网络入侵技术已有数百种之多,并且随着计算机技术的发展和攻击工具的完善,攻击者并不需要高深的计算机技术就能够发起各种攻击。网络入侵主要是指利用接入网络的计算机的漏洞进行非法侵入,即攻击者利用非法的手段和程序取得了使用系统资源的权力。
网络入侵的一般模式:
(1)隐藏自己的位置。
入侵者为了防止自己身份被暴露,一般会隐藏自己的位置。
(2)网络刺探和信息搜集。
入侵者在隐藏好自己后,开始获取目标系统的信息,包括操作系统的类型和版本,提供的端口和服务等信息。当搜集到足够的信息后,便可勾勒出对方整个网络的布局。
(3)找出存有安全漏洞的网络成员。
当入侵者得到目标网络中的主机、服务清单后,便利用漏洞扫描工具寻找这些主机的漏洞。一般的漏洞扫描工具都会对默认帐户、空口令、弱口令、共享、空链接、服务、端口等进行扫描。
(4)利用漏洞获得对系统访问的权力。
入侵者一般选择一台爆楼在Internet上或DMZ中存在安全漏洞的主机进行尝试,利用其运行的有漏洞的服务进程获取控制权。有漏洞的服务进程包括SMTP、IMAP、POP3的各个存在漏洞的服务器版本,以及RPC服务中诸如statd、mountd服务等。一旦成功入侵,再以此为跳板,设法进入内部网络。
(5)提升自己对系统的控制能力。
入侵者进一步提升自己的权限,称为系统管理员。
(6)安装后门程序。
入侵者成功入侵系统后一般会安装一些后门程序,以便以后能够不被察觉地再次进入系统。
(7)信息窃取、破坏系统、网络瘫痪
此时入侵者成功入侵系统,拥有对系统的完全控制能力,同时有安装了后门程序,接着便要达到其入侵的目的,一般是窃取敏感信息;利用该系统作为跳板对其他网络用户进行攻击(如ARP),使网络瘫痪;使之成为“僵尸网络”中一员,对其他网络用户进行攻击(如DDOS);破坏系统(如格式化磁盘、删除系统文件、重要信息等),黑客很少会这样做,除非这台机器已失去了利用价值。
(8)消除入侵痕迹。
为防止入侵行为暴露,入侵者会检查主机的所有日志系统,清除自己在主机内活动的所有痕迹。
(9)攻击其他主机和网络
如果入侵者的入侵母的没有达到,他将利用该系统作为跳板对其他系统进行攻击,重复上述过程。
这里给出的是入侵一般模式只是入侵过程的一般规律,也就是说,并非每次入侵都是严格按照以上的9个步骤一步一步地执行的。实际的入侵过程中可能会省略其中的一步或几步。
[ 本帖最后由 还是我自己 于 2008-6-12 13:30 编辑 ] |
|