黑客技术 [复制链接]

⒍和漏洞及其他重要特征有关的各种工具 sk$MJSE ~  
紧接着，你收集各种实际使用的工具，这些工具最有可能是一些扫描工具。你应该至少判断出目标网上的所有设备。基于你对操作系统的分析（和其他我曾在本章里提到过的各种软件），你需要对你的工具进行评估以判断有哪些漏洞和区域它们没有覆盖到。 sk$MJSE ~  
只用一个工具而不用另一个工具就可覆盖某特定设备的情况下，最好还是同时使用这两个工具。这些工具的联合使用是否方便主要依赖于这些工具是否能简易地作为外部模块附加到一个扫描工具上，如SATAN或SAFESuite。在此测试变行极为有价值，因为在多数情况下。附加一个外部模块并让它正常地工作并不那么简单。为了得到这些工具工作的确切结果，最好先在某台机器上进行实验（这台机器甚至可和目标机不同）。这是因为。我们想知道是否会由于加上两个或多个单独设计的模块而使扫描工具的工作突然被中断或失败。记住实际的扫描攻击过程只能一气呵成，如果中间被打断，那你不会有第二次机会。于是，根据你想在目标机上得到的东西，你可挑选一些合适的工具。在某些情况下，这是一件轻松的事。例如，也许你已经知道在目标系统上的某人正通过网络运行着一些X窗口系统的应用软件。在此种情况下，如果你搜索Xhost的漏洞，一定能有所收获。 !mNst$-H4  
记住使用扫描工具是一种激烈的解决方案。它等于是在大白天拿着棍冲到某户人家，去试着撬所有的门和窗。只要此系统的管理员适度地涉猎过一些安全话题，那你的行为在他面前会暴露无疑。 !mNst$-H4  
!mNst$-H4  
⒎形成一个攻击策略 !mNst$-H4  
在Internet漫游过程中攻击这台或那台服务器的日子基本上已经过去。多年前，只要系统没有遭到破坏，突破系统安全的行为办被看用一种轻微的越界行为。如今，形势则大不相同。今天，数据的价值成为了谈论的焦点。因此作为现代入侵者，没有任何理由就实施入侵是很不明智的。反过来，只有制定了一个特定计划再开始进入入侵才是明智之举。 !mNst$-H4  
你的攻击策略主要依赖于你所想要完成的。我们假设你手边的任务基本上就是攻破某系统的安全措施。如果这是你的计划，那么你需要计划如何完成此次攻击。扫描时间花得越长（越多的机器被涉及在内），越有可能被发现；同时越多的扫描数据需要你筛选，而基于这些扫描数据进行的攻击需花费的时间越长。我曾经提过，扫描的攻击的时间越短越好。 !mNst$-H4  
!mNst$-H4  
因此一些事变行很明显（或理所应当）了，一旦通过收集到的数据你判断出网络的某部分和整个网络是通过路由器、交换机、桥或其他设备分隔的，那么你可能应该把它排除在被扫描的对象之外。毕竟攻破这些系统而获得的收益可能微乎其微。假定你获得此网段上的某系统的根权限，你想你能得到什么呢？你能轻松地穿过路由器、桥或交换机吗？恐怕不能！因此，Sniffing只能提供此网段上其他计算机的相关信息，欺骗方法也只能对此网段内的机器有效。因为你所想要的一个主系统上（或者是一个可用的最大网段）的根权限，所以对一个更小、更安全的网络进行扫描不可能获得很大的好处。 !mNst$-H4  
注意：当然，如果这些机器（无论是何种原因）碰巧是那些唯一不受保护的机器，那就应该采取一切可能的方法攻击它们（除非它们真的毫无价值）。例如，通常会把一个web服务器放在网络防火墙之外或使其成为唯一一台可从外面访问的机器。除非行为的目的是为了入侵此web服务器（并带给此web服务器的管理者一些有限的、公共的麻烦），否则不要去骚扰它。这些机器都是作为典型的牺牲物－－那系统管理员已经估计到此机器会被远程攻击成功地攻陷，因此此计算机的硬盘上除了主页外几乎没有其他数据可用。 !mNst$-H4  
!mNst$-H4  
无论如何，一旦你确定了扫描的参数，就可以开始行动了。 !mNst$-H4  
!mNst$-H4  
⒏关于扫描的时间 !mNst$-H4  
关于这个问题，没有确切的答案。如果你真地想进行扫描，我想在目标机所处地区的深夜时间较好。 !mNst$-H4  
扫描结束后 !mNst$-H4  
当你完成扫描后，你便可以开始分析这些数据了。首先你应考虑通过此方法得到的信息是否可靠（可靠度，在某种程度上可通过在类似的环境中进行的扫描实验得。）然后再进行分析，由扫描获得的数据不同则分析过程也不同。在SATAN中的文档对此能给你极大地帮助。这些文档（一些关于漏洞的说明）是简短的，但直接而富有指导性。 !mNst$-H4  
如果得到了某个漏洞，你就应该重新参考那些通过搜索BUGTRAQ和其他可用资源而建立起来的数据库信息。 !mNst$-H4  
主要的一点是，没有任何方法能使一个新手在一夜之间变成一位有经验的系统管理员或入侵者。这是残酷的事实。在你真正理解了攻击的本质和什么应从攻击中剔除之前，你可能要花上数个星期来研究源码、漏洞、某特定操作系统和其他信息。这些是不可逾越的。在攻击中经验是无法替代的，耐心也是无法替代的。如果你缺乏上述任何一个特点，那就忘记进攻吧。 !mNst$-H4  
这是此处的重要一点。无论是像Kevin Mitnik（入侵者）这种人还是像Weitse Venema（黑客）这种人，他们几乎没有区别。他们的工作和成果一直是新闻杂志和网上论坛上谈论的焦点。他们是计算机安全领域内的著名人士（在某些情况下，甚至远远超过）。然而他们的成果（无论是好是坏）都来自于艰苦的工作、学习、天赋、思想、想象和自我专研。此因，防火墙无法挽救一个不能熟练使用它的系统管理员；同样，SATAN也无法帮助一个刚出道的入侵者攻破远程目标的保护。 !mNst$-H4  
!mNst$-H4  
⒐小结 !mNst$-H4  
远程攻击变得越来越普遍。玻正如在前几章中所讨论的，扫描工具的运用已被更多的普遍用户所掌握。类似的，可查询的安全漏洞索引的大量增加也极大地促进了人们识别可能的安全问题的能力。 !mNst$-H4  
一些人认为这些信息的自由共享是使Intenet处于差的安全状态的原因。其实这种想法是不对的。相反，系统管理员应该利用这些可用的公共信息。他们应该从技术的角度在他们自己的网络上执行信息中描述的过程。这既不费时又不费钱。 !mNst$-H4  
攻击特定操作系统的特定方法也超出了本书的范围，主要是因为要写的实在太多。进一步说，一个经过很好计划和可怕的远程攻击，并不是那些仓促行事的黑客做到的，只有那些对系统有着深刻了解的人才能办到。这些人很镇定并且对TCP/IP有着极深地了解（尽管了解的途径可能不怎么正式）。正是因为这个原因，入侵者们应对自己走上这条可怕的路而感到羞愧。人们想知道为什么这什么这些天才会走了这条路呢 !mNst$-H4  
!mNst$-H4  

动态IP地址的捕获及应用 !mNst$-H4  
!mNst$-H4  
!mNst$-H4  
一、IP地址与IP地址的动态分配 !mNst$-H4  
　　1. IP地址基本概念 !mNst$-H4  
　　Internet依靠TCP/IP协议，在全球范围内实现不同硬件结构、不同操作系统、不同网络系统的互联。在Internet上，每一个节点都依靠唯一的IP地址互相区分和相互联系。IP地址是一个32位二进制数的地址,由4个8位字段组成，每个字段之间用点号隔开,用于标识TCP/IP宿主机。 !mNst$-H4  
　　每个IP地址都包含两部分:网络ID和主机ID。网络ID标识在同一个物理网络上的所有宿主机，主机ID标识该物理网络上的每一个宿主机，于是整个Internet上的每个计算机都依靠各自唯一的IP地址来标识。 !mNst$-H4  
　　IP地址构成了整个Internet的基础，它是如此重要，每一台联网的计算机无权自行设定IP地址，有一个统一的机构—IANA负责对申请的组织分配唯一的网络ID,而该组织可以对自己的网络中的每一个主机分配一个唯一的主机ID，正如一个单位无权决定自己在所属城市的街道名称和门牌号，但可以自主决定本单位内部的各个办公室编号一样。 !mNst$-H4  
　　2. 静态IP与动态IP !mNst$-H4  
　　IP地址是一个32位二进制数的地址，理论上讲,有大约40亿（2的32次方）个可能的地址组合，这似乎是一个很大的地址空间。实际上，根据网络ID和主机ID的不同位数规则，可以将IP地址分为A（7位网络ID和24位主机ID）、B（14位网络ID和16位主机ID）、C（21位网络ID和8位主机ID）三类，由于历史原因和技术发展的差异，A类地址和B类地址几乎分配殆尽，目前能够供全球各国各组织分配的只有C类地址。所以说IP地址是一种非常重要的网络资源。 !mNst$-H4  
　　对于一个设立了因特网服务的组织机构，由于其主机对外开放了诸如WWW、FTP、E-mail等访问服务，通常要对外公布一个固定的IP地址，以方便用户访问。当然，数字IP不便记忆和识别，人们更习惯于通过域名来访问主机，而域名实际上仍然需要被域名服务器（DNS）翻译为IP地址。例如，你的主页地址是www.myhost.com，用户可以方便地记忆和使用，而域名服务器会将这个域名翻译为101.12.123.234，这才是你在网上的真正地址。 !mNst$-H4  
　　而对于大多数拨号上网的用户，由于其上网时间和空间的离散性，为每个用户分配一个固定的IP地址（静态IP）是非常不可取的，这将造成IP地址资源的极大浪费。因此这些用户通常会在每次拨通ISP的主机后，自动获得一个动态的IP地址，该地址当然不是任意的，而是该ISP申请的网络ID和主机ID的合法区间中的某个地址。拨号用户任意两次连接时的IP地址很可能不同，但是在每次连接时间内IP地址不变。　　 !mNst$-H4  
　　二、点对点TCP/IP连接 !mNst$-H4  
　　1. 点对点TCP/IP连接与IP地址 !mNst$-H4  
　　一个运行TCP/IP协议接入因特网的计算机必须拥有一个唯一的IP地址，才能与网上的其他计算机进行网络通讯。实际上，在任何时刻Internet连接都能由4个要素来描述:源IP 地址、源地址端口号、目的IP 地址和目的地址端口号。 !mNst$-H4  
　　2. 点对点TCP/IP连接的间接实现 !mNst$-H4  
　　由于大多数上网用户每次上网都自动获得一个动态的IP地址，这就使两台计算机之间建立直接、方便的点对点TCP/IP连接存在一定障碍。解决的办法是通过间接的方式进行连接，即通信双方同时登录到某个提供服务的主机上，由该主机建立双方的间接连接，网络电话、网络寻呼、网络游戏大都使用这一方法。随着技术的成熟和发展，这种网络连接服务可以提供诸如网络会议、多方通话、多方游戏等服务，已经突破了双机连接的局限。 !mNst$-H4  
　　3. 点对点TCP/IP连接的直接实现 !mNst$-H4  
　　支持直接TCP/IP连接的软件很多，例如微软的网络电话软件NetMeeting，唯一的前提就是双方必须在联网时相互获得对方的动态IP地址，或者更简单地，只要知道被呼叫方的IP地址即可，这类似于知道被叫方的电话号码即可建立电话联系。于是关键问题就是捕捉和交换各自的动态IP地址，或者捕捉和发布自己的动态IP地址以等待呼叫进而建立连接。 !mNst$-H4  
　　三、动态IP地址的捕捉与发布 !mNst$-H4  
　　1. 动态IP地址的捕捉 !mNst$-H4  
　　有许多方法和工具来实现动态IP地址的捕捉，Windows 95/98提供了一个IP 配置 (WINIPCFG) 实用程序，使用方法是单击“开始-运行”，在“打开”框中键入：winipcfg，出现程序窗口后，可以单击“详细信息”进行查看（图1）。IP配置实用程序允许用户或管理员查看当前IP地址和其他与网络配置有关的有用信息，有关配置信息包括主机名、DNS服务器、IP地址、网络掩码等。可以重置一个或多个IP地址。“释放”或“更新”按钮分别释放或更新一个IP地址。如果希望释放或更新所有IP 地址，请单击“全部释放”或“全部更新”。其他工具也可以实现本机IP地址的查询。 !mNst$-H4  
　　2.动态IP地址的发布 !mNst$-H4  
　　可以将得到的动态IP地址更新到自己的主页上，这样所有访问者都可以通过该地址呼叫主页的所有者，建立点对点的TCP/IP连接。 !mNst$-H4  
　　四、动态IP地址捕捉发布工具—DynamIP !mNst$-H4  
　　知道了原理，就可以借助工具来完成这一过程。DynamIP就是一个很好的动态捕捉与发布工具。DynamIP的主要功能有： !mNst$-H4  
　　1. DUN/RAS Dialer with Event Driven Program Launcher：具有事件驱动功能的拨号工具，可根据用户要求或者自动定时进行拨号，并且可以在诸如“新连接建立”或“连接终止”等事件的驱动下运行/关闭其他应用程序，当网络流量低于设定值时可以自动终止联结，这对于无人值守下载大软件时特别有用。 !mNst$-H4  
　　2. Uploader(Dynamic IP address poster)：文件上载工具（动态IP地址发布）。DynamIP可以将你的动态IP地址发布在指定的Web页面上，并自动地将该页面上载到服务器。当然也可以用来更新和上载任意文件，例如用来定期上载图形文件，而该文件是利用数码相机自动定期拍摄的，于是该主页就成了一个现场直播的页面。 !mNst$-H4  
　　3. DIPS Client：DIPS客户端软件，DIPS（Dynamic IP Server）是动态IP服务器的简称，在申请了一个免费账户后，动态IP服务器可以在主页中显示一个指向你的动态IP的URL，形式为：http://postmodem.com/dips/<你的账户名>。 !mNst$-H4  
　　这一功能允许网上用户通过该URL访问你的本地主页，这是指在本地主机安装的Web服务器（例如个人Web服务器）。当你要调试主页或者无法找到一个提供满意的免费主页服务器，或者你认为上载主页太浪费时间时，这项功能就显得尤为重要，目前的虚拟域名服务与此不同的是，虚拟域名服务要求你的主页必须安放在具有固定域名的主页服务器上，然后才能提供转移访问，而动态IP服务器则可以随时跟踪你的动态IP，并将访问者转移到你的本地Web服务器上。只要你联网并且你的本地Web服务器正在运行，DynamIP可以自动地确定你的DIPS信息是否需要更新到动态IP服务器。配合DIPS，用户可以在不上载任何文件的情况下进行Web聊天。 !mNst$-H4  
　　4. POP mail checker：电子信箱检查，可最多检查5个不同的POP3账户，并在新邮件到来后以可视或声音信号进行提示，自动运行E-mail客户端软件取信。 !mNst$-H4  
　　5. IP chat：点对点IP聊天，类似IRC，但是不需要任何IRC服务器，DynamIP可以在用户指定IP地址区间内扫描，你可以向所有聊天成员或者特定IP地址广播消息，你可以向其他聊天成员打招呼以引起对方注意并建立一个私人聊天。DynamIP支持微软网络电话软件MS NetMeeting。 !mNst$-H4  
　　6. WEBchat：Web聊天。你的主页访问者可以利用浏览器直接与你对话，即使对方没有安装DynamIP，前提是你在主页中安装了如图2的页面，该页面将被DynamIP动态更新，浏览器必须支持forms，Netscape和Internet Explorer，毫无疑问都支持forms。访问者可以在forms中填写语句，然后按submit按钮，该语句被发送到你的计算机（利用DynamIP捕获的动态IP）。可以与功能3配合实现本地Web聊天，则不必上载主页到任何服务器。 !mNst$-H4  
　　7. HTTPscan：HTTP扫描。DynamIP可以在用户指定IP地址区间内扫描，并以超文本文件格式生成一个包含所有被搜索到的HTTP服务器的清单。用途之一是当你与某人进行点对点IP聊天时，你可以立即访问对方的主页。 !mNst$-H4  
　　8. PC Clock Synchronizer：时钟同步。DynamIP可以从NTP服务器获得精确的日期和时间以校准你的机器时钟，另外也可以用来部分地解决“千年虫”问题。 !mNst$-H4  
　　五、DynamIP的安装、设置 !mNst$-H4  
　　1. DynamIP的安装 !mNst$-H4  
　　DynamIP的安装只有一个条件，那就是你的Windows系统中必须有VB6.0的运行库—MSVBVM60.DLL。该文件没有包含在DynamIP的软件包中，用户必须从微软公司VB官方站点下载，文件名是Vbrun60new.exe，它是自动安装文件，文件长度为1MB。 !mNst$-H4  
　　

2. DynamIP的设置 !mNst$-H4  
　　DynamIP的基本原理是很简单的，DynamIP将利用模板文件（Template）中的各项形式参数来更新一个本地文件，该文件包含了你的当前动态IP地址，然后DynamIP自动上载该文件到你的个人主页服务器，于是其他访问你的主页的用户可以利用该页面上的动态IP地址信息与你建立连接，实现各种网络应用；或者DynamIPS更新你的DIPS信息到动态IP服务器，所有访问该服务器的用户可以被转移到你的本地Web服务器上。所以在设置和准备DynamIP的时候，一切工作都是围绕这个模板文件和你的动态IP地址进行的。 !mNst$-H4  
　　DynamIP的主要功能是Uploader文件上载工具（动态IP地址发布），本文将以此为例介绍DynamIP的设置，其他各项功能的设置类似。运行DynamIP，选择setup-uploader，则进入设置窗口（图3），各项参数如下： !mNst$-H4  
　　Active：打开/关闭此项服务； !mNst$-H4  
　　Remote Host：你的主页所在的FTP主机地址，注意不要填写主机上的路径； !mNst$-H4  
　　Login：你的FTP账户名； !mNst$-H4  
　　Password：你的FTP账户口令；这三项参数使得DynamIP可以登录到你的FTP主机，自动上载更新的文件，通常填写的是存放主页的主机地址。 !mNst$-H4  
　　Template Online：联机模板文件，该文件将用来生成包含你的IP地址的动态本地文件（LocalFile），模板文件不会被更新。本地文件和模板文件名字不能相同，否则DynamIP不会正常工作。如果此项填写“”，则DynamIP将上载未更新的本地文件，可以用来上载数码相机拍摄的图片进行动态直播，参看“refresh every”。 !mNst$-H4  
　　Template OFFline：脱机模板文件，通常与联机模板相同，如果你想在脱机之前上载一个不同的页面，你可以选择一个不同的模板文件，此项可以填写“”，功能同上。 !mNst$-H4  
　　Local File：本地动态文件的路径和文件名，以联机或者脱机模板文件为样式更新的文件，包含用户当前动态IP地址等信息。 !mNst$-H4  
　　Remote File：存放在FTP服务器上的远程动态文件的路径和文件名，本地动态文件将上载和覆盖该文件，不要填写服务器的域名或者IP地址。 !mNst$-H4  
　　IP：联机模板文件中的IP地址形式参数，该参数将在联机时被用户当前的动态IP地址所替换，DynamIP默认的形式参数是NOT.ON.LINE.NOW，通常没有必要改动，若改动，则此项内容必须与模板文件中的形式参数名完全相同。模板文件中还包含了其他形式参数，如IP、DateTime、WEBchat、HTTP Server、FTP Server，这些形式参数都将在联机时被DynamIP自动替换，因此最好不要随便改动，即使改动，也要注意每个形式参数的名称不得相同 !mNst$-H4  
　　，并且各项内容必须与模板文件中的形式参数名完全相同。 !mNst$-H4  
　　post last IP(OFFline)：张贴上次IP地址，脱机模板文件中代表上次IP地址的形式参数，默认值为( is the default value)。此项内容必须与模板文件中的形式参数名完全相同。 !mNst$-H4  
　　DateTime：联机模板文件中的日期时间形式参数。 !mNst$-H4  
　　HTTP Server/Port：联机模板文件中的HTTP服务器/端口形式参数，这里的HTTP服务器系建立在本地主机上的HTTP服务器（例如个人Web服务器），DynamIP用你的当前动态IP地址替换该参数，以便将访问者转移到你的本地Web服务器。默认值为：“default value is HTTP Server NOT available. ”默认端口值为：80。 !mNst$-H4  
　　FTP Server/Port：联机模板文件中的FTP服务器/端口形式参数，含义同上，只是服务器为本地FTP服务器。默认值为：“FTP Server NOT available”，默认端口值为：21。 !mNst$-H4  
　　FTP UserID：联机模板文件中的FTP用户ID形式参数，默认值为：“anonymous”，可以改变为其他账户名。 !mNst$-H4  
　　六、DynamIP应用实例 !mNst$-H4  
　　假如网上任意两个用户（实际上是计算机）能够相互知道对方的IP地址，则双方就能利用TCP/IP建立直接的点对点网上连接，进行信息沟通。更进一步，主叫方只要获得了被叫方的IP地址，就可以发出呼叫、建立连接、实现应用，如利用网络电话直接通话或者发送文件。DynamIP正是抓住了建立点对点IP连接的关键环节，捕捉并发布用户的当前动态IP地址，以便接收其他用户的呼叫。以下为DynamIP应用举例。 !mNst$-H4  
　　1. 点对点网络电话 !mNst$-H4  
　　在主页中添加下面一行语句： !mNst$-H4  
　　我正在网上，请给我打电话 !mNst$-H4  
　　若访问者通过IE浏览器访问该页面，点击该超链接将会运行网络电话软件NetMeeting呼叫IP地址为111.222.123.123的计算机，如果对方的NetMeeting处于等待状态，则可以接收到呼叫，并进行通话。 !mNst$-H4  
　　微软公司的浏览器支持callto协议，可以用NetMeeting呼叫该超链接指定的IP地址。但是Netscape的浏览器不支持callto，解决的办法是改为一个指向快速拨号文件的超链接，这样无论是在IE还是在Netscape中，打开该拨号文件都会运行网络电话软件NetMeeting。 !mNst$-H4  
　　语句如下： !mNst$-H4  
　　 我正在网上，请给我打电话 !mNst$-H4  
　　这里ls.cnf是一个NetMeeting的快速拨号文件，记录了被叫方的IP地址，内容如下： !mNst$-H4  
　　[ConferenceShortcut] !mNst$-H4  
　　ConfName=111.222.123.123 !mNst$-H4  
　　Address=111.222.123.123 !mNst$-H4  
　　CallFlags=65543 !mNst$-H4  
　　Transport=1 !mNst$-H4  
　　类似的语句还有：click here to call me，可以激活Vocaltech Iphone。 !mNst$-H4  
　　以上工作可以直接利用DynamIP的联机模板文件（图2）来实现，DynamIP将利用模板文件更新本地动态文件，上载并覆盖远程动态文件，主页的访问者看到的是包含当前IP地址的超链接，点击超链接将会激活网络电话软件，建立点对点网络电话连接服务。网络电话NetMeeting支持利用服务器实现的间接连接和呼叫对方IP地址的直接点对点连接，这里使用的是后者。如果你上载了脱机文件，访问者将得知你不在网上。 !mNst$-H4  
　　2. IP chat：点对点IP聊天（图4），类似IRC，但是不需要任何IRC服务器，因为双方已经知道IP地址。注意要在Setup--pchat中打开Active。工具栏中有用于呼叫、扫描、睡眠/唤醒的各项功能按钮。 !mNst$-H4  
　　3. WEBchat：Web聊天，你的主页访问者可以利用浏览器直接与你对话（图5），即使对方没有安装DynamIP，前提是你在主页中安装了如图2的页面，该页面将被DynamIP动态更新。 !mNst$-H4  
　　用户可以决定上载联机文件或者脱机文件，以便及时通知访问者自己是否联网。 !mNst$-H4  
　　4. 动态IP的个人Web服务器：若已经在本地主机安装了个人Web服务器，可以利用DIPS服务，将访问者转移到你的本地主机。这需要申请一个免费账户。网址是： !mNst$-H4  
　　http://postmodem.com/dips-admin/。 !mNst$-H4  
　　七、总结与提示 !mNst$-H4  
　　DynamIP可以捕获和发布用户的当前动态IP地址，从而使点对点的IP连接成为可能，这些是网络传呼软件无法做到的。另外，对于每一种基本功能，如果能够巧妙地结合其他方法，往往能实现更复杂的应用。例如，你是否想过在运行TCP/IP的局域网上使用DynamIP的强大功能呢？ !mNst$-H4  
　　同时应该注意到，DynamIP更像是为高级网络用户准备的发烧级工具。在网上公布自己的动态IP地址固然有利于沟通，但同时也带来了相当大的风险，因为黑客用以搜索和攻击目标的坐标就是IP地址，许多流行黑客工具甚至只需要一个输入参数—你的IP地址。因此，最好不要在存放重要资料的计算机上进行这些高级网络应用试验。 !mNst$-H4  
!mNst$-H4  

I LOVE YOU 预防病毒的方法 !mNst$-H4  
!mNst$-H4  
!mNst$-H4  
其实预防感染 I LOVE YOU 病毒，最有效的方法，当然就是不要开启任何不明来历的电子邮件。即使是你的父母、亲人、男女朋友或好朋友，如发觉这些电子邮件和上文介绍过的变种相同的，就一定不要接受了。并且立即删除它，以防止不小心的执行了。 !mNst$-H4  
!mNst$-H4  
但因为 VBS_LoveLetter 的变种仍在不断产生，故此仍不能排除变种的名称不在上文提及过的。如大家接受到一些是附带了一些是以 Javascript, vbs 等的纯数据档案或破坏力更强的 exe, com, bat 等的执行档案，就要尽量小心了。 !mNst$-H4  
!mNst$-H4  
不过亦有一种治标不治本的方法，可防止被纯数据档案入侵的。这就是关闭执行 Script ，例如在 Internet Explorer 里关闭执行 Script 这指令。 !mNst$-H4  
!mNst$-H4  
!mNst$-H4  
IE 的预防方法 !mNst$-H4  
1. 开启 IE，并在最上方的菜单里选择 工具 > Internet 选项。 !mNst$-H4  
2. 在 Internet 选项的窗口里，选择"安全性"。 !mNst$-H4  
3. 然后按下"自订层级"。 !mNst$-H4  
4. 然后在"Script 处理"里，将所有的选项都关闭，这样日后 IE 便不会执 行所有由 Script 写成的档案了。 !mNst$-H4  
!mNst$-H4  
注：因为网上有很多网页，都会用 Script 写成的，故此可能有些网页是不能到达或开启的。 !mNst$-H4  
!mNst$-H4  
!mNst$-H4  
改用"记事本"执行 Script 档案 !mNst$-H4  
1. 按 开始 > 设定 > 数据夹选项。 !mNst$-H4  
2. 在资料夹选项的窗口里，选择"档案类型"。 !mNst$-H4  
3. 选择"VBScript 檔"，再按"编辑"。 !mNst$-H4  
4. 按"开启(O)"，再按"编辑"。 !mNst$-H4  
5. 然后按"浏览"来寻找"记事本"的执行档，即　Notepad.exe，再按"确 定"。 !mNst$-H4  
6. 之后，就会见到"开启档案"变为"记事本"开启了。以后会当有用 Script 写地的档案，都会用"记事本"来开启，这样便可以防止病毒的直 接攻击。 !mNst$-H4  
!mNst$-H4  
补救已感染了 I LOVE YOU 病毒的方法 !mNst$-H4  
1. 首先，在"开始 > 执行"的空白处中填上"regedit"，然后按"确定" ，就会出现一个"登录编辑器"。并删除以下的 3 个位置内的档案： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunServices\Win32DLL HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run\MSKernel32 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run\WIN-BUGSFIX 或 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run\WinFAT32 !mNst$-H4  
!mNst$-H4  
2. 然后，重新开启计算机。再在以下的位置里，删除以下的档案。 c:\windows\Win32DLL.vbs c:\windows\system\MSKernel32.vbs c:\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs 或 c:\windows\system\Very Funny.vbs c:\windows\system\LOVE-LETTER-FOR-YOU.HTM 或 c:\windows\system\Very Funny.HTM !mNst$-H4  
!mNst$-H4  
3. 在"开始 > 寻找 > 档案及资料夹"的空白位置填上 WIN-BUGSFIX.exe 或 WinFAT32.exe，如成功寻找这档案，立即将它删除。 !mNst$-H4  
!mNst$-H4  
4. 再用同一个方法寻找所有 Vbs, vbe, js, jse, css, wsh, sct, hta, vbs, jpg, jpeg 的副文件名，然后将它删除。因为 VBS_LOVELETTER 病毒 会感染以上这些副文件名的档案。 !mNst$-H4  
!mNst$-H4  
5. 如有使用 mIRC 的使用者，就需要多删除一个档案，而这档案将会在 mIRC 的资料夹内。 !mNst$-H4  
!mNst$-H4  
6. 移除所有 Outlook 内的电邮，因为 VBS_LOVELETTER 病毒可能已经传染到 Outlook 内所有的电子邮件。 !mNst$-H4  
!mNst$-H4  

病毒杂谈 !mNst$-H4  
!mNst$-H4  
!mNst$-H4  
什么是病毒，怎样预防及消灭病毒？关于这个话题，众说纷纭。有人说，只要拥有了一套功能强大的杀毒软件便万事大吉；有人说，只要不上网就可抗拒病毒的侵害；还有人认为，只要定期格式化硬盘就能把病毒扼制在萌芽状态……面对种种说法，笔者感到他们把病毒看得太神奇，或者说对病毒的了解不是很清楚，对病毒的预防与剿灭不是很了解。 !mNst$-H4  
!mNst$-H4  
认识病毒 !mNst$-H4  
病毒，是指能够破坏计算机系统，影响计算机工作并能实现自我复制的一段程序或指令代码。随着计算机工业的发展，病毒程序层出不穷，到了21世纪的今天它的种类已经达到千万种。虽然病毒的类型有很多，变型的病毒更无法计算，但是就其传染对象来分只不过四类：BIOS、硬盘引导区、操作系统与应用程序病毒。 !mNst$-H4  
!mNst$-H4  
在知道了病毒的定义与分类以后，我们再来看看电脑感染了病毒后会出现哪些异常现象： !mNst$-H4  
;>>:7rdYt  
BIOS病毒现象 ;>>:7rdYt  
1、开机运行几秒后突然黑屏 ;>>:7rdYt  
2、外部设备无法找到 ;>>:7rdYt  
3、硬盘无法找到 ;>>:7rdYt  
4、电脑发出异样声音 ;>>:7rdYt  
;>>:7rdYt  
硬盘引导区病毒现象 ;>>:7rdYt  
1、无法正常启动硬盘 ;>>:7rdYt  
2、引导时出现死机现象 ;>>:7rdYt  
3、执行C盘时显示“Not ready error drive A Abort，Retry，Fail?” ;>>:7rdYt  
;>>:7rdYt  
操作系统病毒现象 ;>>:7rdYt  
1、引导系统时间变长 ;>>:7rdYt  
2、计算机处理速度比以前明显放慢 ;>>:7rdYt  
3、系统文件出现莫名其妙的丢失，或字节变长，日期修改等现象 ;>>:7rdYt  
4、系统生成一些特殊的文件 ;>>:7rdYt  
5、驱动程序被修改使得某些外设不能正常工作 ;>>:7rdYt  
6、软驱、光驱丢失 ;>>:7rdYt  
7、计算机经常死机或重新启动 ;>>:7rdYt  
;>>:7rdYt  
应用程序病毒现象 ;>>:7rdYt  
1、启动应用程序出现“非法错误”对话框 ;>>:7rdYt  
2、应用程序文件变大 ;>>:7rdYt  
3、应用程序不能被复制、移动、删除 ;>>:7rdYt  
4、硬盘上出现大量无效文件 ;>>:7rdYt  
5、某些程序运行时载入时间变长 ;>>:7rdYt  
;>>:7rdYt  
预防病毒 ;>>:7rdYt  
计算机感染病毒后会给我们带来很多不必要的麻烦，因此如何预防病毒是一件刻不容缓的工作。下面笔者将介绍一些预防病毒的措施： ;>>:7rdYt  
;>>:7rdYt  
一、杜绝传染渠道 ;>>:7rdYt  
病毒的传染无非是两种方式：一是网络，二是软盘与光盘。如今由于电子邮件的盛行，通过互联网传递的病毒要远远高于后者。为此，我们要特别注意在网上的行为。 ;>>:7rdYt  
;>>:7rdYt  
1、不要轻易下载小网站的软件与程序。 ;>>:7rdYt  
2、不要光顾那些很诱惑人的小网站，因为这些网站很有可能就是网络陷阱。 ;>>:7rdYt  
3、不要随便打开某些来路不明的E-mail与附件程序。 ;>>:7rdYt  
4、安装正版杀毒软件公司提供的防火墙，比如赛门铁克的个人防火墙软件，并注意时时打开着。 ;>>:7rdYt  
5、不要在线启动、阅读某些文件，否则您很有可能成为网络病毒的传播者。 ;>>:7rdYt  
6、经常给自己发封E-mail，看看是否会收到第二封未属标题及附带程序的邮件。 ;>>:7rdYt  
;>>:7rdYt  
对于软盘，光盘传染的病毒，我想预防的方法就是不要随便打开程序或安装软件。可以先复制到硬盘上，接着用杀毒软件检查一遍，再执行安装或打开命令。 ;>>:7rdYt  
;>>:7rdYt  
二、设置传染对象的属性 ;>>:7rdYt  
病毒其实是一段程序或指令代码，它主要针对的是以EXE与COM结尾的文件，由于它天生的局限性，因此预防病毒的另一种方法便是设置传染对象的属性，即：把所有以EXE与COM为扩展名的文件设定“只读”。这样一来就算病毒程序被激活，也无法对其他程序进行写操作，也就不能感染可执行程序了，因此病毒的破坏功能受到了很大的限制。 ;>>:7rdYt  
;>>:7rdYt  
关于宏病毒 ;>>:7rdYt  
不夸张地说，几乎所有使用Word的朋友都曾经与宏病毒狭路相逢过。宏病毒的产生主要是因为Word本身配有内置语言，简单地说就是具备编程功能，因此有很多别有用心的人就利用了它的这一功能制作出宏病毒。宏病毒的破坏性虽不大，但对于靠笔杆为生的人的来说确实是一种负担，为此笔者特意借此文告诉大家一些检测、预防宏病毒的方法。 ;>>:7rdYt  
;>>:7rdYt  
一、检测宏病毒 ;>>:7rdYt  
宏病毒的检测其实非常简单，只要点击Word界面上菜单栏的[工具]→[宏]→[宏]，接着在“宏名”列表中查看是否有AutoExce与AutoOpen两个自动宏便可。 ;>>:7rdYt  
;>>:7rdYt  
二、预防宏病毒 ;>>:7rdYt  
宏病毒通常是驻留在文档或模板的宏中，如果打开这样的文档或模板，就会激活宏病毒 ;>>:7rdYt  
，并使病毒进入Normal.dot模板文件中。为此要预防宏病毒，可以采用以下方法： ;>>:7rdYt  
;>>:7rdYt  
1、利用Word本身具有清除宏（病毒）的功能。当Word识别出一个打开的文档中具有自动执行宏时，它会出现一个对话框，让用户选择是否打开宏，为了预防宏病毒一般我们选择[取消宏]按钮。 ;>>:7rdYt  
;>>:7rdYt  
2、在Normal.dot模板文件中创建一个自己的宏（AutoExce），具体代码为： ;>>:7rdYt  
“Sub Main ;>>:7rdYt  
DisableAutoMacros 1 ;>>:7rdYt  
End Sub” ;>>:7rdYt  
;>>:7rdYt  
这样就能禁止其他自动宏的运行，预防宏病毒的感染。另外注意一点，此程序是在Word的“工具/宏/Visual Basic编辑器”中完成。 ;>>:7rdYt  
;>>:7rdYt  
3、将文件保存为TXT（纯文本文件）或RTF形式（文本文件，但可以包括其他一些非文本文件信息，例如：图片，表格等）。 ;>>:7rdYt  
;>>:7rdYt  

IP欺骗的技术 ;>>:7rdYt  
;>>:7rdYt  
;>>:7rdYt  
                                   ;>>:7rdYt  
IP欺骗的技术比较复杂，不是简单地照猫画老虎就能掌握，但作为常规攻击手段，有必要理解其原理，至少有利于自己的安全防范，易守难攻嘛。 ;>>:7rdYt  
假设B上的客户运行rlogin与A上的rlogind通信： ;>>:7rdYt  
1. B发送带有SYN标志的数据段通知A需要建立TCP连接。并将TCP报头中的sequence number设置成自己本次连接的初始值ISN。 ;>>:7rdYt  
2. A回传给B一个带有SYS+ACK标志的数据段，告之自己的ISN，并确认B发送来的第一个数据段，将acknowledge number设置成B的ISN+1。 ;>>:7rdYt  
3. B确认收到的A的数据段，将acknowledge number设置成A的ISN+1。 ;>>:7rdYt  
B ---- SYN ----> A ;>>:7rdYt  
B <---- SYN+ACK A ;>>:7rdYt  
B ---- ACK ----> A ;>>:7rdYt  
TCP使用的sequence number是一个32位的计数器，从0-4294967295。TCP为每一个连接选择一个初始序号ISN，为了防止因为延迟、重传等扰乱三次握手，ISN不能随便选取，不同系统有不同算法。理解TCP如何分配ISN以及ISN随时间变化的规律，对于成功地进行IP欺骗攻击很重要。 ;>>:7rdYt  
基于远程过程调用RPC的命令，比如rlogin、rcp、rsh等等，根据/etc/hosts.equiv以及$HOME/.rhosts文件进行安全校验，其实质是仅仅根据信源IP地址进行用户身份确认，以便允许或拒绝用户RPC。关于上述两个文件请man，不喜欢看英文就去Unix版看看我以前灌过的一瓢水。 ;>>:7rdYt  
IP欺骗攻击的描述： ;>>:7rdYt  
1. 假设Z企图攻击A，而A信任B，所谓信任指/etc/hosts.equiv和$HOME/.rhosts中有相关设置。注意，如何才能知道A信任B呢？没有什么确切的办法。我的建议就是平时注意搜集蛛丝 ;>>:7rdYt  
马迹，厚积薄发。一次成功的攻击其实主要不是因为技术上的高明，而是因为信息搜集的广泛翔实。动用了自以为很有成就感的技术，却不比人家酒桌上的巧妙提问，攻击只以成功为终极目标，不在乎手段。 ;>>:7rdYt  
2. 假设Z已经知道了被信任的B，应该想办法使B的网络功能暂时瘫痪，以免对攻击造成干扰。著名的SYN flood常常是一次IP欺骗攻击的前奏。请看一个并发服务器的框架： ;>>:7rdYt  
int initsockid, newsockid; ;>>:7rdYt  
if ((initsockid = socket(...)) <0) { ;>>:7rdYt  
error("can't create socket"); ;>>:7rdYt  
} ;>>:7rdYt  
if (bind(initsockid, ...) <0) { ;>>:7rdYt  
error("bind error"); ;>>:7rdYt  
} ;>>:7rdYt  
if (listen(initsockid, 5) <0) { ;>>:7rdYt  
error("listen error"); ;>>:7rdYt  
} ;>>:7rdYt  
for (;;) { ;>>:7rdYt  
newsockid = accept(initsockid, ...); /* 阻塞 */ ;>>:7rdYt  
if (newsockid <0) { ;>>:7rdYt  
error("accept error"); ;>>:7rdYt  
} ;>>:7rdYt  
if (fork() == 0) { /* 子进程 */ ;>>:7rdYt  
close(initsockid); ;>>:7rdYt  
do(newsockid); /* 处理客户方请求 */ ;>>:7rdYt  
exit(0); ;>>:7rdYt  
} ;>>:7rdYt  
close(newsockid); ;>>:7rdYt  
} ;>>:7rdYt  
listen函数中第二个参数是5，意思是在initsockid上允许的最大连接请求数目。如果某个时刻initsockid上的连接请求数目已经达到5，后续到达initsockid的连接请求将被TCP丢弃。注意一旦连接通过三次握手建立完成，accept调用已经处理这个连接，则TCP连接请求队列空出一个位置。所以这个5不是指initsockid上只能接受5个连接请求。SYN flood正是一种Denial of Service，导致B的网络功能暂 碧被尽?nbsp; ;>>:7rdYt  
Z向B发送多个带有SYN标志的数据段请求连接，注意将信源IP地址换成一个不存在的主机X；B向子虚乌有的X发送SYN+ACK数据段，但没有任何来自X的ACK出现。B的IP层会报告B的TCP层，X不可达，但B的TCP层对此不予理睬，认为只是暂时的。于是B在这个initsockid上再也不能接收正常的连接请求。 ;>>:7rdYt  
Z(X) ---- SYN ----> B ;>>:7rdYt  
Z(X) ---- SYN ----> B ;>>:7rdYt  
Z(X) ---- SYN ----> B ;>>:7rdYt  
Z(X) ---- SYN ----> B ;>>:7rdYt  
Z(X) ---- SYN ----> B ;>>:7rdYt  
...... ;>>:7rdYt  
X <---- SYN+ACK B ;>>:7rdYt  
X <---- SYN+ACK B ;>>:7rdYt  
X <---- SYN+ACK B ;>>:7rdYt  
X <---- SYN+ACK B ;>>:7rdYt  
X <---- SYN+ACK B ;>>:7rdYt  
...... ;>>:7rdYt  
作者认为这样就使得B网络功能暂时瘫痪，可我觉得好象不对头。因为B虽然在initsockid上无法接收TCP连接请求，但可以在another initsockid上接收，这种SYN flood应该只对特定的 ;>>:7rdYt  
服务(端口)，不应该影响到全局。当然如果不断地发送连接请求，就和用ping发洪水包一个道理，使得B的TCP/IP忙于处理负载增大。至于SYN flood，回头有机会我单独灌一瓢有关DoS的。如何使B的网络功能暂 碧被居 很多办法，根据具体情况而定，不再赘述。 ;>>:7rdYt  
3. Z必须确定A当前的ISN。首先连向25端口(SMTP是没有安全校验机制的)，与1中类似，不过这次需要记录A的ISN，以及Z到A的大致的RTT(round trip time)。这个步骤要重复多次以便求出 ;>>:7rdYt  
RTT的平均值。现在Z知道了A的ISN基值和增加规律(比如每秒增加128000，每次连接增加64000)，也知道了从Z到A需要RTT/2的时间。必须立即进入攻击，否则在这之间有其他主机与A连接， ;>>:7rdYt  
ISN将比预料的多出64000。 ;>>:7rdYt  
4. Z向A发送带有SYN标志的数据段请求连接，只是信源IP改成了B，注意是针对TCP513端口(rlogin)。A向B回送SYN+ACK数据段，B已经无法响应(凭什么？按照作者在2中所说，估计还达不到这个效果，因为Z必然要模仿B发起connect调用，connect调用会完成全相关，自动指定本地socket地址和端口，可事实上B很可能并没有这样一个端口等待接收数据。除非Z模仿B发起 ;>>:7rdYt  
连接请求时打破常规，主动在客户端调用bind函数，明确完成全相关，这样必然知道A会向B的某个端口回送，在2中也针对这个端口攻击B。可是如果这样，完全不用攻击B，bind的时候 ;>>:7rdYt  
指定一个B上根本不存在的端口即可。我也是想了又想，还没来得及看看老外的源代码，不妥之处有待商榷。总之，觉得作者好象在蒙我们，他自己也没有实践成功过吧。)，B的TCP层只是 ;>>:7rdYt  
简单地丢弃A的回送数据段。 ;>>:7rdYt  
5. Z暂停一小会儿，让A有足够时间发送SYN+ACK，因为Z看不到这个包。然后Z再次伪装成B向A发送ACK，此时发送的数据段带有Z预测的A的ISN+1。如果预测准确，连接建立，数据传送开始。问题在于即使连接建立，A仍然会向B发送数据，而不是Z，Z仍然无法看到A发往B的数据段，Z必须蒙着头按照rlogin协议标准假冒B向A发送类似 "cat + + >> ~/.rhosts" 这样的命令，于是攻击完成。如果预测不准确，A将发送一个带有RST标志的数据段异常终止连接，Z只有从头再来。 ;>>:7rdYt  
Z(B) ---- SYN ----> A ;>>:7rdYt  
B <---- SYN+ACK A ;>>:7rdYt  
Z(B) ---- ACK ----> A ;>>:7rdYt  
Z(B) ---- PSH ----> A ;>>:7rdYt  
...... ;>>:7rdYt  
6. IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性，建议阅读rlogind的源代码。攻击最困难的地方在于预测A的ISN。作者认为攻击难度虽然大，但成功的可能性 ;>>:7rdYt  
也很大，不是很理解，似乎有点矛盾。考虑这种情况，入侵者控制了一台由A到B之间的路由器，假设Z就是这台路由器，那么A回送到B的数据段，现在Z是可以看到的，显然攻击难度 ;>>:7rdYt  
骤然下降了许多。否则Z必须精确地预见可能从A发往B的信息，以及A期待来自B的什么应答信息，这要求攻击者对协议本身相当熟悉。同时需要明白，这种攻击根本不可能在交互状态下完 ;>>:7rdYt  
成，必须写程序完成。当然在准备阶段可以用netxray之类的工具进行协议分析。 ;>>:7rdYt  
7. 如果Z不是路由器，能否考虑组合使用ICMP重定向以及ARP欺骗等技术？没有仔细分析过，只是随便猜测而已。并且与A、B、Z之间具体的网络拓扑有密切关系，在某些情况下显然大幅度 ;>>:7rdYt  
降低了攻击难度。注意IP欺骗攻击理论上是从广域网上发起的，不局限于局域网，这也正是这种攻击的魅力所在。利用IP欺骗攻击得到一个A上的shell，对于许多高级入侵者，得到目标主 ;>>:7rdYt  
机的shell，离root权限就不远了，最容易想到的当然是接下来进行buffer overflow攻击。 ;>>:7rdYt  
8. 也许有人要问，为什么Z不能直接把自己的IP设置成B的？这个问题很不好回答，要具体分析网络拓扑，当然也存在ARP冲突、出不了网关等问题。那么在IP欺骗攻击过程中是否存在ARP冲突问题。回想我前面贴过的ARP欺骗攻击，如果B的ARP Cache没有受到影响，就不会出现ARP冲突。如果Z向A发送数据段时，企图解析A的MAC地址或者路由器的MAC地址，必然会发送ARP请求包，但这个ARP请求包中源IP以及源MAC都是Z的，自然不会引起ARP冲突。而ARP Cache只会被ARP包改变，不受IP包的影响，所以可以肯定地说，IP欺骗攻击过程中不存在ARP冲突。相反，如果Z修改了自己的IP，这种ARP冲突就有可能出现，示具体情况而言。攻击中连带B一起攻击了，其目的无非是防止B干扰了攻击过程，如果B本身已经down掉，那是再好不过(是吗？)。 ;>>:7rdYt  
9. fakeip曾经沸沸扬扬了一下，我对之进行端口扫描，发现其tcp端口113是接收入连接的。和IP欺骗等没有直接联系，和安全校验是有关系的。当然，这个东西并不如其名所暗示，对IP层没有任何动作。 ;>>:7rdYt  
10. 关于预测ISN，我想到另一个问题。就是如何以第三方身份切断A与B之间的TCP连接，实际上也是预测sequence number的问题。尝试过，也很困难。如果Z是A与B之间的路由器，就不用说了；或者Z动用了别的技术可以监听到A与B之间的通信，也容易些；否则预测太难。作者在3中提到连接A的25端口，可我想不明白的是513端口的ISN和25端口有什么关系？看来需要看看TCP/IP内部实现的源代码。 ;>>:7rdYt  
未雨绸缪 ;>>:7rdYt  
虽然IP欺骗攻击有着相当难度，但我们应该清醒地意识到，这种攻击非常广泛，入侵往往由这里开始。预防这种攻击还是比较容易的，比如删除所有的/etc/hosts.equiv、$HOME/.rhosts文件，修改/etc/inetd.conf文件，使得RPC机制无法运做，还可以杀掉portmapper等等。设置路由器，过滤来自外部而信源地址却是内部IP的报文。cisio公司的产品就有这种功能。不过路由器只防得了外部入侵，内部入侵呢？ ;>>:7rdYt  
TCP的ISN选择不是随机的，增加也不是随机的，这使攻击者有规可循，可以修改与ISN相关的代码，选择好的算法，使得攻击者难以找到规律。估计Linux下容易做到，那solaris、irix、hp-unix还有aix呢？sigh ;>>:7rdYt  
虽然作者纸上谈兵，但总算让我们了解了一下IP欺骗攻击，我实验过预测sequence number，不是ISN，企图切断一个TCP连接，感觉难度很大。作者建议要找到规律，不要盲目预测，这需要时间和耐心。现在越发明白什么是那种锲而不舍永远追求的精神，我们所向往的传奇故事背后有着如此沉默的艰辛和毅力，但愿我们学会的是这个，而不是浮华与喧嚣。一个现成的bug足以让你取得root权限，可你在做什么，你是否明白？我们太肤浅了...... ;>>:7rdYt  
                                                                     ;>>:7rdYt  
;>>:7rdYt  

攻击软件原理与防范 ;>>:7rdYt  
;>>:7rdYt  
;>>:7rdYt  
特洛伊木马 原  理 ;>>:7rdYt  
          BO【Back Oriffice】象是一种没有任何权限限制的FTP服务器程序，黑客先使用各种方法诱惑他人使用BO的服务器端程序，一旦得逞便可通过BO客户端程序经由TCP/IP网络进入并控制远程的Windows的微机。 ;>>:7rdYt  
    其工作原理：Boserve.exe在对方的电脑中运行后，自动在win里注册并隐藏起来，控制者在对方上网后通过Boconfig.exe(安装设置的程序)和Boclient.exe(文本方式的控制程序)或Bogui.exe(图形界面控制程序)来控制对方。 ;>>:7rdYt  
   网上更有一些害人虫将木马程序和其他应用程序结合起来发送给攻击者，只要对方运行了那个程序，木马一样的会驻留到windwos系统中。 ;>>:7rdYt  
      BO本质上属于客户机/服务器应用程序。它通过一个极其简单的图形用户界面和控制面板，可以对感染了BO（即运行了 BO服务器）的机器操作Windows本身具备的所有功能。 ;>>:7rdYt  
   这个仅有123K的程序，水平一流，令那些复杂而庞大的商用远程管理 软件相形见绌。而真正可怕的是：BO没有利用系统和软件的任何漏洞或Bug，也没有利用任何微软未公开的内部API，而完全是利用Windows系统的基本设计缺陷。甚至连普通的局域网防火墙和代理服务器也难以有效抵挡。 ;>>:7rdYt  
      BO服务器可通过网上下载、电子邮件、盗版光盘、人为投放等途径传播，并且可极其隐藏地粘贴在其他应用程序。一旦激活，就可以自动安装，创建Windll.dll，然后删除自安装程序，埋名隐姓，潜伏在机器中。外人就可通过BO客户机程序，方便地搜索到世界上任何一台被BO感染并上网的计算机IP地址。通过IP地址就可对其轻易实现网络和系统控制功能。 ;>>:7rdYt  
    可获取包括网址口令、拨号上网口令、用户口令、磁盘、CPU，软件版本等详细的系统信息；可删除、复制、检查、查看文件；可运行机内任何一个程序；可捕捉屏幕信息；可上传各种文件；可以查阅、创建、删除和修改系统注册表；甚至可以使计算机重新启动或锁死机器。而所有这些功能的实现，只需在菜单中作一选择，轻摁一键，就可轻松完成。 除了BO外，还有很多原理和它差不多的特洛伊木马程序，例如：【NetSpy】【Netbus】等。 ;>>:7rdYt  
;>>:7rdYt  
防   范 ;>>:7rdYt  
      不要随便运行不太了解的人给你的程序，特别是后缀名为exe的可执行程序。特洛伊木马程序很多，它们的安装服务器有Boserve.exe(122k),NETSPY.EXE(127k)，如果你从Email收到或是DOWN了大小和上述文件一样的EXE文件，运行时可要小心了。运行后如果程序突然消失，或者是无任何反应，那你很可能是被攻击了。这时候你的电脑就完全被别人所控制，他可以复制，删除甚至运行你电脑里的文件和程序。这时你只要到注册表里去修改一下就可以消灭它：运行注册表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的RunServices和RUN键值中的“.EXE”和“NETSPY.EXE”等的键值，将其删除，重新启动你的计算机然后删除Windows\System下的“.EXE”和“NETSPY.EXE”等程序就行了。或用最新版本的杀毒软件，如瑞星90（11），KV300等，你也可以下载一些专门扫除特洛伊木马的软件。 ;>>:7rdYt  
;>>:7rdYt  
如何防范Back Orifice2000 ;>>:7rdYt  
   对于95和98的用户： ;>>:7rdYt  
     检查c:\windows\system目录下是否有UMGR32~1.exe文件，如果有的话请运行Regedit将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中UMGT32.exe清除，Reboot你的机器，然后Delete你硬盘上的这个文件。 ;>>:7rdYt  
     对于NT的用户： ;>>:7rdYt  
     检查winnt\system32目录下是否有UMGR32~1.exe这个文件，如果有的话请先在任务管理器中对应的进程Kill掉再运行Regedit将路径指向HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service，然后Delete it，最好Reboot一次你的机器 ;>>:7rdYt  
邮件炸弹 原  理 ;>>:7rdYt  
        E-MAIL炸弹原本泛指一切破坏电子邮箱的办法，一般的电子邮箱的容量在5，6M以下，平时大家收发邮件，传送软件都会觉得容量不够，如果电子邮箱一下子被几百，几千甚至上万封电子邮件所占据，这是电子邮件的总容量就会超过电子邮箱的总容量，以至造成邮箱超负荷而崩溃。【kaboom3】【upyours4】【Avalanche v2.8】就是人们常见的几种邮件炸弹。 ;>>:7rdYt  
;>>:7rdYt  
防   范 ;>>:7rdYt  
    ⒈不要将自己的邮箱地址到处传播，特别是申请上网帐号时ISP送的电子信箱，那可是要按字节收费的哟！去申请几个免费信箱对外使用，随便别人怎么炸，大不了不要了。 ;>>:7rdYt  
    ⒉最好用POP3收信，你可以用Outlook 或Foxmail等POP收信工具收取Email。例如用Outlook，你可以选择“工具”/“收件箱助理”，然后点击“添加”在属性窗口可以设定对各种条件的Email的处理方式。如果我们想让超过1024KB的邮件直接从服务器上删除，根本不下载到计算机上，可以在邮件条件框中将“大于”选中，然后输入1024，接着在“执行下列操作”框中选中“从服务器删除”就行了。 ;>>:7rdYt  
    ⒊当某人不停炸你信箱时，你可以先打开一封信，看清对方地址，然后在收件工具的过滤器中选择不再接收这地址的信，直接从服务器删除。 EoLF7j<W  
    ⒋在收信时，一旦看见邮件列表的数量超过平时正常邮件的数量的若干倍，应当马上停止下载邮件，然后再从服务器删除炸弹邮件。（要用下面提到的工具） EoLF7j<W  
    ⒌不要认为邮件发送有个回复功能，就可以将发炸弹的人报复回来，那是十分愚蠢的！发件人有可能是用的假地址发信，这个地址也许填得与收件人地址相同。这样你不但不能回报对方，还会使自己的邮箱彻底完结！ EoLF7j<W  
   ⒍你还可以用一些工具软件防止邮件炸弹，下面本站就提供一个供大家下载： EoLF7j<W  
【echom201】这是一个功能强大的砍信机，每分钟能砍到1000封电子邮件，是对付邮件炸弹的好东西 EoLF7j<W  
端口攻击 原  理 EoLF7j<W  
     这类软件是利用Window95/NT系统本身的漏洞，这与Windows下微软网络协议NetBIOS的一个例外处理程序OOB（Out of Band）有关。只要对方以OOB的方式，就可以通过TCP/IP传递一个小小的封包到某个IP地址的Port139上，该地址的电脑系统即（WINDOWS95/NT）就会“应封包而死”，自动重新开机，你未存档的所有工作就得重新再做一遍了。 EoLF7j<W  
      你一定会问这个封包到底里面是些什么？会有如此神奇的效果！这不过是一些很小的ICMP（Internet Control Message Protocolata）碎片，当你机器收到这份“礼物”时，你的系统会不停地试图把碎片恢复，当然这是不可能的，它怎么会这样便宜你了！于是你的电脑系统就这样速度越来越慢直至完全死机！而你就只有重新启动。 EoLF7j<W  
      其实，并不只是Port139会出现问题，只要是使用OOB的开放接受端，都有可能出现症状不一的“电脑狂乱”情形。例如，Identel所用的Port113，据说收到同样的封包也会出问题。常见的端口攻击器有【uKe23】【voob】【WINNUKE2】。如果你还是用的win95，那您就要当心了。 EoLF7j<W  
防   范 EoLF7j<W  
      将你的Windows95马上升级到Windows98，首先修正Win95的BUG，在微软主页的附件中有对于Win95和OSR2以前的版本的补丁程序，Win98不需要。然后学会隐藏自己的IP，包括将ICQ中"IP隐藏"打开，注意避免在会显示IP的BBS和聊天室上暴露真实身份，特别在去黑客站点访问时最好先运行隐藏IP的程序。 EoLF7j<W  
JAVA 炸弹 原  理 EoLF7j<W  
     很多网友在聊天室中被炸了以后，就以为是被别人黑了，其实不是的。炸弹有很多种，有的是造成电脑直接死机，有的是通过HTML语言，让你的浏览器吃完你的系统资源，然后你就死机了。 这里我就告诉大家几个java炸弹的原理： EoLF7j<W  
EoLF7j<W  
第一个炸弹是javascript类型的炸弹： EoLF7j<W  
<img src="javascript:n=1;do{window.open('')}while(n==1)" width="1"> EoLF7j<W  
这个 javascript语言要求浏览在新窗口中再打开本页。新的页面被打开以后就会同样提出要求，于是浏览器不停地打开新窗口，没几秒钟你就死机了。就算是不死机，你也必须把浏览器中内存中驱除出去，这样，你就被踢出了网络。 EoLF7j<W  
EoLF7j<W  
下面分析一下这个HTML语言的原理。 分析 "javascript:n=1;do{window.open('')}while(n==1)" ，javascript 是定义运行此语言，n=1 是定义变量 n 等于 1 ， do{ }while(n==1) 指当 n 等于 1 ，的时候运行{ }中间的命令，window.open('') 指打开本窗口，整个语言的意思是，变量 n 赋值为 1 ，如果 n 等于 1 ，那么就打开一个窗口，而 n 永远等于 1 ，就不停地打开新的窗口。 EoLF7j<W  
EoLF7j<W  
同样道理，也可以利用无限循环的原理看看其他的炸弹。前面的文章中提到了 alert ("欢迎辞") 是用来致欢迎辞的，你可以在网页中加入以下的 javascript 语言： EoLF7j<W  
<SCRIPT language="LiveScript">javascript:n=1;do{alert ("嘿嘿，你死定了！");}while(n==1)</SCRIPT> EoLF7j<W  
EoLF7j<W  
下面介绍一个1999年5月才出炉的java炸弹，威力比上两种都强，大家务必要当心。 我们就不在这里提供效果了！ EoLF7j<W  
<HTML> EoLF7j<W  
<BODY> EoLF7j<W  
<SCRIPT> EoLF7j<W  
var color = new Array; EoLF7j<W  
color[1] = "black"; EoLF7j<W  
color[2] = "white"; EoLF7j<W  
for(x = 0; x <3; x++) EoLF7j<W  
{ EoLF7j<W  
document.bgColor = color[x] EoLF7j<W  
if(x == 2) EoLF7j<W  
{ EoLF7j<W  
x = 0; EoLF7j<W  
} EoLF7j<W  
} EoLF7j<W  
</SCRIPT> EoLF7j<W  
</BODY> EoLF7j<W  
</HTML> EoLF7j<W  
防   范 EoLF7j<W  
    唯一的防范方法就是你在聊天室聊天时，特别是支持HTML的聊天室（比如湛江，新疆等）请你一定记住关掉你浏览器里的java功能，还要记住不要浏览一些来路不明的网站和不要在聊天室里按其他网友发出的超级链接，这样可以避免遭到恶作剧者的攻击。 EoLF7j<W  
EoLF7j<W  

黑客惯用手法揭秘 EoLF7j<W  
EoLF7j<W  
EoLF7j<W  
EoLF7j<W  
在登录一些站点特别是那些提供个人服务(比如股票、银行)的站点时，站点往往会首先要访问者填写一些密码之类的个人信息后才能进入。一些“高明”的“黑客”正是利用了这个过程，精心伪造一个登录页面，抢在真正的登录页面之前出现，待你“认真”地写下登录信息并发送后，真正的登录页面才姗姗来迟，而这时你的秘密已被窃取了。今年9月份台湾发生的一宗网络银行诈骗案，狡猾的犯罪分子用的就是这种伎俩。对付此种“黑客”，最佳的解决之道就是防患于未然，经常查看服务器的运作日志，若发现疑点要坚决及早处理，将隐患消灭在萌芽状态之中。 EoLF7j<W  
2

?声东击西 EoLF7j<W  
一些“黑客”利用某些防火墙的漏洞，巧妙地将自己的IP请求设置成指向防火墙的路径，而不是受防火墙保护的主机，所以他们可以畅通无阻地接近防火墙，这时“黑客”已经达到了目的。因为此时他们完全可以虚晃一枪，利用防火墙作跳板，轻松地长驱直入，直捣主机！如果有这种情况发生，那就得考虑是否要更换防火墙了，或者升级原来的防火墙，为它打上补丁。 EoLF7j<W  
3?一针见血 EoLF7j<W  
能够“修炼”到这种境界的一般都是“黑客”中的高手。他们凭借自己高超的技术，通过分析DNS(域名管理系统)而直接获取Web服务器等主机的IP地址，从而为打入“敌阵”彻底扫除障碍。对付这种“黑客”，几乎没有更好的办法，也许尽量不要接受免费域名服务是一个有点儿价值的措施，因为正规的注册域名服务一般都会有有效的安全手段，可以保证少受攻击或不受攻击。 EoLF7j<W  
4?旁敲侧击 EoLF7j<W  
电子邮件其实是一种很脆弱的通讯手段，一方面，它的安全性很差，传送的资料很有可能丢失或被中途拦截；另一方面，“特洛伊木马”等“黑客程序”大都通过电子邮件这个途径进驻用户的机器。而电子邮件恰恰是网络上用得最多的东西，许多公众网站和大公司局域网，出于吸引访问者或工作的需要，提供免费邮件或内部邮件的服务，而邮件服务器就成了“黑客”们攻击的对象。大名鼎鼎的微软甚至也深受“黑客”之害，而被迫将邮件服务器关闭了一天。当然，防范这些“黑客”，可采用以下措施：如邮件服务器专设专用，不与内部局域网发生关系；开启防火墙的邮件中转功能，让中转站过滤所有出入邮件等等。 EoLF7j<W  
以上所述的只不过是有关网络安全的一小部分，还有许多现象没有谈及。其实，谈得再多也不能使我们完全看清网络上的所有“猫腻”，因为网络的开放性决定了它的复杂性和多样性。随着技术的不断进步，各种各样高明的“黑客”会不断诞生，同时，他们使用的手段也会越来越先进，要斩断他们的黑手是不可能的。我们唯有不断加强防火墙等的研究力度，加上平时必要的警惕，相信“黑客”们的舞台将会越来越小 EoLF7j<W  
EoLF7j<W  
EoLF7j<W