黑客攻防案例精选


81 杰拉德——远程控制与反控制 CHAPTER 04 杰拉德(中场指挥官,控制大师) 远程控制与反控制 CHAPTER 04 球星小档案 姓名:杰拉德 国籍:英格兰(国家队后腰、精神领袖) 身高:186CM 生日:1980年5月23日 球员身价:4000万欧元 最擅长位置:后腰 现效力俱乐部:英格兰超级联赛——利物浦 杰拉德,英格兰国家队中场指挥官。足球比赛的胜负取决于团 队整体组织,团队整体组织又取决于中场控制,杰拉德就是一个杰 出的控制大师,可以很好地控制中场、控制比赛、左右结局。 在网络黑客应用中,控制与反控制也是最为大家关注的焦 点。控制与反控制往往就是那么一线之差、一墙之隔。谁可以首 先取得控制权,谁就可以占领先机。反之,如果被对方反控制, 那么就会显得非常被动。 82 黑客攻防最佳十一人 第一招 UltraVNC轻松遥控远程电脑 足球比赛中最关键的就是“控制与反控 制”,谁控制住了比赛就掌握了最后的输赢。 同理,控制与反控制也是计算机安全领域 中的关键。就像计算机病毒与杀毒软件的关系一 样,控制与反控制在不断上演道高一尺,魔高 一丈的好戏。谁掌握了控制权就掌握了对方的 电脑。下面我们从远程控制说起,电脑远程遥控 软件非常多,这里,我们为大家推荐一款体积小 巧、操作简单的远程控制软件“UltraVNC”,而 且该软件还可以免费使用。 一 、 被 控 端 ( 服 务 器 ) 设 置 安装过程中,需要用户首先选择安装语言为 “Chinese(Simplified)”(简体中文),并同意 协议。在弹出的选定组件对话框中,一定要选择 “中文(简体)安装类型”,勾选需要安装的组件 (建议全部勾选),完成安装。这样才不会影响我 们对软件的设置和使用。 安装完成后,桌面上会出现“Ultr@VNC 服务器”、“Ultr@VNC 查看器”2个图标。 “Ultr@VNC 服务器”即是操控端(遥控端)的 启动图表。我们可以启动该程序,此时我们可以 看见如右上图所示的界面,这里我们可以对控制 端进行基本的设置操作。 一般情况下我们保留软件的默认设置,只 需要在“接受套接字连接”后输入自己的登录密 码。方便客户端通过该密码连接到这台控制端电 脑上。这样可以避免受到其他人的非法控制。到 这里,被控端的设置就完成了。 二 、 控 制 端 ( 客 户 ) 设 置 设置好了服务器端的程序后,我们在控制端 电脑上也同时安装“UltraVNC”软件,这里通 过“开始→程序→UltraVNC→VNC查看器”, 打开VNC查看器(或者是直接点击桌面上的 “Ultr@VNC 查看器”)进入到客户端连接设 置界面。在弹出的“连接”对话框的“VNC服 务器”后面输入需要遥控的计算机名称或者IP地 址,根据连接情况选择下面“快速选项”里面的 连接方式,如图所示,单击“连接”按钮即可开 始连接。 83 杰拉德——远程控制与反控制 CHAPTER 04 如果用户还有其他特殊的操作需要,还可以 点击其界面上的“选项”按钮,进入其详细选项 控制界面进行具体的参数设置。这里建议初次使 用该远程控制软件的朋友保留默认设置。 三 、 实 现 远 程 连 接 设 置 完 毕 点 击 “ 连 接 ” 按 钮 , 此 时 软 件会显示连接的状态窗口,显示“Password Requested”,接着弹出一个VNC验证对话框, 在“连接期间密码”后面填入对方设置的密码, 单击“登录”按钮,就可以成功连接并可以远程 遥控了。 到这里, 你可以在控制端轻松遥控对方的 电脑了,此时我们已经可以看见被控制的电脑桌 面已经显示在了控制端电脑窗口中。 在主界面中,我们可以看到除了可以直接 在桌面上操作对方的电脑外,还可以通过界面 上方的不少按钮实现很多其他的操作功能,比 如“查看连接状态”、“设置选项参数”等。这 里比较常用的是“打开文件传输”和“对谈”功 能,我们可以点击其界面上方的“打开文件传 输”按钮打开文件传输窗口,这里我们在左边窗 口中选择一个需要传送的文件,在右边窗口中定 义一个文件存放地址,设置好后点击“发送”按 钮即可。笔者这里传输了一个“QQ医生.txt”的 文本文件。 同时我们还可以直接与对方电脑进行交谈, 这里点击界面上方的“对谈”按钮,则此时在2 台电脑中都打开了“chat with”对话框,通过这 个对话框我们可以直接在下方输入交谈的文字, 并点击“发送”按钮,则可以实现互连电脑之间 的对话。 84 黑客攻防最佳十一人 在控制界面还可以看到UltraVNC的一些其 他功能,这里不再一一介绍。总的来说,该软件 使用比较简单,不需要用户进行很多设置即可轻 松遥控对方的电脑了,帮助自己的朋友解决电脑 操作上的难题,非常实用。 说到远程控制,大家都不陌生,但是要实 现“随时随地”远程控制,在各种网络环境下都 能实现远程控制,恐怕为数不多,而“网络人 (Netman)”这款软件,可以软件、硬件配合,做 到远程控制随心所欲。网络人最大的特点是可以 穿透内网,只要能上网你即可用网络人控制异地 电脑实施远程办公,极大提高工作效率,使用也 非常简单,是一款不可多得的好工具。 一 、 用 远 程 IP和 密 码 快 速 控 制 1.远程控制基本设置 下载该软件后(http://www.newhua.com/ soft/14811.htm),软件默认会安装在C:\Program Files\Netman 的目录下。如果你没有修改安装目 录,直接打开C:\Program Files\Netman目录,运 行其中netman.exe即可,软件主界面如下图: 第二招 巧用“网络人”随时远程控制 在主界面上,我们可以看到本机IP和控制密 码,对于免费用户而言,默认情况下,该软件是 通过远程电脑的IP地址和随机控制密码来进行远 程连接的。所以,要控制远程计算机,需要知道 远程电脑IP和控制密码。具体操作是: 首先在远端电脑上也安装网络人,同时运行 网络人,查看远端电脑的IP和控制密码。在本机 网络人界面右上角的“远程”界面输入远端电脑 的IP和控制密码,再设置好控制选项,包括远程 控制和文件管理,免费用户不能使用开启视频功 能,设置好后,点击“连接”就可以远程控制远 端电脑了。 上图就是选择“远程控制”方式看到的对方 的电脑屏幕。远程控制连接成功后,你可以像操 作本地电脑一样完全控制对方的电脑,使用起来 非常简单。 85 杰拉德——远程控制与反控制 CHAPTER 04 对于远程电脑,如果是局域网中, 则IP显示相同,只是控制密码不同,比如 笔者测试的时候用的局域网机器,IP都是 125.81.0.169,而只是控制密码有差异,而 控制密码是每次随机生成的。这与通常的局 域网控制软件不同,很多局域网控制需要输 入的是内网IP地址,而网络上输入的则是对 外的公网IP地址。对于不在同一局域网的用 户,同样只需要输入远程电脑的IP和控制密 码即可实现控制。 提示 2.远程控制设置 值得我们注意的是远程控制窗口上方的一 排按钮,这几个按钮就是对电脑控制的多种方式 的具体设置,包括控制鼠标、文字聊天、文件传 输、屏幕录制、黑屏、屏幕拍照等,这些功能选 项是控制后的具体设置项,熟悉这些功能将可以 充分利用好这个软件。具体功能选项如下图。 点击“设置”按钮,这里我们可以设置远程 控制时的画面显示质量,还可以设置是否控制对 方鼠标,是否在屏幕上显示对方鼠标,以及远程 窗口的大小等。 3.文字聊天与文件传输 与远程电脑连接后,如果需要进行远程协 助,还可以进行远程交流,而软件本身就提供了 文字聊天的功能,点击“文件聊天”按钮,在打 开的窗口中可以输入要发送的文字,然后点击 “发送”即可,与聊天软件类似。 远程控制后,经常还会用到的一个功能就是 文件传输,这也是一些小黑客们最喜欢的,拖对方 机器上的文件。具体操作是点击“文件传输”按 钮,将会打开一个文件管理窗口,在上方显示本地 电脑的文件,而在下方则显示远程电脑的文件。 依次展开各级目录,将要拷贝的文件拖动到 上方的本地机器文件夹中即可,这里会显示复制 的进度,而对方电脑上也会显示传输进度,而且 对方可以点击“终止文件传输”按钮来结束文件 传输。 86 黑客攻防最佳十一人 4.让对方控制我 远程协助功能有时不仅仅是一方对另一方的 协助,很多时候是相互的。如果需要对方给你进 行远程演示,怎么办呢?难道还需要重新进行一 次,你当受控制端吗?其实,网络人将这个问题 很好地解决了,只要点击上方的“切换控制”按 钮,即可让对方控制你,非常方便。 除了以上几项功能,网络人还提供了屏 幕录制、让对方黑屏、锁定对方输入以及屏 幕拍照功能,其中前三项需要黄金以上级别 的会员才能使用。屏幕拍照功能则会将远端 电脑的屏幕快照保存在安装目录下,默认是 C:\Program Files\Netman\ScreenPhoto目录中。 提示 二 、 用 会 员 名 和 自 定 义 密 码 连 接 以上这种方式我们需要知道对方的IP和控制 密码,说白了,这种远程控制算是远程协助,因 为什么都是在对方知道的情况下进行的。而且远 端电脑每次重启后其IP和控制密码都会变化,这 就使得我们每次进行远程连接时都要重新输入远 端电脑新的IP和控制密码,有些麻烦。网络人软 件还给我们提供了另一种方式,那就是允许我们 免费注册会员号,并用会员号和自定义的密码进 行远程连接。这样就免去了远端电脑每次重启后 要重设IP、密码的麻烦。 首先点击软件界面上的“免费注册”按钮, 在弹出的会员注册页面中,按照提示我们免费注 册网络人个人版即可,需要注意会员名不要用中 文,这是软件开发者的规定。注册好会员名后, 我们就可以设置网络人以后都用会员方式启动。 具体步骤如下: 在远端电脑上点击软件界面上的“选项”菜 单,选择“会员登录”,在打开的窗口中输入之 前注册的会员ID和密码,第一次登录后,还会提 示你设置控制密码。 接下来在本地电脑上运行网络人,本地电脑 不要用会员名登录。接下来在本机网络人界面右 上角的“远程”输入框中输入注册的用户名和控 制密码,即可进行远程连接了。这里我们可以看 到,远程IP直接用注册的用户名替代了,而自定 义的控制密码以后也会保存到远程计算机,一直 不更改,所以可以直接用会员名和控制密码远程 连接了。 远端电脑上的网络人以会员方式登录的 好处是:它不需要我们知道远端电脑每次重 启后的IP和控制密码,我们可以在任何能上 网的地方安装一个网络人软件,输入之前在 远端电脑上设置好的会员名和自定义密码, 就能随时随地连接远端电脑了。而且只要我 们不修改会员名和自定义密码,不管远端电 脑重启多少次,我们都可以在全球各地随时 进行远程连接、远程控制和远程办公。 提示 87 杰拉德——远程控制与反控制 CHAPTER 04 三 、 网 络 人 电 脑 控 制 器 操 控 远 程 电 脑 上面介绍的两种远程控制方式,其实现 的前提都是远程电脑开启并运行网络人这个软 件,但是,如果电脑没有打开,又该如何实现 呢?如果能控制远程电脑开机,配合这个功能 一起使用,那么将是最完美的方案了。网络人 考虑到这个问题,并在免费提供软件的同时, 推出了配套的硬件——网络人电脑控制器(类 似PCI接口的网卡),当然,这个是需要付费 的。 控制器分为网络人电脑控制器(手机版) 和网络人电脑控制器(电话版),网上的价格 分别是600元和250元。 网络人电脑控制器的实现原理是:它可以插 在远端电脑主板的PCI插槽上,电话版的需要从 电话机上拉一根分线连接到控制器上,手机版的 需要安装一张手机卡在控制器上。通过拨打电话 或手机向控制器发出开机或关机的指令,控制器 启动远端电脑后,网络人远程控制软件就可以随 机启动并自动拨号上网(需事先在远端电脑网络人 软件上设置好开机自动拨号),有了这个硬件以后 就可以在任何地方远程启动并连接远端电脑了。 远程控制一件被很多人认为是黑客做的事, 其实远程控制这项功能的初衷是为了方便管理员 远程管理计算机才设计的,只不过很多人将远程 控制恶意地利用罢了。下面就让我们来使用一款 目前十分流行的远程控制软件WinVNC来感受一 回远程遥控的电脑的快乐吧! 一 、 Win VNC简 介 Wi n V N C 是 V N C ( Vi r t u a l N e t w o r k Computing)众多操作平台版本中的一员,它可 以安装在Windows中,而让使用者在世界各地远 端遥控自己的电脑,就算是遥控不同的操作平台 也没有问题!它使用“客户/服务器”的方式进 行连接,在连接成功之后,能够在两台机器上同 步显示服务端的桌面,在客户端的控制方可以远 第三招 WinVNC远程控制实例 程修改服务器的设置,如进行打开、修改、运行 文件或关闭计算机等操作。 解压缩下载的WinVNC后,可以看到其中 包含“winvnc”及“vncviewer”两个目录。 其中“winvnc”中的是Server的安装程序,可 以安装在远端电脑以提供远端连线的服务。而 “vncviewer”中只有一个客户端的viewer程序, 可以透过这个vncviewer的程序来连上“winvnc” 的Server。 二 、 配 制 服 务 器 因为WinVNC是分为服务器端和客户端的, 所以我们要分别对服务器端和客户端进行配置才 行。首先来看看服务器端的配置,我们首先要在 “密码”项中输入客户端连接时所需密码(不能 88 黑客攻防最佳十一人 为空),接着要根据需要选或不选“禁用远程键 盘与指针器”和“禁用本地键盘和指针器”两 项,如图所示。 这两个选项的使用要注意了,如果服务端是 Windows 20000,客户端为Windows XP机,则此 两项设置均有效;如果服务端是Windows 2000 机,客户端也是Windows 2000机,则远程客户端 禁止有效,本地服务端禁止无效;如果服务端是 Windows XP机,客户端为Windows 2000机,则 此两项设置均无效。 三 、 客 户 端 连 接 客户端的程序名是“Vncviewer”,在客户 端机器中运行程序后,首先要在弹出的对话框中 输入VNC服务器的IP地址。 单击“确定”按钮后,输入设置的服务端连 接密码。 点击“确定”按钮后,很快就会弹出一个窗 口,里面正是服务器端的操作系统桌面。 此时,控制端的用户就可以像使用本机一样 在这个窗口中对服务端进行任何操作了,而所有 操作结果都可以在两机上同步显示出来。 对远程计算机进行控制,通常我们都是使用 现成的软件来完成的。但你想过自己定制一个服 务器端进行远程控制吗?这个服务器端的使用只 能使用你自己知道的密码才能登录,这样既保密 又安全的远程控制功能我们只需使用WinShell就 可以完成了。 一 、 WinShell简 介 WinShell是一个运行在Windows平台上的 第四招 用Winshell定制服务端远程控制 Telnet服务器软件,用它生成的服务器端主程序 仅仅只有5KB左右,因为是可执行程序,所以可 以完全独立执行而不依赖于任何系统动态链接 库,尽管它体积小,功能却不少。支持定制端 口、密码保护、多用户登录、NT服务方式、远 程文件下载、信息自定义及独特的反DDOS等。 二 、 应 用 实 战 WinShell 5.0运行后,就可以根据自己要求 89 杰拉德——远程控制与反控制 CHAPTER 04 配置服务器端了。 我们首先要在“监听端口”项中设置即将生 成的服务器端运行后的端口号,默认为5277。接着 要设置登录服务器端时要的密码,默认为无密码。 连接密码返回值项意为登录winshell时要求 输入密码的提示信息,默认为“Password:”, 可设置为空,即无提示信息。 提示 接着要设置服务器端在系统中以服务方 式运行时的服务名称,默认为“WinShell”。 要 注 意 的 是 , 注 册 表 启 动 名 字 项 是 指 在 Windows 9x系统中安装winshell时,为了在系 统启动后能自动运行,winshell写在注册表路 径HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run处的字符 串名,默认为“WinShell”,其值也为字符串类 型,例如:“c:\windows\winshell.exe”。 在 “ 服 务 列 表 名 称 ” 项 中 选 择 默 认 值 “Windows Shell Service”后,下方的服务描述项 是指显示在NT服务列表中说明服务具体功能的字 符串,默认为“Provide Windows Shell Service”。 接下来点击勾选“自动安装”项后,就可以设置 当winshell运行的时候自动安装了。 设置完毕后,就可以点击“生成”按钮让 Winshell的主程序生成一个压缩过的体积很小的 WinShell服务端了。稍后将自动弹出一个文本 框,从中可以看到生成的服务器端的配置信息。 如果我们查看生成的服务器端文件大小的 话,会发现服务器端程序大小不足6KB。 由于作者设计WinShell的目的是做一个非 常小巧方便的Telnet服务器软件,而不是木马程 序,所以WinShell的进程并没有隐藏。这里要做 的也只是在服务器上运行即可。 在配置完服务器端程序,并在指定计算机中 运行后,就可以使用Telnet命令与远程计算机进 90 黑客攻防最佳十一人 行连接了,命令是:telnet 服务器IP 5277。 在登录后,我们需要在命令行中输入“?” 并回车查看可以操作的命令,通过反馈信息我们 可以得知可以使用如下一些命令: I Install:远程安装功能; r Remove:远程反安装功能,此命令并不终 止winshell的运行; p Path:查看winshell主程序的路径信息; b reBoot:重新启动机器; d shutDown:关闭机器; s Shell:执行后就会看到“C:\>”,这正是 winshell提供的telnet服务功能。 x eXit:退出本次登录会话,注意此命令并 不终止winshell的运行; q Quit:终止WinShell的运行,此命令并不 反安装WinShell; Download: CMD>http://.../srv.exe:意为通过http下载其 他网站上的文件到运行winshell的机器上。 显然,服务器端的制作是十分方便的,而对 系统资源的占用却是很小的,加之操作命令并不 复杂,所以有需要进行远程管理的朋友可以尝试 一下使用WinShell来完成任务了。 在网络应用领域,多点远程控制技术正在 被越来越多的网络管理员们所重视,比方说一位 网络管理员就很可能需要同时对多台计算机进 行管理与监控;网校的一位指导老师同时登录 多位学生的计算机进行实时指导;一个大型超市 的多位管理级别的工作人员会需要同时对一台记 录了监控内容的计算机进行查询。“需求造就了 科技”——同样,这些需求使得极具实用性的多 点远程控制技术得以迅速发展。如果你也想尝试 一下“一台计算机可以同时管理和控制多台计算 机、多台计算机也可以同时管理一台计算机”这 第五招 一台电脑实现“多点”控制 样的“多点”控制,那么不妨使用QuickIP这款 软件来轻松实现。 一 、 QuickIP能 做 什 么 QuickIP是基于TCP/IP协议的计算机远程控 制软件,可运行在Windows的各种平台上,包括 Windows 95/98/Me/NT/2000/XP。使用QuickIP可 以通过局域网、因特网全权控制远程的计算机。 它具有功能强大、使用简单的特点。我们使用该 软件完成如下操作: 91 杰拉德——远程控制与反控制 CHAPTER 04 > Ftp功能,可以上传、下载远程文件,以树 的形式展示远程机所有磁盘驱动器的内容; > 可以对远程屏幕进行录像及对录像文件进 行播放; > 可以控制远程机器的鼠标、键盘,就像操 作本地的计算机一样; > 可以控制远程的录音、放音设备,具备网 络电话功能,在拨号网络上也能达到很好的效 果; > 可以控制远程机器的所有进程、装载模 块、窗口、服务程序; > 可以控制远程计算机机的重新启动、关 机、登录等。 > 特有的Email主机定位功能,使用该功能 在不知道远程机器的IP地址或域名的情况下都能 迅速连接到远程主机。 二 、 设 置 服 务 器 端 因为QuickIP是将服务器端与客户端合并在 一起的,所以无论在哪台计算机中都是一起安装 服务器端和客户端的——这也是实现一台服务器 可以同时被多个客户机控制、一个客户机也可以 同时控制多个服务器的前置条件。 我们首先来配置服务器端,在程序安装完毕 后,在最后一步时请只勾选“立即运行QuickIP 服务器”项继续,如图所示。 为了实现安全的密码验证登录,QuickIP设 定客户端必须知道服务器的登录密码才能进行登 录控制。所以QuickIP服务器端运行前会弹出一 个提示设置密码的提示框,要求我们立即设置一 个密码。 在点击“确定”按钮后,就需要在“新密 码”和“重输新密码”两项的密码框中输入两次 相同的密码后,点击“确认”按钮即可看到密码 已经设定成功。 接下来我们就可以看到QuickIP的服务器管 理窗口了,从右侧的提示信息中可以看到服务器 已成功启动的字样。 OK,对服务器的设置暂时就到这儿,下面 让我们来看看客户端的设置。 三 、 设 置 客 户 端 客户端的设置主要是添加服务器端的操作, 所以相对简单。我们首先要点击工具栏中的“添 92 黑客攻防最佳十一人 加主机”按钮准备添加服务器,在弹出的对话 框中的“主机”项文本框中输入远程计算机的IP 地址,在“端口”和“密码”项右侧的文本框 中输入在服务器端设置的信息后点击“确认” 按钮继续。 稍后就可以在客户端窗口中的“远程主机” 下看到刚刚添加的IP地址了,这代理了一台被控 制的服务器,点击该IP地址后,从其下展开的控 制功能列表中可以看到远程控制的功能是十分丰 富的。 这表示客户端与服务器端的连接已经正常成 功了。下面让我们来看看如何进行远程控制。 四 、 远 程 控 制 实 战 QuickIP的功能非常强大,下面我们只挑几 个比较常见的控制操作进行讲解。 1. 查看远程驱动器 点击“远程磁盘驱动器”项后,就可以看 到远程计算机中的所有驱动器,在尝试点击光驱 (这里为E盘)后,我们可以发现当前光驱中放 的是内容为Windows 2000的光盘,显然QuickIP 对远程计算机的光驱具有很好的控制能力。 2. 远程屏幕控制 点击“远程控制”项下的“屏幕控制”项, 在稍后弹出的窗口中可以看到远程计算机的桌 面,在这个窗口中我们可以通过鼠标和键盘来完 成对远程计算机的控制。从如图所示的界面中可 以看到我们远程打开了“开始”菜单。 3. 查看远程计算机进程 如果远程计算机出现速度忽然缓慢等情况, 那么我们可以通过查看远程计算机进程的功能来 快速诊断远程计算机的问题所在。 4. 远程关机 如果对远程计算机的操作已经结束了,那么 93 杰拉德——远程控制与反控制 CHAPTER 04 为了安全起见就应该关闭远程计算机了。方法是 点击“远程控制”下的“远程关机”项,在弹出 的对话框中点击“是”按钮即可将远程计算机关 闭掉了。 限于篇幅本书无法将该软件的远程控制功能 一一讲述,但通过上述的远程控制应用可以看出 QuickIP的远程控制功能非常强大,确为网管和 有远程控制需求的用户好帮手。 上传下载是一项最基本的网络应用,它可 以很稳定地实现远程计算机与本地计算机之间 的数据传输。在网络安全中,很多黑客是使用 Windows 自带的服务“Tftp”来实现这项操作 的,下面让我们了解一下。 Tftp是“Trivial File Transfer Protocol”的简 称,翻译为简单文件传输协议,它是TCP/IP协 议家族中的一个用来在客户机与服务器之间进 行简单文件传输的协议,虽然功能有点少,但 与FTP相比,它的体积要小得多。由于它采用的 是UDP端口,很容易摆脱防火墙的限制和IP安全 策略对端口的审核,所以经常被黑客在入侵时 使用,作为一名安全人员,我们有必要对它进 行了解。 一 、 安 装 Tftp服 务 虽然现在有不少第三方软件可以用来将一台 机器架设成为Tftp服务器,但实际上微软已经为 用户准备了一个Tftp的小工具,大家完全可以利 用系统自带的Tftp工具。Tftp.exe可以在Windows 2000的“Winnt\system32”目录下找到。 第六招 Tftp实现远程上传下载 首先我们需要使用Windows 2000下的 Resource Kits中的一个工具instsrv.exe工具将Tftp 注册为服务,当然,你也可以用其他的工具来 实现。 instsrv的用法如下。 C:\>instsrv Installs and removes system services from NT INSTSRV (REMOVE) [-a ] [-p ] Install service example: INSTSRV MyService C:\MyDir\DiskService. Exe -OR- INSTSRV MyService C:\mailsrv\mailsrv.exe -a MYDOMAIN\joebob -p foo Remove service example: INSTSRV MyService REMOVE 下面我们来把Tftp注册为服务,假设instsrv. exe命令位于D盘根目录,那么注册服务的命令是 instsrv “Tftp services ” C:\winnt\system32\Tftp. 94 黑客攻防最佳十一人 exe,如图所示。 上述的命令是将Tftp注册为一个名为“Tftp services”的服务,这时只要在命令提示框中输 入“net start Tftp services”即可将Tftp服务启动, 如图所示。 二 、 使 用 Tftp服 务 在使用Tftp服务之前,先让我们来看一下 Tftp服务的帮助,这样才能很好地理解下面在上 传下载数据时使用的命令含义,如图所示。 -I:选项是以二进制模式传送文件,很多 Exploit代码就需要用这种模式来传送。 Host:是开启了Tftp服务的主机,可以是本 地主机也可以是远程主机。 Get:就是到当前运行的目录里面下载; Put:就是把文件上传到了开了Tftp服务的电 脑。 Source:是要上传或者是下载的文件名称。 根据帮助信息,假设我们现在要上传或下载 snmp.zip文件,那么使用命令为: Tftp -i 202-xx.xx.165 get snmp.zip 输入命令并回车后,可以看到一切正常,我 们已下载对方的程序。如图所示。 如果要把snmp.zip文件上传到开了Tftp服务 的主机上,用到的命令是: Tftp -i 202-xx.xx.165 put snmp.zip 这里的202-xx.xx.165代表开启Tftp服务的主 机IP地址。 三 、 防 范 Tftp入 侵 知道了Tftp利用的方法,下面再来看一下如 何防范。 用文本编辑工具打开“%systemroot%\ system32\drivers\etc”目录下的service文件找到 对应的Tftp那一行,将“69/udp”替换成“0/ udp”,保存退出即可,如图所示。 接着再来尝试看看能否使用Tftp了? 软件已 经报 Timeout occurred了。这样,就无法通过命 令行方式下进行Tftp的文件传输了。这也使我们 从侧面保护自己服务器的目的达到了。 95 杰拉德——远程控制与反控制 CHAPTER 04 你想知道办公室的计算机用户此时在做什 么吗?他是不是在进行违反规定的操作呢?他是 不是在进行了非法操作后还会跟你来个死不认账 呢?这一切都不必担心,因为我们可以使用“屏 幕间谍”来完成操作屏幕地抓取。 一 、 屏 幕 间 谍 简 介 “屏幕间谍”可以按照网管的要求在后台运 行,它可以记录键盘击键、打开的网址、文件夹 和运行过的程序。更主要的是它可以定时抓屏, 把指定间隔的屏幕图像保存为图片文件,准确记 录抓图时间,这样就实现了多用户使用的计算 机,即使管理员不在电脑前也能对电脑的使用情 况了如指掌的效果。 二 、 应 用 实 战 运行程序后首先点击左侧导航栏中的“屏幕 截图”按钮,如图所示。 请牢记程序调出热键为“Ctrl + Alt + S”,默认保存的路径为“C:\PROGRAM FILES\SCREEN SPY 2004\Logfiles”。 提示 在弹出的设置界面中,因为要设置定时截图 的时间频率值,所以要点击“参数设置”按钮, 如图所示。 在“Screenshots Options”设置面板中,因默 认的抓取时间频率是10秒抓一个图太短了,所以 建议将该值改为60秒抓一个图。为了更好地完成 对特定窗口的抓图,我们还可以点击勾选“下列 窗口出现时抓取屏幕(多关键字间以半角逗号隔 开)”项来完成对特定窗口的指定,如图所示。 点击“确定”按钮关闭设置对话框后,在 返回主窗口后依次点击右下侧的“运行”和“隐 藏”按钮即可开始指定用户的屏幕监控了。 第七招 巧用屏幕间谍定时抓屏监控 96 黑客攻防最佳十一人 如果为该程序设置密码的话,那么没有 密码的用户将无法启动“屏幕间谍”程序, 这样可以防止自己装的程序被别人调用。 提示 在隔一段时间后,我们就可以使用“Ctrl + Alt + S”键调出程序,在“屏幕截图”设置界面 的列表中可以看到程序每隔一分钟就截了一张 图,如图所示。 如果是使用MSN或是OICQ与网友交流时 被屏幕截图了,那么我们在“活动窗口”列表 中还可以看到“与****聊天”的说明,如图 所示。 而单击任一个截图记录的话,则会弹出一个 缩小后的截图。如果觉得不够清晰的话,则可以 通过程序自带的图片浏览器Spy Viewer 7打开默 认截图保存目录中的截图进行1:1方式的浏览, 如图所示。 显然有了“屏幕间谍”的帮助,我们就可以 放心地完成对系统的监控了。 一般的远程控制软件只能对直接连入Internet 的主机进行控制,而对于那些处于局域网内部通 过主机与Internet连网的计算机就显得无能为力 了。而“灰鸽子”作为国内第一款采用“反弹端 口”技术与客户端进行连接的工具,它的出现正 好解决了这个问题,同时也解决了无法得知主机 动态IP地址的问题,使得局域网内部的计算机也 可以进行远程管理了。 一 、 灰 鸽 子 简 介 灰鸽子作为一款国产优秀的远程控制软 件,它有着很强的远程控制功能,它可以帮助 我们实现以下功能: ①文件管理:模仿Windows 资源管理器,可 以对文件进行:复制、粘贴、删除、重命名、远 程运行等,可以上传下载文件或文件夹,操作简 第八招 灰鸽子对局域网内部远程控制 97 杰拉德——远程控制与反控制 CHAPTER 04 单易用; ②远程控制命令:查看远程系统信息、剪切 板查看、进程管理、窗口管理、外设控制、服务 管理、共享管理、代理服务、MS-Dos模拟、其 他控制; ③ 捕获屏幕:不但可以连接捕获远程电脑 屏幕,还能把本地的鼠标及键盘传动作送到远程 实现实时控制功能; ④注册表模拟器:远程注册表操作就像操作 本地注册表一样方便; ⑤远程通讯:除普通的文字聊天以外,还有 语音聊天的功能(双方ADSL上网情况下语音良 好); ⑥代理服务:可以让服务端开放Socks5代理 服务器功能,还可以让服务端开放FTP功能; ⑦ 命令广播:可以对自动上线主机进行命 令,如关机、重启、打开网页等,点一个按钮就 可以让N台机器同时关机或其他操作! 二 、 生 成 服 务 器 端 “灰鸽子”分为“客户端”和“服务端”两 个部分,它与“冰河”不同的是它的“服务端” 需要在使用前通过“客户端”来配置生成。所以 下面我们要首先开始这个配置操作。 首先在“客户端”主程序窗口中单击“配置 服务程序”按钮,如图所示。 接着选择“连接类型”选项卡,输入URL地 址和网页文件,如图所示。 由于“灰鸽子”采用的是反弹端口技 术,“服务端”主动连接“客户端”,所以 必须设置一个双方都能访问的URL,供“服 务端”把自己的IP地址告诉“客户端”。 提示 此外,除了通过URL将IP地址告诉“客户 端”,还可以通过“E-mail”的形式将IP地址 发到指定的邮箱,供“客户端”主动连接,如 图所示。 其他项按默认设置即可,现在就可以单击 “生成服务器”按钮来生成“服务端”程序。当 服务器程序生成完毕后会弹出提示告之完成,如 图所示。 98 黑客攻防最佳十一人 生成的文件将会是一个以文本文件图标出现 在眼前的exe文件,如图所示。 三 、 查 看 控 制 效 果 将这个程序在要控制的计算机上运行,当这 台计算机与Internet连接或通过局域网中其他计算 机与Internet连接时,就会自动与“客户端”连 接,我们可以看到远程计算机的IP地址已经显示 在了“自动上线主机”下,如图所示。 连接成功后可以在远程主机上执行命令,对 远程主机进行文件管理,上传、下载文件,修改 远程主机的注册表等操作了,如图所示。 显然,如果将灰鸽子用于远程管理的话, 功能将十分强大,可以很好地满足远程管理的需 要。但是如果我们的系统中是被黑客恶意植入灰 鸽子的话,那么该怎么应对呢? 四 、 卸 载 灰 鸽 子 由于“灰鸽子”强大的远程管理功能,加上 “服务端”运行过于隐蔽,使得许多人将它用于 非法控制别人计算机。作为我们读者,有必要了 解如何清除“灰鸽子”的“服务端”。卸载灰鸽 子的操作并不复杂,下面让我们了解一下具体的 操作过程。 1. 禁止灰鸽子服务 灰鸽子服务器端在运行后将会自动在系统服 务中生成一个名为“Hgzserver”的服务,如果我 们将其关闭的话,那么就会中止灰鸽子的运行。 方法是: 在运行栏中输入“Services.msc”命令并回 车后,在打开的“服务”窗口中就可以看到灰鸽 子的服务项了,如图所示。 99 杰拉德——远程控制与反控制 CHAPTER 04 双击该服务项,在弹出的属性对话框中点击 “停止”按钮后,再将“启动类型”设置为“已 禁用”项即可,如图所示。 2. 彻底清除 如果在服务列表中看不到灰鸽子的痕迹, 那么就需要进行手工方式的清除了。由于在 Windows环境下“灰鸽子”的 “服务端”处于 运行状态,无法直接删除,所以必须重启进入纯 DOS状态,然后再删除灰鸽子对应的文件。 接着还需要清除注册表中的相应键值,但 如果“灰鸽子”的“服务端”设置与EXE文件关 联,将会导致注册表编辑器(regedit.exe)无法 启动,所以在删除服务端之前,先要将注册表编 辑器重命名,命令为:“ren c:\windows\regedit. exe regedit.com”。 重启进入Windows,在“运行栏”中输入 “regedit”命令打开注册表后,展开到如下分 支: “HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run” 从 中 找 到 “ 灰 鸽 子 ” 的 启 动 键 值 “Loadwindows”,将其删除即可,如图所示。 3. 解除关联 “灰鸽子”可以设置四种文件关联:EXE文 件关联、TXT文件关联、INI文件关联、INF文件 关联。解除关联方法如下: ①解除EXE文件关联 启动注册表编辑器,找到HKEY_CLASSES_ ROOT\Exefile\shell\Open\Command主键,查看键 值是不是系统默认的“%1%*”,如果被修改, 则改成默认值。 ②解除TXT文件关联 启动注册表编辑器,找到HKEY_CLASSES_ ROOT\Txtfile\Shell\Open\Command主键,其默认 值应该是“C:\windows\Notepad.exe%1”,如果 被修改,则改成默认值。 ③解除INI文件关联 启动注册表编辑器,找到HKEY_CLASSES_ ROOT\Inifile\Shell\Open\Command主键,其默认 值应该是“C:\windows\Notepad.exe%1”,如果 被修改,则改成默认值。 ④ 解除INF文件关联 启动注册表编辑器,找到HKEY_CLASSES_ ROOT\Inffile\Shell\Open\Command主键,其默认 值应该是“C:\windows\Notepad.exe%1”,如果 被修改,则改成默认值。 100 黑客攻防最佳十一人 想过如何监管控制远程服务器、论坛中特定 网页内容的变化吗?这在如今内容监管十分重视 的今天,这是非常有必要的远程控制操作!下面 让我们来通过URLy Warning看如何实现! 一 、 软 件 简 介 这是一款功能强大的网页监控软件,可以 即时了解网页的改变、获知网页改变的具体内 容,使用URLy Warning能够智能地收集商业信 息、监控竞争对手的网站、监控论坛中的新主 题、监控Google的搜索结果、跟踪新闻组发贴情 况、监控blog、获取新的职位信息、获取航运即 时信息等等。 二 、 应 用 实 战 首先以URLy Warning远程监控一个网页的变 化为例,先来看看如何进行操作。运行程序后, 点击主界面中的“添加URL”,如图所示。 在接着弹出的对话框中输入要远程监控 的网站或网页地址,如http://synj.t521.com/ zhiguo/Article.asp?ArtID=139这个网址。首先在 “名称”项中为要监控的网页起个名,然后在 “URL”项中输入网址,在检测时间项中设置检 测网页变化的时间频率。在“报警”部分中设置 “当最少1字添加或删除时”进行报警。设置完 毕后点击“确定”按钮继续,如图所示。 第九招 监控远程服务器信息 接下来既可以手工点击主界面中的“检查所 有”项,也可以让程序自动在设定的时间内自动 检测。两种方式均可以有效监控到远程网页的变 化状态。我们可以在监控列表中看到相应网页的 变化次数,下图中为两次,如图所示。 点击数字就可以在URLy Warning自动保存的 页面中看到该网页的变化信息的原信息和新信息 了,如图所示。 请注意,上图中红色带删除线的文字为原信 息,带绿色背景的文字为新信息。怎么样,操作 很简单吧!就是这样,我们就轻轻松松地实现对 远程特定网址的监控了。 101 杰拉德——远程控制与反控制 CHAPTER 04 将两个可执行程序捆绑成一个程序是当前黑 客惯用的,比方说将用于远程控制的木马等程序 进行捆绑后,就可以在终端用户打开这个捆绑的 EXE可执行文件时,同时打开被暗暗捆绑的木马 程序,采用这种方式的木马一些杀毒软件也无法 查杀。这就为远程控制提供了先决条件,下面让 我们来看看如何进行EXE文件的合并。 一 、 合 并 EXE文 件 本文中使用了Simple Bind进行EXE捆绑测 试,它的使用非常简单,在合并完后还会提示是 否要修改文件图标。 软件下载地址: http://www.fzsky.net/soft/45958.htm Simple Bind的操作界面非常简单,使用时双 击软件压缩包中的Binder.exe执行文件,即可启 动Simple Bind程序,如图所示。 需要合并EXE文件时单击“File 1”选择框 右侧的文件夹图标,在弹出的“打开”对话框中 选择第一个要合并的EXE文件,比如:Drive. exe,单击“打开”按钮,如图所示。 然后单击“File 2”选择框右侧的文件夹图 标,在弹出的对话框中选择第二个要合并的EXE 文件,比如:as.exe。添加完毕后,单击Simple Bind主窗口中的“Bind Files”按钮,即可在 Simple Bind程序所在文件夹中创建一个新的合并 文件“BINDED.exe”,如图所示。 二 、 修 改 合 并 后 的 EXE文 件 的 图 标 当文件合并后,会弹出一个提示对话框,询 问是否为合并后的EXE文件更换图标,单击其中的 “是”按钮,即可弹出修改图标窗口,如图所示。 第十招 用Simple Bind打造远程控制程序 102 黑客攻防最佳十一人 在弹出的窗口中,单击“First step:Choose the new icon”右侧的文件夹图标,从弹出的选 择图标文件对话框中,选择新的图标文件,单击 “打开”按钮,这时在“First step:Choose the new icon”下面的列表框中会显示图标文件中所 包含的图标,从其中选择自己需要的一个,如图 所示。 然后单击窗口中的“Current icon”下面的 “load file”按钮,在弹出的选择要修改图标的 文件,比如刚才创建的“BINDED.exe”,单击 “打开”按钮,最后单击“change the icon”按 钮,即可为合并后的EXE文件更换图标了,如图 所示。 103 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴(球场上的野兽,黑色轰炸机) 网络炸弹与暴力攻击 CHAPTER 05 球星小档案 姓名:德罗巴 国籍:科特迪瓦 (国家队灵魂得分手、黑客轰炸机) 身高:188CM 生日:1978年3月-11日 球员身价:2400万欧元 最擅长位置:前锋、前卫 现效力俱乐部:英格兰超级联赛——切尔西 德罗巴,科特迪瓦国家队头号杀手,英格兰超级联赛切尔西队 的黑色轰炸机。他肤色极黑、速度极快、力量极大,总是使出让对 手想不到的进球方式射门并得分。故而,他又被世界球迷们尊称为 “足球场上的野兽”。 在网络攻击中也有非常多的暴力攻击与恶意绑架。它们也总是 使出我们想不到的方式对网络进行攻击、入侵。但是不用担心,我 们只要掌握了他们的攻击原理和手法,就可以对症下药制约它们。 104 黑客攻防最佳十一人 第一招 常用初级炸弹攻防 足球比赛中的强力前锋总可以在不经意间爆 发射门并完成得分。网络攻防中的炸弹又何尝不 是如此,有很多炸弹实际上就是一些恶作剧的小 玩意儿,这些程序并不会对系统造成什么恶劣的 影响。因此,读者们了解一下就可以了,这样就 可以在遇到类似的情况时不必惊慌失措。 一 、 蓝 屏 炸 弹 电视机会出现蓝屏,电脑也会出现“蓝 屏”。但电脑出现“蓝屏”的机率总是大一些,而 且出现时还会给出一连串的警告,轻者只要按ESC 键就能返回,重者就会出现死机,使人十分烦恼。 普通情况下,出现“蓝屏”无外乎两种情 况,一种是软件引起的,另一种是硬件引起的。 但是,还有一种情况也会出现蓝屏,那么黑客展 开攻击时——对于很多初级黑客来说,让目标电 脑出现蓝屏是一件很不错的事!他们一般会使用 如下几种方法让目标电脑出现蓝屏: 一是使用系统漏洞攻击,让目标电脑因为系 统资源耗尽而出现蓝屏。 二是使用一种恶作剧类的程序,让目标电脑 短时间内蓝屏且无法操作,如图所示。 有兴趣的读者,可以在“http://dl.pconline. com.cn/html_2/1/126/id=2060&pn=0.html”中下载 相关的小程序来娱乐一下。这个小程序可以在伪 造一个蓝屏现象后,于几分钟内自动恢复系统到 正常状态。 三是通过编写炸弹程序,让子窗口弹出成百 上千个,如: 【第1步】首先,运行VB编辑器并打开3 个timer控件,然后Interval属性设得尽量小点, 该属性1000为5秒,这样在几秒内就会弹出上百 个窗口了。 【第2步】接着,输入如下代码: Private Sub Timer1_Timer() Dim a As New Form1 a.Show End Sub Private Sub Timer2_Timer() Shell App.EXEName End Sub 【第3步】为了让程序“尽善尽美”,可 以再添加一个shutdown /r /t 10命令,这样可以让 系统自动弹出倒计时关机的窗口,在10秒内自动 进行重启,如图所示。 【第4步】要实现这个命令的调用,只需 输入如下代码即可: Private Sub Timer3_Timer() 105 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 Shell ("cmd.exe /c shutdown /r /t 2") End Sub 要防范蓝屏炸弹问题,一般可以采取三种方 法,即: 安装具有网页病毒监控的杀毒软件,如卡巴 斯基等。 重新启动至“安全模式”,查看启动项中是 否有程序的加载,如果有则删除掉,如图所示。 加强安全意识,尽量定期使用系统漏洞扫描 程序,自动完成系统的漏洞扫描及修复。 二 、 Ping轰 炸 防 范 Ping命令是一个非常有用的网络命令,这一点 对于网络管理员和黑客来说,都是一样的。网管常 用它来测试网络连通的情况,黑客却常用它来完成 信息的探测或是进行简单的攻击,如图所示。 默认情况下,Ping命令发送的数据包大小为 32byte,但是我们可以通过发送更大的包来实现 变相的攻击。比方说,当使用数台电脑同时向 目标电脑一次性发送的数据包大于或等于65535 时,对方就很有可能网络堵塞。 对于Ping命令的攻击,要进行防范是非常容 易的。比方说,可以通过执行如下操作来拒绝 Ping命令的探测: 【第1步】首先,安装防火墙。如果不想 安装防火墙,那么启动Windows内置的防火墙程 序也可以,如图所示。 【第2步】在启动防火墙后,在如图所示 的“本地连接 属性”窗口中,单击“高级”部 分的“设置”按钮。 【第3步】在打开的“Windows 防火墙” 窗口中,单击“高级”选项卡中“ICMP”部分 的“设置”按钮,如图所示。 106 黑客攻防最佳十一人 【第4步】在弹出的“ICMP设置”对话框 中,清空“允许传入回显请求”项的勾选状态即 可,如图所示。 【第5步】这样,使用Ping命令就无法对 目标电脑进行探测和攻击了,在如图所示中可以 看到-t参数的威力已经消失了。 这里,我们接触到了ICMP的设置。这里 简单做一下解释:ICMP协议是一个非常重要的 协议,它对于网络安全具有极其重要的意义。 ICMP是“Internet Control Message Protocol” (Internet控制消息协议)的缩写。它是TCP/IP协 议族的一个子协议,用于在IP主机、路由器之间 传递控制消息。控制消息是指网络通不通、主机 是否可达、路由是否可用等网络本身的消息。这 些控制消息虽然并不传输用户数据,但是对于用 户数据的传递起着重要的作用。 ICMP协议对于网络安全具有极其重要的意 义。ICMP协议本身的特点决定了它非常容易被 用于攻击网络上的路由器和主机。例如,在1999 年8月海信集团“悬赏”50万元人民币测试防 火墙的过程中,其防火墙遭受到的ICMP攻击达 334050次之多,占整个攻击总数的90%以上!可 见,ICMP的重要性绝不可以忽视! 比如,“Ping -l 65500 -t 192.168.1.20”命 令就利用了操作系统规定的ICMP数据包最大尺 寸不超过64KB这一规定,向主机发起“Ping of Death”攻击。“Ping of Death” 攻击的原理是: 如果ICMP数据包的尺寸超过64KB上限时,主机 就会出现内存分配错误,导致TCP/IP堆栈崩溃, 致使主机死机。 此外,向目标主机长时间、连续、大量地发 送ICMP数据包,也会最终使系统瘫痪。大量的 ICMP数据包会形成“ICMP风暴”,使得目标主 机耗费大量的CPU资源处理,疲于奔命。 三 、 UDP攻 击 UDP(UDP Flood Attack)攻击是导致目标 电脑拒绝服务的一种攻击。UDP 是一种无连接 的协议,而且它不需要用任何程序建立连接来传 输数据。网络中有相当多的UDP攻击程序,比方 说如图所示的“阿拉丁UDP洪水攻击器”就是其 中一款最常被使用的工具。 在程序中输入目标电脑的IP地址后,单击 “一般UDP攻击”或“超强UDP攻击”按钮,就 可以开始攻击了。在发起攻击时,可以在本地连 接的状态窗口中看到“数据发送量”非常迅速, 如图所示。 107 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 当攻击者随机地向受害电脑的端口发送UDP 数据包的时候,就可能发生了UDP 淹没攻击。 当受害电脑接收到一个 UDP 数据包的时候,它 会确定目的端口正在等待中的应用程序。当它发 现该端口中并不存在正在等待的应用程序,它就 会产生一个目的地址无法连接的 ICMP 数据包发 送给该伪造的源地址。如果向受害者计算机端口 发送了足够多的 UDP 数据包的时候,整个系统 就会瘫痪。 四 、 蜗 牛 炸 弹 这是一种分布式攻击的工具,即使攻击已经 结束,在网络上的攻击效应却仍然会持续下去, 直到对方死机为止。蜗牛炸弹有两大功能,一是 测试某个服务器的安全性,另一个是搜索指定IP 段的可用服务器,如图所示。 选择第一个功能,只要填入测试的IP,填好 要测试的次数,选择服务器次数,就能以广播形 式攻击某一台主机。第二种功能,要在搜索选项 里填入起始IP和结束IP地址,才可扫描出这段IP里 可用的服务器数据,然后添加IP地址进行攻击。 谈起“炸弹”,大家的脑海中马上会出现 一种战争场面,而所谓的IP炸弹,危害与炸弹是 一样的,只不过是电子的,具体地说,就是一些 恶意用户利用特殊的数据发送软件,在很短的时 间内连续不断地将大量数据包发送给同一个收信 人,在这些数以千万计的大量数据包面前,接收 的计算机肯定不堪重负,而最终“爆炸身亡”。 下面让我们来对IP Hacker这款炸弹进行初步的了 解,以期能做到“防弹”于未然! 一 、 IP Hacker简 介 IP Hacker是一个集域名转换、主机探测、 第二招 IP炸弹工具IP Hacker 端口扫描和漏洞重现于一体的综合性网络安全工 具,可以检测到Windows 98的IGMP漏洞。但会 导致存在该漏洞主机出现蓝屏现象,所以也是一 个IGMP漏洞攻击工具。 二 、 应 用 实 战 IP Hacker只有一个可执行文件,双击即可运 行。通常黑客在使用IP Hacker的炸弹功能之前, 会使用IP Hacker提供了域名转换功能将指定的域 名转换为IP地址。 单击“首页”列表中的“域名=>IP”按钮, 在“域名”文本框中输入要转换的域名,单击 108 黑客攻防最佳十一人 “转换”按钮,转换后的IP地址将显示在“要测 试的IP地址”栏中。 转换所用的时间取决于用户网速。如果 所转换的域名无法访问或连接速度较慢可能 会出现假死的现象。 提示 为了对目标主机有个更全面的了解,黑客们 还会使用IP Hacker进行指定主机的信息收集。单 击“首页”列表中的“主机信息”按钮,在“要 测试的IP地址”栏中输入测试主机的IP地址,单 击“查询”按钮开始测试。可以测试出主机操作 系统及所提供的服务。 接着黑客们就会使用IP Hacker对存在漏洞的 Windows NT计算机进行攻击了。 在“要测试的IP地址”文本框中输入目 标计算机的IP地址,单击“WinNT”列表下的 “OOB”,单击“测试”按钮开始攻击。 针对IP炸弹的攻击,我们可以采取的防范办 法就是为Windows安装网络安全补丁程序或者安 装一套个人防火墙系统对进出计算机的所有数据 进行分析,这样就可以很好地拦截炸弹攻击,切 断非法连接了。 电子邮件(E-mail)被认为是互联网中使用 率高于搜索引擎的一项服务,小到一句问候,大 到一笔交易,都可以通过电子邮件来完成。下面 让我们来通过亿虎E-mail群发大师来看看邮箱炸 弹都是怎样进行的。 一 、 基 本 应 用 “亿虎E-mail群发大师”支持SMTP中继与 第三招 邮箱炸弹攻防 内置两种服务器,可以采用多线程对多服务器进 行轮流同时发送,一次可以发送多个E-mail地址 列表文件,极大提高了邮件的发送速度。 我们在打开“亿虎E-mail群发大师”后,应 首先单击“增加”按钮添加邮件地址文件。 109 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 接着选择“邮件内容”标签,填写邮件主题 和内容。 可以通过“导入HTML文件”按钮将HTML 网页文件导入到邮件正文。通过“网页预 览”按钮预览导入后的网页文件。 提示 接着选择“服务器”标签,单击“服务器增 加”按钮输入“发件人”信息。 “发件人地址”和“回信地址”可以填不同 的两个邮箱地址。发信成功率取决于设置的“发 件人地址”,如果发信时失败的信件过多,可以 试着更改“发件人地址”。 选择“SMTP内置服务器”,单击“测试” 按钮对后选的“DSN服务器”进行测试以确保该 服务器可用。 执行“发送”菜单的“开始”命令或单击工 具栏上的按钮,开始向“邮件地址”文件中所列 的地址发送邮件。选择“失败成功”标签查看发 送情况。 从列表框右侧的信息,我们可以看出发送已 经成功了。 二 、 高 级 应 用 “邮件地址文件”是以文本方式存放邮件地 址的文件,每一个邮件地址单独占一行。 “亿虎E-mail群发大师”分别向“邮件地 址”文件中列出的邮箱地址各发送一份邮件。如 果“邮件地址”文件中列出这十一个邮件地址 相同,“亿虎E-mail群发大师”就向该地址发送 十一份邮件。 110 黑客攻防最佳十一人 当发送的邮件可以填满邮箱时就会导致该邮 箱无法接受正常的信件,起到与邮箱炸弹相同的 作用。 三 、 邮 件 炸 弹 的 防 范 怎样防范邮件炸弹呢?根据经验我们应懂得 以下几点: > 不要将自己的邮箱地址到处传播,特别是 申请上网账号时ISP送的电子信箱; > 最好用POP3收信,你可以用Outlook 或 Foxmail等POP收信工具收取电子邮件。这样即使 遭遇邮件炸弹,也可以不让本地遭受危险; > 当某人不停炸你信箱时,你可以先打开一 封信,看清对方地址,然后在收件工具的过滤器 中选择不再接收这地址的信,直接从服务器删 除; > 在收信时,一旦看见邮件列表的数量超过 平时正常邮件的数量的若干倍,应当马上停止下 载邮件,然后再从服务器删除炸弹邮件; > 可以用一些工具软件防止邮件炸弹。 QQ作为目前最有名的即时交流工具,它 的人气非常旺盛,当QQ成为网友交流的必备工 具之一的时候,相应的攻击工具也就随之而来 了。下面就让我们来看看这类攻击工具的真面 目吧! 一 、 QQ砸 门 机 简 介 “飘叶千夫指”等工具只能对QQ好友进行 攻击,具有很大的局限性。但“QQ砸门机”却 是针对非QQ好友的一款工具,利用QQ添加好友 需要通过验证的步骤,向指定QQ号发送大量请 求信息。 二 、 软 件 使 用 “QQ砸门机”是一个绿色软件,只有一个 可执行文件。双击即可运行该文件。 第四招 QQ炸弹攻防 “发送内容”列表框中是请求通过验证的 话,每次发送一行。在“发送内容”列表框中单 击鼠标可继续添加内容。通过“设置”栏设置发 送请求的次数和间隔的时间。 111 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 OK,在有了基本的了解后,就可以单击QQ 的“查找”按钮,选择“自定义查找”功能查找 对方的QQ号了。 找到好友后单击“下一步”按钮,准备输入 验证请示。 到这一步时不要输入验证请求,此时应调出 “QQ砸门机”窗口,单击“发送”按钮,将以 “QQ砸门机”中设置的文本内容作为请求内容 发送到对方QQ。 对方QQ将不断接收到验证请求,即使通过 验证加为好友,也会不断收到请求。 三 、 解 决 方 法 虽然QQ炸弹看似可恶,但防范的方法却也 简单。我们可以使用以下两种方法: 1. 修改QQ设置 执行QQ主菜单的“个人设定”命令,选择 “不允许任何人把我列为好友”。 2. 添加好友 由于“QQ砸门机”是通过发送大量验证请 求来攻击目标QQ,所以把攻击者加为好友也是 对付“QQ砸门机”的好方法。 第五招 MSN消息攻击机 MSN Messenger是Microsoft公司出的一款即 时通信软件,是广大IT界人士最常用的即时通信 软件之一。针对MSN Messenger进行攻击的恶意 程序也危害甚多了,让我们来看看如何防范吧! 一 、 应 用 实 战 “MSN消息攻击机” 是一款绿色软件,它 可以对MSN进行洪水消息攻击,短时间内向对方 发送大量消息。它只有一份执行文件。下载后直 接双击即可运行。 首先在“发送次数”文本框中输入消息发送 次数,在“发送消息”文本框输入发送消息的内 容,然后打开MSN消息发送对话框。 112 黑客攻防最佳十一人 接着单击“MSN消息攻击机”的“开始攻 击”按钮,在MSN消息发送对话框中单击鼠标, 等待5秒钟,5秒钟后将自动发送消息。 二 、 防 范 攻 击 因 为 “ M S N 消 息 攻 击 机 ” 只 能 对 M S N Messenger中的联系人进行消息攻击,所以在 MSN Messenger被别人加为联系人并弹出请求验 证时,请选择“阻止此人看到您联机并与您联 系”项。 这样当被阻止的人试图通过MSN发送消息 时,将会弹出错误提示框。 如果是已经加为好友的人向我们发送MSN 消息炸弹,那么只需在MSN Messenger好友框中 选中该好友并点击右键,在弹出的快捷菜单中选 择“阻止”项即可。 IIS的.idq/.ida映射的溢出漏洞已经公布了好 久了,针对它的攻击工具相当多,下面让我们来 看看如何使用“一套”工具来完成对它的攻击与 防范。 一 、 漏 洞 描 述 微软IIS缺省安装情况下带了一个索引服 务器(Index Server,在Windows 2000下名为 “Index Service”)。缺省安装时,IIS支持两 种脚本映射:管理脚本(.ida文件)、Internet数 据查询脚本(.idq文件)。这两种脚本都由一个 第六招 IDQ攻击溢出攻击 ISAPI扩展 idq.dll来处理和解释。 由于idq.dll在处理某些URL请求时存在一个 未经检查的缓冲区,如果攻击者提供一个特殊格 式的URL,就可能引发一个缓冲区溢出。通过精 心构造发送数据,攻击者可以改变程序执行流 程,执行任意代码。成功地利用这个漏洞,攻击 者可以远程获取“Local System”权限。 二 、 入 侵 IDQ漏 洞 IDQ漏洞是先前发现的众多漏洞中的一种。 现在简单介绍一下入侵过程。我们首先要做好如 113 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 下一些准备工作: 需要的系统和工具:Windows 2000。 IDQGUI工具、X-Scan-v2.3扫描器、NC.EXE。 测试环境: 本方法对 Windows 2000主机有效。 首先运行X-Scan-v2.3扫描器,定义IP段, 设置扫描模块和参数后找出具有IDQ漏洞的计算 机。接着运行IDQGUI程序,在出现的窗口中填 好要入侵的主机IP,选取所对应的系统SP补丁, 其他设置不变,取默认状态即可。然后按右上角 的IDQ溢出按钮。 如果不成功的话可以在IDQGUI程序里换 另一个SP补丁栏试试,如果都不行就放弃, 换其他漏洞机器。 提示 如果成功的话,将会直接登录至对方的命令 行中,如果不成功会提示连接错误。在连接成功 在命令行中输入“NC -VV X.X.X.X 813”命令并 回车继续。 在成功后,就可以使用“net user”命令创 建一个属于自己的账户了,当然还可以继续使用 “Net Localgroup”命令将新建的用户加入管理 员队伍中。 三 、 防 范 对 策 临时解决方法:删除.ida/.idq ISAPI脚本映 射。 厂商补丁:微软已经为此发布了一个安全公 告(MS01-033)以及相应补丁程序: http://www.microsoft.com/technet/security/ bulletin/MS01-033.asp 补丁下载: Windows NT 4.0: http://www.microsoft.com/Downloads/Release. asp?ReleaseID=30833 Windows 2000 Professional, Server and Advanced Server: http://www.microsoft.com/Downloads/Release. asp?ReleaseID=30800 Windows 2000 Datacenter Server: Windows 2000 Datacenter Server的补丁因具 体硬件而不同,因此需向原设备制造商索取。 每种方法用不同的工具组合,都会产生不同 的效果。所以成功之余也要多实验练习。这样才 能举一反三,不过切记在不违法的情况下练习。 114 黑客攻防最佳十一人 这是一个缓冲区溢出漏洞。成功利用此漏洞 的攻击者有可能获得对远程计算机的完全控制。这 可能使攻击者能够对服务器随意执行操作,包括更 改网页、重新格式化硬盘或向本地管理员组添加新 的用户。下面来看看如何进行RPC的溢出。 一 、 漏 洞 描 述 Remote Procedure Call (RPC)是Windows操作系 统使用的一种远程过程调用协议,RPC提供进程 间交互通信机制,允许在某台计算机上运行的程 序无缝地在远程系统上执行代码。协议本身源自 OSF RPC协议,但增加了Microsoft特定的扩展。 Microsoft的RPC部分在通过TCP/IP处理信息 交换时存在问题,远程攻击者可以利用这个漏洞 以本地系统权限在系统上执行任意指令。 此漏洞是由于不正确处理畸形消息所致, 漏洞影响使用RPC的DCOM接口。此接口处理由 客户端机器发送给服务器的DCOM对象激活请求 (如UNC路径)。攻击者成功利用此漏洞可以以本 地系统权限执行任意指令。攻击者可以在系统上 执行任意操作,如安装程序、查看或更改、删除 数据或建立系统管理员权限的账户。 要利用这个漏洞,攻击者需要发送特殊形式 的请求到远程机器上的135端口。 严重等级: Windows NT 4.0: 严重 Windows NT 4.0 Terminal Server Edition: 严重 Windows 2000: 严重 Windows XP: 严重 Windows Server 2003: 严重 如何?知道为什么这么火了吧?影响面广不 说,溢出取得权限也是可怕的,SYSTEM权限。 二 、 入 侵 实 战 说了这么多相关知识,下面进入正题,我 们这里讲到的工具是一个名叫rpc的压缩包中全 有。下载网址是 http://81.heibai.net:81/download/show. php?id=3947。 首先来介绍一下压缩包中叫dcomrpc.xpn的 文件,这文件是作为第三方插件对xscan进行rpc 扫描上的扩展的,我们只需要拷贝dcomrpc.xpn到 X-Scan23的plugin目录下即可。拷贝后在“扫描 模块”列表中可以看到此漏洞可以被探测到了。 分布式对象模型 (DCOM) 是一种能够使 软件组件通过网络直接进行通信的协议。 DCOM以前叫做“网络 OLE”,它能够跨越包 括Internet协议(例如 HTTP)在内的多种网络 传输。可以从以下网站查阅有关 DCOM 的详 细信息:http://www.microsoft.com/com/tech/ dcom.asp。 小知识 第七招 RPC溢出工具 115 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 接着再来介绍一下压缩包中的rpc_locator.exe 工具,一个控制台模式下速度超快的rpc漏洞专 扫工具。使用命令格式如下: rpc_locator IPAddress-Start IPAddress-End 命令使用后,立即就可以看到效果。 下面来看看攻击方法,这里使用了cndcom. exe这款RPC 溢出程序,针对几乎所有版本,使 用格式如下: cndcom 对应的类型ID如下: 0Windows 2000 SP0 (English) 1Windows 2000 SP1 (English) 2Windows 2000 SP2 (English) 3Windows 2000 SP3 (English) 4Windows 2000 SP4 (English) 5Windows XP SP0 (English) 6Windows XP SP1 (English) 7Windows NT SP5 (Chinese) 8Windows NT SP6 (Chinese) 9Windows NT SP6 (Chinesebig5) 10 Windows 2000 SP0 (Chinese) 11 Windows 2000 SP1 (Chinese) 12 Windows 2000 SP2 (Chinese) 13 Windows 2000 SP2 add(Chinese) 14 Windows 2000 SP3 (Chinese) 15 Windows 2000 SP3 add(Chinese&big5 sp3) 16 Windows 2000 SP4 (okChinese) 17 Windows 2000 SP4 add(Chinese) 18 Windows XP SP1 (Chinese) 19 Windows 2000 SP0 (Japanese) 20 Windows 2000 SP1 (Japanese) 21 Windows 2000 SP2 (Japanese) 22 Windows 2000 SP0 (Korean) 23 Windows 2000 SP1 (Korean) 24 Windows 2000 SP2 (Korean) 25 Windows 2000 SP0 (MX) 26 Windows 2000 SP1 (Mx) 这里举个例子来说吧,比如要攻击一个IP地 址为127.0.0.1的英文版Windows 2000 SP4操作系 统,输入下图中的命令。 接下来溢出成功后,自然就不用再多说什么 了…… 三 、 防 范 方 法 针对这个漏洞,大家只需安装相应版本的补 丁程序即可,如Windows 2000可以安装Windows 2000-KB823980-x86-CHS.exe这个由微软发布的 补丁,直接双击进行安装即可。 应急的方法则是将防火墙配置为封堵 135 端 口。 RPC over TCP不适合在Internet这样存在着 危险的环境中使用。 提示 116 黑客攻防最佳十一人 AtGuard是一个可以运行在Windows 9X/Me/ NT/2000下的网络防护工具,它早在1998年就被 美国政府计算机新闻杂志编辑评选为“最佳实用 软件”奖。下面就让我们来看看它在安全防护方 面的功能! 一 、 AtGuard魅 力 何 在 那是什么原因让AtGuard倍受大家的宠爱 呢?我们先来看看它的主要功能。 把AtGuard从上面介绍的网址中下载下来。经 过简单的安装程序和重启动机器后。AtGuard默认 会和你的系统同时启动,而且会有一个小图标显 示在系统的托盘区里。并且随着AtGuard的运行, 会在操作界面顶端出现如图所示的快捷栏。 如果将快捷栏的不同框打上钩,AtGuard 便会:自动拦截网页的广告数据流、自动禁止 Cookies、开启atGurad的防火墙功能。 如果要隐藏这个快捷栏,只需用鼠标点 击快捷栏最左侧图标,在弹出的快捷菜单中 选择“隐藏快捷栏”项即可。 提示 当然,AtGuard的特点并不只是这些, AtGuard最大的特点就是给予了我们充分的自定 义性,大家可以按照自己的实际需要来定制出最 具个性的防范措施。 二 、 高 级 应 用 鼠标右击屏幕右下角“系统托盘”中的 AtGuard的小图标,在弹出的快捷菜单中选择 “设置”项即可进入设置界面。下面我们就通过 实例来学习它的强大功能。 1.让烦人的弹出窗口永远消失 AtGuard可以禁止页面中的广告条和弹出窗 口。在设置窗口中可以看出它能够阻止GIF阻止 动画效果、屏蔽页面中的广告条等。 有时候当你打开页面的时候会有子窗口弹 出,这些弹出的窗口大多是一些广告条之类的无 用信息。若是只打开一个还好办些,手工关闭即 可,但一些站点偏偏会弹出N个窗口,让你手忙 脚乱,应接不暇,运气不好的话还会因此而导致 死机和系统崩溃!AtGuard也就集成了去除广告 弹出窗口的功能,可以在上网的时候不被这些弹 第八招 用AtGuard防范攻击 117 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 出窗口打扰兴致。 【第1步】进入“广告拦截”选项卡设置 界面,将看见有关弹出窗口的设置内容。 【第2步】在“活动内容”选项卡设置界 面可以对JavaScript进行设定,一般为了保留网 页丰富多彩的效果,建议大家选择“仅仅拦截 弹出窗口脚本”一项,否则AtGuard会对所有的 JavaScript进行拦截。 【第3步】然而有些站点弹出的窗口中还 是有一部分比较主要的信息,若就此一棍子打死 似乎也不太好,此时就可以对自己经常浏览的 几个站点进行定制。比如我们在进入http://www. sina.com.cn站点时会发现弹出窗口,不妨点击上 图左下角的“添加站点”按钮,在弹出的对话框 中输入网站地址即可。 【第4步】将这个地址键入进去之后就会 看见在左边窗口中多出了一项,选中它之后再将 “仅仅拦截弹出窗口脚本”勾选即可。按照这种 方式,把你常去的站点进行定义,而其他站点可 以在选中“Defaults”之后取消所有的选项,以 保证窗口能够正常弹出。这样既去除了烦人的弹 出窗口,同时也不会因为屏蔽所有站点的弹出窗 口而错过一些有价值的信息了。 另外,在这里还可以选中最下部的“使动画 图像不重复”,此时AtGuard会阻止某些网页采用 循环显示出一连串的图片来表现动画效果,也就 是说在AtGuard的监督下,这种浪费网络资源的 GIF动画表现会变成只显示出一张图的静态画面。 2.定制网络程序— — 腾讯QQ的应用规则 当我们在AtGuard的防火墙功能启用时使 用网络下载软件、浏览工具或者是QQ之类的软 件时,都需要和外界建立连接并发送或者接收 数据,这时AtGuard就会横插一手,给你个警 告窗口。比如我们运行QQ和朋友聊天的时候, AtGuard会立即弹出拦截窗口。 其中提供了应用程序的名称、所使用的端口 号以及对方的IP地址,而且下部还提供了始终禁 止此类连接、始终允许此类连接、禁止此次连接 和允许此次连接四种解决方案。不用多说大家也 应该知道,要是选择了允许此次连接之后,那每 给朋友发送一条信息都要再次进行确认,因此对 于这类合法的连接不妨给它定义一个定义应用规 则,这样就可以一劳永逸,让AtGuard为你看管 好计算机与网络之间的要道了。 【第1步】选择“总是许可这个网络通讯” 项后,AtGuard会将刚才的连接相关信息提供给 你,此时可以直接点击“下一步”按钮继续。 118 黑客攻防最佳十一人 【第2步】接着AtGuard会询问你,规则适 用的程序范围是仅仅针对我们当前使用的QQ, 还是适用于所有的应用程序。此时要选择前者, 不然那些木马程序向外发送信息,或者是非法用 户使用当前端口与你的计算机建立连接就无法识 别了。 【第3步】然后AtGuard还会询问你QQ程 序使用的端口号。在此,QQ使用的是80端口, 而且像Foxmail、NetAnts这样的网络程序所使用 的端口基本上固定的,所以一般选择当前所使用 的端口。不过即使选择了所有的端口也没有关 系,因为AtGuard会对这些端口进行监测,要是 传输的数据请求不是由设定的程序提出,那它就 会毫不留情的进行拦截。 【第4步】继续之后需要确定建立连接的 IP地址了。这里可能会是当前在线好友的IP地 址,同时也提供了所有IP地址的选项,如果选择 前者的话,那么当你给其他人发送信息的时候还 要对他再进行一次设置,所以还是点击“任何地 址”吧。 在对NetAnts、IE等网络软件设置的时候 就必须选择这一项了,不然你每下载一个 软件或者是登录到一个站点的时候就要重 新设置一次IP地址,那将是一件非常麻烦的 事情! 提示 最后给这个规则起一个名称,系统默认的是 当前网络程序的名称,不妨就使用它吧,这样在 日后修改规则的时候会让你省事不少。 另外,还可以点击下部的“通讯与这个规则 匹配……”选框来把每次建立的连接写入记录日 志中,以便需要之时查阅分析。 在设置完毕后,如果想观察和修改定制的网 络应用程序的状况,以后可以在“防火墙”选项 119 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 卡设置界面中进行。 除了上述的几项作用外,AtGuard还有更多 的用途,比如设定过滤网站,限制别人或者小孩 进入一些站点;甚至可以创建一条规则,并将从 0.0.0.0到255.255.255.255的地址范围全部屏蔽, 这样别人在你的计算机上就不能浏览任何网站 了;再者,还可以通过它的警告窗口来获取对方 的IP地址、监测网络连接状况……限于篇幅,不 能对AtGuard的功能作详细介绍,有兴趣的话还 是自己在实际使用中慢慢挖掘吧!但惟一的缺陷 可能是它的设置全部靠你手工来进行。 第九招 拒绝服务攻击与防范 所谓“拒绝服务”(英文全称是“Denial of Service”,简称为DoS,这和DOS操作系统不是 一回事),就是使目标电脑失去正常的工作能 力,黑客并不能控制目标电脑。比方说,让某个 网站无法被访问,这就是拒绝服务的最终目标。 从网络攻击的各种方法和所产生的破坏情况 来看,DoS算是一种既简单又很有效的黑客攻击 方式。因为DoS的目的并不是要控制目标电脑, 而只是要让目标电脑瘫痪,所以任何人都可以进 行DoS攻击。如果攻击方的带宽远远超过目标电 脑的带宽,那么攻击效果将会更加明显。 DoS的攻击方式有很多种,最基本的DoS攻 击就是利用合理的服务请求来占用过多的服务资 源,从而使合法用户无法得到及时的服务响应。 比方说,在先运行命令“Ping 202.194.230.168 -t”后,可以看到如图所示的“Replay from 202.194.230.168 ……”反馈信息。显然,此时目 标电脑的运行一切正常。 接着,使用“land15 202.194.230.168 80” 这个命令进行攻击,在攻击后可以看到Ping命令 的反馈信息突然变成不通状态,即显示信息为 “Request timed out”,如图所示。 “Request timed out”这个信息出来之后, 就说明拒绝服务攻击成功了。现在这样任何人都 无法通过网络再访问目标计算机,实现了黑客阻 断隔离的目的。 一 、 原 理 简 述 我们来看一下DoS攻击的基本过程: 120 黑客攻防最佳十一人 首先,攻击者会向服务器发送众多带有 虚假地址的请求,服务器发送回复信息后等待 确认信息,由于地址是伪造的,所以服务器根 本等不到确认的消息,分配给这次请求的资源 就始终没有被释放。当服务器等待一定的时间 后,连接会因超时而被切断,攻击者会再度传 送新的一批请求,在这种反复发送虚假地址请 求的情况下,服务器资源最终会被耗尽。整个 原理可以参见下图所示。 再来说一下DDoS(分布式拒绝服务),它的 英文全称为“Distributed Denial of Service”,这 是一种基于DoS的特殊形式的拒绝服务攻击,是 一种分布、协作的大规模攻击方式,主要瞄准比 较大的站点,如商业公司,搜索引擎和政府部门 的站点。 通常,DoS攻击只要一台单机和一个modem 就可实现,而DDoS攻击是利用一大批受控制的 计算机向一台目标计算机发起攻击,这种来势迅 猛的攻击令人难以防备,因此具有极大的破坏 性。DDos的原理可以参见下图所示。 大概说明一下: * 攻击者:攻击者所用的计算机是攻击主控 台,可以是网络上的任何一台主机,甚至可以是 一个活动的便携机。攻击者操纵整个攻击过程, 它向主控端发送攻击命令。 * 主控端:主控端是攻击者非法侵入并控制 的一些主机,这些主机还分别控制大量的代理主 机。主控端主机上安装了特定的程序,因此它们 可以接受攻击者发来的特殊指令,并且可以把这 些命令发送到代理主机上。 * 代理端:代理端同样也是攻击者侵入并控 制的一批主机,它们上面运行攻击器程序,接受 和运行主控端发来的命令。代理端主机是攻击的 执行者,真正向受害者主机发送攻击。 随着计算机与网络技术的发展,计算机的处 理能力迅速增长,内存大大增加,这使得DDoS 攻击的困难程度加大了。目标对恶意攻击包的 “消化能力”加强了不少,例如黑客的攻击软件 每秒钟可以发送3,000个攻击包,但目标主机与 网络带宽每秒钟可以处理10,000个攻击包,这样 一来攻击就不会产生什么效果。 在目标计算机被大量执行DDoS攻击时,可 能会产生如下几种现象 * 被攻击主机上有大量等待的TCP连接。 如,原来可以很流畅地打开几十个IE浏览器窗 口,现在只能很困难地打开1~2个后,别的都处 于等待中。 * 网络中充斥着大量的无用的数据包,源地 址为假。如,没有进行任何网络操作,可是交换 机上的数据灯却在狂闪。 * 制造高流量无用数据,造成网络堵塞,使 受害主机无法正常和外界通讯;当对方的攻击极 为猛烈,已经远远超出目标主机的带宽消化能力 时,目标主机将无法进行任何网络操作。 * 利用受害主机提供的服务或传输协议上的 缺陷,反复高速的发出特定的服务请求,使受害 主机无法及时处理所有正常请求。 * 严重时会造成系统死机。 121 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 的确,高速广泛连接的网络给大家带来了方 便,也为DDoS攻击创造了极为有利的条件。在 低速网络时代,黑客占领攻击用的傀儡机时,总 是会优先考虑离目标网络距离近的机器,因为经 过路由器的跳数少,效果好。而现在电信骨干节 点之间的连接都是以G为级别的,大城市之间更 可以达到2.5G的连接,这使得攻击可以从更远的 地方或者其他城市发起,攻击者的傀儡机位置可 以在分布在更大的范围,选择起来更灵活了。 那么,如果和黑客同处相同带宽的网络中, 他的攻击还能有效吗?没错,如果一对一攻击的 话,效果的确不会有什么显著的效果,但是黑客 总会通过种种方法控制多台计算机,形成“多比 一”的攻击局面,这时,目标电脑自然就承受不 了,如图所示。 可能会有读者在问:“为什么黑客不直接 去控制攻击傀儡机,而要从控制傀儡机上转一下 呢?”。这就是导致DDoS攻击难以追查的原因 之一了。做为攻击者的角度来说,肯定不愿意被 捉到,而攻击者使用的傀儡机越多,他实际上提 供给受害者的分析依据就越多。在占领一台机器 后,高水平的攻击者会首先做两件事: 一是考虑如何留好后门。 二是如何清理日志。这就是擦掉脚印,不让 自己做的事被别人知道,如图所示。 比较不敬业的黑客会不管三七二十一把日志 全都删掉,但这样的话网管员发现日志都没了就 会知道有人干了坏事了,顶多无法再从日志发现 是谁干的而已。相反,真正的好手会挑有关自己 的日志项目删掉,让人看不到异常的情况。这样 可以长时间地利用傀儡机。 二 、 目 标 的 确 定 黑客是如何组织一次DDoS攻击的?这可能 是很多读者在思考的事情。这里用“组织”这个 词很值得寻味,在《现代汉语词典》中可以看到 如下的解释: 安排分散的人或事物使其具有一定的系统性 和整体性。 显然,这是对DDoS这次行动的一个较好的 概括。是黑客一手将分散在全球的计算机“组 织”了起来,形成了一个庞大的、有份量的攻击 源。这与入侵一台主机是完全不同的两回事,一 般来说,黑客在组织一次DDoS攻击时,通常会 首先进行目标的情况收集,如被攻击目标主机数 目、地址情况、目标主机的配置、性能、目标的 带宽,等等。 还记得以前我们说过的查询www.sohu.com 网站使用的IP地址列表的方法吗? 【第1步】在任意安装了Windows 2000/ XP/2003的计算机中,在“运行”栏中输入命令 “CMD”。 【第2步】在打开的“命令提示符”窗口 122 黑客攻防最佳十一人 中输入命令“Nslookup”后,在提示符“>”右 侧输入“www.sohu.com”,如图所示。 【第3步】接着,会返回如图所示的信 息。从中可以获得www.sohu.com服务器群的IP地 址列表。 【第4步】没错,这个信息对于组织DDoS 的黑客来说非常重要。而平时,我们根本想不到 这样的一条命令会有人对它抱有极大的兴趣。 如果要进行DDoS攻击的话,应该攻击哪一 个地址呢?使其中一个IP地址瘫掉吗,但其他的 主机还是能向外提供www服务,所以想让别人 访问不到http://www.sohu.com的话,要所有这些 IP地址的机器都瘫掉才行。更何况在实际的应用 中,一个IP地址往往还代表着数台机器呢——网 站维护者通常使用了四层或七层交换机来做负载 均衡,把对一个IP地址的访问以特定的算法分配 到下属的每个主机上去。这时对于DDoS攻击者 来说情况就更复杂了,他面对的任务可能是让几 十台主机的服务都不正常。 所以说事先搜集情报对DDoS攻击者来说是 非常重要的,这关系到使用多少台傀儡机才能达 到效果的问题。简单地考虑一下,在相同的条件 下,攻击同一站点的2台主机需要2台傀儡机的 话,攻击5台主机可能就需要5台以上的傀儡机。 有人说做攻击的傀儡机越多越好,不管你有多少 台主机我都用尽量多的傀儡机来攻就是了,反正 傀儡机超过了目标主机的数量时效果更好。 但在实际过程中,有很多黑客会在不进行情 报的搜集而直接进行DDoS的攻击,这时候攻击 的盲目性就很大了,效果如何也要靠运气。其实 做黑客也像网管员一样,是不能偷懒的。一件事 做得好与坏,态度最重要,水平还在其次。 很多时候,攻击的机会只有一次,甚至是 “0.1”!所以,收集好每一个信息,把握好一 次或更少的攻击机会,可能是黑客成功的极有限 的机会中的关键之处!为了把握好这次机会, 黑客需要计算出攻击目标主机所需要的傀儡机数 量,并慢慢地使用手工或是黑客工具等方法去逐 一占领。对于傀儡机,黑客最感兴趣的是有下列 情况的主机: * 链路状态好的主机 * 性能好的主机 * 安全管理水平差的主机 对于一个DDoS攻击者来说,准备好一定数 量的傀儡机是一个必要的条件——随机地或者是 有针对性地利用扫描器去发现互联网上那些有漏 洞的机器,像程序的溢出漏洞、cgi、Unicode、 ftp、数据库漏洞………这些都是黑客希望看到的 扫描结果。随后就是尝试入侵了,具体的手段就 不在这里多说了,感兴趣的话网上有很多关于这 些内容的文章。 总之黑客现在占领了一些傀儡机了!然后他 做什么呢?这个时候,我想大家都可以猜得到, 黑客会把用于DDoS攻击的程序上载到这些被控 制的傀儡机中。这个上载的方法不管用什么方式 都可以,只要能把攻击程序放上去就可以了。 经过前2个阶段的精心准备之后,黑客就开 始瞄准目标准备发射了。前面的准备做得好的 话,实际攻击过程反而是比较简单的。就像前 面图示里的那样,黑客登录到做为控制台的傀 儡机,向所有的攻击机发出命令:“预备”、 “瞄准”、“开火”。这时候埋伏在攻击机中 的DDoS攻击程序就会响应控制台的命令,一起 123 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 向受害主机以高速度发送大量的数据包,导致它 死机或是无法响应正常的请求。黑客一般会以远 远超出受害方处理能力的速度进行攻击,他们不 会“怜香惜玉”。有经验的黑客攻击者会一边攻 击,一边用各种手段来监视攻击效果,在需要的 时候进行一些调整。简单些就是开个窗口不断地 Ping目标主机,在能接到回应的时候就再加大一 些流量或是再命令更多的傀儡机来加入攻击。 SYN-Flood是目前最流行的DDoS攻击手 段,早先的DoS的手段在向分布式这一阶段发展 的时候也经历了浪里淘沙的过程。SYN-Flood的 攻击效果最好,应该是众黑客不约而同选择它的 原因吧。那么我们一起来看看SYN-Flood的详细 情况。 Syn Flood利用了TCP/IP协议的固有漏洞。面 向连接的TCP三次握手是Syn Flood存在的基础。 在第一步中,客户端向服务端提出连接请 求。这时TCP SYN标志置位。客户端告诉服务 端序列号区域合法,需要检查。客户端在TCP报 头的序列号区中插入自己的ISN。服务端收到该 TCP分段后,在第二步以自己的ISN回应(SYN 标志置位),同时确认收到客户端的第一个TCP 分段(ACK标志置位)。在第三步中,客户端确 认收到服务端的ISN(ACK标志置位)。到此为 止建立完整的TCP连接,开始全双工模式的数据 传输过程。 但是,在DDoS攻击中,这样的三次握手将 不会被完整地进行。假设一个用户向服务器发送 了SYN报文后突然死机或掉线,那么服务器在 发出SYN+ACK应答报文后是无法收到客户端的 ACK报文的(第三次握手无法完成),这种情况 下服务器端一般会重试(再次发送SYN+ACK给 客户端)并等待一段时间后丢弃这个未完成的连 接,这段时间的长度我们称为SYN Timeout,一 般来说这个时间是分钟的数量级(大约为30秒-2 分钟);一个用户出现异常导致服务器的一个线 程等待1分钟并不是什么很大的问题,但如果有 一个恶意的攻击者大量模拟这种情况,服务器端 将为了维护一个非常大的半连接列表而消耗非常 多的资源——数以万计的半连接,即使是简单的 保存并遍历也会消耗非常多的CPU时间和内存, 何况还要不断对这个列表中的IP进行SYN+ACK 的重试。实际上如果服务器的TCP/IP栈不够强 大,最后的结果往往是堆栈溢出崩溃——即使服 务器端的系统足够强大,服务器端也将忙于处 理攻击者伪造的TCP连接请求而无暇理睬客户的 正常请求(毕竟客户端的正常请求比例非常之 小),此时从正常客户的角度看来,服务器失去 响应,这种情况我们称做:服务器端受到了SYN Flood攻击(SYN洪水攻击)。 三 、 常 见 拒 绝 服 务 攻 击 工 具 由于进行拒绝服务攻击显得极为简单,哪怕 是一个只具有最初级电脑使用水平的人,也可以 使用各种傻瓜化的工具小试牛刀。所以,在网络 中经常会有各种水平不等的人,在使用着各种工 具进行了“轰炸”。 1. DDoS Ping 比方说,可以使用DDoS Ping对目标主机进 查询指令式的攻击。具体过程是: 【第1步】首先,运行程序并在“Start IP address”后面填写目标主机IP地址段开始的IP, 在“End IP address”后面填写结束IP地址,如果 是针对单一的主机进行攻击,那这两个IP地址填 写同一个IP地址就可以了。 124 黑客攻防最佳十一人 【第2步】接着,需要设定攻击速度,如 果是对拨号上网的目标主机进行攻击,就让滑块 在“Modem”范围上调整,如果是对局域网当然 得选择“LAN”了。 【第3步】最后,单击“Start”按钮就开 始攻击了。 2. TCP连接轰炸 除了常见的攻击工具外,还有一些拒绝服务 的攻击器是通过建立多个TCP连接到服务器,来 慢慢消耗服务器资源。 这样的攻击有什么效果呢?为了解释这一 点,需要说一下购买网站的时候会看到的一条信 息,比方说如图所示的“支持100个IIS”。 这表示网站瞬间只能接受100个访问连接, 简单地说,就是同一时间里不能超过这个连接 数。当黑客使用大量的TCP连接占用网站的IIS访 问数时,就会导致网站访问受阻。 3. P2P轰炸机 什么是P2P?P2P即“点对点”(Peer to Peer),这是一种新的获取信息的方式,每个人 既是信息的获得者,同时也是信息的提供者,用 户的电脑既是客户端,也是服务器。在2000年3 月,在美国在线AOL工作的Justin Frankel以及另 一名工程师Tom Pepper在网络上发布了全世界第 一个P2P架构的档案交换软件Gnutella的原始码。 P2P让每个使用P2P软件的人都能变成了 Server,任何人只要有电脑并且连上网,可以在 自己电脑中摆放任何软件给其他人下载。高度的 开放性必然会带来一些负面因素,这就是安全问 题。如今的P2P的安全已经引起各方的关注,目 前已经出现了一些P2P方面的攻击工具。 这个工具的原理很简单,Post数据连接后, 会发送畸形的Post请求,这样就可以使对方崩 溃。但是,有很多P2P的包过滤功能都不错,所 以成功率一般不会太高。比方说,在填写IP地址 和端口后,单击“连接”。如果提示连接成功, 125 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 德罗巴——网络炸弹与暴力攻击 CHAPTER 05 那么单击“开始攻击”按钮就可以达到拒绝服务 的目的。 4. ADSL轰炸 DDoS除了可对大型网站进行攻击外,还可 以对一台服务器或一台个人PC进行简化式的攻 击。ADSL轰炸机就是这样的一款小程序,它的 威力颇为惊人。 在运行“nemesisIv0.5.exe”后,在出现的如 图所示界面中依次单击“管理”→“添加目标” 菜单。 在弹出如图所示的对话框时,输入要轰炸的 目标电脑的IP地址。 在单击“确定”按钮返回程序主界面后,依 次单击“操作”→“开始攻击”菜单,就可以对 目标电脑使用的ADSL进行攻击了。 ADSL轰炸机主要利用Unicode漏洞主机向 目标发起洪水攻击,能使ADSL用户和带宽、专 线在几秒钟之内网速堵塞。在攻击时还可以使用 代理功能、隐藏自己的IP、验证全部主机、复制 IP,漏洞代码、管理肉鸡功能。 四 、 拒 绝 服 务 攻 击 防 御 方 法 由于DDoS攻击具有隐蔽性,因此到目前 为止还没有发现对DDoS攻击行之有效的解决方 法。有人说,不是有专业的防火墙吗?没错!那 个是有效,但是只是在一定程度上有效。雅虎的 防火墙应该是世界级的吧?可是也并不能阻挡大 量黑客的“集团性”攻击。 所以,我们要加强安全防范意识,提高网络 系统的安全性。可采取的安全防御措施主要有以 下几种: 1. 防御措施 * 及早发现系统存在的攻击漏洞,及时安装 系统补丁程序。对一些重要的信息(例如系统配 置信息)建立和完善备份机制。对一些特权账号 (例如管理员账号)的密码设置要谨慎。通过这 样一系列的举措可以把攻击者的可乘之机降低到 最小。 * 在网络管理方面,要经常检查系统的物理 环境,禁止那些不必要的网络服务。建立边界安 全界限,确保输出的包受到正确限制。经常检测 系统配置信息,并注意查看每天的安全日志。 * 利用网络安全设备(例如:防火墙)来加 固网络的安全性,配置好它们的安全规则,过滤 掉所有的可能的伪造数据包。 * 比较好的防御措施就是和网络服务提供商 协调工作,让他们帮助我们实现路由的访问控制 和对带宽总量的限制。 * 当发现自己正在遭受DDoS攻击时,应当 及时采取必要的应付策略,尽可能快的追踪攻击 包,并且要及时联系ISP和有关应急组织,分析 受影响的系统,确定涉及的其他节点,从而阻挡 126 黑客攻防最佳十一人 从已知攻击节点的流量。 * 如果不幸成为潜在的DDoS攻击受害者, 发现我们的计算机被攻击者用做主控端和代理端 时,这时千万不能因为我们的系统暂时没有受到 损害而掉以轻心,这是因为攻击者已发现我们系 统的漏洞,这是一个很大的安全威胁。所以一旦 发现系统中存在DDoS攻击的工具软件要及时把 它清除,以免留下后患。 2. 检测技术 作好上面的防御外,还要有完善的检测体 系,这样才能做到早发现、早解决。大致检测技 术有以下两类: * 根据异常情况分析 当网络的通讯量突然急剧增长,超过平常的 极限值时,这时候一定要提高警惕,检测此时的 通讯;当网站的某一特定服务总是失败时,也要 多加注意;当发现有特大型的ICP和UDP数据包 通过或数据包内容可疑时都要留神。总之,当系 统出现异常情况时,最好分析这些情况,防患于 未然。 * 使用DDoS检测工具 当攻击者想使其攻击阴谋得逞时,他首先要 扫描系统漏洞,目前市面上的一些网络入侵检测 系统,可以杜绝攻击者的扫描行为,如“http:// hshy9.ys168.com/”中提供的“拒绝服务器攻击 检测器”就可以进行简单、有效的检测。 另外,一些扫描器工具可以发现攻击者植入 系统的代理程序,并可以把它从系统中删除。 127 梅西——系统漏洞与网站漏洞攻防 CHAPTER 06 梅西(机会主义者,抢点专家) 系统漏洞与网站漏洞攻防 CHAPTER 06 球星小档案 姓名:梅西 国籍:阿根廷(国家队前锋、球王马拉多纳二世) 身高:169CM 生日:1987年6月24日 球员身价:5500万欧元 最擅长位置:前锋、前卫 现效力俱乐部:西班牙甲级联赛——巴塞罗那 梅西,阿根廷国家队最年轻的球星,被誉为球王马拉多纳的接 班人。作为前锋,他总是可以在对方的禁区中寻觅到杀机,并在对 方的后卫空隙处抢点射门,帮助自己的球队牢牢地掌握住战局。 同理,我们在网络黑客的攻防中,也应该在第一时间抓准网络 漏洞的入口,并在第一时间完成对漏洞的攻击,才能实现入侵。故 而,把握“战机”非常重要。 128 黑客攻防最佳十一人 第一招 系统漏洞基本修复 足球比赛中考验前锋的就是抢点能力,抢 点能力强的前锋总能抓住攻击的瞬间最佳时机射 门,帮助自己的球队得分。 在黑客攻防中,系统漏洞的捕捉则和足球原 理基本类似,系统漏洞常被利用,黑客抓住系统 漏洞,再配合其他手段,往往可以控制很多远程 主机,而不仅仅是局域网内的机器。下面将带领 大家来认识系统漏洞,并介绍常见的几种漏洞修 补方法。 一 、 什 么 是 系 统 漏 洞 所谓漏洞,就是存在的缺陷,我们常听说 系统漏洞、浏览器漏洞等,黑客往往都特别喜欢 查找别人电脑的漏洞……由于系统或者各种软件 本身存在着设计方面的缺陷,因此注定漏洞是不 可避免的。各种漏洞被技术高低不等的入侵者利 用,从而实现控制目标主机或造成一些破坏性的 目的。从应用的目的来看,系统漏洞又可以分为 网络安全漏洞和系统安全漏洞两种。系统漏洞主 要是针对本地用户而言的;网络安全漏洞主要是 因提供网络服务而产生,例如,FTP服务可以允 许远程网络用户通过FTP的方式进行数据传输。 但是如果FTP用户名和口令失窃,那么网络服务 器(如利用Windows XP架设的FTP服务器)就会遭 到入侵,甚至是彻底的崩溃——最高权限的FTP 非法用户可以为所欲为地删除任何文件。 补丁正是为漏洞而生的,真正的黑客是发 掘各种漏洞,但是他们并不利用漏洞攻击,而是 给管理员报告,或者自己编写相应的补丁程序, 当然,官方机构也会定期针对存在的漏洞进行修 复,这就是“补丁”产生的一个缘由。比如微软 发布的Windows XP SP3补丁包,以及针对Vista系 统的Windows Vista SP1补丁包。 二 、 使 用 “ Windows update” 打 补 丁 微软操作系统的补丁包除了像SP2、SP3这 样的大型补丁外,如何才能知道微软发布了系统 修复补丁呢,又该如何更新这些补丁? 按照微软公司的惯例,通常会在每月的第 二个星期二发布月度补丁,每月的第二个星期 二也因此被安全专家们称为“补丁星期二”。 当然,特别严重的漏洞补丁可能紧急发布。所 以,每月第二个星期二应重点关注一下微软的 补丁更新。 至于如何查看补丁,很简单,多上资讯网 站,同时充分利用好微软的“Windows update” 自动更新程序即可。 Windows update是微软提供的一个Windows 更新程序,可以自动从微软官方网站下载计算机 安装的软、硬件更新程序,包括最新的驱动程 序、安全修复补丁、关键更新、最新的帮助文 件、微软的Internet产品等等,这样可以让计算机 支持更多的软、硬件,解决各种兼容性问题,排 除各种故障等。下面我们就来实际操作一次。 在Windows XP中,依次打开“开始→所 有程序→Windows Update”,也可以打开IE, 依次选择“工具→Windows Update”,之后系 统会自动打开Internet Explorer去登录微软的更 新中心,如果是第一次访问,IE会提示你安装 ActiveX控件。 129 梅西——系统漏洞与网站漏洞攻防 CHAPTER 06 安装完后,我们可以看到,该页面提供了两 种更新方式让你选择:(1)快速安装: 适用于你 计算机的高优先级更新程序。选择此选项可进行 最快的更新;(2)自定义安装: 适用于你计算机 的高优先级更新程序和可选更新程序。 快速安装方式,你不用自己选择需要更新 哪些程序,你只要根据系统的提示一步步操作即 可,这种方式适合于对系统更新程序不了解的初 级用户;自定义安装: 既能更新你计算机的高优 先级更新程序,也能升级一些可选更新程序。这 种方式是把当前能够更新的所有程序都列出来, 让你自己选择更新哪些程序。这种方式适合于对 系统补丁以及其他更新程序有一定了解的用户。 三 、 轻 松 配 置 自 动 更 新 补 丁 上面介绍的方法可以在每次需要的时候更新 补丁,但是如果对安全不够关心的人,总忘记去 更新补丁程序,有没有好的办法呢? 其实很简单,对于新手和对安全不够关注的 用户,可以使用自动更新,只要你设置好更新时 间,比如每周二中午12点开始更新,那么以后到 了时间就会自动更新。设置好“自动更新”后, 再也不用每天手工检查即可保持操作系统的最 新,每当有新的补丁或者其他更新程序推出时, 系统就会提示你更新。 要实现自动更新,首先以管理员身份或者 管理员组成员身份登录系统,依次单击“开始→ 控制面板→安全中心”,在打开的窗口中点击 “自动更新”,然后在接下来的窗口中勾选第一 项“自动”,并设置好时间,比如每星期二中午 12点开始自动下载更新。当然,这里还可以选择 “下载更新,但是由我来决定什么时候安装”, 或者选择第三项,当有更新时通知你。你只要根 据你的需要进行设置即可。 设置完毕后点击“确定”,并在Windows安 全中心窗口中启用自动更新,否则无效。” 四 、 轻 松 备 份 补 丁 文 件 系统补丁文件每次下载都挺麻烦,安装补丁 130 黑客攻防最佳十一人 后,如果我们重装系统,岂不是又要重新下载并 安装补丁了?有没有好的解决办法呢? 这个问题好解决。不知道大家注意到“番茄 花园安装盘”一类的工具盘没有,这类安装光盘 中本身就集成了很多系统补丁和一些软件补丁程 序,可以在安装系统的时候一并安装,为大家省 了很多麻烦事。 如果没有这类安装盘,也可以自己备份补 丁文件,不过不是手工备份,借助一款小工具 即可,这就是WUtool软件。WUtool能随时更新 最新的补丁程序,并且可以自动保存这些程序文 件。这样一来,以后重装系统就不用担心补丁这 个问题了。 运行该软件,首先需要设置好软件使用什么 语言的界面,使用默认的“英语(美国)”即可, 其他按照提示进行操作即可。接下来WUtool会 自动监视下载文件,并把它们保存到指定的文件 夹中。下载结束后WUtool将把更新程序结果以 列表的形式显示出来。 再更新程序列表,依次点击选择“File→ Install updates→All Enabled”,即可自动安装所有 更新程序。也可以选中要安装的程序,在右键菜 单上选择“Install→Selection”,进行逐一安装。 使用逐一安装时,为了和未安装的程序 区别开,我们可以在已安装的程序上右击, 选择“Disable”将其禁止,从而将安装过的和 没有安装的补丁区别开来。 提示 WUtool除了具有自动更新补丁程序功能 外,其最大的特色还在于它能自动保存下载的 补丁程序文件,这样我们在重装系统时就可 以非常方便地进行离线安装。补丁下载完毕 后,打开安装时设置的补丁保存文件夹,默认 为C:\Documents and Settings\Administrator\My Documents\WUtooL,在该文件夹中有一个 WUtooL_files的文件夹,这里就保存了下载的补 丁程序。只要把该文件夹中的补丁程序备份保存 到其他文件夹,以后就可以一次把所有的补丁程 序都安装完,而不用再一个一个补丁进行更新, 这在我们重新安装系统或者给其他朋友安装系统 时非常有用。 除了通过以上的几种方式修复漏洞外, 我们常用的360安全卫士、超级兔子以及瑞 星卡卡上网助手也提供了漏洞修复功能,大 家可以借助其图形化的操作界面轻松搞定漏 洞修复。 提示 以上为大家讲解了漏洞和补丁的概念,并介 绍了集中漏洞修复的方法,我们既可以借助系统自 带的更新程序来更新补丁,也可以使用第三方工具 来快速下载并修复漏洞,从而杜绝各种安全隐患。 131 梅西——系统漏洞与网站漏洞攻防 CHAPTER 06 “欲擒故纵”的意思是为了更好地控制对 方,故意先放松一步,使其放松警惕。不作防 范,于无知觉中入我圈套。在本招的网络安全应 用中,欲擒故纵中的“擒”和“纵”可以这样理 解,已经知晓远程计算机的安全设置很好,现在 只好换个思路,使用“欲擒故纵”的方法,通过 Word 0Day漏洞避重就轻轻松拿下控制权。 一 、 漏 洞 简 介 办公自动化处理,是我们进行的最常见的 电脑应用。利用电脑,我们可以高效地完成各 种办公应用,如信件的撰写与打印、数据的输 入、统计等。目前,我们使用最多的办公软件就 是Office 2003了。作为微软重量级的办公套件、 Office产品的第11个版本,Office 2003这个版本 已经突破了原先Office单纯的办公应用设计, 而发展成一个全面、集成的办公系统(Office System),意思就是强调这是一个办公系统。 Office套件是微软公司办公产品的统称, 它包括了Word、Excel、Outlook、Access、 PowerPoint在内的5个组件、11个产品,1项服务 等一系列的应用程序与服务。 * 核心平台包含的组件有:Word、Excel、 PowerPoint、Access、Outlook。 * 独立应用软件有:Project、FrontPage、 Publisher、Visio、InfoPath、OneNote。 * 服务器有:Project Server 2003、Office Live Communications Server 2003、Office SharePoint Portal Server 2003、Exchange Server 2003。 * 服务有:Office Live Meeting。 * 解决方案加速器有:Office Solution Accelerators。 由于Office System已经成为一个庞大的巨无 霸,它涉及的功能不仅有本地可以使用的,还有 网络中可以进行的。使用Office System可以在专 业的环境下,轻松自如地完成各种办公应用。在 Office 2003中,Word 2003是目前最优秀的文字 处理软件,它适用于制作各种文档,如信件、传 真、公文、报纸、书刊和简历等。 二 、 漏 洞 攻 击 实 例 剖 析 本例中的Word 0Day漏洞,表现为一个危害 严重的Word文档格式漏洞,一个有漏洞的文件 在被鼠标点击或移动时就会触发病毒发作。此漏 洞在Office Word 2003 SP2及之前的版本中均存 在。下面,让我们来看看如何利用此漏洞。 【第1步】首先,运行Word 0Day漏洞利用 程序,使用此程序可以在doc文件中捆绑任意可执 行文件,当目标打开该doc文件后会执行该可执行 文件。 【第2步】在单击“浏览”按钮弹出的 如图所示窗口中,随便选择一个exe文件以便 测试效果。 第二招 Word 0Day漏洞攻防 132 黑客攻防最佳十一人 【第3步】在单击“打开”按钮返回上一步 后,单击“生成”按钮打开如图所示的窗口,在 这里需要选择一个DOC文件。 【第4步】在单击“保存”按钮出现如图 所示的提示框时,单击“确定”按钮结束木马 的制作。 【第5步】接着,将已经捆绑了木马的doc文 件通过邮件等方式发送给远程计算机的用户,由 于是DOC文件,所以用户一般不会怀疑。在双击 此文档后将会打开它。但是,会立即弹出如图所 示的提示。 目前,如果邮件的附件含有名为NO. 060517.doc、PLANNINGREPORT5-16-2006. doc、PLAN.DOC、FINAL.DOC的文件,请不要 打开它,因为这些邮件中已经含有利用Word 0-day漏洞进行攻击的程序。 提示 【第6步】在单击“取消”按钮后,Word程序 将会发生错误并且会造成Explorer.exe(桌面进程)崩 溃。在这个过程中,会将一个新的、干净的文档来 覆盖掉原来含有漏洞的文档,当用户同意重新启动 后,一个没有问题的文档将取代原有漏洞的文档。 此时,捆绑的程序将会自动执行,如果是运行后就 会消失的木马程序,则用户会毫无察觉中招。 三 、 漏 洞 防 范 对此漏洞,可以使用两种方法来进行防范。 1. 专用工具 执行如下操作,可以使用专用工具对可疑的 DOC文件进行检测。具体的实现过程是: 首先,在“http://www.snort.org/vrt/tools/ officecat.html”中下载“officecat.exe”程序,并 可以看到该工具的使用说明。 133 梅西——系统漏洞与网站漏洞攻防 CHAPTER 06 在下载此工具并解压后,将此命令与要检测 的文件存放到同一个文件夹中,接着在“命令提 示符”窗口中使用“officecat.exe 文件名.doc”的 格式对可疑文件进行检测即可。 如果出现找到可疑问题时,那么这个DOC文 件就不要打开为宜。 2. 安装补丁 微软在此漏洞出现后,已经发布了可以 解决此问题的 MS07-014补丁,我们可以在网 址“http://www.microsoft.com/technet/security/ Bulletin/MS07-014.mspx”中下载适合当前Office 版本使用的补丁并安装它。 在办公自动化应用中,Excel是不可或缺的 一员。利用它可以编辑出形式复杂、功能丰富的 电子表格,并可以完成各种数据运算。在本节 中,将讲解如何对Excel漏洞进行攻防,进而实 现计算机系统的入侵。 一 、 漏 洞 简 介 在 微 软 的 安 全 公 告 中 , E x c e l 漏 洞 称 为 MS08-014。MS08-014漏洞全称为“Microsoft Excel中的漏洞可能允许远程执行代码”,如果 用户打开特制的ExceI文件,这些漏洞可能允许 远程执行代码。成功利用这些漏洞的攻击者可以 完全控制受影响的系统,包括安装程序后门,查 看、更改或删除数据,或者创建拥有完全用户权 限的新账户等。 M S 0 8 - 0 1 4 漏 洞 安 全 更 新 的 等 级 为 “ 严 重”,受此漏洞影响的软件版本包括: *Excel 2000 Service Pack 3 *Excel 2002 SP3 第三招 Excel“远程执行代码”漏洞攻防 * Excel 2003 SP2 *Excel Viewer 2003 * Excel 2007 二 、 入 侵 实 战 解 析 要利用MS08-014漏洞,需要先制作一个特 殊的木马。制作的方法如下: 【第1步】先使用Excel 2000/2003新建一 个Excel表格文件,并在其中输入任意的几行 数据,如图所示。这里假设电子表格文件名为 “test.xls”。 134 黑客攻防最佳十一人 【第2步】至“http://winxppro.ys168. com/”下载MS08-014漏洞利用工具,解压到 “C:\ms08014”文件夹中备用。 【第3步】使用灰鸽子、上兴或Byshell等 木马程序,生成一个木马服务端文件,这里文件 名为“mm.exe”,将此文件和“test.xls”文件复 制到“C:\ms08014”文件夹中。 【第4步】打开“命令提示符”窗口并输 入命令“ms08_014.exe”,随即可以查看到如图 所示的命令使用语法。可以看到漏洞利用工具命 令格式为:ms08_014.exe explfile exefile。这里的 “explfile”参数代表是用于溢出的Excel文件, “exefile”用于指定木马文件名。 【第5步】使用语法帮助,现在需要输入 命令“ms08_014 test.xls mm.exe”,如图所示。 在看到“Generating test.xls exploits filell”的提示 信息时,说明生成溢出文件成功。 在命令执行后,可以看到test.xls文件大小由 原先14KB自动变成了320KB,如图所示。这表 示test.xls文件已经含有木马程序了。 此时,在安装具有08_014漏洞的Excel计算 机中运行创建的test.xls文件,Excel软件会运行, 然后会在不提示出错的情况下自动关闭,此时木 马已经在后台悄悄的运行了。 三 、 防 范 策 略 要 对 E x c e l 漏 洞 进 行 安 全 防 范 , 最 好 的 办法就是登录“http://support.microsoft.com/ kb/943889”下载各个版本的补丁。 其次,再安装卡巴斯基等杀毒软件,通过部 分杀毒软件也可以轻松识别出test.xls文件是一个 恶意程序。 135 梅西——系统漏洞与网站漏洞攻防 CHAPTER 06 从Flash动画出现的那天起,人们就深深地 被漂亮的动画效果吸引了。时至2008年,在闪 亮的动画背面却忽然出现了很严重的安全隐患, 这是怎么回事呢?在本节中,将为读者们剖析 Adobe Flash漏洞攻防知识。 一 、 入 侵 实 战 在CanSecWest 2008 Pwn2Own黑客大赛中, Security Objectives组织的黑客Shane Macaulay利 用Adobe公司的Flash软件中的一个安全漏洞突破 了运行Windows Vista操作系统的富士通U810笔 记本电脑。随即,这个漏洞的利用在互联网上爆 发,相关的漏洞利用程序层出不穷。 要利用这个漏洞,需要依次执行如下操作: 【第1步】使用灰鸽子等木马工具制作出 一个木马服务端,并将其上传到网站空间中,如 图所示。这里假设此木马的访问网址为:http:// bbs.duze.net/test.exe。 【第2步】运行Flash漏洞利用工具,在如 图所示的地址栏中输入“http://bbs.duze.net/test. exe”这个木马服务端的访问网址。 【第3步】单击“Click”按钮生成名为 “Win 9,0,115,0ie.swf”的Flash文件,如图所 示。通常,黑客会将此文件上传到网络空间,并 用其冒充网民经常下载的Flash动画,欺骗网民进 行下载。 【第4步】当使用IE浏览器播放这个SWF 文件时,就会自动访问指定的网址,进而实现木 马程序的植入。 如果黑客没有流量很大的网站,那么Flash 文件一般不会下载量很大,进而可控制的主机也 就很少。要解决这个问题,黑客一般会这样做: 【第1步】选择一个流量较大的论坛并完 成会员的注册,新建一个贴子并单击“插入Flash 动画”按钮。 【第2步】在弹出的如图所示对话框中, 第四招 Adobe Flash漏洞攻防 136 黑客攻防最佳十一人 将准备的SWF文件选中并上传到贴子中。 【第3步】在完成贴子的创建后,论坛中 通常都会有成百上千人来观看,每一次打开贴子 都会导致木马程序的下载,特别是没有安装杀毒 软件的计算机,更是危险重重!此外,如果是一 些“免杀”的木马,那么中马率通过都会高达 70%以上,所以,这个漏洞被称之为2008年度的 最佳漏洞。 二 、 漏 洞 分 析 与 防 范 以往,Flash也曾出现过一些漏洞,但是与 以往的Flash漏洞相比,这一次的Flash漏洞危害 极大,而且根据Adobe公司提供的公告,这一次 有多个Flash出现问题需要修补,它们分别是: *处理Declare Function(V7)标签时存在堆 溢出漏洞; *处理多媒体文件时存在整数溢出漏洞; *在将主机名绑定到IP地址时的错误可能导 致DNS重新绑定攻击; *在发送HTTP头时的错误可能导致绕过跨域 策略文件; *强制跨域策略文件中的错误可能导致在承 载该文件的Web服务器上绕过某些安全限制; *在处理“asfunction”协议时没有正确地验 证对某些参数的输入便将其返回给了用户,这可 能导致在用户浏览器中注入任意HTML和脚本代 码。 简要说来,造成此次漏洞的主要原因是 Flash9.0版本之后使用的一个名为ActionScript Virtual Machine(AVM)的虚拟机功能。这个 虚拟机被用来执行Flash中使用的ActionScript脚 本,但是在执行ActionScript脚本之前,AVM会 先检查脚本是否可信并且合法。因为不可信和未 经过验证的ActionScript脚本可以让FlashPlayer执 行任何代码命令,也就意味着黑客可以构造出任 何攻击性程序。利用这种手段,黑客们通过命令 Flash下载并执行远程程序的脚本,轻松的实现了 跨平台、跨浏览器的Flash漏洞。 虽然此次的Flash漏洞威胁很大,但是防范 方法却也简单:用户可以通过登录Adobe Flash的 官方网站,下载并安装新的Adobe Flash Play的升 级版本即可。 这几年IE出现了一系列的漏洞,其中,IE 0Day漏洞的发生竟然逼得微软不得不在一年半的 时间里第二次紧急发布系统补丁,这使得很多人 都好奇这个漏洞到底危险在哪里,干嘛会这么兴 师动众。在本节中,就将对这个漏洞进行简介并 讲解攻防方法。 第五招 IE7 0day漏洞攻防 一 、 漏 洞 简 介 IE7 0Day的危险不仅仅表现在攻击上的隐蔽 性高,在攻击方面可利用的软件范围和攻击手段 也非常多。在微软网站上可以看到这个漏洞的编 号是“961051”,如图所示。 137 梅西——系统漏洞与网站漏洞攻防 CHAPTER 06 导致该IE7漏洞出现的原因,主要是由于 XML解析字符串SRC片段时导致,由于SRC字符 串当中的r?r非正常字符导致对象分配失败,而失 败后的内存指针没有被释放,继续在利用,当这 个指针被人为指向了一段特殊的堆地址,并且这 段地址被ShellCode覆盖过的话,调用这个指针就 会导致有溢出。 利用IE7 0Day漏洞,黑客可以轻易的构造出 带有攻击性的网页代码,并可以将这个恶意代码 植入任意的网页——所有通过IE内核访问网页的 软件都可以被插入攻击代码,并让没有安装补 丁的用户中招。如傲游、世界之窗、腾讯TT、 Office系统软件、Outlook、某些网游的登录界面 等等。 黑客利用IE7 0Day漏洞最好的方法,就是通 过用户信任的网站进行挂马。因此,使用IE浏览 器访问网站已经成了一个危险的举措了,除非已 经安装了补丁。此漏洞存在于: > Windows Internet Explorer 7 > Windows Internet Explorer 7 for Windows XP > Windows Internet Explorer 7 for Windows Server 2003 > Windows Internet Explorer 7 for Windows Server 2003 IA64 > Windows Internet Explorer 7 in Windows Vista 二 、 漏 洞 利 用 代 码 实 测 在网络中有相当多的安全网站都给出了如下 漏洞利用代码,通过这些代码可以实现IE7 0day 漏洞的攻击。下面,让我们来看看是如何实现这 项入侵任务的: 【第1步】至“http://winxppro.ys168. com/”中下载“IE7 0day漏洞利用代码.txt”, 修改后缀名为.htm,即将文本文件修改为网页文 件。 【第2步】双击这个网页文件后,IE浏览 器会“为了协助保护你的资讯安全性,Internet Explorer已限制这个网页执行指令档或可以存 储你电脑的ActiveX控制项,其他选项请按这 里.......”,如图所示。 从Windows XP开始,这样的提示就屡屡出现 了。比方说,播放Flash动画时就会出现这样的提 示。因此,很多IE用户就会毫不犹豫地单击提示 框,并在弹出的菜单中选择“允许阻止的内容”。 如果不单击提示框并允许阻止的内容运 行,就可以避免下载病毒到本地。 提示 【第3步】允许被封锁的内容后,IE会再 138 黑客攻防最佳十一人 弹出一个安全性警告,点击“是”后,代码就开 始执行了。 【第4步】在单击“是”按钮后,网页文 件将会自动从网络中下载木马程序到当前计算机 中,并使用cmd.exe文件进行木马等恶意程序的 调用。这样,就实现了系统的入侵。 三 、 木 马 的 利 用 利用IE7 0day漏洞可以展开形式多样的攻 击,比方说可以实现如下的“网马”入侵: 【第1步】申请一个免费空间,这个空间 必须支持FTP登录,以便将制作完成的木马程序 上传到网站空间中,假设此木马程序的下载地址 是“http://bbs.duze.net/mm.exe”。 【第2步】下载“IE7 0day漏洞免杀网马生 成器”,并在如图所示对话框的“木马地址”栏 中输入木马网址。 【第3步】单击“生成网马”按钮后,在 弹出的如图所示提示框中单击“OK”按钮。这 个生成的网页在目标机器中只会执行一次,除非 清空IE的缓存,否则不会再执行。 【 第 4 步 】 使 用 F T P 工 具 将 生 成 的 “IE7Wm.htm”文件上传到申请的免费空间中, 如图所示。这样,网马的访问网址就是“http:// bbs.duze.net/IE7Wm.htm”。 【第5步】在安装IE7的计算机中打开一个 IE浏览器窗口,在地址栏中输入网页的访问网址 并按下回车键。随即,网页中将不会出现任何 内容,但是却会执行mm.exe这个木马服务端程 序。如果我们使用的是正常的exe文件,则会弹 出相应的执行窗口。在执行木马程序后,计算机 就会被黑客控制了。 四 、 漏 洞 的 防 范 目前,此漏洞代码已经列入了卡巴斯基等杀 毒软件的查杀范围。显然,只要我们能及时地升 级病毒库,就可以在一定程度上避免遭受此漏洞 的毒害。 当然,最稳妥的办法还是去微软网站下载 相应的补丁包,具体的方法在“http://support. microsoft.com/kb/961051/zh-cn”中都有,这里就 不再细述了。 139 梅西——系统漏洞与网站漏洞攻防 CHAPTER 06 L-BLOG博客系统是一款较为成熟的BLOG 程序,较为丰富的功能使得此程序有着数量可观 的用户群。在本节中,将讲解如何通过此程序的 提权漏洞把自己从博客程序的来访者,转变为博 客程序管理员的方法。 一 、 提 权 漏 洞 实 战 顾名思义,提权漏洞就是提高来访者权限的 漏洞。由于L-BLOG博客程序中某些代码存在对 用户提交的数据过滤不严的漏洞,可以导致黑客 可以向网站中写入恶意数据,从而将自己的账号 提升为管理员,并可能获取服务器的控制权。此 程序入侵的具体过程是: 【第1步】在http://www.google.com中搜索 关键字“Powered by L-BLOG”。由于L-BLOG 博客程序多个版本中都存在严重的漏洞,所 以这里既可以搜索具体的版本,也可以使用 “Powered by L-BLOG”作为关键字。 【第2步】在搜索结果中单击任一个具有 “Powered by L-BLOG”内容的网站名称。 【第3步】在进入网站的首页窗口后,需 要先注册成为一个会员。为此,需要单击网站左 上部分的“注册”按钮。 【第4步】根据提示完成会员的注册并完 成登录后,在程序的主页界面可以看到当前登录 账户1234的控制面板只是普通账户使用的,并不 会有“系统管理”这样具有管理员权限的功能。 【第5步】运行从“http://hshy9.ys168.com” 中下载的WSockExpert_Cn.exe,在单击“打开” 按钮弹出如图所示的窗口后,暂时不要去管它。 第六招 L-BLOG博客提权漏洞攻防 140 黑客攻防最佳十一人 【第6步】在博客程序的主页界面中单击 控制面板里的“修改资料”链接,进入编辑个人 资料页面。 【第7步】在“旧密码”栏中输入注册时 使用的密码后,单击“确定编辑”按钮继续。此 时,切换到WSockExpert界面并单击IEXPLORE. EXE项,在其下选择当前入侵的网站名称。 【 第 8 步 】 在 单 击 “ 打 开 ” 按 钮 返 回 WSockExpert程序的主界面后,此时窗口中不会 出现任何数据。再切换到博客程序的如图所示界 面并单击“点击查看新资料”链接。 【第9步】再次切换到WSockExpert程序的 主界面,即可看到捕获的Cookie了。在这里需要 复制Cookie后面的所有字符。 【第10步】运行从http://hshy9.ys168.com 中下载的L-BLOG提权工具,在“地址”栏中输 入要入侵的网站网址;在“Cookie”栏中粘贴上 一步复制的信息;在“旧密码”栏中输入注册会 员时使用的密码。 【第11步】单击“提交”按钮后会在看到窗 口左下角有“数据提交完毕,请重新登录”这个提 示文字,单击主界面中的“退出登录”链接。 【第12步】在出现退出成功界面时,单击 “点击返回主页”链接继续。 141 梅西——系统漏洞与网站漏洞攻防 CHAPTER 06 【第13步】在出现的主页界面中,再次使 用注册的会员账户和密码完成登录。 【第14步】在出现“登录成功”界面时单 击“点击返回主页”链接继续,当出现博客程序 的主页面时,可以看到“用户中心”中的控制面 板已经是管理员才拥有的面板了,比方说其中有 “系统管理”链接。 【第15步】在单击“系统管理”链接后, 将会出现“请输入管理员密码”页面,在这里需 要输入注册会员时使用的密码。 【第16步】在出现博客程序的后台管理页 面时,单击左侧列表中的“会员管理”项,右侧 窗格中将会出现所有注册会员的列表。其中,第 一个是我们刚刚注册的会员,在“会员身份”中 可以看到已经是“超级管理员”了。 这样,就顺利地完成了提权漏洞的入侵—— 虽然已经成功获得了管理员权限,但是作为安全 爱好者的我们,绝不能沦为安全破坏者。 二 、 漏 洞 分 析 与 防 范 提权漏洞带来的危害是很严重的,所以各大 杀毒软件很快就将其列入了病毒库中。比方说, 卡巴斯基就将L-BLOG程序的提权工具列为黑客 工具,即“HackTool.Win32.Delf.cg”。 要对这个漏洞进行安全防范,需要先对产生 提权漏洞的源代码进行分析——这个提权漏洞是 由Member.asp文件引发的,来看一下代码: 142 黑客攻防最佳十一人 < t a b l e w i d t h = " 7 6 8 " b o r d e r = " 0 " align="center" cellpadding="4" cellspacing="6" background="images/blog_main.gif"> 用户 编辑 143 梅西——系统漏洞与网站漏洞攻防 CHAPTER 06
编辑个人资料
名称: 9xiao
旧密码: * 修改资料必须输入原密 码
新密码: * 密码必须是6-16位
确认密码:
性别:
邮箱: 隐藏邮箱
腾讯QQ:
个人主页:
个人简介: