扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
黑客入侵常用手段分析
北京图形研究所 陈虹
随着黑客活动的日益猖獗,信息安全问题越来越多地被各级政府和网络管理部门提到重要议事日程上来。黑客攻击网络的手段十分丰富,令人防不胜防。分析和研究黑客活动的手段和采用的技术,对我们加强网络安全建议、防止网络犯罪有很好的借鉴作用。本文简要介绍了黑客攻击网络的一般过程以及常用的网络攻击工具。
远程攻击的一般过程
1.收集被攻击方的有关信息,分析被攻击方可能存在的漏洞
黑客首先要确定攻击的目标。在获取目标机及其所在的网络类型后,还需进一步获取有关信息,如目标机的IP地址、操作系统类型和版本、系统管理人员的邮件地址等,根据这些信息进行分析,可得到有关被攻击方系统中可能存在的漏洞。如运行一个host命令,可以获得目标网络中有关机器的IP地址信息,还可识别出目标机的操作系统类型。利用WHOIS查询,可了解技术管理人员的名字信息。运行一些Usernet和Web查询可了解有关技术人员是否经常上Usernet,等等。
收集有关技术人员的信息是很重要的。系统管理员的职责是维护站点的安全。当他们遇到问题时,有些人会迫不及待地将问题发到Usernet上或邮件列表上寻求解答。而这些邮件中往往有他们的组织结构、网络拓扑和所面临的问题等信息。另外,若一个系统管理员经常在安全邮件列表或论坛中讨论各种安全技术和问题,就说明他有丰富的经验和知识,对安全有深入的了解,并作好了抵御攻击的准备。反之,若一个系统管理员提出的问题是初级的,甚至没有理解某些安全概念,则说明此人经验不丰富。
每个操作系统都有自己的一套漏洞,有些是已知的,有些则需要仔细研究才能发现。而管理员不可能不停地阅读每个平台的安全报告,因此极有可能对某个系统的安全特性掌握的不够。
通过对上述信息的分析,就可以得到对方计算机网络可能存在的漏洞。
2建立模拟环境,进行模拟攻击,测试对方可能的反应
根据第一步所获得的信息,建立模拟环境,然后对模拟目标机进行一系列的攻击。通过检查被攻击方的日志,可以了解攻击过程中留下的“痕迹”。这样攻击者就知道需要删除哪些文件来毁灭其入侵证据。
3利用适当的工具进行扫描
收集或编写适当的工具,并在对操作系统分析的基础上,对工具进行评估,判断有哪些漏洞和区域没有覆盖到。然后在尽可能短的时间内对目标进行扫描。完成扫描后,可对所获数据进行分析,发现安全漏洞,如FTP漏洞、NFS输出到未授权程序中、不受限制的X服务器访问、不受限制的调制解调器、Sendmail的漏洞、NIS口令文件访问等。
4实施攻击
根据己知的漏洞,实施攻击。通过猜测程序可对截获的用户帐号和口令进行破译;利用破译程序可对截获的系统密码文件进行破译;利用网络和系统本身的薄弱环节和安全漏洞可实施电子引诱(如安放特洛伊木马)等等。黑客们或者修改网页进行恶作剧,或破坏系统程序或放病毒使系统陷入瘫痪,或窃取政治、军事、商业秘密;或进行电子邮件骚扰或转移资金账户,窃取金钱等等。
常用工具介绍
扫描器
在Internet安全领域,扫描器是最出名的破解工具。所谓扫描器,实际上是自动检测远程或本地主机安全性弱点的程序。扫描器选通TCP/IP端口和服务,并记录目标机的回答,以此获得关于目标机的信息。理解和分析这些信息,就可能发现破坏目标机安全性的关键因素。常用的扫描器有很多,有些可以在Internet上免费得到,下面做一简要介绍。
NSS(网络安全扫描器):是用Perl语言编写的,可执行Sendmail、匿名FTP、NFS出口、TFTP、Hosts.equiv、Xhost等常规检查。
Strobe(超级优化TCP端口检测程序):是一个TCP端口扫描器,可以记录指定机器的所有开放端口,快速识别指定机器上正在运行什么服务,提示什么服务可以被攻击。
SATAN(安全管理员的网络分析工具):用于扫描远程主机,发现漏洞。包括:FTPD的漏洞和可写的FTP目录、NFS漏洞、NIS漏洞、RSH漏洞、Sendmail、X服务器漏洞等。
Jakal:是一个秘密扫描器,它启动但并不完成与目标主机的SYN/ACK过程,因此可以扫描一个区域而不留下任何痕迹,能够避开端口扫描探测器的探测追踪。
IdengTCPscan:是一个更加专业化的扫描器,能够识别指定TCP端口进程的使用者,即能够测出该进程的UID;
CONNECT:用于扫描TFTP服务器子网。
FSPScan:用于扫描FSP服务器。
XSCAN:扫描具有X服务器漏洞的子网或主机。
SAFESuite:是快速、先进、全面的UNIX网络安全扫描器。可以对指定网络执行各种不同的攻击,探测网络环境中特定的安全漏洞,包括:Sendmail、TFP、NNTP、Telnet、RPC、NFS等。
扫描器还在不断发展变化,每当发现新的漏洞,检查该漏洞的功能就会被加入已有的扫描器中。扫描器不仅是黑客用作网络攻击的工具,也是维护网络安全的重要工具。系统管理人员必须学会使用扫描器。
口令入侵
所谓的口令入侵,是指破解口令或屏蔽口令保护。但实际上,真正的加密口令是很难逆向破解的。黑客们常用的口令入侵工具所采用的技术是仿真对比,利用与原口令程序相同的方法,通过对比分析,用不同的加密口令去匹配原口令。
Internet上大多数服务器运行的是UNIX或类UNIX操作系统。在UNIX平台上,用户登录ID和口令都存放在etc/passwd中。UNIX以数据加密标准DES为基础,以ID为密钥,对口令进行加密。而加密算法Crypt(3)是公开的。虽然加密算法分开,但目前还没有能够逆向破解其加密信息的方法。
黑客们破解口令的过程大致如下:首先将大量字表中的单词用一定规则进行变换,再用加密算法进行加密。看是否与/etc/passwd文件中加密口令相匹配者:若有,则口令很可能被破解。单词变换的规则一般有:大小写交替使用;把单词正向、反向拼写后,接在一起(如cannac);在每个单词的开头和/或结尾加上数字1等等。同时,在Internet上有许多字表可用。如果用户选择口令不恰当,口令落入了字表库,黑客们获得了/etc/passwd文件,基本上就等于完成了口令破解任务。
特洛依木马(trojan horse)
所谓特洛依程序是指任何提供了隐藏的、用户不希望的功能的程序。它可以以任何形式出现,可能是任何由用户或客户引入到系统中的程序。特洛依程序提供或隐藏了一些功能,这些功能可以泄漏一些系统的私有信息,或者控制该系统。
特洛依程序表面上是无害的、有用的程序,但实际上潜伏着很大的危险性。如在Wuarchive FTP daemon(ftpd)2.2版中发现有特洛依程序,该特洛依程序允许任何用户(本地的和远端的)以root帐户登录UNIX。这样的特洛依程序可以导致整个系统被侵入,因为首先它很难被发现。在它被发现之前,可能已经存在几个星期甚至几个月了。其次在这段时间内,具备了root权限的入侵者,可以将系统按照他的需要进行修改。这样即使这个特洛依程序被发现了,在系统中也留下了系统管理员可能没有注意到的漏洞。
网络嗅探器(Sniffer)
Sniffer用来截获网络上传输的信息,用在以太网或其它共享传输介质的网络上。放置Sniffer,可使网络接口处于广播状态,从而截获网上传输的信息。利用Sniffer可截获口令、秘密的和专有的信息,用来攻击相邻的网络。Sniffer的威胁还在于被攻击方无法发现。Sniffer是被动的程序,本身在网络上不留下任何痕迹。
常用的Sniffer有:Gobbler、ETHLOAD、Netman、Esniff.c、Linux Sniffer.c、NitWitc等等。
破坏系统
常见的破坏装置有邮件炸弹和病毒等。其中邮件炸弹的危害性较小,而病毒的危害性则很大。
邮件炸弹是指不停地将无用信息传送给攻击方,填满对方的邮件信箱,使其无法接收有用信息。另外,邮件炸弹也可以导致邮件服务器的拒绝服务。常用的Email炸弹有:UpYours、KaBoom、Avalanche、Unabomber、eXtreme Mail、Homicide、Bombtrack、FlameThrower等。
病毒程序与特洛依程序有明显的不同。特洛依程序是静态的程序,存在于另一个无害的被信任的程序之中。特洛依程序会执行一些未经授权的功能,如把口令文件传递给攻击者,或给他提供一个后门。攻击者通过这个后门可以进入那台主机,并获得控制系统的权力。
病毒程序则具有自我复制的功能,它的目的就是感染计算机。在任何时候病毒程序都是清醒的,监视着系统的活动。一旦系统的活动满足了一定的条件,病毒就活跃起来,把自己复制到那个活动的程序中去。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。