跳板攻击原理

黑客如何进行跳板攻击与防御详解黑客进行攻击时会借用其他系统来达到自己的目地，如对下目标攻击和被侵占计算机本身利用等等。本文介绍常见黑客对被侵占计算机使用方式和安全管理员相应的应对方法。黑客进行网络攻击时，除自己手中直接操作计算机外，往往攻击进行时和完成之后利用、控制其他计算机。他们或者借此达到攻击目标，或者把这些计算机派做其他用途。本文汇总描述黑客各种利用其他计算机手段，希望网络系统管理员能通过了解这些攻击办法来达到更好地进行安全防范目地。对“肉鸡”利用“肉鸡”这个词被黑客专用来描述Internet上那些防护性差，易于被攻破而且控制的计算机。1.1、本身数据被获取原理介绍这台计算机被攻破并完全控制之后，黑客要做第件事。很多黑客宣称自己并非恶意，只是对计算机安全感兴趣，进入别人的计算机时，会进行破坏、删除、篡改等操作。甚至还更"好心"些黑客会为这些计算机打补丁，做些安全加强。但他们都回避这个问题，那就是对这些计算机上本身保存的数据如何处理。确实，对别人的计算机进行破坏这种损人利已的事情对这大多数黑客来讲没太大意思，不过他们都会反对把“肉鸡”上的数据弄回来保存。这时黑客再说“没有进行破坏"说过去，根据计算机安全的基本原则，当数据的"完整性、可用性和机密性'中任意三者之一受到破坏的时候，都应视为安全受到破坏。被占领的计算机上可能会保存着用户信息、网络拓扑图、商业秘密、财务报表、军事情报和其他各类需要保密的数据，黑客获得这些数据（即使只查看数据内容而不下载）时正是破坏了保密性。实际情况中，很多商业间谍和政治间谍都是这类人，他们只默默地拿走你的数据而绝不做任何破坏，而且尽最大可能地掩盖自己行动的痕迹。这些黑客希望长时间大量地得到珍贵的数据而不被发觉，这其实是最可怕的攻击行为。很多黑客会在“肉鸡”上安装FTP软件或者开放FTP服务，再下载其数据，但安装软件和开放服务这样动作很容易在系统中各类日志留下记录，并可能被发现。而希望被发觉黑客会自己建立台FTP服务器，让“肉鸡”做为客户端把自己数据上传过来。防御方法防止本身数据资料被窃取，当然首先要考虑计算机本身不被攻破。如果自己能像铁桶一般，水泼不进，黑客无法进到你的网络中的计算机取得任何访问权限，当然就杜绝绝大多数的泄密可能（请注意，这时候还可能会泄密！比如被黑客欺骗而将数据发送出去）。我们先来看下如何加强自己的计算机和操作系统，对于所需要事先控制的攻击方式，这些手段都有效，以后的章节中就不重复说明。简单地说，对于操作系统加强，无论Windows、Unix或Linux，都可以从物理安全、文件系统、帐号管理、网络设置和应用服务几个方面来考虑，这里我们详细讨论全面安全防护方案，只提供些简单实用的系统安全检查项目。这是安全的必要条件，而不是充分条件。物理安全简单地说，物理安全就是看你计算机所处的物理环境是否可靠，会不会受到自然灾害（如火灾、水灾、雷电等）和人为的破坏（失窃、破坏）等。物理安全并非完全系统或者网络管理员的责任，还需要公司其他部门如行政、保安等一起协作，因为这是其他安全手段的基础，所以我们网管员还应该密切注意。要特别保证重要设备服务器要集中在机房里，并制订机房相关制度，无关人员不得进入机房等。网管员无特殊情况也不要进入机房，需要可以从外面指定终端进行管理。如果重要的服务器暴露都可以接近外部，那么无论你口令设得多么强大都没用，各种操作系统都可以用软盘、光盘启动来破解密码。文件系统安全文件和目录权限设置得是否正确，对系统中那些重要文件，权限要重新设置；UnixLinux系统中，还要注意文件setuid和setgid权限， 是否适合文件被赋予这些权限；帐号系统安全帐号信息，用户名和密码是否合乎规则，具有足够复杂程度。不要把权限给予任何没必要；Unix/Linux中可以合理地使用susudo；关闭无用账号；网络系统安全关闭一切不必要的服务。这点不必多说吧，每个开放的服务就象扇开启的门，都可能会被黑客悄悄地进入；网络接口特性。注意网卡不要处与监听或混杂模式；防止DoS网络设置。禁止IP转发、转发定向广播、限定多宿主机、忽略和发送重定向包、关闭时间戳响应、响应Echo广播、地址掩码广播、转发设置源路由包、加快ARP表过期时间、提高未连接队列大小、提高已连接队列大小；禁用r*命令和telnet命令，用加密SSH来远程管理；对NIS/NIS+进行安全设置；对NFS进行安全设置；应用服务安全应用服务服务器存原因，又经常会产生问题地方。因为应用服务种类太多，这里无法叙述，就请大家注意下这方面资料吧。如果可能，会今后继续提供些相关知识。可以肯定地说，没种应用程序完全安全，必须依靠们去重新设置。对于防止数据被窃取，也手段可以采用，使黑客侵入计算机之后能盗窃数据和资料。这就访问控制和加密。系统访问控制需要软件来实现，可以限制root权限，把那些重要数据设置为除特殊用户外，连root都无法访问，这样即使黑客成为root也没用。加密手段很多，这里也详细介绍，文件通过加密会以密文形式存放硬盘中，如果能正确解密，就 堆没任何意义字符，黑客就算拿到也没用。1.2、非法proxy原理介绍Proxy代理技术提高Internet访问速度效率上很大作用，这种技术基础之上又出现CacheServer等Internet访问优化技术，但Proxy也被黑客利用来进行非法活动。黑客把“肉鸡”设置为Proxy般两个目，首先正常Proxy目样，利用它更好地访问Internet，进行WWW浏览；其次就利用这台Proxy“肉鸡”特殊位置绕过些访问限制。普通WWWProxy其实Internet上很常见，些计算机免费而且开放地为所计算机提供WWWProxy服务，如果黑客想得到台合适Proxy时，并需要自己亲自去攻击计算机并安装Proxy软件，只需利用这些现成Proxy计算机就可以。 骇软站点上，很多ProxyHunter之类软件，输入某个网段就可以运行去自动搜索已经存 Proxy计算机。虽然Proxy本身并会被攻击，但运行Proxy服务， 客户端连接数目多时候会造成很大负担。而且些攻击如Unicode、LotusNotes>ASP攻击也正通过http协议进行，最终被攻击者会把Proxy服务器当做攻击来源，换句话说，Proxy服务器会成为这些攻击者替罪羊。所以最好要向外提供开放Proxy服务，即使因为需要而开放，也应加以严格限制。利用Proxy绕过些访问限制，“肉鸡”利用中也很常见。举个实例来说，某个公司为提高工作效率，允许员工使用QQ聊天，指示公司防火墙上限制所由内向外对UDP8000这个端口访问，这样内部就无法向外连接Internet上QQ服务器进行聊天。但黑客利用自己设置QQProxy就可以绕过这个限制正常访问QQ服务器。黑客利用QQProxy绕过访问限制.QQProxy同WWWProxy设置和使用方法 样。Internet上QQProxy时，黑客公司内部向外访问QQProxyUDP18000端口，这被禁止。而QQProxy会以客户端身份向真正访问目标-QQ服务器进行访问，然后把信息从UDP18000端口向黑客计算机转回去。这样，黑客就利用Proxy实现对访问限制突破。还可以利用这个原理进行其他协议限制绕过，如WWW、ICQ、MSN、YahooMessager、AOL等，只要Proxy软件支持。防御方法们设立任何类型Proxy服务器时，应当对客户端所限制，向无关员提供使用权限。这样提高服务器效率，又杜绝黑客借们Proxy进行攻击可能。防止内部员利用外部Proxy时，可以防火墙上严格限制，只能对外部规定站点规定服务进行访问。当然这样可能造成业务上便，所以具体环境下要具体考虑，综合地权衡。1.3、黑客交流平台原理介绍大家会问那么黑客直接发电子邮件、上ICQ就行吗？何必去冒险攻击其他计算机做为交流平台呢。请注意黑客之间传播都些能被别知道信息，如"已经控制XXX省网骨干路由器，你想要份它路由表吗？"，这样内容如果任何个邮件服务器和聊天服务器上被截获，从道义上讲这个网管都义务提醒被攻击网络负责，所以利用公共网络交流手段对黑客来说并可靠，黑客也要保密啊:-）。那怎么办？黑客既然控制“肉鸡”，成为“肉鸡”第二个"家长"，就资格和权限去把它设置为交流用服务器。这样交流平台上，黑客被发现可能性小得多，最高控制权限可以使黑客对这些活动进行各种各样掩饰。还另种利用形式就FTP服务器，供黑客兄弟们上传下载黑客软件，互通无。黑客“肉鸡”上做信息交换时候，会产生大量网络通信，尤其利用FTP上传下载时。如果发现你内外部通信突然反常地加大，检查下自己计算机吧。防卫性差“肉鸡”其管理员般水平也会很高，再加上缺乏责任心，往往自己计算机被占领很长时间都知道，直到天收到高额数据通信收费单，才大吃惊："怎么搞？！"。-难道他们自己就没责任吗？防御方法安全安全很大程度上取决于管理员否尽职尽责，好管理员必须好习惯。1.4、学习/开发平台原理介绍这种情况比较少见，却很意思。们平时使用个计算机，般可以安装Windows、FreeBSD、Linux和其他Unix系统x86版本，如果要实习其他平台上操作系统几乎可能。象AIX、HP-UX、Solaris（sparc）＞IRIX等，都需要相应硬件平台来配套，普通个计算机装上，这些知名厂商Unix计算机又非常昂贵，成 般计算机爱好者可望可及宝物。黑客兄弟们这里又 大显身手时候，到网上找到些可以侵入AIX什么机器，占领之后，想学习这种平台操作使用还 很简单事吗？曾个黑客站点上看到 转让台SunE250“肉鸡”控制权，开价300块，可怜那个管理员，自己机器已经被公开出售还知道。黑客“肉鸡”上做开发就更少见，因为这样做会很大风险。许黑客都没全职工作，他们中很多都编程高手，会通过朋友和其他渠道揽些程序开发活计，挣些零花钱。很多定制程序要跑特定平台上，如果个程序需要HP-UX平台上开发调试怎么办？HP-UX计算机很少能找到。但黑客又可以利用自己"特长"去攻下台，做为开发平台。过们都知道开发调试程序时候会各种种样bug，轻则导致程序正常，重则让系统崩溃，还会日志里留下记录。这就为什么说这么做很危险，因为它太容易被发现。要台计算机被当做开发平台用很久而管理员却无所知话，这个管理员实应该好好反省。防御方法方法同前部分，就必多说。关心你服务器吧。二、利用“肉鸡”进行攻击下面介绍下黑客利用“肉鸡”来攻击时几种方式。2.1非法扫描/监听平台原理介绍请看下前后两种情况对比。防火墙很常见网络安全设备，网络入口处起到个安全屏障作用，尤其黑客进行扫描时候防火墙将堵住对绝大多数端口探测。这时“肉鸡”就用武之地，从这里扫描本地网络中其他计算机需要经过防火墙，可以随便地查看它们漏洞。而且这时候防火墙上也会留下相应日志，易被发觉。黑客可以扫描结束时返回“肉鸡”取下结果，或者命令“肉鸡”把扫描结果直接用电子邮件发送到指定信箱。对于某个网络中进行非法监听来说，本地台“肉鸡”必须条件。由于以太网设计特点，监听只能本地进行。虽然随着交换式以太网普及，网络非法监听能收集到信息大大减少，但对于那些非法监听软件所“肉鸡”通讯计算机来说，威胁还很大。如果这个“肉鸡”本身还台重要服务器，那么危害就更大，黑客这上面会得到很多诸如用户帐号、密码、服务器之间合理信任关系信息等，对下步攻击起到很大辅助作用。2.2攻击实际出发点原理介绍如果说“肉鸡”做为扫描工具时候象黑客只眼睛，做监听工具时候象黑客只耳朵，那么“肉鸡”实际进攻时就黑客只手。黑客借助“肉鸡”这个内应来听来看，来攻击，而“肉鸡”成为提线木偶，举手投足都被从选程看到地方控制着。防御方法也需要对计算机进行严密监视。请参考前面内容。2.3DDoS攻击傀儡关于黑客利用“肉鸡”进行DDoS攻击手段就再赘述，详见IBMDeveloperWorks曾经刊登文章《分布式拒绝服务攻击(DDoS)原理及防范》2.4端口跳转攻击平台原理介绍只用文字描述比较抽象，们来看个例子。这个们实际安全响应中处理过程，这里黑客使用组合式攻击手段，其中包括对Windows服务器常见139端口攻击，对Solaris系统溢出攻击，攻击前信息收集，还2.4要里着重介绍端口跳转攻击方式。客户方系统管理员发现台Windows2000服务器行为异常后，马上切断这台服务器网络连接并向们报告，这当时网络拓扑结构。经过仔细诊断，们推断出黑客利用这台服务器139端口漏洞，从远程利用nbtdump、口令猜测工具、Windowsnet命令等取得这台服务器控制权，并安装BO2000木马。但客户系统管理员立刻否定们判断："虽然这台服务器139端口没关闭，但已经防火墙上设置规则，使外部计算机能访问这台服务器139端口。"又 个只防范外部攻击手段！难道大家都对内部攻击占70%以上比率视而见吗？过这里路由器日志显示，黑客确实从外部向这台服务器木马端口进行连接。们于继续汇总分析各方面数据，客户管理员也配合们进行检查。检查网络上其他主机时，们发现内部网中 台SUN工作站网卡上绑定3个IP地址，其中个IP地址被攻击Windows服务器个网段！这立刻引起们注意。客户管理员解释说这台SolarisSparc机器，经常用来做些测试， 时也会接入服务器网段，所以配个该网段地址。而且就 个多星期前，这台SUN工作站还放服务器网段。这就很可疑，们立刻对它进行检查，果然这台SUN工作站已经被占领，因为主要用途测试，客户管理员并没对它进行安全加强，攻破它易如反掌事情。它上面发现大量扫描、监听和日志清除工具，另外还 们意料之中端口跳转工具-netcat，简称nc。至此问题就比较清楚：黑客首先占领这台毫设防SUN机，然后上载nc，设置端口跳转，攻击Windows2000服务器139端口，并且成功地拿下它。还原当时网络拓扑图应该这样.三、攻击时直接借用上述各类情况同，直接利用其他计算机做为攻击平台时，黑客并需要首先入侵这些被利用计算机，而误导它们去攻击目标。黑客这里利用TCP/IP协议和操作系统本身缺点漏洞，这种攻击更难防范，特别制止，尤其后面两种反射式分布拒绝服务攻击和DNS分布拒绝服务攻击。3.1Smurf攻击原理介绍Smurf攻击这种攻击早期形式，种局域网中攻击手段。它作用原理基于广播地址回应请求。台计算机向另台计算机发送些特殊数据包如ping请求时，会接到它回应；如果向本网络广播地址发送请求包，实际上会到达网络上所计算机，这时就会得到所计算机回应。这些回应需要被接收计算机处理，每处理个就要占用份系统资源，如果同时接到网络上所计算机回应，接收方系统可能吃消，就象遭到DDoS攻击样。大家会疑问，谁会无聊得去向网络地址发包而招来所计算机攻击呢？当然做为个正常操作者 会这么做，但当黑客要利用这个原理进行Smurf攻击时候，他会代替受害者来做这件事。黑客向广播地址发送请求包，所计算机得到请求后，却会把回应发到黑客那里，而被攻击计算机处。这因为黑客冒充被攻击主机。黑客发包所用软件可以伪造源地址，接到伪造数据包主机会根据源地址把回应发出去，这当然就被攻击目标地址。黑客同时还会把发包间隔减到几毫秒，这样单位时间能发出数以千计请求，使受害者接到被欺骗计算机那里传来洪水般回应。象遭到其他类型拒绝服务攻击样，被攻击主机会网络和系统无法响应，严重时还会导致系统崩溃。黑客借助网络中所计算机来攻击受害者，而需要事先去占领这些被欺骗主机。实际使用中，黑客会笨到本地局域网中干这件事，那样很容易被查出。他们会从远程发送广播包到目标计算机所 网络来进行攻击。防御方法局域网中必进行Smurf攻击防御。们只需路由器上进行设置，收到定向广播数据包时将其丢弃就可以，这样本地广播地址收到请求包，Smurf攻击就无从谈起。注意还要把网络中条件成为路由器多宿主主机（多块网卡）进行系统设置，让它们接收和转发这样广播包。DrDoS（反射式分布拒绝服务攻击）原理介绍具体情况可以参考Smurf攻击原理结构图四。防御方法《分布式拒绝服务攻击（DDoS）原理及防范》DNS分布拒绝服务攻击原理介绍DNS拒绝服务攻击原理同DrDoS攻击相同，只 这里被欺骗利用 般计算机，而DNS服务器。黑客通过向多个DNS服务器发送大量伪造查询请求，查询请求数据包中源IP地址为被攻击主机IP地址，DNS服务器将大量查询结果发送给被攻击主机，使被攻击主机所 网络拥塞或再对外提供服务。防御方法通过限制查询主机IP地址可以减轻这种攻击影响，比较糟糕 现实环境中这么做DNS服务器很少。目前能从根本上解决这个问题。另外可以从自己网络设备上监视和限制对DNS查询请求回应，如果突然出现流量剧