黑客在進行攻擊時會借用其他系統來達到自己的目的,如對下一目标的攻擊和被侵占計算機本身的利用等等。本文介紹了常見的黑客對被侵占計算機的使用方式和安全管理者相應的應對方法。
黑客進行網絡攻擊時,除了自己手中直接操作的計算機外,往往在攻擊進行時和完成之後利用、控制其他的計算機。他們或者是借此達到攻擊的目的,或者是把這些計算機派做其他的用途。本文彙總描述了黑客各種利用其他計算機的手段,希望網絡與系統管理者能通過了解 這些攻擊辦法來達到更好地進行安全防範的目的。
一、對“殭屍電腦”的利用
“殭屍電腦”這個詞被黑客專門用來描述Internet上那些防護性差,易于被攻破而且控制的計算機。
1.1、本身資料被擷取
原理介紹
這是一台計算機被攻破并完全控制之後,黑客要做的第一件事。很多黑客宣稱自己是非惡意的,隻是對計算機安全感興趣,在進入别人的計算機時,不會進行破壞、删除、篡改等操作。甚至還有更"好心"一些的黑客會為這些計算機打更新檔,做一些安全加強。
但是他們都回避了一個問題,那就是對這些計算機上本身儲存的資料如何處理。确實,對别人的計算機進行破壞這種損人不利已的事情對這大多數黑客來講沒有太大意思,不過他們都不會反對把“殭屍電腦”上的資料弄回來儲存。這時黑客再說"沒有進行破壞"是說不過去的,根據計算機安全的基本原則,當資料的"完整性、可用性和機密性"中任意三者之一在受到破壞的時候,都應視為安全受到了破壞。在被占領的計算機上可能會儲存着使用者資訊、網絡拓撲圖、商業秘密、财務報表、軍事情報和其他各類需要保密的資料,黑客獲得這些資料(即使隻是檢視資料的内容而不下載下傳)時正是破壞了保密性。在實際情 況中,很多商業間諜和政治間諜都是這一類,他們隻是默默地拿走你的資料而絕不做任何的破壞,而且盡最大可能地掩蓋自己行動的痕迹。這些黑客希望長時間大量地得到珍貴的資料而不被發覺,這其實是最可怕的一種攻擊行為。
很多黑客會在“殭屍電腦”上安裝FTP軟體或者開放FTP服務,再下載下傳其資料,但安裝軟體和開放服務這樣的動作很容易在系統中的各類日志留下記錄,有可能被發現。而不希望被人發覺的黑客會自己建立一台FTP伺服器,讓“殭屍電腦”做為用戶端把自己的資料上傳過來。
防禦方法
防止本身資料資料不被竊取,當然首先要考慮的是計算機本身不被攻破。如果自己是鐵桶一個,水潑不進,黑客無法在你的網絡中的計算機取得任何通路的權限,當然就杜絕了絕大多數的洩密可能(請注意,這時候還是有可能會洩密的!比如被黑客欺騙而将資料發送出去) 。我們先來看一下如何加強自己的計算機的作業系統,對于所有需要事先控制的攻擊方式,這些手段都是有效的,在以後的章節中就不重複說明了。
簡單地說,對于作業系統的加強,無論是Windows、Unix或是Linux,都可以從實體安全、檔案系統、帳号管理、網絡設定和應用服務幾個方面來考慮,在這裡我們不詳細讨論全面的安全防護方案,隻是提供一些簡單實用的系統安全檢查項目。這是安全的必 要條件,而不是充分條件。
實體安全
簡單地說,實體安全就是你的計算機所在的實體環境是否可靠,會不會受到自然災害(如火災、水災、雷電等)和人為的破壞(失竊、破壞)等。實體安全并不完全是系統或者網絡管理者的責任,還需要公司的其他部門如行政、保安等一起協作,不過因為這是其他安全手段 的基礎,是以我們網管員還是應該密切注意的。要特别保證所有的重要裝置與伺服器要集中在機房裡,并制訂機房相關制度,無關人員不得進入機房等。網管員無特殊情況也不要進入機房,需要可以從外面的指定終端進行管理。
如果重要的伺服器暴露在人人都可以接近的外部,那麼無論你的密碼設得多麼強大都沒用了,各種作業系統都可以用軟碟、CD光牒啟動來破解密碼。
檔案系統安全
檔案和目錄的權限設定得是否正确,對系統中那些重要的檔案,權限要重新設定;
在Unix與Linux系統中,還要注意檔案的setuid和setgid權限,是否有不适合的檔案被賦予了這些權限;
帳号系統安全
帳号資訊,使用者名和密碼是否合乎規則,具有足夠的複雜程度。不要把權限給予任何沒有必要的人;
在Unix/Linux中可以合理地使用su與sudo;
關閉無用賬号;
網絡系統安全
關閉一切不必要的服務。這一點不必多說了吧,每個開放的服務就象一扇開啟的門,都有可能會被黑客悄悄地進入;
網絡接口特性。注意網卡不要處在監聽的混雜模式;
防止DoS的網絡設定。禁止IP轉發、不轉發定向廣播、限定多主控端、忽略和不發送重定向包、關閉時間戳響應、
不響應Echo廣播、位址掩碼廣播、不轉發設定了源路由的包、加快ARP表過期時間、提高未連接配接隊列的大小、
提高已連接配接隊列的大小;
禁用r*指令和telnet指令,用加密的SSH來遠端管理;
對NIS/NIS+進行安全設定;
對NFS進行安全設定;
應用服務安全
應用服務是伺服器存在的原因,又是經常會産生問題的地方。因為應用服務的種類太多,這裡無法一一叙述,就請大家注意一下這方面的資料吧。如果有可能,我會在今後繼續提供一些相關知識。可以肯定地說,沒有一種應用程式是完全安全的,必須依靠我們去重新設定。
對于防止資料被竊取,也有手段可以采用,使黑客侵入計算機之後不能盜竊資料和資料。這就是通路控制和加密。系統通路控制需要軟體來實作,可以限制root的權限,把那些重要的資料設定為除了特殊使用者外,連root都無法通路,這樣即使黑客成為root也沒 有用。加密的手段有很多,這裡也不詳細介紹了,檔案通過加密會以密文的形式存放在硬碟中,如果不能正确解密,就是一堆沒有任何意義的字元,黑客就算拿到了也沒有用。
1.2、非法proxy
原理介紹
Proxy代理技術在提高Internet通路速度與效率上有很大作用,在這種技術的基礎之上又出現了Cache Server等Internet通路優化技術,但Proxy也被黑客利用來進行非法活動。黑客把“殭屍電腦”設定為Proxy一般有兩個目的,首先與正常Proxy的目的一樣,是利用它更好地通路Internet,進行WWW浏覽;其次就是利用這台Proxy “殭屍電腦”的特殊位置繞過一些通路的限制。
普通的WWW Proxy其實在Internet上是很常見的,一些計算機免費而且開放地為所有計算機提供WWW Proxy服務,如果黑客想得到一台合适的Proxy時,并不需要自己親自去攻擊計算機并安裝Proxy軟體,隻需利用這些現成的Proxy計算機就可以了。在駭軟站點上,有很多Proxy Hunter之類的軟體,輸入某個網段就可以運作去自動搜尋已經存在的Proxy計算機了。雖然Proxy本身并不會被攻擊,但是運作Proxy服務,在用戶端連接配接數目多的時候會造成很大的負擔。而且一些攻擊如Unicode、Lotus Notes、ASP攻擊也正是通過HTTP協定進行的,最終被攻擊者會把Proxy伺服器當做攻擊的來源,換句話說,Proxy伺服器會成為這些攻擊者的替罪羊。是以最好不要向外提供開放的Proxy服務,即使因為需要而開放了,也應加以嚴格的限制。
利用Proxy繞過一些通路限制,在“殭屍電腦”的利用中也是很常見的。舉個執行個體來說,某個公司為了提高工作效率,不允許員工使用QQ聊天,訓示在公司的防火牆上限制了所有由内向外對UDP 8000這個端口的通路,這樣内部就無法向外連接配接Internet上的QQ伺服器進行聊天了。但黑客利用自己設定的QQ Proxy就可以繞過這個限制正常通路QQ伺服器。
圖一 黑客利用QQ Proxy繞過通路限制
如圖一,QQ Proxy同WWW Proxy的設定和使用方法是一樣的。在有了Internet上的QQ Proxy時,黑客在公司内部向外通路QQ Proxy的UDP 18000端口,這是不被禁止的。而QQ Proxy會以用戶端的身份向真正的通路目标-QQ伺服器進行通路,然後把資訊從UDP 18000端口向黑客計算機轉回去。這樣,黑客就利用Proxy實作了對通路限制的突破。
還可以利用這個原理進行其他協定限制的繞過,如WWW、ICQ、MSN、Yahoo Messager、AOL等,隻要Proxy軟體支援。
防禦方法
我們設立任何類型的Proxy伺服器時,應當對用戶端有所限制,不向無關的人員提供使用權限。這樣提高了伺服器的效率,又杜絕了黑客借我們的Proxy進行攻擊的可能。
防止内部人員利用外部的Proxy時,可以在防火牆上嚴格限制,隻能對外部規定站點的規定服務進行通路。當然這樣有可能造成業務上的不便,是以在具體環境下要具體考慮,綜合地權衡。
1.3、黑客交流平台
原理介紹
大家會問那麼黑客直接發電子郵件、上ICQ不就行了嗎?何必去冒險攻擊其他的計算機做為交流平台呢。請注意黑客之間傳播的都是一些不能被别人知道的資訊,如"我已經控制了XXX省網的骨幹路由器,你想要一份它的路由表嗎?",這樣的内容如果在任何一個郵件伺服器和聊天伺服器上被截獲,從道義上講這個網管都是有義務提醒被攻擊的網絡負責人的,是以利用公共的網絡交流手段對黑客來說并不可靠,黑客也要保密啊:-) 。那怎麼辦?黑客既然控制了“殭屍電腦”,成為了“殭屍電腦”的第二個"家長",就有資格和權限去把它設定為交流用的伺服器。在這樣的交流平台上,黑客被發現的可能性小得多,最高的控制權限可以使黑客對這些活動進行各種各樣的掩飾。還有另一種利用形式就是FTP伺服器,供黑客兄弟們上傳下載下傳黑客軟體,互通有無。
黑客在“殭屍電腦”上做資訊交換的時候,會産生大量的網絡通信,尤其是利用FTP上傳下載下傳時。如果發現你的内外部通信突然反常地加大,檢查一下自己的計算機吧。
防衛性差的“殭屍電腦”其管理者一般水準也不會很高,再加上缺乏責任心,往往在自己的計算機被占領了很長時間都不知道,直到有一天收到了高額的資料通信收費單,才大吃一驚:"怎麼搞的?!"。- 難道他們自己就沒有責任嗎?
防禦方法
安全不安全很大程度上取決于管理者是否盡職盡責,好的管理者必須有好的習慣。
1.4、學習/開發平台
原理介紹
這種情況是比較少見的,卻很有意思。我們平時使用的是個人計算機,一般可以安裝Windows、FreeBSD、Linux和其他Unix系統的x86版本,如果要實習其他平台上的作業系統幾乎是不可能的。象AIX、HP-UX、Solaris(sparc)、IRIX等,都需要相應的硬體平台來配套,普通的個人計算機是裝不上的,這些知名廠商的Unix計算機又非常昂貴,成了一般計算機愛好者可望不可及的寶物。黑客兄弟們在這裡又有了大顯身手的時候了,到網上找到一些可以 侵入的AIX什麼的機器,占領之後,想學習這種平台的操作使用還不是很簡單的事嗎?我曾在一個黑客站點上看到有人轉讓一台Sun E250“殭屍電腦”的控制權,開價300塊,可憐那個管理者,自己的機器已經被公開出售了還不知道。
黑客在“殭屍電腦”上做開發就更少見了,因為這樣做會有很大的風險。許黑客都沒有全職的工作,他們中的很多人都是程式設計高手,會通過朋友和其他管道攬一些程式開發的活計,掙些零花錢。很多定制的程式是要跑在特定平台上的,如果一個程式需要在HP-UX平台上開發調試怎麼辦?HP-UX計算機是很少能找到的。但黑客又可以利用自己的"特長"去攻下一台,做為開發平台。不過我們都知道開發調試程式的時候會有各種種樣的bug,輕則導緻程式不正常,重則讓系統崩潰,還會在日志裡留下記錄。這就是為什麼說這麼做很危險,因為它太容易被發現了。要是一台計算機被當做開發平台用了很久而管理者卻一無所 知的話,這個管理者實在應該好好檢討。
防禦方法
方法同前一部分,就不必多說了。關心你的伺服器吧。
二、利用“殭屍電腦”進行攻擊
下面介紹一下黑客利用“殭屍電腦”來攻擊時的幾種方式。
2.1非法掃描/監聽平台
原理介紹
圖二 “殭屍電腦”在防火牆内部進行掃描
請看一下前後兩種情況的對比。防火牆是很常見的網絡安全裝置,在網絡入口處起到了一個安全屏障的作用,尤其在黑客進行掃描的時候防火牆将堵住對絕大多數端口的探測。這時“殭屍電腦”就有了用武之地,從這裡掃描本地網絡中的其他計算機是不需要經過防火牆的,可以 随便地檢視它們的漏洞。而且這時候防火牆上也不會留下相應的日志,不易被發覺。黑客可以在掃描結束時傳回“殭屍電腦”取一下結果,或者指令“殭屍電腦”把掃描結果直接用電子郵件發送到指定信箱。
對于在某個網絡中進行非法監聽來說,本地有一台“殭屍電腦”是必須的條件。由于以太網的設計特點,監聽隻能在本地進行。雖然随着交換式以太網的普及,網絡非法監聽能收集到的資訊大大減少,但對于那些與非法監聽軟體所在的“殭屍電腦”通訊的計算機來說,威脅還是很大 的。如果這個“殭屍電腦”本身還是一台重要的伺服器,那麼危害就更大了,黑客在這上面會得到很多諸如使用者帳号、密碼、伺服器之間不合理的信任關系的資訊等,對下一步攻擊起到很大的輔助作用。
防禦方法
防止掃描一般主要設定在防火牆上,除了内部那些開放了的服務以外,不允許其他的通路進入,可以最大限度地防止資訊洩露。至于同一網段上某個伺服器成了“殭屍電腦”,一般情況下是沒法防止它掃描其他伺服器了,這就需要我們的防禦方向不但要向外,也要向内。關閉每 一台計算機上不需要的服務,進行安全加強,讓内部的非法掃描器找不到可以利用的漏洞。
防禦監聽一般使用網絡傳輸加密和交換式網絡裝置。管理者遠端登入系統時候,還是有很多人喜歡使用預設的telnet,這種明文傳輸的協定是黑客的最愛。使用SSH代替telnet和那些r指令,可以使網絡上傳輸的資料成為不可讀的密文,保護你的帳号、密碼 和其他重要的資訊。交換式網絡裝置可以使單個計算機接收到的無用資訊大大減少,進而降低非法監聽器的危害性。不過相對來說,它的成本還是比較高的。
2.2 攻擊的實際出發點
原理介紹
如果說“殭屍電腦”做為掃描工具的時候象黑客的一隻眼睛,做監聽工具的時候象黑客的一隻耳朵,那麼“殭屍電腦”實際進攻時就是黑客的一隻手。黑客借助“殭屍電腦”這個内應來聽來看,來攻擊,而“殭屍電腦”成為了提線木偶,舉手投足都被人從選程看不到的地方控制着。
防禦方法
也是需要對計算機進行嚴密的監視。請參考前面的内容。
2.3 DDoS攻擊傀儡
關于黑客利用“殭屍電腦”進行DDoS攻擊的手段就不再贅述了,詳見IBM DeveloperWorks曾經刊登的文章《分布式拒絕服務攻擊(DDoS)原理及防範》
2.4端口跳轉攻擊平台
原理介紹
隻用文字描述比較抽象,我們來看一個例子。
這是一個我們在實際的安全響應中的處理過程,這裡黑客使用了組合式的攻擊手段,其中包括對Windows伺服器常見的139端口攻擊,對Solaris系統的溢出攻擊,攻擊前的資訊收集,還有2.4要裡着重介紹的端口跳轉攻擊的方式。圖三(A) 網絡初始結構
如圖三A,客戶方的系統管理者發現一台Windows 2000伺服器的行為異常後,馬上切斷了這台伺服器的網絡連接配接并向我們報告,這是當時的網絡拓撲結構。經過仔細的診斷,我們推斷出黑客是利用了這台伺服器的139端口漏洞,從遠端利用nbtdump、口 令猜測工具、Windows net指令等取得了這台伺服器的控制權,并安裝了BO 2000木馬。但客戶的系統管理者立刻否定我們的判斷:"雖然這台伺服器的139端口沒有關閉,但我已經在防火牆上設定了規則,使外部計算機不能通路這台伺服器的139端口。"又是一個隻防範外部攻擊的手段!難道大家都對内部攻擊占70%以上的比率視而不見嗎?不過這裡的路由器日志顯示,黑客确實是從外部向這台伺服器的木馬端口進行連接配接的。 我們于是繼續彙總分析各方面的資料,客戶管理者也配合我們進行檢查。在檢查網絡上的其他主機時,我們發現内部網中有一台SUN工作站的網卡上綁定了3個IP位址,其中一個IP位址與被攻擊Windows伺服器是一個網段的!這立刻引起了我們的注意。客戶管 理員解釋說這是一台Solaris Sparc機器,經常用來做一些測試,有時也會接入伺服器網段,是以配了一個該網段的位址。而且就在一個多星期前,這台SUN工作站還放在伺服器網段。這就很可疑了,我們立刻對它進行了檢查,果然這台SUN工作站已經被占領了,因為主要用途是測試,客戶管 理員并沒有對它進行安全加強,攻破它是易如反掌的事情。在它上面發現了大量的掃描、監聽和日志清除工具,另外還有我們意料之中的端口跳轉工具 - netcat,簡稱nc。
至此問題就比較清楚了:黑客首先占領了這台毫不設防的SUN機,然後上載nc,設定端口跳轉,攻擊Windows 2000伺服器的139端口,并且成功地拿下了它。還原當時的網絡拓撲圖應該是這樣的,如圖三B。
圖三C 利用“殭屍電腦”跳闆進行端口跳轉
圖三C解釋了端口跳闆是如何起作用的。nc安裝後,黑客就會通過定制一些運作參數,在“殭屍電腦”的背景建立起由“殭屍電腦”的2139端口到目标計算機的139端口的跳轉。這就象是一條虛拟的通道,由“殭屍電腦”的2139端口通向目标的139端口,任何向“殭屍電腦” 的2139進行的通路都會自動地轉發到目标計算機的139端口上去。就是說,通路“殭屍電腦”的2139端口,就是在通路目标的139端口。反過來,目标計算機的回饋資訊也會通過“殭屍電腦”的通道向黑客計算機傳回。
圖三D 黑客通過兩次跳轉繞過防火牆對139端口的阻止
圖三D是我們分析後還原的nc端口跳轉攻擊拓撲圖,黑客在這裡需要兩次端口跳轉,第一次是利用自己的linux計算機把對139端口的通路向SUN的2139端口發送,這樣就繞過了防火牆對139端口的通路限制。然後SUN會把對自己2139端口的通路發 送到攻擊最終目标的139端口上。為什麼圖中的"黑客"計算機不直接通路SUN的2139端口,而需要linux多跳轉一次呢?這是由于象net、nbtdump、遠端密碼猜測等手段都是預設針對139端口而且黑客無法改變的。
在這兩個端口跳闆準備好了之後,黑客隻要通路自己的linux機器上的139端口,就可以對目标的Windows伺服器進行攻擊了,“殭屍電腦”的作用巨大啊。據了解這台SUN工作站當時在伺服器網段中隻接入了三天不到的時間就搬到内部網裡了,可見黑客對這個 網段的情況變化的掌握速度是很快的,管理者們不要因為隻是臨時接入而忽略了安全。我們随後又在路由器上找到了當時黑客遠端向SUN機的2139端口連接配接的日志,至此就完全清楚了。
三、攻擊時直接借用
與上述各類情況不同,直接利用其他計算機做為攻擊平台時,黑客并不需要首先入侵這些被利用的計算機,而是誤導它們去攻擊目标。黑客在這裡利用了TCP/IP協定和作業系統本身的缺點漏洞,這種攻擊更難防範,特别是制止,尤其是後面兩種反射式分布拒絕服務攻擊和DNS分布拒絕服務攻擊。
3.1 Smurf攻擊
原理介紹
Smurf攻擊是這種攻擊的早期形式,是一種在區域網路中的攻擊手段。它的作用原理是基于廣播位址與回應請求的。一台計算機向另一台計算機發送一些特殊的資料包如ping請求時,會接到它的回應;如果向本網絡的廣播位址發送請求包,實際上會到達網絡上所有的 計算機,這時就會得到所有計算機的回應。這些回應是需要被接收的計算機處理的,每處理一個就要占用一份系統資源,如果同時接到網絡上所有計算機的回應,接收方的系統是有可能吃不消的,就象遭到了DDoS攻擊一樣。大家會疑問,誰會無聊得去向網絡位址發包而 招來所有計算機的攻擊呢?
當然做為一個正常的操作者是不會這麼做的,但是當黑客要利用這個原理進行Smurf攻擊的時候,他會代替受害者來做這件事。
圖四 Smurf攻擊原理
如圖四,黑客向廣播位址發送請求包,所有的計算機得到請求後,卻不會把回應發到黑客那裡,而是被攻擊的計算機處。這是因為黑客冒充了被攻擊主機。黑客發包所用的軟體是可以僞造源位址的,接到僞造資料包的主機會根據源位址把回應發出去,這當然就是被攻擊目标 的位址。黑客同時還會把發包的間隔減到幾毫秒,這樣在機關時間能發出數以千計的請求,使受害者接到被欺騙計算機那裡傳來的洪水般的回應。象遭到其他類型的拒絕服務攻擊一樣,被攻擊主機會網絡和系統無法響應,嚴重時還會導緻系統崩潰。
黑客借助了網絡中所有計算機來攻擊受害者,而不需要事先去占領這些被欺騙的主機。
在實際使用中,黑客不會笨到在本地區域網路中幹這件事的,那樣很容易被查出。他們會從遠端發送廣播包到目标計算機所在的網絡來進行攻擊。
防禦方法
區域網路中是不必進行Smurf攻擊的防禦的。我們隻需在路由器上進行設定,在收到定向廣播資料包時将其丢棄就可以了,這樣本地廣播位址收不到請求包,Smurf攻擊就無從談起。注意還要把網絡中有條件成為路由器的多宿主主機(多塊網卡)進行系統設定,讓它 們不接收和轉發這樣的廣播包。
3.2 DrDoS(反射式分布拒絕服務攻擊)
原理介紹
具體的情況可以參考Smurf攻擊的原理結構圖四。
防禦方法
《分布式拒絕服務攻擊(DDoS)原理及防範》
3.3 DNS分布拒絕服務攻擊
原理介紹
DNS拒絕服務攻擊原理同DrDoS攻擊相同,隻是在這裡被欺騙利用的不是一般的計算機,而是DNS伺服器。黑客通過向多個DNS伺服器發送大量的僞造的查詢請求,查詢請求資料包中的源IP位址為被攻擊主機的IP位址,DNS伺服器将大量的查詢結果發送給 被攻擊主機,使被攻擊主機所在的網絡擁塞或不再對外提供服務。
防禦方法
通過限制查詢主機的IP位址可以減輕這種攻擊的影響,比較糟糕的是在現實環境中這麼做的DNS伺服器很少。目前不能從根本上解決這個問題。另外可以從自己的網絡裝置上監視和限制對DNS查詢請求的回應,如果突然出現流量劇增的情況,限制一下到達DNS服務 器的查詢請求,這樣可以避免自己管理的伺服器被欺騙而去攻擊無辜者。