网络隐身与后门

22
使用IE连接某地址 使用 连接某地址
在打开的IE中连接某一个地址,比如 "172.18.25.109",如图6-53所示.
2010-5-21
Βιβλιοθήκη Baidu23
查看使用代理的情况
在IE的连接过程中,查看代理跳板的对话框,可以看到连接的信 息.这些信息在一次连接会话完毕后会自动消失,必须在连接的 过程中查看,如图6-54所示.
2010-5-21
20
设置需要代理的应用程序
添加需要代理的应用程序,点击工具栏图标"新建",比如现在 添加Internet Explore添加进来,设置方式如图6-51所示
2010-5-21
21
设置完毕以后,IE的图标就在列表中了,选中IE图标, 然后点击工具栏图标"运行",如图6-52所示.
2010-5-21
2010-5-21
28
Tor 有助于降低简单的和高 级的流量分析的风险,Tor 把你的流量分散到互联网上 的多个地点,所以不存在单 一的一点可以把你和你的目 的地联系起来. 这就好像用一条拐弯抹角的, 难以辨认的路径甩掉跟踪你 的人,然 后定期擦掉你的脚 印.在 Tor 网络上,来源和 目的地不是用一条路径直接 连接的,而是由一条通过数 台中继的随机路径覆盖原始 路径,数据包在这条路径上 传输,因此,不存在任何单 一一点上的 观察者能够知道 数据从哪里来,到哪里去.
扩展后门
小安全工具包,功能更强,但可能不够隐蔽 例子:Wineggdroup shell,适用范围:wind200/xp/2003
2010-5-21 3
后门的分类( 后门的分类(续)
C/S后门
类似木马的控制方法,采用"客户端/服务端"的 控制方式,通过某种特定的访问方式来启动后门进 而控制服务器 例子:ICMP Door,适用范围:wind200/xp/2003
首先安装sc32r231.exe,再安装补丁程序HBCSC32231-Ronnier.exe,然后执行该程序,首先出现 设置窗口如图6-49所示.
2010-5-21
19
代理客户端的主界面
设置Socks代理服务器为本地IP地址127.0.0.1,端口设置为跳板的 监听端口"1913",选择Socks版本5作为代理.设置完毕后,点击 按钮"确定",主界面如图6-50所示.
本地计算机
代理服务器一
代理服务器二
被入侵的主机
2010-5-21
9
本地通过两级代理入侵某一台主机,这样在被入侵的主 机上,就不会留下的自己的信息.可以选择更多的代理 级别,但是考虑到网络带宽的问题,一般选择两到三级 代理比较合适. 选择代理服务的原则是选择不同地区的主机作为代理. 比如现在要入侵北美的某一台主机,选择南非的某一台 主机作为一级代理服务器,选择北欧的某一台计算机作 为二级代理,再选择南美的一台主机作为三级代理服务 器,这样很安全了. 可以选择做代理的主机有一个先决条件,必须先安装相 关的代理软件,一般都是将已经被入侵的主机作为代理 服务器.
6 网络后门与隐身
本章要点
如何设立网络后门 如何进行网络隐身
2010-5-21
1
网络后门
后门的定义:
指那些绕过安全性控制而获取对程序或系统访问权 的程序方法 .
黑客成功地取得了系统权限之后,一般都会想 方设法设置能使自己重返被入侵系统的后门. 大多数入侵者的后门实现以下的目的:即使管 理员改变密码,仍然能再次侵入,并且使再次 侵入被发现的可能性减至最低.
6
案例6-3 建立 建立Web和Telnet服务 案例 和 服务
使用工具软件wnc.exe可以在目标主机上开启两个服务: Web服务和Telnet服务.其中Web服务的端口是808, Telnet服务的端口是707. 执行方法:
在目标主机命令行下运行一下wnc.exe. 将wnc.exe加入自启动项
2010-5-21
13
代理级别配置工具
本地设置完毕以后,在网络上其他的主机上设置二级代理,比如 在IP为172.18.25.109的主机上也设置和本机同样的代理配置. 使用本地代理配置工具:SkServerGUI.exe,该配置工具的主界 面如图6-44所示.
2010-5-21
14
设置经过的代理服务器
2010-5-21
12
查看开放的1122端口 端口 查看开放的
第一步执行"sksockserver -install"将代理服务安装主机中 第二步执行"sksockserver -config port 1122"将代理服务的端口设置为 1122,当然可以设置为其他的数值, 第三步执行"sksockserver -config starttype 2"将该服务的启动方式设 置为自动启动.第四步执行"net start skserver"启动代理服务.设置完 毕以后使用"netstat -an"命令查看1122端口是否开放,如图6-43所示.
2010-5-21
31
以前使用Tor是比较麻烦 的,因为其安装步骤相当 繁琐,不过现在已经不需 要了,有一个叫Vidalia Bundle的软件,提供Tor的 整合安装方案 Tor的图形控制界面
2010-5-21
29
用 Tor 创建一条私有网络路 径时,用户的客户端 用户的客户端通过网 用户的客户端 络上的中继递增地建立一条 由若干加密连接组成的环路 (circuit). 环路一次扩展一跳(hop), 环路上的中继仅仅知道它从 哪一个中继接收数据以及向 哪一个中继发送数据.没有 一台单独的中继会知道数据 包的完整路径.客户端与环 路上的每一跳都协商一组独 立的密钥,这样可以保证数 据通过任何一跳时都无法跟 踪.
2010-5-21
7
网络隐身
网络代理跳板——隐藏IP 清除日志
2010-5-21
8
网络代理跳板
当从本地入侵其他主机的时候,自己的IP会暴露给对方. 通过将某一台主机设置为代理,通过该主机再入侵其他 主机,这样就会留下代理的IP地址,这样就可以有效的 保护自己的安全.二级代理的基本结构如图6-51所示.
案例6-2 记录管理员口令修改过程 案例
管理员可能会经常更换密码. 工具软件Win2kPass.exe可以记录修改的新密码.
在目标主机上执行Win2KPass.exe文件,当该主机管理员密码 修改并重启计算机以后,就在Winnt\temp目录下产生一个ini文 件,记录修改后的密码信息.
2010-5-21
2010-5-21
17
安装程序和汉化补丁
从图6-46可以看出,该程序启动以后监听的端口是"1913".下面 需要安装代理的客户端程序,该程序包含两个程序,一个是安装 程序,一个汉化补丁,如果不安装补丁程序将不能使用.如图648所示.
2010-5-21
18
设置Socks代理 为Snake设置 设置 代理
其中cscript是操作系统自带的命令,作用是"启动脚本以 使它在命令行环境中运行" RTCS.vbe是该工具软件脚本文件 IP地址是要启动Telnet服务的目标主机地址 administrator是用户名 123456是密码 1是登录系统的验证方式 23是Telnet开放的端口
2010-5-21 5
root kit
攻击者用来隐蔽自己的踪迹和保留root访问权限的 工具 例子:hacker defender,适用范围: wind200/xp/2003
2010-5-21 4
案例6-1 利用已得到的管理员密码 案例 远程启动Telnet服务 远程启动 服务
利用工具RTCS.vbe可以远程开启对方的Telnet服务, 使用该工具需要知道对方具有管理员权限的用户名和 密码. 命令的语法是:"cscript RTCS.vbe 172.18.25.109 administrator 123456 1 23",
2010-5-21 2
后门的分类
网页后门
利用服务器上正常 的web服务来构造自己的连接方式,比如 现在非常流行的ASP,cgi脚本后门等 例子:海阳顶端ASP木马,使用范围:支持ASP,WEB访问
线程插入后门
利用系统自身的某个服务或者线程,将后门程序插入到其中, 是现在比较流行的一种后门技术 例子:小榕的BITS(Background Intelligent Transfer Servicer ) ,适用范围:wind200/xp/2003
2010-5-21 27
同时对于客户端,洋葱代理服务器又作为SOCKS接口.一些应用 程序就可以将Tor作为代理服务器,网络通讯就可以通过Tor的虚 拟环路来进行. 进入Tor网络后,加密信息在路由器间传递,最后到达"出口节点 (exit node),明文数据从这个节点直接发往原来的目的地.对 于目的主机而言,是从"出口节点"发来信息. 由于在TCP数据流的级别通讯,Tor显得卓然独立于其他匿名网络. 通过使用Tor,一般的应用程序都可以实现匿名,比如IRC,即时 通讯,以及浏览网页.浏览网页时,Tor常常与Privoxy或Polipo等 联合使用,Privoxy,Polipo是开源代理服务器,可以在应用层增 加保护隐私.
2010-5-21 10
网络代理跳板工具的使用
例子:Snake代理跳板
支持TCP/UDP代理,支持多个(最多达到255)跳板. 程序文件为:SkSockServer.exe,代理方式为Sock5, 并自动打开默认端口1813监听.
2010-5-21
11
使用Snake代理跳板 代理跳板 使用
使用Snake代理跳板需要首先在每一级跳板主机上安装Snake代理服务器. 程序文件是SkSockServer.exe,将该文件拷贝到目标主机上. 一般首先将本地计算机设置为一级代理,将文件拷贝到C盘根目录下,然 后将代理服务安装到主机上.安装需要四个步骤,如图6-42所示.
2010-5-21
24
TOR
Tor(The Onion Router)是第二代洋葱路由 洋葱路由 (onion routing)的一种实现,用户通过Tor 可以在因特网上进行匿名交流.最初该项目由 美国海军研究实验室(US Naval Research Laboratory)赞助. Tor网络(The Onion Router)的存在主要是 为了保证数据传输的安全性,基于tor的应用也 有许多,例如torpark浏览器就可以用来突破网 络访问限制.
设置可以访问该代理的客户端,选择主菜单"配置"下的菜单项 "客户端",这里只允许本地访问该代理服务,所以将IP地址设 置为127.0.0.1,子网掩码设置为"255.255.255.255",并将复选 框"允许"选中.如图6-46所示.
2010-5-21
16
启动代理跳板
一个二级代理设置完毕,选择菜单栏"命令"下的菜 单项"开始",启动该代理跳板.如图6-47所示
2010-5-21
30
一 旦环路建立完成,多种类型的数 据可以在上面进行交换,不同种类 的应用程序也可以在 Tor 网络上部 署.因为每一台中继最多只能知道 环路中的一跳,窃听者或者被入侵 的中继都无法通过流量分析把连接 的来源和目的地联系起来. Tor 仅 作用于 TCP 数据流,任何支持 SOCKS 的应用程序都可以使用它. 出于有效性,Tor 为大约在相同的 十分钟内发起的连接请求分配同一 环路.以后的请求被分配不同的环 路,这样他人就不能把你早先的行 为和新的行为联系起来.
选择主菜单"配置"下的菜单项"经过的SKServer",在出现的对 话框中设置代理的顺序,第一级代理是本地的1122端口,IP地址 是127.0.0.1,第二级代理是172.18.25.109,端口是1122端口,注 意将复选框"允许"选中,如图6-45所示.
2010-5-21
15
设置可以访问代理的客户端
2010-5-21 25
TOR
2010-5-21
26
网络数据传输模块
Tor网络中主要的节点就是Onion Router, 每一个节点具有自己的public key,用户端通 过tor客户端随机选择Tor网络中的一条路径, 并根据所选路径将数据层层加密成"Onions", 然后将数据发送至tor网络,每经过一个tor节 点,数据解密一层,到最后一个节点数据完全 解密再转发到目标主机,返回数据则是在相同 路径上逆向处理,这样可以防止数据传输过程 中的窃听或监控.