扫描和嗅探
黑客在攻击之前首先会在计算机中搭建虚拟环境,从而使用黑客工具进行模拟攻击,这样黑客工具对虚拟机造成了破坏,也可以很快恢复,且不会影响自己本来的计算机系统。至于如何搭建虚拟环境,网络上有很多文章描述,这里就不赘述了。
确定目标主机IP地址
只有设置好网关的IP地址,TCP/IP协议才能实现不同网络之间的相互通信。网关IP地址是具有路由功能的设备IP地址,具有路由功能的设备有路由器、启用了路由协议的服务器(实质上相当于一台路由器)、代理服务器(也相当于一台路由器)。
1. 获取本机IP地址
这一步在之前的文章里描述过,可以在Command命令窗中输入ipconfig命令查看本机IP地址,网关地址等信息;运行netstat -n命令可查看本机IP地址;使用Ping命令查看网站的IP地址信息;使用nslookup查看网站的详细信息。
提示:nslookup命令查看网站的详细信息时,Address中IP地址是本机所在域的DNS服务器,Address是被查看的网站所使用的Web服务器群的IP地址。
2. 获取Internet中其他计算机的IP地址
若要获取Internet中其他计算机的IP地址,首先需要与目标计算机建立通信,然后再利用netstat -n命令查看目标计算机的IP地址。
当计算机中拥有多个出于ESTABLISHED状态的连接时,需要学会如何利用端口查看目标主机的IP地址。
3. 获取指定网站的IP地址
这个方法比较简单,只需要“ping+网站网址”即可实现,但是在使用该命令之前,必须确保计算机已成功连接Internet。
了解网站备案信息
在Internet中,任何一个网站在正式发布之前都需要向有关机构申请域名,申请到的域名信息将会保存在域名管理机构的数据库服务器中,并且域名信息常常是公开的,任何人都可以对其进行查询,这些信息统称为网站的备案信息,这些信息对于黑客来说就是有用的信息,利用这些信息可以了解该网站的相关信息,以确定入侵攻击的方式和侵入点。
如新浪网,进入新浪首页:http://www.sina.com.cn/,下拉滚动条,在底端可看见网站备案信息:
点击它,即可查看到网站备案信息:
确定可能开放的端口和服务
在默认情况下,有很多不安全或没有用的端口是开启的,如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口等。攻击者可以使用扫描工具对目标主机进行扫描,可以获得目标计算机打开的端口情况,还可了解目标计算机提供了哪些服务。
查看本机开启的端口:netstat -a -n,在运行结果中,可以看到以数字形式显示的TCP和UDP连接的端口号及其状态。查看指定IP开启的端口:Nmap是一款非常流行基于命令格式的端口扫描软件,Nmap对端口扫描有三种方式--TCP connect()端口扫描(全连接扫描),TCP同步端口扫描(半连接扫描),UDP端口扫描。
扫描的实施与防范
黑客在确定攻击目标时,通常会使用一些专门的扫描工具对目标计算机或某个IP范围内的计算机进行扫描,从扫描结果中分析这些计算机的弱点,从而确定攻击目标和攻击手段。
黑客通过端口扫描器可在系统中寻找开放的端口和正在运行的服务,从而知道目标主机操作系统的详细信息。目前网络中大量主机/服务器的口令为空或口令过于简单,黑客只需利用专用扫描器,就可以轻松控制存在这种弱口令的主机--小榕黑客字典,弱口令扫描器Tomcat。
入侵者常常利用一些专门的扫描工具对目标主机的端口进行扫描,目前可以用来扫描端口的扫描工具很多,比较常见的有FreePortScanner, ScanPort。
X-Scan是由安全焦点开发的一个功能强大的工具,它采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。
用X-Scan查看本机IP地址-->添加IP地址到X-Scan中-->使用X-Scan扫描并查看生成的扫描报告,其中显示了活动主机IP地址、存在的漏洞和其他安全隐患,同时还提出了安全隐患的解决方案。
X-Scan扫描工具不仅可以扫描目标计算机的开放端口及存在的安全隐患,而且还具有目标计算机物理地址查询、检测本地计算机网络信息和ping目标计算机的功能。
ProtectX是一款在用户连接网络时保护电脑的工具,可以同时监视20个端口,还可以帮助追踪攻击者的来源。一旦任何人尝试入侵连接到用户的电脑,即可发出声音警告并将入侵者的IP地址录下来,可以防止黑客入侵。
ProtectX提供了几项实用的功能组件,依次是端口安全、特洛伊安全、Identd服务等。
嗅探的实施与防范
嗅探器是一种监视网络数据运行的软件设备,嗅探器既能用于合法网络管理也能用于窃取网络信息。网络运作和维护都可以采用嗅探器,如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等。正因为如此,黑客常用它作为攻击武器。
网络通信分析工具Iris可以帮助系统管理员轻易地捕获和查看进出网络的数据包,进行分析和解码并生成多种形式的统计图表,还可以探测本机端口和网络设备的使用情况,有效地管理网络通信。尽管Iris嗅探器功能强大,但它也有一个致命的弱点,黑客必须入侵一台主机才可以使用嗅探工具,因为只有在网段内部才可以有广播数据,而网络之间是不会有广播数据的,所以Iris嗅探器的局限性就在于只能使用在目标网段上。
艾菲网页侦探是一个HTTP协议的网络嗅探器,协议捕捉器和HTTP文件重建工具,可以捕捉局域网内的含有HTTP协议的IP数据包并对其进行分析,找出符合过滤器的HTTP通信内容,可以看到网络中其他人都在浏览哪些HTTP协议的IP数据包,并对其进行分析。特别适合用于企业主管对公司员工的上网情况进行监控。
网络执法官,是一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机(各种计算机、交换机等配有IP的网络设备)进行监控,采用网卡号(MAC地址)识别用户等。其主要功能是依据管理员为各主机限定的权限,实时监控整个局域网,并自动对非法用户进行管理,可将非法用户与网络中某些主机或整个网络隔离,而且无论局域网中的主机运行何种防火墙,都不能逃避监控,也不会引发防火墙警告,提高了网络安全性。