信息安全之黑客攻击流程分析

第23卷第03期2011年03月农业图书情报学刊Journal of Library and Information Sciences in AgricultureVol．23, No．03Mar.

第23卷第03期2011年03月

农业图书情报学刊

Journal of Library and Information Sciences in Agriculture

Vol．23, No．03Mar. 2011信息安全之黑客攻击流程分析

刘百平

（南京工业职业技术学院图书馆，江苏

南京

210046）

摘要：解释黑客概念，描述黑客攻击行为，分析黑客攻击的流程。详细介绍了攻击前准备阶段工作，各类攻击信

息的收集方法和途径，从开放端口分析、系统漏洞扫描、公开的信息、社会工程学四个方面介绍了信息的收集。常用端口介绍，常见系统漏洞列举。

关键词：黑客；攻击流程；端口；系统漏洞；社会工程学中图分类号：G250

文献标识码：A

文章编号：1002-1248（2011）03-0068-04

Analysis of the Hacker Attacking Process of Information Security

LIU Bai-ping

(Library,Nanjing Institution of Industry &Technology, Nanjing 210046, China)

Abstract:This paper aims to explain the concept of hackers, describe hackers ’attack behavior and analyze the flow of attack

of hackers. The author introduces the work of preparation stage before the attack in details and all kinds of methods and ways of attack information, which from open port analysis, system vulnerability scanning, public information, social engineering four aspects to collect. The commonly used port is introduced and the common system vulnera-bilities are listed.

Keywords:hacker; attack process; port, system bug and hole; vulnerability social engineering

随着互联网的发展和普及，他对人们的生活影响越来越大，个人或者单位都有自己保密的数据存计算机上。由于黑客的出现，网络安全问题受到了极大的挑战。黑客工具的简单化和傻瓜化，也方便了一些怀有不良动机的人利用手中的黑客工具进行大肆攻击，使用户面临着网络安全的重大威胁。

或计算机告诉不信任的朋友。论黑客的任何事情。

（5）不在BBS 上谈

（6）不将已经破解得到账号和

密码告诉任何人。日本《新黑客字典》把黑客定义为：喜欢探索软件程序奥秘、并从中增长了其个人才干的人。新闻媒体经常使用“黑客”这个术语来描述那些蓄意的、带有犯罪意图非法进入系统和网络的人，其实描述这类人更恰当的术语应该是骇客（Cfiminal hacker ，Craker ）。

1什么是黑客(hacker)

人们通常把黑客看作是试图闯入计算机并造成破坏的人。这是具有贬义的性质，其实真正的黑客不是这个样子的。真正的黑客是有所为有所不为的，他们一般遵循以下几条准侧。计算机和网络。

（1）不随意攻击用户

（3）义务做一些

（2）尽量多地编写一些免费软件，

2黑客攻击的过程

简单地说，攻击就是指一切对计算机的非授权行为，攻击的全过程应该是有攻击者发起，攻击者应用一定得攻击方法和攻击策略，利用一些攻击技术或工具，对目标信息系统进行非法访问，达到一定得攻击效果，并实现攻击者的预定目标。因此凡是试图绕过系统的安全策略或是对系统进行渗透，

并且这些软件的源代码是公开的。论组及软件供应站台。

收稿日期：2010-11-27

力所能及的事，维护管理相关的黑客论坛、新闻讨

（4）不轻易将入侵过的网站

作者简介：刘百平（1981-），男，南京工业职业技术学院图书馆，助理馆员。

第3期刘百平：信息安全之黑客攻击流程分析69

以获取信息、修改信息甚至破坏目标网络或系统功能的行为都可以、称为黑客攻击。根据攻击的概念，黑客进行攻击时，一般都遵循如下流程。

的端口及开放的服务、利用安全扫描器扫描系统存在的漏洞和弱点信息、利用公开的信息和社会工程学获取有价值的信息资源。

2.1准备阶段

黑客攻击之前要了解目标主机的网络结构、收集目标系统的各类信息等，其主要工作有如下几部分。

2.1.3.1开放端口分析

首先黑客要知道目标主机使用的是什么操作系统，常用的扫描工具如Nmap ，Superscan 都可以完成这项任务。最简单的方法是使用Ping 命令，一般都是用PING 来查看TTL 值来判断。详细如下：

2.1.1保护隐藏自己

黑客攻击前一般都会利用别人的计算机来隐藏自己真实的IP 地址信息，达到隐藏保护自己的目的。最常见的就是IP 欺骗，此外还有邮件欺骗、

TTL=128，这是WINNT/2K/XP。TTL=32，这是WIN95/98/ME。TTL=256，这是UNIX 。TTL=64，

这是LINUX 。以上都是默认情况，实际可能被欺骗。所以使用ping 命令的可信度低。

然后是对其开放端口进行服务分析，看是否有能被攻击利用的服务。电脑上有很多的端口（65

WEB 欺骗、ARP 欺骗等。要实现IP 地址欺骗，最

简单的方法就是盗用IP 地址，在Windows 系统中，可以使用网络配置工具改变本机IP 地址，在UNIX 系统中，可以使用ifconfig 命令来改变地址。

535个），当然大部分端口是关闭的。每个网络连接

都要用一个端口，每个端口有它特定的用途。在

2.1.2确认目标主机

黑客在发起攻击前，首先要选择攻击目标。网络上有许多的主机，黑客首先要寻找他希望得到的有价值的站点，在Internet 上能真正标识主机的是

windows 系统的端口分配中，划分为三类端口分别

为已知端口（0～1023）、注册端口（1024～49

151）、动态端口（49152～65535）。常用网络服务

端口有：

IP 地址。黑客利用域名和IP 地址就可以顺利找到目

标主机。最常用的方法是利用whois 数据库服务。简单来说，whois 就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期等）。通过whois 来实现对域名信息的查询。其工作原理：whois 服务是一个在线的“请求/响应”式服务。Whois Server 运行在后台监听43端口，当In-

21端口：21端口主要用于FTP （File Transfer Protocol ，文件传输协议）服务。

23端口：23端口主要用于Telnet （远程登录）

服务，是Internet 上普遍采用的登录和仿真程序，最初设计被用来方便管理员远程管理计算机，可现在真正将其发挥到极致的是“黑客”！

25端口：25端口为SMTP （Simple Mail Trans-fer Protocol ，简单邮件传输协议）服务器所开放，

主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。

ternet 用户搜索一个域名（或主机、联系人等其他信

息）时，Whois Server 首先建立一个与Client 的

TCP 连接，然后接收用户请求的信息并据此查询后

台域名数据库。如果数据库中存在相应的记录，它会将相关信息如所有者、管理信息以及技术联络信息等，反馈给Client 。待Server 输出结束，Client 关闭连接，至此，一个查询过程结束。

53端口：53端口为DNS （Domain Name Serv-er ，域名服务器）服务器所开放，主要用于域名解

析，DNS 服务在NT 系统中使用的最为广泛。

67、68端口：67、68端口分别是为Bootp 服务

的Bootstrap Protocol Server （引导程序协议服务端）和Bootstrap Protocol Client （引导程序协议客户端）开放的端口。

2.1.3收集系统信息和相关漏洞信息

黑客在攻击之前需要收集信息，才能实施有效的攻击，信息收集是一把双刃剑，管理员也可以利用信息收集技术发现系统的弱点，对攻击者来说确定入侵的目标主机后，黑客就会设法了解其所在的网络结构、访问控制机制、系统信息和其他信息。收集系统信息的方法有利用端口扫描工具扫描开放

79端口：79端口是为Finger 服务开放的，主

要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。

80端口：80端口是为HTTP （Hyper Text

70农业图书情报学刊：网络技术第23卷

Transport Protocol ，超文本传输协议）开放的，这是

上网冲浪使用最多的协议，主要用于在WWW （World Wide Web ，万维网）服务上传输信息的协议。

于网络的漏洞扫描工具，能够监测到这些低版本的

DNS Bind 是否在运行。

基于主机的漏洞扫描器，扫描目标系统的漏洞的原理，和基于网络的漏洞扫描器的原理类似，不过，两者的体系结构不相同。基于主机的漏洞扫描器通常在目标系统上安装了一个代理（Agent ）或是服务（Services ），以便能够访问所有的文件和进程，这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。常见的漏洞包括：操作系统漏洞、Web 服务器漏洞、FTP 服务器漏洞、数据库服务器漏洞、应用程序漏洞。

110端口是为POP3（邮件协议3）服务开放

的，POP2、POP3都是主要用于接收邮件的。

135端口：135端口主要用于使用RPC （Re-mote Procedure Call ，远程过程调用）协议并提供DCOM （分布式组件对象模型）服务。

137端口：137端口主要用于“NetBIOS Name Service ”

（NetBIOS 名称服务）。

139端口：139端口是为“NetBIOS Session Ser-vice ”提供的，主要用于提供Windows 文件和打印

机共享以及Unix 中的Samba 服务。

Windows XP 操作系统中常见漏洞有：UPNP 服

务漏洞，升级程序漏洞，帮助和支持中心漏洞，压缩文件夹漏洞，Windows Media Player 漏洞，RDP 漏洞，VM 漏洞，热键漏洞，远程桌面明文账户名传送漏洞，快速账号切换功能造成账号锁定漏洞，终端服务IP 欺骗漏洞，GDI 拒绝服务漏洞。比较不错的漏洞扫描工具有：nikto ，ngssoftware ，metas-

3389端口：远程桌面

对目标计算机进行端口扫描，能得到许多有用的信息。进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。在手工进行扫描时，需要熟悉各种命令。对命令执行后的输出进行分析。如netstat 命令，功能是显示网络连接、路由表和网络接口信息，可以让用户得知目前都有哪些网络连接正在运作。ping 命令，用于查看网络上的主机是否在工作，它向该主机发送ICMP E-

ploit ，retina ，Iss 等。2.1.3.3公开的信息

公开的信息可以从目标机构的网页得到，上面也许会泄露一些信息。在一些情况下，公司会在不知不觉中泄露了大量信息。公司认为是一般公开的以及能争取客户的信息，都能为攻击者利用。这种信息一般被称为开放来源信息。

开放的来源是关于公司或者它的合作伙伴的一般、公开的信息，任何人能够得到。这意味着存取或者分析这种信息比较容易，并且没有犯罪的因素，是很合法的。这里列出几种获取信息的例子。公司新闻信息：如某公司为展示其技术的先进性和能为客户提供最好的监控能力、容错能力、服务速度，往往会不经意间泄露了系统的操作平台、交换机型号、及基本的线路连接。

公司员工信息：大多数

公司网站上附有姓名地址簿，在上面不仅能发现

CHO_REQUEST包。有时我们想从网络上的某台主

机上下载文件，可是又不知道那台主机是否开着，就需要使用ping 命令查看。用扫描软件进行扫描时，许多扫描器软件都有分析数据的功能。典型扫描工具：nmap 。

2.1.3.2系统漏洞扫描

黑客在选择目标时，首先要确定的是目标主机存在哪些漏洞，是否可以利用这些漏洞为跳板实施攻击。所以，在我们的日常网络管理中，全面封堵这些漏洞是非常必要的，也是必须的。在系统漏洞方面，又以操作系统本身的安全漏洞最受黑客欢迎，当然应用程序的安全漏洞也不能熟视无睹。目前，漏洞扫描，从底层技术来划分，能分为基于网络的扫描和基于主机的扫描这两种类型。

基于网络的漏洞扫描器，就是通过网络来扫描远程计算机中的漏洞。比如，利用低版本的DNS

CEO 和财务总监，也可能知道公司的VP 和主管是

谁。新闻组：现在越来越多的技术人员使用新闻组、论坛来帮助解决公司的问题，攻击者看这些要求并把他们与电子信箱中的公司名匹配，这样就能提供一些有用的信息。使攻击者知道公司有什么设备，也帮助他们揣测出技术支持人员的水平。

Bind 漏洞，攻击者能够获取root 权限，侵入系统或

攻击者能够在远程计算机中执行恶意代码。使用基

2.1.3.4利用社会工程学

第3期刘百平：信息安全之黑客攻击流程分析71

社会工程学攻击是利用人们的心理特征，如人的本能反应、好奇心、信任、贪图便宜等骗取用户的信任、获取机密信息、系统设置等不公开的资料。黑客利用社会工程学的基本目标:都是为了获得目标系统未授权访问路径或是对重要信息进行欺骗，网络入侵，工业情报盗取，身份盗取，或仅仅是扰乱系统或网络。常见的方法有十度分隔法、学会说行话、借用目标企业的“等待音乐”、电话号码欺诈、利用坏消息作案、滥用网民对社交网站的信任。息万变，黑客的攻击方法和目的各有不同，他们的攻击流程也不会完全相同，上面介绍分析的步骤只是针对一般情况而言的，具体问题还要具体分析。参考文献：[1]王昭, 袁春. 信息安全原理与应用[M].电子工业出版社,2010. [2]陈芳, 秦连清. 黑客攻防300招[M].人民邮电出版社,2009. [3]赵燕, 朱书敏.DOS 命令行实用精解[M].电子工业出版社, 2007.

2.2实施攻击

当黑客探测到足够的各类所需的攻击系统的信息，对系统的安全弱点有了充分的了解后，就会开始发动攻击了。首先是获取控制权，黑客可以使用FTP ，Telnet 等工具进入目标主机系统，获得控制权。获得控制权之后，在系统中植入木马或远程操作程序，就可以实现攻击的目的了，窃取所需要的各种敏感信息，如信用卡、游戏账号、软件资料、财务报表、客户名单等。在日常生活中QQ 号被盗就是黑客通过木马程序完成的。

2.3建立后门与清理痕迹

一般入侵成功后，黑客为了达到长期控制主机的目的，会立刻在系统中建立后门，这样可以随时登陆该系统。后门是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。从技术上将，后门的类型主要有：网页后门、线程插入后门、扩展后门、C/S后门等。日志往往会记录黑客入侵的痕迹，为了避免被目标系统管理员发现犯罪证据，在完成入侵后，需要清除其中的系统日志文件、应用程序日志文件以及防火墙日志文件等。或者用假的日志覆盖入侵前的系统日志。至此，一次完整的黑客攻击就完成了。

3结束语

作为一名信息安全工作者，一些黑客的基本知识是必须掌握的，其中包括各种黑客入侵工具、网络知识（IP 地址、端口、服务、网络协议等）、各种系统漏洞、黑客攻击的特点、黑客攻击方式、黑客攻击流程。只有了解了这些，信息安全工作者才能更好的采取具有针对性的防范措施。网络世界瞬