Net Cat在一个系统内以聆听式运行，同时在另一系统内以客户式运行时，Net Cat可以发动很多攻击。它可以在任何端口提供后门登录，如UDP端口53。从网络包角度来分析，这种登录被看成是一系列DNS问答，其实这是真正的后门登录。当在两系统内以两种方式同时运行时，Net Cat可以在任何端口架构快捷、简单的档案传输机制。

　　Net Cat也可以是源路包。当Net Cat以客户方式运行时，它是个UDP及TCP端口扫描器。当它发现系统内有打开的端口时，Net Cat会轻而易举地与这些端口连接。

　　Net Cat NT版有一个独特之处：它可以将自己绑定在当前进程的端口前端。利用这一功能可以非常有效地向服务器或Web服务器发动攻击。这种连接也可以因拒绝服务攻击（Denial-of-service DoS）而被断掉。有时黑客把自己的请求送到正当的服务器进程前，编写特别的程序用来寻找敏感数据（口令、银行帐号等）。

　　Net Cat防范

　　最佳防范Net Cat的方法是“最小特权原理”（昵称为“polyp”）（Principle of Least Priviledges）。也就是说，不让不需要的端口经过防火墙，只有那些你允许通过的端口可以与指定的主机连接。例如：经过防火墙的DNS查询，只打开需要此服务的UDP 53端口（通常是一个内部DNS服务器把这些查询转出到Internet）。这样就可以防止攻击者有机会把Net Cat包送到你内部网的任何主机上。

　　至于那些可以被外部访问的系统，在防范Net Cat攻击时，你要清楚这些机器上已运行的进程，并且仔细调查那些不寻常进程，因为它们可能是后门聆听者。你必须定期检查端口，以便发现有没有聆听者侵入你的机器。

　　为了防止回放攻击，所有应用系统应该为每条消息（包括web cookies、表单或者是原始数据）盖上时间印及顺序号码。所有消息的时间印及顺序号应经过密码完整性测试，确保没有被修改或回放。

　　工具五：Session Hijacking

　　很多应用系统采用命令行登录是不安全的，尤其是telnet、rsh、rlogin及FTP程式，它们全是黑客攻击对象。任何一个黑客在连接了客户与服务器之间的网段后，可以用Session Hijacking工具接管会话。

　　当一个合法用户登录到命令行进行会话时，黑客可以找到此会话并马上代表用户接管此会话，重新连接客户，这样黑客便完全控制这个登录，进而黑客成为合法用户。而真正的用户会简单地认为网络出故障了，从而会断掉会话。

　　黑客圈里有大量此种黑客工具，最新的有 “Kra”于1998年11月编写的Hunt， 还有“daemon9”编写的juggernaut，它们均提供基本的Session Hijacking功能。

　　Session Hijacking防范

　　对于敏感的会话通信（如防火墙的远程管理、PKI或是其他重要部件的管理），选用一个有密码认证功能的工具把整个会话加密是一个好选择。Secure Shell (SSH)就提供这些功能。VPN产品也提供认证及会话加密。黑客没有在SSH或VPN工具里所用的钥匙便无法进行会话攻击。

　　快乐的结局

　　让我们回顾一下三个月前篇首所描述的攻击情节。

　　当你调查这次攻击时，你发现入侵者使用war dialing找出一个供用户使用的不受保护的调制解调器。随后他接管了这个系统，并扫描整个网络，把后门安装在网络内部的机器中。当黑客观察到一位系统管理员登录到公用Web服务器上时，他就接管该服务器，并用它开始攻击其他Internet站点。

　　经过此次事件，你的机构开始注意到安全防范的重要性，管理部门也授权你去实施一项口令及调制解调器政策，他们开始定期作war dialing及口令破译测试，以及安装自动监测预警系统。

　　经过施行这些新政策后，公司网络的安全性大大提高。你明白了只有认真学习并且施行防范策略才能免受攻击。即使日后又发现任何隐患，你也会迅速检测到并立即采取措施。

　　希望你有了这些知识后，可以在晚上睡个好觉了！　　

　　Back Orifice 简介

　　黑客一旦找出调制解调器并破译口令成功后， 他会做什么? 通常，他会在系统内安装后门程序以便他稍后再来。Back Orifice（或称BO） 是功能强大的后门制造工具, 它能轻而易举的使庞大的网络系统陷入瘫痪之中。

　　Back Orifice由黑客Cult of the Dead Cow （cDc）于1998年8月推出。BO包括服务器部分和客户部分。服务器部分安装在受侵者的Window 95机器上，而客户部分在黑客系统中运行。安装BO主要目的是：黑客通过网络远程入侵并控制受攻击的Win95系统，从而使受侵机器“言听计从”。

　　BO以多功能、代码简洁而著称。BO服务器只有121KB，安装迅速。BO客户软件用UDP包与服务器沟通，可配置到系统任何端口上，缺省是UDP 31337（黑客术语是“Elite”）。

　　BO具有许多特点：

　　.黑客完全控制文件系统，可以移 动、编辑、删除及复制受侵机器的程序。

　　.可以捕获用户任何的键盘敲击。这点使BO产生强大的杀伤力。因为当受害者键入的是口令或公钥密码时，BO也将它们如实地存在文件中，以便攻击者日后取用。

　　.黑客可以在受侵机器上运行任何进程，并使这些进程可在任何端口上聆听。

　　.BO试图隐藏自己，不在任务列上出现。

　　.BO服务器自带Web服务器，这样黑客可以用Browser访问受害机器。

　　.其他黑客利用所谓的BO统一工具传输插件（即“BUTT plugs”），把BO功能进行扩充。已经推出的插件宣称可以经E-mail或IRC激活BO，这样，当工具在网络扩散时，就可以找到最新的目标。

上一页  [1] [2] [3]  下一页