在本文中,作者主要介紹了黑客用于攻擊網絡的一些工具。通過了解這些黑客工具的使用方法,讀者可以更好地保護自己網絡的安全。
的的的…………,凌晨3時45分,惱人的鈴聲將你吵醒。于是,你上網回應呼叫,卻發現網絡已被斷掉,你已被黑客“黑”了。而且,這個黑客一定是個高手,因為數個服務器都已停止工作,隨處都有他遺留的特洛伊木馬后門程序。天知道他還干了些什么!更令你頭疼是,當你檢查E-mail時,有許多公司竟在問你為什么攻擊他們的網絡。顯然,黑客已經利用你的主機去攻擊其它系統了。
為了幫助你更好地防范時刻發生的攻擊事件,本文描述了流行的黑客工具及有效的防范技術,你可以利用這些技術來保障網絡的安全。
特別說明
本文不是在教你如何去攻擊他人的系統,而是客觀描述了現實世界中發生的攻擊事件,并向你提供了抵御這些攻擊的方法。
由于這些工具可以在網上免費下載,并且它可能會損害你的系統,因此,作者在文中論述某一工具時,并不表示他默許或是推薦你使用。作者提醒:在使用這些工具時,你一定要慎重、小心,而且你必須弄清楚源代碼的意思。
工具一:Password Crackers
Password Crackers因其用途廣泛而成為黑客使用的主流工具。實施口令破譯攻擊分為兩步,第一步:攻擊者首先從被攻擊對象的計算機里讀出一個加密口令檔案(大部分系統,包括Windows NT及UNIX,他們把口令加密后儲存在檔案系統內,以便當用戶登錄時認證); 第二步:攻擊者以字典為輔助工具,用Password Crackers 開始嘗試去破譯口令。其辦法是把字典的每一項進行加密,然后兩者進行比較。假若兩個加密口令相符,黑客就會知道該口令;假若兩者不符,此工具繼續重復工作,直到字典最后一項。有時,黑客們甚至會試遍每一種字母的組合。使用該種方法,口令破譯的速度與加密及比較的速度有關。
工具二:L0phtCrack
L0phtCrack由黑客組L0pht Heavy Industries撰寫,于1997年推出。它以共享軟件(Shareware)的形式傳播。它專門用于破譯Windows NT口令。此工具性能強大,又很容易使用,初學者只需少量指點便能破譯口令。1999年1月推出的L0phtCrack 2.5版優化了DES密碼程序,軟件性能也隨之提高(比舊版本快450%)。據稱,一臺450 MHz Pentium II 計算機一天內就可破譯所有字母數字混合的口令。
L0phtCrack 可通過多種渠道得到加密的口令檔案。只要黑客運行一個包含L0phtCrack的程序,或從window NT系統管理員的備份軟盤里拷貝一個程序,就可以得到Windows NT系統里的SAM數據庫。L0phtCrack最新版的GUI可以從網絡中得到加密的Windows口令。當你登錄到NT域,你的口令會被用哈希算法送到網絡上。L0phtCrack的內置嗅探器很容易找到這個加密值并破譯它。
因為這個工具對IT從業人員也有極大用處,所以從L0phtCrack 2.0版以后開始收取注冊費。最新版可以有15天免費試用期,超過15日則收取100美金,并且有多個破譯程序以供選擇,有些收取費用,有些可從自由軟件庫中得到。
L0phtCrack的防范
抵御口令破譯攻擊的最好方法是執行強制的口令防范政策。例如要求用戶設想的口令很難被猜到。如口令應該至少有8位,包括數字、字母及特殊字符(如!@#$%);口令應不包括字典字。為了進一步保障安全,一些口令自動設置工具可以幫助用戶設計復雜的口令。
此外,你應該時常用口令破譯工具檢查公司的口令是否安全。當然,只有安全管理人員或是經他們授權的人員才能允許使用該種工具,而且必須得到書面的批準。同時你也應當事先對口令不幸被破譯的用戶做出解決方案,選擇向他發Email,還是親自拜訪用戶,向他解釋你的口令政策。這些問題在進行口令評估前應考慮完全。
工具三:War Dialers
很多公司非常重視防火墻的安全。然而,這個堅固的防線只封住了網絡的前門,但內部網中不注冊的調制解調器卻向入侵者敞開了“后門”。 War Dialers能迅速地找出這些調制解調器,隨即攻入網絡。因此,它成為一個非常受入侵者歡迎的工具。
War Dialer因電影“War Games”而一舉成名。它的攻擊原理非常簡單:不斷以順序或亂序撥打電話號碼,尋找調制解調器接通后熟悉的回應音。一旦War Dialers找到一大堆能接通的調制解調器后,黑客們便撥號入網繼續尋找系統內未加保護的登錄或容易猜測的口令。War Dialers首選攻擊對象是“沒有口令”的PC遠程管理軟件。這些軟件通常是由最終用戶安裝用來遠程訪問公司內部系統的。這些PC遠程控制程序當用到不安全的調制解調器時是異常脆弱的。
THC-Scan是The Hacker’s Choice (THC) Scanner的縮寫。 這個 War Dialers 工具是由“van Hauser”撰寫的。它的功能非常齊全。THC-Scan 2.0版于1998年圣誕節推出,THC-Scan與Toneloc (由“Minor Threat”及“Mucho Maas”撰寫) 用途近似。THC-Scan與其他普通War Dialers工具不同,它能自動檢測調制解調器的速度、數據位、校驗位及停止位。 此工具也嘗試去判斷被發現的計算機所使用的操作系統。而且,THC-Scan有能力確認什么時候能再有撥號音,這樣,黑客們便可以不經過你的PBX就可以撥打免費電話。
War Dialers的防范
當然,最有效防范措施就是使用安全的調制解調器。取消那些沒有用途的調制解調器。且用戶必須向IT部門注冊后才能使用調制解調器。對那些已注冊并且只用作外發的調制解調器,就將公司的PBX的權限調至只允許外撥。每個公司應有嚴格的政策描述注冊的調制解調器并控制PBX。由于市場零售店內有使用方便、價格便宜的數字調制解調器出售, 用戶也能把調制解調器安裝在只有數字線的PBX上使用。
除此之外,你還要定期作滲透測試,找出電話交換器內不合法的調制解調器。選用一個好的工具去尋找與網絡連接的調制解調器。對于被發現、但未登記的調制解調器,要么拿掉它們,要么重新登記。
工具四:Net Cat
Net Cat是一個用途廣泛的TCP及UDP連接工具。它是由“Hobbit”于1995年為UNIX編寫的,于1997年推出。對系統管理人員及網絡調試人員而言,它是一個非常有用的工具。當然,它也是一個攻擊網絡的強大工具。
Net Cat有許多功能,號稱黑客們的“瑞士軍刀”。與功能強大的UNIX腳本語言結合時,Net Cat是制造網絡工具的基本組件。Net Cat的基本程序可以以聆聽式和客戶式兩種方式運行。當以聆聽式運行時,Net Cat是一個服務器進程,等待與指定的TCP或UDP端口連接。而以客戶式運行時,Net Cat能連接到用戶指定的任何端口。
Net Cat在一個系統內以聆聽式運行,同時在另一系統內以客戶式運行時,Net Cat可以發動很多攻擊。它可以在任何端口提供后門登錄,如UDP端口53。從網絡包角度來分析,這種登錄被看成是一系列DNS問答,其實這是真正的后門登錄。當在兩系統內以兩種方式同時運行時,Net Cat可以在任何端口架構快捷、簡單的檔案傳輸機制。
Net Cat也可以是源路包。當Net Cat以客戶方式運行時,它是個UDP及TCP端口掃描器。當它發現系統內有打開的端口時,Net Cat會輕而易舉地與這些端口連接。
Net Cat NT版有一個獨特之處:它可以將自己綁定在當前進程的端口前端。利用這一功能可以非常有效地向服務器或Web服務器發動攻擊。這種連接也可以因拒絕服務攻擊(Denial-of-service DoS)而被斷掉。有時黑客把自己的請求送到正當的服務器進程前,編寫特別的程序用來尋找敏感數據(口令、銀行帳號等)。
Net Cat防范
最佳防范Net Cat的方法是“最小特權原理”(昵稱為“polyp”)(Principle of Least Priviledges)。也就是說,不讓不需要的端口經過防火墻,只有那些你允許通過的端口可以與指定的主機連接。例如:經過防火墻的DNS查詢,只打開需要此服務的UDP 53端口(通常是一個內部DNS服務器把這些查詢轉出到Internet)。這樣就可以防止攻擊者有機會把Net Cat包送到你內部網的任何主機上。
至于那些可以被外部訪問的系統,在防范Net Cat攻擊時,你要清楚這些機器上已運行的進程,并且仔細調查那些不尋常進程,因為它們可能是后門聆聽者。你必須定期檢查端口,以便發現有沒有聆聽者侵入你的機器。
為了防止回放攻擊,所有應用系統應該為每條消息(包括web cookies、表單或者是原始數據)蓋上時間印及順序號碼。所有消息的時間印及順序號應經過密碼完整性測試,確保沒有被修改或回放。
工具五:Session Hijacking
很多應用系統采用命令行登錄是不安全的,尤其是telnet、rsh、rlogin及FTP程式,它們全是黑客攻擊對象。任何一個黑客在連接了客戶與服務器之間的網段后,可以用Session Hijacking工具接管會話。
當一個合法用戶登錄到命令行進行會話時,黑客可以找到此會話并馬上代表用戶接管此會話,重新連接客戶,這樣黑客便完全控制這個登錄,進而黑客成為合法用戶。而真正的用戶會簡單地認為網絡出故障了,從而會斷掉會話。
黑客圈里有大量此種黑客工具,最新的有 “Kra”于1998年11月編寫的Hunt, 還有“daemon9”編寫的juggernaut,它們均提供基本的Session Hijacking功能。
Session Hijacking防范
對于敏感的會話通信(如防火墻的遠程管理、PKI或是其他重要部件的管理),選用一個有密碼認證功能的工具把整個會話加密是一個好選擇。Secure Shell (SSH)就提供這些功能。VPN產品也提供認證及會話加密。黑客沒有在SSH或VPN工具里所用的鑰匙便無法進行會話攻擊。
快樂的結局
讓我們回顧一下三個月前篇首所描述的攻擊情節。
當你調查這次攻擊時,你發現入侵者使用war dialing找出一個供用戶使用的不受保護的調制解調器。隨后他接管了這個系統,并掃描整個網絡,把后門安裝在網絡內部的機器中。當黑客觀察到一位系統管理員登錄到公用Web服務器上時,他就接管該服務器,并用它開始攻擊其他Internet站點。
經過此次事件,你的機構開始注意到安全防范的重要性,管理部門也授權你去實施一項口令及調制解調器政策,他們開始定期作war dialing及口令破譯測試,以及安裝自動監測預警系統。
經過施行這些新政策后,公司網絡的安全性大大提高。你明白了只有認真學習并且施行防范策略才能免受攻擊。即使日后又發現任何隱患,你也會迅速檢測到并立即采取措施。
希望你有了這些知識后,可以在晚上睡個好覺了!
Back Orifice 簡介
黑客一旦找出調制解調器并破譯口令成功后, 他會做什么? 通常,他會在系統內安裝后門程序以便他稍后再來。Back Orifice(或稱BO) 是功能強大的后門制造工具, 它能輕而易舉的使龐大的網絡系統陷入癱瘓之中。
Back Orifice由黑客Cult of the Dead Cow (cDc)于1998年8月推出。BO包括服務器部分和客戶部分。服務器部分安裝在受侵者的Window 95機器上,而客戶部分在黑客系統中運行。安裝BO主要目的是:黑客通過網絡遠程入侵并控制受攻擊的Win95系統,從而使受侵機器“言聽計從”。
BO以多功能、代碼簡潔而著稱。BO服務器只有121KB,安裝迅速。BO客戶軟件用UDP包與服務器溝通,可配置到系統任何端口上,缺省是UDP 31337(黑客術語是“Elite”)。
BO具有許多特點:
·黑客完全控制文件系統,可以移動、編輯、刪除及復制受侵機器的程序。
·可以捕獲用戶任何的鍵盤敲擊。這點使BO產生強大的殺傷力。因為當受害者鍵入的是口令或公鑰密碼時,BO也將它們如實地存在文件中,以便攻擊者日后取用。
·黑客可以在受侵機器上運行任何進程,并使這些進程可在任何端口上聆聽。
·BO試圖隱藏自己,不在任務列上出現。
·BO服務器自帶Web服務器,這樣黑客可以用Browser訪問受害機器。
·其他黑客利用所謂的BO統一工具傳輸插件(即“BUTT plugs”),把BO功能進行擴充。已經推出的插件宣稱可以經E-mail或IRC激活BO,這樣,當工具在網絡擴散時,就可以找到最新的目標。
·一個有效的BO嗅探器插件已被編寫完成。
BO很容易安裝。只要安裝一個必須的簡單程序,就能很容易并快速地安裝所有BO組件。BO以多種形式傳播,有時受侵者可能在毫不知情的情況下(經e-mail附件或Web站點傳播)就被強迫執行安裝程序了。
wrappers是和BO相關的工具之一,它可以把BO與無害的程序合并。例如:它把BO與一些不重要的軟件(如文字處理器或是網絡上流行的簡單游戲)結合,然后,黑客將BO附在game.exe上,并把結果文件用email方式發給用戶,假裝通知用戶,軟件該升級了。當用戶執行升級程序時,此工具首先安裝BO,之后運行被結合的應用程序。用戶只看到游戲在運行,卻根本不知道他們已成為BO的受害者。最后,此工具可以由Web的不簽名Java applets或activeX controls安裝。
防范
雖然Bo試圖隱藏自己(不出現在任務列上),但它仍然很容易被人發現。當進行人工檢測BO時,只要在c:\windows\system 目錄里找到122KB .exe文件,并與在windows Registry 里的HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Default鑰匙里的鑰匙名比較即可。若二者是一致的,則證明系統中存在BO。(值得注意的是:文件名及鑰匙名是由攻擊者配置的,但缺省是:“.exe”)。最后,如系統中有BO存在,則可在c:\windows\system 目錄內找到一個叫作“windll.dll”的文件。
盡管人工分析對少量機器有用,但進行大范圍掃描則需要反病毒產品。有幾家反病毒廠家已把檢測BO功能融入其產品的最新的版本中。直至截稿,BO只針對window95進行破壞。但是,BO客戶部分也可以在Windows及 UNIX下進行破壞工作。不要因為你用NT系統就可以高枕無憂。請注意,Carl-Fredrik Neikter所編寫的Net Bus便是針對NT服務器進行破壞的,且功能與BO相同。Net Bus 2.0在1999年1月已推出。
其他攻擊工具
ROOT EXPLOITS
攻擊者利用ROOT EXPLOITS,使用普通UNIX帳號訪問超級用戶從而接管機器。攻擊者在UNIX系統里有無數方法把自己升級。
ROOT EXPLOITS的防范
安全從業人員及系統管理員應參照Carnegie Mellon 的CERT(cert.org)及bugtrag (subscribe:list serve@net space.org)的安全簡訊,密切注意新的exploits。當新的攻擊被擊破后,應迅速并且有步驟地為受影響的機器進行測試和安裝廠家的補丁程序。對于對外公開使用的Web服務器、DNS系統、防火墻等,應該使用基于主機的安全監控軟件檢測尋找根目錄的用戶。
拒絕服務(Denial-of -service DoS)攻擊
這類攻擊會使系統混亂或變慢,直至不能再使用。在過去的兩年中,這類攻擊方法被黑客大量使用,而且攻擊目標是操作系統、路由器、甚至是激光打印機,且攻擊者使用的軟件五花八門,如Ping O Death, Land, Smurf, Bonk, Boink及Latierra。這些攻擊看起來不是那么兇猛,但公司卻往往因此而導致系統癱瘓、員工閑置及交易流產,公司最終會付出昂貴代價。
Denial-of -service的防范
同樣,密切注意最新攻擊事件及頻頻安裝系統補丁仍然是防范DoS攻擊的最佳方法。當然,你也可以嘗試在外部路由器放置反欺騙過濾器或設置好內部網絡路由器以抵御DoS的攻擊。
Remote Explorer
Remote Explorer是一個有很強殺傷力的NT病毒。它在NT系統中將自己偽裝成一種服務。當管理員登錄時,此病毒會使自己自動擴散到該域內所有NT機器上。在受影響的系統里,Remote Explorer會隨機加密文件,而拒絕合法的訪問。
Remote Explorer的防范
嚴密的反病毒措施及有效的病毒防范工具可以防止Remote Explorer的攻擊
| 首頁 | 業界資訊 | 操作系統 | 殺毒防毒 | 辦公軟件 | 下載 | 開發編程 | 硬件 | 培訓 | 貼圖 網址 | 互聯思考 | 常用軟件 | 沖浪寶典 | 聊天軟件 | 資料 | 硬件頻道 | 設計 | 精英教育網 |
