Xavior远程口令攻击的防护

　　Xavior是一种在线口令破解器，是一个远程口令攻击程序，类似于Brutus和wwwhack。它可被管理员用于对基于口令保护机制的网络服务(如POP3、WWW验证、路由器、FTP)进行口令暴力破解攻击。破解过程的第一步是定义登录程序(如登录提示符、应该发送什么、预期的响应等)，然后用预先准备好的用户口令或完全使用暴力法试图破解口令。虽然该工具的免费版本只支持基于字典的暴力破解，但它仍然具有强大的功能，如保存当前破解状态以便以后继续破解，支持基于WWW认证的代理服务器，多线程破解等。

　　如图9-3所示，防范体系对从外部来的Xavior口令攻击的防护过程如下所述：

　　图9-3 防范体系对口令攻击的防护效果示意图

　　黑客使用Xavior软件通过Internet对被保护网络中的节点A进行口令暴力攻击。

　　该攻击行为首先被节点A上的主机型IDS检测到，当该主机IDS检测到该攻击信息后，立即向体系管理平台报告。

　　体系管理平台在收到节点A的主机IDS的报警信息后，管理平台会通知防火墙和陷阱机，由防火墙将该攻击连接切断，在攻击再次来临时，由防火墙将攻击信息引入陷阱机，由陷阱机进行节点A的模仿，让攻击者获得一个陷阱机的普通账号，对攻击者的进一步动作进行观察调查和跟踪分析，同时，通知取证机进行取证记录，通知实时监控机和监控员进行实时监控分析。

　　陷阱机和防火墙合作，将攻击引入陷阱机。

　　陷阱机模仿节点A给黑客使用，诱骗攻击者进一步表现自己，进行记录分析，同时取证机进行取证。

　　陷阱机、防火墙、实时监控机和取证机向体系管理平台报告处理结果信息，由管理平台记录存档。

　　体系管理平台在将处理结果记录入库并将处理结论反馈给节点A上的主机型IDS。

　　体系管理平台会及时将Xavior口令攻击的相关信息通知安全管理员，由安全管理员根据具体情况进行进一步处理(如调动安全事件响应人员进行响应，用扫描系统对节点A的口令设置情况进行扫描评估并进行处理，或者对攻击者发出必要的警告信息等)。