| 远程攻击(一) |
| 作者:未知 来源:未知 加入时间:2006-3-16 www.cnitrc.com |
|
⒈什么是远程攻击?
一个远程攻击是这样一种攻击,其攻击对象是攻击者还无法控制的计算机;也可以说,远程攻击是一种专门攻击除攻击者自己计算机以外的计算机(无论被攻击的计算机和攻击者位于同一子网还是有千里之遥)。“远程 计算机”此名词最确切的定义是:“一台远程计算机是这样一台机器,它不是你正在其上工作的平台,而是能利用某协议通过Internet网或任何其他网络介质被使用的计算机”。
⒉第一步
进行远程攻击的第一步并不需要和攻击目标进行密切地接触(换句话说,如果入侵者聪明的话,那第一步可以不要)。入侵者的第一个任务(在识别出目标机及其所在的网络的类型后)是决定他要对付谁。此类信息的获得毋需干扰目标的正常工作(假设目标没有安装防火墙。因为大部分的网络都没有安装防火墙,长期以来一直如此)。此类的某些信息可通过下面的技术获得:
■运行一个查询命令host。通过此命令,入侵者可获得保存在目标域服务器中的所有信息。其查询结果所含信息量的多少主要依靠于网络的大小和结构。
■WHOIS查询。此查询的方法可识别出技术管理人员。这类信息也被认为是无用的。实际上不然。因为通常技术管理人员需要参与目标网的日常管理工作,所以这些人的电子邮件地址会有些价值(而且同时使用host和WHOIS查询有助于你判断目标是一个实实在在的系统还是一个页结点,或是由另一个服务形成的虚拟的域等等)。
■运行一些Usenet和WEB查询。在入侵者和目标进行实际接触之前,他还有许多查询工作要做。其中之一就是查询某位技术管理人员的名字信息(使用强制的、区分大小写的、完全匹配用的条件查询)。通过些查询入侵者可了解这些系统管理员和技术管理员是否经常上Usenet。同样,也可在所有可用的安全邮件列表的可查询集合中查询他们的地址。
“你应该如何做呢?首先试着收集目标的信息。有许多网络服务可于此目的,finger、showmount和rpcinfo都是好的起点。但不要停滞于此,你还能利用DNS、Whois、Sendmail(smtp)、ftp、uucp和其他的可用的各种服务。”
收集系统管理员的相关信息是最为重要的。系统管理员的职责是维护站点的安全,当他们遇到各种问题时,许多管理员会迫不及待地将这些问题发到Usenet或邮件列表上以寻求答案。
只要肯花一定时间来寻找此系统管理员的地址(和其他的一些信息),你便能彻底地了解他的网络、他的安全概念以及他的个性。因为发出这种邮件的系统管理员总会指明他们的组织结构、网络的拓朴结构和他们面临的问题。
注意:对Windows NT网络进行攻击却截然不同。你必须一直跟踪每台机器上的根帐号(或者说系统管理员帐号)。因为NT并未设计出su等命令,用以完面只有根帐号才能完成的任务。而且NT上系统管理员帐号和UNIX上的根帐号有着极大的差异。
因为不直接被使用根帐号,所以系统管理员的ID可为任何字符串。让我们假设你知道那个 ID:walrus。进一步假设通过host查询命令,你得到了150台计算机的有关信息,其中包括每台计算机的名字。例如,他们可以是mail.victim.net、news.victim.net、shell.victim.net、
cgi.victim.net等等(尽管在实践中,它们可能会有“主题”名,从而使外人不知道某台机器负担何种工作,如sabertooth.victim.net、bengal.victim.net等)。
入侵者应该在每台机器上试一试管理员的地址。例如,他会试一试walrus@shell.victim.net,walrus@sabertooth.victim.net
等。换句话说,除了在网络的每台计算机上尝试管理员的地址,还要在每台计算机上尝试所有的具有普遍性的东西。也许可以发现walrus喜欢用的计算机,所在信件都是从这台计算机邮出的。
请注意,如果目标是一个服务提供者(或者允许用户对它进行合法访问的系统),那么通过观察系统管理员从哪进入系统能获得此管理员的更多信息。一般从外部联合使用finger和rusers命令即可获得这些信息。换句话说,你要一直留意外部网(除目标网以外的网,在这些网络上那个系统管理有一些帐号),如果他最近的一次登录是在Netcom,跟踪他在Netcom帐号一天左右,看看会发生什么。
⒊关于finger查询
finger很可能暴露你的行为,为了避免finger查询产生标记,绝大多数入侵者使用finger gateways(finger网关)。finger网关是一些WEB主页,通常包含了一个简单的输入框(field),此框指向在远地服务器硬盘上的一个CGI程序。此远程服务器执行finger查询。
下面提供了此类finger网关的一个例子
http://www.hgp.med.umich.edu/cgi-bin/finger
通过finger网关的使用,入侵者能隐藏其源地址。
⒋操作系统
也许你已经使用了各种方法(包括在上文中所提及的方法和另外一些方法)来识别在目标网络上使用的操作系统的类型的版本。无论如何,一旦判断出目标网络上的操作系统和结构是多样的,下一步的研究工作就可以进行了。首先作一张表,列出每个操作系统和机器的类型(这张表对于你进一步进行研究有极大地帮助),然后对每个平台进行研究并找出它们中的漏洞。
知道操作系统后可到如下地址查找相关的安全报告:
http://info.arc.com/sec_bull/sec_bullsearch.html |
|
|
未经书面授权严禁转载和复制本站的任何招聘信息和文章