怎樣查找打開的端口和如何關閉端口
[ 2007-03-25 03:09:58 | 作者: sun ]
計算機“端口”是英文port的義譯,可以認為是計算機與外界通訊交流的出口。其中硬件領域的端口又稱接口,如:USB端口、串行端口等。軟件領域的端口是一種抽象的軟件結構,包括一些數據結構和I/O(基本輸入輸出)緩沖區。
按端口號可分為3大類
(1)公認端口(Well Known Ports):從0到1023,它們緊密綁定(binding)于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。
(2)注冊端口(Registered Ports):從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統處理動態端口從1024左右開始。
(3)動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
一些端口常常會被黑客利用,還會被一些木馬病毒利用,對計算機系統進行攻擊,以下是計算機端口的介紹以及防止被黑客攻擊的簡要辦法。
8080端口
端口說明:8080端口同80端口,是被用于WWW代理服務的,可以實現網頁瀏覽,經常在訪問某個網站或使用代理服務器的時候,會加上“:8080”端口號,比如http://www.cce.com.cn:8080。
端口漏洞:8080端口可以被各種病毒程序所利用,比如Brown orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外,RemoConChubo,RingZero木馬也可以利用該端口進行攻擊。
操作建議:一般我們是使用80端口進行網頁瀏覽的,為了避免病毒的攻擊,我們可以關閉該端口。
端口:21
服務:FTP
說明:FTP服務器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務器的方法。這些服務器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
端口:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
端口:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一端口是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。
端口:25
服務:SMTP
說明:SMTP服務器所開放的端口,用于發送郵件。入侵者尋找SMTP服務器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL服務器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。
端口:80
服務:HTTP
說明:用于網頁瀏覽。木馬Executor開放此端口。
端口:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
端口:109
服務:Post Office Protocol -Version3
說明:POP3服務器開放此端口,用于接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關于用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸后還有其他緩沖區溢出錯誤。
端口:110
服務:SUN公司的RPC服務所有端口
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個端口的連接通常是人們在尋找USENET服務器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送SPAM。
端口:135
服務:Location Service
說明:Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server嗎?什么版本?還有些DOS攻擊直接針對這個端口。
端口:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP端口,當通過網上鄰居傳輸文件時用這個端口。而139端口:通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用于windows文件和打印機共享和SAMBA。還有WINS Regisrtation也用它。
端口:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網絡。
在Windows 2000/XP/Server 2003中要查看端口,可以使用NETSTAT命令:
“開始">"運行”>“cmd”,打開命令提示符窗口。在命令提示符狀態下鍵入“NETSTAT -a -n”,按下回車鍵后就可以看到以數字形式顯示的TCP和UDP連接的端口號及狀態.
命令格式:Netstat -a -e -n -o -s
-a 表示顯示所有活動的TCP連接以及計算機監聽的TCP和UDP端口。
-e 表示顯示以太網發送和接收的字節數、數據包數等。
-n 表示只以數字形式顯示所有活動的TCP連接的地址和端口號。
-o 表示顯示活動的TCP連接并包括每個連接的進程ID(PID)。
-s 表示按協議顯示各種連接的統計信息,包括端口號。
關閉端口
比如在Windows 2000/XP中關閉SMTP服務的25端口,可以這樣做:首先打開“控制面板”,雙擊“管理工具”,再雙擊“服務”。接著在打開的服務窗口中找到并雙擊“Simple Mail Transfer Protocol (SMTP)”服務,單擊“停止”按鈕來停止該服務,然后在“啟動類型”中選擇“已禁用”,最后單擊“確定”按鈕即可。這樣,關閉了SMTP服務就相當于關閉了對應的端口。
開啟端口
如果要開啟該端口只要先在“啟動類型”選擇“自動”,單擊“確定”按鈕,再打開該服務,在“服務狀態”中單擊“啟動”按鈕即可啟用該端口,最后,單擊“確定”按鈕即可。
另外在網絡連接屬性中,選擇“TCP/IP協議”屬性,打開高級TCP/IP設置,在選項的那個頁面打開TCP/IP篩選,在
按端口號可分為3大類
(1)公認端口(Well Known Ports):從0到1023,它們緊密綁定(binding)于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。
(2)注冊端口(Registered Ports):從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統處理動態端口從1024左右開始。
(3)動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
一些端口常常會被黑客利用,還會被一些木馬病毒利用,對計算機系統進行攻擊,以下是計算機端口的介紹以及防止被黑客攻擊的簡要辦法。
8080端口
端口說明:8080端口同80端口,是被用于WWW代理服務的,可以實現網頁瀏覽,經常在訪問某個網站或使用代理服務器的時候,會加上“:8080”端口號,比如http://www.cce.com.cn:8080。
端口漏洞:8080端口可以被各種病毒程序所利用,比如Brown orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外,RemoConChubo,RingZero木馬也可以利用該端口進行攻擊。
操作建議:一般我們是使用80端口進行網頁瀏覽的,為了避免病毒的攻擊,我們可以關閉該端口。
端口:21
服務:FTP
說明:FTP服務器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務器的方法。這些服務器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
端口:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
端口:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一端口是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。
端口:25
服務:SMTP
說明:SMTP服務器所開放的端口,用于發送郵件。入侵者尋找SMTP服務器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL服務器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。
端口:80
服務:HTTP
說明:用于網頁瀏覽。木馬Executor開放此端口。
端口:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
端口:109
服務:Post Office Protocol -Version3
說明:POP3服務器開放此端口,用于接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關于用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸后還有其他緩沖區溢出錯誤。
端口:110
服務:SUN公司的RPC服務所有端口
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個端口的連接通常是人們在尋找USENET服務器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送SPAM。
端口:135
服務:Location Service
說明:Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server嗎?什么版本?還有些DOS攻擊直接針對這個端口。
端口:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP端口,當通過網上鄰居傳輸文件時用這個端口。而139端口:通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用于windows文件和打印機共享和SAMBA。還有WINS Regisrtation也用它。
端口:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網絡。
在Windows 2000/XP/Server 2003中要查看端口,可以使用NETSTAT命令:
“開始">"運行”>“cmd”,打開命令提示符窗口。在命令提示符狀態下鍵入“NETSTAT -a -n”,按下回車鍵后就可以看到以數字形式顯示的TCP和UDP連接的端口號及狀態.
命令格式:Netstat -a -e -n -o -s
-a 表示顯示所有活動的TCP連接以及計算機監聽的TCP和UDP端口。
-e 表示顯示以太網發送和接收的字節數、數據包數等。
-n 表示只以數字形式顯示所有活動的TCP連接的地址和端口號。
-o 表示顯示活動的TCP連接并包括每個連接的進程ID(PID)。
-s 表示按協議顯示各種連接的統計信息,包括端口號。
關閉端口
比如在Windows 2000/XP中關閉SMTP服務的25端口,可以這樣做:首先打開“控制面板”,雙擊“管理工具”,再雙擊“服務”。接著在打開的服務窗口中找到并雙擊“Simple Mail Transfer Protocol (SMTP)”服務,單擊“停止”按鈕來停止該服務,然后在“啟動類型”中選擇“已禁用”,最后單擊“確定”按鈕即可。這樣,關閉了SMTP服務就相當于關閉了對應的端口。
開啟端口
如果要開啟該端口只要先在“啟動類型”選擇“自動”,單擊“確定”按鈕,再打開該服務,在“服務狀態”中單擊“啟動”按鈕即可啟用該端口,最后,單擊“確定”按鈕即可。
另外在網絡連接屬性中,選擇“TCP/IP協議”屬性,打開高級TCP/IP設置,在選項的那個頁面打開TCP/IP篩選,在
怎樣查找打開的端口和如何關閉端口
[ 2007-03-25 03:09:45 | 作者: sun ]
計算機“端口”是英文port的義譯,可以認為是計算機與外界通訊交流的出口。其中硬件領域的端口又稱接口,如:USB端口、串行端口等。軟件領域的端口是一種抽象的軟件結構,包括一些數據結構和I/O(基本輸入輸出)緩沖區。
按端口號可分為3大類
(1)公認端口(Well Known Ports):從0到1023,它們緊密綁定(binding)于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。
(2)注冊端口(Registered Ports):從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統處理動態端口從1024左右開始。
(3)動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
一些端口常常會被黑客利用,還會被一些木馬病毒利用,對計算機系統進行攻擊,以下是計算機端口的介紹以及防止被黑客攻擊的簡要辦法。
8080端口
端口說明:8080端口同80端口,是被用于WWW代理服務的,可以實現網頁瀏覽,經常在訪問某個網站或使用代理服務器的時候,會加上“:8080”端口號,比如http://www.cce.com.cn:8080。
端口漏洞:8080端口可以被各種病毒程序所利用,比如Brown orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外,RemoConChubo,RingZero木馬也可以利用該端口進行攻擊。
操作建議:一般我們是使用80端口進行網頁瀏覽的,為了避免病毒的攻擊,我們可以關閉該端口。
端口:21
服務:FTP
說明:FTP服務器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務器的方法。這些服務器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
端口:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
端口:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一端口是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。
端口:25
服務:SMTP
說明:SMTP服務器所開放的端口,用于發送郵件。入侵者尋找SMTP服務器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL服務器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。
端口:80
服務:HTTP
說明:用于網頁瀏覽。木馬Executor開放此端口。
端口:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
端口:109
服務:Post Office Protocol -Version3
說明:POP3服務器開放此端口,用于接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關于用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸后還有其他緩沖區溢出錯誤。
端口:110
服務:SUN公司的RPC服務所有端口
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個端口的連接通常是人們在尋找USENET服務器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送SPAM。
端口:135
服務:Location Service
說明:Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server嗎?什么版本?還有些DOS攻擊直接針對這個端口。
端口:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP端口,當通過網上鄰居傳輸文件時用這個端口。而139端口:通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用于windows文件和打印機共享和SAMBA。還有WINS Regisrtation也用它。
端口:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網絡。
在Windows 2000/XP/Server 2003中要查看端口,可以使用NETSTAT命令:
“開始">"運行”>“cmd”,打開命令提示符窗口。在命令提示符狀態下鍵入“NETSTAT -a -n”,按下回車鍵后就可以看到以數字形式顯示的TCP和UDP連接的端口號及狀態.
命令格式:Netstat -a -e -n -o -s
-a 表示顯示所有活動的TCP連接以及計算機監聽的TCP和UDP端口。
-e 表示顯示以太網發送和接收的字節數、數據包數等。
-n 表示只以數字形式顯示所有活動的TCP連接的地址和端口號。
-o 表示顯示活動的TCP連接并包括每個連接的進程ID(PID)。
-s 表示按協議顯示各種連接的統計信息,包括端口號。
關閉端口
比如在Windows 2000/XP中關閉SMTP服務的25端口,可以這樣做:首先打開“控制面板”,雙擊“管理工具”,再雙擊“服務”。接著在打開的服務窗口中找到并雙擊“Simple Mail Transfer Protocol (SMTP)”服務,單擊“停止”按鈕來停止該服務,然后在“啟動類型”中選擇“已禁用”,最后單擊“確定”按鈕即可。這樣,關閉了SMTP服務就相當于關閉了對應的端口。
開啟端口
如果要開啟該端口只要先在“啟動類型”選擇“自動”,單擊“確定”按鈕,再打開該服務,在“服務狀態”中單擊“啟動”按鈕即可啟用該端口,最后,單擊“確定”按鈕即可。
另外在網絡連接屬性中,選擇“TCP/IP協議”屬性,打開高級TCP/IP設置,在選項的那個頁面打開TCP/IP篩選,在出現的設置窗口中也可以根據實現情況設置端口的打開和關閉,默認是未啟用TCP/IP篩選。
按端口號可分為3大類
(1)公認端口(Well Known Ports):從0到1023,它們緊密綁定(binding)于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。
(2)注冊端口(Registered Ports):從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統處理動態端口從1024左右開始。
(3)動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
一些端口常常會被黑客利用,還會被一些木馬病毒利用,對計算機系統進行攻擊,以下是計算機端口的介紹以及防止被黑客攻擊的簡要辦法。
8080端口
端口說明:8080端口同80端口,是被用于WWW代理服務的,可以實現網頁瀏覽,經常在訪問某個網站或使用代理服務器的時候,會加上“:8080”端口號,比如http://www.cce.com.cn:8080。
端口漏洞:8080端口可以被各種病毒程序所利用,比如Brown orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外,RemoConChubo,RingZero木馬也可以利用該端口進行攻擊。
操作建議:一般我們是使用80端口進行網頁瀏覽的,為了避免病毒的攻擊,我們可以關閉該端口。
端口:21
服務:FTP
說明:FTP服務器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務器的方法。這些服務器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
端口:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
端口:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一端口是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。
端口:25
服務:SMTP
說明:SMTP服務器所開放的端口,用于發送郵件。入侵者尋找SMTP服務器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL服務器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。
端口:80
服務:HTTP
說明:用于網頁瀏覽。木馬Executor開放此端口。
端口:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
端口:109
服務:Post Office Protocol -Version3
說明:POP3服務器開放此端口,用于接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關于用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸后還有其他緩沖區溢出錯誤。
端口:110
服務:SUN公司的RPC服務所有端口
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個端口的連接通常是人們在尋找USENET服務器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送SPAM。
端口:135
服務:Location Service
說明:Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server嗎?什么版本?還有些DOS攻擊直接針對這個端口。
端口:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP端口,當通過網上鄰居傳輸文件時用這個端口。而139端口:通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用于windows文件和打印機共享和SAMBA。還有WINS Regisrtation也用它。
端口:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網絡。
在Windows 2000/XP/Server 2003中要查看端口,可以使用NETSTAT命令:
“開始">"運行”>“cmd”,打開命令提示符窗口。在命令提示符狀態下鍵入“NETSTAT -a -n”,按下回車鍵后就可以看到以數字形式顯示的TCP和UDP連接的端口號及狀態.
命令格式:Netstat -a -e -n -o -s
-a 表示顯示所有活動的TCP連接以及計算機監聽的TCP和UDP端口。
-e 表示顯示以太網發送和接收的字節數、數據包數等。
-n 表示只以數字形式顯示所有活動的TCP連接的地址和端口號。
-o 表示顯示活動的TCP連接并包括每個連接的進程ID(PID)。
-s 表示按協議顯示各種連接的統計信息,包括端口號。
關閉端口
比如在Windows 2000/XP中關閉SMTP服務的25端口,可以這樣做:首先打開“控制面板”,雙擊“管理工具”,再雙擊“服務”。接著在打開的服務窗口中找到并雙擊“Simple Mail Transfer Protocol (SMTP)”服務,單擊“停止”按鈕來停止該服務,然后在“啟動類型”中選擇“已禁用”,最后單擊“確定”按鈕即可。這樣,關閉了SMTP服務就相當于關閉了對應的端口。
開啟端口
如果要開啟該端口只要先在“啟動類型”選擇“自動”,單擊“確定”按鈕,再打開該服務,在“服務狀態”中單擊“啟動”按鈕即可啟用該端口,最后,單擊“確定”按鈕即可。
另外在網絡連接屬性中,選擇“TCP/IP協議”屬性,打開高級TCP/IP設置,在選項的那個頁面打開TCP/IP篩選,在出現的設置窗口中也可以根據實現情況設置端口的打開和關閉,默認是未啟用TCP/IP篩選。
安全基礎之代理服務器知識菜鳥普及篇
[ 2007-03-25 03:09:32 | 作者: sun ]
作為網絡管理員的你如何有效的管理網絡呢?雖然很多網管工具可以幫助你,但是最有效的還是建立一個代理服務器來過濾非法信息,因此作為網絡管理員的我們需要對代理服務器的相關知識有所了解。
今天主要為各位讀者介紹什么時候用到代理,代理服務分哪幾種。
一、什么時候用到代理
顧名思義代理就是幫助你上網的某種服務,作為網絡管理員來說代理有什么用呢?我們公司有好幾個機房,原來使用操作系統的共享連接來接入網絡,實際中發現很多上網的用戶經常運行非法程序,病毒和黑客工具無孔不入,更有甚者在上班時間玩網絡游戲。
如何禁止這些行為呢?代理服務器可以提供幫助,我在公司網絡出口那臺服務器安裝了ISA2000后啟用了他的代理功能,這樣機房中的計算機就只能通過IE瀏覽器訪問網頁信息了,游戲和聊天工具都無法正常使用了。因此代理服務器在實際工作中應用還是非常廣泛的,他可以幫助我們這些管理員有效的管理網絡資源。
小提示:代理服務器的工作機制很象我們生活中常常提及的代理商,假設你自己的機器為A機,你想獲得的數據由服務器B提供,代理服務器為C。那實際工作中A機需要B機的數據,A直接與C機建立連接,C機接收到A機的數據請求后,與B機建立連接,下載A機所請求的B機上的數據到本地,再將此數據發送至A機,從而完成代理任務。
二、代理的種類
代理的種類非常多,也有很多種劃分方法。我們對此一一講解。
1、透明代理和傳統代理:
按照代理的設置方式劃分可以分為透明代理和傳統代理。
(1)透明代理(Transparent proxy)實質上屬于DNAT的一種,也就是類似于在NAT中的宣告主機。它主要指內網主機需要訪問外網主機時,不需要做任何設置,完全意識不到防火墻的存在,而完成內外網的通信。但其基本原理是防火墻代替內部網絡主機完成與外網主機通信,然后把結果傳回給內網主機,在這個過程中,無論內網主機還是外網主機都意識不到它們其實是在和防火墻通信。而從外網只能看到防火墻,這就隱藏了內網網絡,提高了安全性。
(2)傳統代理的工作原理與透明代理相似,所不同的是它需要在客戶端設置代理服務器。我們經常在IE瀏覽器中設置代理服務器使用的就是傳統代理。
可能有的讀者還有疑惑,那么筆者教大家一個好記憶的方法。那就是如果你在本機設置了代理那么使用的就是傳統代理,如果本地計算機沒有設置,而所有設置工作都在路由器或服務器上執行的話,你采用的代理方式就是透明代理。
2、HTTP代理,FTP代理,SOCKS代理:
代理服務器有很多種,有的只提供某些服務。例如HTTP代理只提供HTTP的代理服務,使用HTTP代理的用戶只能通過代理訪問網站和頁面,不能訪問FTP站點。按照提供服務的不同代理分為HTTP代理、FTP代理、SOCKS代理等。
(1)HTTP代理:能夠代理客戶機的HTTP訪問,主要是代理瀏覽器訪問網頁,它的端口一般為80、8080、3128等。
(2)FTP代理:能夠代理客戶機上的FTP軟件訪問FTP服務器,它的端口一般為21、2121。
(3)RTSP代理:代理客戶機上的Realplayer訪問Real流媒體服務器的代理,其端口一般為554。
(4)POP3代理:代理客戶機上的郵件軟件用POP3方式收發郵件,端口一般為110。
(5)SSL代理:支持最高128位加密強度的http代理,可以作為訪問加密網站的代理。加密網站是指以https://開始的網站。ssl的標準端口為443。
(6)Telnet代理:能夠代理通信機的telnet,用于遠程控制,入侵時經常使用。其端口一般為23。
(7)SOCKS代理:SOCKS代理與其他類型的代理不同,它只是簡單地傳遞數據包,而并不關心是何種應用協議,既可以是HTTP請求也可以是FTP等其他請求,所以SOCKS代理服務器比其他類型的代理服務器速度要快得多。其標準端口為1080。
小提示:SOCKS代理又分為SOCKS4和SOCKS5,二者不同的是SOCKS4代理只支持TCP協議,而SOCKS5代理支持TCP協議的同時也支持UDP協議,還支持各種身份驗證機制、服務器端域名解析等。SOCK4能做到的SOCKS5都可得到,但SOCKS5能夠做到的SOCKS則不一定能做到,比如我們常用的聊天工具QQ在使用代理時就要求用SOCKS5代理,因為它需要使用UDP協議來傳輸數據。
3、匿名代理:
如果從隱藏使用代理用戶的級別上劃分,代理可以分為三種,即高度匿名代理、普通匿名代理和透明代理。
(1)高度匿名代理不改變客戶機的請求,這樣在服務器看來就像有個真正的客戶瀏覽器在訪問它,這時客戶的真實IP是隱藏的,服務器端不會認為我們使用了代理。
(2)普通匿名代理能隱藏客戶機的真實IP,但會改變我們的請求信息,服務器端有可能會認為我們使用了代理。不過使用此種代理時,雖然被訪問的網站不能知道你的ip地址,但仍然可以知道你在使用代理,當然某些能夠偵測ip的網頁仍然可以查到你的ip。
(3)透明代理,它不但改變了我們的請求信息,還會傳送真實的IP地址。
三者隱藏使用代理者身份的級別依次為高度匿名代理最隱蔽,其次是普通匿名代理,最差的是透明代理。
小提示:這里所說的透明代理是根據匿名的情況來命名的,而上面所到的透明代理是根據啟用代理方式區分的。兩者是有區別的,不能混為一潭。
總結:在實際工作中建立代理服務器時一定要先想想自己所要建立代理的種類。不同的代理類型適用于不同的情況,不能同一論。
如何利用交換機處理蠕蟲病毒的入侵?
[ 2007-03-25 03:09:19 | 作者: sun ]
互聯網蠕蟲的泛濫在最近幾年造成了巨大的損失,讓很多服務運營商和企業網絡的管理員甚為頭疼的不僅是其不斷的發展變種,而且發作造成的損害也越來越嚴重。盡管蠕蟲本身通常并不破壞任何的數據,但它所帶來的直接和間接的破壞使得網絡和系統擁塞。受感染的端系統的計算資源會受到嚴重影響,而病毒的傳播則消耗大量的鏈路帶寬,更可怕的是網絡基礎設備受到影響而造成網絡的不穩定甚至癱瘓。以SQL Slammer為例,發生感染傳播高峰時造成的平均包丟失率為20%,網絡的不穩定引起了銀行ATM自動提款機不能工作,航空公司的售票系統癱瘓,僅僅兩天的時間,就有30萬臺主機感染了SQL Slammer,造成的損失達數十億美元。
今天的企業越來越多地把關鍵業務應用、語音、視頻等新型應用融合到IP網絡上,一個安全、可靠的網絡是企業業務成功的關鍵。而企業網絡的內部和外部的界限越來越模糊,用戶的移動性越來越強,過去我們認為是安全的內部局域網已經潛伏著威脅。我們很難保證病毒不會被帶入我們的企業網絡,而局域網的廣泛分布和高速連接,也使其很可能成為蠕蟲快速泛濫的溫床。如何應對現在新的網絡安全環境呢?如何在我們的局域網上防范蠕蟲,及時地發現、跟蹤和阻止其泛濫,是每個網絡管理人員所思考的問題。
也許這是一個非常大的命題,事實上也確實需要一個系統的、協同的安全策略才能實現。從網絡到主機,從核心層到分布層、接入層,我們要采取全面的企業安全策略來保護整個網絡和其所連接的系統,另外即使當蠕蟲發生時我們要有措施將其影響盡量緩解,并保護我們的網絡基礎設施,保證網絡的穩定運行。
本文將介紹Cisco Catalyst交換機上的一個獨特解決方案,以一種非常經濟、有效和可擴展的方式來防范蠕蟲病毒的危害。
首先我們要了解蠕蟲的異常行為,并有手段來盡早發現其異常行為。發現可疑行為后要能很快定位其來源,即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的交換機和端口號等等。要搜集到證據并作出判斷,如果確是蠕蟲病毒,就要及時做出響應的動作,例如關閉端口,對被感染機器進行處理。
但是我們知道,接入交換機遍布于每個配線間,為企業的桌面系統提供邊緣接入,由于成本和管理的原因,我們不可能在每個接入層交換機旁都放置一臺IDS設備。如果是在分布層或核心層部署IDS,對于匯聚了成百上千個百兆/千兆以太網流量的分布層或核心層來說,工作在第7層的軟件實現的IDS無法處理海量的數據,所以不加選擇地對所有流量都進行監控是不實際的。
怎么能找到一種有的放矢、行之有效而又經濟擴展的解決方案呢?利用Catalyst交換機所集成的安全特性和Netflow,就可以做到!
發現可疑流量。 我們利用Cisco Netflow所采集和輸出的網絡流量的統計信息,可以發現單個主機發出超出正常數量的連接請求,這種不正常的大數量的流往往是蠕蟲爆發或網絡濫用的跡象。因為蠕蟲的特性就是在發作時會掃描大量隨機IP地址來尋找可能的目標,會產生大量的TCP或ICMP流。流記錄里其實沒有數據包的載荷(payload)信息。這是Netflow和傳統IDS的一個重要區別,一個流記錄里不包含高層信息,這樣的好處則是可以高速地以硬件方式處理,適合于繁忙的高速局域網環境。通常部署在核心層和分布層的Catalyst 4500和Catalyst 6500交換機都支持基于硬件的Netflow。所以Netflow不能對數據包做出深層分析,但是已經有足夠的信息來發現可疑流量,而且不受“0日”的局限。如果分析和利用得當,Netflow記錄非常適用于早期的蠕蟲或其他網絡濫用行為的檢測。
了解流量模式的基線非常重要。例如,一個用戶同時有50-100個活動的連接是正常的,但是如果一個用戶發起大量的(例如1000個)活動的流就是非正常的了。
追蹤可疑的源頭。識別出可疑流量后,同樣重要的是追蹤到源頭(包括物理位置和用戶ID)。在今天的移動的環境中,用戶可以在整個園區網中隨意漫游,僅僅知道源IP地址是很難快速定位用戶的。而且我們還要防止IP地址假冒,否則檢測出的源IP地址無助于我們追查可疑源頭。另外我們不僅要定位到連接的端口,還要定位登錄的用戶名。
搜集可疑流量。一旦可疑流量被監測到,我們需要捕獲這些數據包來判斷這個不正常的流量到底是不是發生了新的蠕蟲攻擊。正如上面所述,Netflow并不對數據包做深層分析,我們需要網絡分析工具或入侵檢測設備來做進一步的判斷。但是,如何能方便快捷地捕獲可疑流量并導向網絡分析工具呢?速度是很重要的,否則你就錯過了把蠕蟲扼殺在早期的機會。除了要很快定位可疑設備的物理位置,還要有手段能盡快搜集到證據。我們不可能在每個接入交換機旁放置網絡分析或入侵檢測設備,也不可能在發現可疑流量時扛著分析儀跑去配線間。
有了上面的分析,下面我們就看如何利用Catalyst的功能來滿足這些需要!
檢測可疑流量. Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能,采集流經網絡的流量信息。這些信息采集和統計都通過硬件ASCI完成,所以對系統性能沒有影響。 Catalyst 4500 Sup V-10GE缺省就帶了Netflow卡,所以不需增加投資。
追蹤可疑源頭。 Catalyst 集成的安全特性提供了基于身份的網絡服務(IBNS),以及DHCP監聽、源IP防護、和動態ARP檢測等功能。這些功能提供了用戶的IP地址和MAC地址、物理端口的綁定信息,同時防范IP地址假冒。這點非常重要,如果不能防范IP地址假冒,那么Netflow搜集到的信息就沒有意義了。 用戶一旦登錄網絡,就可獲得這些信息。結合ACS,還可以定位用戶登錄的用戶名。在Netflow 收集器(Netflow Collector)上編寫一個腳本文件,當發現可疑流量時,就能以email的方式,把相關信息發送給網絡管理員。
在通知email里,報告了有不正常網絡活動的用戶CITG, 所屬組是CITG-1(這是802.1x登錄所用的)。接入層交換機的IP地址是10.252.240.10,物理接口是FastEthernet4/1,另外還有客戶端IP地址和MAC地址 ,以及其在5分鐘內(這個時間是腳本所定義的)發出的flow和packet數量。
掌握了這些信息后,網管員就可以馬上采取以下行動了:
通過遠程SPAN捕獲可疑流量。Catalyst交換機上所支持的遠程端口鏡像功能可以將流量捕獲鏡像到一個遠程交換機上,例如將接入層交換機上某個端口或VLAN的流量穿過中繼鏡像到分布層或核心層的某個端口,只需非常簡單的幾條命令即可完成。流量被捕獲到網絡分析或入侵檢測設備(例如Cat6500集成的網絡分析模塊NAM或IDS模塊),作進一步的分析和做出相應的動作。
整個過程需要多長時間呢?對于一個有經驗的網管員來說,在蠕蟲發生的5分鐘內就能完成,而且他不需要離開他的座位!
我們可以看到,這個解決方案結合了Catalyst上集成的多種安全特性功能,從擴展的802.1x,到DHCP 監聽、動態ARP檢測、源IP防護和Netflow。這些安全特性的綜合使用,為我們提供了一個在企業局域網上有效防范蠕蟲攻擊的解決方案,這個方案不需更多額外投資,因為利用的是集成在Catalyst 上的IOS中的功能特性,也帶給我們一個思考:如何利用網絡來保護網絡?這些我們在選擇交換機時可能忽略的特性,會帶給我們意想不到的行之有效的安全解決方案!
今天的企業越來越多地把關鍵業務應用、語音、視頻等新型應用融合到IP網絡上,一個安全、可靠的網絡是企業業務成功的關鍵。而企業網絡的內部和外部的界限越來越模糊,用戶的移動性越來越強,過去我們認為是安全的內部局域網已經潛伏著威脅。我們很難保證病毒不會被帶入我們的企業網絡,而局域網的廣泛分布和高速連接,也使其很可能成為蠕蟲快速泛濫的溫床。如何應對現在新的網絡安全環境呢?如何在我們的局域網上防范蠕蟲,及時地發現、跟蹤和阻止其泛濫,是每個網絡管理人員所思考的問題。
也許這是一個非常大的命題,事實上也確實需要一個系統的、協同的安全策略才能實現。從網絡到主機,從核心層到分布層、接入層,我們要采取全面的企業安全策略來保護整個網絡和其所連接的系統,另外即使當蠕蟲發生時我們要有措施將其影響盡量緩解,并保護我們的網絡基礎設施,保證網絡的穩定運行。
本文將介紹Cisco Catalyst交換機上的一個獨特解決方案,以一種非常經濟、有效和可擴展的方式來防范蠕蟲病毒的危害。
首先我們要了解蠕蟲的異常行為,并有手段來盡早發現其異常行為。發現可疑行為后要能很快定位其來源,即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的交換機和端口號等等。要搜集到證據并作出判斷,如果確是蠕蟲病毒,就要及時做出響應的動作,例如關閉端口,對被感染機器進行處理。
但是我們知道,接入交換機遍布于每個配線間,為企業的桌面系統提供邊緣接入,由于成本和管理的原因,我們不可能在每個接入層交換機旁都放置一臺IDS設備。如果是在分布層或核心層部署IDS,對于匯聚了成百上千個百兆/千兆以太網流量的分布層或核心層來說,工作在第7層的軟件實現的IDS無法處理海量的數據,所以不加選擇地對所有流量都進行監控是不實際的。
怎么能找到一種有的放矢、行之有效而又經濟擴展的解決方案呢?利用Catalyst交換機所集成的安全特性和Netflow,就可以做到!
發現可疑流量。 我們利用Cisco Netflow所采集和輸出的網絡流量的統計信息,可以發現單個主機發出超出正常數量的連接請求,這種不正常的大數量的流往往是蠕蟲爆發或網絡濫用的跡象。因為蠕蟲的特性就是在發作時會掃描大量隨機IP地址來尋找可能的目標,會產生大量的TCP或ICMP流。流記錄里其實沒有數據包的載荷(payload)信息。這是Netflow和傳統IDS的一個重要區別,一個流記錄里不包含高層信息,這樣的好處則是可以高速地以硬件方式處理,適合于繁忙的高速局域網環境。通常部署在核心層和分布層的Catalyst 4500和Catalyst 6500交換機都支持基于硬件的Netflow。所以Netflow不能對數據包做出深層分析,但是已經有足夠的信息來發現可疑流量,而且不受“0日”的局限。如果分析和利用得當,Netflow記錄非常適用于早期的蠕蟲或其他網絡濫用行為的檢測。
了解流量模式的基線非常重要。例如,一個用戶同時有50-100個活動的連接是正常的,但是如果一個用戶發起大量的(例如1000個)活動的流就是非正常的了。
追蹤可疑的源頭。識別出可疑流量后,同樣重要的是追蹤到源頭(包括物理位置和用戶ID)。在今天的移動的環境中,用戶可以在整個園區網中隨意漫游,僅僅知道源IP地址是很難快速定位用戶的。而且我們還要防止IP地址假冒,否則檢測出的源IP地址無助于我們追查可疑源頭。另外我們不僅要定位到連接的端口,還要定位登錄的用戶名。
搜集可疑流量。一旦可疑流量被監測到,我們需要捕獲這些數據包來判斷這個不正常的流量到底是不是發生了新的蠕蟲攻擊。正如上面所述,Netflow并不對數據包做深層分析,我們需要網絡分析工具或入侵檢測設備來做進一步的判斷。但是,如何能方便快捷地捕獲可疑流量并導向網絡分析工具呢?速度是很重要的,否則你就錯過了把蠕蟲扼殺在早期的機會。除了要很快定位可疑設備的物理位置,還要有手段能盡快搜集到證據。我們不可能在每個接入交換機旁放置網絡分析或入侵檢測設備,也不可能在發現可疑流量時扛著分析儀跑去配線間。
有了上面的分析,下面我們就看如何利用Catalyst的功能來滿足這些需要!
檢測可疑流量. Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能,采集流經網絡的流量信息。這些信息采集和統計都通過硬件ASCI完成,所以對系統性能沒有影響。 Catalyst 4500 Sup V-10GE缺省就帶了Netflow卡,所以不需增加投資。
追蹤可疑源頭。 Catalyst 集成的安全特性提供了基于身份的網絡服務(IBNS),以及DHCP監聽、源IP防護、和動態ARP檢測等功能。這些功能提供了用戶的IP地址和MAC地址、物理端口的綁定信息,同時防范IP地址假冒。這點非常重要,如果不能防范IP地址假冒,那么Netflow搜集到的信息就沒有意義了。 用戶一旦登錄網絡,就可獲得這些信息。結合ACS,還可以定位用戶登錄的用戶名。在Netflow 收集器(Netflow Collector)上編寫一個腳本文件,當發現可疑流量時,就能以email的方式,把相關信息發送給網絡管理員。
在通知email里,報告了有不正常網絡活動的用戶CITG, 所屬組是CITG-1(這是802.1x登錄所用的)。接入層交換機的IP地址是10.252.240.10,物理接口是FastEthernet4/1,另外還有客戶端IP地址和MAC地址 ,以及其在5分鐘內(這個時間是腳本所定義的)發出的flow和packet數量。
掌握了這些信息后,網管員就可以馬上采取以下行動了:
通過遠程SPAN捕獲可疑流量。Catalyst交換機上所支持的遠程端口鏡像功能可以將流量捕獲鏡像到一個遠程交換機上,例如將接入層交換機上某個端口或VLAN的流量穿過中繼鏡像到分布層或核心層的某個端口,只需非常簡單的幾條命令即可完成。流量被捕獲到網絡分析或入侵檢測設備(例如Cat6500集成的網絡分析模塊NAM或IDS模塊),作進一步的分析和做出相應的動作。
整個過程需要多長時間呢?對于一個有經驗的網管員來說,在蠕蟲發生的5分鐘內就能完成,而且他不需要離開他的座位!
我們可以看到,這個解決方案結合了Catalyst上集成的多種安全特性功能,從擴展的802.1x,到DHCP 監聽、動態ARP檢測、源IP防護和Netflow。這些安全特性的綜合使用,為我們提供了一個在企業局域網上有效防范蠕蟲攻擊的解決方案,這個方案不需更多額外投資,因為利用的是集成在Catalyst 上的IOS中的功能特性,也帶給我們一個思考:如何利用網絡來保護網絡?這些我們在選擇交換機時可能忽略的特性,會帶給我們意想不到的行之有效的安全解決方案!
BT下載的捆馬者都去死
[ 2007-03-25 03:09:04 | 作者: sun ]
現在的時代,捆馬成風,什么東西里都捆馬。五花八門的方式都出來了,就連一個游戲也要捆馬。我在BT之家看到場了一個搶灘登陸2006 就他的介紹看來是不錯的。捆馬的人自己敢聲稱:經KV2005把關無毒,說明他對自己的免殺的功力是很有自信的。下面,就讓我們來一步步的揭開他的騙局。
下載得到搶灘登陸2006.exe的確KV2005下提示無毒,用瑞星金山全部提示無毒,用PEID檢查為看上去沒有問題,但是一個安裝包怎么可能是Microsoft Visual C++ 6.0?一個安裝包竟然要用vmprotect處理?這是為什么?要免殺嗎?這就更加懷疑了。
下面開始和捆馬者正面較量!
我開始把他想簡單了,以為可以直接用安裝包解開工具直接處理,沒想到的是我的所有安裝包解開工具都提示無法解開,原因我想應該是vmprotect改變了文件的一些結構,從而無法識別。好的,我們來簡單的。直接運行安裝包,不過要先記得拔掉網線。
這里提供一個好工具icesword 1.18 利用icesword 1.18的線程監控功能,我們可以輕易的發現馬的一切動作。
我們運行他,什么也不要再點,直接來看,2006.exe就是安裝包主文件,仔細看好了,2006.exe啟動了一個2.tmp和3.tmp,然后就創建了awaress.cn文件。進而,awaress.cn創建了iexplorer.exe這個東西看起來象個網站,其實就是鴿子的主體文件,下面我們把他檢測一下。通過virustotal檢測我們可以看到,這個家伙用了nspack pe_patch兩個加殼工具不過ewido/卡巴還是能查殺他。
木馬已經進入了系統,下面我們把他抓出來,看看服務: 瞧,和他的主文件名一樣,這個文件就是他釋放出的馬了。結合icesword可以看見紅色的iexplorer.exe,即為木馬的進程。木馬已經抓出來了,下面就是對他處理處理。可以抓到后臺的捆馬的人,找出他的IP。然后嘛,拿出我們的強力攻擊工具搞死他。哈哈 我個人習慣把文件改成DLL,這樣一來可以防止誤運行,又可以被PE工具檢測。我們可以看到,是nspcak的加殼,可以進一步確認為NsPacK V3.7 -> LiuXingPing *的。
為了能夠反向抓出捆馬的人,我們首先來脫殼。用Ollydbg加再使用ESP定理,在0012ffc0上下memory access端點,我們回來到這里難道脫殼沒有成功?不,這個捆馬著加了兩次NSPACK,同樣的方法,我們解決問題,回來到這里。這里是捆馬的家伙自己寫的花指令,一路跟蹤下去。我們最終會到達以下地方。從這里開始,所有的殼已經被解開開,作者還寫好了Ultra String Reference,項目 864。
Address=004A2ED7 Disassembly=push Awarenes.004A2FD6 Text String=雨花石專版服務端安裝成功!
哈哈,名字就在這里,我們等會再去看看,先解決反向連接的IP,我們來到這里:
堆棧 ss:[0012FF70]=00E63874 edx=00E62530, (ASCII "46C3BBBA4C00629EC81CAB4A1797E4FCA6F9B4B9A4B6171DD743F967A806141107 A05DFE0AD79C0D311361503EE75A3AC2CC096919737A72F340252EF6F00377CC910B5A0F41 243C773D542B3D61227F040B2EC6885484641D47B329E19EDFB40FE692E8DA4EE8D99158E7 D2230BA5DE94B7D6FB) 堆棧 ss:[0012FF6C]=00E63970, (ASCII "flkano.noip.cn") edx=00000000 堆棧 ss:[0012FF68]=00E6398C, (ASCII "8b4ca58172880bbb") edx=00000000 堆棧 ss:[0012FF64]=00E639AC, (ASCII "$(WinDir)\Awareness.cn") edx=00000000 堆棧 ss:[0012FF60]=00E6394C, (ASCII "C:\WINNT\Awareness.cn") edx=00E639AC, (ASCII "$(WinDir)\Awareness.cn") 堆棧 ss:[0012FF5C]=00E63CEC, (ASCII "Awareness.cn") edx=00000000 Awareness 管理卷影復制服務拍攝的軟件卷影復制。
由以上幾個方面的內容,很簡單的就獲得的全部的配置:
C:\>ping flkano.noip.cn Pinging flkano.noip.cn [202.110.91.221] with 32 bytes of data: Reply from 202.110.91.221: bytes=32 time=78ms TTL=112
捆馬的人正在線呢。
我們要搞死他可以使用DDOS工具攻擊他的*80斷口,他的很快就會不上線了。
好了。我們還有一件事情沒有做完。起先的那個游戲是個捆綁的版本,我們還要分離出無馬的純凈版本。既然他是個捆綁機釋放出的兩個文件:2.tmp和3.tmp,其中2.tmp就是游戲的真正的安裝文件,我們把他復制出來。再用icesword看看,我命名為了2.exe瞧,沒有再產生新文件了吧,說明這個就是真正的游戲。這就是用PEID再次掃描的結果,確實是個安裝包了。說明解包成功,我們獲得了真正的純凈的安裝包。
接下來,我們來學習學習他的免殺的方法。鴿子的主文件叫awareness.cn,這個名字具有相當大的隱蔽性,容易被當成一個合法的網站空間。使用了兩次的NsPacK V3.7 -> LiuXingPing *加殼,并且用了自己編寫的花指令,成功的實現了大范圍內的免殺。我們再來看看原始的帶馬的安裝包,是一個捆綁機,使用了VMProtect加密入口處代碼,并且將VMProtect自動產生的vmp0,vmp1兩個區段修改成了rsrc1,vmp1一避人耳目。然后,再次使用花指令,這個花指令是VC++6。0的入口處代碼。
在帶馬的安裝包啟動時,自動釋放出鴿子并且改名成3.tmp在臨時目錄運行,再釋放出真正的安裝包為2.tmp在臨時目錄運行,只要我們復制出2.tmp并且改名為2.exe就能夠得當純凈版本的游戲其中2.exe就是純凈版本的游戲,awareness.exe就是馬,我們的工作順利完成了。
總結一下,利用icesword我們能夠輕易的發現問題,讓這里的捆綁馬的人顯出原形。
如果你有什么文件值得懷疑,那么可以在icesword的監控中運行,然后就能夠輕易的發現是不是存在問題,這種方法比filemon/regmon聯合監控的效果還要好,強烈推薦!
對付這些惡意的捆馬者,我們要能輕松的識破他們的詭計,如果你想反向攻擊攻擊惡意的捆馬者,可以使用些掃描工具或者溢出工具攻擊攻擊。如果實在沒有辦法可以使用SYN攻擊工具直接攻擊他的鴿子上線端口,這樣絕對能讓鴿子上線失效,當然,你要去免費域名商去把他的免費域名報告要求封閉也可以,具體的就大家自己干吧。
最后希望大家逃離掛馬捆馬的苦海,同時也希望那些以掛馬捆馬為榮耀的人停手吧,這樣做對你們的技術提高有什么好處?
下載得到搶灘登陸2006.exe的確KV2005下提示無毒,用瑞星金山全部提示無毒,用PEID檢查為看上去沒有問題,但是一個安裝包怎么可能是Microsoft Visual C++ 6.0?一個安裝包竟然要用vmprotect處理?這是為什么?要免殺嗎?這就更加懷疑了。
下面開始和捆馬者正面較量!
我開始把他想簡單了,以為可以直接用安裝包解開工具直接處理,沒想到的是我的所有安裝包解開工具都提示無法解開,原因我想應該是vmprotect改變了文件的一些結構,從而無法識別。好的,我們來簡單的。直接運行安裝包,不過要先記得拔掉網線。
這里提供一個好工具icesword 1.18 利用icesword 1.18的線程監控功能,我們可以輕易的發現馬的一切動作。
我們運行他,什么也不要再點,直接來看,2006.exe就是安裝包主文件,仔細看好了,2006.exe啟動了一個2.tmp和3.tmp,然后就創建了awaress.cn文件。進而,awaress.cn創建了iexplorer.exe這個東西看起來象個網站,其實就是鴿子的主體文件,下面我們把他檢測一下。通過virustotal檢測我們可以看到,這個家伙用了nspack pe_patch兩個加殼工具不過ewido/卡巴還是能查殺他。
木馬已經進入了系統,下面我們把他抓出來,看看服務: 瞧,和他的主文件名一樣,這個文件就是他釋放出的馬了。結合icesword可以看見紅色的iexplorer.exe,即為木馬的進程。木馬已經抓出來了,下面就是對他處理處理。可以抓到后臺的捆馬的人,找出他的IP。然后嘛,拿出我們的強力攻擊工具搞死他。哈哈 我個人習慣把文件改成DLL,這樣一來可以防止誤運行,又可以被PE工具檢測。我們可以看到,是nspcak的加殼,可以進一步確認為NsPacK V3.7 -> LiuXingPing *的。
為了能夠反向抓出捆馬的人,我們首先來脫殼。用Ollydbg加再使用ESP定理,在0012ffc0上下memory access端點,我們回來到這里難道脫殼沒有成功?不,這個捆馬著加了兩次NSPACK,同樣的方法,我們解決問題,回來到這里。這里是捆馬的家伙自己寫的花指令,一路跟蹤下去。我們最終會到達以下地方。從這里開始,所有的殼已經被解開開,作者還寫好了Ultra String Reference,項目 864。
Address=004A2ED7 Disassembly=push Awarenes.004A2FD6 Text String=雨花石專版服務端安裝成功!
哈哈,名字就在這里,我們等會再去看看,先解決反向連接的IP,我們來到這里:
堆棧 ss:[0012FF70]=00E63874 edx=00E62530, (ASCII "46C3BBBA4C00629EC81CAB4A1797E4FCA6F9B4B9A4B6171DD743F967A806141107 A05DFE0AD79C0D311361503EE75A3AC2CC096919737A72F340252EF6F00377CC910B5A0F41 243C773D542B3D61227F040B2EC6885484641D47B329E19EDFB40FE692E8DA4EE8D99158E7 D2230BA5DE94B7D6FB) 堆棧 ss:[0012FF6C]=00E63970, (ASCII "flkano.noip.cn") edx=00000000 堆棧 ss:[0012FF68]=00E6398C, (ASCII "8b4ca58172880bbb") edx=00000000 堆棧 ss:[0012FF64]=00E639AC, (ASCII "$(WinDir)\Awareness.cn") edx=00000000 堆棧 ss:[0012FF60]=00E6394C, (ASCII "C:\WINNT\Awareness.cn") edx=00E639AC, (ASCII "$(WinDir)\Awareness.cn") 堆棧 ss:[0012FF5C]=00E63CEC, (ASCII "Awareness.cn") edx=00000000 Awareness 管理卷影復制服務拍攝的軟件卷影復制。
由以上幾個方面的內容,很簡單的就獲得的全部的配置:
C:\>ping flkano.noip.cn Pinging flkano.noip.cn [202.110.91.221] with 32 bytes of data: Reply from 202.110.91.221: bytes=32 time=78ms TTL=112
捆馬的人正在線呢。
我們要搞死他可以使用DDOS工具攻擊他的*80斷口,他的很快就會不上線了。
好了。我們還有一件事情沒有做完。起先的那個游戲是個捆綁的版本,我們還要分離出無馬的純凈版本。既然他是個捆綁機釋放出的兩個文件:2.tmp和3.tmp,其中2.tmp就是游戲的真正的安裝文件,我們把他復制出來。再用icesword看看,我命名為了2.exe瞧,沒有再產生新文件了吧,說明這個就是真正的游戲。這就是用PEID再次掃描的結果,確實是個安裝包了。說明解包成功,我們獲得了真正的純凈的安裝包。
接下來,我們來學習學習他的免殺的方法。鴿子的主文件叫awareness.cn,這個名字具有相當大的隱蔽性,容易被當成一個合法的網站空間。使用了兩次的NsPacK V3.7 -> LiuXingPing *加殼,并且用了自己編寫的花指令,成功的實現了大范圍內的免殺。我們再來看看原始的帶馬的安裝包,是一個捆綁機,使用了VMProtect加密入口處代碼,并且將VMProtect自動產生的vmp0,vmp1兩個區段修改成了rsrc1,vmp1一避人耳目。然后,再次使用花指令,這個花指令是VC++6。0的入口處代碼。
在帶馬的安裝包啟動時,自動釋放出鴿子并且改名成3.tmp在臨時目錄運行,再釋放出真正的安裝包為2.tmp在臨時目錄運行,只要我們復制出2.tmp并且改名為2.exe就能夠得當純凈版本的游戲其中2.exe就是純凈版本的游戲,awareness.exe就是馬,我們的工作順利完成了。
總結一下,利用icesword我們能夠輕易的發現問題,讓這里的捆綁馬的人顯出原形。
如果你有什么文件值得懷疑,那么可以在icesword的監控中運行,然后就能夠輕易的發現是不是存在問題,這種方法比filemon/regmon聯合監控的效果還要好,強烈推薦!
對付這些惡意的捆馬者,我們要能輕松的識破他們的詭計,如果你想反向攻擊攻擊惡意的捆馬者,可以使用些掃描工具或者溢出工具攻擊攻擊。如果實在沒有辦法可以使用SYN攻擊工具直接攻擊他的鴿子上線端口,這樣絕對能讓鴿子上線失效,當然,你要去免費域名商去把他的免費域名報告要求封閉也可以,具體的就大家自己干吧。
最后希望大家逃離掛馬捆馬的苦海,同時也希望那些以掛馬捆馬為榮耀的人停手吧,這樣做對你們的技術提高有什么好處?
系統泄露密碼入侵分析
[ 2007-03-25 03:08:50 | 作者: sun ]
WINDOWS訪問139端口時自動用當前用戶、密碼連接,造成泄露用戶密碼,雖然其密碼是加密的,但一樣可以用來攻擊。
下面是SMB的密碼認證方式。WINDOWS的139口的訪問過程,箭頭表示數據方向:
1.客戶端<--------------------建立TCP連接----------------->服務端
2.客戶端-------客戶端類型、支持的服務方式列表等---------->服務端
3.客戶端<---------服務器認證方式、加密用的key等-----------服務端
認證方式就是用戶級認證還是共享級認證和密碼加密不,key是服務器隨機生成的8個字節,WIN2000已經支持16個字節的 key。
4.客戶端--------------用戶名、加密后密碼----------------->服務端
WIN9X、WINNT、WIN2000這有個漏洞,不經過提示等就把當前用戶名,密碼加密后發過去了,導致密碼泄漏。這兒加密是DES的變形,lockedpass=chgdes(key,pass)。這兒的pass是作為DES變形的KEY,key是作為DES變形的待加密數據。
5.客戶端<---------------認證成功否-----------------------服務端
WINDOWS客戶端第4步有漏洞,顯然服務端可以得到username和lockedpass=chgdes(key,pass), 其中key可以自由指定,因為這是服務方提供的,usname、pass是客戶端當前訪問者用戶名和密碼。這兒的加密變換不可逆,但已經可以用暴力法破解了,也已經有了這樣的程序。其實我們有時并不一定要得到密碼明文的,只要能提供連接需要的就可以了。我們來看得到lockedpass有什么用,我們反過去訪問看看,telnet、ftp等連接要密碼明文我們得到的lockedpass不能提供,那么我們考慮用同樣加密算法傳密碼密文的服務呢?比如就是NETBIOS共享服務。前面是服務端得到東西,那現在就是站在客戶端了,再看前面那過程,顯然其實我們并不需要提供pass,是不是只需要提供username和lockedpass2=chgdes(key2,pass)就可以了?其中key2是現在的服務端提供的。看看我們有 usname和lockedpass=chgdes(key,pass)其中key我們可以自己指定,大家一看顯然只要key=key2那么就需要的我們都有了是不是?所以我們要使得key=key2.
好我們再仔細看看連接過程,別人連接兩步1、2:
1.客戶端<--------------------建立TCP連接----------------->服務端
2.客戶端-------客戶端類型、支持的服務方式列表等---------->服務端
下面就該
3.客戶端<---------服務器認證方式、加密用的key等-----------服務端
這我們需要提供key,這兒我們不能隨便提供key,需要提供key2,那么我們就要得到key2,顯然需要連接NETBIOS服務回去。顯然這而需要連接回去的11,22,33共3步(為了區分連接回去的步子用重號表示)才能得到key2,顯然這2步和3步不需要有先后順序。所以我們可以得到連接指定IP的NETBIOS服務然后等這用戶來訪問,這可能有時間超時等處理,或者等到任意IP連接NETBIOS服務后馬上連回去,反正怎么處理方便、滿足需要就怎么處理。
下面顯然就是設置 key=key2返回3,那就等4得到lockedpass了,第5步嘛就你自由處理了,要不返回密碼錯誤,后面就是44、55……
總的來就是1,2,11,22,33,3,4,5,44,55……顯然你就是以那機器訪問你的用戶的身份去訪問他的NETBIOS服務了,能干什么那就看那用戶的權限了。
注意有興趣的可以把SAMB包的客戶端程序修改加上一點服務的前幾步就可以了。顯然這主要利用的還是WINDOWS泄露當前用戶名、加密密碼漏洞。還有這需要別人來訪問你的機器,這好辦,郵件或者主頁等里面來個
IMGsrc”="http://www.520hack.com/" ...
就可以了。
我實驗了去掉機器139口服務(要不有139口要影響后面端口重定向),用端口重定向程序把來向139口定向回去,找另一個WINNT機器用http://www.520hack.com/訪問那重定向139口的機器,結果是沒有密碼提示就看到WINNT機器本身了。其實這時重定向端口程序那臺機器已經用WINNT機器的當前用戶訪問WINNT了,只是由于沒有客戶端的處理界面不能操作。
下面是SMB的密碼認證方式。WINDOWS的139口的訪問過程,箭頭表示數據方向:
1.客戶端<--------------------建立TCP連接----------------->服務端
2.客戶端-------客戶端類型、支持的服務方式列表等---------->服務端
3.客戶端<---------服務器認證方式、加密用的key等-----------服務端
認證方式就是用戶級認證還是共享級認證和密碼加密不,key是服務器隨機生成的8個字節,WIN2000已經支持16個字節的 key。
4.客戶端--------------用戶名、加密后密碼----------------->服務端
WIN9X、WINNT、WIN2000這有個漏洞,不經過提示等就把當前用戶名,密碼加密后發過去了,導致密碼泄漏。這兒加密是DES的變形,lockedpass=chgdes(key,pass)。這兒的pass是作為DES變形的KEY,key是作為DES變形的待加密數據。
5.客戶端<---------------認證成功否-----------------------服務端
WINDOWS客戶端第4步有漏洞,顯然服務端可以得到username和lockedpass=chgdes(key,pass), 其中key可以自由指定,因為這是服務方提供的,usname、pass是客戶端當前訪問者用戶名和密碼。這兒的加密變換不可逆,但已經可以用暴力法破解了,也已經有了這樣的程序。其實我們有時并不一定要得到密碼明文的,只要能提供連接需要的就可以了。我們來看得到lockedpass有什么用,我們反過去訪問看看,telnet、ftp等連接要密碼明文我們得到的lockedpass不能提供,那么我們考慮用同樣加密算法傳密碼密文的服務呢?比如就是NETBIOS共享服務。前面是服務端得到東西,那現在就是站在客戶端了,再看前面那過程,顯然其實我們并不需要提供pass,是不是只需要提供username和lockedpass2=chgdes(key2,pass)就可以了?其中key2是現在的服務端提供的。看看我們有 usname和lockedpass=chgdes(key,pass)其中key我們可以自己指定,大家一看顯然只要key=key2那么就需要的我們都有了是不是?所以我們要使得key=key2.
好我們再仔細看看連接過程,別人連接兩步1、2:
1.客戶端<--------------------建立TCP連接----------------->服務端
2.客戶端-------客戶端類型、支持的服務方式列表等---------->服務端
下面就該
3.客戶端<---------服務器認證方式、加密用的key等-----------服務端
這我們需要提供key,這兒我們不能隨便提供key,需要提供key2,那么我們就要得到key2,顯然需要連接NETBIOS服務回去。顯然這而需要連接回去的11,22,33共3步(為了區分連接回去的步子用重號表示)才能得到key2,顯然這2步和3步不需要有先后順序。所以我們可以得到連接指定IP的NETBIOS服務然后等這用戶來訪問,這可能有時間超時等處理,或者等到任意IP連接NETBIOS服務后馬上連回去,反正怎么處理方便、滿足需要就怎么處理。
下面顯然就是設置 key=key2返回3,那就等4得到lockedpass了,第5步嘛就你自由處理了,要不返回密碼錯誤,后面就是44、55……
總的來就是1,2,11,22,33,3,4,5,44,55……顯然你就是以那機器訪問你的用戶的身份去訪問他的NETBIOS服務了,能干什么那就看那用戶的權限了。
注意有興趣的可以把SAMB包的客戶端程序修改加上一點服務的前幾步就可以了。顯然這主要利用的還是WINDOWS泄露當前用戶名、加密密碼漏洞。還有這需要別人來訪問你的機器,這好辦,郵件或者主頁等里面來個
IMGsrc”="http://www.520hack.com/" ...
就可以了。
我實驗了去掉機器139口服務(要不有139口要影響后面端口重定向),用端口重定向程序把來向139口定向回去,找另一個WINNT機器用http://www.520hack.com/訪問那重定向139口的機器,結果是沒有密碼提示就看到WINNT機器本身了。其實這時重定向端口程序那臺機器已經用WINNT機器的當前用戶訪問WINNT了,只是由于沒有客戶端的處理界面不能操作。
清除無法顯示隱藏文件的病毒
[ 2007-03-25 03:08:30 | 作者: sun ]
選擇“顯示隱藏文件”這一選項后,發現U盤有個文件閃出來一下就馬上又消失了,而再打開文件夾選項時,發現仍就是“不顯示隱藏文件”這一選項。而且剛發現點擊C、D等盤符圖標時會另外打開一個窗口!
總結:
I、病情描述:
1、無法顯示隱藏文件;
2、點擊C、D等盤符圖標時會另外打開一個窗口;
3、用winrar查看時發現C、D等根目錄下有autorun.inf和tel.xls.exe兩個惡心的文件;
4、任務管理器中的應用進程一欄里有個莫明其妙的kill;
5、開機啟動項中有莫明其妙的SocksA.exe。
II、解決辦法:
用了一些專殺工具和DOS下的批處理文件,都不好使,只好DIY。注意在以下整個過程中不要雙擊硬盤分區,需要打開時用鼠標右鍵—>打開。
一、關閉病毒進程
在任務管理器應用程序里面查找類似kill等你不認識的進程,右鍵—>轉到進程,找到類似SVOHOST.exe(也可能就是某個svchost.exe)的進程,右鍵—>結束進程樹。
二、顯示出被隱藏的系統文件
開始—>運行—>regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL
刪除CheckedValue鍵值,單擊右鍵 新建—>Dword值—>命名為CheckedValue,然后修改它的鍵值為1,這樣就可以選擇“顯示所有隱藏文件”和“顯示系統文件”。
三、刪除病毒
在分區盤上單擊鼠標右鍵—>打開,看到每個盤跟目錄下有autorun.inf 和tel\.xls\.exe 兩個文件,將其刪除,U盤同樣。
四、刪除病毒的自動運行項
開始—>運行—>msconfig—>啟動—>刪除類似sacksa.exe、SocksA.exe之類項,或者打開注冊表運行regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
刪除類似C:\WINDOWS\system32\SVOHOST.exe 的項。
五、刪除遺留文件
C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目錄下刪除SVOHOST.exe(注意系統有一個類似文件,圖標怪異的那個類似excel的圖標的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel類似圖標的文件,每個文件夾兩個,不要誤刪哦,自己注意。重啟電腦后,基本可以了。
總結:
I、病情描述:
1、無法顯示隱藏文件;
2、點擊C、D等盤符圖標時會另外打開一個窗口;
3、用winrar查看時發現C、D等根目錄下有autorun.inf和tel.xls.exe兩個惡心的文件;
4、任務管理器中的應用進程一欄里有個莫明其妙的kill;
5、開機啟動項中有莫明其妙的SocksA.exe。
II、解決辦法:
用了一些專殺工具和DOS下的批處理文件,都不好使,只好DIY。注意在以下整個過程中不要雙擊硬盤分區,需要打開時用鼠標右鍵—>打開。
一、關閉病毒進程
在任務管理器應用程序里面查找類似kill等你不認識的進程,右鍵—>轉到進程,找到類似SVOHOST.exe(也可能就是某個svchost.exe)的進程,右鍵—>結束進程樹。
二、顯示出被隱藏的系統文件
開始—>運行—>regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL
刪除CheckedValue鍵值,單擊右鍵 新建—>Dword值—>命名為CheckedValue,然后修改它的鍵值為1,這樣就可以選擇“顯示所有隱藏文件”和“顯示系統文件”。
三、刪除病毒
在分區盤上單擊鼠標右鍵—>打開,看到每個盤跟目錄下有autorun.inf 和tel\.xls\.exe 兩個文件,將其刪除,U盤同樣。
四、刪除病毒的自動運行項
開始—>運行—>msconfig—>啟動—>刪除類似sacksa.exe、SocksA.exe之類項,或者打開注冊表運行regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
刪除類似C:\WINDOWS\system32\SVOHOST.exe 的項。
五、刪除遺留文件
C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目錄下刪除SVOHOST.exe(注意系統有一個類似文件,圖標怪異的那個類似excel的圖標的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel類似圖標的文件,每個文件夾兩個,不要誤刪哦,自己注意。重啟電腦后,基本可以了。
淺談蜜罐誘騙的基礎知識
[ 2007-03-25 03:08:17 | 作者: sun ]
1.引言
隨著人類社會生活對Internet需求的日益增長,網絡安全逐漸成為Internet及各項網絡服務和應用進一步發展的關鍵問題,特別是1993年以后Internet開始商用化,通過Internet進行的各種電子商務業務日益增多,加之Internet/Intranet技術日趨成熟,很多組織和企業都建立了自己的內部網絡并將之與Internet聯通。上述上電子商務應用和企業網絡中的商業秘密均成為攻擊者的目標。據美國商業雜志《信息周刊》公布的一項調查報告稱,黑客攻擊和病毒等安全問題在2000年造成了上萬億美元的經濟損失,在全球范圍內每數秒鐘就發生一起網絡攻擊事件。2003年夏天,對于運行著Microsoft Windows的成千上萬臺主機來說簡直就是場噩夢!也給廣大網民留下了悲傷的回憶,這一些都歸結于沖擊波蠕蟲的全世界范圍的傳播。
2.蜜罐技術的發展背景
網絡與信息安全技術的核心問題是對計算機系統和網絡進行有效的防護。網絡安全防護涉及面很廣,從技術層面上講主要包括防火墻技術、入侵檢測技術,病毒防護技術,數據加密和認證技術等。在這些安全技術中,大多數技術都是在攻擊者對網絡進行攻擊時對系統進行被動的防護。而蜜罐技術可以采取主動的方式。顧名思義,就是用特有的特征吸引攻擊者,同時對攻擊者的各種攻擊行為進行分析并找到有效的對付辦法。(在這里,可能要聲明一下,剛才也說了,“用特有的特征去吸引攻擊者”,也許有人會認為你去吸引攻擊者,這是不是一種自找麻煩呢,但是,我想,如果攻擊者不對你進行攻擊的話,你又怎么能吸引他呢?換一種說話,也許就叫誘敵深入了)。
3. 蜜罐的概念
在這里,我們首先就提出蜜罐的概念。美國 L.Spizner是一個著名的蜜罐技術專家。他曾對蜜罐做了這樣的一個定義:蜜罐是一種資源,它的價值是被攻擊或攻陷。這就意味著蜜罐是用來被探測、被攻擊甚至最后被攻陷的,蜜罐不會修補任何東西,這樣就為使用者提供了額外的、有價值的信息。蜜罐不會直接提高計算機網絡安全,但是它卻是其他安全策略所不可替代的一種主動防御技術。
具體的來講,蜜罐系統最為重要的功能是對系統中所有操作和行為進行監視和記錄,可以網絡安全專家通過精心的偽裝,使得攻擊者在進入到目標系統后仍不知道自己所有的行為已經處于系統的監視下。為了吸引攻擊者,通常在蜜罐系統上留下一些安全后門以吸引攻擊者上鉤,或者放置一些網絡攻擊者希望得到的敏感信息,當然這些信息都是虛假的信息。另外一些蜜罐系統對攻擊者的聊天內容進行記錄,管理員通過研究和分析這些記錄,可以得到攻擊者采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息,還能對攻擊者的活動范圍以及下一個攻擊目標進行了解。同時在某種程度上,這些信息將會成為對攻擊者進行起訴的證據。不過,它僅僅是一個對其他系統和應用的仿真,可以創建一個監禁環境將攻擊者困在其中,還可以是一個標準的產品系統。無論使用者如何建立和使用蜜罐,只有它受到攻擊,它的作用才能發揮出來。
4.蜜罐的具體分類和體現的安全價值
自從計算機首次互連以來,研究人員和安全專家就一直使用著各種各樣的蜜罐工具,根據不同的標準可以對蜜罐技術進行不同的分類,前面已經提到,使用蜜罐技術是基于安全價值上的考慮。但是,可以肯定的就是,蜜罐技術并不會替代其他安全工具,列如防火墻、系統偵聽等。這里我也就安全方面的價值來對蜜罐技術進行探討。
★ 根據設計的最終目的不同我們可以將蜜罐分為產品型蜜罐和研究型蜜罐兩類。
① 產品型蜜罐一般運用于商業組織的網絡中。它的目的是減輕受組織將受到的攻擊的威脅,蜜罐加強了受保護組織的安全措施。他們所做的工作就是檢測并且對付惡意的攻擊者。
⑴這類蜜罐在防護中所做的貢獻很少,蜜罐不會將那些試圖攻擊的入侵者拒之門外,因為蜜罐設計的初衷就是妥協,所以它不會將入侵者拒絕在系統之外,實際上,蜜罐是希望有人闖入系統,從而進行各項記錄和分析工作。
⑵雖然蜜罐的防護功能很弱,但是它卻具有很強的檢測功能,對于許多組織而言,想要從大量的系統日志中檢測出可疑的行為是非常困難的。雖然,有入侵檢測系統(IDS)的存在,但是,IDS發生的誤報和漏報,讓系統管理員疲于處理各種警告和誤報。而蜜罐的作用體現在誤報率遠遠低于大部分IDS工具,也務須當心特征數據庫的更新和檢測引擎的修改。因為蜜罐沒有任何有效行為,從原理上來講,任何連接到蜜罐的連接都應該是偵聽、掃描或者攻擊的一種,這樣就可以極大的減低誤報率和漏報率,從而簡化檢測的過程。從某種意義上來講,蜜罐已經成為一個越來越復雜的安全檢測工具了。
⑶如果組織內的系統已經被入侵的話,那些發生事故的系統不能進行脫機工作,這樣的話,將導致系統所提供的所有產品服務都將被停止,同時,系統管理員也不能進行合適的鑒定和分析,而蜜罐可以對入侵進行響應,它提供了一個具有低數據污染的系統和犧牲系統可以隨時進行脫機工作。此時,系統管理員將可以對脫機的系統進行分析,并且把分析的結果和經驗運用于以后的系統中。
② 研究型蜜罐專門以研究和獲取攻擊信息為目的而設計。這類蜜罐并沒有增強特定組織的安全性,恰恰相反,蜜罐要做的是讓研究組織面隊各類網絡威脅,并尋找能夠對付這些威脅更好的方式,它們所要進行的工作就是收集惡意攻擊者的信息。它一般運用于軍隊,安全研究組織。
★ 根據蜜罐與攻擊者之間進行的交互,可以分為3類:低交互蜜罐,中交互蜜罐和高交互蜜罐,同時這也體現了蜜罐發展的3個過程。
① 低交互蜜罐最大的特點是模擬。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產品系統,而是對各種系統及其提供的服務的模擬。由于它的服務都是模擬的行為,所以蜜罐可以獲得的信息非常有限,只能對攻擊者進行簡單的應答,它是最安全的蜜罐類型。
② 中交互是對真正的操作系統的各種行為的模擬,它提供了更多的交互信息,同時也可以從攻擊者的行為中獲得更多的信息。在這個模擬行為的系統中,蜜罐可以看起來和一個真正的操作系統沒有區別。它們是真正系統還要誘人的攻擊目標。
③高交互蜜罐具有一個真實的操作系統,它的優點體現在對攻擊者提供真實的系統,當攻擊者獲得ROOT權限后,受系統,數據真實性的迷惑,他的更多活動和行為將被記錄下來。缺點是被入侵的可能性很高,如果整個高蜜罐被入侵,那么它就會成為攻擊者下一步攻擊的跳板。目前在國內外的主要蜜罐產品有DTK,空系統,BOF,SPECTER,HOME-MADE蜜罐,HONEYD,SMOKEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四種。
5.蜜罐的配置模式
① 誘騙服務(deception service)
誘騙服務是指在特定的IP服務端口幀聽并像應用服務程序那樣對各種網絡請求進行應答的應用程序。DTK就是這樣的一個服務性產品。DTK吸引攻擊者的詭計就是可執行性,但是它與攻擊者進行交互的方式是模仿那些具有可攻擊弱點的系統進行的,所以可以產生的應答非常有限。在這個過程中對所有的行為進行記錄,同時提供較為合理的應答,并給闖入系統的攻擊者帶來系統并不安全的錯覺。例如,當我們將誘騙服務配置為FTP服務的模式。當攻擊者連接到TCP/21端口的時候,就會收到一個由蜜罐發出的FTP的標識。如果攻擊者認為誘騙服務就是他要攻擊的FTP,他就會采用攻擊FTP服務的方式進入系統。這樣,系統管理員便可以記錄攻擊的細節。
② 弱化系統(weakened system)
只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。這樣的特點是攻擊者更加容易進入系統,系統可以收集有效的攻擊數據。因為黑客可能會設陷阱,以獲取計算機的日志和審查功能,需要運行其他額外記錄系統,實現對日志記錄的異地存儲和備份。它的缺點是“高維護低收益”。因為,獲取已知的攻擊行為是毫無意義的。
③ 強化系統(hardened system)
強化系統同弱化系統一樣,提供一個真實的環境。不過此時的系統已經武裝成看似足夠安全的。當攻擊者闖入時,蜜罐就開始收集信息,它能在最短的時間內收集最多有效數據。用這種蜜罐需要系統管理員具有更高的專業技術。如果攻擊者具有更高的技術,那么,他很可能取代管理員對系統的控制,從而對其它系統進行攻擊。
④用戶模式服務器(user mode server)
用戶模式服務器實際上是一個用戶進程,它運行在主機上,并且模擬成一個真實的服務器。在真實主機中,每個應用程序都當作一個具有獨立IP地址的操作系統和服務的特定是實例。而用戶模式服務器這樣一個進程就嵌套在主機操作系統的應用程序空間中,當INTERNET用戶向用戶模式服務器的IP地址發送請求,主機將接受請求并且轉發到用戶模式服務器上。(我們用這樣一個圖形來表示一下他們之間的關系):這種模式的成功與否取決于攻擊者的進入程度和受騙程度。它的優點體現在系統管理員對用戶主機有絕對的控制權。即使蜜罐被攻陷,由于用戶模式服務器是一個用戶進程,那么Administrator只要關閉該進程就可以了。另外就是可以將FIREWALL,IDS集中于同一臺服務器上。當然,其局限性是不適用于所有的操作系統。
6.蜜罐的信息收集
當我們察覺到攻擊者已經進入蜜罐的時候,接下來的任務就是數據的收集了。數據收集是設置蜜罐的另一項技術挑戰。蜜罐監控者只要記錄下進出系統的每個數據包,就能夠對黑客的所作所為一清二楚。蜜罐本身上面的日志文件也是很好的數據來源。但日志文件很容易被攻擊者刪除,所以通常的辦法就是讓蜜罐向在同一網絡上但防御機制較完善的遠程系統日志服務器發送日志備份。(務必同時監控日志服務器。如果攻擊者用新手法闖入了服務器,那么蜜罐無疑會證明其價值。)
近年來,由于黑帽子群體越來越多地使用加密技術,數據收集任務的難度大大增強。如今,他們接受了眾多計算機安全專業人士的建議,改而采用SSH等密碼協議,確保網絡監控對自己的通訊無能為力。蜜網對付密碼的計算就是修改目標計算機的操作系統,以便所有敲入的字符、傳輸的文件及其它信息都記錄到另一個監控系統的日志里面。因為攻擊者可能會發現這類日志,蜜網計劃采用了一種隱蔽技術。譬如說,把敲入字符隱藏到NetBIOS廣播數據包里面。
7.蜜罐的實際例子
下面我們以Redhat linux 9.0為平臺,做一個簡單的蜜罐陷阱的配置。
我們知道,黑客一旦獲得root口令,就會以root身份登錄,這一登錄過程就是黑客入侵的必經之路。其二,黑客也可能先以普通用戶身份登錄,然后用su命令轉換成root身份,這又是一條必經之路。
我們討論如何在以下情況下設置陷阱:
(1)當黑客以root身份登錄時;
(2)當黑客用su命令轉換成root身份時;
(3)當黑客以root身份成功登錄后一段時間內;
第一種情況的陷阱設置
一般情況下,只要用戶輸入的用戶名和口令正確,就能順利進入系統。如果我們在進入系統時設置了陷阱,并使黑客對此防不勝防,就會大大提高入侵的難度系數。例如,當黑客已獲取正確的root口令,并以root身份登錄時,我們在此設置一個迷魂陣,提示它,你輸入的口令錯誤,并讓它重輸用戶名和口令。而其實,這些提示都是虛假的,只要在某處輸入一個密碼就可通過。黑客因此就掉入這個陷阱,不斷地輸入root用戶名和口令,卻不斷地得到口令錯誤的提示,從而使它懷疑所獲口令的正確性,放棄入侵的企圖。
給超級用戶也就是root用戶設置陷阱,并不會給系統帶來太多的麻煩,因為,擁有root口令的人數不會太多,為了系統的安全,稍微增加一點復雜性也是值得的。這種陷阱的設置時很方便的,我們只要在root用戶的.profile中加一段程序就可以了。我們完全可以在這段程序中觸發其他入侵檢測與預警控制程序。陷阱程序如下:
# root .profile
Clear
Echo “You had input an error password , please input again !”
Echo
Echo –n “Login:”
Read p
If ( “$p” = “123456”) then
Clear
Else
Exit
第二種情況的陷阱設置
在很多情況下,黑客會通過su命令轉換成root身份,因此,必須在此設置陷阱。當黑客使用su命令,并輸入正確的root口令時,也應該報錯,以此來迷惑它,使它誤認為口令錯誤,從而放棄入侵企圖。這種陷阱的設置也很簡單,你可以在系統的/etc/profile文件中設置一個alias,把su命令重新定義成轉到普通用戶的情況就可以了,例如alias su=”su user1”。這樣,當使用su時,系統判斷的是user1的口令,而不是root的口令,當然不能匹配。即使輸入su root也是錯誤的,也就是說,從此屏蔽了轉向root用戶的可能性。
第三種情況的陷阱設置
如果前兩種設置都失效了,黑客已經成功登錄,就必須啟用登錄成功的陷阱。一旦root用戶登錄,就可以啟動一個計時器,正常的root登錄就能停止計時,而非法入侵者因不知道何處有計時器,就無法停止計時,等到一個規定的時間到,就意味著有黑客入侵,需要觸發必要的控制程序,如關機處理等,以免造成損害,等待系統管理員進行善后處理。陷阱程序如下:
# .testfile
times=0
while [ $times –le 30 ] do
sleep 1
times=$[times + 1]
done
halt /* 30秒時間到,觸發入侵檢測與預警控制 */
將該程序放入root .bashrc中后臺執行:
# root . bashrc
….
Sh .testfile&
該程序不能用Ctrl-C終止,系統管理員可用jobs命令檢查到,然后用kill %n將它停止。
從上述三種陷阱的設置,我們可以看到一個一般的規律:改變正常的運行狀態,設置虛假信息,使入侵者落入陷阱,從而觸發入侵檢測與預警控制程序。
8.關鍵技術設計
自蜜罐概念誕生之日起,相關技術一直在長足的發展。到今天為止,蜜罐技術應用的最高度應該說是Honeynet技術的實現。
9.總結
任何事物的存在都會有利弊,蜜罐技術的發展也是伴隨著各種不同的觀點而不斷的成長的。蜜罐技術是通過誘導讓黑客們誤入歧途,消耗他們的精力,為我們加強防范贏得時間。通過蜜網讓我們在受攻擊的同時知道誰在使壞,目標是什么。同時也檢驗我們的安全策略是否正確,防線是否牢固,蜜罐的引入使我們與黑客之間同處于相互斗智的平臺counter-intelligence,而不是處處遭到黑槍的被動地位。我們的網絡并不安全,IDS,FIREWALL,Encryption技術都有其缺陷性,我們期待它們與蜜罐的完美結合,那將是對網絡安全的最好禮物。我們完全相信,蜜罐技術必將在網絡安全中發揮出極其重要的作用,一場世界上聲勢浩大的蜜罐技術行動必將到來~
隨著人類社會生活對Internet需求的日益增長,網絡安全逐漸成為Internet及各項網絡服務和應用進一步發展的關鍵問題,特別是1993年以后Internet開始商用化,通過Internet進行的各種電子商務業務日益增多,加之Internet/Intranet技術日趨成熟,很多組織和企業都建立了自己的內部網絡并將之與Internet聯通。上述上電子商務應用和企業網絡中的商業秘密均成為攻擊者的目標。據美國商業雜志《信息周刊》公布的一項調查報告稱,黑客攻擊和病毒等安全問題在2000年造成了上萬億美元的經濟損失,在全球范圍內每數秒鐘就發生一起網絡攻擊事件。2003年夏天,對于運行著Microsoft Windows的成千上萬臺主機來說簡直就是場噩夢!也給廣大網民留下了悲傷的回憶,這一些都歸結于沖擊波蠕蟲的全世界范圍的傳播。
2.蜜罐技術的發展背景
網絡與信息安全技術的核心問題是對計算機系統和網絡進行有效的防護。網絡安全防護涉及面很廣,從技術層面上講主要包括防火墻技術、入侵檢測技術,病毒防護技術,數據加密和認證技術等。在這些安全技術中,大多數技術都是在攻擊者對網絡進行攻擊時對系統進行被動的防護。而蜜罐技術可以采取主動的方式。顧名思義,就是用特有的特征吸引攻擊者,同時對攻擊者的各種攻擊行為進行分析并找到有效的對付辦法。(在這里,可能要聲明一下,剛才也說了,“用特有的特征去吸引攻擊者”,也許有人會認為你去吸引攻擊者,這是不是一種自找麻煩呢,但是,我想,如果攻擊者不對你進行攻擊的話,你又怎么能吸引他呢?換一種說話,也許就叫誘敵深入了)。
3. 蜜罐的概念
在這里,我們首先就提出蜜罐的概念。美國 L.Spizner是一個著名的蜜罐技術專家。他曾對蜜罐做了這樣的一個定義:蜜罐是一種資源,它的價值是被攻擊或攻陷。這就意味著蜜罐是用來被探測、被攻擊甚至最后被攻陷的,蜜罐不會修補任何東西,這樣就為使用者提供了額外的、有價值的信息。蜜罐不會直接提高計算機網絡安全,但是它卻是其他安全策略所不可替代的一種主動防御技術。
具體的來講,蜜罐系統最為重要的功能是對系統中所有操作和行為進行監視和記錄,可以網絡安全專家通過精心的偽裝,使得攻擊者在進入到目標系統后仍不知道自己所有的行為已經處于系統的監視下。為了吸引攻擊者,通常在蜜罐系統上留下一些安全后門以吸引攻擊者上鉤,或者放置一些網絡攻擊者希望得到的敏感信息,當然這些信息都是虛假的信息。另外一些蜜罐系統對攻擊者的聊天內容進行記錄,管理員通過研究和分析這些記錄,可以得到攻擊者采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息,還能對攻擊者的活動范圍以及下一個攻擊目標進行了解。同時在某種程度上,這些信息將會成為對攻擊者進行起訴的證據。不過,它僅僅是一個對其他系統和應用的仿真,可以創建一個監禁環境將攻擊者困在其中,還可以是一個標準的產品系統。無論使用者如何建立和使用蜜罐,只有它受到攻擊,它的作用才能發揮出來。
4.蜜罐的具體分類和體現的安全價值
自從計算機首次互連以來,研究人員和安全專家就一直使用著各種各樣的蜜罐工具,根據不同的標準可以對蜜罐技術進行不同的分類,前面已經提到,使用蜜罐技術是基于安全價值上的考慮。但是,可以肯定的就是,蜜罐技術并不會替代其他安全工具,列如防火墻、系統偵聽等。這里我也就安全方面的價值來對蜜罐技術進行探討。
★ 根據設計的最終目的不同我們可以將蜜罐分為產品型蜜罐和研究型蜜罐兩類。
① 產品型蜜罐一般運用于商業組織的網絡中。它的目的是減輕受組織將受到的攻擊的威脅,蜜罐加強了受保護組織的安全措施。他們所做的工作就是檢測并且對付惡意的攻擊者。
⑴這類蜜罐在防護中所做的貢獻很少,蜜罐不會將那些試圖攻擊的入侵者拒之門外,因為蜜罐設計的初衷就是妥協,所以它不會將入侵者拒絕在系統之外,實際上,蜜罐是希望有人闖入系統,從而進行各項記錄和分析工作。
⑵雖然蜜罐的防護功能很弱,但是它卻具有很強的檢測功能,對于許多組織而言,想要從大量的系統日志中檢測出可疑的行為是非常困難的。雖然,有入侵檢測系統(IDS)的存在,但是,IDS發生的誤報和漏報,讓系統管理員疲于處理各種警告和誤報。而蜜罐的作用體現在誤報率遠遠低于大部分IDS工具,也務須當心特征數據庫的更新和檢測引擎的修改。因為蜜罐沒有任何有效行為,從原理上來講,任何連接到蜜罐的連接都應該是偵聽、掃描或者攻擊的一種,這樣就可以極大的減低誤報率和漏報率,從而簡化檢測的過程。從某種意義上來講,蜜罐已經成為一個越來越復雜的安全檢測工具了。
⑶如果組織內的系統已經被入侵的話,那些發生事故的系統不能進行脫機工作,這樣的話,將導致系統所提供的所有產品服務都將被停止,同時,系統管理員也不能進行合適的鑒定和分析,而蜜罐可以對入侵進行響應,它提供了一個具有低數據污染的系統和犧牲系統可以隨時進行脫機工作。此時,系統管理員將可以對脫機的系統進行分析,并且把分析的結果和經驗運用于以后的系統中。
② 研究型蜜罐專門以研究和獲取攻擊信息為目的而設計。這類蜜罐并沒有增強特定組織的安全性,恰恰相反,蜜罐要做的是讓研究組織面隊各類網絡威脅,并尋找能夠對付這些威脅更好的方式,它們所要進行的工作就是收集惡意攻擊者的信息。它一般運用于軍隊,安全研究組織。
★ 根據蜜罐與攻擊者之間進行的交互,可以分為3類:低交互蜜罐,中交互蜜罐和高交互蜜罐,同時這也體現了蜜罐發展的3個過程。
① 低交互蜜罐最大的特點是模擬。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產品系統,而是對各種系統及其提供的服務的模擬。由于它的服務都是模擬的行為,所以蜜罐可以獲得的信息非常有限,只能對攻擊者進行簡單的應答,它是最安全的蜜罐類型。
② 中交互是對真正的操作系統的各種行為的模擬,它提供了更多的交互信息,同時也可以從攻擊者的行為中獲得更多的信息。在這個模擬行為的系統中,蜜罐可以看起來和一個真正的操作系統沒有區別。它們是真正系統還要誘人的攻擊目標。
③高交互蜜罐具有一個真實的操作系統,它的優點體現在對攻擊者提供真實的系統,當攻擊者獲得ROOT權限后,受系統,數據真實性的迷惑,他的更多活動和行為將被記錄下來。缺點是被入侵的可能性很高,如果整個高蜜罐被入侵,那么它就會成為攻擊者下一步攻擊的跳板。目前在國內外的主要蜜罐產品有DTK,空系統,BOF,SPECTER,HOME-MADE蜜罐,HONEYD,SMOKEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四種。
5.蜜罐的配置模式
① 誘騙服務(deception service)
誘騙服務是指在特定的IP服務端口幀聽并像應用服務程序那樣對各種網絡請求進行應答的應用程序。DTK就是這樣的一個服務性產品。DTK吸引攻擊者的詭計就是可執行性,但是它與攻擊者進行交互的方式是模仿那些具有可攻擊弱點的系統進行的,所以可以產生的應答非常有限。在這個過程中對所有的行為進行記錄,同時提供較為合理的應答,并給闖入系統的攻擊者帶來系統并不安全的錯覺。例如,當我們將誘騙服務配置為FTP服務的模式。當攻擊者連接到TCP/21端口的時候,就會收到一個由蜜罐發出的FTP的標識。如果攻擊者認為誘騙服務就是他要攻擊的FTP,他就會采用攻擊FTP服務的方式進入系統。這樣,系統管理員便可以記錄攻擊的細節。
② 弱化系統(weakened system)
只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。這樣的特點是攻擊者更加容易進入系統,系統可以收集有效的攻擊數據。因為黑客可能會設陷阱,以獲取計算機的日志和審查功能,需要運行其他額外記錄系統,實現對日志記錄的異地存儲和備份。它的缺點是“高維護低收益”。因為,獲取已知的攻擊行為是毫無意義的。
③ 強化系統(hardened system)
強化系統同弱化系統一樣,提供一個真實的環境。不過此時的系統已經武裝成看似足夠安全的。當攻擊者闖入時,蜜罐就開始收集信息,它能在最短的時間內收集最多有效數據。用這種蜜罐需要系統管理員具有更高的專業技術。如果攻擊者具有更高的技術,那么,他很可能取代管理員對系統的控制,從而對其它系統進行攻擊。
④用戶模式服務器(user mode server)
用戶模式服務器實際上是一個用戶進程,它運行在主機上,并且模擬成一個真實的服務器。在真實主機中,每個應用程序都當作一個具有獨立IP地址的操作系統和服務的特定是實例。而用戶模式服務器這樣一個進程就嵌套在主機操作系統的應用程序空間中,當INTERNET用戶向用戶模式服務器的IP地址發送請求,主機將接受請求并且轉發到用戶模式服務器上。(我們用這樣一個圖形來表示一下他們之間的關系):這種模式的成功與否取決于攻擊者的進入程度和受騙程度。它的優點體現在系統管理員對用戶主機有絕對的控制權。即使蜜罐被攻陷,由于用戶模式服務器是一個用戶進程,那么Administrator只要關閉該進程就可以了。另外就是可以將FIREWALL,IDS集中于同一臺服務器上。當然,其局限性是不適用于所有的操作系統。
6.蜜罐的信息收集
當我們察覺到攻擊者已經進入蜜罐的時候,接下來的任務就是數據的收集了。數據收集是設置蜜罐的另一項技術挑戰。蜜罐監控者只要記錄下進出系統的每個數據包,就能夠對黑客的所作所為一清二楚。蜜罐本身上面的日志文件也是很好的數據來源。但日志文件很容易被攻擊者刪除,所以通常的辦法就是讓蜜罐向在同一網絡上但防御機制較完善的遠程系統日志服務器發送日志備份。(務必同時監控日志服務器。如果攻擊者用新手法闖入了服務器,那么蜜罐無疑會證明其價值。)
近年來,由于黑帽子群體越來越多地使用加密技術,數據收集任務的難度大大增強。如今,他們接受了眾多計算機安全專業人士的建議,改而采用SSH等密碼協議,確保網絡監控對自己的通訊無能為力。蜜網對付密碼的計算就是修改目標計算機的操作系統,以便所有敲入的字符、傳輸的文件及其它信息都記錄到另一個監控系統的日志里面。因為攻擊者可能會發現這類日志,蜜網計劃采用了一種隱蔽技術。譬如說,把敲入字符隱藏到NetBIOS廣播數據包里面。
7.蜜罐的實際例子
下面我們以Redhat linux 9.0為平臺,做一個簡單的蜜罐陷阱的配置。
我們知道,黑客一旦獲得root口令,就會以root身份登錄,這一登錄過程就是黑客入侵的必經之路。其二,黑客也可能先以普通用戶身份登錄,然后用su命令轉換成root身份,這又是一條必經之路。
我們討論如何在以下情況下設置陷阱:
(1)當黑客以root身份登錄時;
(2)當黑客用su命令轉換成root身份時;
(3)當黑客以root身份成功登錄后一段時間內;
第一種情況的陷阱設置
一般情況下,只要用戶輸入的用戶名和口令正確,就能順利進入系統。如果我們在進入系統時設置了陷阱,并使黑客對此防不勝防,就會大大提高入侵的難度系數。例如,當黑客已獲取正確的root口令,并以root身份登錄時,我們在此設置一個迷魂陣,提示它,你輸入的口令錯誤,并讓它重輸用戶名和口令。而其實,這些提示都是虛假的,只要在某處輸入一個密碼就可通過。黑客因此就掉入這個陷阱,不斷地輸入root用戶名和口令,卻不斷地得到口令錯誤的提示,從而使它懷疑所獲口令的正確性,放棄入侵的企圖。
給超級用戶也就是root用戶設置陷阱,并不會給系統帶來太多的麻煩,因為,擁有root口令的人數不會太多,為了系統的安全,稍微增加一點復雜性也是值得的。這種陷阱的設置時很方便的,我們只要在root用戶的.profile中加一段程序就可以了。我們完全可以在這段程序中觸發其他入侵檢測與預警控制程序。陷阱程序如下:
# root .profile
Clear
Echo “You had input an error password , please input again !”
Echo
Echo –n “Login:”
Read p
If ( “$p” = “123456”) then
Clear
Else
Exit
第二種情況的陷阱設置
在很多情況下,黑客會通過su命令轉換成root身份,因此,必須在此設置陷阱。當黑客使用su命令,并輸入正確的root口令時,也應該報錯,以此來迷惑它,使它誤認為口令錯誤,從而放棄入侵企圖。這種陷阱的設置也很簡單,你可以在系統的/etc/profile文件中設置一個alias,把su命令重新定義成轉到普通用戶的情況就可以了,例如alias su=”su user1”。這樣,當使用su時,系統判斷的是user1的口令,而不是root的口令,當然不能匹配。即使輸入su root也是錯誤的,也就是說,從此屏蔽了轉向root用戶的可能性。
第三種情況的陷阱設置
如果前兩種設置都失效了,黑客已經成功登錄,就必須啟用登錄成功的陷阱。一旦root用戶登錄,就可以啟動一個計時器,正常的root登錄就能停止計時,而非法入侵者因不知道何處有計時器,就無法停止計時,等到一個規定的時間到,就意味著有黑客入侵,需要觸發必要的控制程序,如關機處理等,以免造成損害,等待系統管理員進行善后處理。陷阱程序如下:
# .testfile
times=0
while [ $times –le 30 ] do
sleep 1
times=$[times + 1]
done
halt /* 30秒時間到,觸發入侵檢測與預警控制 */
將該程序放入root .bashrc中后臺執行:
# root . bashrc
….
Sh .testfile&
該程序不能用Ctrl-C終止,系統管理員可用jobs命令檢查到,然后用kill %n將它停止。
從上述三種陷阱的設置,我們可以看到一個一般的規律:改變正常的運行狀態,設置虛假信息,使入侵者落入陷阱,從而觸發入侵檢測與預警控制程序。
8.關鍵技術設計
自蜜罐概念誕生之日起,相關技術一直在長足的發展。到今天為止,蜜罐技術應用的最高度應該說是Honeynet技術的實現。
9.總結
任何事物的存在都會有利弊,蜜罐技術的發展也是伴隨著各種不同的觀點而不斷的成長的。蜜罐技術是通過誘導讓黑客們誤入歧途,消耗他們的精力,為我們加強防范贏得時間。通過蜜網讓我們在受攻擊的同時知道誰在使壞,目標是什么。同時也檢驗我們的安全策略是否正確,防線是否牢固,蜜罐的引入使我們與黑客之間同處于相互斗智的平臺counter-intelligence,而不是處處遭到黑槍的被動地位。我們的網絡并不安全,IDS,FIREWALL,Encryption技術都有其缺陷性,我們期待它們與蜜罐的完美結合,那將是對網絡安全的最好禮物。我們完全相信,蜜罐技術必將在網絡安全中發揮出極其重要的作用,一場世界上聲勢浩大的蜜罐技術行動必將到來~
安全隱患:很多病毒都是通過注冊表中的RUN值進行加載而實現隨操作系統的啟動而啟動的,我們可以按照“禁止病毒啟動服務”中介紹的方法將病毒和木馬對該鍵值的修改權限去掉。
解決方法:運行“regedt32”指令啟動注冊表編輯器,找到注冊表中的
HKEY_CURRENT_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RUN
分支,將Everyone對該分支的“讀取”權限設置為“允許”,取消對“完全控制”權限的選擇。這樣病毒和木馬就無法通過該鍵值啟動自身了。
病毒和木馬是不斷“發展”的,我們也要不斷學習新的防護知識,才能抵御病毒和木馬的入侵。與其在感染病毒或木馬后再進行查殺,不如提前做好防御工作,修筑好牢固的城墻進行抵御。畢竟亡羊補牢不是我們所希望發生的事情,“防患于未然”才是我們應該追求的。
解決方法:運行“regedt32”指令啟動注冊表編輯器,找到注冊表中的
HKEY_CURRENT_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RUN
分支,將Everyone對該分支的“讀取”權限設置為“允許”,取消對“完全控制”權限的選擇。這樣病毒和木馬就無法通過該鍵值啟動自身了。
病毒和木馬是不斷“發展”的,我們也要不斷學習新的防護知識,才能抵御病毒和木馬的入侵。與其在感染病毒或木馬后再進行查殺,不如提前做好防御工作,修筑好牢固的城墻進行抵御。畢竟亡羊補牢不是我們所希望發生的事情,“防患于未然”才是我們應該追求的。
防止被黑之網絡服務器安全經驗談
[ 2007-03-25 03:07:47 | 作者: sun ]
1、對數據庫進行安全配置,例如你的程序連接數據庫所使用的帳戶/口令/權限,如果是瀏覽新聞的,用只讀權限即可;可以對不同的模塊使用不同的帳戶/權限;另外,數據庫的哪些存儲過程可以調用,也要進行嚴格地配置,用不到的全部禁用(特別是cmd這種),防止注入后利用數據庫的存儲過程進行系統調用;
2、在獲取客戶端提交的參數時,進行嚴格的過濾,包括參數長短、參數類型等等;
3、對管理員后臺進行嚴格的保護,有條件的話,應該設置為只允許特定的IP訪問(例如只允許管理員網段訪問)——這個要根據實際情況來看的;
4、對操作系統進行安全配置,防止注入后調用系統的功能,例如把
cmd.exe/tftp.exe/ftp.exe/net.exe
這些文件全部轉移到其他目錄,并對目錄進行嚴格的權限指派;
5、設置網絡訪問控制;
6、有條件的話,配置針對HTTP的內容過濾,過濾病毒、惡意腳本等;
7、如果有必要,可以考慮選擇HTTPS,這樣可以防止很多的注入工具掃描,我以前自己開發注入檢測工具的時候,考慮過做支持HTTPS方式的,但目前還沒付諸實施。
相信你也看出來了,總的來說程序方面主要考慮權限、參數過濾等問題;權限主要包括IIS瀏覽權限、數據庫調用權限。除此以外,還要考慮數據庫、操作系統的安全配置。另外,不知道你們在開發過程中會不會用到其他人開發的組件,例如圖片上傳之類的,這類組件你們研究過其安全性么?或者開發的過程中,絕大多數人會使用網上、書上提供的現成代碼,例如用戶登錄驗證等等,這些公開代碼,也要研究其安全性問題。
2、在獲取客戶端提交的參數時,進行嚴格的過濾,包括參數長短、參數類型等等;
3、對管理員后臺進行嚴格的保護,有條件的話,應該設置為只允許特定的IP訪問(例如只允許管理員網段訪問)——這個要根據實際情況來看的;
4、對操作系統進行安全配置,防止注入后調用系統的功能,例如把
cmd.exe/tftp.exe/ftp.exe/net.exe
這些文件全部轉移到其他目錄,并對目錄進行嚴格的權限指派;
5、設置網絡訪問控制;
6、有條件的話,配置針對HTTP的內容過濾,過濾病毒、惡意腳本等;
7、如果有必要,可以考慮選擇HTTPS,這樣可以防止很多的注入工具掃描,我以前自己開發注入檢測工具的時候,考慮過做支持HTTPS方式的,但目前還沒付諸實施。
相信你也看出來了,總的來說程序方面主要考慮權限、參數過濾等問題;權限主要包括IIS瀏覽權限、數據庫調用權限。除此以外,還要考慮數據庫、操作系統的安全配置。另外,不知道你們在開發過程中會不會用到其他人開發的組件,例如圖片上傳之類的,這類組件你們研究過其安全性么?或者開發的過程中,絕大多數人會使用網上、書上提供的現成代碼,例如用戶登錄驗證等等,這些公開代碼,也要研究其安全性問題。
