骇客对其侵占的计算机的利用(2)
1.3、骇客交流平台 原理介绍 这又是“肉鸡”的一大功能,骇客很喜欢把一些被托管在IDC中的“肉鸡”设置为自己的BBS/E-mail服务器,这些计算机一般都是CPU快、内存大、硬盘空间足和网速快的,对骇客需要的功能可以很好地支持。骇客分布在世界范围内的各个角落
1.3、骇客交流平台
原理介绍
这又是“肉鸡”的一大功能,骇客很喜欢把一些被托管在IDC中的“肉鸡”设置为自己的BBS/E-mail
服务器,这些计算机一般都是CPU快、内存大、硬盘空间足和网速快的,对骇客需要的功能可以很好地支持。骇客分布在世界范围内的各个角落,除了一些固定的骇客组织外,很多骇客都是只通过网络交流,如通过电子邮件、在线聊天等方式"互送秋波",交流攻击和其他技术,倾诉仰慕之情。很多交往多年的骇客好友从未在现实生活中见过面,这是毫不为奇的。
大家会问那么骇客直接发电子邮件、上I
CQ不就行了吗?何必去冒险攻击其他的计算机做为交流平台呢。请注意骇客之间传播的都是一些不能被别人知道的信息,如"我已经控制了XXX省网的骨干路由器,你想要一份它的路由表吗?",这样的内容如果在任何一个
邮件服务器和聊天服务器上被截获,从道义上讲这个网管都是有义务提醒被攻击的网络负责人的,所以利用公共的网络交流手段对骇客来说并不可靠,骇客也要保密啊:-) 。那怎么办?骇客既然控制了“肉鸡”,成为了“肉鸡”的第二个"家长",就有资格和权限去把它设置为交流用的服务器。在这样的交流平台上,骇客被发现的可能性小得多,最高的控制权限可以使骇客对这些活动进行各种各样的掩饰。还有另一种利用形式就是
FTP服务器,供骇客兄弟们上传
下载骇客软件,互通有无。
骇客在“肉鸡”上做信息交换的时候,会产生大量的网络通信,尤其是利用FTP上传
下载时。如果发现你的内外部通信突然反常地加大,检查一下自己的计算机吧。
防卫性差的“肉鸡”其管理员一般水平也不会很高,再加上缺乏责任心,往往在自己的计算机被占领了很长时间都不知道,直到有一天收到了高额的数据通信收费单,才大吃一惊:"怎么搞的?!"。- 难道他们自己就没有责任吗?
防御方法
管理员要有实时监视的手段,并制定合理的检查制度,定期地对所负责的网络和服务器进行检查。对于网络流量突然增大、可疑访问出现、服务器情况异常、不正常的日志项等,都要立即进行检查。要记得把这些记录、日志归类备份,以便在出现情况时前后比较。
安全不
安全很大程度上取决于管理员是否尽职尽责,好的管理员必须有好的习惯。
1.4、学习/
开发平台
原理介绍
这种情况是比较少见的,却很有意思。我们平时使用的是个人计算机,一般可以安装
Windows、FreeBSD、
Linux和其他
Unix系统的x86版本,如果要实习其他平台上的操作系统几乎是不可能的。象AIX、HP-UX、Solaris(sparc)、IRIX等,都需要相应的硬件平台来配套,普通的个人计算机是装不上的,这些知名厂商的Unix计算机又非常昂贵,成了一般计算机爱好者可望不可及的宝物。骇客兄弟们在这里又有了大显身手的时候了,到网上找到一些可以侵入的AIX什么的机器,占领之后,想学习这种平台的操作使用还不是很简单的事吗?我曾在一个骇客站点上看到有人转让一台Sun E250“肉鸡”的控制权,开价300块,可怜那个管理员,自己的机器已经被公开出售了还不知道。
骇客在“肉鸡”上做
开发就更少见了,因为这样做会有很大的风险。许骇客都没有全职的工作,他们中的很多人都是
编程高手,会通过朋友和其他渠道揽一些程序
开发的活计,挣些零花钱。很多定制的程序是要跑在特定平台上的,如果一个程序需要在HP-UX平台上开发调试怎么办?HP-UX计算机是很少能找到的。但骇客又可以利用自己的"特长"去攻下一台,做为开发平台。不过我们都知道开发调试程序的时候会有各种种样的
bug,轻则导致程序不正常,重则让系统崩溃,还会在日志里留下记录。这就是为什么说这么做很危险,因为它太容易被发现了。要是一台计算机被当做开发平台用了很久而管理员却一无所知的话,这个管理员实在应该好好反省。
防御方法
方法同前一部分,就不必多说了。关心你的服务器吧。
二、利用“肉鸡”进行攻击
前面说的都是骇客如何利用“肉鸡”做一些其他的事情,在第二大部分里就要谈一下骇客是如何利用“肉鸡”进行攻击其他计算机和网络行为的。骇客利用“肉鸡”攻击的原因主要有两个:首先是万一攻击行为被下一个目标发现了,对方管理员在追查的时候只能找到这台“肉鸡”,而不能直接抓出骇客自己,这为对方管理员追究责任造成了更大的困难;其次,对于某些类型的攻击手段,“肉鸡”所在的位置也许比骇客计算机所在的位置更有利。
下面介绍一下骇客利用“肉鸡”来攻击时的几种方式。
2.1非法扫描/监听平台
原理介绍
扫描和监听是骇客对“肉鸡”最常使用的借用手段,目标是本网络和其他网络中的计算机。被攻击网络中总有一台计算机会被首先攻破,一旦打开了这个缺口,整个网络就都危险了。这是由于在大多数的网络进行安全设置时,主要的防卫方向是向外的,也就是说他们主要是防备外来的攻击。骇客可以利用其对内部计算机防备较少的弱点,在控制一台计算机后,从这里直接扫描。如图二
图二 “肉鸡”在防火墙内部进行扫描
请看一下前后两种情况的对比。防火墙是很常见的
网络安全设备,在网络入口处起到了一个安全屏障的作用,尤其在骇客进行扫描的时候防火墙将堵住对绝大多数端口的探测。这时“肉鸡”就有了用武之地,从这里扫描本地网络中的其他计算机是不需要经过防火墙的,可以随便地查看它们的漏洞。而且这时候防火墙上也不会留下相应的日志,不易被发觉。骇客可以在扫描结束时返回“肉鸡”取一下结果,或者命令“肉鸡”把扫描结果直接用电子邮件发送到指定信箱。
对于在某个网络中进行非法监听来说,本地有一台“肉鸡”是必须的条件。由于以太网的设计特点,监听只能在本地进行。虽然随着交换式以太网的普及,网络非法监听能收集到的信息大大减少,但对于那些与非法监听软件所在的“肉鸡”通讯的计算机来说,威胁还是很大的。如果这个“肉鸡”本身还是一台重要的服务器,那么危害就更大了,骇客在这上面会得到很多诸如用户帐号、密码、服务器之间不合理的信任关系的信息等,对下一步攻击起到很大的辅助作用。
防御方法
防止扫描一般主要设置在防火墙上,除了内部那些开放了的服务以外,不允许其他的访问进入,可以最大限度地防止信息泄露。至于同一网段上某个服务器成了“肉鸡”,一般情况下是没法防止它扫描其他服务器了,这就需要我们的防御方向不但要向外,也要向内。关闭每一台计算机上不需要的服务,进行安全加强,让内部的非法扫描器找不到可以利用的漏洞。
防御监听一般使用网络传输加密和交换式网络设备。管理员远程登录系统时候,还是有很多人喜欢使用默认的telnet,这种明文传输的协议是骇客的最爱。使用SSH代替telnet和那些r命令,可以使网络上传输的数据成为不可读的密文,保护你的帐号、口令和其他重要的信息。交换式网络设备可以使单个计算机接收到的无用信息大大减少,从而降低非法监听器的危害性。不过相对来说,它的成本还是比较高的。
2.2 攻击的实际出发点
原理介绍
这里所说的攻击是指那些取得其他计算机控制权的动作,如溢出和漏洞攻击等。与扫描监听相同,从内部的“肉鸡”发起的攻击同样不必经过防火墙,被阻挡和发现的可能减少了。从这里攻击时被发现了之后,追查时会找到骇客吗?同样也不行,只能先找到“肉鸡”,再从这里找骇客就困难了。
如果说“肉鸡”做为扫描工具的时候象骇客的一只眼睛,做监听工具的时候象骇客的一只耳朵,那么“肉鸡”实际进攻时就是骇客的一只手。骇客借助“肉鸡”这个内应来听来看,来攻击,而“肉鸡”成为了提线木偶,举手投足都被人从选程看不到的地方控制着。
防御方法
也是需要对计算机进行严密的监视。请参考前面的内容。
原文转自:http://www.ltesting.net
|