文/天極論壇

　　在本文中，作者主要介紹了黑客用于攻擊網(wǎng)絡(luò)的一些工具。通過了解這些黑客工具的使用方法，讀者可以更好地保護自己網(wǎng)絡(luò)的安全。

　　的的的…………，凌晨3時45分，惱人的鈴聲將你吵醒。于是，你上網(wǎng)回應(yīng)呼叫，卻發(fā)現(xiàn)網(wǎng)絡(luò)已被斷掉，你已被黑客“黑”了。而且，這個黑客一定是個高手，因為數(shù)個服務(wù)器都已停止工作，隨處都有他遺留的特洛伊木馬后門程序。天知道他還干了些什么！更令你頭疼是，當(dāng)你檢查E-mail時，有許多公司竟在問你為什么攻擊他們的網(wǎng)絡(luò)。顯然，黑客已經(jīng)利用你的主機去攻擊其它系統(tǒng)了。

　　為了幫助你更好地防范時刻發(fā)生的攻擊事件，本文描述了流行的黑客工具及有效的防范技術(shù)，你可以利用這些技術(shù)來保障網(wǎng)絡(luò)的安全。

　　特別說明

　　本文不是在教你如何去攻擊他人的系統(tǒng)，而是客觀描述了現(xiàn)實世界中發(fā)生的攻擊事件，并向你提供了抵御這些攻擊的方法。

　　由于這些工具可以在網(wǎng)上免費下載，并且它可能會損害你的系統(tǒng)，因此，作者在文中論述某一工具時，并不表示他默許或是推薦你使用。作者提醒：在使用這些工具時，你一定要慎重、小心，而且你必須弄清楚源代碼的意思。

　　工具一：Password Crackers

　　Password Crackers因其用途廣泛而成為黑客使用的主流工具。實施口令破譯攻擊分為兩步，第一步：攻擊者首先從被攻擊對象的計算機里讀出一個加密口令檔案(大部分系統(tǒng)，包括Windows NT及UNIX，他們把口令加密后儲存在檔案系統(tǒng)內(nèi)，以便當(dāng)用戶登錄時認證)； 第二步：攻擊者以字典為輔助工具，用Password Crackers 開始嘗試去破譯口令。其辦法是把字典的每一項進行加密，然后兩者進行比較。假若兩個加密口令相符，黑客就會知道該口令；假若兩者不符，此工具繼續(xù)重復(fù)工作，直到字典最后一項。有時，黑客們甚至?xí)�試遍每一種字母的組合。使用該種方法，口令破譯的速度與加密及比較的速度有關(guān)。

　　工具二：L0phtCrack

　　L0phtCrack由黑客組L0pht Heavy Industries撰寫，于1997年推出。它以共享軟件(Shareware)的形式傳播。它專門用于破譯Windows NT口令。此工具性能強大，又很容易使用，初學(xué)者只需少量指點便能破譯口令。1999年1月推出的L0phtCrack 2.5版優(yōu)化了DES密碼程序，軟件性能也隨之提高(比舊版本快450%)。據(jù)稱，一臺450 MHz Pentium II 計算機一天內(nèi)就可破譯所有字母數(shù)字混合的口令。

　　L0phtCrack 可通過多種渠道得到加密的口令檔案。只要黑客運行一個包含L0phtCrack的程序，或從window NT系統(tǒng)管理員的備份軟盤里拷貝一個程序，就可以得到Windows NT系統(tǒng)里的SAM數(shù)據(jù)庫。L0phtCrack最新版的GUI可以從網(wǎng)絡(luò)中得到加密的Windows口令。當(dāng)你登錄到NT域，你的口令會被用哈希算法送到網(wǎng)絡(luò)上。L0phtCrack的內(nèi)置嗅探器很容易找到這個加密值并破譯它。

　　因為這個工具對IT從業(yè)人員也有極大用處，所以從L0phtCrack 2.0版以后開始收取注冊費。最新版可以有15天免費試用期，超過15日則收取100美金，并且有多個破譯程序以供選擇，有些收取費用，有些可從自由軟件庫中得到。

　　L0phtCrack的防范

　　抵御口令破譯攻擊的最好方法是執(zhí)行強制的口令防范政策。例如要求用戶設(shè)想的口令很難被猜到。如口令應(yīng)該至少有8位，包括數(shù)字、字母及特殊字符(如！@#$%)；口令應(yīng)不包括字典字。為了進一步保障安全，一些口令自動設(shè)置工具可以幫助用戶設(shè)計復(fù)雜的口令。

　　此外，你應(yīng)該時常用口令破譯工具檢查公司的口令是否安全。當(dāng)然，只有安全管理人員或是經(jīng)他們授權(quán)的人員才能允許使用該種工具，而且必須得到書面的批準。同時你也應(yīng)當(dāng)事先對口令不幸被破譯的用戶做出解決方案，選擇向他發(fā)Email，還是親自拜訪用戶，向他解釋你的口令政策。這些問題在進行口令評估前應(yīng)考慮完全。

　　工具三：War Dialers

　　很多公司非常重視防火墻的安全。然而，這個堅固的防線只封住了網(wǎng)絡(luò)的前門，但內(nèi)部網(wǎng)中不注冊的調(diào)制解調(diào)器卻向入侵者敞開了“后門”。 War Dialers能迅速地找出這些調(diào)制解調(diào)器，隨即攻入網(wǎng)絡(luò)。因此，它成為一個非常受入侵者歡迎的工具。

　　War Dialer因電影“War Games”而一舉成名。它的攻擊原理非常簡單：不斷以順序或亂序撥打電話號碼，尋找調(diào)制解調(diào)器接通后熟悉的回應(yīng)音。一旦War Dialers找到一大堆能接通的調(diào)制解調(diào)器后，黑客們便撥號入網(wǎng)繼續(xù)尋找系統(tǒng)內(nèi)未加保護的登錄或容易猜測的口令。War Dialers首選攻擊對象是“沒有口令”的PC遠程管理軟件。這些軟件通常是由最終用戶安裝用來遠程訪問公司內(nèi)部系統(tǒng)的。這些PC遠程控制程序當(dāng)用到不安全的調(diào)制解調(diào)器時是異常脆弱的。

　　THC-Scan是The Hacker’s Choice (THC) Scanner的縮寫。 這個 War Dialers 工具是由“van Hauser”撰寫的。它的功能非常齊全。THC-Scan 2.0版于1998年圣誕節(jié)推出，THC-Scan與Toneloc (由“Minor Threat”及“Mucho Maas”撰寫) 用途近似。THC-Scan與其他普通War Dialers工具不同，它能自動檢測調(diào)制解調(diào)器的速度、數(shù)據(jù)位、校驗位及停止位。 此工具也嘗試去判斷被發(fā)現(xiàn)的計算機所使用的操作系統(tǒng)。而且，THC-Scan有能力確認什么時候能再有撥號音，這樣，黑客們便可以不經(jīng)過你的PBX就可以撥打免費電話。

　　War Dialers的防范

　　當(dāng)然，最有效防范措施就是使用安全的調(diào)制解調(diào)器。取消那些沒有用途的調(diào)制解調(diào)器。且用戶必須向IT部門注冊后才能使用調(diào)制解調(diào)器。對那些已注冊并且只用作外發(fā)的調(diào)制解調(diào)器，就將公司的PBX的權(quán)限調(diào)至只允許外撥。每個公司應(yīng)有嚴格的政策描述注冊的調(diào)制解調(diào)器并控制PBX。由于市場零售店內(nèi)有使用方便、價格便宜的數(shù)字調(diào)制解調(diào)器出售, 用戶也能把調(diào)制解調(diào)器安裝在只有數(shù)字線的PBX上使用。

　　除此之外，你還要定期作滲透測試，找出電話交換器內(nèi)不合法的調(diào)制解調(diào)器。選用一個好的工具去尋找與網(wǎng)絡(luò)連接的調(diào)制解調(diào)器。對于被發(fā)現(xiàn)、但未登記的調(diào)制解調(diào)器，要么拿掉它們，要么重新登記。

　　工具四：Net Cat

　　Net Cat是一個用途廣泛的TCP及UDP連接工具。它是由“Hobbit”于1995年為UNIX編寫的，于1997年推出。對系統(tǒng)管理人員及網(wǎng)絡(luò)調(diào)試人員而言，它是一個非常有用的工具。當(dāng)然，它也是一個攻擊網(wǎng)絡(luò)的強大工具。

　　Net Cat有許多功能，號稱黑客們的“瑞士軍刀”。與功能強大的UNIX腳本語言結(jié)合時，Net Cat是制造網(wǎng)絡(luò)工具的基本組件。Net Cat的基本程序可以以聆聽式和客戶式兩種方式運行。當(dāng)以聆聽式運行時，Net Cat是一個服務(wù)器進程，等待與指定的TCP或UDP端口連接。而以客戶式運行時，Net Cat能連接到用戶指定的任何端口。

　　Net Cat在一個系統(tǒng)內(nèi)以聆聽式運行，同時在另一系統(tǒng)內(nèi)以客戶式運行時，Net Cat可以發(fā)動很多攻擊。它可以在任何端口提供后門登錄，如UDP端口53。從網(wǎng)絡(luò)包角度來分析，這種登錄被看成是一系列DNS問答，其實這是真正的后門登錄。當(dāng)在兩系統(tǒng)內(nèi)以兩種方式同時運行時，Net Cat可以在任何端口架構(gòu)快捷、簡單的檔案傳輸機制。

　　Net Cat也可以是源路包。當(dāng)Net Cat以客戶方式運行時，它是個UDP及TCP端口掃描器。當(dāng)它發(fā)現(xiàn)系統(tǒng)內(nèi)有打開的端口時，Net Cat會輕而易舉地與這些端口連接。

　　Net Cat NT版有一個獨特之處：它可以將自己綁定在當(dāng)前進程的端口前端。利用這一功能可以非常有效地向服務(wù)器或Web服務(wù)器發(fā)動攻擊。這種連接也可以因拒絕服務(wù)攻擊（Denial-of-service DoS）而被斷掉。有時黑客把自己的請求送到正當(dāng)?shù)姆��?wù)器進程前，編寫特別的程序用來尋找敏感數(shù)據(jù)（口令、銀行帳號等）。

　　Net Cat防范

　　最佳防范Net Cat的方法是“最小特權(quán)原理”（昵稱為“polyp”）（Principle of Least Priviledges）。也就是說，不讓不需要的端口經(jīng)過防火墻，只有那些你允許通過的端口可以與指定的主機連接。例如：經(jīng)過防火墻的DNS查詢，只打開需要此服務(wù)的UDP 53端口（通常是一個內(nèi)部DNS服務(wù)器把這些查詢轉(zhuǎn)出到Internet）。這樣就可以防止攻擊者有機會把Net Cat包送到你內(nèi)部網(wǎng)的任何主機上。

　　至于那些可以被外部訪問的系統(tǒng)，在防范Net Cat攻擊時，你要清楚這些機器上已運行的進程，并且仔細調(diào)查那些不尋常進程，因為它們可能是后門聆聽者。你必須定期檢查端口，以便發(fā)現(xiàn)有沒有聆聽者侵入你的機器。

　　為了防止回放攻擊，所有應(yīng)用系統(tǒng)應(yīng)該為每條消息（包括web cookies、表單或者是原始數(shù)據(jù)）蓋上時間印及順序號碼。所有消息的時間印及順序號應(yīng)經(jīng)過密碼完整性測試，確保沒有被修改或回放。

　　工具五：Session Hijacking

　　很多應(yīng)用系統(tǒng)采用命令行登錄是不安全的，尤其是telnet、rsh、rlogin及FTP程式，它們?nèi)�是黑客攻擊對象。任何一個黑客在連接了客戶與服務(wù)器之間的網(wǎng)段后，可以用Session Hijacking工具接管會話。

　　當(dāng)一個合法用戶登錄到命令行進行會話時，黑客可以找到此會話并馬上代表用戶接管此會話，重新連接客戶，這樣黑客便完全控制這個登錄，進而黑客成為合法用戶。而真正的用戶會簡單地認為網(wǎng)絡(luò)出故障了，從而會斷掉會話。

　　黑客圈里有大量此種黑客工具，最新的有 “Kra”于1998年11月編寫的Hunt， 還有“daemon9”編寫的juggernaut，它們均提供基本的Session Hijacking功能。

　　Session Hijacking防范

　　對于敏感的會話通信（如防火墻的遠程管理、PKI或是其他重要部件的管理），選用一個有密碼認證功能的工具把整個會話加密是一個好選擇。Secure Shell (SSH)就提供這些功能。VPN產(chǎn)品也提供認證及會話加密。黑客沒有在SSH或VPN工具里所用的鑰匙便無法進行會話攻擊。

　　快樂的結(jié)局

　　讓我們回顧一下三個月前篇首所描述的攻擊情節(jié)。

　　當(dāng)你調(diào)查這次攻擊時，你發(fā)現(xiàn)入侵者使用war dialing找出一個供用戶使用的不受保護的調(diào)制解調(diào)器。隨后他接管了這個系統(tǒng)，并掃描整個網(wǎng)絡(luò)，把后門安裝在網(wǎng)絡(luò)內(nèi)部的機器中。當(dāng)黑客觀察到一位系統(tǒng)管理員登錄到公用Web服務(wù)器上時，他就接管該服務(wù)器，并用它開始攻擊其他Internet站點。

　　經(jīng)過此次事件，你的機構(gòu)開始注意到安全防范的重要性，管理部門也授權(quán)你去實施一項口令及調(diào)制解調(diào)器政策，他們開始定期作war dialing及口令破譯測試，以及安裝自動監(jiān)測預(yù)警系統(tǒng)。

　　經(jīng)過施行這些新政策后，公司網(wǎng)絡(luò)的安全性大大提高。你明白了只有認真學(xué)習(xí)并且施行防范策略才能免受攻擊。即使日后又發(fā)現(xiàn)任何隱患，你也會迅速檢測到并立即采取措施。

　　希望你有了這些知識后，可以在晚上睡個好覺了！　　

　　Back Orifice 簡介

　　黑客一旦找出調(diào)制解調(diào)器并破譯口令成功后， 他會做什么? 通常，他會在系統(tǒng)內(nèi)安裝后門程序以便他稍后再來。Back Orifice（或稱BO） 是功能強大的后門制造工具, 它能輕而易舉的使龐大的網(wǎng)絡(luò)系統(tǒng)陷入癱瘓之中。

　　Back Orifice由黑客Cult of the Dead Cow （cDc）于1998年8月推出。BO包括服務(wù)器部分和客戶部分。服務(wù)器部分安裝在受侵者的Window 95機器上，而客戶部分在黑客系統(tǒng)中運行。安裝BO主要目的是：黑客通過網(wǎng)絡(luò)遠程入侵并控制受攻擊的Win95系統(tǒng)，從而使受侵機器“言聽計從”。

　　BO以多功能、代碼簡潔而著稱。BO服務(wù)器只有121KB，安裝迅速。BO客戶軟件用UDP包與服務(wù)器溝通，可配置到系統(tǒng)任何端口上，缺省是UDP 31337（黑客術(shù)語是“Elite”）。

　　BO具有許多特點：

　　.黑客完全控制文件系統(tǒng)，可以移 動、編輯、刪除及復(fù)制受侵機器的程序。

　　.可以捕獲用戶任何的鍵盤敲擊。這點使BO產(chǎn)生強大的殺傷力。因為當(dāng)受害者鍵入的是口令或公鑰密碼時，BO也將它們?nèi)鐚嵉卮嬖谖募�中，以便攻擊者日后取用�?

　　.黑客可以在受侵機器上運行任何進程，并使這些進程可在任何端口上聆聽。

　　.BO試圖隱藏自己，不在任務(wù)列上出現(xiàn)。

　　.BO服務(wù)器自帶Web服務(wù)器，這樣黑客可以用Browser訪問受害機器。

　　.其他黑客利用所謂的BO統(tǒng)一工具傳輸插件（即“BUTT plugs”），把BO功能進行擴充。已經(jīng)推出的插件宣稱可以經(jīng)E-mail或IRC激活BO，這樣，當(dāng)工具在網(wǎng)絡(luò)擴散時，就可以找到最新的目標。

　　.一個有效的BO嗅探器插件已被編寫完成。

　　BO很容易安裝。只要安裝一個必須的簡單程序，就能很容易并快速地安裝所有BO組件。BO以多種形式傳播，有時受侵者可能在毫不知情的情況下（經(jīng)e-mail附件或Web站點傳播)就被強迫執(zhí)行安裝程序了。

　　wrappers是和BO相關(guān)的工具之一，它可以把BO與無害的程序合并。例如：它把BO與一些不重要的軟件（如文字處理器或是網(wǎng)絡(luò)上流行的簡單游戲）結(jié)合，然后，黑客將BO附在game.exe上，并把結(jié)果文件用email方式發(fā)給用戶，假裝通知用戶，軟件該升級了。當(dāng)用戶執(zhí)行升級程序時，此工具首先安裝BO，之后運行被結(jié)合的應(yīng)用程序。用戶只看到游戲在運行，卻根本不知道他們已成為BO的受害者。最后，此工具可以由Web的不簽名Java applets或activeX controls安裝。

　　防范

　　雖然Bo試圖隱藏自己（不出現(xiàn)在任務(wù)列上），但它仍然很容易被人發(fā)現(xiàn)。當(dāng)進行人工檢測BO時，只要在c:\windows\system 目錄里找到122KB .exe文件，并與在windows Registry 里的HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Default鑰匙里的鑰匙名比較即可。若二者是一致的，則證明系統(tǒng)中存在BO。（值得注意的是：文件名及鑰匙名是由攻擊者配置的，但缺省是：“.exe”）。最后，如系統(tǒng)中有BO存在，則可在c:\windows\system 目錄內(nèi)找到一個叫作“windll.dll”的文件。

　　盡管人工分析對少量機器有用，但進行大范圍掃描則需要反病毒產(chǎn)品。有幾家反病毒廠家已把檢測BO功能融入其產(chǎn)品的最新的版本中。直至截稿，BO只針對window95進行破壞。但是，BO客戶部分也可以在Windows及 UNIX下進行破壞工作。不要因為你用NT系統(tǒng)就可以高枕無憂。請注意，Carl-Fredrik Neikter所編寫的Net Bus便是針對NT服務(wù)器進行破壞的，且功能與BO相同。Net Bus 2.0在1999年1月已推出。

　　其他攻擊工具

　　ROOT EXPLOITS

　　攻擊者利用ROOT EXPLOITS，使用普通UNIX帳號訪問超級用戶從而接管機器。攻擊者在UNIX系統(tǒng)里有無數(shù)方法把自己升級。

　　ROOT EXPLOITS的防范

　　安全從業(yè)人員及系統(tǒng)管理員應(yīng)參照Carnegie Mellon 的CERT（cert.org）及bugtrag (subscribe:list serve@net space.org)的安全簡訊，密切注意新的exploits。當(dāng)新的攻擊被擊破后，應(yīng)迅速并且有步驟地為受影響的機器進行測試和安裝廠家的補丁程序。對于對外公開使用的Web服務(wù)器、DNS系統(tǒng)、防火墻等，應(yīng)該使用基于主機的安全監(jiān)控軟件檢測尋找根目錄的用戶。

　　拒絕服務(wù)（Denial-of -service DoS）攻擊

　　這類攻擊會使系統(tǒng)混亂或變慢，直至不能再使用。在過去的兩年中，這類攻擊方法被黑客大量使用，而且攻擊目標是操作系統(tǒng)、路由器、甚至是激光打印機，且攻擊者使用的軟件五花八門，如Ping O Death, Land, Smurf, Bonk, Boink及Latierra。這些攻擊看起來不是那么兇猛，但公司卻往往因此而導(dǎo)致系統(tǒng)癱瘓、員工閑置及交易流產(chǎn)，公司最終會付出昂貴代價。

　　Denial-of -service的防范

　　同樣，密切注意最新攻擊事件及頻頻安裝系統(tǒng)補丁仍然是防范DoS攻擊的最佳方法。當(dāng)然，你也可以嘗試在外部路由器放置反欺騙過濾器或設(shè)置好內(nèi)部網(wǎng)絡(luò)路由器以抵御DoS的攻擊。

　　Remote Explorer

　　Remote Explorer是一個有很強殺傷力的NT病毒。它在NT系統(tǒng)中將自己偽裝成一種服務(wù)。當(dāng)管理員登錄時，此病毒會使自己自動擴散到該域內(nèi)所有NT機器上。在受影響的系統(tǒng)里，Remote Explorer會隨機加密文件，而拒絕合法的訪問。

　　Remote Explorer的防范

　　嚴密的反病毒措施及有效的病毒防范工具可以防止Remote Explorer的攻擊。

　　注：本文介紹以上工具的目的是為了讓大家了解這些工具對我們的影響，了解這些工具是為了更好的保護自己網(wǎng)絡(luò)的安全，任何人不得利用上面的工具做違法的事情。