第11章遠(yuǎn)程控制與黑客入侵11.1遠(yuǎn)程控制11.2黑客入侵11.3黑客攻擊與防范11.4ARP欺騙1可編輯ppt11.1遠(yuǎn)程控制11.1.1遠(yuǎn)程控制概述遠(yuǎn)程控制是在網(wǎng)絡(luò)上由一臺(tái)計(jì)算機(jī)（主控端Remote/客戶端）遠(yuǎn)距離去控制另一臺(tái)計(jì)算機(jī)（被控端Host/服務(wù)器端）的技術(shù)，這里的遠(yuǎn)程不是字面意思的遠(yuǎn)距離，一般指通過(guò)網(wǎng)絡(luò)控制遠(yuǎn)端計(jì)算機(jī)，大多數(shù)時(shí)候人們所說(shuō)的遠(yuǎn)程控制往往指在局域網(wǎng)中的遠(yuǎn)程控制而言。當(dāng)操作者使用主控端計(jì)算機(jī)控制被控端計(jì)算機(jī)時(shí)，就如同坐在被控端計(jì)算機(jī)的屏幕前一樣，可以啟動(dòng)被控端計(jì)算機(jī)的應(yīng)用程序，可以使用被控端計(jì)算機(jī)的文件資料，甚至可以利用被控端電腦的外部打印設(shè)備（打印機(jī)）和通信設(shè)備（調(diào)制解調(diào)器或者專(zhuān)線等）來(lái)進(jìn)行打印和訪問(wèn)互聯(lián)網(wǎng)，2可編輯ppt11.1.2遠(yuǎn)程控制軟件的原理遠(yuǎn)程控制軟件一般分兩個(gè)部分:一部分是客戶端程序Client，另一部分是服務(wù)器端程序Server(或Systry)，在使用前需要將客戶端程序安裝到主控端計(jì)算機(jī)上，將服務(wù)器端程序安裝到被控端計(jì)算機(jī)上。它的控制的過(guò)程一般是先在主控端計(jì)算機(jī)上執(zhí)行客戶端程序，像一個(gè)普通的客戶一樣向被控端計(jì)算機(jī)中的服務(wù)器端程序發(fā)出信號(hào)，建立一個(gè)特殊的遠(yuǎn)程服務(wù)，然后通過(guò)這個(gè)遠(yuǎn)程服務(wù)，使用各種遠(yuǎn)程控制功能發(fā)送遠(yuǎn)程控制命令，控制被控端計(jì)算機(jī)中的各種應(yīng)用程序運(yùn)行，稱(chēng)這種遠(yuǎn)程控制方式為基于遠(yuǎn)程服務(wù)的遠(yuǎn)程控制。通過(guò)遠(yuǎn)程控制軟件，可以進(jìn)行很多方面的遠(yuǎn)程控制，包括獲取目標(biāo)計(jì)算機(jī)屏幕圖像、窗口及進(jìn)程列表；記錄并提取遠(yuǎn)端鍵盤(pán)事件(擊鍵序列，即監(jiān)視遠(yuǎn)端鍵盤(pán)輸入的內(nèi)容)等。3可編輯ppt11.1.3遠(yuǎn)程控制技術(shù)的應(yīng)用范疇1、遠(yuǎn)程辦公這種遠(yuǎn)程的辦公方式不僅大大緩解了城市交通狀況，減少了環(huán)境污染，還免去了人們上下班路上奔波的辛勞，更可以提高企業(yè)員工的工作效率和工作興趣。2、遠(yuǎn)程技術(shù)支持通常，遠(yuǎn)距離的技術(shù)支持必須依賴(lài)技術(shù)人員和用戶之間的電話交流來(lái)進(jìn)行，這種交流既耗時(shí)又容易出錯(cuò)。許多用戶對(duì)計(jì)算機(jī)知道得很少，然而當(dāng)遇到問(wèn)題時(shí)，人們必須向無(wú)法看到計(jì)算機(jī)屏幕的技術(shù)人員描述問(wèn)題的癥狀，并且嚴(yán)格遵守技術(shù)人員的指示精確地描述屏幕上的內(nèi)容，但是由于用戶計(jì)算機(jī)專(zhuān)業(yè)知識(shí)非常少，描述往往不得要領(lǐng)，說(shuō)不到點(diǎn)子上，這就給技術(shù)人員判斷故障制造了非常大的障礙。4可編輯ppt3、遠(yuǎn)程交流利用遠(yuǎn)程技術(shù)，商業(yè)公司可以實(shí)現(xiàn)與用戶的遠(yuǎn)程交流，采用交互式的教學(xué)模式，通過(guò)實(shí)際操作來(lái)培訓(xùn)用戶，使用戶從技術(shù)支持專(zhuān)業(yè)人員那里學(xué)習(xí)案例知識(shí)變得十分容易。而教師和學(xué)生之間也可以利用這種遠(yuǎn)程控制技術(shù)實(shí)現(xiàn)教學(xué)問(wèn)題的交流，學(xué)生可以不用見(jiàn)到老師，就得到老師手把手的輔導(dǎo)和講授。4、遠(yuǎn)程維護(hù)和管理網(wǎng)絡(luò)管理員或者普通用戶可以通過(guò)遠(yuǎn)程控制技術(shù)為遠(yuǎn)端的計(jì)算機(jī)安裝和配置軟件、下載并安裝軟件修補(bǔ)程序、配置應(yīng)用程序和進(jìn)行系統(tǒng)軟件設(shè)置。5可編輯ppt11.1.4WindowsXP遠(yuǎn)程控制的實(shí)現(xiàn)WindowsXP“遠(yuǎn)程桌面”的應(yīng)用WindowsXP系統(tǒng)“遠(yuǎn)程協(xié)助”的應(yīng)用6可編輯ppt11.2黑客入侵1什么是黑客？黑客也稱(chēng)“駭客”(hacker)，該詞的原意是極富褒義的，它源于英語(yǔ)動(dòng)詞“劈”(hack)，因而早期的“黑客”(hacker)可以用來(lái)稱(chēng)呼手藝精湛的木匠。在20世紀(jì)的60至70年代之間，“黑客”(hacker)也曾經(jīng)專(zhuān)用來(lái)形容那些有獨(dú)立思考那里的電腦“迷”，如果他們?cè)谲浖O(shè)計(jì)上干了一件非常漂亮的工作，或者解決了一個(gè)程序難題，同事們經(jīng)常高呼“hacker”。于是“黑客”(hacker)就被定義為“技術(shù)嫻熟的具有編制操作系統(tǒng)OS級(jí)軟件水平的人”。

7可編輯ppt許多處于Unix時(shí)代早期的“黑客”(hacker)都云集在麻省理工學(xué)院和斯坦福大學(xué)，正是這樣一群人建成了今天的“硅谷”。后來(lái)某些具有“黑客”水平的人物利用通訊軟件或者通過(guò)網(wǎng)絡(luò)非法進(jìn)入他人系統(tǒng)，截獲或篡改電腦數(shù)據(jù)，危害信息安全。于是“黑客”開(kāi)始有了“電腦入侵者”或“電腦搗亂分子”的惡名。

8可編輯ppt11.2.1網(wǎng)絡(luò)入侵的基本過(guò)程現(xiàn)在黑客入侵網(wǎng)絡(luò)的手段十分豐富，令人防不勝防。但是，認(rèn)真分析與研究黑客入侵網(wǎng)絡(luò)活動(dòng)的手段和技術(shù)，實(shí)施必要的技術(shù)措施，就能防止黑客入侵網(wǎng)絡(luò)。下面在介紹黑客入侵網(wǎng)絡(luò)的基本過(guò)程：9可編輯ppt第一步是確定入侵的目標(biāo)

大多數(shù)情況下，網(wǎng)絡(luò)入侵者都會(huì)首先對(duì)被攻擊的目標(biāo)進(jìn)行確定和探測(cè)。10可編輯ppt第二步是信息收集與分析在獲取目標(biāo)機(jī)其所在網(wǎng)絡(luò)類(lèi)型后，還須進(jìn)一步獲取有關(guān)信息，如目標(biāo)機(jī)的IP地址，系統(tǒng)管理人員的地址，操作系統(tǒng)類(lèi)型與版本等，根據(jù)這些信息進(jìn)行分析，可得到有關(guān)被攻擊方系統(tǒng)中可能存在的漏洞。如利用WHOIS查詢(xún)，可了解技術(shù)管理人員的名字信息。若是運(yùn)行一個(gè)host命令，可獲取目標(biāo)網(wǎng)絡(luò)中有關(guān)機(jī)器的IP地址信息，還可識(shí)別出目標(biāo)機(jī)器的操作系統(tǒng)類(lèi)型。再運(yùn)行一些Usernet和Web查詢(xún)可以知曉有關(guān)技術(shù)人員是否經(jīng)常上Usernet等。11可編輯ppt第三步是對(duì)端口(Port)與漏洞挖掘

黑客要收集或編寫(xiě)適當(dāng)?shù)墓ぞ撸⒃趯?duì)操作系統(tǒng)的分析的基礎(chǔ)上，對(duì)工具進(jìn)行評(píng)估，判斷有哪些漏洞和區(qū)域沒(méi)有覆蓋到。在盡可能短的時(shí)間內(nèi)對(duì)目標(biāo)進(jìn)行端口與漏洞掃描。完成掃描后，可對(duì)所或數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)安全漏洞，如FTB漏洞，NFS輸出到未授權(quán)程序中，不受限制的X服務(wù)器訪問(wèn)，不受限制的調(diào)制解調(diào)器，Sendmail的漏洞，NIS口令文件訪問(wèn)等。下面將對(duì)有關(guān)的端口與漏洞進(jìn)行分析。12可編輯ppt公認(rèn)端口(WellKnownPorts)

這類(lèi)端口也常稱(chēng)之為“常用端口”。它們的端口號(hào)從0到1023之間?！俺Ｓ枚丝凇本o密綁定于一些特定的服務(wù)，不允許改變。例如：80端口是為HTTP通信協(xié)議所專(zhuān)用，8000端口用于QQ通信等等。13可編輯ppt2注冊(cè)端口(RegisteredPorts)

這類(lèi)端口的端口號(hào)從1024到4915l，它們松散地綁定于一些服務(wù)，用于其他的服務(wù)和目的。由于注冊(cè)端口多數(shù)沒(méi)有明確定義出服務(wù)對(duì)象，因此常會(huì)被木馬定義和使用。14可編輯ppt3動(dòng)態(tài)和／或私有端口(Dynamicand／orPrivatePorts)

這類(lèi)端口的端口號(hào)從49152到65535。由于這些端口容易隱蔽，也常常不為人所注意，因此也常會(huì)被木馬定義和使用。15可編輯ppt常見(jiàn)的TCP協(xié)議端口有

(1)21號(hào)端口，用于文件傳輸協(xié)議FTP。文件傳輸服務(wù)包括上傳、下載大容量的文件和數(shù)據(jù)，例如主頁(yè)。(2)23號(hào)端口，用于遠(yuǎn)程登陸Telnet。遠(yuǎn)程登陸允許用戶以自己的身份遠(yuǎn)程連接到電腦上，通過(guò)這種端口可以提供一種基于DOS模式下的通信服務(wù)，如純字符界面的BBS。16可編輯ppt(3)25號(hào)端口，用于簡(jiǎn)單郵件傳送協(xié)議SMTP。簡(jiǎn)單郵件傳送協(xié)議是用于發(fā)送郵件。(4)80號(hào)端口，用于“超文本傳輸協(xié)議”HTTP。這是用得最多的協(xié)議，網(wǎng)絡(luò)上提供網(wǎng)頁(yè)資源的電腦(“Web服務(wù)器”)只有打開(kāi)80號(hào)端口，才能夠提供“WWW服務(wù)”。17可編輯ppt(5)110號(hào)端口，用于接收郵件協(xié)議POP3。它和SMTP相對(duì)應(yīng)，接收郵件協(xié)議只用于接收POP3郵件。(6)139端口，用于為NetBIOS提供服務(wù)，例如WindowsXP的文件和打印機(jī)共享服務(wù)。(NetBIOS是“網(wǎng)絡(luò)基本輸入輸出系統(tǒng)”，系統(tǒng)可以利用多種模式將NetBIOS名解析為相應(yīng)的IP地址，從而實(shí)現(xiàn)局域網(wǎng)內(nèi)的通信，但在Intenet上NetBIOS就相當(dāng)于一個(gè)后門(mén)，很多攻擊者都是通過(guò)NetBIOS漏洞發(fā)起攻擊的)。18可編輯ppt①53號(hào)端口，用于域名解析服務(wù)DNS。②161號(hào)端口，用于簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP。③3389端口，WindowsXP默認(rèn)允許遠(yuǎn)程用戶連接到本地電腦端口。④4000／8000號(hào)端口，用于QQ和OICQ服務(wù)。⑤137和138號(hào)端口，用于網(wǎng)絡(luò)鄰居之間傳輸文件。常見(jiàn)的UDP協(xié)議的端口有：19可編輯ppt所謂的漏洞一詞原本指系統(tǒng)的安全缺陷。漏洞也是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。它形成的原因非常復(fù)雜，或者是由于系統(tǒng)設(shè)計(jì)者的疏忽或其他目的在程序代碼的隱蔽處保留的某些端口或者后門(mén)；或者是由于要實(shí)現(xiàn)某些功能。比如網(wǎng)絡(luò)之間的通信而設(shè)計(jì)的端口；或者是外來(lái)入侵者刻意打開(kāi)的某些端口。20可編輯pptWindows環(huán)境中的輸入法漏洞，這個(gè)漏洞曾經(jīng)使許多入侵者輕而易舉地控制了使用Windows環(huán)境的計(jì)算機(jī)：WindowsXPProfessional中的一個(gè)允許計(jì)算機(jī)進(jìn)行遠(yuǎn)程交互通信的“遠(yuǎn)程過(guò)程調(diào)用協(xié)議”RPC(RemoteProcedureCall)，又成為了“沖擊波”病毒入侵的漏洞。如此等等，因而這些都可以認(rèn)為是系統(tǒng)中存在的安全漏洞。21可編輯ppt第四步實(shí)施攻擊。

根據(jù)已知的“漏洞”或者“弱口令”，實(shí)施入侵。通過(guò)猜測(cè)程序可對(duì)截獲的擁護(hù)賬號(hào)和口令進(jìn)行破譯。利用破譯的口令可對(duì)截獲的系統(tǒng)密碼文件進(jìn)行破譯；利用網(wǎng)絡(luò)和系統(tǒng)的薄弱環(huán)節(jié)和安全漏洞可實(shí)施電子引誘（如安放特洛伊木馬）等。黑客們或修改網(wǎng)頁(yè)進(jìn)行惡作劇，或破壞系統(tǒng)程序或放病毒使系統(tǒng)癱瘓，或竊取政治，軍事，商業(yè)秘密，或進(jìn)行電子郵件騷擾，轉(zhuǎn)移資金賬戶，竊取金錢(qián)等。22可編輯ppt所謂“弱口令”就是“簡(jiǎn)單的密碼”。因?yàn)榭诹罹褪侨藗兂Ｕf(shuō)的密碼，“弱”在網(wǎng)絡(luò)的術(shù)語(yǔ)里就是“簡(jiǎn)單”的意思。許多網(wǎng)絡(luò)計(jì)算機(jī)往往就是因?yàn)樵O(shè)置了簡(jiǎn)單的密碼而被黑客入侵成功。因此，應(yīng)該對(duì)“弱口令”問(wèn)題給予足夠的重視。讓黑客即使登錄到我們的計(jì)算機(jī)之上，也因?yàn)闊o(wú)法破解密碼而達(dá)不到控制計(jì)算機(jī)或者竊取數(shù)據(jù)的目的。弱口令23可編輯ppt第五步留下“后門(mén)”

由于黑客滲透主機(jī)系統(tǒng)之后，往往要留下后門(mén)以便今后再次入侵。留下后門(mén)的技術(shù)有多種方法，包括提升帳戶權(quán)限或者增加管理帳號(hào)或者安裝特洛伊木馬等。所謂“后門(mén)”是指后門(mén)程序又稱(chēng)特洛伊木馬(Trojanhorse)，也簡(jiǎn)稱(chēng)“木馬”，其用途在于潛伏在網(wǎng)絡(luò)計(jì)算機(jī)中，從事搜集信息或便于黑客進(jìn)入的動(dòng)作。后門(mén)是一種登錄系統(tǒng)的方法，它不僅繞過(guò)系統(tǒng)已有的安全設(shè)置，而且還能挫敗系統(tǒng)上各種增強(qiáng)的安全設(shè)置。

24可編輯ppt第六步清除日志

黑客對(duì)目標(biāo)機(jī)進(jìn)行一系列的攻擊后，通過(guò)檢查被攻擊方的日志，可以了解入侵過(guò)程中留下的“痕跡”；這樣入侵者就知道需要?jiǎng)h除哪些文件來(lái)毀滅入侵證據(jù)。為了達(dá)到隱蔽自己入侵行為的目的，清除日志信息對(duì)于黑客來(lái)講是必不可少的。在現(xiàn)實(shí)生活中，很多內(nèi)部網(wǎng)絡(luò)或者企業(yè)網(wǎng)絡(luò)根本沒(méi)有啟動(dòng)審計(jì)機(jī)制，這給入侵追蹤造成了巨大的困難。25可編輯ppt11.2.2黑客入侵的層次與種類(lèi)黑客入侵的方式多種多樣，危害程度也不盡相同，按黑客進(jìn)攻的方法和危害程度可分為以下級(jí)別和層次：●郵件爆炸攻擊（emailbomb）（第一層）●簡(jiǎn)單服務(wù)拒絕攻擊（denialofservice）（第一層）●本地用戶獲得非授權(quán)讀訪問(wèn)（第二層）●遠(yuǎn)程用戶獲得非授權(quán)的帳號(hào)（第三層）●遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限（第四層）●遠(yuǎn)程用戶獲得了特權(quán)文件的寫(xiě)權(quán)限（第五層）●遠(yuǎn)程用戶有了根（root）權(quán)限（黑客已經(jīng)攻克系統(tǒng)）（第六層）26可編輯ppt11.3黑客攻擊與防范黑客攻擊的一般流程是：“獲取目標(biāo)IP地址”、“掃描目標(biāo)開(kāi)放的端口和破解弱口令”以及“入侵目標(biāo)”。1．獲取遠(yuǎn)程目標(biāo)IP地址

獲取遠(yuǎn)程目標(biāo)的IP地址的方法很多，有通過(guò)具有自動(dòng)上線功能的掃描工具將存在系統(tǒng)漏洞的目標(biāo)電腦的IP地址捕獲：有使用專(zhuān)門(mén)的掃描工具進(jìn)行掃描獲得，例如下面要介紹的X-Scan；有通過(guò)某些網(wǎng)絡(luò)通信工具等。此外也可以通過(guò)PING命令直接解析對(duì)方的IP地址。27可編輯ppt2．掃描遠(yuǎn)程目標(biāo)漏洞當(dāng)需要掃描的IP地址范圍確定后，入侵者就要獲取目標(biāo)計(jì)算機(jī)上的漏洞(也稱(chēng)為“開(kāi)放的端口”)和弱口令等其他信息?！岸丝趻呙琛?portscanning)是主動(dòng)對(duì)目標(biāo)計(jì)算機(jī)的選定端口進(jìn)行掃描，它掃描目標(biāo)計(jì)算機(jī)的TCP協(xié)議或UDP協(xié)議端門(mén)，實(shí)時(shí)地發(fā)現(xiàn)“漏洞”，以便入侵。

利用軟件掃描端口和破解弱口令本例以X-Scan來(lái)進(jìn)行說(shuō)明怎樣利用掃描軟件來(lái)掃描端口和破解弱口令。28可編輯ppt3．入侵目標(biāo)計(jì)算機(jī)(1)與目標(biāo)計(jì)算機(jī)建立連接當(dāng)通過(guò)X-Scan的掃描，發(fā)現(xiàn)了有用戶使用了“弱口令”。例如IP地址為：3的主機(jī)上有一個(gè)名字為：Administrator的管理員用戶使用了“弱口令”為空。因此就很容易造成入侵。黑客如果要利用“弱口令”登錄到這臺(tái)計(jì)算機(jī)上。只要在本地計(jì)算機(jī)上發(fā)布以下命令：netuse\\3\ipc$"123456"／user："Administrator"29可編輯ppt(2)上傳木馬在目標(biāo)計(jì)算機(jī)上建立一個(gè)連接之后，就可以利用DOS的命令上傳一個(gè)木馬文件：serven.exe，當(dāng)然也可以下載目標(biāo)計(jì)算機(jī)上的文件。上傳一個(gè)木馬文件server.exe的命令為：Copyserver.exe\\0\adminS\system32上傳一個(gè)木馬文件server.exe后，為了讓它在指定的時(shí)間自動(dòng)執(zhí)行，用以下命令獲取對(duì)方的計(jì)算機(jī)時(shí)間。Nettime\\630可編輯ppt(3)打掃痕跡上述工作完成后，黑客一般要打掃痕跡，避免對(duì)方發(fā)現(xiàn)。用以下命令刪除共享：netShareadmin$/del。31可編輯ppt11.4ARP欺騙(1)ARP欺騙的含義眾所周知，IP地址是不能直接用來(lái)進(jìn)行通信的，這是因?yàn)镮P地址只是主機(jī)在抽象的網(wǎng)絡(luò)層中的地址。如果要將網(wǎng)絡(luò)層中傳送的數(shù)據(jù)報(bào)交給目的主機(jī)，還要傳到數(shù)據(jù)鏈路層轉(zhuǎn)變成硬件地址后才能發(fā)送到實(shí)際的網(wǎng)絡(luò)上。由于IP地址是32位的，而局域網(wǎng)的硬件地址是48位的，因此它們之間不存在簡(jiǎn)單的映射關(guān)系。將一臺(tái)計(jì)算機(jī)的IP地址翻譯成等價(jià)的硬件地址的過(guò)程叫做地址解析。32可編輯ppt(2)ARP欺騙原理如果一臺(tái)計(jì)算機(jī)A要與另一臺(tái)計(jì)算機(jī)B進(jìn)行通信時(shí)，它就會(huì)先在自己的列表中搜尋一下這個(gè)被訪問(wèn)的IP地址所對(duì)應(yīng)的MAC地址，如果找到了就直接進(jìn)行通信，如果表中沒(méi)有的話，主機(jī)A則會(huì)向網(wǎng)內(nèi)發(fā)一個(gè)廣播來(lái)尋找被訪問(wèn)目標(biāo)B的MAC地址，當(dāng)被訪問(wèn)目標(biāo)B收到廣播后它就會(huì)自動(dòng)回應(yīng)一個(gè)信息給發(fā)廣播的機(jī)器A，其他機(jī)器則不會(huì)給發(fā)廣播的機(jī)器A回應(yīng)任何信息，這樣計(jì)算機(jī)A就可以更新列表并與計(jì)算機(jī)B進(jìn)行正常通信。由此可見(jiàn)，ARP協(xié)議是建立在網(wǎng)內(nèi)所有計(jì)算機(jī)的高度信任基礎(chǔ)上來(lái)進(jìn)行工作的，因此這就為黑客提供了攻擊的好機(jī)會(huì)。33可編輯ppt(3)ARP攻擊的方式根據(jù)ARP欺騙的原理可知攻擊的方式有以下兩種：1）中間人攻擊中間人攻擊就是攻擊者將自己的主機(jī)作為被攻擊主機(jī)間的橋梁，可以查看它們之間的通信，提取重要的信