骇客攻击:跳板攻击与防御(2)
2006-07-04 20:30:13 来源:WEB开发网如果说“肉鸡”做为扫描工具的时候象黑客的一只眼睛,做监听工具的时候象黑客的一只耳朵,那么“肉鸡”实际进攻时就是黑客的一只手。黑客借助“肉鸡”这个内应来听来看,来攻击,而“肉鸡”成为了提线木偶,举手投足都被人从选程看不到的地方控制着。
防御方法
也是需要对计算机进行严密的监视。请参考前面的内容。
2.3 DDoS攻击傀儡
关于黑客利用“肉鸡”进行DDoS攻击的手段就不再赘述了,详见《
图三(A) 网络初始结构
如图三A,客户方的系统管理员发现一台Windows2000服务器的行为异常后,马上切断了这台服务器的网络连接并向我们报告,这是当时的网络拓扑结构。经过仔细的诊断,我们推断出黑客是利用了这台服务器的139端口漏洞,从远程利用nbtdump、口令猜测工具、Windows net命令等取得了这台服务器的控制权,并安装了BO 2000木马。但客户的系统管理员立刻否定我们的判断:"虽然这台服务器的139端口没有关闭,但我已经在防火墙上设置了规则,使外部计算机不能访问这台服务器的139端口。"又是一个只防范外部攻击的手段!难道大家都对内部攻击占70%以上的比率视而不见吗?不过这里的路由器日志显示,黑客确实是从外部向这台服务器的木马端口进行连接的。难道黑客用了我们还不了解的新的攻击手段?
我们于是继续汇总分析各方面的数据,客户管理员也配合我们进行检查。在检查网络上的其他主机时,我们发现内部网中有一台SUN工作站的网卡上绑定了3个IP地址,其中一个IP地址与被攻击Windows服务器是一个网段的!这立刻引起了我们的注意。客户管理员解释说这是一台Solaris Sparc机器,经常用来做一些测试,有时也会接入服务器网段,所以配了一个该网段的地址。而且就在一个多星期前,这台SUN工作站还放在服务器网段。这就很可疑了,我们立刻对它进行了检查,果然这台SUN工作站已经被占领了,因为主要用途是测试,客户管理员并没有对它进行安全加强,攻破它是易如反掌的事情。在它上面发现了大量的扫描、监听和日志清除工具,另外还有我们意料之中的端口跳转工具 - netcat,简称nc。
- ››攻击无线网络
- ››攻击标签系统
- ››骇客攻击:跳板攻击与防御
- ››骇客攻击:跳板攻击与防御(2)
更多精彩
赞助商链接