資訊 安全─入門手冊

資訊 安全─入門手冊第 3 章 駭客技術

第 3 章 駭客技術 如果沒有詳實介紹駭客技術，就不能算是一本完整探討網路安全技術的書。 在過去，『駭客』一詞並無任何負面的涵意，反而是從事資深電腦工作的代名詞。 本章內容如下：

3-1 駭客的動機 3-2 駭客技術的歷史 3-3 學習進階技巧 3-4 確認惡意程式碼 3-5 識別非目標型駭客的方法 3-6 識別目標型駭客的方法

但為求統一且符合本章的主題，還是以『駭客』表示意圖侵入他人電腦，或破壞、妨礙、干擾他人電腦運作的人。

駭客特質的調查結果如下： 男性 介於 16 歲到 35 歲之間 性格較為孤僻 聰明無比 技術十分精通

3-1 駭客的動機 動機是瞭解駭客的關鍵要素，也可得知他們嘗試入侵的目的。 瞭解駭客的動機，同樣也可以幫助我們瞭解為何電腦會引起駭客的興趣。 本節的內容如下：

3-1-1 挑戰 3-1-2 貪婪 3-1-3 惡意（ Malicious Intent ）

3-1-1 挑戰 入侵他人電腦最原始的動機就是為了『挑戰』，這也是目前入侵他人電腦最常見的原因。 入侵電腦系統不一定是要炫耀自己入侵了防護非常周全的系統，而是駭客與駭客之間的競賽。 以挑戰為動機的駭客通常都沒有特定的目標。

近來常見的 Hactivism 或入侵公有資產。 Hacktivism 可能帶有政治動機，且原因通常是司法不公所引起的。但由於這種動機容易誘惑一個人的良知和本性，也使得 Hacktivism 更具潛藏的危險性。關於 Hacktivism 更詳細的資訊，請參考 http://hacktivism.com/ 。

3-1-2 貪婪 貪婪是最原始的犯罪動機之一。 不論是牟取金錢、立意良好、服務或資訊等，只要是希望滿足個人慾望皆屬此種動機。 若能確認入侵事件，大多數的組織都會修補導致入侵的安全弱點、重整系統然後繼續作業。 因貪婪而犯罪的駭客通常心中都有特定的目標。也就是說，具有某種價值（軟體、金錢、資訊）的站台，都會是他們的主要目標。

FBI已針對商業和執法單位進一步聯繫，並展開一套用來改善犯罪活動報告的 Infragard計畫（詳見 http://www.infragard.net/ ）。這個計畫主要支援有興趣的成員，分享及分析資訊的結果。 Infragard提供組織更多執法單位的運作方式，並共享現有的資訊。

3-1-3 惡意（ Malicious Intent ）

惡意或蓄意是入侵的最後一種動機。控制系統（為日後繼續破壞留下後路）並不是駭客的主要目地。 駭客會設法阻斷合法使用者使用系統，或變更網頁的訊息藉此傷害合法的擁有人。 惡意攻擊會鎖定特定目標，駭客也會積極尋求一些傷害特定站台或組織的方法。

3-2 駭客技術的歷史 本節將用與與眾不同的觀點和角度，評估駭客所使用的技術，探討駭客技術的歷史。 本節的內容如下：

3-2-1 開放共享 3-2-2 密碼問題 3-2-3 程式設計的缺失 3-2-4 社交工程 3-2-5 緩衝區溢位 3-2-6 阻斷服務

3-2-1 開放共享 在 Internet創始之初，主要是希望各研究機構能夠共享資訊和合作成果。因此，大多數研究機構的系統都設定成共享模式。 在 Unix 系統中，廣泛使用網路檔案系統

（ Network File System ， NFS ）， NFS允許一部電腦跨越網路掛接（ mount ）另一部電腦的磁碟機。 就像跨越區域網路掛接一般， NFS 也可以跨

越 Internet 進行掛接檔案系統。

透過 NFS 的檔案共享，是最先遭到某些駭客入侵成功並取得資訊的存取權。他們單純地掛接遠端磁碟機，並讀取磁碟機的資訊。 NFS利用使用者的識別碼編號（ UID ），管制存取磁碟機內的相關資訊。 若駭客成為系統的超級使用者（ root ），並掛接遠端的根檔案系統（ root file system ）時，駭客就可以變更遠端系統的組態設定檔（詳見

圖 3-1 ）。

圖 3-1 使用 NFS存取遠端系統檔案 若適當設定組織外部防火牆的規則，也可阻擋大多數的檔案共享（詳見第 10 章）。若在這種情況下，即使系統設定錯誤也仍然可以阻止檔案共享。

Unix 系統並不是唯一具有檔案共享漏洞的系統。 Windows NT 、 95 、 98 ，也都有檔案共享的問題。 這些作業系統都允許遠端掛接系統本身的檔案系統。 若使用者決定需要共享檔案時，也很容易對全世界開放他們的檔案系統。

例如 Gnutella 這類新的檔案共享系統，允許內部系統和其他網際網路的系統建立檔案共享。此種系統可以設定使用的連接埠編號，且通常設定成防火牆允許通過的連接埠編號（例如連接埠 80 ）。這種檔案共享模式和 NFS 、 Windows檔案共享具有相同的危險性。

遠端信任存取（ trusted remote access ，實際上還是在系統間共享存取）與開放共享和組態設定錯誤，都是屬於相同類型的問題。 系統管理員和使用者的系統之間，向來都是使用 rlogin（無須密碼的遠端登入）。 rlogin允許使用者存取許多系統，而不需重覆輸入他們的密碼。 .rhost 和 host.equiv檔案，控制哪些人無需輸入密碼即可存取系統。

若使用檔案共享，防火牆也可用於阻止來自網際網路的遠端信任存取。然而，外部防火牆也無法阻止內部網路的共享存取，因而檔案共享也是屬於安全問題的一種。

3-2-2 密碼問題 截至目前為止，密碼仍是最通用的認證模式，或許簡單的密碼也是大多數駭客成功入侵系統的原因。 大多數系統使用密碼做為預設的身份認證方式，且無須增加額外的成本。 使用密碼的附加效益，就是使用者們都瞭解如何使用使用密碼來進行身份認證。 密碼太短會讓駭客能用『暴力破解法』破解密碼。 密碼的另一個問題就是太容易被猜到。密碼沒有經費問題。大多數作業系統允許系統管理員設定密碼的驗證條件，這些條件也都可以解決密碼太過簡單的問題。然而，針對密碼太簡單的問題，員工良好的安全認知才是真正的解決之道。

3-2-3 程式設計的缺失許多時候駭客也會利用程式設計缺失的安全弱點，例如在程式內預留未來再度進入系統的後門，像 Sendmail早期的版本就是屬於程式設計的缺失。 近來興起的 Web站台程式設計，思慮不週產生了新型的程式設計缺失，這些新型的缺失多半發生於購物站台。 程式設計師不應該將這類資訊放在網址之中（例如 URL字串），而讓客戶取得修改資訊的機會，且在資訊回到後端之後也必須重新查驗資訊的內容。

3-2-4 社交工程社交工程（ social engineering ）是利用非技術性手段，獲得存取資訊或系統的機會。 不同於利用安全弱點或攻擊程式碼（ script ）的手段，駭客利用人性的弱點。 和善的聲音及說謊的能力是執行社交工程最具殺傷力的武器。 社交工程的其他類型，包含翻找公司的垃圾和資源回收（倒出來找）、利用公開資訊（例如

Web站台、證交委員會歸檔資料、廣告）、直接竊取或冒用身份等。

對目標而言，社交工程最具滲透力，但也需要時間和天分。 特定目標才會是駭客使用社交工程的主因。

警覺心是防範社交工程的最佳方法。訓練服務台的員工，在碰到類似的情況時該如何應對進退、在提供密碼、接觸相關資訊之前，該如何驗明員工的身份。同樣的，也要教導所有的員工識別辦公室裡的人，以及處理各種不同的情況。

3-2-5 緩衝區溢位緩衝區溢位是駭客可以利用的程式設計缺失之一（下一節會詳細解說緩衝區溢位的運作方式）。緩衝區溢位比密碼問題或組態設定錯誤更難找，有經驗的人才能找到緩衝區溢位的問題。 大多數緩衝區溢位的 script ，允許駭客建立其他存取目標系統的方法。緩衝區溢位並不侷限在存取遠端系統。 在使用者的電腦系統上，緩衝區溢位也可用來更新使用者的存取等級。

什麼是緩衝區溢位 緩衝區溢位就是嘗試在電腦的記憶體之中，塞入過多的資訊。 若試著將大量的資料塞入變數，最後就有可能覆蓋掉一些系統操作的重要資料。 在緩衝區溢位的案例中，記憶體堆疊（ stack ）是筆者特別有興趣的部分，在堆疊裡儲存的是下一個執行函式的記憶體返回位址（ return address ）。

許多 C語言公用字串複製函式，不會預先檢查字串長度。如strcat() 、 strcpy() 、 sprintf() 、 vsprintf() 、 scanf() 、和 gets()公用函式，都不會預先檢查複製資料的字串或緩衝區容量。

圖 3-2 緩衝區溢位運作方式

研究程式的原始碼，也可以找到緩衝區溢位的問題。 事後辛苦不如事前謹慎，程式設計師若能及早避免此類問題，也可免去日後除錯的困擾。

某些自動化的 script ，可用來找尋潛藏的緩衝區溢位問題。像是SPLINT （ http://licint.cs.virginia.edu/ ），可用在程式碼編譯之前預先檢查緩衝區溢位的問題。

3-2-6 阻斷服務阻斷服務攻擊是一種用來阻止合法使用者，存取系統、網路、應用程式或資訊的惡意行為。 從單一系統到多系統的攻擊，都屬 DoS 的攻擊的型式。 就像無法百分之百阻止 DoS攻擊一樣，沒有一套來源系統（或系統）可以完全阻止這類攻擊。 DoS攻擊並不是只有電腦世界才會發生。

單一來源阻斷服務攻擊 DoS攻擊的第一種類型就是單一來源攻擊

（ Single Source DoS Attack ），也就是說發動攻擊時會造成另一部系統毀損。 目前最常聽到的 DoS攻擊稱為 SYN （同步字元）溢位（詳見圖 3-3 ）。 來源系統對目標系統傳送大量 TCP SYN封包， SYN封包是用來做為起始新的 TCP連線用途。 當目標系統收到 SYN封包時，就會自動回傳

TCP SYN ACK封包，並回傳連線設定資訊。

圖 3-3 SYN 溢位 DoS攻擊

目前，已有多種適當防護系統免於 SYN攻擊的解決方案。 最簡單的方式就是在等候連線緩衝區設置計時器，也就是在時限之後自動失效。 若適當執行 DoS攻擊就必須調短計時器的時間，但卻會造成系統無法使用的困擾。 許多網路系統具有識別 SYN溢位和阻絕的能力，這些系統會在提出連線需求一段時間之後，找尋、確認仍未連線的需求。 但若同時受到圍攻時，也就無法正確辨認是否受到攻擊。

在 SYN溢位攻擊之後，雖然更容易防範其他已知的攻擊類型，但危險程度也相對地提高。 Ping of Death 只是 DoS攻擊的代表作之一。這些攻擊的目標都是針對系統或應用程式的安全弱點，並在攻擊之後造成目標系統或應用程式失去效用。 快速地修補系統的安全弱點，也就可以適當地防範這種類型的攻擊。

不幸的是，最近又產生一些針對應用程式和作業系統的新型 DoS攻擊。因此，要隨時修正系統或應用程式的安全弱點，才能快速阻止新型的 DoS攻擊。

分散式阻斷服務攻擊 分散式阻斷服務攻擊（ Distributed DoS

attacks ， DDoS ）是多部系統對單一目標同時發動 DoS攻擊。 DDoS攻擊通常是由單一駭客和一部主要系統控制組成。 這類攻擊非常單純，駭客對大型網路的廣播位址傳送 Ping封包，但卻給予假的來源位址（詳見圖 3-4 ），此種特定的攻擊類型稱為

Smurf攻擊。 若中間網路含有大量系統，就會對目標系統回傳大量封包，進而導致目標系統癱瘓、毀損。

圖 3-4 Smurf 如何運作

圖 3-5 DDoS 工具程式的攻擊架構

3-3 學習進階技巧 現今曾見過的許多攻擊，都是由” Script

Kiddie” 所發動 ─ 在網際網路上發現攻擊程式的人，並且會對他們找到的系統發動攻擊。 這些都是簡單的攻擊技巧，而且都不需要高深的知識或指引。 系統、網路和目標系統等，都需要更多深入的知識和其他技巧。 本節的內容如下：

3-3-1 竊聽（ Sniffing ）交換式網路 3-3-2 偽裝 IP位址

3-3-1竊聽（ Sniffing ）交換式網路 駭客或破解者也曾利用監聽器（ Sniffer ），從網路擷取密碼或其他與系統相關的資訊，最後的結果就是癱瘓目標系統。監聽器將網路卡（ Network Interface

Card ， NIC ）設定成混雜模式 (promiscuous mode) 後，即可從網路擷取密碼或其他相關資訊。

在交換式的網路環境中，大多數的封包不會廣播到所有系統，而是直接傳送到目標系統。適用交換式網路環境的監聽器，請參考 http://

ettercap.sourceforge.net/ 。

駭客必須做到下列其中一項，才能讓監聽器適用於交換式網路環境： 確認可將交換式網路的流量，直接轉送給監聽器。 使網路交換器將所有的流量，送到所有的網路連接埠。

流量轉向 網路交換器根據乙太網路（ Ethernet ）訊框

（ frame ）之中的媒體存取控制（ Media Access Control ， MAC ）位址，將流量直接傳送到網路連接埠。

每組網路卡都擁有唯一的 MAC位址，網路交換器也都知道每組網路卡的 MAC位址在哪個網路連接埠上。 若想將訊框傳送給特定目標的 MAC位址，網路交換器會將訊框直接傳送到該MAC位址所屬的網路連接埠。

將網路交換器的流量轉送至監聽器的方法如下：偽裝 ARP複製MAC偽裝 DNS

偽裝 ARP

ARP 是位址解析協定（ Address Resolution Protocol ）的縮寫，這是用來取得和特定 IP位址相關的 MAC位址。

當系統傳送資料給另一部系統時，傳送端會將ARP 要求先傳給目標 IP位址。

目標系統會回應本身的 MAC位址，接著傳送系統就能使用該MAC位址直接傳送流量到目的地。偽裝 ARP 只能在本地網路的子網路工作，這是因為 ARP 訊息不會送到子網路之外。因此，監聽器必須安裝在傳送端或目標系統相同的子網段中。

複製MAC

讓網路交換器將流量轉送給監聽器的另一種方法，就是利用監聽器複製目標系統的 MAC位址。 駭客必須將監聽器的 MAC位址變更成與另一部系統使用相同的 MAC位址。

一般都認為變更 MAC位址是不可能的，但這並不是個問題。舉例來說，在 Unix 系統上利用 ifconfig命令，就可以改變MAC位址。在Windows 系統下，也有可以用來改變MAC位址的工具程式。

偽裝 DNS

將網路交換器的流量送到監聽器的第三種方法，就是偽裝傳送系統，並將流量傳送給監聽器所在的 MAC位址。 監聽器必須知道所有的 DNS 要求，並在真正的 DNS系統回應之前搶先回應。 若傳送系統所在的本地子網路沒有 DNS 系統，監聽器成功的機率會更高。

雖然監聽器也能透過 Internet看到傳送系統的請求，但若監聽器和傳送系統相距甚遠，監聽器也很難保證能在第一時間回應。

傳送所有流量至所有連接埠 除了『偽裝 ARP 』、『 DNS回應』、『複製

MAC位址』之外，可以嚐試將所有的流量傳送給所有的連接埠。 在執行之後，網路交換式器就失去交換的功能，而且運作模式就像媒體共享的集線器一樣。 每一部網路交換器，都可以記憶、儲存連接至網路交換器實體連接埠上，一定數量的 MAC位址但記憶體的數量仍是有限。

達成攻擊 在偽裝 ARP 、複製MAC 、偽裝MAC 等案例中，駭客必先連線到網路交換器才能進行攻擊。 在偽裝 DNS 的案例中，也是需要連線才能進行攻擊。 必要條件 ─ 駭客的電腦已連上本地網路的網路交換器。

3-3-2 偽裝 IP位址 駭客可以修改封包內的來源位址，並產生看似來自任何 IP位址的封包。回傳封包時（例如

TCP連線的 SYN ACK封包）不會回到傳送的設備上。 試圖冒充 IP位址而建立 TCP連線，是一件非常困難的事。 TCP 標頭內含一連串用於確認封包的佇列號碼 。 在建立新的連線時，都會隨機產生初始序號

（ Initial Sequence Number ， ISN ）。

細說偽裝 IP位址攻擊 圖 3-6即為偽裝 IP位址攻擊的細節。首要步驟，駭客必先確認目標。 在確認目標之時，須決定 ISN 的增量。不需要做任何事，只要連續和目標進行合法連線，就會自動回傳可供判定的 ISN 。 在合法連線時，由於目標會得知駭客的 IP位址，這時才有風險。 在建立 ISN增量數值之後，駭客即可使用冒充的 IP位址對目標傳送 TCP SYN封包，目標系統也會將 TCP

SYN ACK封包，回傳給冒充的 IP位址。

圖 3-6冒充 IP

在真實世界利用偽裝 IP位址 偽裝 IP位址可讓一部電腦系統以為正和另一部電腦系統交談。 在系統上使用 rlogin 或 rsh 之後，來源 IP位址為判斷能否使用這類服務的重要關鍵。遠端主機允許建立連線就稱為『信任』。倘若我們利用偽裝 IP位址來欺瞞目標主機，並讓目標主機認為我們是屬於可信任的系統時，或許就可以成功破解目標系統。

圖 3-7 在真實世界使用冒充 IP

3-4 確認惡意程式碼 對大多數的組織、個人或一般用戶來說，惡意程式碼持續造成相當大的安全問題。 惡意程式碼涵蓋下列三種不同類型的程式：

電腦病毒 特洛依木馬程式 蠕蟲

本節內容如下： 3-4-1 病毒

特洛依木馬 蠕蟲 Slapper蠕蟲範例 混合體

3-4-1 病毒 電腦病毒是一種附掛在其他可執行程式的程式碼。病毒本身並沒有單獨存在的結構。 在執行附加病毒的程式之後，病毒碼就會執行預設的動作，這些動作包含將自己散播到其他程式或磁碟之中。某些病毒更惡毒，不但會刪除檔案還可能造成電腦毀損。但某些病毒除了將自己散播到其他系統之外，並不會執行任何惡意的動作。

電腦病毒最早出現於使用磁碟作業系統（ Disk Operating System ， DOS ）的電腦上（跟Denial-of-service ， DoS 不同）。

病毒透過 BBS 或磁片的檔案散播。後續的病毒更將自己附掛到文書處理檔案中，並成為文書處理的巨集（ Macro ）語言執行的一部份。 所有惡意程式碼的類型，多半都是指電腦病毒。當讀者聽到這類的新聞時請記得這段描述，並試著瞭解這些程式的功能並正確的分類。另外依據不同功能的惡意程式碼，實際上都會影響保護機制的類型。

特洛依木馬 特洛依木馬程式會將自己惡毒的本性，隱藏在某些有用或讓人產生興趣的程式之中。 特洛依木馬是一種完整且自行操控的程式，設計用來執行某些惡意動作。它會讓自己引起某些使用者的興趣，例如新功能或使用者想要閱讀的電子郵件。 大多數特洛依木馬，都含有將自己散播到新受駭者的機制。

蠕蟲 蠕蟲就像命名一樣，不需要透過受駭者，也一樣可以從一部電腦系統爬到另一部電腦系統。 蠕蟲不但會自我複製，同時也會自我散播，只要一部電腦中了蠕蟲，就會自動蔓延到其他系統，它所需要的只是製造者開始這個動作。 已知最早的例子，是由 Robert Morris 在 1989年製作的網際網路蠕蟲。

原版的 CodeRed 程式，在選擇下一個攻擊目標方面有些問題存在。但稍後的版本修正了這個問題，並允許快速散播蠕蟲。到現在仍然可以看到受 CodeRed感染的系統正在掃描可以網際網路上的系統。

Morris蠕蟲原本是計畫探查大量電腦系統安全弱點（包含密碼問題）。利用這些安全弱點，就可以探查、入侵網際網路上的系統。 在進入系統之後，立即開始找尋其他的受駭者，且癱瘓網際網路也是它的目標（使的網際網路的規模變得更小，許多站台紛紛關站以保護自己）。

Slapper蠕蟲範例 2002 年 9月，網際網路出現了 Slapper蠕蟲。這隻蠕蟲有潛在的危險，雖然現在沒有造成重大災害，但未來卻可能會。 Slapper蠕蟲會探查 Apache Web伺服器內， OpenSSL模組的安全弱點（ OpenSSL提供

Apache Web伺服器使用 HTTPS 的能力）。 一旦入侵系統，它會從自己的程式碼清單中，選擇、攻擊下一個 Class A 網路的 IP位址。 Slapper接著會探查目標 IP位址，看看是否已經執行

Web伺服器。若是，就檢查是否在 Intel平台上執行的Apache （主要利用 Intel平台 Apache伺服器的特定安全弱點）。

最後，若找到目標的安全弱點就會發起攻擊。

連接埠 443執行的 HTTPS 服務是蠕蟲攻擊的目標。由於流量已經加密過，因此想要偵測攻擊是難上加難。 檢查在連接埠 80執行的 HTTP 也含有安全弱點時，就很容易找到這隻蠕蟲。 這隻蠕蟲會利用命令模式（ command shell ），探查執行的目標系統，並利用命令模式將自己複製到目標系統上、重新編譯，最後執行新的二進位程式碼。 接著，蠕蟲開始找尋新的受害者並重覆前述的動作。

或許 Slapper 最大的致命點（可能會是蠕蟲未來的關鍵因素） ─ 本身的通訊能力。 Slapper 使用點對點（ peer-to-peer ）通訊模式取代階層式通訊模式（詳見圖 3-6 ）。 每一個受感染的系統，會利用 UDP 和其他系統（感染者和其餘兩部受感染的系統）交談。倘若透過此種機制收到命令，也會將命令傳送給其他感染點。 原始的蠕蟲會協調產生 DoS攻擊。 如果有人將此功能關閉，由於其網路連線類型和通訊機制，將能夠有效的隱身於系統與網際網路之中。

混合型 (Hybrid)

近來，我們看到開始將兩種惡意程式碼結合成單一程式的混合體。 混合型的運作模式非常類似蠕蟲和特洛依木馬。 Nimda （寧達病毒）就是最好的範例，它會利用Web伺服器的安全弱點，像蠕蟲一樣從一部系統自動蔓延到另一部系統。 Nimda 也會利用電子郵件附加檔案散播，並以各種方式誘導使用者開啟附加檔案。 一旦開啟郵件的附加檔案，病毒就會透過電子郵件散播，也會利用受害者的系統攻擊Web伺服器。

3-5 非目標型駭客所使用的方法 非目標型駭客不會尋找特定組織或資訊的存取權，反倒是任何他們可以染指的系統。 這類駭客的技術水準從生手到頂尖高手都有，取得系統存取權的挑戰是這類駭客的主要目標。 本節的內容如下：

3-5-1 目標 3-5-2 勘查 3-5-3 攻擊方法 3-5-4 使用受駭系統

3-5-1 目標 非目標型駭客會找尋任何可以找到的系統，通常也不會先確認目標。偶而會隨興從網路或網域名稱找尋目標，或突然連接到別人的無線網路也可能是選擇目標的原因。

3-5-2 勘查 非目標型駭客會採用多種方式勘查目標系統。 不管目標是否正在網路上運作，有時候也不會事先勘查而直接發動攻擊。 通常在已破解的系統上執行勘查，才不致直接追蹤到該駭客。

勘查網際網路 電話勘查勘查無線網路

非目標型駭客經常針對一定範圍的 IP位址執行秘密掃瞄（ stealth scan ，也稱為 IP half scan ），看看有哪些系統正在運作。

根據掃瞄的結果和找到正在運作的系統之後，也會試著確認這些系統提供的服務。 秘密掃瞄有時也會搭配 ping sweep掃瞄特定範圍的 IP位址。 在駭客執行秘密掃瞄之後，一般會對目標 IP位址傳送

TCP SYN封包，並等候目標 IP位址回應 TCP SYN ACK封包。

若接收到回應封包，會在連線完成（詳見圖 3-8 ）之前，立即送出 TCP RST封包中斷連線。

圖 3-8秘密掃瞄

其他類型的秘密掃瞄，可確認目標系統開啟的連接埠。大多數執行這種掃瞄類型的案例中，都是對特定連接埠突然傳送封包。若是已經關閉的連接埠，會回應 RST封包。若是已經開啟的連接埠，就不會收到任何回應。

圖 3-9 重置掃瞄

電話勘查 勘查並不侷限在勘查網際網路位址。 Wardialing 是駭客用來識別潛在受駭者的另一種方法，這是利用測試受駭者系統，是否已經安裝回應撥入電話的數據機。 駭客也會利用電腦大量播出電話號碼，找尋數據機的載波信號。

勘查無線網路 越來越多組織和家庭使用者使用無線網路和技術，但無線網路勘查也隨之產生。 Wardriving 是一種新型的入侵類型，這是指探查電腦和無線網路存取點的周邊環境，最後即可辨識辨識無線網路。 這種類型的勘查方式之中，也包含了使用 GPS接收器記錄無線網路的所在地。 在辨識出無線網路之後，駭客就會透過無線路連上網際網路攻擊其他站台，如此就會難以追蹤這種攻擊類型的駭客。

3-5-3 攻擊方法 一般來說，非目標型駭客會有單一到數種攻擊方法。 駭客利用前述的勘查方法確認目標，並找尋含有可利用漏洞的系統。 若找到含有安全弱點的系統時，就會加以利用。大多數非目標型駭客也會辨識個人的系統，一次嘗試探查一個系統。 大多數駭客高手，也會利用勘查工具程式來確認許多含有安全弱點的系統，並撰寫可在短時間內入侵所有系統的 Script 程式。

3-5-4 使用受駭系統 駭客通常會在入侵系統後留下一個後門，以便日後再次入侵。這些後門集合通稱為 rootkit 。 在 rootkit 之中，也會含有特洛依木馬的二進制碼系統版本，如此可防止駭客暴露身份。某些駭客也會關閉系統的安全弱點，來防止其他駭客侵入、控制『自己的地盤』。 駭客或許也會將系統密碼檔案複製到其他系統，所以也能破解密碼。 一旦順利破解，就有可能利用感染的系統攻擊其他系統，或以此做為勘查的基地。

一旦系統遭受感染，攻擊者可在每一部系統上，執行下列三項工作的 Script ： 關閉允許進入系統的安全弱點。 在 inetd 內載入後門程式，以便攻擊者再次進入系統。 在系統上執行密碼監聽器（ password sniffer ）。

Script 程式的類型越來越多。除此之外，這些 Script 的運作模式和蠕蟲極為相似，也會回報給 Script 原創者。這也顯示了日後一定會再發生前述的攻擊模式。

3-6 識別目標型駭客的方法 標型駭客會試圖成功滲透或重創特定組織。 目標型駭客會針對特定組織的動機，主要是希望取得目標組織所擁有的事物（通常是資訊）。 本節內容如下：

3-6-1 目標 3-6-2 勘查 3-6-3 攻擊方法 3-6-4 使用受駭系統

3-6-1 目標 此種駭客選擇目標是有原因或理由的。 或許是駭客覬覦目標的資訊、或是他人雇用駭客從目標取得某些資訊。 不論何種原因，組織即為目標，而不會是組織內的某一個系統。

3-6-2 勘查 目標型攻擊具有幾種勘查方式：

勘查 IP位址勘查電話號碼勘查系統勘查職務 實際勘查

勘查 IP位址 勘查 IP位址只是單純地看看目標系統用了哪

些 IP位址。 從網址就可以得到資訊。利用 DNS辨識目標組織的 Web伺服器。 DNS 也會提供目標網域的主要 DNS伺服器位址，以及郵件伺服器位址。

美國網際網路註冊編號（ American Registry of Internet Numbers ， ARIN ， http://www.arin.net/ ）取得位址，也會列出組織所擁有的位址。

透過 ARIN 的名稱搜尋，也可以找到目標組織所擁有的其他位址區段。 Network Solution （目前屬於 VeriSign 的部門之一， http://www.networksolutions.com/ ）網站，也可以利用文字搜尋組織附屬的網域名稱。 利用目標網域主要 DNS伺服器執行區域傳輸 (Zone

Transfer) ，也可取得更多目標組織相關 IP位址的資訊。

透過這些技巧，駭客握有目標組織配置的網域清單、所有 Web伺服器位址、所有郵件服務位址、主要 DNS伺服器位址、目標組織擁有的 IP位址範圍，甚至也可能取得所有使用中的位址。

將 DNS伺服器設定成拒絕區域傳輸， DNS 也就不會提供相關的資訊。

勘查電話號碼 勘查電話號碼比勘查目標組織擁有的網路位址更難。 查號台可用來查詢目標組織的主要號碼，目標組織的 Web站台可能也可以找到某些電話號碼，許多組織會將聯絡電話或傳真機號碼列在網站上。 駭客需要判斷目標組織的電話號碼範圍和數量，然後再使用撥號戰爭軟體針對特定範圍撥號。

勘查無線網路 和找尋屬於電腦系統專用電話號碼一樣的手法，駭客必須檢查無線網路的涵蓋範圍（停車場、大樓的其他樓層、街道上等等），才能判斷目標組織是否使用無線網路。 駭客僅需要繞著大樓步行或駕車，就可以簡單地完成勘查動作。 任何人試圖和無線網路連線並不會產生記錄。

這種勘查方式需要駭客實際接近目標組織。

勘查系統 對於目標型駭客來說，勘查系統是最危險的一環，不僅僅會被識破和逮捕，也會驚動目標組織。勘查系統可用來確認系統的類型、正在執行的作業系統，和這些系統可能會有的安全弱點。 駭客或許會使用 ping sweep 、秘密掃瞄，或連接埠掃瞄來確認系統。倘若駭客希望行蹤更加隱匿，撥號或秘密掃瞄速度會非常慢，才會產生最佳的效果。

作業系統的辨識掃瞄很難隱匿行蹤，因為大多數工具程式的封包特徵都已經不是秘密，況且入侵偵測系統（ Intrusion Detection System ， IDS ）也會確認任何企圖。 對於駭客來說，確認安全弱點更具危險性。執行攻擊或調查系統現有的安全弱點，都可以找出系統安全弱點。 利用郵件伺服器或 DNS伺服器的版本編號，也可能藉以找出任何已知系統的安全弱點。 若駭客選擇使用安全弱點掃描器，就必須關掉入侵偵測系統的警示功能。

勘查職務 對於駭客來說，瞭解目標的職務是非常重要的一環。 駭客希望瞭解目標如何使用電腦系統，重要資訊放在哪裡及專業能力。 這些資訊都可以提供駭客找到類似的對象。 除了得知目標如何執行工作之外，駭客也要知道哪一種方式可以重創目標。 任何組織的部分職務模型，也能找到員工的職位和負責的工作。 針對組織勘查職務的最後一部份，就是調查員工。許多組織會在 Web站台提供許多重要員工的資訊。

實際勘查 大部分非目標型駭客都不會使用實體勘查，但目標型駭客卻經常會使用實體勘查。 在許多案例中，實際手段允許駭客取得資訊或系統的存取權，因此駭客不需要破解組織內電腦系統的安全機制。 駭客可能會選擇觀察大樓，或是觀察如存取控制設備、攝影機和守衛等這些實體安全措施。

駭客也會觀察訪客進入大樓的流程、員工何時會出外抽煙等等。 實體勘查可能會發現進入大樓時，可供利用最薄弱的實體安全環節。 駭客可能也會調查垃圾和紙類回收資源的處理方式。若紙類是放在大樓後方的回收車，駭客可能會利用晚上翻找他所想要的資訊。

3-6-3 攻擊方法利用收集到的目標組織相關資訊，駭客會選擇風險最低的途徑。 我們必須注意到目標型駭客會對一些平常不會去注意到的地方感到高度的興趣。 駭客不會選用會引起警報的攻擊方法。攻擊方法如下：

電子攻擊法 實體攻擊法

電子攻擊法 駭客會充分掌握組織所有對外的系統，和所有內部連線的系統。 在勘查目標組織期間，駭客就已經確認系統的安全弱點。 若目標組織已經設置某些類型的入侵偵測系統，選用任何一種攻擊法都會產生風險。利用已知的攻擊法，可能會觸發入侵偵測系統而產生某些類型的回應動作。

如果駭客選擇撥入存取（ dial-in access ），會找尋最容易猜到或沒有密碼的帳號，而遠端控制或管理系統都是首要目標。 如果駭客找到可以入侵成功的員工家用系統時，駭客可能會直接攻擊，或選擇對該名員工傳送含有病毒或特洛依木馬程式的郵件。 如果確認有無線網路可以使用，那麼駭客便找到了最容易存取的途徑。

實體攻擊法夜晚翻找並調查組織的垃圾箱，是最容易的實體攻擊法。如果找不到有用的資訊，可能也會利用社交工程攻擊取得資訊。社交工程是最安全的實體攻擊法，且可能導致電子資訊存取攻擊。駭客可能使用勘查職務或從垃圾桶取得有用的資訊。 最危險的方式實體攻擊類型，就是實體入侵目標組織。因為這種攻擊不屬於本書的探討範圍，所以直接略過細節不談，但仍是有決心的駭客會使用的方法。

3-6-4 使用受駭系統 目標型駭客侵入受駭系統後，會盡可能的藏匿其蹤跡。 這類駭客不會誇耀他們的成果，但可能利用一部受駭系統做為存取機密資訊系統的跳板。 這類的嘗試必須安靜無聲，以免驚動系統管理員。

專案實作 3 ：實際勘查您的站台 此一專案主要是讓你知道，駭客可能會調查組織類似的 安 全 弱 點 。假設你已經從 http://

www.insecure.org/ 和 http://www.nessus.org/這 兩 個 站 台 ， 下 載 完 成 並 安 裝 了nmap 、 Nessus 。

專案實作步驟 1.　首先，確認組織 Web伺服器使用的 IP位址。進入命令提示模式並輸入『 nslookup <Web伺服器的名稱 > 』。接著就會取得 Web伺服器使用的

IP位址。 2.　確認組織郵件伺服器使用的 IP位址。也是進入命令提示模式並輸入『 nslookup 』。在程式執行之後，輸入 set type=mx 然後按下 Enter 鍵，再輸入 < 網域名稱 > 並按下 Enter 鍵。接著就會取得主要和次要郵件伺服器 IP 的位址。 3.　開啟瀏覽器並輸入 http://www.arin.net/ ，然後在 whois欄位輸入 IP位址並執行 whois search 。接著就會回傳關於擁有者的位址區段。

4.　你也可以在 whois欄位輸入組織的名稱，然後就會取得分配給組織的所有 IP位址。 5.　輸入 http://www.networksolutions.com/網址，並點選上方的 whois超連結，在 Enter

a domain name欄位輸入網域名稱。回傳的資訊包含組織的所在地和主要的網域伺服器等等。 6.　如果已經安裝 nmap ，就可以使用 ping

sweep 或秘密掃瞄等掃瞄你已經確認的位址範圍。可以取得更多線上主機的資訊。記住，若系統受到防火牆的保護，連接埠掃瞄會花上一點時間。

7.　如果已經安裝 Nessus ，即可使用安全弱點掃瞄已經確認的主機。在執行之前，記得通知安全和系統管理員，並確認不會引起意外事件。

實作摘要 本實作主要提供一些關於組織 IP位址範圍和系統的基本資訊。步驟 1 ～ 5 不會對組織的系統造成任何威脅，這些步驟只是提供組織的基本資訊和使用的 IP位址範圍。步驟 6 ～ 7很可能會造成入侵偵測系統發出警訊，所以必須先通知安全和系統管理員。 在測試完成之後，你會更了解該系統及其安全弱點。