通过虚拟机探讨网络隐身及木马攻击 |
| 2012-06-14 14:41 作者:秦 燊 来源:硅谷网-《硅谷》杂志 HV: 编辑:GuiGu 【搜索试试】
|
|
摘要:时至今日,网络已成为人类工作、学习、生活不可或缺的一部分,然而,数据被盗,隐私曝光,服务器瘫痪等安全问题时有发生。网络给人们带来便利的同时,也给黑客留下入侵空间,了解黑客入侵的途径,做到知己知彼,才能更好的保护好自己。以虚拟机的模拟,探讨DDoS攻击、黑客隐身、木马入侵等方面知识及相应的防御方法。
关键词:虚拟机;网络安全;网络隐身;木马病毒
中图分类号:TP文献标识码:A文章编号:1671—7597(2012)0420
【《硅谷》杂志2012年4月刊文】
1DDoS攻击及网络隐身
DDoS攻击的对象主要是服务器,攻击者通过各种途径和手段,使服务器资源耗尽,无法正常响应客户的请求。仅通过一台电脑发动的攻击,称为DoS攻击。通过大量被控电脑同时向受害服务器发动的攻击,则称为DDoS攻击。SYNFlood、UDPFlood等攻击都属于此类攻击,其原理及防护方法,笔者在《通过虚拟机探索网络协议及其安全》一文中已有论述,此处不再赘述。在实施DDoS攻击时,黑客为使自己不被发现,往往会借助代理服务器作为跳板,若被攻击主机的防火墙功能不强或配置不当,会误认为被黑客当作跳板的代理服务器是攻击者,将其加入黑名单,黑客则安然无事。网络隐身常见的方法如下:
1.1通过telnet隐身
启动三台虚拟机PC1、PC2、PC3,模拟黑客在PC1上利用telnet连接到PC2并入侵PC3,PC3上只能察看到PC2的连接,PC1实现了隐身。其中,PC2需开启telnet服务、Workstation服务(用于与PC3建立IPC$连接),PC3需开启IPC$共享(开启139端口、TaskScheduler服务、server服务、Workstation服务)。主要步骤:PC1通过telnet控制PC2,利用PC2的命令行界面,运行netuse\\PC3的IP\ipc$,连接到PC3,在PC3上运行netstat–an,只能发现作为跳板的PC2的IP地址,无法发现PC1。
在PC2上开启telnet服务的方法:可通过控制面板/管理工具/服务,选中telnet,属性,将启动类型设为自动或手动,应用,启动;也可通过先运行psservice工具:psservicesetconfigtelnetauto,将telnet服务的启动类型设置为自动,再输入命令:netstarttelnet,启动telnet服务。telnet作为windows自带的服务,给黑客留下了入侵渠道,若非必要,应将其关闭。
1.2通过代理软件隐身
1)黑客通过一级代理作跳板,实施入侵。启动三台虚拟机模拟:①作为代理服务器的PC2安装并启动Skserver服务,端口号保持默认值1813(查看命令:sksockserver–configport);②PC1上运行Skservergui,配置如下:将PC1设置为客户端;将经过的代理服务器设为PC2(1813端口);保留默认值“允许作为Sock5代理”,服务运行端口保留默认值1913,保存设置,开始运行。③PC1安装并运行SocksCap,设置Socks服务器为127.0.0.1,端口号为1913,协议为Socks版本5;通过代理上网的浏览器命名为IE2,指向C:\ProgramFiles\InternetExplorer\IEXPLORE.EXE。在SocksCap打开IE2,浏览PC3上的网页,在PC3上用命令netstat–an,可以看到,PC3认为是PC2在访问自己;不通过跳板,直接在主机中打开IE浏览器访问PC3时,PC3能识别出是PC1在访问自己。
2)黑客通过多级代理作跳板,实施入侵。防火墙或IDS的追溯功能可通过代理服务器找到黑客所在计算机,但追溯层数有限,黑客为使自己更隐蔽,会增加跳板的级数,多级跳板的实施与一级跳板类似,下面启动四台虚拟机,模拟二级跳板的实现。①保留一级跳板时各虚拟机的配置,新增PC4。②PC4作为二级跳板,需安装并启动Skserver服务。③在PC1打开的Skservergui中,将PC4(1813端口)添加到“经过的代理服务器”。④在SocksCap打开IE2,浏览PC3上的网页,在PC3上用命令netstat–an,可以看到,PC3认为是PC4在访问自己。
为使自己的计算机不沦为黑客入侵的跳板,要加强防范意识,及时打上补丁,关闭不必要的服务,加强防火墙和IDS的配置。
2木马入侵
木马的概念来源于在古希腊传说中的特洛伊木马,攻击者在攻打特洛伊城时,假装逃跑,留下了一个巨大的木马,特洛伊人将其作为战利品抬到城内,半夜木马内的士兵溜了出来,打开城门,攻击者很快进入击败了特洛伊人。计算机木马病毒也是在受害者不知情的情况下,入侵到受害者的电脑内部实施控制。
常见的木马病毒采用的技术主要有正向端口连接技术、反向端口连接技术、线程插入式技术等。正向端口连接技术是传统的木马连接技术,由黑客所在的客户端向受害者所在的服务器端主动提出连接请求,这种技术容易被防火墙拦截,此类木马有Netbus木马、冰河木马等;反向端口技术则由受害者所在的服务器端向黑客所在的客户端提出连接申请,而防火墙默认对内部发起的连接请求放行,因此,此种技术危害更大,此类木马有广外男生等。线程插入技术则是将木马作为线程插入到内存中系统正常的应用程序地址内,达到隐藏的效果。灰鸽子同时具备了后两种技术特征,不易被查杀。下面通过虚拟机模拟灰鸽子木马入侵的各种场景。
1)局域网内主机PC1控制PC2。PC1上安装Web服务器,运行灰鸽子客户端,生成用于控制其它计算机的木马服务器端(其中IP通知地址设为PC1的IP地址,用于受害者触发病毒时,主动联系PC1),使用WinRar将木马服务器端与纸牌游戏捆绑在一起,新建网页,网页提供捆绑有木马的游戏的下载链接,供不明真相的受害者下载运行。PC2访问PC1的Web服务器,下载游戏,运行游戏的同时,木马服务器端在后台自动运行,受害者在不知情的情况下被PC1的木马客户端控制。
2)外网PC2控制内网PC1。虚拟机PC1、PC2通过快照恢复初始状态。新增PC3,配双网卡,用于模拟路由器。PC3点击开始菜单/管理工具/路由与远程访问,启用NAT,达到内网可访问外网,外网不能访问内网的效果。木马客户端、服务器端的配置与局域网内部的木马入侵配置步骤类似,详细操作步骤可参看笔者文章《运用虚拟化技术模拟黑客入侵与防御》。
3)内网PC1控制外网PC2。虚拟机PC1、PC2、PC3通过快照恢复初始状态。PC3启用NAT,详细步骤同前。以下的配置是为了让外网访问内网的Web服务器和木马的客户端:左侧目录树选中“NAT/基本防火墙”,右侧选中连接外网的网卡,右击,属性,“服务和端口”选项卡,勾选“Web服务器(HTTP)”,默认传入端口和传出端口为80,专用地址输入PC1的IP地址,确定。经过此配置,外网用户通过IE浏览器输入PC3连接外网的网卡的IP地址时,会重定向到PC1的Web服务器,所以访问实际上是黑客挂马的网页。
刚才勾选和配置“Web服务器(HTTP)”,是做80端口的重定向,接着还要做木马客户端端口的重定向,使受害者运行木马病毒时,主动联接到PC1上的木马客户端。方法是在“服务和端口”选项卡中,点击“添加”,服务描述输入“木马”,传入端口和传出端口输入木马客户端端口8000,专用地址输入PC1的IP地址,确定。经过此配置,外网用户运行下载的游戏的同时,木马病毒会暗中连接到PC3的外网网卡,PC3根据连接请求的是8000端口,将其重定向到内网的PC1,PC1上监听8000端口的是木马客户端,至此,受害者的主机被木马客户端所控制。
4)某内网主机PC1控制另一局域网内的主机PC2。虚拟机PC1、PC3保持不变,用于模拟局域网1,挂马网站、木马病毒等都配置好了,等侍局域网2内的受害者下载运行被控;PC2通过快照恢复初始状态,新增PC4,配双网卡,用于模拟路由器,PC2与PC4用于模拟局域网2。PC4配置NAT,效果为内网主机PC2可访问外网,外网主机不能访问内网主机PC2。PC2通过IE浏览器输入PC3公网地址,访问到的是PC1挂马的网页,下载游戏运行,被控。
为防范木马的入侵,我们应加强安全意识,不随意下载、运行网上的软件和邮件的附件;安装进程监视器,经常查看是否有特殊的进程、异常的端口打开,及时结束危险进程;使用最新版的杀毒软件和防火墙,及时升级病毒库和为系统打补丁。
基金项目:2011年度广西教育厅科研项目立项项目;项目编号:201106LX821;项目名称:基于虚拟化技术的校园网络安全研究。
参考文献:
[1]周绯菲等,计算机安全技术实验教程[M].北京邮电大学出版社,2009.
[2]秦燊等,运用虚拟化技术模拟黑客入侵与防御[J].电脑知识与技术,2011(23).
[3]阿博泰克,网络安全高级应用[M].科学技术文献出版社,2009.
作者简介:
秦燊(1972-),男,讲师,硕士,研究方向:网络安全、计算机教育。(注:本文版权归作者本人和硅谷杂志所有,禁止他人未经授权转载)
|
|
|
|
【对“通过虚拟机探讨网络隐身及木马攻击”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
