遠程控制與黑客入侵

第11章遠程控制與黑客入侵11.1遠程控制11.2黑客入侵11.3黑客攻擊與防范11.4ARP欺騙遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第1頁!11.1遠程控制11.1.1遠程控制概述遠程控制是在網(wǎng)絡上由一臺計算機（主控端Remote/客戶端）遠距離去控制另一臺計算機（被控端Host/服務器端）的技術，這里的遠程不是字面意思的遠距離，一般指通過網(wǎng)絡控制遠端計算機，大多數(shù)時候人們所說的遠程控制往往指在局域網(wǎng)中的遠程控制而言。當操作者使用主控端計算機控制被控端計算機時，就如同坐在被控端計算機的屏幕前一樣，可以啟動被控端計算機的應用程序，可以使用被控端計算機的文件資料，甚至可以利用被控端電腦的外部打印設備（打印機）和通信設備（調制解調器或者專線等）來進行打印和訪問互聯(lián)網(wǎng)，遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第2頁!11.1.2遠程控制軟件的原理遠程控制軟件一般分兩個部分:一部分是客戶端程序Client，另一部分是服務器端程序Server(或Systry)，在使用前需要將客戶端程序安裝到主控端計算機上，將服務器端程序安裝到被控端計算機上。它的控制的過程一般是先在主控端計算機上執(zhí)行客戶端程序，像一個普通的客戶一樣向被控端計算機中的服務器端程序發(fā)出信號，建立一個特殊的遠程服務，然后通過這個遠程服務，使用各種遠程控制功能發(fā)送遠程控制命令，控制被控端計算機中的各種應用程序運行，稱這種遠程控制方式為基于遠程服務的遠程控制。通過遠程控制軟件，可以進行很多方面的遠程控制，包括獲取目標計算機屏幕圖像、窗口及進程列表；記錄并提取遠端鍵盤事件(擊鍵序列，即監(jiān)視遠端鍵盤輸入的內容)等。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第3頁!11.1.3遠程控制技術的應用范疇1、遠程辦公這種遠程的辦公方式不僅大大緩解了城市交通狀況，減少了環(huán)境污染，還免去了人們上下班路上奔波的辛勞，更可以提高企業(yè)員工的工作效率和工作興趣。2、遠程技術支持通常，遠距離的技術支持必須依賴技術人員和用戶之間的電話交流來進行，這種交流既耗時又容易出錯。許多用戶對計算機知道得很少，然而當遇到問題時，人們必須向無法看到計算機屏幕的技術人員描述問題的癥狀，并且嚴格遵守技術人員的指示精確地描述屏幕上的內容，但是由于用戶計算機專業(yè)知識非常少，描述往往不得要領，說不到點子上，這就給技術人員判斷故障制造了非常大的障礙。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第4頁!11.1.4WindowsXP遠程控制的實現(xiàn)WindowsXP“遠程桌面”的應用WindowsXP系統(tǒng)“遠程協(xié)助”的應用遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第5頁!許多處于Unix時代早期的“黑客”(hacker)都云集在麻省理工學院和斯坦福大學，正是這樣一群人建成了今天的“硅谷”。后來某些具有“黑客”水平的人物利用通訊軟件或者通過網(wǎng)絡非法進入他人系統(tǒng)，截獲或篡改電腦數(shù)據(jù)，危害信息安全。于是“黑客”開始有了“電腦入侵者”或“電腦搗亂分子”的惡名。

遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第6頁!步是確定入侵的目標

大多數(shù)情況下，網(wǎng)絡入侵者都會首先對被攻擊的目標進行確定和探測。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第7頁!第三步是對端口(Port)與漏洞挖掘

黑客要收集或編寫適當?shù)墓ぞ?，并在對操作系統(tǒng)的分析的基礎上，對工具進行評估，判斷有哪些漏洞和區(qū)域沒有覆蓋到。在盡可能短的時間內對目標進行端口與漏洞掃描。完成掃描后，可對所或數(shù)據(jù)進行分析，發(fā)現(xiàn)安全漏洞，如FTB漏洞，NFS輸出到未授權程序中，不受限制的X服務器訪問，不受限制的調制解調器，Sendmail的漏洞，NIS口令文件訪問等。下面將對有關的端口與漏洞進行分析。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第8頁!2注冊端口(RegisteredPorts)

這類端口的端口號從1024到4915l，它們松散地綁定于一些服務，用于其他的服務和目的。由于注冊端口多數(shù)沒有明確定義出服務對象，因此常會被木馬定義和使用。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第9頁!常見的TCP協(xié)議端口有

(1)21號端口，用于文件傳輸協(xié)議FTP。文件傳輸服務包括上傳、下載大容量的文件和數(shù)據(jù)，例如主頁。(2)23號端口，用于遠程登陸Telnet。遠程登陸允許用戶以自己的身份遠程連接到電腦上，通過這種端口可以提供一種基于DOS模式下的通信服務，如純字符界面的BBS。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第10頁!(5)110號端口，用于接收郵件協(xié)議POP3。它和SMTP相對應，接收郵件協(xié)議只用于接收POP3郵件。(6)139端口，用于為NetBIOS提供服務，例如WindowsXP的文件和打印機共享服務。(NetBIOS是“網(wǎng)絡基本輸入輸出系統(tǒng)”，系統(tǒng)可以利用多種模式將NetBIOS名解析為相應的IP地址，從而實現(xiàn)局域網(wǎng)內的通信，但在Intenet上NetBIOS就相當于一個后門，很多攻擊者都是通過NetBIOS漏洞發(fā)起攻擊的)。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第11頁!所謂的漏洞一詞原本指系統(tǒng)的安全缺陷。漏洞也是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。它形成的原因非常復雜，或者是由于系統(tǒng)設計者的疏忽或其他目的在程序代碼的隱蔽處保留的某些端口或者后門；或者是由于要實現(xiàn)某些功能。比如網(wǎng)絡之間的通信而設計的端口；或者是外來入侵者刻意打開的某些端口。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第12頁!第四步實施攻擊。

根據(jù)已知的“漏洞”或者“弱口令”，實施入侵。通過猜測程序可對截獲的擁護賬號和口令進行破譯。利用破譯的口令可對截獲的系統(tǒng)密碼文件進行破譯；利用網(wǎng)絡和系統(tǒng)的薄弱環(huán)節(jié)和安全漏洞可實施電子引誘（如安放特洛伊木馬）等。黑客們或修改網(wǎng)頁進行惡作劇，或破壞系統(tǒng)程序或放病毒使系統(tǒng)癱瘓，或竊取政治，軍事，商業(yè)秘密，或進行電子郵件騷擾，轉移資金賬戶，竊取金錢等。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第13頁!第五步留下“后門”

由于黑客滲透主機系統(tǒng)之后，往往要留下后門以便今后再次入侵。留下后門的技術有多種方法，包括提升帳戶權限或者增加管理帳號或者安裝特洛伊木馬等。所謂“后門”是指后門程序又稱特洛伊木馬(Trojanhorse)，也簡稱“木馬”，其用途在于潛伏在網(wǎng)絡計算機中，從事搜集信息或便于黑客進入的動作。后門是一種登錄系統(tǒng)的方法，它不僅繞過系統(tǒng)已有的安全設置，而且還能挫敗系統(tǒng)上各種增強的安全設置。

遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第14頁!11.2.2黑客入侵的層次與種類黑客入侵的方式多種多樣，危害程度也不盡相同，按黑客進攻的方法和危害程度可分為以下級別和層次：●郵件爆炸攻擊（emailbomb）（層）●簡單服務拒絕攻擊（denialofservice）（層）●本地用戶獲得非授權讀訪問（第二層）●遠程用戶獲得非授權的帳號（第三層）●遠程用戶獲得了特權文件的讀權限（第四層）●遠程用戶獲得了特權文件的寫權限（第五層）●遠程用戶有了根（root）權限（黑客已經(jīng)攻克系統(tǒng)）（第六層）遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第15頁!2．掃描遠程目標漏洞當需要掃描的IP地址范圍確定后，入侵者就要獲取目標計算機上的漏洞(也稱為“開放的端口”)和弱口令等其他信息。“端口掃描”(portscanning)是主動對目標計算機的選定端口進行掃描，它掃描目標計算機的TCP協(xié)議或UDP協(xié)議端門，實時地發(fā)現(xiàn)“漏洞”，以便入侵。

利用軟件掃描端口和破解弱口令本例以X-Scan來進行說明怎樣利用掃描軟件來掃描端口和破解弱口令。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第16頁!(2)上傳木馬在目標計算機上建立一個連接之后，就可以利用DOS的命令上傳一個木馬文件：serven.exe，當然也可以下載目標計算機上的文件。上傳一個木馬文件server.exe的命令為：Copyserver.exe\\0\adminS\system32上傳一個木馬文件server.exe后，為了讓它在指定的時間自動執(zhí)行，用以下命令獲取對方的計算機時間。Nettime\\6遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第17頁!11.4ARP欺騙(1)ARP欺騙的含義眾所周知，IP地址是不能直接用來進行通信的，這是因為IP地址只是主機在抽象的網(wǎng)絡層中的地址。如果要將網(wǎng)絡層中傳送的數(shù)據(jù)報交給目的主機，還要傳到數(shù)據(jù)鏈路層轉變成硬件地址后才能發(fā)送到實際的網(wǎng)絡上。由于IP地址是32位的，而局域網(wǎng)的硬件地址是48位的，因此它們之間不存在簡單的映射關系。將一臺計算機的IP地址翻譯成等價的硬件地址的過程叫做地址解析。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第18頁!(3)ARP攻擊的方式根據(jù)ARP欺騙的原理可知攻擊的方式有以下兩種：1）中間人攻擊中間人攻擊就是攻擊者將自己的主機作為被攻擊主機間的橋梁，可以查看它們之間的通信，提取重要的信息或者修改通信內容或者不作任何修改原樣發(fā)送出去，這使得被攻擊主機間沒有任何的秘密而言。2）拒絕服務攻擊拒絕服務攻擊就是使目標主機不能響應外界請求，從而不能對外提供服務的攻擊方法。如果攻擊者將目標主機緩存表的地址全部改為根本不存在的地址，那么目標主機向外發(fā)送的所有以太網(wǎng)數(shù)據(jù)幀會丟失，使得上層應用忙于處理這種異常而無法響應外來請求，也就導致目標主機產(chǎn)生拒絕服務。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第19頁!(5)ARP抵御方法

1）填加靜態(tài)記錄在目標主機的ARP緩存表中設置靜態(tài)地址映射記錄。即使有新的ARP應答也不更新緩存表的內容?？梢杂行У姆乐笰RP欺騙，但有它的局限性，就是通信雙方的IP地址和MAC地址不能變化。2）設置ARP服務器為克服上面提到的不足，就是要對上述維護靜態(tài)記錄的分散工作進行集中管理。也就是指定局域網(wǎng)內部的一臺機器作為ARP服務器，專門保存并且維護可信范圍內的所有主機的IP地址和MAC地址映射記錄。該服務器通過查閱自己的ARP緩存記錄并以被查詢主機的名義響應局域網(wǎng)內部的ARP請求。同時可以設置局域網(wǎng)內部的其他主機只使用來自ARP服務器的ARP響應。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第20頁!3、遠程交流利用遠程技術，商業(yè)公司可以實現(xiàn)與用戶的遠程交流，采用交互式的教學模式，通過實際操作來培訓用戶，使用戶從技術支持專業(yè)人員那里學習案例知識變得十分容易。而教師和學生之間也可以利用這種遠程控制技術實現(xiàn)教學問題的交流，學生可以不用見到老師，就得到老師手把手的輔導和講授。4、遠程維護和管理網(wǎng)絡管理員或者普通用戶可以通過遠程控制技術為遠端的計算機安裝和配置軟件、下載并安裝軟件修補程序、配置應用程序和進行系統(tǒng)軟件設置。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第21頁!11.2黑客入侵1什么是黑客？黑客也稱“駭客”(hacker)，該詞的原意是極富褒義的，它源于英語動詞“劈”(hack)，因而早期的“黑客”(hacker)可以用來稱呼手藝精湛的木匠。在20世紀的60至70年代之間，“黑客”(hacker)也曾經(jīng)專用來形容那些有獨立思考那里的電腦“迷”，如果他們在軟件設計上干了一件非常漂亮的工作，或者解決了一個程序難題，同事們經(jīng)常高呼“hacker”。于是“黑客”(hacker)就被定義為“技術嫻熟的具有編制操作系統(tǒng)OS級軟件水平的人”。

遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第22頁!11.2.1網(wǎng)絡入侵的基本過程現(xiàn)在黑客入侵網(wǎng)絡的手段十分豐富，令人防不勝防。但是，認真分析與研究黑客入侵網(wǎng)絡活動的手段和技術，實施必要的技術措施，就能防止黑客入侵網(wǎng)絡。下面在介紹黑客入侵網(wǎng)絡的基本過程：遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第23頁!第二步是信息收集與分析在獲取目標機其所在網(wǎng)絡類型后，還須進一步獲取有關信息，如目標機的IP地址，系統(tǒng)管理人員的地址，操作系統(tǒng)類型與版本等，根據(jù)這些信息進行分析，可得到有關被攻擊方系統(tǒng)中可能存在的漏洞。如利用WHOIS查詢，可了解技術管理人員的名字信息。若是運行一個host命令，可獲取目標網(wǎng)絡中有關機器的IP地址信息，還可識別出目標機器的操作系統(tǒng)類型。再運行一些Usernet和Web查詢可以知曉有關技術人員是否經(jīng)常上Usernet等。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第24頁!公認端口(WellKnownPorts)

這類端口也常稱之為“常用端口”。它們的端口號從0到1023之間?！俺Ｓ枚丝凇本o密綁定于一些特定的服務，不允許改變。例如：80端口是為HTTP通信協(xié)議所專用，8000端口用于QQ通信等等。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第25頁!3動態(tài)和／或私有端口(Dynamicand／orPrivatePorts)

這類端口的端口號從49152到65535。由于這些端口容易隱蔽，也常常不為人所注意，因此也常會被木馬定義和使用。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第26頁!(3)25號端口，用于簡單郵件傳送協(xié)議SMTP。簡單郵件傳送協(xié)議是用于發(fā)送郵件。(4)80號端口，用于“超文本傳輸協(xié)議”HTTP。這是用得最多的協(xié)議，網(wǎng)絡上提供網(wǎng)頁資源的電腦(“Web服務器”)只有打開80號端口，才能夠提供“WWW服務”。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第27頁!①53號端口，用于域名解析服務DNS。②161號端口，用于簡單網(wǎng)絡管理協(xié)議SNMP。③3389端口，WindowsXP默認允許遠程用戶連接到本地電腦端口。④4000／8000號端口，用于QQ和OICQ服務。⑤137和138號端口，用于網(wǎng)絡鄰居之間傳輸文件。常見的UDP協(xié)議的端口有：遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第28頁!Windows環(huán)境中的輸入法漏洞，這個漏洞曾經(jīng)使許多入侵者輕而易舉地控制了使用Windows環(huán)境的計算機：WindowsXPProfessional中的一個允許計算機進行遠程交互通信的“遠程過程調用協(xié)議”RPC(RemoteProcedureCall)，又成為了“沖擊波”病毒入侵的漏洞。如此等等，因而這些都可以認為是系統(tǒng)中存在的安全漏洞。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第29頁!所謂“弱口令”就是“簡單的密碼”。因為口令就是人們常說的密碼，“弱”在網(wǎng)絡的術語里就是“簡單”的意思。許多網(wǎng)絡計算機往往就是因為設置了簡單的密碼而被黑客入侵成功。因此，應該對“弱口令”問題給予足夠的重視。讓黑客即使登錄到我們的計算機之上，也因為無法破解密碼而達不到控制計算機或者竊取數(shù)據(jù)的目的。弱口令遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第30頁!第六步清除日志

黑客對目標機進行一系列的攻擊后，通過檢查被攻擊方的日志，可以了解入侵過程中留下的“痕跡”；這樣入侵者就知道需要刪除哪些文件來毀滅入侵證據(jù)。為了達到隱蔽自己入侵行為的目的，清除日志信息對于黑客來講是必不可少的。在現(xiàn)實生活中，很多內部網(wǎng)絡或者企業(yè)網(wǎng)絡根本沒有啟動審計機制，這給入侵追蹤造成了巨大的困難。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第31頁!11.3黑客攻擊與防范黑客攻擊的一般流程是：“獲取目標IP地址”、“掃描目標開放的端口和破解弱口令”以及“入侵目標”。1．獲取遠程目標IP地址

獲取遠程目標的IP地址的方法很多，有通過具有自動上線功能的掃描工具將存在系統(tǒng)漏洞的目標電腦的IP地址捕獲：有使用專門的掃描工具進行掃描獲得，例如下面要介紹的X-Scan；有通過某些網(wǎng)絡通信工具等。此外也可以通過PING命令直接解析對方的IP地址。遠程控制與黑客入侵共37頁，您現(xiàn)在瀏覽的是第32頁!3．入侵目標計算機(1)與目標計算機建立連接當通過X-Scan的掃描，發(fā)現(xiàn)了有用戶使用了“弱口令”。例如IP地址為：3的主機上有一個名字為：Admin