5.1 黑客

本小节简单介绍黑客的概念、起源、典型的黑客事件、黑客攻击的过程，重点学习黑客是如何攻击目标的。

5.1.1 黑客概述

“黑客”一词源自英文hacker。实际上，黑客（或骇客）与英文原文hacker、cracker等含义不能够达到完全对译。hacker一词，最初指热心于计算机技术、水平高超的计算机专家，尤其是程序设计人员。后来逐渐区分为白帽、灰帽、黑帽等，其中黑帽（black hat）实际就是cracker。在媒体报道中，黑客一词常指那些软件骇客（software cracker），而与黑客（黑帽子）相对的则是白帽子。

（1）黑客，是水平高超的计算机专家，尤其是程序设计人员，算是一个统称。

（2）红客，维护国家利益代表中国人民意志的红客，他们热爱自己的祖国、民族、和平，极力地维护国家安全与尊严。

（3）蓝客，信仰自由，提倡爱国主义的黑客们，用自己的力量来维护网络的和平。

（4）骇客，是“cracker”的音译，就是“破解者”的意思，从事恶意破解商业软件、恶意入侵别人的网站等事务，与黑客近义。其实黑客与骇客本质上是相同的，都是闯入计算机系统的人。黑客和“骇客”并没有一个十分明显的界限，随着两者含义越来越模糊，公众对待两者含义已经显得不那么重要了。

黑客似乎总是隐藏在角落里却看透整个世界，在网络中他们无所不能，如图5-1所示。

关于黑客的一些知名网站或文章，感兴趣的读者可以在黑客门网站中找到：http://www.hackerdoor.com/。但是提醒读者一点，不要做坏事，否则可能受到法律的制裁。

5.1.2 黑客实例——凯文·米特尼克

凯文·米特尼克（Kevin Mitnick）被称为世界上“头号计算机黑客”。图5-2为他本人的照片。

其实他的技术也许并不是黑客中最好的，甚至相当多的黑客们都反感他，认为他是只会攻击、不懂技术的攻击狂，但是其黑客经历的传奇性足以让全世界为之震惊，也使得所有网络安全人员丢尽面子。

图5-1 黑客

凯文·米特尼克的主要“成就”如下：他是第一个在美国联邦调查局“悬赏捉拿”海报上露面的黑客。15岁的米特尼克闯入了“北美空中防务指挥系统”的计算机主机，他和另外一些朋友翻遍了美国指向苏联及其盟国的所有核弹头的数据资料，然后又悄无声息地溜了出来。

这件事对美国军方来说已成为一大丑闻，五角大楼对此一直保持沉默。事后，美国著名的军事情报专家克赖顿曾说：“如果当时米特尼克将这些情报卖给克格勃，那么他至少可以得到50万美元（大约310万人民币）的酬金。而美国则需花费数十亿美元来重新部署。”

FBI甚至认为其过于危险，收买了米特尼克的一个最要好的朋友，诱使米特尼克再次攻击网站，以便把他抓进去。结果——米特尼克竟上钩了。但毕竟这位头号黑客身手不凡，很快发现了他们设下的圈套，然后在追捕令发出前就逃离了。米特尼克甚至在逃跑的过程中，还控制了当地的计算机系统，得以知道关于追踪他的一切资料。

他虽然只有十几岁，但网络犯罪行为不断，所以被称为“迷失在网络世界的小男孩”。米特尼克的圣诞礼物来自联邦通信管理局（FCC）。FCC决定，恢复米特尼克的业余无线电执照。从13岁起，无线电就是米特尼克的爱好之一。他仍然用自制电台和朋友通话。他认为，正是这一爱好引发了他对计算机黑客这个行当的兴趣。不过，这份执照恢复得也并不轻松，他必须交付高达1.6万美元（当时大约相当于9.9万人民币）的罚款。“这是世界上最贵的一份业余无线电执照，米特尼克说，“不过我仍然很高兴。”

“巡游五角大楼，登录克里姆林宫，进出全球所有计算机系统，摧垮全球金融秩序和重建新的世界格局，谁也阻挡不了我们的进攻，我们才是世界的主宰。”凯文·米特尼克曾这样说。

图5-2 凯文·米特尼克

5.1.3 黑客攻击的一般过程

早期的黑客攻击或入侵仅限于密码破解等简单的攻击，而最新的攻击方式多种多样，并且可以自动完成。如图5-3所示为黑客攻击的发展过程。

图5-3 黑客攻击的发展过程

成功的黑客攻击包含了五个步骤：搜索、扫描、获得权限、保持连接，消除痕迹。

第1阶段：搜索并确定目标

搜索可能是耗费时间最长的阶段，可能会持续几个星期甚至几个月。黑客会利用各种渠道尽可能多地了解企业类型和工作模式，包括下面这些信息：

●互联网搜索。

●社会工程。

●垃圾数据搜寻。

●域名管理/搜索服务。

●非侵入性的网络扫描。

这些类型的活动由于是处于搜索阶段，所以很难防范。很多公司提供的信息都很容易在网络上发现，而员工也往往会受到欺骗而无意中提供了相应的信息。随着时间的推移，公司的组织结构以及潜在的漏洞就会被发现，整个黑客攻击的准备过程就逐渐接近完成了。不过，这里也提供了一些保护措施，可以让黑客攻击的准备工作变得更加困难，主要是确保不会将信息泄露到网络上，其中包括：

●隐藏软件版本和补丁级别。

●隐藏电子邮件地址。

●隐藏关键人员的姓名和职务。

●确保纸质信息得到妥善处理。

●接受域名注册查询时提供通用的联系信息。

●禁止回应周边局域网/广域网设备的扫描企图。

要确定攻击目标的位置，首先要知道主机的域名或者IP地址。除此之外，还需要了解操作系统、所提供的服务等全面的资料，这就需要对目标系统进行详细的扫描。

第2阶段：扫描

一旦攻击者对公司网络的具体情况有了足够的了解，他或她就会开始对周边和内部网络设备进行扫描，以寻找潜在的漏洞，其中包括：

●开放的端口。

●开放的应用服务。

●包括操作系统在内的应用漏洞。

●保护性较差的数据传输。

●每一台局域网/广域网设备的品牌和型号。

在扫描周边和内部设备时，黑客往往会受到入侵检测系统或入侵防御系统的阻止，但情况也并非总是如此。经验丰富的黑客可以轻松绕过这些防护措施。下面提供了防止扫描的措施，可以在所有情况下使用：

●关闭所有不必要的端口和服务。

●关键设备或处理敏感信息的设备只容许响应经过核准设备的请求。

●加强管理系统的控制，禁止直接访问外部服务器，在特殊情况下需要访问时，也应该在访问控制列表中进行端到端连接的控制。

●确保局域网/广域网系统以及端点的补丁级别是足够安全的。

第3阶段：获得权限

攻击者获得了连接的权限就意味着实际攻击已经开始。通常情况下，攻击者选择的目标可以为攻击者提供有用信息，或者可以作为攻击其他目标的起点。在这两种情况下，攻击者都必须取得一台或者多台网络设备的某种类型的访问权限。

除了在前面提到的保护措施外，安全管理人员应当尽一切努力，确保最终用户设备和服务器没有被未经验证的用户轻易连接。这其中包括了拒绝拥有本地系统管理员权限的客户以及对域和本地管理的服务器进行密切监测。此外，物理安全措施可以在发现实际攻击的企图时，拖延入侵者足够长的时间，以便内部或者外部人员（即保安人员或者执法机构）进行有效的应对。

最后，应该明确的一点是，对高度敏感的信息来说进行加密和保护是非常关键的。即使由于网络中存在漏洞，导致攻击者获得信息，但没有加密密钥的信息也就意味着攻击的失败。不过，这也不等于仅仅依靠加密就可以保证安全了。

第4阶段：保持连接

为了保证攻击的顺利完成，攻击者必须保持足够长的连接时间。虽然攻击者到达这一阶段也就意味他已成功地规避了系统的安全控制措施，但被发现的可能性也增加了。

作为网络管理员，这一阶段的防御方法主要包括以下几种。

●对通过外部网站或内部设备传输的文件内容进行检测和过滤。

●对利用未受到控制的连接到服务器或者网络上的会话进行检测和阻止。

●检测连接到多个端口或非标准的协议。

●检测不符合常规的连接参数和内容。

●检测网络或服务器的异常行为，特别需要关注的是时间间隔等参数。

第5阶段：消除痕迹

在实现攻击的目的后，攻击者通常会采取各种措施来隐藏入侵的痕迹，并为今后可能的访问留下控制权限。

这一阶段对于管理员来说，要经常关注反恶意软件、个人防火墙和基于主机的入侵检测，禁止商业用户使用本地系统管理员的权限访问台式机。在任何不寻常活动出现后立刻发出警告，这些操作的制订都依赖于安全人员对整个系统情况的了解。因此，为了保证整个网络的正常运行，安全和网络团队与已经进行攻击的入侵者相比，至少应该拥有同样多的知识。