(这条文章已经被阅读了 115 次) 时间:2000-06-28 11:56:38 来源:昆明海王星 (昆明海王星) 原创-IT
〖技术专题:网络中的攻击和反攻击技术〗
□昆明海王星
网络的安全问题一直是大家比较关心和注意的大事情!攻击网络
的一方无非是想尽办法蒙骗网络服务器、开辟数据通道、获得相关数
据与资料,最后消灭入侵痕迹。而作为网站的管理者,则是千方百计
地堵住后门、关闭非正常数据通道同时监控非正常数据的流量和路径,
跟踪IP和接入(攻击)端口,找到入侵者的下落进行反攻击。
为了让大家对于网络(包括个人计算机)的安全有一个清醒正确
的认识,保卫好你的数据和资料,昆明海王星对一些初级黑客的攻击
技法进行剖析,旨在提醒网络管理人员和广大网友们注意,发现自己
计算机的弱点和漏洞,及时进行修补和防卫工作。
首先介绍一些网络中的初级攻击方法和防卫措施。
★瞒天过海法-驱动攻击
这是非常普遍的一种攻击方法;当有些表面看来无害的数据被邮
寄或复制到Internet主机上并被执行发起攻击时,就会发生
数据驱动攻击。例如,一种数据驱动的攻击可以造成一台主机修改与
安全有关的文件,从而使入侵者下一次更容易入侵该系统。BO和W
EBKILLERV1.5就是其中的典型代表,控制端和客户程序
分开,一旦客户程序被激活,首先进行更名和隐藏工作,接着就将你
的资料秘密发送出去。
防卫的方法是:对于不明来源的数据要非常小心,首先进行杀毒
或者程序编码辩证。昆明海王星提醒大家:最近有的MAILLIS
T中夹带后门程序,所以对于自己不知道来源的电子邮件,如果体积
超过30K最好马上DEL!
★卑鄙的趁火打劫
我们知道,通常在UNIX系统中可执行文件的目录如/bin
/who可由所有的用户进行读访问,但是,这恰巧违背了“最少特
权”的原则。有些用户可以从可执行文件中得到其版本号,从而知道
了它会具有什么样的漏洞。下面是一个具体的例子:
如通过任意的Telnet方式就可以知道SENDMAIL版
本号。作为最基本的防卫措施---禁止对可执行文件的访问---
虽然不能防止黑客对系统进行的攻击,但至少可以使这种攻击变的更
困难。需要进行长时间的通道扫描和数据确认。
网络管理员还应该注意:系统中的大部分弱点是由配置文件、访
问控制文件和缺省初始化文件产生的!!!最著名的一个例子是:用
来安装SunOSVersion4的软件,它创建了一个/rho
sts文件,这个文件竟然允许Internet上的任何人,从任
何地方取得对该主机的超级用户特权。当然,软件的设计者最初安排
这个文件的设置是为了“从网上方便的进行安装,而不需超级用户的
允许和检查”。“智者千虑,必有一失”,操作系统设计的漏洞为黑
客开启了后门,最近的针对WINDOWS98/WINDOWS-
NT的新不间断泪滴攻击方法就是很好的实例。
对付这样的攻击,作为一个最有效的防卫方法是:勤升级你的系
统,勤打补丁文件!虽然新的版本的软件还是有问题,但是老版本中
已经发现并被证实的缺陷都已经修补好。从海王星掌握的资料来看,
有百分之八十入侵成功的例子都发生在已经被公布缺陷的系统软件中,
特别是一些时间长的版本中。为了节省升级的费用而造成更大的损失
的例子我们已经看得太多了!
★危险的无中生有信息攻击法
这种攻击的步骤一般是攻击者通过发送伪造的路由信息,无中生
有地编制信源主机和目标主机的虚假路径,从而使流向目标主机的数
据包均经过攻击者的主机。这样给攻击者提供敏感的信息和有用的密
码。
老实说海王星认为这样的攻击方法是最为有效和最危险的!也是
技术含量比较高的一种攻击手段---因为伪装的路由信息必须得到
信源主机的认可,不知道路由器的情况和对于整个系统非常熟悉的话,
成功的可能性基本为零!
如果你的网络发生了这样的情况,海王星建议你应该多从“内部”
查找原因!根据笔者的经验:知道屏蔽IP地址和该系统路由器情况
的人员是应该被列入重点怀疑对象的,呵呵。
★技术高手的暗渡陈仓法-利用信息协议的弱点进行攻击
我们知道,在一些网络协议中:IP源路径选项允许IP数据报
告自己选择一条通往目的主机的路径。(这是一个非常不好但是又无
可奈何的技术手段,多路径正是网络连接的精髓部分!)于是技术高
手们就有了这样的攻击思路:设想攻击者试图与防火墙后面的一个不
可到达主机A连接。他只需要在送出的请求报文中设置IP源路径选
项,使报文有一个目的地址指向防火墙,而最终地址是主机A。当报
文到达防火墙时被允许通过,因为它指向防火墙而不是主机A。防火
墙的IP层处理该报文的源路径域并被发送到内部网上,报文就这样
到达了不可到达的主机A从而建立连接关系。对于这样的攻击方法海
王星还没有找到有效的主动防卫方法。一个被动的检查方法是经常查
看主机A的访问记录---发现伪装的IP地址或者不明来源的指令,
以及特殊时段的访问记录,你的网络就可能已经中招了!也许更换一
个防火墙是一个好主意,同时加强IP地址的管理工作。
★越来越多的笑里藏刀攻击法
所有的计算机爱好者都应该注意:许多网络软件缺省的登录界面
(shellscripts)、配置文件和客户文件是一个容易被
忽视的问题区域!它们提供了一个简单的方法来配置一个程序的执行
环境。但是这有时会引起“特洛伊木马”的攻击:在被攻击主机上启
动一个可执行程序,该程序显示一个伪造的登录界面。当用户在这个
伪装的界面上输入登录信息(用户名、密码等)后,该程序将用户输
入的信息传送到攻击者主机,然后关闭界面给出提示信息说“系统故
障”,要求用户重新登录。此后,才会出现真正的登录界面。在我们
能够得到新一代更加完善的操作系统版本之前,类似的攻击仍会发生。
新一代的黑客已经开始掌握目前流行操作系统的底层知识,也就是说,
攻击更加容易和秘密了。现在防火墙的一个重要作用就是防止非法用
户登录到受保护网的主机上。例如可以在进行报文过滤时,禁止外部
主机Telnet到内部主机上。基本上所有的ISP都是禁止此项
操作的---目前在允许TELNET的情况下海王星敢说还没有一
个完全有效的阻止攻击的办法!让我们期待技术的发展吧。
★便宜的顺手牵羊-系统管理员失误攻击法
许多网管都知道一句话---网络安全的重要因素之一就人!
无数历史事实表明“堡垒最容易从内部攻破!!!”
因而人为的失误,如WWW服务器系统的配置差错,扩大普通用
户使用权限,管理口令设置不对而且长时间不进行更换。。。。。。
这样就给黑客造成了可趁之机。黑客常利用系统员的失误,收集攻击
信息。如用finger、netstat、arp、w、who、
ps、ls、mail、grep命令和SATAN软件。
防卫的方法是老生常谈:加强人员的管理,提高工作责任心!
下面是一些特殊的比较“COOL”的攻击方法,请大家留意:
★借尸还魂-重放(REPLAY)功击法
收集特定的IP包,篡改其数据,然后再一一重新发送,欺骗接
收的主机。
这样的情况一般是内部人员所为!因为在现在的条件下,拦截数
据还是一件非常困难的事情,除非是知道攻击对象的IP地址和路由
路径。
★抛砖引玉-源路径选项的弱点功击法
“兵以诈立,多谋者胜”。信源主机可以使用IP源路径选项,
强制报文通过一个特定的路径到达目的主机。这样的报文可以用来攻
陷防火墙和欺骗主机。一个外部攻击者可以传送一个具有内部主机地
址的源路径报文。服务器会处理这个报文并对攻击者发回答报文,因
为这是IP的源路径选项要求的!
对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部
网进来的却声称是内部主机的报文。
★混水摸鱼-以太网的广播攻击法
将以太网接口置为乱模式(promiscuous),截获局
部范围的所有包,为我所用。
上面所介绍的都是“真正的”黑客所不齿的方法,下面是标准的
“骨灰级”黑客的作业流程,希望对于我们的网络管理员有一些帮助:
★现在非常流行的“远交近攻”法
许多Internet上的站点使用UNIX操作系统。黑客们
会设法先登录到一台UNIX的主机上,通过钻操作系统的漏洞来取
得系统特权,然后再以此为据点访问其余主机,这被称为“跳跃”
(Island-hopping)。黑客们在达到目的主机之前往
往会这样跳几次。例如一个在美国黑客在进入美联邦调查局的网络之
前,可能会先登录到亚洲的一台主机上,再从那里登录到加拿大的一
台主机,然后再跳到欧洲,最后从法国的一台主机向联邦调查局发起
攻击。这样被攻击网络即使发现了黑客是从何处向自己发起了攻击,
管理人员也很难顺藤摸瓜的找回去,更何况黑客在取得某台主机的系
统特权后,可以在退出时删掉系统日志,把“藤”割断。你只要能够
登录到UNIX系统上,就能相对容易的成为超级用户,这使得它同
时成为黑客和安全专家们的关注点。解决UNIX系统的缺陷是问题
的关键所在!
★恐怖的窃取TCP连接法
网络互连协议也存在许多易受攻击的地方。而且互连协议的最初
产生本来就是为了更方便信息的交流,因此设计者对安全方面很少甚
至不去考虑。安全的协议分析成为攻击的最历害一招。
在几乎所有的UNIX实现的协议族中,存在着一个久为人知的
漏洞,这个漏沿使得窃取TCP连接成为可能---当TCP连接正
在建立时,服务器用一个含有初始序列号的回答报文来确认用户请求。
这个序列号无特殊要求,只要是唯一的就可以了。客户端收到回答后,
再对其确认一次,连接便建立了。
TCP协议规范要求每秒更换序列号25万次。但大多数的UN
IX的实际更换频率远小于此,而且下一个更换的数字往往是预知的。
正是这种可预知服务器初始序列号的能力使得攻击可以完成。
读者朋友们注意:唯一可以防治这种攻击的方法是使初始序列号
的产生更具有随机性。最安全的解决方法是用加密算法产生初始序列
号。
★巧妙的反客为主法
在UNIX系统下,有太多的文件是只能由超级用户拥有,而很
少是可以由某一类用户所有,这使得管理员必须在root下进行各
种操作,但是这种做法恰巧并不是很安全的。黑客攻击首要对象就是
root,最常受到攻击的目标是超级用Password。严格的
说,UNIX下的用户密码是没有加密的,它只是作为DES算法加
密一个常用字符串的密钥。现在出现了许多用来解密的软件工具,它
们利用CPU的高速度来究尽式搜索密码。攻击一旦成功,黑客就可
以在UNIX系统中为所欲为。因此,将系统中的权利进行分散!比
如;设定邮件系统邮件管理员管理,那么邮件管理员可以在不具有超
级用户特权的情况下很好的管理邮件系统,这会使系统安全的多:-)
昆明海王星重点提醒大家的是:在入侵者攻破系统后,经常使用
删除系统运行日志,使得不被系统管理员发现,这个大家都是知道的。
非常多的黑客还会在系统不同的地方留下各种“标志”和“后门”,
方便以后东山再起。所以发生了入侵事情以后,应该彻底检查系统,
搜索可疑的东西,如果实在不放心,应该不惜代价重新安装系统,毕
竟,安全是最重要的!我们的电子邮件是wy333@ynmail。
com,欢迎计算机爱好者来信讨论技术问题。
━━━━━昆明海王星工作室宅电:0871-5124623 电子邮件:
[email protected]990。NET,21N。COM和@SO
IM。COM的信箱的朋友们无效,请大家尽量利用其他信箱和昆明
海王星联系 [email protected]本刊发表的该工作室文章,欢迎纸媒
体转载,支付稿费请直接与昆明海王星联系