网络安全是大家非常关注的问题。攻击网络的一方无非是想尽办法蒙骗网络服务器 , 开辟数据通道 , 获得相关数据与资料 , 最后毁灭入侵痕迹。而网站的管理者却是在千方百计地堵住后门 , 关闭非正常数据通道 , 同时监控非正常数据的流量和路径 , 跟踪 IP 和接入 ( 攻击 ) 端口 , 找到入侵者的下落 , 并向有关监察部门报告。本文对一些初级黑客的攻击技法进行剖析 , 旨在提醒网络管理人员和广大网友们注意 , 要对网络 ( 包括 PC) 的安全有一个正确的认识 , 保卫好自己的数据和资料 , 及时发现自己计算机的弱点和漏洞 , 并进行有效的修补和防卫。
“瞒天过海”法
这是一种非常普遍的攻击方法。当有些表面看来无害的数据被邮寄或复制到 Internet 主机上 , 并被执行发起攻击时 , 就会发生数据驱动攻击。例如 , 有一种数据驱动的攻击可以使主机修改与安全相关的文件 , 从而使入侵者下一次更容易入侵该系统。 BO 和 Webkiller V1.5 就是其中的典型代表 , 由于控制端和客户程序分开 , 一旦客户程序被激活 , 将首先进行更名和隐藏工作 , 接着再将资料秘密发送出去。
防卫的方法是 : 对于来历不明的数据要非常小心 , 首先进行杀毒或者程序编码辨证。最近 , 有的 MAILLIST 中夹带后门程序 , 所以对于自己不知道来源的邮件 , 如果大小超过 30K 最好马上清除。
“趁火打劫”法
通常 , 在 UNIX 系统中 , 可执行文件的目录允许所有用户进行读访问。这恰恰违背了 - 最少特权 - 的原则。有些用户可以从可执行文件中得到其版本号 , 从而知道它具有什么样的漏洞。作为一种最基本的防卫措施 , 禁止对可执行文件的访问虽然不能防止黑客对系统的攻击 , 但至少可以使这种攻击变得更困难 , 需要进行长时间的通道扫描和数据确认。
网络管理员应该注意 , 系统中的大部分弱点是由配置文件、访问控制文件和缺省初始化文件产生的。
对于那些针对操作系统设计上的漏洞的攻击 , 一个最有效的防卫方法是 : 勤升级你的系统 , 勤打补丁文件 ! 从笔者掌握的资料来看 , 有 80% 入侵成功的例子都发生在已经被公布缺陷的系统软件中。那些为了节省升级的费用 , 反倒造成更大损失的例子已经为数不少了。
“无中生有”法
攻击者通过发送伪造的路由信息 , 无中生有地编制信源主机和目标主机的虚假路径 , 从而使流向目标主机的数据包均经过攻击者的主机 , 给攻击者提供敏感的信息和有用的密码。
如果你的网络发生了这样的情况 , 建议从 - 内部 - 查找原因 , 特别是知道屏蔽 IP 地址和该系统路由器情况的人员 , 应该被列入重点怀疑对象。
“暗度陈仓” 法 ――利用信息协议的弱点
在一些网络协议中 ,IP 源路径选项允许 IP 数据报告自己选择一条通往目的主机的路径 ( 这是一个非常不好但又无可奈何的技术手段 , 多路径正是网络连接的精髓部分 ) 。攻击者试图与防火墙后面的一个不可到达的主机 A 连接 , 只需在送出的请求报文中设置 IP 源路径选项 , 使报文有一个目的地址指向防火墙 , 而最终地址是主机 A 。当报文到达防火墙时被允许通过 , 因为它指向的是防火墙而不是主机 A 。防火墙的 IP 层处理该报文的源路径域并发送到内部网上 , 报文就这样到达了不可到达的主机 A 。
对于这种攻击 , 笔者提供一个被动的检查方法 , 就是经常查看主机 A 的访问记录 , 当发现伪装的 IP 地址或者不明来源的指令 , 以及特殊时段的访问记录时 , 你的网络就可能已经中招了。这时最好更换一个防火墙 , 同时加强 IP 地址的管理工作。
“笑里藏刀”法 ――伪造登录界面
许多网络软件缺省的登录界面 (shellscripts) 、配置文件和客户文件是一个容易被忽视的区域。它们提供了一个简单的方法来配置程序的执行环境。但是这有时会引起 - 特洛伊木马 - 的攻击 , 在被攻击主机上启动一个可执行程序 , 该程序显示一个伪造的登录界面。当用户在这个伪装的界面上输入登录信息后 , 该程序就将用户输入的信息传送到攻击者主机 , 然后关闭界面 , 给出提示信息 :- 系统故障 -, 要求用户重新登录。此后 , 才会出现真正的登录界面。在我们能够得到新一代更加完善的操作系统版本之前 , 类似的攻击仍会发生。
防火墙的一个重要作用就是防止非法用户登录到受保护网的主机上。目前在允许 TELNET 的情况下 , 还没有一个完全有效的阻止攻击的办法 , 只能期待技术的发展。
“顺手牵羊”法 ――利用系统管理员的失误
- 网络安全的重要因素之一是人 -, 人为的失误 ( 如 WWW 服务器系统的配置差错 , 扩大普通用户使用权限 , 管理口令设置不对且长时间不进行更换等 ), 都给黑客造成了可乘之机。黑客常利用系统管理员的失误收集攻击信息。
防卫的方法是 : 加强工作人员的管理 , 提高工作责任心。
下面是几个比较 - 酷 - 的攻击方法。
“借尸还魂”法 ――重放攻击
收集特定的 IP 包 , 篡改其数据 , 然后再一一重新发送 , 欺骗接收的主机。
这种情况一般是内部人员所为 , 因为在现在的条件下 , 拦截数据还是一件非常困难的事情 , 除非是知道攻击对象的 IP 地址和路由路径。
“抛砖引玉”法 ――利用源路径选项的弱点
信源主机可以使用 IP 源路径选项 , 强制报文通过一个特定的路径到达目的主机。这样的报文可以用来攻陷防火墙和欺骗主机。一个外部攻击者可以传送一个具有内部主机地址的源路径报文。服务器会处理这个报文并对攻击者发回答报文。
对付这种攻击的最好的办法是配置好路由器 , 使它抛弃那些由外部网进来却声称是内部主机的报文。
“混水摸鱼”法
就是将以太网接口置为乱模式 (promiscuous), 截获局部范围的所有包 , 为我所用。
下面介绍几个标准的一流黑客的作业流程 , 希望能对网络管理员有一些帮助。
“远交近攻”法
许多 Internet 上的站点使用 Unix 操作系统。黑客们设法先登录到一台 Unix 的主机上 , 通过操作系统的漏洞来取得系统特权 , 然后以此为根据地访问其余主机 , 这被称为 - 跳跃 (Island-hopping)- 。这是现在非常流行的攻击法。
黑客们在到达目的主机之前往往会这样跳几次。例如 , 一个在美国的黑客在进入美联邦调查局的网络之前 , 可能先登录到亚洲的一台主机上 , 从那里登录到加拿大的一台主机 , 然后再跳到欧洲 , 最后从法国的一台主机向联邦调查局发起攻击。被攻击的网络即使有所觉察 , 也很难顺藤摸瓜地找到他。只要能够登录到 Unix 系统上 , 就能相对容易地成为超级用户 , 这一点正是黑客和安全专家们关注的共同点。解决 Unix 系统的缺陷是问题的关键所在。
“窃取TCP连接”法
互连协议的产生本来就是为了更加方便信息的交流 , 对于安全问题 , 设计者可能很少甚至不去考虑 , 因此 , 安全协议分析成为攻击中最厉害的一招。
几乎所有 Unix 实现的协议族中 , 都存在着一个广为人知的漏洞 , 这个漏洞使得窃取 TCP 连接成为可能。当 TCP 连接正在建立时 , 服务器用一个含有初始序列号的回答报文来确认用户请求。这个序列号无特殊要求 , 只要是唯一的就可以了。客户端收到回答后 , 再对其确认一次 , 连接便建立了。
TCP 协议规范要求每秒更换序列号 25 万次。但大多数 Unix 的实际更换频率远小于此 , 而且下一个更换的数字往往是预知的。正是这种可预知服务器初始序列号的能力 , 使得攻击得以实现。
唯一可以防治这种攻击的方法是使初始序列号的产生更具有随机性。最安全的解决方法是用加密算法产生初始序列号。
“反客为主”法
在 Unix 系统下 , 多数文件只能由超级用户拥有 , 很少可以由某一类用户所有。这使得管理员必须在 root 下进行各种操作。黑客攻击的首要对象就是 root, 最常受到攻击的目标是超级用户 Password 。严格地说 ,Unix 下的用户密码是没有加密的 , 它只是 DES 算法加密一个常用字符串的密钥。现在出现了许多用来解密的软件工具 , 它们利用 CPU 的高速度 , 采用穷尽方式来搜索密码。攻击一旦成功 , 黑客就可以在 Unix 系统中为所欲为。
因此 , 将系统中的权利进行分散 , 比如 , 设定邮件系统由邮件管理员管理 , 那么邮件管理员可以在不具有超级用户特权的情况下很好地管理邮件系统 , 这会使系统安全得多。
笔者想要重点提醒大家的是 : 在入侵者攻破系统后 , 经常会删除系统运行日志 , 以便不被系统管理员发现。非常多的黑客还会在系统不同的地方留下各种“标志”和“后门”-, 方便以后常来常往。所以 , 发生了入侵事件以后 , 应该彻底检查系统。如果实在不放心 , 应该不惜代价 , 将系统重新安装 !