黑客需要两次端口跳转,第一次是利用自己的linux电脑把对139端口的访问向SUN的2139端口发送,这样就绕过了防火墙对139端口的访问限制。然后SUN会把对自己2139端口的访问发送到攻击最终目标的139端口上。为什么图中的"黑客"电脑不直接访问SUN的2139端口,而需要linux多跳转一次呢?这是由于象net、nbtdump、远程口令猜测等手段都是默认针对139端口而且黑客无法改变的。
在这两个端口跳板准备好了之后,黑客只要访问自己的linux机器上的139端口,就能够对目标的Windows服务器进行攻击了,“肉鸡”的作用巨大啊。据了解这台SUN工作站当时在服务器网段中只接入了三天不到的时间就搬到内部网里了,可见黑客对这个网段的情况变化的掌控速度是很快的,管理员们不要因为只是临时接入而忽略了安全。我们随后又在路由器上找到了当时黑客远程向SUN机的2139端口连接的日志,至此就完全清楚了。
防御方法
对于这种端口跳转攻击,除了加强内部主机,不使其侵入系统之外,还应对防火墙的规则进行严格的配置。配置规则能够按照先全部禁止,再单个放开的方法。这样即使黑客从非危险的端口连接过来时,也会被防火墙禁止掉。
三、攻击时直接借用
和上述各类情况不同,直接利用其他电脑做为攻击平台时,黑客并无需首先入侵这些被利用的电脑,而是误导他们去攻击目标。黑客在这里利用了TCP/IP协议和操作系统本身的缺点漏洞,这种攻击更难防范,特别是制止,尤其是后面两种反射式分布拒绝服务攻击和DNS分布拒绝服务攻击。
3.1 Smurf攻击
原理介绍
Smurf攻击是这种攻击的早期形式,是一种在局域网中的攻击手段。他的作用原理是基于广播地址和回应请求的。一台电脑向另一台电脑发送一些特别的数据包如ping请求时,会接到他的回应;假如向本网络的广播地址发送请求包,实际上会到达网络上任何的电脑,这时就会得到任何电脑的回应。这些回应是需要被接收的电脑处理的,每处理一个就要占用一份系统资源,假如同时接到网络上任何电脑的回应,接收方的系统是有可能吃不消的,就象遭到了DDoS攻击相同。大家会疑问,谁会无聊得去向网络地址发包而招来任何电脑的攻击呢?
当然做为一个正常的操作者是不会这么做的,但是当黑客要利用这个原理进行Smurf攻击的时候,他会代替受害者来做这件事。
黑客向广播地址发送请求包,任何的电脑得到请求后,却不会把回应发到黑客那里,而是被攻击的电脑处。这是因为黑客冒充了被攻击主机。黑客发包所用的软件是能够伪造源地址的,接到伪造数据包的主机会根据源地址把回应发出去,这当然就是被攻击目标的地址。黑客同时还会把发包的间隔减到几毫秒,这样在单位时间能发出数以千计的请求,使受害者接到被欺骗电脑那里传来的洪水般的回应。象遭到其他类型的拒绝服务攻击相同,被攻击主机会网络和系统无法响应,严重时还会导致系统崩溃。
黑客借助了网络中任何电脑来攻击受害者,而无需事先去占领这些被欺骗的主机。
在实际使用中,黑客不会笨到在本地局域网中干这件事的,那样很容易被查出。他们会从远程发送广播包到目标电脑所在的网络来进行攻击。
防御方法
局域网中是不必进行Smurf攻击的防御的。我们只需在路由器上进行配置,在收到定向广播数据包时将其丢弃就能够了,这样本地广播地址收不到请求包,Smurf攻击就无从谈起。注意还要把网络中有条件成为路由器的多宿主主机(多块网卡)进行系统配置,让他们不接收和转发这样的广播包。
3.2 DrDoS(反射式分布拒绝服务攻击)
原理介绍
这是DDoS攻击的变形,他和DDoS的不同之处就是DrDoS无需在实际攻击之前占领大量的傀儡机。这种攻击也是在伪造数据包源地址的情况下进行的,从这一点上说和Smurf攻击相同,而DrDoS是能够在广域网上进行的。其名称中的"r"意为反射,就是这种攻击行为最大的特点。黑客同样利用特别的发包工具,首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的电脑上,根据TCP三次握手的规则,这些电脑会向源IP发出SYN ACK或RST包来响应这个请求。同Smurf攻击相同,黑客所发送的请求包的源IP地址是被害者的地址,这样受欺骗的电脑就都会把回应发到受害者处,造成该主机忙于处理这些回应而被拒绝服务攻击。
3.3 DNS分布拒绝服务攻击
原理介绍
DNS拒绝服务攻击原理同DrDoS攻击相同,只是在这里被欺骗利用的不是一般的电脑,而是DNS服务器。黑客通过向多个DNS服务器发送大量的伪造的查询请求,查询请求数据包中的源IP地址为被攻击主机的IP地址,DNS服务器将大量的查询结果发送给被攻击主机,使被攻击主机所在的网络拥塞或不再对外提供服务。
防御方法
通过限制查询主机的IP地址能够减轻这种攻击的影响,比较糟糕的是在现实环境中这么做的DNS服务器很少。现在不能从根本上解决这个问题。另外能够从自己的网络设备上监控和限制对DNS查询请求的回应,假如突然出现流量剧增的情况,限制一下到达DNS服务器的查询请求,这样能够避免自己管理的服务器被欺骗而去攻击无辜者。
参考资料
关于Unix主机系统加强:
http://www.cert.org/tech_tips/usc20_full.html
关于Windows主机系统加强:
http://www.winguides.com/security/
系统安全的最小特权原则
http://www-900.ibm.com/developerWorks/cn/security/se-limited/index.shtml
网络和数据加密:
http://www.microsoft.com/windowsxp/pro/using/howto/security/encryptdata.asp
http://www.microsoft.com/windowsxp/pro/using/itpro/securing/encryptoffline.asp
网络监听:
http://www-900.ibm.com/developerWorks/cn/security/se-sniff/index.shtml
(出处:viphot)
