本文详细解析了黑客常用的八种攻击方法及其入侵流程。内容包括口令攻击(社会工程学、字典攻击、暴力破解)、网络监听、缓冲区溢出、拒绝服务攻击(DoS/DDoS)、SQL 注入、木马攻击、社会工程学攻击以及完整的黑客攻击生命周期(信息收集、漏洞扫描、权限获取、维持访问、消除踪迹)。文章不仅阐述了各类攻击的原理和手段,还提供了针对性的防御措施和安全加固建议,旨在帮助技术人员理解攻击逻辑以提升系统安全防护能力。
口令是网络信息系统的第一道防线。当前的网络信息系统大多是通过口令来验证用户身份、实施访问控制的。虽然存在短信认证、图形认证等生物特征或二次验证方式,但口令认证依然是主流。
口令攻击是指黑客以口令为攻击目标,破解合法用户的口令,或避开口令验证过程,然后冒充合法用户潜入目标网络系统,夺取目标系统控制权的过程。如果口令攻击成功,黑客进入了目标网络系统,便能随心所欲地窃取、破坏和篡改被侵入方的信息,直至完全控制被侵入方。
1. 社会工程学攻击 社会工程学攻击即通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。例如伪装成 IT 支持人员打电话索要密码,或利用钓鱼邮件诱导用户输入凭证。
2. 猜测攻击 首先,使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。
3. 字典攻击 如果人工猜测攻击不成功,攻击者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。据报道,对于一个有 10 万个英文单词的集合来说,入侵者不到两分钟就可试完。所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。
4. 穷举攻击(暴力破解) 如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。一般从长度为 1 的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么 86% 的口令可以在一周内破译出来。针对这种攻击的防护措施主要是设置的口令要足够长,并且复杂。例如,至少 8 位以上,数字 + 符号 + 大小写组合就行了。
5. 混合攻击 混合攻击结合了字典攻击和穷举攻击,先进行字典攻击,再进行暴力攻击。这种方式大大提高了破解效率。
在网络空间环境中,网络监听是一种用来监视网络状态、数据流程以及网络上信息传输的管理工具。它可以将网络功能设定成监听模式,这样就可以截获网络上所传输的信息。也就是说,当攻击者登录网络主机并取得超级用户权限后,若要登录其他主机,使用网络监听的方法可以有效地截获网络上的数据。
这是攻击者优先使用的方法。但是网络监听仅能应用于连接同一网段的主机,且通常用来获取用户口令或密码。
网上有许多网络监听工具,例如 Wireshark, Sniffer Pro, NetXray, tcpdump 等。它们可以轻而易举地截取包括口令、账号等敏感信息。特别是在未加密的 HTTP 协议下,明文传输的数据极易被嗅探。
缓冲区溢出是指用户向计算机缓冲区内填充的数据位数超过了缓冲区本身的容量时,溢出的数据覆盖了合法的数据。理想的情况是:检测程序会自行检查数据长度,并且不允许输入超过缓冲区长度的字符。
然而,绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下巨大的隐患。操作系统中使用的缓冲区,又称为'堆栈'。在各个操作系统进程之间,指令会被临时储存在'堆栈'当中,'堆栈'也会出现缓冲区溢出的情况。
缓冲区溢出攻击则是利用软件的缓冲区溢出漏洞进行的攻击。缓冲区溢出漏洞是一种非常普遍而且非常危险的漏洞,它在操作系统和应用软件中广泛存在。利用缓冲区溢出攻击,能导致程序运行失败、系统关机、重新启动、内存异常、CPU 运行异常等严重后果。
拒绝服务攻击,英文名称是 Denial of Service,简称 DoS,即拒绝服务。DoS 攻击即攻击者想办法让目标主机或系统拒绝提供服务或资源访问,这些资源包括 CPU、磁盘空间、内存、进程、网络带宽等,从而阻止正常用户的访问。
针对这种攻击的防护,主要是通过防火墙来实现的。
分布式拒绝服务 (Distributed Denial of Service,DDoS) 攻击,是使用网络上两个或两个以上被攻陷的计算机作为'僵尸'向特定的目标发动'拒绝服务'式攻击。这种攻击是以 DoS 攻击为基础,但是效果要比 DoS 攻击强很多。
SQL 注入攻击是攻击者对数据库进行攻击的常用方法之一。
随着 B/S 模式应用开发的广泛使用,采用这种模式编写的应用程序也越来越多。然而由于程序员之间的水平及经验也存在差距,很多程序员在编写代码的时候,没有对用户输入数据的合法性进行验证,使应用程序存在许多安全隐患。
攻击者可以提交一段用 SQL 语言编写的数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL 注入攻击(SQL Injection)。常见的注入类型包括联合查询注入、报错注入、盲注等。
木马程序可以直接侵入用户的计算机并进行破坏,它常被伪装成工具程序或者游戏等,诱使用户打开带有木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序,它们就会在计算机系统中隐藏一个可以在启动时悄悄执行的程序。这种远程控制工具可以完全控制受害主机,危害极大。
完整的木马程序一般由两部分组成:一个是服务器端,另一个是客户端(也叫控制器端)。'中了木马'就是指安装了木马的服务器端程序。若你的计算机被安装了服务器端程序,则拥有相应客户端的人就可以通过网络控制你的计算机,为所欲为。这时你计算机上的各种文件、程序,以及正在使用的账号、密码就无安全可言了。这里注意受害者安装的是服务器端,攻击者用的是客户端,不能反了。如果反了就被别人控制了。
社会工程学攻击是一种利用人的弱点,以顺从人的意愿、满足人的欲望的方式,让受害者上当受骗的方法。
社会工程学的基本攻击目标和其他攻击方法基本相同,目的都是为了获得目标系统的未授权访问路径或重要信息,从事网络入侵、信息盗取、身份盗取,或者仅仅是扰乱系统或网络,或是为了骗取受害人的钱财等。
这一阶段主要为信息收集,收集的信息包括网络信息(域名、IP 地址、网络拓扑)、系统信息(操作系统版本、开放的各种网络服务版本)、用户信息(用户标识、组标识、共享资源、即时通信软件账号、邮件账号)等。
通过扫描工具对目标主机或网络进行扫描,扫描的主要目的如下。
常用的几种公开的扫描工具,如 ISS(Internet Security Scanner)和 SATAN(Security Analysis Tool for Auditing Networks),可以对整个域或子网进行扫描并寻找安全漏洞。这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集到的信息来获得对目标系统的非法访问权。
扫描到目标主机的信息之后,发起攻击。
主要目标是获得系统账号权限,并提升为 root 或 administrator 权限。攻击者拥有这一权限后,可以对操作系统进行任意操作。
root 权限是 UNIX/Linux 系统权限的一种,也叫根权限。它可以与 Windows 系统里的 system 权限理解成一个概念,但高于 Administrator 权限。root 是 Linux 和 UNIX 系统中的超级管理员用户,该用户拥有整个系统至高无上的权力,所有对象它都可以操作。
获得 root 权限之后就意味着已经获得了系统的最高权限,这时候就可以对系统中的任何文件(包括系统文件)执行所有增、删、改、查的操作。
后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,那么它就成为安全风险,容易被黑客当成漏洞进行攻击。
以攻击成功的主机为跳板,攻击其他主机,直到找到攻击者想要的东西。这被称为横向移动(Lateral Movement)。
消除所有攻击痕迹,以防止被计算机管理员发现。这里最常用的方法就是把日志文件全部清除。此外,攻击者还会修改时间戳、隐藏进程、清除历史记录等,以达到持久化控制和隐蔽的目的。
网络安全是一个动态博弈的过程。了解黑客的攻击方法和流程,有助于我们更好地构建防御体系。通过强化口令管理、加密通信、修补漏洞、部署防火墙和入侵检测系统,并结合安全意识培训,可以显著降低被攻击的风险。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
