隨著黑客活動的日益猖獗,信息安全問題越來越多地被各級政府和網絡管理部門提到重要議事日程上來。黑客攻擊網絡的手段十分豐富,令人防不勝防。分析和研究黑客活動的手段和采用的技術,對我們加強網絡安全建議、防止網絡犯罪有很好的借鑒作用。本文簡要介紹了黑客攻擊網絡的一般過程以及常用的網絡攻擊工具。 遠程攻擊的一般過程
1.收集被攻擊方的有關信息,分析被攻擊方可能存在的漏洞 黑客首先要確定攻擊的目標。在獲取目標機及其所在的網絡類型後,還需進一步獲取有關信息,如目標機的IP地址、操作系統類型和版本、系統管理人員的郵件地址等,根據這些信息進行分析,可得到有關被攻擊方系統中可能存在的漏洞。如運行一個host命令,可以獲得目標網絡中有關機器的IP地址信息,還可識別出目標機的操作系統類型。利用WHOIS查詢,可了解技術管理人員的名字信息。運行一些Usernet和Web查詢可了解有關技術人員是否經常上Usernet,等等。 收集有關技術人員的信息是很重要的。系統管理員的職責是維護站點的安全。當他們遇到問題時,有些人會迫不及待地將問題發到Usernet上或郵件列表上尋求解答。而這些郵件中往往有他們的組織結構、網絡拓撲和所面臨的問題等信息。另外,若一個系統管理員經常在安全郵件列表或論壇中討論各種安全技術和問題,就說明他有豐富的經驗和知識,對安全有深入的了解,並作好了抵御攻擊的准備。反之,若一個系統管理員提出的問題是初級的,甚至沒有理解某些安全概念,則說明此人經驗不豐富。 每個操作系統都有自己的一套漏洞,有些是已知的,有些則需要仔細研究才能發現。而管理員不可能不停地閱讀每個平台的安全報告,因此極有可能對某個系統的安全特性掌握的不夠。 通過對上述信息的分析,就可以得到對方計算機網絡可能存在的漏洞。
2.建立模擬環境,進行模擬攻擊,測試對方可能的反應 根據第一步所獲得的信息,建立模擬環境,然後對模擬目標機進行一系列的攻擊。通過檢查被攻擊方的日志,可以了解攻擊過程中留下的“痕跡”。這樣攻擊者就知道需要刪除哪些文件來毀滅其入侵證據。
3.利用適當的工具進行掃描 收集或編寫適當的工具,並在對操作系統分析的基礎上,對工具進行評估,判斷有哪些漏洞和區域沒有覆蓋到。然後在盡可能短的時間內對目標進行掃描。完成掃描後,可對所獲數據進行分析,發現安全漏洞,如FTP漏洞、NFS輸出到未授權程序中、不受限制的X服務器訪問、不受限制的調制解調器、Sendmail的漏洞、NIS口令文件訪問等。
4.實施攻擊 根據己知的漏洞,實施攻擊。通過猜測程序可對截獲的用戶帳號和口令進行破譯;利用破譯程序可對截獲的系統密碼文件進行破譯;利用網絡和系統本身的薄弱環節和安全漏洞可實施電子引誘(如安放特洛伊木馬)等等。黑客們或者修改網頁進行惡作劇,或破壞系統程序或放病毒使系統陷入癱瘓,或竊取政治、軍事、商業秘密;或進行電子郵件騷擾或轉移資金賬戶,竊取金錢等等。
常用工具介紹 掃描器 在Internet安全領域,掃描器是最出名的破解工具。所謂掃描器,實際上是自動檢測遠程或本地主機安全性弱點的程序。掃描器選通TCP/IP端口和服務,並記錄目標機的回答,以此獲得關於目標機的信息。理解和分析這些信息,就可能發現破壞目標機安全性的關鍵因素。常用的掃描器有很多,有些可以在Internet上免費得到,下面做一簡要介紹。 NSS(網絡安全掃描器):是用Perl語言編寫的,可執行Sendmail、匿名FTP、NFS出口、TFTP、Hosts.equiv、Xhost等常規檢查。 Strobe(超級優化TCP端口檢測程序):是一個TCP端口掃描器,可以記錄指定機器的所有開放端口,快速識別指定機器上正在運行什麼服務,提示什麼服務可以被攻擊。 (安全管理員的網絡分析工具):用於掃描遠程主機,發現漏洞。包括:FTPD的漏洞和可寫的FTP目錄、NFS漏洞、NIS漏洞、RSH漏洞、Sendmail、X服務器漏洞等。 Jakal:是一個秘密掃描器,它啟動但並不完成與目標主機的SYN/ACK過程,因此可以掃描一個區域而不留下任何痕跡,能夠避開端口掃描探測器的探測追蹤。 IdengTCPscan:是一個更加專業化的掃描器,能夠識別指定TCP端口進程的使用者,即能夠測出該進程的UID; CONNECT:用於掃描TFTP服務器子網。 FSPScan:用於掃描FSP服務器。 XSCAN:掃描具有X服務器漏洞的子網或主機。 SAFESuite:是快速、先進、全面的UNIX網絡安全掃描器。可以對指定網絡執行各種不同的攻擊,探測網絡環境中特定的安全漏洞,包括:Sendmail、TFP、NNTP、Telnet、RPC、NFS等。 掃描器還在不斷發展變化,每當發現新的漏洞,檢查該漏洞的功能就會被加入已有的掃描器中。掃描器不僅是黑客用作網絡攻擊的工具,也是維護網絡安全的重要工具。系統管理人員必須學會使用掃描器。
口令入侵 所謂的口令入侵,是指破解口令或屏蔽口令保護。但實際上,真正的加密口令是很難逆向破解的。黑客們常用的口令入侵工具所采用的技術是仿真對比,利用與原口令程序相同的方法,通過對比分析,用不同的加密口令去匹配原口令。 Internet上大多數服務器運行的是UNIX或類UNIX操作系統。在UNIX平台上,用戶登錄ID和口令都存放在etc/passwd中。UNIX以數據加密標准DES為基礎,以ID為密鑰,對口令進行加密。而加密算法Crypt(3)是公開的。雖然加密算法分開,但目前還沒有能夠逆向破解其加密信息的方法。 黑客們破解口令的過程大致如下:首先將大量字表中的單詞用一定規則進行變換,再用加密算法進行加密。看是否與/etc/passwd文件中加密口令相匹配者:若有,則口令很可能被破解。單詞變換的規則一般有:大小寫交替使用;把單詞正向、反向拼寫後,接在一起(如cannac);在每個單詞的開頭和/或結尾加上數字1等等。同時,在Internet上有許多字表可用。如果用戶選擇口令不恰當,口令落入了字表庫,黑客們獲得了/etc/passwd文件,基本上就等於完成了口令破解任務。
特洛依木馬(trojan horse) 所謂特洛依程序是指任何提供了隱藏的、用戶不希望的功能的程序。它可以以任何形式出現,可能是任何由用戶或客戶引入到系統中的程序。特洛依程序提供或隱藏了一些功能,這些功能可以洩漏一些系統的私有信息,或者控制該系統。 特洛依程序表面上是無害的、有用的程序,但實際上潛伏著很大的危險性。如在Wuarchive FTP daemon(ftpd)2.2版中發現有特洛依程序,該特洛依程序允許任何用戶(本地的和遠端的)以root帳戶登錄UNIX。這樣的特洛依程序可以導致整個系統被侵入,因為首先它很難被發現。在它被發現之前,可能已經存在幾個星期甚至幾個月了。其次在這段時間內,具備了root權限的入侵者,可以將系統按照他的需要進行修改。這樣即使這個特洛依程序被發現了,在系統中也留下了系統管理員可能沒有注意到的漏洞。
網絡嗅探器(Sniffer Sniffer用來截獲網絡上傳輸的信息,用在以太網或其它共享傳輸介質的網絡上。放置Sniffer,可使網絡接口處於廣播狀態,從而截獲網上傳輸的信息。利用Sniffer可截獲口令、秘密的和專有的信息,用來攻擊相鄰的網絡。Sniffer的威脅還在於被攻擊方無法發現。Sniffer是被動的程序,本身在網絡上不留下任何痕跡。 常用的Sniffer有:Gobbler、ETHLOAD、Netman、Esniff.c、Linux Sniffer.c、NitWitc等等。
破壞系統 常見的破壞裝置有郵件炸彈和病毒等。其中郵件炸彈的危害性較小,而病毒的危害性則很大。 郵件炸彈是指不停地將無用信息傳送給攻擊方,填滿對方的郵件信箱,使其無法接收有用信息。另外,郵件炸彈也可以導致郵件服務器的拒絕服務。常用的Email炸彈有:UpYours、KaBoom、Avalanche、Unabomber、eXtreme Mail、Homicide、BomBTrack、FlameThrower等。 病毒程序與特洛依程序有明顯的不同。特洛依程序是靜態的程序,存在於另一個無害的被信任的程序之中。特洛依程序會執行一些未經授權的功能,如把口令文件傳遞給攻擊者,或給他提供一個後門。攻擊者通過這個後門可以進入那台主機,並獲得控制系統的權力。 病毒程序則具有自我復制的功能,它的目的就是感染計算機。在任何時候病毒程序都是清醒的,監視著系統的活動。一旦系統的活動滿足了一定的條件,病毒就活躍起來,把自己復制到那個活動的程序中去。
