黑客攻擊技術研究

陳海紅，閆利華

（赤峰學院 計算機科學與技術系，內蒙古 赤峰 024000）

黑客攻擊技術研究

陳海紅，閆利華

（赤峰學院 計算機科學與技術系，內蒙古 赤峰 024000）

信息網絡的建設和發展給整個社會的科學與技術、經濟與文化帶來了巨大的推動和沖擊，同時也給網絡的安全運行帶來更多的挑戰.要想更好地保護網絡不受黑客的攻擊，就必須對黑客的攻擊方法、攻擊原理、攻擊過程有深入的、詳細的了解，只有這樣才能更有效、更具有針對性地進行主動防護.本文分析了黑客攻擊的策略及相關特征，并給出了一個攻擊實例演示.

黑客；木馬；欺騙；ARP

黑客一詞是由英語Hacker英譯出來的，是指專門研究、發現計算機和網絡漏洞的計算機愛好者.最初黑客是個褒義詞，專指那些盡力挖掘計算機程序的最大潛力的電腦精英.但是，隨著網絡的普及，黑客的形象已經有所變化，往往掌握了幾個黑客工具使用方法的一些電腦愛好者，也到處自稱“黑客”.所以到了現在，我們平時說到“黑客”時，一般都是指那些利用自身掌握的計算機技術，攻擊入侵破壞系統和盜竊系統有用數據的人.

1 現狀

我國計算機用戶遭受黑客攻擊次數年均上升至少10%，增長速度與發達國家基本相同.每年因黑客入侵、計算機病毒的破壞給企業造成的損失令人觸目驚心.

2006年8月25日，光大證券陽光網(http://www.ebscn.com)“光大證券新版網上交易系統”、“光大證券專業分析版2003”、“光大證券金典2005”等多款軟件的安裝程序捆綁了木馬.

2006年9月12日17：30，百度遭受有史以來最大規模的不明身份黑客攻擊；導致百度搜索服務在全國各地出現了近30分鐘的故障.

2007年3月14日22點，灰鴿子木馬團伙調動上萬臺“肉雞”構成的“僵尸網絡”，對金山毒霸官方網站www.duba.net，進行瘋狂攻擊，造成瀏覽金山毒霸官網的部分用戶被挾持到幕后黑手指定的不法網站.

新京報報道，2007年5月30日下午3點左右，財政部官方網站（www.mof.gov.cn/）被發現無法登錄.截至晚7點左右，網民反映該網恢復正常.（財政部決定從2007年5月30日起，調整證券（股票）交易印花稅稅率，由現行1‰調整為3‰）

2007年8月12日，聯合國官方網站被入侵，聯合國秘書長潘基文的講話和聲明被換成了黑客的聲明.

除此外還有很多人利用病毒來牟取私利.

2006年12月15日,深圳晶報報道：一伙平均年齡僅21歲的“網絡大盜”一年內盜取QQ號、Q幣數百萬個,通過網絡交易平臺售賣,非法牟利70余萬元,涉案人員有44名.

“熊貓燒香”的病毒稱為盈利型病毒在這種病毒的產業鏈條中，當一部分人利用病毒在網上盜取虛擬裝備時，往往會要求制造病毒的人員“生產”出特定的病毒.

2 常見的黑客攻擊策略

2.1 漏洞.顧名思義就是有缺陷的地方，而所謂的系統或軟件的漏洞當然就是在程序設計上的問題或考慮不夠周密（也可算是bug），造成黑客可以利用這些漏洞進行入侵、攻擊或其他黑客任務，象微軟的windows，IE，IIS等產品，都存在許多的漏洞.這是最常見的一種攻擊方式，黑客通常在有漏洞的軟件中下達命令、利用針對該漏洞的工具、自己設計的針對該漏洞的工具等方式來入侵、攻擊或其他黑客行為.

2.2 木馬（Trojan Horse），是從希臘神話里面的“特洛伊木馬”得名的，希臘人在一只巨大的木馬中藏匿了許多希臘士兵并引誘特洛伊人將它運進城內，等到夜里馬腹內士兵與城外士兵里應外合，一舉攻破了特洛伊城.“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執行，從而使攻擊者打開被攻擊者電腦的門戶，任意毀壞、竊取被攻擊者的文件，甚至遠程操控被攻擊者的電腦.“木馬”與計算機網絡中常常要用到的遠程控制軟件有些相似，但由于遠程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達到的是“偷竊”性的遠程控制，如果沒有很強的隱蔽性的話，那就是“毫無價值”的.

2.3 協議欺騙攻擊技術.針對網絡協議的缺陷，采用某種欺騙的手段，假冒身份以截獲信息或取得相關特權的攻擊方式.主要的協議欺騙攻擊方式有：IP欺騙、ARP欺騙、DNS欺騙、源路由欺騙等.

IP欺騙攻擊：IP欺騙技術就是通過偽造某臺主機的IP地址騙取特權從而進行攻擊的技術.

ARP欺騙攻擊：ARP欺騙攻擊就是利用ARP協議漏洞，通過偽造IP地址和MAC地址實現ARP欺騙的攻擊技術.

DNS欺騙攻擊：攻擊者采用種種欺騙手段，使用戶查詢DNS服務器進行域名解析時獲得一個錯誤的地址結果，從而可將用戶引導到錯誤的互聯網站點，或者發送一個電子郵件到一個未經授權的郵件服務器等，這就是DNS欺騙.

源路由欺騙攻擊：通過指定路由，以假冒身份與其他主機進行合法通信或發送假報文，使受攻擊主機出現錯誤動作，這就是源路由欺騙攻擊.

2.4 口令攻擊.不是一種具體的攻擊方式，而是一類攻擊的總稱，這類攻擊的攻擊目標都是口令.攻擊者攻擊目標時常常把破譯用戶的口令作為攻擊的開始.只要攻擊者能猜測或者確定用戶的口令，他就能獲得機器或者網絡的訪問權，并能訪問到用戶能訪問到的任何資源.如果這個用戶有域管理員或root用戶權限，這是極其危險的.

這種方法的前提是必須先得到該主機上的某個合法用戶的帳號，然后再進行合法用戶口令的破譯.獲得普通用戶帳號的方法很多，如：利用目標主機的Finger功能；利用目標主機的X.500服務；從電子郵件地址中收集；查看主機是否有習慣性的帳號.

2.5 緩沖區溢出漏洞攻擊（Buffer Overflow Attack）.一種利用緩沖區溢出漏洞而對系統進行攻擊的方式.

緩沖區是內存中存放數據的地方.在程序試圖將數據放到機器內存中的某一個位置的時候，因為沒有足夠的空間就會發生緩沖區溢出.而人為的溢出則是有一定企圖的，攻擊者寫一個超過緩沖區長度的字符串，植入到緩沖區，然后再向一個有限空間的緩沖區中植入超長的字符串，這時可能會出現兩個結果：一是過長的字符串覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴重的可導致系統崩潰；另一個結果就是利用這種漏洞可以執行任意指令，甚至可以取得系統root特級權限.

2.6 DoS攻擊(Denialof Service).即拒絕服務攻擊，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務.最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊.帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過.連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求.

而最近常被使用的 DDoS攻擊(DDoS：Distributed Denial of Service，分布式拒絕服務)是從DoS攻擊基礎上發展而來的，與其區別在于DDoS攻擊將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力，同時也更難追查到攻擊來源.

3 協議欺騙攻擊實例

ARP表是IP地址和MAC地址的映射關系表，任何實現IP協議棧的設備，一般情況下都通過該表維護IP地址和MAC地址的對應關系，這是為了避免ARP解析而造成的廣播數據對網絡造成沖擊.ARP表的建立一般是通過二個途徑：

3.1 主動解析.如果一臺計算機想與另外一臺不知道MAC地址的計算機通信，則該計算機主動發ARP請求，通過ARP協議建立（前提是這兩臺計算機位于同一個IP子網上）；

3.2 被動請求.如果一臺計算機接收到了一臺計算機的ARP請求，則首先在本地建立請求計算機的IP地址和MAC地址的對應表.

因此，針對ARP表項，一個可能的攻擊就是誤導計算機建立的ARP表.根據ARP協議，如果一臺計算機接收到了一個ARP請求報文，在滿足下列兩個條件情況下，該計算機會用ARP請求報文中的源IP地址和源MAC地址更新自己的ARP緩存：

1)如果發起該ARP請求的IP地址在自己本地的ARP緩存中.

2)請求的目標IP地址不是自己的.

本實驗在赤峰學院計算機系網絡協議仿真實驗室中成功仿真，實驗環境為：一組機器，共6臺，分別命名為 A、B、C、D、E、F；服務器一臺，裝有FTP、HTTP、TELNET、MAIL、DHCP、DNS 等服務；中心設備一臺.

ARP地址欺騙過程，將主機A，C和D作為一組.

1)主機A和主機C使用“arp -a”命令察看并記錄ARP高速緩存.

圖1 主機A的ARP表

圖2 主機C的ARP表

A的MAC地址：002268-566464

C的MAC地址：002268-566AC8

2)主機A，C啟動協議分析器開始捕獲數據并設置過濾條件（提取ARP協議和ICMP協議）.

3)主機A ping主機C.觀察主機A，C上捕獲到的ICMP報文，記錄MAC地址.

圖3 ICMP報文

4)主機D啟動仿真編輯器向主機A編輯ARP請求報文.其中：

MAC層：

源MAC地址：主機D的MAC地址.

目的MAC地址：主機A的MAC地址.ARP層：

源MAC地址：主機D的MAC地址.

源IP地址：主機C的IP地址.

目的MAC地址：000000-000000.

目的IP地址：主機A的IP地址.

5)發送第4步所編輯的數據包.

6)觀察并記錄主機A和主機C的ARP高速緩存表.

從圖中我們看出主機A的ARP表中D的MAC地址已經于C的IP地址綁定在一起了.

圖4 ARP請求報文

圖5 主機C的ARP表

圖6 主機A的ARP表

4 總結

無論對黑客的行為如何評價，沒有人會否認黑客技術特別是早期的黑客對計算機技術發展所做出的貢獻.在未來的社會中，黑客技術依然會是計算機網絡技術發展的一種補充動力.特別是在計算機安全檢查維護方面，黑客技術將扮演著舉足輕重的角色.因此，我們也必須辨證地看待黑客技術和黑客現象.黑客技術的作用是雙面的，與一切科學技術一樣，黑客技術對網絡世界的作用取決于使用它的人及其動機.

〔1〕劉建偉，王育民.網絡安全-技術與實踐[M].清華大學出版社，2005.264-299.

〔2〕馬民虎，李嘉麗.計算機病毒“公害”防治法律對策研究[J].中國人民公安大學學報，2005(4).

〔3〕黑基.全面分析黑客常用九種攻擊方法[J].信息技術，2007(8).

〔4〕劉遠生.計算機網絡安全[M].清華大學出版社，2006.27-322.

〔5〕安向東，武新華，李虹.黑客攻防全攻略[M].北京:中國鐵道出版社，2006.

TP309

A

1673-260X（2010）01-0028-03