本文目录一览:
- 1、警方是如何查到黑客的?
- 2、黑客所谓“跳板”是什么?
- 3、黑客如何进行跳板攻击与防御详解
- 4、电脑被黑客入侵
- 5、什么是跳板机
- 6、专业术语跳板机是什么意思?
警方是如何查到黑客的?
IP可查你的所在地,一般可以通过 *** 聊天来确定黑客常活动的地方.
当然,还有更高科技的或"手段"引诱的,可以通过游戏接触黑客,或查黑客在破坏别人的电脑时留的漏洞
还有,更多我们 不知的办法
黑客所谓“跳板”是什么?
看来你只是一个普通懂电脑的人,"跳板",举例说明,黑客想要侵入别的电脑,我们的理解为自己的一台和别人的一台连接,而黑客,就会用一台连接另一台,再通过另一台去接别的一台,连的越多,那么别人就越难发现黑客,而那从中被连的却不是最终目的电脑,就叫做"跳板".
黑客如何进行跳板攻击与防御详解
跳板首先,有高级技术和低级技术区分,这要看你使用哪种技术和达到哪种目的,目的是重要的,如果攻击普通人的设备可以使用低级一些技术手段,但是攻击严密军事 *** 也可以用低级技术手段,防御体系的话,有点困难因为防御是最难的,我也一些终极方案,我也不会冒险放出在 *** 上,因为防御太过强大,我也入侵不了,关门把自己锁死就得不偿失了,所以我只能告诉你一级的防御体系,必须开启6个入口,八个授权登录,隔离加密,加密分度等,希望对你有帮助。
电脑被黑客入侵
黑客经验谈:跳板攻击入侵技术实例解析
*** 入侵,安全之一。一个狡猾、高明的入侵者,不会冒然实行动。他们在入侵时前会做足功课,入侵时会通过各种技术手段保护自己,以防被对方发现,引火烧身。其中,跳板技术是攻击者通常采用的技术。下面笔者结合实例,解析攻击入侵中的跳板技术。
1、确定目标
攻击者在通过扫描工具进行定点(IP)扫描或者对某IP段扫描的过程中发现了该系统(服务器)的某个漏洞,然后准备实施攻击。
比如,笔者通过对某IP段的扫描,发现该IP段IP地址为211.52.*.84的主机存在MYSQL漏洞,可以通过提权获取系统权限进而控制该服务器。
2、设计跳板
跳板通俗讲就是一条通往目标主机的主机链,理论上讲当然是链越长就越安全,但是链太长的话连接的速度太慢,因为其中的中转太多。攻击者往往会评估入侵风险,从而制定或者设计跳板。一般的原则是,如果是 *** 、军队等敏感部门往往跳板会比较多,甚至这些跳板主机会纵横七大洲四大洋。另外,入侵国内服务器往往也会需要国外的跳板主机。
另外跳板主机的选择,入侵者往往是一些安全性一般速度较快,很少有人光顾的主机。因为如果是跳板出了安全问题,安全人员从中间入手,进行反向追踪,定位入侵者的相对比较容易。
笔者演示进行入侵检测的目标主机是一家韩国的服务器(通过查询),综合考虑,设计了三级跳板,即通过三个主机中转在第三级跳板上进行目标主机的入侵就爱你从。设计的路线为:远程登陆(3389)到一IP地址为203.176.*.237的马来西亚服务器;然后在该服务器上通过CMD命令登陆到一IP地址为203.115.*.85的印度Cisco路由器;最后该路由器上telnet到一某韩国主机。最后以该韩国服务器为工作平台实施MYSQL提权操作。
特别说明:攻击者往往在跳板中加入路由器或者交换机(比如Cisco的产品),虽然路由器的日志文件会记录登陆IP,但是可以通过相关的命令清除该日志。并且这些日志清除后将永远消失,因为路由器的日志保存在flash中,一旦删除将无法恢复。如果跳板全部用主机的话,虽然也可以清除日志,但是现在的恢复软件往往可以恢复这些日志,就会留下痕迹, *** 安全人员可以通过这些蛛丝马迹可能找到自己。
3、跳板入侵
(1).之一跳,远程桌面
开始→运行→mstsc,打开远程桌面连接,输入马来西亚服务器的IP地址203.176.*.237,随后输入用户名、密码即可远程连接到该服务器。
一个非常狡猾高明的的入侵者一般不会用自己平时使用的主机进行远程桌面连接入侵,他们往往通过一些人员流动比较大的公共电脑进行入侵。如果找不到的话,他们一般不会用物理主机,会采用虚拟机系统进行入侵。因为物理主机的入侵会留下痕迹,就算删除格式化也会被恢复。而虚拟机,入侵完成后可以删除,呼之即来,弃之毫不可惜。
(2).第二跳,telnet路由器
打开服务器命令行工具(cmd),输入telnet 203.115.*.85进行连接。该路由器是一Cisco设置了虚拟终端的密码,输入密码进入路由器一般模式。此时即可以通过路由器telnet到下一个跳板。当然更好有该cisco路由器的特权密码,敲入en,然后输入特权密码进入特权模式。因为就算没有进入路由器的特权模式,但路由器还是记录了此次登陆,因此一定要进入特权模式,通过路由器命令清除登陆记录和历史命令。笔者为了安全用SecureCRT(类似telnet)进行登陆。
作为一个狡猾的入侵者,在进入路由器特权模式后,不是马上进入下一跳板。往往通过show user命令查看有没有其他人(特别是管理员)登陆到路由器。如果存在其他登陆,一个谨慎的入侵者往往会放弃该跳板转而用其他的跳板。
(3).第三跳,telnet主机
在路由器特权模式下,输入telnet 203.115.*.85,随后输入用户名及其密码后就telnet到远程主机系统给我们一个shell。
4.提权
至此,我们经过三级跳到达工作平台,然后就在该shell上进行目标主机的MYSQL提权操作。操作平台上笔者已经准备好了进行MYSQL提权的工具。输入命令进行操作,笔者把相关的命令列举出来:
cd msysql
cd bin
mysql -h 211.52.118.84 -uroot
\. c:\mysql\bin\2003.txt
在工作平台上再打开一个cmd,输入命令
nc 211.52.118.84 3306
即监听该ip的3306端口,返回一个目标主机的shell,获取该主机的控制权。
在该shell上输入命令建立管理员用户
net user test test /add
net localgour administrators test /add
下面看看对方是否开了远程桌面连接,在命令行下敲入命令
netstat -ano
对方开3389端口,即可以进行远程桌面的连接。
由于对方是XP系统,不能多用户远程连接,笔者的入侵检测到此为止。
5、全身而退
入侵完成获得目标主机的管理权限,入侵者就得擦除痕迹,准备撤退了。
(1).由于从目标主机获得的shell反向连接获得的,不会有日志记录,所以不用管直接断开连接。
(2).上传clearlog工具,清除telnet主机上的登陆日志。
(3).输入exit,退出路由器到主机的的telnet连接。在路由器上输入
clear logging
分别用来清除登陆日志。
(4).退出路由器登陆,通过工具清除远程桌面主机上的登陆日志,然后删除登录用帐户和用户目录,注销用户。
总结:上面笔者结合实例演示了入侵者如何通过跳板进行入侵以及入侵善后的全过程,本文只是从技术的角度对跳板技术进行解析,目的是让有兴趣的读者直观地了解跳板技术的相关细节。当然,跳板技术是博大精深,远非本文所能囊括,但其基本原来都类似,希望文本对大家了解这种技术有所帮助
什么是跳板机
如果控制机与受害机直接相连,设想,如果这时受害机已经查出是是哪一台机子发出的Dos时,就会把黑客自己的身份暴露。那如果在受害机察觉以前把控制机的“脚印”全部删除不就可以了?如果你只想攻击受害机一次,那么有无跳板机都可,但如果你想多次攻击受害机,那么你每次都要把自己控制机上的“脚印”删除的干净(包括相关的原代码),这样当你下次要想再攻击受害机时,等于是要重新再建立攻击过程。如果中间有一个跳板机,那么你只需要如在跳板机上的“脚印”删除即可,这样受害机当查到跳板机时,线索就断开了。所以有一个跳板机的作用会使黑客自己本身更加安全。通常DOS攻击是作为入侵者入侵他人系统的一种 *** ,很少单独使用。入侵的思路就是:目标机发送大量无用的数据,使目标机疲于对付这些无用数据,而造成系统的迟钝缓慢,这就犹如“一心不能两用”一样,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。入侵的 *** 由以下几种:1、SYN 洪水攻击 利用服务器的连接缓冲区(Backlog Queue),利用特殊的程序,设置TCP的Header,向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中。 如果你的SYN请求超过了服务器能容纳的限度,缓冲区队列满,那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送,直到缓冲区中都是你的只有SYN标记的请求。 这种 *** 的好处就在于,不用事先去探测别人的IP,直截了当的去占领缓冲区, *** 比较简单,但是由于利用的是自己的IP,所以身份比较容易暴露,在使用这种攻击思路时,对自己的主机的隐蔽性一定要做好,最简单的 *** 就是多使用几台傀儡机,但是在入侵后,对傀儡机的痕迹清扫也随之变得复杂而麻锁。2、IP欺骗DOS攻击 这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击时,伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务。这种 *** 的好像就是不易被主机发现,但是缺点就在于要事先知道该主机的一个合法用户的IP地址,有时还要知道IP地址对应的端口号。而在大部分的合法客户的IP地址都是随机的,所以如果每次都想用同一个用户的IP很难做到,所以每次都要进行IP合法用户探询。 3、 带宽DOS攻击 如果你的连接带宽足够大而服务器又不是很大,你可以发送请求,来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了,配合上SYN一起实施DOS,威力巨大。 这种 *** 是比较初级DOS攻击,显然并不试用于攻击大型的服务器。随着宽带的不断提高,与计算机的越来越好,使得计算机有足够的能力来对付这种攻击,这种 *** 已经开始不试用了。4、自身消耗的DOS攻击 这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同,发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致死机。这中伪装对一些身份认证系统还是威胁巨大的。这种攻击的方式,它的伪装比较好,俗话说“最危险的地方就是最安全的地方”,也正是因为入侵者利用的服务机自身的IP,使得服务器自身很难找到入侵者是谁,这种攻击的 *** 最终都是因为“死锁”而造成死机的。上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据,充分利用TCP协议。这些攻击 *** 都是建立在TCP基础上的。还有其他的DOS攻击手段。 5、塞满服务器的硬盘 通常,如果服务器可以没有限制地执行写操作,那么都能成为塞满硬盘造成DOS攻击的途径,比如: 发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件,这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中,直到邮箱被撑破或者把硬盘塞满。 让日志记录满。入侵者可以构造大量的错误信息发送出来,服务器记录这些错误,可能就造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志,甚至就不能发现入侵者真正的入侵途径。 向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。总之,拒绝服务一般都是通过过载而导致服务器死机的,而过载一般是因为请求到达了极限。TCP是一种面向连接的协议,所以它采用了多种服务机制来保证连接的可靠性,如:流量控制、拥塞控制,一旦出现数据流量过大所产生的拥塞就会使服务器拒绝客户提出的连接请求。正是因为TCP的这种拒绝机制,给Dos有了可乘之机。试想,如果有客户大量的向服务器扔送无用的数据报文段,使服务器因为数据流的过多,而拒绝了超过了它上限值的以外的数据。从而导致其它真正的想使用服务器的客户被拒之门外,就会造成不必要的浪费。这也就是Dos的核心内容了。步骤A:首先,攻击者利用自己的控制机找到一个跳板机,向跳板机发出受害机的命令参数。至于发了哪些命令参数将在Dos的编辑过程做解释。步骤B:跳板机收到控制机的命令后,向受害机大量发送无用数据报文段,使得受害机疲于应付那些无数数据
专业术语跳板机是什么意思?
跳板机的作用:如果控制机与受害机直接相连,设想,如果这时受害机已经查出是是哪一台机子发出的Dos时,就会把黑客自己的身份暴露。那如果在受害机察觉以前把控制机的“脚印”全部删除不就可以了?如果你只想攻击受害机一次,那么有无跳板机都可,但如果你想多次攻击受害机,那么你每次都要把自己控制机上的“脚印”删除的干净(包括相关的原代码),这样当你下次要想再攻击受害机时,等于是要重新再建立攻击过程。如果中间有一个跳板机,那么你只需要如在跳板机上的“脚印”删除即可,这样受害机当查到跳板机时,线索就断开了。所以有一个跳板机的作用会使黑客自己本身更加安全。