知己知彼 2007年网络安全技术发展分析(2)

　　二、探测技术和攻击测试平台的发展　　

　　探测是黑客在攻击开始前必需的情报收集工作，攻击者通过这个过程需要尽可能详细的了解攻击目标安全相关的方方面面信息，以便能够集中火力进行攻击。探测又可以分为三个基本步骤：踩点、扫描和查点。如下表所示：

攻击技术			攻击方法
探测技术	踩点		查询域名、DNS、网络勘察
	扫描	Ping 扫描	ipsweep
		端口扫描	portsweep, resetscan
		操作系统辨识	queso
		漏洞扫描	satan, mscan
	查点		ls, ntinfoscan

　　1、三部曲：踩点、扫描和查点 

　　如果将服务器比作一个大楼，主机入侵信息收集及分析要做的工作就如在大楼中部署若干个摄像头，在大楼发生盗窃事件之后，对摄像头中的影像进行分析，进而为报案和“亡羊补牢”做准备。

　　第一步：踩点。是指攻击者结合各种工具和技巧，以正常合法的途径对攻击目标进行窥探，对其安全情况建立完整的剖析图。在这个步骤中，主要收集的信息包括：各种联系信息，包括名字、邮件地址和电话号码、传真号；IP地址范围；DNS服务器；邮件服务器。对于一般用户来说，如果能够利用互联网中提供的大量信息来源，就能逐渐缩小范围，从而锁定所需了解的目标。几种实用的流行方式有：通过网页搜寻和链接搜索、利用互联网域名注册机构进行Whois查询、利用Traceroute获取网络拓扑结构信息等。

　　第二步：扫描。是攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息的重要技术。扫描技术包括Ping 扫描（确定哪些主机正在活动）、端口扫描（确定有哪些开放服务）、操作系统辨识（确定目标主机的操作系统类型）和安全漏洞扫描（获得目标上存在着哪些可利用的安全漏洞）。Ping扫射可以帮助我们判断哪些系统是存活的。而通过端口扫描可以同目标系统的某个端口来建立连接，从而确定系统目前提供什么样的服务或者哪些端口正处于侦听状态。著名的扫描工具包括nmap，netcat 等，知名的安全漏洞扫描工具包括开源的nessus 及一些商业漏洞扫描产品如ISS 的Scanner 系列产品。另外，在网络环境下，网络扫描技术则是指检测目标系统是否同互联网连接、所提供的网络服务类型等等。通过网络扫描获得的信息有：被扫描系统所运行的TCP/UDP服务；系统体系结构；通过互联网可以访问的IP地址范围；操作系统类型等。

　　第三步：查点。是攻击者常采用的从目标系统中抽取有效账号或导出资源名的技术。通常这种信息是通过主动同目标系统建立连接来获得的，因此这种查询在本质上要比踩点和端口扫描更具有入侵效果。查点技术通常和操作系统有关，所收集的信息包括用户名和组名信息、系统类型信息、路由表信息和SNMP信息等。

　　综观本年度比较热门的攻击事件，可以看到，在寻找攻击目标的过程中，以下手段明显加强：

　　（1）通过视频文件寻找“肉鸡”。在今年，这种方法大有星火燎原之势，攻击者首先要配置木马，然后制作视频木马，如RM木马、WMV木马等，然后通过P2P软件、QQ发送、论坛等渠道进行传播，用户很难察觉。

　　（2）根据漏洞公告寻找“肉鸡”。现在，关于漏洞技术的网站专业性更强，在http://www.milw0rm.com这个网站上，经常会公布一些知名黑客发现的漏洞，从远程攻击、本地攻击到脚本攻击等，描述十分详细。在漏洞补丁没有发布之前，这些攻击说明可能会进一步加大网络安全威胁。

　　（3）利用社会心理学、社会工程学获取目标信息。比如，通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已呈迅速上升甚至滥用的趋势。目前，已经有攻击者通过“溯雪＋社会工程学”的形式破解了263信箱。

　　2、一则安全日记引发的攻击思路分析

　　时间：2007年7月某天晚上

　　地点：某出版社网络管理中心

　　人物：某网络管理员

　　序幕：一个网友突然传来一个网址，让我检测一个数据中心网站的安全性。资料显示，该站点是一个大型虚拟主机系统，支持ASP+PHP+JSP。

　　事件记录：

　　拿过站点地址，没经过任何思考，我利用SuperScan等软件对主机进行了端口扫描，扫描后共发现开了10个端口，重要的有80、110、135、139、3389等，但能够利用的服务不算多。从扫描的80信息显示来看，对方的系统是Windows 2000+IIS5.0，还打开了一个远程桌面管理（开放了3389端口）。 

　　第1步：检查是否有应用程序漏洞。登录3389服务，看看有没有非系统自带的

输入法，因为某些类型的输入法还是有帮助文件和URL的，结果没有任何帮助文件。使用net命令测试后，发现不能顺利与服务器建立空连接，猜测密码口令也没有结果。

　　第2步：现在，比较合理的选择是检测CGI漏洞，使用安全扫描软件后，发现默认的“scripts”、“_vti_bin”等目录以及大量的“ida”、“idq”、“htw”等映像，但是用了许多溢出程序都没有溢出。初步推测，系统打上了SP3补丁。

　　第3步：下面再看看邮件服务软件是否支持expn、vrfy指令。经测试，返回“OK”并枚举出一个100多个用户的详细列表，接着用POP3密码破解软件破密码，自然收获不小了。然后尝试用这些帐号登录ftp服务，终于发现其中有一个用户名为cndes，密码为1234abcd，而且可以登录ftp空间。也就是说，这个用户买了服务器的收费邮箱和收费主页空间，并且邮箱和主页空间的密码设置的是相同的。

　　第4步：计划向主页空间上传两个文件，一个是win.exe，这是一个大小仅有4kb的木马，功能相当强大；另一个是海阳顶端ASP木马。上传完毕，现在就可以查看服务器的详细情况了。顺便查查cndes空间目录在什么位置，并把win.exe的路径记下来。

　　第5步：使用temp.asp进行入侵。为了防止被系统日志记录下来，明智的选择是另外开个没有日志记录的shell，并准备运行另一个win.exe木马。怎么运行它呢，用过Unicode漏洞的人都知道，有了木马在服务器的绝对路径，并且木马所在的目录有脚本可执行权限，我们就能运行它了。看到IE状态区的进度条，表示已经在服务器端运行了程序。现在就可以从刚开的后门进去了。

　　第6步：取得admin权限。由于Administrator帐号更改，现在把一个特殊的cmd.exe（利用exe合并软件把cmd.exe和木马合成一个程序）上传到服务器C盘下并隐藏起来，等待管理员运行cmd.exe时，系统就会多了一个admin权限的帐号，接下来就是用这个帐号来停掉w3svc服务并修改日志，整个过程到此结束。

　　其实，这位黑客是一位受到委托的网络安全专家。通过自己的经验和专业技术，他找到了可能被黑客利用的重大安全隐患。可见，随着网络技术的不断发展，网络攻击者的思路也日趋成熟，在某些方面甚至比网络管理员更专业、更了解对方。在这种程序化的思路中，他们就能够号入座寻找可能存在的对象，并实施有目的性的攻击。

[上一页]　[1]　[2]　[3]　[4]　[5]　[6]　[7]　[下一页]

本文导航:
·2007年网络攻击的发展趋势 ·探测技术和攻击测试平台的发展 ·攻击测试平台的新发展 ·2007年网络攻击和隐藏技术发展趋势		·拒绝服务攻击技术的发展 ·隐藏技术及其新发展 ·实例分析