黑客

出自 MBA智库百科(https://wiki.mbalib.com/)

　　黑客是指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。

　　黑客一词，源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。互联网、Unix、Linux都是黑客智慧的结晶。有人说：是黑客成就了互联网，成就了个人电脑，成就了自由软件，黑客是计算机和互联网革命真正的英雄和主角。但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。

　　黑客都是热衷于计算机技术的人。毋庸置疑，他们还拥有强烈的好奇心，乐于独立思考，克服限制，具有反传统、反权威，崇尚自由探索的精神。

　　1．强烈的好奇心

　　黑客对能够充分调动大脑积极性的问题都很感兴趣，特别是对出现的计算机新技术。黑客对新出现的事物特别好奇，他们四处下载、使用、评测新系统和新软件，并乐此不疲，直到把原理弄的清清楚楚；如果发现某个网站防守严密，强烈的好奇心也驱使他们进去看看。早在1994年，就有一位14岁的美国黑客闯入了中科院网络中心的主机。

　　2．独立思考

　　黑客很喜欢开动脑筋，特别是对于常人认为太麻烦或过于复杂的问题。当碰到一些复杂的非常规性难题时，他们一般不会去寻求帮助，而是独立地进行深入思考，并最终发掘出最简单的解决办法。黑客在碰到一个棘手的问题时，不认为它太困难、太无聊，相反，他们觉得这种挑战很刺激，所以他们常常能攻破别人的系统。

　　3．不迷信权威

　　黑客常常具备反传统、反权威的精神，他们常常用怀疑的眼光去看待问题，而不会轻易相信某种观点或论调。任何与计算机技术相关的东西经过他们大脑的时候，都要受到质疑，黑客是传统思维模式的叛逆者。黑客反对权威，在他们的眼中，世界上没有不存在漏洞的系统或软件，特别是杀毒软件。黑客发现漏洞后，都会对其进行修补或加以利用。

　　4．崇尚自由与资源共享

　　黑客崇尚自由，并追求资源共享。黑客不能忍受传统条条框框的限制，他们憎恨独裁和专制，并乐于打破束缚自己的所有羁绊和枷锁，他们向往自由的天空、开放的世界。黑客崇尚资源共享，他们把自己编写的应用程序放到网上，让人免费下载使用，并根据用户反馈信息对自己编写的软件进行不断地改进和完善；有的黑客还把某些厂商的加密软件破解，公布于众。有很多优秀的自由软件都是黑客辛勤和智慧的结晶，如Apache、Sendmail、Linux等。

　　5．不断学习

　　计算机网络技术发展迅速，黑客必须不断地学习新技术，否则一旦停止学习，便不能维持黑客身份。新的计算机标准、技术或相关软件一出现，黑客必须立即学习这些新东西，并用最短的时间熟练掌握这些技术或标准，特别是相关协议及标准。

　　1．基于动机分类

　　一类是原始意义上的黑客，精通网络软硬件技术，喜欢寻找操作系统和应用软件的漏洞，以发现并利用漏洞为乐趣，一般不会对存在漏洞的系统进行破坏操作。

　　另一类是原始意义上的骇客，以破坏特定系统为目标，精心收集有关该系统的信息，分析该系统可能存在的漏洞，设计针对该系统漏洞的攻击方案并予以实施，以窃取信息、破坏系统资源为目的。

　　2．基于能力分类

　　一类黑客是精通网络软硬件技术的人，能够发现系统漏洞，编写利用漏洞实施攻击的程序，一些蠕虫病毒和黑客攻击工具的编写者就属于这一类。

　　另一类是只具有基本网络知识，掌握几种黑客攻击工具，利用黑客攻击工具寻找并攻击目标系统的人，这一类是目前黑客中的大多数。

　　3．基于行为分类

　　一类黑客常采取个人行为，或为报复，攻击某个特定系统；或为好奇，随机选择攻击目标。

　　另一类黑客有严密的组织和目标，采取集体行为，由精通网络软硬件技术的人员精心设计对特定系统的攻击方案，全体人员协调一致，有计划、有步骤地展开攻击行为。这类黑客及其攻击行为的危害性最大。

　　黑客攻击目标是网络资源，黑客的攻击手段和攻击目标息息相关，从图1-1可以看出，网络资源主要包括信息资源、硬件资源和链路带宽。

　　　　　　　　图1-1 网络结构

　　1．信息资源

　　信息资源包括存储在主机系统中的信息、传输过程中的信息和转发结点正常工作需要的控制信息，如存储在主机系统中的文本文件、数据库、可执行程序等，路由器的路由表、访问控制列表、交换机的转发表等。黑客对于信息资源的攻击有两类：一类是窃取网络中的信息，如用户私密信息(账户和口令)、企业技术资料，甚至有关国家安全的机密信息，为了不引起信息拥有者的警惕，黑客会尽量隐蔽攻击过程，消除窃取信息过程中留下的操作痕迹，这一类攻击一般不会破坏信息，以免引起用户警惕；另一类是破坏网络信息，篡改传输过程中的信息，篡改主机系统中的文件、数据库中的记录以及路由表中的路由项等，这一类攻击以破坏信息、瘫痪主机系统和转发结点为目的。随着信息成为重要的战略资源，以信息为目标的攻击成为最常见的黑客攻击。

　　2．硬件资源

　　硬件资源包括主机硬件资源和转发结点硬件资源。主机硬件资源有CPU、存储器、硬盘及外设等。转发结点硬件资源有处理器、缓冲器、交换结构等。黑客对于硬件资源的攻击主要表现为过度占用硬件资源，以至于没有提供正常服务所需要的硬件资源，大量的拒绝服务攻击就是针对硬件资源的攻击。例如，SYN泛洪攻击就是通过大量占用主机系统分配给TCP进程的存储器资源，使TCP进程没有存储器资源用于响应正常的TCP连接请求。有的DoS攻击发送大量无用P分组给路由器，以此占用路由器内部处理器和交换结构资源，使路由器丧失转发正常IP分组所需要的处理能力、缓冲能力和交换能力。

　　3．链路带宽

　　链路带宽指信道的通信容量，如lOOMbit/s的以太网链路，表示每秒最多传输lOOMb二进制数，黑客通过大量占用信道通信容量使链路丧失传输正常信息流的能力。

　　黑客入侵其他用户计算是按照一定的步骤进行的。首先是隐藏好自己，然后寻找目的主机并进行分析，进而设法登录计算机，入侵成功后便进行进一步的控制与信息窃取。

　　1．隐藏位置

　　黑客都会利用别人的计算机地址隐藏自己的真实IP地址。有的黑客还会利用800电话的无人转接服务连接ISP，然后再盗用他人的账号上网。

　　2．寻找目的主机

　　在Intemet上能真正标识主机的是口地址，域名是为了便于记忆主机的妒地址而另起的名字，只要利用域名和口地址就可以顺利地找到目标主机。当然，知道了要攻击目标的位置还是远远不够的，还必须对目的主机的操作系统类型及相关服务等信息进行全面的了解。这时使用一些扫描器工具，便可以轻松获取目的主机的相关信息，包括主机运行的是何种操作系统的哪个版本，系统有哪些账户，www、FTP、Telnet、SMTP等服务器程序是何种版本等资料，为入侵作好充分的准备。

　　3．获取账户和密码

　　黑客要入侵目的主机，首先需要登录，而登录必须要有该计算机的一个账号和密码，否则入侵无法进行。这时，黑客便设法盗窃账户文件进行破解，并从中获取某用户的账户和密码，然后再寻觅合适时机以此身份进入计算机。当然，利用目的主机系统漏洞或某些黑客工具也可以入侵目的主机。

　　4．加强控制权

　　黑客侵入目的主机之后，他首先会更改某些系统设置，在系统中植入特洛伊木马或其他一些远程控制程序，为自己再次入侵系统设置后门。大多数后门程序是预先编译好的，只需要修改时间和权限就可以使用了。黑客一般通过rep来传递这些文件，以免FTB记录。然后是通过清除日志、删除复制的文件，隐藏自己的踪迹。

　　5．窃取信息

　　黑客入侵用户计算机系统之后，便开始窃取信息资源，并进行破坏。信息资源包括银行账户、密码、个人信息等。破坏主要是指通过种植木等方式删除数据、篡改数据等。

　　黑客入侵计算机的方法有很多种，常见的入侵策略有口令入侵、植入木马、Web欺骗、电子邮件攻击、通过一个节点攻击其他节点、网络监听、利用黑客软件攻击、利用漏洞攻击、端口扫描等，下面分别对其进行介绍。

　　1．口令入侵

　　口令入侵是指使用某些合法用户的账户和密码登录到目的主机，然后再实旖攻击活动。口令入侵的前提是必须得到目的主机上一个合法的用户账户，然后再对该账户密码进行破译。获得普通用户账户的方法有很多，比如可以用fmger/?命令查询用户资料，也可以通过目的主机没有关闭的X．500目录查询服务获取。另外，也可以查看主机是否有习惯性账户，获得习惯性的账户方法有以下3种。

　　(1)通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大。监听者往往采用中途截击的方法，这种方法也是获取用户账户和密码的一条有效途径。目前很多协议没有采用任何加密或身份认证技术，如在Telnet、FTP、HTTP、SMTP等传输协议中，用户账户和密码信息都是以明文格式传输的，黑客利用数据包截取工具便可以很容易获取相应的账户和密码。另外，有时黑客还会利用软件和硬件工具时刻监视目的主机，等待用户登录信息，从而取得用户密码；也可以编写有缓冲区溢出错误的SUID程序来获得超级用户权限。

　　(2)在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令，该方法不受网段限制，但黑客要有足够的耐心和时间。例如采用字典穷举法对用户密码进行暴力破解。黑客可以通过暴力破解软件一些工具程序，自动地从计算机字典中取出一个单词，作为用户的口令，再输入给远端的主机，申请进入系统：若口令错误，就按序取出下一个单词，进行下一个尝试，并一直循环下去，直到找到正确的口令或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成，因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。

　　直到找到正确的口令或字典的单词试完为因而几个小时就可以把上十万条记录的字

　　(3)利用系统配置失误或系统漏洞。在目前Unix操作系统中，用户的基本信息存放在passwd文件中，而所有的口令则经过DES加密方法加密后专门存放在一个称为shadow的文件中。黑客们获取口令文件后，就会使用专门的破解DES加密法的程序来解口令。当前为数不少的操作系统都存在许多安全漏洞，这些缺陷一旦被找出，黑客就可以长驱直入。

　　2．植入木马

　　木马病毒常常夹带在别的文件或程序中，例如邮件附件、网页等。当用户打开带有木马病毒的文件或直接从网络上单击下载时，木马病毒便入侵用户的计算机并进行破坏。木马病毒入侵用户计算机后便隐藏起来，并搜集用户的口地址以及端口信息。当该计算机连接到外网时，木马程序便会通知黑客。黑客在收到这些信息后，就可以利用潜伏在用户计算机中的木马程序进行为所欲为的破坏。

　　3．Web欺骗

　　网络用户可以通过Ⅲ等浏览器查询信息、访问站点。但是用户想不到的是，正在访问的网页可能已经被黑客篡改过了，例如黑客将用户要浏览网页的Ul也改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求。

　　4．电子邮件攻击

　　目前很多网络运营商都提供电子邮件服务，如网易、腾讯等，电子邮件已经成为当前应用十分广泛的通信方式。电子邮件在给人们提供了新的通信方式的同时，也为黑客提供了新的攻击途径。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。电子邮件攻击主要表现为以下两种方式。

　　(1)邮件炸弹。黑客用伪造的口地址和电子邮件地址向同一信箱发送无数的垃圾邮件，导致用户邮箱崩溃，甚至导致邮箱服务器瘫痪。

　　(2)邮件欺骗。黑客可以冒充邮箱系统管理员的邮件地址，给用户发送邮件要求用户修改口令，或在发送的邮件附件中植入木马病毒。

　　5．通过一个节点攻击其他节点

　　黑客常常伪装成一台合法的计算机与目的主机进行通信，并骗取目的主机的信任。黑客在攻破一台计算机后，往往以该计算机作为据点对其他计算机进行攻击。他们可以使用网络监听的方法，尝试攻破同一网络内的其他主机，也可以通过IP地址欺骗攻击其他计算机。TCP/职欺骗可以发生TCMP系统的所有层次上，包括数据链路层、网络层、传输层以及应用层。

　　6．网络监听

　　在网络监听模式下，计算机可以接收到本网段同一条物理通道上的所有传输消息，而不管发送端和接收端是哪台计算机。系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而黑客就能在两端之间进行数据监听。虽然网络监听获得的用户账户和密码有一定的局限性，但监听者往往能够获得其所在网段的所有用户账户和密码。

　　7．利用黑客软件攻击

　　利用黑客软件攻击是互联网上使用比较多的一种攻击手法。Back Orifice 2000、冰河等都是比较著名的木马软件，它们可以非法地取得用户计算机的超级用户权利，进而其进行完全的控制。黑客软件分为服务器端和用户端，当黑客进行攻击时，可以通过用户端登录上已安装好服务器端程序的计算机。服务器端程序都比较小，一般会随附带于某些软件上。当用户下载文件时，黑客软件的服务器端就安装完成了，而且大部分黑客软件的重生能力比较强，给用户进行清除造成一定的麻烦。

　　8．利用漏洞攻击

　　到今天为止，还不存在完全没有漏洞(Bug)的操作系统和软件，黑客常常可以利用这些安全漏洞进行攻击，如缓冲区溢出攻击。很多系统在不检查程序与缓冲之间变化的前提下，就接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样，黑客只要发送超出缓冲区所能处理长度的指令，系统便进入不稳定状态。

　　另外，黑客也常常利用协议漏洞进行攻击。如利用POP3一定要在根目录下运行这一漏洞发动攻击，破坏根目录，从而获得超级用户权限。又如ICMP协议也经常被用于发动拒绝服务攻击，具体操作就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，使其无法对正常的服务请求进行处理，从而导致网站无法进入、网站响应速度大大降低，甚至服务器瘫痪。现在常见的蠕虫病毒都可以对服务器进行拒绝服务攻击，它们的繁殖能力极强。

　　9．端口扫描

　　端口扫描就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端El是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。

　　黑客的攻击会给用户的计算机或网络造成一定的伤害，用户除了要提高安全意识外，还要采取一定的防范措施对黑客进行防范。目前情况下，用户可以使用以下几种方法预防黑客。

　　(1)尽量使计算机单机运行，杜绝黑客的攻击。

　　(2)上网时隐蔽自己的IP地址，不要随便将自己的详细资料告诉网络中的其他人。

　　(3)尽量使用较新版本的操作系统或应用软件，并且关注软件开发商发布的软件补丁。

　　(4)使用防火墙，限制可以从局域网进入Internet和从Intemet进入局域网的信息。

　　(5)上网时如果发现计算机出现异常情况，要及时断开Intemet连接，并对特洛伊木马进行检测和清除。

　　(6)设置有效的密码。

　　(7)不要将账号及密码借给他人用，以防被其他人利用。

　　(8)使用QQ时，不要随便同意他人登录或接收他人传送的文件。

　　中国黑客的发展是伴随着中国互联网的发展而成长的。中国黑客的发展过程大致经历了3个阶段，分别是萌芽、成长和成熟。下面对其进行详细介绍。

　　1．中国黑客的萌芽(1994—1996年)

　　这个时期，中国互联网处于刚刚开始发展的萌芽时期，计算机是一件非常奢侈的电子用品。对于大众来说，互联网还是一个很陌生的名词，只有在专业性极强的书刊中能够找到与网络相关的名词，而那些上网的群体也多数为科研人员和年轻知本家(那个时候小资群体还没有提出)。各地的计算机爱好者最大的乐趣就是复制些小游戏和DOS等软件产品进行研究，对于广大计算机用户来说，COPY就是正版的一种传播方式，于是最早的黑客就诞生了。那时的黑客没有太多的学习途径，一个全新的小软件就几乎是他们对计算机的全部理解，而对于这些黑客来说，能够COPY到国外的最新产品是他们最大的荣幸，那一张张的小软盘中承载了中国黑客最初的梦想。也正是从那个时期起，中国黑客从这里引领起中国软件与互联网业发展的浪潮。

　　在那个中国网络最为朦胧的岁月里，大多数玩家操作着比9600 bits/s还小的雏猫，在最为原始的网络上奔驰。那时的网络还不是现在传统意义上的Internet，而是最为初级的BBS站——一种依靠拨电话号码直接连接到BBS服务器上的方式来交流。他们上的最多的是中国惠多网，而非Int锄et。足球和软件加解密成为最热门的话题，注册码的交换让许多人乐此不疲。更多的BBS方式的服务器在全国各大城市出现，软件的交换破解成为最为热门的话题，单单一套Linux就能够卖到1200元。那个时代的玩家现如今均已成为驰骋互联网的风云人物，有些名字不得不提起，周志农(自然码发明人，开创大自然BBS站)、马化腾(滕讯公司总裁)、雷军(前金山公司总裁兼前cEo)、求伯君(金山公司总裁，开创西线和西点BBS站)、罗依、钟东、潘德强等。在那个年代，以他们特有的方式进行着中国网络人特殊的梦，也以他们的方式孵化出中国第一代黑客的雏形——窃客。

　　在中国网民的年代分类中，在1996年以前接触网络的人均被称之为中国的第一代网民，或许在这其中有些人从来没有接触过Internet，所接触最多的也是那种电话连接的BBS，但是他们仍然无愧于中国第一代网民。

　　1995-1996年这一期间，中国各个大中城市的互联网信息港基本已经初具规模，中国国际互联网的第一代网管诞生，中国第一代的大众网民也开始走出BBS，而融入这种天地更为广阔的Internet。那两年是中国互联网初步成长时期，也同样是中国软件业开始蓬勃发展的时期。那个平静的年头中，中国网络人以自己的方式做着自己的梦，在这些人中很多是接触过早期BBS的网友，在他们看来，从BBS移师Internet只不过将自己的舞台扩大了一些，让自己的眼睛看得更多了一些。而他们在BBS上最初所进行的那些活动也迁移到了Internet这个更为广阔的空间。在这一期间，中国网络黑客技术飞速发展，也从此诞生了一批传奇式人物，这里面最为出名的当属高春辉，他的个人主页在当时以破解软件和注册码为主，在那个软件极度匮乏的时期，他创造了中国个人网页访问量第一的传奇历史。1996年底，中国电信开始实行优惠上网政策，在此之后中国网络开始了真正步入百姓家庭的步伐。

　　2．中国黑客的成长(1997—1999年)

　　1997年，在中国互联网发展史中应该是最为值得纪念的一年，而在中国黑客成长过程中，那一时期也哺育了众多的初级黑客，互联网这一个名词也逐渐被大众接受，新的思想、新的观念也逐渐从网络中折射出来。在1997年初期，YAHOO搜索引擎中只能够搜索出7个跟黑客相关的简体中文网页。而且网站中的内容多数是翻译或者重复国外相同网页的内容，很多没有实际意义。不过此时“黑客”这一个名词已经开始正式深入广大网友之中，当时初级黑客所掌握的最高技术仅仅是使用邮箱炸弹，并且多数是国外的工具，完全没有自己的黑客武器，更不要说自己的精神领袖。那个时期，世界上的黑客共同追随着一个精神领袖——凯文·米特尼克——世界头号黑客。这位传奇性人物不单单领导着美国黑客的思想，也影响着中国初级黑客前进与探索的方向。

　　1998年，正当国内开始轰轰烈烈开展互联网进步活动的时期，在大洋彼岸的美国，一年一度的黑客大会上由一个名为“死牛崇拜”黑客小组公布了一款名Back Orifice的黑客软件，并将源代码一起发布。这个软件掀起了全球性的计算机网络安全问题，并推进了特洛伊木马这种黑客软件的飞速发展。BO公布后，透过刚刚兴起的互联网迅速传到了中国，当时很多网友就是使用这款软件开始了对黑客生涯的初恋。但是BO并没有在中国掀起浪潮，当然因素是多种多样的，比如网络尚在发展中，BO为舶来品不方便中国网友使用等。但是B0没有辉煌的另一个主要原因是Cm病毒的诞生和大规模发作。这个有史以来第一个以感染主板BIOS为主要攻击目标的病毒给中国经济带来了数百亿元的损失，也让大陆黑客第一次感受到了来自海峡对面的野心与威胁。

　　1998年给还处在发育期的中国黑客带来了太多的惊奇、恐惧、理想与动力。在BO诞生不久，中国黑客自己的特洛伊木马也诞生了，这就是网络间谍Netspy。但是Netspy的诞生并没有给中国黑客的发展带来太大的震动，这一切都让Cm的光芒所掩盖了。在随后的日子里，以谢朝霞、PP(彭泉)、天行(陈伟山)等为代表的程序员黑客开始显露头角，少量的国产工具开始小范围流行于中国黑客之间。当大家正在为杀毒而忙得不可开交的时候，一次国际性事件掀起了中国黑客首次浪潮。

　　1998年7、8月份，在印度尼西亚爆发了大规模的屠杀、强奸、残害印尼华人的排华事件。这一系列行为激怒了刚刚学会蹒跚走步的中国黑客们，他们不约而同地聚集在IRC聊天室中，并以6～8人为单位，向印尼政府网站的信箱中发送垃圾邮件，用ping的方式攻击印尼网站。这些现在看来很幼稚的攻击方法造就了中国黑客最初的团结与坚强的精神，为后来中国红客的形成垫定了基础。为了号召更多的人加入战斗，有几位技术性黑客牵头组建了“中国黑客紧急会议中心”，负责对印尼网站攻击期间的协调工作。印尼排华事件造就了一大批网友投身于黑客这项活动中来，有些人在攻击过后又回到了现实生活中，有些人则从此开始了对黑客理想的执著追求。同样，这次事件也使得“绿色兵团”这个黑客组织的名字享誉中国互联网，并造就了后来的“中联绿盟”。

　　轰轰烈烈的印尼排华事件过后，中国黑客似乎又回归于平静，继续着对理想的执著追求与探索，UNIX、Linux、Http等网络技术性问题和黑客技术成为了中国黑客的主要话题，无力的反击让中国黑客开始有了新的反省，同样也激励起他们旺盛的斗志，他们如饥似渴地摄取技术养分，黑客技术性网站也开始逐渐增多，新的黑客技术高手也再次涌现。这一时期最具代表性的技术性黑客当属流光、溯雪、乱刀等黑客软件的开发者——小榕，以后的日子中，小榕执著地追求着自己的理想，使流光等这些优秀的软件在一次次升级与完善中走进了世界优秀黑客软件的舞台。

　　1999年中国的互联网用户突飞猛增，创造了历史同期增长最快的水平，但是那一年也成为了每一个中国人和中国黑客难忘的一年，这一年在中国黑客发展的历史上是永远不可抹掉的一笔。那一年的4、5月份，以美国为首的北约以种种借口对南斯拉夫塞尔维亚共和国发动了战争，随后的日子里中国人民在各种媒体上发表了对正义的声援，网络上更是掀起了对美国霸权主义的批判浪潮。但是就在5月份，美国的轰炸机竟悍然轰炸了我驻南联盟大使馆。消息一经传出，举国上下为之震惊与愤怒，全国各高校学子更是义愤填膺，水木清华等全国各大网站论坛的帖子与信息流量达到了历史的最高峰。

　　在战争的初期，中国黑客的行动仅仅限于声援南联盟人民，并没有采取过多的过激行为。

　　但当我国驻南联盟大使馆被毫无理由地轰炸后，中国黑客又一次大规模地团结了起来，纷纷开展了对美国网站的攻击。一直作为奋斗理想的美国黑客精神迅速被遗弃了，一时间，中国的黑客没有了自己心目中的精神领袖，有的只是满腔的愤怒。在中国大使馆被炸后的第二天，第一个中国红客网站诞生了，同时也创造出了一个新的黑客分支——红客。中国红客网站站长分析家在看完中午的新闻后，以半个小时的时间做完了这个网站，并初步定名为“中国红客之祖国团结阵线”(随后的7月份改名为“中国红客之祖国统一战线”)，以宣扬爱国主义红客精神为主导，网站宣言中不乏铿锵激扬的爱国词语。网站在短短的数天内访问量已达50多万，并出现在新浪网的新闻链接中，中国红客从此成为了世界黑客中特殊的一个群体，爱国与团结是他们永恒的精神理念。那次黑客战争中，全世界的华人首次团结一致，众多美国网站被攻击，大规模的垃圾邮件也使得美国众多邮件服务器瘫痪失灵，这次伟大的卫国黑客战争取得了全面的胜利。

　　木马冰河是中国黑客史中必须提到的一个软件，它由中国安全程序员黄鑫编写，黄鑫在最初开发这个软件最初版本的时候并没有考虑到它能够作为一个特洛伊木马来使用，但随后冰河疯狂流行于黑客手中，很多用户在不知不觉中被冰河控制。早期的冰河还不能算是一个好的木马软件，随后黄鑫用了大量的时间对冰河进行代码重构，冰河2．2版本诞生了。新版本的冰河迅速被流传出去，并让大批初级黑客快速地步入了黑客这扇大门。中国黑客软件的开发从此走向了新的纪元，在此之后，黑洞、网络神偷、灰鸽子、XSan、YAI等众多优秀的国产黑客软件纷纷涌现，黑客也开始出现商业化迹象，由前“绿色兵团”成员组建的“中联绿盟”网络安全公司成立，正式开始了黑客向商业化迈进的脚步，中国黑客逐渐成长了起来。

　　3．中国黑客的成熟(2000年至今)

　　2000年成为了中国网络最为辉煌的一年，网吧也在全国各地蜂拥出现，上网的人群更是增加了一倍多。一时间“你上网了吗?”成为了流行问候语。与此同时，中国的黑客队伍也在迅速扩大着，众多的黑客工具与软件使得进入黑客的门槛大大降低，黑客不再是网络高手的代名词，很多黑客很有可能就是一个嘴里叼着棒棒糖手里翻着小学课本的孩子。也正是因为这种局面的出现，中国黑客的队伍开始杂乱。

　　2000年初，“东史郎南京大屠杀”事件的败诉再次激起一些黑客的民族主义情绪，国内部分黑客发动了针对日本网站的攻击，也对一些台湾网站发起攻击。由于并没有太多的轰动力而没有产生多大的影响，反而值得注意的是很多国内的黑客组织犹如雨后春笋般纷纷诞生。此外也是在这一年，一个全新的概念“蓝客”也被提了出来。这时国内的黑客基本分成3种类型：一种是以中国红客为代表，略带政治性色彩与爱国主义情结的黑客；另外一种是以蓝客为代表，他们热衷于纯粹的互联网安全技术，对于其他问题不关心的技术黑客；最后一种就是完全追求黑客原始本质精神，不关心政治，对技术也不疯狂追捧的原色黑客。当然在这一年中，中国黑客群体的扩大导致了众多伪黑客的出现，在这些伪黑客群体中，以满舟的炒作《黑客攻击防范秘技》事件最为突出。这名自称为中国安全将军的高中生抄袭了国内大量黑客的文章和作品，然后堂而皇之地署上自己的名字交由一家电子出版公司炒作出版。这本错字连篇且只能算是电子出版物(电子出版物与正式书刊不同)的小册子正式将中国伪黑客的行为推向了极致。此后很多对技术一窍不通的伪黑客以各种方式上演了一幕幕的闹剧，不但亵渎了中国黑客的精神，也成为中国黑客史上最为肮脏的角落。

　　跨入新的世纪之后，日本的排华情绪日益嚣张，三菱事件、日航事件、教科书事件和《台湾论》等激怒了中国黑客。由国内几个黑客网站牵头，组织了几次大规模的对日黑客行动，这个时期一些傻瓜型黑客软件也涌现出来，最为著名的当数孤独剑客的“中国男孩儿”。技术门槛的降低致使很多青少年黑客出现，现成的工具、现成的软件武装了这些对网络技术一无所知的青年，但也造成了后期的年轻黑客对技术的无知与轻视。

　　由于国内黑客炒作已经到了白热化的程度，各种媒体和小报一时间对于黑客这个名词感兴趣的程度大为提高。而安全公司更是希望能够抓住这个机会炒作一番，海信公司的8341防火墙挑战全球黑客就是那时期上演的最为热闹的大戏，并拿出了50万元这个诱人的数字来做为活动的奖金，一时间安全圈内所有的话题都集中在海信的防火墙上。可正当黑客高手们正在为如何突破防火墙而苦苦寻觅的时候，戏剧性的一幕发生了，海信公司的网站被黑了。黑客对海信公司冷嘲热讽了一通，并对海信的测试表示了质疑。由于黑客攻击的不是海信给出的测试网址，奖金是不能拿走的，这场异常热闹的闹剧也草草收场了。

　　2001年4月1日，我国南海地区发生了“中美撞机事件”后，美国一个名为PoizonBOx的黑客组织率先向我国的一些网站发起了恶意的进攻。中美黑客产生了一些小的摩擦。到了五一假期期间，许多中国黑客拿起了手中的武器，大规模地向美国网站展开进攻，并号称有“8万人”之多。但事后证明这不过是一群小孩子的涂鸦游戏，再经媒体炒作后上演了一场“爱国秀”的闹剧。8万人中大多数对网络知识一无所知，所使用的方式竟然仍是几年前的垃圾邮件和ping，此外很多伪黑客用Photoshop制造出大量的虚假信息也成为这次“爱国秀”的最大败笔。不过由于此次黑客行动的炒作，导致了众多媒体对中国黑客的关注，让很多人了解中国互联网上的这一特殊群体。

　　2006年10月16日，一种新型的蠕虫变种病毒“熊猫烧香”在网上传播，致使各大公司门户网站瘫痪，并造成巨大的经济损失。这是中国近年来发生的最为严重的一起网络蠕虫病毒案，在社会上造成了极大危害，引起了巨大反响，震惊了全国。这个蠕虫病毒的编写者，25岁的武汉新洲人李俊，一个职业技校毕业的中专生，一个从未接受过专业训练的计算机爱好者，一个被杀毒软件公司拒之门外的年轻人，茶毒了小半个中国互联网。

　　黑客需要反思，需要重新定位黑客道德与黑客文化。中国黑客应该逐步重返自然状态，致力于对网络安全技术的研究。就中国黑客现状来说，中国黑客针对商业犯罪的行为也不在少数，尽管见诸于报端的很多黑客行为体现为某种程度上的爱国情绪的宣泄。

　　中国黑客经历了萌芽、成长与成熟3个阶段后，攻击技术更加全面，攻击方式也多样化，当前流行的攻击方式包括拒绝服务攻击、网页木马攻击、脚本攻击、蠕虫病毒攻击等。目前中国黑客攻击的显著特点是攻击工具自动化、攻击工具复杂化。中国知名黑客危险漫步博客地址：http://www.weixianmanbu.com/ 黑客技术相关研究及思考；攻与防的对立，是中国访问量最大的黑客博客，拥有大量活跃读者，七年实战经验 。

　　1．攻击工具自动化

　　攻击工具的自动化程度继续不断增强，自动化攻击涉及到的4个阶段都发生了变化。

　　(1)扫描潜在的受害者。从1997年起开始出现大量的扫描活动。目前，新的扫描工具利用更先进的扫描技术，变得更加有威力，并且提高了速度。

　　(2)入侵具有漏洞的系统。以前对具有漏洞的系统的攻击是发生在大范围的扫描之后的，现在的攻击工具已经将对漏洞的入侵设计成为扫描活动的一部分，这样大大加快了入侵的速度。

　　(3)攻击扩散。2000年之前，攻击工具需要一个人来发起其余的攻击过程。现在，攻击工具能够自动发起新的攻击过程。例如，红色代码和Nilnda病毒这些工具就在18个小时之内传遍了全球。

　　(4)攻击工具的协同管理。自从1999年起，随着分布式攻击工具的产生，攻击者能够对大量分布在Intemet之上的攻击工具发起攻击。现在，攻击者能够更加有效地发起一个分布式拒绝服务攻击。

　　2．攻击工具复杂化

　　攻击工具的编写者采用了比以前更加先进的技术。攻击工具的特征码越来越难以通过分析来发现，并且越来越难以通过基于特征码的检测系统发现，例如，防病毒软件和入侵检测系统。当今攻击工具的3个重要特点是反检测功能、动态行为、模块化。

　　(1)反检测功能。攻击者采用了能够隐藏攻击工具的技术。这使得安全专家想要通过各种分析方法来判断新的攻击过程变得更加困难和耗时。

　　(2)动态行为。以前的攻击工具按照预定的单一步骤发起进攻。现在的自动攻击工具能够按照不同的方法更改它们的特征，如随机选择、预定的决策路径或者通过入侵者直接的控制。

　　(3)模块化。和以前攻击工具仅仅实现一种攻击相比，新的攻击工具能够通过升级或者对部分模块的替换完成快速更改。而且，攻击工具能够在越来越多的平台上运行。例如，许多攻击工具采用了标准的协议(如IRC和HTRP)进行数据和命令的传输，这样，想要从正常的网络流量中分析出攻击特征就更加困难了。