01 传统网络安全攻防体系

黑客发起一次完整的网络攻击一般包含：目标锁定、信息采集、漏洞分析、攻击执行、权限提升、目标控制等步骤。

（1）目标锁定

发起攻击的第一步就是确定一个目标，要确定本次攻击的可行性，明确这次攻击的目的和意义，而不是盲目发起攻击，既要知道自己发起攻击是为了什么，又要知道自己发起攻击的后果是什么，要通过攻击得到什么效果。在锁定目标、明确目的后，进入攻击的下一步骤。

（2）信息采集

古代战争讲究兵法，要出奇制胜，现代网络攻击也是如此，长时间的攻击能让对手有准备、应对的时间，降低了攻击成功的可能性，也增加了自己暴露的可能性，然而要缩短攻击的时间，就是要依靠攻击前的充分准备。知己知彼，方能百战不殆。充分地了解目标的状态，收集对方信息，是发动攻击前要做的必备工作，是攻击能否成功的关键所在。

黑客在发动攻击前首先会了解服务器操作系统、目标位置、开放端口、管理员身份和喜好等各种信息。因此，信息收集方法的好坏决定了其效率的高低和信息质量的好坏，下面介绍几款常用的信息收集工具。

① SNMP协议：简单网络管理协议，管理网络的协议可以被用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。

② TraceRoute程序：网络链路测试的工具，可以明细到目标每一跳的路径。

③ Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数。

④ DNS服务器：该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。

⑤ Finger协议：用户信息协议，用来获取一个指定主机上的所有用户的详细信息（如注册名、电话号码、最后注册时间以及他们有没有读邮件等）。

⑥ Ping：测试与目标站点的连通性。

（3）漏洞分析

当完成一定量的信息收集后，黑客开始使用一些常规的入侵检测软件分析目标系统存在的安全漏洞，实施入侵攻击。一般的入侵检测软件可分为以下两大类。

1）自编入侵程序

对于大量的需要联网的应用程序，其中时不时有产品发生安全问题，黑客利用那些自己发现的 0Day 安全漏洞，或是已经发布了补丁但是系统管理员没有及时更新的安全漏洞，将其利用方法写成程序、脚本的形式，自动地搜索目标服务器的每个角落、每个目录，一旦有一条对应成功，就意味着入侵成功的希望。

2）利用专业工具

Internet安全扫描程序（ISS，Intemet Security Scanner）、网络安全审计分析工具（SATAN，Securi Ana1ysis Tool for Auditing Network）等专业安全工具，可以对整个网络或子网进行扫描，寻找安全漏洞。这些专业工具具有两面性，管理员利用工具可检查网络的安全性，并加以加固，而黑客利用这些工具，则可成为其入侵的垫脚石。

（4）攻击执行

在成功找到目标机器的漏洞后，黑客可以通过这一软肋进行越权访问，在目标机器上执行命令。为了长时间获得对其的控制权限和扩大其战果，一般黑客会做出以下行为。

① 清除自身的访问记录，删除日志文件中记录自己行为的部分，使自己更难被发现，并隐藏自己入侵的手段，若黑客是用0Day漏洞进行入侵，则会对此更加重视。