在本文中,作者主要介紹了黑客用于攻擊網(wǎng)絡(luò)的一些工具。通過(guò)了解這些黑客工具的使用方法,讀者可以更好地保護(hù)自己網(wǎng)絡(luò)的安全。
的的的…………,凌晨3時(shí)45分,惱人的鈴聲將你吵醒。于是,你上網(wǎng)回應(yīng)呼叫,卻發(fā)現(xiàn)網(wǎng)絡(luò)已被斷掉,你已被黑客“黑”了。而且,這個(gè)黑客一定是個(gè)高手,因?yàn)閿?shù)個(gè)服務(wù)器都已停止工作,隨處都有他遺留的特洛伊木馬后門(mén)程序。天知道他還干了些什么!更令你頭疼是,當(dāng)你檢查E-mail時(shí),有許多公司竟在問(wèn)你為什么攻擊他們的網(wǎng)絡(luò)。顯然,黑客已經(jīng)利用你的主機(jī)去攻擊其它系統(tǒng)了。
為了幫助你更好地防范時(shí)刻發(fā)生的攻擊事件,本文描述了流行的黑客工具及有效的防范技術(shù),你可以利用這些技術(shù)來(lái)保障網(wǎng)絡(luò)的安全。
特別說(shuō)明
本文不是在教你如何去攻擊他人的系統(tǒng),而是客觀描述了現(xiàn)實(shí)世界中發(fā)生的攻擊事件,并向你提供了抵御這些攻擊的方法。
由于這些工具可以在網(wǎng)上免費(fèi)下載,并且它可能會(huì)損害你的系統(tǒng),因此,作者在文中論述某一工具時(shí),并不表示他默許或是推薦你使用。作者提醒:在使用這些工具時(shí),你一定要慎重、小心,而且你必須弄清楚源代碼的意思。
工具一:Password Crackers
Password Crackers因其用途廣泛而成為黑客使用的主流工具。實(shí)施口令破譯攻擊分為兩步,第一步:攻擊者首先從被攻擊對(duì)象的計(jì)算機(jī)里讀出一個(gè)加密口令檔案(大部分系統(tǒng),包括Windows NT及UNIX,他們把口令加密后儲(chǔ)存在檔案系統(tǒng)內(nèi),以便當(dāng)用戶(hù)登錄時(shí)認(rèn)證); 第二步:攻擊者以字典為輔助工具,用Password Crackers 開(kāi)始嘗試去破譯口令。其辦法是把字典的每一項(xiàng)進(jìn)行加密,然后兩者進(jìn)行比較。假若兩個(gè)加密口令相符,黑客就會(huì)知道該口令;假若兩者不符,此工具繼續(xù)重復(fù)工作,直到字典最后一項(xiàng)。有時(shí),黑客們甚至?xí)嚤槊恳环N字母的組合。使用該種方法,口令破譯的速度與加密及比較的速度有關(guān)。
工具二:L0phtCrack
L0phtCrack由黑客組L0pht Heavy Industries撰寫(xiě),于1997年推出。它以共享軟件(Shareware)的形式傳播。它專(zhuān)門(mén)用于破譯Windows NT口令。此工具性能強(qiáng)大,又很容易使用,初學(xué)者只需少量指點(diǎn)便能破譯口令。1999年1月推出的L0phtCrack 2.5版優(yōu)化了DES密碼程序,軟件性能也隨之提高(比舊版本快450%)。據(jù)稱(chēng),一臺(tái)450 MHz Pentium II 計(jì)算機(jī)一天內(nèi)就可破譯所有字母數(shù)字混合的口令。
L0phtCrack 可通過(guò)多種渠道得到加密的口令檔案。只要黑客運(yùn)行一個(gè)包含L0phtCrack的程序,或從window NT系統(tǒng)管理員的備份軟盤(pán)里拷貝一個(gè)程序,就可以得到Windows NT系統(tǒng)里的SAM數(shù)據(jù)庫(kù)。L0phtCrack最新版的GUI可以從網(wǎng)絡(luò)中得到加密的Windows口令。當(dāng)你登錄到NT域,你的口令會(huì)被用哈希算法送到網(wǎng)絡(luò)上。L0phtCrack的內(nèi)置嗅探器很容易找到這個(gè)加密值并破譯它。
因?yàn)檫@個(gè)工具對(duì)IT從業(yè)人員也有極大用處,所以從L0phtCrack 2.0版以后開(kāi)始收取注冊(cè)費(fèi)。最新版可以有15天免費(fèi)試用期,超過(guò)15日則收取100美金,并且有多個(gè)破譯程序以供選擇,有些收取費(fèi)用,有些可從自由軟件庫(kù)中得到。
L0phtCrack的防范
抵御口令破譯攻擊的最好方法是執(zhí)行強(qiáng)制的口令防范政策。例如要求用戶(hù)設(shè)想的口令很難被猜到。如口令應(yīng)該至少有8位,包括數(shù)字、字母及特殊字符(如!@#$%);口令應(yīng)不包括字典字。為了進(jìn)一步保障安全,一些口令自動(dòng)設(shè)置工具可以幫助用戶(hù)設(shè)計(jì)復(fù)雜的口令。
此外,你應(yīng)該時(shí)常用口令破譯工具檢查公司的口令是否安全。當(dāng)然,只有安全管理人員或是經(jīng)他們授權(quán)的人員才能允許使用該種工具,而且必須得到書(shū)面的批準(zhǔn)。同時(shí)你也應(yīng)當(dāng)事先對(duì)口令不幸被破譯的用戶(hù)做出解決方案,選擇向他發(fā)Email,還是親自拜訪用戶(hù),向他解釋你的口令政策。這些問(wèn)題在進(jìn)行口令評(píng)估前應(yīng)考慮完全。
工具三:War Dialers
很多公司非常重視防火墻的安全。然而,這個(gè)堅(jiān)固的防線只封住了網(wǎng)絡(luò)的前門(mén),但內(nèi)部網(wǎng)中不注冊(cè)的調(diào)制解調(diào)器卻向入侵者敞開(kāi)了“后門(mén)”。 War Dialers能迅速地找出這些調(diào)制解調(diào)器,隨即攻入網(wǎng)絡(luò)。因此,它成為一個(gè)非常受入侵者歡迎的工具。
War Dialer因電影“War Games”而一舉成名。它的攻擊原理非常簡(jiǎn)單:不斷以順序或亂序撥打電話號(hào)碼,尋找調(diào)制解調(diào)器接通后熟悉的回應(yīng)音。一旦War Dialers找到一大堆能接通的調(diào)制解調(diào)器后,黑客們便撥號(hào)入網(wǎng)繼續(xù)尋找系統(tǒng)內(nèi)未加保護(hù)的登錄或容易猜測(cè)的口令。War Dialers首選攻擊對(duì)象是“沒(méi)有口令”的PC遠(yuǎn)程管理軟件。這些軟件通常是由最終用戶(hù)安裝用來(lái)遠(yuǎn)程訪問(wèn)公司內(nèi)部系統(tǒng)的。這些PC遠(yuǎn)程控制程序當(dāng)用到不安全的調(diào)制解調(diào)器時(shí)是異常脆弱的。
THC-Scan是The Hacker’s Choice (THC) Scanner的縮寫(xiě)。 這個(gè) War Dialers 工具是由“van Hauser”撰寫(xiě)的。它的功能非常齊全。THC-Scan 2.0版于1998年圣誕節(jié)推出,THC-Scan與Toneloc (由“Minor Threat”及“Mucho Maas”撰寫(xiě)) 用途近似。THC-Scan與其他普通War Dialers工具不同,它能自動(dòng)檢測(cè)調(diào)制解調(diào)器的速度、數(shù)據(jù)位、校驗(yàn)位及停止位。 此工具也嘗試去判斷被發(fā)現(xiàn)的計(jì)算機(jī)所使用的操作系統(tǒng)。而且,THC-Scan有能力確認(rèn)什么時(shí)候能再有撥號(hào)音,這樣,黑客們便可以不經(jīng)過(guò)你的PBX就可以撥打免費(fèi)電話。
War Dialers的防范
當(dāng)然,最有效防范措施就是使用安全的調(diào)制解調(diào)器。取消那些沒(méi)有用途的調(diào)制解調(diào)器。且用戶(hù)必須向IT部門(mén)注冊(cè)后才能使用調(diào)制解調(diào)器。對(duì)那些已注冊(cè)并且只用作外發(fā)的調(diào)制解調(diào)器,就將公司的PBX的權(quán)限調(diào)至只允許外撥。每個(gè)公司應(yīng)有嚴(yán)格的政策描述注冊(cè)的調(diào)制解調(diào)器并控制PBX。由于市場(chǎng)零售店內(nèi)有使用方便、價(jià)格便宜的數(shù)字調(diào)制解調(diào)器出售, 用戶(hù)也能把調(diào)制解調(diào)器安裝在只有數(shù)字線的PBX上使用。
除此之外,你還要定期作滲透測(cè)試,找出電話交換器內(nèi)不合法的調(diào)制解調(diào)器。選用一個(gè)好的工具去尋找與網(wǎng)絡(luò)連接的調(diào)制解調(diào)器。對(duì)于被發(fā)現(xiàn)、但未登記的調(diào)制解調(diào)器,要么拿掉它們,要么重新登記。
工具四:Net Cat
Net Cat是一個(gè)用途廣泛的TCP及UDP連接工具。它是由“Hobbit”于1995年為UNIX編寫(xiě)的,于1997年推出。對(duì)系統(tǒng)管理人員及網(wǎng)絡(luò)調(diào)試人員而言,它是一個(gè)非常有用的工具。當(dāng)然,它也是一個(gè)攻擊網(wǎng)絡(luò)的強(qiáng)大工具。
Net Cat有許多功能,號(hào)稱(chēng)黑客們的“瑞士軍刀”。與功能強(qiáng)大的UNIX腳本語(yǔ)言結(jié)合時(shí),Net Cat是制造網(wǎng)絡(luò)工具的基本組件。Net Cat的基本程序可以以聆聽(tīng)式和客戶(hù)式兩種方式運(yùn)行。當(dāng)以聆聽(tīng)式運(yùn)行時(shí),Net Cat是一個(gè)服務(wù)器進(jìn)程,等待與指定的TCP或UDP端口連接。而以客戶(hù)式運(yùn)行時(shí),Net Cat能連接到用戶(hù)指定的任何端口。
Net Cat在一個(gè)系統(tǒng)內(nèi)以聆聽(tīng)式運(yùn)行,同時(shí)在另一系統(tǒng)內(nèi)以客戶(hù)式運(yùn)行時(shí),Net Cat可以發(fā)動(dòng)很多攻擊。它可以在任何端口提供后門(mén)登錄,如UDP端口53。從網(wǎng)絡(luò)包角度來(lái)分析,這種登錄被看成是一系列DNS問(wèn)答,其實(shí)這是真正的后門(mén)登錄。當(dāng)在兩系統(tǒng)內(nèi)以?xún)煞N方式同時(shí)運(yùn)行時(shí),Net Cat可以在任何端口架構(gòu)快捷、簡(jiǎn)單的檔案?jìng)鬏敊C(jī)制。
Net Cat也可以是源路包。當(dāng)Net Cat以客戶(hù)方式運(yùn)行時(shí),它是個(gè)UDP及TCP端口掃描器。當(dāng)它發(fā)現(xiàn)系統(tǒng)內(nèi)有打開(kāi)的端口時(shí),Net Cat會(huì)輕而易舉地與這些端口連接。
Net Cat NT版有一個(gè)獨(dú)特之處:它可以將自己綁定在當(dāng)前進(jìn)程的端口前端。利用這一功能可以非常有效地向服務(wù)器或Web服務(wù)器發(fā)動(dòng)攻擊。這種連接也可以因拒絕服務(wù)攻擊(Denial-of-service DoS)而被斷掉。有時(shí)黑客把自己的請(qǐng)求送到正當(dāng)?shù)姆⻊?wù)器進(jìn)程前,編寫(xiě)特別的程序用來(lái)尋找敏感數(shù)據(jù)(口令、銀行帳號(hào)等)。
Net Cat防范
最佳防范Net Cat的方法是“最小特權(quán)原理”(昵稱(chēng)為“polyp”)(Principle of Least Priviledges)。也就是說(shuō),不讓不需要的端口經(jīng)過(guò)防火墻,只有那些你允許通過(guò)的端口可以與指定的主機(jī)連接。例如:經(jīng)過(guò)防火墻的DNS查詢(xún),只打開(kāi)需要此服務(wù)的UDP 53端口(通常是一個(gè)內(nèi)部DNS服務(wù)器把這些查詢(xún)轉(zhuǎn)出到Internet)。這樣就可以防止攻擊者有機(jī)會(huì)把Net Cat包送到你內(nèi)部網(wǎng)的任何主機(jī)上。
至于那些可以被外部訪問(wèn)的系統(tǒng),在防范Net Cat攻擊時(shí),你要清楚這些機(jī)器上已運(yùn)行的進(jìn)程,并且仔細(xì)調(diào)查那些不尋常進(jìn)程,因?yàn)樗鼈兛赡苁呛箝T(mén)聆聽(tīng)者。你必須定期檢查端口,以便發(fā)現(xiàn)有沒(méi)有聆聽(tīng)者侵入你的機(jī)器。
為了防止回放攻擊,所有應(yīng)用系統(tǒng)應(yīng)該為每條消息(包括web cookies、表單或者是原始數(shù)據(jù))蓋上時(shí)間印及順序號(hào)碼。所有消息的時(shí)間印及順序號(hào)應(yīng)經(jīng)過(guò)密碼完整性測(cè)試,確保沒(méi)有被修改或回放。
工具五:Session Hijacking
很多應(yīng)用系統(tǒng)采用命令行登錄是不安全的,尤其是telnet、rsh、rlogin及FTP程式,它們?nèi)呛诳凸魧?duì)象。任何一個(gè)黑客在連接了客戶(hù)與服務(wù)器之間的網(wǎng)段后,可以用Session Hijacking工具接管會(huì)話。
當(dāng)一個(gè)合法用戶(hù)登錄到命令行進(jìn)行會(huì)話時(shí),黑客可以找到此會(huì)話并馬上代表用戶(hù)接管此會(huì)話,重新連接客戶(hù),這樣黑客便完全控制這個(gè)登錄,進(jìn)而黑客成為合法用戶(hù)。而真正的用戶(hù)會(huì)簡(jiǎn)單地認(rèn)為網(wǎng)絡(luò)出故障了,從而會(huì)斷掉會(huì)話。
黑客圈里有大量此種黑客工具,最新的有 “Kra”于1998年11月編寫(xiě)的Hunt, 還有“daemon9”編寫(xiě)的juggernaut,它們均提供基本的Session Hijacking功能。
Session Hijacking防范
對(duì)于敏感的會(huì)話通信(如防火墻的遠(yuǎn)程管理、PKI或是其他重要部件的管理),選用一個(gè)有密碼認(rèn)證功能的工具把整個(gè)會(huì)話加密是一個(gè)好選擇。Secure Shell (SSH)就提供這些功能。VPN產(chǎn)品也提供認(rèn)證及會(huì)話加密。黑客沒(méi)有在SSH或VPN工具里所用的鑰匙便無(wú)法進(jìn)行會(huì)話攻擊。
快樂(lè)的結(jié)局
讓我們回顧一下三個(gè)月前篇首所描述的攻擊情節(jié)。
當(dāng)你調(diào)查這次攻擊時(shí),你發(fā)現(xiàn)入侵者使用war dialing找出一個(gè)供用戶(hù)使用的不受保護(hù)的調(diào)制解調(diào)器。隨后他接管了這個(gè)系統(tǒng),并掃描整個(gè)網(wǎng)絡(luò),把后門(mén)安裝在網(wǎng)絡(luò)內(nèi)部的機(jī)器中。當(dāng)黑客觀察到一位系統(tǒng)管理員登錄到公用Web服務(wù)器上時(shí),他就接管該服務(wù)器,并用它開(kāi)始攻擊其他Internet站點(diǎn)。
經(jīng)過(guò)此次事件,你的機(jī)構(gòu)開(kāi)始注意到安全防范的重要性,管理部門(mén)也授權(quán)你去實(shí)施一項(xiàng)口令及調(diào)制解調(diào)器政策,他們開(kāi)始定期作war dialing及口令破譯測(cè)試,以及安裝自動(dòng)監(jiān)測(cè)預(yù)警系統(tǒng)。
經(jīng)過(guò)施行這些新政策后,公司網(wǎng)絡(luò)的安全性大大提高。你明白了只有認(rèn)真學(xué)習(xí)并且施行防范策略才能免受攻擊。即使日后又發(fā)現(xiàn)任何隱患,你也會(huì)迅速檢測(cè)到并立即采取措施。
希望你有了這些知識(shí)后,可以在晚上睡個(gè)好覺(jué)了!
Back Orifice 簡(jiǎn)介
黑客一旦找出調(diào)制解調(diào)器并破譯口令成功后, 他會(huì)做什么? 通常,他會(huì)在系統(tǒng)內(nèi)安裝后門(mén)程序以便他稍后再來(lái)。Back Orifice(或稱(chēng)BO) 是功能強(qiáng)大的后門(mén)制造工具, 它能輕而易舉的使龐大的網(wǎng)絡(luò)系統(tǒng)陷入癱瘓之中。
Back Orifice由黑客Cult of the Dead Cow (cDc)于1998年8月推出。BO包括服務(wù)器部分和客戶(hù)部分。服務(wù)器部分安裝在受侵者的Window 95機(jī)器上,而客戶(hù)部分在黑客系統(tǒng)中運(yùn)行。安裝BO主要目的是:黑客通過(guò)網(wǎng)絡(luò)遠(yuǎn)程入侵并控制受攻擊的Win95系統(tǒng),從而使受侵機(jī)器“言聽(tīng)計(jì)從”。
BO以多功能、代碼簡(jiǎn)潔而著稱(chēng)。BO服務(wù)器只有121KB,安裝迅速。BO客戶(hù)軟件用UDP包與服務(wù)器溝通,可配置到系統(tǒng)任何端口上,缺省是UDP 31337(黑客術(shù)語(yǔ)是“Elite”)。
BO具有許多特點(diǎn):
·黑客完全控制文件系統(tǒng),可以移動(dòng)、編輯、刪除及復(fù)制受侵機(jī)器的程序。
·可以捕獲用戶(hù)任何的鍵盤(pán)敲擊。這點(diǎn)使BO產(chǎn)生強(qiáng)大的殺傷力。因?yàn)楫?dāng)受害者鍵入的是口令或公鑰密碼時(shí),BO也將它們?nèi)鐚?shí)地存在文件中,以便攻擊者日后取用。
·黑客可以在受侵機(jī)器上運(yùn)行任何進(jìn)程,并使這些進(jìn)程可在任何端口上聆聽(tīng)。
·BO試圖隱藏自己,不在任務(wù)列上出現(xiàn)。
·BO服務(wù)器自帶Web服務(wù)器,這樣黑客可以用Browser訪問(wèn)受害機(jī)器。
·其他黑客利用所謂的BO統(tǒng)一工具傳輸插件(即“BUTT plugs”),把BO功能進(jìn)行擴(kuò)充。已經(jīng)推出的插件宣稱(chēng)可以經(jīng)E-mail或IRC激活BO,這樣,當(dāng)工具在網(wǎng)絡(luò)擴(kuò)散時(shí),就可以找到最新的目標(biāo)。
·一個(gè)有效的BO嗅探器插件已被編寫(xiě)完成。
BO很容易安裝。只要安裝一個(gè)必須的簡(jiǎn)單程序,就能很容易并快速地安裝所有BO組件。BO以多種形式傳播,有時(shí)受侵者可能在毫不知情的情況下(經(jīng)e-mail附件或Web站點(diǎn)傳播)就被強(qiáng)迫執(zhí)行安裝程序了。
wrappers是和BO相關(guān)的工具之一,它可以把BO與無(wú)害的程序合并。例如:它把BO與一些不重要的軟件(如文字處理器或是網(wǎng)絡(luò)上流行的簡(jiǎn)單游戲)結(jié)合,然后,黑客將BO附在game.exe上,并把結(jié)果文件用email方式發(fā)給用戶(hù),假裝通知用戶(hù),軟件該升級(jí)了。當(dāng)用戶(hù)執(zhí)行升級(jí)程序時(shí),此工具首先安裝BO,之后運(yùn)行被結(jié)合的應(yīng)用程序。用戶(hù)只看到游戲在運(yùn)行,卻根本不知道他們已成為BO的受害者。最后,此工具可以由Web的不簽名Java applets或activeX controls安裝。
防范
雖然Bo試圖隱藏自己(不出現(xiàn)在任務(wù)列上),但它仍然很容易被人發(fā)現(xiàn)。當(dāng)進(jìn)行人工檢測(cè)BO時(shí),只要在c:\windows\system 目錄里找到122KB .exe文件,并與在windows Registry 里的HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Default鑰匙里的鑰匙名比較即可。若二者是一致的,則證明系統(tǒng)中存在BO。(值得注意的是:文件名及鑰匙名是由攻擊者配置的,但缺省是:“.exe”)。最后,如系統(tǒng)中有BO存在,則可在c:\windows\system 目錄內(nèi)找到一個(gè)叫作“windll.dll”的文件。
盡管人工分析對(duì)少量機(jī)器有用,但進(jìn)行大范圍掃描則需要反病毒產(chǎn)品。有幾家反病毒廠家已把檢測(cè)BO功能融入其產(chǎn)品的最新的版本中。直至截稿,BO只針對(duì)window95進(jìn)行破壞。但是,BO客戶(hù)部分也可以在Windows及 UNIX下進(jìn)行破壞工作。不要因?yàn)槟阌肗T系統(tǒng)就可以高枕無(wú)憂。請(qǐng)注意,Carl-Fredrik Neikter所編寫(xiě)的Net Bus便是針對(duì)NT服務(wù)器進(jìn)行破壞的,且功能與BO相同。Net Bus 2.0在1999年1月已推出。
其他攻擊工具
ROOT EXPLOITS
攻擊者利用ROOT EXPLOITS,使用普通UNIX帳號(hào)訪問(wèn)超級(jí)用戶(hù)從而接管機(jī)器。攻擊者在UNIX系統(tǒng)里有無(wú)數(shù)方法把自己升級(jí)。
ROOT EXPLOITS的防范
安全從業(yè)人員及系統(tǒng)管理員應(yīng)參照Carnegie Mellon 的CERT(cert.org)及bugtrag (subscribe:list serve@net space.org)的安全簡(jiǎn)訊,密切注意新的exploits。當(dāng)新的攻擊被擊破后,應(yīng)迅速并且有步驟地為受影響的機(jī)器進(jìn)行測(cè)試和安裝廠家的補(bǔ)丁程序。對(duì)于對(duì)外公開(kāi)使用的Web服務(wù)器、DNS系統(tǒng)、防火墻等,應(yīng)該使用基于主機(jī)的安全監(jiān)控軟件檢測(cè)尋找根目錄的用戶(hù)。
拒絕服務(wù)(Denial-of -service DoS)攻擊
這類(lèi)攻擊會(huì)使系統(tǒng)混亂或變慢,直至不能再使用。在過(guò)去的兩年中,這類(lèi)攻擊方法被黑客大量使用,而且攻擊目標(biāo)是操作系統(tǒng)、路由器、甚至是激光打印機(jī),且攻擊者使用的軟件五花八門(mén),如Ping O Death, Land, Smurf, Bonk, Boink及Latierra。這些攻擊看起來(lái)不是那么兇猛,但公司卻往往因此而導(dǎo)致系統(tǒng)癱瘓、員工閑置及交易流產(chǎn),公司最終會(huì)付出昂貴代價(jià)。
Denial-of -service的防范
同樣,密切注意最新攻擊事件及頻頻安裝系統(tǒng)補(bǔ)丁仍然是防范DoS攻擊的最佳方法。當(dāng)然,你也可以嘗試在外部路由器放置反欺騙過(guò)濾器或設(shè)置好內(nèi)部網(wǎng)絡(luò)路由器以抵御DoS的攻擊。
Remote Explorer
Remote Explorer是一個(gè)有很強(qiáng)殺傷力的NT病毒。它在NT系統(tǒng)中將自己偽裝成一種服務(wù)。當(dāng)管理員登錄時(shí),此病毒會(huì)使自己自動(dòng)擴(kuò)散到該域內(nèi)所有NT機(jī)器上。在受影響的系統(tǒng)里,Remote Explorer會(huì)隨機(jī)加密文件,而拒絕合法的訪問(wèn)。
Remote Explorer的防范
嚴(yán)密的反病毒措施及有效的病毒防范工具可以防止Remote Explorer的攻擊