[转载]跳板攻击与防御
<P>信息来源 安全之难</P><P>骇客在进行攻击时会借用其他系统来达到自己的目的,如对下一目标的攻击和被侵占计算机本身的利用等等。本文介绍了常见的骇客对被侵占计算机的使用方式和安全管理员相应的应对方法。 </P>
<DIV><BR> 骇客进行<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>攻击时,除了自己手中直接操作的计算机外,往往在攻击进行时和完成之后利用、控制其他的计算机。他们或者是借此达到攻击的目的,或者是把这些计算机派做其他的用途。本文汇总描述了骇客各种利用其他计算机的手段,希望<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>与系统管理员能通过了解 这些攻击办法来达到更好地进行安全防范的目的。<BR><BR><STRONG>一、对“肉鸡”的利用</STRONG> </DIV>
<DIV><BR> “肉鸡”这个词被骇客专门用来描述Internet上那些防护性差,易于被攻破而且控制的计算机。<BR><BR><STRONG>1.1、本身<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>被获取<BR></STRONG><BR><STRONG>原理介绍</STRONG> </DIV>
<DIV><BR> 这是一台计算机被攻破并完全控制之后,骇客要做的第一件事。很多骇客宣称自己是非恶意的,只是对计算机安全感兴趣,在进入别人的计算机时,不会进行破坏、删除、篡改等操作。甚至还有更"好心"一些的骇客会为这些计算机打补丁,做一些安全加强。<BR><BR> 但是他们都回避了一个问题,那就是对这些计算机上本身保存的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>如何处理。确实,对别人的计算机进行破坏这种损人不利已的事情对这大多数骇客来讲没有太大意思,不过他们都不会反对把“肉鸡”上的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>弄回来保存。这时骇客再说"没有进行破坏"是说不过去的,根据计算机安全的基本原则,当<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>的"完整性、可用性和机密性"中任意三者之一在受到破坏的时候,都应视为安全受到了破坏。在被占领的计算机上可能会保存着用户信息、<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>拓扑图、商业秘密、财务报表、军事情报和其他各类需要保密的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>,骇客获得这些<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>(即使只是查看<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>的内容而不下载)时正是破坏了保密性。在实际情 况中,很多商业间谍和政治间谍都是这一类,他们只是默默地拿走你的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>而绝不做任何的破坏,而且尽最大可能地掩盖自己行动的痕迹。这些骇客希望长时间大量地得到珍贵的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>而不被发觉,这其实是最可怕的一种攻击行为。<BR><BR> 很多骇客会在“肉鸡”上安装FTP软件或者开放FTP<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>,再下载其<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>,但安装软件和开放<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>这样的动作很容易在系统中的各类日志留下记录,有可能被发现。而不希望被人发觉的骇客会自己建立一台FTP<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器,让“肉鸡”做为客户端把自己的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>上传过来。 <BR><BR><STRONG>防御方法</STRONG> </DIV>
<DIV><BR> 防止本身<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>资料不被窃取,当然首先要考虑的是计算机本身不被攻破。如果自己是铁桶一个,水泼不进,骇客无法在你的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>中的计算机取得任何访问的权限,当然就杜绝了绝大多数的泄密可能(请注意,这时候还是有可能会泄密的!比如被骇客欺骗而将<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>发送出去) 。我们先来看一下如何加强自己的计算机的操作系统,对于所有需要事先控制的攻击方式,这些手段都是有效的,在以后的章节中就不重复说明了。<BR><BR> 简单地说,对于操作系统的加强,无论是Windows、Unix或是Linux,都可以从物理安全、文件系统、<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>帐号</FONT></A>管理、<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>设置和应用<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>几个方面来考虑,在这里我们不详细讨论全面的安全防护方案,只是提供一些简单实用的系统安全检查项目。这是安全的必 要条件,而不是充分条件。<BR><BR><STRONG>物理安全</STRONG></DIV>
<DIV><BR> 简单地说,物理安全就是你的计算机所在的物理环境是否可靠,会不会受到自然灾害(如火灾、水灾、雷电等)和人为的破坏(失窃、破坏)等。物理安全并不完全是系统或者<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>管理员的责任,还需要公司的其他部门如行政、保安等一起协作,不过因为这是其他安全手段 的基础,所以我们网管员还是应该密切注意的。要特别保证所有的重要设备与<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器要集中在机房里,并制订机房相关制度,无关人员不得进入机房等。网管员无特殊情况也不要进入机房,需要可以从外面的指定终端进行管理。<BR><BR> 如果重要的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器暴露在人人都可以接近的外部,那么无论你的口令设得多么强大都没用了,各种操作系统都可以用软盘、光盘启动来破解密码。 <BR><BR><STRONG>文件系统安全</STRONG></DIV>
<DIV><BR> 文件和目录的权限设置得是否正确,对系统中那些重要的文件,权限要重新设置; <BR> 在Unix与Linux系统中,还要注意文件的setuid和setgid权限,是否有不适合的文件被赋予了这些权限;</DIV>
<DIV><BR><STRONG><A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>帐号</FONT></A>系统安全</STRONG></DIV><STRONG></STRONG>
<DIV><BR><A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>帐号</FONT></A>信息,用户名和密码是否合乎规则,具有足够的复杂程度。不要把权限给予任何没有必要的人; <BR>在Unix/Linux中可以合理地使用su与sudo; <BR>关闭无用账号;</DIV>
<DIV><BR><STRONG><A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>系统安全</STRONG></DIV><STRONG></STRONG>
<DIV><BR>关闭一切不必要的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>。这一点不必多说了吧,每个开放的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>就象一扇开启的门,都有可能会被骇客悄悄地进入; <BR><A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>接口特性。注意网卡不要处在监听的混杂模式; <BR>防止DoS的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>设置。禁止IP转发、不转发定向广播、限定多宿主机、忽略和不发送重定向包、关闭时间戳响应、不响应Echo广播、地址掩码广播、不转发设置了源路由的包、加快ARP表过期时间、提高未连接队列的大小、提高已连接队列的大小; <BR>禁用r*命令和telnet命令,用加密的SSH来远程管理; <BR>对NIS/NIS+进行安全设置; <BR>对NFS进行安全设置;</DIV>
<DIV><BR><STRONG>应用<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>安全</STRONG></DIV><STRONG>
<DIV><BR> 应用<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>是<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器存在的原因,又是经常会产生问题的地方。因为应用<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>的种类太多,这里无法一一叙述,就请大家注意一下这方面的资料吧。如果有可能,我会在今后继续提供一些相关知识。可以肯定地说,没有一种应用程序是完全安全的,必须依靠我们去重新设置。 <BR><BR> 对于防止<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>被窃取,也有手段可以采用,使骇客侵入计算机之后不能盗窃<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>和资料。这就是访问控制和加密。系统访问控制需要软件来实现,可以限制root的权限,把那些重要的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>设置为除了特殊用户外,连root都无法访问,这样即使骇客成为root也没 有用。加密的手段有很多,这里也不详细介绍了,文件通过加密会以密文的形式存放在硬盘中,如果不能正确解密,就是一堆没有任何意义的字符,骇客就算拿到了也没有用。<BR><BR><STRONG>1.2、非法proxy<BR></STRONG><BR><STRONG>原理介绍</STRONG> </DIV>
<DIV><BR> Proxy代理<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>技术</FONT></A>在提高Internet访问速度与效率上有很大作用,在这种<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>技术</FONT></A>的基础之上又出现了Cache Server等Internet访问优化<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>技术</FONT></A>,但Proxy也被骇客利用来进行非法活动。骇客把“肉鸡”设置为Proxy一般有两个目的,首先与正常Proxy的目的一样,是利用它更好地访问Internet,进行WWW浏览;其次就是利用这台Proxy “肉鸡”的特殊位置绕过一些访问的限制。<BR><BR> 普通的WWW Proxy其实在Internet上是很常见的,一些计算机<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>免费</FONT></A>而且开放地为所有计算机提供WWW Proxy<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>,如果骇客想得到一台合适的Proxy时,并不需要自己亲自去攻击计算机并安装Proxy软件,只需利用这些现成的Proxy计算机就可以了。在骇软站点上,有很多Proxy Hunter之类的软件,输入某个网段就可以运行去<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>自动</FONT></A>搜索已经存在的Proxy计算机了。虽然Proxy本身并不会被攻击,但是运行Proxy<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>,在客户端连接数目多的时候会造成很大的负担。而且一些攻击如Unicode、Lotus Notes、ASP攻击也正是通过HTTP协议进行的,最终被攻击者会把Proxy<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器当做攻击的来源,换句话说,Proxy<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器会成为这些攻击者的替罪羊。所以最好不要向外提供开放的Proxy<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>,即使因为需要而开放了,也应加以严格的限制。<BR><BR> 利用Proxy绕过一些访问限制,在“肉鸡”的利用中也是很常见的。举个实例来说,某个公司为了提高工作效率,不允许员工使用QQ<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>聊天</FONT></A>,指示在公司的防火墙上限制了所有由内向外对UDP 8000这个端口的访问,这样内部就无法向外连接Internet上的QQ<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器进行<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>聊天</FONT></A>了。但骇客利用自己设置的QQ Proxy就可以绕过这个限制正常访问QQ<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器。<BR>图一 骇客利用QQ Proxy绕过访问限制<BR><IMG alt="" src="http://sollit.com/news/UploadFiles_9994/200601/20060110232650962.gif" border=0> <BR> 如图一,QQ Proxy同WWW Proxy的设置和使用方法是一样的。在有了Internet上的QQ Proxy时,骇客在公司内部向外访问QQ Proxy的UDP 18000端口,这是不被禁止的。而QQ Proxy会以客户端的身份向真正的访问目标-QQ<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器进行访问,然后把信息从UDP 18000端口向骇客计算机转回去。这样,骇客就利用Proxy实现了对访问限制的突破。<BR><BR> 还可以利用这个原理进行其他协议限制的绕过,如WWW、ICQ、MSN、Yahoo Messager、AOL等,只要Proxy软件支持。<BR><BR><STRONG>防御方法 </STRONG></DIV>
<DIV><BR> 我们设立任何类型的Proxy<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器时,应当对客户端有所限制,不向无关的人员提供使用权限。这样提高了<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器的效率,又杜绝了骇客借我们的Proxy进行攻击的可能。<BR><BR> 防止内部人员利用外部的Proxy时,可以在防火墙上严格限制,只能对外部规定站点的规定<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>进行访问。当然这样有可能造成业务上的不便,所以在具体环境下要具体考虑,综合地权衡。</DIV>
<DIV><STRONG>1.3、骇客交流平台<BR><BR>原理介绍 <BR></STRONG>
<DIV> 这又是“肉鸡”的一大功能,骇客很喜欢把一些被托管在IDC中的“肉鸡”设置为自己的BBS/E-mail<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器,这些计算机一般都是CPU快、内存大、硬盘空间足和网速快的,对骇客需要的功能可以很好地支持。骇客分布在世界范围内的各个角落,除了一些固定的骇客组织外,很多骇客都是只通过<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>交流,如通过电子邮件、在线<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>聊天</FONT></A>等方式"互送秋波",交流攻击和其他<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>技术</FONT></A>,倾诉仰慕之情。很多交往多年的骇客好友从未在现实生活中见过面,这是毫不为奇的。<BR><BR> 大家会问那么骇客直接发电子邮件、上ICQ不就行了吗?何必去冒险攻击其他的计算机做为交流平台呢。请注意骇客之间传播的都是一些不能被别人知道的信息,如"我已经控制了XXX省网的骨干路由器,你想要一份它的路由表吗?",这样的内容如果在任何一个邮件<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器和<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>聊天</FONT></A><A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器上被截获,从道义上讲这个网管都是有义务提醒被攻击的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>负责人的,所以利用公共的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>交流手段对骇客来说并不可靠,骇客也要保密啊:-) 。那怎么办?骇客既然控制了“肉鸡”,成为了“肉鸡”的第二个"家长",就有资格和权限去把它设置为交流用的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器。在这样的交流平台上,骇客被发现的可能性小得多,最高的控制权限可以使骇客对这些活动进行各种各样的掩饰。还有另一种利用形式就是FTP<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器,供骇客兄弟们上传下载骇客软件,互通有无。<BR><BR> 骇客在“肉鸡”上做信息交换的时候,会产生大量的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>通信,尤其是利用FTP上传下载时。如果发现你的内外部通信突然反常地加大,检查一下自己的计算机吧。<BR><BR> 防卫性差的“肉鸡”其管理员一般水平也不会很高,再加上缺乏责任心,往往在自己的计算机被占领了很长时间都不知道,直到有一天收到了高额的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>通信收费单,才大吃一惊:"怎么搞的?!"。- 难道他们自己就没有责任吗?<BR><BR><STRONG>防御方法</STRONG></DIV>
<DIV> </DIV>
<DIV> 管理员要有实时监视的手段,并制定合理的检查制度,定期地对所负责的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>和<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器进行检查。对于<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>流量突然增大、可疑访问出现、<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器情况异常、不正常的日志项等,都要立即进行检查。要记得把这些记录、日志归类备份,以便在出现情况时前后比较。<BR><BR> 安全不安全很大程度上取决于管理员是否尽职尽责,好的管理员必须有好的习惯。<BR><BR><STRONG>1.4、学习/开发平台</STRONG><BR><BR><STRONG>原理介绍 </STRONG></DIV><STRONG></STRONG>
<DIV><BR> 这种情况是比较少见的,却很有意思。我们平时使用的是个人计算机,一般可以安装Windows、FreeBSD、Linux和其他Unix系统的x86版本,如果要实习其他平台上的操作系统几乎是不可能的。象AIX、HP-UX、Solaris(sparc)、IRIX等,都需要相应的硬件平台来配套,普通的个人计算机是装不上的,这些知名厂商的Unix计算机又非常昂贵,成了一般计算机爱好者可望不可及的宝物。骇客兄弟们在这里又有了大显身手的时候了,到网上找到一些可以 侵入的AIX什么的机器,占领之后,想学习这种平台的操作使用还不是很简单的事吗?我曾在一个骇客站点上看到有人转让一台Sun E250“肉鸡”的控制权,开价300块,可怜那个管理员,自己的机器已经被公开出售了还不知道。<BR><BR> 骇客在“肉鸡”上做开发就更少见了,因为这样做会有很大的风险。许骇客都没有全职的工作,他们中的很多人都是<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>编程</FONT></A>高手,会通过朋友和其他渠道揽一些程序开发的活计,挣些零花钱。很多定制的程序是要跑在特定平台上的,如果一个程序需要在HP-UX平台上开发调试怎么办?HP-UX计算机是很少能找到的。但骇客又可以利用自己的"特长"去攻下一台,做为开发平台。不过我们都知道开发调试程序的时候会有各种种样的bug,轻则导致程序不正常,重则让系统崩溃,还会在日志里留下记录。这就是为什么说这么做很危险,因为它太容易被发现了。要是一台计算机被当做开发平台用了很久而管理员却一无所 知的话,这个管理员实在应该好好反省。<BR><BR><STRONG>防御方法</STRONG></DIV>
<DIV><BR> 方法同前一部分,就不必多说了。关心你的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器吧。<BR><BR><STRONG>二、利用“肉鸡”进行攻击</STRONG> <BR></DIV>
<DIV> 前面说的都是骇客如何利用“肉鸡”做一些其他的事情,在第二大部分里就要谈一下骇客是如何利用“肉鸡”进行攻击其他计算机和<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>行为的。骇客利用“肉鸡”攻击的原因主要有两个:首先是万一攻击行为被下一个目标发现了,对方管理员在追查的时候只能找到这台“ 肉鸡”,而不能直接抓出骇客自己,这为对方管理员追究责任造成了更大的困难;其次,对于某些类型的攻击手段,“肉鸡”所在的位置也许比骇客计算机所在的位置更有利。<BR><BR> 下面介绍一下骇客利用“肉鸡”来攻击时的几种方式。<BR><BR><STRONG>2.1非法扫描/监听平台<BR></STRONG><BR><STRONG>原理介绍 <BR></STRONG></DIV>
<DIV> 扫描和监听是骇客对“肉鸡”最常使用的借用手段,目标是本<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>和其他<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>中的计算机。被攻击<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>中总有一台计算机会被首先攻破,一旦打开了这个缺口,整个<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>就都危险了。这是由于在大多数的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>进行安全设置时,主要的防卫方向是向外的,也就是说他们主要是 防备外来的攻击。骇客可以利用其对内部计算机防备较少的弱点,在控制一台计算机后,从这里直接扫描。如图二<BR>图二 “肉鸡”在防火墙内部进行扫描<BR><IMG alt="" src="http://sollit.com/news/UploadFiles_9994/200601/20060110232652204.gif" border=0> <BR><BR> 请看一下前后两种情况的对比。防火墙是很常见的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>安全设备,在<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>入口处起到了一个安全屏障的作用,尤其在骇客进行扫描的时候防火墙将堵住对绝大多数端口的探测。这时“肉鸡”就有了用武之地,从这里扫描本地<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>中的其他计算机是不需要经过防火墙的,可以 随便地查看它们的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>漏洞</FONT></A>。而且这时候防火墙上也不会留下相应的日志,不易被发觉。骇客可以在扫描结束时返回“肉鸡”取一下结果,或者命令“肉鸡”把扫描结果直接用电子邮件发送到指定信箱。<BR><BR> 对于在某个<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>中进行非法监听来说,本地有一台“肉鸡”是必须的条件。由于以太网的设计特点,监听只能在本地进行。虽然随着交换式以太网的普及,<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>非法监听能收集到的信息大大减少,但对于那些与非法监听软件所在的“肉鸡”通讯的计算机来说,威胁还是很大 的。如果这个“肉鸡”本身还是一台重要的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器,那么危害就更大了,骇客在这上面会得到很多诸如用户<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>帐号</FONT></A>、密码、<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器之间不合理的信任关系的信息等,对下一步攻击起到很大的辅助作用。<BR><BR><STRONG>防御方法</STRONG></DIV>
<DIV><BR> 防止扫描一般主要设置在防火墙上,除了内部那些开放了的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>以外,不允许其他的访问进入,可以最大限度地防止信息泄露。至于同一网段上某个<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器成了“肉鸡”,一般情况下是没法防止它扫描其他<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器了,这就需要我们的防御方向不但要向外,也要向内。关闭每 一台计算机上不需要的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>,进行安全加强,让内部的非法扫描器找不到可以利用的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>漏洞</FONT></A>。<BR><BR> 防御监听一般使用<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>传输加密和交换式<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>设备。管理员远程登录系统时候,还是有很多人喜欢使用默认的telnet,这种明文传输的协议是骇客的最爱。使用SSH代替telnet和那些r命令,可以使<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>上传输的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>成为不可读的密文,保护你的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>帐号</FONT></A>、口令 和其他重要的信息。交换式<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>设备可以使单个计算机接收到的无用信息大大减少,从而降低非法监听器的危害性。不过相对来说,它的成本还是比较高的。<BR><BR><STRONG>2.2 攻击的实际出发点<BR></STRONG><BR><STRONG>原理介绍 <BR></STRONG></DIV>
<DIV> 这里所说的攻击是指那些取得其他计算机控制权的动作,如溢出和<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>漏洞</FONT></A>攻击等。与扫描监听相同,从内部的“肉鸡”发起的攻击同样不必经过防火墙,被阻挡和发现的可能减少了。从这里攻击时被发现了之后,追查时会找到骇客吗?同样也不行,只能先找到“肉鸡”,再从 这里找骇客就困难了。<BR><BR> 如果说“肉鸡”做为扫描工具的时候象骇客的一只眼睛,做监听工具的时候象骇客的一只耳朵,那么“肉鸡”实际进攻时就是骇客的一只手。骇客借助“肉鸡”这个内应来听来看,来攻击,而“肉鸡”成为了提线木偶,举手投足都被人从选程看不到的地方控制着。<BR><BR><STRONG>防御方法<BR></STRONG></DIV>
<DIV> 也是需要对计算机进行严密的监视。请参考前面的内容。<BR><BR><STRONG>2.3 DDoS攻击傀儡 <BR></STRONG></DIV>
<DIV> 关于骇客利用“肉鸡”进行DDoS攻击的手段就不再赘述了,详见IBM DeveloperWorks曾经刊登的文章《分布式拒绝<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>攻击(DDoS)原理及防范》<BR><BR><STRONG>2.4端口跳转攻击平台<BR></STRONG><BR><STRONG>原理介绍 <BR></STRONG></DIV>
<DIV> 这种攻击方式一般是用来对付防火墙的访问限制的。在很多<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>中都使用了防火墙对外封闭一些危险的端口(这种防御又是向外的),这里骇客就可以在内部已经有“肉鸡”的提前下,让“肉鸡”去访问这些端口,注意这时不经过防火墙是不会被阻挡的,而骇客从一个不被 防火墙限制的端口去访问“肉鸡”。在进行这种攻击之前,骇客会在“肉鸡”上进行设置,利用特殊的软件把骇客对“肉鸡”的访问发送到目标计算机上,端口也会变成那个危险端口,这样骇客就绕过防火墙直接对目标计算机的危险端口进行攻击了。<BR><BR> 只用文字描述比较抽象,我们来看一个例子。<BR><BR> 这是一个我们在实际的安全响应中的处理过程,这里骇客使用了组合式的攻击手段,其中包括对Windows<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器常见的139端口攻击,对Solaris系统的溢出攻击,攻击前的信息收集,还有2.4要里着重介绍的端口跳转攻击的方式。图三(A) <A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>初始结构<BR><IMG alt="" src="http://sollit.com/news/UploadFiles_9994/200601/20060110232652337.gif" border=0> <BR><BR> 如图三A,客户方的系统管理员发现一台Windows2000<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器的行为异常后,马上切断了这台<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>连接并向我们报告,这是当时的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>拓扑结构。经过仔细的诊断,我们推断出骇客是利用了这台<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器的139端口<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>漏洞</FONT></A>,从远程利用nbtdump、口 令猜测工具、Windows net命令等取得了这台<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器的控制权,并安装了BO 2000木马。但客户的系统管理员立刻否定我们的判断:"虽然这台<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器的139端口没有关闭,但我已经在防火墙上设置了规则,使外部计算机不能访问这台<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器的139端口。"又是一个只防范外部攻击的手段!难道大家都对内部攻击占70%以上的比率视而不见吗?不过这里的路由器日志显示,骇客确实是从外部向这台<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器的木马端口进行连接的。 我们于是继续汇总分析各方面的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>,客户管理员也配合我们进行检查。在检查<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>上的其他主机时,我们发现内部网中有一台SUN工作站的网卡上绑定了3个IP地址,其中一个IP地址与被攻击Windows<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器是一个网段的!这立刻引起了我们的注意。客户管 理员解释说这是一台Solaris Sparc机器,经常用来做一些测试,有时也会接入<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器网段,所以配了一个该网段的地址。而且就在一个多星期前,这台SUN工作站还放在<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器网段。这就很可疑了,我们立刻对它进行了检查,果然这台SUN工作站已经被占领了,因为主要用途是测试,客户管 理员并没有对它进行安全加强,攻破它是易如反掌的事情。在它上面发现了大量的扫描、监听和日志清除工具,另外还有我们意料之中的端口跳转工具 - netcat,简称nc。<BR>
<DIV> 图三B “肉鸡”跳板主板被临时放置在目标<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器的同一网段<BR><IMG alt="" src="http://sollit.com/news/UploadFiles_9994/200601/20060110232653645.gif" border=0> <BR><BR> 至此问题就比较清楚了:骇客首先占领了这台毫不设防的SUN机,然后上载nc,设置端口跳转,攻击Windows 2000<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器的139端口,并且成功地拿下了它。还原当时的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>拓扑图应该是这样的,如图三B。<BR>图三C 利用“肉鸡”跳板进行端口跳转<BR><IMG alt="" src="http://sollit.com/news/UploadFiles_9994/200601/20060110232653444.gif" border=0> <BR><BR> 图三C解释了端口跳板是如何起作用的。nc安装后,骇客就会通过定制一些运行参数,在“肉鸡”的后台建立起由“肉鸡”的2139端口到目标计算机的139端口的跳转。这就象是一条虚拟的通道,由“肉鸡”的2139端口通向目标的139端口,任何向“肉鸡” 的2139进行的访问都会<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>自动</FONT></A>地转发到目标计算机的139端口上去。就是说,访问“肉鸡”的2139端口,就是在访问目标的139端口。反过来,目标计算机的回馈信息也会通过“肉鸡”的通道向骇客计算机返回。<BR>图三D 骇客通过两次跳转绕过防火墙对139端口的阻止<BR><IMG alt="" src="http://sollit.com/news/UploadFiles_9994/200601/20060110232653935.gif" border=0> <BR> 图三D是我们分析后还原的nc端口跳转攻击拓扑图,骇客在这里需要两次端口跳转,第一次是利用自己的linux计算机把对139端口的访问向SUN的2139端口发送,这样就绕过了防火墙对139端口的访问限制。然后SUN会把对自己2139端口的访问发 送到攻击最终目标的139端口上。为什么图中的"骇客"计算机不直接访问SUN的2139端口,而需要linux多跳转一次呢?这是由于象net、nbtdump、远程口令猜测等手段都是默认针对139端口而且骇客无法改变的。<BR><BR> 在这两个端口跳板准备好了之后,骇客只要访问自己的linux机器上的139端口,就可以对目标的Windows<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器进行攻击了,“肉鸡”的作用巨大啊。据了解这台SUN工作站当时在<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器网段中只接入了三天不到的时间就搬到内部网里了,可见骇客对这个 网段的情况变化的掌握速度是很快的,管理员们不要因为只是临时接入而忽略了安全。我们随后又在路由器上找到了当时骇客远程向SUN机的2139端口连接的日志,至此就完全清楚了。<BR><BR><STRONG>防御方法<BR></STRONG></DIV>
<DIV> 对于这种端口跳转攻击,除了加强内部主机,不使其侵入系统之外,还应对防火墙的规则进行严格的设置。设置规则可以按照先全部禁止,再单个放开的方法。这样即使骇客从非危险的端口连接过来时,也会被防火墙禁止掉。<BR><BR><STRONG>三、攻击时直接借用 <BR></STRONG></DIV>
<DIV> 与上述各类情况不同,直接利用其他计算机做为攻击平台时,骇客并不需要首先入侵这些被利用的计算机,而是误导它们去攻击目标。骇客在这里利用了TCP/IP协议和操作系统本身的缺点<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>漏洞</FONT></A>,这种攻击更难防范,特别是制止,尤其是后面两种反射式分布拒绝<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>攻击和DNS分布拒绝<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>攻击。<BR><BR><STRONG>3.1 Smurf攻击<BR></STRONG><BR><STRONG>原理介绍 </STRONG></DIV><STRONG>
<DIV> Smurf攻击是这种攻击的早期形式,是一种在局域网中的攻击手段。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>包如ping请求时,会接到它的回应;如果向本<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>的广播地址发送请求包,实际上会到达<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>上所有的 计算机,这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的,每处理一个就要占用一份系统资源,如果同时接到<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>上所有计算机的回应,接收方的系统是有可能吃不消的,就象遭到了DDoS攻击一样。大家会疑问,谁会无聊得去向<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>地址发包而 招来所有计算机的攻击呢?<BR><BR> 当然做为一个正常的操作者是不会这么做的,但是当骇客要利用这个原理进行Smurf攻击的时候,他会代替受害者来做这件事。<BR>图四 Smurf攻击原理<BR><IMG alt="" src="http://sollit.com/news/UploadFiles_9994/200601/20060110232653788.gif" border=0> <BR><BR> 如图四,骇客向广播地址发送请求包,所有的计算机得到请求后,却不会把回应发到骇客那里,而是被攻击的计算机处。这是因为骇客冒充了被攻击主机。骇客发包所用的软件是可以伪造源地址的,接到伪造<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>包的主机会根据源地址把回应发出去,这当然就是被攻击目标 的地址。骇客同时还会把发包的间隔减到几毫秒,这样在单位时间能发出数以千计的请求,使受害者接到被欺骗计算机那里传来的洪水般的回应。象遭到其他类型的拒绝<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>攻击一样,被攻击主机会<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>和系统无法响应,严重时还会导致系统崩溃。<BR><BR> 骇客借助了<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>中所有计算机来攻击受害者,而不需要事先去占领这些被欺骗的主机。<BR><BR> 在实际使用中,骇客不会笨到在本地局域网中干这件事的,那样很容易被查出。他们会从远程发送广播包到目标计算机所在的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>来进行攻击。<BR><BR><STRONG>防御方法</STRONG><BR><BR><BR><BR> 局域网中是不必进行Smurf攻击的防御的。我们只需在路由器上进行设置,在收到定向广播<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>包时将其丢弃就可以了,这样本地广播地址收不到请求包,Smurf攻击就无从谈起。注意还要把<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>中有条件成为路由器的多宿主主机(多块网卡)进行系统设置,让它 们不接收和转发这样的广播包。<BR><BR><STRONG>3.2 DrDoS(反射式分布拒绝<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>攻击)</STRONG><BR><BR><STRONG>原理介绍</STRONG><BR></DIV>
<DIV> 这是DDoS攻击的变形,它与DDoS的不同之处就是DrDoS不需要在实际攻击之前占领大量的傀儡机。这种攻击也是在伪造<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>包源地址的情况下进行的,从这一点上说与Smurf攻击一样,而DrDoS是可以在广域网上进行的。其名称中的"r"意为反射,就是这种攻击行为最大的特点。骇客同样利用特殊的发包工具,首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上,根据TCP三次握手的规则,这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样 ,骇客所发送的请求包的源IP地址是被害者的地址,这样受欺骗的计算机就都会把回应发到受害者处,造成该主机忙于处理这些回应而被拒绝<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>攻击。<BR><BR>具体的情况可以参考Smurf攻击的原理结构图四。<BR><BR><STRONG>防御方法</STRONG><BR></DIV>
<DIV> 同DDoS的防御,请参考<A href="http://searchsmallbizit.techtarget.com.cn/tips/115/1923615.shtml" target=_blank><FONT color=#0000ff>《分布式拒绝<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>攻击(DDoS)原理及防范》<BR><BR><STRONG>3.3 DNS分布拒绝<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>攻击</STRONG><BR><BR><STRONG>原理介绍</STRONG></DIV><STRONG></STRONG>
<DIV><BR> DNS拒绝<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>攻击原理同DrDoS攻击相同,只是在这里被欺骗利用的不是一般的计算机,而是DNS<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器。骇客通过向多个DNS<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器发送大量的伪造的查询请求,查询请求<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>包中的源IP地址为被攻击主机的IP地址,DNS<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器将大量的查询结果发送给 被攻击主机,使被攻击主机所在的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>拥塞或不再对外提供<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>。<BR><BR><STRONG>防御方法</STRONG><BR></DIV>
<DIV> 通过限制查询主机的IP地址可以减轻这种攻击的影响,比较糟糕的是在现实环境中这么做的DNS<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器很少。目前不能从根本上解决这个问题。另外可以从自己的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>设备上监视和限制对DNS查询请求的回应,如果突然出现流量剧增的情况,限制一下到达DNS<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A> 器的查询请求,这样可以避免自己管理的<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>服务</FONT></A>器被欺骗而去攻击无辜者。<BR><BR><STRONG>参考资料<BR></STRONG><BR>关于Unix主机系统加强:<BR>[url]http://www.cert.org/tech_tips/usc20_full.html[/url] <BR>关于Windows主机系统加强:<BR>[url]http://www.winguides.com/security/[/url] <BR>系统安全的最小特权原则 <BR>[url]http://www-900.ibm.com/developerWorks/cn/security/se-limited/index.shtml[/url] <BR><A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>与<A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>数据</FONT></A>加密:<BR>[url]http://www.microsoft.com/windowsxp/pro/using/howto/security/encryptdata.asp[/url]<BR>[url]http://www.microsoft.com/windowsxp/pro/using/itpro/securing/encryptoffline.asp[/url] <BR><A class=Channel_KeyLink href="http://www.sollit.com/"><FONT color=#000000>网络</FONT></A>监听:<BR>[url]http://www-900.ibm.com/developerWorks/cn/security/se-sniff/index.shtml[/url]难道骇客用了我们还不了解的新的攻击手段.</DIV></DIV></DIV></FONT></STRONG></STRONG>
页:
[1]