反黑风暴-第18章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
配置KFSensor软件的具体操作步骤如下:
步骤01在重启计算机后,即可完成KFSensor软件的安装。启动KFSensor4。2程序,会出现配置向导,要求用户配置“蜜罐”。
步骤02单击【下一步】按钮,即可出现一些选项,分别是针对Windows的服务、Linux的服务、木马及蠕虫等的选项。用户可以根据自己的需要进行选择,在这里选择所有的服务。
步骤03单击【下一步】按钮,在弹出的对话框中需要设置蜜罐系统的域名,这里的域名不要设为正常主机的域名。
步骤04单击【下一步】按钮,在弹出的对话框中需要设置接收警报信息的email地址。如果需要KFSensor进行邮件报警,可以在这里填上用户的email地址;如果不需要,可省略。
步骤05单击【下一步】按钮,在弹出的对话框中可以对一些服务进行设置,这里保持默认设置即可。
步骤06单击【下一步】按钮,在弹出的对话框取消勾选“Installassystemsservice”(是否以系统服务安装)复选框。如果该程序是在自己电脑上用,在其中可以选择该选项。
步骤07单击【下一步】按钮,在弹出的对话框中单击【完成】按钮,即可完成KFSensor软件的配置。
(3)使用KFSensor进行模拟欺骗
要想了解这个模拟出来的“蜜罐”到底有什么能耐,我们可以使用扫描器对KFSensor搭建的虚拟蜜罐进行扫描,通过查看KFSensor检测到的事件来验证搭建的蜜罐是否有效。
首先以入侵者的身份利用X…Scan3。3漏洞扫描器扫描一下这台计算机(该工具的使用方法在前面已介绍过)。
扫描完成后,在KFSensor软件中单击工具栏上的【Visitors】按钮,则检测到的所有事件都会按照Visitor的IP分类了。这样可以精确的查询来自某个主机的威胁,保证每次入侵机器进行的尝试操作都会记录下来。在左侧列表中选择任意一个IP地址,如“192。168。0。9”,即可在右侧的窗口中显示使用X…Scan进行扫描而产生的事件。
双击某个事件,可在弹出的【Event】对话框中查看该事件的详细信息。其中“Visitor”选项区域中的三个文本框分别显示的是入侵者的IP、端口以及入侵者的机器名。如果在KFSensor软件中单击工具栏上的【Ports】按钮,则检测到的所有事件会按照属于TCP协议或者UDP协议来分类。
一旦发现有人对其进行扫描时,KFSensor就会进行报警并变成红色。此时,可以打开KFSensor进行日志分析。经过上面的诱捕测试,可以确认蜜罐安装成功。
从上面的图中可以看到机器开放的端口很多,几乎就像一台刚刚装好系统和服务器软件的主机,连一些危险的端口都开放着。不过这些开放的危险端口都是KFSensor模拟出来的,用X…Scan等漏洞扫描器进行扫描,可以发现NT、FTP、SQL弱口令,CGI、IIS漏洞等,这些也都是KFSensor模拟出来的。
2。网络欺骗攻击的防范
从网络欺骗的攻击原理中可以了解到网络欺骗包括多个方面,如IP地址欺骗、Web欺骗、电子信件欺骗等。针对这些网络欺骗的攻击,用户应该掌握一些防范措施。这里以IP欺骗攻击的防洪为例,介绍网络欺骗攻击的防范方法。
要防止源IP地址欺骗行为,可以采取如下措施来尽可能地保护系统免受这类攻击:
●使用加密方法:在数据包发送到网络上之前,可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性和真实性。
●抛弃基于地址的信任策略:一种非常容易的可以阻止这类攻击的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除。rhosts文件;清空/etc/hosts。equiv文件。这将迫使所有用户使用其他远程通信手段,如tel、ssh、skey等。
●进行包过滤:可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。
路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此,它们仅能对声称是来自于内部网络的外来包进行过滤,若网络存在外部可信任主机,则路由器将无法防止别人冒充这些主机进行IP欺骗。
第二章 口令猜测攻击实战
现在很多网络设备都是依靠认证的方式来进行身份识别与安全防范的,而基于账号和密码的认证方式是最为常见的,应用也是最为广泛的。
攻击者攻击目标时就常常把破译用户的口令作为攻击的开始,只要攻击者能猜出或者确定用户的口令,就能获得机器或者网络的访问权,并能访问到用户所有访问到的任何资源。因此,依靠获得账号和密码来进行网络攻击已经成为一种常见的网络攻击手段。
6。2。1攻击原理
黑客进行口令攻击的前提就是获得这台主机上的某个合法用户的账号,然后再猜测或者确定用户的口令,进而获得机器或者网络的访问权,访问用户能访问到的任何资源。如果这个用户有域管理员或root用户权限,那么一旦被攻击,后果将不堪设想。
一般来说,获得普通用户的账号的方法主要有如下几种:
●利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上。
●利用目标主机的X。500服务:有些主机没有关闭X。500的目录查询服务,这样攻击者就可能会利用它轻易获得用户的信息,得到用户的账号。
●从电子邮件地址中收集:一些用户在注册电子邮件账号时,常常会将自己主机上的账号作为电子邮件地址,这是很多用户的一种习惯做法。但这种习惯却正好泄露了目标主机上的账号。
●查看主机是否有习惯性的账号:很多用户为了便于记忆,常常习惯在不同的地方使用同一账号,从而造成账号的泄露。
当攻击者得到用户的账号后,往往会针对账号的类型,采用不同的方法来获取口令。下面介绍几种主动口令攻击类型。
●字典攻击
很多用户在设置口令时,往往会利用普通词典中的单词作为口令,因此,发起词典攻击来破解用户的密码是一个较好的方法。词典攻击使用一个包含大多数词典单词的文件,用这些单词猜测用户口令。攻击者可以通过一些工具程序自动从电脑字典中取出一个单词,作为用户的口令,再输入给远端的主机申请进入系统。
若口令错误,就按顺序再取出下一个单词,再次尝试,直到找到正确的口令或字典的单词为止。使用一部1万个单词的词典一般能猜测出系统中70%的口令,而且这个破译过程由计算机程序来自动完成,因此,词典攻击能在很短的时间内完成。
●强行攻击
一些用户在设置口令时,为了防止口令被人轻易地破解,就采用了足够长的口令,或者使用足够完善的加密模式,以为这样就能够有一个攻不破的口令。但实际上,任何强大的口令都是可以被攻破的,只是较严密的口令的破译需要攻击者花费很多的时间。
如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合,将最终能破解所有的口令。这种类型的攻击方式就叫做强行攻击。使用强行攻击,先从字母a开始,尝试aa、ab、ac等,再尝试aaa、aab、aac……。
(3)组合攻击
组合攻击是一种将字典攻击和强行攻击结合在一起的强大的口令攻击方法。字典攻击破解口令的方法虽然速度较快,但只能发现词典单词口令;而强行攻击的破解虽然需要很长时间,但这种攻击方法能发现所有的口令。
而且很多管理员为了增加口令的安全性,常常会要求用户使用字母和数字的组合来设置口令,比如把口令zhanglin变成zhanglin0307。错误的看法是认为攻击者不得不使用强行攻击,这会很费时间,而实际上口令很弱。组合攻击使用词典单词,但在单词尾部串接几个字母和数字,它可以轻易地破解这种包含字母和数字的组合的口令。也就是说,组合攻击是介于词典攻击和强行攻击之间的一种攻击方式。
6。2。2攻击与防御实战
下面将介绍两种常用的口令破解工具:LC5和Cain&Abel,利用它们可以来破解各种账号和密码。
1。LC5密码破解工具
在WindowsXP操作系统当中,用户账户的安全管理使用了安全账号管理器的机制,用户和口令经过Hash变换后以Hash列表形式存放在C:Windowssystem32Config下的SAM文件中。LC5主要是通过破解SAM文件来获取系统的账户名和密码,它可以从本地系统、其他文件系统、系统备份中获取SAM文件,从而破解出用户口令。
下面讲述一下LC5。02容笑汉化精简版的安装方法:
步骤01将下载到计算机中的LC5压缩包进行解压,双击安装文件lc5。02容笑汉化精简版。exe,即可进入【自述文件】对话框。
步骤02单击【下一步】按钮,即可进入【许可协议】对话框,在其中阅读界面中的许可协议,如果同意协议中的内容,则选择“我同意以上条款”选项。
步骤03单击【下一步】按钮,即可进入【选择安装文件夹】对话框,在其中设置程序的安装路径。
步骤04单击【下一步】按钮,即可进入【确认安装】对话框。
步骤05单击【下一步】按钮,即可开始安装LC5程序。待安装结束之后,弹出【安装完成】对话框。单击【关闭】按钮,完成该软件的安装操作。
在安装完LC5软件后运行程序,即可弹出“LC5试用片本”界面。单击【试用】按钮,选择试用该软件,即可进入LC5汉化版软件的主窗口中。
在使用LC5软件破解SAM文件口令前,还需要先对其进行配置。其具体操作步骤如下:
步骤01在LC5汉化版软
