在上篇文章中，我們介紹了在正式進(jìn)行各種“黑客行為”之前，黑客會(huì)采取各種手段，探測(cè)（也可以說(shuō)“偵察”）對(duì)方的主機(jī)信息，以便決定使用何種最有效的方法達(dá)到自己的目的。本文讓我們來(lái)看看黑客是如何獲知最基本的網(wǎng)絡(luò)信息——對(duì)方的IP地址，以及用戶如何防范自己的IP泄漏。

獲取IP

IP作為網(wǎng)絡(luò)用戶的重要標(biāo)示是黑客首先需要了解的。獲取的方法較多，黑客也會(huì)因不同的網(wǎng)絡(luò)情況采取不同的方法，如：在局域網(wǎng)內(nèi)使用Ping指令，Ping對(duì)方在網(wǎng)絡(luò)中的名稱而獲得IP。而相對(duì)厲害的手段，也是最有效的辦法是截獲并分析對(duì)方的網(wǎng)絡(luò)數(shù)據(jù)包。如圖1所示，網(wǎng)絡(luò)監(jiān)視器捕獲的網(wǎng)絡(luò)數(shù)據(jù)包，可能一般的用戶比較難看懂這些16進(jìn)制的代碼，而對(duì)于了解網(wǎng)絡(luò)知識(shí)的黑客，他們可以找到并直接通過(guò)軟件解析截獲后的數(shù)據(jù)包的IP包頭信息，再根據(jù)這些信息了解具體的IP。

隱藏IP

雖然偵察IP的方法多樣，但用戶可以隱藏IP的方法同樣多樣。就拿對(duì)付最有效的“數(shù)據(jù)包分析方法”而言，可以安裝能夠自動(dòng)去掉發(fā)送數(shù)據(jù)包包頭IP信息的Norton Internet Security。不過(guò)使用Norton Internet Security也存有缺點(diǎn)，如：它耗費(fèi)資源嚴(yán)重，降低計(jì)算機(jī)性能;在訪問(wèn)一些論壇或者網(wǎng)站時(shí)會(huì)受影響;不適合網(wǎng)吧用戶使用等等。現(xiàn)在的個(gè)人用戶采用最普及隱藏IP的方法應(yīng)該是使用代理，由于使用代理服務(wù)器后，轉(zhuǎn)址服務(wù)會(huì)對(duì)發(fā)送出去的數(shù)據(jù)包有所修改，致使數(shù)據(jù)包分析的方法失效。一些容易泄漏用戶IP的網(wǎng)絡(luò)軟件（即時(shí)通訊軟件和瀏覽器等）都支持使用代理方式連接Internet，特別是QQ使用“ezProxy”等代理軟件連接后，IP版的QQ都無(wú)法顯示該IP地址。推薦大家使用適合個(gè)人用戶的簡(jiǎn)易IP隱藏器等代理軟件，只要在代理服務(wù)器和代理服務(wù)器端填入正確的代理服務(wù)器地址和端口，即可對(duì)HTTP使用代理，比較適合由于瀏覽器和即時(shí)通訊軟件泄露IP地址的情況。

不過(guò)使用代理服務(wù)器同樣有一些缺點(diǎn)，如：會(huì)影響網(wǎng)絡(luò)通訊的速度;需要網(wǎng)絡(luò)上的一臺(tái)能夠提供代理能力的計(jì)算機(jī)，如果用戶無(wú)法找到這樣的代理服務(wù)器就不能使用代理。雖然代理可以有效地隱藏用戶IP，但高深的黑客亦可以繞過(guò)代理，查找到對(duì)方的真實(shí)IP地址，用戶在何種情況下使用何種方法隱藏IP，也要因情況而論。

黑客的探測(cè)方式里除了偵察IP，還有一項(xiàng)——端口掃描。通過(guò)“端口掃描”可以知道被掃描的計(jì)算機(jī)哪些服務(wù)、端口是打開(kāi)而沒(méi)有被使用的（可以理解為尋找通往計(jì)算機(jī)的通道）。

一、端口掃描

網(wǎng)上很容易找到遠(yuǎn)程端口掃描的工具，如Superscan、IP Scanner、Fluxay（流光）等，這就是用“流光”對(duì)試驗(yàn)主機(jī)192.168.1.8進(jìn)行端口掃描后的結(jié)果。從中我們可以清楚地了解，該主機(jī)的哪些非常用端口是打開(kāi)的;是否支持FTP、Web服務(wù);且FTP服務(wù)是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞也顯示出來(lái)（圖2）。

二、阻止端口掃描

防范端口掃描的方法有兩個(gè)：

1.關(guān)閉閑置和有潛在危險(xiǎn)的端口

這個(gè)方法有些死板，它的本質(zhì)是——將所有用戶需要用到的正常計(jì)算機(jī)端口外的其他端口都關(guān)閉掉。因?yàn)榫秃诳投?，所有的端口都可能成為攻擊的目?biāo)。換句話說(shuō)，計(jì)算機(jī)的所有對(duì)外通訊的端口都存在潛在的危險(xiǎn)，而一些系統(tǒng)必要的通訊端口，如訪問(wèn)網(wǎng)頁(yè)需要的HTTP（80端口、8080端口）等不能被關(guān)閉。

在Windows系統(tǒng)中要關(guān)閉掉一些閑置端口是比較方便的，可以采用定向關(guān)閉指定服務(wù)的端口和只開(kāi)放允許端口的方式。計(jì)算機(jī)的一些網(wǎng)絡(luò)服務(wù)會(huì)由系統(tǒng)分配默認(rèn)的端口，將一些閑置的服務(wù)關(guān)閉掉，其對(duì)應(yīng)的端口也會(huì)被關(guān)閉了。進(jìn)入“控制面板”、“管理工具”、“服務(wù)”項(xiàng)內(nèi)，關(guān)閉掉計(jì)算機(jī)的一些沒(méi)有使用的服務(wù)（如FTP服務(wù)、DNS服務(wù)、IIS Admin服務(wù)等等），它們對(duì)應(yīng)的端口也被停用了。至于只開(kāi)放允許端口的方式，可以利用系統(tǒng)的TCP/IP篩選功能實(shí)現(xiàn)，設(shè)置的時(shí)候，只允許系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口即可（圖3）。

2.檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口

這種預(yù)防端口掃描的方式顯然用戶自己手工是不可能完成的，或者說(shuō)完成起來(lái)相當(dāng)困難，需要借助軟件。這些軟件就是我們常用的網(wǎng)絡(luò)防火墻。防火墻的工作原理是：首先檢查每個(gè)到達(dá)你的電腦的數(shù)據(jù)包，在這個(gè)包被你機(jī)上運(yùn)行的任何軟件看到之前，防火墻有完全的否決權(quán)，可以禁止你的電腦接收Internet上的任何東西。當(dāng)?shù)谝粋€(gè)請(qǐng)求建立連接的包被你的電腦回應(yīng)后，一個(gè)TCP/IP端口被打開(kāi);端口掃描時(shí)，對(duì)方計(jì)算機(jī)不斷和本地計(jì)算機(jī)建立連接，并逐漸打開(kāi)各個(gè)服務(wù)所對(duì)應(yīng)的“TCP/IP端口”及閑置端口，防火墻經(jīng)過(guò)自帶的攔截規(guī)則判斷，就能夠知道對(duì)方是否正進(jìn)行端口掃描，并攔截掉對(duì)方發(fā)送過(guò)來(lái)的所有掃描需要的數(shù)據(jù)包。幾乎所有網(wǎng)絡(luò)防火墻都能夠抵御端口掃描，在默認(rèn)安裝后，應(yīng)該檢查一些防火墻所攔截的端口掃描規(guī)則是否被選中，否則它會(huì)放行端口掃描，而只是在日志中留下信息而已。

黑客在進(jìn)行攻擊前的準(zhǔn)備工作，就此介紹完畢。在下面的內(nèi)容中，將轉(zhuǎn)入正式的入侵、竊取和攻擊等具體的介紹。

現(xiàn)在盜QQ的軟件有兩種，本地破解和遠(yuǎn)程破解?？雌饋?lái)好像挺神秘的，其實(shí)說(shuō)穿了就那么回事。

本地破解

本地破解其實(shí)就是用軟件選擇一個(gè)在本地登錄過(guò)的QQ號(hào)碼，然后掛上字典進(jìn)行密碼核對(duì)。本地破解也可分為兩種：暴力破解和本地記錄。而暴力破解又分為兩種：按順序增加和通過(guò)字典對(duì)比。如現(xiàn)在要破解QQ號(hào)為123456的密碼，我可以用1作為密碼進(jìn)行核對(duì)，如果正確就可以盜走該號(hào)了，如果不正確，則用2來(lái)核對(duì)，還不正確，則用3，以此順序增加，直到和密碼相同為止。不過(guò)這樣的破解效率是很低的，因?yàn)樵S多人的密碼并不只是數(shù)字，所以這種方法并不常見(jiàn)。

平時(shí)常用的是通過(guò)對(duì)比字典中密碼的方法，如果正確就盜走QQ。因?yàn)樽值淇梢宰龅煤苤悄芑?，所以這種破解效率相對(duì)較高，特別是當(dāng)你的密碼是簡(jiǎn)單的數(shù)字，或是數(shù)字加一些英文名時(shí)特別明顯。

遠(yuǎn)程破解

“遠(yuǎn)程破解”與前面的“本地破解”正好相反，是指QQ盜號(hào)者通過(guò)網(wǎng)絡(luò)盜竊遠(yuǎn)端QQ用戶的密碼。這種QQ破解有很多方法，如在線密碼破解、登錄窗口破解、郵箱破解、消息詐騙以及形形色色的QQ木馬病毒等。下面就讓我們一同來(lái)看看這些QQ密碼的遠(yuǎn)程破解是怎么實(shí)現(xiàn)的。

1.在線密碼破解

大家知道QQ可以利用代理服務(wù)器登錄，這是一種保護(hù)措施。它不僅可以隱藏用戶的真實(shí)IP地址，以避免遭受網(wǎng)絡(luò)攻擊，還可以加快登錄速度，保證登錄的穩(wěn)定性。在線密碼破解和本地密碼破解采用的技術(shù)方法類似，都是窮舉法，只不過(guò)前者完全脫離了本地用戶使用的QQ。它通過(guò)對(duì)登錄代理服務(wù)器進(jìn)行掃描，只要想盜的QQ號(hào)碼在線，就可利用在線盜號(hào)工具實(shí)現(xiàn)遠(yuǎn)程TCP/IP的追捕，從而神不知鬼不覺(jué)地盜取QQ密碼（圖4）。

在線破解改變了本地破解那種被動(dòng)的破解方式，只要是在線的QQ號(hào)碼都可以破解，適用范圍較廣。但是由于它仍然采用窮舉法技術(shù)，所以在枚舉密鑰位數(shù)長(zhǎng)度以及類型時(shí)，校驗(yàn)時(shí)間很長(zhǎng)，破解效率不高。同樣，這種方法還受到電腦速度、網(wǎng)速等諸多因素的影響，因此比前面的本地破解更麻煩。

2.登錄窗口破解

偽造QQ登錄窗口的盜號(hào)方法非常簡(jiǎn)單，這是一種比較另類的木馬破解方法。先用盜號(hào)軟件生成一個(gè)偽裝的QQ主程序，它運(yùn)行后會(huì)出現(xiàn)跟騰訊QQ一模一樣的登錄窗口，只要用戶在這個(gè)偽登錄窗口中登錄，輸入的QQ號(hào)及密碼就會(huì)被記錄下來(lái)，并通過(guò)電子郵件發(fā)送到盜號(hào)者指定的郵箱中。

在此以一款叫“狐Q”的軟件為例，首次運(yùn)行時(shí)，它會(huì)把自身復(fù)制到QQ目錄中，并把原來(lái)的QQ.exe文件改名為QQ.com（這樣的更改不會(huì)影響QQ的正常運(yùn)行）。設(shè)置完畢后，“狐Q”的原程序就會(huì)消失，偽裝成QQ等待“獵物”上鉤。在其軟件設(shè)置中，有一項(xiàng)設(shè)置可以決定真假Q(mào)Q交替運(yùn)行的次數(shù)，可以減少用戶在使用QQ時(shí)產(chǎn)生的懷疑。將“生效次數(shù)”設(shè)定為3，那么用戶第一次運(yùn)行的是真QQ了，也就是說(shuō)在第三次運(yùn)行時(shí)，用戶的QQ號(hào)便被盜了！在QQ密碼發(fā)送的過(guò)程中，如果發(fā)送失敗，它還會(huì)把QQ號(hào)和密碼記下來(lái)，等待下一次發(fā)送。

即時(shí)監(jiān)視QQ登錄窗口的盜號(hào)方法利用Windows窗口函數(shù)、句柄功能實(shí)現(xiàn)QQ號(hào)和密碼的后臺(tái)截取。此類軟件幾乎可以捕獲Windows下所有標(biāo)準(zhǔn)密碼框中的密碼，如QQ、Outlook、屏幕保護(hù)程序、各種電子郵件客戶端、各種游戲賬號(hào)和上網(wǎng)賬號(hào)等。捕獲后，它也會(huì)將密碼實(shí)時(shí)發(fā)送到盜號(hào)者指定的郵箱中。

3.郵箱破解

利用郵箱盜取QQ密碼也是一種比較常用的方法。我們都知道，騰訊公司在對(duì)用戶的QQ號(hào)碼進(jìn)行驗(yàn)證時(shí)需要用戶填寫電子郵箱。對(duì)于申請(qǐng)了“密碼保護(hù)”功能的用戶，在騰訊主頁(yè)上找回遺忘的密碼時(shí)，密碼會(huì)被發(fā)送到用戶注冊(cè)時(shí)的郵箱中。所以，只要盜號(hào)者破解了對(duì)方常用的電子郵箱，就有機(jī)會(huì)得到其QQ密碼。至于如何破解電子郵箱，具體的操作方法有多種，由于它有點(diǎn)超出本文的范疇，在此就不贅述了。

4.消息詐騙

孔子曰：上士殺人用筆端，中士殺人用語(yǔ)言，下士殺人用石盤。遠(yuǎn)程盜取QQ密碼還有一種大家最常見(jiàn)也是最簡(jiǎn)單最有效的方法，那就是利用不少人愛(ài)貪小便宜的弱點(diǎn)，進(jìn)行人為的欺騙！