在電腦網(wǎng)絡(luò)時(shí)代�����,大家不可避免地會(huì)接觸到有關(guān)黑客的世界�,特別是對(duì)于網(wǎng)絡(luò)管理員�。黑客攻擊網(wǎng)絡(luò)和系統(tǒng)的方法,是五花八門的����、同時(shí)也千變?nèi)f化���,并且隨著網(wǎng)絡(luò)、INTERNET技術(shù)的爆炸式發(fā)展過程��,黑客技術(shù)也在日新月異的發(fā)展過程之中��。! ^" V; }: i3 p' \3 t
; l# K* F3 @" i
在黑客技術(shù)中�����,有一種古老和原始的攻擊網(wǎng)絡(luò)口令的方法����,那就是窮舉法。一般這種方法借助一個(gè)暴力攻擊程序����,用預(yù)先設(shè)置好的一組口令進(jìn)行猜測(cè)行為,如果網(wǎng)絡(luò)服務(wù)器程序報(bào)告“口令錯(cuò)誤”的提示��,則用下一個(gè)口令再次進(jìn)行猜測(cè)�,直到找到正確的口令為止。雖然這種方法很原始�,然而黑客們往往大有收獲,特別對(duì)于那些非專業(yè)計(jì)算機(jī)用戶或口令知識(shí)薄弱的用戶,其口令常常在不知不覺中被盜取����。在“也說軟件”欄目中介紹的NetThief程序就是這樣的一個(gè)FTP口令暴力攻擊程序。
2 [2 o4 n" Y2 ^% O+ a- N7 [2 s# M: @* f5 P. t
對(duì)于一些黑客的初學(xué)者���,或者技術(shù)不是非常高明的(例如我羅��!當(dāng)然我不是黑客�����,只是技術(shù)不高明)��,這種攻擊程序的猜測(cè)行為都會(huì)在被攻擊的服務(wù)器上留下蛛絲馬跡���,勤奮或者細(xì)心的網(wǎng)絡(luò)管理員都可以找到真兇。例如對(duì)于Windows NT 4.0和使用Microsoft IIS的FTP服務(wù)程序�����,就可以找到下面一些被攻擊的癥狀:* T+ {0 z; b5 p7 Y4 g# I
% V2 x Q& m' q. }; P【一】打開Windows NT的事件查看器�����,進(jìn)入日志 —>系統(tǒng)菜單項(xiàng)�����,你會(huì)發(fā)現(xiàn)大量時(shí)間相等或非常接近���、ID值為100的系統(tǒng)警告信息�����。這些警告信息的來源標(biāo)記為“MSFTPSVC”�,如果你再查看該信息的詳細(xì)內(nèi)容�,有類似如“由于以下錯(cuò)誤,服務(wù)器無法登錄到 Windows NT 帳號(hào)‘xxxx’: 登錄失?����。何粗挠脩裘蝈e(cuò)誤密碼����。”的信息��。在這里���,判斷是否屬于非法暴力攻擊的依據(jù)是:這種警告信息的出現(xiàn)突然非常頻繁�����。+ t/ g& `; Y, |1 I# |5 Z. \6 a! r
. [- P& C u8 i+ _1 y& b* [【二】Microsoft Internet Service Manager可以啟動(dòng)FTP的登錄日志����,這種登錄的日志有兩種記錄方法。一是�����,按照每天���、每周�、或每月等記錄到一個(gè)相應(yīng)的LOG日志文件中���,這種方法配置簡(jiǎn)單����,功能有限����;二是記錄到一個(gè)ODBC數(shù)據(jù)庫(kù)中���,這種方法可以使你將登錄日志寫到數(shù)據(jù)庫(kù)�����,通過自己開發(fā)的應(yīng)用程序可以實(shí)現(xiàn)多種功能���,例如對(duì)于我們正在談的主題��,就可以讓應(yīng)用程序自動(dòng)判斷服務(wù)器遭到這種非法暴力攻擊的可能性����。
0 \) q9 B5 ~- ]9 Z, K這里��,我不再講述第二種方法的具體實(shí)現(xiàn)�����,只說一下在第一種方法中����,你將會(huì)發(fā)現(xiàn)些什么,怎樣判斷遭受的攻擊�。' k% W% h+ Y& m2 ]) d( {. [) t
當(dāng)你打開LOG日志文件��,例如C:\WINNT\SYSTEM32\LOGFILES\IN981110.LOG�����,對(duì)于遭受到非法暴力攻擊的服務(wù)器�����,同樣可以發(fā)現(xiàn)大量時(shí)間相等或非常接近的登錄信息�����,而且登錄的遠(yuǎn)程工作站的IP地址相同�����,具有如下的形式:( Y6 a& i( g& ]3 @. y0 a
10.0.0.1, easy, 98-11-10, 11:51:23, MSFTPSVC, NT40, -, 0, 11, 0, 0, 0, [1] USER , easy, -,
8 n% I3 L( g$ q4 h* V10.0.0.1, -, 98-11-10, 11:51:23, MSFTPSVC, NT40, -, 0, 14, 0, 0, 1326, [1] PASS , -, -, " F }- x! U' e- z9 X3 g, D
如上所述�����,這種方法相比第一種方法����,更加可以查到攻擊的遠(yuǎn)程工作站以及遭到攻擊的用戶名稱���,上面的示例中:10.0.0.1是進(jìn)行口令攻擊的遠(yuǎn)程工作站�����,easy是受到攻擊的用戶�,而MSFTPSVC則是攻擊的來源���。判斷是否屬于非法暴力攻擊的依據(jù)仍然是:這種不成功登錄信息的出現(xiàn)突然非常頻繁�。通過跟蹤其中PASS行的內(nèi)容�,還可以知道該用戶的口令是否被最終盜取成功 |
發(fā)表于 2011-1-13 17:07:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡