跳板攻击原理.docx

黑客如何进行跳板攻击与防御详解 　 黑客进行攻击时会借用其他系统来达到自己的目地，如对下目标攻击和被侵占计算机本身利用等等。本文介绍常见黑客对被侵占计算机使用方式和安全管理员相应的应对方法。 黑客进行网络攻击时，除自己手中直接操作计算机外，往往攻击进行时和完成之后利用、控制其他计算机。他们或者借此达到攻击目标，或者把这些计算机派做其他用途。本文汇总描述黑客各种利用其他计算机手段，希望网络系统管理员能通过了解这些攻击办法来达到更好地进行安全防范目地。对“肉鸡”　利用“肉鸡”这个词被黑客专　用来描述Internet上那些防护性差，易于被攻破而且控制的计算机。 1.1、本身数据被获取 　　原理介绍 这台计算机被攻破并完全控制之后，黑客要做第件事。很多黑客宣称自己并非恶意，只是对计算机安全感兴趣，　进入别人的计算机时，会进行破坏、删除、篡改等操作。甚至还更"好心"　些　黑客会为这些计算机打补丁，做些安全加强。 但他们都回避这个问题，那就是对这些计算机上本身保存的数据如何处理。确实，对别人的　计算机进行破坏这种损人利已的事情对这大多数黑客来讲没太大意思，不过他们都会反对把“肉鸡”上的数据弄回来保存。这时黑客再说“没有进行破坏"说过去，根据计算机安全的基本原则，当数据的"完整性、可用性和机密性"中任意三者之一受到破坏的时候，都应视为安全受到破坏。被占领的计算机上可能会保存着用户信息、网络拓扑图、商业秘密、财务报表、军事情报和其他各类需要保密的数据，黑客获得这些数据（即使只查看数据内容而不下载）时正是破坏了保密性。　实际情况中，很多商业间谍和政治间谍都是这类人，他们只默默地拿走你的数据而绝不做任何破坏，而且尽最大可能地掩盖自己行动的痕迹。这些黑客希望长时间大量地得到珍贵的数据而不被发觉，这其实是最可怕的攻击行为。很多黑客会在　“肉鸡”上安装FTP软件或者开放FTP服务，再下载其数据，但安装软件和开放服务这样动作很容易在系统中各类日志留下记录，并可能被发现。而希望被发觉黑客会自己建立台FTP服务器，让“肉鸡”做为客户端把自己数据上传过来。 　　防御方法 防止本身数据资料被窃取，当然首先要考虑计算机本身不被攻破。如果自己能像铁桶一般，水泼不进，黑客无法进到你的网络中的计算机取得任何访问权限，当然就杜绝绝大多数的泄密可能（请注意，这时候还可能会泄密！比如被黑客欺骗而将数据发送出去）。我们先来看　下如何加强自己的计算机和操作系统，对于所需要事先控制的攻击方式，这些手段都有效，　以后的章节中就不重复说明　。 　　简单地说，对于操作系统加强，无论Windows、Unix或Linux，都可以从物理安全、文件系统、帐号管理、网络设置和应用服务几个方面来考虑，这里我们详细讨论全面安全防护方案，只提供些简单实用的系统安全检查项目。这是安全的必要条件，而不是充分条件。 　　 物理安全 　　简单地说，物理安全就是看你计算机所处的物理环境是否可靠，会不会受到自然灾害（如火灾、水灾、雷电等）和人为的破坏（失窃、破坏）等。物理安全并非完全系统或者网络管理员的责任，还需要公司其他部门如行政、保安等一起协作，因为这是其他安全手段的基础，所以我们网管员还应该密切注意。要特别保证重要设备服务器要集中在机房里，并制订机房相关制度，无关人员不得进入机房等。网管员无特殊情况也不要进入机房，需要可以从外面　指定终端进行管理。 　如果重要的服务器暴露都可以接近外部，那么无论你口令设得多么强大都没用，各种操作系统都可以用软盘、光盘启动来破解密码。 　　文件系统安全 文件和目录权限设置得是否正确，对系统中那些重要文件，权限要重新设置； Unix　Linux系统中，还要注意文件setuid和setgid权限，　是否适合文件被赋予这些权限; 帐号系统安全 帐号信息，用户名和密码是否合乎规则，具有足够复杂程度。不要把权限给予任何没必要； Unix/Linux中可以合理地使用su sudo；关闭无用账号； 网络系统安全 　　关闭一切不必要的服务。这点不必多说吧，每个开放的服务就象扇开启的门，都可能会被黑客悄悄地进入； 　　网络接口特性。注意网卡不要处与监听或混杂模式； 　　防止DoS网络设置。禁止IP转发、转发定向广播、限定多宿主机、忽略和发送重定向包、关闭时间戳响应、响应Echo广播、地址掩码广播、转发设置源路由包、加快ARP表过期时间、提高未连接队列大小、提高已连接队列大小； 　　禁用r*命令和telnet命令，用加密　SSH来远程管理； 　　对NIS/NIS+进行安全设置； 　　对NFS进行安全设置； 　　应用服务安全 　　应用服务　服务器存　　原因，又　经常会产生问题　地方。因为应用服务　种类太多，这里无法　　叙述，就请大家注意　下这方面　资料吧。如果　可能，　会　今后继续提供　些相关知识。可以肯定地说，没　　种应用程序　完全安全　，必须依靠　们去重新设置。 　　对于防止数据被窃取，也　手段可以采用，使黑客侵入计算机之后　能盗窃数据和资料。这就　访问控制和加密。系统访问控制需要软件来实现，可以限制 root　权限，把那些重要　数据设置为除　特殊用户外，连root都无法访问，这样即使黑客成为root也没　用。加密　手段　很多，这里也　详细介绍　，文件通过加密会以密文　形式存放　硬盘中，如果　能正确解密，就　　堆没　任何意义　字符，黑客就算拿到　也没　用。 　　1.2、非法proxy 　　原理介绍 　　Proxy代理技术　提高Internet访问速度　效率上　很大作用，　这种技术　基础之上又出现　Cache Server等Internet访问优化技术，但Proxy也被黑客利用来进行非法活动。黑客把“肉鸡”设置为Proxy　般　两个目　，首先　正常 Proxy　目　　样，　利用它更好地访问Internet，进行WWW浏览；其次就　利用这台Proxy “肉鸡”　特殊位置绕过　些访问　限制。 　　普通　WWW Proxy其实　Internet上　很常见　，　些计算机免费而且开放地为所　计算机提供WWW Proxy服务，如果黑客想得到　台合适　Proxy时，并　需要自己亲自去攻击计算机并安装Proxy软件，只需利用这些现成　Proxy计算机就可以　。　骇软站点上，　很多Proxy Hunter之类　软件，输入某个网段就可以运行去自动搜索已经存　　Proxy计算机　。虽然Proxy本身并　会被攻击，但　运行Proxy服务，　客户端连接数目多　时候会造成很大　负担。而且　些攻击如Unicode、Lotus Notes、ASP攻击也正　通过http协议进行　，最终被攻击者会把Proxy服务器当做攻击　来源，换句话说，Proxy服务器会成为这些攻击者　替罪羊。所以最好　要向外提供开放　Proxy服务，即使因为需要而开放　，也应加以严格　限制。 　　利用Proxy绕过　些访问限制，　“肉鸡”　利用中也　很常见　。举个实例来说，某个公司为　提高工作效率，　允许员工使用QQ聊天，指示　公司　防火墙上限制　所　由内向外对UDP 8000这个端口　访问，这样内部就无法向外连接Internet上　QQ服务器进行聊天　。但黑客利用自己设置　QQ Proxy就可以绕过这个限制正常访问QQ服务器。黑客利用QQ Proxy绕过访问限制. 　　QQ Proxy同WWW Proxy　设置和使用方法　　样　。　　　Internet上　QQ Proxy时，黑客　公司内部向外访问QQ Proxy　UDP 18000端口，这　　被禁止　。而QQ Proxy会以客户端　身份向真正　访问目标-QQ服务器进行访问，然后把信息从UDP 18000端口向黑客计算机转回去。这样，黑客就利用Proxy实现　对访问限制　突破。 　　还可以利用这个原理进行其他协议限制　绕过，如WWW、ICQ、MSN、Yahoo Messager、AOL等，只要Proxy软件支持。 　　防御方法 　　　们设立任何类型　Proxy服务器时，应当对客户端　所限制，　向无关　　员提供使用权限。这样提高　服务器　效率，又杜绝　黑客借　们　Proxy进行攻击　可能。 　　防止内部　员利用外部　Proxy时，可以　防火墙上严格限制，只能对外部规定站点　规定服务进行访问。当然这样　可能造成业务上　　便，所以　具体环境下要具体考虑，综合地权衡。 　　1.3、黑客交流平台 　　原理介绍 　　大家会问那么黑客直接发电子邮件、上ICQ　就行　吗？何必去冒险攻击其他　计算机做为交流平台呢。请注意黑客之间传播　都　　些　能被别　知道　信息，如"　已经控制　XXX省网　骨干路由器，你想要　份它　路由表吗？"，这样　内容如果　任何　个邮件服务器和聊天服务器上被截获，从道义上讲这个网管都　　义务提醒被攻击　网络负责　　，所以利用公共　网络交流手段对黑客来说并　可靠，黑客也要保密啊:-) 。那怎么办？黑客既然控制　“肉鸡”，成为　“肉鸡”　第二个"家长"，就　资格和权限去把它设置为交流用　服务器。　这样　交流平台上，黑客被发现　可能性小得多，最高　控制权限可以使黑客对这些活动进行各种各样　掩饰。还　另　种利用形式就　FTP服务器，供黑客兄弟们上传下载黑客软件，互通　无。 　　黑客　“肉鸡”上做信息交换　时候，会产生大量　网络通信，尤其　利用FTP上传下载时。如果发现你　内外部通信突然反常地加大，检查　下自己　计算机吧。 　　防卫性差　“肉鸡”其管理员　般水平也　会很高，再加上缺乏责任心，往往　自己　计算机被占领　很长时间都　知道，直到　　天收到　高额　数据通信收费单，才大吃　惊："怎么搞　？!"。- 难道他们自己就没　责任吗？ 　　防御方法 　　安全　安全很大程度上取决于管理员　否尽职尽责，好　管理员必须　好　习惯。 　　1.4、学习/开发平台 　　原理介绍 　　这种情况　比较少见　，却很　意思。　们平时使用　　个　计算机，　般可以安装Windows、FreeBSD、Linux和其他Unix系统　x86版本，如果要实习其他平台上　操作系统几乎　　可能　。象AIX、HP-UX、Solaris（sparc）、IRIX等，都需要相应　硬件平台来配套，普通　个　计算机　装　上　，这些知名厂商　Unix计算机又非常昂贵，成　　般计算机爱好者可望　可及　宝物。黑客兄弟们　这里又　　大显身手　时候　，到网上找到　些可以侵入　AIX什么　机器，占领之后，想学习这种平台　操作使用还　　很简单　事吗？　曾　　个黑客站点上看到　　转让　台Sun E250“肉鸡”　控制权，开价300块，可怜那个管理员，自己　机器已经被公开出售　还　知道。 　　黑客　“肉鸡”上做开发就更少见　，因为这样做会　很大　风险。许黑客都没　全职　工作，他们中　很多　都　编程高手，会通过朋友和其他渠道揽　些程序开发　活计，挣些零花钱。很多定制　程序　要跑　特定平台上　，如果　个程序需要　HP-UX平台上开发调试怎么办？HP-UX计算机　很少能找到　。但黑客又可以利用自己　"特长"去攻下　台，做为开发平台。　过　们都知道开发调试程序　时候会　各种种样　bug，轻则导致程序　正常，重则让系统崩溃，还会　日志里留下记录。这就　为什么说这么做很危险，因为它太容易被发现　。要　　台计算机被当做开发平台用　很久而管理员却　无所 知　话，这个管理员实　应该好好反省。 　　防御方法 　　方法同前　部分，就　必多说　。关心你　服务器吧。 二、利用“肉鸡”进行攻击 　　下面介绍　下黑客利用“肉鸡”来攻击时　几种方式。 　　2.1非法扫描/监听平台 　　原理介绍 请看　下前后两种情况　对比。防火墙　很常见　网络安全设备，　网络入口处起到　　个安全屏障　作用，尤其　黑客进行扫描　时候防火墙将堵住对绝大多数端口　探测。这时“肉鸡”就　　用武之地，从这里扫描本地网络中　其他计算机　　需要经过防火墙　，可以随便地查看它们　漏洞。而且这时候防火墙上也　会留下相应　日志，　易被发觉。黑客可以　扫描结束时返回“肉鸡”取　下结果，或者命令“肉鸡”把扫描结果直接用电子邮件发送到指定信箱。 　　对于　某个网络中进行非法监听来说，本地　　台“肉鸡”　必须　条件。由于以太网　设计特点，监听只能　本地进行。虽然随着交换式以太网　普及，网络非法监听能收集到　信息大大减少，但对于那些　非法监听软件所　　“肉鸡”通讯　计算机来说，威胁还　很大　。如果这个“肉鸡”本身还　　台重要　服务器，那么危害就更大　，黑客　这上面会得到很多诸如用户帐号、密码、服务器之间　合理　信任关系　信息等，对下　步攻击起到很大　辅助作用。 　　2.2 攻击　实际出发点 　　原理介绍 　　如果说“肉鸡”做为扫描工具　时候象黑客　　只眼睛，做监听工具　时候象黑客　　只耳朵，那么“肉鸡”实际进攻时就　黑客　　只手。黑客借助“肉鸡”这个内应来听来看，来攻击，而“肉鸡”成为　提线木偶，举手投足都被　从选程看　到　地方控制着。 　　防御方法 　　也　需要对计算机进行严密　监视。请参考前面　内容。 　　2.3 DDoS攻击傀儡 　　关于黑客利用“肉鸡”进行DDoS攻击　手段就　再赘述　，详见IBM DeveloperWorks曾经刊登　文章《分布式拒绝服务攻击(DDoS)原理及防范》 　　2.4端口跳转攻击平台 　　原理介绍 　　只用文字描述比较抽象，　们来看　个例子。 　　这　　个　们　实际　安全响应中　处理过程，这里黑客使用　组合式　攻击手段，其中包括对Windows服务器常见　139端口攻击，对Solaris系统　溢出攻击，攻击前　信息收集，还　2.4要里着重介绍　端口跳转攻击　方式。客户方　系统管理员发现　台Windows 2000服务器　行为异常后，马上切断　这台服务器　网络连接并向　们报告，这　当时　网络拓扑结构。经过仔细　诊断，　们推断出黑客　利用　这台服务器　139端口漏洞，从远程利用nbtdump、口 令猜测工具、Windows net命令等取得　这台服务器　控制权，并安装　BO 2000木马。但客户　系统管理员立刻否定　们　判断："虽然这台服务器　139端口没　关闭，但　已经　防火墙上设置　规则，使外部计算机　能访问这台服务器　139端口。"又　　个只防范外部攻击　手段！难道大家都对内部攻击占70%以上　比率视而　见吗？　过这里　路由器日志显示，黑客确实　从外部向这台服务器　木马端口进行连接　。　　们于　继续汇总分析各方面　数据，客户管理员也配合　们进行检查。　检查网络上　其他主机时，　们发现内部网中　　台SUN工作站　网卡上绑定　3个IP地址，其中　个IP地址　被攻击Windows服务器　　个网段　！这立刻引起　　们　注意。客户管理员解释说这　　台Solaris Sparc机器，经常用来做　些测试，　时也会接入服务器网段，所以配　　个该网段　地址。而且就　　个多星期前，这台SUN工作站还放　服务器网段。这就很可疑　，　们立刻对它进行　检查，果然这台SUN工作站已经被占领　，因为主要用途　测试，客户管理员并没　对它进行安全加强，攻破它　易如反掌　事情。　它上面发现　大量　扫描、监听和日志清除工具，另外还　　们意料之中　端口跳转工具 - netcat，简称nc。至此问题就比较清楚　：黑客首先占领　这台毫　设防　SUN机，然后上载nc，设置端口跳转，攻击Windows 2000服务器　139端口，并且成功地拿下　它。还原当时　网络拓扑图应该　这样　. 三、攻击时直接借用 　　　上述各类情况　同，直接利用其他计算机做为攻击平台时，黑客并　需要首先入侵这些被利用　计算机，而　误导它们去攻击目标。黑客　这里利用　TCP/IP协议和操作系统本身　缺点漏洞，这种攻击更难防范，特别　制止，尤其　后面两种反射式分布拒绝服务攻击和DNS分布拒绝服务攻击。 　　3.1 Smurf攻击 　　原理介绍 　　Smurf攻击　这种攻击　早期形式，　　种　局域网中　攻击手段。它　作用原理　基于广播地址　回应请求　。　台计算机向另　台计算机发送　些特殊　数据包如ping请求时，会接到它　回应；如果向本网络　广播地址发送请求包，实际上会到达网络上所　　计算机，这时就会得到所　计算机　回应。这些回应　需要被接收　计算机处理　，每处理　个就要占用　份系统资源，如果同时接到网络上所　计算机　回应，接收方　系统　　可能吃　消　，就象遭到　DDoS攻击　样。大家会疑问，谁会无聊得去向网络地址发包而 招来所　计算机　攻击呢？ 　　当然做为　个正常　操作者　　会这么做　，但　当黑客要利用这个原理进行Smurf攻击　时候，他会代替受害者来做这件事。 黑客向广播地址发送请求包，所　　计算机得到请求后，却　会把回应发到黑客那里，而　被攻击　计算机处。这　因为黑客冒充　被攻击主机。黑客发包所用　软件　可以伪造源地址　，接到伪造数据包　主机会根据源地址把回应发出去，这当然就　被攻击目标　地址。黑客同时还会把发包　间隔减到几毫秒，这样　单位时间能发出数以千计　请求，使受害者接到被欺骗计算机那里传来　洪水般　回应。象遭到其他类型　拒绝服务攻击　样，被攻击主机会网络和系统无法响应，严重时还会导致系统崩溃。 　　黑客借助　网络中所　计算机来攻击受害者，而　需要事先去占领这些被欺骗　主机。 　　　实际使用中，黑客　会笨到　本地局域网中干这件事　，那样很容易被查出。他们会从远程发送广播包到目标计算机所　　网络来进行攻击。 　　防御方法 　　局域网中　　必进行Smurf攻击　防御　。　们只需　路由器上进行设置，　收到定向广播数据包时将其丢弃就可以　，这样本地广播地址收　到请求包， Smurf攻击就无从谈起。注意还要把网络中　条件成为路由器　多宿主主机（多块网卡）进行系统设置，让它 们　接收和转发这样　广播包。 　　3.2 DrDoS（反射式分布拒绝服务攻击） 　　原理介绍 　　具体　情况可以参考Smurf攻击　原理结构图四。 　　防御方法 　　《分布式拒绝服务攻击(DDoS)原理及防范》 　　3.3 DNS分布拒绝服务攻击 　　原理介绍 　　DNS拒绝服务攻击原理同DrDoS攻击相同，只　　这里被欺骗利用　　　　般　计算机，而　DNS服务器。黑客通过向多个DNS服务器发送大量　伪造　查询请求，查询请求数据包中　源IP地址为被攻击主机　IP地址，DNS服务器将大量　查询结果发送给被攻击主机，使被攻击主机所　　网络拥塞或　再对外提供服务。 　　防御方法 　　通过限制查询主机　IP地址可以减轻这种攻击　影响，比较糟糕　　　现实环境中这么做　 DNS服务器很少。目前　能从根本上解决这个问题。另外可以从自己　网络设备上监视和限制对DNS查询请求　回应，如果突然出现流量剧增　情况，限制　下到达DNS服务 器　查询请求，这样可以避免自己管理　服务器被欺骗而去攻击无辜者。 　　们分析后还原　nc端口跳转攻击拓扑图，黑客　这里需要两次端口跳转，第　次　利用自己　linux计算机把对139端口　访问向 SUN　2139端口发送，这样就绕过　防火墙对139端口　访问限制。然后SUN会把对自己2139端口　访问发送到攻击最终目标　139端口上。为什么图中　"黑客"计算机　直接访问SUN　2139端口，而需要linux多跳转　次呢？这　由于象net、 nbtdump、远程口令猜测等手段都　默认针对139端口而且黑客无法改变　。 　　　这两个端口跳板准备好　之后，黑客只要访问自己　 linux机器上　139端口，就可以对目标　Windows服务器进行攻击　，“肉鸡”　作用巨大啊。据　解这台SUN工作站当时　服务器网段中只接入　三天　到　时间就搬到内部网里　，可见黑客对这个网段　情况变化　掌握速度　很快　，管理员们　要因为只　临时接入而忽略　安全。　们随后又　路由器上找到　当时黑客远程向SUN机　2139端口连接　日志，至此就完全清楚　。 　　防御方法 　　防止扫描　般主要设置　防火墙上，除　内部那些开放　　服务以外，　允许其他　访问进入，可以最大限度地防止信息泄露。至于同　网段上某个服务器成　“肉鸡”，　般情况下　没法防止它扫描其他服务器　，这就需要　们　防御方向　但要向外，也要向内。关闭每　台计算机上　需要　服务，进行安全加强，让内部　非法扫描器找　到可以利用　漏洞。 　　防御监听　般使用网络传输加密和交换式网络设备。管理员远程登录系统时候，还　　很多　喜欢使用默认　telnet，这种明文传输　协议　黑客　最爱。使用SSH代替telnet和那些r命令，可以使网络上传输　数据成为　可读　密文，保护你　帐号、口令和其他重要　信息。交换式网络设备可以使单个计算机接收到　无用信息大大减少，从而降低非法监听器　危害性。　过相对来说，它　成本还　比较高　.