by Lance Spitzner
Tue May 23 2000
lance@spitzner.net
本文是“了解你的敌人”系列中的续篇。前三篇文章中覆盖了黑客社团所使用的工具和
战术。这里我们将介绍
如何把前面文章里面介绍的方法集中起来,目的是为了让你能够掌握如何面队威胁你的
网络安全的入侵者们。
背景:
本文中所有相关的信息都是由我的honeypot(http://www.enteract.com/~lspitz/
honeypot.html)收集到的。在我的honeypot上默认安装的是Red Hat 6.0。按照默认安
装好后没有进行过其它附加的改动,所以在它上面存在的安全漏洞对于其它默认安装的
Red Hat 6.0系统也是存在的。同样,在下面文章中出现的所有数据都是没有修改过的。
所有的IP地址,用户帐号,包括所有的键盘输入都是真实的。为了保护系统的安全只有
密码数据被改动了,本文的目的就是为了更好的来理解黑客是如何思维和攻击的。
所有
的嗅探器格式都是使用了
snort格式。Snort是我使用的嗅探器和入侵检测系统,这是因为它的灵活性,兼容性和
免费软件的特点。这次入侵过程中黑客所有的行动都被snort记录下来了,同时我使用了
www.whitehats.com提供的入侵分析资料。你可以去那查询到我这里提到的所有详细技术
资料。当你在阅读本文的时候,可以注意到黑客使用了各种不同的操作系统,虽然本文
将这个黑客称呼为“她”,但是我们并不真正知道他的性别到底是什么。
关于这次攻击
在4月26日06:43时,snort向我报警,报告说现在我的系统中某一台服务器遭受到"n
oop"攻击。包含有noops 命令的包一般预示这是一次缓冲溢出攻击。在本次攻击中,
snort检测到这次攻击并且将攻击者的行动记录到/var/log/messages文件中(该文件由s
watch程序监视)。申明:在本文中,IP地址172.16.1.107是我的honeypot(就是被攻击
的服务器)的IP地址。而其它的IP地址都是黑客所使用的IP地址
Apr 26 06:43:05 lisa snort[6283]: IDS181/nops-x86: 63.226.81.13:1351 -> 172.
16.1.107:53
虽然我的honeypots每天都会收到无数的扫描、探测、查询。但是,这条信息马上引
起了我的注意,因为它预示这系统已经受到威胁了。果然,还不到两分钟,系统日志就
告诉我入侵者已经连接上并且登录上了。
Apr 26 06:44:25 victim7 PAM_pwdb[12509]: (login) session opened for user twi
【了解你的敌人】了解你的敌人:一次入侵过程的公开分析 《转》
http://m.bbyears.com/wangyetexiao/3615.html
推荐访问: