1.1 认识黑客

1.1.1 什么是黑客

“黑客”一词源于英文“Hacker”，原指热衷于电脑技术、水平高超的电脑专家，尤其是程序设计人员。这些人专注研究系统漏洞和程序缺陷，他们不以入侵网络为乐趣，而更多地致力于发现新的漏洞，并提出修补漏洞的方法，这类人被称为“白帽黑客”。

但到了今天，黑客一词已被用于泛指那些为了显示自己的本领和成就，以恶意入侵别人电脑进行破坏和信息窃取为标志的群体，这些人其实应该称为“Cracker”，即“骇客”。

这类人以利用自己掌握的技术入侵网络中的电脑为乐趣，网络上被骇客入侵的电脑被他们称为“肉鸡”。一旦他们入侵了某台电脑，就取得了这台电脑的绝对控制权，可以随意对系统进行破坏并窃取数据等。

1.1.2 黑客常用的攻击手段

黑客攻击手段可分为非破坏性攻击和破坏性攻击两大类。非破坏性攻击一般只是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以入侵他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的的。下面介绍黑客常用的几种攻击手段。

1.网络嗅探与监听

网络嗅探其实最开始是应用于网络管理的，就像远程控制软件一样。但是，随着黑客技术的进步，这些强大的功能就开始被黑客们所利用。最普遍的安全威胁来自内部，同时这些威胁通常是致命的，破坏性也非常大。很多黑客使用嗅探器进行网络入侵渗透。

网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具，它可以将网络接口设置在监听模式，并且可以截获网上传输的信息，也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其他主机，使用网络监听可以有效地截获网上的数据，这是黑客使用最多的方法，但是，网络监听只能应用于物理上连接于同一网段的主机，通常被用于获取用户口令。

2.后门程序

由于程序员设计一些功能复杂的程序时，一般采用模块化的程序设计思想，将整个项目分割为多个功能模块分别进行设计、调试，这时的后门就是一个模块的秘密入口。在程序开发阶段，后门便于测试、更改和增强模块功能。正常情况下，完成设计之后需要去掉各个模块的后门，不过有时由于疏忽或者其他原因（如将其留在程序中，便于日后访问、测试或维护）后门没有去掉，一些别有用心的人会利用“穷举搜索法”发现并利用这些后门，然后进入系统并发动攻击。

3.IP地址欺骗

IP地址欺骗攻击是黑客们假冒受信主机目标进行的攻击。在这种攻击中，受信主机指的是拥有管理控制权限的主机或明确做出“信任”决定允许其访问自己网络的主机。通常，这种IP地址欺骗攻击局限于把数据或命令注入到客户机/服务器应用之间，或对等网络连接传送中已存在的数据流。为了达到双向通信，攻击者必须改变指向被欺骗IP地址的所有路由表。

4.信息炸弹

信息炸弹是指使用一些特殊工具软件，短时间内向目标服务器发送大量超出系统负荷的信息，造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向没有安装补丁的Windows系统发送特定组合的UDP数据包，会导致目标系统死机或重启；向某型号的路由器发送特定数据包致使路由器死机；向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。

5.拒绝服务

“拒绝服务”又叫分布式DOS攻击，它是使用超出被攻击目标处理能力的大量数据包消耗系统的可用系统、带宽资源，最后导致网络服务瘫痪的一种攻击手段。攻击者通过常规的黑客手段侵入并控制某个网站，然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程，攻击者把攻击对象的IP地址作为指令下达给进程的时候，这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽，对某个特定目标实施攻击，因而威力巨大，顷刻之间就可以使被攻击目标带宽资源耗尽，导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。

6.应用基层攻击

应用基层攻击能够使用多种不同的方法来实现，最平常的方法是使用服务器上可找到的应用软件（例如SQL Server、Sendmail和FTP等）的缺陷，通过使用这些缺陷，攻击者能够获得电脑的访问权，以及在该电脑上运行相应程序所需的账户许可权等。