黑客入侵攻击的一般过程如下:从确定目标入手,进行信息收集(包括踩点、扫描等),实施攻击(包括获取监听、欺骗、拒绝服务等),成功之后隐藏痕迹,如图2-1所示。其具体操作如下。
图2-1 黑客入侵攻击的一般过程
(1)确定攻击的目标。
(2)收集被攻击对象的有关信息。黑客在获取了目的主机及其所在的网络的类型后,还需要进一步获取有关信息,如目的主机的IP地址、操作系统类型和版本、系统管理人员的邮件地址等,根据这些信息进行分析,可得到被攻击方系统中可能存在的漏洞。
(3)利用适当的工具进行扫描。收集或编写适当的工具,并在对操作系统分析的基础上对工具进行评估,判断有哪些漏洞和区域没有被覆盖。在尽可能短的时间内对目的主机进行扫描。完成扫描后,可以对所获数据进行分析,发现安全漏洞,如FTP漏洞、不受限制的服务器访问、Sendmail的漏洞及NIS口令文件访问等。
(4)建立模拟环境,进行模拟攻击。根据之前所获得的信息建立模拟环境,对模拟目的主机进行一系列的攻击,测试对方可能的反应。通过检查被攻击方的日志,可以了解攻击过程中留下的“痕迹”。这样攻击者就可以知道需要删除哪些文件来毁灭其入侵证据了。
(5)实施攻击。根据已知的漏洞实施攻击。通过猜测程序,可对截获的用户账号和口令进行破译;利用破译程序,可对截获的系统密码文件进行破译;利用网络和系统本身的薄弱环节和安全漏洞,可实施电子引诱(如安放特洛伊木马)等。例如,修改网页进行恶作剧,或破坏系统程序,或传播病毒使系统陷入瘫痪,或窃取政治、军事、商业秘密,或进行电子邮件骚扰,或转移资金账户、窃取金钱等。
(6)清除痕迹,创建后门。通过创建额外账号等手段,为下次入侵系统提供便利。