黑客攻防与网络安全-N-0

章1 入门

黑客：通过攻击来研究漏洞，从而提高系统的安全性

章2 DOS窗口与DOS命令

TTL值可判断操作系统类型，由于不同的操作系统的主机设置TTL值是不同的，所以可以根据TTL值来识别操作系统类型。（1）TTL=32,认为目标主机操作系统为Windows 95/98.（2）TTL=64~128，认为目标主机操作系统为Windows NT/2000/XP/7/10。（3）TTL=128 ~255或者32 ~64认为目标操作系统为UNIX/Linux。
net命令可以用于查询网络状态，共享资源以及计算机所开启的服务等。eg. net start 用于查询网络状态
netstat命令用来显示网络连接的信息，包括显示活动的TCP连接、路由器和网络接口信息，是一个监控TCP/IP网络非常有用的工具，可以让用户得知系统中有哪些网络连接正常。
eg. netstat/?命令可以得到这条命令的帮助信息。
该命令的语法重要参数：(1)-a:显示所有连接和监听接口。（2）-n:以数字形式显示地址和端口号。（3）-r：查看本机路由器的信息。
使用tracert命令可以查看网络中路由结点信息。参数及其含义：（1）-d：防止解析目标主机的名字。可以加速显示tracert命令结果。（2）-h MaximumHops:指定搜索到目标地址的最大跳跃数，默认为30个跳跃点。（3）-j Hostlist:按照主机列表中的地址释放约路由。(4)-w Timeout：超时间间隔，默认单位为毫秒。（5）TargetName:指定目标计算机。
Tasklist命令的应用。用来显示运行在本地或远程计算机上个所有进程，带有多个执行参数。Tasklist命令的语法格式：TaskList[/S system [/U username [/p [password]]]] [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH] 利用TaskList命令可以查看本机中的进程，还可以查看每个进程提供的服务。
SFC命令是Windows操作系统中使用频率比较高的命令，用于扫描所有受保护的系统文件并完成修复工作。参数：(1)SCANNOW：立即扫描所有受保护的系统文件。(2)./SCANONCE:下次启动时扫描所有受保护的系统文件。（3）/SCANBOOT：每次启动时扫描所有受保护的系统文件。(4)/REVERT:将扫描返回到默认设置。（5）/PURGECACHE：清除文件缓存。（6）/CACHESIZE=x:设置文件缓存大小。

章3 网络踩点侦查与系统漏洞扫描

黑客入侵之前需要进行踩点以收集相关信息呢。然后扫描系统的相关漏洞，最后就可以利用相关攻击手段攻击目标。

网络踩点侦查

踩点，概括的说就是获取信息的过程。踩点是黑客实施攻击之前必须要做的工作之一，踩点过程中所获取的目标信息也决定着攻击能否成功。
步骤1：侦查对方是否存在。黑客在攻击之前，需要确定目标主机是否存在，目前确定目标主机是否存在最常用的方法就是使用Ping命令。Ping命令常用于对固定IP地址的侦查。使用SuperScan可执行文件可对附近IP地址范围内存在的主机进行扫描。
步骤2：侦查对方的操作系统。黑客在入侵某平台时，事先必须侦查出该计算机的操作系统类型，这样才能根据需要采取相应的攻击手段，以达到自己的攻击目的。常用侦查对方操作系统的方法为使用ping命令探知对方的操作系统。一般情况下不同的操作系统其对应的TTL返回值也不相同，Windows操作系统对应的TTL值一般为128；Linux操作系统的TTL值为64。因此，黑客在使用ping命令与目标主机相连接时，可以根据不同的TTL值来推测目标主机的操作系统类型，一般在128左右为Windows系列，64左右为Linux系列。这是因为不同的操作系统的机器对ICMP报文的处理与应答也有所不同，TTL的值是每路过一个路由器就会减1。
步骤3：确定可能开放的端口，使用扫描工具如SuperScan等，还可以使用相关命令查看本机启动的端口（在命令提示符窗口中输入netstat -a -n命令，即可查看本机启动的端口，在运行结果中可以看到以数字形式显示的TCP和UDP连接的端口号及其状态，然后启动SuperScan澄程序，切换到主机和服务器扫描设置，在其中对想要扫描的UDP和TCP进行设置。然后切换到扫描选项卡，在其中输入目标开始IP地址和结束IP地址）。
步骤4：查询WHOIS和DNS
（1）查询WHOIS：一个网站制作完毕后，要想发布到互联网上，需要向有关机构申请域名，而且申请到的域名信息将被保存在域名管理机构的数据库中，任何用户都可以进行查询，这就使得黑客有机可乘。因此，踩点流程少不了查询WHOIS,常用的查询WHOIS方法如下：1）在中国互联网信息中心网页上查询：（中国互联网信息中心是非常权威域名管理机构，在该机构的数据库中记录着所有以.cn为皆为的域名注册信息。查询WHOIS的具体操作步骤为）在Microsoft Edge浏览器的地址栏中输入中国互联网信息中心的网址:http://www.cnnic.net.cn/，即可打开查询网页。2)在中国万维网网页上查询：中国万网是中国最大的域名和网站托管服务提供商，他提供.cn的域名注册信息，而且还可以查询.com等域名信息。查询WHOIS的操作步骤：在Microsoft Edge浏览器的地址栏中输入万网的网址 http://wanwang.aliyun.com/，即可打开其查询网页；在域名文本框中输入要查询的域名，然后单击擦迅敏可看到相关的域名信息
（2）查询DNS：DNS即域名系统，是Internet的一项核心服务。简单来说，利用DNS服务系统可以将互联网上的域名与IP地址进行域名解析，因此，计算机只认识IP地址，不认识域名。该系统作为可以将域名和IP地址相互转换的一个分布式数据库，能够帮助用户更为方便的访问互联网，而不用记住被机器直接读取的IP地址。目前查询DNS的方法比较多，常用的方法是使用Windows系统自带的nslookup工具来查询DNS中的各个数据，下面介绍两种nslookup查看DNS的方法。1)使用命令行方式：用来查询域名对方的IP地址，也查询DNS的记录，通过该记录黑客可以查询该域名的主机所存放的服务器，其命令格式为nslookup域名。2）交互方式。找到适合攻击的目标后，在真是实施攻击之前还需要了解目标主机网络结构，只有弄清楚目标网络中防火墙、服务器地址之后，才可以进一步入侵。可以使用tracert命令来显示数据包到达目标主机所经过的路径，并显示到达每个节点的时间。tracert命令功能同ping 类似，但所获得的信息比ping命令消息很多，它把数据包所走的全部路径、节点的IP以及花费的时间都显示出来。该命令比较适用于大型网络。tracert命令的语法格式如：tracert IP地址或主机名。例如想要了解自己计算机与目标主机www.baidu.com之间的详细路径就可以在命令提示符窗口中输入tracert www.baidu.com命令进行查询，分析目标主机的网络结构。快速确定漏洞范围：黑客在找到攻击的目标主机后，在实施攻击之前，还需要查看目标主机的漏洞，确定目标主机的漏洞范围。黑客为了能够找到目标主机的漏洞范围，常常会利用一些扫描工具来快速确定漏洞的范围，扫描的内容包括端口、弱口令、系统漏洞以及主机服务程序等。目前黑客常用的扫描工具是X-scan,它可以扫描出操作系统类型及版本、标准端口状态及端口BANNER信息、CGI漏洞、IIS漏洞、RPC漏洞、SQL-Server、FTP-Server、SMTP-Server、POP3-Server、NT-Server弱口令用户、NT服务器NetBI-OS等信息。（1.设置X-Scan扫描器：在使用X-Scan扫描器系统之前，需要先对该工具的一些属性进行设置,例如扫描参数、检查范围。2.使用X-Scan进行扫描）2.在设置完X-Scan各个属性后，就可以利用该工具对指定IP地址范围内的主机进行扫描。扫描完成后，即可看到HTML格式的扫描报告，在其中可以看到活动主机IP地址、存在的系统漏洞和其他安全隐患，同时还提出了安全隐患的解决方案。）3）防御网络侦查的对策：网络侦查是黑客攻击目标主机必须要做工作，要想自己的计算机逃过黑客的攻击，就需要做好防御网络侦查的工作。目前，网络作战的模型包括3个层次，分别是：实体层次、能量层次和信息层次。针对不同的层次，其网络繁育的措施也不尽相同。1）实体层防御对策：实体层次的网络侦查常以物理方式直接破坏、摧毁计算机网络系统的实体，完成目标侦查或摧毁任务，简单来说，在平时，这个层次的网络侦查主要是黑客利用管理方面的漏洞对计算机系统进行的破坏活动。针对上述问题，对实体层的防御对策有以下几种：（1）保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。（2）建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。（3）构建网络时要充分考虑网络的结构和布线、路由器、网桥的设置、位置的选择，加固中套的网络设施，增强其抗摧毁能力。（4）与外部网络相连时，采用防火墙屏蔽内部网络结构，对外界访问进行身份验证、数据过滤，在内部网络中进行安全域划分、分级权限分配（5）对外部网络进行访问时，将一些不安全的站点过滤掉，对一些经常访问的站点做成镜像，可大大提高效率，减轻线路负担。（6）网络中的各个节点要相对固定，严禁随意连接，一些重要的部件安排专门的场地人员维护、看管，防止自然或人为的破坏，加强场地安全管理，做好供电、接地、灭火的管理。（7）能量层次防御对策：能量层次的网络侦查主要是黑客利用强大的物理能量干扰、压制或潜入对方的信息网络，从而窃取对方的信息；另一方面又能通过运用探测物理能量的技术手段对计算机辐射信号进行采集与分析，从而窃取秘密信息。防御措施：1）做好计算机设施的防电磁泄漏、抗电磁脉冲干扰，在重要部位安装干扰器、建设屏蔽机房等2)做好对外围辐射的防护，主要是对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。同时还需要给网络加装电磁屏蔽网，防止电磁武器的攻击。3）做好对自身辐射的防护，这类防护措施可分为两种：一种采用各种电磁屏蔽措施，对设备进行屏蔽和隔离，二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射，最后来掩盖计算机系统的工作频率和信息特征，起到伪装作用。（9）信息层次防御对策：信息层次的网络侦查主要是运用逻辑手段进入对方的网络系统，从而窃取对方网络系统中的数据信息。攻击方式主要包括计算机病毒入侵、密码的复制与修改、软件的破坏等多种方式。信息层次的网络侦查与护士压保护网可以在物理能量的侦查的主要区别表现为:在信息层次的侦查中获得信息权的决定因素是逻辑的，而不是物理能量的，同时，取决于对信息系统自身的技术掌握水平，是知识和智力的较量，不是电磁能量强弱的较量。信息层次的网络侦查是获取关键信息的关键层次。也是网络防御的重要环节。信息层次的防御对策主要为
1）设置访问控制技术。
访问控制是网络安全防范和保护的主要策略，其主要任务是保证网络资源不被非法使用和非常访问，也是维护网络系统安全、保护网络资源的重要手段。可以说是保证网咯安全最重要的核心策略之一。访问控制技术主要包括7种，根据网络安全的二等级、网络空间的环境不同，可以灵活的设置访问控制的种类和数量。
（1）入网访问控制。
（2）网络的权限控制
（3）目录级安全控制
（4）属性安全控制。
（5）网络服务器安全控制。
（6）网络检测和锁定控制。
（7）网络端口和结点的安全控制。
2）设置防火墙技术
目前，防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙三种类型，并在计算机网络中广泛运用，但是防火墙技术也不鞥呢解决
3) 设置信息加密技术

阻止更新驱动程序：
在开始命令中输入：“gpedit.msc”(本地组策略编辑器)，在左边的窗口中依次展开“计算机配置”->“管理模板”->“Windows组件”->“Windows更新”选项，右侧窗口中有“Windows更新不包括驱动程序”。
探测目标主机的弱口令：
使用《流光》可以探测目标主机的POP3、SQL、FTP、HTTP等弱口令。

章4 缓冲区溢出攻击与网络渗透入侵

缓冲区溢出攻击之所以危害性极大，主要原因是入侵者利用系统存在的缓冲区溢出漏洞直接向其发送超出缓冲区所能处理的长度的指令，致使系统进入不稳定的状态，这是从程序或系统的关键敏感区域进行攻击。下面剖析缓冲区溢出攻击。
缓冲区是程序运行时自动向计算机申请的一个连续的块，用于保存程序给定类型的数据。但是，一般为了节省内存的使用,操作系统会利用一个有动态分配变量的程序在程序运行时才决定给其分配多少内存。

章5 目标系统的扫描与网络数据的嗅探

扫描目标系统与嗅探网络中的数据是黑客必备的基本功，因为这是黑客进行攻击前的第一步。扫描与嗅探网络数据主要包括扫描目标系统的端口信息、IPC$用户列表、指定地址范围内的目标主机、嗅探网络中的数据信息等。
（1）扫描目标系统的端口信息：服务器上所以开放的端口往往是黑客潜在的入侵通道、对目标主机进行端口扫描能够获得许多有用的信息，而进行端口扫描的方法也很多，可也是手工进行扫描，也可以用端口扫描软件进行，黑客常用的端口扫描器有Nmap、SuperScan等。
（2）扫描目标系统的其他信息：出扫描系统的端口信息外，还可以扫描目标系统的其他信息，如目标主机的IPC $用户列表、指定地址外围内的目标主机信息。
IPC $（Internet Process Connection）是共享“命名管道”的资源，是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用。
（3）嗅探网络中的数据信息：网络嗅探是利用计算机的网络接口截获计算机数据报文的一种手段。网络嗅探的基础是数据捕获，网络嗅探系统是并接在网络中来实现对数据的捕获，因此被称为网络嗅探。

嗅探网络中的TCP\IP数据包比如使用SmartSniff可以嗅探网络适配器的TCP\IP数据包，并且可以按顺序查看客户端与服务器指尖会话的数据。
嗅探网络中流过网卡的数据。使用《网络嗅探器（影音神探）》可以嗅探流过网卡的数据并只能分析过滤，从而快速找到所需要的网络信息，如音乐、视屏、图片等。

章6 Windows系统远程控制与网络欺骗

随着计算机的发展，越来越多的操作系统为满足用户的需求，在操作系统中加入了远程控制功能，这一功能本是方便用户的，但是却被黑客们利用。
（1）通过Windows远程桌面实现远程控制。
远程控制是在网络上是由一台计算机（主控端|客户端）远距离去控制另一台计算机（被控端|服务器端）的技术、而远程一般是指通过网络控制远端的计算机，和操作自己的计算机一样，使用Windows远程桌面可以实现远程控制。
（2）使用Symantec pcAnywhere实现远程控制。
（3）防范远程控制的方法与技巧要想使自己的计算机不受远程控制入侵的困扰，就需要用户对自己的计算机进行相应的保护操作，如开启系统防火墙或安装相应的防火墙工具等。1）开启系统自带的Windows防火墙、2）关闭Windows远程桌面功能、3)关闭远程注册表管理服务4）
（4）形形色色的网络欺骗攻击：一个黑客在真正入侵系统时，并不是依靠别人写的什么软件，更多的是靠对系统和网络的深入了解来达到目的，从而出现了形形色色的网络欺骗攻击，如常见的ARP欺骗、DNS欺骗、钓鱼网站欺骗术等。
1）ARP欺骗是黑客常用攻击手段之一，ARP欺骗分为两种，一种是对路由器ARP表的欺骗：另一种是对内网PC的网关欺骗，ARP欺骗容易造成客户端断网。
2）网络中的DNS欺骗攻击即域名信息欺骗，是最常见的DNS安全问题。当一个DNS服务器掉入陷阱、使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。在Windows10系统中，用户可以在“命令提示符”窗口中输入nslookup命令来查看DNS服务器的相关信息。
3）局域网中的主机欺骗：局域网终结者是用于攻击局域网中计算机的一款软件，其作用是构造虚假的ARP数据包欺骗网络主机，是目标主机欲网络断开。
（5）网络欺骗攻击的防护技巧：网络中形形色色的网络欺骗。
1）使用绿盾ARP防火墙ARP攻击。
2)通过AntiARP——DNS防御DNS欺骗。AntiARP-DNS防火墙是一款可对ARO和DNS欺骗攻击实时监控和防御的防火墙。当收到ARP和DNS欺骗攻击时，会迅速记录追踪攻击者并将攻击成都控制至最低，可有效的防止局域网内的非法APR或DNS欺骗攻击，还能解决被攻击之后出现的IP冲突问题。

章七黑客信息的追踪与代理服务器的应用

黑客为了更好地隐藏自己，在攻击前往往会先找到一些疏于管理或管理员水平不高的网络主机（俗称肉鸡）作为代理服务器，通过这些主机去攻击目标系统。有了这些代理服务器，黑客的行踪就不易被追踪者查到，就可以在目标主机中为所欲为了。

（1）黑客信息的追踪：随着网络应用技术的发展，如何保护网络生活隐私越来越引起人们的重视，使用好代理攻击，实现通过跳板访问网络，就可以轻松实现这一目标。
1）使用网站定位IP物理地址。在网络上管理中，常常需要精确定位某个IP地址的所在地，实际上，使用一些简单命令和方法即可完成IP地址的定位。（www.ip.cn网站可查询IP地址）
2）使用使用网络追踪器追踪信息。(NeoTrace Pro v3.25是一款网络路由追踪软件，用户可以只输入阮成计算机的E-mail、IP位置、超链接URL等，其软件本身会自动帮助用户显示介于本机计算机与远程计算机之间的所有检点与相关的登录信息)。
（2）利用《代理猎手》查找代理服务器：《代理猎手》是一款集搜索与验证于一身的软件，可以快速查找网络上的免费Proxy。其主要特点是：支持多网段、多端口自动查询；支持自动验证并给出速度评价等。

章八木马病毒的防御与杀毒软件的使用

在网络中，木马病毒入侵是黑客最常用的入侵方法，从而影响网络和计算机的正常运行。木马病毒对计算机有着强大的控制和破坏能力，能够盗取目标主机的登录账户和密码、控制目标主机的操作系统和文件等。本章介绍木马病毒的防御与杀毒软件的使用，主要内容包括常见木马与病毒的攻击方法、常见杀毒软件的使用、病毒专杀工具的使用等。

章九网络流氓软件如间谍软件的清理

在上网的过程中，又是会出现网页一直在刷新，或根本不会出现想要的搜索的页面内容、上网速度很慢等一系列问题，这很可能是因为计算机感染恶意软件或间谍软件所导致的。
间谍软件：是一种能够在用户不知情的情况下，在计算机上安装后门、收集用户信息的软件。间谍软件以恶意后门程序的形势存在，该程序可以打开端口、启动FTP服务器，或者搜集击键信息并将信息反馈给攻击者。

章10可移动U盘的安全防护与病毒查杀

随着可移动硬盘、U盘等移动存储介质使用越来越广泛，它已经成为了木马病毒等传播的主要途径之一。
U盘病毒概述：
U盘病毒又称为autorun病毒，是依托U盘、移动硬盘等移动存储设备，通过形态为autorun名称的隐藏文件进行传播的，扩展名通常为inf、exe等几种。U盘并难度不但扰乱了计算机操作系统的正常使用，非法篡改、删除用户数据资料，而且可能会造成大规模的病毒扩散等现象。
U盘病毒的原理：U盘病毒利用了autorun.inf自动运行进行传播。病毒首先向U盘写入病毒程序，然后更改autorun.inf文件。Windows运行被更改的autorun.inf文件就会激活病毒。被激活的U盘病毒还会自动监测新插入的U盘，进行自身的复制和传播。
U盘病毒的特点：当用户在使用U盘等移动存储设备的过程中，发现打开U盘时的速度极慢，双击进入时总是显示被某程序占用之类的提示；或在U盘右键菜单中出现“自动播放”、Auto等选项时，则表明用户已经感染了U盘病毒。特性：传播速度快；隐蔽性高（U盘病毒本身是以“隐藏文件”形式存在的）；传播范围广。
常见的U盘病毒文件：
Adober.exe病毒，sxs.exe病毒，DOC.exe病毒，RavMone.exe病毒
通过WinRAR可以查看U盘隐藏病毒文件：在WinRAR的查看窗口中查看文件内容，如果显示内容中有一行为open=***.exe，则可判定已感染病毒，关闭查看窗口。在WinRAR窗口中右击autorun.inf文件，在弹出的快捷菜单中选择“删除文件”菜单命令，即可删除文件。

章11 磁盘数据的备份与恢复技巧

计算机系统中的大部分数据都存储在磁盘中，而磁盘又是一个极易出现问题的部件。为了能有效地保护计算机的系统数据，最有效的方法就是将数据进行备份，这样，一旦磁盘出现故障，就能把损失降到最低。
恢复文件的工具：
《数据恢复大师》、FinalData、EasyRecovery
清空回收站后的恢复:
当把回收站中的文件清除后，用户可以使用注册表来回复清空回收站之后的文件：
1)在运行菜单中输入regedit，打开注册表编辑窗口，展开HEKEY LOCAL MACHIME/SOFTWARE/Microsoft/Windows/Currentversion/Explorer/Desktop/Namespace树形结构，在窗口的左侧空白处右击，在弹出的快捷菜单中选择“新建”->“项”菜单命令，将其命名为“645FFO40-5081-101B-9F08-00AAA002F954E”在窗口的右侧选中系统默认项并右击，在弹出的快捷菜单中选择“修改”菜单选项，打开“编辑字符串”对话框，将数值数据设置为“回收站”，单击“确定”按钮，退出注册表，重新启动计算机，即可将清空的文件恢复。

章12 无线网络的组件与安全分析

无线网络，特别是无线局域网给人们的生活带来了极大的方便，为人们提供了无处不在、高宽带的网络服务，但是，由于无线信道特有的性质，是的无线网络连接具有不稳定性，且容易受到黑客的攻击，从而大大影响了服务质量。
无线网络分为狭义无线网络和广义无线网络。
狭义无线网络就是常说的无线局域网，是基于IEEE802.11b/g/n标准的WLAN无线局域网，具有可移动性、安装简单、高灵活性和高扩展性等特点。无线网络由（1）站点：网络最基本的组成部分，通常指的是无线客户端。（2）基本服务单元：网络最基本的服务单元。最简单的服务单元可以只由两个无线客户端组成，客户端可以动态地连接到基本服务单元中。（3）分配系统：分配系统用于连接不同的基本服务单元，分配系统使用的媒介逻辑上和基本服务单元使用的媒介是截然分开的，尽管他们物理上可能会是同一个媒介，如同无限屏道。（4）接入点（5）扩展服务单元（6）关口

章13 无线路由器及密码的安全防护

在无线网络中，能够发送与接收信号的重要设备就是无线路由器了，因此，对无线路由器进行安全防护，就等于看紧了无线网络的大门。
1.通过无线向导快速上网
2.网络参数与无线设置：路由器一般提供网络参数设置，其中包括WAN口设置、LAN口设置、MAC地址克隆，同时无线路由器还提供无线设置。
3.安全设置与家长控制：安全设置针对一些可能遭受的网络攻击进行防御，家长控制则可以设置未成年人浏览固定网页以及上网时间
4.上网控制与路由功能：上网控制可以对路由器的规划、主机列表、访问目标以及日程计划进行设置。
5.路由器系统工具的设置：路由器的系统工具主要用于路由器的控制管理，其中包括时间设置、诊断工具、软件升级、恢复出厂设置、备份和载入配置、重启路由器、修改登录口令、系统日志、流量统计等功能。
无线路由器的密码破解：无线路由器密码的安全强度是进入无线网络的关键，要想从无线路由器进入内网，就必须要知道无线路由器的密码，使用一些破解工具可以破解出无线路由器的密码。比如使用aircrack-ng工具可以破解WEP加密方式的无线路由器密码。破解之前，首先登陆无线路由器，将无线路由器的加密方式设置成WEP加密。
无线路由器的安全防护技巧：无线路由器本身自带安全设置选项，用过设置这些安全选项，可以提高无线路由器的安全性能，从而不受黑客攻击。