監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

網(wǎng)絡(luò)騙術(shù)分析

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

誘敵深入是一門很實(shí)用的戰(zhàn)術(shù),古今中外,很多軍事家、政治家、企業(yè)家都對(duì)這個(gè)戰(zhàn)術(shù)津津樂道,在網(wǎng)絡(luò)攻防中也不例外,系統(tǒng)管理員也會(huì)用到這樣的戰(zhàn)術(shù)。由于每個(gè)網(wǎng)絡(luò)系統(tǒng)都有安全方面的弱點(diǎn),如果它的價(jià)值很高的話,這些弱點(diǎn)就有可能被入侵者利用。通常,人們會(huì)主動(dòng)去彌補(bǔ)這些漏洞或者缺陷,如果系統(tǒng)管理員有一手的話,完全可以使入侵者相信系統(tǒng)存在安全缺陷,并將其引向這些錯(cuò)誤的資源,也就是"誘敵深入"。當(dāng)然,也需要在"知己知彼"的基礎(chǔ)上才能"百戰(zhàn)百勝"。管理員還可以跟蹤入侵者的行為,在入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。這可以形象地比喻為"牽著牛鼻子走路"。
一、網(wǎng)絡(luò)欺騙方法探幽

網(wǎng)絡(luò)管理員和入侵者在工作上永遠(yuǎn)是不相容的兩個(gè)派別,至于工作之外是什么角色就不好說了。實(shí)踐過程中,我們可以用逆向的思維來猜測(cè)入侵者的進(jìn)攻技術(shù)和意圖,牽著他的"牛鼻子",按照我們給他設(shè)計(jì)好的意志進(jìn)行選擇,并且逐步消耗他的資源。這樣,就會(huì)使入侵者感到要達(dá)到期望的目標(biāo)還是具有一定挑戰(zhàn)性的。一般來說,網(wǎng)絡(luò)欺騙的方法可以從以下幾個(gè)方面來考慮。

1、誘餌:Honey Pot和分布式Honey Pot

最早采用的網(wǎng)絡(luò)欺騙是Honey Pot技術(shù),Honey Pot就像一個(gè)誘餌,它將少量的有吸引力的目標(biāo)(即Honey Pot)放在讓入侵者很容易發(fā)現(xiàn)的地方,使之落入圈套。其中采用的技術(shù)手段很多,通常包括安插錯(cuò)誤信息和隱藏等。前者包括重定向路由、偽造假信息和設(shè)置圈套,后者包括隱藏服務(wù)、多路徑和維護(hù)安全狀態(tài)信息機(jī)密性。這樣就可以使入侵者將技術(shù)、精力集中到Honey Pot而不是其他真正有價(jià)值的正常系統(tǒng)和資源中,因此這個(gè)誘餌必須做的盡量"美味、可口"。

盡管Honey Pot技術(shù)可以迅速切換,但是,對(duì)稍高級(jí)的網(wǎng)絡(luò)入侵,Honey Pot技術(shù)就作用甚微了。因此,分布式Honey Pot技術(shù)便應(yīng)運(yùn)而生,它將欺騙(Honey Pot)散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中,利用閑置的服務(wù)端口來充當(dāng)欺騙,從而增大了入侵者遭遇欺騙的可能性。分布式Honey Pot技術(shù)有兩個(gè)直接的效果,首先是將欺騙分布到更廣范圍的IP地址和端口空間中,其次是增大了欺騙在整個(gè)網(wǎng)絡(luò)中的百分比,使得欺騙比安全弱點(diǎn)被入侵者掃描器發(fā)現(xiàn)的可能性增大。

分布式Honey Pot技術(shù)也不是十全十美的,它的局限性體現(xiàn)在三個(gè)方面:一是它對(duì)窮盡整個(gè)空間搜索的網(wǎng)絡(luò)掃描無效;二是只提供了相對(duì)較低的欺騙質(zhì)量;三是只相對(duì)使整個(gè)搜索空間的安全弱點(diǎn)減少。而且,這種技術(shù)的一個(gè)更為嚴(yán)重的缺陷是它只對(duì)遠(yuǎn)程掃描有效。如果入侵已經(jīng)部分進(jìn)入到網(wǎng)絡(luò)系統(tǒng)中,處于觀察(如嗅探)而非主動(dòng)掃描階段時(shí),真正的網(wǎng)絡(luò)服務(wù)對(duì)入侵者已經(jīng)透明,那么這種欺騙將失去作用。

2、真假"李逵":空間欺騙技術(shù)

計(jì)算機(jī)系統(tǒng)具有多宿主能力(multi-homed capability),就是在只有一塊以太網(wǎng)卡的計(jì)算機(jī)上能實(shí)現(xiàn)具有眾多IP地址的主機(jī),實(shí)際上,現(xiàn)在已有研究機(jī)構(gòu)能將超過4000個(gè)IP地址綁定在一臺(tái)運(yùn)行Linux的PC上,而且每個(gè)IP地址還具有它們自己的MAC地址。這項(xiàng)技術(shù)可用于建立填充一大段地址空間的欺騙,且花費(fèi)極低。欺騙空間技術(shù)就是通過增加搜索空間來顯著地增加入侵者的工作量,從而達(dá)到安全防護(hù)的目的。這樣許許多多不同的欺騙,就可以在一臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)。當(dāng)入侵者的掃描器訪問到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測(cè)到這一欺騙服務(wù)時(shí),還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上,使得接下來的遠(yuǎn)程訪問變成這個(gè)欺騙的繼續(xù)。

從防護(hù)的效果上看,將網(wǎng)絡(luò)服務(wù)放置在所有這些IP地址上將毫無疑問地增加了入侵者的工作量,因?yàn)樗麄冃枰獩Q定哪些服務(wù)是真正的,哪些服務(wù)是偽造的,特別是這樣的4萬個(gè)以上IP地址都放置了偽造網(wǎng)絡(luò)服務(wù)的系統(tǒng)。而且,在這種情況下,欺騙服務(wù)相對(duì)更容易被掃描器發(fā)現(xiàn),通過誘使入侵者上當(dāng),增加了入侵時(shí)間,從而大量消耗入侵者的資源,使真正的網(wǎng)絡(luò)服務(wù)被探測(cè)到的可能性大大減小。

當(dāng)然,采用這種欺騙時(shí)網(wǎng)絡(luò)流量和服務(wù)的重定向必須嚴(yán)格保密,因?yàn)橐坏┍┞毒蛯⒄兄鹿?,從而?dǎo)致入侵者很容易將任一已知有效的服務(wù)和這種用于測(cè)試入侵者的掃描探測(cè)及其響應(yīng)的欺騙區(qū)分開來。

3、用戶信息迷惑:組織信息欺騙和多重地址轉(zhuǎn)換

面對(duì)網(wǎng)絡(luò)攻擊技術(shù)的不斷提高,一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功,必須不斷地提高欺騙質(zhì)量,才能使入侵者難以將合法服務(wù)和欺騙區(qū)分開來。多重地址轉(zhuǎn)換和組織信息欺騙能有效地迷惑對(duì)手。

如果組織的DNS服務(wù)器包含了個(gè)人系統(tǒng)擁有者及其位置的詳細(xì)信息,那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置,否則欺騙很容易被發(fā)現(xiàn)。而且,偽造的人和位置也需要有偽造的信息如薪水、預(yù)算和個(gè)人記錄等等。因此,如果某個(gè)組織提供有關(guān)個(gè)人和系統(tǒng)信息的訪問,那么欺騙也必須以某種方式反映出這些信息。

另外,在信息迷惑上,地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實(shí)網(wǎng)絡(luò)分離開來,這樣就可利用真實(shí)的計(jì)算機(jī)替換低可信度的欺騙,增加了間接性和隱蔽性。其基本的概念就是重定向代理服務(wù)(通過改寫代理服務(wù)器程序?qū)崿F(xiàn)),由代理服務(wù)進(jìn)行地址轉(zhuǎn)換,使相同的源和目的地址像真實(shí)系統(tǒng)那樣被維護(hù)在欺騙系統(tǒng)中。

4、網(wǎng)絡(luò)信息迷惑:網(wǎng)絡(luò)動(dòng)態(tài)配置和網(wǎng)絡(luò)流量仿真

真實(shí)網(wǎng)絡(luò)是隨時(shí)間而改變的,如果欺騙是靜態(tài)的,那么在入侵者長(zhǎng)期監(jiān)視的情況下就會(huì)導(dǎo)致欺騙無效。因此,需要?jiǎng)討B(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為,使欺騙網(wǎng)絡(luò)也像真實(shí)網(wǎng)絡(luò)那樣隨時(shí)間而改變。為使之有效,欺騙特性也應(yīng)該能盡可能地反映出真實(shí)系統(tǒng)的特性。例如,如果辦公室的計(jì)算機(jī)在下班之后關(guān)機(jī),那么欺騙計(jì)算機(jī)也應(yīng)該在同一時(shí)刻關(guān)機(jī)。其他的如假期、周末和特殊時(shí)刻也必須考慮,否則入侵者將很可能發(fā)現(xiàn)欺騙。

產(chǎn)生仿真流量的目的是使流量分析不能檢測(cè)到欺騙。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法。一種方法是采用實(shí)時(shí)方式或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量,這使得欺騙系統(tǒng)與真實(shí)系統(tǒng)十分相似,因?yàn)樗械脑L問連接都被復(fù)制了;還有一種方法是從遠(yuǎn)程產(chǎn)生偽造流量,使入侵者可以發(fā)現(xiàn)和利用。

在欺騙與被欺騙的過程中,對(duì)雙方的智力考驗(yàn)要求是很高的。如果在其中某個(gè)環(huán)節(jié)的判斷上出了問題,就可能反而陷入別人的圈套。因此,必須對(duì)相關(guān)的欺騙手法有一定的了解,這樣就能在實(shí)踐操作中做出準(zhǔn)確的判斷。下面,我們來看一個(gè)"誘敵深入"的攻防實(shí)踐。

二、欺騙實(shí)例之"誘敵深入"


相信很多朋友都知道,郵件服務(wù)器軟件Sendmail中有個(gè)安全漏洞,入侵者如果熟悉郵件服務(wù)器軟件Sendmail,他肯定會(huì)試探著攻擊。據(jù)說只要收到被做過手腳的郵件,郵件服務(wù)器設(shè)備管理員的權(quán)限就有可能被篡奪。由于可以通過郵件進(jìn)行攻擊,因此很難用防火墻等防范。尤其是基本上所有版本的Sendmail都受到影響,因此我們決定使用郵件服務(wù)器軟件Sendmail作為誘餌。在這個(gè)實(shí)例中,將會(huì)使用到上面所介紹的一些欺騙技術(shù)。

1、關(guān)于Sendmail的一些知識(shí)

Sendmail作為 Linux、BSD和其他Unix平臺(tái)的"標(biāo)配",被廣泛使用。使用Sendmail很重要的一條是,必須記得隨時(shí)了解他的站點(diǎn)動(dòng)態(tài),在http://www.sendmail.org這個(gè)網(wǎng)站公布了關(guān)于sendmail的一些最新版本和相關(guān)信息,http://www.sendmail.org/8.13.0.Alpha0.html是目前的最新測(cè)試版本。作為一個(gè)相當(dāng)普及的軟件,再加上眾多的相關(guān)軟件支持,配置Sendmail可以算得上系統(tǒng)管理員的基本技能之一了。

Sendmail 主要的配置文件如下:

/etc/sendmail.cf是Sendmail 核心配置文件;

/etc/aliases是郵件別名文件;

/etc/mail/relay-domains用于設(shè)定可RELAY的域名;

/etc/mail/access用來設(shè)定處理來信的方式如RELAY等;

在默認(rèn)情況下,也就是安裝Sendmail服務(wù)器不做任何設(shè)置的情況下,則只能在本機(jī)上收發(fā)郵件,網(wǎng)絡(luò)上其它主機(jī)不能向該SMTP服務(wù)器發(fā)送郵件。關(guān)于Sendmail的具體安裝配置過程,我們可以通過http://www.worldhello.net/doc/email_howto/sendmail.html這個(gè)網(wǎng)址得到比較滿意的答案。

2、序幕

為了給黑客們一個(gè)驚喜,我們故意留出了一個(gè)DUBUG漏洞,張開網(wǎng)后,就等魚兒上鉤了。大概一個(gè)多月都沒有動(dòng)靜,終于,在我們無意中間接公布了一些系統(tǒng)的消息后,發(fā)現(xiàn)系統(tǒng)出了異常的日志是在2004年2月14日,可能是由于情人節(jié)的落寞想找個(gè)地方來發(fā)泄,一個(gè)黑客發(fā)現(xiàn)了我們公布的計(jì)算機(jī)的漏洞,試圖獲得我們的password文件,順?biāo)浦?,我們就給他送了一份人情,很快我們就發(fā)現(xiàn)在口令文件 passwd 中增加了一個(gè) UID 為 0 的賬號(hào)。

這個(gè)黑客十分有耐心,手段也很高明。一切在意料之中,我們?cè)跈C(jī)器的/tmp目錄下又發(fā)現(xiàn)了一個(gè)程序,而且只要運(yùn)行這個(gè)程序,就會(huì)輕易得到用戶權(quán)限。根據(jù)我們自己掌握的情況,這種方法在網(wǎng)上幾乎是最受歡迎的了。不過,對(duì)于系統(tǒng)用戶來說,定期清理/tmp下的文件是很正常的,因此即使我們清理這個(gè)文件,他也不會(huì)感到意外。我們打開在 /tmp 目錄下放置 的C源程序進(jìn)行了研究:

以下是引用片段:

<++> backdoor/backdoor2.c
#include
main()
{
system("cp /bin/sh /tmp/fid");
system("chown root.root /tmp/fid");
system("chmod 4755 /tmp/fid");
}
<-->

很明顯,這是一個(gè)后門程序,通過這個(gè)程序可以獲得一些關(guān)于根用戶的相關(guān)屬性,這對(duì)黑客來說是一個(gè)刺激,對(duì)我們管理員來說,既然要"誘敵深入"做個(gè)測(cè)試,就肯定也存在一定挑戰(zhàn)了。而現(xiàn)在我們所要做的,就是引誘一個(gè)黑客到一個(gè)我們?cè)O(shè)計(jì)好的環(huán)境中,記錄下來他的所有動(dòng)作,研究其行為,并提醒他的下一個(gè)目標(biāo)作出防范。除了在機(jī)器上設(shè)置記錄日志并隱藏這些日志,我們還添加了一些虛假的服務(wù)在系統(tǒng)上。由于每天定時(shí)產(chǎn)生的日志量非常大,為了有針對(duì)地了解攻擊動(dòng)向,我們做了一個(gè)script文件用來檢索每天的日志。其中,我們主要檢查以下幾點(diǎn):

Telnet/login服務(wù)檢查:如果有黑客試圖進(jìn)入我們的系統(tǒng),他肯定要嘗試很多帳戶和密碼,這樣他的一舉一動(dòng)都會(huì)被我們記錄下來。當(dāng)然,由于試探的人比較多,五花八門三教九流,水平太次的人我們是不會(huì)給他機(jī)會(huì)的。然后就是探測(cè)Guest / visitor 賬號(hào),黑客們第一個(gè)尋找的就是公用賬號(hào)。這些賬號(hào)提供了友好的、最輕易地獲取幾乎系統(tǒng)的所有文件的機(jī)會(huì),包括passwd文件。黑客也可以通過獲取/etc/hosts.equiv文件或每個(gè)用戶的.rhosts文件來獲得機(jī)器的信任主機(jī)列表。

FTP服務(wù)檢索:檢索的工具會(huì)報(bào)告每天所有注冊(cè)和試圖注冊(cè)的用戶名。我們偽造了一個(gè)passwd文件,獲取passwd的人通常用它來獲得系統(tǒng)的正式用戶的注冊(cè)名稱,然后攻擊、破解其密碼。

SMTP DEBUG:這個(gè)命令提供了兩個(gè)守候sendmail的漏洞的陷阱。雖然幾乎所有的產(chǎn)品出售商都清除了這個(gè)漏洞,但偶爾仍有黑客嘗試它。這個(gè)漏洞允許外部的使用者使用一段以root權(quán)限執(zhí)行的script。當(dāng)有些人嘗試這個(gè)漏洞時(shí),我就獲得了他嘗試的script代碼。

Finger:Finger提供了大量有用的信息給黑客:賬號(hào)名,該賬號(hào)的最后一次使用時(shí)間,以及一些可以用來猜測(cè)密碼的信息。由于我們的組織不允許提供這些信息給別人,我們置入了一個(gè)程序,在finger了fingerd的調(diào)用者后拒絕figner請(qǐng)求。(當(dāng)然我們會(huì)避免對(duì)來自自己的finger信息的死循環(huán))。報(bào)告表明每天有數(shù)以十計(jì)的finger請(qǐng)求,其中大部分是合法的。很多探測(cè)器都使用figner命令來查明調(diào)用的機(jī)器和使用者。

3、較量

設(shè)置好上面的服務(wù)以后,由于我們的目標(biāo)有點(diǎn)暴露,因此被攻擊率比較高。但是,當(dāng)一個(gè)遠(yuǎn)程使用者取走passwd文件時(shí),并不是所有的人都出于惡意的目的。就象我們生活在大千世界一樣,每個(gè)人的想法不一定相同。從這些日志所記錄的事件里面,我們可以發(fā)現(xiàn)很多人的不同心理,或善意,或好奇,或者出于成就感。為了給黑客一個(gè)提醒,我們?cè)O(shè)置了一個(gè)自動(dòng)回信,大致內(nèi)容是:

"如果你到了這個(gè)地方,就已經(jīng)很不錯(cuò)了,如果你希望繼續(xù),我們也可以陪你玩玩。如果我們現(xiàn)在正看著你的操作,感覺如何?"。

發(fā)布:2007-04-22 09:59    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
南昌OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢