系統(tǒng)泄露密碼入侵攻擊分析
[ 2007-03-25 02:55:05 | 作者: sun ]
WINDOWS訪問139端口時自動用當(dāng)前用戶、密碼連接,造成泄露用戶密碼,雖然其密碼是加密的,但一樣可以用來攻擊。
下面是SMB的密碼認(rèn)證方式。
WINDOWS的139口的訪問過程,箭頭表示數(shù)據(jù)方向:
1.客戶端<--------------------建立TCP連接----------------->服務(wù)端
2.客戶端-------客戶端類型、支持的服務(wù)方式列表等---------->服務(wù)端
3.客戶端<---------服務(wù)器認(rèn)證方式、加密用的key等-----------服務(wù)端
認(rèn)證方式就是用戶級認(rèn)證還是共享級認(rèn)證和密碼加密不,key是服務(wù)器隨機(jī)生成的8個字節(jié),WIN2000已經(jīng)支持16個字節(jié)的 key。
4.客戶端--------------用戶名、加密后密碼----------------->服務(wù)端
WIN9X、WINNT、WIN2000這有個漏洞,不經(jīng)過提示等就把當(dāng)前用戶名,密碼加密后發(fā)過去了,導(dǎo)致密碼泄漏。這兒加密是DES的變形,lockedpass=chgdes(key,pass)。這兒的pass是作為DES變形的KEY,key是作為DES變形的待加密數(shù)據(jù)。
5.客戶端<---------------認(rèn)證成功否-----------------------服務(wù)端
WINDOWS客戶端第4步有漏洞,顯然服務(wù)端可以得到username和lockedpass=chgdes(key,pass), 其中key可以自由指定,因為這是服務(wù)方提供的,usname、pass是客戶端當(dāng)前訪問者用戶名和密碼。這兒的加密變換不可逆,但已經(jīng)可以用暴力法破解了,也已經(jīng)有了這樣的程序。其實(shí)我們有時并不一定要得到密碼明文的,只要能提供連接需要的就可以了。我們來看得到lockedpass有什么用,我們反過去訪問看看,telnet、ftp等連接要密碼明文我們得到的lockedpass不能提供,那么我們考慮用同樣加密算法傳密碼密文的服務(wù)呢?比如就是NETBIOS共享服務(wù)。前面是服務(wù)端得到東西,那現(xiàn)在就是站在客戶端了,再看前面那過程,顯然其實(shí)我們并不需要提供pass,是不是只需要提供username和lockedpass2=chgdes(key2,pass)就可以了?其中key2是現(xiàn)在的服務(wù)端提供的。看看我們有 usname和lockedpass=chgdes(key,pass)其中key我們可以自己指定,大家一看顯然只要key=key2那么就需要的我們都有了是不是?所以我們要使得key=key2.
好我們再仔細(xì)看看連接過程,別人連接兩步1、2:
1.客戶端<--------------------建立TCP連接----------------->服務(wù)端
2.客戶端-------客戶端類型、支持的服務(wù)方式列表等---------->服務(wù)端
下面就該
3.客戶端<---------服務(wù)器認(rèn)證方式、加密用的key等-----------服務(wù)端
這我們需要提供key,這兒我們不能隨便提供key,需要提供key2,那么我們就要得到key2,顯然需要連接NETBIOS服務(wù)回去。顯然這而需要連接回去的11,22,33共3步(為了區(qū)分連接回去的步子用重號表示)才能得到key2,顯然這2步和3步不需要有先后順序。所以我們可以得到連接指定IP的NETBIOS服務(wù)然后等這用戶來訪問,這可能有時間超時等處理,或者等到任意IP連接NETBIOS服務(wù)后馬上連回去,反正怎么處理方便、滿足需要就怎么處理。
下面顯然就是設(shè)置 key=key2返回3,那就等4得到lockedpass了,第5步嘛就你自由處理了,要不返回密碼錯誤,后面就是44、55……
總的來就是1,2,11,22,33,3,4,5,44,55……顯然你就是以那機(jī)器訪問你的用戶的身份去訪問他的NETBIOS服務(wù)了,能干什么那就看那用戶的權(quán)限了。
注意有興趣的可以把SAMB包的客戶端程序修改加上一點(diǎn)服務(wù)的前幾步就可以了。顯然這主要利用的還是WINDOWS泄露當(dāng)前用戶名、加密密碼漏洞。還有這需要別人來訪問你的機(jī)器,這好辦,郵件或者主頁等里面來個
IMGsrc”="file://ip/filename" ...
就可以了。我實(shí)驗了去掉機(jī)器139口服務(wù)(要不有139口要影響后面端口重定向),用端口重定向程序把來向139口定向回去,找另一個WINNT機(jī)器用\\ip訪問那重定向139口的機(jī)器,結(jié)果是沒有密碼提示就看到WINNT機(jī)器本身了。其實(shí)這時重定向端口程序那臺機(jī)器已經(jīng)用WINNT機(jī)器的當(dāng)前用戶訪問WINNT了,只是由于沒有客戶端的處理界面不能操作。(T002)
網(wǎng)絡(luò)安全之IE瀏覽器防黑秘技大曝光
[ 2007-03-25 02:54:52 | 作者: sun ]
針對IE的惡意修改、攻擊方法非常多,本文中介紹的十種反黑技巧,一定會對你有所幫助。
1.管理好Cookie
在IE6.0中,打開“工具”→“Internet選項”→“隱私”對話框,這里設(shè)定了“阻止所有Cookie”、“高”、“中高”、“中”、“低”、“接受所有Cookie”六個級別(默認(rèn)為“中”),你只要拖動滑塊就可以方便地進(jìn)行設(shè)定,而點(diǎn)擊下方的“編輯”按鈕,在“網(wǎng)站地址”中輸入特定的網(wǎng)址,就可以將其設(shè)定為允許或拒絕它們使用Cookie。
2.禁用或限制使用Java程序及ActiveX控件
在網(wǎng)頁中經(jīng)常使用Java、Java Applet、ActiveX編寫的腳本,它們可能會獲取你的用戶標(biāo)識、IP地址,乃至口令,甚至?xí)谀愕臋C(jī)器上安裝某些程序或進(jìn)行其他操作,因此應(yīng)對Java、Java小程序腳本、ActiveX控件和插件的使用進(jìn)行限制。打開“Internet選項”→“安全”→“自定義級別”,就可以設(shè)置“ActiveX控件和插件”、“Java”、“腳本”、“下載”、“用戶驗證”以及其它安全選項。對于一些不太安全的控件或插件以及下載操作,應(yīng)該予以禁止、限制,至少要進(jìn)行提示。
3.防止泄露自己的信息
缺省條件下,用戶在第一次使用Web地址、表單、表單的用戶名和密碼后,同意保存密碼,在下一次再進(jìn)入同樣的Web頁及輸入密碼時,只需輸入開頭部分,后面的就會自動完成,給用戶帶來了方便,但同時也留下了安全隱患,不過我們可以通過調(diào)整“自動完成”功能的設(shè)置來解決。設(shè)置方法如下:依次點(diǎn)擊“Internet選項”→“內(nèi)容”→“自動完成”,打開“自動完成設(shè)置”對話框,選中要使用的“自動完成”復(fù)選項。
提醒:為發(fā)安全起見,防止泄露自己的一些信息,應(yīng)該定期清除歷史記錄,方法是在“自動完成設(shè)置”對話框中點(diǎn)擊“清除表單”和“清除密碼”按鈕。
4.清除已瀏覽過的網(wǎng)址
在“Internet選項”對話框中的“常規(guī)”標(biāo)簽下單擊歷史記錄區(qū)域的“清除歷史記錄”按鈕即可。若只想清除部分記錄,單擊IE工具欄上的“歷史”按鈕,在左欄的地址歷史記錄中,找到希望清除的地址或其下網(wǎng)頁,單擊鼠標(biāo)右鍵,從彈出的快捷菜單中選取“刪除”。
5.清除已訪問過的網(wǎng)頁
為了加快瀏覽速度,IE會自動把你瀏覽過的網(wǎng)頁保存在緩存文件夾“C:/Windows/Temporary Internet Files”下。當(dāng)你確認(rèn)不再需要瀏覽過的網(wǎng)頁時,在此選中所有網(wǎng)頁,刪除即可。或者在“Internet選項”的“常規(guī)”標(biāo)簽下單擊“Internet臨時文件”項目中的“刪除文件”按鈕,在打開的“刪除文件”對話框中選中“刪除所有脫機(jī)內(nèi)容”,單擊“確定”,這種方法會遺留少許Cookie在文件夾內(nèi),為此IE6.0在“刪除文件”按鈕旁邊增加了一個“刪除Cookie”的按鈕,通過它可以很方便地刪除遺留的。
6.永遠(yuǎn)不怕IE主頁地址被修改
眾所周知,修改IE默認(rèn)主頁地址是惡意網(wǎng)頁常用的一招。IE被修改后,會自動連接到惡意網(wǎng)頁的地址。大家常用的方法是修改注冊表,其實(shí),只要簡單給IE加個參數(shù),就再也不害翴E主頁地址被修改了。下面是具體的方法和步驟。
首先,打開“我的電腦”,找到IE的安裝目錄,這里假設(shè)你的IE安裝在C:/Program FilesInternet Explorer下。進(jìn)入該文件夾,找到Iexplore.exe文件,對著它點(diǎn)擊鼠標(biāo)右鍵,在彈出的快捷菜單中選擇“發(fā)送到→桌面快捷方式”,這樣就在桌面上建立了一個Iexplore.exe文件的快捷方式。如果你夠仔細(xì)的話,你會發(fā)現(xiàn)你建立的這個快捷方式名字為“Iexplore.exe”,而桌面上原來的IE快捷方式名字為“Internet Explorer”,兩者不僅名字不相同,而且“內(nèi)涵”也不盡相同。
繼續(xù)我們的工作,用鼠標(biāo)右鍵單擊該快捷方式,選擇“屬性”,會彈出“Iexplore.exe 屬性”對話框,選擇其中的“快捷方式”標(biāo)簽,然后在“目標(biāo)”框里填入:"C:/Program Files/Internet Explorer/IEXPLORE.EXE" -nohome,給Iexplore.exe加上參數(shù)“-nohome”,輸入時請大家注意在參數(shù)“-nohome”前面有一個空格,不要忘了,輸入完畢。點(diǎn)擊“確定”退出即可。
這樣即使主頁被修改也沒有關(guān)系,打開IE就是一片空白,就連about:blank也不顯示。而且這樣能夠加快啟動速度,一點(diǎn)IE窗口馬上就出蹦來了。
對于IE在安裝時自己建立的快捷方式,我們無法為它加上上述參數(shù)。如果不信可以試試,用鼠標(biāo)右鍵點(diǎn)擊桌面上原來IE自建的快捷方式,選“屬性”,會發(fā)現(xiàn)“目標(biāo)”欄、“起始位置”欄、“快捷鍵”欄和“運(yùn)行方式”欄都是灰色不可選取狀態(tài)。這就是它們之間最大的不同!也是本文的關(guān)鍵所在。
7.挖出IE本地安全配置選項
在IE中可以通過點(diǎn)擊“工具→Internet選項→安全”來設(shè)定電腦安全等級,之后會出現(xiàn)。從圖中可以看出,在安全性設(shè)定中我們只能設(shè)定Internet、本地Intranet、受信任的站點(diǎn)、受限制的站點(diǎn)。不過,慣于隱藏其部分功能的微軟(真不知微軟是怎么想的,老和我們玩“捉迷藏”游戲),在這里又留了一手:其實(shí)這里還有一個隱藏的選項——就是“我的電腦”的安全性設(shè)定,如果你想看到它,可以通過修改注冊表的方法來達(dá)到目的。
下面是具體的方法:打開“開始”菜單中的“運(yùn)行”,在彈出的“運(yùn)行”對話框中輸入Regedit.exe,打開注冊表編輯器,點(diǎn)擊前面的“+”號順次展開到:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet SettingsZones,在右邊窗口中找到DWORD值“Flags”,默認(rèn)鍵值為十六進(jìn)制的21(十進(jìn)制33),雙擊“Flags”,在彈出的對話框中將它的鍵值改為“1”即可,關(guān)閉注冊表編輯器。無需重新啟動電腦,重新打開IE,再次點(diǎn)擊“工具→Internet選項→安全”標(biāo)簽,你就會看到多了一個“我的電腦”,在這里你可以對IE的本地安全進(jìn)行配置。
這個小技巧有什么用呢?把下面的代碼保存為一個html文件,然后運(yùn)行試試就知道了:
運(yùn)行上面的html文件,會打開你的計算機(jī)中c:/winnt/system32文件夾下的calc.exe文件!而且IE沒有任何提示!即使在IE的安全設(shè)置中禁用ActiveX控件上述代碼也能工作!如果不是calc.exe文件而是其他惡意文件又會怎么樣?如果是在你瀏覽的網(wǎng)頁中含有類似上面的代碼又會怎么樣?真危險啊!
之所以會這樣是由于IE存在兩個可怕的漏洞:可本地執(zhí)行任意命令,IE的ActiveX安全設(shè)置可被繞過。在上述代碼中我們給IE指定了一個系統(tǒng)中并不存在的控件號("clsid:88888888-8888-8888-8888-888888888888),IE會試圖從codebase指定的地址去下載并安裝改控件。根據(jù)codebase于是IE找到了c:/winnt/system32/calc.exe,接著IE開始“下載”并安裝該程序。由于calc.exe是EXE文件,這樣就等于是在運(yùn)行該文件,所以calc.exe就被運(yùn)行了!
那么為什么IE在“下載安裝控件”過程中不提示用戶,也不應(yīng)用IE安全設(shè)置中的限定進(jìn)行檢測呢?這就是IE的ActiveX安全設(shè)置可被繞過漏洞造成的!其主要原因是IE安全設(shè)置都是針對非本地的頁面或交互的,對于本地的安全設(shè)置IE是最大信任的。如果你注意看IE的安全設(shè)置,都是對Internet和Intranet上WEB服務(wù)器而言的,根本就沒有對本地文件的安全設(shè)置。概括說來就是IE對本地安全采用最大信任原則。
解決的辦法就是我們在開始說的那個技巧:挖出挖出IE本地安全配置選項,即修改IE安全設(shè)置中有關(guān)“我的電腦”的設(shè)置,選定后,禁用ActiveX下載就萬事大吉了。
8.在DOS下打開“Internet屬性”窗口
有時在瀏覽了某些惡意網(wǎng)頁后,會導(dǎo)致IE的“Internet屬性”對話框無法打開,這時我們可以在DOS窗口下輸入:RunDll32.exe shell32.dll,Control_RunDLL inetcpl.cpl命令,就可打開IE的“Internet屬性”對話框。要注意“Control_RunDLL”的大小寫以及它前面的逗號(,)不要忘記了。RunDll32.exe是Windows動態(tài)鏈接庫(DLL)管理工具,可以用來在命令行下執(zhí)行動態(tài)鏈接庫中的某個函數(shù)(或者功能模塊)。
RunDll32的使用方法如下:RunDll32.EXE ,要注意以下幾點(diǎn):
(1)Dllname(就是制定DLL動態(tài)鏈接庫所在位置和文件名)直接不能有空格;
(2)Dllname和entrypoint兩者之間只能以“,”(逗號)分隔,逗號之后不能有空格,如果這里出錯的話,你不會得到任何提示;
(3)optional arguments動態(tài)鏈接庫調(diào)用參數(shù),這個參數(shù)對大小寫是很敏感的,注意不要寫錯。
9.解除IE的分級審查口令
有些時候,我們的IE會被人修改為設(shè)有分級審查口令,一旦被設(shè)置了分級審查口令,即使重新安裝IE也是沒有用的。怎么辦呢?難道要格式化硬盤?千萬不要!這里我有一個好辦法,幫您解決這個問題。
進(jìn)入注冊表,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionpolicies\Ratings,這里有一個名為“key”的主鍵,這就是您設(shè)置的分級審查口令,直接將它刪除即可。重新啟動之后,點(diǎn)擊“工具”→“Internet選項”→“內(nèi)容”→“分級審查”,您會發(fā)現(xiàn)分級審查口令已經(jīng)被復(fù)位了。現(xiàn)在您只要輸入新的分級審查口令即可。
如果你用的是Windows 9x則更簡單了,到C:\Windows\system目錄里找到rating.pol文件,要注意這是一個隱藏文件,直接將它刪除就可以解決問題了。
10. 預(yù)防網(wǎng)頁惡意代碼
許多惡意網(wǎng)頁為防止有人查看其代碼內(nèi)容,采取了各種各樣的方法求防止我們查看其源代碼。然而,他們的一切努力也許都是白費(fèi)心機(jī)。因為用如下的方法可以輕易地查看其源代碼。只要在IE地址欄中輸入View-Source:URL即可。舉個例子,你想查看搜狐網(wǎng)站hxxp://www.juntuan.net的源代碼,只要在IE地址欄中輸入:View-Source:hxxp://www.juntuan.net,稍等一下就會彈出一個窗口,里面就是你想看到的網(wǎng)頁源代碼。趕快仔細(xì)看看,里面是否有更改注冊表或暗中下載文件的惡意代碼,如果有那就別進(jìn)該網(wǎng)頁了,很簡單吧?這樣做不僅可以學(xué)到別人的網(wǎng)頁制作技術(shù),更可以事先預(yù)防惡意代碼,一舉兩得!
黑客知識之SYN攻擊原理以及防范技術(shù)
[ 2007-03-25 02:54:39 | 作者: sun ]
據(jù)統(tǒng)計,在所有黑客攻擊事件中,SYN攻擊是最常見又最容易被利用的一種攻擊手法。相信很多人還記得2000年YAHOO網(wǎng)站遭受的攻擊事例,當(dāng)時黑客利用的就是簡單而有效的SYN攻擊,有些網(wǎng)絡(luò)蠕蟲病毒配合SYN攻擊造成更大的破壞。本文介紹SYN攻擊的基本原理、工具及檢測方法,并全面探討SYN攻擊防范技術(shù)。
據(jù)統(tǒng)計,在所有黑客攻擊事件中,SYN攻擊是最常見又最容易被利用的一種攻擊手法。相信很多人還記得2000年YAHOO網(wǎng)站遭受的攻擊事例,當(dāng)時黑客利用的就是簡單而有效的SYN攻擊,有些網(wǎng)絡(luò)蠕蟲病毒配合SYN攻擊造成更大的破壞。本文介紹SYN攻擊的基本原理、工具及檢測方法,并全面探討SYN攻擊防范技術(shù)。
一、TCP握手協(xié)議
在TCP/IP協(xié)議中,TCP協(xié)議提供可靠的連接服務(wù),采用三次握手建立一個連接。
第一次握手:建立連接時,客戶端發(fā)送syn包(syn=j)到服務(wù)器,并進(jìn)入SYN_SEND狀態(tài),等待服務(wù)器確認(rèn);
第二次握手:服務(wù)器收到syn包,必須確認(rèn)客戶的SYN(ack=j+1),同時自己也發(fā)送一個SYN包(syn=k),即SYN+ACK包,此時服務(wù)器進(jìn)入SYN_RECV狀態(tài);
第三次握手:客戶端收到服務(wù)器的SYN+ACK包,向服務(wù)器發(fā)送確認(rèn)包ACK(ack=k+1),此包發(fā)送完畢,客戶端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài),完成三次握手。
完成三次握手,客戶端與服務(wù)器開始傳送數(shù)據(jù),在上述過程中,還有一些重要的概念:
未連接隊列:在三次握手協(xié)議中,服務(wù)器維護(hù)一個未連接隊列,該隊列為每個客戶端的SYN包(syn=j)開設(shè)一個條目,該條目表明服務(wù)器已收到SYN包,并向客戶發(fā)出確認(rèn),正在等待客戶的確認(rèn)包。這些條目所標(biāo)識的連接在服務(wù)器處于Syn_RECV狀態(tài),當(dāng)服務(wù)器收到客戶的確認(rèn)包時,刪除該條目,服務(wù)器進(jìn)入ESTABLISHED狀態(tài)。
Backlog參數(shù):表示未連接隊列的最大容納數(shù)目。
SYN-ACK 重傳次數(shù) 服務(wù)器發(fā)送完SYN-ACK包,如果未收到客戶確認(rèn)包,服務(wù)器進(jìn)行首次重傳,等待一段時間仍未收到客戶確認(rèn)包,進(jìn)行第二次重傳,如果重傳次數(shù)超過系統(tǒng)規(guī)定的最大重傳次數(shù),系統(tǒng)將該連接信息從半連接隊列中刪除。注意,每次重傳等待的時間不一定相同。
半連接存活時間:是指半連接隊列的條目存活的最長時間,也即服務(wù)從收到SYN包到確認(rèn)這個報文無效的最長時間,該時間值是所有重傳請求包的最長等待時間總和。有時我們也稱半連接存活時間為Timeout時間、SYN_RECV存活時間。
二、SYN攻擊原理
SYN攻擊屬于DOS攻擊的一種,它利用TCP協(xié)議缺陷,通過發(fā)送大量的半連接請求,耗費(fèi)CPU和內(nèi)存資源。SYN攻擊除了能影響主機(jī)外,還可以危害路由器、防火墻等網(wǎng)絡(luò)系統(tǒng),事實(shí)上SYN攻擊并不管目標(biāo)是什么系統(tǒng),只要這些系統(tǒng)打開TCP服務(wù)就可以實(shí)施。從上圖可看到,服務(wù)器接收到連接請求(syn=j),將此信息加入未連接隊列,并發(fā)送請求包給客戶(syn=k,ack=j+1),此時進(jìn)入SYN_RECV狀態(tài)。當(dāng)服務(wù)器未收到客戶端的確認(rèn)包時,重發(fā)請求包,一直到超時,才將此條目從未連接隊列刪除。配合IP欺騙,SYN攻擊能達(dá)到很好的效果,通常,客戶端在短時間內(nèi)偽造大量不存在的IP地址,向服務(wù)器不斷地發(fā)送syn包,服務(wù)器回復(fù)確認(rèn)包,并等待客戶的確認(rèn),由于源地址是不存在的,服務(wù)器需要不斷的重發(fā)直至超時,這些偽造的SYN包將長時間占用未連接隊列,正常的SYN請求被丟棄,目標(biāo)系統(tǒng)運(yùn)行緩慢,嚴(yán)重者引起網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。
三、SYN攻擊工具
SYN攻擊實(shí)現(xiàn)起來非常的簡單,互聯(lián)網(wǎng)上有大量現(xiàn)成的SYN攻擊工具。
1、Windows系統(tǒng)下的SYN工具
以synkill.exe為例,運(yùn)行工具,選擇隨機(jī)的源地址和源端囗,并填寫目標(biāo)機(jī)器地址和TCP端囗,激活運(yùn)行,很快就會發(fā)現(xiàn)目標(biāo)系統(tǒng)運(yùn)行緩慢。如果攻擊效果不明顯,可能是目標(biāo)機(jī)器并未開啟所填寫的TCP端囗或者防火墻拒絕訪問該端囗,此時可選擇允許訪問的TCP端囗,通常,windows系統(tǒng)開放tcp139端囗,UNIX系統(tǒng)開放tcp7、21、23等端囗。
四、檢測SYN攻擊
檢測SYN攻擊非常的方便,當(dāng)你在服務(wù)器上看到大量的半連接狀態(tài)時,特別是源IP地址是隨機(jī)的,基本上可以斷定這是一次SYN攻擊。我們使用系統(tǒng)自帶的netstat 工具來檢測SYN攻擊:
# netstat -n -p TCP tcp 0 0 10.11.11.11:23124.173.152.8:25882 SYN_RECV - tcp 0 0 10.11.11.11:23236.15.133.204:2577 SYN_RECV - tcp 0 0 10.11.11.11:23127.160.6.129:51748 SYN_RECV - tcp 0 0 10.11.11.11:23222.220.13.25:47393 SYN_RECV - tcp 0 0 10.11.11.11:23212.200.204.182:60427 SYN_RECV - tcp 0 0 10.11.11.11:23232.115.18.38:278 SYN_RECV - tcp 0 0 10.11.11.11:23239.116.95.96:5122SYN_RECV - tcp 0 0 10.11.11.11:23236.219.139.207:49162 SYN_RECV - ...
上面是在LINUX系統(tǒng)中看到的,很多連接處于SYN_RECV狀態(tài)(在WINDOWS系統(tǒng)中是SYN_RECEIVED狀態(tài)),源IP地址都是隨機(jī)的,表明這是一種帶有IP欺騙的SYN攻擊。
我們也可以通過下面的命令直接查看在LINUX環(huán)境下某個端囗的未連接隊列的條目數(shù):
#netstat -n -p TCP grep SYN_RECV grep :22 wc -l 324
顯示TCP端囗22的未連接數(shù)有324個,雖然還遠(yuǎn)達(dá)不到系統(tǒng)極限,但應(yīng)該引起管理員的注意。
五、SYN攻擊防范技術(shù)
關(guān)于SYN攻擊防范技術(shù),人們研究得比較早。歸納起來,主要有兩大類,一類是通過防火墻、路由器等過濾網(wǎng)關(guān)防護(hù),另一類是通過加固TCP/IP協(xié)議棧防范.但必須清楚的是,SYN攻擊不能完全被阻止,我們所做的是盡可能的減輕SYN攻擊的危害,除非將TCP協(xié)議重新設(shè)計。
1、過濾網(wǎng)關(guān)防護(hù)
這里,過濾網(wǎng)關(guān)主要指明防火墻,當(dāng)然路由器也能成為過濾網(wǎng)關(guān)。防火墻部署在不同網(wǎng)絡(luò)之間,防范外來非法攻擊和防止保密信息外泄,它處于客戶端和服務(wù)器之間,利用它來防護(hù)SYN攻擊能起到很好的效果。過濾網(wǎng)關(guān)防護(hù)主要包括超時設(shè)置,SYN網(wǎng)關(guān)和SYN代理三種。
■網(wǎng)關(guān)超時設(shè)置:
防火墻設(shè)置SYN轉(zhuǎn)發(fā)超時參數(shù)(狀態(tài)檢測的防火墻可在狀態(tài)表里面設(shè)置),該參數(shù)遠(yuǎn)小于服務(wù)器的timeout時間。當(dāng)客戶端發(fā)送完SYN包,服務(wù)端發(fā)送確認(rèn)包后(SYN+ACK),防火墻如果在計數(shù)器到期時還未收到客戶端的確認(rèn)包(ACK),則往服務(wù)器發(fā)送RST包,以使服務(wù)器從隊列中刪去該半連接。值得注意的是,網(wǎng)關(guān)超時參數(shù)設(shè)置不宜過小也不宜過大,超時參數(shù)設(shè)置過小會影響正常的通訊,設(shè)置太大,又會影響防范SYN攻擊的效果,必須根據(jù)所處的網(wǎng)絡(luò)應(yīng)用環(huán)境來設(shè)置此參數(shù)。
■SYN網(wǎng)關(guān):
SYN網(wǎng)關(guān)收到客戶端的SYN包時,直接轉(zhuǎn)發(fā)給服務(wù)器;SYN網(wǎng)關(guān)收到服務(wù)器的SYN/ACK包后,將該包轉(zhuǎn)發(fā)給客戶端,同時以客戶端的名義給服務(wù)器發(fā)ACK確認(rèn)包。此時服務(wù)器由半連接狀態(tài)進(jìn)入連接狀態(tài)。當(dāng)客戶端確認(rèn)包到達(dá)時,如果有數(shù)據(jù)則轉(zhuǎn)發(fā),否則丟棄。事實(shí)上,服務(wù)器除了維持半連接隊列外,還要有一個連接隊列,如果發(fā)生SYN攻擊時,將使連接隊列數(shù)目增加,但一般服務(wù)器所能承受的連接數(shù)量比半連接數(shù)量大得多,所以這種方法能有效地減輕對服務(wù)器的攻擊。
■SYN代理:
當(dāng)客戶端SYN包到達(dá)過濾網(wǎng)關(guān)時,SYN代理并不轉(zhuǎn)發(fā)SYN包,而是以服務(wù)器的名義主動回復(fù)SYN/ACK包給客戶,如果收到客戶的ACK包,表明這是正常的訪問,此時防火墻向服務(wù)器發(fā)送ACK包并完成三次握手。SYN代理事實(shí)上代替了服務(wù)器去處理SYN攻擊,此時要求過濾網(wǎng)關(guān)自身具有很強(qiáng)的防范SYN攻擊能力。
2、加固tcp/ip協(xié)議棧
防范SYN攻擊的另一項主要技術(shù)是調(diào)整tcp/ip協(xié)議棧,修改tcp協(xié)議實(shí)現(xiàn)。主要方法有SynAttackProtect保護(hù)機(jī)制、SYN cookies技術(shù)、增加最大半連接和縮短超時時間等。tcp/ip協(xié)議棧的調(diào)整可能會引起某些功能的受限,管理員應(yīng)該在進(jìn)行充分了解和測試的前提下進(jìn)行此項工作。
■SynAttackProtect機(jī)制
為防范SYN攻擊,win2000系統(tǒng)的tcp/ip協(xié)議棧內(nèi)嵌了SynAttackProtect機(jī)制,Win2003系統(tǒng)也采用此機(jī)制。SynAttackProtect機(jī)制是通過關(guān)閉某些socket選項,增加額外的連接指示和減少超時時間,使系統(tǒng)能處理更多的SYN連接,以達(dá)到防范SYN攻擊的目的。默認(rèn)情況下,Win2000操作系統(tǒng)并不支持SynAttackProtect保護(hù)機(jī)制,需要在注冊表以下位置增加SynAttackProtect鍵值:
HKLMSYSTEMCurrentControlSetServicesTcpipParameters
當(dāng)SynAttackProtect值(如無特別說明,本文提到的注冊表鍵值都為十六進(jìn)制)為0或不設(shè)置時,系統(tǒng)不受SynAttackProtect保護(hù)。
當(dāng)SynAttackProtect值為1時,系統(tǒng)通過減少重傳次數(shù)和延遲未連接時路由緩沖項(route cache entry)防范SYN攻擊。
當(dāng)SynAttackProtect值為2時(Microsoft推薦使用此值),系統(tǒng)不僅使用backlog隊列,還使用附加的半連接指示,以此來處理更多的SYN連接,使用此鍵值時,tcp/ip的TCPInitialRTT、window size和可滑動窗囗將被禁止。
我們應(yīng)該知道,平時,系統(tǒng)是不啟用SynAttackProtect機(jī)制的,僅在檢測到SYN攻擊時,才啟用,并調(diào)整tcp/ip協(xié)議棧。那么系統(tǒng)是如何檢測SYN攻擊發(fā)生的呢?事實(shí)上,系統(tǒng)根據(jù)TcpMaxHalfOpen,TcpMaxHalfOpenRetried 和TcpMaxPortsExhausted三個參數(shù)判斷是否遭受SYN攻擊。
TcpMaxHalfOpen 表示能同時處理的最大半連接數(shù),如果超過此值,系統(tǒng)認(rèn)為正處于SYN攻擊中。Win2000 server默認(rèn)值為100,Win2000 Advanced server為500。
TcpMaxHalfOpenRetried定義了保存在backlog隊列且重傳過的半連接數(shù),如果超過此值,系統(tǒng)自動啟動SynAttackProtect機(jī)制。Win2000 server默認(rèn)值為80,Win2000 Advanced server為400。
TcpMaxPortsExhausted 是指系統(tǒng)拒絕的SYN請求包的數(shù)量,默認(rèn)是5。
如果想調(diào)整以上參數(shù)的默認(rèn)值,可以在注冊表里修改(位置與SynAttackProtect相同)
■ SYN cookies技術(shù)
我們知道,TCP協(xié)議開辟了一個比較大的內(nèi)存空間backlog隊列來存儲半連接條目,當(dāng)SYN請求不斷增加,并這個空間,致使系統(tǒng)丟棄SYN連接。為使半連接隊列被塞滿的情況下,服務(wù)器仍能處理新到的SYN請求,SYN cookies技術(shù)被設(shè)計出來。
SYN cookies應(yīng)用于linux、FreeBSD等操作系統(tǒng),當(dāng)半連接隊列滿時,SYNcookies并不丟棄SYN請求,而是通過加密技術(shù)來標(biāo)識半連接狀態(tài)。
在TCP實(shí)現(xiàn)中,當(dāng)收到客戶端的SYN請求時,服務(wù)器需要回復(fù)SYN+ACK包給客戶端,客戶端也要發(fā)送確認(rèn)包給服務(wù)器。通常,服務(wù)器的初始序列號由服務(wù)器按照一定的規(guī)律計算得到或采用隨機(jī)數(shù),但在SYN cookies中,服務(wù)器的初始序列號是通過對客戶端IP地址、客戶端端囗、服務(wù)器IP地址和服務(wù)器端囗以及其他一些安全數(shù)值等要素進(jìn)行hash運(yùn)算,加密得到的,稱之為cookie。當(dāng)服務(wù)器遭受SYN攻擊使得backlog隊列滿時,服務(wù)器并不拒絕新的SYN請求,而是回復(fù)cookie(回復(fù)包的SYN序列號)給客戶端, 如果收到客戶端的ACK包,服務(wù)器將客戶端的ACK序列號減去1得到cookie比較值,并將上述要素進(jìn)行一次hash運(yùn)算,看看是否等于此cookie。如果相等,直接完成三次握手(注意:此時并不用查看此連接是否屬于backlog隊列)。
在RedHat linux中,啟用SYN cookies是通過在啟動環(huán)境中設(shè)置以下命令來完成:
# echo 1 ?? /proc/sys/net/ipv4/tcp_syncookies
■ 增加最大半連接數(shù)
大量的SYN請求導(dǎo)致未連接隊列被塞滿,使正常的TCP連接無法順利完成三次握手,通過增大未連接隊列空間可以緩解這種壓力。當(dāng)然backlog隊列需要占用大量的內(nèi)存資源,不能被無限的擴(kuò)大。
WIN2000:除了上面介紹的TcpMaxHalfOpen, TcpMaxHalfOpenRetried參數(shù)外,WIN2000操作系統(tǒng)可以通過設(shè)置動態(tài)backlog(dynamic backlog)來增大系統(tǒng)所能容納的最大半連接數(shù),配置動態(tài)backlog由AFD.SYS驅(qū)動完成,AFD.SYS是一種內(nèi)核級的驅(qū)動,用于支持基于window socket的應(yīng)用程序,比如ftp、telnet等。AFD.SYS在注冊表的位置:
HKLMSystemCurrentControlSetServicesAFDParametersEnableDynamicBacklog值為1時,表示啟用動態(tài)backlog,可以修改最大半連接數(shù)。
MinimumDynamicBacklog表示半連接隊列為單個TCP端囗分配的最小空閑連接數(shù),當(dāng)該TCP端囗在backlog隊列的空閑連接小于此臨界值時,系統(tǒng)為此端囗自動啟用擴(kuò)展的空閑連接(DynamicBacklogGrowthDelta),Microsoft推薦該值為20。
MaximumDynamicBacklog是當(dāng)前活動的半連接和空閑連接的和,當(dāng)此和超過某個臨界值時,系統(tǒng)拒絕SYN包,Microsoft推薦MaximumDynamicBacklog值不得超過2000。
DynamicBacklogGrowthDelta值是指擴(kuò)展的空閑連接數(shù),此連接數(shù)并不計算在MaximumDynamicBacklog內(nèi),當(dāng)半連接隊列為某個TCP端囗分配的空閑連接小于MinimumDynamicBacklog時,系統(tǒng)自動分配DynamicBacklogGrowthDelta所定義的空閑連接空間,以使該TCP端囗能處理更多的半連接。Microsoft推薦該值為10。
LINUX:Linux用變量tcp_max_syn_backlog定義backlog隊列容納的最大半連接數(shù)。在Redhat 7.3中,該變量的值默認(rèn)為256,這個值是遠(yuǎn)遠(yuǎn)不夠的,一次強(qiáng)度不大的SYN攻擊就能使半連接隊列占滿。我們可以通過以下命令修改此變量的值:
# sysctl -w net.ipv4.tcp_max_syn_backlog=`2048`
Sun Solaris Sun Solaris用變量tcp_conn_req_max_q0來定義最大半連接數(shù),在Sun Solaris 8中,該值默認(rèn)為1024,可以通過add命令改變這個值:
# ndd -set /dev/tcp tcp_conn_req_max_q0 2048
HP-UX:HP-UX用變量tcp_syn_rcvd_max來定義最大半連接數(shù),在HP-UX 11.00中,該值默認(rèn)為500,可以通過ndd命令改變默認(rèn)值:
#ndd -set /dev/tcp tcp_syn_rcvd_max 2048
■縮短超時時間
上文提到,通過增大backlog隊列能防范SYN攻擊;另外減少超時時間也使系統(tǒng)能處理更多的SYN請求。我們知道,timeout超時時間,也即半連接存活時間,是系統(tǒng)所有重傳次數(shù)等待的超時時間總和,這個值越大,半連接數(shù)占用backlog隊列的時間就越長,系統(tǒng)能處理的SYN請求就越少。為縮短超時時間,可以通過縮短重傳超時時間(一般是第一次重傳超時時間)和減少重傳次數(shù)來實(shí)現(xiàn)。
Win2000第一次重傳之前等待時間默認(rèn)為3秒,為改變此默認(rèn)值,可以通過修改網(wǎng)絡(luò)接囗在注冊表里的TcpInitialRtt注冊值來完成。重傳次數(shù)由TcpMaxConnectResponseRetransmissions 來定義,注冊表的位置是:HKLMSYSTEMCurrentControlSetServicesTcpipParameters registry key。
當(dāng)然我們也可以把重傳次數(shù)設(shè)置為0次,這樣服務(wù)器如果在3秒內(nèi)還未收到ack確認(rèn)包就自動從backlog隊列中刪除該連接條目。
LINUX:Redhat使用變量tcp_synack_retries定義重傳次數(shù),其默認(rèn)值是5次,總超時時間需要3分鐘。
Sun Solaris Solaris 默認(rèn)的重傳次數(shù)是3次,總超時時間為3分鐘,可以通過ndd命令修改這些默認(rèn)值。(t003)
據(jù)統(tǒng)計,在所有黑客攻擊事件中,SYN攻擊是最常見又最容易被利用的一種攻擊手法。相信很多人還記得2000年YAHOO網(wǎng)站遭受的攻擊事例,當(dāng)時黑客利用的就是簡單而有效的SYN攻擊,有些網(wǎng)絡(luò)蠕蟲病毒配合SYN攻擊造成更大的破壞。本文介紹SYN攻擊的基本原理、工具及檢測方法,并全面探討SYN攻擊防范技術(shù)。
一、TCP握手協(xié)議
在TCP/IP協(xié)議中,TCP協(xié)議提供可靠的連接服務(wù),采用三次握手建立一個連接。
第一次握手:建立連接時,客戶端發(fā)送syn包(syn=j)到服務(wù)器,并進(jìn)入SYN_SEND狀態(tài),等待服務(wù)器確認(rèn);
第二次握手:服務(wù)器收到syn包,必須確認(rèn)客戶的SYN(ack=j+1),同時自己也發(fā)送一個SYN包(syn=k),即SYN+ACK包,此時服務(wù)器進(jìn)入SYN_RECV狀態(tài);
第三次握手:客戶端收到服務(wù)器的SYN+ACK包,向服務(wù)器發(fā)送確認(rèn)包ACK(ack=k+1),此包發(fā)送完畢,客戶端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài),完成三次握手。
完成三次握手,客戶端與服務(wù)器開始傳送數(shù)據(jù),在上述過程中,還有一些重要的概念:
未連接隊列:在三次握手協(xié)議中,服務(wù)器維護(hù)一個未連接隊列,該隊列為每個客戶端的SYN包(syn=j)開設(shè)一個條目,該條目表明服務(wù)器已收到SYN包,并向客戶發(fā)出確認(rèn),正在等待客戶的確認(rèn)包。這些條目所標(biāo)識的連接在服務(wù)器處于Syn_RECV狀態(tài),當(dāng)服務(wù)器收到客戶的確認(rèn)包時,刪除該條目,服務(wù)器進(jìn)入ESTABLISHED狀態(tài)。
Backlog參數(shù):表示未連接隊列的最大容納數(shù)目。
SYN-ACK 重傳次數(shù) 服務(wù)器發(fā)送完SYN-ACK包,如果未收到客戶確認(rèn)包,服務(wù)器進(jìn)行首次重傳,等待一段時間仍未收到客戶確認(rèn)包,進(jìn)行第二次重傳,如果重傳次數(shù)超過系統(tǒng)規(guī)定的最大重傳次數(shù),系統(tǒng)將該連接信息從半連接隊列中刪除。注意,每次重傳等待的時間不一定相同。
半連接存活時間:是指半連接隊列的條目存活的最長時間,也即服務(wù)從收到SYN包到確認(rèn)這個報文無效的最長時間,該時間值是所有重傳請求包的最長等待時間總和。有時我們也稱半連接存活時間為Timeout時間、SYN_RECV存活時間。
二、SYN攻擊原理
SYN攻擊屬于DOS攻擊的一種,它利用TCP協(xié)議缺陷,通過發(fā)送大量的半連接請求,耗費(fèi)CPU和內(nèi)存資源。SYN攻擊除了能影響主機(jī)外,還可以危害路由器、防火墻等網(wǎng)絡(luò)系統(tǒng),事實(shí)上SYN攻擊并不管目標(biāo)是什么系統(tǒng),只要這些系統(tǒng)打開TCP服務(wù)就可以實(shí)施。從上圖可看到,服務(wù)器接收到連接請求(syn=j),將此信息加入未連接隊列,并發(fā)送請求包給客戶(syn=k,ack=j+1),此時進(jìn)入SYN_RECV狀態(tài)。當(dāng)服務(wù)器未收到客戶端的確認(rèn)包時,重發(fā)請求包,一直到超時,才將此條目從未連接隊列刪除。配合IP欺騙,SYN攻擊能達(dá)到很好的效果,通常,客戶端在短時間內(nèi)偽造大量不存在的IP地址,向服務(wù)器不斷地發(fā)送syn包,服務(wù)器回復(fù)確認(rèn)包,并等待客戶的確認(rèn),由于源地址是不存在的,服務(wù)器需要不斷的重發(fā)直至超時,這些偽造的SYN包將長時間占用未連接隊列,正常的SYN請求被丟棄,目標(biāo)系統(tǒng)運(yùn)行緩慢,嚴(yán)重者引起網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。
三、SYN攻擊工具
SYN攻擊實(shí)現(xiàn)起來非常的簡單,互聯(lián)網(wǎng)上有大量現(xiàn)成的SYN攻擊工具。
1、Windows系統(tǒng)下的SYN工具
以synkill.exe為例,運(yùn)行工具,選擇隨機(jī)的源地址和源端囗,并填寫目標(biāo)機(jī)器地址和TCP端囗,激活運(yùn)行,很快就會發(fā)現(xiàn)目標(biāo)系統(tǒng)運(yùn)行緩慢。如果攻擊效果不明顯,可能是目標(biāo)機(jī)器并未開啟所填寫的TCP端囗或者防火墻拒絕訪問該端囗,此時可選擇允許訪問的TCP端囗,通常,windows系統(tǒng)開放tcp139端囗,UNIX系統(tǒng)開放tcp7、21、23等端囗。
四、檢測SYN攻擊
檢測SYN攻擊非常的方便,當(dāng)你在服務(wù)器上看到大量的半連接狀態(tài)時,特別是源IP地址是隨機(jī)的,基本上可以斷定這是一次SYN攻擊。我們使用系統(tǒng)自帶的netstat 工具來檢測SYN攻擊:
# netstat -n -p TCP tcp 0 0 10.11.11.11:23124.173.152.8:25882 SYN_RECV - tcp 0 0 10.11.11.11:23236.15.133.204:2577 SYN_RECV - tcp 0 0 10.11.11.11:23127.160.6.129:51748 SYN_RECV - tcp 0 0 10.11.11.11:23222.220.13.25:47393 SYN_RECV - tcp 0 0 10.11.11.11:23212.200.204.182:60427 SYN_RECV - tcp 0 0 10.11.11.11:23232.115.18.38:278 SYN_RECV - tcp 0 0 10.11.11.11:23239.116.95.96:5122SYN_RECV - tcp 0 0 10.11.11.11:23236.219.139.207:49162 SYN_RECV - ...
上面是在LINUX系統(tǒng)中看到的,很多連接處于SYN_RECV狀態(tài)(在WINDOWS系統(tǒng)中是SYN_RECEIVED狀態(tài)),源IP地址都是隨機(jī)的,表明這是一種帶有IP欺騙的SYN攻擊。
我們也可以通過下面的命令直接查看在LINUX環(huán)境下某個端囗的未連接隊列的條目數(shù):
#netstat -n -p TCP grep SYN_RECV grep :22 wc -l 324
顯示TCP端囗22的未連接數(shù)有324個,雖然還遠(yuǎn)達(dá)不到系統(tǒng)極限,但應(yīng)該引起管理員的注意。
五、SYN攻擊防范技術(shù)
關(guān)于SYN攻擊防范技術(shù),人們研究得比較早。歸納起來,主要有兩大類,一類是通過防火墻、路由器等過濾網(wǎng)關(guān)防護(hù),另一類是通過加固TCP/IP協(xié)議棧防范.但必須清楚的是,SYN攻擊不能完全被阻止,我們所做的是盡可能的減輕SYN攻擊的危害,除非將TCP協(xié)議重新設(shè)計。
1、過濾網(wǎng)關(guān)防護(hù)
這里,過濾網(wǎng)關(guān)主要指明防火墻,當(dāng)然路由器也能成為過濾網(wǎng)關(guān)。防火墻部署在不同網(wǎng)絡(luò)之間,防范外來非法攻擊和防止保密信息外泄,它處于客戶端和服務(wù)器之間,利用它來防護(hù)SYN攻擊能起到很好的效果。過濾網(wǎng)關(guān)防護(hù)主要包括超時設(shè)置,SYN網(wǎng)關(guān)和SYN代理三種。
■網(wǎng)關(guān)超時設(shè)置:
防火墻設(shè)置SYN轉(zhuǎn)發(fā)超時參數(shù)(狀態(tài)檢測的防火墻可在狀態(tài)表里面設(shè)置),該參數(shù)遠(yuǎn)小于服務(wù)器的timeout時間。當(dāng)客戶端發(fā)送完SYN包,服務(wù)端發(fā)送確認(rèn)包后(SYN+ACK),防火墻如果在計數(shù)器到期時還未收到客戶端的確認(rèn)包(ACK),則往服務(wù)器發(fā)送RST包,以使服務(wù)器從隊列中刪去該半連接。值得注意的是,網(wǎng)關(guān)超時參數(shù)設(shè)置不宜過小也不宜過大,超時參數(shù)設(shè)置過小會影響正常的通訊,設(shè)置太大,又會影響防范SYN攻擊的效果,必須根據(jù)所處的網(wǎng)絡(luò)應(yīng)用環(huán)境來設(shè)置此參數(shù)。
■SYN網(wǎng)關(guān):
SYN網(wǎng)關(guān)收到客戶端的SYN包時,直接轉(zhuǎn)發(fā)給服務(wù)器;SYN網(wǎng)關(guān)收到服務(wù)器的SYN/ACK包后,將該包轉(zhuǎn)發(fā)給客戶端,同時以客戶端的名義給服務(wù)器發(fā)ACK確認(rèn)包。此時服務(wù)器由半連接狀態(tài)進(jìn)入連接狀態(tài)。當(dāng)客戶端確認(rèn)包到達(dá)時,如果有數(shù)據(jù)則轉(zhuǎn)發(fā),否則丟棄。事實(shí)上,服務(wù)器除了維持半連接隊列外,還要有一個連接隊列,如果發(fā)生SYN攻擊時,將使連接隊列數(shù)目增加,但一般服務(wù)器所能承受的連接數(shù)量比半連接數(shù)量大得多,所以這種方法能有效地減輕對服務(wù)器的攻擊。
■SYN代理:
當(dāng)客戶端SYN包到達(dá)過濾網(wǎng)關(guān)時,SYN代理并不轉(zhuǎn)發(fā)SYN包,而是以服務(wù)器的名義主動回復(fù)SYN/ACK包給客戶,如果收到客戶的ACK包,表明這是正常的訪問,此時防火墻向服務(wù)器發(fā)送ACK包并完成三次握手。SYN代理事實(shí)上代替了服務(wù)器去處理SYN攻擊,此時要求過濾網(wǎng)關(guān)自身具有很強(qiáng)的防范SYN攻擊能力。
2、加固tcp/ip協(xié)議棧
防范SYN攻擊的另一項主要技術(shù)是調(diào)整tcp/ip協(xié)議棧,修改tcp協(xié)議實(shí)現(xiàn)。主要方法有SynAttackProtect保護(hù)機(jī)制、SYN cookies技術(shù)、增加最大半連接和縮短超時時間等。tcp/ip協(xié)議棧的調(diào)整可能會引起某些功能的受限,管理員應(yīng)該在進(jìn)行充分了解和測試的前提下進(jìn)行此項工作。
■SynAttackProtect機(jī)制
為防范SYN攻擊,win2000系統(tǒng)的tcp/ip協(xié)議棧內(nèi)嵌了SynAttackProtect機(jī)制,Win2003系統(tǒng)也采用此機(jī)制。SynAttackProtect機(jī)制是通過關(guān)閉某些socket選項,增加額外的連接指示和減少超時時間,使系統(tǒng)能處理更多的SYN連接,以達(dá)到防范SYN攻擊的目的。默認(rèn)情況下,Win2000操作系統(tǒng)并不支持SynAttackProtect保護(hù)機(jī)制,需要在注冊表以下位置增加SynAttackProtect鍵值:
HKLMSYSTEMCurrentControlSetServicesTcpipParameters
當(dāng)SynAttackProtect值(如無特別說明,本文提到的注冊表鍵值都為十六進(jìn)制)為0或不設(shè)置時,系統(tǒng)不受SynAttackProtect保護(hù)。
當(dāng)SynAttackProtect值為1時,系統(tǒng)通過減少重傳次數(shù)和延遲未連接時路由緩沖項(route cache entry)防范SYN攻擊。
當(dāng)SynAttackProtect值為2時(Microsoft推薦使用此值),系統(tǒng)不僅使用backlog隊列,還使用附加的半連接指示,以此來處理更多的SYN連接,使用此鍵值時,tcp/ip的TCPInitialRTT、window size和可滑動窗囗將被禁止。
我們應(yīng)該知道,平時,系統(tǒng)是不啟用SynAttackProtect機(jī)制的,僅在檢測到SYN攻擊時,才啟用,并調(diào)整tcp/ip協(xié)議棧。那么系統(tǒng)是如何檢測SYN攻擊發(fā)生的呢?事實(shí)上,系統(tǒng)根據(jù)TcpMaxHalfOpen,TcpMaxHalfOpenRetried 和TcpMaxPortsExhausted三個參數(shù)判斷是否遭受SYN攻擊。
TcpMaxHalfOpen 表示能同時處理的最大半連接數(shù),如果超過此值,系統(tǒng)認(rèn)為正處于SYN攻擊中。Win2000 server默認(rèn)值為100,Win2000 Advanced server為500。
TcpMaxHalfOpenRetried定義了保存在backlog隊列且重傳過的半連接數(shù),如果超過此值,系統(tǒng)自動啟動SynAttackProtect機(jī)制。Win2000 server默認(rèn)值為80,Win2000 Advanced server為400。
TcpMaxPortsExhausted 是指系統(tǒng)拒絕的SYN請求包的數(shù)量,默認(rèn)是5。
如果想調(diào)整以上參數(shù)的默認(rèn)值,可以在注冊表里修改(位置與SynAttackProtect相同)
■ SYN cookies技術(shù)
我們知道,TCP協(xié)議開辟了一個比較大的內(nèi)存空間backlog隊列來存儲半連接條目,當(dāng)SYN請求不斷增加,并這個空間,致使系統(tǒng)丟棄SYN連接。為使半連接隊列被塞滿的情況下,服務(wù)器仍能處理新到的SYN請求,SYN cookies技術(shù)被設(shè)計出來。
SYN cookies應(yīng)用于linux、FreeBSD等操作系統(tǒng),當(dāng)半連接隊列滿時,SYNcookies并不丟棄SYN請求,而是通過加密技術(shù)來標(biāo)識半連接狀態(tài)。
在TCP實(shí)現(xiàn)中,當(dāng)收到客戶端的SYN請求時,服務(wù)器需要回復(fù)SYN+ACK包給客戶端,客戶端也要發(fā)送確認(rèn)包給服務(wù)器。通常,服務(wù)器的初始序列號由服務(wù)器按照一定的規(guī)律計算得到或采用隨機(jī)數(shù),但在SYN cookies中,服務(wù)器的初始序列號是通過對客戶端IP地址、客戶端端囗、服務(wù)器IP地址和服務(wù)器端囗以及其他一些安全數(shù)值等要素進(jìn)行hash運(yùn)算,加密得到的,稱之為cookie。當(dāng)服務(wù)器遭受SYN攻擊使得backlog隊列滿時,服務(wù)器并不拒絕新的SYN請求,而是回復(fù)cookie(回復(fù)包的SYN序列號)給客戶端, 如果收到客戶端的ACK包,服務(wù)器將客戶端的ACK序列號減去1得到cookie比較值,并將上述要素進(jìn)行一次hash運(yùn)算,看看是否等于此cookie。如果相等,直接完成三次握手(注意:此時并不用查看此連接是否屬于backlog隊列)。
在RedHat linux中,啟用SYN cookies是通過在啟動環(huán)境中設(shè)置以下命令來完成:
# echo 1 ?? /proc/sys/net/ipv4/tcp_syncookies
■ 增加最大半連接數(shù)
大量的SYN請求導(dǎo)致未連接隊列被塞滿,使正常的TCP連接無法順利完成三次握手,通過增大未連接隊列空間可以緩解這種壓力。當(dāng)然backlog隊列需要占用大量的內(nèi)存資源,不能被無限的擴(kuò)大。
WIN2000:除了上面介紹的TcpMaxHalfOpen, TcpMaxHalfOpenRetried參數(shù)外,WIN2000操作系統(tǒng)可以通過設(shè)置動態(tài)backlog(dynamic backlog)來增大系統(tǒng)所能容納的最大半連接數(shù),配置動態(tài)backlog由AFD.SYS驅(qū)動完成,AFD.SYS是一種內(nèi)核級的驅(qū)動,用于支持基于window socket的應(yīng)用程序,比如ftp、telnet等。AFD.SYS在注冊表的位置:
HKLMSystemCurrentControlSetServicesAFDParametersEnableDynamicBacklog值為1時,表示啟用動態(tài)backlog,可以修改最大半連接數(shù)。
MinimumDynamicBacklog表示半連接隊列為單個TCP端囗分配的最小空閑連接數(shù),當(dāng)該TCP端囗在backlog隊列的空閑連接小于此臨界值時,系統(tǒng)為此端囗自動啟用擴(kuò)展的空閑連接(DynamicBacklogGrowthDelta),Microsoft推薦該值為20。
MaximumDynamicBacklog是當(dāng)前活動的半連接和空閑連接的和,當(dāng)此和超過某個臨界值時,系統(tǒng)拒絕SYN包,Microsoft推薦MaximumDynamicBacklog值不得超過2000。
DynamicBacklogGrowthDelta值是指擴(kuò)展的空閑連接數(shù),此連接數(shù)并不計算在MaximumDynamicBacklog內(nèi),當(dāng)半連接隊列為某個TCP端囗分配的空閑連接小于MinimumDynamicBacklog時,系統(tǒng)自動分配DynamicBacklogGrowthDelta所定義的空閑連接空間,以使該TCP端囗能處理更多的半連接。Microsoft推薦該值為10。
LINUX:Linux用變量tcp_max_syn_backlog定義backlog隊列容納的最大半連接數(shù)。在Redhat 7.3中,該變量的值默認(rèn)為256,這個值是遠(yuǎn)遠(yuǎn)不夠的,一次強(qiáng)度不大的SYN攻擊就能使半連接隊列占滿。我們可以通過以下命令修改此變量的值:
# sysctl -w net.ipv4.tcp_max_syn_backlog=`2048`
Sun Solaris Sun Solaris用變量tcp_conn_req_max_q0來定義最大半連接數(shù),在Sun Solaris 8中,該值默認(rèn)為1024,可以通過add命令改變這個值:
# ndd -set /dev/tcp tcp_conn_req_max_q0 2048
HP-UX:HP-UX用變量tcp_syn_rcvd_max來定義最大半連接數(shù),在HP-UX 11.00中,該值默認(rèn)為500,可以通過ndd命令改變默認(rèn)值:
#ndd -set /dev/tcp tcp_syn_rcvd_max 2048
■縮短超時時間
上文提到,通過增大backlog隊列能防范SYN攻擊;另外減少超時時間也使系統(tǒng)能處理更多的SYN請求。我們知道,timeout超時時間,也即半連接存活時間,是系統(tǒng)所有重傳次數(shù)等待的超時時間總和,這個值越大,半連接數(shù)占用backlog隊列的時間就越長,系統(tǒng)能處理的SYN請求就越少。為縮短超時時間,可以通過縮短重傳超時時間(一般是第一次重傳超時時間)和減少重傳次數(shù)來實(shí)現(xiàn)。
Win2000第一次重傳之前等待時間默認(rèn)為3秒,為改變此默認(rèn)值,可以通過修改網(wǎng)絡(luò)接囗在注冊表里的TcpInitialRtt注冊值來完成。重傳次數(shù)由TcpMaxConnectResponseRetransmissions 來定義,注冊表的位置是:HKLMSYSTEMCurrentControlSetServicesTcpipParameters registry key。
當(dāng)然我們也可以把重傳次數(shù)設(shè)置為0次,這樣服務(wù)器如果在3秒內(nèi)還未收到ack確認(rèn)包就自動從backlog隊列中刪除該連接條目。
LINUX:Redhat使用變量tcp_synack_retries定義重傳次數(shù),其默認(rèn)值是5次,總超時時間需要3分鐘。
Sun Solaris Solaris 默認(rèn)的重傳次數(shù)是3次,總超時時間為3分鐘,可以通過ndd命令修改這些默認(rèn)值。(t003)
移動也安全之WAP手機(jī)上網(wǎng)防病毒攻略
[ 2007-03-25 02:54:20 | 作者: sun ]
隨著WAP手機(jī)技術(shù)的日趨成熟,接入互聯(lián)網(wǎng)輕松獲得大量的信息已成為未來手機(jī)發(fā)展的必然趨勢。而且隨著配備Java功能的i模式手機(jī)登場,手機(jī)接入互聯(lián)網(wǎng)更為便捷,勢必會因此增加手機(jī)感染病毒的機(jī)會。由于通過網(wǎng)絡(luò)直接對WAP手機(jī)進(jìn)行攻擊比對GSM手機(jī)進(jìn)行攻擊更加簡便易行,WAP手機(jī)已經(jīng)成為電腦黑客攻擊的重要對象。
黑客對手機(jī)進(jìn)行攻擊,通常采用以下三種方式:一是攻擊WAP服務(wù)器,使WAP手機(jī)無法接收正常信息;二是攻擊和控制“網(wǎng)關(guān)”,向手機(jī)發(fā)送垃圾信息(嚴(yán)格地說,以上兩種手機(jī)病毒還屬于電腦病毒,不會破壞手機(jī)本身);三是直接攻擊手機(jī)本身,使手機(jī)無法提供服務(wù)。新一代的WAP手機(jī)由于其功能的多元化,因此病毒帶來的災(zāi)害也會更大。侵襲WAP手機(jī)的病毒可能會自動啟動電話錄音功能、自動撥打電話、刪除手機(jī)上的檔案內(nèi)容,甚至?xí)圃斐鼋痤~龐大的電話賬單。
要避免手機(jī)感染病毒,用戶在使用手機(jī)時要采取適當(dāng)?shù)拇胧?
1、關(guān)閉亂碼電話。當(dāng)對方的電話撥入時,屏幕上顯示的應(yīng)該是來電電話號碼,結(jié)果卻顯示別的字樣或奇異符號。如果遇到上述情形,用戶應(yīng)不回答或立即把電話關(guān)閉。如接聽來電,則會感染上病毒,同時機(jī)內(nèi)所有新名詞及設(shè)定將被破壞。
2、盡量少從網(wǎng)上下載信息。病毒要想侵入且在流動網(wǎng)絡(luò)上傳送,要先破壞掉手機(jī)短信息保護(hù)系統(tǒng),這本非容易的事情。但隨著3G時代的來臨,手機(jī)更加趨向于一臺小型電腦,有電腦病毒就會有手機(jī)病毒,因此從網(wǎng)上下載信息時要當(dāng)心感染病毒。
3、注意短信息中可能存在的病毒。短信息的收發(fā)作為移動通訊的一個重要方式,也是感染手機(jī)病毒的一個重要途徑。如今手機(jī)病毒的發(fā)展已經(jīng)從潛伏期過渡到了破壞期,短信息已成為下毒的常用工具。手機(jī)用戶一旦接到帶有病毒的短信息,閱讀后便會出現(xiàn)手機(jī)鍵盤被鎖,甚至破壞手機(jī)IC卡等嚴(yán)重效果。
4、對手機(jī)進(jìn)行查殺病毒。目前查殺手機(jī)病毒的主要技術(shù)措施有兩種:一是通過無線網(wǎng)站對手機(jī)進(jìn)行殺毒;二是通過手機(jī)的IC接入口或紅外傳輸口進(jìn)行殺毒。在i模式手機(jī)中,為了禁止非法利用該功能,可采取以下的安全性措施:(1)將執(zhí)行Java小程序的內(nèi)存和存貯電話簿等功能的內(nèi)存分割開來,從而禁止小程序訪問;(2)已經(jīng)下載的Java小程序只能訪問保存該小程序的服務(wù)器;(3)當(dāng)小程序試圖利用手機(jī)的硬件功能(如使用撥號功能打電話時)便會發(fā)出警告等。
手機(jī)病毒因手機(jī)網(wǎng)絡(luò)聯(lián)系密切,影響面廣,破壞力強(qiáng),故不可掉以輕心。但也不必因噎廢食,只要做足防范措施,便可放心使用。
黑客對手機(jī)進(jìn)行攻擊,通常采用以下三種方式:一是攻擊WAP服務(wù)器,使WAP手機(jī)無法接收正常信息;二是攻擊和控制“網(wǎng)關(guān)”,向手機(jī)發(fā)送垃圾信息(嚴(yán)格地說,以上兩種手機(jī)病毒還屬于電腦病毒,不會破壞手機(jī)本身);三是直接攻擊手機(jī)本身,使手機(jī)無法提供服務(wù)。新一代的WAP手機(jī)由于其功能的多元化,因此病毒帶來的災(zāi)害也會更大。侵襲WAP手機(jī)的病毒可能會自動啟動電話錄音功能、自動撥打電話、刪除手機(jī)上的檔案內(nèi)容,甚至?xí)圃斐鼋痤~龐大的電話賬單。
要避免手機(jī)感染病毒,用戶在使用手機(jī)時要采取適當(dāng)?shù)拇胧?
1、關(guān)閉亂碼電話。當(dāng)對方的電話撥入時,屏幕上顯示的應(yīng)該是來電電話號碼,結(jié)果卻顯示別的字樣或奇異符號。如果遇到上述情形,用戶應(yīng)不回答或立即把電話關(guān)閉。如接聽來電,則會感染上病毒,同時機(jī)內(nèi)所有新名詞及設(shè)定將被破壞。
2、盡量少從網(wǎng)上下載信息。病毒要想侵入且在流動網(wǎng)絡(luò)上傳送,要先破壞掉手機(jī)短信息保護(hù)系統(tǒng),這本非容易的事情。但隨著3G時代的來臨,手機(jī)更加趨向于一臺小型電腦,有電腦病毒就會有手機(jī)病毒,因此從網(wǎng)上下載信息時要當(dāng)心感染病毒。
3、注意短信息中可能存在的病毒。短信息的收發(fā)作為移動通訊的一個重要方式,也是感染手機(jī)病毒的一個重要途徑。如今手機(jī)病毒的發(fā)展已經(jīng)從潛伏期過渡到了破壞期,短信息已成為下毒的常用工具。手機(jī)用戶一旦接到帶有病毒的短信息,閱讀后便會出現(xiàn)手機(jī)鍵盤被鎖,甚至破壞手機(jī)IC卡等嚴(yán)重效果。
4、對手機(jī)進(jìn)行查殺病毒。目前查殺手機(jī)病毒的主要技術(shù)措施有兩種:一是通過無線網(wǎng)站對手機(jī)進(jìn)行殺毒;二是通過手機(jī)的IC接入口或紅外傳輸口進(jìn)行殺毒。在i模式手機(jī)中,為了禁止非法利用該功能,可采取以下的安全性措施:(1)將執(zhí)行Java小程序的內(nèi)存和存貯電話簿等功能的內(nèi)存分割開來,從而禁止小程序訪問;(2)已經(jīng)下載的Java小程序只能訪問保存該小程序的服務(wù)器;(3)當(dāng)小程序試圖利用手機(jī)的硬件功能(如使用撥號功能打電話時)便會發(fā)出警告等。
手機(jī)病毒因手機(jī)網(wǎng)絡(luò)聯(lián)系密切,影響面廣,破壞力強(qiáng),故不可掉以輕心。但也不必因噎廢食,只要做足防范措施,便可放心使用。
安全技巧之解讀卡巴斯基自動斷開連接
[ 2007-03-25 02:54:04 | 作者: sun ]
“熊貓燒香”的作者落網(wǎng)了,主犯也被抓了幾個,解毒程序更是在進(jìn)一步鑒定中。似乎針對“熊貓燒香”病毒的斗爭一切都在向著很好的方向發(fā)展,真的是這樣么?解毒程序不是萬能的!時至今日,“熊貓燒香”病毒的新變種還在不斷出現(xiàn),繼續(xù)危害著計算機(jī)用戶。在與瑞星專家的訪談中我們知道熊貓燒香病毒傳播主要是以感染的網(wǎng)頁文件和郵件傳播為主,病毒代碼多數(shù)藏匿在網(wǎng)頁文件代碼中,多數(shù)攜帶此類病毒的網(wǎng)頁文件都以廣告宣傳種類居多,通過郵件群發(fā)的方式在網(wǎng)上肆意擴(kuò)散,造成計算機(jī)系統(tǒng)的癱瘓,嚴(yán)重妨礙了人們的正常工作和學(xué)習(xí)。
“熊貓燒香”的作者落網(wǎng)了,主犯也被抓了幾個,解毒程序更是在進(jìn)一步鑒定中。似乎針對“熊貓燒香”病毒的斗爭一切都在向著很好的方向發(fā)展,真的是這樣么?
解毒程序不是萬能的!時至今日,“熊貓燒香”病毒的新變種還在不斷出現(xiàn),繼續(xù)危害著計算機(jī)用戶。
在與瑞星專家的訪談中我們知道熊貓燒香病毒傳播主要是以感染的網(wǎng)頁文件和郵件傳播為主,病毒代碼多數(shù)藏匿在網(wǎng)頁文件代碼中,多數(shù)攜帶此類病毒的網(wǎng)頁文件都以廣告宣傳種類居多,通過郵件群發(fā)的方式在網(wǎng)上肆意擴(kuò)散,造成計算機(jī)系統(tǒng)的癱瘓,嚴(yán)重妨礙了人們的正常工作和學(xué)習(xí)。
敏訊科技防病毒技術(shù)人員建議,“熊貓燒香”病毒通過網(wǎng)頁文件、郵件發(fā)送等方式感染到計算機(jī)系統(tǒng),除了有效的安裝專業(yè)的殺毒軟件,升級到最新版本殺毒外,更主要的是對病毒傳播源頭開始進(jìn)行徹底清理,否則沒有顯著的效果來對付“熊貓燒香病毒的滋生泛濫。針對網(wǎng)頁文件的感染需要做到不要隨意點(diǎn)擊不明的網(wǎng)頁地址鏈接,瀏覽網(wǎng)站時,務(wù)必打開計算機(jī)系統(tǒng)中防病毒軟件的“網(wǎng)頁監(jiān)控”功能。
而針對通過郵件群發(fā)方式傳播“熊貓燒香”病毒,敏訊科技針對病毒郵件發(fā)送源頭進(jìn)行徹底的攔截查殺。針對病毒郵件發(fā)送服務(wù)器聯(lián)機(jī)的時間、頻率、規(guī)則,虛假的smtp路由信息、動態(tài)IP等多種具備垃圾郵件典型行為的特征準(zhǔn)確判斷,從而對病毒郵件發(fā)送行為進(jìn)行深入探測,精確區(qū)分每一封病毒郵件。這種技術(shù)能夠追蹤到病毒郵件的原始傳遞信息、爆發(fā)信息,實(shí)施“空中攔截”方式把可疑病毒郵件攔截到“EQManager郵件網(wǎng)關(guān)”,而不用下載到郵件服務(wù)器傳播到用戶的計算機(jī)系統(tǒng),從而保障了用戶計算機(jī)系統(tǒng)的安全使用。
另據(jù)介紹敏訊科技的“EQAVSE郵件防病毒系統(tǒng)”是敏訊科技自主研發(fā)的專業(yè)郵件防病毒產(chǎn)品,它嵌入的EQManager郵件安全網(wǎng)關(guān)的“查殺病毒郵件”模塊,每天都會自定義升級病毒策略庫,實(shí)時在線查殺病毒郵件,在線檢測技術(shù)、掃描速度、文檔修復(fù)、軟件功能等多方面功能,全方面對病毒文件查殺處理。
從電子郵件入手,切斷“熊貓燒香”入侵線路。防病毒、防垃圾郵件兩手齊動,多方位保護(hù)我們系統(tǒng)的安全,拒絕熊貓燒香入侵的黑手。
“熊貓燒香”的作者落網(wǎng)了,主犯也被抓了幾個,解毒程序更是在進(jìn)一步鑒定中。似乎針對“熊貓燒香”病毒的斗爭一切都在向著很好的方向發(fā)展,真的是這樣么?
解毒程序不是萬能的!時至今日,“熊貓燒香”病毒的新變種還在不斷出現(xiàn),繼續(xù)危害著計算機(jī)用戶。
在與瑞星專家的訪談中我們知道熊貓燒香病毒傳播主要是以感染的網(wǎng)頁文件和郵件傳播為主,病毒代碼多數(shù)藏匿在網(wǎng)頁文件代碼中,多數(shù)攜帶此類病毒的網(wǎng)頁文件都以廣告宣傳種類居多,通過郵件群發(fā)的方式在網(wǎng)上肆意擴(kuò)散,造成計算機(jī)系統(tǒng)的癱瘓,嚴(yán)重妨礙了人們的正常工作和學(xué)習(xí)。
敏訊科技防病毒技術(shù)人員建議,“熊貓燒香”病毒通過網(wǎng)頁文件、郵件發(fā)送等方式感染到計算機(jī)系統(tǒng),除了有效的安裝專業(yè)的殺毒軟件,升級到最新版本殺毒外,更主要的是對病毒傳播源頭開始進(jìn)行徹底清理,否則沒有顯著的效果來對付“熊貓燒香病毒的滋生泛濫。針對網(wǎng)頁文件的感染需要做到不要隨意點(diǎn)擊不明的網(wǎng)頁地址鏈接,瀏覽網(wǎng)站時,務(wù)必打開計算機(jī)系統(tǒng)中防病毒軟件的“網(wǎng)頁監(jiān)控”功能。
而針對通過郵件群發(fā)方式傳播“熊貓燒香”病毒,敏訊科技針對病毒郵件發(fā)送源頭進(jìn)行徹底的攔截查殺。針對病毒郵件發(fā)送服務(wù)器聯(lián)機(jī)的時間、頻率、規(guī)則,虛假的smtp路由信息、動態(tài)IP等多種具備垃圾郵件典型行為的特征準(zhǔn)確判斷,從而對病毒郵件發(fā)送行為進(jìn)行深入探測,精確區(qū)分每一封病毒郵件。這種技術(shù)能夠追蹤到病毒郵件的原始傳遞信息、爆發(fā)信息,實(shí)施“空中攔截”方式把可疑病毒郵件攔截到“EQManager郵件網(wǎng)關(guān)”,而不用下載到郵件服務(wù)器傳播到用戶的計算機(jī)系統(tǒng),從而保障了用戶計算機(jī)系統(tǒng)的安全使用。
另據(jù)介紹敏訊科技的“EQAVSE郵件防病毒系統(tǒng)”是敏訊科技自主研發(fā)的專業(yè)郵件防病毒產(chǎn)品,它嵌入的EQManager郵件安全網(wǎng)關(guān)的“查殺病毒郵件”模塊,每天都會自定義升級病毒策略庫,實(shí)時在線查殺病毒郵件,在線檢測技術(shù)、掃描速度、文檔修復(fù)、軟件功能等多方面功能,全方面對病毒文件查殺處理。
從電子郵件入手,切斷“熊貓燒香”入侵線路。防病毒、防垃圾郵件兩手齊動,多方位保護(hù)我們系統(tǒng)的安全,拒絕熊貓燒香入侵的黑手。
菜鳥也來對付最流行的幾種病毒捆綁器
[ 2007-03-25 02:53:46 | 作者: sun ]
【編者按:我們經(jīng)常聽到有人說“我中毒啦”、“我的文件被感染”啦。而且很多時候人們會發(fā)現(xiàn),病毒被查殺的同時,自己的文件也被破壞了,這一切其實(shí)都是和病毒的捆綁技術(shù)有關(guān)。本文內(nèi)容僅供參考,切勿用于不當(dāng)之處!】
最近不知怎么搞的,一夜就冒出許多捆綁機(jī),害得我等菜鳥苦不堪言。今天就各種捆綁器的原理和檢測方法做個簡單的總結(jié),以幫助各位識別帶毒程序。
一、傳統(tǒng)的捆綁器 這種原理很簡單,也是目前用的最多的一種。就是將B.exe附加到A.exe的末尾。這樣當(dāng)A.exe被執(zhí)行的時候,B.exe也跟著執(zhí)行了。這種捆綁器的代碼是滿網(wǎng)都是。我最早是從jingtao的一篇關(guān)于流的文章中得知的。就目前來說,已經(jīng)沒什么技術(shù)含量了。
檢測方法:稍微懂一點(diǎn)PE知識的人都應(yīng)該知道。一個完整有效的PE/EXE文件,他的里面都包含了幾個絕對固定的特點(diǎn)(不管是否加殼)。一是文件以MZ開頭,跟著DOS頭后面的PE頭以PE\0\0開頭。有了這兩個特點(diǎn),檢測就變得很簡單了。只需利用UltraEdit一類工具打開目標(biāo)文件搜索關(guān)鍵字MZ或者PE。如果找到兩個或者兩個以上。則說明這個文件一定是被捆綁了。不過值得注意的是,一些生成器也是利用了這個原理,將木馬附加到生成器末尾,用戶選擇生成的時候讀出來。另外網(wǎng)上流行的多款“捆綁文件檢測工具”都是文件讀出來,然后檢索關(guān)鍵字MZ或者PE。
說到這里,相信大家有了一個大概的了解。那就是所謂的“捆綁文件檢測工具”是完全靠不住的一樣?xùn)|西。
二、資源包裹捆綁器 就這原理也很簡單。大部分檢測器是檢測不出來的,但灰鴿子木馬輔助查找可以檢測出捆綁后未經(jīng)加殼處理的EXE文件。但一般人都會加殼,所以也十分不可靠。這個學(xué)過編程或者了解PE結(jié)構(gòu)的人都應(yīng)該知道。資源是EXE中的一個特殊的區(qū)段。可以用來包含EXE需要/不需要用到的任何一切東西。利用這個原理進(jìn)行100%免殺捆綁已經(jīng)讓人做成了動畫。大家可以去下載看看。那捆綁器是如何利用這一點(diǎn)的呢?這只需要用到BeginUpdateResource、UpdateResource和EndUpdateResource這三個API函數(shù)就可以搞定。這三個API函數(shù)是用來做資源更新/替換用的。作者只需先寫一個包裹捆綁文件的頭文件Header.exe.頭文件中只需一段釋放資源的代碼。而捆綁器用的時候先將頭文件釋放出來,然后用上面說的三個API函數(shù)將待捆綁的文件更新到這個頭文件中即完成了捆綁。類似原理被廣泛運(yùn)用到木馬生成器上。
檢測方法:一般這種很難檢測。如果你不怕麻煩,可以先將目標(biāo)文件進(jìn)行脫殼。然后用“灰鴿子木馬輔助查找”或“ResTorator”一類工具將資源讀出來進(jìn)行分析。但這種方法畢竟不通用。所以還是推薦有條件的朋友使用虛擬機(jī)。
三、編譯器捆綁法 暫時不知用什么名字來形容,所以只能用這個來代替。這種方法相當(dāng)?shù)年庪U。是將要捆綁的文件轉(zhuǎn)換成16進(jìn)制保存到一個數(shù)組中。像這樣
muma:array[0..9128] of Byte=($4D,$5A,$50....$00);
然后用時再用API函數(shù)CreateFile和WriteFile便可將文件還原到硬盤。這里稍稍學(xué)過編程的都知道。代碼中的數(shù)組經(jīng)過編譯器、連接器這么一搞。連影都沒了。哪還能有什么文件是吧?所以就這種方法而言,目前還沒有可以查殺的方法。這種方法可以利用編程輔助工具jingtao的DcuAnyWhere或Anskya的AnyWhereFileToPas來實(shí)現(xiàn)。
四、最最毒辣的一種 因為暫時用的人較少,且危害性及查殺難度太大,所以就不公布了。此法查殺方法通用性極差。如果流行,估計大家連動畫都不敢下著看了。
補(bǔ)充:可以利用一些第三方工具將硬盤和注冊表監(jiān)視起來以后再運(yùn)行那些你不確定是否被捆綁的程序。這樣,一旦硬盤出現(xiàn)變化,或有文件新建,或有文件改變都會被記錄在案。就算是查找起來也方便一點(diǎn)。
最近不知怎么搞的,一夜就冒出許多捆綁機(jī),害得我等菜鳥苦不堪言。今天就各種捆綁器的原理和檢測方法做個簡單的總結(jié),以幫助各位識別帶毒程序。
一、傳統(tǒng)的捆綁器 這種原理很簡單,也是目前用的最多的一種。就是將B.exe附加到A.exe的末尾。這樣當(dāng)A.exe被執(zhí)行的時候,B.exe也跟著執(zhí)行了。這種捆綁器的代碼是滿網(wǎng)都是。我最早是從jingtao的一篇關(guān)于流的文章中得知的。就目前來說,已經(jīng)沒什么技術(shù)含量了。
檢測方法:稍微懂一點(diǎn)PE知識的人都應(yīng)該知道。一個完整有效的PE/EXE文件,他的里面都包含了幾個絕對固定的特點(diǎn)(不管是否加殼)。一是文件以MZ開頭,跟著DOS頭后面的PE頭以PE\0\0開頭。有了這兩個特點(diǎn),檢測就變得很簡單了。只需利用UltraEdit一類工具打開目標(biāo)文件搜索關(guān)鍵字MZ或者PE。如果找到兩個或者兩個以上。則說明這個文件一定是被捆綁了。不過值得注意的是,一些生成器也是利用了這個原理,將木馬附加到生成器末尾,用戶選擇生成的時候讀出來。另外網(wǎng)上流行的多款“捆綁文件檢測工具”都是文件讀出來,然后檢索關(guān)鍵字MZ或者PE。
說到這里,相信大家有了一個大概的了解。那就是所謂的“捆綁文件檢測工具”是完全靠不住的一樣?xùn)|西。
二、資源包裹捆綁器 就這原理也很簡單。大部分檢測器是檢測不出來的,但灰鴿子木馬輔助查找可以檢測出捆綁后未經(jīng)加殼處理的EXE文件。但一般人都會加殼,所以也十分不可靠。這個學(xué)過編程或者了解PE結(jié)構(gòu)的人都應(yīng)該知道。資源是EXE中的一個特殊的區(qū)段。可以用來包含EXE需要/不需要用到的任何一切東西。利用這個原理進(jìn)行100%免殺捆綁已經(jīng)讓人做成了動畫。大家可以去下載看看。那捆綁器是如何利用這一點(diǎn)的呢?這只需要用到BeginUpdateResource、UpdateResource和EndUpdateResource這三個API函數(shù)就可以搞定。這三個API函數(shù)是用來做資源更新/替換用的。作者只需先寫一個包裹捆綁文件的頭文件Header.exe.頭文件中只需一段釋放資源的代碼。而捆綁器用的時候先將頭文件釋放出來,然后用上面說的三個API函數(shù)將待捆綁的文件更新到這個頭文件中即完成了捆綁。類似原理被廣泛運(yùn)用到木馬生成器上。
檢測方法:一般這種很難檢測。如果你不怕麻煩,可以先將目標(biāo)文件進(jìn)行脫殼。然后用“灰鴿子木馬輔助查找”或“ResTorator”一類工具將資源讀出來進(jìn)行分析。但這種方法畢竟不通用。所以還是推薦有條件的朋友使用虛擬機(jī)。
三、編譯器捆綁法 暫時不知用什么名字來形容,所以只能用這個來代替。這種方法相當(dāng)?shù)年庪U。是將要捆綁的文件轉(zhuǎn)換成16進(jìn)制保存到一個數(shù)組中。像這樣
muma:array[0..9128] of Byte=($4D,$5A,$50....$00);
然后用時再用API函數(shù)CreateFile和WriteFile便可將文件還原到硬盤。這里稍稍學(xué)過編程的都知道。代碼中的數(shù)組經(jīng)過編譯器、連接器這么一搞。連影都沒了。哪還能有什么文件是吧?所以就這種方法而言,目前還沒有可以查殺的方法。這種方法可以利用編程輔助工具jingtao的DcuAnyWhere或Anskya的AnyWhereFileToPas來實(shí)現(xiàn)。
四、最最毒辣的一種 因為暫時用的人較少,且危害性及查殺難度太大,所以就不公布了。此法查殺方法通用性極差。如果流行,估計大家連動畫都不敢下著看了。
補(bǔ)充:可以利用一些第三方工具將硬盤和注冊表監(jiān)視起來以后再運(yùn)行那些你不確定是否被捆綁的程序。這樣,一旦硬盤出現(xiàn)變化,或有文件新建,或有文件改變都會被記錄在案。就算是查找起來也方便一點(diǎn)。
網(wǎng)絡(luò)入侵證據(jù)的收集與分析
[ 2007-03-25 02:53:35 | 作者: sun ]
如果有未經(jīng)授權(quán)的入侵者入侵了你的網(wǎng)絡(luò),且破壞了數(shù)據(jù),除了從備份系統(tǒng)中恢復(fù)數(shù)據(jù)之外,還需要做什么呢?
從事網(wǎng)絡(luò)安全工作的人都知道,黑客在入侵之后都會想方設(shè)法抹去自己在受害系統(tǒng)上的活動記錄。目的是逃脫法律的制裁。
而許多企業(yè)也不上報網(wǎng)絡(luò)犯罪,其原因在于害怕這樣做會對業(yè)務(wù)運(yùn)作或企業(yè)商譽(yù)造成負(fù)面影響。他們擔(dān)心這樣做會讓業(yè)務(wù)運(yùn)作因此失序。更重要的是收集犯罪證據(jù)有一定困難。因此,CIO們應(yīng)該在應(yīng)急響應(yīng)系統(tǒng)的建立中加入計算機(jī)犯罪證據(jù)的收集與分析環(huán)節(jié)。
什么是“計算機(jī)犯罪取證”?
計算機(jī)取證又稱為數(shù)字取證或電子取證,是指對計算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為利用計算機(jī)軟硬件技術(shù),按照符合法律規(guī)范的方式進(jìn)行證據(jù)獲取、保存、分析和出示的過程。從技術(shù)上,計算機(jī)取證是一個對受侵計算機(jī)系統(tǒng)進(jìn)行掃描和破解,以及對整個入侵事件進(jìn)行重建的過程。
計算機(jī)取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個階段。物理證據(jù)獲取是指調(diào)查人員到計算機(jī)犯罪或入侵的現(xiàn)場,尋找并扣留相關(guān)的計算機(jī)硬件;信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件,日志等)中尋找可以用來證明或者反駁的證據(jù),即電子證據(jù)。
除了那些剛?cè)腴T的“毛小子”之外,計算機(jī)犯罪分子也會在作案前周密部署、作案后消除蛛絲馬跡。他們更改、刪除目標(biāo)主機(jī)的日志文件,清理自己的工具軟件,或利用反取證工具來破壞偵察人員的取證。這就要求我們在反入侵的過程中,首先要清楚我們要做什么?然后才是怎么做的問題。
物理取證是核心任務(wù)
物理證據(jù)的獲取是全部取證工作的基礎(chǔ)。獲取物理證據(jù)是最重要的工作,保證原始數(shù)據(jù)不受任何破壞。無論在任何情況下,調(diào)查者都應(yīng)牢記5點(diǎn):(1)不要改變原始記錄;(2)不要在作為證據(jù)的計算機(jī)上執(zhí)行無關(guān)的操作;(3)不要給犯罪者銷毀證據(jù)的機(jī)會;(4)詳細(xì)記錄所有的取證活動;(5)妥善保存得到的物證。如果被入侵的計算機(jī)處于工作狀態(tài),取證人員應(yīng)該設(shè)法保存盡可能多的犯罪信息。
要做到這5點(diǎn)可以說困難重重,首先可能出現(xiàn)的問題就是無法保證業(yè)務(wù)的連續(xù)性。由于入侵者的證據(jù)可能存在于系統(tǒng)日志、數(shù)據(jù)文件、寄存器、交換區(qū)、隱藏文件、空閑的磁盤空間、打印機(jī)緩存、網(wǎng)絡(luò)數(shù)據(jù)區(qū)和計數(shù)器、用戶進(jìn)程存儲器、文件緩存區(qū)等不同的位置。由此看見,物理取證不但是基礎(chǔ),而且是技術(shù)難點(diǎn)。
通常的做法是將要獲取的數(shù)據(jù)包括從內(nèi)存里獲取易滅失數(shù)據(jù)和從硬盤獲取等相對穩(wěn)定數(shù)據(jù),保證獲取的順序為先內(nèi)存后硬盤。案件發(fā)生后,立即對目標(biāo)機(jī)和網(wǎng)絡(luò)設(shè)備進(jìn)行內(nèi)存檢查并做好記錄,根據(jù)所用操作系統(tǒng)的不同可以使用的內(nèi)存檢查命令對內(nèi)存里易滅失數(shù)據(jù)獲取,力求不要對硬盤進(jìn)行任何讀寫操作,以免更改數(shù)據(jù)原始性。利用專門的工具對硬盤進(jìn)行逐扇區(qū)的讀取,將硬盤數(shù)據(jù)完整地克隆出來,便于今后在專門機(jī)器上對原始硬盤的鏡像文件進(jìn)行分析。
“計算機(jī)法醫(yī)”要看的現(xiàn)場是什么?(日志)
有的時候,計算機(jī)取證(Computer Forensics)也可以稱為計算機(jī)法醫(yī)學(xué),它是指把計算機(jī)看作是犯罪現(xiàn)場,運(yùn)用先進(jìn)的辨析技術(shù),對電腦犯罪行為進(jìn)行法醫(yī)式的解剖,搜尋確認(rèn)罪犯及其犯罪證據(jù),并據(jù)此提起訴訟。好比飛機(jī)失事后,事故現(xiàn)場和當(dāng)時發(fā)生的任何事都需要從飛機(jī)的“黑匣子”中獲取。說到這里您可能就猜到了,計算機(jī)的黑匣子就是自身的日志記錄系統(tǒng)。從理論上講,計算機(jī)取證人員能否找到犯罪證據(jù)取決于:有關(guān)犯罪證據(jù)必須沒有被覆蓋;取證軟件必須能找到這些數(shù)據(jù);取證人員能知道這些文件,并且能證明它們與犯罪有關(guān)。但從海量的數(shù)據(jù)里面尋找蛛絲馬跡是一件非常費(fèi)時費(fèi)力的工作,解決這一難題方法的就是切入點(diǎn),所以說從日志入手才是最直接有效的手段。
這里還需要指出,不同的操作系統(tǒng)都可以在“Event Viewer Security”(安全事件觀察器)中能夠檢查到各種活動和日志信息,但是自身的防護(hù)性能都是非常低,一旦遭受到入侵,很容易就被清除掉。從中我們可以看到,專業(yè)的日志防護(hù)與分析軟件在整個安全產(chǎn)品市場中的地位之重,無需置疑。
我國有關(guān)計算機(jī)取證的研究與實(shí)踐尚在起步階段,在信息技術(shù)較發(fā)達(dá)的美國已有了30年左右的歷史。現(xiàn)在美國至少有70%的法律部門擁有自己的計算機(jī)取證實(shí)驗室,取證專家在實(shí)驗室內(nèi)分析從犯罪現(xiàn)場獲取的計算機(jī)(和外設(shè)),并試圖找出入侵行為。
在國內(nèi),公安部門打擊計算機(jī)犯罪案件是近幾年的事,有關(guān)計算機(jī)取證方面的研究和實(shí)踐才剛起步。中科院、浙江大學(xué)和復(fù)旦大學(xué)等在電子取證的各個技術(shù)方面都在積極開展研究工作。6月26日在北京召開的CFAT.2005首屆中國計算機(jī)取證技術(shù)峰會也是旨在推動國內(nèi)外計算機(jī)取證先進(jìn)技術(shù)的傳播和擴(kuò)大研究交流的深度廣度,促進(jìn)計算機(jī)取證專業(yè)人員、司法界人士以及興趣愛好者直接、深入的交流。在把企業(yè)業(yè)務(wù)連續(xù)性作為首位的同時,我們也呼吁更加智能化的物理取證工具的早日面試。
從事網(wǎng)絡(luò)安全工作的人都知道,黑客在入侵之后都會想方設(shè)法抹去自己在受害系統(tǒng)上的活動記錄。目的是逃脫法律的制裁。
而許多企業(yè)也不上報網(wǎng)絡(luò)犯罪,其原因在于害怕這樣做會對業(yè)務(wù)運(yùn)作或企業(yè)商譽(yù)造成負(fù)面影響。他們擔(dān)心這樣做會讓業(yè)務(wù)運(yùn)作因此失序。更重要的是收集犯罪證據(jù)有一定困難。因此,CIO們應(yīng)該在應(yīng)急響應(yīng)系統(tǒng)的建立中加入計算機(jī)犯罪證據(jù)的收集與分析環(huán)節(jié)。
什么是“計算機(jī)犯罪取證”?
計算機(jī)取證又稱為數(shù)字取證或電子取證,是指對計算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為利用計算機(jī)軟硬件技術(shù),按照符合法律規(guī)范的方式進(jìn)行證據(jù)獲取、保存、分析和出示的過程。從技術(shù)上,計算機(jī)取證是一個對受侵計算機(jī)系統(tǒng)進(jìn)行掃描和破解,以及對整個入侵事件進(jìn)行重建的過程。
計算機(jī)取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個階段。物理證據(jù)獲取是指調(diào)查人員到計算機(jī)犯罪或入侵的現(xiàn)場,尋找并扣留相關(guān)的計算機(jī)硬件;信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件,日志等)中尋找可以用來證明或者反駁的證據(jù),即電子證據(jù)。
除了那些剛?cè)腴T的“毛小子”之外,計算機(jī)犯罪分子也會在作案前周密部署、作案后消除蛛絲馬跡。他們更改、刪除目標(biāo)主機(jī)的日志文件,清理自己的工具軟件,或利用反取證工具來破壞偵察人員的取證。這就要求我們在反入侵的過程中,首先要清楚我們要做什么?然后才是怎么做的問題。
物理取證是核心任務(wù)
物理證據(jù)的獲取是全部取證工作的基礎(chǔ)。獲取物理證據(jù)是最重要的工作,保證原始數(shù)據(jù)不受任何破壞。無論在任何情況下,調(diào)查者都應(yīng)牢記5點(diǎn):(1)不要改變原始記錄;(2)不要在作為證據(jù)的計算機(jī)上執(zhí)行無關(guān)的操作;(3)不要給犯罪者銷毀證據(jù)的機(jī)會;(4)詳細(xì)記錄所有的取證活動;(5)妥善保存得到的物證。如果被入侵的計算機(jī)處于工作狀態(tài),取證人員應(yīng)該設(shè)法保存盡可能多的犯罪信息。
要做到這5點(diǎn)可以說困難重重,首先可能出現(xiàn)的問題就是無法保證業(yè)務(wù)的連續(xù)性。由于入侵者的證據(jù)可能存在于系統(tǒng)日志、數(shù)據(jù)文件、寄存器、交換區(qū)、隱藏文件、空閑的磁盤空間、打印機(jī)緩存、網(wǎng)絡(luò)數(shù)據(jù)區(qū)和計數(shù)器、用戶進(jìn)程存儲器、文件緩存區(qū)等不同的位置。由此看見,物理取證不但是基礎(chǔ),而且是技術(shù)難點(diǎn)。
通常的做法是將要獲取的數(shù)據(jù)包括從內(nèi)存里獲取易滅失數(shù)據(jù)和從硬盤獲取等相對穩(wěn)定數(shù)據(jù),保證獲取的順序為先內(nèi)存后硬盤。案件發(fā)生后,立即對目標(biāo)機(jī)和網(wǎng)絡(luò)設(shè)備進(jìn)行內(nèi)存檢查并做好記錄,根據(jù)所用操作系統(tǒng)的不同可以使用的內(nèi)存檢查命令對內(nèi)存里易滅失數(shù)據(jù)獲取,力求不要對硬盤進(jìn)行任何讀寫操作,以免更改數(shù)據(jù)原始性。利用專門的工具對硬盤進(jìn)行逐扇區(qū)的讀取,將硬盤數(shù)據(jù)完整地克隆出來,便于今后在專門機(jī)器上對原始硬盤的鏡像文件進(jìn)行分析。
“計算機(jī)法醫(yī)”要看的現(xiàn)場是什么?(日志)
有的時候,計算機(jī)取證(Computer Forensics)也可以稱為計算機(jī)法醫(yī)學(xué),它是指把計算機(jī)看作是犯罪現(xiàn)場,運(yùn)用先進(jìn)的辨析技術(shù),對電腦犯罪行為進(jìn)行法醫(yī)式的解剖,搜尋確認(rèn)罪犯及其犯罪證據(jù),并據(jù)此提起訴訟。好比飛機(jī)失事后,事故現(xiàn)場和當(dāng)時發(fā)生的任何事都需要從飛機(jī)的“黑匣子”中獲取。說到這里您可能就猜到了,計算機(jī)的黑匣子就是自身的日志記錄系統(tǒng)。從理論上講,計算機(jī)取證人員能否找到犯罪證據(jù)取決于:有關(guān)犯罪證據(jù)必須沒有被覆蓋;取證軟件必須能找到這些數(shù)據(jù);取證人員能知道這些文件,并且能證明它們與犯罪有關(guān)。但從海量的數(shù)據(jù)里面尋找蛛絲馬跡是一件非常費(fèi)時費(fèi)力的工作,解決這一難題方法的就是切入點(diǎn),所以說從日志入手才是最直接有效的手段。
這里還需要指出,不同的操作系統(tǒng)都可以在“Event Viewer Security”(安全事件觀察器)中能夠檢查到各種活動和日志信息,但是自身的防護(hù)性能都是非常低,一旦遭受到入侵,很容易就被清除掉。從中我們可以看到,專業(yè)的日志防護(hù)與分析軟件在整個安全產(chǎn)品市場中的地位之重,無需置疑。
我國有關(guān)計算機(jī)取證的研究與實(shí)踐尚在起步階段,在信息技術(shù)較發(fā)達(dá)的美國已有了30年左右的歷史。現(xiàn)在美國至少有70%的法律部門擁有自己的計算機(jī)取證實(shí)驗室,取證專家在實(shí)驗室內(nèi)分析從犯罪現(xiàn)場獲取的計算機(jī)(和外設(shè)),并試圖找出入侵行為。
在國內(nèi),公安部門打擊計算機(jī)犯罪案件是近幾年的事,有關(guān)計算機(jī)取證方面的研究和實(shí)踐才剛起步。中科院、浙江大學(xué)和復(fù)旦大學(xué)等在電子取證的各個技術(shù)方面都在積極開展研究工作。6月26日在北京召開的CFAT.2005首屆中國計算機(jī)取證技術(shù)峰會也是旨在推動國內(nèi)外計算機(jī)取證先進(jìn)技術(shù)的傳播和擴(kuò)大研究交流的深度廣度,促進(jìn)計算機(jī)取證專業(yè)人員、司法界人士以及興趣愛好者直接、深入的交流。在把企業(yè)業(yè)務(wù)連續(xù)性作為首位的同時,我們也呼吁更加智能化的物理取證工具的早日面試。
網(wǎng)上銀行安全有道
[ 2007-03-25 02:53:23 | 作者: sun ]
隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展和電子商務(wù)的普及,以互聯(lián)網(wǎng)技術(shù)為核心的網(wǎng)上銀行正日漸取代傳統(tǒng)的銀行業(yè)務(wù)。“網(wǎng)上銀行”為金融企業(yè)的發(fā)展帶來了前所未有的商機(jī),也為廣大用戶提供了快速便捷、形式多樣的金融服務(wù)。作為一種全新的交易渠道,客戶不必親自去銀行網(wǎng)點(diǎn)辦理業(yè)務(wù),只要能夠上網(wǎng),無論在家、辦公室,還是在旅途中,都可以全天24小時安全便捷地管理自己的資產(chǎn),辦理查詢、轉(zhuǎn)賬、繳費(fèi)等銀行業(yè)務(wù)。
然而近年來,假網(wǎng)站、假電子郵件、假短信、惡意木馬病毒等各種新的犯罪手段層出不窮,很多人對處于推廣普及階段的網(wǎng)上銀行了解得不多,特別是對如何確保安全并有效防范各種網(wǎng)絡(luò)詐騙和網(wǎng)絡(luò)盜竊行為知之甚少。為此,國內(nèi)各大商業(yè)銀行相繼推出了一系列安全工具,保障網(wǎng)上銀行交易安全。國內(nèi)最大的商業(yè)銀行中國工商銀行推出了網(wǎng)銀高端安全工具——U盾(個人客戶證書)和最新的電子銀行口令卡,讓客戶在享受網(wǎng)上銀行便利服務(wù)的同時,確保支付交易安全。
安全性作為網(wǎng)絡(luò)銀行賴以生存和得以發(fā)展的核心及基礎(chǔ),從一開始就受到各家銀行的極度重視,包括工行在內(nèi)的各大商業(yè)銀行都采取了有效的技術(shù)和業(yè)務(wù)手段確保網(wǎng)上銀行安全。相信隨著國民金融意識的增強(qiáng)和國家規(guī)范網(wǎng)上行為等相關(guān)法律法規(guī)的出臺,廣大用戶會享受到更好的網(wǎng)上銀行使用環(huán)境。為客戶提供“3A服務(wù)”(任何時間、任何地點(diǎn)、任何方式)的“網(wǎng)上銀行”一定會贏得越來越多用戶的青睞。
然而近年來,假網(wǎng)站、假電子郵件、假短信、惡意木馬病毒等各種新的犯罪手段層出不窮,很多人對處于推廣普及階段的網(wǎng)上銀行了解得不多,特別是對如何確保安全并有效防范各種網(wǎng)絡(luò)詐騙和網(wǎng)絡(luò)盜竊行為知之甚少。為此,國內(nèi)各大商業(yè)銀行相繼推出了一系列安全工具,保障網(wǎng)上銀行交易安全。國內(nèi)最大的商業(yè)銀行中國工商銀行推出了網(wǎng)銀高端安全工具——U盾(個人客戶證書)和最新的電子銀行口令卡,讓客戶在享受網(wǎng)上銀行便利服務(wù)的同時,確保支付交易安全。
安全性作為網(wǎng)絡(luò)銀行賴以生存和得以發(fā)展的核心及基礎(chǔ),從一開始就受到各家銀行的極度重視,包括工行在內(nèi)的各大商業(yè)銀行都采取了有效的技術(shù)和業(yè)務(wù)手段確保網(wǎng)上銀行安全。相信隨著國民金融意識的增強(qiáng)和國家規(guī)范網(wǎng)上行為等相關(guān)法律法規(guī)的出臺,廣大用戶會享受到更好的網(wǎng)上銀行使用環(huán)境。為客戶提供“3A服務(wù)”(任何時間、任何地點(diǎn)、任何方式)的“網(wǎng)上銀行”一定會贏得越來越多用戶的青睞。
IP安全策略 VS 特洛伊木馬
[ 2007-03-25 02:53:11 | 作者: sun ]
當(dāng)木馬悄悄打開某扇“方便之門”(端口)時,不速之客就會神不知鬼不覺地侵入你的電腦。如果被種下木馬其實(shí)也不必?fù)?dān)心,首先我們要切斷它們與外界的聯(lián)系(就是 堵住可疑端口)。
在Win 2000/XP/2003系統(tǒng)中,Microsoft管理控制臺(MMC)已將系統(tǒng)的配置功能匯集成配置模塊,大大方便我們進(jìn)行特殊的設(shè)置(以Telnet利用的23端口為例,筆者的操作系統(tǒng)為Win XP)。
操作步驟
首先單擊“運(yùn)行”在框中輸入“mmc”后回車,會彈出“控制臺1”的窗口。我們依次選擇“文件→添加/刪除管理單元→在獨(dú)立標(biāo)簽欄中點(diǎn)擊‘添加’→IP安全策略管理”,最后按提示完成操作。這時,我們已把“IP安全策略,在本地計算機(jī)”(以下簡稱“IP安全策略”)添加到“控制臺根節(jié)點(diǎn)”下。
現(xiàn)在雙擊“IP安全策略”就可以新建一個管理規(guī)則了。右擊“IP安全策略”,在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”,打開IP安全策略向?qū)Вc(diǎn)擊“下一步→名稱默認(rèn)為‘新IP安全策略’→下一步→不必選擇‘激活默認(rèn)響應(yīng)規(guī)則’”(注意:在點(diǎn)擊“下一步的同時,需要確認(rèn)此時“編輯屬性”被選中),然后選擇“完成→在“新IP安全策略屬性→添加→不必選擇‘使用添加向?qū)А薄?
在尋址欄的源地址應(yīng)選擇“任何IP地址”,目標(biāo)地址選擇“我的IP地址”(不必選擇鏡像)。在協(xié)議標(biāo)簽欄中,注意類型應(yīng)為TCP,并設(shè)置IP協(xié)議端口從任意端口到此端口23,最后點(diǎn)擊“確定”即可。這時在“IP篩選器列表”中會出現(xiàn)一個“新IP篩選器”,選中它,切換到“篩選器操作”標(biāo)簽欄,依次點(diǎn)擊“添加→名稱默認(rèn)為‘新篩選器操作’→添加→阻止→完成”。
新策略需要被激活才能起作用,具體方法是:在“新IP安全策略”上點(diǎn)右鍵,“指派”剛才制定的策略。
效果
現(xiàn)在,當(dāng)我們從另一臺電腦Telnet到設(shè)防的這一臺時,系統(tǒng)會報告登錄失敗;用掃描工具掃描這臺機(jī)子,會發(fā)現(xiàn)23端口仍然在提供服務(wù)。以同樣的方法,大家可以把其它任何可疑的端口都封殺掉,讓不速之客們大叫“不妙”去吧!
在Win 2000/XP/2003系統(tǒng)中,Microsoft管理控制臺(MMC)已將系統(tǒng)的配置功能匯集成配置模塊,大大方便我們進(jìn)行特殊的設(shè)置(以Telnet利用的23端口為例,筆者的操作系統(tǒng)為Win XP)。
操作步驟
首先單擊“運(yùn)行”在框中輸入“mmc”后回車,會彈出“控制臺1”的窗口。我們依次選擇“文件→添加/刪除管理單元→在獨(dú)立標(biāo)簽欄中點(diǎn)擊‘添加’→IP安全策略管理”,最后按提示完成操作。這時,我們已把“IP安全策略,在本地計算機(jī)”(以下簡稱“IP安全策略”)添加到“控制臺根節(jié)點(diǎn)”下。
現(xiàn)在雙擊“IP安全策略”就可以新建一個管理規(guī)則了。右擊“IP安全策略”,在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”,打開IP安全策略向?qū)Вc(diǎn)擊“下一步→名稱默認(rèn)為‘新IP安全策略’→下一步→不必選擇‘激活默認(rèn)響應(yīng)規(guī)則’”(注意:在點(diǎn)擊“下一步的同時,需要確認(rèn)此時“編輯屬性”被選中),然后選擇“完成→在“新IP安全策略屬性→添加→不必選擇‘使用添加向?qū)А薄?
在尋址欄的源地址應(yīng)選擇“任何IP地址”,目標(biāo)地址選擇“我的IP地址”(不必選擇鏡像)。在協(xié)議標(biāo)簽欄中,注意類型應(yīng)為TCP,并設(shè)置IP協(xié)議端口從任意端口到此端口23,最后點(diǎn)擊“確定”即可。這時在“IP篩選器列表”中會出現(xiàn)一個“新IP篩選器”,選中它,切換到“篩選器操作”標(biāo)簽欄,依次點(diǎn)擊“添加→名稱默認(rèn)為‘新篩選器操作’→添加→阻止→完成”。
新策略需要被激活才能起作用,具體方法是:在“新IP安全策略”上點(diǎn)右鍵,“指派”剛才制定的策略。
效果
現(xiàn)在,當(dāng)我們從另一臺電腦Telnet到設(shè)防的這一臺時,系統(tǒng)會報告登錄失敗;用掃描工具掃描這臺機(jī)子,會發(fā)現(xiàn)23端口仍然在提供服務(wù)。以同樣的方法,大家可以把其它任何可疑的端口都封殺掉,讓不速之客們大叫“不妙”去吧!
看大網(wǎng)站如何保障網(wǎng)絡(luò)安全
[ 2007-03-25 02:53:00 | 作者: sun ]
首先,服務(wù)器上用的是私有的操作系統(tǒng)和數(shù)據(jù)庫,所謂私有,并不是完全自己寫,而是說,全部都是進(jìn)行私有化改造過的,一般使用開源的操作系統(tǒng)和數(shù)據(jù)庫進(jìn)行改造,比如說操作系統(tǒng)使用free bsd的改,數(shù)據(jù)庫使用mysql的改,網(wǎng)站服務(wù)器數(shù)量上百時開始實(shí)施這個工程的網(wǎng)站比較多,費(fèi)用是很重要的一方面原因,但更重要的是安全因素。防火墻不僅昂貴,而且會嚴(yán)重降低效率,所以他們一般不會考慮。
改造操作系統(tǒng)的時候,除通信所需的一些命令文件保持原名外,很多命令文件連文件名都換掉(有人認(rèn)為這是小花樣,呵呵),大量功能被重寫,黑客即使拿到權(quán)限坐在服務(wù)器面前,也取不到數(shù)據(jù)。
有網(wǎng)站首席安全官認(rèn)為放一扇門讓別人一個勁砸,不如給人兩條路讓人選擇正確的或者不正確的,所有使用錯誤帳號和密碼去試系統(tǒng)的人,都會被允許以匿名身份登錄到一個shell里,那個shell跟真的系統(tǒng)很象,嗯,只是很象,但其實(shí)是個空殼,所有的指令,都會被以最小代價運(yùn)行,調(diào)用假的信息界面出來。有的甚至里面放了陷阱,欺騙性引導(dǎo)黑客自動送上身份資料或其他一些敏感信息,畢竟黑客可能通過境外跳板過來,如果不是黑客主動送上,網(wǎng)站方很難獲得黑客身份資料的。
使用自己的安全策略,對已有的攻擊手段都有相應(yīng)的防護(hù)措施。比如說對syn flood這樣的,就是臨時降低服務(wù)質(zhì)量,降低半連接等待時間,這樣連接的成功率會降低,但是不會造成服務(wù)被停。
網(wǎng)絡(luò)空閑時間經(jīng)常有欺騙性數(shù)據(jù)流在辦公網(wǎng)絡(luò)和服務(wù)器之間流動,使用強(qiáng)度不高的加密方式加密,讓黑客有事做。
網(wǎng)站內(nèi)部工作人員使用業(yè)務(wù)系統(tǒng)登錄網(wǎng)站服務(wù)器時,界面上和一般服務(wù)器一樣,所有的一般命令都可以通過業(yè)務(wù)系統(tǒng)轉(zhuǎn)換為私有操作系統(tǒng)的專用命令而得到執(zhí)行,網(wǎng)站內(nèi)部工作人員也只有很少的知道轉(zhuǎn)換的對照,而且一般都經(jīng)過分權(quán),做操作系統(tǒng)開發(fā)的,不負(fù)責(zé)服務(wù)器的維護(hù),并且不知道安裝某個內(nèi)部版本號操作系統(tǒng)的服務(wù)器被部署到什么地方。
帳號及密碼按規(guī)定必須通過安全的消息平臺傳遞。
有自己部署在不同城市的DNS服務(wù)器,所有部署出去的應(yīng)用都有不在同一機(jī)房的備用系統(tǒng),應(yīng)急機(jī)制設(shè)置在自己的DNS服務(wù)器這一環(huán)節(jié),使用承載其他服務(wù)的服務(wù)器做交叉的安全狀態(tài)監(jiān)測,比如說A1服務(wù)器是A服務(wù)器的備用系統(tǒng),使用CDEFGH等服務(wù)器來做A服務(wù)器安全狀態(tài)監(jiān)測,定時通信,并向A1服務(wù)器傳遞通信成功的信號,當(dāng)失敗率超過某個值的時候,A1自動分擔(dān)A的部分壓力,A1服務(wù)器上原本承擔(dān)的非及時服務(wù)(不面向客戶的,比如說索引服務(wù))被降低優(yōu)先級。所有服務(wù)器之間這么相互監(jiān)測,通過某個機(jī)制保證監(jiān)測是及時有效的。這樣的情況下,即使某家DNS服務(wù)商被攻擊,自己的網(wǎng)站都還能被大部分用戶訪問,因為不同地區(qū)的DNS還沒被刷,用戶還是可以使用那些DNS連接到網(wǎng)站的。
一般而言,使用了這些手段,網(wǎng)站的安全性不能說萬無一失,也是大大提高的。
改造操作系統(tǒng)的時候,除通信所需的一些命令文件保持原名外,很多命令文件連文件名都換掉(有人認(rèn)為這是小花樣,呵呵),大量功能被重寫,黑客即使拿到權(quán)限坐在服務(wù)器面前,也取不到數(shù)據(jù)。
有網(wǎng)站首席安全官認(rèn)為放一扇門讓別人一個勁砸,不如給人兩條路讓人選擇正確的或者不正確的,所有使用錯誤帳號和密碼去試系統(tǒng)的人,都會被允許以匿名身份登錄到一個shell里,那個shell跟真的系統(tǒng)很象,嗯,只是很象,但其實(shí)是個空殼,所有的指令,都會被以最小代價運(yùn)行,調(diào)用假的信息界面出來。有的甚至里面放了陷阱,欺騙性引導(dǎo)黑客自動送上身份資料或其他一些敏感信息,畢竟黑客可能通過境外跳板過來,如果不是黑客主動送上,網(wǎng)站方很難獲得黑客身份資料的。
使用自己的安全策略,對已有的攻擊手段都有相應(yīng)的防護(hù)措施。比如說對syn flood這樣的,就是臨時降低服務(wù)質(zhì)量,降低半連接等待時間,這樣連接的成功率會降低,但是不會造成服務(wù)被停。
網(wǎng)絡(luò)空閑時間經(jīng)常有欺騙性數(shù)據(jù)流在辦公網(wǎng)絡(luò)和服務(wù)器之間流動,使用強(qiáng)度不高的加密方式加密,讓黑客有事做。
網(wǎng)站內(nèi)部工作人員使用業(yè)務(wù)系統(tǒng)登錄網(wǎng)站服務(wù)器時,界面上和一般服務(wù)器一樣,所有的一般命令都可以通過業(yè)務(wù)系統(tǒng)轉(zhuǎn)換為私有操作系統(tǒng)的專用命令而得到執(zhí)行,網(wǎng)站內(nèi)部工作人員也只有很少的知道轉(zhuǎn)換的對照,而且一般都經(jīng)過分權(quán),做操作系統(tǒng)開發(fā)的,不負(fù)責(zé)服務(wù)器的維護(hù),并且不知道安裝某個內(nèi)部版本號操作系統(tǒng)的服務(wù)器被部署到什么地方。
帳號及密碼按規(guī)定必須通過安全的消息平臺傳遞。
有自己部署在不同城市的DNS服務(wù)器,所有部署出去的應(yīng)用都有不在同一機(jī)房的備用系統(tǒng),應(yīng)急機(jī)制設(shè)置在自己的DNS服務(wù)器這一環(huán)節(jié),使用承載其他服務(wù)的服務(wù)器做交叉的安全狀態(tài)監(jiān)測,比如說A1服務(wù)器是A服務(wù)器的備用系統(tǒng),使用CDEFGH等服務(wù)器來做A服務(wù)器安全狀態(tài)監(jiān)測,定時通信,并向A1服務(wù)器傳遞通信成功的信號,當(dāng)失敗率超過某個值的時候,A1自動分擔(dān)A的部分壓力,A1服務(wù)器上原本承擔(dān)的非及時服務(wù)(不面向客戶的,比如說索引服務(wù))被降低優(yōu)先級。所有服務(wù)器之間這么相互監(jiān)測,通過某個機(jī)制保證監(jiān)測是及時有效的。這樣的情況下,即使某家DNS服務(wù)商被攻擊,自己的網(wǎng)站都還能被大部分用戶訪問,因為不同地區(qū)的DNS還沒被刷,用戶還是可以使用那些DNS連接到網(wǎng)站的。
一般而言,使用了這些手段,網(wǎng)站的安全性不能說萬無一失,也是大大提高的。
