黑客俘获计算机的攻击方法和防御详解
10...@1024m.com
原理介绍
Proxy代理技术在提高Internet访问速度与效率上有很大作用,在这种技术的基础
之上又出现了Cache Server等Internet访问优化技术,但Proxy也被黑客利用来进行非
法活动。黑客把“肉鸡”设置为Proxy一般有两个目的,首先与正常Proxy的目的一样,
是利用它更好地访问Internet,进行WWW浏览;其次就是利用这台Proxy“肉鸡”的特殊
位置绕过一些访问的限制。
普通的www Proxy其实在Internet上是很常见的,一些计算机免费而且开放地为所
有计算机提供WWW Proxy服务,如果黑客想得到一台合适的Proxy时,并不需要自己亲自
去攻击计算机并安装Proxy软件,只需利用这些现成的Proxy计算机就可以了。在骇软站
点上,有很多Proxy Hunter之类的软件,输入某个网段就可以运行去自动搜索已经存在
的Proxy计算机了。虽然Proxy本身并不会被攻击,但是运行Proxy服务,在客户端连接
数目多的时候会造成很大的负担。而且一些攻击如Unicode、Lotus Notes、ASP攻击也
正是通过HTTP协议进行的,最终被攻击者会把Proxy服务器当做攻击的来源,换句话说
,Proxy服务器会成为这些攻击者的替罪羊。所以最好不要向外提供开放的Proxy服务,
即使因为需要而开放了,也应加以严格的限制。
利用Proxy绕过一些访问限制,在“肉鸡”的利用中也是很常见的。举个实例来说
,某个公司为了提高工作效率,不允许员工使用QQ聊天,指示在公司的防火墙上限制了
所有由内向外对UDP 8000这个端口的访问,这样内部就无法向外连接Internet上的QQ服
务器进行聊天了。但黑客利用自己设置的QQ Proxy就可以绕过这个限制正常访问QQ服务
器。
QQ Proxy同WWW Proxy的设置和使用方法是一样的。在有了Internet上的QQ Proxy
时,黑客在公司内部向外访问QQ Proxy的UDP 18000端口,这是不被禁止的。而QQ
Proxy会以客户端的身份向真正的访问目标-QQ服务器进行访问,然后把信息从UDP
18000端口向黑客计算机转回去。这样,黑客就利用Proxy实现了对访问限制的突破。
还可以利用这个原理进行其他协议限制的绕过,如WWW、ICQ、MSN、Yahoo
Messager、AOL等,只要Proxy软件支持。
防御方法
我们设立任何类型的Proxy服务器时,应当对客户端有所限制,不向无关的人员提
供使用权限。这样提高了服务器的效率,又杜绝了黑客借我们的Proxy进行攻击的可
能。
防止内部人员利用外部的Proxy时,可以在防火墙上严格限制,只能对外部规定站
点的规定服务进行访问。当然这样有可能造成业务上的不便,所以在具体环境下要具体
考虑,综合地权衡。
_________________________________________________________________
享用世界上最大的电子邮件系统— MSN Hotmail。 http://www.hotmail.com
10...@1024m.com
原理介绍
这又是“肉鸡”的一大功能,黑客很喜欢把一些被托管在IDC中的“肉鸡”设置
为自己的BBS/E-mail服务器,这些计算机一般都是CPU快、内存大、硬盘空间足和网速
快的,对黑客需要的功能可以很好地支持。黑客分布在世界范围内的各个角落,除了一
些固定的黑客组织外,很多黑客都是只通过网络交流,如通过电子邮件、在线聊天等方
式"互送秋波",交流攻击和其他技术,倾诉仰慕之情。很多交往多年的黑客好友从未在
现实生活中见过面,这是毫不为奇的。
大家会问那么黑客直接发电子邮件、上ICQ不就行了吗?何必去冒险攻击其他的计
算机做为交流平台呢。请注意黑客之间传播的都是一些不能被别人知道的信息,如"我
已经控制了XXX省网的骨干路由器,你想要一份它的路由表吗?",这样的内容如果在任
何一个邮件服务器和聊天服务器上被截获,从道义上讲这个网管都是有义务提醒被攻击
的网络负责人的,所以利用公共的网络交流手段对黑客来说并不可靠,黑客也要保密啊
:-) 。那怎么办?黑客既然控制了“肉鸡”,成为了“肉鸡”的第二个"家长",就有资
格和权限去把它设置为交流用的服务器。在这样的交流平台上,黑客被发现的可能性小
得多,最高的控制权限可以使黑客对这些活动进行各种各样的掩饰。还有另一种利用形
式就是FTP服务器,供黑客兄弟们上传下载黑客软件,互通有无。
黑客在“肉鸡”上做信息交换的时候,会产生大量的网络通信,尤其是利用FTP上
传下载时。如果发现你的内外部通信突然反常地加大,检查一下自己的计算机吧。
防卫性差的“肉鸡”其管理员一般水平也不会很高,再加上缺乏责任心,往往在自
己的计算机被占领了很长时间都不知道,直到有一天收到了高额的数据通信收费单,才
大吃一惊:"怎么搞的?!"。- 难道他们自己就没有责任吗?
防御方法
管理员要有实时监视的手段,并制定合理的检查制度,定期地对所负责的网络和服
务器进行检查。对于网络流量突然增大、可疑访问出现、服务器情况异常、不正常的日
志项等,都要立即进行检查。要记得把这些记录、日志归类备份,以便在出现情况时前
后比较。
安全不安全很大程度上取决于管理员是否尽职尽责,好的管理员必须有好的习惯。
1.4、学习/开发平台
原理介绍
这种情况是比较少见的,却很有意思。我们平时使用的是个人计算机,一般可以安
装Windows、FreeBSD、Linux和其他Unix系统的x86版本,如果要实习其他平台上的操作
系统几乎是不可能的。象AIX、HP-UX、Solaris(sparc)、IRIX等,都需要相应的硬件
平台来配套,普通的个人计算机是装不上的,这些知名厂商的Unix计算机又非常昂贵,
成了一般计算机爱好者可望不可及的宝物。黑客兄弟们在这里又有了大显身手的时候了
,到网上找到一些可以侵入的AIX什么的机器,占领之后,想学习这种平台的操作使用
还不是很简单的事吗?我曾在一个黑客站点上看到有人转让一台Sun E250“肉鸡”的控
制权,开价300块,可怜那个管理员,自己的机器已经被公开出售了还不知道。
黑客在“肉鸡”上做开发就更少见了,因为这样做会有很大的风险。许黑客都没有
全职的工作,他们中的很多人都是编程高手,会通过朋友和其他渠道揽一些程序开发的
活计,挣些零花钱。很多定制的程序是要跑在特定平台上的,如果一个程序需要在
HP-UX平台上开发调试怎么办?HP-UX计算机是很少能找到的。但黑客又可以利用自己的
"特长"去攻下一台,做为开发平台。不过我们都知道开发调试程序的时候会有各种种样
的bug,轻则导致程序不正常,重则让系统崩溃,还会在日志里留下记录。这就是为什
么说这么做很危险,因为它太容易被发现了。要是一台计算机被当做开发平台用了很久
而管理员却一无所知的话,这个管理员实在应该好好反省。
_________________________________________________________________
免费下载 MSN Explorer: http://explorer.msn.com/lccn
10...@1024m.com
前面说的都是黑客如何利用“肉鸡”做一些其他的事情,在第二大部分里就要谈一
下黑客是如何利用“肉鸡”进行攻击其他计算机和网络行为的。黑客利用“肉鸡”攻击
的原因主要有两个:首先是万一攻击行为被下一个目标发现了,对方管理员在追查的时
候只能找到这台“肉鸡”,而不能直接抓出黑客自己,这为对方管理员追究责任造成了
更大的困难;其次,对于某些类型的攻击手段,“肉鸡”所在的位置也许比黑客计算机
所在的位置更有利。
下面介绍一下黑客利用“肉鸡”来攻击时的几种方式。
2.1非法扫描/监听平台
原理介绍
扫描和监听是黑客对“肉鸡”最常使用的借用手段,目标是本网络和其他网络中的
计算机。被攻击网络中总有一台计算机会被首先攻破,一旦打开了这个缺口,整个网络
就都危险了。这是由于在大多数的网络进行安全设置时,主要的防卫方向是向外的,也
就是说他们主要是防备外来的攻击。黑客可以利用其对内部计算机防备较少的弱点,在
控制一台计算机后,从这里直接扫描。
请看一下前后两种情况的对比。防火墙是很常见的网络安全设备,在网络入口处起
到了一个安全屏障的作用,尤其在黑客进行扫描的时候防火墙将堵住对绝大多数端口的
探测。这时“肉鸡”就有了用武之地,从这里扫描本地网络中的其他计算机是不需要经
过防火墙的,可以随便地查看它们的漏洞。而且这时候防火墙上也不会留下相应的日志
,不易被发觉。黑客可以在扫描结束时返回“肉鸡”取一下结果,或者命令“肉鸡”把
扫描结果直接用电子邮件发送到指定信箱。
对于在某个网络中进行非法监听来说,本地有一台“肉鸡”是必须的条件。由于以
太网的设计特点,监听只能在本地进行。虽然随着交换式以太网的普及,网络非法监听
能收集到的信息大大减少,但对于那些与非法监听软件所在的“肉鸡”通讯的计算机来
说,威胁还是很大的。如果这个“肉鸡”本身还是一台重要的服务器,那么危害就更大
了,黑客在这上面会得到很多诸如用户帐号、密码、服务器之间不合理的信任关系的信
息等,对下一步攻击起到很大的辅助作用。
防御方法
防止扫描一般主要设置在防火墙上,除了内部那些开放了的服务以外,不允许其他
的访问进入,可以最大限度地防止信息泄露。至于同一网段上某个服务器成了“肉鸡”
,一般情况下是没法防止它扫描其他服务器了,这就需要我们的防御方向不但要向外,
也要向内。关闭每一台计算机上不需要的服务,进行安全加强,让内部的非法扫描器找
不到可以利用的漏洞。
防御监听一般使用网络传输加密和交换式网络设备。管理员远程登录系统时候,还
是有很多人喜欢使用默认的telnet,这种明文传输的协议是黑客的最爱。使用SSH代替
telnet和那些r命令,可以使网络上传输的数据成为不可读的密文,保护你的帐号、口
令和其他重要的信息。交换式网络设备可以使单个计算机接收到的无用信息大大减少,
从而降低非法监听器的危害性。不过相对来说,它的成本还是比较高的。
_________________________________________________________________
与联机的朋友进行交流,请使用 MSN Messenger: http://messenger.msn.com/cn
10...@1024m.com
原理介绍
这里所说的攻击是指那些取得其他计算机控制权的动作,如溢出和漏洞攻击等。与
扫描监听相同,从内部的“肉鸡”发起的攻击同样不必经过防火墙,被阻挡和发现的可
能减少了。从这里攻击时被发现了之后,追查时会找到黑客吗?同样也不行,只能先找
到“肉鸡”,再从这里找黑客就困难了。
如果说“肉鸡”做为扫描工具的时候象黑客的一只眼睛,做监听工具的时候象黑客
的一只耳朵,那么“肉鸡”实际进攻时就是黑客的一只手。黑客借助“肉鸡”这个内应
来听来看、来攻击,而“肉鸡”成为了提线木偶,举手投足都被人从选程看不到的地方
控制着。
防御方法
也是需要对计算机进行严密的监视。请参考前面的内容。
2.3 DDoS攻击傀儡
关于黑客利用“肉鸡”进行DDoS攻击的手段就不再赘述了,详见缔造论坛曾经刊登
的文章《DDoS攻击原理以及常见的攻击手段》
2.4端口跳转攻击平台
原理介绍
这种攻击方式一般是用来对付防火墙的访问限制的。在很多网络中都使用了防火墙
对外封闭一些危险的端口(这种防御又是向外的),这里黑客就可以在内部已经有“肉
鸡”的提前下,让“肉鸡”去访问这些端口,注意这时不经过防火墙是不会被阻挡的,
而黑客从一个不被防火墙限制的端口去访问“肉鸡”。在进行这种攻击之前,黑客会在
“肉鸡”上进行设置,利用特殊的软件把黑客对“肉鸡”的访问发送到目标计算机上,
端口也会变成那个危险端口,这样黑客就绕过防火墙直接对目标计算机的危险端口进行
攻击了。
只用文字描述比较抽象,我们来看一个例子。
这是一个我们在实际的安全响应中的处理过程,这里黑客使用了组合式的攻击手段
,其中包括对Windows服务器常见的139端口攻击,对Solaris系统的溢出攻击,攻击前
的信息收集,还有2.4要里着重介绍的端口跳转攻击的方式。
客户方的系统管理员发现一台Windows2000服务器的行为异常后,马上切断了这台
服务器的网络连接并向我们报告,这是当时的网络拓扑结构。经过仔细的诊断,我们推
断出黑客是利用了这台服务器的139端口漏洞,从远程利用nbtdump、口令猜测工具、
Windows net命令等取得了这台服务器的控制权,并安装了BO 2000木马。但客户的系统
管理员立刻否定我们的判断:"虽然这台服务器的139端口没有关闭,但我已经在防火墙
上设置了规则,使外部计算机不能访问这台服务器的139端口。"又是一个只防范外部攻
击的手段!难道大家都对内部攻击占70%以上的比率视而不见吗?不过这里的路由器日
志显示,黑客确实是从外部向这台服务器的木马端口进行连接的。难道黑客用了我们还
不了解的新的攻击手段?
我们于是继续汇总分析各方面的数据,客户管理员也配合我们进行检查。在检查网
络上的其他主机时,我们发现内部网中有一台SUN工作站的网卡上绑定了3个IP地址,其
中一个IP地址与被攻击Windows服务器是一个网段的!这立刻引起了我们的注意。客户
管理员解释说这是一台Solaris Sparc机器,经常用来做一些测试,有时也会接入服务
器网段,所以配了一个该网段的地址。而且就在一个多星期前,这台SUN工作站还放在
服务器网段。这就很可疑了,我们立刻对它进行了检查,果然这台SUN工作站已经被占
领了,因为主要用途是测试,客户管理员并没有对它进行安全加强,攻破它是易如反掌
的事情。在它上面发现了大量的扫描、监听和日志清除工具,另外还有我们意料之中的
端口跳转工具 - netcat,简称nc。
至此问题就比较清楚了:黑客首先占领了这台毫不设防的SUN机,然后上载nc,设
置端口跳转,攻击Windows 2000服务器的139端口,并且成功地拿下了它。还原当时的
网络拓扑图应该是这样的。
解释了端口跳板是如何起作用的。nc安装后,黑客就会通过定制一些运行参数,在
“肉鸡”的后台建立起由“肉鸡”的2139端口到目标计算机的139端口的跳转。这就象
是一条虚拟的通道,由“肉鸡”的2139端口通向目标的139端口,任何向“肉鸡”的
2139进行的访问都会自动地转发到目标计算机的139端口上去。就是说,访问“肉鸡”
的2139端口,就是在访问目标的139端口。反过来,目标计算机的回馈信息也会通过
“肉鸡”的通道向黑客计算机返回。
黑客需要两次端口跳转,第一次是利用自己的linux计算机把对139端口的访问向
SUN的2139端口发送,这样就绕过了防火墙对139端口的访问限制。然后SUN会把对自己
2139端口的访问发送到攻击最终目标的139端口上。为什么图中的"黑客"计算机不直接
访问SUN的2139端口,而需要linux多跳转一次呢?这是由于象net、nbtdump、远程口令
猜测等手段都是默认针对139端口而且黑客无法改变的。
在这两个端口跳板准备好了之后,黑客只要访问自己的linux机器上的139端口,就
可以对目标的Windows服务器进行攻击了,“肉鸡”的作用巨大啊。据了解这台SUN工作
站当时在服务器网段中只接入了三天不到的时间就搬到内部网里了,可见黑客对这个网
段的情况变化的掌握速度是很快的,管理员们不要因为只是临时接入而忽略了安全。我
们随后又在路由器上找到了当时黑客远程向SUN机的2139端口连接的日志,至此就完全
清楚了。
防御方法
对于这种端口跳转攻击,除了加强内部主机,不使其侵入系统之外,还应对防火墙
的规则进行严格的设置。设置规则可以按照先全部禁止,再单个放开的方法。这样即使
黑客从非危险的端口连接过来时,也会被防火墙禁止掉。
_________________________________________________________________
免费下载 MSN Explorer: http://explorer.msn.com/lccn/
10...@1024m.com
与上述各类情况不同,直接利用其他计算机做为攻击平台时,黑客并不需要首先入
侵这些被利用的计算机,而是误导它们去攻击目标。黑客在这里利用了TCP/IP协议和操
作系统本身的缺点漏洞,这种攻击更难防范,特别是制止,尤其是后面两种反射式分布
拒绝服务攻击和DNS分布拒绝服务攻击。
3.1 Smurf攻击
原理介绍
Smurf攻击是这种攻击的早期形式,是一种在局域网中的攻击手段。它的作用原理
是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如
ping请求时,会接到它的回应;如果向本网络的广播地址发送请求包,实际上会到达网
络上所有的计算机,这时就会得到所有计算机的回应。这些回应是需要被接收的计算机
处理的,每处理一个就要占用一份系统资源,如果同时接到网络上所有计算机的回应,
接收方的系统是有可能吃不消的,就象遭到了DDoS攻击一样。大家会疑问,谁会无聊得
去向网络地址发包而招来所有计算机的攻击呢?
当然做为一个正常的操作者是不会这么做的,但是当黑客要利用这个原理进行
Smurf攻击的时候,他会代替受害者来做这件事。
黑客向广播地址发送请求包,所有的计算机得到请求后,却不会把回应发到黑客那
里,而是被攻击的计算机处。这是因为黑客冒充了被攻击主机。黑客发包所用的软件是
可以伪造源地址的,接到伪造数据包的主机会根据源地址把回应发出去,这当然就是被
攻击目标的地址。黑客同时还会把发包的间隔减到几毫秒,这样在单位时间能发出数以
千计的请求,使受害者接到被欺骗计算机那里传来的洪水般的回应。象遭到其他类型的
拒绝服务攻击一样,被攻击主机会网络和系统无法响应,严重时还会导致系统崩溃。
黑客借助了网络中所有计算机来攻击受害者,而不需要事先去占领这些被欺骗的主
机。
在实际使用中,黑客不会笨到在本地局域网中干这件事的,那样很容易被查出。他
们会从远程发送广播包到目标计算机所在的网络来进行攻击。
防御方法
局域网中是不必进行Smurf攻击的防御的。我们只需在路由器上进行设置,在收到
定向广播数据包时将其丢弃就可以了,这样本地广播地址收不到请求包,Smurf攻击就
无从谈起。注意还要把网络中有条件成为路由器的多宿主主机(多块网卡)进行系统设
置,让它们不接收和转发这样的广播包。
10...@1024m.com
原理介绍
这是DDoS攻击的变形,它与DDoS的不同之处就是DrDoS不需要在实际攻击之前占领
大量的傀儡机。这种攻击也是在伪造数据包源地址的情况下进行的,从这一点上说与
Smurf攻击一样,而DrDoS是可以在广域网上进行的。其名称中的"r"意为反射,就是这
种攻击行为最大的特点。黑客同样利用特殊的发包工具,首先把伪造了源地址的SYN连
接请求包发送到那些被欺骗的计算机上,根据TCP三次握手的规则,这些计算机会向源
IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样,黑客所发送的请求包的源
IP地址是被害者的地址,这样受欺骗的计算机就都会把回应发到受害者处,造成该主机
忙于处理这些回应而被拒绝服务攻击。
3.3 DNS分布拒绝服务攻击
原理介绍
DNS拒绝服务攻击原理同DrDoS攻击相同,只是在这里被欺骗利用的不是一般的计算
机,而是DNS服务器。黑客通过向多个DNS服务器发送大量的伪造的查询请求,查询请求
数据包中的源IP地址为被攻击主机的IP地址,DNS服务器将大量的查询结果发送给被攻
击主机,使被攻击主机所在的网络拥塞或不再对外提供服务。
防御方法
通过限制查询主机的IP地址可以减轻这种攻击的影响,比较糟糕的是在现实环境中
这么做的DNS服务器很少。目前不能从根本上解决这个问题。另外可以从自己的网络设
备上监视和限制对DNS查询请求的回应,如果突然出现流量剧增的情况,限制一下到达
DNS服务器的查询请求,这样可以避免自己管理的服务器被欺骗而去攻击无辜者。