黑客如何入侵網站

㈠ 黑客的入侵手段～～

死亡之ping （ping of death）

概覽：由於在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB，並且在對包的標題頭進行讀取之後，要根據該標題頭里包含的信息來為有效載荷生成緩沖區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是載入的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當機。

防禦：現在所有的標准TCP/IP實現都已實現對付超大尺寸的包，並且大多數防火牆能夠自動過濾這些攻擊，包括：從windows98之後的windows,NT(service pack 3之後)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外，對防火牆進行配置，阻斷ICMP以及任何未知協議，都講防止此類攻擊。

淚滴（teardrop）

概覽：淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以前的NT）在收到含有重疊偏移的偽造分段時將崩潰。

防禦：伺服器應用最新的服務包，或者在設置防火牆時對分段進行重組，而不是轉發它們。

UDP洪水（UDP flood）

概覽：各種各樣的假冒攻擊利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一台主機，這樣就生成在兩台主機之間的足夠多的無用數據流，如果足夠多的數據流就會導致帶寬的服務攻擊。

防禦：關掉不必要的TCP/IP服務，或者對防火牆進行配置阻斷來自Internet的請求這些服務的UDP請求。

SYN洪水（SYN flood）

概覽：一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息，因為他們只有有限的內存緩沖區用於創建連接，如果這一緩沖區充滿了虛假連接的初始信息，該伺服器就會對接下來的連接停止響應，直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里，SYN洪水具有類似的影響。

防禦：在防火牆上過濾來自同一主機的後續連接。

未來的SYN洪水令人擔憂，由於釋放洪水的並不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。

Land攻擊

概覽：在Land攻擊中，一個特別打造的SYN包它的原地址和目標地址都被設置成某一個伺服器地址，此舉將導致接受伺服器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息並創建一個空連接，每一個這樣的連接都將保留直到超時掉，對Land攻擊反應不同，許多UNIX實現將崩潰，NT變的極其緩慢（大約持續五分鍾）。

防禦：打最新的補丁，或者在防火牆進行配置，將那些在外部介面上入站的含有內部源地址濾掉。（包括10域、127域、192.168域、172.16到172.31域）

Smurf攻擊

概覽：一個簡單的smurf攻擊通過使用將回復地址設置成受害網路的廣播地址的ICMP應答請求（ping）數據包來淹沒受害主機的方式進行，最終導致該網路的所有主機都對此ICMP應答請求作出答復，導致網路阻塞，比pingof death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方雪崩。

防禦：為了防止黑客利用你的網路攻擊他人，關閉外部路由器或防火牆的廣播地址特性。為防止被攻擊，在防火牆上設置規則，丟棄掉ICMP包。

Fraggle攻擊

概覽：Fraggle攻擊對Smurf攻擊作了簡單的修改，使用的是UDP應答消息而非ICMP

防禦：在防火牆上過濾掉UDP應答消息

電子郵件炸彈

概覽：電子郵件炸彈是最古老的匿名攻擊之一，通過設置一台機器不斷的大量的向同一地址發送電子郵，攻擊者能夠耗盡接受者網路的帶寬。

防禦：對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息。

畸形消息攻擊

概覽：各類操作系統上的許多服務都存在此類問題，由於這些服務在處理信息之前沒有進行適當正確的錯誤校驗，在收到畸形的信息可能會崩潰。

防禦：打最新的服務補丁。

利用型攻擊

利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，最常見的有三種：

口令猜測

概覽：一旦黑客識別了一台主機而且發現了基於NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號，成功的口令猜測能提供對機器控制。

防禦：要選用難以猜測的口令，比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略，就進行鎖定。

特洛伊木馬

概覽：特洛伊木馬是一種或是直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功並取得管理員許可權，安裝此程序的人就可以直接遠程式控制制目標系統。

最有效的一種叫做後門程序，惡意程序包括：NetBus、BackOrifice和BO2k,用於控制系統的良性程序如：netcat、VNC、pcAnywhere。理想的後門程序透明運行。

防禦：避免下載可疑程序並拒絕執行，運用網路掃描軟體定期監視內部主機上的監聽TCP服務。

緩沖區溢出

概覽：由於在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數，最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然後將該代碼綴在緩沖區有效載荷末尾，這樣當發生緩沖區溢出時，返回指針指向惡意代碼，這樣系統的控制權就會被奪取。

防禦：利用SafeLib、tripwire這樣的程序保護系統，或者瀏覽最新的安全公告不斷更新操作系統。

信息收集型攻擊

信息收集型攻擊並不對目標本身造成危害，如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括：掃描技術、體系結構刺探、利用信息服務

掃描技術

地址掃描

概覽：運用ping這樣的程序探測目標地址，對此作出響應的表示其存在。

防禦：在防火牆上過濾掉ICMP應答消息。

埠掃描

概覽：通常使用一些軟體，向大范圍的主機連接一系列的TCP埠，掃描軟體報告它成功的建立了連接的主機所開的埠。

防禦：許多防火牆能檢測到是否被掃描，並自動阻斷掃描企圖。

反響映射

概覽：黑客向主機發送虛假消息，然後根據返回「hostunreachable」這一消息特徵判斷出哪些主機是存在的。目前由於正常的掃描活動容易被防火牆偵測到，黑客轉而使用不會觸發防火牆規則的常見消息類型，這些類型包括：RESET消息、SYN-ACK消息、DNS響應包。

防禦：NAT和非路由代理伺服器能夠自動抵禦此類攻擊，也可以在防火牆上過濾「hostunreachable」ICMP應答?.

慢速掃描

概覽：由於一般掃描偵測器的實現是通過監視某個時間楨里一台特定主機發起的連接的數目（例如每秒10次）來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟體進行掃描。

防禦：通過引誘服務來對慢速掃描進行偵測。

體系結構探測

概覽：黑客使用具有已知響應類型的資料庫的自動工具，對來自目標主機的、對壞數據包傳送所作出的響應進行檢查。由於每種操作系統都有其獨特的響應方法（例NT和Solaris的TCP/IP堆棧具體實現有所不同），通過將此獨特的響應與資料庫中的已知響應進行對比，黑客經常能夠確定出目標主機所運行的操作系統。

防禦：去掉或修改各種Banner，包括操作系統和各種應用服務的，阻斷用於識別的埠擾亂對方的攻擊計劃。

利用信息服務

DNS域轉換

概覽：DNS協議不對轉換或信息性的更新進行身份認證，這使得該協議被人以一些不同的方式加以利用。如果你維護著一台公共的DNS伺服器，黑客只需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。

防禦：在防火牆處過濾掉域轉換請求。

Finger服務

概覽：黑客使用finger命令來刺探一台finger伺服器以獲取關於該系統的用戶的信息。

防禦：關閉finger服務並記錄嘗試連接該服務的對方IP地址，或者在防火牆上進行過濾。

LDAP服務

概覽：黑客使用LDAP協議窺探網路內部的系統和它們的用戶的信息。

防禦：對於刺探內部網路的LDAP進行阻斷並記錄，如果在公共機器上提供LDAP服務，那麼應把LDAP伺服器放入DMZ。

假消息攻擊

用於攻擊目標配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件。

DNS高速緩存污染

概覽：由於DNS伺服器與其他名稱伺服器交換信息的時候並不進行身份驗證，這就使得黑客可以將不正確的信息摻進來並把用戶引向黑客自己的主機。

防禦：在防火牆上過濾入站的DNS更新，外部DNS伺服器不應能更改你的內部伺服器對內部機器的認識。

偽造電子郵件

概覽：由於SMTP並不對郵件的發送者的身份進行鑒定，因此黑客可以對你的內部客戶偽造電子郵件，聲稱是來自某個客戶認識並相信的人，並附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網站的連接。

防禦：使用PGP等安全工具並安裝電子郵件證書。

漏洞攻擊
對微軟（Microsoft）而言，最具諷刺的是總被黑客先發現漏洞，待Windows們倒下後，微軟才站出來補充兩句：「最新的補丁已經發布，如果客戶沒有及時下載補丁程序而造成的後果，我們將不承擔責任！」

攻擊：
細細盤查，漏洞攻擊主要集中在系統的兩個部分：1.系統的對外服務上，如「沖擊波」病毒針對系統的「遠程協助」服務；「尼姆達」病毒由系統的「IPC漏洞」（資源共享）感染。2. 集成的應用軟體上， IE、OutLook Express、MSN Messager、Media Player這些集成的應用程序，都可能成為漏洞攻擊的橋梁。

那黑客又是如何利用這些漏洞，實施攻擊的呢？首先利用掃描技術，了解對方計算機存在哪些漏洞，然後有針對性地選擇攻擊方式。以IE的IFRAME漏洞為例，黑客能利用網頁惡意代碼（惡意代碼可以採用手工編寫或者工具軟體來協助完成），製作帶毒網頁，然後引誘對方觀看該網頁，未打補丁的IE將會幫助病毒進入計算機，感染後的系統利用IE通訊簿，向外發送大量帶毒郵件，最終堵塞用戶網路。

防範：
漏洞的防禦，升級自然是首選。有兩種方式可以很好的升級：

1. Update
系統的「開始」菜單上，會有「Windows Update」的鏈接，選擇後，進入Microsoft的升級主頁，網站上的程序會自動掃描當前系統存在哪些漏洞，哪些需要升級，根據「向導」即可完成，如圖所示（筆者推崇這種方式）。

漏洞攻擊
對微軟（Microsoft）而言，最具諷刺的是總被黑客先發現漏洞，待Windows們倒下後，微軟才站出來補充兩句：「最新的補丁已經發布，如果客戶沒有及時下載補丁程序而造成的後果，我們將不承擔責任！」

攻擊：
細細盤查，漏洞攻擊主要集中在系統的兩個部分：1.系統的對外服務上，如「沖擊波」病毒針對系統的「遠程協助」服務；「尼姆達」病毒由系統的「IPC漏洞」（資源共享）感染。2. 集成的應用軟體上， IE、OutLook Express、MSN Messager、Media Player這些集成的應用程序，都可能成為漏洞攻擊的橋梁。

那黑客又是如何利用這些漏洞，實施攻擊的呢？首先利用掃描技術，了解對方計算機存在哪些漏洞，然後有針對性地選擇攻擊方式。以IE的IFRAME漏洞為例，黑客能利用網頁惡意代碼（惡意代碼可以採用手工編寫或者工具軟體來協助完成），製作帶毒網頁，然後引誘對方觀看該網頁，未打補丁的IE將會幫助病毒進入計算機，感染後的系統利用IE通訊簿，向外發送大量帶毒郵件，最終堵塞用戶網路。

防範：
漏洞的防禦，升級自然是首選。有兩種方式可以很好的升級：

1. Update
系統的「開始」菜單上，會有「Windows Update」的鏈接，選擇後，進入Microsoft的升級主頁，網站上的程序會自動掃描當前系統存在哪些漏洞，哪些需要升級，根據「向導」即可完成，如圖所示（筆者推崇這種方式）。

2. 使用升級程序
使用Update雖然比較准確、全面。但它所有的升級組件都需要在Microsoft的網站上下載，「窄帶」的情況下顯然不現實；「寬頻」也需要很長的時間。Microsoft提供升級程序的打包下載，或者一些工具光碟上也帶有這些升級包。常說的「Service Pack 1」、「Service Pack 2」就是指這些升級包。

除了升級，使用一些工具軟體，也能夠達到效果，如3721的「上網助手」，它能夠很好填補IE漏洞。這些軟體一般定向保護系統的應用程序，針對「對外服務」漏洞的較少。

DDOS攻擊
DDOS（分布式拒絕服務攻擊）的本質是：利用合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務的響應。它實現簡單，是目前黑客常用的一種方式。

攻擊：
DDOS的實現方式較多，如多人同時向主機提出Web請求；多人同時Ping主機……這里介紹一種「先進」的「偽裝IP地址的洪水Ping攻擊」。
Ping指令是用來探測網路通訊狀況和對方主機狀況的網路指令，先前有過一些資料介紹不斷的Ping對方主機，可能會造成該主機無法承受的情況，但隨著Windows XP等新系統的普及，網路帶寬的升級、計算機硬體的升級，單純的大量Ping包基本上沒有效果了。
Ping指令的工作流程是這樣的：先由使用Ping命令的主機A發送ICMP報文給主機B；再由主機B回送ICMP報文給主機A。
網路通訊中有一種被稱為「廣播」（Broadcast）的方式，所謂廣播的意思是說有一個地址，任何區域網內的主機都會接收發往這個地址的報文（就像電台廣播一樣），以此類推。如果往一個區域網的廣播地址（利用一些「區域網嗅探軟體」就可以查找它的廣播地址）發送一個ICMP報文（就是一下Ping廣播地址），會得到非常多的ICMP報文回應。把當前計算機的地址偽裝成被攻擊主機的（SOCK_RAW就可以實現偽裝IP），向一個廣播地址發送Ping請求的時候，所有這個廣播地址內的主機都會回應這個Ping請求，被攻擊主機被迫接受大量的Ping包。這就形成了偽裝IP地址的洪水Ping攻擊形式。

防範：
對於DDOS而言，目前網路上還沒有找到什麼有效的防禦方法，對於一種使用Ping包的攻擊方式，雖然可以使用一些防火牆拒絕Ping包，但如果DDOS採用了另一種載體——合法的Web請求（打開該主機上的網頁）時，依然無法防範。現在對付DDOS的普遍方法是由管理員，手工屏蔽DDOS的來源和伺服器形式，如有一段IP對主機進行DDOS，就屏蔽該段IP的訪問；DDOS使用的是FTP、HTTP服務，就暫時停止這些服務。
最後還要提醒一下大家，高明的黑客在攻擊後都會做一些掃尾工作，掃尾工作就是要清除一些能夠發現自己的殘留信息。對於用戶而言一般只能通過日誌來捕捉這些殘留信息，如防火牆的日誌；Web伺服器的日誌（IIS、Server_U都具有日誌查看功能）。能否通過日誌找到這些殘留信息只能靠運氣了，真正夠厲害的黑客會悄然無聲地離去，而不留下一片「雲彩」。
六、ICMP Flood能防嗎？
先反問你一個問題：洪水迅猛的沖來時，你能否拿著一個臉盆來抵擋？（坐上臉盆做現代魯賓遜倒是個不錯的主意，沒准能漂到MM身邊呢）
軟體的網路防火牆能對付一些漏洞、溢出、OOB、IGMP攻擊，但是對於洪水類型的攻擊，它們根本無能為力，我通常對此的解釋是「傾倒垃圾」：「有蟑螂或老鼠在你家門前逗留，你可以把它們趕走，但如果有人把一車垃圾傾倒在你家門口呢？」前幾天看到mikespook大哥對此有更體面的解釋，轉載過來——「香蕉皮原理：如果有人給你一個香蕉和一個香蕉皮你能區分，並把沒有用的香蕉皮扔掉。（一般軟體防火牆就是這么判斷並丟棄數據包的。）但是如果有人在同一時間內在你身上倒一車香蕉皮，你再能區分有用沒用也沒啥作用了~~因為你被香蕉皮淹沒了~~~~（所以就算防火牆能區分是DoS的攻擊數據包，也只能識別，根本來不及丟棄~~死了，死了，死了~~）」
所以，洪水沒法防！能做的只有提高自己的帶寬和預防洪水的發生（雖然硬體防火牆和分流技術能做到，但那價格是太昂貴的，而且一般人也沒必要這樣做）。
如果你正在被攻擊，最好的方法是抓取攻擊者IP（除非對方用第一種，否則抓了沒用——假的IP）後，立即下線換IP！（什麼？你是固定IP？沒轍了，打電話找警察叔叔吧）

七、被ICMP Flood攻擊的特徵
如何發現ICMP Flood？
當你出現以下症狀時，就要注意是否正被洪水攻擊：
1.傳輸狀態里，代表遠程數據接收的計算機圖標一直亮著，而你沒有瀏覽網頁或下載
2.防火牆一直提示有人試圖ping你
3.網路速度奇慢無比
4.嚴重時系統幾乎失去響應，滑鼠呈跳躍狀行走

如果出現這些情況，先不要慌張，冷靜觀察防火牆報警的頻率及IP來確認是否普通的Ping或是洪水，做出相應措施（其實大多數情況也只能換IP了）。
1.普通ping
這種「攻擊」一般是對方掃描網路或用ping -t發起的，沒多大殺傷力（這個時候，防火牆起的作用就是延遲攻擊者的數據報發送間隔時間，請別關閉防火牆！否則後果是嚴重的！），通常表現如下：
==============================================================
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:24] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:26] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:30] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。
=============================================================
這么慢的速度，很明顯是由ping.exe或IcmpSendEcho發出的，如果對方一直不停的讓你的防火牆吵鬧，你可以給他個真正的ICMP Flood問候。

2.直接Flood
這是比較夠勁的真正意義洪水了，防火牆的報警密度會提高一個數量級：
==============================================================
[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。

[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，
該操作被拒絕。
=============================================================
這時候你的防火牆實際上已經廢了，換個IP吧。

3.偽造IP的Flood
比較厲害的ICMP Flood，使用的是偽造的IP而且一樣大密度，下面是the0crat用56K撥號對我的一次攻擊測試的部分數據（看看時間，真暈了，這可是56K小貓而已啊）
=============================================================
[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:12] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。

[18:52:13] 1.1.1.1 嘗試用Ping 來探測本機，
該操作被拒絕。
=============================================================
無言…………

4、反射ICMP Flood
估計現在Smurf攻擊還沒有多少人會用（R-Series的RSS.EXE就是做這事的，RSA.EXE和RSC.EXE分別用作SYN反射和UDP反射），所以這種方法還沒有大規模出現，但Smurf是存在的！而且這個攻擊方法比前面幾種更恐怖，因為攻擊你的是大網站（或一些受苦受難的伺服器）！
我正在被網易、萬網和新浪網站攻擊中（懶得修改天網策略，直接用其他工具抓的。實際攻擊中，反射的IP會多幾倍！）
=======================================================================
[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet fro

㈡ 如何入侵學校網站

嘿嘿,這種技術活我就喜歡!
黑客已經成為一種文化，很多人想成為黑客，他們偶爾學到了幾種小花招，總喜歡拿別人開玩笑，搞些惡作劇。其實黑客的最高境界在於防守，不在於進攻。所謂明槍易躲暗箭難防，要防住他人所有的進攻，肯定需要懂得比對方更多的系統知識，了解更多的系統漏洞，及如何彌補漏洞。 現在滿天都是黑客教程，但真正有用的不多，下面介紹一種WIN9X下的入侵方法:
1.取得對方IP地址如XX.XX.XX.XX，方法太多不細講了。

2.判斷對方上網的地點，開個DOS窗口鍵入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是對方的上網地點。

3.得到對方電腦的名稱，開個DOS窗口鍵入 NBTSTAT -A XX.XX.XX.XX 第一行是對方電腦名稱 第二行是對方電腦所在工作組 第三行是對方電腦的說明

4.在Windows目錄下有一文件名為LMHOSTS.SAM，將其改名為LMHOSTS，刪除其內容，將對方的IP及電腦名按以下格式寫入文件： XX.XX.XX.XX 電腦名

5.開DOS窗口鍵入 NBTSTAT -R

6.在開始-查找-電腦中輸入對方電腦名，出現對方電腦點擊即可進入。

以上方法請不要亂用，本人對你用上面的方法所惹出的麻煩概不負責，請慎重。 對付上面進攻的最好辦法就是隱藏你的IP地址。
我想就那麼多了吧!自己看吧!`加分

㈢ 怎麼從代碼中入侵網站

首先，如果是開源模板做的網站，可以從源代碼中找漏洞，比如動網的論壇就有漏洞，當然不是所有網站都用開源的模板做
最簡單的就是SQL注入，利SQL語句修改和盜取資料庫的資料，這個網路一搜就有N個，你可以去下載個 DoMain 試用一下注入和跨站攻擊
其次就是FSO，這個功能是有許可權更改文件的，也就是說你可以利用他修改伺服器上的網頁，這個漏洞主要出現在有上傳功能的地方
還有就是IIS的溢出漏洞，利用IIS的系統文件使自已擁有管理員的許可權，這個就比較難了

去買本<黑客攻防全攻略>吧,看書比較全面

㈣ 黑客入侵網站難嗎，最難的是什麼

這個難不難關鍵在於管理員的水平，目前網路上還是有很多一些漏洞百出的網站
隨便拿個工具都可以進去的

㈤ 黑客攻擊的三個階段是什麼黑客在這三個階段分別完成什麼工作

1. 鎖定目標

攻擊的第一步就是要確定目標的位置，在互聯網上，就是要知道這台主機的域名或者IP地址, 知道了要攻擊目標的位置還不夠，還需要了解系統類型、操作系統、所提供的服務等全面的資料，如何獲取相關信息，下面我們將詳細介紹。

2. 信息收集

如何才能了解到目標的系統類型、操作系統、提供的服務等全面的資料呢?黑客一般會利用下列的公開協議或工具來收集目標的相關信息。

(1)SNMP 協議：用來查閱網路系統路由器的路由表，從而了解目標主機所在網路的拓撲結構及其內部細節;

(2)TraceRoute程序：用該程序獲得到達目標主機所要經過的網路數和路由器數;

(3)Whois協議：該協議的服務信息能提供所有有關的DNS域和相關的管理參數;

(4)DNS伺服器：該伺服器提供了系統中可以訪問的主機的IP地址表和它們所對應的主機名;

(5)Finger協議：用來獲取一個指定主機上的所有用戶的詳細信息(如注冊名、電話號碼、最後注冊時間以及他們有沒有讀郵件等等);

(6)ping：可以用來確定一個指定的主機的位置;

(7)自動Wardialing軟體：可以向目標站點一次連續撥出大批電話號碼，直到遇到某一正確的號碼使其MODEM響應為止。

3. 系統分析

當一個黑客鎖定目標之後，黑客就開始掃描分析系統的安全弱點了。黑客一般可能使用下列方式來自動掃描駐留在網路上的主機。

(1)自編入侵程序

對於某些產品或者系統，已經發現了一些安全漏洞，該產品或系統的廠商或組織會提供一些「補丁」程序來進行彌補。但是有些系統常常沒有及時打補丁，當黑客發現這些「補丁」程序的介面後就會自己編寫能夠從介面入侵的程序，通過這個介面進入目標系統，這時系統對於黑客來講就變得一覽無余了。

(2)利用公開的工具

像 Internet 的電子安全掃描程序 ISS(Intemet Security Scanner)、審計網路用的安全分析工具 SATAN ( Securi Ana1ysis Tool for Auditing Network)等。這些工具可以對整個網路或子網進行掃描，尋找安全漏洞。這些工具都有兩面性，就看是什麼人在使用它們了。系統管理員可以使用它們來幫助發現其管理的網路系統內部隱藏的安全漏洞，從而確定系統中哪些主機需要用「補丁」程序去堵塞漏洞，從而提高網路的安全性能。而如果被黑客所利用，則可能通過它們來收集目標系統的信息，發現漏洞後進行入侵並可能獲取目標系統的非法訪問權。

4. 發動攻擊

完成了對目標的掃描和分析，找到系統的安全弱點或漏洞後，那就是萬事具備，只欠攻擊了，接下來是黑客們要做的關鍵步驟——發動攻擊。

黑客一旦獲得了對你的系統的訪問權後，可能有下述多種選擇：

(1)試圖毀掉攻擊入侵的痕跡，並在受到損害的系統上建立另外的新的安全漏洞或後門，以便在先前的攻擊點被發現之後，繼續訪問這個系統;

(2)在你的系統中安裝探測軟體，包括木馬等，用以掌握你的一切活動，以收集他比較感興趣的東西(不要以為人人都想偷窺你的信件，人家更感興趣的是你的電子銀行帳號和密碼之類);

(3)如果你是在一個區域網中，黑客就可能會利用你的電腦作為對整個網路展開攻擊的大本營，這時你不僅是受害者，而且還會成為幫凶和替罪羊。

㈥ 如何入侵網站後台

1.可能你的網站程序存在漏洞 能被人直接利用漏洞入侵！
2. 就是經常說的旁註入侵！如果你的網站和別的很多網站放在同一個伺服器上，而且這個伺服器沒設置好！那麼別人可以通過入侵同一伺服器上別人的網站 然後控制整個伺服器就可以達到入侵你網站的目的！

㈦ 如何入侵別人的網站

1.看他是什麼的站點了，如果是Html的，那估計懸了，基本上純靜態的網站被黑的可能性很小。

2.如果是動態的，你可以試試「啊D注入工具」，如果可以找到注入點，那麼注入就成功了一多半。

3.再不行，你可以運用「社會工程學」來入侵啊。你既然是他朋友，多留心下他習慣的用戶名和密碼，用這個嘗試連接他的伺服器（遠程或FTP）。

常用的就這幾種方法了...如果都不行，說明你道行太淺...多學點東東吧

回復樓主：
如果有BBS也是一個很好的注入點，看看他用的是什麼的？如果是動網的...呵呵~~網上動網的漏洞工具多如牛毛。你可以嘗試下。
還有就是看看論壇有沒有開放上傳，對上傳文件的限制是什麼，，對用戶發布信息，有沒有script語句過濾，這些都是思路。
其實關鍵就是認真分析學習的過程，最後祝你成功！

再次回復樓主：
我感覺我給你的都是有效果的建議。因為沒有什麼方法是入侵網站的萬能方法，好的方法是針對網站而言的。你沒有提供網站結構，沒有網址，我能提供你的只有思路。（最後回復！）

㈧ 我問下一個黑客在入侵一個網站，一般是通過什麼步驟啊

--探測開放的服務
|-->溢出
|-->弱口令
|--查找敏感或者脆弱目錄->分析網站目錄結構
|--整站程序Bug 黑白盒測試 獲取SHELL
|--nslookup 列出所有二級玉米 逐個分析
|--site:***.com 關鍵字 ->探測弱口令
|--啊D尋找注入點----->注入
|---手工查找注入點->注入
|--拿C段機器-->提權-->嗅探+arp
|--收集一切能收集管理員信息 充分應用 google 實現社會工程序

㈨ 如何入侵網站不被發現ip

入侵者如果使用一台自己的電腦，那麼伺服器就會留下侵入後的歷史記錄。
MAC地址，MAC（Media Access Control, 介質訪問控制）MAC地址是燒錄在Network Interface Card(網卡,NIC)里的.MAC地址,也叫硬體地址,它存儲的是傳輸數據時真正賴以標識發出數據的電腦和接收數據的主機的地址。
也就是說，在網路底層的物理傳輸過程中，是通過物理地址來識別主機的，它一般也是全球唯一的。因此黑客通常不用自己的電腦而是通過控制其他電腦來攻擊。
典型的比如DDOS，控制大規模的傀儡機去攻擊伺服器，導致網站的伺服器癱瘓。
樓主不用肉雞做跳板，不能說一定被抓到，但危險系數絕對大的多。
打個比方2台電腦，一台是被黑客控制的肉雞，一台是黑客的電腦。如果黑客攻擊一個網站的伺服器，那麼就留在網站自己的mac地址了。網警通過連接伺服器的電腦地址排查就能找到黑客。肉雞的作用就顯現出來了。因為連接肉雞的電腦又有很多，巨大的工作量會讓網警頭痛的。

樓主用自己的電腦攻擊，首先要找到網站的漏洞，編寫程序注入漏洞才能獲得網站後台管理許可權。你可以塗改網頁啊什麼的。。。 厲害的黑客通常在攻擊後清除掉自己的侵入痕跡，網站日誌。並且留下後門為自己下次侵入提供便利。不用肉雞隱藏入侵者的IP、MAC？這不是說上網裸奔而不讓別人看見嗎？？？

網友說用VPN可以，呵呵,那隻是片面的。一樣可以查得到
浩方就是虛擬專用網路。你登入後它只不過給你提供一個它專用網路的區域網IP。然後你用這個IP去侵入別人電腦，然後網警再來找這個提供VPN的服務商查你的真實ip，不是一下就搞定你了！

據我所知最近不是有個20幾歲的黑客入侵地震網，修改主頁後被抓了嗎？樓主小心呵!

㈩ 黑客是怎樣侵入的，該如何防範

下面的辦法你試試:
一、取消文件夾隱藏共享

如果你使用了Windows 2000/XP系統，右鍵單擊C盤或者其他盤，選擇共享，你會驚奇地發現它已經被設置為「共享該文件夾」，而在「網上鄰居」中卻看不到這些內容，這是怎麼回事呢？

原來，在默認狀態下，Windows 2000/XP會開啟所有分區的隱藏共享，從「控制面板/管理工具/計算機管理」窗口下選擇「系統工具/共享文件夾/共享」，就可以看到硬碟上的每個分區名後面都加了一個「$」。但是只要鍵入「計算機名或者IPC$」，系統就會詢問用戶名和密碼，遺憾的是，大多數個人用戶系統Administrator的密碼都為空，入侵者可以輕易看到C盤的內容，這就給網路安全帶來了極大的隱患。

怎麼來消除默認共享呢？方法很簡單，打開注冊表編輯器，進入「HKEY_LOCAL_」，新建一個名為「AutoShareWKs」的雙位元組值，並將其值設為「0」，然後重新啟動電腦，這樣共享就取消了。

二、拒絕惡意代碼

惡意網頁成了寬頻的最大威脅之一。以前使用Modem，因為打開網頁的速度慢，在完全打開前關閉惡意網頁還有避免中招的可能性。現在寬頻的速度這么快，所以很容易就被惡意網頁攻擊。

一般惡意網頁都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼就相當於一些小程序，只要打開該網頁就會被運行。所以要避免惡意網頁的攻擊只要禁止這些惡意代碼的運行就可以了。

運行IE瀏覽器，點擊「工具/Internet選項/安全/自定義級別」，將安全級別定義為「安全級-高」，對「ActiveX控制項和插件」中第2、3項設置為「禁用」，其它項設置為「提示」，之後點擊「確定」。這樣設置後，當你使用IE瀏覽網頁時，就能有效避免惡意網頁中惡意代碼的攻擊。

三、封死黑客的「後門」

俗話說「無風不起浪」，既然黑客能進入，那說明系統一定存在為他們打開的「後門」，只要堵死這個後門，讓黑客無處下手，便無後顧之憂！

1.刪掉不必要的協議

對於伺服器和主機來說，一般只安裝TCP/IP協議就夠了。滑鼠右擊「網路鄰居」，選擇「屬性」，再滑鼠右擊「本地連接」，選擇「屬性」，卸載不必要的協議。其中NETBIOS是很多安全缺陷的根源，對於不需要提供文件和列印共享的主機，還可以將綁定在TCP/IP協議的NETBIOS關閉，避免針對NETBIOS的攻擊。選擇「TCP/IP協議/屬性/高級」，進入「高級TCP/IP設置」對話框，選擇「WINS」標簽，勾選「禁用TCP/IP上的NETBIOS」一項，關閉NETBIOS。

2.關閉「文件和列印共享」

文件和列印共享應該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要「文件和列印共享」的情況下，我們可以將它關閉。用滑鼠右擊「網路鄰居」，選擇「屬性」，然後單擊「文件和列印共享」按鈕，將彈出的「文件和列印共享」對話框中的兩個復選框中的鉤去掉即可。

雖然「文件和列印共享」關閉了，但是還不能確保安全，還要修改注冊表，禁止它人更改「文件和列印共享」。打開注冊表編輯器，選擇「HKEY_CURRENT_」主鍵，在該主鍵下新建DWORD類型的鍵值，鍵值名為「NoFileSharingControl」，鍵值設為「1」表示禁止這項功能，從而達到禁止更改「文件和列印共享」的目的；鍵值為「0」表示允許這項功能。這樣在「網路鄰居」的「屬性」對話框中「文件和列印共享」就不復存在了。

3.把Guest賬號禁用

有很多入侵都是通過這個賬號進一步獲得管理員密碼或者許可權的。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開控制面板，雙擊「用戶和密碼」，單擊「高級」選項卡，再單擊「高級」按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在「常規」頁中選中「賬戶已停用」。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。

4.禁止建立空連接

在默認的情況下，任何用戶都可以通過空連接連上伺服器，枚舉賬號並猜測密碼。因此，我們必須禁止建立空連接。方法有以下兩種：

方法一是修改注冊表：打開注冊表「HKEY_LOCAL_」，將DWORD值「RestrictAnonymous」的鍵值改為「1」即可。

最後建議大家給自己的系統打上補丁，微軟那些沒完沒了的補丁還是很有用的！

四、隱藏IP地址

黑客經常利用一些網路探測技術來查看我們的主機信息，主要目的就是得到網路中主機的IP地址。IP地址在網路安全上是一個很重要的概念，如果攻擊者知道了你的IP地址，等於為他的攻擊准備好了目標，他可以向這個IP發動各種進攻，如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理伺服器。

與直接連接到Internet相比，使用代理伺服器能保護上網用戶的IP地址，從而保障上網安全。代理伺服器的原理是在客戶機（用戶上網的計算機）和遠程伺服器（如用戶想訪問遠端WWW伺服器）之間架設一個「中轉站」，當客戶機向遠程伺服器提出服務要求後，代理伺服器首先截取用戶的請求，然後代理伺服器將服務請求轉交遠程伺服器，從而實現客戶機和遠程伺服器之間的聯系。很顯然，使用代理伺服器後，其它用戶只能探測到代理伺服器的IP地址而不是用戶的IP地址，這就實現了隱藏用戶IP地址的目的，保障了用戶上網安全。提供免費代理伺服器的網站有很多，你也可以自己用代理獵手等工具來查找。

五、關閉不必要的埠

黑客在入侵時常常會掃描你的計算機埠，如果安裝了埠監視程序（比如Netwatch），該監視程序則會有警告提示。如果遇到這種入侵，可用工具軟體關閉用不到的埠，比如，用「Norton Internet Security」關閉用來提供網頁服務的80和443埠，其他一些不常用的埠也可關閉。

六、更換管理員帳戶

Administrator帳戶擁有最高的系統許可權，一旦該帳戶被人利用，後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。

首先是為Administrator帳戶設置一個強大復雜的密碼，然後我們重命名Administrator帳戶，再創建一個沒有管理員許可權的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員許可權，也就在一定程度上減少了危險性。

七、杜絕Guest帳戶的入侵

Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門！網上有很多文章中都介紹過如何利用Guest用戶得到管理員許可權的方法，所以要杜絕基於Guest帳戶的系統入侵。

禁用或徹底刪除Guest帳戶是最好的辦法，但在某些必須使用到Guest帳戶的情況下，就需要通過其它途徑來做好防禦工作了。首先要給Guest設一個強壯的密碼，然後詳細設置Guest帳戶對物理路徑的訪問許可權。舉例來說，如果你要防止Guest用戶可以訪問tool文件夾，可以右擊該文件夾，在彈出菜單中選擇「安全」標簽，從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶即可。或者在許可權中為相應的用戶設定許可權，比方說只能「列出文件夾目錄」和「讀取」等，這樣就安全多了。

八、安裝必要的安全軟體

我們還應在電腦中安裝並使用必要的防黑軟體，殺毒軟體和防火牆都是必備的。在上網時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。

九、防範木馬程序

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時先放到自己新建的文件夾里，再用殺毒軟體來檢測，起到提前預防的作用。

● 在「開始」→「程序」→「啟動」或「開始」→「程序」→「Startup」選項里看是否有不明的運行項目，如果有，刪除即可。

● 將注冊表裡 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以「Run」為前綴的可疑程序全部刪除即可。

十、不要回陌生人的郵件

有些黑客可能會冒充某些正規網站的名義，然後編個冠冕堂皇的理由寄一封信給你要求你輸入上網的用戶名稱與密碼，如果按下「確定」，你的帳號和密碼就進了黑客的郵箱。所以不要隨便回陌生人的郵件，即使他說得再動聽再誘人也不上當。

做好IE的安全設置

ActiveX控制項和 Applets有較強的功能，但也存在被人利用的隱患，網頁中的惡意代碼往往就是利用這些控制項編寫的小程序，只要打開網頁就會被運行。所以要避免惡意網頁的攻擊只有禁止這些惡意代碼的運行。IE對此提供了多種選擇，具體設置步驟是：「工具」→「Internet選項」→「安全」→「自定義級別」，建議您將ActiveX控制項與相關選項禁用。謹慎些總沒有錯！

另外，在IE的安全性設定中我們只能設定Internet、本地Intranet、受信任的站點、受限制的站點。不過，微軟在這里隱藏了「我的電腦」的安全性設定，通過修改注冊表把該選項打開，可以使我們在對待ActiveX控制項和 Applets時有更多的選擇，並對本地電腦安全產生更大的影響。

下面是具體的方法：打開「開始」菜單中的「運行」，在彈出的「運行」對話框中輸入Regedit.exe，打開注冊表編輯器，點擊前面的「+」號順次展開到：HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右邊窗口中找到DWORD值「Flags」，默認鍵值為十六進制的21(十進制33)，雙擊「Flags」，在彈出的對話框中將它的鍵值改為「1」即可，關閉注冊表編輯器。無需重新啟動電腦，重新打開IE，再次點擊「工具→Internet選項→安全」標簽，你就會看到多了一個「我的電腦」圖標，在這里你可以設定它的安全等級。將它的安全等級設定高些，這樣的防範更嚴密。