网络欺骗的方法以及攻防

这是我们对SMTP过程的日志。在这个例子中，另一端是由人来键入命令。入侵者尝试的第一个命令是DEBUG。当他接收的“250 OK”的回应时一定很惊奇。关键的行是“rcpt to :”。在尖括号括起的部分通常是一个邮件接收器的地址。这里它包含了一个命令行。在DEBUG模式下，Sendmail可以用它来以ROOT身份执行一段命令。即:

以下是引用片段：
sed -e '1,/?$/'d | /bin/sh ; exit 0"

它去掉了邮件头的信息，并使用ROOT身份执行了消息体，这样可以隐藏一些关于他的信息。之后，这个入侵者试探着从我们的服务器上取得一些密码和账户文件，于是我们编造了一份假文件，给他发过去，密文破解后的意思是:“小心玩火自焚!”。

4、寻踪

这样几天没有动静，估计这个入侵者不死心，在考虑该怎么来修改密码文件了。其实，到这一步，我们完全可以把机器的补丁打上，不过，玩就要玩个痛快。不过，我们也在纳闷，这个入侵者不会知难而退了吧，还是有其他的工作在忙呢?静悄悄的，我们等待着。

星期五的晚上，一个难得的周末。机房监控的终端报告有安全事件，我们的入侵检测系统也时不时地报告有些错误发生。核对日志后，我们发现，有人试图使用DEBUG来用ROOT身份执行命令，也就是说，他试图修改我们的密码文件，一切尽在不言中，我不得不佩服这个入侵者的耐心和智慧!查看日志，我们发现，这次入侵同样是来自上次的连接:hust.whnet.edu。我们开始思考:现在到底是“诱敌深入”?还是“引狼入室”?从感觉来看，这个黑客比我们想象中的要厉害，而且他对现在的系统和系统漏洞相当的了解。难道我们要做的就是“拔掉网线”吗?思索中，一切仍然在进行中。