|
作者:徐一丁 高级工程师,北京玛赛网络系统有限公司
: v4 y& p `- j" p 骇客在进行攻击时会借用其他系统来达到自己的目的,如对下一目标的攻击和被侵占计算机本身的利用等等。本文介绍了常见的骇客对被侵占计算机的使用方式和安全管理员相应的应对方法。4 N' U- s& e* {/ _: E/ q
骇客进行网络攻击时,除了自己手中直接操作的计算机外,往往在攻击进行时和完成之后利用、控制其他的计算机。他们或者是借此达到攻击的目的,或者是把这些计算机派做其他的用途。本文汇总描述了骇客各种利用其他计算机的手段,希望网络与系统管理员能通过了解这些攻击办法来达到更好地进行安全防范的目的。
) k! y- h3 n' g4 g4 u( M" I% i! v2 A% z
一、对“肉鸡”的利用 - E L* D3 g) M5 h2 |5 D
“肉鸡”这个词被骇客专门用来描述Internet上那些防护性差,易于被攻破而且控制的计算机。
8 ~6 m, F8 |! g3 T6 S- i1.1、本身数据被获取 4 i% U8 J% E2 t+ d( j- Y
原理介绍
& T0 r; A2 O. B. o& G9 _. z这是一台计算机被攻破并完全控制之后,骇客要做的第一件事。很多骇客宣称自己是非恶意的,只是对计算机安全感兴趣,在进入别人的计算机时,不会进行破坏、删除、篡改等操作。甚至还有更"好心"一些的骇客会为这些计算机打补丁,做一些安全加强。 ; N: T) |+ o7 A) x; S# K0 p0 y' w
但是他们都回避了一个问题,那就是对这些计算机上本身保存的数据如何处理。确实,对别人的计算机进行破坏这种损人不利已的事情对这大多数骇客来讲没有太大意思,不过他们都不会反对把“肉鸡”上的数据弄回来保存。这时骇客再说"没有进行破坏"是说不过去的,根据计算机安全的基本原则,当数据的"完整性、可用性和机密性"中任意三者之一在受到破坏的时候,都应视为安全受到了破坏。在被占领的计算机上可能会保存着用户信息、网络拓扑图、商业秘密、财务报表、军事情报和其他各类需要保密的数据,骇客获得这些数据(即使只是查看数据的内容而不下载)时正是破坏了保密性。在实际情况中,很多商业间谍和政治间谍都是这一类,他们只是默默地拿走你的数据而绝不做任何的破坏,而且尽最大可能地掩盖自己行动的痕迹。这些骇客希望长时间大量地得到珍贵的数据而不被发觉,这其实是最可怕的一种攻击行为。 " K' _1 w) m. V ?. W4 B
很多骇客会在“肉鸡”上安装FTP软件或者开放FTP服务,再下载其数据,但安装软件和开放服务这样的动作很容易在系统中的各类日志留下记录,有可能被发现。而不希望被人发觉的骇客会自己建立一台FTP服务器,让“肉鸡”做为客户端把自己的数据上传过来。
; \/ y) |) t8 n防御方法
. ?1 w7 ^1 u. H7 p* H防止本身数据资料不被窃取,当然首先要考虑的是计算机本身不被攻破。如果自己是铁桶一个,水泼不进,骇客无法在你的网络中的计算机取得任何访问的权限,当然就杜绝了绝大多数的泄密可能(请注意,这时候还是有可能会泄密的!比如被骇客欺骗而将数据发送出去)。我们先来看一下如何加强自己的计算机的操作系统,对于所有需要事先控制的攻击方式,这些手段都是有效的,在以后的章节中就不重复说明了。
' t0 a7 s) r/ Y( @1 ^, d7 l简单地说,对于操作系统的加强,无论是Windows、Unix或是Linux,都可以从物理安全、文件系统、帐号管理、网络设置和应用服务几个方面来考虑,在这里我们不详细讨论全面的安全防护方案,只是提供一些简单实用的系统安全检查项目。这是安全的必要条件,而不是充分条件。
0 l/ |1 ?- \& V4 m; p
2 k+ I: a0 W: N& ^% k H/ k6 f+ `* f# I; ~0 R: k
对于防止数据被窃取,也有手段可以采用,使骇客侵入计算机之后不能盗窃数据和资料。这就是访问控制和加密。系统访问控制需要软件来实现,可以限制root的权限,把那些重要的数据设置为除了特殊用户外,连root都无法访问,这样即使骇客成为root也没有用。加密的手段有很多,这里也不详细介绍了,文件通过加密会以密文的形式存放在硬盘中,如果不能正确解密,就是一堆没有任何意义的字符,骇客就算拿到了也没有用。 ! s; Z7 L/ A) Z7 c" o! P" ? Q
1.2、非法proxy
* K" a/ k/ V1 N( w2 j5 _: c9 ]原理介绍
. u9 h$ n4 A; I6 m0 R7 VProxy代理技术在提高Internet访问速度与效率上有很大作用,在这种技术的基础之上又出现了Cache Server等Internet访问优化技术,但Proxy也被骇客利用来进行非法活动。骇客把“肉鸡”设置为Proxy一般有两个目的,首先与正常Proxy的目的一样,是利用它更好地访问Internet,进行WWW浏览;其次就是利用这台Proxy“肉鸡”的特殊位置绕过一些访问的限制。 1 M5 n0 p" K9 {8 |! [ ?
普通的WWW Proxy其实在Internet上是很常见的,一些计算机免费而且开放地为所有计算机提供WWW Proxy服务,如果骇客想得到一台合适的Proxy时,并不需要自己亲自去攻击计算机并安装Proxy软件,只需利用这些现成的Proxy计算机就可以了。在骇软站点上,有很多Proxy Hunter之类的软件,输入某个网段就可以运行去自动搜索已经存在的Proxy计算机了。虽然Proxy本身并不会被攻击,但是运行Proxy服务,在客户端连接数目多的时候会造成很大的负担。而且一些攻击如Unicode、Lotus Notes、ASP攻击也正是通过HTTP协议进行的,最终被攻击者会把Proxy服务器当做攻击的来源,换句话说,Proxy服务器会成为这些攻击者的替罪羊。所以最好不要向外提供开放的Proxy服务,即使因为需要而开放了,也应加以严格的限制。 7 b' P- j' u) c$ s0 d! v7 ^7 Y
利用Proxy绕过一些访问限制,在“肉鸡”的利用中也是很常见的。举个实例来说,某个公司为了提高工作效率,不允许员工使用QQ聊天,指示在公司的防火墙上限制了所有由内向外对UDP 8000这个端口的访问,这样内部就无法向外连接Internet上的QQ服务器进行聊天了。但骇客利用自己设置的QQ Proxy就可以绕过这个限制正常访问QQ服务器。 5 H, Q) [% l0 W, ?
![]() QQ Proxy绕过访问限制" src="http://www-900.ibm.com/developerWorks/cn/security/se-gwattack/fig1.gif" width=408 border=0>3 p' n7 w# x$ I% P; s
图一 骇客利用QQ Proxy绕过访问限制
. u$ T% g% p7 g+ o, y& p如图一,QQ Proxy同WWW Proxy的设置和使用方法是一样的。在有了Internet上的QQ Proxy时,骇客在公司内部向外访问QQ Proxy的UDP 18000端口,这是不被禁止的。而QQ Proxy会以客户端的身份向真正的访问目标-QQ服务器进行访问,然后把信息从UDP 18000端口向骇客计算机转回去。这样,骇客就利用Proxy实现了对访问限制的突破。 ( R0 l& P6 L3 e6 l: t3 L
还可以利用这个原理进行其他协议限制的绕过,如WWW、ICQ、MSN、Yahoo Messager、AOL等,只要Proxy软件支持。
9 u3 I; q; k# T+ \防御方法
# ^" i! [% L; G: E$ h, U$ n我们设立任何类型的Proxy服务器时,应当对客户端有所限制,不向无关的人员提供使用权限。这样提高了服务器的效率,又杜绝了骇客借我们的Proxy进行攻击的可能。 + o1 F( B& ~; z' p) L
防止内部人员利用外部的Proxy时,可以在防火墙上严格限制,只能对外部规定站点的规定服务进行访问。当然这样有可能造成业务上的不便,所以在具体环境下要具体考虑,综合地权衡。
6 k( a: y0 d$ C$ _0 N* n1.3、骇客交流平台 " E y. z0 c3 f/ R9 z7 v) i, O/ G( T& y
原理介绍
* `2 B/ M; K+ U7 x9 U7 Y: K这又是“肉鸡”的一大功能,骇客很喜欢把一些被托管在IDC中的“肉鸡”设置为自己的BBS/E-mail服务器,这些计算机一般都是CPU快、内存大、硬盘空间足和网速快的,对骇客需要的功能可以很好地支持。骇客分布在世界范围内的各个角落,除了一些固定的骇客组织外,很多骇客都是只通过网络交流,如通过电子邮件、在线聊天等方式"互送秋波",交流攻击和其他技术,倾诉仰慕之情。很多交往多年的骇客好友从未在现实生活中见过面,这是毫不为奇的。 ! R0 O9 T, a9 d; \; ?% X
大家会问那么骇客直接发电子邮件、上ICQ不就行了吗?何必去冒险攻击其他的计算机做为交流平台呢。请注意骇客之间传播的都是一些不能被别人知道的信息,如"我已经控制了XXX省网的骨干路由器,你想要一份它的路由表吗?",这样的内容如果在任何一个邮件服务器和聊天服务器上被截获,从道义上讲这个网管都是有义务提醒被攻击的网络负责人的,所以利用公共的网络交流手段对骇客来说并不可靠,骇客也要保密啊:-) 。那怎么办?骇客既然控制了“肉鸡”,成为了“肉鸡”的第二个"家长",就有资格和权限去把它设置为交流用的服务器。在这样的交流平台上,骇客被发现的可能性小得多,最高的控制权限可以使骇客对这些活动进行各种各样的掩饰。还有另一种利用形式就是FTP服务器,供骇客兄弟们上传下载骇客软件,互通有无。
# u, V7 J9 c4 H: c3 r! e骇客在“肉鸡”上做信息交换的时候,会产生大量的网络通信,尤其是利用FTP上传下载时。如果发现你的内外部通信突然反常地加大,检查一下自己的计算机吧。
8 C) z: |7 Q v' x8 J- k防卫性差的“肉鸡”其管理员一般水平也不会很高,再加上缺乏责任心,往往在自己的计算机被占领了很长时间都不知道,直到有一天收到了高额的数据通信收费单,才大吃一惊:"怎么搞的?!"。- 难道他们自己就没有责任吗?
/ B* l- o2 f3 }- R防御方法
) s0 H' y* E/ W# }管理员要有实时监视的手段,并制定合理的检查制度,定期地对所负责的网络和服务器进行检查。对于网络流量突然增大、可疑访问出现、服务器情况异常、不正常的日志项等,都要立即进行检查。要记得把这些记录、日志归类备份,以便在出现情况时前后比较。 * Y8 z+ b p! v3 s
安全不安全很大程度上取决于管理员是否尽职尽责,好的管理员必须有好的习惯。 ) G! a Z- r+ B w1 c/ y' Y: G
1.4、学习/开发平台 5 X6 I4 j" R/ T/ K! j2 w$ F
原理介绍
, H$ I0 \! J& \7 b( @, j这种情况是比较少见的,却很有意思。我们平时使用的是个人计算机,一般可以安装Windows、FreeBSD、Linux和其他Unix系统的x86版本,如果要实习其他平台上的操作系统几乎是不可能的。象AIX、HP-UX、Solaris(sparc)、IRIX等,都需要相应的硬件平台来配套,普通的个人计算机是装不上的,这些知名厂商的Unix计算机又非常昂贵,成了一般计算机爱好者可望不可及的宝物。骇客兄弟们在这里又有了大显身手的时候了,到网上找到一些可以侵入的AIX什么的机器,占领之后,想学习这种平台的操作使用还不是很简单的事吗?我曾在一个骇客站点上看到有人转让一台Sun E250“肉鸡”的控制权,开价300块,可怜那个管理员,自己的机器已经被公开出售了还不知道。 & Q$ P2 _+ X. T! ~2 X! L' H
骇客在“肉鸡”上做开发就更少见了,因为这样做会有很大的风险。许骇客都没有全职的工作,他们中的很多人都是编程高手,会通过朋友和其他渠道揽一些程序开发的活计,挣些零花钱。很多定制的程序是要跑在特定平台上的,如果一个程序需要在HP-UX平台上开发调试怎么办?HP-UX计算机是很少能找到的。但骇客又可以利用自己的"特长"去攻下一台,做为开发平台。不过我们都知道开发调试程序的时候会有各种种样的bug,轻则导致程序不正常,重则让系统崩溃,还会在日志里留下记录。这就是为什么说这么做很危险,因为它太容易被发现了。要是一台计算机被当做开发平台用了很久而管理员却一无所知的话,这个管理员实在应该好好反省。
, j3 o: b5 ?& |& ?/ G" w防御方法( Y) {8 S5 `% e( r# b( C" l; z
方法同前一部分,就不必多说了。关心你的服务器吧。
% l# C p- ^9 Z8 p, G二、利用“肉鸡”进行攻击 6 r( I2 c1 ^# K# v0 H# S
前面说的都是骇客如何利用“肉鸡”做一些其他的事情,在第二大部分里就要谈一下骇客是如何利用“肉鸡”进行攻击其他计算机和网络行为的。骇客利用“肉鸡”攻击的原因主要有两个:首先是万一攻击行为被下一个目标发现了,对方管理员在追查的时候只能找到这台“肉鸡”,而不能直接抓出骇客自己,这为对方管理员追究责任造成了更大的困难;其次,对于某些类型的攻击手段,“肉鸡”所在的位置也许比骇客计算机所在的位置更有利。
6 F0 c9 c8 a' Y下面介绍一下骇客利用“肉鸡”来攻击时的几种方式。
( l F9 L1 O3 ^% X n) i5 Q) d! T2.1非法扫描/监听平台 | 
IP卡
狗仔卡
发表于 2005-1-20 14:48
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
5 F6 W( o2 F- ~; D$ ]$ r9 Y% }
图三C 利用“肉鸡”跳板进行端口跳转
