黑客俘獲計算機的攻擊方法和防御詳解

    客戶方的系統(tǒng)管理員發(fā)現(xiàn)一臺Windows2000服務器的行為異常后，馬上切斷了這臺服務器的網絡連接并向我們報告，這是當時的網絡拓撲結構。經過仔細的診斷，我們推斷出黑客是利用了這臺服務器的139端口漏洞，從遠程利用nbtdump、口令猜測工具、Windows net命令等取得了這臺服務器的控制權，并安裝了BO 2000木馬。但客戶的系統(tǒng)管理員立刻否定我們的判斷："雖然這臺服務器的139端口沒有關閉，但我已經在防火墻上設置了規(guī)則，使外部計算機不能訪問這臺服務器的139端口。"又是一個只防范外部攻擊的手段！難道大家都對內部攻擊占70%以上的比率視而不見嗎？不過這里的路由器日志顯示，黑客確實是從外部向這臺服務器的木馬端口進行連接的。難道黑客用了我們還不了解的新的攻擊手段？

    我們于是繼續(xù)匯總分析各方面的數據，客戶管理員也配合我們進行檢查。在檢查網絡上的其他主機時，我們發(fā)現(xiàn)內部網中有一臺SUN工作站的網卡上綁定了3個IP地址，其中一個IP地址與被攻擊Windows服務器是一個網段的！這立刻引起了我們的注意�？蛻艄芾韱T解釋說這是一臺Solaris Sparc機器，經常用來做一些測試，有時也會接入服務器網段，所以配了一個該網段的地址。而且就在一個多星期前，這臺SUN工作站還放在服務器網段。這就很可疑了，我們立刻對它進行了檢查，果然這臺SUN工作站已經被占領了，因為主要用途是測試，客戶管理員并沒有對它進行安全加強，攻破它是易如反掌的事情。在它上面發(fā)現(xiàn)了大量的掃描、監(jiān)聽和日志清除工具，另外還有我們意料之中的端口跳轉工具 - netcat，簡稱nc。

    至此問題就比較清楚了：黑客首先占領了這臺毫不設防的SUN機，然后上載nc，設置端口跳轉，攻擊Windows 2000服務器的139端口，并且成功地拿下了它。還原當時的網絡拓撲圖應該是這樣的。

    解釋了端口跳板是如何起作用的。nc安裝后，黑客就會通過定制一些運行參數，在“肉雞”的后臺建立起由“肉雞”的2139端口到目標計算機的139端口的跳轉。這就象是一條虛擬的通道，由“肉雞”的2139端口通向目標的139端口，任何向“肉雞”的2139進行的訪問都會自動地轉發(fā)到目標計算機的139端口上去。就是說，訪問“肉雞”的2139端口，就是在訪問目標的139端口。反過來，目標計算機的回饋信息也會通過“肉雞”的通道向黑客計算機返回。

    黑客需要兩次端口跳轉，第一次是利用自己的linux計算機把對139端口的訪問向SUN的2139端口發(fā)送，這樣就繞過了防火墻對139端口的訪問限制。然后SUN會把對自己2139端口的訪問發(fā)送到攻擊最終目標的139端口上。為什么圖中的"黑客"計算機不直接訪問SUN的2139端口，而需要linux多跳轉一次呢？這是由于象net、nbtdump、遠程口令猜測等手段都是默認針對139端口而且黑客無法改變的。

    在這兩個端口跳板準備好了之后，黑客只要訪問自己的linux機器上的139端口，就可以對目標的Windows服務器進行攻擊了，“肉雞”的作用巨大啊。據了解這臺SUN工作站當時在服務器網段中只接入了三天不到的時間就搬到內部網里了，可見黑客對這個網段的情況變化的掌握速度是很快的，管理員們不要因為只是臨時接入而忽略了安全。我們隨后又在路由器上找到了當時黑客遠程向SUN機的2139端口連接的日志，至此就完全清楚了。

    防御方法

    對于這種端口跳轉攻擊，除了加強內部主機，不使其侵入系統(tǒng)之外，還應對防火墻的規(guī)則進行嚴格的設置。設置規(guī)則可以按照先全部禁止，再單個放開的方法。這樣即使黑客從非危險的端口連接過來時，也會被防火墻禁止掉。

    三、攻擊時直接借用

    與上述各類情況不同，直接利用其他計算機做為攻擊平臺時，黑客并不需要首先入侵這些被利用的計算機，而是誤導它們去攻擊目標。黑客在這里利用了TCP/IP協(xié)議和操作系統(tǒng)本身的缺點漏洞，這種攻擊更難防范，特別是制止，尤其是后面兩種反射式分布拒絕服務攻擊和DNS分布拒絕服務攻擊。

    3.1 Smurf攻擊

    原理介紹

    Smurf攻擊是這種攻擊的早期形式，是一種在局域網中的攻擊手段。它的作用原理是基于廣播地址與回應請求的。一臺計算機向另一臺計算機發(fā)送一些特殊的數據包如ping請求時，會接到它的回應；如果向本網絡的廣播地址發(fā)送請求包，實際上會到達網絡上所有的計算機，這時就會得到所有計算機的回應。這些回應是需要被接收的計算機處理的，每處理一個就要占用一份系統(tǒng)資源，如果同時接到網絡上所有計算機的回應，接收方的系統(tǒng)是有可能吃不消的，就象遭到了DDoS攻擊一樣。大家會疑問，誰會無聊得去向網絡地址發(fā)包而招來所有計算機的攻擊呢？

    當然做為一個正常的操作者是不會這么做的，但是當黑客要利用這個原理進行Smurf攻擊的時候，他會代替受害者來做這件事。

    黑客向廣播地址發(fā)送請求包，所有的計算機得到請求后，卻不會把回應發(fā)到黑客那里，而是被攻擊的計算機處。這是因為黑客冒充了被攻擊主機。黑客發(fā)包所用的軟件是可以偽造源地址的，接到偽造數據包的主機會根據源地址把回應發(fā)出去，這當然就是被攻擊目標的地址。黑客同時還會把發(fā)包的間隔減到幾毫秒，這樣在單位時間能發(fā)出數以千計的請求，使受害者接到被欺騙計算機那里傳來的洪水般的回應。象遭到其他類型的拒絕服務攻擊一樣，被攻擊主機會網絡和系統(tǒng)無法響應，嚴重時還會導致系統(tǒng)崩潰。

    黑客借助了網絡中所有計算機來攻擊受害者，而不需要事先去占領這些被欺騙的主機。

    在實際使用中，黑客不會笨到在本地局域網中干這件事的，那樣很容易被查出。他們會從遠程發(fā)送廣播包到目標計算機所在的網絡來進行攻擊。

    防御方法

局域網中是不必進行Smurf攻擊的防御的。我們只需在路由器上進行設置，在收到定向廣播數據包時將其丟棄就可以了，這樣本地廣播地址收不到請求包，Smurf攻擊就無從談起。注意還要把網絡中有條件成為路由器的多宿主主機（多塊網卡）進行系統(tǒng)設置，讓它們不接收和轉發(fā)這樣的廣播包。

    3.2 DrDoS（反射式分布拒絕服務攻擊）

    原理介紹

    這是DDoS攻擊的變形，它與DDoS的不同之處就是DrDoS不需要在實際攻擊之前占領大量的傀儡機。這種攻擊也是在偽造數據包源地址的情況下進行的，從這一點上說與Smurf攻擊一樣，而DrDoS是可以在廣域網上進行的。其名稱中的"r"意為反射，就是這種攻擊行為最大的特點。黑客同樣利用特殊的發(fā)包工具，首先把偽造了源地址的SYN連接請求包發(fā)送到那些被欺騙的計算機上，根據TCP三次握手的規(guī)則，這些計算機會向源IP發(fā)出SYN+ACK或RST包來響應這個請求。同Smurf攻擊一樣，黑客所發(fā)送的請求包的源IP地址是被害者的地址，這樣受欺騙的計算機就都會把回應發(fā)到受害者處，造成該主機忙于處理這些回應而被拒絕服務攻擊。

    3.3 DNS分布拒絕服務攻擊

    原理介紹

    DNS拒絕服務攻擊原理同DrDoS攻擊相同，只是在這里被欺騙利用的不是一般的計算機，而是DNS服務器。黑客通過向多個DNS服務器發(fā)送大量的偽造的查詢請求，查詢請求數據包中的源IP地址為被攻擊主機的IP地址，DNS服務器將大量的查詢結果發(fā)送給被攻擊主機，使被攻擊主機所在的網絡擁塞或不再對外提供服務。

    防御方法

    通過限制查詢主機的IP地址可以減輕這種攻擊的影響，比較糟糕的是在現(xiàn)實環(huán)境中這么做的DNS服務器很少。目前不能從根本上解決這個問題。另外可以從自己的網絡設備上監(jiān)視和限制對DNS查詢請求的回應，如果突然出現(xiàn)流量劇增的情況，限制一下到達DNS服務器的查詢請求，這樣可以避免自己管理的服務器被欺騙而去攻擊無辜者。