黑客避开检测的手段_安全相关

   黑客的聪明并不只是在于他们知道如何去入侵服务器,还在于他们知道如何去伪装自己的攻击。恶意的攻击者会使用多种逃避的手段来让自己不会被检测到,所以作为系统管理员,也应当了解这些手段以应付可能发生的攻击。

  这篇文章的主要目的不是揭示黑客新的攻击手法,而是对那些黑客所用到的逃避检测的手法以及他们可能留下的证据做描述。这些手段的欺骗性很大,所以想检测到它们也更加的困难。 

网络服务器 

  我们的实验环境使用两种最常用的网络服务器,Apache和微软的Internet Information Server(IIS)。我们在Red Hat Linux上运行Apache 1.3.9,在Windows NT 4.0上运行IIS 4.0。并且两种都采用普通和允许SSL的版本,所以我们可以对加密和未加密的服务器的攻击做测试。

16进制编码

  一种最简单的将攻击伪装的手段就是修改URL请求。作为管理员,我们一般会在日志文件中查找某些字符串,或是一些普通文本的字符集。例如我们在请求中查找匹配已知漏洞的字符串。例如,我们在我们的IIS服务器中发现了如下的字符串,我们就知道有人正在查找是否有IIS中可以远程利用的MDAC漏洞: 

06:45:25 10.0.2.79 GET /msadc/ 302

要知道攻击者是如何躲过这种匹配检测的,请参考以下作为恶意攻击者策略一部分的请求。要确定msadc目录是否存在,攻击者可能键入以下内容:

[root@localhost /root]# nc -n 10.0.2.55 80 
GET /msadc HTTP/1.0

这就会产生我们以上所见的日志文件。攻击者可以将请求进行十六进制的ASCII字符编码。在以上的例子中,字符串msadc在十六进制编码以后就会变为6D 73 61 64 63。你可以使用Windows Charmap程序来快速的进行字符的ASCII到十六进制的转换。以上的HTTP请求,将字符串msadc用十六进制编码以后,就变成了: 

[root@localhost]# nc -n 10.0.2.55 80 
GET /%6D%73%61%64%63 HTTP/1.0 

IIS的日志文件显示:

07:10:39 10.0.2.31 GET /msadc/ 302 

应当注意的是,虽然采用了十六进制编码的手段,但是所产生的日志和没有使用十六进制编码的URL产生的是一样的。所以在这个例子里,编码并没有帮助攻击者逃避检测。但是,如果我们看看看Apache的日志情况,那么就是另外一个情形了。以下列出了攻击者使用来搜索某个CGI脚本的命令,后面跟着的是使用十六进制编码以后的同样命令: 

[root@localhost]# nc -n 10.0.0.2 80 
HEAD /cgi-bin/test-cgi HTTP/1.0 
[root@localhost]# nc -n 10.0.0.2 80 
HEAD /%63%67%69-bin/test-%63%67%69 HTTP/1.0 

现在我们来查看一下access_log文件: 

10.10.10.10 - - [18/Oct/2000:08:22:47 -0700] "HEAD /cgi-bin/test-cgi HTTP/1.0" 200 0 
10.10.10.10 - - [18/Oct/2000:08:23:47 -0700] "HEAD /%63%67%69-bin/test-%63%67%69 HTTP/1.0" 200 0 

首先应注意到的是在这两个例子中都是200代码说明命令完成成功。但是在第二中情况中,日志中出现的是十六进制的值而不是明文的。如果我们是依赖于形式来对这种攻击进行检测的话,那么我们是不可能检测到所发生的攻击的。许多的入侵检测系统使用的格式匹配技术智能化都不高,并且有些产品不会将十六进制的URL转换过后进行匹配。但是不论所使用的入侵检测软件是否能够对十六进制的代码进行转换,所有的网络管理员都应当对这种伎俩有所了解。 

代理服务器 

  因为对攻击者而言完全隐藏攻击行为是很难做到的,所以掩盖攻击的真实来源也就成为相当重要的课题了。如果黑客可以隐藏他的源IP地址的话,那么他就可以在不用担心被抓住的情况下进行攻击。而黑客用来隐藏他们的源IP地址的一种手段就是使用代理服务器。 

  代理服务器是被合法的用来从一个单一的访问点转发多种协议的。一般来说,内部用户必须通过代理服务器才能访问Internet,因此管理员就可以在代理服务器指定外部访问以及内部访问的限制策略。用户首先是和代理服务器建立连接,然后代理服务器就将连接请求转发到真正的目的地址。目的地址会记录下代理服务器的IP地址以作为请求的源地址,而不是最初发出请求的系统的IP地址。

  但是不幸的是代理服务器在Internet上的放置太随意了。(可以查看Proxys-4-All来获得这些错误配置机器的列表。) 这些服务器经常会存在配置错误使得Internet用户可以连接到这些代理服务器上。一旦某个Internet用户通过代理服务器连接到某个服务器上,该服务器就会将代理服务器的IP地址作为发出请求的源地址记录在日志中。而在被攻击服务器的日志中对攻击者的记录其IP地址是属于一个没有任何攻击行为的“无辜”主机的,而不是攻击者的真正地址。我们来看以下的例子。 

  下面的例子显示了黑客的攻击和攻击在日志中产生的相关信息。 

  攻击者 

[root@10.1.1.1 /]# nc -v 10.8.8.8 80 
HEAD / HTTP/1.0 

日志文件 

10.1.1.1 - - [18/Oct/2000:03:31:58 -0700] "HEAD / HTTP/1.0" 200 0 

在下面这种情况中,我们看到攻击者达到了同样的目的,但是这次他使用了代理服务器。 

攻击者 

[root@10.1.1.1 /]# nc -v 216.234.161.83 80 
HEAD http://10.8.8.8/ HTTP/1.0 

日志文件 

216.234.161.83 - - [18/Oct/2000:03:39:29 -0700] "HEAD / HTTP/1.1" 200 0 

注意在这个例子中,日志文件中所出现的地址是代理服务器的(216.234.161.83,proxy.proxyspace.com),而不是攻击者的真实地址。在这个案例中,攻击者成功的隐藏了攻击的来源地址。不过网络管理员如果能得到代理服务的支持的话还是可以追踪到攻击的真正来源。大多数的代理服务器都会保存一份相当详细的日志,所以多半也就可以从中找到攻击的来源。但是道高一尺魔高一仗,黑客也有相应的方法来反跟踪:他们可以使用多重代理,也可以说是一个“代理链”来进行攻击。而管理员和执法部门也就必须对所有的中间代理服务器进行依次检查来获得攻击来源。在黑客的团体中这种“代理链”的使用非常的普遍,并且有类似SocksChain for Windows这样的工具可供使用。 

SSL 

  对此以往很多人进行了讨论,但是它现在值得再一次提出:允许SSL的服务器是不会被网络入侵检测系统所检测到的。如果让一个黑客在80端口(HTTP)和443端口(HTTPS)之间做一个选择的话,攻击者每一次都会选择443端口的。这实际上并不是什么手段,而是由于加密通讯的使用所造成的副作用。你可以使用网络服务器日志文件来监视443端口的请求。

结论 

  我们向你演示了一些网络上的黑客常用的欺骗伎俩。无须多说,这些手段是随着黑客们的想象力和创造力不断增加而不断扩展的。例如十六进制编码这样的技术不光是用在欺骗性的日志文件入口这样的地方;它同样也欺骗网络服务器的URL解析机制,并可能导致例如源代码暴露之类的漏洞的出现。攻击者某些时候也使用多代理服务器来进行扫描和攻击,让管理员很难跟踪攻击的真正来源。当然,SSL某些时候为“安全黑客行为”铺平了道路。

时间: 2024-09-20 15:44:57

黑客避开检测的手段_安全相关的相关文章

揭开面纱看看黑客用哪些工具(2)_安全相关

   二.对爱猫发动的战争  ★战争拨号机  战争拨号机(War Dialers)的原理很简单,首先它用升序或随机的方式拨接一系列的电话号码,一旦发现隐藏的Modem就能拨号进入系统,并能破解容易猜的密码.战争拨号机对于没有设定密码又使用远程控制软件的个人电脑,可说是百发百中.而企业员工的电脑和公司系统的连接往往就是这种形式.有许多黑客之所以喜欢从员工的家用电脑下手,就是这个道理.很多公司为了防黑,花了很多时间和金钱建立防火墙,认为必然万无一失,可是防火墙只护住了网络的前门,内部网络中一些没有登

一个黑客必备的基本技能_安全相关

   1.黑客的精神态度是很重要的,但技术则更是重要.黑客的态度虽然是无可取代,随著新科技的发明和旧技术的取代,这些工具随时间在慢慢的改变.例如:以往总是会学会用机器码写程序,直到最近我们开始使用HTML.不过,在1996年末,当然,这是基础的hacking技能.在1997年,理所当然的,你必须学会C. 但,如果你只是学一种语言,那么你不能算是一位黑客,了不起只能算是一个programmer.除此,你还必须学会学会以独立于任何程序语言之上的概括性观念来思考一件程序设计上的问题.要成为一位真正的黑

黑客破解口令常用的三种方法_安全相关

   通过破解获得系统管理员口令,进而掌握服务器的控制权,是黑客的一个重要手段.破解获得管理员口令的方法有很多,下面是三种最为常见的方法.  (1)猜解简单口令:很多人使用自己或家人的生日.电话号码.房间号码.简单数字或者身份证号码中的几位:也有的人使用自己.孩子.配偶或宠物的名字:还有的系统管理员使用"password",甚至不设密码,这样黑客可以很容易通过猜想得到密码.  (2)字典攻击:如果猜解简单口令攻击失败后,黑客开始试图字典攻击,即利用程序尝试字典中的单词的每种可能.字典攻

黑客攻击方式的四种最新趋势_安全相关

   从1988年开始,位于美国卡内基梅隆大学的CERT CC(计算机紧急响应小组协调中心)就开始调查入侵者的活动.CERT CC给出一些关于最新入侵者攻击方式的趋势.  趋势一:攻击过程的自动化与攻击工具的快速更新  攻击工具的自动化程度继续不断增强.自动化攻击涉及到的四个阶段都发生了变化.  1.扫描潜在的受害者.从1997年起开始出现大量的扫描活动.目前,新的扫描工具利用更先进的扫描技术,变得更加有威力,并且提高了速度.  2.入侵具有漏洞的系统.以前,对具有漏洞的系统的攻击是发生在大范围

角逐网络江湖—黑客兵器谱排名_安全相关

   纵横于黑客江湖,没几件称心兵器怎能立足?本栏目将不定期刊出黑客常用的重量级兵器,希望对读者朋友了解.学习网络安全技术有所指导.  No.1 懂得用刀杀人并不困难,要懂得如何用刀救人,却是件困难的事.  兵器名称:X-Scan  杀伤指数:★★★★☆  独门绝技:采用了多线程方式对指定IP地址段进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式.扫描内容包括:远程服务类型.操作系统类型及版本,各种弱口令漏洞.后门.应用服务漏洞.网络设备漏洞.拒绝服务漏洞等二十几个大类,支持在

黑客秘籍:Windows下权限设置_安全相关

   随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁.只让80端口对外开放的WEB服务器也逃不过被黑的命运.难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!  要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003.众所周知,Windows是一个支持多用户.多任务的操作系统,这是权限设置

黑客如何给你的系统种木马_安全相关

   相信很多朋友都听说过木马程序,总觉得它很神秘.很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的.今天,笔者就以最新的一款木马程序--黑洞2004,从种植.使用.隐藏.防范四个方面来为网络爱好者介绍一下木马的特性.需要提醒大家的是,在使用木马程序的时候,请先关闭系统中的病毒防火墙,因为杀毒软件会把木马作为病毒的一种进行查杀.  操作步骤:  一.种植木马  现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端).你要使用木马控制对方的电脑,首先需要在对方的的电

黑客入侵Windows XP系统常用七大招数_安全相关

本文讲述了黑客入侵Windows XP操作系统常用的七种方法,如果大家遇到类似那可要注意了--  第一招:屏幕保护 在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全. 提示:部分设计不完善的屏幕保护程序没有屏蔽系统的"Ctrl+Alt+Del"

如何成为一名黑客全系列说明第1/2页_安全相关

什么是黑客? Jargon File 包含了一大堆关于"hacker"这个词的定义,大部分与技术高超和热衷解决问题及超越极限 有关.但如果你只想知道如何 成为 一名黑客,那么只有两件事情确实相关.这可以追溯到几十年前第一 台分时小型电脑诞生, ARPAnet 实验也刚展开的年代,那时有一个由程序设计专家和网络名人所组成的,  具有分享特点的文化社群.这种文化的成员创造了 "hacker" 这个名词.黑客们建立了 Internet.黑 客们发明出了现在使用的 UNIX