文章出處:
http://www.ukbbs.idv.tw/ukweb/ukb...hp?tid=8793295[教學]網路入侵方法與 一般步驟
網路安全從其本質上來講就是網路上的訊息安全。從廣義來說,凡是涉及到網路上訊息的守密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。確保網路系統的訊息安全是網路安全的目標,訊息安全包括兩個方面︰訊息的存儲安全和訊息的傳輸安全。訊息的存儲安全是指訊息在靜態存放狀態下的安全,如是否會被非授權調用等。訊息的傳輸安全是指訊息在動態傳輸過程中安全。為了確保網路訊息的傳輸安全,有以下幾個問題︰
(1)對網路上訊息的監聽
(2)對用戶身分的仿冒
(3)對網路上訊息的篡改
(4)對發出的訊息予以否認
(5)對訊息進行重發
對于一般的常用入侵方法主要有
1.口令入侵
所謂口令入侵,就是指用一些軟體解開已經得到但被人加密的口令文檔,不過許多黑客已大量采用一種可以繞開或屏蔽口令保護的程式來完成這項工作。對于那些可以解開或屏蔽口令保護的程式通常被稱為“Crack”。由于這些軟體的廣為流傳,使得入侵電腦網路系統有時變得相當簡單,一般不需要很深入了解系統的內部架構,是初學人的好方法。
2.特洛伊芳木馬術
說到特洛伊芳木馬,只要知道這個故事的人就不難理解,它最典型的做法可能就是把一個能幫助黑客完成某一特定動作的程式依附在某一合法用戶的正常程式中,這時合法用戶的程式代碼已被該變。一旦用戶觸發該程式,那么依附在內的黑客指令代碼同時被激活,這些代碼往往能完成黑客指定的任務。由于這種入侵法需要黑客有很好的編程經驗,且要更改代碼、要一定的權限,所以較難掌握。但正因為它的複雜性,一般的系統管理員很難發現。
3.監聽法
這是一個很實用但風險也很大的黑客入侵方法,但還是有很多入侵系統的黑客采用此類方法,正所謂藝高人膽大。
網路節點或工作站之間的交流是透過訊息流的轉送得以實現,而當在一個沒有集線器的網路中,數據的傳輸並沒有指明特定的方向,這時每一個網路節點或工作站都是一個界面。這就好比某一節點說︰“嗨﹗你們中有誰是我要發訊息的工作站。”
此時,所有的系統界面都收到了這個訊息,一旦某個工作站說︰“嗨﹗那是我,請把數據傳過來。”聯接就馬上完成。
有一種叫sniffer的軟體,它可以截獲口令,可以截獲秘密的訊息,可以用來攻擊相鄰的網路。
4.E-mail技術
5.病毒技術
6.隱藏技術
網路攻擊的一般步驟及實例
攻擊的準備階段
首先需要說明的是,入侵者的來源有兩種,一種是內部人員利用自己的工作機會和權限來獲取不應該獲取的權限而進行的攻擊。另一種是外部人員入侵,包括遠程入侵、網路節點接入入侵等。本節主要討論遠程攻擊。
進行網路攻擊是一件系統性很強的工作,其主要工作流程是︰收集情報,遠程攻擊,遠程登錄,取得普通用戶的權限,取得超級用戶的權限,留下后門,清除日志。主要內容包括目標分析,文檔獲取,破解密碼,日志清除等技術,下面分別介紹。
1. 確定攻擊的目的
攻擊者在進行一次完整的攻擊之前首先要確定攻擊要達到什么樣的目的,即給對方造成什么樣的后果。常見的攻擊目的有破壞型和入侵型兩種。破壞型攻擊指的只是破壞攻擊目標,使其不能正常工作,而不能隨意控製目標的系統的營運。要達到破壞型攻擊的目的,主要的手段是拒絕服務攻擊(Denial Of Service)。另一類常見的攻擊目的是入侵攻擊目標,這種攻擊是要獲得一定的權限來達到控製攻擊目標的目的。應該說這種攻擊比破壞型攻擊更為普遍,威脅性也更大。因為黑客一旦獲取攻擊目標的管理員權限就可以對此伺服器做任意動作,包括破壞性的攻擊。此類攻擊一般也是利用伺服器作業系統、應用軟體或者網路協議存在的漏洞進行的。當然還有另一種造成此種攻擊的原因就是密碼泄露,攻擊者靠猜測或者窮舉法來得到伺服器用戶的密碼,然后就可以用和真正的管理員一樣對伺服器進行訪問。
2. 訊息收集
除了確定攻擊目的之外,攻擊前的最主要工作就是收集盡量多的關于攻擊目標的訊息。這些訊息主要包括目標的作業系統類型及版本,目標提供哪些服務,各伺服器程式的類型與版本以及相關的社會訊息。
要攻擊一台機器,首先要確定它上面正在營運的作業系統是什么,因為對于不同類型的作業系統,其上的系統漏洞有很大區別,所以攻擊的方法也完全不同,甚至同一種作業系統的不同版本的系統漏洞也是不一樣的。要確定一台伺服器的作業系統一般是靠經驗,有些伺服器的某些服務顯示訊息會泄露其作業系統。例如當我們透過TELNET連上一台機器時,如果顯示
Unix(r) System V Release 4.0
login︰
那么根據經驗就可以確定這個機器上營運的作業系統為SUN OS 5.5或5.5.l。但這樣
確定作業系統類型是不準確的,因為有些網站管理員為了迷惑攻擊者會故意更改顯示訊息,造成假象。
還有一種不是很有效的方法,諸如查詢DNS的主機訊息(不是很可靠)來看登記域名時的申請機器類型和作業系統類型,或者使用社會工程學的方法來獲得,以及利用某些主機開放的SNMP的公共組來查詢。
另外一種相對比較準確的方法是利用網路作業系統裡的TCP/IP堆棧作為特殊的“指紋”來確定系統的真正身分。因為不同的作業系統在網路底層協議的各種實現細節上略有不同。可以透過遠程向目標發送特殊的包,然后透過返回的包來確定作業系統類型。例如透過向目標機發送一個FIN的包(或者是任何沒有ACK或SYN標記的包)到目標主機的一個開放的端口然后等待回應。許多系統如windows、 BSDI、 CISCO、 HP/UX和 IRIX會返回一個RESET。透過發送一個SYN包,它含有沒有定義的TCP標記的TCP頭。那么在Linux系統的回應包就會包含這個沒有定義的標記,而在一些別的系統則會在收到SYN+BOGU包之后關閉連接。或是利用尋找初始化序列長度模板與特定的作業系統相匹配的方法。利用它可以對許多系統分類,如較早的Unix系統是64K長度,一些新的Unix系統的長度則是隨機增長。還有就是檢查返回包裡包含的窗口長度,這項技術根據各個作業系統的不同的初始化窗口大小來唯一確定它們。利用這種技術實現的工具很多,比較著名的有NMAP、CHECKOS、QUESO等。
獲知目標提供哪些服務及各服務daemon的類型、版本同樣非常重要,因為已知的漏洞一般都是對某一服務的。這裡說的提供服務就是指通常我們提到的喘口,例如一般TELNET在23端口,FTP在對21端口,WWW在80端口或8080端口,這只是一般情況,網站管理完全可以按自己的意愿修改服務所監聽的端口號。在不同伺服器上提供同一種服務的軟體也可以是不同,我們管這種軟體叫做daemon,例如同樣是提供FTP服務,可以使用wuftp、proftp,ncftp等許多不同種類的daemon。確定daemon的類型版本也有助于黑客利用系統漏洞攻破網站。
另外需要獲得的關于系統的訊息就是一些與計算機本身沒有關系的社會訊息,例如網站所屬公司的名稱、規模,網路管理員的生活習慣、電話號碼等。這些訊息看起來與攻擊一個網站沒有關系,實際上很多黑客都是利用了這類訊息攻破網站的。例如有些網站管理員用自己的電話號碼做系統密碼,如果掌握了該電話號碼,就等于掌握了管理員權限進行訊息收集可以用手工進行,也可以利用工具來完成,完成訊息收集的工具叫做掃描器。用掃描器收集訊息的優點是速度快,可以一次對多個目標進行掃描。
攻擊的實施階段
1. 獲得權限
當收集到足夠的訊息之后,攻擊者就要開始實施攻擊行動了。作為破壞性攻擊,只需利用工具發動攻擊即可。而作為入侵性攻擊,往往要利用收集到的訊息,找到其系統漏洞,然后利用該漏洞獲取一定的權限。有時獲得了一般用戶的權限就足以達到修改主頁等目的了,但作為一次完整的攻擊是要獲得系統最高權限的,這不僅是為了達到一定的目的,更重要的是証明攻擊者的能力,這也符合黑客的追求。
能夠被攻擊者所利用的漏洞不僅包括系統軟體設計上的安全漏洞,也包括由于管理配置不當而造成的漏洞。前不久,因特網上應用最普及的著名www伺服器提供商Apache的主頁被黑客攻破,其主頁面上的 Powered by Apache圖樣(羽毛狀的圖畫)被改成了Powered by Microsoft Backoffice的圖樣,那個攻擊者就是利用了管理員對Webserver用數據庫的一些不當配置而成功取得最高權限的。
當然大多數攻擊成功的范例還是利用了系統軟體本身的漏洞。造成軟體漏洞的主要原因在于編製該軟體的程式員缺乏安全意識。當攻擊者對軟體進行非正常的調用請求時造成緩沖區溢出或者對文件的非法訪問。其中利用緩沖區溢出進行的攻擊最為普遍,據統計80%以上成功的攻擊都是利用了緩沖區溢出漏洞來獲得非法權限的。關于緩沖區溢出在后面用專門章節來作詳細解釋。
無論作為一個黑客還是一個網路管理員,都需要掌握盡量多的系統漏洞。黑客需要用它來完成攻擊,而管理員需要根據不同的漏洞來進行不同的防御措施。了解最新最多的漏洞訊息,可以到諸如Rootshell(www.rootshell.com)、Packetstorm(packetstorm.securify.com)、Securityfocus(www.securityfocus.com)等網站去查找。
2. 權限的擴大
系統漏洞分為遠程漏洞和本地漏洞兩種,遠程漏洞是指黑客可以在別的機器上直接利用該漏洞進行攻擊並獲取一定的權限。這種漏洞的威脅性相當大,黑客的攻擊一般都是從遠程漏洞開始的。但是利用遠程漏洞獲取的不一定是最高權限,而往往只是一個普通用戶的權限,這樣常常沒有辦法做黑客們想要做的事。這時就需要配合本地漏洞來把獲得的權限進行擴大,常常是擴大至系統的管理員權限。
只有獲得了最高的管理員權限之后,才可以做諸如網路監聽、打掃痕跡之類的事情。要完成權限的擴大,不但可以利用已獲得的權限在系統上執行利用本地漏洞的程式,還可以放一些木馬之類的欺騙程式來套取管理員密碼,這種木馬是放在本地套取最高權限用的,而不能進行遠程控製。例如一個黑客已經在一台機器上獲得了一個普通用戶的賬號和登錄權限,那么他就可以在這台機器上放置一個假的su程式。一旦黑客放置了假su程式,當真正的合法用戶登錄時,營運了su,並輸入了密碼,這時root密碼就會被記錄下來,下次黑客再登錄時就可以使用su變成root了。
攻擊的善后工作
1. 日志系統簡介
如果攻擊者完成攻擊后就立刻離開系統而不做任何善后工作,那么他的行方將很快被系統管理員發現,因為所有的網路作業系統一般都提供日志記錄功能,會把系統上發生的動作記錄下來。所以,為了自身的隱蔽性,黑客一般都會抹掉自己在日志中留下的痕跡。想要了解黑客抹掉痕跡的方法,首先要了解常見的作業系統的日志架構以及工作模式。Unix的日志文件通常放在下面這幾個位置,根據作業系統的不同略有變化
/usr/adm──早期版本的Unix。
/Var/adm新一點的版本使用這個位置。
/Varflort一些版本的Solaris、 Linux BSD、 Free BSD使用這個位置。
/etc,大多數Unix版本把Utmp放在此處,一些Unix版本也把Wtmp放在這裡,這也是Syslog.conf的位置。
下面的文件可能會根據你所在的目錄不同而不同︰
acct或pacct-一記錄每個用戶使用的命令記錄。
accesslog主要用來伺服器營運了NCSA HTTP伺服器,這個記錄文件會記錄有什么站點連接過你的伺服器。
aculo保存撥出去的Modems記錄。
lastlog記錄了最近的Login記錄和每個用戶的最初到達站,有時是最后不成功Login的記錄。
loginlog一記錄一些不正常的L0gin記錄。
messages──記錄輸出到系統控製台的記錄,另外的訊息由Syslog來生成
security記錄一些使用 UUCP系統企圖進入限製范圍的事例。
sulog記錄使用su命令的記錄。
utmp記錄當前登錄到系統中的所有用戶,這個文件伴隨著用戶進入和離開系統而不斷變化。
Utmpx,utmp的擴展。
wtmp記錄用戶登錄和退出事件。
Syslog最重要的日志文件,使用syslogd守護程式來獲得。
2. 隱藏蹤跡
攻擊者在獲得系統最高管理員權限之后就可以隨意修改系統上的文件了(只對常規 Unix系統而言),包括日志文件,所以一般黑客想要隱藏自己的蹤跡的話,就會對日志進行修改。最簡單的方法當然就是刪除日志文件了,但這樣做雖然避免了系統管理員根據IP追蹤到自己,但也明確無誤地告訴了管理員,系統己經被人侵了。所以最常用的辦法是只對日志文件中有關自己的那一部分做修改。關于修改方法的具體細節根據不同的作業系統有所區別,網路上有許多此類功能的程式,例如 zap、 wipe等,其主要做法就是清除 utmp、wtmp、Lastlog和 Pacct等日志文件中某一用戶的訊息,使得當使用w、who、last等命令查看日志文件時,隱藏掉此用戶的訊息。
管理員想要避免日志系統被黑客修改,應該采取一定的措施,例如用印表機實時記錄網路日志訊息。但這樣做也有弊端,黑客一旦了解到你的做法就會不停地向日志裡寫入無用的訊息,使得印表機不停地打印日志,直到所有的紙用光為止。所以比較好的避免日志被修改的辦法是把所有日志文件發送到一台比較安全的主機上,即使用loghost。即使是這樣也不能完全避免日志被修改的可能性,因為黑客既然能攻入這台主機,也很可能攻入loghost。
只修改日志是不夠的,因為百密必有一漏,即使自認為修改了所有的日志,仍然會留下一些蛛絲馬跡的。例如安裝了某些后門程式,營運后也可能被管理員發現。所以,黑客高手可以透過替換一些系統程式的方法來進一步隱藏蹤跡。這種用來替換正常系統程式的黑客程式叫做rootkit,這類程式在一些黑客網站可以找到,比較常見的有LinuxRootKit,現下已經發展到了5.0版本了。它可以替換系統的ls、ps、netstat、inetd等等一系列重要的系統程式,當替換了ls后,就可以隱藏指定的文件,使得管理員在使用ls命令時無法看到這些文件,從而達到隱藏自己的目的。
3. 后門
一般黑客都會在攻入系統后不只一次地進入該系統。為了下次再進入系統時方便一點,黑客會留下一個后門,特洛伊芳木馬就是后門的最好范例。Unix中留后門的方法有很多種,下面介紹幾種常見的后門,供網路管理員參考防范。
<1>密碼破解后門
這是入侵者使用的最早也是最老的方法, 它不僅可以獲得對Unix機器的訪問, 而且可 以透過破解密碼製造后門. 這就是破解口令薄弱的帳號. 以后即使管理員封了入侵者 的當前帳號,這些新的帳號仍然可能是重新侵入的后門. 多數情況下, 入侵者尋找口令 薄弱的未使用帳號,然后將口令改的難些. 當管理員尋找口令薄弱的帳號是, 也不會發 現這些密碼已修改的帳號.因而管理員很難確定查封哪個帳號.
<2>Rhosts + + 后門
在連網的Unix機器中,象Rsh和Rlogin這樣的服務是基于rhosts文件裡的主機名使用簡 單的認証方法. 用戶可以輕易的改變設置而不需口令就能進入. 入侵者只要向可以訪 問的某用戶的rhosts文件中輸入"+ +", 就可以允許任何人從任何地方無須口令便能進 入這個帳號. 特別當home目錄透過NFS向外共享時, 入侵者更熱中于此. 這些帳號也成 了入侵者再次侵入的后門. 許多人更喜歡使用Rsh, 因為它通常缺少日志能力. 許多管 理員經常檢查 "+ +", 所以入侵者實際上多設置來自網上的另一個帳號的主機名和 用戶名,從而不易被發現.
<3>校驗和及時間戳后門
早期,許多入侵者用自己的trojan程式替代二進製文件. 系統管理員便依靠時間戳和系 統校驗和的程式辨別一個二進製文件是否已被改變, 如Unix裡的sum程式. 入侵者又發 展了使trojan文件和原文件時間戳同步的新技術. 它是這樣實現的: 先將系統時鐘撥 回到原文件時間, 然后調整trojan文件的時間為系統時間. 一旦二進製trojan文件與 原來的精確同步, 就可以把系統時間設回當前時間. Sum程式是基于CRC校驗, 很容易 騙過.入侵者設計出了可以將trojan的校驗和調整到原文件的校驗和的程式. MD5是被 大多數人推荐的,MD5使用的算法目前還沒人能騙過.
<4>Login后門
在Unix裡,login程式通常用來對telnet來的用戶進行口令驗証. 入侵者獲取login.c的 原代碼並修改,使它在比較輸入口令與存儲口令時先檢查后門口令. 如果用戶敲入后門 口令,它將忽視管理員設置的口令讓你長驅直入. 這將允許入侵者進入任何帳號,甚至 是root.由于后門口令是在用戶真實登錄並被日志記錄到utmp和wtmp前產生一個訪問 的, 所以入侵者可以登錄獲取shell卻不會暴露該帳號. 管理員注意到這種后門后, 便 用"strings"命令搜索login程式以尋找文本訊息. 許多情況下后門口令會原形畢露. 入侵者就開始加密或者更好的隱藏口令, 使strings命令失效. 所以更多的管理員是 用MD5校驗和檢測這種后門的.
<5>Telnetd后門
當用戶telnet到系統, 監聽端口的inetd服務接受連接隨后遞給in.telnetd,由它營運 login.一些入侵者知道管理員會檢查login是否被修改, 就著手修改in.telnetd. 在in.telnetd內部有一些對用戶訊息的檢驗, 比如用戶使用了何種終端. 典型的終端 設置是Xterm或者VT100.入侵者可以做這樣的后門, 當終端設置為"letmein"時產生一 個不要任何驗証的shell. 入侵者已對某些服務作了后門, 對來自特定源端口的連接產 生一個shell .
<6>服務后門
幾乎所有網路服務曾被入侵者作過后門. Finger, rsh, rexec, rlogin, ftp, 甚至 inetd等等的作了的版本隨處多是. 有的只是連接到某個TCP端口的shell,透過后門口 令就能獲取訪問.這些程式有時用刺媧□?Ucp這樣不用的服務,或者被加入inetd.conf 作為一個新的服務.管理員應該非常注意那些服務正在營運, 並用MD5對原服務程式做 校驗.
<7>Cronjob后門
Unix上的Cronjob可以按時間表調度特定程式的營運. 入侵者可以加入后門shell程式 使它在1AM到2AM之間營運,那么每晚有一個小時可以獲得訪問. 也可以查看cronjob中 經常營運的合法程式,同時置入后門.
<8>庫后門
幾乎所有的UNIX系統使用共享庫. 共享庫用于相同函數的重用而減少代碼長度. 一些 入侵者在象crypt.c和_crypt.c這些函數裡作了后門. 象login.c這樣的程式調用了 crypt(),當使用后門口令時產生一個shell. 因此, 即使管理員用MD5檢查login程式, 仍然能產生一個后門函數.而且許多管理員並不會檢查庫是否被做了后門.對于許多入 侵者來說有一個問題: 一些管理員對所有東西多作了MD5校驗. 有一種 辦法是入侵者對open()和文件訪問函數做后門. 后門函數讀原文件但執行trojan后門 程式. 所以 當MD5讀這些文件時,校驗和一切正常. 但當系統營運時將執行trojan版本 的. 即使trojan庫本身也可躲過 MD5校驗. 對于管理員來說有一種方法可以找到后門, 就是靜態編連MD5校驗程式然后 營運. 靜態連接程式不會使用trojan共享庫.
<9>內核后門
內核是Unix工作的核心. 用于庫躲過MD5校驗的方法同樣適用于內核級別,甚至連靜態 連接多不能識別. 一個后門作的很好的內核是最難被管理員查找的, 所幸的是內核的 后門程式還不是隨手可得, 每人知道它事實上傳播有多廣.
<10>文件系統后門
入侵者需要在伺服器上存儲他們的掠奪品或數據,並不能被管理員發現. 入侵者的文章 常是包括exploit腳本工具,后門集,sniffer日志,email的備分,原代碼,等等. 有時為 了防止管理員發現這么大的文件, 入侵者需要修補"ls","du","fsck"以隱匿特定的目 錄和文件.在很低的級別, 入侵者做這樣的漏洞: 以專有的格式在硬碟上割出一部分, 且表示為壞的扇區. 因此入侵者只能用特別的工具訪問這些隱藏的文件. 對于普通的 管理員來說, 很難發現這些"壞扇區"裡的文件系統, 而它又確實存在.
<11>Boot塊后門
在PC世界裡,許多病毒藏匿與根區, 而殺病毒軟體就是檢查根區是否被改變. Unix下, 多數管理員沒有檢查根區的軟體, 所以一些入侵者將一些后門留在根區.
<12>隱匿進程后門
入侵者通常想隱匿他們營運的程式. 這樣的程式一般是口令破解程式和監聽程式 (sniffer).有許多辦法可以實現,這裡是較通用的: 編寫程式時修改自己的argv[] 使它看起來象其他進程名. 可以將sniffer程式改名類似in.syslog再執行. 因此 當管理員用"ps"檢查營運進程時, 出現 的是標準服務名. 可以修改庫函數致使 "ps"不能顯示所有進程. 可以將一個后門或程式嵌入中斷驅動程式使它不會在進程表 顯現. 使用這個技術的一個后門 例子是amod.tar.gz :
http://star.niimm.spb.su/~mai....1/0777.html 也可以修改內核隱匿進程.
<13>網路通行后門
入侵者不僅想隱匿在系統裡的痕跡, 而且也要隱匿他們的網路通行. 這些網路通行后 門有時允許入侵者透過防火牆進行訪問. 有許多網路后門程式允許入侵者建立某個端 口號並不用透過普通服務就能實現訪問. 因為這是透過非標準網路端口的通行, 管理 員可能忽視入侵者的足跡. 這種后門通常使用TCP,UDP和ICMP, 但也可能是其他類型報 文.
<14>TCP Shell 后門
入侵者可能在防火牆沒有阻塞的高位TCP端口建立這些TCP Shell后門. 許多情況下,他 們用口令進行保護以免管理員連接上后立即看到是shell訪問. 管理員可以用netstat 命令查看當前的連接狀態, 那些端口在偵聽, 目前連接的來龍去脈. 通常這些后門可 以讓入侵者躲過TCP Wrapper技術. 這些后門可以放在SMTP端口, 許多防火牆允許 e-mail通行的.
<15>UDP Shell 后門
管理員經常注意TCP連接並觀察其怪異情況, 而UDP Shell后門沒有這樣的連接, 所以 netstat不能顯示入侵者的訪問痕跡. 許多防火牆設置成允許類似DNS的UDP報文的通 行. 通常入侵者將UDP Shell放置在這個端口, 允許穿越防火牆.
<16>ICMP Shell 后門
Ping是透過發送和接受ICMP包檢測機器活動狀態的通用辦法之一. 許多防火牆允許外 界ping它內部的機器. 入侵者可以放數據入Ping的ICMP包, 在ping的機器間形成一個 shell通道. 管理員也許會注意到Ping包暴風, 但除了他查看包內數據, 否者入侵者不 會暴露.
<17>加密連接
管理員可能建立一個sniffer試圖某個訪問的數據, 但當入侵者給網路通行后門加密 后,就不可能被判定兩台機器間的傳輸內容了.
心得:??
