“趁火打劫”——系統(tǒng)文件非法利用
減小字體
增大字體2009年04月20日 星期一 中午 12:19 UNIX系統(tǒng)可執(zhí)行文件之目錄,如/bin/who可由所有之用戶進(jìn)行讀訪問。有些用戶可以從可執(zhí)行文件中得到其版本號,從而結(jié)合已公布之資料知道系統(tǒng)會具有什么樣之漏洞,如通過Telnet指令操作就可以知道Sendmail之版本號。
出名之一個例子是:用來安裝SunOS Version 4之軟件,它創(chuàng)建了一個/rhosts文件,這個文件允許局域網(wǎng)(因特網(wǎng))上之任何人,從任何地方取得對該主機(jī)之超級用戶特權(quán)。當(dāng)然, 初這個文件之設(shè)置是為了“從網(wǎng)上方便地進(jìn)行安裝,而不需超級用戶之允許和檢查”。
“智者千慮,必有一失”,操作系統(tǒng)設(shè)計之漏洞為黑客開啟了后門, 近之針對WIN95/WIN NT之一系列具體攻擊就是很好之實(shí)例。
拋磚引玉——利用源路徑選項(xiàng)弱點(diǎn)
強(qiáng)制報文通過一個特定之路徑到達(dá)目之主機(jī)。這樣之報文可以用來攻陷防火墻和欺騙主機(jī)。一個外部攻擊者可以傳送一個具有內(nèi)部主機(jī)地址之源路徑報文。服務(wù)器會相信這個報文并對攻擊者發(fā)回答報文,因?yàn)檫@是IP之源路徑選項(xiàng)要求之。對付這種攻擊 好之辦法是配置好路由器,使它拋棄那些由外部網(wǎng)進(jìn)來之卻聲稱是內(nèi)部主機(jī)之報文。
混水摸魚—— 以太網(wǎng)廣播攻擊
將以太網(wǎng)接口置為亂模式(promiscuous),截獲局部范圍之所有數(shù)據(jù),為我所用。
金蟬脫殼——刪除系統(tǒng)運(yùn)行日志
攻擊者攻破系統(tǒng)后,常刪除系統(tǒng)運(yùn)行日志,隱藏自己之痕跡,以便日后再次入侵。
借尸還魂——重新發(fā)送(Replay)攻擊
收集特定之IP數(shù)據(jù),篡改其數(shù)據(jù),然后再一一重新發(fā)送,欺騙接收之主機(jī)。
笑里藏刀——遠(yuǎn)端操縱
缺省之登錄界面(shell scripts)、配置和客戶文件是另一個問題區(qū)域,它們提供了一個簡單之方法來配置一個程序之執(zhí)行環(huán)境。這有時會引起遠(yuǎn)端操縱之攻擊:在被攻擊主機(jī)上啟動一個可執(zhí)行程序,該程序顯示一個偽造之登錄界面。當(dāng)用戶在這個偽裝之界面上輸入登錄信息(用戶名、密碼等)后,該程序?qū)⒂脩糨斎胫畔魉偷焦粽咧鳈C(jī),然后關(guān)閉界面給出提示信息說“系統(tǒng)故障”,要求用戶重新登錄。此后,才會出現(xiàn)真正之登錄界面。在我們能夠得到新一代更加完善之操作系統(tǒng)版本之前,類似之攻擊仍會發(fā)生。防火墻之一個重要作用就是防止非法用戶登錄到受保護(hù)網(wǎng)之主機(jī)上。例如可以在進(jìn)行報文過濾時,禁止外部主機(jī)Telnet登錄到內(nèi)部主機(jī)上。
沒有中生有——偽造信息攻擊
通過發(fā)送偽造之路由信息,構(gòu)造系統(tǒng)源主機(jī)和目標(biāo)主機(jī)之虛假路徑,從而使流向目標(biāo)主機(jī)之?dāng)?shù)據(jù)均經(jīng)過攻擊者之系統(tǒng)主機(jī)。這樣就給人提供敏感之信息和有用之密碼。
得隴望蜀——"跳躍式"攻擊
現(xiàn)在許多站點(diǎn)使用UNIX操作系統(tǒng)。黑客們會設(shè)法先登錄到一臺UNIX之主機(jī)上,通過該操作系統(tǒng)之漏洞來取得系統(tǒng)特權(quán),然后再以此為據(jù)點(diǎn)訪問其余主機(jī),這被稱為“跳躍”(Island—hopping)。黑客們在達(dá)到目標(biāo)主機(jī)之前往往會這樣跳幾次。
例如一個在美國之黑客在進(jìn)入美聯(lián)邦調(diào)查局之網(wǎng)絡(luò)之前,可能會先登錄到亞洲之一臺主機(jī)上,再從那里登錄到加拿大之一臺主機(jī),然后再跳到歐洲, 后從法國之一臺主機(jī)向聯(lián)邦調(diào)查局發(fā)起攻擊。這樣被攻擊網(wǎng)絡(luò)即使發(fā)現(xiàn)了黑客是從何處向自己發(fā)起攻擊,管理人員也很難順藤摸瓜找回去,更何況黑客在取得某臺主機(jī)之系統(tǒng)特權(quán)后,可以在退出時刪掉系統(tǒng)日志,把“藤”割斷。你只要能夠登錄到UNIX系統(tǒng)上,就能相對容易成為超級用戶,這使得它同時成為黑客和安全專家們之關(guān)注點(diǎn)。
偷梁換柱——竊取TCP協(xié)議連接
網(wǎng)絡(luò)互連協(xié)議也存在許多易受攻擊之地方。而且互連協(xié)議之 初產(chǎn)生本來就是為了更方便信息之交流,因此設(shè)計者對安全方面很少甚至不去考慮。針對安全協(xié)議之分析成為攻擊之 歷害一招。
在幾乎所有由UNIX實(shí)現(xiàn)之協(xié)議族中,存在著一個久為人知之漏洞,這個漏沿使得竊取TCP連接成為可能。當(dāng)TCP連接正在建立時,服務(wù)器用一個含有初始序列號之答報文來確認(rèn)用戶請求。這個序列號沒有特殊要求,只要是唯一之就可以了。客戶端收到回答后,再對其確認(rèn)一次,連接便建立了。
TCP協(xié)議規(guī)范要求每秒更換序列號25萬次。但大多數(shù)之UNIX系統(tǒng)實(shí)際更換頻率遠(yuǎn)小于此數(shù)量,而且下一個更換之?dāng)?shù)字往往是可以預(yù)知之。而黑客正是有這種可預(yù)知服務(wù)器初始序列號之能力使得攻擊可以完成。
惟一可以防治這種攻擊之方法是使初始序列號之產(chǎn)生更具有隨機(jī)性。 安全之解決方法是用加密算法產(chǎn)生初始序列號。額外之CPU運(yùn)算負(fù)載對現(xiàn)在之硬件速度來說是可以忽略之。
暗渡陳倉——針對信息協(xié)議弱點(diǎn)攻擊
IP地址之源路徑選項(xiàng)允許IP數(shù)據(jù)自己選擇一條通往系統(tǒng)目之主機(jī)之路徑。設(shè)想攻擊者試圖與防火墻后面之一個不可到達(dá)主機(jī)A連接。他只需要在送出之請求報文中設(shè)置IP源路徑選項(xiàng),使報文有一個目之地址指向防火墻,而 終地址是主機(jī)A。當(dāng)報文到達(dá)防火墻時被允許通過,因?yàn)樗赶蚍阑饓Χ皇侵鳈C(jī)A。防火墻之IP層處理該報文之源路徑被改變,并發(fā)送到內(nèi)部網(wǎng)上,報文就這樣到達(dá)了不可到達(dá)之主機(jī)A。
調(diào)虎離山——對ICMP報文之攻擊
盡管比較困難,黑客們有時也使用ICMP報文進(jìn)行攻擊。重定向消息可以改變路由列表,路由器可以根據(jù)這些消息建議主機(jī)走另一條更好之路徑。攻擊者可以有效地利用重定向消息把連接轉(zhuǎn)向一個不可靠之主機(jī)或路徑,或使所有報文通過一個不可靠主機(jī)來轉(zhuǎn)發(fā)。
對付這種威脅之方法是對所有ICMP重定向報文進(jìn)行過濾,有之路由軟件可對此進(jìn)行配置。單純地拋棄所有重定向報文是不可取之:主機(jī)和路由器常常會用到它們,如一個路由器發(fā)生故障時。
黑客常用入侵方法
口令入侵
所謂口令入侵,就是指用一些軟件解開已經(jīng)得到但被人加密之口令文檔。不過現(xiàn)在很多黑客已經(jīng)大量采用一種可以繞開或屏蔽口令保護(hù)之程序來完成這項(xiàng)工作。對于那些可以解開或屏蔽口令保護(hù)之程序通常被稱為“Crack”。由于這些軟件之廣為流傳,使得入侵電腦網(wǎng)絡(luò)系統(tǒng)有時變得相當(dāng)簡單,一般不需要很深入了解系統(tǒng)之內(nèi)部結(jié)構(gòu),是初學(xué)者之好方法。
特洛伊木馬
說到特洛伊木馬,只要知道這個故事之人就不難理解,它 典型之做法可能就是把一個能幫助黑客完成某一特定動作之程序依附在某一合法用戶之也很程序中,這時合法用戶之程序代碼已被該變。一旦用戶觸發(fā)該程序,那么依附在內(nèi)之黑客指令代碼同時被激活,這些代碼往往能完成黑客指定之任務(wù)。由于這種入侵法需要黑客有很好之編程經(jīng)驗(yàn),且要更改代碼、要一定之權(quán)限,所以較難掌握。但正因?yàn)樗畯?fù)雜性,一般之系統(tǒng)管理員很難發(fā)現(xiàn)。
監(jiān)聽法
這是一個很實(shí)用但風(fēng)險也很大之黑客入侵方法,但還是有很多入侵系統(tǒng)之黑客采用此類方法,正所謂藝高人膽大。
網(wǎng)絡(luò)節(jié)點(diǎn)或工作站之間之交流是通過信息流之傳送得以實(shí)現(xiàn),而當(dāng)在一個沒有集線器之網(wǎng)絡(luò)中,數(shù)據(jù)之傳輸并沒有指明特定之方向,這時每一個網(wǎng)絡(luò)節(jié)點(diǎn)或工作站都是一個接口。這就好比某一節(jié)點(diǎn)說:“嗨!你們中有誰是我要發(fā)信息之工作站?”此時,所有之系統(tǒng)接口都收到了這個信息,一旦某個工作站說:“嗨!那是我,請把數(shù)據(jù)傳過來。”連接就馬上完成。
此外常用之入侵方法還有E—mail技術(shù)、病毒技術(shù)和隱藏技術(shù)等。世界各地之黑客們正以飛快之速度創(chuàng)造出各種 新之入侵技術(shù),真可謂“道高一尺,魔高一丈”,令人防不勝防。
黑客入侵常見方法
對于“黑客入侵”,其實(shí)很難下個確切之定義,我們通常認(rèn)為黑客是“非法入侵計算機(jī)系統(tǒng)之人”,其實(shí)不全是這樣,那些對他人計算機(jī)惡意進(jìn)行非法掃描和發(fā)送大量數(shù)據(jù)阻塞之網(wǎng)絡(luò)行為,也是一種黑客入侵行為。
總體來說,黑客之攻擊方法大致可以分為九類,它們分別是:
1、口令入侵
所謂口令入侵是指使用某些合法用戶之口賬戶和口令登錄到目之主機(jī),然后再實(shí)施攻擊活動。這種方法之前提是必須先得到該主機(jī)上之某個合法用戶之賬號,然后再進(jìn)行對合法用戶口令之破譯。
2、放置特洛伊木馬程序
特洛伊木馬程序可以直接侵入用戶之電腦并進(jìn)行破壞,它常被偽裝成工具軟件或者游戲等,誘使用戶打開帶有特洛伊木馬程序之郵件附件或從網(wǎng)上直接下載。一旦用戶打開了些郵件之附件或者執(zhí)行了這些程序之后,它們就會像古特洛人在敵人城外留下之藏滿士兵之木馬一樣留在自己之電腦中,并在自己之計算機(jī)系統(tǒng)中隱藏一個可以在Windows啟動時悄悄招待之程序。當(dāng)你連接到因特網(wǎng)時,這個程序就會通知攻擊者,并報告你之IP地址以及預(yù)先設(shè)定之端口。攻擊者在收到這些信息后,再利用這個潛伏在其中之程序,就可以任意地修改你之計算機(jī)之參數(shù)設(shè)定并復(fù)制文件,或竊視你之硬盤中之所有內(nèi)容等,從而在到控制你之計算機(jī)之目之。
3、WWW欺騙技術(shù)
通過網(wǎng)絡(luò),用戶可以利用IE等瀏覽器進(jìn)行各種各樣之Web站點(diǎn)之訪問,如閱讀新聞組、咨詢產(chǎn)品價格、訂閱報紙、電子商務(wù)等。然而,一般之用戶恐怕不會想到這樣也會存在安全問題;正在訪問之網(wǎng)頁已經(jīng)被黑客篡改過,網(wǎng)頁上之信息是虛假之。例如,黑客將用戶要瀏覽之網(wǎng)頁之URL改寫為指向黑客自己之服務(wù)器,當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁之時候,實(shí)際上是向黑客服務(wù)器發(fā)出請求,那么黑客就可以達(dá)到欺騙之目之了。
4、電子郵件攻擊
電子郵件是互聯(lián)網(wǎng)運(yùn)用得十分廣泛之一種通訊方式。攻擊者可以使用一些郵件炸彈軟件向目之郵箱發(fā)送大量內(nèi)容重復(fù)、沒有用之垃圾郵件,從而使目之郵箱被撐爆而沒有法使用。當(dāng)垃圾郵件之發(fā)送流量特別大時,還有可能造成郵件系統(tǒng)對于也很之工作反應(yīng)緩慢,甚至癱瘓。
目前,電子郵件攻擊主要表現(xiàn)為兩種方式;
(1)電子郵件轟炸和電子郵件“滾雪球”,也就是通常所說之郵件炸彈,指之是用偽裝之IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計、萬計甚至沒有窮多次之內(nèi)容相同之垃圾郵件,致使受害人之郵箱被“炸”,嚴(yán)重者可能會給電子郵件服務(wù)器操作系統(tǒng)帶來危險,甚至癱瘓。
(2)電子郵件欺騙。攻擊者佯稱自己為系統(tǒng)管理員(郵件地址和系統(tǒng)管理員完全相同),給用戶發(fā)送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似也很之附件中加載病毒或其他木馬程序。
5、通過一個節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)
攻擊者在突破一臺主機(jī)后,往往以此主機(jī)作為根據(jù)地,攻擊其他主機(jī)(隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們利用網(wǎng)絡(luò)監(jiān)聽等方法,首先攻破網(wǎng)絡(luò)內(nèi)之某臺主機(jī),然后利用IP地址欺騙和主機(jī)信任關(guān)系攻擊其他主機(jī)。這類攻擊很狡猾,但某些技術(shù)很難掌握。
6、網(wǎng)絡(luò)監(jiān)聽
網(wǎng)絡(luò)監(jiān)聽是主機(jī)之一種工作模式,在這種模式下,主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸之所有信息,而不管這些信息之發(fā)送方和接收方是誰。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時,用戶輸入之密碼須是從用戶端傳送到服務(wù)器端,而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。此時若兩臺主機(jī)進(jìn)行通信之信息沒有加密,只要使用某些網(wǎng)絡(luò)監(jiān)聽工具軟件就可輕而易舉地截取括口令和賬號在內(nèi)之信息資料。
7、利用黑客軟件攻擊
利用黑客軟件攻擊是互聯(lián)網(wǎng)上用得比較多之一種攻擊手法。如冰河之類之特洛伊木馬,它們可以非法地取得用戶電腦之超級用戶級權(quán)利,可以對其進(jìn)行完全之控制,除了可以進(jìn)行文件操作外,同時也要以進(jìn)行對方桌面抓圖、取得密碼等操作。這些黑客軟件分為服務(wù)器端和用戶端,當(dāng)黑客進(jìn)行攻擊時,會使用用戶羰程序登陸上已安裝好服務(wù)器端程序之電腦,這些服務(wù)器端程序都比較小,一般會隨附帶于某些軟件上。有可能當(dāng)用戶下載了一個小游戲并運(yùn)行時,黑客軟件之服務(wù)器端就安裝完成了,而且大部分黑客軟件之重生能力比較強(qiáng),給用戶進(jìn)行清除造成一定之麻煩。
8、安全漏洞攻擊
許多系統(tǒng)都有這樣那樣之安全漏洞(Bug)。其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有之。如緩存區(qū)溢出攻擊。由于很多系統(tǒng)都不檢查程序與緩存之間變化之情況,任意接受任意長度之?dāng)?shù)據(jù)輸入,把溢出之?dāng)?shù)據(jù)放在堆棧里,系統(tǒng)還照常執(zhí)行命令。這樣,攻擊者只要發(fā)送超出緩存區(qū)所能處理之長度之指令,系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。若攻擊者特別配置一串準(zhǔn)備用作攻擊之字符,他甚至可以訪問要目錄,從而擁有對整個網(wǎng)絡(luò)之絕對控制權(quán)。
另一種是利用協(xié)議漏洞進(jìn)行攻擊。如有些攻擊者利用POP3一定要在根目錄下運(yùn)行之這一漏洞發(fā)動攻擊,破壞根目錄,從而獲得超級用戶之權(quán)限。
9、端口掃描攻擊
所謂端口掃描,就是利用Socket編程與目標(biāo)主機(jī)之某些端口建立TCP連接、進(jìn)行傳輸協(xié)議之驗(yàn)證等,從而偵知目標(biāo)主機(jī)之掃描端口是否是處于激活狀態(tài)、主機(jī)提供了哪些服務(wù)、提供之服務(wù)中是否含有某些缺陷等等。
posted @ 19:42 pursuetop 閱讀(25) | 評論 (0) | 編輯 收藏
IE主頁被修改之處理方法
關(guān)于主頁被修改之問題,在網(wǎng)上,論壇上一直都有人寫這方面之,問這方面之。在本版之精華中也有不少這方面之好之文章:像水刷石之剖析惡意網(wǎng)頁修改注冊表之十二種現(xiàn)象(轉(zhuǎn))
這篇文章對一些惡意修改主頁之處理提供了詳細(xì)之辦法,不過大部分之方法都是修改注冊表。現(xiàn)在偶根據(jù)這一段時間之學(xué)習(xí),來寫一點(diǎn)東西,算是一點(diǎn)小補(bǔ)充!
當(dāng)你之主頁被修改了,你可以通過修改注冊表(詳細(xì)方法見上面之那篇文章)來清理惡意網(wǎng)站,可是現(xiàn)在之惡意網(wǎng)站手段越來越高明,有時候很難處理!
出名之一個例子是:用來安裝SunOS Version 4之軟件,它創(chuàng)建了一個/rhosts文件,這個文件允許局域網(wǎng)(因特網(wǎng))上之任何人,從任何地方取得對該主機(jī)之超級用戶特權(quán)。當(dāng)然, 初這個文件之設(shè)置是為了“從網(wǎng)上方便地進(jìn)行安裝,而不需超級用戶之允許和檢查”。
“智者千慮,必有一失”,操作系統(tǒng)設(shè)計之漏洞為黑客開啟了后門, 近之針對WIN95/WIN NT之一系列具體攻擊就是很好之實(shí)例。
拋磚引玉——利用源路徑選項(xiàng)弱點(diǎn)
強(qiáng)制報文通過一個特定之路徑到達(dá)目之主機(jī)。這樣之報文可以用來攻陷防火墻和欺騙主機(jī)。一個外部攻擊者可以傳送一個具有內(nèi)部主機(jī)地址之源路徑報文。服務(wù)器會相信這個報文并對攻擊者發(fā)回答報文,因?yàn)檫@是IP之源路徑選項(xiàng)要求之。對付這種攻擊 好之辦法是配置好路由器,使它拋棄那些由外部網(wǎng)進(jìn)來之卻聲稱是內(nèi)部主機(jī)之報文。
混水摸魚—— 以太網(wǎng)廣播攻擊
將以太網(wǎng)接口置為亂模式(promiscuous),截獲局部范圍之所有數(shù)據(jù),為我所用。
金蟬脫殼——刪除系統(tǒng)運(yùn)行日志
攻擊者攻破系統(tǒng)后,常刪除系統(tǒng)運(yùn)行日志,隱藏自己之痕跡,以便日后再次入侵。
借尸還魂——重新發(fā)送(Replay)攻擊
收集特定之IP數(shù)據(jù),篡改其數(shù)據(jù),然后再一一重新發(fā)送,欺騙接收之主機(jī)。
笑里藏刀——遠(yuǎn)端操縱
缺省之登錄界面(shell scripts)、配置和客戶文件是另一個問題區(qū)域,它們提供了一個簡單之方法來配置一個程序之執(zhí)行環(huán)境。這有時會引起遠(yuǎn)端操縱之攻擊:在被攻擊主機(jī)上啟動一個可執(zhí)行程序,該程序顯示一個偽造之登錄界面。當(dāng)用戶在這個偽裝之界面上輸入登錄信息(用戶名、密碼等)后,該程序?qū)⒂脩糨斎胫畔魉偷焦粽咧鳈C(jī),然后關(guān)閉界面給出提示信息說“系統(tǒng)故障”,要求用戶重新登錄。此后,才會出現(xiàn)真正之登錄界面。在我們能夠得到新一代更加完善之操作系統(tǒng)版本之前,類似之攻擊仍會發(fā)生。防火墻之一個重要作用就是防止非法用戶登錄到受保護(hù)網(wǎng)之主機(jī)上。例如可以在進(jìn)行報文過濾時,禁止外部主機(jī)Telnet登錄到內(nèi)部主機(jī)上。
沒有中生有——偽造信息攻擊
通過發(fā)送偽造之路由信息,構(gòu)造系統(tǒng)源主機(jī)和目標(biāo)主機(jī)之虛假路徑,從而使流向目標(biāo)主機(jī)之?dāng)?shù)據(jù)均經(jīng)過攻擊者之系統(tǒng)主機(jī)。這樣就給人提供敏感之信息和有用之密碼。
得隴望蜀——"跳躍式"攻擊
現(xiàn)在許多站點(diǎn)使用UNIX操作系統(tǒng)。黑客們會設(shè)法先登錄到一臺UNIX之主機(jī)上,通過該操作系統(tǒng)之漏洞來取得系統(tǒng)特權(quán),然后再以此為據(jù)點(diǎn)訪問其余主機(jī),這被稱為“跳躍”(Island—hopping)。黑客們在達(dá)到目標(biāo)主機(jī)之前往往會這樣跳幾次。
例如一個在美國之黑客在進(jìn)入美聯(lián)邦調(diào)查局之網(wǎng)絡(luò)之前,可能會先登錄到亞洲之一臺主機(jī)上,再從那里登錄到加拿大之一臺主機(jī),然后再跳到歐洲, 后從法國之一臺主機(jī)向聯(lián)邦調(diào)查局發(fā)起攻擊。這樣被攻擊網(wǎng)絡(luò)即使發(fā)現(xiàn)了黑客是從何處向自己發(fā)起攻擊,管理人員也很難順藤摸瓜找回去,更何況黑客在取得某臺主機(jī)之系統(tǒng)特權(quán)后,可以在退出時刪掉系統(tǒng)日志,把“藤”割斷。你只要能夠登錄到UNIX系統(tǒng)上,就能相對容易成為超級用戶,這使得它同時成為黑客和安全專家們之關(guān)注點(diǎn)。
偷梁換柱——竊取TCP協(xié)議連接
網(wǎng)絡(luò)互連協(xié)議也存在許多易受攻擊之地方。而且互連協(xié)議之 初產(chǎn)生本來就是為了更方便信息之交流,因此設(shè)計者對安全方面很少甚至不去考慮。針對安全協(xié)議之分析成為攻擊之 歷害一招。
在幾乎所有由UNIX實(shí)現(xiàn)之協(xié)議族中,存在著一個久為人知之漏洞,這個漏沿使得竊取TCP連接成為可能。當(dāng)TCP連接正在建立時,服務(wù)器用一個含有初始序列號之答報文來確認(rèn)用戶請求。這個序列號沒有特殊要求,只要是唯一之就可以了。客戶端收到回答后,再對其確認(rèn)一次,連接便建立了。
TCP協(xié)議規(guī)范要求每秒更換序列號25萬次。但大多數(shù)之UNIX系統(tǒng)實(shí)際更換頻率遠(yuǎn)小于此數(shù)量,而且下一個更換之?dāng)?shù)字往往是可以預(yù)知之。而黑客正是有這種可預(yù)知服務(wù)器初始序列號之能力使得攻擊可以完成。
惟一可以防治這種攻擊之方法是使初始序列號之產(chǎn)生更具有隨機(jī)性。 安全之解決方法是用加密算法產(chǎn)生初始序列號。額外之CPU運(yùn)算負(fù)載對現(xiàn)在之硬件速度來說是可以忽略之。
暗渡陳倉——針對信息協(xié)議弱點(diǎn)攻擊
IP地址之源路徑選項(xiàng)允許IP數(shù)據(jù)自己選擇一條通往系統(tǒng)目之主機(jī)之路徑。設(shè)想攻擊者試圖與防火墻后面之一個不可到達(dá)主機(jī)A連接。他只需要在送出之請求報文中設(shè)置IP源路徑選項(xiàng),使報文有一個目之地址指向防火墻,而 終地址是主機(jī)A。當(dāng)報文到達(dá)防火墻時被允許通過,因?yàn)樗赶蚍阑饓Χ皇侵鳈C(jī)A。防火墻之IP層處理該報文之源路徑被改變,并發(fā)送到內(nèi)部網(wǎng)上,報文就這樣到達(dá)了不可到達(dá)之主機(jī)A。
調(diào)虎離山——對ICMP報文之攻擊
盡管比較困難,黑客們有時也使用ICMP報文進(jìn)行攻擊。重定向消息可以改變路由列表,路由器可以根據(jù)這些消息建議主機(jī)走另一條更好之路徑。攻擊者可以有效地利用重定向消息把連接轉(zhuǎn)向一個不可靠之主機(jī)或路徑,或使所有報文通過一個不可靠主機(jī)來轉(zhuǎn)發(fā)。
對付這種威脅之方法是對所有ICMP重定向報文進(jìn)行過濾,有之路由軟件可對此進(jìn)行配置。單純地拋棄所有重定向報文是不可取之:主機(jī)和路由器常常會用到它們,如一個路由器發(fā)生故障時。
黑客常用入侵方法
口令入侵
所謂口令入侵,就是指用一些軟件解開已經(jīng)得到但被人加密之口令文檔。不過現(xiàn)在很多黑客已經(jīng)大量采用一種可以繞開或屏蔽口令保護(hù)之程序來完成這項(xiàng)工作。對于那些可以解開或屏蔽口令保護(hù)之程序通常被稱為“Crack”。由于這些軟件之廣為流傳,使得入侵電腦網(wǎng)絡(luò)系統(tǒng)有時變得相當(dāng)簡單,一般不需要很深入了解系統(tǒng)之內(nèi)部結(jié)構(gòu),是初學(xué)者之好方法。
特洛伊木馬
說到特洛伊木馬,只要知道這個故事之人就不難理解,它 典型之做法可能就是把一個能幫助黑客完成某一特定動作之程序依附在某一合法用戶之也很程序中,這時合法用戶之程序代碼已被該變。一旦用戶觸發(fā)該程序,那么依附在內(nèi)之黑客指令代碼同時被激活,這些代碼往往能完成黑客指定之任務(wù)。由于這種入侵法需要黑客有很好之編程經(jīng)驗(yàn),且要更改代碼、要一定之權(quán)限,所以較難掌握。但正因?yàn)樗畯?fù)雜性,一般之系統(tǒng)管理員很難發(fā)現(xiàn)。
監(jiān)聽法
這是一個很實(shí)用但風(fēng)險也很大之黑客入侵方法,但還是有很多入侵系統(tǒng)之黑客采用此類方法,正所謂藝高人膽大。
網(wǎng)絡(luò)節(jié)點(diǎn)或工作站之間之交流是通過信息流之傳送得以實(shí)現(xiàn),而當(dāng)在一個沒有集線器之網(wǎng)絡(luò)中,數(shù)據(jù)之傳輸并沒有指明特定之方向,這時每一個網(wǎng)絡(luò)節(jié)點(diǎn)或工作站都是一個接口。這就好比某一節(jié)點(diǎn)說:“嗨!你們中有誰是我要發(fā)信息之工作站?”此時,所有之系統(tǒng)接口都收到了這個信息,一旦某個工作站說:“嗨!那是我,請把數(shù)據(jù)傳過來。”連接就馬上完成。
此外常用之入侵方法還有E—mail技術(shù)、病毒技術(shù)和隱藏技術(shù)等。世界各地之黑客們正以飛快之速度創(chuàng)造出各種 新之入侵技術(shù),真可謂“道高一尺,魔高一丈”,令人防不勝防。
黑客入侵常見方法
對于“黑客入侵”,其實(shí)很難下個確切之定義,我們通常認(rèn)為黑客是“非法入侵計算機(jī)系統(tǒng)之人”,其實(shí)不全是這樣,那些對他人計算機(jī)惡意進(jìn)行非法掃描和發(fā)送大量數(shù)據(jù)阻塞之網(wǎng)絡(luò)行為,也是一種黑客入侵行為。
總體來說,黑客之攻擊方法大致可以分為九類,它們分別是:
1、口令入侵
所謂口令入侵是指使用某些合法用戶之口賬戶和口令登錄到目之主機(jī),然后再實(shí)施攻擊活動。這種方法之前提是必須先得到該主機(jī)上之某個合法用戶之賬號,然后再進(jìn)行對合法用戶口令之破譯。
2、放置特洛伊木馬程序
特洛伊木馬程序可以直接侵入用戶之電腦并進(jìn)行破壞,它常被偽裝成工具軟件或者游戲等,誘使用戶打開帶有特洛伊木馬程序之郵件附件或從網(wǎng)上直接下載。一旦用戶打開了些郵件之附件或者執(zhí)行了這些程序之后,它們就會像古特洛人在敵人城外留下之藏滿士兵之木馬一樣留在自己之電腦中,并在自己之計算機(jī)系統(tǒng)中隱藏一個可以在Windows啟動時悄悄招待之程序。當(dāng)你連接到因特網(wǎng)時,這個程序就會通知攻擊者,并報告你之IP地址以及預(yù)先設(shè)定之端口。攻擊者在收到這些信息后,再利用這個潛伏在其中之程序,就可以任意地修改你之計算機(jī)之參數(shù)設(shè)定并復(fù)制文件,或竊視你之硬盤中之所有內(nèi)容等,從而在到控制你之計算機(jī)之目之。
3、WWW欺騙技術(shù)
通過網(wǎng)絡(luò),用戶可以利用IE等瀏覽器進(jìn)行各種各樣之Web站點(diǎn)之訪問,如閱讀新聞組、咨詢產(chǎn)品價格、訂閱報紙、電子商務(wù)等。然而,一般之用戶恐怕不會想到這樣也會存在安全問題;正在訪問之網(wǎng)頁已經(jīng)被黑客篡改過,網(wǎng)頁上之信息是虛假之。例如,黑客將用戶要瀏覽之網(wǎng)頁之URL改寫為指向黑客自己之服務(wù)器,當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁之時候,實(shí)際上是向黑客服務(wù)器發(fā)出請求,那么黑客就可以達(dá)到欺騙之目之了。
4、電子郵件攻擊
電子郵件是互聯(lián)網(wǎng)運(yùn)用得十分廣泛之一種通訊方式。攻擊者可以使用一些郵件炸彈軟件向目之郵箱發(fā)送大量內(nèi)容重復(fù)、沒有用之垃圾郵件,從而使目之郵箱被撐爆而沒有法使用。當(dāng)垃圾郵件之發(fā)送流量特別大時,還有可能造成郵件系統(tǒng)對于也很之工作反應(yīng)緩慢,甚至癱瘓。
目前,電子郵件攻擊主要表現(xiàn)為兩種方式;
(1)電子郵件轟炸和電子郵件“滾雪球”,也就是通常所說之郵件炸彈,指之是用偽裝之IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計、萬計甚至沒有窮多次之內(nèi)容相同之垃圾郵件,致使受害人之郵箱被“炸”,嚴(yán)重者可能會給電子郵件服務(wù)器操作系統(tǒng)帶來危險,甚至癱瘓。
(2)電子郵件欺騙。攻擊者佯稱自己為系統(tǒng)管理員(郵件地址和系統(tǒng)管理員完全相同),給用戶發(fā)送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似也很之附件中加載病毒或其他木馬程序。
5、通過一個節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)
攻擊者在突破一臺主機(jī)后,往往以此主機(jī)作為根據(jù)地,攻擊其他主機(jī)(隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們利用網(wǎng)絡(luò)監(jiān)聽等方法,首先攻破網(wǎng)絡(luò)內(nèi)之某臺主機(jī),然后利用IP地址欺騙和主機(jī)信任關(guān)系攻擊其他主機(jī)。這類攻擊很狡猾,但某些技術(shù)很難掌握。
6、網(wǎng)絡(luò)監(jiān)聽
網(wǎng)絡(luò)監(jiān)聽是主機(jī)之一種工作模式,在這種模式下,主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸之所有信息,而不管這些信息之發(fā)送方和接收方是誰。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時,用戶輸入之密碼須是從用戶端傳送到服務(wù)器端,而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。此時若兩臺主機(jī)進(jìn)行通信之信息沒有加密,只要使用某些網(wǎng)絡(luò)監(jiān)聽工具軟件就可輕而易舉地截取括口令和賬號在內(nèi)之信息資料。
7、利用黑客軟件攻擊
利用黑客軟件攻擊是互聯(lián)網(wǎng)上用得比較多之一種攻擊手法。如冰河之類之特洛伊木馬,它們可以非法地取得用戶電腦之超級用戶級權(quán)利,可以對其進(jìn)行完全之控制,除了可以進(jìn)行文件操作外,同時也要以進(jìn)行對方桌面抓圖、取得密碼等操作。這些黑客軟件分為服務(wù)器端和用戶端,當(dāng)黑客進(jìn)行攻擊時,會使用用戶羰程序登陸上已安裝好服務(wù)器端程序之電腦,這些服務(wù)器端程序都比較小,一般會隨附帶于某些軟件上。有可能當(dāng)用戶下載了一個小游戲并運(yùn)行時,黑客軟件之服務(wù)器端就安裝完成了,而且大部分黑客軟件之重生能力比較強(qiáng),給用戶進(jìn)行清除造成一定之麻煩。
8、安全漏洞攻擊
許多系統(tǒng)都有這樣那樣之安全漏洞(Bug)。其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有之。如緩存區(qū)溢出攻擊。由于很多系統(tǒng)都不檢查程序與緩存之間變化之情況,任意接受任意長度之?dāng)?shù)據(jù)輸入,把溢出之?dāng)?shù)據(jù)放在堆棧里,系統(tǒng)還照常執(zhí)行命令。這樣,攻擊者只要發(fā)送超出緩存區(qū)所能處理之長度之指令,系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。若攻擊者特別配置一串準(zhǔn)備用作攻擊之字符,他甚至可以訪問要目錄,從而擁有對整個網(wǎng)絡(luò)之絕對控制權(quán)。
另一種是利用協(xié)議漏洞進(jìn)行攻擊。如有些攻擊者利用POP3一定要在根目錄下運(yùn)行之這一漏洞發(fā)動攻擊,破壞根目錄,從而獲得超級用戶之權(quán)限。
9、端口掃描攻擊
所謂端口掃描,就是利用Socket編程與目標(biāo)主機(jī)之某些端口建立TCP連接、進(jìn)行傳輸協(xié)議之驗(yàn)證等,從而偵知目標(biāo)主機(jī)之掃描端口是否是處于激活狀態(tài)、主機(jī)提供了哪些服務(wù)、提供之服務(wù)中是否含有某些缺陷等等。
posted @ 19:42 pursuetop 閱讀(25) | 評論 (0) | 編輯 收藏
IE主頁被修改之處理方法
關(guān)于主頁被修改之問題,在網(wǎng)上,論壇上一直都有人寫這方面之,問這方面之。在本版之精華中也有不少這方面之好之文章:像水刷石之剖析惡意網(wǎng)頁修改注冊表之十二種現(xiàn)象(轉(zhuǎn))
這篇文章對一些惡意修改主頁之處理提供了詳細(xì)之辦法,不過大部分之方法都是修改注冊表。現(xiàn)在偶根據(jù)這一段時間之學(xué)習(xí),來寫一點(diǎn)東西,算是一點(diǎn)小補(bǔ)充!
當(dāng)你之主頁被修改了,你可以通過修改注冊表(詳細(xì)方法見上面之那篇文章)來清理惡意網(wǎng)站,可是現(xiàn)在之惡意網(wǎng)站手段越來越高明,有時候很難處理!
中查找““趁火打劫”——系統(tǒng)文件非法利用”更多相關(guān)內(nèi)容
中查找““趁火打劫”——系統(tǒng)文件非法利用”更多相關(guān)內(nèi)容