一、网络攻击基础---认识网络协议
网络协议是指为计算机网咯中进行数据交换而建立的规则,标准货约定的集合,常见的网络协议有TCP/IP协议、ARP协议、ICMP协议等!
1、网络连接标准接口---TCP/IP协议
TCP/IP协议,全程是Transmission Control Protocol/Internet Protocol,中文翻译为创属控制协议/因特网互联协议,又叫网络通信协议。众所周知,如今计算机接入互联网后都要设置TCP/IP,因此,TCP/IP协议是互联网最基本的协议,也是国际互联网的基础。
TCP/IP协议定义了计算机如何接入因特网,以及数据如何在他们之间传输的标准。
TCP/IP包含两层协议,TCP协议和IP协议。其中,高层的TPC协议负责手机信息或者把文件拆分成最小的数据包。发送端将这些数据包通过网络创送到接收端的TCP层,接收端的TCP层把数据包还原为原始文件,而底层的IP协议则处理每个数据包的地址部分,使得网络上的网关计算机能够识别数据包的地址并进行路由选择,让这些数据包能够正确地达到目的地。
2、ARP欺骗攻击必知---ARP协议
ARP,即地址解析协议,他能够通过一直的IP地址来获取与其对应的物理地址(MAC地址)。在TCP/IP网络环境下,每个主机都呗分配了一个32BIT(比特)的IP地址(如220.248.138.116),他是在网络中标识主机的一种逻辑地址,如果要成功的将报文(网络中主机之间交换与传输的数据单元)创数给目的地的主机,则必须知道目的地的主机的物理地址,此时就可以使用ARP协议将目的主机的IP地址转换为物理地址。
简单的说,ARP协议就是主机在发送报文之前,将目标主机的IP地址转换成与之对应的MAC地址的过程。谈到ARP协议就离不开ARP欺骗。
3、洪水攻击必知---ICMP协议
ICMP,即Internet控制报文协议,它是TCP/IP协议族中的一个字协议,用于在IP主机、路由器之间传递控制消息。控制消息包括网络通不通、主机是否存在、路由是否可用等网络本身的消息。这些控制消息虽然不不传输用户数据,但是对于用户数据的传递起着非常重要的左右。
ICMP在网络中提供了一致易懂的出错报告信息,它将发送的出错报文返回到发送数据的主机。ICMP唯一的功能是报告问题而不是解决问题,解决问题的任务由发送方完成!
正是这一特点使得它非常容易被用于攻击网络上的路由器和主机。例如PING OF Death攻击,在还没有发布限制发送ICMP数据包大小的补丁之前,操作系统规定了ICMP数据包的最大尺寸不超过64kb,因此Ping of Death根据这一规定向主机发起攻击。其攻击原理是:如果ICMP数据包的尺寸超过64kb上限时,主机出现内存分配错误,导致TCP/IP堆栈崩溃,导致主机死机。
温馨提示:洪水攻击是黑客现在比较常用的一种攻击技术,特点是实施简单,威力巨大,大多是无视防御的。最常见的洪水攻击是MAC泛洪。MAC泛洪是指攻击者进入局域网内,将假冒的源MAC地址和目的MAC地址数据真帧发送到以太网上,使得假冒的源MAC地址和目标MAC地址塞满交换机的MAC地址表,导致交换机无法正确地传送数据。
二、黑客必经的两道门---IP地址与端口
黑客要攻击其他人的计算机,就必须确定目标主机的IP地址并扫描目标主机的开放端口,因此,目标主机的IP地址和开放端口对于黑客来说是非常重要的信息,也是黑客入侵目标主机的必备信息。
21号端口(FTP————文件传输协议) 79号端口(finger————查看机器的运行情况)
23号端口(Telnet————远程登陆协议) 80号端口(HTTP————超文本传送协议)
53号端口(DNS————域名服务器) 110号端口(POP————邮局协议)
3389号端口(远程登陆) 139号端口(NetBIOS服务,————共享服务)
端口按照端口号的分布可分为公认端口、注册端口以及动态/私有端口。
公认端口:也称常用端口。这类端口包括0-1023号端口,他们紧密的绑定一些特定的服务。通常,这些端口的通信明确的表明了某种服务的协议,这类端口不可再重新定义它的作用对象。
注册端口:包括1024-48 151端口,他们松散的绑定了一些服务。也就是说,有许多服务绑定于这些端口,这些端口同样用于许多其他的目的。这些端口多数没有明确定义的服务对象,不同程序可以根据实际需要自己定义。这些端口会定义一些远程控制软件和木马程序,因此对这些端口的防护和查杀都是非常有必要的。
动态/私有端口:包括49152-65535号端口,从理论上讲,不应该把常用服务分配在这些端口上。但实际上,有些较为特殊的程序,特别是一些木马程序就非常喜欢使用这些端口,因为这些端口尝尝不引起注意,容易隐藏。
三、认识系统进程
进程是指程序在计算机上的一次执行活动,当用户运行了一个程序时,就启动了一个进程,进程可以分为系统进程和用户进程,凡是用于完成操作系统的各种功能的进程都是系统进程,他们都是处于运行状态下的操作系统本身,用户进程就是所有由用户启动的进程。
1、windows 7系统中的基本进程及含义
audiodg.exe windows音频设备管理器,可以结束,但是一旦打开音频文件还会重新加载
csrss.exe 微软客户端/服务端运行时子系统,该进程用于管理windows图形相关任务
dwm.exe 桌面窗口管理器,可以被结束(需2次),结束无法显示aero效果,无法新建任务
services.exe 该进程主要用于管理启动和停止服务,同事处理在计算机启动和关机时运行的服务
lsass.exe lsass.exe是一个系统进程,用于本地安全授权。关闭该进程,系统会关闭防火墙并在1分钟后重启
svchost.exe 该进程包含很多系统服务,用于住行DLL文件,根据系统中启动的服务多少,该进程数量也会不通,一般在4-5个。
lsm.exe 本地会话管理器服务,关闭该进程,系统会在1分钟后重启
explorer.exe 后台处理程序,可以呗技术,但是任务栏和桌面图标会小时,可以重新新建
spoolsv.exe 后台处理程序子系统应用程序,管理所有打印工作
system windows页面内存管理进程
system ldle Process 系统虚拟进程,显示CPU空间占用率,因为是虚拟进程,所以没有.exe后缀
taskhost.exe 任务管理器
wininit.exe windows启动初始化进程,会启动,service.Exe lsass.Exe lsm.exe
除了这些基本的进程之外,windows7系统中还有一些附件的系统进程。若想关闭一些附件的系统进程,用户只需要在“服务”窗口中关闭与之对应的服务即可。