网络入侵技术及防御措施

连接到Internet的计算机根本不“安全”，因为没有保护，并且保护技术水平决定了计算机/网络是否可以成功入侵。下面描述的网络攻击技术是目前最常见的攻击方法。

（一）漏洞攻击

信息系统安全漏洞是各种安全威胁的主要来源之一。

有几种类型的典型漏洞：

1.Unicode漏洞

这实际上是IIS中固有的漏洞之一。IS 4.0和IIS 5.0在Unicode字符解码的实现中存在安全漏洞，允许用户通过IIS远程执行任意命令。当IIS打开文件时，如果文件名包含Unicode字符，它将对其进行解码。如果用户提供了一些特殊编码，则会导致IIS打开不正确或执行除Web根目录以外的文件。以下URL可能列出当前目录的内容：

Http://www.example.com/scripts/..%c1%lc../winnt/system32/cmd.exe？/c+dir+c：

通过放置相应的安全补丁可以消除此漏洞。

2.缓冲区溢出漏洞

这是黑客攻击中最常用的漏洞。据统计，超过80%的成功攻击使用缓冲区溢出漏洞获取非法权限。溢出漏洞是计算机程序中的纠正缺陷。因为它是执行程序时在缓冲区中执行的错误代码，所以它被称为缓冲区溢出漏洞。这通常是由程序员的疏忽造成的。这是两种典型的漏洞利用方法：

（1）RPC漏洞溢出。远程过程调用（RPC），操作系统的消息传递功能，允许应用程序调用网络上的计算机。系统启动时，将自动加载RPC服务，并且可以在服务列表中看到系统的RPC服务。

RPC漏洞可用于在目标系统中建立超级用户。RPC溢出漏洞也适用于Windows 2000 SP4，必须进行修补。使用工具scanms.exe文件检测RPC漏洞。该工具由ISS Security于2003年7月30日发布。它在命令行下运行，以检测DCOM RPC接口远程缓冲区是否已安装在指定的IP地址范围内。溢出漏洞（823980-MS03-026）补丁。

使用工具软件攻击。Exe攻击目标IP。攻击的结果是在另一方的计算机上创建具有管理员权限的用户（用户名和密码都是qingl0）并终止另一方的RPC服务。这样，就可以登录到对方的计算机。RPC服务停止后，操作系统将具有许多无法使用的功能。因此，管理员很容易发现入侵过程。需要使用工具软件OpenRpcSs。exe重启对方的RPC服务。

（2）IIS漏洞溢出。使用软件Snake IIS溢出工具可以使对方的IIS溢出，并且还可以绑定其他计算机上执行的命令和打开端口。该软件适用于所有类型的操作系统。攻击完成后，打开端口813并捆绑命令“dir c：/”。使用工具软件nc。当exe连接到此端口时，刚刚发送的DOS命令“dir c：/”将自动执行。使用的语法是：

Nc.exe-vv目标IP 813

其中-vv是程序的参数，813是目标端口。

更常见的IIS溢出工具是WebDav，这通常也是nc所必需的。exe软件组合使用。

（3）SMB漏洞。SMB（会话消息块），也称为NetBIOS或LanManager，用于在不同计算机之间共享文件，打印机，连续出版物和通信，以及在Windows平台上共享磁盘和打印机。

有许多版本的SMB协议，NTLM 0.12用于Windows 98，Windows NT，Windows 2000和Windows XP。此协议可用于攻击所有方面，例如其他用户可以访问其自己的计算机共享目录的SMB会话数据包，然后使用SMB会话包登录到另一方的计算机。

使用工具软件smb。exe或SMBDie可以使用SMB协议重新启动操作系统或其他操作系统的蓝屏。该软件对Windows 2000操作系统非常有效。

（4）使用打印孔。打印缺陷可用于在目标计算机上添加具有管理员权限的用户。经过测试，该漏洞仍然存在于Windows 2000 SP2/SP3和Windows 2000 SP4上，但不能保证100%成功。

使用工具软件cniis.exe，使用的语法是：

Cniis 10.1.130.134 0

第一个参数是目标的IP地址，第二个参数是目标操作系统的补丁号。由于10.1.130.134未修补，因此为0.复制cniis。exe文件被发送到C盘的根目录。执行它以生成管理员，其用户名和密码都是hax。使用net命令执行下一个入侵操作。

（5）其他漏洞。软件（如操作系统和IE）中的漏洞更为重要，用户将及时安装补丁来解决这些问题。但是有多少用户为VB系统安装了Office软件和补丁的补丁？事实上，IE之外的操作系统和软件存在更多漏洞。例如，2007年7月，Microsoft发布了六个与Microsoft Excel，Windows Active Directory和.NET Framework等软件相关的安全漏洞。

请务必注意与您使用的软件相关的升级或安全公告，并及时更新以确保系统安全。

（二）密码攻击

密码应该被认为是用户最重要的防护门。如果密码被破解，用户的信息很容易被盗，因此密码安全性尤其重要。随着网络黑客技术的增强及其改变方式的出现，许多密码都会受到攻击和破译，要求用户提高密码安全意识。

通常，入侵者通常使用以下方法来获取用户的密码，包括弱密码扫描，Sniffer密码嗅探，暴力破解，社交工程（即通过欺诈获得）以及特洛伊木马或键盘记录程序。

1.密码扫描弱

许多扫描工具为系统用户或共享资源集成弱密码扫描，即使用最简单的密码组合进行猜测，例如123456，用户名，88888888.abcd，甚至是空白密码。这种方法不具备安全意识。用户非常有效。

2.嗅探密码嗅探(www.xing528.com)

通过分析网络数据包的内容获取相应的密码。由于许多应用程序在传输用户名和密码等信息时使用纯文本，因此当网络上存在此类嗅探工具时，信息会泄露。如FTP操作，HTTP操作，电子邮件功能等，常用软件有SnifferPro，Cain等。

3.密码破解严重

（1）星号“六”密码查看器

在Windows中，Edit控件是标准控件。当Password属性设置为True时，输入的密码将被屏蔽为星号以保护密码。虽然您在表面上看到的密码是星号，但程序中的编辑控件仍然是用户输入的纯文本密码。应用程序可以在控件中获取明文密码信息，也可以通过向其发送WM_GETTEXT或EM-GETLINE消息来获取Edit控件中的内容。当破解程序发现当前检测到的窗口是Edit控件时，它可以使用带有ES_PASSWORD属性的Edit控件属性通过SendMessage向窗口发送WM_GETTEXT或EM_GETLINE消息，以便编辑框中的“*”内容一目了然。当然，不同加密程序的加密机制是不同的。以上只介绍了其中一种破解方法，但读者可以了解密码解密的机制。

（2）破解系统用户账号密码密码

破解方法主要基于密码匹配技术。有两种基本方法：穷举法和字典法。

穷举法是根据遍历尝试的字符或数字的详尽规则生成密码字符串的最低效方法。在稍微复杂的密码密码的情况下，耗尽方法非常慢。

字典方法相对有效，它尝试将密码与密码字典中定义的常用字符进行匹配。密码字典是一个大型文本文件，可以单独编辑，也可以由包含单词或数字组合的字典工具生成。如果用户密码是单词或简单的数字组合，则破解者可以轻松破解密码。

目前，有许多常见的密码破解和审计工具，如L0phtCrack，WMICracker，SMBCrack，CNIPCNT弱密码终结器，用于破解Windows平台密码。

从引导盘启动并访问原始系统（例如深山红叶或自己制作的工具托盘）时，实用程序软件Pass-word Renew可以将管理员直接添加到系统中。还有软件FINDPASSWORD2K3，可以直接读取内存中管理员的密码。

（3）其他破解软件

对于不同的应用软件，有不同的强力工具，如Office系列软件的高级Office XP密码恢复，WinRAR文件的RAR密码破解等。当然，破解效率可能会有很大差异，尤其是复杂的密码。当性强时。通常建议将用户密码设置为字母数字，大小写混合，长度不小于8个字符。

（4）扫描攻击

开放网络端口是与计算机通信的通道。扫描网络端口可以获取目标计算机打开的服务程序和运行的系统版本信息，以备下次入侵。

网络端口扫描可以通过执行手动命令来实现，但效率很低。它也可以通过扫描工具实现，这更有效。扫描工具是扫描并检测目标主机安全漏洞的软件。它通常具有数据分析功能。通过对端口的扫描分析，可以找到目标主机的开放端口和提供的服务以及相应的服务软件版本以及这些服务和软件的安全漏洞，从而可以了解目标主机的安全风险及时。

扫描工具可分为两类：网络漏洞扫描和主机漏洞扫描，具体取决于环境。主机漏洞扫描工具是指在计算机上运行的扫描工具，用于检测本地系统中的安全漏洞。网络漏洞扫描工具是一种扫描工具，可通过网络检测远程目标网络和主机系统中的漏洞。

网络扫描的目的是使用各种工具来查找攻击目标的IP地址或地址段主机上的漏洞。

扫描是一种模拟攻击形式，用于逐项检查目标项的已知安全漏洞。目标可以是工作站，服务器，交换机，路由器，数据库应用程序和其他对象。根据扫描结果向扫描仪或管理员提供全面可靠的分析报告。

典型的扫描工具包括具有安全焦点的X-Scan，流光软件和IpScan，SuperScan等。诸如Venus的天窗系统之类的商业产品具有更完整的功能。

（5）嗅探和协议分析

网络嗅探和协议分析是一种被动的侦察手段。使用嗅探和监听软件，它分析网络中的数据并获取可用信息。

网络嗅探监控最初由网络管理员用于通过协议分析器收集网络数据包，以获取网络上的相关信息，监控网络操作，发现网络中的问题，以及监控网络状态和数据。流量和通过网络传输的信息。嗅探器是用于监控和协议分析的工具。它在网络底部工作，捕获所有网络数据包。由于其强大的数据包捕获功能，嗅探器软件既是网络管理员的好帮手，也是黑客的攻击武器。监控的最佳位置是网关，路由器，防火墙以及在设备上收集的其他信息。

网络监控可以使用专用协议分析设备来实现，也可以使用Sniffer Pr0 4.7和TCPDump等软件来实现。SnifferPro是最常用的嗅探分析软件。它可以实现数据包捕获，数据包统计，过滤数据包，数据包解码等功能。函数解码可以获得许多有用的信息，例如用户名，密码和包内容。

（6）协议欺诈攻击

无界和匿名网络给网络应用带来了很多不确定性，因此需要进行身份验证才能建立基本的信任关系。身份验证是网络上的计算机彼此识别的过程。仅受信任的身份验证连接。

协议欺骗攻击是通过身份验证欺骗另一方的信任来获取所需信息的欺骗攻击。

欺骗常见诈骗有几种方法：

IP欺骗：针对基于IP地址的身份验证。

ARP欺骗：地址解析协议，是位于TCP/IP堆栈中的低级协议，负责将IP地址解析为相应的MAC地址。ARP欺骗是通过伪造信息或ARP与IP之间的对应来实现的。NC软件可以实现ARP欺骗。

TCP会话劫持：类似于IP欺骗，通过嗅探并将额外信息注入网络来实现TCP连接。例如，IP观察者是一种有效的会话劫持工具。