网络欺骗的方法以及攻防

很明显，这是一个后门程序，通过这个程序可以获得一些关于根用户的相关属性，这对黑客来说是一个刺激，对我们管理员来说，既然要“诱敌深入”做个测试，就肯定也存在一定挑战了。而现在我们所要做的，就是引诱一个黑客到一个我们设计好的环境中，记录下来他的所有动作，研究其行为，并提醒他的下一个目标作出防范。除了在机器上设置记录日志并隐藏这些日志，我们还添加了一些虚假的服务在系统上。由于每天定时产生的日志量非常大，为了有针对地了解攻击动向，我们做了一个script文件用来检索每天的日志。其中，我们主要检查以下几点:

Telnet/login服务检查:如果有黑客试图进入我们的系统，他肯定要尝试很多帐户和密码，这样他的一举一动都会被我们记录下来。当然，由于试探的人比较多，五花八门三教九流，水平太次的人我们是不会给他机会的。然后就是探测Guest / visitor 账号，黑客们第一个寻找的就是公用账号。这些账号提供了友好的、最轻易地获取几乎系统的所有文件的机会，包括passwd文件。黑客也可以通过获取/etc/hosts.equiv文件或每个用户的.rhosts文件来获得机器的信任主机列表。

FTP服务检索:检索的工具会报告每天所有注册和试图注册的用户名。我们伪造了一个passwd文件，获取passwd的人通常用它来获得系统的正式用户的注册名称，然后攻击、破解其密码。

SMTP DEBUG:这个命令提供了两个守候sendmail的漏洞的陷阱。虽然几乎所有的产品出售商都清除了这个漏洞，但偶尔仍有黑客尝试它。这个漏洞允许外部的使用者使用一段以root权限执行的script。当有些人尝试这个漏洞时，我就获得了他尝试的script代码。

Finger:Finger提供了大量有用的信息给黑客:账号名，该账号的最后一次使用时间，以及一些可以用来猜测密码的信息。由于我们的组织不允许提供这些信息给别人，我们置入了一个程序，在finger了fingerd的调用者后拒绝figner请求。(当然我们会避免对来自自己的finger信息的死循环)。报告表明每天有数以十计的finger请求，其中大部分是合法的。很多探测器都使用figner命令来查明调用的机器和使用者。