陌路寻踪：谁是黑客？

最近，咱们网管大黑的心里塌实多了，而且心安理得地睡了几个好觉，原因不在吃了什么"脑心舒"，而是单位最近安装的一套入侵检测系统（IDS）。IDS系统被认为是防火墙之后的第二道安全闸门，它可从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。有了这套软件，来自外部的攻击数据一目了然，难怪大黑感到省心多了。再加上防火墙、杀毒软件、漏洞分析软件等工具的配合，系统开始正常运行了。刚开始几天，系统静悄悄的，显得很稳定。安安稳稳中，阿黑倒也睡了几个好觉。+ n+ y( F) p8 B* o2 f
星期一早上9:30，大黑比平时晚了一个小时赶到办公室，刚到就听到机房里面传来"嘀嘀嘀"的报警声，这是大黑在入侵检测系统中设置的一个报警程序，问题来了！坐到电脑前，大黑对症状进行了分析。病毒？对方根据邮件地址、相关IP地址、漏洞等得到相关信息，然后使用漏洞扫描器"入侵"？对方获得了一定的权限进行破坏？根据黑客入侵的路线，大黑对入侵者的蛛丝马迹进行了逆向侦察。 $ m' B+ z$ g7 n
+ {. [9 |+ A4 }) _0 j4 w# J
防火墙端口检查; s/ h" s6 I0 `& F
首先大黑进行了端口分析。一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息，从而发现系统的安全漏洞。通过执行端口扫描，大黑注意到有一台服务器的135、139、389和445端口都是开放的，因为单位的复杂人事关系，这台机器必须这样设置。
大黑撇了撇嘴，先看看防火墙。由于木马类型的病毒可轻易地打开网络，即使防火墙将所有的端口关闭。当机器感染特洛伊木马，它仍然可以让网络后门大开。一般来说，防火墙是被连接到互联网任一个网络的整体部分。如果没有安装防火墙，许多攻击可能在管理员不知道的情况下发生，而这样的攻击可能是很致命的，会直接导致计算机宕机，如果没有防火墙，可用路由器过滤掉易被入侵者利用来攻击网络的不需要的协议和端口。最多被使用的是TCP/IP协议。低端的TCP端口135，139，和445 ，以及UDP端口135，137，和445应该被阻拦，还有其它所有未使用的端口。你可以认为防火墙是修筑在你的网络附近的物理墙壁。每次打开端口，就在墙壁打了一个孔来安装窗口。一些窗口向外，另外一些向内。入侵者能利用窗口但只能看到网络里面有什么。你安装窗口(端口)越多，你的墙壁将变得更加透明。4 M7 C% P' \% H, P7 R: k/ _
大黑在命令行中输入"netstat -a"，查看是否有可疑的地方，然后用Fport端口查看工具，查看使用端口的进程。大多数木马或者后门都会打开一个自己的端口单独使用，因此从端口上查看能够发现一些木马后门的踪迹。但是，这并不能对付所有的木马，而且一些打开系统后门的方法也不能这样来检查。大黑注意到机器的端口80和443也是开放的，因此，大黑对这个活动进行了检测。首先，发生了端口扫描，在扫描的过程中，网络的通信量有一个突然的增加。端口扫描通常表现为持续数分钟的稳定的通信量增加，时间的长短取决于扫描端口的多少。键入以下命令：Netstat -p tcp -n ，得到以下结果：8 _1 I( l- p! T; q' t: P* m
Active Connections
Proto Local Address Foreign Address State. F5 j: ?7 U3 B
TCP 202.109.100.*:2572 127.199.34.42:135 TIME_WAIT
TCP 202.109.100.*:2984 127.199.34.42:1027 TIME_WAIT
TCP 202.109.100.*:3106 127.199.34.42:1444 SYN_SENT
TCP 202.109.100.*:3107 127.199.34.42:1445 SYN_SENT2 ~! ?/ j2 y% v/ k
TCP 202.109.100.*:3108 127.199.34.42:1446 SYN_SENT
TCP 202.109.100.*:3109 127.199.34.42:1447 SYN_SENT
TCP 202.109.100.*:3110 127.199.34.42:1448 SYN_SENT/ }9 f% t. ]/ W* x* Y
TCP 202.109.100.*:3111 127.199.34.42:1449 SYN_SENT3 m% s5 `; ]- d: |% r+ d4 Z& J
TCP 202.109.100.*:3112 127.199.34.42:1450 SYN_SENT
TCP 202.109.100.*:3113 127.199.34.42:1451 SYN_SENT
TCP 202.109.100.*:3114 127.199.34.42:1452 SYN_SENT

小提示：在安全检测的过程中，端口能直接反映问题所在，在安全测试过程中一般都需要对端口进行详细地检查。
$ ?  x9 t' Q# N5 R
以上信息中，大黑注意到在本地和外部地址上有大量的SYN_SENT信息，同时还有一些ESTABLISHED或TIME_WAIT信息。可以判断，入侵信息的关键在于连续的端口序列和来自同一主机的大量连接。大黑心里纳闷并琢磨着，有连接未必不是好事情，问题的关键在于：他是怎么和大黑进行连接的？" ?. |. G/ I1 J' s
) l7 R6 a, D* H* v) o' U
用户追踪- E# K) F. g, M0 y" X
病毒发展迅速，并且许多新病毒每周被发布，谨慎的大黑通过几个大型杀毒站点看了看最新的病毒信息。不过，公司的系统也安装了抗病毒软件，除了定期升级抗病毒软件，病毒软件也被设置为最高安全性，这样，任一种恶意病毒活动的形式都将被禁止。
为了进一步提高安全性，大黑打开任务管理器，看看有没有一些异常的进程，对于每个进程，大黑根据经验进行了比较，特别是类似于系统名称的进程也进行了比较，因为入侵者命名的进程往往很接近系统的进程名。当然，不排除一些入侵者使用可隐藏的进程通过系统进程来达到目的。根据机器的状况和侦察软件的配合，没有发现异常情况。从目前的情况看，系统内还没有木马之类的入侵程序。
公司的人员分布比较广泛，全国各地都有办事机构。因此，大黑采用了限制拨号用户的接入和限制用户从远程登入的功能，并且记录用户活动。使用VPN访问网络是一种可信任的安全方法。比正常PPP 连接，VPN连接的数据相是较不易受拦截。在高安全环境下设定远程连接要求证件检验。在客户端证明上使用强的密码认证方法。远程存取依然是最微弱的链接，如果不正确地实施，在许多情况下将会被入侵者寻找利用。另外，从公司网络划分出独立的网段给拨号用户是一个不错的方法。这种解答可能有许多功能特点。如果网络用户需要拨号回到被预先决定的数字是一个好方式，这样可以保证后面设置连接确实连接到用户的家里。另一考虑是，用户不能在本地机器存放密码，他访问网络的密码不应该被保存，应该在每次连接时键入。
为了确定黑客是否进入了系统，大黑打开"计算机管理"，查看是否有可疑用户出现，即在各个用户组里面是否存在不该有的账号，特别是administrators管理员组，按照一些黑客教程的惯用手法，他们通常把Guest、TsInternetUser 这样的系统提供的账户添加到管理员组里面去。7 n' [' w6 Q8 ^* p! c% R6 A
大黑根据自己的猜测进行了测试，首先是寻找网络中的弱点。Windows网络口令用于使用Web服务器上的Web服务，这些网络登录信息对大黑来说是最有用的，因此大黑决定朝这个方向试一试。首先从一个机器下载账号名列表，从中选出一个很少使用的，例如guest账号。大黑用这个账号尝试多次登录直到它被锁住，这样大黑就能推测设置的是什么账号锁住策略了。大黑启动脚本，并运行Whisker扫描器程序，它使用大黑为IIS服务器编写的一个脚本，来试探公共代理服务器信息。现在，可以坐等结果了。
为了验证猜测，大黑根据系统的特点，在"性能"里面进行了一些设置。果然，在大黑的探测过程中，从一些关键入侵检测记数器指标中接收到许多警报信息。第一个是Web Service-Connection Attempts/sec，在此之前，大黑进行了设置，首先打开"管理工具"中的"性能"图标添加计数器。; N) I: Q3 r5 A* w; b, D

根据大黑的经验，这个指标能显示出Web信息量的突然增加。另一个非常重要的记数器是Web Service-Not Found Errors/sec。9 c. Q! c) |. S( f1 H
由于类似于Whisker 的Web 扫描器要检查指定URL的存在，因此以上性能记数器就会显示出通信量的急剧增长和404错误信息。预先设定通信量的正常水平，有扫描行为时，就会发出警报。再查看共享文件夹，看是否出现不该有的共享，正常的配置情况下应该取消所有的共享，但是黑客们为了传送文件等等的方便，会再次打开一些共享，当然，大多数被入侵者打开的共享往往被他们忘记关闭了。顺便再看看会话，呵，好厉害的角色！黑客还在发送信息呢。8 p; b1 u: ^4 b! y: {) w

本地记录9 ]$ F) s& H' c0 V! n# e
通常一些后门都是被安装到系统目录下的，而且"黑客"们也喜欢将自己的文件放置在系统目录里面，因为那里实在是很少人去检查，也更方便执行。大黑把备份文件列表和当前文件列表进行了比较，开始看不出什么区别，只是多了一些新增加的类似系统文件名的程序。
大黑开始仔细查看系统的日志，然后查看了所开服务的日志，比如FTP、IIS等等的日志。这个工作量比较大，因此，大黑决定从这些方面来查看，以减少工作量：是否出现日记记录断裂（入侵者通常消除他们的痕迹，而且一般都是删除整个日志或者删除部分日志）；是否有可疑的账号登录（使用账号登录是最直接的入侵手段）；是否在不该出现的时间段内发生了不该有的事件，比如晚上12点大家下班后仍有管理员登录。大黑发现IIS日志已经详细记录了一个入侵者扫描80端口的全过程，以及他能够获得的有用信息，对于开启WEB服务的服务器来说，多数入侵都是通过这里进入的。平时，大黑记录日志的时候不仅进行审计，还应该作到一定程度上的跟踪记录。在windows 2000下主要有下面的一些日志，大黑仔细进行了查看。& U+ q5 r& i# h/ C& P0 e( h
C:\winnt\system32\logfiles\*.* & N# t  Y6 p6 `% p5 e# k9 S
C:\winnt\ssytem32\config\*.evt ; Z+ K! R5 e2 z; @$ W* T# ?
C:\winnt\system32\dtclog\*.*
C:\winnt\system32\*.log% {4 ^4 i9 f0 ]/ D6 t
C:\winnt\system32\*.txt
C:\winnt\*.txt
C:\winnt\*.log
打开"本地连接"的"属性"，在"TCP/IP协议"的"属性"选项卡上单击"高级"按钮，然后选择"WINS"选项卡，启用或者禁用NBT（NetBIOS）。/ ~( I' M2 O" V. N+ [
经过处理后，再次执行命令："nbtstat -a 202.109.100.*"，出现的是"Host Not Found"，没有共享了。

陌路寻踪之思考# K0 J6 f4 p1 \; F2 S' \  s
现在，该考虑写一下工作报告了。在日志里面，大黑找到了一些黑客的记录。如何诱敌深入？如何查出入侵者的地理位置？光看IP Address还不行，一般来说，140.xxx.xxx.xxx很多都是学术网络的主机，而168.95.xxx.xxx的一定是 HiNet的主机(168.95.0为HiNet Class B网络)。在固定式的网络环境中，入侵者一定和网络提供单位有着密切的关系。因为假设是局域网，那么距离绝对不出几公里。就算是拨接，也很少有人会花大笔钱去拨外县市甚至国外的拨接服务器。因此，只要查出连线的单位，入侵者必然离连线单位不远。经过大黑的判断，这个连接用户的地址不属于这个范围。可能是拨接式的网络。4 B% f6 j' ^  C& V- l' N# |
　　拨接式的网络就比较令人头疼了。大黑也知道，现在许多ISP为了吸引客户，卖了很多的所谓小时卡、记点卡，不需申请、而且账号密码就直接附在上面的卡片。黑客只要买了固定的小时数，不需另外向ISP提出申请，就可以按照卡片上的说明自行拨接上网。这样当然可以吸引客户，但是ISP就根本无从得知是谁在用他们的网络。但是，这样对大黑来说，就很不好判断了。也就是说，虽然以小时卡提供拨接服务给拨接使用者带来相当大的便利，但却是系统安全的大敌，网络管理员的恶梦。那要从拨号的地点查吗？入侵者可以不用自己名下的电话上网。管它是偷是抢，或是盗打街头电话，反正查到的发话来源绝不是入侵者自己的电话。一阵郁闷！
当然，大黑也考虑过制作陷阱来捕获入侵者，那需要作好详细的准备工作，比如：安排好嗅探工具、设置好日志记录和跟踪等等，保证能够有足够的能力来控制局面并掌握主动。对于入侵者设置的后门，大黑大可设计一个程序来模拟他设置的后门，监听后门使用的端口，等待入侵者再次连接该端口，用大黑安排的嗅探器来捕获。应该说，问题到这一步也就截止了，因为系统已经正常了，但大黑还在思考下一步该怎么办。! \9 g; R: ?  g$ _
现在，问题逐渐显现出来，在现实生活中，一天24小时中可能发生许多次网络报警事件，但哪些比较重要，哪些可能并不重要，就要分清楚了。看看单位花了十多万买来的这套入侵检测系统，还是存在着不少问题，转眼间，报警界面上又出现了许许多多的警告信息，看来，花钱并不能买了安全，更重要的，还在于自身的防范能力。还是应证了那句话：没有绝对的安全，只有相对的安全。

本主题由 zccasdf 于 2008-8-15 09:14 移动

收藏分享评分

回复引用

订阅 TOP

返回列表