慧聪网首页 > 教育行业 > 技术文章 >
黑客俘获计算机攻击方法和防御详解(2)
 
慧聪网   2005年4月7日14时40分   信息来源:赛迪网    

二、利用“肉鸡”进行攻击 

    前面说的都是黑客如何利用“肉鸡”做一些其他的事情,在第二大部分里就要谈一下黑客是如何利用“肉鸡”进行攻击其他计算机和网络行为的。黑客利用“肉鸡”攻击的原因主要有两个:首先是万一攻击行为被下一个目标发现了,对方管理员在追查的时候只能找到这台“肉鸡”,而不能直接抓出黑客自己,这为对方管理员追究责任造成了更大的困难;其次,对于某些类型的攻击手段,“肉鸡”所在的位置也许比黑客计算机所在的位置更有利。 

下面介绍一下黑客利用“肉鸡”来攻击时的几种方式。 

2.1非法扫描/监听平台 

原理介绍 

    扫描和监听是黑客对“肉鸡”最常使用的借用手段,目标是本网络和其他网络中的计算机。被攻击网络中总有一台计算机会被首先攻破,一旦打开了这个缺口,整个网络就都危险了。这是由于在大多数的网络进行安全设置时,主要的防卫方向是向外的,也就是说他们主要是防备外来的攻击。黑客可以利用其对内部计算机防备较少的弱点,在控制一台计算机后,从这里直接扫描。 

    请看一下前后两种情况的对比。防火墙是很常见的网络安全设备,在网络入口处起到了一个安全屏障的作用,尤其在黑客进行扫描的时候防火墙将堵住对绝大多数端口的探测。这时“肉鸡”就有了用武之地,从这里扫描本地网络中的其他计算机是不需要经过防火墙的,可以随便地查看它们的漏洞。而且这时候防火墙上也不会留下相应的日志,不易被发觉。黑客可以在扫描结束时返回“肉鸡”取一下结果,或者命令“肉鸡”把扫描结果直接用电子邮件发送到指定信箱。 

    对于在某个网络中进行非法监听来说,本地有一台“肉鸡”是必须的条件。由于以太网的设计特点,监听只能在本地进行。虽然随着交换式以太网的普及,网络非法监听能收集到的信息大大减少,但对于那些与非法监听软件所在的“肉鸡”通讯的计算机来说,威胁还是很大的。如果这个“肉鸡”本身还是一台重要的服务器,那么危害就更大了,黑客在这上面会得到很多诸如用户帐号、密码、服务器之间不合理的信任关系的信息等,对下一步攻击起到很大的辅助作用。 

防御方法 

     防止扫描一般主要设置在防火墙上,除了内部那些开放了的服务以外,不允许其他的访问进入,可以最大限度地防止信息泄露。至于同一网段上某个服务器成了“肉鸡”,一般情况下是没法防止它扫描其他服务器了,这就需要我们的防御方向不但要向外,也要向内。关闭每一台计算机上不需要的服务,进行安全加强,让内部的非法扫描器找不到可以利用的漏洞。 

    防御监听一般使用网络传输加密和交换式网络设备。管理员远程登录系统时候,还是有很多人喜欢使用默认的telnet,这种明文传输的协议是黑客的最爱。使用SSH代替telnet和那些r命令,可以使网络上传输的数据成为不可读的密文,保护你的帐号、口令和其他重要的信息。交换式网络设备可以使单个计算机接收到的无用信息大大减少,从而降低非法监听器的危害性。不过相对来说,它的成本还是比较高的。 

2.2 攻击的实际出发点 

原理介绍 

    这里所说的攻击是指那些取得其他计算机控制权的动作,如溢出和漏洞攻击等。与扫描监听相同,从内部的“肉鸡”发起的攻击同样不必经过防火墙,被阻挡和发现的可能减少了。从这里攻击时被发现了之后,追查时会找到黑客吗?同样也不行,只能先找到“肉鸡”,再从这里找黑客就困难了。 

如果说“肉鸡”做为扫描工具的时候象黑客的一只眼睛,做监听工具的时候象黑客的一只耳朵,那么“肉鸡”实际进攻时就是黑客的一只手。黑客借助“肉鸡”这个内应来听来看,来攻击,而“肉鸡”成为了提线木偶,举手投足都被人从选程看不到的地方控制着。 

防御方法 

也是需要对计算机进行严密的监视。请参考前面的内容。 

2.3 DDoS攻击傀儡 

关于黑客利用“肉鸡”进行DDoS攻击的手段就不再赘述了,详见IBM DeveloperWorks曾经刊登的文章《分布式拒绝服务攻击(DDoS)原理及防范》 

2.4端口跳转攻击平台 

原理介绍 

    这种攻击方式一般是用来对付防火墙的访问限制的。在很多网络中都使用了防火墙对外封闭一些危险的端口(这种防御又是向外的),这里黑客就可以在内部已经有“肉鸡”的提前下,让“肉鸡”去访问这些端口,注意这时不经过防火墙是不会被阻挡的,而黑客从一个不被防火墙限制的端口去访问“肉鸡”。在进行这种攻击之前,黑客会在“肉鸡”上进行设置,利用特殊的软件把黑客对“肉鸡”的访问发送到目标计算机上,端口也会变成那个危险端口,这样黑客就绕过防火墙直接对目标计算机的危险端口进行攻击了。 

只用文字描述比较抽象,我们来看一个例子。 

    这是一个我们在实际的安全响应中的处理过程,这里黑客使用了组合式的攻击手段,其中包括对Windows服务器常见的139端口攻击,对Solaris系统的溢出攻击,攻击前的信息收集,还有2.4要里着重介绍的端口跳转攻击的方式。 

    客户方的系统管理员发现一台Windows2000服务器的行为异常后,马上切断了这台服务器的网络连接并向我们报告,这是当时的网络拓扑结构。经过仔细的诊断,我们推断出黑客是利用了这台服务器的139端口漏洞,从远程利用nbtdump、口令猜测工具、Windows net命令等取得了这台服务器的控制权,并安装了BO 2000木马。但客户的系统管理员立刻否定我们的判断:"虽然这台服务器的139端口没有关闭,但我已经在防火墙上设置了规则,使外部计算机不能访问这台服务器的139端口。"又是一个只防范外部攻击的手段!难道大家都对内部攻击占70%以上的比率视而不见吗?不过这里的路由器日志显示,黑客确实是从外部向这台服务器的木马端口进行连接的。难道黑客用了我们还不了解的新的攻击手段? 

    我们于是继续汇总分析各方面的数据,客户管理员也配合我们进行检查。在检查网络上的其他主机时,我们发现内部网中有一台SUN工作站的网卡上绑定了3个IP地址,其中一个IP地址与被攻击Windows服务器是一个网段的!这立刻引起了我们的注意。客户管理员解释说这是一台Solaris Sparc机器,经常用来做一些测试,有时也会接入服务器网段,所以配了一个该网段的地址。而且就在一个多星期前,这台SUN工作站还放在服务器网段。这就很可疑了,我们立刻对它进行了检查,果然这台SUN工作站已经被占领了,因为主要用途是测试,客户管理员并没有对它进行安全加强,攻破它是易如反掌的事情。在它上面发现了大量的扫描、监听和日志清除工具,另外还有我们意料之中的端口跳转工具 - netcat,简称nc。 

    至此问题就比较清楚了:黑客首先占领了这台毫不设防的SUN机,然后上载nc,设置端口跳转,攻击Windows 2000服务器的139端口,并且成功地拿下了它。还原当时的网络拓扑图应该是这样的。 

    解释了端口跳板是如何起作用的。nc安装后,黑客就会通过定制一些运行参数,在“肉鸡”的后台建立起由“肉鸡”的2139端口到目标计算机的139端口的跳转。这就象是一条虚拟的通道,由“肉鸡”的2139端口通向目标的139端口,任何向“肉鸡”的2139进行的访问都会自动地转发到目标计算机的139端口上去。就是说,访问“肉鸡”的2139端口,就是在访问目标的139端口。反过来,目标计算机的回馈信息也会通过“肉鸡”的通道向黑客计算机返回。 

    黑客需要两次端口跳转,第一次是利用自己的linux计算机把对139端口的访问向SUN的2139端口发送,这样就绕过了防火墙对139端口的访问限制。然后SUN会把对自己2139端口的访问发送到攻击最终目标的139端口上。为什么图中的"黑客"计算机不直接访问SUN的2139端口,而需要linux多跳转一次呢?这是由于象net、nbtdump、远程口令猜测等手段都是默认针对139端口而且黑客无法改变的。 

    在这两个端口跳板准备好了之后,黑客只要访问自己的linux机器上的139端口,就可以对目标的Windows服务器进行攻击了,“肉鸡”的作用巨大啊。据了解这台SUN工作站当时在服务器网段中只接入了三天不到的时间就搬到内部网里了,可见黑客对这个网段的情况变化的掌握速度是很快的,管理员们不要因为只是临时接入而忽略了安全。我们随后又在路由器上找到了当时黑客远程向SUN机的2139端口连接的日志,至此就完全清楚了。 

防御方法 

    对于这种端口跳转攻击,除了加强内部主机,不使其侵入系统之外,还应对防火墙的规则进行严格的设置。设置规则可以按照先全部禁止,再单个放开的方法。这样即使黑客从非危险的端口连接过来时,也会被防火墙禁止掉。 

 
 
评论    【推荐】 【打印】 【论坛
 
 
[热门关键词]:黑客 攻击方法 计算机 
特别推荐:
·[11月28日更新]休闲免费电影下载
·“陪读”现象严重令中国家庭不堪重负
更多精彩:
·神码携东芝投影机中标四川千万大单
·治理乱收费 成都试行教育收费银行代收
  图说教育                                  更多
大学生,求职
笔记本,电影
愤青,名人
摄影,国家地理
大学生找工作之《天下无贼》版
决战2005笔记本 年度最卖座六大影片
前沿人物盘点:中国愤青八大代表人物
国家地理杂志经典摄影作品欣赏
 相关文章 更多 
·黑客俘获计算机攻击方法和防御详解(3)  (4.7 14:40)
·黑客俘获计算机攻击方法和防御详解(1)  (4.7 14:40)
·XP SP2安全漏洞黑客可绕过安全措施  (2.2 11:11)
·东芝软件可通过手机网络远程操作PC  (1.20 10:24)
·年末大馅饼新蓝炫点3100免费升级17  (1.18 14:54)
·注意:IE新漏洞黑客能绕过安全警告  (1.18 11:14)
·2005年我国计算机市场营收增速减缓  (1.17 14:38)
·知识经济时代营销新领域 软件营销  (1.17 10:46)
·电脑黑客编制骗局 四六级赚钱出新招  (1.14 9:43)
·IT产品2005年1月底将有较大降价  (1.11 10:47)
 我来评两句〖查看最新评论〗 
请您注意:
·遵守中华人民共和国的各项有关法律法规
·承担一切因您的行为而导致的法律责任
·本网留言板管理人员有权删除其管辖留言内容
·您在本网的留言,本网有权在网站内转载或引用
·参与本留言即表明您已经阅读并接受上述条款
昵称:匿名
 
分类广告  
产品交易市场
·求购港湾交换机
·求购SONY等离子机顶盒
·求购微量呼吸检压仪
·图书馆安防监控系统询价
·医药技校实训设备招标
·阜新29所学校炊具询价
·湖南商学院教学设备招标
热点专题
·日系CCD问题事件追踪
·校校通:信息化主干线
·看神六关注航天后备人才
·国产投影机品牌突出重围
·谈笔记本校园发展方向
·《教育考试法》何去何从
·宝德服务器部署教育行业
行业书店