黑客避开检测的手段

黑客的聪明并不只是在于他们知道如何去入侵服务器,还在于他们知道如何去伪装自己的攻击。恶意的攻击者会使用多种逃避的手段来让自己不会被检测到,所以作为系统管理员,也应当了解这些手段以应付可能发生的攻击。

  这篇文章的主要目的不是揭示黑客新的攻击手法,而是对那些黑客所用到的逃避检测的手法以及他们可能留下的证据做描述。这些手段的欺骗性很大,所以想检测到它们也更加的困难。

网络服务器

  我们的实验环境使用两种最常用的网络服务器,Apache和微软的Internet Information Server(IIS)。我们在Red Hat Linux上运行Apache 1.3.9,在Windows NT 4.0上运行IIS 4.0。并且两种都采用普通和允许SSL的版本,所以我们可以对加密和未加密的服务器的攻击做测试。

16进制编码

  一种最简单的将攻击伪装的手段就是修改URL请求。作为管理员,我们一般会在日志文件中查找某些字符串,或是一些普通文本的字符集。例如我们在请求中查找匹配已知漏洞的字符串。例如,我们在我们的IIS服务器中发现了如下的字符串,我们就知道有人正在查找是否有IIS中可以远程利用的MDAC漏洞:

06:45:25 10.0.2.79 GET /msadc/ 302

要知道攻击者是如何躲过这种匹配检测的,请参考以下作为恶意攻击者策略一部分的请求。要确定msadc目录是否存在,攻击者可能键入以下内容:

[root@localhost /root]# nc -n 10.0.2.55 80 
GET /msadc HTTP/1.0

这就会产生我们以上所见的日志文件。攻击者可以将请求进行十六进制的ASCII字符编码。在以上的例子中,字符串msadc在十六进制编码以后就会变为6D 73 61 64 63。你可以使用Windows Charmap程序来快速的进行字符的ASCII到十六进制的转换。以上的HTTP请求,将字符串msadc用十六进制编码以后,就变成了:

[root@localhost]# nc -n 10.0.2.55 80 
GET /%6D%73%61%64%63 HTTP/1.0

IIS的日志文件显示:

07:10:39 10.0.2.31 GET /msadc/ 302

应当注意的是,虽然采用了十六进制编码的手段,但是所产生的日志和没有使用十六进制编码的URL产生的是一样的。所以在这个例子里,编码并没有帮助攻击者逃避检测。但是,如果我们看看看Apache的日志情况,那么就是另外一个情形了。以下列出了攻击者使用来搜索某个CGI脚本的命令,后面跟着的是使用十六进制编码以后的同样命令:

[root@localhost]# nc -n 10.0.0.2 80 
HEAD /cgi-bin/test-cgi HTTP/1.0 
[root@localhost]# nc -n 10.0.0.2 80 
HEAD /%63%67%69-bin/test-%63%67%69 HTTP/1.0

现在我们来查看一下access_log文件:

10.10.10.10 - - [18/Oct/2000:08:22:47 -0700] "HEAD /cgi-bin/test-cgi HTTP/1.0" 200 0 
10.10.10.10 - - [18/Oct/2000:08:23:47 -0700] "HEAD /%63%67%69-bin/test-%63%67%69 HTTP/1.0" 200 0

首先应注意到的是在这两个例子中都是200代码说明命令完成成功。但是在第二中情况中,日志中出现的是十六进制的值而不是明文的。如果我们是依赖于形式来对这种攻击进行检测的话,那么我们是不可能检测到所发生的攻击的。许多的入侵检测系统使用的格式匹配技术智能化都不高,并且有些产品不会将十六进制的URL转换过后进行匹配。但是不论所使用的入侵检测软件是否能够对十六进制的代码进行转换,所有的网络管理员都应当对这种伎俩有所了解。

代理服务器

  因为对攻击者而言完全隐藏攻击行为是很难做到的,所以掩盖攻击的真实来源也就成为相当重要的课题了。如果黑客可以隐藏他的源IP地址的话,那么他就可以在不用担心被抓住的情况下进行攻击。而黑客用来隐藏他们的源IP地址的一种手段就是使用代理服务器。

  代理服务器是被合法的用来从一个单一的访问点转发多种协议的。一般来说,内部用户必须通过代理服务器才能访问Internet,因此管理员就可以在代理服务器指定外部访问以及内部访问的限制策略。用户首先是和代理服务器建立连接,然后代理服务器就将连接请求转发到真正的目的地址。目的地址会记录下代理服务器的IP地址以作为请求的源地址,而不是最初发出请求的系统的IP地址。

  但是不幸的是代理服务器在Internet上的放置太随意了。(可以查看Proxys-4-All来获得这些错误配置机器的列表。) 这些服务器经常会存在配置错误使得Internet用户可以连接到这些代理服务器上。一旦某个Internet用户通过代理服务器连接到某个服务器上,该服务器就会将代理服务器的IP地址作为发出请求的源地址记录在日志中。而在被攻击服务器的日志中对攻击者的记录其IP地址是属于一个没有任何攻击行为的“无辜”主机的,而不是攻击者的真正地址。我们来看以下的例子。

  下面的例子显示了黑客的攻击和攻击在日志中产生的相关信息。

  攻击者

[root@10.1.1.1 /]# nc -v 10.8.8.8 80 
HEAD / HTTP/1.0

日志文件

10.1.1.1 - - [18/Oct/2000:03:31:58 -0700] "HEAD / HTTP/1.0" 200 0

在下面这种情况中,我们看到攻击者达到了同样的目的,但是这次他使用了代理服务器。

攻击者

[root@10.1.1.1 /]# nc -v 216.234.161.83 80 
HEAD http://10.8.8.8/ HTTP/1.0

日志文件

216.234.161.83 - - [18/Oct/2000:03:39:29 -0700] "HEAD / HTTP/1.1" 200 0

注意在这个例子中,日志文件中所出现的地址是代理服务器的(216.234.161.83,proxy.proxyspace.com),而不是攻击者的真实地址。在这个案例中,攻击者成功的隐藏了攻击的来源地址。不过网络管理员如果能得到代理服务的支持的话还是可以追踪到攻击的真正来源。大多数的代理服务器都会保存一份相当详细的日志,所以多半也就可以从中找到攻击的来源。但是道高一尺魔高一仗,黑客也有相应的方法来反跟踪:他们可以使用多重代理,也可以说是一个“代理链”来进行攻击。而管理员和执法部门也就必须对所有的中间代理服务器进行依次检查来获得攻击来源。在黑客的团体中这种“代理链”的使用非常的普遍,并且有类似SocksChain for Windows这样的工具可供使用。

SSL

  对此以往很多人进行了讨论,但是它现在值得再一次提出:允许SSL的服务器是不会被网络入侵检测系统所检测到的。如果让一个黑客在80端口(HTTP)和443端口(HTTPS)之间做一个选择的话,攻击者每一次都会选择443端口的。这实际上并不是什么手段,而是由于加密通讯的使用所造成的副作用。你可以使用网络服务器日志文件来监视443端口的请求。

结论

  我们向你演示了一些网络上的黑客常用的欺骗伎俩。无须多说,这些手段是随着黑客们的想象力和创造力不断增加而不断扩展的。例如十六进制编码这样的技术不光是用在欺骗性的日志文件入口这样的地方;它同样也欺骗网络服务器的URL解析机制,并可能导致例如源代码暴露之类的漏洞的出现。攻击者某些时候也使用多代理服务器来进行扫描和攻击,让管理员很难跟踪攻击的真正来源。当然,SSL某些时候为“安全黑客行为”铺平了道路。

(0)

相关推荐

  • 黑客避开检测的手段

    黑客的聪明并不只是在于他们知道如何去入侵服务器,还在于他们知道如何去伪装自己的攻击.恶意的攻击者会使用多种逃避的手段来让自己不会被检测到,所以作为系统管理员,也应当了解这些手段以应付可能发生的攻击. 这篇文章的主要目的不是揭示黑客新的攻击手法,而是对那些黑客所用到的逃避检测的手法以及他们可能留下的证据做描述.这些手段的欺骗性很大,所以想检测到它们也更加的困难. 网络服务器 我们的实验环境使用两种最常用的网络服务器,Apache和微软的Internet Information Server(I

  • ADSL防御黑客攻击的十大方法

    目前,使用ADSL的用户越来越多,由于ADSL用户在线时间长.速度快,因此成为黑客们的攻击目标.现在网上出现了各种越来越详细的"IP地址库",要知道一些ADSL用户的IP是非常容易的事情.要怎么保卫自己的网络安全呢?不妨看看以下方法. 一.取消文件夹隐藏共享 如果你使用了Windows 2000/XP系统,右键单击C盘或者其他盘,选择"共享",你会惊奇地发现它已经被设置为"共享该文件夹",而在"网上邻居"中却看不到这些内容,这

  • 菜鸟黑客入门攻击及防范技巧

    在正式进行各种"黑客行为"之前,黑客会采取各种手段,探测(也可以说"侦察")对方的主机信息,以便决定使用何种最有效的方法达到自己的目的.来看看黑客是如何获知最基本的网络信息--对方的IP地址:以及用户如何防范自己的IP泄漏. ■ 获取IP "IP"作为Net用户的重要标示,是黑客首先需要了解的.获取的方法较多,黑客也会因不同的网络情况采取不同的方法,如:在局域网内使用Ping指令,Ping对方在网络中的名称而获得IP:在Internet上使用IP

  • 黑客破解口令常用的三种方法

    通过破解获得系统管理员口令,进而掌握服务器的控制权,是黑客的一个重要手段.破解获得管理员口令的方法有很多,下面是三种最为常见的方法. (1)猜解简单口令:很多人使用自己或家人的生日.电话号码.房间号码.简单数字或者身份证号码中的几位:也有的人使用自己.孩子.配偶或宠物的名字:还有的系统管理员使用"password",甚至不设密码,这样黑客可以很容易通过猜想得到密码. (2)字典攻击:如果猜解简单口令攻击失败后,黑客开始试图字典攻击,即利用程序尝试字典中的单词的每种可能.字典攻击可以利用

  • 基于matlab MFCC+GMM的安全事件声学检测系统

    一.安全事件声学检测简介(附lunwen) 1 选题背景 公共安全问题是社会安全稳定所聚焦的话题之一.近年来,检测技术与监控自动化正深刻地改变着人们的生活.尤其在安防领域,闭路电视CCTV(Closed Circuit Television).视频流分析.智能监控等新技术得到了广泛应用,大大提高了安防监控的管理效率.然而值得注意的是,基于视频流的监控手段不可避免地也具有一定的先天性缺漏,例如存在视野盲区.易受光照影响等问题,对于事件检测,还可能存在语义不明的问题,监控手段不够全面.纯视频手段在枪

  • 路由技术,路由器与网络安全

    路由器(Router)是因特网上最为重要的设备之一,正是遍布世界各地的数以万计的路由器构成了因特网这个在我们的身边日夜不停地运转的巨型信息网络的"桥梁".因特网的核心通讯机制是一种被称为"存储转发"的数据传输模型.在这种通讯机制下,所有在网络上流动的数据都是以数据包(Packet)的形式被发送.传输和接收处理的.接入因特网的任何一台电脑要与别的机器相互通讯并交换信息就必须拥有一个唯一的网络"地址".数据并不是从它的"出发点"直

  • 交换机配置中的安全性

    近几年,我国信息化建设得到了迅猛地发展,带宽越来越宽,网络速度翻了几倍,E-Mail在网间的传递流量呈现指数增长,IP语音.视频等技术极大地丰富了网络应用.但是,互联网在拉近人与人之间距离的同时,病毒.黑客也随之不请自到.病毒的智能化,变种.繁殖的快速,黑客工具的"傻瓜"化加上洪水般的泛滥趋势,使得企业的信息系统变得脆弱不堪,随时面临瘫痪甚至被永久损坏的危险.在此形势下,企业不得不加强对自身信息系统的安全防护,期望得到 一个彻底的.一劳永逸的安全防护系统.但是,安全总是相对的,安全措施

  • 路由器基础精析

    路由器(Router)是因特网上最为重要的设备之一,正是遍布世界各地的数以万计的路由器构成了因特网这个在我们的身边日夜不停地运转的巨型信息网络的"桥梁".因特网的核心通讯机制是一种被称为"存储转发"的数据传输模型.在这种通讯机制下,所有在网络上流动的数据都是以数据包(Packet)的形式被发送.传输和接收处理的.接入因特网的任何一台电脑要与别的机器相互通讯并交换信息就必须拥有一个唯一的网络"地址".数据并不是从它的"出发点"直

  • 安全成交换机的基本功

    近几年,我国信息化建设得到了迅猛地发展,带宽越来越宽,网络速度翻了几倍,E-Mail在网间的传递流量呈现指数增长,IP语音.视频等技术极大地丰富了网络应用.但是,互联网在拉近人与人之间距离的同时,病毒.黑客也随之不请自到.病毒的智能化,变种.繁殖的快速,黑客工具的"傻瓜"化加上洪水般的泛滥趋势,使得企业的信息系统变得脆弱不堪,随时面临瘫痪甚至被永久损坏的危险.在此形势下,企业不得不加强对自身信息系统的安全防护,期望得到一个彻 底的.一劳永逸的安全防护系统.但是,安全总是相对的,安全措施

  • Python3.7黑帽编程之病毒篇(基础篇)

    引子 Hacker(黑客),往往被人们理解为只会用非法手段来破坏网络安全的计算机高手.但是,黑客其实不是这样的,真正的"网络破坏者"是和黑客名称和读音相似的骇客. 骇客,是用黑客手段进行非法操作并为己取得利益的人.黑客,是用黑客手段为国家或单位做事的人. 那么,既然黑客不是一个很坏的职业,我们就可以去试着学习. 黑客本身的初衷 --黑客其实一直是善良的. 骇客其实他的前身就是黑客. 骇客与黑客分家,有这么一个故事: 原本,只有黑客一族.而不久后,有些黑客想用黑客手段来获取利益,不断被其

随机推荐