黑客攻击的一般过程包括哪些阶段
黑客攻击的一般过程包括以下阶段:
隐藏自己阶段:黑客在进行一次完整的攻击之前首先要学会隐藏自己,不让自己被发现。黑客隐藏自己有如下几种方式:通过从已经取得控制权的主机上进行Telnet或RSH跳跃;从Windwos主机上通过Wingates等服务进行跳跃;利用配置不当的代理服务器进行跳跃;先通过拨号找寻并接入某台主机,然后通过这台主机进行跳跃。
预攻击探测阶段:黑客在采取攻击行为之前,必须收集信息,如OS类型及各种服务端口。黑客的探测主要通过如下的手段进行预攻击探测:相关的网络命令获取,如ifconfig、ipconfig、netstat、ping、tracert、finger等;手工获取Banner,如使用Telnet到主机的21或80端口获取FTP和HTTP的版本信息;使用相关漏洞扫描工具扫描远程主机存在的漏洞。当前黑客在攻击前的最主要工作就是使用NMAP、NESSUS、NIKTO、X-SCAN、RETINA等工具对网络上的一些主机进行整体扫描,尽可能地搜集关于攻击目标的信息,为以后的攻击行动打下基础。
采取攻击行为阶段:通过扫描远程检测目的主机TCP/IP不同端口的服务,记录目的主机给予的回答来发现漏洞。通过这种方法,可以搜集到很多目的主机的各种信息,包括所使用的系统、开放的端口、是否允许匿名登陆、是否有可写的FTP目录、是否能用Telnet及弱口令等,更准确地了解目标主机的弱点,从而利用这些弱点来实施攻击。
获得攻击目标的控制权阶段:黑客根据已获得的各种信息,进行破解口令文件或利用缓存溢出漏洞等获取对攻击目标的控制权。黑客通过各种手段,在查找到攻击目标的漏洞之后,黑客已经掌握了攻击目标比较详细的数据,并开始试探被攻击目标的服务漏洞。在这个过程中黑客会不断地猜测一些系统路径,测试用户账号和密码。
消除痕迹阶段:如果攻击者完成攻击后就立刻离开系统而不做任何善后工作,那么其行踪将很快被系统管理员发现,因为所有的网络操作系统和防火墙一般都提供日志记录功能,会把系统上发生的动作记录下来。所以为了自身的隐蔽性,黑客一般都会通过删除添加的账号、删除或修改日志、删除临时使用文件、清除系统事件等手段消除自己在日志中留下的痕迹。至此黑客就完成了一次入侵的过程。