黑客扫描+v,黑客扫描漏洞

hacker|
64

哪些方法可以防御黑客的Nmap扫描

黑客入侵ADSL用户的方法

在很多地方都是包月制的,这样的话,黑客就可以用更长的时间进行端口以及漏洞的扫描,甚至采用在线暴力破解的方法盗取密码,或者使用嗅探工具守株待兔般等待对方自动把用户名和密码送上门。

要完成一次成功的网络攻击,一般有以下几步。第一步就是要收集目标的各种信息,为了对目标进行彻底分析,必须尽可能收集攻击目标的大量有效信息,以便最后分析得到目标的漏洞列表。分析结果包括:操作系统类型,操作系统的版本,打开的服务,打开服务的版本,网络拓扑结构,网络设备,防火墙,闯氩炀踝爸玫鹊取?

黑客扫描使用的主要是TCP/IP堆栈指纹的方法。实现的手段主要是三种:

1.TCP ISN采样:寻找初始化序列规定长度与特定的OS是否匹配。

2.FIN探测:发送一个FIN包(或者是任何没有ACK或SYN标记的包)到目标的一个开放的端口,然后等待回应。许多系统会返回一个RESET(复位标记)。

3.利用BOGUS标记:通过发送一个SYN包,它含有没有定义的TCP标记的TCP头,利用系统对标记的不同反应,可以区分一些操作系统。

4.利用TCP的初始化窗口:只是简单地检查返回包里包含的窗口长度,根据大小来唯一确认各个操作系统。

扫描技术虽然很多,原理却很简单。这里简单介绍一下扫描工具Nmap(Network mapper)。这号称是目前最好的扫描工具,功能强大,用途多样,支持多种平台,灵活机动,方便易用,携带性强,留迹极少;不但能扫描出TCP/UDP端口,还能用于扫描/侦测大型网络。

注意这里使用了一些真实的域名,这样可以让扫描行为看起来更具体。你可以用自己网络里的名称代替其中的addresses/names。你最好在取得允许后再进行扫描,否则后果可要你自己承担哦。

nmap -v target.example.com

这个命令对target.example.com上所有的保留TCP端口做了一次扫描,-v表示用详细模式。

nmap -sS -O target.example.com/24

这个命令将开始一次SYN的半开扫描,针对的目标是target.example.com所在的C类子网,它还试图确定在目标上运行的是什么操作系统。这个命令需要管理员权限,因为用到了半开扫描以及系统侦测。

发动攻击的第二步就是与对方建立连接,查找登录信息。现在假设通过扫描发现对方的机器建立有IPC$。IPC$是共享“命名管道”的资源,它对于程序间的通讯很重要,在远程管理计算机和查看计算机的共享资源时都会用到。利用IPC$,黑客可以与对方建立一个空连接(无需用户名和密码),而利用这个空连接,就可以获得对方的用户列表。

第三步,使用合适的工具软件登录。打开命令行窗口,键入命令:net use 222.222.222.222ipc$ “administrator” /user:123456

这里我们假设administrator的密码是123456。如果你不知道管理员密码,还需要找其他密码破解工具帮忙。登录进去之后,所有的东西就都在黑客的控制之下了。

防范方法

因为ADSL用户一般在线时间比较长,所以安全防护意识一定要加强。每天上网十几个小时,甚至通宵开机的人不在少数吧,而且还有人把自己的机器做成Web或者ftp服务器供其他人访问。日常的防范工作一般可分为下面的几个步骤来作。

步骤一,一定要把Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,选择“高级”选项卡。单击“高级”按钮,弹出本地用户和组窗口。在Guest帐号上面点击右键,选择属性,在“常规”页中选中“帐户已停用”。

步骤二,停止共享。Windows 2000安装好之后,系统会创建一些隐藏的共享。点击开始→运行→cmd,然后在命令行方式下键入命令“net share”就可以查看它们。网上有很多关于IPC入侵的文章,都利用了默认共享连接。要禁止这些共享,打开管理工具→计算机管理→共享文件夹→共享,在相应的共享文件夹上按右键,点“停止共享”就行了。

步骤三,尽量关闭不必要的服务,如Terminal Services、IIS(如果你没有用自己的机器作Web服务器的话)、RAS(远程访问服务)等。还有一个挺烦人的Messenger服务也要关掉,否则总有人用消息服务发来网络广告。打开管理工具→计算机管理→服务和应用程序→服务,看见没用的就关掉。

步骤四,禁止建立空连接。在默认的情况下,任何用户都可以通过空连接连上服务器,枚举帐号并猜测密码。我们必须禁止建立空连接,方法有以下两种:

(1)修改注册表:

HKEY_Local_MachineSystemCurrent-ControlSetControlLSA下,将DWORD值RestrictAnonymous的键值改成1。

(2)修改Windows 2000的本地安全策略:

设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。

步骤五,如果开放了Web服务,还需要对IIS服务进行安全配置:

(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。

(2) 删除原默认安装的Inetpub目录。

(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

(4) 删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa即可。

(5) 备份IIS配置。可使用IIS的备份功能,将设定好的IIS配置全部备份下来,这样就可以随时恢复IIS的安全配置。

不要以为这样就万事大吉,微软的操作系统我们又不是不知道,bug何其多,所以一定要把微软的补丁打全。

最后,建议大家选择一款实用的防火墙。比如Network ICE Corporation公司出品的Black ICE。它的安装和运行十分简单,就算对网络安全不太熟悉也没有关系,使用缺省的配置就能检测绝大多数类型的黑客攻击。对于有经验的用户,还可以选择“Tools”中的“Advanced Firewall Settings”,来针对特定的IP地址或者UDP的特定端口进行接受或拒绝配置,以达到特定的防御效果。

网站被黑客扫描撞库该怎么应对防范?

这个在安全圈子里叫撞库,即通过已有的账号密码到其它网站去尝试。

而针对撞库的防范是一个人机对抗的过程,需要通过一些手段来防止通过程序来扫描,但是这些手段也不能影响正常的用户体验,说说经常用到的一些方法:

最简单的方式就是增加一个图片验证码,当然对于现在图片验证码的破解程序也是越来越厉害,网上商业的开源的验证码破解工具一大堆,如果做图片验证码来防范的话,就要考虑一个问题,如何防止图片验证码被破解。对于防止验证码破解的话,可以适当增加验证码生成的强度,业内做的比较好的验证码,可以参考下淘宝的、百度贴吧的中文验证码也不错。

另外一种方式就是自动识别异常IP,如果机器扫描的话,肯定会有一些特征能被你抓取到,比如:单位时间内操作次数,比如1分钟尝试登录超过100次、正常用户不可能有这么大的频度的;1分钟内尝试登录错误账号超过一定次数;其它的自己扩展。对于异常的IP,整理一个非常严格的库,甚至直接禁止这些IP访问网站,一个一个手工添加肯定很累,程序对程序,应该没问题。黑客使用的代理再多,总归是有限的。

遇到专业的撞库,黑客黑掉了整个市的dhcp,分配了几十个1-254的c段来扫,每个IP仅仅尝试1-3次,这种低频度的撞库确实不好防护。在这里提出一个简单的思路,比如真的是这种的话,那么针对这个市的IP设计一个黑名单,单独的策略。

另外一种思路是用户账号被撞后的保护,比如判断下用户的登录IP,是否在常用的地区,如果不是,直接锁定账号,让用户通过手机、邮箱等手段来解锁,这方面做的比较好的可以参考腾讯和淘宝。

当然,这些策略结合起来的话,效果更好。

如何对付黑客扫描

黑客不等于骇客,但黑客被媒体恶化了,我算是半黑客吧,形象的说,黑客是建设,而骇客是破坏,如何防范骇客,你可以买本书小小黑客入门像这些类型的书这本书真的很不错,讲了进攻和防守的要点,还讲了制作防护的软件,如果你只是普通的电脑用户,平时只要安装360的安全卫士就行了,如果是真的发现骇客入侵的话,立刻断开网络,在用安全卫士那些软件扫描电脑有没有被恶意安插软件,通常那些高级的骇客都是去黒公司的网站,只有普通和低级的骇客才会破坏普通用户的网站当肉鸡,如果真的被安插软件而电脑无法处理的话,去重装吧

黑客常用的扫描器是怎样的存在?

在Internet安全领域,扫描器是常用攻击工具之一。许多网络入侵是从扫描开始的。利用扫描器能够找出目标主机的各种安全漏洞,尽管其中的一些漏洞早已公布于众,但在许多系统中仍然存在,于是给了外部入侵以可乘之机。

扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器,我们可以自动发现系统的安全缺陷。不同的扫描器检查不同的安全漏洞,但一般来说归结为两种类型:

主机系统扫描器;

网络扫描器。

主机系统扫描器用来扫描查找本地主机的安全漏洞,这些漏洞经常是错误的文件权限配置和默认帐号。主机系统扫描器的最常见工具是COPS(Computer Oracle and Password System) ,它是用来检查UNIX系统的常见安全配置问题和系统缺陷。网络扫描器是通过检查可用的端口号和服务,查找远程攻击者所能利用的安全缺陷。SATAN(System Administrator’s Tool for Analyzing Networks)是一个著名的网络扫描器,它可以用来发现以下方面的漏洞:

文件传输协议漏洞;

网络文件系统漏洞;

网络信息服务口令漏洞;

远程shell访问漏洞;

Sendmail漏洞漏洞;

普通文件传输协议漏洞;

X服务器安全和访问控制。

另外,还有SAINT、ISS 、NESSUS、NMAP 等有名的网络扫描器。由于网络系统中有新的漏洞出现,所以扫描器要不断地更新的检查漏洞库或检查程序。

工作原理

尽管从技术的角度来看,主机系统扫描器和网络扫描器不尽同,但是它们具有共同的特征。其中,就是扫描器的检测机制。大多数扫描器按上图所示的工作流程工作。

以网络扫描器为例,我们分析扫描器的工作原理。网络扫描器是通过连接远程TCP/IP不同的端口的服务,并记录目标给予的回答,就可以搜集到很多关于目标主机的各种有用的信息(如是否能用匿名登录访问FTP服务,是否有可写的FTP目录,是否能用Telnet,HTTPD是用Root还是普通用户在运行)。

当目标主机运行的是Unix操作系统时,通常提供了较多的服务。可以对该主机的端口扫描一遍,检测它提供了哪些服务。例如,扫描主机192.168.0.68的10到100之间的端口,结果如下:

$portscan 192.168.0.68 10 100

192.168.0.68 21 accepted

192.168.0.68 23 accepted

192.168.0.68 25 accepted

192.168.0.68 80 accepted

可以看出,主机192.168.0.68在21、23、25和80这些端口都提供服务。对于1024以下的端口,端口号与服务的对应是固定的。例如:

21对应的是FTP服务

23对应的是telnet服务

25对应的是mail服务

80对应的是Web服务

在Unix系统中,还有一些可以扫描某些特定服务的工具,用于观察某一特定服务进程是否正在远程主机上运行。例如,rusers和finger,这两个都是Unix命令。通过这两个命令,你能收集到目标计算机上的有关用户的消息。使用rusers命令,产生的结果如下示意:

wh yjb.dcs:ttyp1 Nov 13 15:42 7:30 (remote)

root yjb.dcs:ttyp2 Nov 13 14:57 7:21 (remote)

显示了通过远程登录的用户名,还包括上次登录时间、使用的Shell类型等信息。使用finger可以产生类似下面的结果:

user S00 PPP ppp-122-pm1.wiza Thu Nov 14 21:29:30 - still logged in

user S15 PPP ppp-119-pm1.wiza Thu Nov 14 22:16:35 - still logged in

user S04 PPP ppp-121-pm1.wiza Fri Nov 15 00:03:22 - still logged in

user S03 PPP ppp-112-pm1.wiza Thu Nov 14 22:20:23 - still logged in

这个命令能显示用户的状态。该命令是建立在客户/服务模型之上的。用户通过客户端软件向服务器请求信息,然后解释这些信息,提供给用户。在服务器上需要运行fingerd程序,根据服务器的配置,能向客户提供某些信息。若考虑到保护这些个人信息,有可能许多服务器不提供这个服务,或者只提供一些无关的信息。

对于一个功能较完备的扫描器,它能对操作系统与服务程序存在的各种系统漏洞和Bug进行检测。为了实现该项功能,需要检查各个系统配置文件,例如,

/etc/passwd 口令文件

/etc/hosts 主机列表文件

/etc/networks 网络列表文件

/etc/protocols 协议列表文件

/etc/services 服务列表文件

/etc/hosts.equiv 主机信任列表文件

比较成熟的扫描器,如SATAN,Nessus,ISS等,都能对这些配置文件进行细致的检测,并给出完整的报告和建议。

黑客恶意扫描我电脑,今天3次了,都被金山毒霸拦截了,接下来我怎么做

不用担心,已经被拦截就说明你是安全的,你可以点设置中,选择每天提醒一次就可以了,你的电脑不会受到危险损害的,这是黑客的大范围扫描,寻找有漏洞的电脑,你拦截了就不用担心了,没事的

电脑老是被黑客恶意扫描 虽然被拦截但是还是很担心 怎样才能避免被扫描

呵呵,你可以按照我提供的一些方法试一试。关闭ping的回应,这样大多扫描器为节约时间,扫描前都是先ping的。ping不通的电脑会自动放弃扫描。所以这是方法之一。///关闭没用的危险端口,小黑们都喜欢扫描一些漏洞端口///给你的电脑设上变态密码///定时更新病毒库///不要上一些小网站一些没有道德的骇客们会在上面挂马。(百度都经常被入侵)///网络中没有绝对安全,所以不要把重要东西放在电脑中。///定时给你的电脑做备份。///做到这些你的电脑可能就有了一定的保障。

5条大神的评论

  • avatar
    访客 2022-09-27 下午 06:17:32

    险损害的,这是黑客的大范围扫描,寻找有漏洞的电脑,你拦截了就不用担心了,没事的电脑老是被黑客恶意扫描 虽然被拦截但是还是很担心 怎样才能避免被扫描呵呵,你可以按照我提供的一些方法试一试。关闭ping的回应,这样大多扫描器为节约时间,扫描前都是先ping的。ping不通的电脑会自动放

  • avatar
    访客 2022-09-27 下午 03:37:17

    务程序存在的各种系统漏洞和Bug进行检测。为了实现该项功能,需要检查各个系统配置文件,例如,/etc/passwd 口令文件/etc/hosts 主机列表文件/etc

  • avatar
    访客 2022-09-27 上午 09:02:30

    etwork mapper)。这号称是目前最好的扫描工具,功能强大,用途多样,支持多种平台,灵活机动,方便易用,携带性强,留迹极少;不但能扫描出TCP/UDP端口,还能用于扫描/侦测大型网络。 注意这里使用了一些真实的域名,这样可以让扫描行为看起来更具体。你可以用自己网络里的名称代替其中

  • avatar
    访客 2022-09-27 上午 10:00:29

    主机列表文件/etc/networks 网络列表文件/etc/protocols 协议列表文件/etc/services 服务列表文件/etc/hosts.equiv 主机信任列表文件比较成熟的扫描器,如

  • avatar
    访客 2022-09-27 上午 09:54:55

    员密码,还需要找其他密码破解工具帮忙。登录进去之后,所有的东西就都在黑客的控制之下了。 防范方法 因为ADSL用户一般在线时间比较长,所以安全防护意识一定要加强。每天上网十几个小时,甚至通宵开机的人不在少数吧,而且还有人把自己的机器做成Web或者ftp服务器供其他人访问。日常的防范工作

发表评论