黑客隐匿入侵技术

微信公众号：计算机与网络安全

ID：Computer-network

隐匿入侵是黑客在入侵时经常会使用的技术，该技术能够确保在目标计算机用户或网络安全管理人员发现非法入侵后无法准确地定位到攻击者，该技术需要使用代理服务器，而寻找代理服务器可以利用代理猎手进行查找，查找到可用的代理服务器后攻击者就可借助这些服务器来实现隐匿入侵，代理服务器除了被攻击者使用之外，正常用户可使用它来实现代理上网，达到隐藏自己IP地址的目的。

一、什么是跳板技术？

跳板技术是指通过建立一条通往目标计算机的主机链来入侵目标计算机，这样一来，即使目标计算机用户反向追踪，也很难发现真正的攻击者。

一个狡猾、高明的黑客攻击者，在入侵前都会做好充分的准备，入侵时会通过各种技术手段保护自己，以防被对方发现，引火烧身。其中，跳板技术是攻击者通常采用的技术。跳板技术包括四个阶段，即确定目标、设计跳板、跳板入侵以及清除日志。

确定目标

确定目标是指确定存在漏洞的目标计算机。攻击者首先会利用扫描工具进行定点（IP）扫描或者对某IP地址段进行扫描，在扫描的过程中一旦发现了指定IP地址的计算机中存在系统漏洞时，就会准备实施攻击。

设计跳板

跳板通俗讲就是一条通往目标计算机的主机链，从理论上讲，主机链越长就越安全，但是链太长会造成连接速度过慢（因为其中的中转服务器太多）。因此攻击者往往会评估入侵风险，从而制定或者设计跳板。

在选择跳板主机时，攻击者往往会选择安全性一般、速度快，并且很少有人光顾的主机。攻击者经常会在跳板中加入路由器或者交换机，虽然路由器的日志文件会记录登录IP，但是却可以利用相关的命令手动彻底清除该日志，因为路由器的日志保存在Flash中，一旦删除将无法恢复。如果跳板全部用主机，虽然也可以清除日志，但是现在的恢复软件往往可以恢复这些日志，就会留下痕迹，网络安全人员可以通过这些蛛丝马迹找到攻击者。

跳板入侵

攻击者一般不会用自己平时使用的计算机进行远程入侵，他们往往通过一些人员流动比较大的公共电脑进行入侵。即使找不到这类公共计算机，他们也不会用物理计算机，而是采用虚拟机系统进行入侵。因为物理主机的入侵会留下痕迹，就算删除或者格式化也会被恢复。而在虚拟机中却不一样，入侵完成后可以直接删除。

清除日志

攻击者在入侵完成并获得目标计算机的管理权限后，会擦除入侵时留下的痕迹，准备全身而退，而这些痕迹就被记录在系统日志和防火墙日志中，攻击者需要上传相应的攻击来清除这些日志。

二、什么是代理服务器？

代理服务器是介于计算机和Web服务器之间的服务器，利用代理服务器可以提高上网速度和访问国外的一些网站。

代理服务器（Proxy Server）的主要作用就是代理网络用户去取得网络信息。简单地说，它就是网络信息的中转站。

一般情况下，用户使用网络浏览器直接连接其他Internet站点取得网络信息时，是直接联系到目的站点服务器，然后由目的站点服务器把信息传送回来。代理服务器是介于计算机和Web服务器之间的服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，信号会先送到代理服务器，再由代理服务器来取回浏览器所需要的信息并传送到用户的浏览器。使用代理服务器有以下四点优势。

（1）利用代理服务器可以访问国外的一些网站。

（2）访问一些单位或团体的内部资源，如某大学FTP（前提是该代理地址在该资源的允许访问范围之内），使用教育网内地址段免费代理服务器，就可以在对教育网开放的各类FTP服务器中下载或上传资源。

（3）通常代理服务器都设置一个较大的硬盘缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接从缓冲区中取出信息，传给用户，以提高访问速度。

（4）上网者通过使用代理服务器可以隐藏自己的真实IP地址，使得本地计算机免受非法攻击。

三、如何使用代理猎手寻找代理服务器？

首先设置运行参数，然后添加含有指定IP地址段的搜索任务并搜索，最后筛选出验证状态为Free的代理服务器即可。

攻击者在采用跳板技术入侵时，首先都要寻找跳板，所谓的跳板就是代理服务器，利用百度搜索引擎或者登录论坛固然可以发现很多代理服务器，但是要找到能够使用的代理服务器却需要逐个测试，这里介绍一款专门寻找代理服务器的软件——代理猎手。

代理猎手将代理的搜索和验证功能集于一体，并提供了管理、调度代理等新功能，用户既可以利用它来寻找代理服务器，又可以用它来验证所找到的代理服务器是否可用。

步骤1：启动代理猎手应用程序，安装代理猎手后会在桌面上出现对应的图标，双击该图标，启动代理猎手应用程序。

步骤2：单击“参数设置”命令，打开代理猎手主界面，在菜单栏中依次单击“系统＞参数设置”命令。

步骤3：搜索验证设置，弹出“运行参数设置”对话框，在“搜索验证设置”选项卡的“搜索设置”和“验证设置”选项组中分别设置连接超时时间、验证超时时间和并发连接数目。

步骤4：验证数据设置，切换至“验证数据设置”选项卡，在“验证数据设置”选项组中单击“添加”按钮。

步骤5：输入验证名和验证地址，弹出“添加验证数据”对话框，输入验证名和验证地址，然后单击“获取”按钮。

步骤6：输入资源地址，弹出“获取网络资源”对话框，在“资源地址”文本框中输入网址，然后单击“获取”按钮。

步骤7：复制特征字串，数据接收完毕后选中特征字串，按【Ctrl+C】组合键，然后单击“确定”按钮。

步骤8：单击“确定”按钮，返回“添加验证数据”对话框，直接单击“确定”按钮。

步骤9：单击“确定”按钮，返回“运行参数设置”对话框，此时可看见添加的验证资源地址和验证资源参数，用户也可以使用相同的方法添加其他验证资源地址和参数，添加后单击“确定”按钮。

步骤10：添加搜索任务，返回代理猎手主界面，在“搜索任务”选项卡下单击“添加任务”按钮。

步骤11：设置任务类型，弹出“添加搜索任务”对话框，设置“任务类型”为“搜索网址范围”，然后单击“下一步”按钮。

步骤12：添加地址范围，切换至新的界面，在界面中添加地址范围，此时需要利用其他软件获取IP地址范围，这里介绍利用纯真IP数据库获取IP地址范围。

步骤13：启动纯真IP数据库应用程序，从网络中下载纯真IP数据库后将其解压到本地计算机中，在解压后的文件夹中双击IP快捷图标，启动纯真IP数据库应用程序。

步骤14：根据字段查询IP地址段，打开纯真IP地址数据库主界面，单击选中“地址=＞IP段”单选按钮，在“查询字段”文本框中输入地址，单击“查询”按钮。

步骤15：查看扫描出的IP地址，搜索完毕后可在界面中看见大量的IP地址，选择其中一段IP地址范围。

步骤16：单击“添加”按钮，切换至“添加搜索任务”对话框，在“地址范围”选项组中单击“添加”按钮。

步骤17：设置搜索IP范围，弹出“添加搜索IP范围”对话框，设置地址范围类型为“起止地址范围”，然后输入起始地址和结束地址，单击“确定”按钮。

步骤18：单击“下一步”按钮，返回“添加搜索任务”对话框，可看见添加的IP地址范围，单击“下一步”按钮。

步骤19：单击“添加”按钮，切换至新的界面，单击“添加”按钮，添加代理服务器常用的端口。

步骤20：添加端口和协议，在弹出的对话框中添加单一端口80，勾选“必搜”复选框，单击“确定”按钮。

步骤21：添加其他的端口和协议，使用相同的方法添加常用的3128和8080端口和协议，然后单击“完成”按钮。

步骤22：开始搜索，返回代理猎手主界面，此时可看见添加的搜索任务，单击工具栏中的“开始搜索”按钮，开始搜索添加的任务。

步骤23：单击“精简结果”按钮，搜索所花费的时间与所设置的IP地址段有关，搜索完毕后切换至“搜索结果”选项卡可看见搜索结果，单击“精简结果”按钮。

步骤24：精简搜索结果，在搜索出的代理服务器中，可用代理服务器的验证状态为free，因此只取消勾选Free复选框，然后单击“确定”按钮。

步骤25：查看精简的结果，返回代理猎手主界面，此时可看见验证状态为Free的所有代理服务器。

利用代理猎手验证代理服务器IP

除了利用代理猎手寻找代理服务器之外，用户还可以将从搜索引擎中或各大论坛中搜索到的代理服务器IP地址导入代理猎手中进行验证，查看是否有可用的代理服务器，其具体操作为：首先将搜索到的代理服务器IP地址及端口信息粘贴到文本文档中，打开代理猎手主界面，切换至“搜索结果”选项卡，然后单击“添加结果”按钮，在弹出的“导入结果”对话框中选择粘贴了代理服务器IP地址及端口信息的文本文档，在代理猎手主界面单击“验证”按钮即可开始验证导入的代理服务器信息。验证状态为Free的为可用代理服务器。

四、如何使用SocketCap设置代理上网？

首先设置SOCKS代理服务器信息和SOCKS版本，然后新建应用程序标识项，最后在SocketCap运行应用程序即可。

SocksCap软件是由美国公司免费出品的代理服务器第三方支持软件。其拥有功能强大的SOCKS调度功能，通过它几乎可以让所有基于TCP/IP协议以及UDP协议（需要Socks代理）的软件都能通过SOCKS代理服务器连接到Internet。

步骤1：启动SocksCap应用程序，单击桌面左下角的“开始”按钮，在弹出的“开始”菜单中依次单击“所有程序＞SocksCap＞SocksCap”命令。

步骤2：单击“设置”命令，打开SocksCap控制台界面，在菜单栏中依次单击“文件＞设置”命令。

步骤3：设置SOCKS服务器和端口，弹出“SocksCap设置”对话框，在“服务器”组中输入可用的SOCKS服务器IP地址和端口，例如输入SOCKS服务器IP地址为“60.30.137.1”，输入端口为“80”。

步骤4：选择SOCKS版本，接着在“协议”选项组中单击选中“SOCKS”单选按钮，然后单击“确定”按钮。

步骤5：单击“新建”命令，返回SocksCap控制台界面，在菜单栏中依次单击“文件＞新建”命令。

步骤6：输入标识项名称，弹出“新建应用程序标识项”对话框，输入标识项名称，然后单击“命令行”右侧的“浏览”按钮。

步骤7：选择应用程序，弹出“浏览应用程序”对话框，在“查找范围”下拉列表中选择应用程序的安装文件夹，然后在列表框中选择应用程序快捷图标，单击“打开”按钮。

步骤8：单击“确定”按钮，返回“新建应用程序标识项”对话框，确认命令行和工作目录无误后单击“确定”按钮。

步骤9：运行添加的应用程序，使用相同的方法可添加其他应用程序，添加后若想运行某应用程序，只需选中对应的应用程序图标，单击“运行”按钮即可。

五、如何防范黑客的跳板攻击？

利用Fluxay（流光）软件远程扫描网络中的计算机，然后探测目标计算机的IPC$用户列表，最后远程登录目标计算机随时监控。

为了防范黑客的远程跳板攻击，用户可以选择Fluxay软件，其原因主要是因为它所特有的一种扫描模式——远程扫描模式，将该软件安装在远程“肉鸡”上，就可以轻易实现远程的跳板式扫描。

步骤1：启动Fluxay应用程序，在桌面上双击Fluxay快捷图标，启动Fluxay应用程序。

步骤2：扫描POP3/FTP/NT/SQL主机，打开Fluxay主界面，在菜单栏中依次单击“探测＞扫描POP3/FTP/NT/SQL主机（S）”命令。

步骤3：主机扫描设置，弹出“主机扫描设置”对话框，在“扫描范围”选项组中设置开始地址和结束地址，然后选择扫描主机类型，设置后单击“确定”按钮。

步骤4：查看扫描结果，扫描完毕后弹出“扫描结果”对话框，此时可看见扫描的结果，单击“确定”按钮。

步骤5：探测IPC$用户列表，右击任一目标主机，在弹出的快捷菜单中依次单击“探测＞探测IPC$用户列表”命令。

步骤6：仅探测Administrator组的用户，在弹出的对话框中勾选“仅探测Administrator组的用户”复选框，单击“是”按钮开始探测。

步骤7：远程连接目标计算机，探测完毕后可在弹出的对话框中看见探测出的目标计算机登录密码、用户名和IP地址等信息。接着远程登录目标计算机，打开命令提示符窗口，输入远程登录命令后按【Enter】键，稍等片刻即可显示“命令成功完成”的信息。

微信公众号：计算机与网络安全

ID：Computer-network