[討論交流] 学习黑客的基本环境

wayne7

学习黑客的基本环境

一、操作系统的选择：
    我们经常听说黑客酷爱Linux系统，这是因为Linux相对Windows提供了更加灵活的操作方式，更加强大的功能。例如对于IP地址的伪造工作，利用Linux系统编写特殊的IP头信息可以轻松完成，然而在Windows系统下却几乎不可能做到。但是Linux也有它不足的一面，这个系统的命令庞杂、操作复杂，并不适合初学者使用，而且对于个人学习者，并没有过多的人会放弃“舒适”的Windows、放弃精彩的电脑游戏和便捷的操作方式，去全心投入黑客学习中。而且对于初学黑客的学习者来说，大多数网络知识都可以在Windows系统中学习，相对Linux系统，Windows平台下的黑客软件也并不在少数，另外通过安装程序包，Windows系统中也可以调试一定量的程序，因此初步学习黑客没有必要从Linux入手。
    本书使用的平台WindowsME，因为对于个人用户来说，NT或者2000多少有些苛刻——系统配置要求太高；然而使用95或者98又缺少某些必要的功能——NET、TELNET命令不完善。但是本书的大部分内容测试漏洞，从远程服务器出发，所以也不是非要WindowsME操作系统进行学习，对于少数系统版本之间的差异，学习者可以和我联系获得相应系统的学习方法。

二、需要的常用软件：
    如果你的系统是WindowsME，那么告诉你一个好消息——你没有必要安装过多的额外软件，因为我们接触的黑客知识依靠系统提供给我们的命令和内置软件就足可以完成了！除了基本的操作系统以外，学习者还需要安装各类扫描器，之后下载一个比较优秀的木马软件、一个监听类软件，除此以外别无它求。如果有必要，读者可以自行安装本文上述软件，然后学习其用法，但是我要告诉你，对于各类炸弹、还有网络上各式各样的黑客软件，在学习完本书后，你都可以自己制作、自己开发，根本没有必要使用他人编写的软件。
    对于扫描器和监听软件，我给出以下建议，并且在本书的后面还会对这几个软件进行详细介绍：

    扫描器：x-scanner
    下载地址：http://www.xfocus.org/
    监听软件：analyzer
    下载地址：http://netgroup-serv.polito.it/netgroup/tools.html
    木马：BackOffice
    下载地址：http://www.hack-net.com/
    这三个软件都是免费的，而且功能异常强大。像xscanner是国产软件，他集成了多种扫描功能于一身，并且同时支持控制台和图形界面两种操作方式，另外提供了详细的漏洞使用说明。对于初学者来说，具备了这两个工具，学习黑客已经绰绰有余了。

三、额外的工具：
    如果可以安装下面的工具，将会对学习黑客有莫大的帮助，当然下面的软件主要是学习额外内容并为“第二部分”学习作铺垫用的，所以没有也不会妨碍本书的学习。
1、后台服务器：
    拥有某些网络应用的后台服务程序，可以将自己的电脑设置成一个小型服务器，用来学习相应的网络应用，从“内部”了解其运作机理，这将会大大提高自己对服务器的感性认识，同时还能够在激活服务器的时候；监测自己服务器上的数据，如果有其他黑客来攻击，则可以清晰的记录下对方的攻击过程，从而学习到更多的黑客攻击方法。对于本书而言，主要介绍网站的Perl和asp等脚本语言漏洞，所以可以安装一个IIS或者HTTPD。然后在安装ActivePerl，使自己的服务器具备编译cgi和pl脚本的能力。使用自己的服务器还有一个好处，可以节省大量的上网时间，将学习、寻找漏洞的过程放到自己的电脑上，既节省了金钱、有不会对网络构成威胁，一举两得。
2、C语言编译平台：
    今后在学习黑客的路途中，将会遇到很多“属于自己的问题”，这些问题网络上的其他人可能不会注意，所以无法找到相应的程序，这个时候学习者就要自己动手开发有关的工具了，所以安装一个Borland C++将会非常便捷，通过这个编译器，学习者既可以学习C语言，也能够修改本书后面列出的一些小程序，打造一个属于自己的工具库。

四、网络安全软件分类
    现在我们来了解一下有关网络安全软件的分类，因为学习黑客知识是两个相互联系的过程：既学习如何黑，还要学会如何防止被黑。
1、防火墙：
    这是网络上最常见的安全机制软件，防火墙有硬件的、也有软件的，大多数读者看到的可能更多都是软件防火墙。其功能主要是过滤垃圾信息（保证系统不会受到炸弹攻击）、防止蠕虫入侵、防止黑客入侵、增加系统隐私性（对敏感数据进行保护）、实时监控系统资源，防止系统崩溃、定期维护数据库，备份主要信息……防火墙可以将系统本身的漏洞修补上，让黑客没有下手的机会。另外对于拥有局域网的企业来说，防火墙可以限制系统端口的开放，禁止某些网络服务（杜绝木马）。
2、检测软件：
    互联网上有专门针对某个黑客程序进行清除的工具，但是这类软件更多是集成在杀毒软件或者防火墙软件内的，对于系统内的木马、蠕虫可以进行检测并清除，软件为了保护系统不受侵害，会自动保护硬盘数据、自动维护注册表文件、检测内容可以代码、监测系统端口开放状态等。如果用户需要，软件还可以编写有关的脚本对指定端口进行屏蔽（防火墙一样具备此功能）。
3、备份工具：
    专门用来备份数据的工具可以帮助服务器定期备份数据，并在制定时间更新数据，这样即便黑客破坏了服务器上的数据库，软件也可以在短时间内完全修复收到入侵的数据。另外对于个人用户，这类软件可以对硬盘进行完全映像备份，一旦系统崩溃，用户利用这类软件可以将系统恢复到原始状态，例如Ghost就是这类软件中的佼佼者。
4、日志纪录、分析工具：
    对于服务器来说，日志文件是必不可少的，管理员可以通过日志了解服务器的请求类型和请求来源，并且根据日志判断系统是否受到黑客攻击。通过日志分析软件，管理员可以轻松的对入侵黑客进行反追踪，找到黑客的攻击来源，进而抓不黑客。这也就是为什么黑客在攻击的时候多采用IP地址伪装、服务器跳转，并在入侵服务器之后清除日志文件的原因。

有什么不明白可在此发问，我会尽量回答。。

wayne7

原帖由 我是阿劲 於 2008-10-8 13:05 發表
wayne7，你好！
我对你提到“4、日志纪录、分析工具：”相当感兴趣，请问可否更详细的描述一下呢？例如；
1）如何可以从“通过日志了解服务器的请求类型”？
2）如何可以“通过日志分析软件？”

...

我是阿劲, 你好~

1) 电脑里的日志是指日志数据可以是有价值的信息宝库，也可以是毫无价值的数据泥潭。要保护和提高你的网络安全，由各种操作系统、应用程序、设备和安全产品的日志数据能够帮助你提前发现和避开灾难，并且找到安全事件的根本原因。

当然，日志数据对于实现网络安全的价值有多大取决于两个因素:第一，你的系统和设备必须进行合适的设置以便记录你需要的数据。第二，你必须有合适的工具、培训和可用的资源来分析收集到的数据。

你不能分析你没有的东西

在你能够分析日志数据之前，你显然要收集数据。更重要的是，记录数据的程序或者设备要设置为收集你需要的数据。例如，微软的Windows操作系统在“Event Viewer Security”(安全事件观察器)中能够检查到各种活动和日志信息。然而，在Windows 2000和XP中，安全检查功能并不是缺省启用的，Windows Server 2003缺省的安全检查设置也许不能满足你的需求。

对于Windows中的安全检查事件，你可以选择记录成功的尝试，或者记录失败的尝试。如果你仅选择记录失败的访问文件和文件夹的数据，记录的数据就不会显示这个文件是什么时候被成功破解的。如果你仅记录成功地访问一个用户账号的尝试，记录的数据就不会向你显示一个黑客50次没有猜对那个账号的用户名和密码。

无论你是在使用Windows操作系统还是任何其它的设备和程序，你必须花费一些时间和努力事先了解你拥有的安全日志功能，并且为你的需要恰当地设置好日志选项。虽然简单地把一切都记录下来似乎是合乎逻辑的，但是，监测和记录安全事件会给处理器增加工作负担并且要使用内存和硬盘的空间。你需要了解可用的日志选项，在记录一切和全不记录之间选择最佳的平衡点，以便记录对你有价值的数据。

信息过载

一旦你收集完日志数据，这个挑战就是如何有效地利用这些数据。位于新泽西州Edison的netForensics公司安全战略家Anton Chuvakin指出:“一旦技术合适和收集完日志，就需要实施一个监测程序并且评估行动中的陷阱和可能的升级。

网络和安全管理员经常花费时间建立日志数据收集，但是，他们没有处理这些数据或者没有现成的资源来监测和分析那些数据。因为没有人监测这些日志数据，有关网络侦察或者潜在的攻击的信息也许会被忽略而失去时效。

当安全事件发生时，查看日志数据也许可以确定事件发生的时间。但是，在很多情况下，需要查看的数据量太大，人们没有经过技术培训或者不会查看这些数据，有日志数据也没有意义了。

现在，有安全事件管理(SEM)应用软件等一些工具专门用于监测安全事件并且使用某些逻辑或者过滤器帮助管理员获取有意义的数据。然而，这些工具仍需要设置和恰当地使用才能有效率。人们要对过滤的数据有所了解并且采取措施。

收集堆积如山的事件日志数据，如果没有经过培训的人员和资源对这些日志数据进行监测和分析，就如同没有收集任何数据一样毫无用处。在本系列讲座的下一讲，我将提供一些技巧，帮助你了解这些日志数据的意义，并且使用这些数据保护你的网络和增强网络的安全。


2)系通过“日志分析软件”，吾系通过日志，分析软件。

新手黑客

谢谢你的资料~

g.c.p

这位大大你的 analyzer 和 BackOffice 好像不能用有没有其他的呢？