黑客如何进行跳板攻击与防御详解Word格式.docx
- 文档编号:16802436
- 上传时间:2022-11-26
- 格式:DOCX
- 页数:9
- 大小:22.33KB
黑客如何进行跳板攻击与防御详解Word格式.docx
《黑客如何进行跳板攻击与防御详解Word格式.docx》由会员分享,可在线阅读,更多相关《黑客如何进行跳板攻击与防御详解Word格式.docx(9页珍藏版)》请在冰豆网上搜索。
根据计算机安全的基本原则,当数据的”完整性、可用性和机密性"
中任意三者之一在受到破
坏的时候,都应视为安全受到了破坏。
在被占领的计算机上可能会保存着用户信息、网络拓
扑图、商业秘密、财务报表、军事情报和其他各类需要保密的数据,黑客获得这些数据(即使只是查看数据的内容而不下载)时正是破坏了保密性。
在实际情况中,很多商业间谍和政
治间谍都是这一类,他们只是默默地拿走你的数据而绝不做任何的破坏,而且尽最大可能地
掩盖自己行动的痕迹。
这些黑客希望长时间大量地得到珍贵的数据而不被发觉,这其实是最
可怕的一种攻击行为。
很多黑客会在"
肉鸡"
上安装FTP软件或者开放FTP服务,再下载其数据,但安装软件和开放服务这样的动作很容易在系统中的各类日志留下记录,有可能被发现。
而不希望被人发
觉的黑客会自己建立一台FTP服务器,让”肉鸡"
做为客户端把自己的数据上传过来。
防御方法
防止本身数据资料不被窃取,当然首先要考虑的是计算机本身不被攻破。
如果自己是铁
桶一个,水泼不进,黑客无法在你的网络中的计算机取得任何访问的权限,当然就杜绝了绝
大多数的泄密可能(请注意,这时候还是有可能会泄密的!
比如被黑客欺骗而将数据发送出
去)。
我们先来看一下如何加强自己的计算机的操作系统,对于所有需要事先控制的攻击方
式,这些手段都是有效的,在以后的章节中就不重复说明了。
简单地说,对于操作系统的加强,无论是Windows、Unix或是Linux,都可以从物理安
全、文件系统、帐号管理、网络设置和应用服务几个方面来考虑,在这里我们不详细讨论全面的安全防护方案,只是提供一些简单实用的系统安全检查项目。
这是安全的必要条件,而不是充分条件。
物理安全
简单地说,物理安全就是你的计算机所在的物理环境是否可靠,会不会受到自然灾害(如
火灾、水灾、雷电等)和人为的破坏(失窃、破坏)等。
物理安全并不完全是系统或者网络管理员的责任,还需要公司的其他部门如行政、保安等一起协作,不过因为这是其他安全手
段的基础,所以我们网管员还是应该密切注意的。
要特别保证所有的重要设备与服务器要集
中在机房里,并制订机房相关制度,无关人员不得进入机房等。
网管员无特殊情况也不要进
入机房,需要可以从外面的指定终端进行管理。
如果重要的服务器暴露在人人都可以接近的外部,那么无论你的口令设得多么强大都没
用了,各种操作系统都可以用软盘、光盘启动来破解密码。
文件系统安全
文件和目录的权限设置得是否正确,对系统中那些重要的文件,权限要重新设置;
在Unix与Linux系统中,还要注意文件的setuid和setgid权限,是否有不适合的文
件被赋予了这些权限;
帐号系统安全
帐号信息,用户名和密码是否合乎规则,具有足够的复杂程度。
不要把权限给予任何没
有必要的人;
在Unix/Linux中可以合理地使用su与sudo;
关闭无用账号;
网络系统安全
关闭一切不必要的服务。
这一点不必多说了吧,每个开放的服务就象一扇开启的门,
有可能会被黑客悄悄地进入;
网络接口特性。
注意网卡不要处在监听的混杂模式;
防止DoS的网络设置。
禁止IP转发、不转发定向广播、限定多宿主机、忽略和不发送
重定向包、关闭时间戳响应、不响应Echo广播、地址掩码广播、不转发设置了源路由的包、
加快ARP表过期时间、提高未连接队列的大小、提高已连接队列的大小;
禁用r*命令和telnet命令,用加密的SSH来远程管理;
对NIS/NIS+进行安全设置;
对NFS进行安全设置;
应用服务安全
应用服务是服务器存在的原因,又是经常会产生问题的地方。
因为应用服务的种类太多,
这里无法一一叙述,就请大家注意一下这方面的资料吧。
如果有可能,我会在今后继续提供
一些相关知识。
可以肯定地说,没有一种应用程序是完全安全的,必须依靠我们去重新设置。
对于防止数据被窃取,也有手段可以采用,使黑客侵入计算机之后不能盗窃数据和资料。
这就是访问控制和加密。
系统访问控制需要软件来实现,可以限制root的权限,把那些重
要的数据设置为除了特殊用户外,连root都无法访问,这样即使黑客成为root也没有用。
加密的手段有很多,这里也不详细介绍了,文件通过加密会以密文的形式存放在硬盘中,如
果不能正确解密,就是一堆没有任何意义的字符,黑客就算拿到了也没有用。
1.2、非法proxy
Proxy代理技术在提高Internet访问速度与效率上有很大作用,在这种技术的基础之
上又出现了CacheServer等Internet访问优化技术,但Proxy也被黑客利用来进行非法活动。
黑客把”肉鸡”设置为Proxy一般有两个目的,首先与正常Proxy的目的一样,是利用
它更好地访问Internet,进行WW浏览;
其次就是利用这台Proxy"
肉鸡”的特殊位置绕过
一些访问的限制。
普通的WWWProxy其实在Internet上是很常见的,一些计算机免费而且开放地为所有
计算机提供WWWProxy服务,如果黑客想得到一台合适的Proxy时,并不需要自己亲自去攻
击计算机并安装Proxy软件,只需利用这些现成的Proxy计算机就可以了。
在骇软站点上,
有很多ProxyHunter之类的软件,输入某个网段就可以运行去自动搜索已经存在的Proxy
计算机了。
虽然Proxy本身并不会被攻击,但是运行Proxy服务,在客户端连接数目多的时
候会造成很大的负担。
而且一些攻击如Unicode、LotusNotes、ASP攻击也正是通过http
协议进行的,最终被攻击者会把Proxy服务器当做攻击的来源,换句话说,Proxy服务器会
成为这些攻击者的替罪羊。
所以最好不要向外提供开放的Proxy服务,即使因为需要而开放
了,也应加以严格的限制。
利用Proxy绕过一些访问限制,在”肉鸡”的利用中也是很常见的。
举个实例来说,某个
公司为了提高工作效率,不允许员工使用QQ聊天,指示在公司的防火墙上限制了所有由内
向外对UDP8000这个端口的访问,这样内部就无法向外连接Internet上的QQ服务器进行
聊天了。
但黑客利用自己设置的QQProxy就可以绕过这个限制正常访问QQ服务器。
黑客利
用QQProxy绕过访问限制.
QQProxy同WWWProxy勺设置和使用方法是一样的。
在有了Internet上的QQProxy
时,黑客在公司内部向外访问QQProxy的UDP18000端口,这是不被禁止的。
而QQProxy
会以客户端的身份向真正的访问目标-QQ服务器进行访问,然后把信息从UDP18000端口向
黑客计算机转回去。
这样,黑客就利用Proxy实现了对访问限制的突破。
还可以利用这个原理进行其他协议限制的绕过,如WWWICQ、MSNYahooMessager、
AOL等,只要Proxy软件支持。
我们设立任何类型的Proxy服务器时,应当对客户端有所限制,不向无关的人员提供使
用权限。
这样提高了服务器的效率,又杜绝了黑客借我们的Proxy进行攻击的可能。
防止内部人员利用外部的Proxy时,可以在防火墙上严格限制,只能对外部规定站点的
规定服务进行访问。
当然这样有可能造成业务上的不便,所以在具体环境下要具体考虑,综合地权衡。
1.3、黑客交流平台
大家会问那么黑客直接发电子邮件、上ICQ不就行了吗?
何必去冒险攻击其他的计算机
做为交流平台呢。
请注意黑客之间传播的都是一些不能被别人知道的信息,如”我已经控制
了XXX省网的骨干路由器,你想要一份它的路由表吗?
”,这样的内容如果在任何一个邮件
服务器和聊天服务器上被截获,从道义上讲这个网管都是有义务提醒被攻击的网络负责人的,所以利用公共的网络交流手段对黑客来说并不可靠,黑客也要保密啊:
-)。
那怎么办?
黑客既然控制了”肉鸡”,成为了”肉鸡”的第二个"
家长”,就有资格和权限去把它设置为交流用的服务器。
在这样的交流平台上,黑客被发现的可能性小得多,最高的控制权限可以使黑
客对这些活动进行各种各样的掩饰。
还有另一种利用形式就是FTP服务器,供黑客兄弟们上
传下载黑客软件,互通有无。
黑客在”肉鸡"
上做信息交换的时候,会产生大量的网络通信,尤其是利用FTP上传下载时。
如果发现你的内外部通信突然反常地加大,检查一下自己的计算机吧。
防卫性差的"
其管理员一般水平也不会很高,再加上缺乏责任心,往往在自己的计
算机被占领了很长时间都不知道,直到有一天收到了高额的数据通信收费单,才大吃一惊:
"
怎么搞的?
!
。
-难道他们自己就没有责任吗?
安全不安全很大程度上取决于管理员是否尽职尽责,好的管理员必须有好的习惯。
1.4、学习/开发平台
这种情况是比较少见的,却很有意思。
我们平时使用的是个人计算机,一般可以安装W
indows、FreeBSDLinux和其他Unix系统的x86版本,如果要实习其他平台上的操作系统几乎是不可能的。
象AIX、HP-UXSolaris(spare)、IRIX等,都需要相应的硬件平台来配套,普通的个人计算机是装不上的,这些知名厂商的Unix计算机又非常昂贵,成了一般
计算机爱好者可望不可及的宝物。
黑客兄弟们在这里又有了大显身手的时候了,到网上找到
一些可以侵入的AIX什么的机器,占领之后,想学习这种平台的操作使用还不是很简单的事吗?
我曾在一个黑客站点上看到有人转让一台SunE250"
肉鸡”的控制权,开价300块,可
怜那个管理员,自己的机器已经被公开出售了还不知道。
上做开发就更少见了,因为这样做会有很大的风险。
许黑客都没有全职的
工作,他们中的很多人都是编程高手,会通过朋友和其他渠道揽一些程序开发的活计,挣些
零花钱。
很多定制的程序是要跑在特定平台上的,如果一个程序需要在HP-UX平台上开发调
试怎么办?
HP-UX计算机是很少能找到的。
但黑客又可以利用自己的”特长"
去攻下一台,做
为开发平台。
不过我们都知道开发调试程序的时候会有各种种样的bug,轻则导致程序不正
常,重则让系统崩溃,还会在日志里留下记录。
这就是为什么说这么做很危险,因为它太容易被发现了。
要是一台计算机被当做开发平台用了很久而管理员却一无所知的话,这个管理
员实在应该好好反省。
方法同前一部分,就不必多说了。
关心你的服务器吧。
二、利用”肉鸡”进行攻击
下面介绍一下黑客利用”肉鸡"
来攻击时的几种方式。
2.1非法扫描/监听平台
原理介绍请看一下前后两种情况的对比。
防火墙是很常见的网络安全设备,在网络入口
处起到了一个安全屏障的作用,尤其在黑客进行扫描的时候防火墙将堵住对绝大多数端口的探测。
这时”肉鸡"
就有了用武之地,从这里扫描本地网络中的其他计算机是不需要经过防火墙的,可以随便地查看它们的漏洞。
而且这时候防火墙上也不会留下相应的***志,不易被
发觉。
黑客可以在扫描结束时返回”肉鸡”取一下结果,或者命令”肉鸡"
把扫描结果直接用电子邮件发送到指定信箱。
对于在某个网络中进行非法监听来说,本地有一台”肉鸡"
是必须的条件。
由于以太网的
设计特点,监听只能在本地进行。
虽然随着交换式以太网的普及,网络非法监听能收集到的
信息大大减少,但对于那些与非法监听软件所在的”肉鸡”通讯的计算机来说,威胁还是很大
的。
如果这个”肉鸡"
本身还是一台重要的服务器,那么危害就更大了,黑客在这上面会得到
很多诸如用户帐号、密码、服务器之间不合理的信任关系的信息等,对下一步攻击起到很大
的辅助作用。
2.2攻击的实际出发点
如果说”肉鸡”做为扫描工具的时候象黑客的一只眼睛,做监听工具的时候象黑客的一只
耳朵,那么”肉鸡"
实际进攻时就是黑客的一只手。
黑客借助”肉鸡"
这个内应来听来看,来攻
击,而”肉鸡"
成为了提线木偶,举手投足都被人从选程看不到的地方控制着。
也是需要对计算机进行严密的监视。
请参考前面的内容。
2.3DDoS攻击傀儡
关于黑客利用”肉鸡”进行DDoS攻击的手段就不再赘述了,详见IBMDeveloperWorks
曾经刊登的文章《分布式拒绝服务攻击(DDoS)原理及防范》
2.4端口跳转攻击平台
只用文字描述比较抽象,我们来看一个例子。
这是一个我们在实际的安全响应中的处理过程,这里黑客使用了组合式的攻击手段,其
中包括对Windows服务器常见的139端口攻击,对Solaris系统的溢出攻击,攻击前的信息收集,还有2.4要里着重介绍的端口跳转攻击的方式。
客户方的系统管理员发现一台Wind。
139端口漏洞,
ws2000服务器的行为异常后,马上切断了这台服务器的网络连接并向我们报告,这是当时的网络拓扑结构。
经过仔细的诊断,我们推断出黑客是利用了这台服务器的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 黑客 如何 进行 跳板 攻击 防御 详解