黑客攻擊技術(shù)研究

陳海紅，閆利華

（赤峰學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)系，內(nèi)蒙古 赤峰 024000）

黑客攻擊技術(shù)研究

陳海紅，閆利華

（赤峰學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)系，內(nèi)蒙古 赤峰 024000）

信息網(wǎng)絡(luò)的建設(shè)和發(fā)展給整個(gè)社會(huì)的科學(xué)與技術(shù)、經(jīng)濟(jì)與文化帶來了巨大的推動(dòng)和沖擊，同時(shí)也給網(wǎng)絡(luò)的安全運(yùn)行帶來更多的挑戰(zhàn).要想更好地保護(hù)網(wǎng)絡(luò)不受黑客的攻擊，就必須對(duì)黑客的攻擊方法、攻擊原理、攻擊過程有深入的、詳細(xì)的了解，只有這樣才能更有效、更具有針對(duì)性地進(jìn)行主動(dòng)防護(hù).本文分析了黑客攻擊的策略及相關(guān)特征，并給出了一個(gè)攻擊實(shí)例演示.

黑客；木馬；欺騙；ARP

黑客一詞是由英語Hacker英譯出來的，是指專門研究、發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)漏洞的計(jì)算機(jī)愛好者.最初黑客是個(gè)褒義詞，專指那些盡力挖掘計(jì)算機(jī)程序的最大潛力的電腦精英.但是，隨著網(wǎng)絡(luò)的普及，黑客的形象已經(jīng)有所變化，往往掌握了幾個(gè)黑客工具使用方法的一些電腦愛好者，也到處自稱“黑客”.所以到了現(xiàn)在，我們平時(shí)說到“黑客”時(shí)，一般都是指那些利用自身掌握的計(jì)算機(jī)技術(shù)，攻擊入侵破壞系統(tǒng)和盜竊系統(tǒng)有用數(shù)據(jù)的人.

1 現(xiàn)狀

我國(guó)計(jì)算機(jī)用戶遭受黑客攻擊次數(shù)年均上升至少10%，增長(zhǎng)速度與發(fā)達(dá)國(guó)家基本相同.每年因黑客入侵、計(jì)算機(jī)病毒的破壞給企業(yè)造成的損失令人觸目驚心.

2006年8月25日，光大證券陽光網(wǎng)(http://www.ebscn.com)“光大證券新版網(wǎng)上交易系統(tǒng)”、“光大證券專業(yè)分析版2003”、“光大證券金典2005”等多款軟件的安裝程序捆綁了木馬.

2006年9月12日17：30，百度遭受有史以來最大規(guī)模的不明身份黑客攻擊；導(dǎo)致百度搜索服務(wù)在全國(guó)各地出現(xiàn)了近30分鐘的故障.

2007年3月14日22點(diǎn)，灰鴿子木馬團(tuán)伙調(diào)動(dòng)上萬臺(tái)“肉雞”構(gòu)成的“僵尸網(wǎng)絡(luò)”，對(duì)金山毒霸官方網(wǎng)站www.duba.net，進(jìn)行瘋狂攻擊，造成瀏覽金山毒霸官網(wǎng)的部分用戶被挾持到幕后黑手指定的不法網(wǎng)站.

新京報(bào)報(bào)道，2007年5月30日下午3點(diǎn)左右，財(cái)政部官方網(wǎng)站（www.mof.gov.cn/）被發(fā)現(xiàn)無法登錄.截至晚7點(diǎn)左右，網(wǎng)民反映該網(wǎng)恢復(fù)正常.（財(cái)政部決定從2007年5月30日起，調(diào)整證券（股票）交易印花稅稅率，由現(xiàn)行1‰調(diào)整為3‰）

2007年8月12日，聯(lián)合國(guó)官方網(wǎng)站被入侵，聯(lián)合國(guó)秘書長(zhǎng)潘基文的講話和聲明被換成了黑客的聲明.

除此外還有很多人利用病毒來牟取私利.

2006年12月15日,深圳晶報(bào)報(bào)道：一伙平均年齡僅21歲的“網(wǎng)絡(luò)大盜”一年內(nèi)盜取QQ號(hào)、Q幣數(shù)百萬個(gè),通過網(wǎng)絡(luò)交易平臺(tái)售賣,非法牟利70余萬元,涉案人員有44名.

“熊貓燒香”的病毒稱為盈利型病毒在這種病毒的產(chǎn)業(yè)鏈條中，當(dāng)一部分人利用病毒在網(wǎng)上盜取虛擬裝備時(shí)，往往會(huì)要求制造病毒的人員“生產(chǎn)”出特定的病毒.

2 常見的黑客攻擊策略

2.1 漏洞.顧名思義就是有缺陷的地方，而所謂的系統(tǒng)或軟件的漏洞當(dāng)然就是在程序設(shè)計(jì)上的問題或考慮不夠周密（也可算是bug），造成黑客可以利用這些漏洞進(jìn)行入侵、攻擊或其他黑客任務(wù)，象微軟的windows，IE，IIS等產(chǎn)品，都存在許多的漏洞.這是最常見的一種攻擊方式，黑客通常在有漏洞的軟件中下達(dá)命令、利用針對(duì)該漏洞的工具、自己設(shè)計(jì)的針對(duì)該漏洞的工具等方式來入侵、攻擊或其他黑客行為.

2.2 木馬（Trojan Horse），是從希臘神話里面的“特洛伊木馬”得名的，希臘人在一只巨大的木馬中藏匿了許多希臘士兵并引誘特洛伊人將它運(yùn)進(jìn)城內(nèi)，等到夜里馬腹內(nèi)士兵與城外士兵里應(yīng)外合，一舉攻破了特洛伊城.“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，從而使攻擊者打開被攻擊者電腦的門戶，任意毀壞、竊取被攻擊者的文件，甚至遠(yuǎn)程操控被攻擊者的電腦.“木馬”與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒有很強(qiáng)的隱蔽性的話，那就是“毫無價(jià)值”的.

2.3 協(xié)議欺騙攻擊技術(shù).針對(duì)網(wǎng)絡(luò)協(xié)議的缺陷，采用某種欺騙的手段，假冒身份以截獲信息或取得相關(guān)特權(quán)的攻擊方式.主要的協(xié)議欺騙攻擊方式有：IP欺騙、ARP欺騙、DNS欺騙、源路由欺騙等.

IP欺騙攻擊：IP欺騙技術(shù)就是通過偽造某臺(tái)主機(jī)的IP地址騙取特權(quán)從而進(jìn)行攻擊的技術(shù).

ARP欺騙攻擊：ARP欺騙攻擊就是利用ARP協(xié)議漏洞，通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙的攻擊技術(shù).

DNS欺騙攻擊：攻擊者采用種種欺騙手段，使用戶查詢DNS服務(wù)器進(jìn)行域名解析時(shí)獲得一個(gè)錯(cuò)誤的地址結(jié)果，從而可將用戶引導(dǎo)到錯(cuò)誤的互聯(lián)網(wǎng)站點(diǎn)，或者發(fā)送一個(gè)電子郵件到一個(gè)未經(jīng)授權(quán)的郵件服務(wù)器等，這就是DNS欺騙.

源路由欺騙攻擊：通過指定路由，以假冒身份與其他主機(jī)進(jìn)行合法通信或發(fā)送假報(bào)文，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤動(dòng)作，這就是源路由欺騙攻擊.

2.4 口令攻擊.不是一種具體的攻擊方式，而是一類攻擊的總稱，這類攻擊的攻擊目標(biāo)都是口令.攻擊者攻擊目標(biāo)時(shí)常常把破譯用戶的口令作為攻擊的開始.只要攻擊者能猜測(cè)或者確定用戶的口令，他就能獲得機(jī)器或者網(wǎng)絡(luò)的訪問權(quán)，并能訪問到用戶能訪問到的任何資源.如果這個(gè)用戶有域管理員或root用戶權(quán)限，這是極其危險(xiǎn)的.

這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的帳號(hào)，然后再進(jìn)行合法用戶口令的破譯.獲得普通用戶帳號(hào)的方法很多，如：利用目標(biāo)主機(jī)的Finger功能；利用目標(biāo)主機(jī)的X.500服務(wù)；從電子郵件地址中收集；查看主機(jī)是否有習(xí)慣性的帳號(hào).

2.5 緩沖區(qū)溢出漏洞攻擊（Buffer Overflow Attack）.一種利用緩沖區(qū)溢出漏洞而對(duì)系統(tǒng)進(jìn)行攻擊的方式.

緩沖區(qū)是內(nèi)存中存放數(shù)據(jù)的地方.在程序試圖將數(shù)據(jù)放到機(jī)器內(nèi)存中的某一個(gè)位置的時(shí)候，因?yàn)闆]有足夠的空間就會(huì)發(fā)生緩沖區(qū)溢出.而人為的溢出則是有一定企圖的，攻擊者寫一個(gè)超過緩沖區(qū)長(zhǎng)度的字符串，植入到緩沖區(qū)，然后再向一個(gè)有限空間的緩沖區(qū)中植入超長(zhǎng)的字符串，這時(shí)可能會(huì)出現(xiàn)兩個(gè)結(jié)果：一是過長(zhǎng)的字符串覆蓋了相鄰的存儲(chǔ)單元，引起程序運(yùn)行失敗，嚴(yán)重的可導(dǎo)致系統(tǒng)崩潰；另一個(gè)結(jié)果就是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)root特級(jí)權(quán)限.

2.6 DoS攻擊(Denialof Service).即拒絕服務(wù)攻擊，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù).最常見的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊.帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求就無法通過.連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求.

而最近常被使用的 DDoS攻擊(DDoS：Distributed Denial of Service，分布式拒絕服務(wù))是從DoS攻擊基礎(chǔ)上發(fā)展而來的，與其區(qū)別在于DDoS攻擊將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，同時(shí)也更難追查到攻擊來源.

3 協(xié)議欺騙攻擊實(shí)例

ARP表是IP地址和MAC地址的映射關(guān)系表，任何實(shí)現(xiàn)IP協(xié)議棧的設(shè)備，一般情況下都通過該表維護(hù)IP地址和MAC地址的對(duì)應(yīng)關(guān)系，這是為了避免ARP解析而造成的廣播數(shù)據(jù)對(duì)網(wǎng)絡(luò)造成沖擊.ARP表的建立一般是通過二個(gè)途徑：

3.1 主動(dòng)解析.如果一臺(tái)計(jì)算機(jī)想與另外一臺(tái)不知道MAC地址的計(jì)算機(jī)通信，則該計(jì)算機(jī)主動(dòng)發(fā)ARP請(qǐng)求，通過ARP協(xié)議建立（前提是這兩臺(tái)計(jì)算機(jī)位于同一個(gè)IP子網(wǎng)上）；

3.2 被動(dòng)請(qǐng)求.如果一臺(tái)計(jì)算機(jī)接收到了一臺(tái)計(jì)算機(jī)的ARP請(qǐng)求，則首先在本地建立請(qǐng)求計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表.

因此，針對(duì)ARP表項(xiàng)，一個(gè)可能的攻擊就是誤導(dǎo)計(jì)算機(jī)建立的ARP表.根據(jù)ARP協(xié)議，如果一臺(tái)計(jì)算機(jī)接收到了一個(gè)ARP請(qǐng)求報(bào)文，在滿足下列兩個(gè)條件情況下，該計(jì)算機(jī)會(huì)用ARP請(qǐng)求報(bào)文中的源IP地址和源MAC地址更新自己的ARP緩存：

1)如果發(fā)起該ARP請(qǐng)求的IP地址在自己本地的ARP緩存中.

2)請(qǐng)求的目標(biāo)IP地址不是自己的.

本實(shí)驗(yàn)在赤峰學(xué)院計(jì)算機(jī)系網(wǎng)絡(luò)協(xié)議仿真實(shí)驗(yàn)室中成功仿真，實(shí)驗(yàn)環(huán)境為：一組機(jī)器，共6臺(tái)，分別命名為 A、B、C、D、E、F；服務(wù)器一臺(tái)，裝有FTP、HTTP、TELNET、MAIL、DHCP、DNS 等服務(wù)；中心設(shè)備一臺(tái).

ARP地址欺騙過程，將主機(jī)A，C和D作為一組.

1)主機(jī)A和主機(jī)C使用“arp -a”命令察看并記錄ARP高速緩存.

圖1 主機(jī)A的ARP表

圖2 主機(jī)C的ARP表

A的MAC地址：002268-566464

C的MAC地址：002268-566AC8

2)主機(jī)A，C啟動(dòng)協(xié)議分析器開始捕獲數(shù)據(jù)并設(shè)置過濾條件（提取ARP協(xié)議和ICMP協(xié)議）.

3)主機(jī)A ping主機(jī)C.觀察主機(jī)A，C上捕獲到的ICMP報(bào)文，記錄MAC地址.

圖3 ICMP報(bào)文

4)主機(jī)D啟動(dòng)仿真編輯器向主機(jī)A編輯ARP請(qǐng)求報(bào)文.其中：

MAC層：

源MAC地址：主機(jī)D的MAC地址.

目的MAC地址：主機(jī)A的MAC地址.ARP層：

源MAC地址：主機(jī)D的MAC地址.

源IP地址：主機(jī)C的IP地址.

目的MAC地址：000000-000000.

目的IP地址：主機(jī)A的IP地址.

5)發(fā)送第4步所編輯的數(shù)據(jù)包.

6)觀察并記錄主機(jī)A和主機(jī)C的ARP高速緩存表.

從圖中我們看出主機(jī)A的ARP表中D的MAC地址已經(jīng)于C的IP地址綁定在一起了.

圖4 ARP請(qǐng)求報(bào)文

圖5 主機(jī)C的ARP表

圖6 主機(jī)A的ARP表

4 總結(jié)

無論對(duì)黑客的行為如何評(píng)價(jià)，沒有人會(huì)否認(rèn)黑客技術(shù)特別是早期的黑客對(duì)計(jì)算機(jī)技術(shù)發(fā)展所做出的貢獻(xiàn).在未來的社會(huì)中，黑客技術(shù)依然會(huì)是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展的一種補(bǔ)充動(dòng)力.特別是在計(jì)算機(jī)安全檢查維護(hù)方面，黑客技術(shù)將扮演著舉足輕重的角色.因此，我們也必須辨證地看待黑客技術(shù)和黑客現(xiàn)象.黑客技術(shù)的作用是雙面的，與一切科學(xué)技術(shù)一樣，黑客技術(shù)對(duì)網(wǎng)絡(luò)世界的作用取決于使用它的人及其動(dòng)機(jī).

〔1〕劉建偉，王育民.網(wǎng)絡(luò)安全-技術(shù)與實(shí)踐[M].清華大學(xué)出版社，2005.264-299.

〔2〕馬民虎，李嘉麗.計(jì)算機(jī)病毒“公害”防治法律對(duì)策研究[J].中國(guó)人民公安大學(xué)學(xué)報(bào)，2005(4).

〔3〕黑基.全面分析黑客常用九種攻擊方法[J].信息技術(shù)，2007(8).

〔4〕劉遠(yuǎn)生.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].清華大學(xué)出版社，2006.27-322.

〔5〕安向東，武新華，李虹.黑客攻防全攻略[M].北京:中國(guó)鐵道出版社，2006.

TP309

A

1673-260X（2010）01-0028-03