防御方法
方法同前一部分�,就不必多說了���。關(guān)心你的服務(wù)器吧。
二����、利用“肉雞”進(jìn)行攻擊
前面說的都是黑客如何利用“肉雞”做一些其他的事情�����,在第二大部分里就要談一下黑客是如何利用“肉雞”進(jìn)行攻擊其他計算機(jī)和網(wǎng)絡(luò)行為的。黑客利用“肉雞”攻擊的原因主要有兩個:首先是萬一攻擊行為被下一個目標(biāo)發(fā)現(xiàn)了�,對方管理員在追查的時候只能找到這臺“肉雞”��,而不能直接抓出黑客自己���,這為對方管理員追究責(zé)任造成了更大的困難;其次�,對于某些類型的攻擊手段,“肉雞”所在的位置也許比黑客計算機(jī)所在的位置更有利�����。
下面介紹一下黑客利用“肉雞”來攻擊時的幾種方式。
2.1非法掃描/監(jiān)聽平臺
原理介紹
掃描和監(jiān)聽是黑客對“肉雞”最常使用的借用手段�����,目標(biāo)是本網(wǎng)絡(luò)和其他網(wǎng)絡(luò)中的計算機(jī)�。被攻擊網(wǎng)絡(luò)中總有一臺計算機(jī)會被首先攻破,一旦打開了這個缺口�����,整個網(wǎng)絡(luò)就都危險了���。這是由于在大多數(shù)的網(wǎng)絡(luò)進(jìn)行安全設(shè)置時,主要的防衛(wèi)方向是向外的��,也就是說他們主要是防備外來的攻擊���。黑客可以利用其對內(nèi)部計算機(jī)防備較少的弱點���,在控制一臺計算機(jī)后,從這里直接掃描��。
請看一下前后兩種情況的對比。防火墻是很常見的網(wǎng)絡(luò)安全設(shè)備�����,在網(wǎng)絡(luò)入口處起到了一個安全屏障的作用�����,尤其在黑客進(jìn)行掃描的時候防火墻將堵住對絕大多數(shù)端口的探測�。這時“肉雞”就有了用武之地,從這里掃描本地網(wǎng)絡(luò)中的其他計算機(jī)是不需要經(jīng)過防火墻的���,可以隨便地查看它們的漏洞���。而且這時候防火墻上也不會留下相應(yīng)的日志,不易被發(fā)覺����。黑客可以在掃描結(jié)束時返回“肉雞”取一下結(jié)果,或者命令“肉雞”把掃描結(jié)果直接用電子郵件發(fā)送到指定信箱�����。
對于在某個網(wǎng)絡(luò)中進(jìn)行非法監(jiān)聽來說���,本地有一臺“肉雞”是必須的條件���。由于以太網(wǎng)的設(shè)計特點����,監(jiān)聽只能在本地進(jìn)行����。雖然隨著交換式以太網(wǎng)的普及,網(wǎng)絡(luò)非法監(jiān)聽能收集到的信息大大減少����,但對于那些與非法監(jiān)聽軟件所在的“肉雞”通訊的計算機(jī)來說�����,威脅還是很大的�。如果這個“肉雞”本身還是一臺重要的服務(wù)器,那么危害就更大了�,黑客在這上面會得到很多諸如用戶帳號�、密碼�、服務(wù)器之間不合理的信任關(guān)系的信息等,對下一步攻擊起到很大的輔助作用�。
防御方法
防止掃描一般主要設(shè)置在防火墻上���,除了內(nèi)部那些開放了的服務(wù)以外,不允許其他的訪問進(jìn)入����,可以最大限度地防止信息泄露����。至于同一網(wǎng)段上某個服務(wù)器成了“肉雞”���,一般情況下是沒法防止它掃描其他服務(wù)器了��,這就需要我們的防御方向不但要向外,也要向內(nèi)�����。關(guān)閉每一臺計算機(jī)上不需要的服務(wù)�����,進(jìn)行安全加強(qiáng)���,讓內(nèi)部的非法掃描器找不到可以利用的漏洞。
防御監(jiān)聽一般使用網(wǎng)絡(luò)傳輸加密和交換式網(wǎng)絡(luò)設(shè)備��。管理員遠(yuǎn)程登錄系統(tǒng)時候��,還是有很多人喜歡使用默認(rèn)的telnet,這種明文傳輸?shù)?U>協(xié)議是黑客的最愛�����。使用SSH代替telnet和那些r命令��,可以使網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)成為不可讀的密文��,保護(hù)你的帳號���、口令和其他重要的信息。交換式網(wǎng)絡(luò)設(shè)備可以使單個計算機(jī)接收到的無用信息大大減少���,從而降低非法監(jiān)聽器的危害性���。不過相對來說,它的成本還是比較高的�����。
2.2 攻擊的實際出發(fā)點
原理介紹
這里所說的攻擊是指那些取得其他計算機(jī)控制權(quán)的動作���,如溢出和漏洞攻擊等���。與掃描監(jiān)聽相同,從內(nèi)部的“肉雞”發(fā)起的攻擊同樣不必經(jīng)過防火墻��,被阻擋和發(fā)現(xiàn)的可能減少了���。從這里攻擊時被發(fā)現(xiàn)了之后,追查時會找到黑客嗎���?同樣也不行����,只能先找到“肉雞”�,再從這里找黑客就困難了����。
如果說“肉雞”做為掃描工具的時候象黑客的一只眼睛�����,做監(jiān)聽工具的時候象黑客的一只耳朵��,那么“肉雞”實際進(jìn)攻時就是黑客的一只手。黑客借助“肉雞”這個內(nèi)應(yīng)來聽來看���,來攻擊,而“肉雞”成為了提線木偶�,舉手投足都被人從選程看不到的地方控制著�。
防御方法
也是需要對計算機(jī)進(jìn)行嚴(yán)密的監(jiān)視�����。請參考前面的內(nèi)容�����。
2.3 DDoS攻擊傀儡
關(guān)于黑客利用“肉雞”進(jìn)行DDoS攻擊的手段就不再贅述了��,詳見IBM DeveloperWorks曾經(jīng)刊登的文章《分布式拒絕服務(wù)攻擊(DDoS)原理及防范》
2.4端口跳轉(zhuǎn)攻擊平臺
原理介紹
這種攻擊方式一般是用來對付防火墻的訪問限制的。在很多網(wǎng)絡(luò)中都使用了防火墻對外封閉一些危險的端口(這種防御又是向外的)�����,這里黑客就可以在內(nèi)部已經(jīng)有“肉雞”的提前下�,讓“肉雞”去訪問這些端口����,注意這時不經(jīng)過防火墻是不會被阻擋的���,而黑客從一個不被防火墻限制的端口去訪問“肉雞”。在進(jìn)行這種攻擊之前��,黑客會在“肉雞”上進(jìn)行設(shè)置�,利用特殊的軟件把黑客對“肉雞”的訪問發(fā)送到目標(biāo)計算機(jī)上�����,端口也會變成那個危險端口����,這樣黑客就繞過防火墻直接對目標(biāo)計算機(jī)的危險端口進(jìn)行攻擊了����。
只用文字描述比較抽象����,我們來看一個例子���。
這是一個我們在實際的安全響應(yīng)中的處理過程,這里黑客使用了組合式的攻擊手段��,其中包括對Windows服務(wù)器常見的139端口攻擊��,對Solaris系統(tǒng)的溢出攻擊,攻擊前的信息收集���,還有2.4要里著重介紹的端口跳轉(zhuǎn)攻擊的方式�����。
