黑客术语

系统篇肉鸡肉鸡就是具有最高管理权限的远程电脑。简单的说就是受你控制的远程电脑。肉鸡可以是win、Unix/Linux……等各种系统；肉鸡可以是一家公司的服务器，一家网站的服务器，甚至是美国白宫或军方的电脑，只要你有这本事入侵并控制他，要登陆肉鸡，必须知道3个参数：远程电脑的IP、用户名、密码。3389、4899肉鸡3389是Windows终端服务(Terminal Services)所默认使用的端口号，该服务是微软为了方便网络管理员远程管理及维护服务器而推出的，网络管理员可以使用远程桌面连接到网络上任意一台开启了终端服务的计算机上，成功登陆后就会象操作自己的电脑一样来操作主机了。这和远程控制软件甚至是木马程序实现的功能很相似，终端服务的连接非常稳定，而且任何杀毒软件都不会查杀，所以也深受黑客喜爱。黑客在入侵了一台主机后，通常都会想办法先添加一个属于自己的后门帐号，然后再开启对方的终端服务，这样，自己就随时可以使用终端服务来控制对方了，这样的主机，通常就会被叫做3389肉鸡。Radmin是一款非常优秀的远程控制软件，4899就是 Radmin默认使以也经常被黑客当作木马来使用(正是这个原因，目前的杀毒软件也对Radmin查杀了)。有的人在使用的服务端口号。因为Radmin 的控制功能非常强大，传输速度也比大多数木马快，而且又不被杀毒软件所查杀，所用Radmin管理远程电脑时使用的是空口令或者是弱口令，黑客就可以使用一些软件扫描网络上存在Radmin空口令或者弱口令的主机，然后就可以登陆上去远程控制对恶劣，这样被控制的主机通常就被成做4899肉鸡。跳板一个具有辅助作用的机器，利用这个主机作为一个间接的工具，来入侵其他的主机，一般和肉鸡连用。注入随着B/S模式应用开发的发展，使用这种模式编写程序的程序员越来越来越多，但是由于程序员的水平参差不齐相当大一部分应用程序存在安全隐患。用户 可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想要知的数据，这个就是所谓的SQLinjection，即：SQL注意入。注入点是可以实行注入的地方，通常是一个访问数据库的连接。根据注入点数据库的运行帐号的权限的不同，你所得到的权限也不同。溢出确切的讲，应该是“缓冲区溢出”。简单的解释就是程序对接受的输入数据没有执行有效的检测而导致错误，后果可能是造成程序崩溃或者是执行攻击者的命令。大致可以分为两类：(1)堆溢出;(2)栈溢出。默认共享默认共享是WINDOWS2000/XP/2003系统开启共享服务时自动开启所有硬盘的共享，因为加了"$"符号，所以看不到共享的托手图表，也成为隐藏共享。端口(Port)相当于一种数据的传输通道。用于接受某些数据，然后传输给相应的服务，而电脑将这些数据处理后，再将相应的恢复通过开启的端口传给对方。一般每一个端口的开放的偶对应了相应的服务，要关闭这些端口只需要将对应的服务关闭就可以了。shell shell就是系统于用户的交换式界面。简单来说，就是系统与用户的一个沟通环境，我们平时用到的DOS就是一个shell。（Win2K是cmd.exe）shell是一种操作系统用户交互界面的Unix工具，它是理解和执行用户输入的命令的程序层。在一些系统中，shell称为命令解析器。shell通常指命令语法界面（想象DOS操作系统及其“C:>”提示符以及“dir”、“edit”等用户命令）。root Unix里最高权限的用户,也就是超级管理员。rootkitrootkit是攻击者用来隐藏自己的行踪和保留root(根权限，可以理解成 WINDOWS下的system或者管理员权限)访问权限的工具。通常，攻击者通过远程攻击的方式获得root访问权限，或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限，进入系统后，再通过，对方系统内存在的安全漏洞获得系统的root权限。然后，攻击者就会在对方的系统中安装 rootkit，以达到自己长久控制对方的目的，rootkit与我们前边提到的木马和后门很类似，但远比它们要隐蔽，黑客守卫者就是很典型的 rootkit，还有国内的ntroorkit等都是不错的rootkit工具。admin windows NT,2K,XP里最高权限的用户,也就是超级管理员。rootshell 通过一个溢出程序，在主机溢出一个具有root权限的shell。exploit 溢出程序。exploit里通常包含一些shellcode。shellcode溢出攻击要调用的API函数，溢出后要有一个交换式界面进行操作。所以说就有了shellcode。API（Application    Programming    Interface）应用程序编程接口  是操作系统为程序开发人员提供的一组函数库，开发人员可以通过调用API简易的实现一些操作系统已经提供的功能。（下面有API的详细解释）Acces Control list(ACL)访问控制列表。Address Resolution Protocol(ARP)地址解析协议。 Administrator account 管理员帐号。 ARPANET阿帕网(Internet的简称)。access token访问令牌。adaptive speed leveling自适应速度等级调整。algorithm算法alias别名。anlpasswd一种与PASSWD+相似的代理密码检查器。applicatlons应用程序异步传递模式。accout lockout帐号封锁。accout policies记帐策略。accounts帐号。adapter适配器。IPC$是共享“命名管道”的资源，它是为了让进程间通信而开放的饿命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用。什么是API(Application Programming Interface)   首先，有必要向大家讲一讲，什么是API。所谓API本来是为C和C++程序员写的。API说来说去，就是一种函数，他们包含在一个附加名为DLL的动态连接库文件中。用标准的定义来讲，API就是Windows的32位应用程序编程接口，是一系列很复杂的函数，消息和结构，它使编程人员可以用不同类型的编程语言编制出的运行在Windows95和Windows NT操作系统上的应用程序。可以说，如果你曾经学过VC，那么API对你来说不是什么问题。但是如果你没有学过VC，或者你对Windows95的结构体系不熟悉，那么可以说，学习API将是一件很辛苦的事情。如果你打开WINDOWS的SYSTEM文件夹，你可以发现其中有很多附加名为DLL的文件。一个DLL中包含的API函数并不只是一个，数十个，甚至是数百个。我们能都掌握它嘛?回答是否定的∶不可能掌握。但实际上，我们真的没必要都掌握，只要重点掌握Windos系统本身自带的API函数就可以了。但，在其中还应当抛开掉同VB本身自有的函数重复的函数。如，VB的etAttr命令可以获得文件属性，SetAttr可以设置文件属性。对API来讲也有对应的函数GetFileAttributes和SetFileAttributes，性能都差不多。如此地一算，剩下来的也就5、600个。是的，也不少。但，我可以敢跟你说，只要你熟悉地掌握100个，那么你的编程水平比现在高出至少要两倍。尽管人们说VB和WINDOWS具有密切的关系，但我认为，API更接近WINDOWS。如果你学会了API，首要的收获便是对WINDOWS体系结构的认识。这个收获是来自不易的。如果你不依靠API会怎么样?我可以跟你说，绝大多是高级编程书本(当然这不是书的名程叫高级而高级的，而是在一开始的《本书内容》中指明《本书的阅读对象是具有一定VB基础的读者》的那些书)，首先提的问题一般大都是从API开始。因此可以说，你不学API，你大概将停留在初级水平，无法往上攀登。唯一的途径也许就是向别人求救∶我快死了，快来救救我呀，这个怎么办，那个怎么办?烦不烦呢?当然，现在网上好人太多(包括我在内，嘻嘻)，但，你应当明白，通过此途径，你的手中出不了好的作品。这是因为缺乏这些知识你的脑子里根本行不成一种总体的设计构思。【WAP攻击】黑客们在网络上疯狂肆虐之后，又将“触角”伸向了WAP（无线应用协议的英文简写），继而WAP成为了他们的又一个攻击目标。“WAP攻击”主要是指攻击WAP服务器，使启用了WAP服务的手机无法接收正常信息。由于目前WAP无线网络的安全机制并非相当严密，因而这一领域将受到越来越多黑客的“染指”。现在，我们使用的手机绝大部分都已支持WAP上网，而手机的WAP功能则需要专门的WAP服务器来支持，若是黑客们发现了WAP服务器的安全漏洞，就可以编制出针对该WAP服务器的病毒，并对其进行攻击，从而影响到WAP服务器的正常工作，使WAP手机无法接收到正常的网络信息。【ICMP协议】ICMP（全称是Internet Control Message Protocol，即Internet控制消息协议）用于在IP主机、路由器之间传递控制消息，包括网络通不通、主机是否可达、路由是否可用等网络本身的消息。例如，我们在检测网络通不通时常会使用Ping命令，Ping执行操作的过程就是ICMP协议工作的过程。“ICMP协议”对于网络安全有着极其重要的意义，其本身的特性决定了它非常容易被用于攻击网络上的路由器和主机。例如，曾经轰动一时的海信主页被黑事件就是以ICMP攻击为主的。由于操作系统规定ICMP数据包最大尺寸不超过64KB，因而如果向目标主机发送超过64KB上限的数据包，该主机就会出现内存分配错误，进而导致系统耗费大量的资源处理，疲于奔命，最终瘫痪、死机。【时间戳】“时间戳”是个听起来有些玄乎但实际上相当通俗易懂的名词，我们查看系统中的文件属性，其中显示的创建、修改、访问时间就是该文件的时间戳。对于大多数一般用户而言，通过修改“时间戳”也许只是为了方便管理文件等原因而掩饰文件操作记录。但对于应用数字时间戳技术的用户就并非这么“简单”了，这里的“时间戳”（time-stamp）是一个经加密后形成的凭证文档，是数字签名技术的一种变种应用。在电子商务交易文件中，利用数字时间戳服务（DTS：digita1 time stamp service）能够对提供电子文件的日期和时间信息进行安全保护，以防止被商业对手等有不良企图的人伪造和篡改的关键性内容。【MySQL数据库】我们在黑客文章中常会看到针对“MySQL数据库”的攻击，但很多朋友却对其不大了解。“MySQL数据库”之所以应用范围如此广泛，是由于它是一款免费的开放源代码的多用户、多线程的跨平台关系型数据库系统，也可称得上是目前运行速度最快的SQL语言数据库。“MySQL数据库”提供了面向C、C++、Java等编程语言的编程接口，尤其是它与PHP的组合更是黄金搭档。“MySQL数据库”采用的是客户机/服务器结构的形式，它由一个服务器守护程序Mysqld和很多不同的客户程序和库组成。但若是配置不当，“MySQL数据库”就可能会受到攻击，例如若是设置本地用户拥有对库文件读权限，那么入侵者只要获取“MySQL数据库”的目录，将其复制本机数据目录下就能访问进而窃取数据库内容。【MD5验证】MD5（全称是message-digest algorithm 5）的作用是让大容量信息在用数字签名软件签署私人密匙前被“压缩”为一种保密的格式。它的典型应用是对一段信息（message）产生信息摘要（message-digest），以防止被篡改。通俗地说MD5码就是个验证码，就像我们的个人身份证一样，每个人的都是不一样的。MD5码是每个文件的唯一校验码（MD5不区分大小写，但由于MD5码有128位之多，所以任意信息之间具有相同MD5码的可能性非常之低，通常被认为是不可能的），凭借此特性常被用于密码的加密存储、数字签名及文件完整性验证等功能。通过MD5验证即可检查文件的正确性，例如可以校验出下载文件中是否被捆绑有其它第三方软件或木马、后门（若是校验结果不正确就说明原文件已被人擅自篡改）。Webshell是什么？这是很多朋友在疑惑的问题，什么是webshell？今天我们就讲讲这个话题！webshell是web入侵的脚本攻击工具。简单的说来，ebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做是一种网页后门。黑客在入侵了一个网站后，通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，好后就可以使用浏览器来访问这些asp 或者php后门，得到一个命令执行环境，以达到控制网站服务器的控制网站服务器，包括上传下载文件、查看数据库、执行任意程序命令等。可以上传下载文件，查看数据库，执行任意程序命令等。国内常用的WebShell有海阳ASP木马，Phpspy，c99shell等为了更好理解webshell我们学习两个概念：什么是“木马”？“木马”全称是“特洛伊木马(Trojan<BR>Horse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载 (Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。什么是后门？大家都知道，一台计算机上有65535个端口，那么如果把计算机看作是一间屋子，那么这65535个端口就可以它看做是计算机为了与外界连接所开的65535 扇门。每个门的背后都是一个服务。有的门是主人特地打开迎接客人的（提供服务），有的门是主人为了出去访问客人而开设的（访问远程服务）——理论上，剩下的其他门都该是关闭着的，但偏偏由于各种原因，很多门都是开启的。于是就有好事者进入，主人的隐私被刺探，生活被打扰，甚至屋里的东西也被搞得一片狼迹。这扇悄然被开启的门——就是“后门”。webshell的优点webshell 最大的优点就是可以穿越防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。如何寻找webshel：1，脚本攻击SQL注入<BR>2，使用注入工具<BR>3，在浏览器里打开百度,输入搜索关键词"在本页操作不需要FSO支持&"或者"一次只能执行一个操作",然后点击搜索,很快就可以看到检索到了大量的查询结果.<BR>其他的东西，暂时不多说了，以后再深入吧，每天准备一个话题，需要的是巨大的毅力和努力，我们举办的每日讲座就是为了通俗容易懂的普及信息安全知识，让不喜欢看文章，觉得信息安全知识很深奥枯燥的人都明白，其实他只要花很少时间，就可以了解很多信息安全知识！NTLM验证NTML(NT LAN Manager)是微软公司开发的一种身份验证机制，从NT4开始就一直使用，主要用于本地的帐户管理。IPC管道为了更好地控制和处理不同进程之间的通信和数据交换，系统会通过一个特殊的连接管道来调度各个进程木马篇木马全称为特洛伊木马(Trojan Horse)。“特洛伊木马”这一词最早出现在希腊神话传说中。相传在3000年前，在一次希腊战争中。麦尼劳斯派兵讨伐特洛伊王国，但久攻不下。他们想出一个主意，首先他们假装被打败然后留下一个大木马，。而木马里面却藏着最强悍的勇士！最后等时间一到木马里的勇士冲出来把敌人打败了。这就是后来的“木马计”，而黑核中的木马有点后门的意思，就是把预谋的功能隐藏在公开的功能里，掩饰真正的企图。传统的木马包括客户端（Client）和服务端(Server)两个程序，客户端是用于远程控制目标机器，服务端即真实的木马，和神话中的那个木马一样的性质：隐藏在目标机器中，充当卧底，一旦客户端向其发出命令，服务端便起着内应的作用，接受客户端的命令并在目标机器上作出相应的反应。因为它容易上手、功能强大，不用强记硬背那些复杂的命令，任何接触电脑的人都能使用，所以当今的木马的危害大于病毒。1.远程控制木马 远程控制木马是数量最多，危害最大，同时知名度也最高的一种木马，它可以让攻击者完全控制被感染的计算机，攻击者可以利用它完成一些甚至连计算机主人本身都不能顺利进行的操作，其危害之大实在不容小觑。由于要达到远程控制的目的，所以，该种类的木马往往集成了其他种类木马的功能。使其在被感染的机器上为所欲为，可以任意访问文件，得到机主的私人信息甚至包括信用卡，银行账号等至关重要的信息。 大名鼎鼎的木马冰河就是一个远程访问型特洛伊木马。这类木马用起来是非常简单的。只需有人运行服务端并且得到了受害人的IP。就会访问到他/她的电脑。他们能在你的机器上干任何事。远程访问型木马的普遍特征是:键盘记录，上传和下载功能，注册表操作，限制系统功能……等。远程访问型特洛伊木马会在你的电脑上打开一个端口以保持连接。2.密码发送木马 在信息安全日益重要的今天。密码无疑是通向重要信息的一把极其有用的钥匙，只要掌握了对方的密码，从很大程度上说。就可以无所顾忌地得到对方的很多信息。而密码发送型的木马正是专门为了盗取被感染计算机上的密码而编写的，木马一旦被执行，就会自动搜索内存，Cache，临时文件夹以及各种敏感密码文件，一旦搜索到有用的密码，木马就会利用免费的电子邮件服务将密码发送到指定的邮箱。从而达到获取密码的目的，所以这类木马大多使用25号端口发送E-mail。大多数这类的特洛伊木马不会在每次Windows重启时重启。这种特洛伊木马的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们发送到指定的信箱，如果体育隐藏密码，这些特洛伊木马是危险的。 由于我们需要获得的密码多种多样，存放形式也大不相同，所以，很多时候我们需要自己编写程序，从而得到符合自己要求的木马。 3.键盘记录木马 这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验，这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项，顾名思义，它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键，下木马的人都知道，从这些按键中他很容易就会得到你的密码等有用信息，甚至是你的信用卡账号哦!当然，对于这种类型的木马，邮件发送功能也是必不可少的。 4.破坏性质的木马 这种木马惟一的功能就是破坏被感染计算机的文件系统，使其遭受系统崩溃或者重要数据丢失的巨大损失。从这一点上来说，它和病毒很相像。不过，一般来说，这种木马的激活是由攻击者控制的，并且传播能力也比病毒逊色很多。 5.DoS攻击木马 随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多，你发动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。 还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。 6.代理木马 黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序，从而隐蔽自己的踪迹。 7.FTP木马 这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进人对方计算机。 8.程序杀手木马 上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。在http:/www.snake-basket.de/e/AV.txt这个地址，你能找到现在流行使用的绝大多数防病毒和防木马软件的名称、介绍以及结束它们的方法。 9.反弹端口型木马 木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页 (防火墙也会这么认为，我想大概没有哪个防火墙会不让用户向外连接80端口吧)。 看到这里，有人会问:那服务端怎么能知道控制端的IP地址呢?难道控制端只能使用固定的IP地址?一查就查到了。实际上，这种反弹端口的木马常常会采用固定IP的第三方存储设备来进行IP地址的传递。举一个简单的例子:事先约定好一个个人主页的空间，在其中放置一个文本文件，木马每分钟去GET一次这个文件，如果文件内容为空，就什么都不做，如果有内容，就按照文本文件中的数据计算出控制端的IP和端口，反弹一个TCP链接回去，这样，每次控制者上线只需要FTP一个INI文件，就可以告诉木马自己的位置。为了保险起见。这个IP地址甚至可以经过一定的加密，除了服务和控制端。其他的人就算拿到了也没有任何意义。对于一些能够分析报文、过滤TCP/UDP的防火墙，反弹端口型木马同样有办法对付。简单来说。控制端使用80端口的木马完全可以真的使用HTTP协议，将传送的数据包含在HTTP的报文中，难道防火墙真的精明到可以分辨通过HTTP协议传送的究竟是网页，还是控制命令和数据。10.网页木马表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。11.挂马就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里，以使浏览者中马。12.后门这是一种形象的比喻，入侵者在利用某些方法成功的控制了目标主机后，可以在对方的系统中植入特定的程序，或者是修改某些设置。这些改动表面上是 很难被察觉的，但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接，重新控制这台电脑，就好象是入侵者偷偷的配了一把主人房间的要是，可 以随时进出而不被主人发现一样。通常大多数的特洛伊木马(Trojan Horse)程序都可以被入侵者用语制作后门(BackDoor)漏洞篇Unicode漏洞Unicode漏洞是一个16位的字符集，它可以移植到所有主要的计算机平台并且覆盖几乎整个世界。微软IIS4。0和5。0都存在利用扩展 Unicode字符取代“/”和“╲”而能利用“。。/”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename帐号的上下文空间访问任何以知的文件。该帐号在默认的情况下属于Every-one和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问文件都能被删除，修改或执行，就如同一个用户成功登陆所能完成的一样。CGI漏洞CGI是Common Gateway Interface（公用网关接口）的简称，并不特指一种语言。Web服务器的安全问题包括，一是Web服务器软件编制中的BUG；二是服务器配置错误。这可能导致CGI源代码泄露，物理路径信息泄露，系统敏感信息泄露或远程执行任意指令。CGI语言漏洞分为以下几种；配置错误，边界条件错误，访问验证错误，策略错误，使用错误等等。IIS漏洞IIS的英文全称是Internet Information Service, 是微软公司的Web服务器。IIS支持多种需要服务器处理的文件类型，当一个web用户从客户端请求此类文件时，相应的DLL文件将自动对其进行处理。然而在ISM.DLL这个负责处理HTR文件的文件中被发现存在严重的安全漏洞。它可能对WEB服务器的安全造成威胁。IPC$漏洞IPC$是共享‘命名管道’的资源，他对于程序间的通讯很重要。在远程管理计算机和查看计算机的共享资源时使用。利用IPC我们可以与目标主机建立一个空的连接，而利用这个空的连接，我们还可以得到目标主机上的用户列表。但是，一些别有用心者会利用IPC$，查找我们的用户列表，并使用一些字典工具，对我们的主机进行攻击。SSL漏洞SSL的英文全称是Secure socket layer，是网上传输信用卡和帐户密码等信息时广泛采用的行业加密标准。3389漏洞由于微软在中国的输入法原因，使得安装了微软终端服务和全拼的Win2k服务器存在着远程登陆并能获得超级用户权限的严重漏洞。弱口令攻击一些网站的管理员帐号密码，FTP密码，SQL密码等使用非常简单的或容易猜测到的字母或数字，比如123，abc，等。利用现有的家用的计算机配合破解软件足可以在短暂时间内轻松破解，一旦破解，主机便意味着被破解。其他类窃听窃听或搭线窃听，仅是指对私人通话的窃听。在IT世界中就安全而言，它的范围涵盖了远程窃听和记录，包括对电话通话、传真通信、电子邮件和数据传输等的截取和数据骗取，甚至还包括对无线通信的无线信号进行扫描。 ECB电子代码本（ECB）是密文块的一种运作模式，其特色是每一种可能出现的纯文本信息都会有固定的密文与之相对，且反之亦然。换言之，相同的纯文本信息总是被加密成相同的密文信息。 Echelon是一个未被官方承认的美国引导全球的间谍网络，其中运行着一个对电子通讯进行截取和中继的自动化系统。据说，每日所监控的通讯多达30亿条，包括全球公共和私人组织以及市民的所有电话通话、电子邮件消息、传真、卫星通讯和Internet下载。 响应应答响应应答是接收到响应询问的计算机通过ICMP发出的响应。 响应询问响应询问是一条发送给某台计算机的ICMP消息，用于确定其是否在线和向它发送信息时，信息到达所需的时间。  EFS加密文件系统（EFS）是Windows2000操作系统中的一种功能，可支持任何文件或文件夹以加密的形式进行储存，而且只能由个别用户和经授权的密码恢复代理才可以解密。EFS对于移动计算机用户来说，尤为重要，因为他们的计算机（以及文件）很可能遭受盗窃；另外对于储存敏感性很高的数据来说，EFS 也是特别重要的。 外行信息过滤对向外输送的数据进行过滤。 电子嬉皮士集体电子嬉皮士集体是一种由黑客形动主义者组成的国际性组织，总部设在英格兰的牛津郡，他们的目的是利用国际互联网作为通讯和宣传的工具来宣泄自己的思想。电子嬉皮士集体进行抗议所采取的普通方式是网络静坐示威。 电子源码书电子源码书（ECB）是密码块操作的一种模式，其主要特点为每一种可能存在的纯文本内容都拥有固定的密文与之相对应，而且反之亦然。换言之，相同的纯文本内容总会被转化成相同的密文。 Elk ClonerElk Cloner是据今为止为人所知的最早（1982）在世界范围内进行传播的计算机病毒。 椭圆曲线加密法椭圆曲线加密法（ECC）是一种公钥加密技术，以椭圆曲线理论为基础，在创建密钥时可做到更快、更小，并且更有效。ECC利用椭圆曲线等式的性质来产生密钥，而不是采用传统的方法利用大质数的积来产生。 电子邮件攻击电子邮件攻击的常用方式是垃圾邮件攻击，包括钓鱼攻击。每天，全世界范围内数十亿封发出的电子邮件中，至少有三分之一是不请自来的，也就是垃圾邮件。而色情垃圾邮件达到所有垃圾邮件总数的25%以上。 电子邮件伪造电子邮件伪造是指对电子邮件的信息头进行修改，以使该信息看起来好象来自其真实源地址之外的其它地址。垃圾邮件的传播者通常使用哄骗的方式来达到诱使接收者打开电子邮件，甚至可能对他们的请求进行回复。 电子邮件欺骗电子邮件欺骗是指对电子邮件的信息头进行修改，以使该信息看起来好象来自其真实源地址之外的其它地址。垃圾邮件的传播者通常使用哄骗的方式来达到诱使接收者打开电子邮件，甚至可能对他们的请求进行回复。 辐射监控辐射监控是指对电子设备的电辐射或电磁辐射进行监控，这些电子设备包括芯片、监视器、打印机和所有通过空气或导体（如电缆或水管）散发辐射的电子设备。“风暴”是美国政府设立的秘密项目，其宗旨就是研究一些计算机和远程通讯设备所散布的电磁辐射（EMR）导致信息被窃取的可能性。 辐射分析对过对某系统中所发出信号的监控和分析而直接获得通讯数据，而该系统中尽管包括了这些数据，但并未打算将这些数据散布出去。 封装在其它的数据结构中包含某种数据结构，以使被包含的数据结构暂时得以隐藏。 解密文件系统解密文件系统（EFS）是Windows2000操作系统中的一种功能，它支持任何文件或文件夹以一种加密的形式进行储存而解密只能由某个个人用户或经授权的恢复代理人执行。EFS对移动计算机用户来说尤为重要，他们的计算机（和文件）很可能遭受物理性的偷窃，并且在这些计算机中储存着高敏感性的数据。 加密纯文本数据变换成密文的密码转换过程，可以隐藏起数据本来的意思，以防止被别人了解或使用。 临时端口也叫做暂时端口。通常存在于客户机中。它在客户端应用程序需要连接到服务器时建立而在客户端应用程序终止时取消。它的端口号是随机选取的，数值大于1023。 第三方密钥第三方密钥涉及到向可信赖的第三方（TTP）寄存密钥。由于政府部门不断的努力和期望，并且对大众的要求不仅仅局限于由第三方保密密钥，还包括将密钥向执法机构进行公开，因此说，这是一种涉及到情感的项目。这提高了公民的发布自由和安全性。 第三方保管的密码第三方保管的密码是写下来并保存在安全处所的密码，在紧急情况中，如果授权人员无法联系时，处理紧急情况的人员可以使用由第三方保管的密码。 第三方加密标准第三方加密标准（EES）是一种对通信加密的标准，1994年获得美国商业部的批准，更为人知的应用名称是快船芯片。EES的显注特征是所谓的第三方密钥保管，在特定的情况中它支持经授权的政府机构进行窃听形动。 电子签名电子签名也叫做数字签名，是一种电子化的签名，可用于验证消息发送者或文件署名人的身份，并可以保证所发送的消息或文档未被更改。 正面的黑客正面的黑客是计算机或网络的专家，它们代表安全系统的拥有者对该系统进行攻击，找出恶意黑客可以利用的漏洞。在对安全系统进行测试时，正面黑客采用的方法同真正的黑客所采用方法一模一样，但它们不会利用这些漏洞，而是向其拥有者进行报告。 正面的黑客形动正面的黑客形动也叫做渗透测试，侵入测试或红色防线。是由正面的黑客所展开的寻找系统中可能存在问题的形动。 正面蠕虫正面蠕虫是一种在网络中自动发布修补已知安全漏洞补丁的程序。同恶意蠕虫相似，正面蠕虫可以在网络中进行指数级的传输并在用户不知情或不同意的情况下进行执行。它所采用的下载方式是强迫下载。 双面恶魔接入点就安全而言，双面恶魔接入点是一个自制的无线接入点（热点），伪装成合法的接入点在终端用户不知情的情况下收集个人或企业信息。攻击者只要利用膝上电脑、无线网络和一些常用软件就可以很容易地创建一个双面恶魔接入点。 掠取在计算机技术中，掠取是指在计算机系统中进行的攻击，特别用来指利用系统向侵入者提供的特定漏洞。作为动词该术语是指成功进行这种攻击的形为。 指数回归算法指数回归算法用于飞行调整TCP超时值，以便网络设备继续通过已饱和的链接发送数据。 暴露这是一种不安全的形为，即保密数据直接向未经授权的实体进行公开。 可扩展验证协议（EAP）这是一种框架，支持可选择的多重PPP验证机制，包括纯文本密码，挑战-响应和任意对话顺序。 外围网关协议（EGP）向连接到自治系统路由器发布路由选择信息的协议。 Unicode漏洞Unicode漏洞是一个16位的字符集，它可以移植到所有主要的计算机平台并且覆盖几乎整个世界。微软IIS4。0和5。0都存在利用扩展 Unicode字符取代“/”和“╲”而能利用“。。/”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename帐号的上下文空间访问任何以知的文件。该帐号在默认的情况下属于Every-one和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问文件都能被删除，修改或执行，就如同一个用户成功登陆所能完成的一样。DDOS是英文Distributed Denial of Service的缩写,意即"分布式拒绝服务",DDOS的中文名叫分布式拒绝服务攻击，俗称洪水攻击编辑本段DDoS攻击概念　　DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。　　DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。　　这时候分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。　　高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。编辑本段被DDoS攻击时的现象　　被攻击主机上有大量等待的TCP连接　　网络中充斥着大量的无用的数据包，源地址为假　　制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯　　利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求　　严重时会造成系统死机　　　　大级别攻击运行原理　　如图，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。　　有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到，而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1. 考虑如何留好后门！2. 如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。　　但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。编辑本段黑客是如何组织一次DDoS攻击的？　　　　这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤：　　1. 搜集了解目标的情况 　　下列情况是黑客非常关心的情报： 　　被攻击目标主机数目、地址情况　　目标主机的配置、性能　　目标的带宽　　对于DDoS攻击者来说，攻击互联网上的某个站点，如http://www.mytarget.com，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供http://www.yahoo.com 服务的： 　　66.218.71.87 　　66.218.71.88 　　66.218.71.89 　　66.218.71.80 　　66.218.71.81 　　66.218.71.83 　　66.218.71.84 　　66.218.71.86 　　如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使66.218.71.87这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访问不到http://www.yahoo.com 的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。　　所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。　　但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也象网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。　　2. 占领傀儡机 　　黑客最感兴趣的是有下列情况的主机： 　　链路状态好的主机　　性能好的主机　　安全管理水平差的主机　　这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。　　首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。　　总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。　　3. 实际攻击 　　经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令："预备~ ，瞄准~，开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。 　　老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。　　防范DDOS攻击的工具软件：CC v2.0 　　防范DDOS比较出色的防火墙：硬件有Cisco的Guard、Radware的DefensePro，软件有冰盾DDOS防火墙、8Signs Firewall等。      脚本攻击    脚本是使用一种特定的描述性语言，依据一定的格式编写的可执行文件，又称宏或批处理软件，脚本通常可以由应用程序临时调用并执行。各类脚本目前被广泛地应用于网页设计中。脚本不仅可以较小网页的规模和提高网页浏览速度，而且可以丰富网页的表现，如动画、声音等。举个例子，当大家单击网页上的E-mail地址时能自动调用Outlook Express或Foxmail这类邮件软件，就是通过脚本功能来实现的。又如网站一些网页的内容旁边会有一个三角符号，单击它就可以听到读诵，这也是脚本在起作用。    也正因为脚本的这些特点，往往被一些别有用心的人所利用。例如，在脚本中加入一些破坏电脑系统的命令，这样当用户浏览网页时，一旦调用这类脚本，便会使用户的系统收到攻击，因此出现了脚本攻击。