第 4 章 网络入侵与攻击

2. 清除主机日志
主机日志包括三类的日志：应用程序日志、安全 日志和系统日志。 使用工具软件clearel.exe，可以方便的清除系统 日志，首先将该文件上传到对方主机，然后删 除这三种日志的命令格式为：

Clearel System （删除系统日志） Clearel Security（安全日志 ） Clearel Application（应用程序日志 ） Clearel All（删除全部日志 ）
3. 收集信息 （1）通过社会工程学收集信息 （2）通过统计学收集信息 （3）通过踩点扫描收集信息 4. 攻击实施 （1）获得系统或管理员权限 得到管理员权限的目的是连接到远程计算机，对其进行 控制，达到自己攻击目的。 （2）权限的扩大 只有获得了最高的管理员权限之后，才可以做诸如网络 监听、打扫现都已经空 了。
但只修改日志是不够的，黑客高手可以通过替换 一些系统程序的方法来进一步隐藏踪迹。这种 用来替换正常系统程序的黑客程序叫做rootkit， 这类程序在一些黑客网站可以找到，比较常见 的有LinuxRootKit，现在已经发展到了5.0版 本。它可以替换系统的ls、ps、netstat、 inetd等等一系列重要的系统程序，当替换了 ls后，就可以隐藏指定的文件，使管理员在使 用ls命令时无法看到这些文件，从而达到隐藏 自己的目的。
4.1 黑客入侵的一般步骤
黑客（Hacker，源于动词Hack）是指精通网络、 系统、外设以及软硬件技术的人。入侵者通常 有两种，一种是内部人员利用自己的工作机会 和权限来获取不应该获取的权限而进行的攻击。 另一种是外部人员入侵，包括远程入侵、网络 节点接入入侵等。
4.1.1 黑客攻击的目的
黑客攻击的目的主要有： （1）进程的执行 （2）获取文件和传输中的数据 （3）获取超级用户的权限 （4）对系统的非法访问 （5）进行不许可的操作
（2）Rhosts + + 后门 入侵者只要向可以访问的某用户的rhosts文件中输 入“+ +”，就可以允许任何人从任何地方无须口 令便能进入这个账号。
（3）时间戳校验和后门 系统管理员依靠时间戳和系 统校验和的程序辨别一 个二进制文件是否已被改变。 （4）Login后门 入侵者获取login.c的 原代码并修改，使它在比较输 入口令与存储口令时先检查后门口令。
木马程序："冰河"
1. 网络客户/服务程序 网络客户/服务模式的原理是一台主机提供服务 （服务器），另一台主机接受服务（客户机）。 作为服务器的主机一般会打开一个默认的端口并 进行监听（Listen）， 如果有客户机向服务 器的这一端口提出连接请求（Connect Request）， 服务器上的相应程序就会自动 运行，来应答客户机的请求，这个程序称为守 护进程。
木马程序："冰河"
3. 和外界的通信 木马程序的数据传递方法最常见的要属TCP、 UDP传输数据的方法，通常是利用Winsock 与目标机的指定端口建立起连接，使用send 和recv等API进行数据的传递 。 4. 每次用户启动时自动装载服务端 木马要做到在每次用户启动时自动装载服务端。 Windows在系统启动时自动加载应用程序的 方法有：启动组、win.ini、system.ini、注册 表等等，这都是木马藏身的好地方。
4.3 攻击技术
要想更好的保护网络不受黑客的攻击，就必须对 黑客的攻击方法、攻击原理、攻击过程有深入 的、详细的了解，只有这样才能更有效、更具 有针对性的进行主动防护。下面通过对黑客攻 击方法的特征分析，来研究如何对黑客攻击行 为进行检测与防御。
4.3.1 暴力破解
暴力破解的一个具体例子是，一个黑客试图使用计算机 和信息去破解一个密码。 1. 字典文件 一个字典文件本身就是一个标准的文本文件，其中的每 一行就代表一个可能的密码。 2. 暴力破解操作系统密码 首先通过扫描得到系统的用户，然后将字典文件中的密 码字与密码文件相比较，如果成功则将密码显示。 3. 暴力破解邮箱密码 黑雨——POP3邮箱密码暴力破解器。 4. 暴力破解软件密码 【例4.1】 PDF文档暴力破解
网络入侵的一般步骤
1. 确定攻击的目的 常见的攻击目的有破坏型和入侵型两种。 破坏型攻击指的只是破坏攻击目标，使其不能正常工作 入侵型攻击则是要获得一定的权限来达到控制攻击目标 的目的。 2. 隐藏IP 通常有两种方法实现自己IP的隐藏。 第一种方法是首先入侵互联网上的一台电脑（俗称“肉 鸡”），利用这台电脑进行攻击。 第二种方式是通过将某一台主机设臵为代理，通过该主 机再入侵其他主机，这种方式称为代理跳板。
4.2.1 隐藏踪迹
一次成功入侵之后，一般在对方的计算机上已经存储了 相关的登录日志，这样就容易被管理员发现。为了自 身的隐蔽性，黑客一般都要抹掉自己在日志中留下的 痕迹。 攻击者在获得系统最高管理员权限之后就可以随意修改 系统上的文件，包括日志文件。最常用的办法是只对 日志文件中有关自己的那一部分做修改。 管理员想要避免日志系统被黑客修改，应该采取一定的 措施。避免日志被修改的一种办法是把所有日志文件 发送到一台比较安全的主机上，即使用loghost。即 使是这样也不能完全避免日志被修改的可能性，因为 黑客既然能攻入这台主机，也很可能攻入loghost。
4.2.2种植后门
只要能不通过正常登录进入系统的途径都称之为 网络后门。网络后门是保持对目标主机长久控 制的关键策略。可以通过建立服务端口和克隆 管理员账号来实现。后门的好坏取决于被管理 员发现的概率。只要是不容易被发现的后门都 是好后门。
Unix中留后门的方法
Unix中留后门的方法有很多种，下面介绍几种 常见的后门 ： （1）密码破解后门 这是入侵者使用的最早也是最老的方法，它不仅 可以获得对Unix机器的访问，而且可以通过破 解密码制造后门。
（17）加密连接 管理员可能建立一个sniffer试图判定某个访问的 数据，但当入侵者给网络通行后门加密后，就 不可能被判定两台机器间的传输内容了。
4.2.3 特洛伊木马
木马是一种可以驻留在对方系统中的一种程序， 在表面上看上去没有任何的损害，实际上隐藏 着可以控制用户整个计算机系统、打开后门等 危害系统安全的功能。木马一般由服务器端和 客户端两部分组成：驻留在对方服务器的称之 为木马的服务器端，远程的可以连到木马服务 器的程序称之为客户端。通过木马客户端可以 操纵服务器，进而操纵对方的主机。 常见的简单的木马有NetBus远程控制、"冰河" 木马、PCAnyWhere远程控制等等。下面介 绍一种最常见的木马程序："冰河"。
Unix的日志文件的位臵
Unix的日志文件通常放在下面这几个位臵，根 据操作系统的不同略有变化。


／usr／adm--早期版本的Unix。 ／Var／adm新一点的版本使用这个位置。 ／Varflort一些版本的Solaris、 Linux BSD、 Free BSD使用这个位置。 ／etc，大多数Unix版本把Utmp放在此处，一 些Unix版本也把Wtmp放在这里，这也是 Syslog．conf的位置。
（6）拒绝服务
（7）涂改信息 （8）暴露信息
4.1.2 网络入侵的一般步骤
进行网络攻击是一件系统性很强的工作，其主要 工作流程是：收集情报，远程攻击，远程登录， 取得普通用户的权限，取得超级用户的权限， 留下后门，清除日志。主要内容包括目标分析， 文档获取，破解密码，日志清除等技术，本节 主要讨论远程攻击。
（12）隐匿进程后门 常用的实现方法是：编写程序时修改自己的 argv[] 使它看起来像其它进程名。 （13）网络通行后门 入侵者不仅想隐匿在系统里的痕迹，而且也要隐 匿它们的网络通行。
（14）TCP Shell 后门 入侵者可能在防火墙没有阻塞的高位TCP端口建立 这些TCP Shell后门。
（15）UDP Shell 后门 许多防火墙设臵成允许类似DNS的UDP报文的通 行。 通常入侵者将UDP Shell放臵在这个端口，以穿 越防火墙。 （16）ICMP Shell 后门 入侵者可以放数据入Ping的ICMP包，在ping的机 器间形成一个shell通道。
网络安全技术
骆耀祖 刘东远 骆珍仪编著
第 4 章 网络入侵与攻击
本章介绍黑客攻击的目的、黑客入侵的一般步骤， 网络后门的概念与黑客隐身的方法，木马和网 络代理跳板以及黑客常用的网络攻击手段，包 括：社会工程学攻击、物理攻击、暴力攻击、 利用Unicode漏洞攻击、利用缓冲区溢出漏洞 和网络欺骗技术进行攻击等技术。
木马程序："冰河"
5. 争夺系统的控制权 木马一般和系统的执行文件（如EXE文件）相关 联，以便可以在执行文件时优先启动木马程序， 再由木马程序去调用真实的执行文件，这样木 马就可以优先获得系统的控制权。 6. 木马端口 木马端口一般都在1000以上，而且趋势是越来 越大的
木马程序："冰河"
7. 木马的防范 如果不打开任何木马文件，就不会有木马的入侵，但这 种保证是不可靠的，因为木马植入方式更为先进，甚 至在接到一封电子邮件，只要简单的浏览一下即可被 植入木马。此外，攻击者还可以利用系统的漏洞来植 入木马。 防火墙是抵挡木马入侵的最好途径，防火墙的阻塞方式 不仅适用于TCP数据包，还能够阻止UDP、ICMP等 其它IP数据包的通讯控制。防火墙可以进行数据包过 滤检查，只允许系统接受限定几个端口的数据请求， 这样即使木马植入成功，攻击者也无法进入到系统， 因为防火墙把攻击者和木马分隔开来了。
1. 清除IIS日志
清除IIS日志最简单的方法是直接到该目录下删除这些文 件夹，但是全部删除文件以后，一定会引起管理员的 怀疑。因为入侵的过程一般是短暂的，只会保存到一 个Log文件，只要在该Log文件删除所有自己的记录 就可以了。使用工具软件CleanIISLog.exe就可以做 到这一点，首先将该文件拷贝到日志文件所在目录， 然后执行命令"CleanIISLog.exe ex031108.log 172.18.25.110"，第一个参数ex031108.log是日志文 件名，文件名的后六位代表年月日，第二个参数是要 在该Log文件中删除的IP地址，也就是自己的IP地址。 先查找当前目录下的文件，然后做清除的操作。
（9）内核后门 用于库躲过MD5校验的方法同样适用于内核级别， 甚至连静态连编都不能识别。 （10）文件系统后门 入侵者需要在服务器上存储它们的文件或数据， 包括exploit脚本工具，后门集，sniffer日志， email的备分，源代码等等。 （11）Boot块后门 在Unix操作系统下，多数管理员不会去检查根 区的软件，所以也有一些入侵者将一些后门留 在根区。
（5）Telnetd后门 当用户telnet到系统，监听端口的inetd服务接受 连接随后递给in.telnetd，由它运行 login。
（6）服务后门 几乎所有网络服务都曾被入侵者作过后门。 （7）Cronjob后门 Unix上的Cronjob可以按时间表调度特定程序的 运行。 （8）库后门 一些入侵者在像crypt.c和_crypt.c等函数里作了 后门。
4.2 隐藏踪迹与种植后门
一般黑客都会在攻入系统后不只一次地进入该系 统。为了保持长期对自己胜利果实的访问权， 为了保持对已经入侵的主机长久的控制，黑客 会在已经攻破的计算机上种植一些供自己访问 的后门，以后可以直接通过后门入侵系统。特 洛伊木马就是后门的最好范例。 当入侵主机以后，通常入侵者的信息就被记录在 主机的日志中，如IP地址、入侵的时间以及做 了哪些破坏活动等等。为了入侵的痕迹不被发 现，需要隐藏或者清除入侵的痕迹。实现隐身 一般有设臵代理跳板和清除系统日志两种方法。
木马程序："冰河"
2. 隐藏自己 木马并不是合法的网络服务程序，因此它必须想 尽一切办法隐藏自己。 （1）在任务栏中隐藏自己 在VB中，只要把form的Visible属性设为False， ShowInTaskBar设为False， 程序就不会出 现在任务栏中了。 （2）在任务管理器中隐形 将程序设为"系统服务"可以很轻松的伪装。