内鬼网络入侵大全Word文件下载.docx
《内鬼网络入侵大全Word文件下载.docx》由会员分享,可在线阅读,更多相关《内鬼网络入侵大全Word文件下载.docx(19页珍藏版)》请在冰点文库上搜索。
机房和机柜的钥匙一定要管理好,不要让无关人员随意进入机房,尤其是网络中心机房,防止人为的蓄意破坏,机房要有保安看护,最好采取指纹和视网膜认证。
2.
如果有条件,可以考虑隔离强磁场的设备,和安装避雷针。
3.
在中心数据机房安装隐蔽的针孔摄像头,24小时不停的工作,并保留一周的影像,备案以抓捕内鬼。
4.
经常备分数据,防止重要数据不必要的丢失。
5.
在设备上进行必要的设置,防止内鬼取得硬件设备的远程控制权。
内鬼面纱之二:
寻找自己的邻居。
我们知道每一次入侵都是从扫描开始的,内鬼当然也一样,一方面隐藏自己在局域网中的行踪,另一方面还要尽可能找到自己的邻居,作进一步的入侵。
常用的探测软件有系统的“网上邻居”,软件有ping、SuperScan、x-scan等。
ping有一些弊端,那就是当对方禁止了ICMP的回应,可能会把一些存活主机误认为不存在的主机。
很多防火墙都有禁止ICMP这样的设置,Xpsp2自带的防火墙也有此功能。
Superscan则比较好,它有“是否探测ping通机器”的选项;
安全焦点的X-scan就更专业了,不仅很少有误报,还可以探测到许多信息,包括弱口令(在局域网中一般都对密码设置的很简单)就可以用共享入侵来实现、系统漏洞等等。
所以我们只要被内鬼发现到有存在的踪迹,就难逃他们的“法网”。
二.防范及追捕内鬼
我们可以通过在局域网中隐藏自己来达到防御的目的。
在cmd中输入“netconfig服务器名/hidden:
yes”,再回车就可以了,这样,别人就无法从网上邻居中直接看到你的计算机,只有通过在资源管理器地址栏中输入“\\计算机名”才来访问你的计算机。
不过,通过上面的方法只能对当前有效,以后每次重新启动系统后要重新运行该命令才行,如果希望将自己的计算机从网上邻居中永久隐藏,可以通过修改注册表来达到目的:
打开注册表编辑器,在左侧窗口中展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters”,在右侧窗口中找到DWORD类型值改为“1”,按“F5”刷新注册表即可。
使用天网防火墙很轻松的能截获到来自内网的ICMP数据包的来源和目的地址,如图所示:
并丢弃这些包。
利用windowssp2也能截获这些包的来源,我们来看日志中记录的数据:
#Version:
1.5
#Software:
MicrosoftWindowsFirewall
#TimeFormat:
Local
#Fields:
datetimeactionprotocolsrc-ipdst-ipsrc-portdst-portsizetcpflagstcpsyntcpacktcpwinicmptypeicmpcodeinfopath
2005-06-1511:
04:
33OPENICMP192.168.0.2192.168.0.360048000---------
33OPENICMP192.168.0.2192.168.0.360038000---------
这样我们就简单的看到192.168.0.3这个地址在作怪。
内鬼面纱之三:
Netsend隐患。
netsend即“信使服务”,它依赖messenger服务,微软对此服务的解释是传输客户端和服务器之间的NETSEND和Alerter服务消息。
Windows2000默认下是开启这个服务的,所以攻击者只要使用netsend命令就可以给内网中任何一台机器发送消息。
在cmd中用此命令netsend/?
就可以查询到此命令的用法。
表面上看这个不是什么漏洞,其实不然,它存在一个隐患。
喜欢恶作剧的内鬼如果编写bat的小程序,不停的对要攻击的系统发送这样的消息,可想而知会对对方造成很大的影响。
一个bat程序会如下(假设为isno.bat):
-----codebegin----
Netsend%1我爱你
Callisno.bat
-------end----------
这两句一结合,效果自然不怎么样,因为只有一台机器来发消息,但是如果有100台机器同时执行,而且每台机器开10和窗口同时向一个目标机器发消息的话,那就不可想象了。
二.防范和追捕内鬼
防范方面其实很简单,一个命令就可以搞定,在cmd下利用“netstopmessenger”就可以停止messneger服务了,或者使用“services.msc”进入服务,然后手工停止messenger服务也可以。
追捕内鬼内鬼也很简单,信使提供了来源的机器名,如上面的图中所表示的“从ISNO到2005-6-1510:
02:
41上ISNO消息”说明是从ISNO发送过来的。
然后我们就可以通过如
下的探测来追捕黑客。
这样内鬼的信息就暴露出来了,我们可以轻松的找到他们。
内鬼面纱之四:
共享入侵。
一.攻击
在某局域网中,服务器装有Win2000Server系统且采用NTFS分区,客户机计算机分别为Workl、Work2……WorkN,并装有Win98或Win2000Pro系统。
假如其中一台客户机的用户名为isno,密码为123456,ip为192.168.0.1,已经登录到域domain,则它可使用默认共享方式入侵服务器:
在该客户机的网络邻居地址栏中输入\\isno\admin$,便可进入Win2000的系统目录WinNT,此时该用户可以删除文件。
若再输入\\isno\d$,即可进入服务器上的D盘,此时该客户机用户已经具备服务器的管理员权限,这是相当危险的。
居心叵测的人可以通过新建Winstart.bat或者Wininit.ini文件,并在其中加入格式化C盘的语句,使系统丢失所有C盘文件;
或是在服务器的启动项中加入现在任何流行木马的启动程序,后果也不堪设想。
以下是一次真实的入侵:
Netuse\\192.168.0.1\ipc$“123456”/u:
”isno”
命令成功完成。
netusez:
\\192.168.0.1\c$"
123456"
/u:
Dirz:
\
………….
这样的话我们就可以查看192.168.0.1下c盘的内容了。
之后就是开启telnet之类的,有个opentelnet的软件可以直接获得一个shell。
装有Win2000平台的客户机还可以通过IPS$的空连接入侵服务器。
对于NT,在默认安全设置下,借助空连接可以列举目标主机上的用户和共享,访问everyone权限的共享,访问小部分注册表等,并没有什么太大的利用价值;
对2000作用更小,因为在Windows2000和以后版本中默认只有管理员和备份者有权从网络访问到注册表,而且实现起来也不方便,需借助工具。
从这些我们可以看到,这种非信任会话并没有多大的用处,但从一次完整的ipc$入侵来看,空会话是一个不可缺少的跳板,因为我们从它那里可以得到户列表,这对于一个老练的黑客已经足够了。
netuse\\192.168.0.1\ipc$"
"
netview\\192.168.0.1
nettime\\192.168.0.1
其实对于windows98还有一些不可不提的共享漏洞,虽然可能已经补上漏洞了,就是类似:
\\IP\c\con\con
\\IP\c\AUX\AUX
\\IP\print$虽然漏洞过去很久了,但是值得怀念的。
二防御以及追捕内鬼
其实最简单的防御办法是建立一个批处理(bat)文件。
按如下写法:
-----------------codebegin--------------------
@echooff
Netshareipc$/del
Netshareadmin$/del
Netsharec$/del
Netshared$/del
……………
netstopserver/y
----------------end-----------------------------
放在机器启动的设置里,比如“启动”,组策略的“开机脚本”中就可以了。
我们还可以通过注册表编辑器来设置,定位到HKEY_LACAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver,若系统为Win2000Pro,则新建Autosharewks的DWORD值,并设键值为0;
若系统为Win2000Server,则新建Autoshareserver的DWORD值,并设键值为0。
重新启动计算机后默认共享便不会再出现。
还有就是禁止ipc$空连接,可定位到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA,修改RestrictAnonymous的DWORD值为1。
最后一劳永逸的方法是禁止workstation和server服务,不过这样也会对自身通讯有影响。
内鬼面纱之五:
拒绝服务。
拒绝服务是对线路要求比较高的攻击,无论是出于内网的带宽性考虑,还是从路由过滤包考虑,拒绝服务攻击在内网的威力都比外网上好。
Ping攻击
先来说说最简单的ping吧,一条命令:
pingIP–t就可以了
当然在一台机器上运行此命令也许会察觉不出来,如果局域网中五六台机器都利用这个命令来ping同一台主机的话,我想用不了多久,对方的系统资源使用率就会高达100%,如果再继续使用一段时间的话,对方的系统资源使用率就会长时间居高不下,结果自然就会让对方机器崩溃。
2.smurf攻击
如果局域网内分割成了几个网段,就可以使用smurf攻击了,这种攻击方法结合了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。
具体攻击模型如下图所示:
3.攻击器。
当然还可以使用一些专业的拒绝服务攻击的工具比如ddos.exe、UDPFlood、狂怒之Ping、SYN潜伏攻击者来达到目的。
三.防御措施
我们知道拒绝服务攻击不仅对于外网有很严重的威胁,对内网也一样。
到现在为止,并没有一些完全能对付DDOS攻击的方案,而且对于这些拒绝服务的防御要针对特定的工具来说的,还要分清楚是带宽攻击还是应用攻击。
这里写出一些缓和内网拒绝服务的措施:
1.
禁止ICMP回响。
2.
关闭一些不必要的端口。
3.
增强机器性能配置。
4.
扩大带宽。
内鬼面纱之六:
密码监听。
对于目前很流行的以太网协议,其工作方式是:
将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。
但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包)。
在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。
当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。
但这种数据包不能在IP层直接发送,必须从TCP/IP协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。
在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP地址相对应的48位的地址。
传输数据时,包含物理地址的帧从网络接口(网卡)发送到物理的线路上,如果局域网是由一条粗缆或细缆连接而成,则数字信号在电缆上传输,能够到达线路上的每一台主机。
当使用集线器时,由集线器再发向连接在集线器上的每一条线路,数字信号也能到达连接在集线器上的每一台主机。
当数字信号到达一台主机的网络接口时,正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的或者是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。
对于每一个到达网络接口的数据帧,都要进行这个过程。
然而,当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。
而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。
也就是说,在同一条物理信道上传输的所有信息都可以被接收到。
另外,现在网络中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上,许多信息以明文发送。
因此,如果用户的账户名和口令等信息也以明文的方式在网上传输,而此时一个内鬼正在进行网络监听,只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分。
1.使用x-sniffer进行嗅探
使用命令x-sniff–pass,只要放在一台内网的机器上(必须是以集线器为中心连接的),就可以截获到内网中所有机器发送的密码,如下图所示:
2.使用更高级的监听软件。
使用一些snifferpro之类的工具,不仅可以嗅探到用户的密码,而且嗅探到所有的数据包,里面包括密码和cookie,这对分析TCP/IP数据包很有帮助。
二.防御和追捕内鬼
正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。
网络监听是很难被发现的,因为运行网络监听的主机只是被动地接收在局域局上传输的信息,不主动的与其他主机交换信息,也没有修改在网上传输的数据包。
这里列举出一些有利于我们防御和追捕内鬼的解决办法如下:
1.对可能存在的网络监听的检测
(1)对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址ping,运行监听程序的机器会有响应。
这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收,但如果他的IPstack不再次反向检查的话,就会响应。
(2)向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降。
通过比较前后该机器性能加以判断。
这种方法难度比较大。
(3)使用反监听工具如antisniffer等进行检测
2.对网络监听的防范措施
(1)从逻辑或物理上对网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项措施。
其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。
(2)以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,局域网监听的危险仍然存在。
这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。
这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其他用户所监听。
(3)使用加密技术
数据经过加密后,通过监听仍然可以得到传送的信息,但显示的是乱码。
使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。
系统管理员和用户需要在网络速度和安全性上进行折中。
(4)划分VLAN
运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。
内鬼面纱之七:
盗用IP。
盗用IP是一个非常戏剧性的技术,一旦被盗用IP,则说明你的电脑IP地址与别人的相同(被别人盗用)。
电脑在开机的过程中要对网络进行检测,很容易就发现了这种冲突,并在屏幕上显示出来。
这样的情况尤其经常发生在有特殊功能的电脑上,比如你的电脑可以上Internet而别人的电脑却只能上局域网。
先开机的电脑就取得了网络控制权,后开机的电脑就不能上网了。
被盗用IP所出现的情况一般是弹出一个对话框,显示内网中某某IP和你有冲突,这个时候也许有人正在发起一次攻击。
一:
攻击
IP地址的盗用方法多种多样,其常用方法主要有以下几种:
1、静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。
如果在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。
由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配IP地址,但又会带来其它管理问题。
2、成对修改IP-MAC地址
对于静态修改IP地址的问题,现在很多内网都采用静态路由技术加以解决。
针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。
MAC地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。
每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。
但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。
如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。
3、动态修改IP地址
对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗并不是一件很困难的事。
二:
防范
1.交换机控制
解决IP地址的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制:
使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。
但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。
2.路由器隔离
采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。
其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问。
对于非法访问,有几种办法可以制止,如:
a.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;
b.向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;
c.修改路由器的存取控制列表,禁止非法访问。
路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。
这样,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。
路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它就无能为力了。
3.防火墙与代理服务器
使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题:
防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。
使用这样的办法是将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络应用。
这样实现的好处是,盗用IP地址只能在子网内使用,失去盗用的意义;
合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。
使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;
另外,对于大数量的用户群来说,用户管理也是一个问题。
三:
捕捉内鬼
这次我们来一个空手夺白刃来捕捉到盗用了你IP的内鬼:
关闭你的电脑,在另一台电脑上运行cmd命令:
“nbstat–AIP”,注意:
这个IP地址为和你冲突的IP地址。
运行后,如下图所示:
还等什么,快找那个内鬼算帐去吧。
内鬼面纱之八:
ARP欺骗。
ARP(AddressResolutionProtocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。
从IP地址到物理地址的映射有两种方式:
表格方式和非表格方式。
ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
假设这样一个网络,一个Hub接了3台机器
HostA、HostB、HostC其中
A的地址为:
IP:
192.168.0.1MAC:
AA-AA-AA-AA-AA-AA
B的地址为:
192.168.0.2MAC:
BB-BB-BB-BB-BB-BB
C的地址为:
192.168.0.3MAC:
CC-CC-CC-CC-C
升级会员 