网络入侵与反入侵

本文可以学到

1 企业常遭遇的攻击手段分析

2 如何对黑客进行追踪

3 服务器蜜罐

>> 网络入侵反追踪节点最优路径推演平台的设计与实现 谈网络入侵检测与防御安全 网络入侵检测的原理与研究 网络入侵检测与防治技术 网络入侵检测方法 网络入侵愈演愈烈 基于网络入侵分析 网络入侵智能识别的相关技术与应用 网络入侵检测取证模型的构建与实现 网络入侵监测系统的设想与实现 网络入侵检测技术的研究与实现 基于网络入侵检测的研究与实现 网络入侵检测模型的分析与比较 网络防入侵保护系统 网络入侵检测方法研究 网络入侵检测系统初探 网络入侵检测系统浅析 浅谈网络入侵检测系统 浅谈网络入侵检测技术 网络入侵检测技术浅析 常见问题解答 当前所在位置：l

/soft/7752.htm

地点:微创集团服务器机房

情报:凌晨1点，黑客再次访问WEB服务器进行信息窃取，工程师马青对黑客留下的后门程序进行监视，工程师孙佳兴根据黑客入侵IP进行反入侵追查。由于日志显示入侵IP地址为日本，可以猜测黑客有可能使用服务器或者跳板服务器，为了探测到入侵者的真实IP地址，我们的工程师在黑客留下的后门中增加了一个自动执行的网页木马程序，希望能记录下入侵者的真实IP。

时间:2007年9月12日凌晨

负责工程师:马青、孙佳兴

发现黑客后门

本段掌握技能:后门查找

“这次挑战不小啊，完成安全隐患排查不算，还要获取黑客入侵的证据！黑客老大，今天晚上你可一定要来啊。”工程师马青发着牢骚，“好好的活，我尽量找找，看是否能找到对方留下的后门程序，咱们重新加载一个反弹后门程序，争取利用木马反侦察对方的真实IP地址和相关资料。”老孙比较稳健。

老孙在服务器上运行cmd.exe(在开始菜单运行中输入“cmd”)输入Tasklist，对系统启动的进程进行浏览式分析:

C:\Documents and Settings\aa>Tasklist

图像名 PID 会话名 会话# 内存使用

=====================================================

……

services.exe 704 Console 04，448 K

Apache.exe 1796 Console 0 1146，268 K

soundman.exe 2616 Console 0 3，164 K

shstat.exe2624 Console 0 660 K

可以发现Apache.exe进程比较可疑 (占用系统内存过大，很多后门程序在出现异常访问时都会出现占用系统内存过大的现象)。

继续利用tasklist命令查询:Tasklist/svc

C:\Documents and Settings\aa>Tasklist/svc

图像名 PID 服务

=====================================================

……

spoolsv.exe 1420 Spooler

explorer.exe 1664 暂缺

Apache.exe 1796 serverpost

FrameworkService.exe 1828 McAfeeFramework

Apache.exe 启用的服务很可能是后门程序

用十六进制编辑器打开可疑程序，查找关键词:(password、user、psd、mail)等敏感信息，发现此程序中含有黑客后门特征:管理程序用户名和密码。(见图1)

(1)

可以确信:黑客是利用Apache.exe程序做后门了!

构架探测性蜜罐

本段掌握技能:如何探测蜜罐存在

老孙决定采用了X-Sniffergui监听工具对黑客后门程序进行监视，运行“XsnifferGUI”可执行程序后，会弹出“图形化”操作界面(见图2)，由于需要采取“监听”模式，单击在软件框下方“开始监听”按钮，程序就会立即监听本机目前所有“账户”的信息流动情况。X-Sniffergui会将账户操作信息保存在以Pass.log为名的文档内，位置就在X-Sniffergui安装目录下。当黑客连接到后门Apache.exe程序完成操作后，查找pass.log文档中所有关联Apache.exe程序的操作就可以找出黑客的攻击行迹。(黑客攻击分类和分析方法参见基础资料)

(2)

老孙构造了一个与黑客后门进行触发式关联的嗅探程序，当黑客连接自己留下的后门时候，嗅探木马将自动植入黑客的计算机。完成此步骤，一个简单的探测性蜜罐就此完成。

小知识:蜜罐的类型

探测性蜜罐

此类蜜罐被称为(honeypot)是一种故意设计存在缺陷的虚拟系统，欺骗黑客对系统进行攻击操作，从而发现并记录黑客的攻击手段和过程。

报复性蜜罐

此类蜜罐是发现黑客攻击后利用黑客后门重新构架的陷阱程序，当黑客再次连接到受害服务器后发起反击(一般为加载后门或病毒等手段)。

反入侵黑客跳板服务器

本段掌握技能:获得IP地址

凌晨1点，“ 老孙，这家伙还真准时，看来今天晚上咱们不会白熬夜了！”马青看到服务上传来的黑客攻击情况兴奋起来。

“监视系统显示嗅探木马在入侵者连接服务器时已经运行，木马无法返回管理权限，但可以向本地监视系统发送消息，很有可能是对方服务器的防火墙做了端口限制，导致木马无法回传管理权限。我刚访问了他的连接IP地址，发现是一家日本企业网站服务器，99%的情况是同样被黑客入侵的受害者，木马在服务器上监视到一个国内IP地址:218.99.1XX.1利用3389端口(Windows 2000/2003服务器默认远程程序端口)对服务器进行管理。并在ftp日志中有此IP地址下载微创集团的数据库文件的记录。可以确定攻击者是来自北京的IP(见图3)，有这些证据就可以上报公安机关进行处理了。

(3)

黑客常见攻击方式

1.拒绝服务攻击

(即dos攻击和ddos分布式攻击，详细请参见电脑爱好者2007年第21期)

黑客向网站(服务器、路由器)发送数据包，致使网站无法提供(网络接入)正常服务，甚至直接导致崩溃。

特点:攻击难度低(攻击者可采用傻瓜黑客工具完成攻击)，防御难度大，出现于企业竞争中的非正当商业进攻手段。

2.窃取性入侵攻击

黑客利用网站漏洞，或者采用各种入侵手段和工具，侵入网站系统或者后台，改写网站页面或者盗窃数据库。

特点:攻击难度大(要求攻击者对网络安全有相当程度的认识)，防御难度也大，出现于同行业(同地区)竞争对手窃取机密信息的非正常商业攻击手段。

3.破坏性入侵攻击

4.殃及池鱼攻击

判断黑客攻击的类型

本段掌握技能：攻击类型分类

1.拒绝服务攻击

当服务器出现短时间内连续当机日志或外网访问公司网站出现速度过慢甚至无法打开，利用命令行执行netstat 工具查看TCP连接情况如下:

# netstat -n -p TCP

tcp0 0 10.11.11.11:23124.173.152.8:25882

tcp0 0 10.11.11.11:23236.15.133.204:2577

tcp0 0 10.11.11.11:23127.160.6.129:51748

……

此类情况在排除网络线路问题后依旧出现可以判断为DOS/DDOS拒绝服务攻击。

2.入侵性攻击

服务器出现:(数据丢失、无故自动重起、未知管理账号、可疑进程、网站目录中出现可执行文件.exe .bat .vbs等)情况，服务器日志有相当时间内残缺内容。出现以上情况可判断为黑客入侵性攻击。(见图4、图5)

(4)

(5)

图4：正常日志

图5：黑客攻击后删除过攻击时段后的日志