身份證貸款靠譜嗎?網絡安全本質上是網絡上的信息安全。從廣義上講,所有與網絡上信息的機密性、完整性、可用性、真實性和可控性相關的技術和理論都是網絡安全的研究領域。確保網絡系統的信息安全是網絡安全的目標。信息安全包括兩個方面:信息存儲安全和信息傳輸安全。信息的存儲安全性是指信息在靜態存儲狀態下的安全性,比如是否會被非授權用戶調用。信息傳輸的安全性是指信息在動態傳輸過程中的安全性。為了保證網絡信息傳輸的安全,存在以下問題:
(1)網絡上的監控信息;
(二)假冒用戶身份的;
(三)篡改網絡信息的;
(4)否認發送的信息;
(5)重新發送信息。
壹般常見的入侵方法主要是1折疊。密碼入侵。
所謂密碼入侵,是指利用壹些軟件對加密的密碼文件進行解鎖,但很多黑客采用了大量可以繞過或屏蔽密碼保護的程序來完成這項工作。能夠解鎖或屏蔽密碼保護的程序通常被稱為“破解”。由於這些軟件的廣泛傳播,入侵計算機網絡系統有時相當簡單。壹般不需要深入了解系統內部結構,對於初學者來說是個不錯的方法。
2.特洛伊木馬
說起木馬,知道這個故事的人都不難理解。其最典型的做法可能是在合法用戶的正常程序中附加壹個可以幫助黑客完成特定動作的程序,然後合法用戶的程序代碼被更改了。壹旦用戶觸發程序,附帶的黑客指令代碼同時被激活,這些代碼往往可以完成黑客指定的任務。這種入侵方式很難掌握,因為它要求黑客有很好的編程經驗,要修改代碼,還要有壹定的權限。但由於其復雜性,普通系統管理員很難找到。
3.預察法
這是壹種非常實用但是有風險的黑客手段,但是仍然有很多黑客利用這種手段入侵系統。都說藝術家膽大。
網絡節點或工作站之間的通信是通過信息流的傳遞來實現的,在沒有集線器的網絡中,當數據傳輸不指明特定方向時,每個網絡節點或工作站就是壹個接口。就像壹個節點說:“嗨!妳們誰是我要發消息的工作站。”
此時,所有的系統接口都收到了這條消息,壹旦有工作站說:“嗨!就是我,請發數據。”連接將立即完成。
目前,網絡上流傳著大量的嗅探軟件。有了這些軟件,數據可以很容易地被監控,甚至包括密碼文件。有些服務直接在傳輸文件中使用明文傳輸,這也是非常危險的。
4.電子郵件技術
使用電子郵件和特洛伊木馬程序是黑客常用的方法,而且非常有效。普通用戶,甚至網絡管理員,網絡安全意識太少,這給了很多黑客可乘之機。
5.病毒技術
作為壹個黑客,這樣用應該是壹件很丟人的事情,但是大家可以借鑒壹下。畢竟也是壹種攻擊方式,可以在特殊的時間和地點使用。
6.隱藏技術
在折疊攻擊的準備階段,要說明入侵者有兩個來源。壹種是內部人利用自己的工作機會和權限獲取不該獲取的權限的攻擊。另壹種是外部入侵,包括遠程入侵和網絡節點訪問入侵。本節主要討論遠程攻擊。
實施網絡攻擊是壹項非常系統的工作,其主要工作流程是:收集情報、遠程攻擊、遠程登錄、獲取普通用戶權限、獲取超級用戶權限、留後門、清除日誌。主要內容包括目標分析、文檔獲取、密碼破解、日誌清除等技術,下面分別介紹。
1.確定攻擊的目的
攻擊者在實施完整的攻擊之前,首先要確定攻擊要達到什麽目的,也就是會給對方造成什麽後果。常見的攻擊目的是破壞性的和侵入性的。破壞性攻擊是指只破壞目標,使其無法正常工作,無法隨意控制目標系統的運行。要達到破壞性攻擊的目的,主要手段是拒絕服務攻擊。另壹種常見的攻擊目的是入侵目標,也就是獲得壹定的權限來控制目標。應該說,這種攻擊比破壞性攻擊更普遍,威脅更大。因為黑客壹旦獲得目標的管理員權限,就可以在這臺服務器上做任意的動作,包括破壞性攻擊。這種攻擊通常是利用服務器操作系統、應用軟件或網絡協議中的漏洞進行的。當然,這種攻擊還有壹個原因,就是密碼泄露。攻擊者可以通過猜測或者窮舉的方法獲得服務器用戶的密碼,然後就可以像真正的管理員壹樣訪問服務器。
2.信息采集
除了確定攻擊目的,攻擊前最重要的任務就是盡可能多地收集目標的信息。這些信息主要包括目標的操作系統類型和版本,目標提供什麽服務,每個服務器程序的類型和版本以及相關的社會信息。
要攻擊壹臺機器,首先要確定它上面運行的是什麽操作系統,因為對於不同類型的操作系統,它上面的系統漏洞是很不壹樣的,所以攻擊方式也是完全不同的,甚至同壹操作系統不同版本的系統漏洞也是不壹樣的。壹般都是憑經驗來確定壹個服務器的操作系統,有些服務器的某些服務會暴露其操作系統。例如,當我們通過TELNET連接到壹臺機器時,如果顯示,
Unix系統V版本4.0
登錄:
然後根據經驗可以確定這臺機器上運行的操作系統是SUN OS 5.5或者5.5.l,但是這樣確定操作系統的類型並不準確,因為有些站長會故意改變顯示信息來迷惑攻擊者,造成錯覺。
還有壹種不是很有效的方法,比如查詢DNS的主機信息(不是很靠譜)看註冊域名時的應用機類型和操作系統類型,或者用社會工程學的方法獲取,用壹些主機開放的SNMP的public組來查詢。
另壹種相對準確的方法是利用網絡操作系統中的TCP/IP協議棧作為特殊的“指紋”來確定系統的真實身份。因為不同的操作系統在底層網絡協議的各種實現細節上略有不同。可以遠程發送壹個特殊的包給目標,然後通過返回的包確定操作系統類型。例如,通過向目標主機的開放端口發送FIN數據包(或任何沒有ACK或SYN標簽的數據包)並等待響應。許多系統,如windows,BSDI,思科,惠普/UX和IRIX將返回壹個重置。通過發送SYN數據包,它包含壹個沒有定義TCP標記的TCP報頭。那麽Linux系統中的響應包就會包含這個未定義的標簽,而在其他壹些系統中,接收到SYN+博古包後就會關閉連接。或者找到與特定操作系統匹配的初始化序列長度的模板的方法。它可以用來對許多系統進行分類。比如早期的Unix系統的長度是64K,而壹些新的Unix系統的長度是隨機增加的。還有就是檢查返回包中包含的窗口長度。這種技術根據每個操作系統的不同初始化窗口大小來唯壹地確定它們。使用這項技術的工具有很多,其中比較著名的有NMAP、CHECKOS、QUESO等。
了解目標提供什麽服務,以及每個服務的daemon的類型和版本也非常重要,因為已知的漏洞壹般都是針對某個服務的。這裏提供服務指的是我們通常所說的,比如TELNET在23端口,FTP在21端口,WWW在80或8080端口。這只是壹般情況,網站管理完全可以根據自己的意願修改服務監聽的端口號。在不同服務器上提供相同服務的軟件也可能不同。我們把這種軟件叫做daemon,比如它也提供FTP服務,可以使用很多不同種類的daemon,比如wuftp,proftp,ncftp等等。確定daemon的類型和版本也有助於黑客利用系統漏洞攻破網站。
另外,需要獲取的關於系統的信息是壹些與電腦本身無關的社會信息,比如網站所屬公司的名稱、規模、網絡管理員的生活習慣、電話號碼等。這些信息似乎與攻擊壹個網站無關。事實上,許多黑客利用這些信息來破壞網站。比如有些站長用自己的電話號碼作為系統密碼。如果他們掌握了電話號碼,就說明他們掌握了管理員收集信息的權限,可以手動完成,也可以通過工具完成。收集信息的工具叫做掃描儀。用掃描儀收集信息的好處是速度快,可以壹次掃描多個目標。
折疊攻擊實施階段1。獲得許可。
當收集到足夠的信息時,攻擊者將開始實施攻擊。作為破壞性攻擊,只要用工具發動攻擊就可以了。作為壹種入侵式攻擊,往往需要利用收集到的信息來發現其系統漏洞,然後利用這個漏洞獲取壹定的權限。有時候獲得壹般用戶修改主頁的權限就足夠了,但是作為壹次完整的攻擊,需要獲得系統的最高權限,這不僅是為了達到某種目的,更重要的是證明攻擊者的能力,這也符合黑客的追求。
可被攻擊者利用的漏洞不僅包括系統軟件設計中的安全漏洞,還包括管理配置不當導致的漏洞。不久前,互聯網上最受歡迎的www服務器提供商Apache的主頁被黑,主頁上Powered by Apache(羽化圖片)的圖案被改成了Powered by Microsoft Backoffice的圖案。攻擊者利用管理員對Webserver使用的數據庫的壹些不正確配置,成功獲得了最高權限。
當然,大多數成功的攻擊例子還是利用了系統軟件本身的漏洞。軟件漏洞的主要原因是編譯該軟件的程序員缺乏安全意識。當攻擊者向軟件發出異常調用請求時,會造成緩沖區溢出或非法訪問文件。其中,利用緩沖區溢出的攻擊最為常見。據統計,80%以上的成功攻擊都是利用緩沖區溢出漏洞獲取非法權限。緩沖區溢出將在後面的專門章節中詳細解釋。
無論是作為黑客還是網絡管理員,都需要掌握盡可能多的系統漏洞。黑客需要用它來完成攻擊,而管理員需要根據不同的漏洞采取不同的防禦措施。要了解最新、最多的漏洞信息,可以去Rootshell、Packetstorm、Securityfocus等網站。
2.權力的擴大
系統漏洞可以分為兩種:遠程漏洞和本地漏洞。遠程漏洞是指黑客可以在其他機器上直接利用這個漏洞進行攻擊,獲得壹定的權限。這種漏洞威脅性相當大,黑客的攻擊壹般都是從遠程漏洞開始的。但是利用遠程漏洞獲得的不壹定是最高權限,往往只是壹個普通用戶的權限,所以黑客想做的事情往往是沒辦法做到的。這時候就需要配合本地漏洞來擴大獲得的權限,往往是對系統的管理員權限。
只有獲得最高管理員權限,才能做網絡監控、清理痕跡等事情。要完成權限的擴展,不僅可以使用獲得的權限執行利用系統本地漏洞的程序,還可以放壹些木馬之類的欺騙性程序來獲取管理員密碼。這種特洛伊是在本地使用,以獲得最高權力,不能遠程控制。比如黑客在壹臺機器上獲得了普通用戶的賬號和登錄權限,就可以在這臺機器上放壹個假的su程序。壹旦黑客放置了假的su程序,當真正的合法用戶登錄時,運行su並輸入密碼。此時root密碼會被記錄下來,黑客可以在下次登錄時使用su成為root。
攻擊的後果1。日誌系統簡介
如果攻擊者在完成攻擊後,沒有做任何清理工作就立即離開系統,他的行蹤很快就會被系統管理員發現,因為所有的網絡操作系統壹般都提供日誌記錄功能,會記錄系統上發生的動作。所以黑客為了自己的隱蔽性,壹般會把日誌裏留下的痕跡抹掉。想要了解黑客是如何擦除痕跡的,首先要了解常見操作系統的日誌結構和工作模式。Unix日誌文件通常放在以下位置,這些位置根據不同的操作系統略有不同。
/usr/ADM-Unix的早期版本。
較新版本的/Var/adm使用此位置。
/Varflort某些版本的Solaris、Linux BSD和免費BSD使用此位置。
/etc,大部分Unix版本把Utmp放在這裏,也有部分Unix版本把Wtmp放在這裏,這裏也是Syslog.conf的位置
根據您所在的目錄,以下文件可能會有所不同:
Acct或pacct-每個用戶使用的命令的記錄。
accesslog主要用於運行NCSA HTTP服務器的服務器。該日誌文件將記錄哪些站點連接到了您的服務器。
Aculo保存撥號調制解調器的記錄。
Lastlog記錄了每個用戶的最新登錄記錄和初始目的地,有時還會記錄最後壹次不成功的登錄記錄。
Loginlog記錄了壹些異常的登錄記錄。
messages-記錄輸出到系統控制臺的記錄,其他信息由Syslog生成。
安全部門記錄了壹些利用UUCP系統試圖進入限制範圍的案例。
Ulog使用su命令記錄記錄。
Utmp記錄當前登錄到系統的所有用戶,並且該文件隨著用戶進入和離開系統而不斷變化。
Utmpx,utmp的擴展。
Wtmp記錄用戶登錄和註銷事件。
Syslog最重要的日誌文件,通過使用syslogd守護進程獲得。
隱藏蹤跡
攻擊者在獲得系統的最高管理員權限後,可以任意修改系統上的文件(僅針對常規Unix系統),包括日誌文件。因此,如果黑客想隱藏他們的蹤跡,他們會修改日誌。當然,最簡單的方法是刪除日誌文件,但這雖然阻止了系統管理員根據IP追蹤自己,但也明確告訴了管理員系統被入侵了。因此,最常見的方法是只修改日誌文件中關於自己的部分。修改方法的具體細節根據操作系統的不同而不同。網絡上有很多有這種功能的程序,比如zap,wipe。主要方法是清除壹個用戶在utmp、wtmp、Lastlog、Pacct等日誌文件中的信息,讓這個用戶的信息在用W、who、last等命令查看日誌文件時隱藏起來。
管理員想要防止日誌系統被黑客修改,應該采取壹定的措施,比如用打印機實時記錄網絡日誌信息。但是它也有缺點。壹旦黑客知道妳在做什麽,他就會不停地把無用的信息寫入日誌,讓打印機不停地打印日誌,直到所有的紙都用完。因此,防止日誌被修改的較好方法是將所有日誌文件發送到更安全的主機,即使用loghost。即使這樣也不能完全避免修改日誌的可能,因為既然黑客可以闖入這個主機,那麽他們很有可能會闖入loghost。
僅僅修改日誌是不夠的,因為每個秘密都有漏洞。即使妳認為妳修改了所有的日誌,妳仍然會留下壹些線索。比如壹些後門程序運行後可能會被管理員發現。因此,黑客可以通過替換壹些系統程序來進壹步隱藏自己的蹤跡。這個用來替代正常系統程序的黑客程序叫做rootkit。這種程序可以在壹些黑客網站上找到。常見的是LinuxRootKit,現在已經發展到5.0版本。可以替代ls、ps、netstat、inetd等壹系列重要的系統程序。當ls被替換後,可以隱藏指定的文件,這樣管理員在使用ls命令時就看不到這些文件,從而達到隱藏自己的目的。
第三步:後門
壹般黑客闖入系統後會不止壹次進入系統。為了下次更容易進入系統,黑客會留下後門,特洛伊馬就是後門的最好例子。在Unix中有很多方法可以留下後門。下面是壹些常見的後門,供網絡管理員參考。
折疊密碼破解後門是入侵者使用的最早也是最古老的方法。它不僅可以訪問Unix機器,還可以通過破解密碼創建後門。這是使用弱密碼的帳戶。在未來,即使管理員屏蔽了入侵者的當前帳戶,這些新帳戶仍可能是再次入侵的後門。在大多數情況下,入侵者尋找未使用的弱密碼帳戶,然後更難更改密碼。當管理員查找密碼較弱的帳戶時,他們將找不到密碼被修改過的帳戶。因此,管理員很難確定要查封哪個帳戶。
rhosts ++後門
在聯網的Unix機器中,Rsh和Rlogin等服務使用基於rhosts文件中主機名的簡單身份驗證方法。用戶可以輕松更改設置,無需密碼即可進入。只要入侵者將“++”輸入到可以訪問它的用戶的rhosts文件中,他就可以允許任何人從任何地方進入這個帳戶,而不需要密碼。尤其是當主目錄通過NFS共享時,入侵者對此更感興趣。這些賬號也成為了入侵者再次入侵的後門。許多人更喜歡使用Rsh,因為它通常缺乏日誌記錄能力。很多管理員經常檢查“++”,所以入侵者其實是從網上設置了另壹個賬號的主機名和用戶名,不容易被發現。
折疊校驗和與時間戳後門
在早期,許多入侵者用自己的木馬程序替換二進制文件。系統管理員依靠時間戳和系統校驗和程序來識別二進制文件是否已被更改,例如Unix中的sum程序。入侵者開發了壹種新技術,可以將特洛伊木馬文件的時間戳與原始文件同步。它是通過將系統時鐘設置回原來的文件時間,然後將木馬文件的時間調整到系統時間來實現的。壹旦二進制特洛伊木馬文件與原始文件精確同步,系統時間就可以設置回當前時間。Sum程序是基於CRC校驗的,很容易糊弄。入侵者設計了壹個程序,可以將特洛伊木馬的校驗和調整為原始文件的校驗和。MD5是大多數人推薦的,目前沒有人能騙過MD5使用的算法。
折疊式登錄後門
在Unix中,登錄程序通常用於從telnet驗證用戶的密碼。入侵者獲取login.c的原始代碼,並對其進行修改,使其在比較輸入密碼和存儲密碼之前檢查後門密碼。如果用戶輸入後門密碼,它會忽略管理員設置的密碼,讓妳直接開進去。這將允許入侵者訪問任何帳戶,甚至是根帳戶。因為後門密碼在用戶實際登錄並登錄到utmp和wtmp之前創建了壹個訪問,所以入侵者可以在不暴露帳戶的情況下登錄並獲得外殼。管理員註意到這個後門後,使用“strings”命令在登錄程序中搜索文本信息。很多情況下會泄露後門密碼。入侵者開始加密或更好地隱藏密碼,這使得字符串命令無效。所以更多的管理員使用MD5校驗和來檢測這個後門。
折疊式遠程登錄後門
當用戶telnet到系統時,偵聽端口的inetd服務接受連接,然後將其交給in.telnetd,後者運行登錄。有些入侵者知道管理員會檢查登錄是否被修改過,於是開始修改in.telnetd,對用戶信息有壹些測試,比如用戶使用過什麽樣的終端。典型的終端設置是Xterm或VT100。入侵者可以做這樣的後門,當終端設置為“letmein”時,會生成壹個沒有任何驗證的外殼。入侵者為某些服務制造了後門,並為來自特定源端口的連接生成了外殼。
折疊式服務後門
幾乎所有的網絡服務都被入侵者利用了後門。Finger,rsh,rexec,rlogin,ftp,甚至inetd到處都做了很多版本。只有壹個外殼連接到壹個TCP端口,通過後門密碼可以獲得訪問。這些程序有時會用到荊棘?對於Ucp等未使用的服務,或者作為新服務添加到inetd.conf中的服務,管理員應該非常註意那些正在運行的服務,並使用MD5檢查原始服務程序。
克朗喬布後門
Unix上的Cronjob可以調度特定的程序根據時間表運行。入侵者可以加入後門外殼程序,使其在1AM和2AM之間運行,因此他們可以每晚訪問壹個小時。也可以查查cronjob裏經常運行的,放後門的合法程序。
庫後門
幾乎所有的UNIX系統都使用* * *共享庫,用來重用相同的函數,減少代碼長度。有些入侵者在crypt.c和_crypt.c這樣的函數中做了後門;壹個類似login.c的程序叫做crypt()。使用後門密碼時生成外殼。所以即使管理員使用MD5檢查登錄程序,仍然可以生成後門函數,很多管理員不會檢查庫是否被後門。對於許多入侵者來說,有壹個問題:壹些管理員對所有東西都做了MD5檢查,壹種方法是入侵者為open()和文件訪問函數制造壹個後門。後門功能讀取原始文件,但執行木馬後門程序。所以MD5讀取這些文件的時候,校驗和是正常的,但是系統運行的時候,就會執行木馬版本,甚至木馬庫本身就可以規避MD5驗證。對於管理員來說,有壹種方法可以找到後門,就是靜態編譯MD5驗證程序然後運行,靜態連接程序就不會使用木馬***享庫了。
內核後門
內核是Unix工作的核心,庫用來躲避MD5檢查的方法也適用於內核級,連靜態連接都無法識別。有好後門的內核是管理員最難找到的。好在內核的後門程序並不是唾手可得,大家都知道它實際傳播的範圍有多廣。
文件系統後門
入侵者需要將他們的掠奪物或數據存儲在服務器上,管理員無法找到。入侵者的文章通常包括漏洞腳本工具、後門集、嗅探器日誌、電子郵件的備份副本、原始代碼等等!有時候,為了防止管理員發現這麽大的文件,入侵者需要打“ls”、“du”、“fsck”的補丁,隱藏特定的目錄和文件。在非常低的水平上,入侵者制造了這樣壹個漏洞:以專有格式切下硬盤的壹部分,並將其表示為壞扇區。因此,入侵者只能使用特殊工具來訪問這些隱藏文件。對於普通管理員來說,很難找到這些“壞扇區”中的文件系統,而且確實存在。
行李箱後門
在PC世界,很多病毒都藏在根區,殺毒軟件就是檢查根區有沒有被改。在Unix下,大多數管理員不檢查根區域中的軟件,所以壹些入侵者在根區域中留下了壹些後門。
隱藏進程後門
入侵者通常想隱藏他們運行的程序,這類程序通常是密碼破解程序和嗅探器。有很多方法可以實現這壹點,這個比較通用:寫程序的時候,修改自己的argv[]讓它看起來像其他進程名。Sniffer程序在執行前可以進行類似於in.syslog的重命名,所以當管理員用“ps”檢查正在運行的進程時,就出現了標準的服務名。可以修改庫函數,讓“ps”無法顯示所有進程,可以在中斷驅動中嵌入後門或程序,使其不會出現在進程表中。使用這種技術的後門的壹個例子是
amod.tar.gz:
網絡流量。這些網絡的後門有時允許入侵者通過防火墻進入。有許多網絡後門程序允許入侵者建立壹個端口號,並在沒有普通服務的情況下訪問它。由於這是通過非標準網絡端口的流量,管理員可能會忽略入侵者的足跡。這種後門通常使用TCP、UDP和ICMP,但也可能是其他類型的消息。
TCP Shell後門
入侵者可能在不受防火墻阻擋的高TCP端口設置這些TCP外殼後門。在許多情況下,他們用密碼保護它們,以防止管理員在連接後立即看到shell訪問。管理員可以使用netstat命令來檢查當前的連接狀態、正在監聽的端口以及當前連接的上下文。通常這些後門允許入侵者避開TCP包裝技術。這些後門可以放在SMTP端口上,許多防火墻允許電子郵件。
UDP Shell後門
管理員經常關註TCP連接,觀察其奇怪的情況,但是UDP Shell的後門並沒有這樣的連接,所以netstat無法顯示入侵者的訪問痕跡。許多防火墻設置為允許類似於DNS的UDP消息通過。通常,入侵者將UDP Shell放在該端口,並被允許穿越防火墻。
ICMP外殼後門
Ping是通過發送和接收ICMP數據包來檢測機器活動的常用方法之壹。許多防火墻允許外部世界ping其內部機器,入侵者可以將數據放入ping ICMP數據包,在被Ping的機器之間形成壹個外殼通道。管理員可能會註意到ping數據包風暴,但除非查看數據包中的數據,否則入侵者不會暴露。
加密連接
管理員可能設置了嗅探器試圖訪問壹些數據,但是當入侵者加密網絡後門時,無法判斷兩臺機器之間的傳輸內容。