2007年網(wǎng)絡(luò)網(wǎng)站安全技術(shù)發(fā)展分析寶典

時(shí)間：2023-01-16 20:56:02 | 來源：電子商務(wù)

時(shí)間：2023-01-16 20:56:02 來源：電子商務(wù)

在網(wǎng)絡(luò)安全實(shí)踐中，網(wǎng)絡(luò)攻擊者主動(dòng)性很強(qiáng)，因此，在整個(gè)攻防實(shí)戰(zhàn)中占據(jù)著十分重要的地位。從典型的攻擊思路來看，攻擊者一般要經(jīng)過“探測(cè)”、“攻擊”、“隱藏”等三個(gè)步驟，而且每個(gè)步驟又有許多種類型。2007年，網(wǎng)絡(luò)安全界風(fēng)起云涌，從技術(shù)更加精湛的網(wǎng)絡(luò)注入到隱蔽性更強(qiáng)的釣魚式攻擊，從頻頻被利用的系統(tǒng)漏洞到悄然運(yùn)行木馬工具，網(wǎng)絡(luò)攻擊者的手段也更加高明?！爸褐耍賾?zhàn)不殆”，本專題將通過科學(xué)分類的方法，對(duì)本年度的網(wǎng)絡(luò)攻擊技術(shù)進(jìn)行詳細(xì)的點(diǎn)評(píng)。同時(shí)，還將穿插精彩的典型案例，使用戶達(dá)到舉一反三的目的。

本文主要內(nèi)容
一、2007年網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)	三、2007年網(wǎng)絡(luò)攻擊和隱藏技術(shù)發(fā)展趨勢(shì)
二、探測(cè)技術(shù)和攻擊測(cè)試平臺(tái)的發(fā)展	1、竊聽技術(shù)的發(fā)展趨勢(shì)
1、三部曲：踩點(diǎn)、掃描和查點(diǎn)	2、欺騙技術(shù)的發(fā)展趨勢(shì)
2、一則安全日記引發(fā)的攻擊思路分析	3、拒絕服務(wù)攻擊技術(shù)的發(fā)展
3、攻擊測(cè)試平臺(tái)的新發(fā)展	4、數(shù)據(jù)驅(qū)動(dòng)攻擊技術(shù)及其新發(fā)展
四、熱門攻擊實(shí)例分析	5、隱藏技術(shù)及其新發(fā)展

一、2007年網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)

綜合分析2007年網(wǎng)絡(luò)攻擊技術(shù)發(fā)展情況，其攻擊趨勢(shì)可以歸納如下：

趨勢(shì)1：發(fā)現(xiàn)安全漏洞越來越快，覆蓋面越來越廣。新發(fā)現(xiàn)的安全漏洞每年都要增加一倍，管理人員不斷用最新的補(bǔ)丁修補(bǔ)這些漏洞，而且每年都會(huì)發(fā)現(xiàn)安全漏洞的新類型。入侵者經(jīng)常能夠在廠商修補(bǔ)這些漏洞前發(fā)現(xiàn)攻擊目標(biāo)。

趨勢(shì)2：攻擊工具越來越復(fù)雜。攻擊工具開發(fā)者正在利用更先進(jìn)的技術(shù)武裝攻擊工具。與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進(jìn)行檢測(cè)。攻擊工具具有以下特點(diǎn)：

反偵破和動(dòng)態(tài)行為。攻擊者采用隱蔽攻擊工具特性的技術(shù)，這使安全專家分析新攻擊工具和了解新攻擊行為所耗費(fèi)的時(shí)間增多；早期的攻擊工具是以單一確定的順序執(zhí)行攻擊步驟，今天的自動(dòng)攻擊工具可以根據(jù)隨機(jī)選擇、預(yù)先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為。

攻擊工具的成熟性。與早期的攻擊工具不同，目前攻擊工具可以通過升級(jí)或更換工具的一部分迅速變化，發(fā)動(dòng)迅速變化的攻擊，且在每一次攻擊中會(huì)出現(xiàn)多種不同形態(tài)的攻擊工具。此外，攻擊工具越來越普遍地被開發(fā)為可在多種操作系統(tǒng)平臺(tái)上執(zhí)行。

趨勢(shì)3：攻擊自動(dòng)化程度和攻擊速度提高，殺傷力逐步提高。自動(dòng)攻擊一般涉及四個(gè)階段，在每個(gè)階段都出現(xiàn)了新變化。

Ø 掃描可能的受害者、損害脆弱的系統(tǒng)。目前，掃描工具利用更先進(jìn)的掃描模式來改善掃描效果和提高掃描速度。以前，安全漏洞只在廣泛的掃描完成后才被加以利用。而現(xiàn)在攻擊工具利用這些安全漏洞作為掃描活動(dòng)的一部分，從而加快了攻擊的傳播速度。

Ø 傳播攻擊。在2000年之前，攻擊工具需要人來發(fā)動(dòng)新一輪攻擊。目前，攻擊工具可以自己發(fā)動(dòng)新一輪攻擊。像紅色代碼和尼姆達(dá)這類工具能夠自我傳播，在不到18個(gè)小時(shí)內(nèi)就達(dá)到全球飽和點(diǎn)。

趨勢(shì)4：越來越不對(duì)稱的威脅。Internet上的安全是相互依賴的。每個(gè)Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上其他系統(tǒng)的安全狀態(tài)。由于攻擊技術(shù)的進(jìn)步，一個(gè)攻擊者可以比較容易地利用分布式系統(tǒng)，對(duì)一個(gè)受害者發(fā)動(dòng)破壞性的攻擊。隨著部署自動(dòng)化程度和攻擊工具管理技巧的提高，威脅的不對(duì)稱性將繼續(xù)增加。

趨勢(shì)5：越來越高的防火墻滲透率。防火墻是人們用來防范入侵者的主要保護(hù)措施。但是越來越多的攻擊技術(shù)可以繞過防火墻，例如，Internet打印協(xié)議和WebDAV（基于Web的分布式創(chuàng)作與翻譯）都可以被攻擊者利用來繞過防火墻。

趨勢(shì)6：對(duì)基礎(chǔ)設(shè)施將形成越來越大的威脅。基礎(chǔ)設(shè)施攻擊是大面積影響Internet關(guān)鍵組成部分的攻擊。由于用戶越來越多地依賴Internet完成日常業(yè)務(wù)，基礎(chǔ)設(shè)施攻擊引起人們?cè)絹碓酱蟮膿?dān)心。基礎(chǔ)設(shè)施面臨分布式拒絕服務(wù)攻擊、蠕蟲病毒、對(duì)Internet域名系統(tǒng)(DNS)的攻擊和對(duì)路由器攻擊或利用路由器的攻擊。攻擊工具的自動(dòng)化程度使得一個(gè)攻擊者可以安裝他們的工具并控制幾萬個(gè)受損害的系統(tǒng)發(fā)動(dòng)攻擊。入侵者經(jīng)常搜索已知包含大量具有高速連接的易受攻擊系統(tǒng)的地址塊，電纜調(diào)制解調(diào)器、DSL和大學(xué)地址塊越來越成為計(jì)劃安裝攻擊工具的入侵者的目標(biāo)。

我們可以從攻擊者的角度出發(fā)，將攻擊的步驟可分為探測(cè)（Probe）、攻擊（Exploit）和隱藏（Conceal）。同時(shí)，攻擊技術(shù)據(jù)此可分為探測(cè)技術(shù)、攻擊技術(shù)和隱藏技術(shù)三大類，并在每類中對(duì)各種不同的攻擊技術(shù)進(jìn)行細(xì)分。
探測(cè)是黑客在攻擊開始前必需的情報(bào)收集工作，攻擊者通過這個(gè)過程需要盡可能詳細(xì)的了解攻擊目標(biāo)安全相關(guān)的方方面面信息，以便能夠集中火力進(jìn)行攻擊。探測(cè)又可以分為三個(gè)基本步驟：踩點(diǎn)、掃描和查點(diǎn)。如下表所示：

攻擊技術(shù)			攻擊方法
探測(cè)技術(shù)	踩點(diǎn)		查詢域名、DNS、網(wǎng)絡(luò)勘察
	掃描	Ping 掃描	ipsweep
		端口掃描	portsweep, resetscan
		操作系統(tǒng)辨識(shí)	queso
		漏洞掃描	satan, mscan
	查點(diǎn)		ls, ntinfoscan

1、三部曲：踩點(diǎn)、掃描和查點(diǎn) (相關(guān)文章：端口·木馬·安全·掃描應(yīng)用知識(shí))

如果將服務(wù)器比作一個(gè)大樓，主機(jī)入侵信息收集及分析要做的工作就如在大樓中部署若干個(gè)攝像頭，在大樓發(fā)生盜竊事件之后，對(duì)攝像頭中的影像進(jìn)行分析，進(jìn)而為報(bào)案和“亡羊補(bǔ)牢”做準(zhǔn)備。

第一步：踩點(diǎn)。是指攻擊者結(jié)合各種工具和技巧，以正常合法的途徑對(duì)攻擊目標(biāo)進(jìn)行窺探，對(duì)其安全情況建立完整的剖析圖。在這個(gè)步驟中，主要收集的信息包括：各種聯(lián)系信息，包括名字、郵件地址和電話號(hào)碼、傳真號(hào)；IP地址范圍；DNS服務(wù)器；郵件服務(wù)器。對(duì)于一般用戶來說，如果能夠利用互聯(lián)網(wǎng)中提供的大量信息來源，就能逐漸縮小范圍，從而鎖定所需了解的目標(biāo)。幾種實(shí)用的流行方式有：通過網(wǎng)頁搜尋和鏈接搜索、利用互聯(lián)網(wǎng)域名注冊(cè)機(jī)構(gòu)進(jìn)行Whois查詢、利用Traceroute獲取網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息等。

第二步：掃描。是攻擊者獲取活動(dòng)主機(jī)、開放服務(wù)、操作系統(tǒng)、安全漏洞等關(guān)鍵信息的重要技術(shù)。掃描技術(shù)包括Ping 掃描（確定哪些主機(jī)正在活動(dòng)）、端口掃描（確定有哪些開放服務(wù)）、操作系統(tǒng)辨識(shí)（確定目標(biāo)主機(jī)的操作系統(tǒng)類型）和安全漏洞掃描（獲得目標(biāo)上存在著哪些可利用的安全漏洞）。Ping掃射可以幫助我們判斷哪些系統(tǒng)是存活的。而通過端口掃描可以同目標(biāo)系統(tǒng)的某個(gè)端口來建立連接，從而確定系統(tǒng)目前提供什么樣的服務(wù)或者哪些端口正處于偵聽狀態(tài)。著名的掃描工具包括nmap，netcat 等，知名的安全漏洞掃描工具包括開源的nessus 及一些商業(yè)漏洞掃描產(chǎn)品如ISS 的Scanner 系列產(chǎn)品。另外，在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)掃描技術(shù)則是指檢測(cè)目標(biāo)系統(tǒng)是否同互聯(lián)網(wǎng)連接、所提供的網(wǎng)絡(luò)服務(wù)類型等等。通過網(wǎng)絡(luò)掃描獲得的信息有：被掃描系統(tǒng)所運(yùn)行的TCP/UDP服務(wù)；系統(tǒng)體系結(jié)構(gòu)；通過互聯(lián)網(wǎng)可以訪問的IP地址范圍；操作系統(tǒng)類型等。

第三步：查點(diǎn)。是攻擊者常采用的從目標(biāo)系統(tǒng)中抽取有效賬號(hào)或?qū)С鲑Y源名的技術(shù)。通常這種信息是通過主動(dòng)同目標(biāo)系統(tǒng)建立連接來獲得的，因此這種查詢?cè)诒举|(zhì)上要比踩點(diǎn)和端口掃描更具有入侵效果。查點(diǎn)技術(shù)通常和操作系統(tǒng)有關(guān)，所收集的信息包括用戶名和組名信息、系統(tǒng)類型信息、路由表信息和SNMP信息等。

綜觀本年度比較熱門的攻擊事件，可以看到，在尋找攻擊目標(biāo)的過程中，以下手段明顯加強(qiáng)：

（1）通過視頻文件尋找“肉雞”。在今年，這種方法大有星火燎原之勢(shì)，攻擊者首先要配置木馬，然后制作視頻木馬，如RM木馬、WMV木馬等，然后通過P2P軟件、QQ發(fā)送、論壇等渠道進(jìn)行傳播，用戶很難察覺。

（2）根據(jù)漏洞公告尋找“肉雞”。現(xiàn)在，關(guān)于漏洞技術(shù)的網(wǎng)站專業(yè)性更強(qiáng)，在這個(gè)網(wǎng)站上，經(jīng)常會(huì)公布一些知名黑客發(fā)現(xiàn)的漏洞，從遠(yuǎn)程攻擊、本地攻擊到腳本攻擊等，描述十分詳細(xì)。在漏洞補(bǔ)丁沒有發(fā)布之前，這些攻擊說明可能會(huì)進(jìn)一步加大網(wǎng)絡(luò)安全威脅。

（3）利用社會(huì)心理學(xué)、社會(huì)工程學(xué)獲取目標(biāo)信息。比如，通過對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已呈迅速上升甚至濫用的趨勢(shì)。目前，已經(jīng)有攻擊者通過“溯雪＋社會(huì)工程學(xué)”的形式破解了263信箱。

2、一則安全日記引發(fā)的攻擊思路分析

時(shí)間：2007年7月某天晚上

地點(diǎn)：某出版社網(wǎng)絡(luò)管理中心

人物：某網(wǎng)絡(luò)管理員

序幕：一個(gè)網(wǎng)友突然傳來一個(gè)網(wǎng)址，讓我檢測(cè)一個(gè)數(shù)據(jù)中心網(wǎng)站的安全性。資料顯示，該站點(diǎn)是一個(gè)大型虛擬主機(jī)系統(tǒng)，支持ASP+PHP+JSP。

事件記錄：

拿過站點(diǎn)地址，沒經(jīng)過任何思考，我利用SuperScan等軟件對(duì)主機(jī)進(jìn)行了端口掃描，掃描后共發(fā)現(xiàn)開了10個(gè)端口，重要的有80、110、135、139、3389等，但能夠利用的服務(wù)不算多。從掃描的80信息顯示來看，對(duì)方的系統(tǒng)是Windows 2000+IIS5.0，還打開了一個(gè)遠(yuǎn)程桌面管理（開放了3389端口）。 

第1步：檢查是否有應(yīng)用程序漏洞。登錄3389服務(wù)，看看有沒有非系統(tǒng)自帶的輸入法，因?yàn)槟承╊愋偷妮斎敕ㄟ€是有幫助文件和URL的，結(jié)果沒有任何幫助文件。使用net命令測(cè)試后，發(fā)現(xiàn)不能順利與服務(wù)器建立空連接，猜測(cè)密碼口令也沒有結(jié)果。

第2步：現(xiàn)在，比較合理的選擇是檢測(cè)CGI漏洞，使用安全掃描軟件后，發(fā)現(xiàn)默認(rèn)的“scripts”、“_vti_bin”等目錄以及大量的“ida”、“idq”、“htw”等映像，但是用了許多溢出程序都沒有溢出。初步推測(cè)，系統(tǒng)打上了SP3補(bǔ)丁。

第3步：下面再看看郵件服務(wù)軟件是否支持expn、vrfy指令。經(jīng)測(cè)試，返回“OK”并枚舉出一個(gè)100多個(gè)用戶的詳細(xì)列表，接著用POP3密碼破解軟件破密碼，自然收獲不小了。然后嘗試用這些帳號(hào)登錄ftp服務(wù)，終于發(fā)現(xiàn)其中有一個(gè)用戶名為cndes，密碼為1234abcd，而且可以登錄ftp空間。也就是說，這個(gè)用戶買了服務(wù)器的收費(fèi)郵箱和收費(fèi)主頁空間，并且郵箱和主頁空間的密碼設(shè)置的是相同的。

第4步：計(jì)劃向主頁空間上傳兩個(gè)文件，一個(gè)是win.exe，這是一個(gè)大小僅有4kb的木馬，功能相當(dāng)強(qiáng)大；另一個(gè)是海陽頂端ASP木馬。上傳完畢，現(xiàn)在就可以查看服務(wù)器的詳細(xì)情況了。順便查查cndes空間目錄在什么位置，并把win.exe的路徑記下來。

第5步：使用temp.asp進(jìn)行入侵。為了防止被系統(tǒng)日志記錄下來，明智的選擇是另外開個(gè)沒有日志記錄的shell，并準(zhǔn)備運(yùn)行另一個(gè)win.exe木馬。怎么運(yùn)行它呢，用過Unicode漏洞的人都知道，有了木馬在服務(wù)器的絕對(duì)路徑，并且木馬所在的目錄有腳本可執(zhí)行權(quán)限，我們就能運(yùn)行它了?？吹絀E狀態(tài)區(qū)的進(jìn)度條，表示已經(jīng)在服務(wù)器端運(yùn)行了程序?，F(xiàn)在就可以從剛開的后門進(jìn)去了。

第6步：取得admin權(quán)限。由于Administrator帳號(hào)更改，現(xiàn)在把一個(gè)特殊的cmd.exe（利用exe合并軟件把cmd.exe和木馬合成一個(gè)程序）上傳到服務(wù)器C盤下并隱藏起來，等待管理員運(yùn)行cmd.exe時(shí)，系統(tǒng)就會(huì)多了一個(gè)admin權(quán)限的帳號(hào)，接下來就是用這個(gè)帳號(hào)來停掉w3svc服務(wù)并修改日志，整個(gè)過程到此結(jié)束。

其實(shí)，這位黑客是一位受到委托的網(wǎng)絡(luò)安全專家。通過自己的經(jīng)驗(yàn)和專業(yè)技術(shù)，他找到了可能被黑客利用的重大安全隱患?？梢?，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊者的思路也日趨成熟，在某些方面甚至比網(wǎng)絡(luò)管理員更專業(yè)、更了解對(duì)方。在這種程序化的思路中，他們就能夠號(hào)入座尋找可能存在的對(duì)象，并實(shí)施有目的性的攻擊。
3、攻擊測(cè)試平臺(tái)的新發(fā)展

對(duì)于網(wǎng)絡(luò)管理員來說，虛擬機(jī)是一項(xiàng)很不錯(cuò)的技術(shù)，安裝了虛擬機(jī)，管理員就可以在自己的機(jī)子上同時(shí)運(yùn)行多個(gè)操作系統(tǒng)，并可在它們之間進(jìn)行自由的切換。不過，從2007年各大安全論壇的討論主題來看，虛擬機(jī)技術(shù)在黑客中間也得到了普及。通過使用虛擬機(jī)，網(wǎng)絡(luò)攻擊者不需要重新開機(jī)就能在同一臺(tái)電腦使用好幾個(gè)操作系統(tǒng)，它可以將電腦上的一部分硬盤和內(nèi)存進(jìn)行組合，虛擬出若干臺(tái)機(jī)器，實(shí)施各種操作系統(tǒng)下的攻擊。

下面，我們將結(jié)合VMWare，詳細(xì)了解攻擊測(cè)試平臺(tái)的搭建過程。用戶可從以下網(wǎng)站下載：。

第1步：VMWare軟件的安裝。這個(gè)過程十分簡(jiǎn)單，下載完畢，直接“Next”即可完成安裝。安裝完畢，我們會(huì)發(fā)現(xiàn)多了兩塊虛擬網(wǎng)卡，在VMWare下用戶可以使用虛擬網(wǎng)卡進(jìn)行聯(lián)網(wǎng)設(shè)置及試驗(yàn)。單擊“新建虛擬機(jī)”圖標(biāo)，根據(jù)提示選擇一種要安裝的操作系統(tǒng)，一般選擇典型設(shè)置。

第2步：虛擬機(jī)啟動(dòng)并自檢后，這時(shí)按F2可以進(jìn)入BIOS設(shè)置。每一臺(tái)虛擬機(jī)都有它自己的BIOS。虛擬機(jī)使用PHOENIX BIOS，先將鼠標(biāo)點(diǎn)擊虛擬機(jī)窗口，接收鼠標(biāo)鍵盤的輸入信息后，就可以進(jìn)行相關(guān)BIOS設(shè)置了。

第3步：設(shè)置光驅(qū)映像ISO文件或者將光盤放入光驅(qū)后，進(jìn)入操作系統(tǒng)的安裝過程，否則虛擬機(jī)將會(huì)提示沒有找到操作系統(tǒng)。如果光盤沒有啟動(dòng)，需要到BIOS中設(shè)置啟動(dòng)順序。安裝完畢，點(diǎn)擊虛擬機(jī)操作界面上方左邊工具欄中的“打開電源”鍵，如同按下了一臺(tái)電腦的開關(guān)。

第4步：切換到虛擬機(jī)。進(jìn)入虛擬平臺(tái)后，它會(huì)屏蔽掉主機(jī)計(jì)算機(jī)的所有鼠標(biāo)或鍵盤操作，不過我們可以按“Ctrl＋Alt”組合鍵返回主機(jī)系統(tǒng)。虛擬機(jī)的重新啟動(dòng)、關(guān)機(jī)等對(duì)于宿主計(jì)算機(jī)來說都是虛擬的，但對(duì)于虛擬機(jī)中安裝的操作系統(tǒng)來說則是真實(shí)的。因此，安裝好操作系統(tǒng)的虛擬機(jī)，一樣要先通過“開始”菜單關(guān)機(jī)。而不能強(qiáng)制關(guān)閉虛擬機(jī)電源，否則，虛擬機(jī)下次啟動(dòng)的時(shí)候也會(huì)像真實(shí)的電腦一樣檢測(cè)磁盤的。

第5步：安裝VMWare Tools。完成安裝后，在VMWare軟件的左下角有一個(gè)提示：“你沒有安裝VMWare Tools”。單擊“虛擬機(jī)”菜單中的“安裝VMWare工具”選項(xiàng)，安裝VMWare工具。注意，如果是用ISO文件安裝的操作系統(tǒng)，最好重新加載該安裝文件并重新啟動(dòng)系統(tǒng)，這樣系統(tǒng)就能自動(dòng)找到VMWare Tools的安裝文件。如圖1所示。

安裝VMWare Tools之后，再次登錄redhat Linux系統(tǒng)，現(xiàn)在就會(huì)感覺在圖像色彩和聲音質(zhì)量上都有很大的提高。同時(shí)，鼠標(biāo)可以在虛擬機(jī)、宿主機(jī)之間隨意移動(dòng)、切換。新建一個(gè)虛擬機(jī)后，除了使用默認(rèn)值，用戶還可以通過配置文件修改參數(shù)。在單機(jī)平臺(tái)上，利用VMWare構(gòu)建一個(gè)具有多個(gè)節(jié)點(diǎn)的局域網(wǎng)，組建非常復(fù)雜的局域網(wǎng)。如圖2所示。

通過上面的典型測(cè)試環(huán)境，攻擊者已經(jīng)可以在本地輕松的完成各種網(wǎng)絡(luò)程序和其他操作系統(tǒng)的測(cè)試。如果能夠結(jié)合resin、Apache等web服務(wù)器，我們也就不難理解黑客為什么能夠如此迅速的完成其他系統(tǒng)或平臺(tái)下的漏洞或攻擊測(cè)試了。難怪有人會(huì)這么評(píng)價(jià)：“一名優(yōu)秀的網(wǎng)絡(luò)管理員首先是一名優(yōu)秀的黑客”。
三、2007年網(wǎng)絡(luò)攻擊和隱藏技術(shù)發(fā)展趨勢(shì)

“心中有佛天地寬”，網(wǎng)絡(luò)攻擊中的“佛”在哪里呢？首先，我們應(yīng)該對(duì)攻擊技術(shù)的分類有一個(gè)清晰的脈絡(luò)，否則很難確定自己在這場(chǎng)戰(zhàn)爭(zhēng)中的角色。因此，我們可以將從以下幾個(gè)方面對(duì)2007年網(wǎng)絡(luò)攻擊技術(shù)進(jìn)行分述，即竊聽技術(shù)、欺騙技術(shù)、拒絕服務(wù)和數(shù)據(jù)驅(qū)動(dòng)攻擊。同時(shí)，對(duì)攻擊事件完成之后的隱藏技術(shù)也進(jìn)行分析。

1、竊聽技術(shù)的發(fā)展趨勢(shì)

竊聽技術(shù)是攻擊者通過非法手段對(duì)系統(tǒng)活動(dòng)的監(jiān)視從而獲得一些安全關(guān)鍵信息。目前屬于竊聽技術(shù)的流行攻擊方法有鍵擊記錄器、網(wǎng)絡(luò)監(jiān)聽、非法訪問數(shù)據(jù)和攫取密碼文件?？梢詮囊韵聨讉€(gè)方面來分析。

（1）鍵擊記錄器。這是植入操作系統(tǒng)內(nèi)核的隱蔽軟件，通常實(shí)現(xiàn)為一個(gè)鍵盤設(shè)備驅(qū)動(dòng)程序，能夠把每次鍵擊都記錄下來，存放到攻擊者指定的隱藏的本地文件中。著名的有Win32 平臺(tái)下適用的IKS 等。

（2）網(wǎng)絡(luò)監(jiān)聽。這是攻擊者一旦在目標(biāo)網(wǎng)絡(luò)上獲得一個(gè)立足點(diǎn)之后刺探網(wǎng)絡(luò)情報(bào)的最有效方法，通過設(shè)置網(wǎng)卡的混雜（promiscuous）模式獲得網(wǎng)絡(luò)上所有的數(shù)據(jù)包，并從中抽取安全關(guān)鍵信息，如明文方式傳輸?shù)目诹睢nix 平臺(tái)下提供了libpcap 網(wǎng)絡(luò)監(jiān)聽工具庫(kù)和tcpdump、dsniff 等著名監(jiān)聽工具，而在Win32 平臺(tái)下也擁有WinPcap監(jiān)聽工具庫(kù)和windump、dsniff forWin32、Sniffer等免費(fèi)工具，另外還有專業(yè)工具Sniffer Pro等。

（3）非法訪問數(shù)據(jù)。這是指攻擊者或內(nèi)部人員違反安全策略對(duì)其訪問權(quán)限之外的數(shù)據(jù)進(jìn)行非法訪問。

（4）攫取密碼文件。這是攻擊者進(jìn)行口令破解獲取特權(quán)用戶或其他用戶口令的必要前提，關(guān)鍵的密碼文件如Windows 9x下的PWL 文件、Windows NT/2000下的SAM文件和Unix平臺(tái)下的/etc/password 和/etc/shadow。

下面，我們以本年度比較熱門的Sniffer為例進(jìn)行講解。Sniffer是一種利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。2007年以來，網(wǎng)絡(luò)監(jiān)聽技術(shù)出現(xiàn)了新的重要特征。傳統(tǒng)的Sniffer技術(shù)是被動(dòng)地監(jiān)聽網(wǎng)絡(luò)通信、用戶名和口令，而新的Sniffer技術(shù)則主動(dòng)地控制通信數(shù)據(jù)。在網(wǎng)絡(luò)攻擊者看來，此類工具是其必備技能之一，并對(duì)其竊取數(shù)據(jù)起到了十分重要的作用。Sniffer工作在網(wǎng)絡(luò)環(huán)境中的底層，它會(huì)攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，可以很輕松截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號(hào)碼、截止日期、賬號(hào)和pin碼。軟件下載地址為。

第1步：軟件安裝。安裝后，可以看到Sniffer pro的監(jiān)控模式有：儀表板，主機(jī)列表，矩陣，請(qǐng)求相應(yīng)時(shí)間，歷史取樣，協(xié)議分布，全局統(tǒng)計(jì)表等，這些模式能顯示各項(xiàng)網(wǎng)絡(luò)性能指標(biāo)及詳細(xì)的協(xié)議分析。在默認(rèn)情況下，Sniffer將捕獲其接入碰撞域中流經(jīng)的所有數(shù)據(jù)包。

第2步：定義過濾器。Sniffer提供了捕獲數(shù)據(jù)包前的過濾規(guī)則的定義，在主界面選擇“捕獲”菜單下的“定義過濾器”選項(xiàng)，然后打開“地址”選項(xiàng)卡。其中包括MAC地址、ip地址和ipx地址的定義。如圖3所示。

第3步：然后選擇“定義過濾器”選項(xiàng)的“高級(jí)”選項(xiàng)卡，定義希望捕獲的相關(guān)協(xié)議的數(shù)據(jù)包。此外，還可以在“緩沖”選項(xiàng)卡里面定義捕獲數(shù)據(jù)包的緩沖區(qū)，再將定義的過濾規(guī)則應(yīng)用于捕獲中。如果要停止Sniffer捕獲包時(shí)，點(diǎn)選“捕獲”菜單下的“停止”，把捕獲的數(shù)據(jù)包進(jìn)行解碼和顯示。
2、欺騙技術(shù)的發(fā)展趨勢(shì)

相關(guān)文章：實(shí)例講解：網(wǎng)絡(luò)欺騙的方法以及攻防
黑客Web欺騙的工作原理和解決方案
上網(wǎng)，小心被“忽悠”網(wǎng)絡(luò)欺騙案例剖析
網(wǎng)絡(luò)商訊 叫我用什么來相信你？

欺騙技術(shù)是攻擊者通過冒充正常用戶以獲取對(duì)攻擊目標(biāo)訪問權(quán)或獲取關(guān)鍵信息的攻擊方法，屬于此類的有獲取口令、惡意代碼、網(wǎng)絡(luò)欺騙等攻擊手法。下面，我們歸納了2007年比較熱門的一些欺騙技術(shù)。具體如下：

第1種：獲取口令的方式。主要有通過缺省口令、口令猜測(cè)和口令破解三種途徑。某些軟件和網(wǎng)絡(luò)設(shè)備在初始化時(shí)，會(huì)設(shè)置缺省的用戶名和密碼，但也給攻擊者提供了最容易利用的脆弱點(diǎn)?？诹畈聹y(cè)則是歷史最為悠久的攻擊手段，由于用戶普遍缺乏安全意識(shí)，不設(shè)密碼或使用弱密碼的情況隨處可見，這也為攻擊者進(jìn)行口令猜測(cè)提供了可能?？诹钇平饧夹g(shù)則提供了進(jìn)行口令猜測(cè)的自動(dòng)化工具，通常需要攻擊者首先獲取密碼文件，然后遍歷字典或高頻密碼列表從而找到正確的口令。著名的工具有John the Ripple、Crack和適用于Win32平臺(tái)的L0phtcrack等。

第2種：惡意代碼。包括特洛伊木馬應(yīng)用程序、郵件病毒、網(wǎng)頁病毒等，通常冒充成有用的軟件工具、重要的信息等，誘導(dǎo)用戶下載運(yùn)行或利用郵件客戶端和瀏覽器的自動(dòng)運(yùn)行機(jī)制，在啟動(dòng)后暗地里安裝邪惡的或破壞性軟件的程序，通常為攻擊者給出能夠完全控制該主機(jī)的遠(yuǎn)程連接。

第3種：網(wǎng)絡(luò)欺騙。是攻擊者向攻擊目標(biāo)發(fā)送冒充其信任主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包，達(dá)到獲取訪問權(quán)或執(zhí)行命令的攻擊方法。具體的有IP 欺騙、會(huì)話劫持、ARP（地址解析協(xié)議）重定向和RIP（路由信息協(xié)議）路由欺騙等。

（1）IP 欺騙。是指攻擊者將其發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址篡改為攻擊目標(biāo)所信任的某臺(tái)主機(jī)的IP地址，從而騙取攻擊目標(biāo)信任的一種網(wǎng)絡(luò)欺騙攻擊方法。通用應(yīng)用于攻擊Unix 平臺(tái)下通過IP 地址進(jìn)行認(rèn)證的一些遠(yuǎn)程服務(wù)如rlogin、rsh等，也常應(yīng)用于穿透防火墻。

（2）會(huì)話劫持指。是指攻擊者冒充網(wǎng)絡(luò)正常會(huì)話中的某一方，從而欺騙另一方執(zhí)行其所要的操作。目前較知名的如TCP 會(huì)話劫持，通過監(jiān)聽和猜測(cè)TCP 會(huì)話雙方的ACK，插入包含期待ACK的數(shù)據(jù)包，能夠冒充會(huì)話一方達(dá)到在遠(yuǎn)程主機(jī)上執(zhí)行命令的目的。支持TCP 會(huì)話劫持的工具有最初的Juggernaut 產(chǎn)品和著名的開源工具Hunt。

（3）ARP欺騙。這種方法提供將IP地址動(dòng)態(tài)映射到MAC 地址的機(jī)制，但ARP機(jī)制很容易被欺騙，攻擊主機(jī)可以發(fā)送假冒的ARP 回答給目標(biāo)主機(jī)發(fā)起的ARP查詢，從而使其錯(cuò)誤地將網(wǎng)絡(luò)數(shù)據(jù)包都發(fā)往攻擊主機(jī)，導(dǎo)致拒絕服務(wù)或者中間人攻擊。由于RIP沒有身份認(rèn)證機(jī)制，因此攻擊者很容易發(fā)送冒充的數(shù)據(jù)包欺騙RIP 路由器，使之將網(wǎng)絡(luò)流量路由到指定的主機(jī)而不是真正希望的主機(jī)，達(dá)到攻擊的目標(biāo)。

2007年以來，通過欺騙的方式獲得機(jī)密信息的事件越來越多，在國(guó)內(nèi)比較嚴(yán)重的銀行詐騙事件已經(jīng)讓不少用戶開始感覺到網(wǎng)絡(luò)中存在的安全隱患。下面是國(guó)際反釣魚組織公布了一個(gè)典型案例。攻擊者發(fā)了一個(gè)欺騙的郵件并聲稱：按照年度計(jì)劃，用戶的數(shù)據(jù)庫(kù)信息需要進(jìn)行例行更新，并給出了一個(gè)“To update your account address”連接地址。由于這封Email來自SebastianMareygrossness@comcast-support.biz，因此，一般人不會(huì)太懷疑。不過，細(xì)心的用戶會(huì)發(fā)現(xiàn)，表面地址是，實(shí)際地址是。很明顯，這個(gè)攻擊者利用了URL欺騙技術(shù)，以達(dá)到其不可告人的目的！

此外，還有不少流氓軟件通過欺騙技術(shù)，未經(jīng)許可強(qiáng)行潛伏到用戶電腦中，而且此類程序無卸載程序，無法正常卸載和刪除，強(qiáng)行刪除后還會(huì)自動(dòng)生成。有跡象表明，病毒、黑客和流氓軟件正緊密結(jié)合，日益趨于商業(yè)化、集團(tuán)化，并且已經(jīng)形成了一根完整的產(chǎn)業(yè)鏈條。

3、拒絕服務(wù)攻擊技術(shù)的發(fā)展

相關(guān)文章：DDOS(分布式拒絕服務(wù))攻防實(shí)戰(zhàn)演練
分布式拒絕服務(wù)攻擊(DDoS)原理及防范
百花齊放 拒絕服務(wù)攻擊(DDOS)現(xiàn)狀分析
專題教程：拒絕務(wù)攻擊完全解析

拒絕服務(wù)攻擊指中斷或者完全拒絕對(duì)合法用戶、網(wǎng)絡(luò)、系統(tǒng)和其他資源的服務(wù)的攻擊方法，被認(rèn)為是最邪惡的攻擊，其意圖就是徹底地破壞，而這往往比真正取得他們的訪問權(quán)要容易得多，同時(shí)所需的工具在網(wǎng)絡(luò)上也唾手可得。因此拒絕服務(wù)攻擊，特別是分布式拒絕服務(wù)攻擊對(duì)目前的互聯(lián)網(wǎng)絡(luò)構(gòu)成了嚴(yán)重的威脅，造成的經(jīng)濟(jì)損失也極為龐大。拒絕服務(wù)攻擊的類型按其攻擊形式劃分包括導(dǎo)致異常型、資源耗盡型、分布式拒絕服務(wù)攻擊（DDoS）。

第1種，導(dǎo)致異常型拒絕服務(wù)攻擊。這種方法利用軟硬件實(shí)現(xiàn)上的編程缺陷，導(dǎo)致其出現(xiàn)異常，從而使其拒絕服務(wù)。如著名的Ping of Death攻擊和利用IP協(xié)議棧對(duì)IP 分片重疊處理異常的Treadrop攻擊。

第2種，資源耗盡型拒絕服務(wù)攻擊。這種方法通過大量消耗資源使得攻擊目標(biāo)由于資源耗盡不能提供正常的服務(wù)。根據(jù)資源類型的不同可分為帶寬耗盡和系統(tǒng)資源耗盡兩類。帶寬耗盡攻擊的本質(zhì)是攻擊者通過放大等技巧消耗掉目標(biāo)網(wǎng)絡(luò)的所有可用帶寬。系統(tǒng)資源耗盡攻擊指對(duì)系統(tǒng)內(nèi)存、CPU 或程序中的其他資源進(jìn)行消耗，使其無法滿足正常提供服務(wù)的需求。著名的Syn Flood 攻擊即是通過向目標(biāo)服務(wù)發(fā)送大量的數(shù)據(jù)包，造成服務(wù)的連接隊(duì)列耗盡，無法再為其他正常的連接請(qǐng)求提供服務(wù)。

第3種，分布式拒絕服務(wù)攻擊。這種方法通過控制多臺(tái)傀儡主機(jī)，利用他們的帶寬資源集中向攻擊目標(biāo)發(fā)動(dòng)總攻，從而耗盡其帶寬或系統(tǒng)資源的攻擊形式。DDoS攻擊的第一步是瞄準(zhǔn)并獲得盡可能多的傀儡主機(jī)的系統(tǒng)管理員訪問權(quán)，然后上傳DDoS攻擊并運(yùn)行。目前著名的DDoS 工具有TFN（Tribe FloodNetwork）、TFN2K、Trinoo、WinTrinoo和Stacheldraht等。

從2007年網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展情況來看，最近發(fā)生的拒絕服務(wù)攻擊事件大多與聯(lián)機(jī)游戲有關(guān)。某些玩家對(duì)在游戲中被人殺死或丟失他們喜愛的武器不滿意，因此發(fā)動(dòng)拒絕服務(wù)攻擊，許多服務(wù)器已經(jīng)成為這種攻擊的犧牲品。另外，使用拒絕服務(wù)進(jìn)行網(wǎng)絡(luò)敲詐勒索的事件仍然十分頻繁，攻擊者通過在短暫而非緊要的時(shí)間段內(nèi)發(fā)動(dòng)攻擊，對(duì)用戶的數(shù)據(jù)構(gòu)成威脅，受害者則不得不為此而支付“保護(hù)費(fèi)”。
4、數(shù)據(jù)驅(qū)動(dòng)攻擊技術(shù)及其新發(fā)展

數(shù)據(jù)驅(qū)動(dòng)攻擊是通過向某個(gè)程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常為攻擊者給出訪問目標(biāo)系統(tǒng)的權(quán)限，數(shù)據(jù)驅(qū)動(dòng)攻擊分為緩沖區(qū)溢出攻擊、格式化字符串攻擊、輸入驗(yàn)證攻擊、同步漏洞攻擊、信任漏洞攻擊等。

第1種，緩沖區(qū)溢出攻擊。緩沖區(qū)溢出攻擊的原理是向程序緩沖區(qū)寫入超出其邊界的內(nèi)容，造成緩沖區(qū)的溢出，使得程序轉(zhuǎn)而執(zhí)行其他攻擊者指定的代碼，通常是為攻擊者打開遠(yuǎn)程連接的ShellCode，以達(dá)到攻擊目標(biāo)。近年來著名的蠕蟲如Code-Red、SQL.Slammer、Blaster 和Sasser 等，都是通過緩沖區(qū)溢出攻擊獲得系統(tǒng)權(quán)限后進(jìn)行傳播。

第2種，同步漏洞攻擊。這種方法主要是利用程序在處理同步操作時(shí)的缺陷，如競(jìng)爭(zhēng)狀態(tài)。信號(hào)處理等問題，以獲取更高權(quán)限的訪問。發(fā)掘信任漏洞攻擊則利用程序?yàn)E設(shè)的信任關(guān)系獲取訪問權(quán)的一種方法，著名的有Win32 平臺(tái)下互為映像的本地和域Administrator 憑證、LSA 密碼（Local SecurityAuthority）和Unix 平臺(tái)下SUID 權(quán)限的濫用和X Window 系統(tǒng)的xhost 認(rèn)證機(jī)制等。

第3種，格式化字符串攻擊。這種方法主要是利用由于格式化函數(shù)的微妙程序設(shè)計(jì)錯(cuò)誤造成的安全漏洞，通過傳遞精心編制的含有格式化指令的文本字符串，以使目標(biāo)程序執(zhí)行任意命令。輸入驗(yàn)證攻擊針對(duì)程序未能對(duì)輸入進(jìn)行有效的驗(yàn)證的安全漏洞，使得攻擊者能夠讓程序執(zhí)行指定的命令。

下面是一個(gè)很有代表性的例子。打開某些網(wǎng)頁時(shí)，可以把網(wǎng)址中的“/”換成“%5c”然后提交，這樣就可以暴出數(shù)據(jù)庫(kù)的路徑。成功后，會(huì)有類似的提示：“確定路徑名稱拼寫是否正確，以及是否連接到文件存放的服務(wù)器。” 在Google或者百度中，搜索關(guān)鍵詞“wishshow.asp?id=”，找到一些具有缺陷的的許愿板程序。本例是一個(gè)臺(tái)灣測(cè)試站點(diǎn)，地址為。在wish后，用“%5c”替換“/”，地址就變成了 wishshow.asp?id=117，這樣就可以暴出對(duì)方數(shù)據(jù)庫(kù)了。根據(jù)錯(cuò)誤提示，數(shù)據(jù)庫(kù)是db.mdb，而且還可以直接下載。如圖4所示。

“%5c”并不是網(wǎng)頁本身的漏洞，而是利用了IIS解碼方式的一個(gè)缺陷。實(shí)際上是“/”的十六進(jìn)制代碼，是“/”的另一種表示法。但是，提交“/”和“%5c”卻會(huì)產(chǎn)生不同的結(jié)果。在IE中，我們把下面第一個(gè)地址中的“/”換成“/”提交：

/wishshow.asp?id=117

二者的訪問結(jié)果是一樣的。IE會(huì)自動(dòng)把“/”轉(zhuǎn)變成“/”，從而訪問到同一地址。但是，當(dāng)我們把“/”換成十六進(jìn)制寫法“%5c”時(shí)，IE就不會(huì)對(duì)此進(jìn)行轉(zhuǎn)換，地址中的“%5c”被原樣提交了。2007年以來，針對(duì)網(wǎng)站、論壇等程序的攻擊依然是一大熱點(diǎn)，一些大學(xué)網(wǎng)站、論壇甚至一些知名企業(yè)的站點(diǎn)都遭遇了不同程度的攻擊。比較熱門的事件有：OBlog2.52文件刪除漏洞、COCOON在線文件管理器上傳漏洞、PJBlog v2.2用戶提權(quán)再提權(quán)、BBSXP 6.0 SQL版的版主提權(quán)漏洞、雪人“SF v2.5 for Access”版論壇漏洞等，這些攻擊手法都綜合了多種技巧，尤其是數(shù)據(jù)驅(qū)動(dòng)攻擊技術(shù)的運(yùn)用。
5、隱藏技術(shù)及其新發(fā)展

相關(guān)文章：安全基礎(chǔ)：木馬各種隱藏技術(shù)全方位披露

攻擊者在完成其攻擊目標(biāo)后，通常會(huì)采取隱藏技術(shù)來消除攻擊留下的蛛絲馬跡，避免被系統(tǒng)管理員發(fā)現(xiàn)，同時(shí)還會(huì)盡量保留隱蔽的通道，使其以后還能輕易的重新進(jìn)入目標(biāo)系統(tǒng)。隱藏技術(shù)主要包括日志清理、內(nèi)核套件、安裝后門等。

第1種，日志清理。日志清理主要對(duì)系統(tǒng)日志中攻擊者留下的訪問記錄進(jìn)行清除，從而有效地抹除自己的動(dòng)蹤跡。Unix平臺(tái)下較常用的日志清理工具包括zap、wzap、wted 和remove。攻擊者通常在獲得特權(quán)用戶訪問權(quán)后會(huì)安裝一些后門工具，以便輕易地重新進(jìn)入或遠(yuǎn)程控制該主機(jī)，著名的后門工具包括BO、netbus和稱為“瑞士軍刀”的netcat等；攻擊者還可對(duì)系統(tǒng)程序進(jìn)行特洛伊木馬化，使其隱藏攻擊者留下的程序、服務(wù)等。

第2種，內(nèi)核套件。內(nèi)核套件則直接控制操作系統(tǒng)內(nèi)核，提供給攻擊者一個(gè)完整的隱藏自身的工具包，著名的有knark for Linux、Linux Root Kit 及rootkit。

第3種，安裝木馬后門。木馬的危害性在于它對(duì)電腦系統(tǒng)強(qiáng)大的控制和破壞能力，竊取密碼、控制系統(tǒng)操作、進(jìn)行文件操作等等，一般的木馬都有客戶端和服務(wù)器端兩個(gè)執(zhí)行程序，其中客戶端是用于攻擊者遠(yuǎn)程控制植入木馬的機(jī)器，服務(wù)器端程序即是木馬程序。木馬在被植入攻擊主機(jī)后，它一般會(huì)通過一定的方式把入侵主機(jī)的信息，如主機(jī)的IP地址、木馬植入的端口等發(fā)送給攻擊者，這樣攻擊者有這些信息才能夠與木馬里應(yīng)外合控制攻擊主機(jī)。本文將通過網(wǎng)絡(luò)盒子NetBox做一個(gè)木馬，它可以方便的將ASP等腳本編譯成為獨(dú)立運(yùn)行的執(zhí)行程序，完全不用考慮平臺(tái)兼容性要求。步驟如下：

第1步：創(chuàng)建一個(gè)NetBox應(yīng)用。創(chuàng)建一個(gè)空的目錄，假設(shè)是c:/web；同時(shí)，在目錄中創(chuàng)建一個(gè)文件，命名為main.box，其內(nèi)容為：

Dim httpd '------------設(shè)置在服務(wù)中運(yùn)行的名稱，可適當(dāng)修改進(jìn)行隱藏--------------------- Shell.Service.RunService "NBWeb", "NetBox Web Server", "NetBox Http Server Sample" '---------------------- 設(shè)置服務(wù)器啟動(dòng)--------------------- Sub OnServiceStart()   Set httpd = CreateObject("NetBox.HttpServer") '-------以下設(shè)置瀏覽端口，可修改為其他參數(shù)，或更改wwwroot目錄----   If httpd.Create("", 8080) = 0 Then   Set host = httpd.AddHost("", "/wwwroot")   host.EnableScript = true   host.AddDefault "default.asp"   host.AddDefault "default.htm"   httpd.Start   else   Shell.Quit 0   end if End Sub Sub OnServiceStop()   httpd.Close End Sub Sub OnServicePause()   httpd.Stop End Sub Sub OnServiceResume()   httpd.Start End Sub

第2步：設(shè)置木馬運(yùn)行環(huán)境。在c:/web目錄中再創(chuàng)建一個(gè)子目錄wwwroot，并將我們所需要的ASP木馬文件全部復(fù)制到wwwroot 中，這里選用的是海陽頂端ASP木馬。此時(shí)，ASP運(yùn)行環(huán)境應(yīng)該已經(jīng)準(zhǔn)備好了。為了運(yùn)行新建的NetBox 應(yīng)用，必須確認(rèn)8080端口沒有被其他程序占用。雙擊main.box文件，就可以在窗口右下角看見NetBox的圖標(biāo)。此時(shí)，NetBox 已經(jīng)正常運(yùn)行了?，F(xiàn)在，訪問測(cè)試ASP木馬是否能正常運(yùn)行。這種木馬的好處是，不用擔(dān)心有日志記錄。但是現(xiàn)在它還遠(yuǎn)不是一個(gè)后門，只是提供了與IIS相當(dāng)?shù)墓δ?/P>

第3步：編譯。執(zhí)行“NetBox Deployment Wizard”，點(diǎn)擊“選擇文件夾”，找到剛才建立的目錄C:/web，設(shè)置文件類型和輸出文件名后，點(diǎn)“Build...（編譯）”按鈕，開始編譯，就得到了編譯成功的那個(gè)執(zhí)行文件。因?yàn)檫@個(gè)例程是以服務(wù)方式創(chuàng)建的Web 服務(wù)器，所以可以在命令行下執(zhí)行：myapp -install將應(yīng)用安裝成為服務(wù)，這樣，系統(tǒng)無須登錄便可以自動(dòng)運(yùn)行應(yīng)用了。如果需要卸載服務(wù)，則可以在命令行下執(zhí)行如下命令：myapp –remove。（myapp代表輸出的應(yīng)用文件名，如本例中的test），如圖5所示。

第4步：隱藏服務(wù)。要達(dá)到“神不知鬼不覺”的效果，首先需要把應(yīng)用程序添加為服務(wù)，我們可以使用Windows提供的Instsrv.exe和Srvany.exe這兩個(gè)小軟件。在命令行下，先把Instsrv.exe把Srvany.exe注冊(cè)為服務(wù)。格式為：INSTSRV 服務(wù)名 SRVANY的路徑，如：“INSTSRV SYSTEM C:/WEB/SRVANY.EXE”。其中SYSTEM是為了便于隱藏服務(wù)名。

第5步：添加注冊(cè)表鍵值。注冊(cè)成功后，打開注冊(cè)表如下鍵值：[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SYSTEM]。SYSTEM是剛才我們注冊(cè)的服務(wù)名，在SYSTEM下面先建立一個(gè)項(xiàng)PARAMETERS，然后在這個(gè)項(xiàng)上建立一個(gè)鍵值A(chǔ)PPLICATION，填上我們要執(zhí)行的文件路徑如C:/web/test.exe，就可以了。

第6步：?jiǎn)?dòng)服務(wù)。方法有兩種，第一種是在圖形界面，直接進(jìn)入“管理工具”下的“服務(wù)”面板；另一種是在命令行下，啟動(dòng)命令為：“NET START SYSTEM”，停止命令為：“NET STOP SYSTEM”。如果要將這個(gè)服務(wù)刪除，可以用如下命令：“SC DELETE SYSTEM”。

第7步：制作并發(fā)布木馬。結(jié)合批處理和腳本把這個(gè)做成自解壓文件，或者其他的上傳方式，比如通過后臺(tái)數(shù)據(jù)庫(kù)備份上傳后再修改密碼。

值得注意的是，2007年木馬技術(shù)發(fā)展迅猛，除了一些老牌木馬，其他有特色的木馬也讓人頭疼不已，例如管理型木馬——ncph遠(yuǎn)程控制；國(guó)產(chǎn)木馬新秀PCView 2007；五毒俱全的蜜蜂大盜；木馬Erazer Lite；另類的遠(yuǎn)程控制工具JXWebSver等。這些木馬隱藏技術(shù)的不斷提高，也給用戶帶來了許多麻煩。

通過上面的詳細(xì)分類，就可以對(duì)本年度的攻擊技術(shù)情況有了一個(gè)十分直觀的認(rèn)識(shí)。下面，我們通過典型的案例進(jìn)行點(diǎn)評(píng)。
四、實(shí)例分析

現(xiàn)實(shí)生活中，網(wǎng)絡(luò)應(yīng)用越來越復(fù)雜，利用瀏覽器、網(wǎng)站插件、代碼等方面的漏洞進(jìn)行攻擊的事件也愈演愈烈，甚至被有心人士用來竊取顧客的私人信息。一般來說，漏洞的威脅類型基本上決定了它的嚴(yán)重性，很多公司在公布安全漏洞的危險(xiǎn)等級(jí)時(shí)候，把嚴(yán)重性分成高、中、低三個(gè)級(jí)別，再提示用戶根據(jù)具體的情況，要采取程度不同的防范措施。在網(wǎng)絡(luò)攻擊者的眼里，“肉雞”意味著可以輕松占有一臺(tái)或多臺(tái)服務(wù)器；至于網(wǎng)吧，針對(duì)服務(wù)器和網(wǎng)吧管理軟件的攻擊也十分頻繁，醉翁之意不在酒，當(dāng)然是想免費(fèi)上網(wǎng)了。

針對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊，也出現(xiàn)了許多獨(dú)特的思路和新方法。如利用SA用戶權(quán)限的安全隱患快速入侵網(wǎng)站；利用wmf遠(yuǎn)程執(zhí)行漏洞（MS06－001）攻擊服務(wù)器；利用Metasploit Framework體驗(yàn)MS06-040漏洞；利用Ability FTP Server新漏洞入侵網(wǎng)站；利用Windows圖形渲染引擎WMF格式代碼執(zhí)行漏洞；利用文件后綴解析的漏洞攻擊Apache服務(wù)器；百度、TOM、21CN系列搜索引擎漏洞等。

現(xiàn)在，網(wǎng)絡(luò)管理員加強(qiáng)了內(nèi)網(wǎng)的安全管理。比較常見的情況是網(wǎng)管通常都會(huì)封殺比較常見的服務(wù)端口，導(dǎo)致用戶不能訪問某些網(wǎng)站，不能使用QQ等工具進(jìn)行聊天、玩游戲等。另外，出于安全考慮，有些網(wǎng)絡(luò)管理員會(huì)限制某些協(xié)議，如不能使用FTP、對(duì)下載進(jìn)行限制等。一般情況下，網(wǎng)絡(luò)攻擊者可以使用普通的HTTP代理或者SOCKS代理?，F(xiàn)在，提供socks服務(wù)的代理軟件有很多，如“通通通”軟件（）、Socksonline（）等。軟件連通后，界面如圖6所示。

Socksonline正常啟動(dòng)后，該程序就變成了本地的Socks Proxy，用戶就可以通過Http Proxy或其他Proxy訪問Internet了。如果要突破內(nèi)網(wǎng)登陸QQ，可以打開QQ中的設(shè)置窗口輸入?yún)?shù)。以QQ2007為例，在“代理設(shè)置”界面中，選擇“使用SOCKS5代理服務(wù)器”。然后在代理服務(wù)器地址欄填入“l(fā)ocalhost”，在端口欄填入“1080”或自己設(shè)置的服務(wù)端口，默認(rèn)不需要用戶名和密碼驗(yàn)證。可以單擊“測(cè)試”按鈕，看是否連接網(wǎng)絡(luò)。

同樣，如果要突破內(nèi)網(wǎng)，實(shí)現(xiàn)自由上網(wǎng)，也可以使用類似方法在IE瀏覽器中設(shè)置SOCKS5代理服務(wù)器。如果身處學(xué)校機(jī)房或管理比較嚴(yán)格的單位網(wǎng)絡(luò)，還可以通過Socksonline和e-Border軟件的配合，突破內(nèi)網(wǎng)的限制就很容易了。

e-Border安裝完成后，會(huì)彈出一個(gè)設(shè)置客戶端程序的窗口，根據(jù)向?qū)гO(shè)置代理服務(wù)器名和默認(rèn)的端口1080。在e-Border的代理方式中，選擇Proxy only方式，表示將所有的網(wǎng)絡(luò)連接全部截獲并通過Socks代理連接。然后按下“Include list（包含列表）”按鈕，在彈出的對(duì)話框中按下Add（添加）按鈕，把Socksonline軟件加入到列表框中。用同樣的方法把平時(shí)上網(wǎng)需要使用Socks協(xié)議的軟件都加入列表框。當(dāng)然，網(wǎng)絡(luò)攻擊者也可以把一些特殊的黑客工具軟件和游戲軟件也添加進(jìn)去。點(diǎn)OK關(guān)閉此對(duì)話框。如圖7所示。

這樣，無論是內(nèi)網(wǎng)還是外網(wǎng)，攻擊者都可以橫行了，這也是目前很多網(wǎng)絡(luò)管理員比較頭疼的一個(gè)地方。在山東臨沂銀雀山出土的《孫臏兵法》上，有這樣一段對(duì)話。齊威王曰：“地平卒齊，合而敗北者，何也？”（翻譯為：地形很好，士兵也很齊心，為什么打了敗仗？）孫臏的回答是：“陣無鋒也。”意即：“因?yàn)闆]有找到突破口?！边@個(gè)典故說明了兩軍對(duì)壘，能否突破一點(diǎn)，向縱深進(jìn)兵，往往是能否奪取全局性勝利的重要關(guān)鍵?？傊?，在網(wǎng)絡(luò)安全實(shí)踐中，我們也必須隨時(shí)掌握最新的攻擊技術(shù)發(fā)展動(dòng)態(tài)，尋找防守的突破口，這樣才能達(dá)到有效防范的目的。