黑客是如何避开安全设备的

  黑客的聪明并不只是在于他们晓得如何去入侵办事器，还在于他们晓得如何去伪装本身的攻击。歹意的攻击者会使用多种逃避的手段来让本身不会被检测到，以是作为体系办理员，也应当了解这些手段以应付大概产生的攻击。
  这篇文章的重要目标不是揭示黑客新的攻击伎俩，而是对那些黑客所用到的逃避检测的伎俩以及他们大概留下的证据做描述。这些手段的诱骗性很大，以是想检测到它们也更加的困难。
  网络办事器
  我们的实验情况使用两种最常用的网络办事器，Apache和微软的InternetInformationServer(IIS)。我们在RedHatLinux上运转Apache1.3.9,在WindowsNT4.0上运转IIS4.0。并且两种都采用普通和容许SSL的版本，以是我们可以对加密和未加密的办事器的攻击做测试。
  16进制编码
  一种最简单的将攻击伪装的手段就是修改URL请求。作为办理员,我们一般会在日记文件中查找某些字符串，或是一些普通文本的字符集。比方我们在请求中查找匹配已知毛病的字符串。比方，我们在我们的IIS办事器中发明了如下的字符串，我们就晓得有人正在查找是否有IIS中可以长途使用的MDAC毛病：
  06:45:2510.0.2.79GET/msadc/302
  要晓得攻击者是如何躲过这种匹配检测的，请参考以下作为歹意攻击者计谋一部分的请求。要确定msadc目次是否存在，攻击者大概键入以下内容：
  [root@localhost/root]#nc-n10.0.2.5580
  GET/msadcHTTP/1.0
  这就会产生我们以上所见的日记文件。攻击者可以将请求进行十六进制的ASCII字符编码。在以上的例子中，字符串msadc在十六进制编码当前就会变为6D73616463。你可以使用WindowsCharmap程序来快速的进行字符的ASCII到十六进制的转换。以上的HTTP请求，将字符串msadc用十六进制编码当前，就变成了：
  [root@localhost]#nc-n10.0.2.5580
  GET/%6D%73%61%64%63HTTP/1.0
  IIS的日记文件显示：
  07:10:3910.0.2.31GET/msadc/302
  应当细致的是，固然采用了十六进制编码的手段，但是所产生的日记和没有使用十六进制编码的URL产生的是一样的。以是在这个例子里，编码并没有帮助攻击者逃避检测。但是，如果我们看看看Apache的日记情况，那么就是别的一个情况了。以下列出了攻击者使用来搜刮某个CGI剧本的下令，后面随着的是使用十六进制编码当前的异样下令:
  [root@localhost]#nc-n10.0.0.280
  HEAD/cgi-bin/test-cgiHTTP/1.0
  [root@localhost]#nc-n10.0.0.280
  HEAD/%63%67%69-bin/test-%63%67%69HTTP/1.0
  现在我们来检察一下access_log文件：
  10.10.10.10--[18/Oct/2000:08:22:47-0700]"HEAD/cgi-bin/test-cgiHTTP/1.0"2000
  10.10.10.10--[18/Oct/2000:08:23:47-0700]"HEAD/%63%67%69-bin/test-%63%67%69HTTP/1.0"2000
  首先应细致到的是在这两个例子中都是200代码阐明下令完成乐成。但是在第二中情况中，日记中出现的是十六进制的值而不是明文的。如果我们是依赖于情势来对这种攻击进行检测的话，那么我们是不行能检测到所产生的攻击的。很多的入侵检测体系使用的格式匹配技能智能化都不高，并且有些产品不会将十六进制的URL转换事后进行匹配。但是岂论所使用的入侵检测软件是否可以或许对十六进制的代码进行转换，所有的网络办理员都应当对这种伎俩有所了解。
  --------------------------------------------------------------------------------
  署理办事器
  因为对攻击者而言完全隐藏攻击举动是很难做到的，以是掩饰笼罩攻击的真实来源也就成为相称紧张的课题了。如果黑客可以隐藏他的源IP地点的话，那么他就可以在不用担忧被捉住的情况下进行攻击。而黑客用来隐藏他们的源IP地点的一种手段就是使用署理办事器。
  署理办事器是被正当的用来从一个单一的访问点转发多种协议的。一般来说，外部用户必需通过署理办事器才气访问Internet，因而办理员就可以在署理办事器指定外部访问以及外部访问的限制计谋。用户首先是和署理办事器创建毗连，然后署理办事器就将毗连请求转发到真正的目标地点。目标地点会记载下署理办事器的IP地点以作为请求的源地点，而不是最后收回请求的体系的IP地点。
  但是不幸的是署理办事器在Internet上的放置太随意了。(可以检察Proxys-4-All来得到这些错误配置机器的列表。)这些办事器每每会存在配置错误使得Internet用户可以毗连到这些署理办事器上。一旦某个Internet用户通过署理办事器毗连到某个办事器上，该办事器就会将署理办事器的IP地点作为收回请求的源地点记载在日记中。而在被攻击办事器的日记中对攻击者的记载其IP地点是属于一个没有任何攻击举动的“无辜”主机的，而不是攻击者的真正地点。我们来看以下的例子。
  上面的例子显示了黑客的攻击和攻击在日记中产生的相关信息。
  攻击者
  [root@10.1.1.1/]#nc-v10.8.8.880
  HEAD/HTTP/1.0
  日记文件
  10.1.1.1--[18/Oct/2000:03:31:58-0700]"HEAD/HTTP/1.0"2000
  在上面这种情况中，我们看到攻击者达到了异样的目标，但是这次他使用了署理办事器。
  攻击者
  [root@10.1.1.1/]#nc-v216.234.161.8380
  HEAD
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：