2015-06-07 01:21:04
[Client]
SERVERIP=192.168.5.11
RESERVEIP=192.168.5.200
timestemp=600
SERVERIP=192.168.5.11
RESERVEIP=192.168.5.200
timestemp=600
抵御灰鴿子與數據安全
[ 2007-10-02 05:09:10 | 作者: sun ]
Sun原創
.首發黑客基地
動畫地址 http://iis.lzis.com/sun-x.rar
.首發黑客基地
動畫地址 http://iis.lzis.com/sun-x.rar
危險無處不在 賬號防盜防騙小經驗
[ 2007-03-25 04:13:32 | 作者: sun ]
最近盜號很猖獗,大家一定要小心看管自己的賬號!這里有一些小技巧希望大家能注意下。
1、公共場所上網、下機前,務必重起電腦
相信現在網吧電腦都100%安裝了還原系統,重起電腦基本可以杜絕菜鳥級別的盜號手段。
2、上網過程中,堅決不打開別人發你的不明鏈接
記得有一次,正跟玩魔力的朋 友QQ聊天。他莫名其妙的讓我去某網址看照片。我正猶豫的時候,他緊接著發過來一句“千萬別開那網頁,有病毒!我電腦已經感染了……”
上網,不要瀏覽亂七八糟的網站,尤其是現在的一些賣虛擬財產的網站,廣告價格特別便宜,其實就是引人上當。如果你上網感覺不明原因的電腦運行慢了,立刻重起電腦。
3、不要隨便陷入“網戀”
“網戀”騙號,損失的不只是物質財富,還有感情。網絡,只是一個虛擬的世界,不要過于想入非非。賬號盡量不要告訴別人,特別是異性,除非你絕對相信他!
4、賬號、密碼錯位輸入
比如你的賬號是ABcdEFG,你輸入的時候先輸入cd,再用鼠標把光標移動盜最前面輸入AB,再用鼠標把光標移動盜 最后輸入 EFG。這種方法可以讓大多數木馬失效。
1、公共場所上網、下機前,務必重起電腦
相信現在網吧電腦都100%安裝了還原系統,重起電腦基本可以杜絕菜鳥級別的盜號手段。
2、上網過程中,堅決不打開別人發你的不明鏈接
記得有一次,正跟玩魔力的朋 友QQ聊天。他莫名其妙的讓我去某網址看照片。我正猶豫的時候,他緊接著發過來一句“千萬別開那網頁,有病毒!我電腦已經感染了……”
上網,不要瀏覽亂七八糟的網站,尤其是現在的一些賣虛擬財產的網站,廣告價格特別便宜,其實就是引人上當。如果你上網感覺不明原因的電腦運行慢了,立刻重起電腦。
3、不要隨便陷入“網戀”
“網戀”騙號,損失的不只是物質財富,還有感情。網絡,只是一個虛擬的世界,不要過于想入非非。賬號盡量不要告訴別人,特別是異性,除非你絕對相信他!
4、賬號、密碼錯位輸入
比如你的賬號是ABcdEFG,你輸入的時候先輸入cd,再用鼠標把光標移動盜最前面輸入AB,再用鼠標把光標移動盜 最后輸入 EFG。這種方法可以讓大多數木馬失效。
十招準確檢測出間諜軟件
[ 2007-03-25 04:13:22 | 作者: sun ]
1.在使用某種商業軟件或免費軟件的工具檢查之前,盡可能的將機器清理干凈。運行防病毒軟件或反間諜軟件掃描,一旦發現一些異常的項目立即清除。有關這一主題的內容在網絡上有許多。需要注意的是,在進入下一步之前,專家們強烈建議使用并運行一種以上的殺毒、反間諜軟件掃描以便達到徹底清理。
2.建立一個檢查點或者對系統作備份。如果你使用的是Windows XP,那再方便不過了,這樣很快就能建立一個系統恢復點(依次打開:開始菜單――幫助和支持――使用系統還原恢復你對系統的改變,然后點擊創建一個還原點的按鈕)。當然還有其他的方法(對于那些使用Windows家族其他操作系統的人來說是唯一的方法)就是創建一整套系統的備份,包括系統狀態信息(如果其他辦法都不可行的話,你可以使用NTBackup.exe文件;他包含了所有Windows新版本的信息)。這樣的話,萬一在接下來的步驟中出了差錯,還可以將您的系統恢復到前一個正確的狀態。
3.關閉所有不必要的應用程序。一些反間諜軟件從電腦運行的所有線程和注冊表中查找不正常跡象,因此先退出所有應用程序再啟動反間諜程序運行檢查,可以節省大量時間。
4.運行反間諜程序。在這一步,我使用了Hijack This這個軟件。將下載回來的Zip文件解壓到你想要的目錄,然后雙擊HijackThis.exe這個執行文件,會跳出一個帶有提示“Do a system scan and save a logfile.”的窗口。默認狀態下,日志文件會保存在“我的文檔”中,我發現在保存的日志文件名稱中加入日期和時間信息很有用,這樣的話,一個名為hijackthis.log的文件就改名為hijackthis-yymmdd:hh.mm.log(hh.mm是24小時制的幾點幾分)。這樣的話,以后你任何時候再次運行Hijack This(一旦開始運行,它會自動清空以前的日志),都不必擔心丟失以前的日志。因此,時間標記不愧是個很好的方法,這對將來你的日志文件分析非常有用。
5.查看Hijack This結果窗口中顯示的掃描結果。這個結果與寫入日志文件的信息是相同的,并且你會發現在每一個項目的左邊都有一個復選框。如果你核選了某些項目,按下“Fix Checked“按鈕, Hijack This就可以將其徹底清除了。你會發現在那里有很多看上去秘密的文件,你可以對其進行快速掃描,以決定在這時采取何種操作。實際上,真正存在的問題是識別出哪些文件具有潛在的威脅,哪些是必須的,而哪些是無關緊要的。此時分析工具能夠幫上我們的大忙。記住,現在不要關閉Hijack This的查找結果窗口,也不需要進行核選操作,因為在接下來的步驟中我們還會返回這個窗口。
具體方法
6.用Hijack This的日志分析程序運行你的日志文件。你可以使用 Help2Go Detective或者 Hijack This Analysis 這兩個分析工具中的一個。如果兩個軟件都有的話,我個人傾向于Help2Go Detective,但這兩個都值得一試。在Hijack This日志里,你會發現每一個入侵(線程)的特殊信息和相關處理建議,包括哪些可以保留,哪些可以刪除(但卻是無害的),哪些是可疑文件(或許應該刪除,但是還需要進一步分析研究),以及哪些必須刪除(因為確定是惡意病毒)。這時,你可疑檢查所有被確認為惡意病毒的選項,或者與已知的間諜軟件和廣告軟件有關的選項。
7.檢查可疑項目(包括可選的激活項目)。有時你可以查看注冊表名稱或者相關文件和目錄信息,來檢查即使通過分析程序(使用Hijack This很明顯發現的)也沒有識別出的項目,這是可能是你故意安裝或使用的程序的一部分。這些項目經常會被單獨的遺留下來。如果檢查程序和你人為的都沒有發現這些項目,安全選項就會將它們備份然后刪除(然而如果你采取了這個步驟,那么要挽救這種狀況只有存儲一份備份文件或者返回到前一個恢復狀態。)如果你想知道你在查看的是什么文件,就進入下一個附加步驟,用google或其他搜索工具搜索項目的名稱。在99%的情況下我都可以在兩分鐘或更少時間內作出批準與否的決定。只有一少部分項目,最顯著的是dll文件不僅僅需要通過文件名的搜索驗證來裁留。
8.在Hijack This結果窗口核選有害文件和不確定的可疑項目,然后按下“Fix checked”按鈕。你也可以在結果窗口中滾動查看項目,并通過單擊來高亮選擇單獨的項目,接著通過點擊"Info on selected item…."(選中項目的信息……)來獲取這些項目的額外信息。這時來查看這些信息比在上一步驟查看更合適,因為這時分析工具的速度更快而且面向對象更友好。
9.重啟系統查看運行情況。如果系有統運行不正常現象,如應用程序不工作或變得異常,或者系統看上去不太對勁時,你需要決定是否需要返回到恢復狀態或備份狀態。如果Windows不能完成啟動,在系統啟動之初按下F8鍵,直到啟動進入安全啟動菜單,選擇最后一次正確的配置。這樣啟動就沒有問題了,系統啟動之后你還需要退回到恢復點,或者恢復到在第二步備份的狀態。如果你接收這個選項的話,就不需要保存改動了,可以直接越過第10步。
10.最后再運行依次Hijack This掃描:重復步驟4,但是需要注意更改保存日志文件的日期標簽。你可以掃描結果來確定移動的項目已經被徹底清除,或者只需保存你電腦狀態的快照,快速清除就可以了(這樣會對下一次進行同樣的操作產生一個有意義的參照狀態)。
存儲過程之外:SQL注入深入防御
[ 2007-03-25 04:12:59 | 作者: sun ]
幾年以前,對開發者提及”SQL注入”或者要求采取一個”深入防御”的措施,你大概會遭白眼。如今,越來越多的人聽過”SQL注入”攻擊而且開始關注這些攻擊出現帶來的潛在危險,但是大多數開發者仍然欠缺如何防止SQL注入攻擊的知識,而當問及他們的應用軟件如何防御SQL注入時,他們通常回答:“很簡單,只要使用存儲過程”。我們可以預見的是,使用存儲過程對于你的防御策略來說是非常好的開端,但是僅此一步卻不夠。你需要采用一個深入防御策略。
如果你不熟悉SQL注入攻擊和它們對你的應用軟件的潛在危險,請參考MSDN的文章 “SQLInjection” (http://msdn2.microsoft.com/en-us/library/ms161953.aspx)。
僅僅依賴存儲過程而無法執行一個深入防御的問題在于你真的只指望存儲過程開發者為你提供安全。類似于下面SQLServer代碼用來鑒別一個用戶的存儲過程非常常見:
Alter PROCEDURE LoginUser
(
@UserID [nvarchar](12),
@Password [nvarchar](12)
)
AS
Select * FROM Users Where UserID = @UserID AND Password = @Password
RETURN
這個存儲過程看起來非常安全,但是考慮一下這個:
Alter PROCEDURE LoginUser
(
@UserID [nvarchar](12),
@Password [nvarchar](12)
)
AS
EXECUTE (‘Select * FROM Users Where UserID = ‘’’ + @UserID + ‘’’
AND Password = ‘’’ + @Password + ‘’’’)
RETURN
通過創建一個特別的SQL聲明,而且把它放到存儲過程代碼的EXECUTE函數中,我們真的可以生成一個存儲過程SQL注入。當你使用控制代碼來寫存儲過程的時候,這個更加容易,它在Microsoft SQL Server 2005中以新的方式支持:
[Microsoft.SqlServer.Server.SqlProcedure]
public static void LoginUser(SqlString userId, SqlString password)
{
using (SqlConnection conn = new SqlConnection(“context connection=true”))
{
SqlCommand selectUserCommand = new SqlCommand();
selectUserCommand.CommandText = “Select * FROM Users Where UserID = ‘”
+ userId.Value + “’ AND Password = ‘” + password.Value + “’”;
selectUserCommand.Connection = conn;
conn.Open();
SqlDataReader reader =
selectUserCommand.ExecuteReader();
SqlContext.Pipe.Send(reader);
reader.Close();
conn.Close();
}
}
甚至就算你是寫存儲過程的那個人,你通常不能確定其他人會在你后面在應用軟件配置以后改變代碼。關于Web應用這尤其可能,而這也是為什么一個需要一個深入防御策略。
明顯地,這個問題的解決是采用一個深入防御策略。你應該繼續使用存儲過程和參數化任何有必要的查詢,但是你也應該設法建立你的深入防御策略來保證傳給這些存儲過程的的參數和查詢的驗證。在我們上面的用戶鑒定例子中,“bobsmith”可能是一個有效的用戶ID,但是“Select * FROM tblCreditCards”或許不是。對于驗證用戶輸入使用你的深入防御策略的一個好的方式是對它采用規范化的表達規則。你能使用在System.Web.UI.WebControls名字空間中的RegularExpressionValidator控制尋找來驗證Web表格數據,而且你可以使用在theSystem.Text.RegularExpressions 名字空間中Regex類尋找來驗證任何類別的文字數據。這里有一個Web表格的例子,在把用戶輸入傳遞給數據庫前對它進行驗證。
protected void Page_Load(object sender, EventArgs e)
{
if (Page.IsPostBack)
{
// We allow only alphanumeric input
Regex allowRegex = new Regex(“^[a-zA-Z0-9]*$”);
if ((!allowRegex.IsMatch(textBoxUserId.Text))
|| (!allowRegex.IsMatch(textBoxPassword.Text)))
{
labelErrorMessage.Text =
“Invalid user ID or password.”;
return;
}
else
{
// Call the login stored procedure
…
}
}
}
一個更加徹底的深入防御策略是使用一個允許輸入聯合模式(也被認為是“優選名單”)和拒絕輸入模式(或者稱為”黑名單”)。用戶的輸入必須匹配優選名單模式(或者說至少一個優選名單模式,如果不多于一個的話)而且不和黑名單模式匹配(或者說任何黑名單模式)。如果在你的允許輸入表中允許類似省略號這樣的非字符輸入,在深度防御策略中,你應該明確的使用黑名單模式。
// We allow alpha characters, spaces,
and apostrophes as inputRegex allowRegex = new Regex(@“^[a-zA-Z\s\’]*$”);
// But we disallow common SQL functions
Regex disallowRegex = new Regex(“(union|select|drop|delete)”);
if ((!allowRegex.IsMatch(textBoxLastName.Text)) ||
(disallowRegex.IsMatch(textBoxLastName.Text)))
{
labelErrorMessage.Text = “Invalid name.”;
return;
}
最后,我們必須論及加入損害控制到你的深入防御策略。如果一個黑客真的找到了一個對你的數據庫執行SQL命令的途徑,他可能會造成什么樣的損害呢?如果你的應用程序作為一個管理員用戶連接到數據庫,象Microsoft SQL Server的”sa”用戶,損害甚至會很嚴重。他不僅僅能看表中的數據,他也能增加他自己的新數據或者改變已經存在數據的值。設想一個在線購物站點,所有的商品項目價格標成低于一個美分。他能夠增加新的用戶或者刪除已經存在用戶。他能刪除行,表或者甚至整個數據庫。你能通過應用最少權限原則到你的深入防御策略減輕這個風險:使你的應用軟件作為一個只有足夠執行必需動作的許可,而沒有其它更多的許可。如果你的應用程序只是從一個數據庫中讀數據,去掉數據庫用戶插入,更新和刪除的許可。如果應用程序只需要對一個產品目錄數據庫進行存取(舉例來說),確保用戶不能存取定購歷史數據庫。永遠不要指定”sa”或者任何管理員用戶作為數據庫用戶。
通過采用一個深入防御策略,你可以避免大一個SQL注入攻擊導致你應用程序的多數或者所有的損害。就很多原因包括提高安全來說,使用存儲過程是一個很好的主意,但是一定不要依賴它們提供你所有的安全。總是驗證用戶輸入,而且采用最少權限原則來減小一個成功的攻擊能引起的損害。
關于作者
Bryan Sullivan是SPI Dynamics 一個Web應用軟件安全產品公司的開發經理。Bryan管理DevInspect 和 QAInspect Web 安全產品,這些產品幫助程序員在整個開發和測試過程中維護應用程序的安全。他在Georgia Tech獲得本科學位,而且有11年信息技術產業工作經驗。他也對AVDL有所貢獻,這已經成為應用軟件安全行業的一個標志。
如果你不熟悉SQL注入攻擊和它們對你的應用軟件的潛在危險,請參考MSDN的文章 “SQLInjection” (http://msdn2.microsoft.com/en-us/library/ms161953.aspx)。
僅僅依賴存儲過程而無法執行一個深入防御的問題在于你真的只指望存儲過程開發者為你提供安全。類似于下面SQLServer代碼用來鑒別一個用戶的存儲過程非常常見:
Alter PROCEDURE LoginUser
(
@UserID [nvarchar](12),
@Password [nvarchar](12)
)
AS
Select * FROM Users Where UserID = @UserID AND Password = @Password
RETURN
這個存儲過程看起來非常安全,但是考慮一下這個:
Alter PROCEDURE LoginUser
(
@UserID [nvarchar](12),
@Password [nvarchar](12)
)
AS
EXECUTE (‘Select * FROM Users Where UserID = ‘’’ + @UserID + ‘’’
AND Password = ‘’’ + @Password + ‘’’’)
RETURN
通過創建一個特別的SQL聲明,而且把它放到存儲過程代碼的EXECUTE函數中,我們真的可以生成一個存儲過程SQL注入。當你使用控制代碼來寫存儲過程的時候,這個更加容易,它在Microsoft SQL Server 2005中以新的方式支持:
[Microsoft.SqlServer.Server.SqlProcedure]
public static void LoginUser(SqlString userId, SqlString password)
{
using (SqlConnection conn = new SqlConnection(“context connection=true”))
{
SqlCommand selectUserCommand = new SqlCommand();
selectUserCommand.CommandText = “Select * FROM Users Where UserID = ‘”
+ userId.Value + “’ AND Password = ‘” + password.Value + “’”;
selectUserCommand.Connection = conn;
conn.Open();
SqlDataReader reader =
selectUserCommand.ExecuteReader();
SqlContext.Pipe.Send(reader);
reader.Close();
conn.Close();
}
}
甚至就算你是寫存儲過程的那個人,你通常不能確定其他人會在你后面在應用軟件配置以后改變代碼。關于Web應用這尤其可能,而這也是為什么一個需要一個深入防御策略。
明顯地,這個問題的解決是采用一個深入防御策略。你應該繼續使用存儲過程和參數化任何有必要的查詢,但是你也應該設法建立你的深入防御策略來保證傳給這些存儲過程的的參數和查詢的驗證。在我們上面的用戶鑒定例子中,“bobsmith”可能是一個有效的用戶ID,但是“Select * FROM tblCreditCards”或許不是。對于驗證用戶輸入使用你的深入防御策略的一個好的方式是對它采用規范化的表達規則。你能使用在System.Web.UI.WebControls名字空間中的RegularExpressionValidator控制尋找來驗證Web表格數據,而且你可以使用在theSystem.Text.RegularExpressions 名字空間中Regex類尋找來驗證任何類別的文字數據。這里有一個Web表格的例子,在把用戶輸入傳遞給數據庫前對它進行驗證。
protected void Page_Load(object sender, EventArgs e)
{
if (Page.IsPostBack)
{
// We allow only alphanumeric input
Regex allowRegex = new Regex(“^[a-zA-Z0-9]*$”);
if ((!allowRegex.IsMatch(textBoxUserId.Text))
|| (!allowRegex.IsMatch(textBoxPassword.Text)))
{
labelErrorMessage.Text =
“Invalid user ID or password.”;
return;
}
else
{
// Call the login stored procedure
…
}
}
}
一個更加徹底的深入防御策略是使用一個允許輸入聯合模式(也被認為是“優選名單”)和拒絕輸入模式(或者稱為”黑名單”)。用戶的輸入必須匹配優選名單模式(或者說至少一個優選名單模式,如果不多于一個的話)而且不和黑名單模式匹配(或者說任何黑名單模式)。如果在你的允許輸入表中允許類似省略號這樣的非字符輸入,在深度防御策略中,你應該明確的使用黑名單模式。
// We allow alpha characters, spaces,
and apostrophes as inputRegex allowRegex = new Regex(@“^[a-zA-Z\s\’]*$”);
// But we disallow common SQL functions
Regex disallowRegex = new Regex(“(union|select|drop|delete)”);
if ((!allowRegex.IsMatch(textBoxLastName.Text)) ||
(disallowRegex.IsMatch(textBoxLastName.Text)))
{
labelErrorMessage.Text = “Invalid name.”;
return;
}
最后,我們必須論及加入損害控制到你的深入防御策略。如果一個黑客真的找到了一個對你的數據庫執行SQL命令的途徑,他可能會造成什么樣的損害呢?如果你的應用程序作為一個管理員用戶連接到數據庫,象Microsoft SQL Server的”sa”用戶,損害甚至會很嚴重。他不僅僅能看表中的數據,他也能增加他自己的新數據或者改變已經存在數據的值。設想一個在線購物站點,所有的商品項目價格標成低于一個美分。他能夠增加新的用戶或者刪除已經存在用戶。他能刪除行,表或者甚至整個數據庫。你能通過應用最少權限原則到你的深入防御策略減輕這個風險:使你的應用軟件作為一個只有足夠執行必需動作的許可,而沒有其它更多的許可。如果你的應用程序只是從一個數據庫中讀數據,去掉數據庫用戶插入,更新和刪除的許可。如果應用程序只需要對一個產品目錄數據庫進行存取(舉例來說),確保用戶不能存取定購歷史數據庫。永遠不要指定”sa”或者任何管理員用戶作為數據庫用戶。
通過采用一個深入防御策略,你可以避免大一個SQL注入攻擊導致你應用程序的多數或者所有的損害。就很多原因包括提高安全來說,使用存儲過程是一個很好的主意,但是一定不要依賴它們提供你所有的安全。總是驗證用戶輸入,而且采用最少權限原則來減小一個成功的攻擊能引起的損害。
關于作者
Bryan Sullivan是SPI Dynamics 一個Web應用軟件安全產品公司的開發經理。Bryan管理DevInspect 和 QAInspect Web 安全產品,這些產品幫助程序員在整個開發和測試過程中維護應用程序的安全。他在Georgia Tech獲得本科學位,而且有11年信息技術產業工作經驗。他也對AVDL有所貢獻,這已經成為應用軟件安全行業的一個標志。
9種方法診斷Windows 2003的IPsec問題
[ 2007-03-25 04:12:42 | 作者: sun ]
在你的局域網內實現用IPsec保護網絡通信后,盡管你每一步都是認真按照技術文檔來進行的,你還是不確信自己在網絡上的通信沒有被監聽。怎樣才能確定IPsec已經真正將你的電腦的網絡通信信息加密了呢?
讓我們來看看怎樣確定一切運轉正常,然后-你應當在進程中發現問題-查看檢修IPsec的大圖-相關的認證問題。在進程中,我會指出一些Windows Server 2003中內置的工具。當你確實發現網絡通信信息沒有被加密的時候,可以用這些工具來診斷出IPsec出現的問題。(但是注意,文中我講到的技術并不適用于一些特殊的IPsec設備,比如IPsec卡以及基于IPsec的VPN。)
1.檢查IPsec是否在工作
即使你已經成功地配置了IPsec,它也可能出現很多錯誤。當Windows XP或者Windows Server 2003連不上網的時候,你可以確定是出了什么問題。不幸的是,沒有什么類似的情況可以讓你知道IPsec的狀態。根據IPsec的配置,出問題的時候,你或者會連不上網或者是-這種情況更普遍也更不容易察覺-網絡可以照常使用,但是信息沒有加密。當你確信你的網絡通信信息已經被加密時,卻發現它完全處在不安全的狀態,想象一下,這將多么令人震驚。
檢查IPsec是否在工作的最快方法就是用網絡監視器捕捉到達以及發出計算機的數據包,檢查它們是否有被加密。Windows 2003自帶網絡監視器,你可以打開控制面板的添加/刪除程序來安裝它以及訪問windows組件。安裝網絡監視器之后,選擇捕捉菜單中的“開始”來開始捕捉數據包。然后,執行一些普通的操作,比如瀏覽另一臺電腦上的共享文件夾等,通過類似操作來生成網絡活動并產生數據。最后,選擇捕捉菜單中的“停止”和“查看”。
圖1顯示了在計算機沒有使用IPsec情況下對兩個數據包的捕捉結果。在協議欄你可以看到很多協議。右邊是計算機使用IPsec情況下的捕獲情況
。可以看到,列表中只有一項協議:壓縮安全負載(ESP)。當windows 2003 計算機使用默認IPsec政策時,載數據包捕獲過程中只會出現ESP和互聯網控制信息協議(ICMP)。ICMP會出現是因為默認IPsec策略允許ICMP 通信。因此,如果捕捉數據包的時候看到很多協議,你就有理由斷定IPsec沒有正常起作用。
幾乎所有的IPsec問題都是因為在互聯網密鑰交換(IKE)認證階段出現了認證問題而引起的。當兩臺計算機試圖建立安全連接(SA)的時候,他們通過特定的過程來授予對方身份識別憑證。IKE是協商SA形式的算法。身份識別認證可以是事先共享的密鑰,數字證書或者Kerbero安全認證。Windows 2003默認的IPsec策略使用Kerberos安全認證。絕大多數情況下,檢修IPsec故障就意味著檢修認證的進程。
2.重新啟動IPsec服務
一旦你確定IPsec沒有工作,你應當首先重新啟動IPsec服務。這將完全清零IKE協商的狀態。IPsec在策略有重大更改后不起作用的這種情況下,該措施通常都能夠恢復IPsec的功能。該方案有兩個優點:一是不需要重啟服務器,另一個是用很短的時間就可以實現。通過執行如下Net命令,你可以在Windows 2003計算機上立刻重啟IPsec服務。
net stop policyagent
net start policyagent
現在,再次執行捕捉數據包的程序,或者運行我下文要講到的Netsh命令測試。
3.在時間日志中診斷IKE問題
如果重啟IPsec服務不能解決故障,你可以繼續檢查安全時間日志。網絡登錄日志監聽各個SA的建立和刪除。如果你啟用了監聽登錄事件策略的成功失敗監聽,這些事件就會被記錄在日志中。一切運轉正常的時候,成功代碼顯示為541,542和543。然而,我們討論的是IPsec不工作的時候該怎么辦,所以我們要找失敗代碼,表1中顯示了各個失敗代碼。圖2顯示的是失敗事件547。
SA事件記錄有一個問題是這些事件很快會填滿你的日志。如果你只是要監聽登錄事件而不想讓安全事件填滿IKE條目的話,你可以創建 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\DisableIKE Audits subkey然后把它的值設為1來停止IKE監聽。
4.使用共享密鑰認證
由于它是依靠共享字符串而不是諸如Kerberos或者證書那樣更復雜的方法,共享密鑰認證方法能夠很有效的使IPsec工作起來。當然,如果你已經使用共享密鑰,但還是出現故障的話,你應該核實一下每臺計算機上事先共享的密鑰是否匹配。如果你的事先共享密鑰有錯誤,IPsec是不會工作的。
如果用共享密鑰認證方法可以使IPsec工作,你就會知道該檢查Kerberos或者證書認證機制了。在默認的IPsec策略中,從共享密鑰認證方式切換到Kerberos安全認證方式需要執行以下幾個步驟:
1.關閉所有的IPsec可能應用到的Active Directory(AD)服務
2.點擊“開始”,“運行”,然后輸入gpedit.msc來開始編輯本地策略。
3.進入路徑 計算機配置\系統設置\安全設置\IP安全策略的組策略對象編輯節點。
4.右鍵點擊導致故障的策略然后選擇”屬性“
5.在規則標簽中,選擇過濾列表中“所有IP通信”,并點擊“編輯”。
6.在“編輯規則屬性”對話框中,選擇“認證方法”標簽然后單擊“添加”來添加新的認證方法。
7.選擇“使用該字符串發報”按鈕并輸入一個事先共享的密鑰。然后單擊“確定”。
8.使用“認證方法”標簽中的“上移”按鈕來把事先共享密鑰移到列表頂端。
這些說明是假設你沒怎么定制IPsec策略的。總的來說,你應當總是創建新的策略而不要編輯已經存在的策略。但是,在當前這種情況下,你只是添加一種認證方法,解決故障之后,可以將它降級。變換到共享密鑰認證方法會顯著的簡化認證過程,所以它很有可能使IPsec對你的網絡起作用。
5.確定哪種IPsec策略是有效的
IPsec不工作很有可能是因為網絡上的計算機被指定了互補兼容的策略。例如,一個策略可能試圖使用證書認證,然而其他策略則只接受共享密鑰認證。有兩種方法來確定當前主導的是哪種IPsec策略。第一種方法是用IP安全監聽器。如圖3所示,內置的微軟管理平臺(MMC)IP安全監聽器替代了Windows2000的Ipsecmon.exe功能。它能確定當前計算機上哪種策略是起作用的。
第二種方法是運行Netsh命令 netsh ipsec dynamic show all|more 從命令行得到相同的信息。該命令將所有的IPsec信息放到剪切板上。你可以把該信息粘貼到文本文檔中,如圖4所示。在文本中,可以看到一個策略應用到了本地級別(例如,客戶端:只響應)以及通過AD應用(例如,服務器:安全請求)。一旦你得到了這些信息,你就可以很快發現IPsec不工作的原因是:或者計算機沒有指定策略,或者指定了不兼容的策略。解決策略不兼容問題之后,IPsec可能就正常工作了。
6.檢查Kerberos認證的問題
Kerberos認證依靠AD。如果產生了Kerberos問題,很可能跟計算機帳戶的問題有關。你可能需要重置計算機帳戶的密碼或者重啟計算機帳戶。如果繼續有故障,可能就需要將Kerberos網絡通信與域控制器(DC)上的IPsec隔離。運行命令 netsh ipsec dynamic set config ipsecexempt value=0Win2000容許Kerberos認證通信,但是Windows2003不容許。該Netsh命令強制Windows2003如Win2000一樣操作。
7.檢查證書認證的問題
如果基于證書的認證系統有問題,很大可能是如下三種情況之一:沒有安裝證書,證書過期,或者證書撤銷列表(CRL)不完整。默認的IPsec證書有效期是2年,這對大多數忘了該有效期的組織來說都足夠長了。不像一些證書模板,默認情況下,IPsec證書模板沒有設置成自動注冊模式。
確定證書認證到底是上述哪種問題的最簡便方法就是打開本地計算機的證書存儲器。你也可以使用內置MMC證書工具來請求一個新的IPsec證書。當你創建了內置MMC證書來檢查已安裝的IPsec證書的過期數據時,需要確認你選擇了“計算機帳戶”選項,如圖5所示。如果選擇的是“我的用戶帳戶”或者“服務器帳戶”選項的話,你就無法在定位到該找的IPsec 證書。
從長遠角度來看,最好的解決方法是創建一個支持自動注冊(僅限于Windows2003 企業版)的新的IPsec模板。這樣,IPsec證書就可以自動更新,并且只要你選擇了自動更新選項你就不需要記住IPsec證書有效期是2年了。
證書正在使用時,IPsec檢查CRL來確定證書是否已被廢除。IPsec要花一定的時間來做這個檢查,并且很有可能在得到結果之前,系統就被關閉了。可以運行 netsh ipsec dynamic set config strongcrlcheck 0 來取消CRL檢查。
8.檢查是否所有人都使用客戶端策略
IPsec的新的管理員有時候對網絡上的所有計算機都應用客戶端(只響應)策略,然后納悶為什么沒有加密任何信息。對開始生效的IPsec來說,搭檔中的一個需要請求使用IPsec的策略。如果所有的主機都指定的是客戶端(只響應)策略,那么沒有主機會請求使用IPsec。要解決該問題,可以在計算機上激活各種服務器策略中的一個,然后運行GPU更新。
9.檢查IKE日志
如果所有的前述措施都沒有解決IKE問題,你就不得不按照更詳細的步驟來決定方案。這種情況下,你需要有互聯網安全連接和密鑰管理協議RFC 2408和IKE RFC 2409(ISAKMP)方面的更進一步的知識。運行 netsh ipsec dynamic set config ikelogging 1來開始追蹤IKE的協商。可以將ikelogging的值增加至7(記錄所有可能的數據)來增加記錄下來的信息量。IKE跟蹤日志位于\%systemroot%\Debug\Oakley.log,可以用文本編輯器來查看。需要注意的是,記錄文檔的內容很密集,剛接觸IPsec的人很可能很快就受不了了。
慎用自定義
Windows2003帶的IPsec策略是可以直接使用的。只有你自定義它們使用基于證書或者基于共享密鑰的認證系統的時候,才會產生問題。如果需要修改IPsec的認證方法,你應該創建新策略而不是對已存在的策略進行修改。只要遵從這個建議,在調查各種突然出現的問題時,都能夠迅速切換到起作用的配置上。
讓我們來看看怎樣確定一切運轉正常,然后-你應當在進程中發現問題-查看檢修IPsec的大圖-相關的認證問題。在進程中,我會指出一些Windows Server 2003中內置的工具。當你確實發現網絡通信信息沒有被加密的時候,可以用這些工具來診斷出IPsec出現的問題。(但是注意,文中我講到的技術并不適用于一些特殊的IPsec設備,比如IPsec卡以及基于IPsec的VPN。)
1.檢查IPsec是否在工作
即使你已經成功地配置了IPsec,它也可能出現很多錯誤。當Windows XP或者Windows Server 2003連不上網的時候,你可以確定是出了什么問題。不幸的是,沒有什么類似的情況可以讓你知道IPsec的狀態。根據IPsec的配置,出問題的時候,你或者會連不上網或者是-這種情況更普遍也更不容易察覺-網絡可以照常使用,但是信息沒有加密。當你確信你的網絡通信信息已經被加密時,卻發現它完全處在不安全的狀態,想象一下,這將多么令人震驚。
檢查IPsec是否在工作的最快方法就是用網絡監視器捕捉到達以及發出計算機的數據包,檢查它們是否有被加密。Windows 2003自帶網絡監視器,你可以打開控制面板的添加/刪除程序來安裝它以及訪問windows組件。安裝網絡監視器之后,選擇捕捉菜單中的“開始”來開始捕捉數據包。然后,執行一些普通的操作,比如瀏覽另一臺電腦上的共享文件夾等,通過類似操作來生成網絡活動并產生數據。最后,選擇捕捉菜單中的“停止”和“查看”。
圖1顯示了在計算機沒有使用IPsec情況下對兩個數據包的捕捉結果。在協議欄你可以看到很多協議。右邊是計算機使用IPsec情況下的捕獲情況
。可以看到,列表中只有一項協議:壓縮安全負載(ESP)。當windows 2003 計算機使用默認IPsec政策時,載數據包捕獲過程中只會出現ESP和互聯網控制信息協議(ICMP)。ICMP會出現是因為默認IPsec策略允許ICMP 通信。因此,如果捕捉數據包的時候看到很多協議,你就有理由斷定IPsec沒有正常起作用。
幾乎所有的IPsec問題都是因為在互聯網密鑰交換(IKE)認證階段出現了認證問題而引起的。當兩臺計算機試圖建立安全連接(SA)的時候,他們通過特定的過程來授予對方身份識別憑證。IKE是協商SA形式的算法。身份識別認證可以是事先共享的密鑰,數字證書或者Kerbero安全認證。Windows 2003默認的IPsec策略使用Kerberos安全認證。絕大多數情況下,檢修IPsec故障就意味著檢修認證的進程。
2.重新啟動IPsec服務
一旦你確定IPsec沒有工作,你應當首先重新啟動IPsec服務。這將完全清零IKE協商的狀態。IPsec在策略有重大更改后不起作用的這種情況下,該措施通常都能夠恢復IPsec的功能。該方案有兩個優點:一是不需要重啟服務器,另一個是用很短的時間就可以實現。通過執行如下Net命令,你可以在Windows 2003計算機上立刻重啟IPsec服務。
net stop policyagent
net start policyagent
現在,再次執行捕捉數據包的程序,或者運行我下文要講到的Netsh命令測試。
3.在時間日志中診斷IKE問題
如果重啟IPsec服務不能解決故障,你可以繼續檢查安全時間日志。網絡登錄日志監聽各個SA的建立和刪除。如果你啟用了監聽登錄事件策略的成功失敗監聽,這些事件就會被記錄在日志中。一切運轉正常的時候,成功代碼顯示為541,542和543。然而,我們討論的是IPsec不工作的時候該怎么辦,所以我們要找失敗代碼,表1中顯示了各個失敗代碼。圖2顯示的是失敗事件547。
SA事件記錄有一個問題是這些事件很快會填滿你的日志。如果你只是要監聽登錄事件而不想讓安全事件填滿IKE條目的話,你可以創建 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\DisableIKE Audits subkey然后把它的值設為1來停止IKE監聽。
4.使用共享密鑰認證
由于它是依靠共享字符串而不是諸如Kerberos或者證書那樣更復雜的方法,共享密鑰認證方法能夠很有效的使IPsec工作起來。當然,如果你已經使用共享密鑰,但還是出現故障的話,你應該核實一下每臺計算機上事先共享的密鑰是否匹配。如果你的事先共享密鑰有錯誤,IPsec是不會工作的。
如果用共享密鑰認證方法可以使IPsec工作,你就會知道該檢查Kerberos或者證書認證機制了。在默認的IPsec策略中,從共享密鑰認證方式切換到Kerberos安全認證方式需要執行以下幾個步驟:
1.關閉所有的IPsec可能應用到的Active Directory(AD)服務
2.點擊“開始”,“運行”,然后輸入gpedit.msc來開始編輯本地策略。
3.進入路徑 計算機配置\系統設置\安全設置\IP安全策略的組策略對象編輯節點。
4.右鍵點擊導致故障的策略然后選擇”屬性“
5.在規則標簽中,選擇過濾列表中“所有IP通信”,并點擊“編輯”。
6.在“編輯規則屬性”對話框中,選擇“認證方法”標簽然后單擊“添加”來添加新的認證方法。
7.選擇“使用該字符串發報”按鈕并輸入一個事先共享的密鑰。然后單擊“確定”。
8.使用“認證方法”標簽中的“上移”按鈕來把事先共享密鑰移到列表頂端。
這些說明是假設你沒怎么定制IPsec策略的。總的來說,你應當總是創建新的策略而不要編輯已經存在的策略。但是,在當前這種情況下,你只是添加一種認證方法,解決故障之后,可以將它降級。變換到共享密鑰認證方法會顯著的簡化認證過程,所以它很有可能使IPsec對你的網絡起作用。
5.確定哪種IPsec策略是有效的
IPsec不工作很有可能是因為網絡上的計算機被指定了互補兼容的策略。例如,一個策略可能試圖使用證書認證,然而其他策略則只接受共享密鑰認證。有兩種方法來確定當前主導的是哪種IPsec策略。第一種方法是用IP安全監聽器。如圖3所示,內置的微軟管理平臺(MMC)IP安全監聽器替代了Windows2000的Ipsecmon.exe功能。它能確定當前計算機上哪種策略是起作用的。
第二種方法是運行Netsh命令 netsh ipsec dynamic show all|more 從命令行得到相同的信息。該命令將所有的IPsec信息放到剪切板上。你可以把該信息粘貼到文本文檔中,如圖4所示。在文本中,可以看到一個策略應用到了本地級別(例如,客戶端:只響應)以及通過AD應用(例如,服務器:安全請求)。一旦你得到了這些信息,你就可以很快發現IPsec不工作的原因是:或者計算機沒有指定策略,或者指定了不兼容的策略。解決策略不兼容問題之后,IPsec可能就正常工作了。
6.檢查Kerberos認證的問題
Kerberos認證依靠AD。如果產生了Kerberos問題,很可能跟計算機帳戶的問題有關。你可能需要重置計算機帳戶的密碼或者重啟計算機帳戶。如果繼續有故障,可能就需要將Kerberos網絡通信與域控制器(DC)上的IPsec隔離。運行命令 netsh ipsec dynamic set config ipsecexempt value=0Win2000容許Kerberos認證通信,但是Windows2003不容許。該Netsh命令強制Windows2003如Win2000一樣操作。
7.檢查證書認證的問題
如果基于證書的認證系統有問題,很大可能是如下三種情況之一:沒有安裝證書,證書過期,或者證書撤銷列表(CRL)不完整。默認的IPsec證書有效期是2年,這對大多數忘了該有效期的組織來說都足夠長了。不像一些證書模板,默認情況下,IPsec證書模板沒有設置成自動注冊模式。
確定證書認證到底是上述哪種問題的最簡便方法就是打開本地計算機的證書存儲器。你也可以使用內置MMC證書工具來請求一個新的IPsec證書。當你創建了內置MMC證書來檢查已安裝的IPsec證書的過期數據時,需要確認你選擇了“計算機帳戶”選項,如圖5所示。如果選擇的是“我的用戶帳戶”或者“服務器帳戶”選項的話,你就無法在定位到該找的IPsec 證書。
從長遠角度來看,最好的解決方法是創建一個支持自動注冊(僅限于Windows2003 企業版)的新的IPsec模板。這樣,IPsec證書就可以自動更新,并且只要你選擇了自動更新選項你就不需要記住IPsec證書有效期是2年了。
證書正在使用時,IPsec檢查CRL來確定證書是否已被廢除。IPsec要花一定的時間來做這個檢查,并且很有可能在得到結果之前,系統就被關閉了。可以運行 netsh ipsec dynamic set config strongcrlcheck 0 來取消CRL檢查。
8.檢查是否所有人都使用客戶端策略
IPsec的新的管理員有時候對網絡上的所有計算機都應用客戶端(只響應)策略,然后納悶為什么沒有加密任何信息。對開始生效的IPsec來說,搭檔中的一個需要請求使用IPsec的策略。如果所有的主機都指定的是客戶端(只響應)策略,那么沒有主機會請求使用IPsec。要解決該問題,可以在計算機上激活各種服務器策略中的一個,然后運行GPU更新。
9.檢查IKE日志
如果所有的前述措施都沒有解決IKE問題,你就不得不按照更詳細的步驟來決定方案。這種情況下,你需要有互聯網安全連接和密鑰管理協議RFC 2408和IKE RFC 2409(ISAKMP)方面的更進一步的知識。運行 netsh ipsec dynamic set config ikelogging 1來開始追蹤IKE的協商。可以將ikelogging的值增加至7(記錄所有可能的數據)來增加記錄下來的信息量。IKE跟蹤日志位于\%systemroot%\Debug\Oakley.log,可以用文本編輯器來查看。需要注意的是,記錄文檔的內容很密集,剛接觸IPsec的人很可能很快就受不了了。
慎用自定義
Windows2003帶的IPsec策略是可以直接使用的。只有你自定義它們使用基于證書或者基于共享密鑰的認證系統的時候,才會產生問題。如果需要修改IPsec的認證方法,你應該創建新策略而不是對已存在的策略進行修改。只要遵從這個建議,在調查各種突然出現的問題時,都能夠迅速切換到起作用的配置上。
怎么抵抗DDOS攻擊
[ 2007-03-25 04:12:21 | 作者: sun ]
一、為何要DDOS?
隨著Internet互聯網絡帶寬的增加和多種DDOS黑客工具的不斷發布,DDOS拒絕服務攻擊的實施越來越容易,DDOS攻擊事件正在成上升趨勢。出于商業競爭、打擊報復和網絡敲詐等多種因素,導致很多IDC托管機房、商業站點、游戲服務器、聊天網絡等網絡服務商長期以來一直被DDOS攻擊所困擾,隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題,因此,解決DDOS攻擊問題成為網絡服務商必須考慮的頭等大事。
二、什么是DDOS?
DDOS是英文Distributed Denial of Service的縮寫,意即“分布式拒絕服務”,那么什么又是拒絕服務(Denial of Service)呢?可以這么理解,凡是能導致合法用戶不能夠訪問正常網絡服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確,就是要阻止合法用戶對正常網絡資源的訪問,從而達成攻擊者不可告人的目的。雖然同樣是拒絕服務攻擊,但是DDOS和DOS還是有所不同,DDOS的攻擊策略側重于通過很多“僵尸主機”(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看似合法的網絡包,從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務,分布式拒絕服務攻擊一旦被實施,攻擊網絡包就會猶如洪水般涌向受害主機,從而把合法用戶的網絡包淹沒,導致合法用戶無法正常訪問服務器的網絡資源,因此,拒絕服務攻擊又被稱之為“洪水式攻擊”,常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS則側重于通過對主機特定漏洞的利用攻擊導致網絡棧失效、系統崩潰、主機死機而無法提供正常的網絡服務功能,從而造成拒絕服務,常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言,危害較大的主要是DDOS攻擊,原因是很難防范,至于DOS攻擊,通過給主機服務器打補丁或安裝防火墻軟件就可以很好地防范,后文會詳細介紹怎么對付DDOS攻擊。
三、被DDOS了嗎?
DDOS的表現形式主要有兩種,一種為流量攻擊,主要是針對網絡帶寬的攻擊,即大量攻擊包導致網絡帶寬被阻塞,合法網絡包被虛假的攻擊包淹沒而無法到達主機;另一種為資源耗盡攻擊,主要是針對服務器主機的攻擊,即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網絡服務。
如何判斷網站是否遭受了流量攻擊呢?可通過Ping命令來測試,若發現Ping超時或丟包嚴重(假定平時是正常的),則可能遭受了流量攻擊,此時若發現和你的主機接在同一交換機上的服務器也訪問不了了,基本可以確定是遭受了流量攻擊。當然,這樣測試的前提是你到服務器主機之間的ICMP協議沒有被路由器和防火墻等設備屏蔽,否則可采取Telnet主機服務器的網絡服務端口來測試,效果是一樣的。不過有一點可以肯定,假如平時Ping你的主機服務器和接在同一交換機上的主機服務器都是正常的,突然都Ping不通了或者是嚴重丟包,那么假如可以排除網絡故障因素的話則肯定是遭受了流量攻擊,再一個流量攻擊的典型現象是,一旦遭受流量攻擊,會發現用遠程終端連接網站服務器會失敗。
相對于流量攻擊而言,資源耗盡攻擊要容易判斷一些,假如平時Ping網站主機和訪問網站都是正常的,發現突然網站訪問非常緩慢或無法訪問了,而Ping還可以Ping通,則很可能遭受了資源耗盡攻擊,此時若在服務器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在,而ESTABLISHED很少,則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現象是,Ping自己的網站主機Ping不通或者是丟包嚴重,而Ping與自己的主機在同一交換機上的服務器則正常,造成這種原因是網站主機遭受攻擊后導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令,其實帶寬還是有的,否則就Ping不通接在同一交換機上的主機了。
當前主要有三種流行的DDOS攻擊:
1、SYN/ACK Flood攻擊:這種攻擊方法是經典最有效的DDOS方法,可通殺各種系統的網絡服務,主要是通過向受害主機發送大量偽造源IP和源端口的SYN或ACK包,導致主機的緩存資源被耗盡或忙于發送回應包而造成拒絕服務,由于源都是偽造的故追蹤起來比較困難,缺點是實施起來有一定難度,需要高帶寬的僵尸主機支持。少量的這種攻擊會導致主機服務器無法訪問,但卻可以Ping的通,在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態,大量的這種攻擊會導致Ping失敗、TCP/IP棧失效,并會出現系統凝固現象,即不響應鍵盤和鼠標。普通防火墻大多無法抵御此種攻擊。
2、TCP全連接攻擊:這種攻擊是為了繞過常規防火墻的檢查而設計的,一般情況下,常規防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力,但對于正常的TCP連接是放過的,殊不知很多網絡服務程序(如:IIS、Apache等Web服務器)能接受的TCP連接數是有限的,一旦有大量的TCP連接,即便是正常的,也會導致網站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量的TCP連接,直到服務器的內存等資源被耗盡而被拖跨,從而造成拒絕服務,這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的,缺點是需要找很多僵尸主機,并且由于僵尸主機的IP是暴露的,因此容易被追蹤。
3、刷Script腳本攻擊:這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,并調用MSSQLServer、MySQLServer、Oracle等數據庫的網站系統而設計的,特征是和服務器建立正常的TCP連接,并不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用,典型的以小博大的攻擊方法。一般來說,提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的,而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄,這種處理過程對資源的耗費是很大的,常見的數據庫服務器很少能支持數百個查詢指令同時執行,而這對于客戶端來說卻是輕而易舉的,因此攻擊者只需通過Proxy代理向主機服務器大量遞交查詢指令,只需數分鐘就會把服務器資源消耗掉而導致拒絕服務,常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接數據庫失敗、數據庫主程序占用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火墻防護,輕松找一些Proxy代理就可實施攻擊,缺點是對付只有靜態頁面的網站效果會大打折扣,并且有些Proxy會暴露攻擊者的IP地址。
四、怎么抵御DDOS?
對付DDOS是一個系統工程,想僅僅依靠某種系統或產品防住DDOS是不現實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當的措施抵御90%的DDOS攻擊是可以做到的,基于攻擊和防御都有成本開銷的緣故,若通過適當的辦法增強了抵御DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數攻擊者將無法繼續下去而放棄,也就相當于成功的抵御了DDOS攻擊。以下幾點是防御DDOS攻擊幾點:
1、采用高性能的網絡設備
首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
3、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了。但需要注意的是,主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。
4、升級主機服務器硬件
在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:P4 2.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它吧,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、把網站做成靜態頁面
大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關于HTML的溢出還沒出現,看看吧!新浪、搜狐、網易等門戶網站主要都是靜態頁面,若你非需要動態腳本調用,那就把它弄到另外一臺單獨主機去,免的遭受攻擊時連累主服務器,當然,適當放一些不做數據庫調用腳本還是可以的,此外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬于惡意行為。
6、增強操作系統的TCP/IP棧
Win2000和Win2003作為服務器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵御數百個,具體怎么開啟,自己去看微軟的文章吧!《強化 TCP/IP 堆棧安全》。
也許有的人會問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYN Cookies》。
7、安裝專業抗DDOS防火墻
8、其他防御措施
以上幾條對抗DDOS建議,適合絕大多數擁有自己主機的用戶,但假如采取以上措施后仍然不能解決DDOS問題,就有些麻煩了,可能需要更多投資,增加服務器數量并采用DNS輪巡或負載均衡技術,甚至需要購買七層交換機設備,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入。
保護網絡安全 路由安全設置九步曲
[ 2007-03-25 04:12:07 | 作者: sun ]
對于大多數企業局域網來說,路由器已經成為正在使用之中的最重要的安全設備之一。一般來說,大多數網絡都有一個主要的接入點。這就是通常與專用防火墻一起使用的“邊界路由器”。
經過恰當的設置,邊緣路由器能夠把幾乎所有的最頑固的壞分子擋在網絡之外。如果你愿意的話,這種路由器還能夠讓好人進入網絡。不過,沒有恰當設置的路由器只是比根本就沒有安全措施稍微好一點。
在下列指南中,我們將研究一下你可以用來保護網絡安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護你的網絡的磚墻,而不是一個敞開的大門。
1.修改默認的口令!
據卡內基梅隆大學的CERT/CC(計算機應急反應小組/控制中心)稱,80%的安全突破事件是由薄弱的口令引起的。網絡上有大多數路由器的廣泛的默認口令列表。你可以肯定在某些地方的某個人會知道你的生日。SecurityStats.com網站維護一個詳盡的可用/不可用口令列表,以及一個口令的可靠性測試。
2.關閉IP直接廣播(IP Directed Broadcast)
你的服務器是很聽話的。讓它做什么它就做什么,而且不管是誰發出的指令。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中,攻擊者使用假冒的源地址向你的網絡廣播地址發送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應。這種情況至少會降低你的網絡性能。
參考你的路由器信息文件,了解如何關閉IP直接廣播。例如,“Central(config)#no ip source-route”這個指令將關閉思科路由器的IP直接廣播地址。
3.如果可能,關閉路由器的HTTP設置
正如思科的技術說明中簡要說明的那樣,HTTP使用的身份識別協議相當于向整個網絡發送一個未加密的口令。然而,遺憾的是,HTTP協議中沒有一個用于驗證口令或者一次性口令的有效規定。
雖然這種未加密的口令對于你從遠程位置(例如家里)設置你的路由器也許是非常方便的,但是,你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認的口令!如果你必須遠程管理路由器,你一定要確保使用SNMPv3以上版本的協議,因為它支持更嚴格的口令。
4.封鎖ICMP ping請求
ping的主要目的是識別目前正在使用的主機。因此,ping通常用于更大規模的協同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應答能力,你就更容易避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標的“腳本小子”(script kiddies)。
請注意,這樣做實際上并不能保護你的網絡不受攻擊,但是,這將使你不太可能成為一個攻擊目標。
5.關閉IP源路由
IP協議允許一臺主機指定數據包通過你的網絡的路由,而不是允許網絡組件確定最佳的路徑。這個功能的合法的應用是用于診斷連接故障。但是,這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網絡進行鏡像,或者用于攻擊者在你的專用網絡中尋找一個后門。除非指定這項功能只能用于診斷故障,否則應該關閉這個功能。
6.確定你的數據包過濾的需求
封鎖端口有兩項理由。其中之一根據你對安全水平的要求對于你的網絡是合適的。
對于高度安全的網絡來說,特別是在存儲或者保持秘密數據的時候,通常要求經過允許才可以過濾。在這種規定中,除了網路功能需要的之外,所有的端口和IP地址都必要要封鎖。例如,用于web通信的端口80和用于SMTP的110/25端口允許來自指定地址的訪問,而所有其它端口和地址都可以關閉。
大多數網絡將通過使用“按拒絕請求實施過濾”的方案享受可以接受的安全水平。當使用這種過濾政策時,可以封鎖你的網絡沒有使用的端口和特洛伊木馬或者偵查活動常用的端口來增強你的網絡的安全性。例如,封鎖139端口和445(TCP和UDP)端口將使黑客更難對你的網絡實施窮舉攻擊。封鎖31337(TCP和UDP)端口將使Back orifice木馬程序更難攻擊你的網絡。
這項工作應該在網絡規劃階段確定,這時候安全水平的要求應該符合網絡用戶的需求。查看這些端口的列表,了解這些端口正常的用途。
7.建立準許進入和外出的地址過濾政策
在你的邊界路由器上建立政策以便根據IP地址過濾進出網絡的違反安全規定的行為。除了特殊的不同尋常的案例之外,所有試圖從你的網絡內部訪問互聯網的IP地址都應該有一個分配給你的局域網的地址。例如,192.168.0.1這個地址也許通過這個路由器訪問互聯網是合法的。但是,216.239.55.99這個地址很可能是欺騙性的,并且是一場攻擊的一部分。
相反,來自互聯網外部的通信的源地址應該不是你的內部網絡的一部分。因此,應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后,擁有源地址的通信或者保留的和無法路由的目標地址的所有的通信都應該允許通過這臺路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
從網絡嗅探的角度看,路由器比集線器更安全。這是因為路由器根據IP地址智能化地路由數據包,而集線器相所有的節點播出數據。如果連接到那臺集線器的一個系統將其網絡適配器置于混亂的模式,它們就能夠接收和看到所有的廣播,包括口令、POP3通信和Web通信。
然后,重要的是確保物理訪問你的網絡設備是安全的,以防止未經允許的筆記本電腦等嗅探設備放在你的本地子網中。
9.花時間審閱安全記錄
審閱你的路由器記錄(通過其內置的防火墻功能)是查出安全事件的最有效的方法,無論是查出正在實施的攻擊還是未來攻擊的征候都非常有效。利用出網的記錄,你還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟件程序。用心的安全管理員在病毒傳播者作出反應之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。
此外,一般來說,路由器位于你的網絡的邊緣,并且允許你看到進出你的網絡全部通信的狀況。
特洛伊木馬如何利用文件關聯和設置名
[ 2007-03-25 04:11:56 | 作者: sun ]
特洛伊木馬如何利用文件關聯和設置名
我們知道,在注冊表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加載程序,使之開機時自動運行,類似“Run”這樣的子鍵在注冊表中還有幾處,均以“Run”開頭,如RunOnce、RunServices等。除了這種方法,還有一種修改注冊表的方法也可以使程序自啟動。
具體說來,就是更改文件的打開方式,這樣就可以使程序跟隨您打開的那種文件類型一起啟動。舉例來說,打開注冊表,展開注冊表到HKEY_CLASSES_ROOTexefileshell
opencommand,這里是exe文件的打開方式,默認鍵值為:“%1”%*。如果把默認鍵值改為Trojan.exe“%1”%*,您每次運行exe文件,這個Trojan.exe文件就會被執行。木馬灰鴿子就采用關聯exe文件的打開方式,而大名鼎鼎的木馬冰河采用的是也與此相似的一招——關聯txt文件。
對付這種隱藏方法,主要是經常檢查注冊表,看文件的打開方式是否發生了變化。如果發生了變化,就將打開方式改回來。最好能經常備份注冊表,發現問題后立即用備份文件恢復注冊表,既方便、快捷,又安全、省事。
木馬對設備名的利用
大家知道,在Windows下無法以設備名來命名文件或文件夾,這些設備名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個漏洞可以以設備名來命名文件或文件夾,讓木馬可以躲在那里而不被發現。
具體方法是:點擊“開始”菜單的“運行”,輸入cmd.exe,回車進入命令提示符窗口,然后輸入md c:con\命令,可以建立一個名為con的目錄。默認請況下,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux\命令,可以建立aux目錄,輸入md c:prn\可以建立prn目錄,輸入md c:com1\目錄可以建立Com1目錄,而輸入md c: ul\則可以建立一個名為nul的目錄。在資源管理器中依次點擊試試,您會發現當我們試圖打開以aux或com1命名的文件夾時,explorer.exe失去了響應,而許多“牧馬人”就是利用這個方法將木馬隱藏在這類特殊的文件夾中,從而達到隱藏、保護木馬程序的目的。
現在,我們可以把文件復制到這個特殊的目錄下,當然,不能直接在Windows中復制,需要采用特殊的方法,在CMD窗口中輸入copy muma.exe \.c:aux\命令,就可以把木馬文件muma.exe復制到C盤下的aux文件夾中,然后點擊“開始”菜單中的“運行”,在“運行”中輸入c:aux muam.exe,就會成功啟動該木馬。我們可以通過點擊文件夾名進入此類特殊目錄,不過,如果您要試圖在資源管理器中刪除它,會發現這根本就是徒勞的,Windows會提示找不到該文件。
由于使用del c:aux\命令可以刪除其中的muma.exe文件,所以,為了達到更好的隱藏和保護效果,下木馬者會把muma.exe文件也改名,讓我們很難刪除。具體方法就是在復制木馬文件到aux文件夾時使用命令copy muma.exe \.c:con.exe,就可以把木馬文件muma.exe復制到aux目錄中,并且改名為con.exe,而con.exe文件是無法用普通方法刪除的。
可能有的朋友會想,這個con.exe文件在“開始”菜單的“運行”中無法運行啊。其實不然,只要在命令行方式下輸入cmd /c \.c:con就可以運行這個程序了。在運行時會有一個cmd窗口一閃而過,下木馬者一般來說會對其進行改進,方法有很多,可以利用開機腳本,也可以利用cmd.exe的autorun:在注冊表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun,值為要運行的.bat文件或.cmd文件的路徑,如c:winntsystem32auto.cmd,如果建立相應的文件,它的內容為@\.c:con,就可以達到隱蔽的效果。
對于這類特殊的文件夾,發現后我們可以采用如下方法來刪除它:先用del \.c:con.exe命令刪除con.exe文件(該文件假設就是其中的木馬文件名),然后再用rd \.c:aux命令刪除aux文件夾即可。
好了,文章到這里就結束了。由于水平有限,文中如有不正確或值得商榷的地方歡迎大家批評指點,另外,寫作時曾參閱過網上高手們的帖子,受益匪淺,在此一并謝過!
不過,AutoRun不僅能應用于光盤中,同樣也可以應用于硬盤中(要注意的是,AutoRun.inf必須存放在磁盤根目錄下才能起作用)。讓我們一起看看AutoRun.inf文件的內容吧。
打開記事本,新建一個文件,將其命名為AutoRun.inf,在AutoRun.inf中鍵入以下內容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
其中,“[AutoRun]”是必須的固定格式,一個標準的AutoRun文件必須以它開頭,目的是告訴系統執行它下面幾行的命令;第二行“Icon=C:WindowsSystemShell32.DLL,21”是給硬盤或光盤設定一個個性化的圖標,“Shell32.DLL”是包含很多Windows圖標的系統文件,“21”表示顯示編號為21的圖標,無數字則默認采用文件中的第一個圖標;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要運行程序的路徑及其文件名。
如果把Open行換為木馬文件,并將這個AutoRun.inf文件設置為隱藏屬性,我們點擊硬盤時就會啟動木馬。
為防止遭到這樣的“埋伏”,可以禁止硬盤AutoRun功能。在“開始”菜單的“運行”中輸入Regedit,打開注冊表編輯器,展開到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主鍵下,在右側窗口中找到“NoDriveTypeAutoRun”,就是它決定了是否執行CDROM或硬盤的AutoRun功能。將其鍵值改為9D,00,00,00就可以關閉硬盤的AutoRun功能,如果改為B5,00,00,00則禁止光盤的AutoRun功能。修改后重新啟動計算機,設置就會生效。
我們知道,在注冊表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加載程序,使之開機時自動運行,類似“Run”這樣的子鍵在注冊表中還有幾處,均以“Run”開頭,如RunOnce、RunServices等。除了這種方法,還有一種修改注冊表的方法也可以使程序自啟動。
具體說來,就是更改文件的打開方式,這樣就可以使程序跟隨您打開的那種文件類型一起啟動。舉例來說,打開注冊表,展開注冊表到HKEY_CLASSES_ROOTexefileshell
opencommand,這里是exe文件的打開方式,默認鍵值為:“%1”%*。如果把默認鍵值改為Trojan.exe“%1”%*,您每次運行exe文件,這個Trojan.exe文件就會被執行。木馬灰鴿子就采用關聯exe文件的打開方式,而大名鼎鼎的木馬冰河采用的是也與此相似的一招——關聯txt文件。
對付這種隱藏方法,主要是經常檢查注冊表,看文件的打開方式是否發生了變化。如果發生了變化,就將打開方式改回來。最好能經常備份注冊表,發現問題后立即用備份文件恢復注冊表,既方便、快捷,又安全、省事。
木馬對設備名的利用
大家知道,在Windows下無法以設備名來命名文件或文件夾,這些設備名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個漏洞可以以設備名來命名文件或文件夾,讓木馬可以躲在那里而不被發現。
具體方法是:點擊“開始”菜單的“運行”,輸入cmd.exe,回車進入命令提示符窗口,然后輸入md c:con\命令,可以建立一個名為con的目錄。默認請況下,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux\命令,可以建立aux目錄,輸入md c:prn\可以建立prn目錄,輸入md c:com1\目錄可以建立Com1目錄,而輸入md c: ul\則可以建立一個名為nul的目錄。在資源管理器中依次點擊試試,您會發現當我們試圖打開以aux或com1命名的文件夾時,explorer.exe失去了響應,而許多“牧馬人”就是利用這個方法將木馬隱藏在這類特殊的文件夾中,從而達到隱藏、保護木馬程序的目的。
現在,我們可以把文件復制到這個特殊的目錄下,當然,不能直接在Windows中復制,需要采用特殊的方法,在CMD窗口中輸入copy muma.exe \.c:aux\命令,就可以把木馬文件muma.exe復制到C盤下的aux文件夾中,然后點擊“開始”菜單中的“運行”,在“運行”中輸入c:aux muam.exe,就會成功啟動該木馬。我們可以通過點擊文件夾名進入此類特殊目錄,不過,如果您要試圖在資源管理器中刪除它,會發現這根本就是徒勞的,Windows會提示找不到該文件。
由于使用del c:aux\命令可以刪除其中的muma.exe文件,所以,為了達到更好的隱藏和保護效果,下木馬者會把muma.exe文件也改名,讓我們很難刪除。具體方法就是在復制木馬文件到aux文件夾時使用命令copy muma.exe \.c:con.exe,就可以把木馬文件muma.exe復制到aux目錄中,并且改名為con.exe,而con.exe文件是無法用普通方法刪除的。
可能有的朋友會想,這個con.exe文件在“開始”菜單的“運行”中無法運行啊。其實不然,只要在命令行方式下輸入cmd /c \.c:con就可以運行這個程序了。在運行時會有一個cmd窗口一閃而過,下木馬者一般來說會對其進行改進,方法有很多,可以利用開機腳本,也可以利用cmd.exe的autorun:在注冊表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun,值為要運行的.bat文件或.cmd文件的路徑,如c:winntsystem32auto.cmd,如果建立相應的文件,它的內容為@\.c:con,就可以達到隱蔽的效果。
對于這類特殊的文件夾,發現后我們可以采用如下方法來刪除它:先用del \.c:con.exe命令刪除con.exe文件(該文件假設就是其中的木馬文件名),然后再用rd \.c:aux命令刪除aux文件夾即可。
好了,文章到這里就結束了。由于水平有限,文中如有不正確或值得商榷的地方歡迎大家批評指點,另外,寫作時曾參閱過網上高手們的帖子,受益匪淺,在此一并謝過!
不過,AutoRun不僅能應用于光盤中,同樣也可以應用于硬盤中(要注意的是,AutoRun.inf必須存放在磁盤根目錄下才能起作用)。讓我們一起看看AutoRun.inf文件的內容吧。
打開記事本,新建一個文件,將其命名為AutoRun.inf,在AutoRun.inf中鍵入以下內容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
其中,“[AutoRun]”是必須的固定格式,一個標準的AutoRun文件必須以它開頭,目的是告訴系統執行它下面幾行的命令;第二行“Icon=C:WindowsSystemShell32.DLL,21”是給硬盤或光盤設定一個個性化的圖標,“Shell32.DLL”是包含很多Windows圖標的系統文件,“21”表示顯示編號為21的圖標,無數字則默認采用文件中的第一個圖標;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要運行程序的路徑及其文件名。
如果把Open行換為木馬文件,并將這個AutoRun.inf文件設置為隱藏屬性,我們點擊硬盤時就會啟動木馬。
為防止遭到這樣的“埋伏”,可以禁止硬盤AutoRun功能。在“開始”菜單的“運行”中輸入Regedit,打開注冊表編輯器,展開到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主鍵下,在右側窗口中找到“NoDriveTypeAutoRun”,就是它決定了是否執行CDROM或硬盤的AutoRun功能。將其鍵值改為9D,00,00,00就可以關閉硬盤的AutoRun功能,如果改為B5,00,00,00則禁止光盤的AutoRun功能。修改后重新啟動計算機,設置就會生效。
看看你是為誰在養“木馬”
[ 2007-03-25 04:11:44 | 作者: sun ]
當你發現自己的愛機中了木馬時一定很氣憤,很想知道是誰把馬放在你的愛機里。這里先簡單解釋一下原理,怎么去找出馬的主人吧!
現在很多木馬都有發IP信件的功能,“冰河”就是其中的佼佼者,也是國內用得最多的木馬。它能把你上地的動態IP,電腦里的隱藏密碼和個人信息等在受害密碼和個人信息等在受害者不知道的情況下記錄下來并發到指定的E-mail信箱。我們就利用它發的IP信是明文信息的特點(現在好像還沒有哪個木馬發的IP信有進行過加密的),用sniffer類軟件把它記錄下來。這樣我們就能知道對你用過木馬那人的E-mail了。所以我們不要立即把愛機里的木馬清除掉(不入虎穴焉得虎子),因為我們還要靠它找出它的主人呢!
首先去下載必要的工具,http://www.xfocus.org/htm1/data/tools/winsniff.zip(在DOS下運行)或HTTP://www.guanqian.com/starkun/tools/other/mpsnif01013.zip(在windos下運行)。兩個不同環境下運行的工具各有所長。
一、DOS下winsniff的用法
在c盤創建一個winsniff目錄,把包解壓,解壓后它里面有七個文件。
打開一個MS-DOS窗口(“點擊開始--程序--MS-DOS方式”)進入winsniff目錄(在MSDOS方式下輸入cd\winsniff,跟著按車鍵)。接著輸入winsniff/1,按回車,檢查撥號適配器的編號(這里檢查結果為0)。
輸入winsniff/a 0 /a mail.txt,按回車,這時顯示,其中的“0”是表示你的撥號適配器即modem的編號,當你還裝有其它網絡設備(如:局域網網卡)時它就不一定是0了,那時就要因應不同的需要而改變,“mail.txt”是表示記錄文件的名字,可以任意取名字。
接著就是撥號上網或與網絡連接(局域網的用戶),等著winsniff幫你截獲信息吧。
當你看到顯示,出現“[mail]”時請按“ctrl+c”鍵結束程序,這時你就可以用筆記本打開“mail.txt”文件看看里面的信息了,是不是很驚訝呢,你的密碼什么的都給記錄下來了!記錄文件中的“TO:”后面顯示的E-mail地址就是木馬主人的E-mail地址了,跟闃想怎么利用這E-mail地址對付那可惡的人就你自已喜歡了,呵呵。但不要玩過火了!這軟件的優點是比較穩定不容易出錯;缺點就是操作煩瑣,適合具備一點DOS操作經驗的人用,但我個人比較喜歡用它,因為穩定!
二、Windows下masnif的使用
在c盤創建一個mpsnif目錄,把它解壓,解壓后有四個文件。通過雙擊MPSnif文件運行軟件,它的工作界面如圖4所示。
首先要對它進行一下設置,點擊一下設置,點擊一下“setup”按鈕就會出現所示對話框,“Dicectory(目錄)”后原來填的是“c:\”,把它改為“C:\mpsnif\”,而“DNS”可以忽略,點擊“OK”按鈕后它會再出現一個對話框,忽略它點擊“確定”即可。然后把軟件關掉再重新啟動,這時剛才的設置就生效了。
選擇要監視的設備,一般是選“撥號適配器”(如果你還裝了其它網絡設備,并且要對它進行監視才選你要監視的設備)。還要選擇要監視的協議,單擊“TCP ports”選中“Smtp(25)”,使它的前面有個鉤。
這時可以點擊“Start”按鈕使軟件開始工作,按著要做的就是撥號上網或與網絡連接(局域網的用戶),等著MPsnif幫你截獲信息。我們也可以去干別的事,這時MPSnif會顯示很多數據記錄。
等下到網后再到“C:mpsnif”目錄中查找并打開文件名為XXX_XXX_XXX_XXX$XXX-XXX_XXX_XXX_XXX$25_XXXXXXX的文件(其中$XXXX為你在發信出去時在本機打開的承受機端口,而它前面的XXX_XXX_XXX_XXX是你該次上網的IP地址;$25為郵件服務器打開的S M T P 端口,它前面的XXXXXX為該郵件的大小),在文件里“TO:”后面的E-mail地址就是木馬主人的E-mail地址了。這軟件的優點是操作較為簡單方便,容易使用,功能比上面那個強(還有很多別的監視功能,有興趣的可以自己研究。);缺點是不夠穩定,常提示你程序出錯(可能是它還是測試版的原因吧,或是我的系統出了問題),但不會影響到它的攔截數據的功能,它適合那些對電腦了解不深的人應用。
三、使用注意事項
1.運行這兩個軟件時都必須要在撥號上網或與網絡連接前就運行,因為這樣才能肯定攔截到木馬所發出的IP信;
2.在運行這兩個軟件時不要作任何收發郵件的工作,因為這樣會影響到攔截數據的準確性,給你造成“誤報”的可能性;
3.這兩個軟件者不是百分之百的不會出問題,有時可能會攔截不到,請多試一兩次提高準確率;
4.我們知道木馬主人的E-mail后,記得把愛機里的木馬給清除了,這樣才能徹底的杜絕其他人對你愛機進行的木馬侵擾;
5.在給木馬主人的懲罰時請適可而止,不要過火了,到時候造成別的人嚴重損失時理虧就會變成你了;
6.這兩個軟件都會牽涉到一些別的安全問題,請不要用來做違法的事
現在很多木馬都有發IP信件的功能,“冰河”就是其中的佼佼者,也是國內用得最多的木馬。它能把你上地的動態IP,電腦里的隱藏密碼和個人信息等在受害密碼和個人信息等在受害者不知道的情況下記錄下來并發到指定的E-mail信箱。我們就利用它發的IP信是明文信息的特點(現在好像還沒有哪個木馬發的IP信有進行過加密的),用sniffer類軟件把它記錄下來。這樣我們就能知道對你用過木馬那人的E-mail了。所以我們不要立即把愛機里的木馬清除掉(不入虎穴焉得虎子),因為我們還要靠它找出它的主人呢!
首先去下載必要的工具,http://www.xfocus.org/htm1/data/tools/winsniff.zip(在DOS下運行)或HTTP://www.guanqian.com/starkun/tools/other/mpsnif01013.zip(在windos下運行)。兩個不同環境下運行的工具各有所長。
一、DOS下winsniff的用法
在c盤創建一個winsniff目錄,把包解壓,解壓后它里面有七個文件。
打開一個MS-DOS窗口(“點擊開始--程序--MS-DOS方式”)進入winsniff目錄(在MSDOS方式下輸入cd\winsniff,跟著按車鍵)。接著輸入winsniff/1,按回車,檢查撥號適配器的編號(這里檢查結果為0)。
輸入winsniff/a 0 /a mail.txt,按回車,這時顯示,其中的“0”是表示你的撥號適配器即modem的編號,當你還裝有其它網絡設備(如:局域網網卡)時它就不一定是0了,那時就要因應不同的需要而改變,“mail.txt”是表示記錄文件的名字,可以任意取名字。
接著就是撥號上網或與網絡連接(局域網的用戶),等著winsniff幫你截獲信息吧。
當你看到顯示,出現“[mail]”時請按“ctrl+c”鍵結束程序,這時你就可以用筆記本打開“mail.txt”文件看看里面的信息了,是不是很驚訝呢,你的密碼什么的都給記錄下來了!記錄文件中的“TO:”后面顯示的E-mail地址就是木馬主人的E-mail地址了,跟闃想怎么利用這E-mail地址對付那可惡的人就你自已喜歡了,呵呵。但不要玩過火了!這軟件的優點是比較穩定不容易出錯;缺點就是操作煩瑣,適合具備一點DOS操作經驗的人用,但我個人比較喜歡用它,因為穩定!
二、Windows下masnif的使用
在c盤創建一個mpsnif目錄,把它解壓,解壓后有四個文件。通過雙擊MPSnif文件運行軟件,它的工作界面如圖4所示。
首先要對它進行一下設置,點擊一下設置,點擊一下“setup”按鈕就會出現所示對話框,“Dicectory(目錄)”后原來填的是“c:\”,把它改為“C:\mpsnif\”,而“DNS”可以忽略,點擊“OK”按鈕后它會再出現一個對話框,忽略它點擊“確定”即可。然后把軟件關掉再重新啟動,這時剛才的設置就生效了。
選擇要監視的設備,一般是選“撥號適配器”(如果你還裝了其它網絡設備,并且要對它進行監視才選你要監視的設備)。還要選擇要監視的協議,單擊“TCP ports”選中“Smtp(25)”,使它的前面有個鉤。
這時可以點擊“Start”按鈕使軟件開始工作,按著要做的就是撥號上網或與網絡連接(局域網的用戶),等著MPsnif幫你截獲信息。我們也可以去干別的事,這時MPSnif會顯示很多數據記錄。
等下到網后再到“C:mpsnif”目錄中查找并打開文件名為XXX_XXX_XXX_XXX$XXX-XXX_XXX_XXX_XXX$25_XXXXXXX的文件(其中$XXXX為你在發信出去時在本機打開的承受機端口,而它前面的XXX_XXX_XXX_XXX是你該次上網的IP地址;$25為郵件服務器打開的S M T P 端口,它前面的XXXXXX為該郵件的大小),在文件里“TO:”后面的E-mail地址就是木馬主人的E-mail地址了。這軟件的優點是操作較為簡單方便,容易使用,功能比上面那個強(還有很多別的監視功能,有興趣的可以自己研究。);缺點是不夠穩定,常提示你程序出錯(可能是它還是測試版的原因吧,或是我的系統出了問題),但不會影響到它的攔截數據的功能,它適合那些對電腦了解不深的人應用。
三、使用注意事項
1.運行這兩個軟件時都必須要在撥號上網或與網絡連接前就運行,因為這樣才能肯定攔截到木馬所發出的IP信;
2.在運行這兩個軟件時不要作任何收發郵件的工作,因為這樣會影響到攔截數據的準確性,給你造成“誤報”的可能性;
3.這兩個軟件者不是百分之百的不會出問題,有時可能會攔截不到,請多試一兩次提高準確率;
4.我們知道木馬主人的E-mail后,記得把愛機里的木馬給清除了,這樣才能徹底的杜絕其他人對你愛機進行的木馬侵擾;
5.在給木馬主人的懲罰時請適可而止,不要過火了,到時候造成別的人嚴重損失時理虧就會變成你了;
6.這兩個軟件都會牽涉到一些別的安全問題,請不要用來做違法的事
