黑客俘獲計算機(jī)的攻擊方法和防御詳解

    客戶方的系統(tǒng)管理員發(fā)現(xiàn)一臺Windows2000服務(wù)器的行為異常后，馬上切斷了這臺服務(wù)器的網(wǎng)絡(luò)連接并向我們報告，這是當(dāng)時的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。經(jīng)過仔細(xì)的診斷，我們推斷出黑客是利用了這臺服務(wù)器的139端口漏洞，從遠(yuǎn)程利用nbtdump、口令猜測工具、Windows net命令等取得了這臺服務(wù)器的控制權(quán)，并安裝了BO 2000木馬。但客戶的系統(tǒng)管理員立刻否定我們的判斷："雖然這臺服務(wù)器的139端口沒有關(guān)閉，但我已經(jīng)在防火墻上設(shè)置了規(guī)則，使外部計算機(jī)不能訪問這臺服務(wù)器的139端口。"又是一個只防范外部攻擊的手段！難道大家都對內(nèi)部攻擊占70%以上的比率視而不見嗎？不過這里的路由器日志顯示，黑客確實(shí)是從外部向這臺服務(wù)器的木馬端口進(jìn)行連接的。難道黑客用了我們還不了解的新的攻擊手段？

    我們于是繼續(xù)匯總分析各方面的數(shù)據(jù)，客戶管理員也配合我們進(jìn)行檢查。在檢查網(wǎng)絡(luò)上的其他主機(jī)時，我們發(fā)現(xiàn)內(nèi)部網(wǎng)中有一臺SUN工作站的網(wǎng)卡上綁定了3個IP地址，其中一個IP地址與被攻擊Windows服務(wù)器是一個網(wǎng)段的！這立刻引起了我們的注意�？蛻艄芾韱T解釋說這是一臺Solaris Sparc機(jī)器，經(jīng)常用來做一些測試，有時也會接入服務(wù)器網(wǎng)段，所以配了一個該網(wǎng)段的地址。而且就在一個多星期前，這臺SUN工作站還放在服務(wù)器網(wǎng)段。這就很可疑了，我們立刻對它進(jìn)行了檢查，果然這臺SUN工作站已經(jīng)被占領(lǐng)了，因?yàn)橹饕�用途是測試，客戶管理員并沒有對它進(jìn)行安全加強(qiáng)，攻破它是易如反掌的事情。在它上面發(fā)現(xiàn)了大量的掃描、監(jiān)聽和日志清除工具，另外還有我們意料之中的端口跳轉(zhuǎn)工具 - netcat，簡稱nc。

    至此問題就比較清楚了：黑客首先占領(lǐng)了這臺毫不設(shè)防的SUN機(jī)，然后上載nc，設(shè)置端口跳轉(zhuǎn)，攻擊Windows 2000服務(wù)器的139端口，并且成功地拿下了它。還原當(dāng)時的網(wǎng)絡(luò)拓?fù)鋱D應(yīng)該是這樣的。

    解釋了端口跳板是如何起作用的。nc安裝后，黑客就會通過定制一些運(yùn)行參數(shù)，在“肉雞”的后臺建立起由“肉雞”的2139端口到目標(biāo)計算機(jī)的139端口的跳轉(zhuǎn)。這就象是一條虛擬的通道，由“肉雞”的2139端口通向目標(biāo)的139端口，任何向“肉雞”的2139進(jìn)行的訪問都會自動地轉(zhuǎn)發(fā)到目標(biāo)計算機(jī)的139端口上去。就是說，訪問“肉雞”的2139端口，就是在訪問目標(biāo)的139端口。反過來，目標(biāo)計算機(jī)的回饋信息也會通過“肉雞”的通道向黑客計算機(jī)返回。

    黑客需要兩次端口跳轉(zhuǎn)，第一次是利用自己的linux計算機(jī)把對139端口的訪問向SUN的2139端口發(fā)送，這樣就繞過了防火墻對139端口的訪問限制。然后SUN會把對自己2139端口的訪問發(fā)送到攻擊最終目標(biāo)的139端口上。為什么圖中的"黑客"計算機(jī)不直接訪問SUN的2139端口，而需要linux多跳轉(zhuǎn)一次呢？這是由于象net、nbtdump、遠(yuǎn)程口令猜測等手段都是默認(rèn)針對139端口而且黑客無法改變的。

    在這兩個端口跳板準(zhǔn)備好了之后，黑客只要訪問自己的linux機(jī)器上的139端口，就可以對目標(biāo)的Windows服務(wù)器進(jìn)行攻擊了，“肉雞”的作用巨大啊。據(jù)了解這臺SUN工作站當(dāng)時在服務(wù)器網(wǎng)段中只接入了三天不到的時間就搬到內(nèi)部網(wǎng)里了，可見黑客對這個網(wǎng)段的情況變化的掌握速度是很快的，管理員們不要因?yàn)橹皇桥R時接入而忽略了安全。我們隨后又在路由器上找到了當(dāng)時黑客遠(yuǎn)程向SUN機(jī)的2139端口連接的日志，至此就完全清楚了。

    防御方法

    對于這種端口跳轉(zhuǎn)攻擊，除了加強(qiáng)內(nèi)部主機(jī)，不使其侵入系統(tǒng)之外，還應(yīng)對防火墻的規(guī)則進(jìn)行嚴(yán)格的設(shè)置。設(shè)置規(guī)則可以按照先全部禁止，再單個放開的方法。這樣即使黑客從非危險的端口連接過來時，也會被防火墻禁止掉。

    三、攻擊時直接借用

    與上述各類情況不同，直接利用其他計算機(jī)做為攻擊平臺時，黑客并不需要首先入侵這些被利用的計算機(jī)，而是誤導(dǎo)它們?nèi)ス�擊目�?biāo)。黑客在這里利用了TCP/IP協(xié)議和操作系統(tǒng)本身的缺點(diǎn)漏洞，這種攻擊更難防范，特別是制止，尤其是后面兩種反射式分布拒絕服務(wù)攻擊和DNS分布拒絕服務(wù)攻擊。

    3.1 Smurf攻擊

    原理介紹

    Smurf攻擊是這種攻擊的早期形式，是一種在局域網(wǎng)中的攻擊手段。它的作用原理是基于廣播地址與回應(yīng)請求的。一臺計算機(jī)向另一臺計算機(jī)發(fā)送一些特殊的數(shù)據(jù)包如ping請求時，會接到它的回應(yīng)；如果向本網(wǎng)絡(luò)的廣播地址發(fā)送請求包，實(shí)際上會到達(dá)網(wǎng)絡(luò)上所有的計算機(jī)，這時就會得到所有計算機(jī)的回應(yīng)。這些回應(yīng)是需要被接收的計算機(jī)處理的，每處理一個就要占用一份系統(tǒng)資源，如果同時接到網(wǎng)絡(luò)上所有計算機(jī)的回應(yīng)，接收方的系統(tǒng)是有可能吃不消的，就象遭到了DDoS攻擊一樣。大家會疑問，誰會無聊得去向網(wǎng)絡(luò)地址發(fā)包而招來所有計算機(jī)的攻擊呢？

    當(dāng)然做為一個正常的操作者是不會這么做的，但是當(dāng)黑客要利用這個原理進(jìn)行Smurf攻擊的時候，他會代替受害者來做這件事。

    黑客向廣播地址發(fā)送請求包，所有的計算機(jī)得到請求后，卻不會把回應(yīng)發(fā)到黑客那里，而是被攻擊的計算機(jī)處。這是因?yàn)楹诳兔俺淞吮还�擊主機(jī)。黑客發(fā)包所用的軟件是可以偽造源地址的，接到偽造數(shù)據(jù)包的主機(jī)會根據(jù)源地址把回應(yīng)發(fā)出去，這當(dāng)然就是被攻擊目標(biāo)的地址。黑客同時還會把發(fā)包的間隔減到幾毫秒，這樣在單位時間能發(fā)出數(shù)以千計的請求，使受害者接到被欺騙計算機(jī)那里傳來的洪水般的回應(yīng)。象遭到其他類型的拒絕服務(wù)攻擊一樣，被攻擊主機(jī)會網(wǎng)絡(luò)和系統(tǒng)無法響應(yīng)，嚴(yán)重時還會導(dǎo)致系統(tǒng)崩潰。

    黑客借助了網(wǎng)絡(luò)中所有計算機(jī)來攻擊受害者，而不需要事先去占領(lǐng)這些被欺騙的主機(jī)。

    在實(shí)際使用中，黑客不會笨到在本地局域網(wǎng)中干這件事的，那樣很容易被查出。他們會從遠(yuǎn)程發(fā)送廣播包到目標(biāo)計算機(jī)所在的網(wǎng)絡(luò)來進(jìn)行攻擊。

    防御方法

局域網(wǎng)中是不必進(jìn)行Smurf攻擊的防御的。我們只需在路由器上進(jìn)行設(shè)置，在收到定向廣播數(shù)據(jù)包時將其丟棄就可以了，這樣本地廣播地址收不到請求包，Smurf攻擊就無從談起。注意還要把網(wǎng)絡(luò)中有條件成為路由器的多宿主主機(jī)（多塊網(wǎng)卡）進(jìn)行系統(tǒng)設(shè)置，讓它們不接收和轉(zhuǎn)發(fā)這樣的廣播包。

    3.2 DrDoS（反射式分布拒絕服務(wù)攻擊）

    原理介紹

    這是DDoS攻擊的變形，它與DDoS的不同之處就是DrDoS不需要在實(shí)際攻擊之前占領(lǐng)大量的傀儡機(jī)。這種攻擊也是在偽造數(shù)據(jù)包源地址的情況下進(jìn)行的，從這一點(diǎn)上說與Smurf攻擊一樣，而DrDoS是可以在廣域網(wǎng)上進(jìn)行的。其名稱中的"r"意為反射，就是這種攻擊行為最大的特點(diǎn)。黑客同樣利用特殊的發(fā)包工具，首先把偽造了源地址的SYN連接請求包發(fā)送到那些被欺騙的計算機(jī)上，根據(jù)TCP三次握手的規(guī)則，這些計算機(jī)會向源IP發(fā)出SYN+ACK或RST包來響應(yīng)這個請求。同Smurf攻擊一樣，黑客所發(fā)送的請求包的源IP地址是被害者的地址，這樣受欺騙的計算機(jī)就都會把回應(yīng)發(fā)到受害者處，造成該主機(jī)忙于處理這些回應(yīng)而被拒絕服務(wù)攻擊。

    3.3 DNS分布拒絕服務(wù)攻擊

    原理介紹

    DNS拒絕服務(wù)攻擊原理同DrDoS攻擊相同，只是在這里被欺騙利用的不是一般的計算機(jī)，而是DNS服務(wù)器。黑客通過向多個DNS服務(wù)器發(fā)送大量的偽造的查詢請求，查詢請求數(shù)據(jù)包中的源IP地址為被攻擊主機(jī)的IP地址，DNS服務(wù)器將大量的查詢結(jié)果發(fā)送給被攻擊主機(jī)，使被攻擊主機(jī)所在的網(wǎng)絡(luò)擁塞或不再對外提供服務(wù)。

    防御方法

    通過限制查詢主機(jī)的IP地址可以減輕這種攻擊的影響，比較糟糕的是在現(xiàn)實(shí)環(huán)境中這么做的DNS服務(wù)器很少。目前不能從根本上解決這個問題。另外可以從自己的網(wǎng)絡(luò)設(shè)備上監(jiān)視和限制對DNS查詢請求的回應(yīng)，如果突然出現(xiàn)流量劇增的情況，限制一下到達(dá)DNS服務(wù)器的查詢請求，這樣可以避免自己管理的服務(wù)器被欺騙而去攻擊無辜者。