网络欺骗方法及攻防实例

  诱敌深入是一门很适用的战术，古今中外，很多军事家、政治家、企业家都对这个战术津津有味，在网络攻防中也不破例，系统管理员也会用到如许的战术。由于每个网络系统都有安全方面的弱点，如果它的代价很高的话，这些弱点就有大概被入侵者使用。通常，人们会主动去弥补这些毛病或者缺陷，如果系统管理员有一手的话，完全可以使入侵者相信系统存在安全缺陷，并将其引向这些错误的资源，也便是“诱敌深入”。固然，也需要在“知己知彼”的底子上才气“势如破竹”。管理员还可以跟踪入侵者的举动，在入侵者之前修补系统大概存在的安全毛病。这可以抽象地比喻为“牵着牛鼻子走路”。
  一、网络诱骗方法探幽
  网络管理员和入侵者在工作上永远是不相容的两个派别，至于工作之外是什么角色就欠好说了。理论历程中，我们可以用逆向的头脑来猜测入侵者的打击技艺和意图，牵着他的“牛鼻子”，按照我们给他设计好的意志进行选择，而且逐步斲丧他的资源。如许，就会使入侵者感到要到达期望的目标照旧具有一定挑战性的。一般来说，网络诱骗的方法可以从以下几个方面来思量。
  1、诱饵：Honey Pot和漫衍式Honey Pot
  最早接纳的网络诱骗是Honey Pot技艺，Honey Pot就像一个诱饵，它将少量的有吸引力的目标（即Honey Pot）放在让入侵者很容易发明的地方，使之落入骗局。此中接纳的技艺手段很多，通常包括安插错误信息和隐蔽等。前者包括重定向路由、伪造假信息和设置骗局，后者包括隐蔽服务、多路径和维护安全形态信息秘密性。如许就可以使入侵者将技艺、精神会合到Honey Pot而不是其他真正有代价的正常系统和资源中，因而这个诱饵必需做的只管即便“鲜味、适口”。
  尽管Honey Pot技艺可以敏捷切换，但是，对稍初级的网络入侵，Honey Pot技艺就作用甚微了。因而，漫衍式Honey Pot技艺便应运而生，它将诱骗（Honey Pot）散布在网络的正常系统和资源中，使用闲置的服务端口来充当诱骗，从而增大了入侵者遭遇诱骗的大概性。漫衍式Honey Pot技艺有两个直接的效果，起首是将诱骗漫衍到更广范围的IP地址和端口空间中，其次是增大了诱骗在整个网络中的百分比，使得诱骗比安全弱点被入侵者扫描器发明的大概性增大。
  漫衍式Honey Pot技艺也不是十全十美的，它的局限性表现在三个方面：一是它对穷尽整个空间搜刮的网络扫描无效；二是只提供了相对较低的诱骗质量；三是只相对使整个搜刮空间的安全弱点减少。而且，这种技艺的一个更为严重的缺陷是它只对长途扫描有效。如果入侵已经部分进入到网络系统中，处于观察（如嗅探）而非主动扫描阶段时，真正的网络服务对入侵者已经通明，那么这种诱骗将得到作用。
  2、真假“李逵”：空间诱骗技艺
  计算机系统具有多宿主本领（multi－homed capability），便是在只有一块以太网卡的计算机上能实现具有众多IP地址的主机，现实上，现在已有研究机构能将凌驾4000个IP地址绑定在一台运转Linux的PC上，而且每个IP地址还具有它们自己的MAC地址。这项技艺可用于创建添补一大段地址空间的诱骗，且花费极低。诱骗空间技艺便是通过增长搜刮空间来显著地增参加侵者的工作量，从而到达安全防护的目的。如许许很多多差别的诱骗，就可以在一台计算机上实现。当入侵者的扫描器拜访到网络系统的内部路由器并探测到这一诱骗服务时，还可将扫描器全部的网络流量重定向到诱骗上，使得接上去的长途拜访变成这个诱骗的继续。
  从防护的效果上看，将网络服务安排在全部这些IP地址上将毫无疑问地增长了入侵者的工作量，由于他们需要决定哪些服务是真正的，哪些服务是伪造的，特别是如许的4万个以上IP地址都安排了伪造网络服务的系统。而且，在这种情况下，诱骗服务相对更容易被扫描器发明，通过诱使入侵者上当，增长了入侵时间，从而大量斲丧入侵者的资源，使真正的网络服务被探测到的大概性大大减小。
  固然，接纳这种诱骗时网络流量和服务的重定向必需严格失密，由于一旦暴露就将招致攻击，从而导致入侵者很容易将任一已知有效的服务和这种用于测试入侵者的扫描探测及其相应的诱骗区分开来。
  3、用户信息利诱：构造信息诱骗和多重地址转换
  面临网络攻击技艺的不停提高，一种网络诱骗技艺一定不克不及做到总是乐成，必需不停地提高诱骗质量，才气使入侵者难以将合法服务和诱骗区分开来。多重地址转换和构造信息诱骗能有效地利诱敌手。
  如果构造的DNS服务器包罗了个人系统拥有者及其位置的细致信息，那么你就需要在诱骗的DNS列表中具有伪造的拥有者及其位置，不然诱骗很容易被发明。而且，伪造的人和位置也需要有伪造的信息如薪水、预算和个人记录等等。因而，如果某个构造提供有关个人和系统信息的拜访，那么诱骗也必需以某种方法反应出这些信息。
  别的，在信息利诱上，地址的多次转换能将诱骗网络和真实网络分离开来，如许就可使用真实的计算机替换低可信度的诱骗，增长了间接性和隐蔽性。其基本的观点便是重定向署理服务（通过改写署理服务器步伐实现），由署理服务进行地址转换，使雷同的源和目的地址像真实系统那样被维护在诱骗系统中。
  4、网络信息利诱：网络静态配置和网络流量仿真
  真实网络是随时间而改变的，如果诱骗是静态的，那么在入侵者长期监督的情况下就会导致诱骗无效。因而，需要静态配置诱骗网络以模拟正常的网络举动，使诱骗网络也像真实网络那样随时间而改变。为使之有效，诱骗特性也应该能尽大概地反应出真实系统的特性。比方，如果办公室的计算机在下班之后关机，那么诱骗计算机也应该在统一时刻关机。其他的如假期、周末和特殊时刻也必需思量，不然入侵者将很大概发明诱骗。
  孕育产生仿真流量的目的是使流量阐发不克不及检测到诱骗。在诱骗系统中孕育产生仿真流量有两种方法。一种方法是接纳及时方法或重现方法复制真正的网络流量，这使得诱骗系统与真实系统非常相似，由于全部的拜访毗连都被复制了；另有一种方法是从长途孕育产生伪造流量，使入侵者可以发明和使用。
  在诱骗与被诱骗的历程中，对两边的智力磨练要求是很高的。如果在此中某个环节的判断上出了问题，就大概反而陷入别人的骗局。因而，必需对相关的诱骗手法有一定的了解，如许就能在理论操纵中做出正确的判断。上面，我们来看一个“诱敌深入”的攻防理论。
  二、诱骗实例之“诱敌深入”
  相信很多朋侪都晓得，邮件服务器软件Sendmail中有个安全毛病，入侵者如果熟习邮件服务器软件Sendmail，他一定会摸索着攻击。听说只要收到被做过手脚的邮件，邮件服务器设备管理员的权限就有大概被夺取。由于可以通过邮件进行攻击，因而很难用防火墙等防备。尤其是基本上全部版本的Sendmail都受到影响，因而我们决定使用邮件服务器软件Sendmail作为诱饵。在这个实例中，将会使用到上面所先容的一些诱骗技艺。
  1、关于Sendmail的一些知识
  Sendmail作为 Linux、BSD和其他Unix平台的“标配”，被广泛使用。使用Sendmail很紧张的一条是，必需记得随时了解他的站点静态，在http://www.sendmail.org这个网站公布了关于sendmail的一些最新版本和相关信息，http://www.sendmail.org/8.13.0.Alpha0.html是现在的最新测试版本。作为一个相称遍及的软件，再加上众多的相关软件支持，配置Sendmail可以算得上系统管理员的基本技艺之一了。
  Sendmail 重要的配置文件如下：
  /etc/sendmail.cf是Sendmail 核心配置文件；
  /etc/aliases是邮件别名文件；
  /etc/mail/relay-domains用于设定可RELAY的域名；
  /etc/mail/access用来设定处理来信的方法如RELAY等；
  在默许情况下，也便是安装Sendmail服务器不做任何设置的情况下，则只能在本机上收发邮件，网络上其它主机不克不及向该SMTP服务器发送邮件。关于Sendmail的详细安装置置历程，我们可以通过http://www.worldhello.net/doc/email_howto/sendmail.html这个网址得到比较满意的答案。
  2、序幕
  为了给黑客们一个惊喜，我们存心留出了一个DUBUG毛病，张开网后，就等鱼儿上钩了。大概一个多月都没有动静，终于，在我们偶然中心接公布了一些系统的音讯后，发明系统出了非常的日记是在2004年2月14日，大概是由于情人节的落寞想找个地方来发泄，一个黑客发明了我们公布的计算机的毛病，试图得到我们的password文件，因利乘便，我们就给他送了一份人情，很快我们就发明在口令文件 passwd 中增长了一个 UID 为 0 的账号。
  这个黑客非常有耐心，手段也很高超。一切在意料之中，我们在机器的/tmp目录下又发明了一个步伐，而且只要运转这个步伐，就会方便得到用户权限。凭据我们自己掌握的情况，这种方法在网上几乎是最受欢迎的了。不过，对于系统用户来说，活期清算/tmp下的文件是很正常的，因而纵然我们清算这个文件，他也不会感到不测。我们打开在 /tmp 目录下安排 的C源步伐进行了研究：
  <++> backdoor/backdoor2.c
  #include 
  main()
  {
  system("cp /bin/sh /tmp/fid");
  system("chown root.root /tmp/fid");
  system("chmod 4755 /tmp/fid");
  }
  <-->
  很显着，这是一个后门步伐，通过这个步伐可以得到一些关于根用户的相关属性，这对黑客来说是一个安慰，对我们管理员来说，既然要“诱敌深入”做个测试，就一定也存在一定挑战了。而现在我们所要做的，便是引诱一个黑客到一个我们设计好的情况中，记录上去他的全部行动，研究其举动，并提示他的下一个目标作出防备。除了在机器上设置记录日记并隐蔽这些日记，我们还添加了一些虚伪的服务在系统上。由于每天定时孕育产生的日记量非常大，为了有针对地了解攻击动向，我们做了一个script文件用来检索每天的日记。此中，我们重要查抄以下几点：
  Telnet/login服务查抄：如果有黑客试图进入我们的系统，他一定要尝试很多帐户和密码，如许他的一举一动都市被我们记录上去。固然，由于摸索的人比较多，八门五花三教九流，程度太次的人我们是不会给他时机的。然后便是探测Guest / visitor 账号，黑客们第一个寻找的便是公用账号。这些账号提供了友好的、最方便地获取几乎系统的全部文件的时机，包括passwd文件。黑客也可以通过获取/etc/hosts.equiv文件或每个用户的.rhosts文件来得到机器的信任主机列表。
  FTP服务检索：检索的东西会陈诉每天全部注册和试图注册的用户名。我们伪造了一个passwd文件，获取passwd的人通常用它来得到系统的正式用户的注册名称，然后攻击、破解其密码。
  SMTP DEBUG：这个命令提供了两个等待sendmail的毛病的陷阱。虽然几乎全部的产物出售商都清除了这个毛病，但偶然仍有黑客尝试它。这个毛病容许内部的使用者使用一段以root权限执行的script。当有些人尝试这个毛病时，我就得到了他尝试的script代码。
  Finger：Finger提供了大量有效的信息给黑客：账号名，该账号的末了一次使用时间，以及一些可以用来猜测密码的信息。由于我们的构造不容许提供这些信息给别人，我们置入了一个步伐，在finger了fingerd的挪用者后拒绝figner请求。（固然我们会制止对来自自己的finger信息的死循环）。陈诉评释每天无数以十计的finger请求，此中大部分是合法的。很多探测器都使用figner命令来查明挪用的机器和使用者。
  3、比力
  设置好上面的服务以后，由于我们的目标有点暴露，因而被攻击率比较高。但是，当一个长途使用者取走passwd文件时，并不是全部的人都出于恶意的目的。就象我们生存在大千天下一样，每个人的想法不一定雷同。从这些日记所记录的变乱内里，我们可以发明很多人的差别生理，或好心，或好奇，或者出于成就感。为了给黑客一个提示，我们设置了一个主动回信，大抵内容是：
  “如果你到了这个地方，就已经很不错了，如果你希望继续，我们也可以陪你玩玩。如果我们现在正看着你的操纵，觉得怎样？”。 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：