WEB开发网
开发学院网络安全黑客技术 出现变化的四种黑客攻击手法 阅读

出现变化的四种黑客攻击手法

 2006-11-05 20:34:29 来源:WEB开发网   
核心提示: 而新类型的后门技术排除了把进程建立在端口上的方式,而是使用sniffer(监听)技术,出现变化的四种黑客攻击手法(4),通过类型匹配的方式,被动地捕捉后门操作者发过来的消息,应该马上进行调查,是谁开启了这个进程,从而执行相应的指令,后门采用的指示器可以是一个特定的IP地址、一个TCP标志位

而新类型的后门技术排除了把进程建立在端口上的方式,而是使用sniffer(监听)技术,通过类型匹配的方式,被动地捕捉后门操作者发过来的消息,从而执行相应的指令,后门采用的指示器可以是一个特定的IP地址、一个TCP标志位,甚至是一个没有开放(侦听)的端口。象Cd00r和SAdoor就是类似这样的后门程序。

嗅探式后门(Sniffer/backdoors)可以工作在混杂模式下,也可以工作在非混杂模式下。(编者注:混杂模式是网络监听程序要用到的工作模式,其实就是改变网卡设置,把网卡原来只接收属于自己的数据包的模式,改为不管什么数据包都接收的模式)。

非混杂模式的嗅探式后门,只监听本机通信,只在受害主机上扮演威胁者的角色。

而被设置为混杂模式的后门,可以监听以太网上其它主机的通信数据,这种模式将严重困扰网络安全管理员。设想以下情况:攻击者在DMZ区(停火区)其中一台web服务器放置嗅探式后门,监视另一台mail服务器的通信。对于攻击者来说,他可以只需要向mail服务器发送攻击指令,但mail服务器上其实没有装后门,指令的执行者是web服务器。管理员查来查去还会以为是mail服务器中了木马,却很难想到其实是web服务器中标。这是典型的伪造现场的作案思路。

尽管查找开放的端口的方式已经不够对付最新的后门技术,但传统的对付后门方式仍然是十分重要的。另外,由于大多数后门都针边界服务器,因此,可以利用象Tripwire 和AIDE的完整性检查工具检查系统文件,有利于发现后门程序。

想要了解可疑端口的占用 ,可以使用lsof工具(For Unix)或者Inzider工具(For windows)。另外还可以从远程使用 Nmap 工具进行异常端口占用检测。如果发现一个未知的进程占用了一个端口,尤其是以超级用户权限运行的进程,应该马上进行调查,是谁开启了这个进程。在调查不清楚的情况下可以果断关闭端口或杀掉进程。

上一页  1 2 3 4 5 6 7 8  下一页

Tags:出现 变化 黑客

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接