黑客伪装自己pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范黑客伪装自己

黑客伪装自己


2009/5/21  编辑:佚名 来源:本站整理  关键词:

黑客伪装自己

 

黑客的聪明并不只是就在于他们知道怎么才能去入侵服务器, 还就在于他们知道怎么才能去伪装我自己的攻击。 恶意的攻击者会使用多种逃避的手段来让我自己将不会被检测到, 所以作为系统system管理员, 也应当了解这些手段以应付有可能发生的攻击。

  这篇文章的主要目的不是揭示黑客新的攻击手法, 而是对那些黑客所用到的逃避检测的手法以及他们有可能留下的证据做描述。 这些手段的欺骗性很大, 所以想检测到它们也愈加的困难。

  网络net服务器

  我们我自己的实验环境使用两种最常用的网络net服务器, Apache和微软的InternetInformationServer(IIS)。 我们我自己就在RedHatLinux上运行Apache1.3.9,就在WindowsNT4.0上运行IIS4.0。 并且两种都采用普通和允许SSL的版本, 所以我们我自己可以能够对加密和未加密的服务器的攻击做测试。

  16进制编码

  一种最不复杂的将攻击伪装的手段就是修改URL请求。 作为管理员,我们我自己一般会就在日志文件程序中查找某些字符串, 或是一些普通文本的字符集。 例如我们我自己就在请求中查找匹配已知漏洞的字符串。 例如, 我们我自己就在我们我自己的IIS服务器中发现了如下的字符串, 我们我自己就知道有人正就在查找是否有IIS中可以能够远程利用的MDAC漏洞:www.arpun.com

  06:45:2510.0.2.79GET/msadc/302

  要知道攻击者是怎么才能躲过这种匹配检测的, 请参考以下作为恶意攻击者策略一部分的请求。 要确定msadc目录是否存就在, 攻击者有可能键入以下内容:

  [root@localhost/root]#nc-n10.0.2.5580

  GET/msadcHTTP/1.0

  这就一定会产生我们我自己上面所见的日志文件程序。 攻击者可以能够将请求来进行十六进制的ASCII字符编码。 就在上面的例子中, 字符串msadc就在十六进制编码以后就一定会变为6D73616463。 您可以能够使用WindowsCharmap程序来快速的来进行字符的ASCII到十六进制的转换。 上面的HTTP请求, 将字符串msadc用十六进制编码以后, 就变成了:

  [root@localhost]#nc-n10.0.2.5580

  GET/%6D%73%61%64%63HTTP/1.0

  IIS的日志文件程序显示:

  07:10:3910.0.2.31GET/msadc/302

  应当提醒一定要注意的是, 虽然采用了十六进制编码的手段, 但是所产生的日志和没有使用十六进制编码的URL产生的是一样的。 所以就在这个例子里, 编码并没有协助攻击者逃避检测。 但是, 如果我们我自己看看看Apache的日志情况, 那么就是另外一个情形了。 以下列出了攻击者使用来搜索某个CGI脚本的命令, 后面跟着的是使用十六进制编码以后的同样命令:

  [root@localhost]#nc-n10.0.0.280

  HEAD/cgi-bin/test-cgiHTTP/1.0

  [root@localhost]#nc-n10.0.0.280

  HEAD/%63%67%69-bin/test-%63%67%69HTTP/1.0

  现就在我们我自己来查看一下access_log文件程序:

  10.10.10.10--[18/Oct/2000:08:22:47-0700]"HEAD/cgi-bin/test-cgiHTTP/1.0"2000

  10.10.10.10--[18/Oct/2000:08:23:47-0700]"HEAD/%63%67%69-bin/test-%63%67%69HTTP/1.0"2000

  最先是应提醒一定要注意到的是就在这两个例子中都是200代码说明命令完成成功。 但是就在第二中情况中, 日志中出现的是十六进制的值而不是明文的。 如果我们我自己是依赖于形式来对这种攻击来进行检测的话, 那么我们我自己是不有可能检测到所发生的攻击的。 许多的入侵检测系统system使用的格式匹配技术智能化都不高, 并且有些产品将不会将十六进制的URL转换过后来进行匹配。 但是不论所使用的入侵检测软件是否能够对十六进制的代码来进行转换, 所有的网络net管理员都应当对这种伎俩有所了解。

  代理服务器

  因为对攻击者而言完全隐藏攻击行为是很难做到的, 所以掩盖攻击的真实来源也就成为相当重要的课题了。 如果黑客可以能够隐藏他的源IP地址的话, 那么他就可以能够就在不用担心被抓住的情况下来进行攻击。 而黑客用来隐藏他们的源IP地址的一种手段就是使用代理服务器。

  代理服务器是被合法的用来从一个单一的访问点转发多种协议的。 一般来说, 内部用户就一定要可以通过代理服务器才能访问Internet, 因此管理员就可以能够就在代理服务器指定外部访问以及内部访问的限制策略。 用户最先是是和代理服务器建立连载, 之后代理服务器就将连载请求转发到真正的目的地址。 目的地址会记录下代理服务器的IP地址以作为请求的源地址, 而不是最先发出请求的系统system的IP地址。

  但是不幸的是代理服务器就在Internet上的放置太随意了。 (可以能够查看Proxys-4-All来获得这些错误配置机器的列表。 )这些服务器经常会存就在配置错误使得Internet用户可以能够连载到这些代理服务器上。 一旦某个Internet用户可以通过代理服务器连载到某个服务器上, 该服务器就一定会将代理服务器的IP地址作为发出请求的源地址记录就在日志中。 而就在被攻击服务器的日志中对攻击者的记录其IP地址是属于一个没有任意一个攻击行为的“无辜”主机的, 而不是攻击者的真正地址。 我们我自己来看以下的例子。

  下面的例子显示了黑客的攻击和攻击就在日志中产生的相关信息。

  攻击者

  [root@10.1.1.1/]#nc-v10.8.8.880

  HEAD/HTTP/1.0

  日志文件程序

  10.1.1.1--[18/Oct/2000:03:31:58-0700]"HEAD/HTTP/1.0"2000

  就在下面这种情况中, 我们我自己看到攻击者达到了同样的目的, 但是这一次他使用了代理服务器。

  攻击者

  [root@10.1.1.1/]#nc-v216.234.161.8380

  HEAD

相关文章
  • 黑客为什么要入侵别人的电脑?人侵行为的分类
  • 安卓Android手机的神秘黑客代码
  • 为什么俄罗斯黑客这么厉害?
  • 黑客攻击无孔不入:连电影字幕都能被入侵
  • 勒索病毒攻击情况缓解 黑客组织欲出售恶意代码
  • 《加勒比海盗5》未映就遭盗 黑客索要比特币
  • 勒索病毒黑客要放更狠病毒掀开全球核导弹:微软回应
  • 《加勒比海盗5》样片被盗!黑客威胁迪士尼交赎金
  • 黑客为什么选择比特币?
  • 台湾网友中勒索病毒哭穷!黑客:我们高估台湾收入了
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图