某日黑客利用扫描器发现(某日,黑客利用扫描器发现)
本文目录一览:
狼牙抓鸡器
红网11月6日讯(潇湘晨报记者 李伟)许多网友正在庆幸躲过了微软“黑屏”,却没想到自己已因此而沦为了“肉鸡”。微软“黑屏”后遗症爆发“狼牙抓鸡器”每天抓鸡。
360安全中心昨日发布监测报告称,名为“狼牙抓鸡器”的恶意工具正在迅速流传之中。据分析,这类“狼牙抓鸡器”每天可以控制上万台普通用户电脑,将其变为黑客手中任人宰割的“肉鸡”。更可怕的是,中招电脑就象《黑客帝国》中那些被史密斯特工传染的人物一样,马上变成又一个史密斯特工,转身就开始主动攻击局域网内的其它电脑。
据360安全专家分析,黑客们之所以能抓取这么多“肉鸡”,与大量用户为避免黑屏而关闭系统自动更新有关。这些用户在关闭自动更新后,没有及时采用360安全卫士等第三方工具来打补丁修复系统漏洞,从而给了“狼牙抓鸡器”以可乘之机。
据360安全专家介绍,“狼牙抓鸡器”是黑客利用微软最新RPC漏洞MS08-067实施的“扫荡波”蠕虫攻击,用户如尚未给系统打好KB958644补丁,一旦被黑客扫描发现,瞬间便受到蠕虫病毒侵袭,成为被黑客远程控制的帮凶,主动去攻击其他用户的电脑。也就是说,局域网中一旦有一台电脑中招,全网没有修复漏洞的电脑就都会感染病毒,其危害和传播形式与猖獗一时的“冲击波”、“震荡波”非常相似。
国内著名软件下载站天空软件站前不久举行了一次调查,名为“为了拒绝黑屏很多人关闭了自动更新而采用第三方补丁更新软件,你呢?”,共有22075名网友参与了投票。结果显示:仅8%的用户继续开启“自动更新”,另有64.4%的用户,也就是三分之二的网民选择了使用360安全卫士打补丁。尽管如此,仍有许多网友缺乏安全意识,或因担心被黑屏而没有及时修复系统漏洞,反而使自己成为“狼牙抓鸡器”的牺牲品。
安全专家强烈建议广大网友,尽快使用360安全卫士等第三方工具下载系统补丁,及时修复系统漏洞。
什么是DDOS攻击?它的原理是什么?它的目的是什么?越详细越好!谢谢
DDOS
DDOS的中文名叫分布式拒绝服务攻击,俗称洪水攻击
DDoS攻击概念
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。你理解了DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
被DDoS攻击时的现象
被攻击主机上有大量等待的TCP连接
网络中充斥着大量的无用的数据包,源地址为假
制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
严重时会造成系统死机
攻击运行原理
点击查看图片1
如图一,一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
有的朋友也许会问道:"为什么黑客不直接去控制攻击傀儡机,而要从控制傀儡机上转一下呢?"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说,肯定不愿意被捉到(我在小时候向别人家的鸡窝扔石头的时候也晓得在第一时间逃掉,呵呵),而攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。在占领一台机器后,高水平的攻击者会首先做两件事:1. 考虑如何留好后门(我以后还要回来的哦)!2. 如何清理日志。这就是擦掉脚印,不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉,但这样的话网管员发现日志都没了就会知道有人干了坏事了,顶多无法再从日志发现是谁干的而已。相反,真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况。这样可以长时间地利用傀儡机。
但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。但如果这是控制用的傀儡机的话,黑客自身还是安全的。控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也大大降低。
黑客是如何组织一次DDoS攻击的?
这里用"组织"这个词,是因为DDoS并不象入侵一台主机那样简单。一般来说,黑客进行DDoS攻击时会经过这样的步骤:
1. 搜集了解目标的情况
下列情况是黑客非常关心的情报:
被攻击目标主机数目、地址情况
目标主机的配置、性能
目标的带宽
对于DDoS攻击者来说,攻击互联网上的某个站点,如 ,有一个重点就是确定到底有多少台主机在支持这个站点,一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例,一般会有下列地址都是提供 服务的:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
如果要进行DDoS攻击的话,应该攻击哪一个地址呢?使66.218.71.87这台机器瘫掉,但其他的主机还是能向外提供www服务,所以想让别人访问不到 的话,要所有这些IP地址的机器都瘫掉才行。在实际的应用中,一个IP地址往往还代表着数台机器:网站维护者使用了四层或七层交换机来做负载均衡,把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了,他面对的任务可能是让几十台主机的服务都不正常。
所以说事先搜集情报对DDoS攻击者来说是非常重要的,这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下,在相同的条件下,攻击同一站点的2台主机需要2台傀儡机的话,攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好,不管你有多少台主机我都用尽量多的傀儡机来攻就是了,反正傀儡机超过了时候效果更好。
但在实际过程中,有很多黑客并不进行情报的搜集而直接进行DDoS的攻击,这时候攻击的盲目性就很大了,效果如何也要靠运气。其实做黑客也象网管员一样,是不能偷懒的。一件事做得好与坏,态度最重要,水平还在其次。
2. 占领傀儡机
黑客最感兴趣的是有下列情况的主机:
链路状态好的主机
性能好的主机
安全管理水平差的主机
这一部分实际上是使用了另一大类的攻击手段:利用形攻击。这是和DDoS并列的攻击方式。简单地说,就是占领和控制被攻击的主机。取得最高的管理权限,或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说,准备好一定数量的傀儡机是一个必要的条件,下面说一下他是如何攻击并占领它们的。
首先,黑客做的工作一般是扫描,随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器,象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊),都是黑客希望看到的扫描结果。随后就是尝试入侵了,具体的手段就不在这里多说了,感兴趣的话网上有很多关于这些内容的文章。
总之黑客现在占领了一台傀儡机了!然后他做什么呢?除了上面说过留后门擦脚印这些基本工作之外,他会把DDoS攻击用的程序上载过去,一般是利用ftp。在攻击机上,会有一个DDoS的发包程序,黑客就是利用它来向受害目标发送恶意攻击包的。
3. 实际攻击
经过前2个阶段的精心准备之后,黑客就开始瞄准目标准备发射了。前面的准备做得好的话,实际攻击过程反而是比较简单的。就象图示里的那样,黑客登录到做为控制台的傀儡机,向所有的攻击机发出命令:"预备~ ,瞄准~,开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击,他们不会"怜香惜玉"。
老到的攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机,在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。
黑客常用的扫描器是怎样的存在?
在Internet安全领域,扫描器是常用攻击工具之一。许多网络入侵是从扫描开始的。利用扫描器能够找出目标主机的各种安全漏洞,尽管其中的一些漏洞早已公布于众,但在许多系统中仍然存在,于是给了外部入侵以可乘之机。
扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器,我们可以自动发现系统的安全缺陷。不同的扫描器检查不同的安全漏洞,但一般来说归结为两种类型:
主机系统扫描器;
网络扫描器。
主机系统扫描器用来扫描查找本地主机的安全漏洞,这些漏洞经常是错误的文件权限配置和默认帐号。主机系统扫描器的最常见工具是COPS(Computer Oracle and Password System) ,它是用来检查UNIX系统的常见安全配置问题和系统缺陷。网络扫描器是通过检查可用的端口号和服务,查找远程攻击者所能利用的安全缺陷。SATAN(System Administrator’s Tool for Analyzing Networks)是一个著名的网络扫描器,它可以用来发现以下方面的漏洞:
文件传输协议漏洞;
网络文件系统漏洞;
网络信息服务口令漏洞;
远程shell访问漏洞;
Sendmail漏洞漏洞;
普通文件传输协议漏洞;
X服务器安全和访问控制。
另外,还有SAINT、ISS 、NESSUS、NMAP 等有名的网络扫描器。由于网络系统中有新的漏洞出现,所以扫描器要不断地更新的检查漏洞库或检查程序。
工作原理
尽管从技术的角度来看,主机系统扫描器和网络扫描器不尽同,但是它们具有共同的特征。其中,就是扫描器的检测机制。大多数扫描器按上图所示的工作流程工作。
以网络扫描器为例,我们分析扫描器的工作原理。网络扫描器是通过连接远程TCP/IP不同的端口的服务,并记录目标给予的回答,就可以搜集到很多关于目标主机的各种有用的信息(如是否能用匿名登录访问FTP服务,是否有可写的FTP目录,是否能用Telnet,HTTPD是用Root还是普通用户在运行)。
当目标主机运行的是Unix操作系统时,通常提供了较多的服务。可以对该主机的端口扫描一遍,检测它提供了哪些服务。例如,扫描主机192.168.0.68的10到100之间的端口,结果如下:
$portscan 192.168.0.68 10 100
192.168.0.68 21 accepted
192.168.0.68 23 accepted
192.168.0.68 25 accepted
192.168.0.68 80 accepted
可以看出,主机192.168.0.68在21、23、25和80这些端口都提供服务。对于1024以下的端口,端口号与服务的对应是固定的。例如:
21对应的是FTP服务
23对应的是telnet服务
25对应的是mail服务
80对应的是Web服务
在Unix系统中,还有一些可以扫描某些特定服务的工具,用于观察某一特定服务进程是否正在远程主机上运行。例如,rusers和finger,这两个都是Unix命令。通过这两个命令,你能收集到目标计算机上的有关用户的消息。使用rusers命令,产生的结果如下示意:
wh yjb.dcs:ttyp1 Nov 13 15:42 7:30 (remote)
root yjb.dcs:ttyp2 Nov 13 14:57 7:21 (remote)
显示了通过远程登录的用户名,还包括上次登录时间、使用的Shell类型等信息。使用finger可以产生类似下面的结果:
user S00 PPP ppp-122-pm1.wiza Thu Nov 14 21:29:30 - still logged in
user S15 PPP ppp-119-pm1.wiza Thu Nov 14 22:16:35 - still logged in
user S04 PPP ppp-121-pm1.wiza Fri Nov 15 00:03:22 - still logged in
user S03 PPP ppp-112-pm1.wiza Thu Nov 14 22:20:23 - still logged in
这个命令能显示用户的状态。该命令是建立在客户/服务模型之上的。用户通过客户端软件向服务器请求信息,然后解释这些信息,提供给用户。在服务器上需要运行fingerd程序,根据服务器的配置,能向客户提供某些信息。若考虑到保护这些个人信息,有可能许多服务器不提供这个服务,或者只提供一些无关的信息。
对于一个功能较完备的扫描器,它能对操作系统与服务程序存在的各种系统漏洞和Bug进行检测。为了实现该项功能,需要检查各个系统配置文件,例如,
/etc/passwd 口令文件
/etc/hosts 主机列表文件
/etc/networks 网络列表文件
/etc/protocols 协议列表文件
/etc/services 服务列表文件
/etc/hosts.equiv 主机信任列表文件
比较成熟的扫描器,如SATAN,Nessus,ISS等,都能对这些配置文件进行细致的检测,并给出完整的报告和建议。
黑客攻击与木马问题
你的问题太大了,一言难尽。先给你发一片转载的文章。
黑客常见攻击步骤
黑客常用的攻击步骤可以说变幻莫测,但纵观其整个攻击过程,还是有一定规律可循的,一般可以分:攻击前奏'实施攻击'巩固控制'继续深入几个过程.下面我们来具体了解一下这几个过程.
1攻击前奏
黑客在发动攻击目标'了解目标的网络结构,收集各种目标系统的信息等.
锁定目标:网络上上有许多主机,黑客首先要寻找他找的站点的.当然能真正标识主机的是lp地址,黑客会利用域名和lp地址就可以顺利地找到目标主机.
了解目标的网络结构:
确定要攻击的目标后,黑客就会设法了解其所在的网络结构,哪里是网关'路由,哪里有防火墙,ids,哪些主机与要攻击的目标主机关系密切等,最简单地就是用tracert命令追踪路由,也可以发一些数据包看其是否能通过来猜测其防火墙过滤则的设定等.当然老练的黑客在干这些的时候都会利用别的计算机来间接的探测,从而隐藏他们真实的lp地址.
收集系统信息:
在收集到目标的第一批网络信息之后,黑客会对网络上的每台主机进行全面的系统分析,以寻求该主机的安全漏洞或安全弱点.收集系统信息的方法有:开放端口分析利用信息服务'利用安全扫描器,社会工程.开放端口分析.首先黑客要知道目标主机采用的是什么操作系统什么版本,如果目标开放telnet服务,那只要telnet (目标主机),就会显示"digitalunlx(xx.xx.xx.)(ttypl)login:"这样的系统信息.接着黑客还会检查其开放端口进行服务分析,看是否有能被利用的服务.因特网上的主机大部分都提供。
www、mail、ftp、teinet等日常网络服务,通常情况下telnet服务的端口是23等,www服务的端口是80,ftp服务的口是23,利用信息服务.像snmp服务、traceroute程序、whois服务可用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节,traceroute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数,whois协议服务能提供所有有关的dns域和相关的管理参数,finger协议可以用finger服务来获取一个指一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等).所有如果没有特殊的需要,管理员应该关闭这些服务.利用安扫描器,收集系统信息当然少不了安全扫描器黑客会利用一些安全扫描器来帮他们发现系统的各种漏洞,包括各种系统服务漏洞,应用软件漏洞,cgi,弱口令用户等等.(关于社会工程收集信息在攻击方法篇中有具体介绍).
2实施攻击
当黑客探测到了足够的系统信息,对系统的安全弱点有了了解后就会发动攻击,当然他们会根据不同的网络结构、不同的系统情况而采用的不同的攻击手段.一般,黑客攻击的终极目的是能够控制目标系统,窃取其中的机密文件等,但并不是每次黑客攻击都能够得逞控制目标主机的目的的,所以有时黑客也会发动拒绝服务攻击之类的干扰攻击,使系统不能正常工作.关于黑客上具体采用的一些攻击方法我们在下面黑客攻击方法中有详细的介绍,这里就不细说了.
3巩固控制
黑客利用种种手段进入目标主机系统并获得控制权之后,不是像大家想象的那样会马上进行破坏活动,删除数据、涂改网页等,那是毛头小伙子们干的事情.一般入侵成功后,黑客为了能长时间表的保留和巩固他对系统的控制权,不被管理员发现,他会做两件事:清除记录和留下后门.日志往往会记录上一些黑攻击的蛛丝马迹,黑客当然不会留下这些"犯罪证据",他会把它删了或用假日志覆盖它,为了日后面以不被觉察地再次进入系统,黑客会更改某些系统设置、在系统中置入、特洛伊木马或其他一些远程操纵程序.
4继续深入
清除日志、删除拷贝的文件等腰三角形手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动;窃取主机上的各种敏感信息:软件资料、客户名单、财务报表,信用卡号等等,也可能是什么都不动,只是把你的系统作为他存放黑客程序或资料的仓库,也可能黑客会利用这台已经攻陷的主机去继续他下一步的攻击,如:继续入侵内部网络,或者利用这台主机发动d.o.s攻击使网络瘫痪.
网络世界瞬息万变,黑客们各有不同,他们的攻击流程也不会全相同,上面我们提的攻击步骤是对一般情况而言的,是绝大部分黑客正常情况下采用的攻击步骤.
再给你发个网站链接
等你都学懂了,这些问题自然就明白了。
网络安全处理过程?
网络安全应急响应是十分重要的,在网络安全事件层出不穷、事件危害损失巨大的时代,应对短时间内冒出的网络安全事件,根据应急响应组织事先对各自可能情况的准备演练,在网络安全事件发生后,尽可能快速、高效的跟踪、处置与防范,确保网络信息安全。就目前的网络安全应急监测体系来说,其应急处理工作可分为以下几个流程:
1、准备工作
此阶段以预防为主,在事件真正发生前为应急响应做好准备。主要包括以下几项内容:制定用于应急响应工作流程的文档计划,并建立一组基于威胁态势的合理防御措施;制定预警与报警的方式流程,建立一组尽可能高效的事件处理程序;建立备份的体系和流程,按照相关网络安全政策配置安全设备和软件;建立一个支持事件响应活动的基础设施,获得处理问题必备的资源和人员,进行相关的安全培训,可以进行应急响应事件处理的预演方案。
2、事件监测
识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵,需要确定系统和数据被入侵到了什么程度。入侵响应需要管理层批准,需要决定是否关闭被破坏的系统及是否继续业务,是否继续收集入侵者活动数据(包括保护这些活动的相关证据)。通报信息的数据和类型,通知什么人。主要包括以下几种处理方法:
布局入侵检测设备、全局预警系统,确定网络异常情况;
预估事件的范围和影响的严重程度,来决定启动相应的应急响应的方案;
事件的风险危害有多大,涉及到多少网络,影响了多少主机,情况危急程度;
确定事件责任人人选,即指定一个责任人全权处理此事件并给予必要资源;
攻击者利用的漏洞传播的范围有多大,通过汇总,确定是否发生了全网的大规模入侵事件;
3、抑制处置
在入侵检测系统检测到有安全事件发生之后,抑制的目的在于限制攻击范围,限制潜在的损失与破坏,在事件被抑制以后,应该找出事件根源并彻底根除;然后就该着手系统恢复,把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。
收集入侵相关的所有资料,收集并保护证据,保证安全地获取并且保存证据;
确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务;
通过对有关恶意代码或行为的分析结果,找出事件根源明确相应的补救措施并彻底清除,并对攻击源进行准确定位并采取措施将其中断;
清理系统、恢复数据、程序、服务,把所有被攻破的系统和网络设备彻底还原到正常的任务状态。
4、应急场景
网络攻击事件:
安全扫描攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击;
暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限;
系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击;
WEB漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击;
拒绝服务攻击:通过大流量DDOS或者CC攻击目标,使目标服务器无法提供正常服务;
信息破坏事件:
系统配置遭篡改:系统中出现异常的服务、进程、启动项、账号等等;
数据库内容篡改:业务数据遭到恶意篡改,引起业务异常和损失;
网站内容篡改事件:网站页面内容被黑客恶意篡改;
信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露.
