是提供给某些个人主页，诱导使用者下载。当一个使用者下载软体时，黑客的软体一起下载到使用者的机器上。该软体会跟蹤使用者的电脑操作，它静静地记录着使用者输入的每个口令，然后把它们传送给黑客指定的Internet信箱。例如，有人传送给使用者电子邮件，声称为确定我们的使用者需要而进行调查。作为对填写表格的回报，允许使用者免费使用多少小时。但是，该程式实际上却是蒐集使用者的口令，并把它们传送给某个远方的黑客。

系统漏洞

许多系统都有这样那样的安全漏洞(Bugs)，其中某些是作业系统或套用软体本身具有的，如Sendmail漏洞，Windows98中的已分享资料夹密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你不上网。还有就是有些程式员设计一些功能复杂的程式时，一般採用模组化的程式设计思想，将整个项目分割为多个功能模组，分别进行设计、调试，这时的后门就是一个模组的秘密入口。在程式开发阶段，后门便于测试、变更和增强模组功能。正常情况下，完成设计之后需要去掉各个模组的后门，不过有时由于疏忽或者其他原因(如将其留在程式中，便于日后访问、测试或维护)后门没有去掉，一些别有用心的人会利用专门的扫描工具发现并利用这些后门，然后进入系统并发动攻击。

黑客攻击

其他总结

有些黑客不会用常用的办法

现在，你该知道黑客惯用的一些攻击手段了吧?当我们对黑客们的这些行为有所了解后，(有些黑客不会用常用的办法)就能做到知己知彼，百战不殆，从而更有效地防患于未然，拒黑客于机外。网路的开放性决定了它的复杂性和多样性，随着技术的不断进步，各种各样高明的黑客还会不断诞生，同时，他们使用的手段也会越来越先进。我们惟有不断提高个人的安全意识，再加上必要的防护手段，斩断黑客的黑手。相信通过大家的努力，黑客们的舞台将会越来越小，个人使用者可以高枕无忧地上网沖浪，还我们一片宁静的天空。

隐藏原理

程式在系统列的隐藏比较简单，首先要保证程式主介面的隐藏，一般是通过修改应用程式类的初始化实例函式InitInstance()的 ShowWindow()语句的SW_SHOW参数为SW_HIDE来实现的。主介面隐藏的同时系统列虽然也会消失，但在程式啓动时会闪一下，因此需要修改程式的扩展属性。一种方法是SDK的写法，即直接利用GetWindowLong()获取到当前的扩展属性然后通过逻辑运算去掉原有的 WS_EX_APPWINDOW属性，并新增加一个WS_EX_TOOLWINDOW属性，这样系统会将其认为是一个工具条视窗而不会再在系统列中加以显示。最后需要将修改过的扩展属性通过SetWindowLong()函式将其写回。这两个函式的声明分别如下:

LONG GetWindowLong(HWND hWnd，int nIndex);

LONG SetWindowLong(HWND hWnd，int nIndex，LONG dwNewLong);

另一种很简便的是MFC的写法:在程式架构类的预建立视窗函式裏通过直接对CREATESTRUCT结构对象的逻辑操作而将程式属性进行改变:

cs.style=WS_POPUP;

cs.dwExStyle|=WS_EX_TOOLWINDOW;

这两种写法虽然表现形式各不相同，其本质都是一样的。

程式在任务列表中的隐藏原理

任务列表(Ctrl+Alt+Del时弹出的对话框)显示了当前系统正在运行的一些应用程式，如果实现了上一步，虽然在系统列看不见程式，但有经验的使用者可以通过观察任务列表而发现一些值得怀疑的应用程式而在此将其关闭。所以大多数黑软也都通过较复杂的手段实现了自身在任务列表中的隐藏，使被发现的机会大大降低。

在Win9x中，一般每个应用程式都要通过一个API(应用程式接口)函式RegisterServiceProcess()向系统申请注册成为一个服务进程，并且也是通过这个函式登出其服务进程来结束这个服务进程的运行。如果一个进程注册为一个服务进程，通过Ctrl+Alt+Del就可以在任务列表裏看见该进程的标题。而如果一个进程运行了但没有向系统申请注册成为服务进程那麽就不会在任务列表裏显示。黑软也正是利用这个原理使自身在运行时能在任务列表中实现隐藏。该函式存放于系统核心Kernel32.dll中，具体声明如下:

DWORD RegisterServiceProcess(DWORD dwProcessId，DWORD dwType);

其第一个参数指定为一个服务进程的进程标识，如果是0则注册当前的进程;第二个参数指出是注册还是登出当前的进程，其状态分别为: RSP_SIMPLE_SERVICE和RSP_UNREGISTER_SERVICE。黑软一般是在程式啓动初始化时首先从Kernel32.dll动态连线库中将RegisterServiceProcess()函式载入到记忆体，然后再通过该函式将程式从任务列表中隐藏:

//从Kernel32.dll中载入RegisterServiceProcess()

HMODULE m_hKernel=::GetModuleHandle(Kernel32.DLL);

RSP m_rsp=(RSP)::GetProcAddress(m_hKernel，RegisterServiceProcess);

m_rsp(::GetCurrentProcessId()，1);//此时为隐藏，当第二个参数为0时显示

另外，还有一部分黑软是通过ShowWindowAsync()函式啓动一个新的执行绪来显示一个新视窗的。该函式的原形为:

BOOLShowWindowAsync(HWND hWnd，int nCmdShow);

而黑软正是钻了该函式的第二个参数可以设定窗体显示状态的空子，在设定成SW_HIDE时就可以使目标窗体(黑软)从任务列表中隐藏。

以上就是Win9x下的黑客程式所具备的一些基本功能，在此基础上我们可以借助于其实现技巧来编写出一些诸如后台监控之类的实用程式。并且可以通过对黑客类软体的隐藏机理的分析能使广大使用者对此类黑软採取一些必要的措施，通过加强防範来使自己的损失防患于未然。

中国遭攻

来自国家网际网路应急中心(CNCERT)的最新资料显示，中国遭受境外网路攻击的情况日趋严重。CNCERT抽样监测发现，2013年1月1日至2月28日不足60天的时间裏，境外6747台木马或僵尸网路控製伺服器控製了中国境内190万余台主机;其中位于美国的2194台控製伺服器控製了中国境内128.7万台主机，无论是按照控製伺服器数量还是按照控製中国主机数量排名，美国都名列第一。

中国遭受境外攻击情况严重攻击源多来自美国

此前，《纽约时报》、《华尔街日报》等美国媒体称遭到中国黑客攻击。对此，中国外交部、国防部等部门的发言人均予以严正驳斥，并多次重申，中国法律禁止黑客攻击等任何破坏网际网路安全的行为，中国政府始终坚决打击相关犯罪活动，中国也是网路攻击的主要受害国之一。

此次CNCERT公布的大量资料显示，中国境内遭受网路攻击的情况十分严重，并详细例举了国内机构、企业遭受境外攻击的具体案例。

资料显示，仅今年前两个月，就有境外5324台主机通过植入后门对中国境内11421个网站实施远程控製，其中，位于美国的1959台主机控製着中国境内3579个网站，位于日本的132台主机控製着境内473个网站。按照所控製的境区域网路站数量统计，美国位居第一。

此外，针对中国网上银行、支付平台、网上商城等的钓鱼网站有96%位于境外，其中位于美国的619台伺服器承载了3673个针对境区域网路站的钓鱼页面，美国伺服器承载钓鱼页面数量佔全部钓鱼页面数量的73.1%。

一些重要机构网站被美黑客植入后门

根据CNCERT提供的案例显示，中国网站被境外攻击十分频繁，主要体现在两个方面，一是网站被境外入侵篡改;二是网站被境外入侵并安插后门。中国遭受来自境外的DDoS攻击也十分频繁。

最新资料显示，2013年2月24日中国西藏网的邮件系统分别被植入后门。2013年2月22日，中国网英文版企业分站遭到源自美国地址的攻击，页面遭恶意篡改。2013年1月28日人民网IP地址遭受来自境外的DDoS攻击，18:30-20:20之间出现明显异常流量，峰值流量达100Mbps，约为正常流量的12倍，其中UDP流量佔95%，约有88%来自境外。

CNVD作为中国的国家级漏洞库，受到来自境外的大量攻击，一些攻击还尝试渗透网站伺服器以获取漏洞信息。2012年11月至2013年1月，在对CNVD网站的攻击事件监测中，来自境外国家和地区的攻击次数位列第一为美国，达5792次。

事实上，中国遭受境外网路攻击的案例远不止于此。包括国家部委、企业、院校在内的一大批组织机构都曾遭到境外网路入侵。

2012年9月至2013年2月，某重要政府部门、某省考试院、某财产保险股份有限公司、某科研院武汉病毒所等中国85个重要政府部门、重要信息系统、科研机构等单位网站被境外入侵并植入网站后门，其中有39个单位网站是被源自美国的地址入侵。

中国国家网际网路信息办负责人在接受记者採访时指出，中国是网际网路大国，但不是网际网路强国，大量事实证明，中国多年来一直是网路攻击的主要受害国之一。中国政府一贯坚决反对并依法打击黑客攻击行为。为推动解决网路安全问题，2011年9月，中国与俄罗斯等国向联合国共同提交了信息安全国际行为準则草案。中方呼吁国际社会以此为基础，製定网路空间的负责任国家行为準则，共同构建一个和平、安全、开放、合作的网路空间，维护国际社会共同利益。