建站前沿

黑客是如何查找网络安全漏洞

 

电脑黑客们总是希望知道尽可能多的信息，比如:是否联网、内部网络的架构以及安全防范措施的状态。一旦那些有经验的黑客盯上了你的网络系统，他们首先会对你的系统进行分析。这就是为什么我们说运用黑客的“游戏规则”是对付黑客的最好办法的原因。以黑客的眼光来审视网络安全性，往往可以发现很多潜在的安全漏洞。这样做不仅提供了审视你网络系统的不同视角，而且让你能够从你的敌人，即黑客的角度来指导你采取最有效的网络安全措施。

 

开源工具收集信息

 

首先，登录Whois.com网站查找你企业的域名，检索结果将会显示出你的网络系统所使用的DNS服务器。然后再使用一些软件工具，如:nslookup，来进一步挖掘DNS服务器的详细信息。接下来，需要将目标转向于企业的公众Web站点与你能找到的匿名FTP服务器。注意，你现在需要关注的信息主要是:域名、这些域名的IP地址、入侵检测系统的所有信息、用户名、电话号码、电子邮件地址、物理位置、已发布的安全策略、业务合作伙伴的资料、以及新并购企业的信息。

 

此外，在你的上述搜索操作中，一定要特别注意这些网站上已显示的与没有显示的信息。最好，把这些网页存入你的电脑中，然后用记事本程序打开，查看网页的源代码。一般而言，查看网页的源代码可以大量的信息，这也就是某些站点有意对浏览者屏蔽源代码的原因。在源代码文件中，你也许能够了解到网站开发者建站的方式:他们所使用的软 件类型及软件版本、网站以及网页的架构，有时候甚至能够发现一些网站管理员的个人资料。业务合作伙伴的站点或一些新的并购企业的站点往往是黑客入侵的关键点。这些站点是间接入侵目标站点的最佳突破口，容易被网站管理员所忽视，给黑客攻击者制造了大量的机会。如果你在这方面没有足够的警惕性，疏忽大意，很草率地新某个新的业务合作者的网站与你自己的站点联接起来，往往会造成很严重的后果，给你的站点带来极大的安全威胁。在这样的情况下，安全问题比经营问题更加重要，一定要确保安全操作。

 

从外部审视网络

 

有了上述信息收集，你可以开始审视你的网络了。你可以运用路径追踪命令来查看你的网络拓扑结构图与访问控制的相关设置。你会获得大量交换机的特征信息，用来旁路访问控制设备。注意，命令的反馈结果会因为所使用操作系统的不同而有所差别。UNIX操作系统使用UDP，也可以选择使用ICMP;而Windows操作系统默认用ICMP来响应请求(Ping)。

 

你也可以用开源工具管理大量ping sweep、执行TCP/UDP协议扫描、操作系统探测。这样做的目的就是要了解，在那些外部访问者的眼中，你的网络系统的运行状况与一些基本的面 貌、特征。因此，你需要检验你的网络系统，哪些端口与服务对外部访问者是开放的或可用的，外部访问者是否可以了解到你所使用的操作系统与一些程序，极其版本信息。简言 之，就是要了解到你的网络系统究竟对那些外部访问者开放了哪些端口或服务，泄露了哪些站点的基本信息。

 

在你开始上述工作之前，你必须要先获得足够的授权，才能进入整个网络系统并对其进行考察、分析。千万不要将你了解到信息告知那些不怀好意的人。记住:安全防护是一个实 施过程，而不仅仅是一种技术。

 

黑客怎么侦察与隐藏IP地址方法

 

在正式进行各种“黑客行为”之前，黑客会采取各种手段，探测(也可以说“侦察”)对方的主机信息，以便决定使用何种最有效的方法达到自己的目的。

 

来看看黑客是如何获知最基本的网络信息——对方的IP地址;以及用户如何防范自己的IP泄漏。
 

获取IP

 

“IP”作为Net用户的重要标示，是黑客首先需要了解的。获取的方法较多，黑客也会因不同的网络情况采取不同的方法，如：在局域网内使用Ping指令，Ping对方在网络中的名称而获得IP;在Internet上使用IP版的QQ直接显示。而最“牛”，也是最有效的办法是截获并分析对方的网络数据包。用Windows 2003的网络监视器捕获的网络数据包，可能一般的用户比较难看懂这些16进制的代码，而对于了解网络知识的黑客，他们可以找到并直接通过软件解析截获后的数据包的IP包头信息，再根据这些信息了解具体的IP。

 

隐藏IP
 

虽然侦察IP的方法多样，但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言，就可以安装能够自动去掉发送数据包包头IP信息的“Norton Internet Security 2003”。不过使用“Norton Internet Security”有些缺点，譬如：它耗费资源严重，降低计算机性能;在访问一些论坛或者网站时会受影响;不适合网吧用户使用。现在的个人用户采用最普及隐藏IP的方法应该是使用代理，由于使用代理服务器后，“转址服务”会对发送出去的数据包有所修改，致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE)都支持使用代理方式连接Internet，特别是QQ使用“ezProxy”代理软件连接后，IP版的QQ都无法显示该IP地址。

 

网络IP隐藏器，只要在“代理服务器”与“代理服务器端”填入正确的代理服务器地址与端口，即可对http使用代理，比较适合由于IE与QQ泄漏IP的情况。不过使用代理服务器，同样有一些缺点，如：会影响网络通讯的速度;需要网络上的一台能够提供代理能力的计算机，如果用户无法找到这样的代理服务器就不能使用代理(查找代理服务器时，可以使用“代理猎手”工具软件扫描网络上的代理服务器)。虽然代理可以有效地隐藏用户IP，但高深的黑客亦可以绕过代理，查找到对方的真实IP地址，用户在何种情况下使用何种方法隐藏IP，也要因情况而论。

 

追踪黑客的网络攻击

 

网络安全是一个综合的、复杂的工程，任何网络安全措施都不能保证万无一失。因此，对于一些重要的部门，一旦网络遭到攻击，如何追踪网络攻击，追查到攻击者并将其绳之以法，是十分必要的。追踪网络攻击就是找到事件发生的源头。它有两个方面意义:一是指发现IP地址、MAC地址或是认证的主机名;二是指确定攻击者的身份。网络攻击者在实施攻击之时或之后，必然会留下一些蛛丝马迹，如登录的纪录，文件权限的改变虚拟证据，如何正确处理虚拟证据是追踪网络攻击的最大挑战。在追踪网络攻击中另一需要考虑的问题是:IP地址是一个虚拟地址而不是一个物理地址，IP地址很容易被伪造，大部分网络攻击者采用IP地址欺骗技术。这样追踪到的攻击源是不正确的。使得以IP地址为基础去发现攻击者变得更加困难。因此，必须采用一些方法，识破攻击者的欺骗，找到攻击源的真正IP地址。

netstat命令----实时察看文击者
 

使用netstat命令可以获得所有联接被测主机的网络用户的IP地址。Windows系列、Unix系列、Linux常用网络操作系统都可以使用“netstat”命令。使用“netstat”命令的缺点是只能显示当前的连接，如果使用“netstat”命令时攻击者没有联接，则无法发现攻击者的踪迹。为此，可以使用Scheduler建立一个日程安排，安排系统每隔一定的时间使用一次“netstat”命令，并使用netstat>>textfile格式把每次检查时得到的数据写入一个文本文件中，以便需要追踪网络攻击时使用。

日志数据--最详细的攻击记录
 

系统的日志数据提供了详细的用户登录信息。在追踪网络攻击时，这些数据是最直接的、有效的证据。但是有些系统的日志数据不完善，网络攻击者也常会把自己的活动从系统日志中删除。因此，需要采取补救措施，以保证日志数据的完整性。
 

Unix与Linux的日志

Unix与Linux的日志文件较详细的记录了用户的各种活动，如登录的ID的用户名、用户IP地址、端口号、登录与退出时间、每个ID最近一次登录时间、登录的终端、执行的命令，用户ID的账号信息。通过这些信息可以提供ttyname(终端号)与源地址，是追踪网络攻击的最重要的数据。大部分网络攻击者会把自己的活动记录从日记中删去，而且UOP与基于X Windows的活动往往不被记录，给追踪者带来困难。为了解决这个问题，可以在系统中运行wrapper工具，这个工具记录用户的服务请求与所有的活动，且不易被网络攻击者发觉，可以有效的防止网络攻击者消除其活动纪录。Windows NT与Windows 2000有系统日志、安全日志与应用程序日志三个日志，而与安全相关的数据包含在安全日志中。安全日志记录了登录用户的相关信息。安全日志中的数据是由配置所决定的。因此，应该根据安全需要合理进行配置，以便获得保证系统安全所必需的数据。但是，Windows NT与Windows 2000的安全日志存在重大缺陷，它不记录事件的源，不可能根据安全日志中的数据追踪攻击者的源地址。为了解决这个问题，可以安装一个第三方的能够完整记录审计数据的工具。
 

防火墙日志

作为网络系统中的“堡垒主机”，防火墙被网络攻击者攻陷的可能性要小得多。因此，相对而言防火墙日志数据不太容易被修改，它的日志数据提供最理想的攻击源的源地址信息。但是，防火墙也不是不可能被攻破的，它的日志也可能被删除与修改。攻击者也可向防火墙发动拒绝服务攻击，使防火墙瘫痪或至少降低其速度使其难以对事件做出及时响应，从而破坏防火墙日志的完整性。因此，在使用防火墙日志之前，应该运行专用工具检查防火墙日志的完整性，以防得到不完整的数据，贻误追踪时机。

 

在一个交换网络环境下捕获数据包比较困难，这主要是因为集线器与交换机在数据交换中本质的不同。集线器采用的是广播式传输，它不支持连接，而是把包发送到除源端口外的所有端口，与集线器相连的所有机器都可以捕获到通过它的数据包。而交换机支持端到端的连接，当一个数据包到达时交换机为它建立一个暂时的连接，数据包通过这个连接传到目的端口。所以，在交换环境下抓包不是一件容易的事。

 

(1)把交换机的一个“spanning port”(生成端口)配置成象一个集线器一样，通过这个端口的数据包不再与目的主机建立连接，而是广播式地发送给与此端口相连的所有机器。设置一个包捕获主机，便可以捕获到通过“spaning port”的数据包。但是，在同一时刻，交换机只能由一个端口被设置成“spanning port”，因此，不能同时捕获多台主机的数据包。
 

(2)在交换机之间，或路由器与交换机之间安装一个集线器。通过集线器的数据包便可以被捕获主机捕获。
 

在用捕获数据包获取攻击者的源地址的方法中，有两个问题需要注意:一是保证包捕获主机由足够的存储空间，因为如果在捕获数据包时网络吞吐量很大的话，硬盘很快会被填满;二是在分析数据包时，可编制一段小程序自动分析，手工分析这么多的数据是不可能的。搜索引擎----也许会有外的惊喜利用搜索引擎获得网络攻击者的源地址，从理论上讲没有根据，但是它往往会收到意想不到的效果，给追踪工作带来意外惊喜。黑客们在Internet上往往有他们自己的虚拟社区，他们在那儿讨论网络攻击技术方法，同时炫耀自己的战果。因此，在那里经常会暴露他们攻击源的信息甚至他们的身份。