黑客入门(三) 初级攻防战
在上篇文章中,我们介绍了在正式进行各种“黑客行为”之前,黑客会采取各种手段,探测(也可以说“侦察”)对方的主机信息,以便决定使用何种最有效的方法达到自己的目的。本文让我们来看看黑客是如何获知最基本的网络信息――对方的IP地址,以及用户如何防范自己的IP泄漏。
获取IP
IP作为网络用户的重要标示是黑客首先需要了解的。获取的方法较多,黑客也会因不同的网络情况采取不同的方法,如:在局域网内使用Ping指令,Ping对方在网络中的名称而获得IP。而相对厉害的手段,也是最有效的办法是截获并分析对方的网络数据包。如图1所示,网络监视器捕获的网络数据包,可能一般的用户比较难看懂这些16进制的代码,而对于了解网络知识的黑客,他们可以找到并直接通过软件解析截获后的数据包的IP包头信息,再根据这些信息了解具体的IP。
隐藏IP
虽然侦察IP的方法多样,但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言,可以安装能够自动去掉发送数据包包头IP信息的Norton Internet Security。不过使用Norton Internet Security也存有缺点,如:它耗费资源严重,降低计算机性能;在访问一些论坛或者网站时会受影响;不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的方法应该是使用代理,由于使用代理服务器后,转址服务会对发送出去的数据包有所修改,致使数据包分析的方法失效。一些容易泄漏用户IP的网络软件(即时通讯软件和浏览器等)都支持使用代理方式连接Internet,特别是QQ使用“ezProxy”等代理软件连接后,IP版的QQ都无法显示该IP地址。推荐大家使用适合个人用户的简易IP隐藏器等代理软件,只要在代理服务器和代理服务器端填入正确的代理服务器地址和端口,即可对HTTP使用代理,比较适合由于浏览器和即时通讯软件泄露IP地址的情况。
不过使用代理服务器同样有一些缺点,如:会影响网络通讯的速度;需要网络上的一台能够提供代理能力的计算机,如果用户无法找到这样的代理服务器就不能使用代理。虽然代理可以有效地隐藏用户IP,但高深的黑客亦可以绕过代理,查找到对方的真实IP地址,用户在何种情况下使用何种方法隐藏IP,也要因情况而论。
黑客的探测方式里除了侦察IP,还有一项――端口扫描。通过“端口扫描”可以知道被扫描的计算机哪些服务、端口是打开而没有被使用的(可以理解为寻找通往计算机的通道)。
一、端口扫描
二、阻止端口扫描
防范端口扫描的方法有两个:
1.关闭闲置和有潜在危险的端口
这个方法有些死板,它的本质是――将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。因为就黑客而言,所有的端口都可能成为攻击的目标。换句话说,计算机的所有对外通讯的端口都存在潜在的危险,而一些系统必要的通讯端口,如访问网页需要的HTTP(80端口、8080端口)等不能被关闭。
在Windows系统中要关闭掉一些闲置端口是比较方便的,可以采用定向关闭指定服务的端口和只开放允许端口的方式。计算机的一些网络服务会由系统分配默认的端口,将一些闲置的服务关闭掉,其对应的端口也会被关闭了。进入“控制面板”、“管理工具”、“服务”项内,关闭掉计算机的一些没有使用的服务(如FTP服务、DNS服务、IIS Admin服务等等),它们对应的端口也被停用了。至于只开放允许端口的方式,可以利用系统的TCP/IP筛选功能实现,设置的时候,只允许系统的一些基本网络通讯需要的端口即可(图3)。
2.检查各端口,有端口扫描的症状时,立即屏蔽该端口
这种预防端口扫描的方式显然用户自己手工是不可能完成的,或者说完成起来相当困难,需要借助软件。这些软件就是我们常用的网络防火墙。防火墙的工作原理是:首先检查每个到达你的电脑的数据包,在这个包被你机上运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后,一个TCP/IP端口被打开;端口扫描时,对方计算机不断和本地计算机建立连接,并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口,防火墙经过自带的拦截规则判断,就能够知道对方是否正进行端口扫描,并拦截掉对方发送过来的所有扫描需要的数据包。几乎所有网络防火墙都能够抵御端口扫描,在默认安装后,应该检查一些防火墙所拦截的端口扫描规则是否被选中,否则它会放行端口扫描,而只是在日志中留下信息而已。
黑客在进行攻击前的准备工作,就此介绍完毕。在下面的内容中,将转入正式的入侵、窃取和攻击等具体的介绍。
现在盗QQ的软件有两种,本地破解和远程破解。看起来好像挺神秘的,其实说穿了就那么回事。
本地破解
远程破解
“远程破解”与前面的“本地破解”正好相反,是指QQ盗号者通过网络盗窃远端QQ用户的密码。这种QQ破解有很多方法,如在线密码破解、登录窗口破解、邮箱破解、消息诈骗以及形形色色的QQ木马病毒等。下面就让我们一同来看看这些QQ密码的远程破解是怎么实现的。
1.在线密码破解
大家知道QQ可以利用代理服务器登录,这是一种保护措施。它不仅可以隐藏用户的真实IP地址,以避免遭受网络攻击,还可以加快登录速度,保证登录的稳定性。在线密码破解和本地密码破解采用的技术方法类似,都是穷举法,只不过前者完全脱离了本地用户使用的QQ。它通过对登录代理服务器进行扫描,只要想盗的QQ号码在线,就可利用在线盗号工具实现远程TCP/IP的追捕,从而神不知鬼不觉地盗取QQ密码(图4)。
在线破解改变了本地破解那种被动的破解方式,只要是在线的QQ号码都可以破解,适用范围较广。但是由于它仍然采用穷举法技术,所以在枚举密钥位数长度以及类型时,校验时间很长,破解效率不高。同样,这种方法还受到电脑速度、网速等诸多因素的影响,因此比前面的本地破解更麻烦。
2.登录窗口破解
伪造QQ登录窗口的盗号方法非常简单,这是一种比较另类的木马破解方法。先用盗号软件生成一个伪装的QQ主程序,它运行后会出现跟腾讯QQ一模一样的登录窗口,只要用户在这个伪登录窗口中登录,输入的QQ号及密码就会被记录下来,并通过电子邮件发送到盗号者指定的邮箱中。
在此以一款叫“狐Q”的软件为例,首次运行时,它会把自身复制到QQ目录中,并把原来的QQ.exe文件改名为QQ.com(这样的更改不会影响QQ的正常运行)。设置完毕后,“狐Q”的原程序就会消失,伪装成QQ等待“猎物”上钩。在其软件设置中,有一项设置可以决定真假QQ交替运行的次数,可以减少用户在使用QQ时产生的怀疑。将“生效次数”设定为3,那么用户第一次运行的是真QQ了,也就是说在第三次运行时,用户的QQ号便被盗了!在QQ密码发送的过程中,如果发送失败,它还会把QQ号和密码记下来,等待下一次发送。
即时监视QQ登录窗口的盗号方法利用Windows窗口函数、句柄功能实现QQ号和密码的后台截取。此类软件几乎可以捕获Windows下所有标准密码框中的密码,如QQ、Outlook、屏幕保护程序、各种电子邮件客户端、各种游戏账号和上网账号等。捕获后,它也会将密码实时发送到盗号者指定的邮箱中。
3.邮箱破解
利用邮箱盗取QQ密码也是一种比较常用的方法。我们都知道,腾讯公司在对用户的QQ号码进行验证时需要用户填写电子邮箱。对于申请了“密码保护”功能的用户,在腾讯主页上找回遗忘的密码时,密码会被发送到用户注册时的邮箱中。所以,只要盗号者破解了对方常用的电子邮箱,就有机会得到其QQ密码。至于如何破解电子邮箱,具体的操作方法有多种,由于它有点超出本文的范畴,在此就不赘述了。
4.消息诈骗
孔子曰:上士杀人用笔端,中士杀人用语言,下士杀人用石盘。远程盗取QQ密码还有一种大家最常见也是最简单最有效的方法,那就是利用不少人爱贪小便宜的弱点,进行人为的欺骗!