下面介绍一下骇客利用“肉鸡”来攻击时的几种方式。
2.1非法扫描/监听平台
原理介绍
扫描和监听是骇客对“肉鸡”最常使用的借用手段,目标是本网络和其他网络中的电脑。被攻击网络中总有一台电脑会被首先攻破,一旦打开了这个缺口,整个网络就都危险了。这是由于在大多数的网络进行安全配置时,主要的防卫方向是向外的,也就是说他们主要是防备外来的攻击。骇客能够利用其对内部电脑防备较少的弱点,在控制一台电脑后,从这里直接扫描。如图二
图二 “肉鸡”在防火墙内部进行扫描
请看一下前后两种情况的对比。防火墙是很常见的网络安全设备,在网络入口处起到了一个安全屏障的作用,尤其在骇客进行扫描的时候防火墙将堵住对绝大多数端口的探测。这时“肉鸡”就有了用武之地,从这里扫描本地网络中的其他电脑是无需经过防火墙的,能够随便地查看他们的漏洞。而且这时候防火墙上也不会留下相应的日志,不易被发觉。骇客能够在扫描结束时返回“肉鸡”取一下结果,或命令“肉鸡”把扫描结果直接用电子邮件发送到指定信箱。
对于在某个网络中进行非法监听来说,本地有一台“肉鸡”是必须的条件。由于以太网的设计特点,监听只能在本地进行。虽然随着交换式以太网的普及,网络非法监听能收集到的信息大大减少,但对于那些和非法监听软件所在的“肉鸡”通讯的电脑来说,威胁还是很大的。假如这个“肉鸡”本身还是一台重要的服务器,那么危害就更大了,骇客在这上面会得到很多诸如用户帐号、密码、服务器之间不合理的信任关系的信息等,对下一步攻击起到很大的辅助作用。
防御方法
防止扫描一般主要配置在防火墙上,除了内部那些开放了的服务以外,不允许其他的访问进入,能够最大限度地防止信息泄露。至于同一网段上某个服务器成了“肉鸡”,一般情况下是没法防止他扫描其他服务器了,这就需要我们的防御方向不但要向外,也要向内。关闭每一台电脑上无需的服务,进行安全加强,让内部的非法扫描器很难找到能够利用的漏洞。
防御监听一般使用网络传输加密和交换式网络设备。管理员远程登录系统时候,还是有很多人喜欢使用默认的telnet,这种明文传输的协议是骇客的最爱。使用SSH代替telnet和那些r命令,能够使网络上传输的数据成为不可读的密文,保护您的帐号、口令和其他重要的信息。交换式网络设备能够使单个电脑接收到的无用信息大大减少,从而降低非法监听器的危害性。但是相对来说,他的成本还是比较高的。
2.2 攻击的实际出发点
原理介绍
这里所说的攻击是指那些取得其他电脑控制权的动作,如溢出和漏洞攻击等。和扫描监听相同,从内部的“肉鸡”发起的攻击同样不必经过防火墙,被阻挡和发现的可能减少了。从这里攻击时被发现了之后,追查时会找到骇客吗?同样也不行,只能先找到“肉鸡”,再从这里找骇客就困难了。
假如说“肉鸡”做为扫描工具的时候象骇客的一只眼睛,做监听工具的时候象骇客的一只耳朵,那么“肉鸡”实际进攻时就是骇客的一只手。骇客借助“肉鸡”这个内应来听来看,来攻击,而“肉鸡”成为了提线木偶,举手投足都被人从选程看不到的地方控制着。
防御方法
也是需要对电脑进行严密的监控。请参考前面的内容。
2.3 DDoS攻击傀儡
关于骇客利用“肉鸡”进行DDoS攻击的手段就不再赘述了,详见IBM DeveloperWorks曾刊登的文章《分布式拒绝服务攻击(DDoS)原理及防范》
2.4端口跳转攻击平台
原理介绍
这种攻击方式一般是用来对付防火墙的访问限制的。在很多网络中都使用了防火墙对外封闭一些危险的端口(这种防御又是向外的),这里骇客就能够在内部已有“肉鸡”的提前下,让“肉鸡”去访问这些端口,注意这时不经过防火墙是不会被阻挡的,而骇客从一个不被防火墙限制的端口去访问“肉鸡”。在进行这种攻击之前,骇客会在“肉鸡”上进行配置,利用特别的软件把骇客对“肉鸡”的访问发送到目标电脑上,端口也会变成那个危险端口,这样骇客就绕过防火墙直接对目标电脑的危险端口进行攻击了。
只用文字描述比较抽象,我们来看一个例子。
这是个我们在实际的安全响应中的处理过程,这里骇客使用了组合式的攻击手段,其中包括对Windows服务器常见的139端口攻击,对Solaris系统的溢出攻击,攻击前的信息收集,更有2.4要里着重介绍的端口跳转攻击的方式。
图三(A) 网络初始结构
如图三A,客户方的系统管理员发现一台Windows2000服务器的行为异常后,马上切断了这台服务器的网络连接并向我们报告,这是当时的网络拓扑结构。经过仔细的诊断,我们推断出骇客是利用了这台服务器的139端口漏洞,从远程利用nbtdump、口令猜测工具、Windows net命令等取得了这台服务器的控制权,并安装了BO 2000木马。但客户的系统管理员立即否定我们的判断:"虽然这台服务器的139端口没有关闭,但我已在防火墙上配置了规则,使外部电脑不能访问这台服务器的139端口。"又是个只防范外部攻击的手段!难道大家都对内部攻击占70%以上的比率视而不见吗?但是这里的路由器日志显示,骇客确实是从外部向这台服务器的木马端口进行连接的。难道骇客用了我们还不了解的新的攻击手段?
我们于是继续汇总分析各方面的数据,客户管理员也配合我们进行检查。在检查网络上的其他主机时,我们发现内部网中有一台SUN工作站的网卡上绑定了3个IP地址,其中一个IP地址和被攻击Windows服务器是个网段的!这立即引起了我们的注意。客户管理员解释说这是一台Solaris Sparc机器,经常用来做一些测试,有时也会接入服务器网段,所以配了一个该网段的地址。而且就在一个多星期前,这台SUN工作站还放在服务器网段。这就很可疑了,我们立即对他进行了检查,果然这台SUN工作站已被占领了,因为主要用途是测试,客户管理员并没有对他进行安全加强,攻破他是易如反掌的事情。在他上面发现了大量的扫描、监听和日志清除工具,另外更有我们意料之中的端口跳转工具 - netcat,简称nc。
图三B “肉鸡”跳板主板被临时放置在目标服务器的同一网段
至此问题就比较清楚了:骇客首先占领了这台毫不设防的SUN机,然后上载nc,配置端口跳转,攻击Windows 2000服务器的139端口,并且成功地拿下了他。还原当时的网络拓扑图应该是这样的,如图三B。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
