防范黑客对侵占的计算机的利用

核心提示： 我们于是继续汇总分析各方面的数据，客户管理员也配合我们进行检查，防范黑客对侵占的计算机的利用(10)，在检查网络上的其他主机时，我们发现内部网中有一台SUN工作站的网卡上绑定了3个IP地址，然后SUN会把对自己2139端口的访问发送到攻击最终目标的139端口上，为什么图中的"黑客

我们于是继续汇总分析各方面的数据，客户管理员也配合我们进行检查。在检查网络上的其他主机时，我们发现内部网中有一台SUN工作站的网卡上绑定了3个IP地址，其中一个IP地址与被攻击Windows服务器是一个网段的！这立刻引起了我们的注意。客户管理员解释说这是一台Solaris Sparc机器，经常用来做一些测试，有时也会接入服务器网段，所以配了一个该网段的地址。而且就在一个多星期前，这台SUN工作站还放在服务器网段。这就很可疑了，我们立刻对它进行了检查，果然这台SUN工作站已经被占领了，因为主要用途是测试，客户管理员并没有对它进行安全加强，攻破它是易如反掌的事情。在它上面发现了大量的扫描、监听和日志清除工具，另外还有我们意料之中的端口跳转工具 - netcat，简称nc。

至此问题就比较清楚了：黑客首先占领了这台毫不设防的SUN机，然后上载nc，设置端口跳转，攻击Windows 2000服务器的139端口，并且成功地拿下了它。还原当时的网络拓扑图应该是这样的。

解释了端口跳板是如何起作用的。nc安装后，黑客就会通过定制一些运行参数，在“肉鸡”的后台建立起由“肉鸡”的2139端口到目标计算机的139端口的跳转。这就象是一条虚拟的通道，由“肉鸡”的2139端口通向目标的139端口，任何向“肉鸡”的2139进行的访问都会自动地转发到目标计算机的139端口上去。就是说，访问“肉鸡”的2139端口，就是在访问目标的139端口。反过来，目标计算机的回馈信息也会通过“肉鸡”的通道向黑客计算机返回。

黑客需要两次端口跳转，第一次是利用自己的linux计算机把对139端口的访问向SUN的2139端口发送，这样就绕过了防火墙对139端口的访问限制。然后SUN会把对自己2139端口的访问发送到攻击最终目标的139端口上。为什么图中的"黑客"计算机不直接访问SUN的2139端口，而需要linux多跳转一次呢？这是由于象net、nbtdump、远程口令猜测等手段都是默认针对139端口而且黑客无法改变的。