黑客攻防入门-详解基础知识

一、新人入门

ip地址：当计算机接入internet后，它就拥有ip地址（通过路由器接入internet的计算机查询的ip，查询的都是路由器外网ip地址；通过ADSL直接拨号的，查询的ip都是计算机的外网ip）

ipv4与ipv6：IPv6（1996）是Internet Protocol Version 6的缩写，译为"互联网协议"。IPv6是IETF用于替代现行版本IP协议(IPv4)的下一代IP协议，号称可以为全世界的每一粒沙子编上一个网址 。由于IPv4（32位地址长度约43亿个地址）最大的问题在于网络地址资源有限，严重制约了互联网的应用和发展。IPv6（128位地址长度）的使用，不仅能解决网络地址资源数量的问题，而且也解决了多种接入设备连入互联网的障碍 。

端口是指计算机与外界通信交流的出口，按照端口号可分为：公认端口（0 ~ 1023）、注册端口（1024 ~ 49151）、动态或私有端口（49152 ~ 65535）

按照协议也可以分为TCP端口和UDP端口

常用端口：

21	FTP：文件传输传输协议
23	Telnet：远程登陆协议（主要用于Internet会话，基本功能是允许用户登录远程主机）
53	DNS：域名服务器
79	finger：查看机器的运行请况
80	HTTP：超文本传输协议
110	POP3协议
139	NetBIOS服务
3389	远程登录服务

1、cmd中查看所有开放端口：netstat -a -n

2、默认情况下，计算机中很多不安全的或者无用的端口都处于打开状态；如何关闭？

实例操作基于TCP中5357端口：

5357端口对应function Discovery Resource Publication服务，它的作用是发布该计算机以及连接到该计算机的资源，很可能会造成泄密。

操作：win+r输入control进入控制面板，选择管理工具→服务→选中function Discovery Resource Publication右键关闭服务

3、肉鸡：被黑客攻破，并植入了病毒的目标计算机，被随意摆布。肉鸡也可以是系统。

判断：上网过程中出现重启现象；更新或卸载杀毒软件一闪而过；计算机运行突然变慢，键盘灯在像在复制文件时一样闪烁；登陆QQ、MSN时异常登录提示，即使当前IP与上次登陆IP一样；

避免：关闭telnet、remote registry等高危服务端口；及时安装补丁，升级杀毒软件；不随意浏览陌生网页；

4、挂马：这里指网页挂马，利用各种当手段（SQL注入、网站敏感文件扫描、服务器漏洞等）获取网站管理员账号，通过备份\恢复数据库、上传漏洞等获得webshell，用websell修改网页内容。或者通过弱口令获得ftp，直接对网站页面修改。

目前internet中有很多被挂马的游戏网站，目的盗取玩家游戏账号。不小心进入挂马网页，计算机感染病毒，会丢失大量文件资料和账号密码，危害极大！

5、后门：黑客控制目标计算机后，向其植入特定的程序，他能帮助黑客达到随时达到监控目的。

6、TCP/IP协议：网络通信协议（最基本的协议），它定义了计算机接入internet的方式以及数据传输的标准

Transrmission Control Protocol / Internet Protocol 传输控制协议/internet互联网协议

如何工作？

高层TCP协议（A）负责收集信息，后者把文件拆分成更小的数据包。发送端（B）将这些数据包通过网络传送到接收端的TCP层（C），然后将数据包还原成原始文件；低底层IP协议（D）处理每个数据包的地址部分，使得网络上的网关计算机能识别数据包地址并进行路由选择，让这些数据包能正确到达目的地。

7、ARP协议：地址解析协议，将已知的IP地址解析成与之对应的物理地址

如何工作？

在TCP/IP网络环境下，每个主机都分配了一个32bit（比特）的IP地址（如：220.248.138.166），他是在网络中标识主机的一种逻辑地址。

如果要成功将报文（网络中主机之间交换与传输的数据单元）传送给目的主机，必须知道目的主机的物理地址，这时就得使用ARP协议。

ARP协议就是主机在发送报文之前将目标主机的IP地址转换成与之对应的MAC地址

8、ICMP协议：控制报文协议，用于IP主机、路由器之间传递控制消息，并将出错报文发返回发送数据的主机

ICMP唯一的功能是报告问题而不是解决问题，解决问题的任务由发送方完成

也是由于这点，路由器和主机非常容易受到攻击。如：ping of death 攻击；

以前操作系统规定ICMP数据包最大尺寸不能超过64KB，而ping of death就是使它超出上限，使主机内存分配错误，导致TCP/IP堆栈崩溃，主机死机。

常见洪水攻击：MAC泛洪、网络泛洪、应用程序泛洪

MAC泛洪：攻击者进入局域网，将假冒的源MAC地址和目标MAC地址数据帧发送到以太网上，使得假冒的源MAC地址和目标MAC地址塞满交换机的MAC地址表，导致交换机无法正确传送数据。

网络泛洪（smurf和DDos）： smurf指攻击者假冒ICMP广播ping，路由器如果没有关闭定向广播，那攻击者就可以在某个网络内对其他网络发送定向广播ping，网络中的主机越多，结果越严重，因为每个主机默认都会相应ping，最后导致链路流量过大而拒绝服务。

DDos：攻击者将DDos控制软件安装在连接Internet的系统中，并感染其他系统，然后攻击者将攻击指令发送给DDos控制软件，让受DDos控制的系统向某个IP发送大量的假冒网络流量，让受攻击的计算机网络被这些假的流量所占据，从而无法为他们的正常生活提供服务。

应用程序泛洪：消耗应用程序或系统资源，如常见的垃圾邮件！

9、ping命令：用于检查网络是否能够连通的命令。安装了TCP / IP协议的计算机均可使用该命令

如何操作？

进入仿DOS窗口→cd\ 进入C盘根目录→输入ping 127.0.0.1 ；如果ping通则成功安装了TCP / IP 协议

进入仿DOS窗口→cd\ 进入C盘根目录→输入ping www.baidu.com ；如果ping通则已接入Internet，同时也可知道这个域名的地址了

进入仿DOS窗口→cd\ 进入C盘根目录→输入ping 所在局域网内的IP地址（如：ping 192.168.1.100） ；如果ping通则成功接入局域网

10、端口监听：指客户端所操作的一种信息记录。只能监视固定的端口

11、nbtstat用于查看基于TCP/IP的NetBIOS协议统计资料，本地计算机和远程计算机的NetBIOS名称表和名称缓存，也可以刷新NetBIOS名称缓存和使用WINS注册的名称；nbtstat -a IP 可以查看指定目标计算机NetBIOS（小型局域网）名称

12、BIOS “基本输入输出系统”，它是一组固化到计算机内主板上一个ROM芯片上的程序，它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序，它可从CMOS中读写系统设置的具体信息。

13、常见的黑客入侵方式：数据驱动攻击、伪造信息攻击、针对信息弱点攻击、远端操纵、对ICMP报文攻击、针对源路径选项的弱点攻击、以太网广播攻击

二、攻防实战

通过对目标哦计算机的端口扫描，可以知道目标计算机的存在的漏洞和开放的端口，从而为入侵做好准备。而通过嗅探工具则可以探听到网络中的所有数据包，从而轻松盗取网络中计算机用户隐私信息。

14、常用端口扫描工具：SuperScan、X-Scan

原理：利用数据包来分析目标计算机的相应，以得到目标计算机的端口开放信息以及系统内在的弱点信息

15、嗅探（Sniffer）：指探听网络中流经的数据包，需要专门的嗅探器方可实现（掌握嗅探原理，认识常用嗅探工具）

16、Sniffer原理：使得安装了Sniffer的计算机能够接收局域网中的所有计算机发出的数据包，并对数据包进行分析

在共享式的局域网中，Sniffer工具其实就是一个抓包工具，并且还可以对抓到的数据包进行分析。由于在局域网中，数据包会广播到网络中所有主机的网络接口，在没有使用Sniffer工具之前，主机的网络设备会判断该数据包是否应该接收，从而保证只接收属于自己的数据包，但安装Sniffer工具之后，它能使计算机接收所有到达本地计算机的数据包，从而实现网络监听。

17、嗅探器也就是Sniffer工具，它使用户“嗅探”到达本地网路的数据，并检查进入计算机的信息包，嗅探器不会告诉用户“问题是什么”，只告诉“发生了什么”。

18、常用嗅探工具：Sniffer Pro、艾菲网页侦探、CaptureNet

19、如何防范端口扫描：关闭闲置和有潜在威胁的端口；利用防火墙屏蔽有扫描症状的端口；

防火墙工作原理：检查每个达到本地计算机的数据包，在该数据包被系统中的任何软件识别之前，防火墙可以拒接接收该数据包，同时也可以禁止本地计算机接收外网传入的任何数据包。当第一个请求建立连接的数据包被本地计算机回应后，一个“TCP/IP端口”被打开，此时对方就可以开始扫描本地的端口信息，在扫描过程中对方计算机与本地计算机建立连接，并逐渐打开各个服务对应的“TCP/IP端口”以及闲置的端口，此时防火墙便可以经过自带的拦截规则进行判断，就可以知道对方是否正在进行端口扫描，一旦确认对方正在扫描本地计算机端口后，将直接拦截对方发送过来所有需要扫描的数据包。（瑞星防火墙）

20、防范嗅探的常见方式有哪些：对传输数据进行加密；采用安全拓扑结构降低嗅探收集的信息；（在网络中发现嗅探比较困难，因为它不会留下任何痕迹）

数据加密：在传输数据前对数据进行加密，接收后解密。传统的TCP/IP协议并没有采用加密方法对数据进行传输，即都是明文传输，要彻底解决传输的数据被嗅探，则需要通过安装补丁来增强TCP/IP协议。

安全拓扑：嗅探器只能在当前网段中捕获数据，因此将网段分得越细，那嗅探器能够收集到的信息就越少。在网络中，有三种连接设备是嗅探器无法跨越的：交换机、路由器、网桥。Sniffer工具一般是入侵成功后才用来收集数据和信息

21、系统漏洞产生的原因：技术人员的缺陷（人为因素）；硬件设计不兼容（硬件因素）

22、windows系统存在漏洞：核心代码中潜在的bug；扩展名欺骗；设备文件名问题；庞大复杂的注册表；系统权限分配繁冗；设计失误；

23、一个完整的木马由硬件、软件、具体链接三部分组成；

硬件部分：控制端、服务端、Internet
软件部分：控制端程序、木马程序、木马配置程序
连接部分：控制端/服务器端IP、控制端/木马端口

24、常见木马：远程控制木马、密码发送木马、键盘记录木马、破坏性质木马、Dos木马、代理木马、FTP木马、程序杀手木马、反弹端口型木马

25、木马有哪些特性：隐蔽性、自动运行性、欺骗性、自动恢复性、自动打开端口、功能特殊性

26、木马入侵方式有哪些：修改Win.ini文件、修改System.ini文件、加载到启动组、修改文件关联、捆绑文件

27、木马的伪装手段：修改图标、出错显示、木马更名、扩展名欺骗、自我销毁

28、计算机中木马后有哪些症状：无限IE弹窗、弹出奇怪的对话框、系统配置被更改、突然出现大量无法结束的进程

29、防范木马入侵措施：谨慎运行从网络上下载的软件；不轻易打开来历不明德附件和链接；尽量少用共享文件夹；隐藏自己的IP；运行反木马实时监控程序；

30、病毒类型：
（传染方式）引导性、文件型、混合型计算机病毒；（破环性）良性、恶性计算机病毒；（链接方式）源码型、嵌入型、外壳型、操作系统型计算机病毒；

31、病毒特征：刻意编写、人为破坏；破坏性；传染性；隐蔽性；潜伏性；夺取系统控制权；不可预见性；

32、常见病毒传播途径：通过移动存储设备传播；通过局域网传播；通过Internet传播；

33、计算机中病毒后有哪些症状：无限IE弹窗；开机速度变慢；杀毒软件被屏蔽；文件图标变成统一图案；系统时间被更改；

34、一个重启计算机病毒 制作：

新建一个文本文档（文档名可以随意改，比如小游戏），输入下面字符：

showdown /r

保存后修改后缀为.bat，然后右键属性创建快捷方式后将源文件藏起来。
并将源文件的属性改为隐藏。然后对快捷键的文件进行右键属性更改图标，点击确定就完成了。

35、U盘病毒制作（利用U盘autorun.inf漏洞）：

在U盘中，放入“冰河”木马服务端，
并手动创建autorun.inf文件，用记事本打开，输入下面的代码：

[AutoRun]
OPEN=冰河.exe	‘放入的木马服务端名
shellexecute=冰河.exe
shell\Auto\command=冰河.exe

然后将这两个文件右键属性隐藏起来，这样双击启动U盘时会启动U盘的那个文件
（当然现在这方法都会被拦截或者系统不会再采用双击直接接入移动硬盘这种方法了）

36、（密码攻防）常见加密类型：对称加密（采用同一个密钥）、非对称加密（两个密码，当使用其中一个加密，解密就必须使用另外一个）

37、破解密码常用方式：暴力穷举、击键记录、屏幕记录、Internet钓鱼、嗅探、密码心理学

38、破解常见的文件密码：一般利用Internet中指定的破解工具进行破解，破解密码时，主要采用暴力破解为主，如：Advanced Office Password Recovery（针对Office文档密码）、RAR Password Unlocker（针对WinRAR）、星号密文查看器

PDF电子文档可以利用Adobe Acrobat进行加密，而破解PDF加密文档可以利用Advanced PDF Password Recovery软件来实现，当计算机中安装Adobe Acrobat版本为8.0以上时则不行，因为8.0以上版本采用分层次的加密方式

39、防范密码被轻易破解，需要设置安全系数高的密码；为确保数据安全，也可以对电脑磁盘右键启用Windows BitLocker驱动加密工具为指定的磁盘分区进行加密，防范他人非法盗取

40、远程控制原理：客户端程序向远程主机发送身份验证信息和连接请求，通过验证后建立远程连接，从而实现远程控制

41、常见远程控制类别：点对点的远程控制、点对多的远程控制

42、在Windows中可以利用IPC$和Telnet实现远程入侵

43、防范IPC$远程入侵常用方法：禁用共享和NetBIOS、设置本地安全策略(一般系统会启用)、修改注册表

禁用共享和NetBIOS:
进入网络共享中心→更改适配器→选择本机的网络，右键点击属性→取消勾选（Microsoft网络的文件和打印机共享）→找到（TCP/IPV4）协议，点击属性→高级→选择WINS→NetBIOS框中，选择禁用TCP/IP上的NetBIOS

设置本地安全策略：
控制面板→系统和安全→管理工具→本地安全策略组→本地策略→安全选项→...→启用

44、如何关闭与远程控制相关的服务
Windows中，与远程控制相关的服务主要有Remote Registry 服务和Telnet服务

管理工具→服务→禁用Remote Registry

控制面板→程序→启用或关闭Windows功能→取消勾选Telnet服务器、Telnet客户端

45、局域网是指在某一区域内由多台计算机互联成的计算机组，它可以实现文件管理和共享等功能

46、常见的局域网攻击：ARP欺骗、广播风暴、DNS欺骗、DDos攻击

ARP欺骗：伪造不存在的MAC地址，达到截获数据包的目的，它将导致局域网出现网络不通的现象（局域网中的网络流通是按照MAC地址进行传输的）

广播风暴：指局域网中塞满了大量的广播帧或广播数据包，从而导致局域网设备无法正常运行或瘫痪（网络短路、蠕虫病毒、网络视频、恶劣环境 都可引发广播风暴）

局域网中，数据帧的传输方式有三种：单播帧（点对点）、多播帧（一对多）、广播帧（对所有计算广播FF-FF-FF-FF-FF-FF）

DNS欺骗：攻击者将自己的计算机伪装成域名服务器，当用户访问制定网页时，打开的是目标主页，并非真正的网页

IP冲突常常出现在局域网中，指局域网中出现两台或以上计算机同时使用了同一个IP地址。（通过设置DHCP参数解决）

DDoS攻击（分布式拒绝服务）：这是多个DoS攻击源的集合。DDoS攻击能够利用合理的服务请求占用过多的服务资源，使服务器无法处理合法用户的指令。它的攻击方式有很多种，占用资源是最常用的一种（如利用傀儡机攻击）。

47、局域网攻击：攻击局域网之前，攻击者一般先了解局域网中计算机数量、共享资源等信息，目标确定后便可发起攻击。常用工具：LanSee局域网查看工具、NetCut控制工具。

48、入侵无线局域网常用手段：接入开放的无线局域网、侦测入侵无线存储设备、破解无限局域网密码

49、抵制局域网攻击常用手段：利用ARP防火墙防御欺骗、利用网络守护神防御DNS攻击、对无线登陆密码设置更安全的WPA2-PSK加密(路由器现在一般都是使用这个)

50、恶意代码：又称网页病毒，恶意软件，他的编写大多数处于商业或者探测资料目的。特征：恶意的目的、本身是程序、通过执行发生作用。

51、恶意代码的传播途径主要有：利用软件漏洞传播、利用电子邮件传播

传播趋势：种类更模糊、多平台攻击、同时攻击服务器和客户机

52、遭受恶意代码攻击后的通常症状：IE默认主页和标题被篡改、IE浏览器部分设置被禁止、格式化磁盘

53、常见的网站漏洞：上传漏洞、暴库、注入、旁注、COOKIE诈骗（例如用”啊D注入“来获取网页中管理员密码）

54、如何提高IE浏览器系数安全：定期清理Internet临时文件、取消自动记忆网页密码、添加可信站点和受限站点

55、邮箱探测密码工具：“流光”（Fluxay）、“黑雨POP3邮箱密码暴力破解器”、WebCracker

POP3，全名为"Post Office Protocol - Version 3"，即"邮局协议版本3"。
是TCP/IP协议族中的一员，由RFC1939 定义。
本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。
提供了SSL加密的POP3协议被称为POP3S。

POP：卖点广告/移动端开发平台？

Internet中大多数邮件服务都是使用UNIX系统，包括Solaris、HPUX、AIX、IRIX等。
其中最通用的配置是运行sendmail和popper服务软件。
其中sendmail是SMTP服务器，专门负责接收和发送邮件。
而popper是通过POP3协议来专门负责用户读取和处理邮件的请求。

56、常见的邮箱攻击方式有：发送垃圾邮件、发送携带病毒木马的邮件、邮件炸弹攻击

57、如和发动邮箱炸弹攻击，工具：亿虎Email群发大师

58、如何防范邮箱炸弹的攻击：求援ISP、使用邮箱的转信功能、巧用邮箱的来信分类功能、谨慎使用自动回复

59、QQ盗取？工具介绍：QQ简单盗、QQ眼睛、风云QQ尾巴、QQ细胞（攻击器）

60、攻击者在入侵目标计算机时，为了不让用户发现自己，会利用代理服务器作为跳板进行隐匿入侵攻击。无论采取何种入侵攻击者都会在目标计算机中留下痕迹，为防止顺藤摸瓜找到自己，攻击者会在入侵成功后清楚这些痕迹。

跳板技术：建立一条通往目标计算机的链接来入侵目标计算机，这样一来，即使被反向追踪，也很难发现真正的攻击者。

确定目标、设计跳板、跳板入侵、清楚日志

61、代理服务器（Proxy Server）：介于计算机和Web服务器之间的服务器，利用代理服务可以提高上网速度和访问国外的一些网站。主要作用就是代理网络用户去取得网络信息。简单说就是网络中转站。

工具介绍：代理猎手（寻找代理服务器）、SocketCap（设置代理上网）

62、跳板攻击防范工具：“流光”（Fluxay）

63、追踪工具：NeoTrace Pro、Shift后门生成器

后门可以按照很多方式来分类（技术方面）：网页后门、线程插入后门、扩展后门、C/S后门（即“客户端/服务端”控制方式）

清除痕迹：系统的痕迹就记录在Windows事件日志和IIS日志中

64、Windows事件日志记录了在系统或程序中发生的、要求通知用户的重要事情、它可以帮助用户预测潜在的系统问题。（应用程序日志、安全日志、系统日志、安装程序日志、ForwardedEvents日志）

65、如何清除Windows默认日志？

管理工具→事件查看器→Windows日记→设置（右击属性）→选按需要覆盖时间（旧事件优先）→清楚日志→清除

66、如何清除IIS日志？

三、安全与预防

67、文件删除后是否在计算机中消失？

删除文件只是释放文件在硬盘中所占的空间，并未在计算机中彻底消失，并且文件内容任然存在磁盘中。

删除文件其实是修改文件头的前两个代码，这种修改映射在FAT表中，就为文件做删除标记，并将文件所占簇号（一簇=1024KB）在FAT表中的登记项清零，表示释放该文件所在空间，这也是平常删除文件后，磁盘空间增大的原因。

而文件的真正数据内容仍保存在数据区中，并未删除，只有等到以后的数据写入，并将此数据覆盖掉才算是彻底把原来的数据删除。如果不被后来保存的数据覆盖，它就不会从磁盘上抹掉。

推荐工具：FinalData