黑客避开检测的手段
2006-04-04 20:33:09 来源:WEB开发网代理服务器是被合法的用来从一个单一的访问点转发多种协议的。一般来说,内部用户必须通过代理服务器才能访问Internet,因此管理员就可以在代理服务器指定外部访问以及内部访问的限制策略。用户首先是和代理服务器建立连接,然后代理服务器就将连接请求转发到真正的目的地址。目的地址会记录下代理服务器的IP地址以作为请求的源地址,而不是最初发出请求的系统的IP地址。
但是不幸的是代理服务器在Internet上的放置太随意了。(可以查看Proxys-4-All来获得这些错误配置机器的列表。)这些服务器经常会存在配置错误使得Internet用户可以连接到这些代理服务器上。一旦某个Internet用户通过代理服务器连接到某个服务器上,该服务器就会将代理服务器的IP地址作为发出请求的源地址记录在日志中。而在被攻击服务器的日志中对攻击者的记录其IP地址是属于一个没有任何攻击行为的“无辜”主机的,而不是攻击者的真正地址。我们来看以下的例子。
下面的例子显示了黑客的攻击和攻击在日志中产生的相关信息。
攻击者
[root@10.1.1.1/]#nc-v10.8.8.880
HEAD/HTTP/1.0
日志文件
10.1.1.1--[18/Oct/2000:03:31:58-0700]"HEAD/HTTP/1.0"2000
在下面这种情况中,我们看到攻击者达到了同样的目的,但是这次他使用了代理服务器。
攻击者
[root@10.1.1.1/]#nc-v216.234.161.8380
HEADhttp://10.8.8.8/HTTP/1.0
日志文件
216.234.161.83--[18/Oct/2000:03:39:29-0700]"HEAD/HTTP/1.1"2000
注意在这个例子中,日志文件中所出现的地址是代理服务器的(216.234.161.83,proxy.proxyspace.com),而不是攻击者的真实地址。在这个案例中,攻击者成功的隐藏了攻击的来源地址。不过网络管理员如果能得到代理服务的支持的话还是可以追踪到攻击的真正来源。大多数的代理服务器都会保存一份相当详细的日志,所以多半也就可以从中找到攻击的来源。但是道高一尺魔高一仗,黑客也有相应的方法来反跟踪:他们可以使用多重代理,也可以说是一个“代理链”来进行攻击。而管理员和执法部门也就必须对所有的中间代理服务器进行依次检查来获得攻击来源。在黑客的团体中这种“代理链”的使用非常的普遍,并且有类似SocksChainforWindows这样的工具可供使用。
SSL
对此以往很多人进行了讨论,但是它现在值得再一次提出:允许SSL的服务器是不会被网络入侵检测系统所检测到的。如果让一个黑客在80端口(HTTP)和443端口(HTTPS)之间做一个选择的话,攻击者每一次都会选择443端口的。这实际上并不是什么手段,而是由于加密通讯的使用所造成的副作用。你可以使用网络服务器日志文件来监视443端口的请求。
结论
我们向你演示了一些网络上的黑客常用的欺骗伎俩。无须多说,这些手段是随着黑客们的想象力和创造力不断增加而不断扩展的。例如十六进制编码这样的技术不光是用在欺骗性的日志文件入口这样的地方;它同样也欺骗网络服务器的URL解析机制,并可能导致例如源代码暴露之类的漏洞的出现。攻击者某些时候也使用多代理服务器来进行扫描和攻击,让管理员很难跟踪攻击的真正来源。当然,SSL某些时候为“安全黑客行为”铺平了道路。
更多精彩
赞助商链接