走近黑客――黑客是怎样炼成的?
随着Internet网络在国内的普及,跟随而来的各种黑客攻击的网络破坏行为接踵而来。我们要更好的做到网络的防护,就必须了解黑客攻击的各种手法,掌握黑客的心理,所谓“知己知彼,百战不殆”,只有这样我们才能够更好的做好网络的安全防护措施,以避免各种黑客的侵袭。我们先来了解一下黑客的分类:
黑客在学习黑客技术之前通常是抱以某种目的去学习的,在不断地学习过程中,通常会根据其性格、环境、学习黑客技术目的等几个方面的因素来决定他日后会成为哪种类型的黑客:
A.黑帽子 指的是通过黑客技术去攻击系统,从而获取不正当的利益,来维持其生计的职业黑客。
B.灰帽子 这部分黑客通常是黑白两道都混得开,既能做公司的安全顾问,又能做一些见不得人的勾当。
C.白帽子 这些黑客有点像被招安的梁山好汉,黑客技术学精通了,就开始从事网络安全方面的技术研究,从而来来为网络安全事业贡献力量。
D.红帽子 这部分人通常也被称为“红客”,也经常在国家,人民的利益受到威胁的时候,站出来对敌人进行反击,团结协作和培养新手是他们的最大特点,所以最受初学者的欢迎,对初学者的影响是比较深远的。
E.没帽子 指的是一些学习过黑客技术,但是由于其它的原因而中止了,这部分人不在少数,这部分人也通常会为黑客的正名而呐喊。
现在我们也大致的了解了黑客的分类,现在我们来看看神秘莫测的黑客究竟是怎样来进行网络攻击的。
一、信息收集
黑客在对一台主机进行攻击的之前,通常要对目标主机进行一系列的信息收集活动,这些信息主要包括对方操作系统的类型,对方主机的用途(WEB服务器,邮件服务器,数据库服务器等)对远程端口所提供的服务,以及这些服务所存在的一些安全漏洞,然后还有目标主机的账户信息。
首先,黑客要对目标主机进行信息收集主要是运用各种黑客工具来进行,这些工具中一些比较典型的有流光、X-SCAN等,这些工具特别是流光的功能比较强大,集合了端口扫描,操作系统类型探测,漏洞扫描,漏洞攻击方法等功能,可以说完全是一种傻瓜式的黑客工具。
二、远程攻击
接着,黑客们要做的工作还不是直接进行攻击,而是做好反侦察工作。高明的黑客在对远程目标主机进行攻击之前,是会用“跳板”来实施攻击的。可能大家对跳板这个概念还不是很熟悉,这是黑客对他们自己掌握权限的远程主机的称呼。也就是说黑客首先登录到跳板上,然后通过跳板来对远程目标主机进行攻击,更高明的黑客通常会登录多台跳板主机再来实施攻击,这样也是为了防范对方的事后的调查。然后,黑客会利用获取到的各种信息来对目标主机进行攻击,如果探测出对方主机提供的服务的账号有弱密码漏洞(如139端口提供的服务),他们就会直接利用获取的账号和密码进入对方的系统;如果探测出对方主机有缓冲区溢出漏洞(如.IDQ/.IDA漏洞),通常会用一些黑客程序来进行远程溢出,并进入系统;如果探测出对方主机有配置不当漏洞(如远程主机允许其它主机连接它的注册表、管理工具、服务等系统工具),如果探测出对方主机的应用程序存在漏洞(如SQL数据库服务的远程漏洞),那么黑客就会利用这个服务所存在的漏洞对其进行攻击,并进入系统。
三、黑客入侵主机的目的
黑客在进入远程主机之后,通常会做些什么呢?呵呵,那现在我们就对攻击的结果来对这些黑客的心理进行分析:
1.篡改页面,阅读文件 对于一个刚刚学会了一点黑客攻击技术的黑客,网络的多姿多彩通常会激发他们的好奇心,他们想看看一些远程主机里面究竟放了些什么东西,我想在座的各位也不乏有人有这个好奇心,不过也不要急着为自己辩护,好奇心是人皆有之的一种心理,正是有了这样的心理,我们才会去探索更多科学技术,才会让我们的生产力得到发展。我们回到主题上来,在黑客世界里,通常都是技术的高低来论资排辈的,你如果拥有精深的技术,就会有很多人敬仰你,甚至崇拜你,所以这些黑客初学者入侵系统去篡改页面的另外的一个目的就是向别人证明他攻击的能力,以得到前辈黑客的赞誉,沾沾自喜的来满足其虚荣心。
2.破坏系统 这种黑客属于“黑帽子”黑客初始阶段,他们是在由初级黑客向更深层次发展的情况下,由于心理不平衡或者受了周围人的影响,而对远程主机系统进行破坏。但是这部分黑客是属于“大错没有,小错不断,中不溜秋”的,所以对其进行教育,还是有办法让其成为“白帽子”黑客的。
3.安装后门,利用系统做进一步之用
A.研究系统安全构造
B.利用系统进行黑客程序的测试活动
C.利用系统作为跳板来攻击其他远程系统
D.安装SNIFFER,进一步控制系统
这些攻击行为中,A,B两个是“灰帽子”黑客所为,C,D是属于“黑帽子”黑客所为。通常,“灰帽子”黑客也是想变成“白”的,但是由于其条件所限制,没有很好的技术研究环境。因此,他们会入侵一些各方面性能比较优越,应用程序完善,网络构架复杂的远程主机来研究网络安全技术。而“黑帽子”黑客则是通过控制远程主机,来作为其攻击资源储备。在下次攻击特定主机的时候来作为“跳板”和“DDOS肉鸡”之用。可能有人要问了,什么是“DDOS肉鸡”?现在我们就来解释一下这个概念,首先,“肉鸡”是指能够控制的远程主机,这个概念和“跳板”比较相近,但是是有一定区别的,“跳板”就是单纯的作为攻击远程主机而来隐藏自己网络位置的远程服务器;而“肉鸡”则是用来做黑客程序测试,系统研究,做DDOS攻击肉鸡以及做“跳板”来使用的远程服务器。“DDOS肉鸡”就是用来做分布式拒绝服务攻击的客户机。DDOS攻击我们将在下次课程当中给大家进行详细的讲解。
4.商业间谍,窃取重要资料 这部分黑客就是不则不扣的“黑帽子”黑客了,他们往往是属于那种职业黑客,他们的工作就是为雇主窃取竞争对手的商业机密,以不正当竞争的方式帮助雇主掌握更多的信息来打击其竞争对手,以达到雇主公司在商业竞争中掌握先机,迅速占领市场,打垮竞争对手等商业目的。
四、清除系统记录信息
这也是黑客进行反侦察,反跟踪的手段。黑客通常会运用黑客记录清除程序或者用手工的方式来清除系统对其登录信息以及在系统活动的信息。黑客记录清除程序如LOGCLEAR.EXE等是能够情除掉系统的记录,但是并不彻底,所以技术不错的黑客通常是用手工方式来清除系统的各种记录,如WIN 2K系统中的FTP,WEB等记录信息,事件查看器里的系统,安全,应用程序的记录信息等等。一般在没有安装防火墙,入侵检测产品等主机上清除这些记录是能够很好的做好反侦察,反跟踪的工作。当然,如果安装的话,就需要对其防火墙或者入侵检测产品进行一定的研究,找出其记录信息的文件,并将其删除或者权限足够大的话,直接卸载掉这些安全防护产品,将其彻底从系统中撤除。
到现在为止,我们已经对黑客本身以及其对系统攻击的整个过程都有一定的了解了,相信这对大家了解黑客和在从事网络安全工作的过程中能够起到一定的帮助。讲的有些不足的地方,望大家能够指出,多给我一些建议。如果大家有兴致的话,可以在网上和我们进行这方面技术的探讨。今天的课程就到这里,谢谢大家!
