我的书签
添加书签
移除书签1.3 黑客使用嗅探器的方法
如果嗅探器被心怀恶意的人使用,那么将会对网络安全构成严重威胁。比如,网络入侵者会使用嗅探的方式获取用户的秘密信息。
以非法的方式使用嗅探器攻击他人称为被动的攻击,因为嗅探器并不会直接与网络上任何其他系统相互作用或连接,它的这种被动特性使其很难被检测出来。同时,嗅探器也能被安装在网络中的某台计算机上,来达到主动攻击的泄密目的。
入侵者在网络上使用嗅探器可以实现如下目的:
❑取得明文的用户名和密码。
❑发现网络用户的使用模式(usage pattern)。
❑泄露私有信息。
❑捕获与回放VoIP电话通话。
❑映射网络的部署。
❑被动操作系统指纹(passive OS fingerprinting)。
上述都是嗅探器的非法使用形式。当然,若作为一个渗透测试人员,以此找出并报告这些类型的弱点,那么这就成了对嗅探器的合法使用了。
为了嗅探,入侵者首先会获取感兴趣的系统的通信网线的访问权,这意味着要在同一共享网段上或在通信路径之间的网线某处接入探针。即使入侵者不与目标系统或通信访问点物理接触,其仍然有方法嗅探到网络流量,具体方式如下:
❑闯入一台目标计算机中且安装远程嗅探器。
❑闯入一个通信访问点,比如一个因特网服务提供商(ISP)系统中,安装嗅探软件。
❑在已经装入嗅探软件的ISP上定位一个系统。
❑使用社会工程学[1]获得对一个ISP的直接访问权,安装一个数据包嗅探器。
❑在目标计算机组织或ISP内部有一个同谋者,并且其在那儿已经安装了嗅探器。
❑重定向或复制通信,使通信路径中包含入侵者的计算机。
入侵者通常会把嗅探程序配置成能检测特定事情(如输入密码)的状态,在其嗅探到相关信息后,或发送给入侵者,或储存起来,供入侵者稍后取回。易受该类程序攻击的协议包括远程登录协议(Telnet)、文件传送协议(FTP)、第3版邮局协议(POP3)、网际报文存取协议(IMAP)、简单邮件传输协议(SMTP)、超文本传输协议(HTTP)、远程登录(rlogin)、简单网络管理协议(SNMP)等。
大多数嗅探程序都包含了类似rootkit的工具。该工具在泄密系统中极具代表性,是一种奇特的程序,具有隐身功能:无论静止时(作为文件存在),还是活动时(作为进程存在),都不会被察觉。换句话说,这种程序可能一直存在于我们的计算机中,但我们却浑然不知,这一功能正是许多人梦寐以求的——不论是黑客,还是取证人员。黑客可以在入侵后植入rootkit,秘密地窥探敏感信息,或伺机而动;取证人员也可以利用rootkit实时监控嫌疑人员的不法行为,搜集证据,以便及时采取行动。
实际上rootkit是一个特洛伊程序集,在一个受控的系统上它会替换一些合法的命令(例如ps、ifconfig、ls等就是一些常被替换的命令),以避免被检测到。同时rootkit还会安装一些额外的软件,如sniffers等。rootkit就是通过替换命令和使用、清除日志条目等来掩盖入侵者的踪迹的。
同时入侵者还可安装其他的程序,像嗅探器、键盘记录器等后门软件。
木马、病毒与蠕虫之间的区别
究竟什么是木马、病毒和蠕虫,它们之间存在着什么区别?大多数人并没有一个清晰的了解。这几个术语很多时候被混用了。事实上,它们三者之间有着非常显著的不同。它们各自用不同的方式来感染计算机,并且每个都有各自不同的使用动机。
一个病毒是一段程序,它通过附加到文件上或替换文件来感染用户的计算机,且用户并不知情。病毒能够执行它自己,并复制自己到系统中其他的文件上,通常的方式是把自己附加到可执行文件(也就是主机文件)上。当用户传递受感染的文件或共享存储介质(如U盘)时,病毒就会从一台计算机传染到另一台计算机上。一个良性的病毒不会具有太多破坏性的行为,不过会有一些令人讨厌的或导致人们不方便的行为,比如在一个特定的时间里在主机上显示一些消息。但是即使是一个良性的病毒也会消耗掉一些有用的内存、CPU处理时间和磁盘空间。有恶意的病毒具有很大的危险性,因为它们能导致大量的毁坏活动产生,比如修改软件与数据、删除文件或擦除整个系统。
目前已存在的病毒类型较多,下面列举一些:
❑文件(File infector)病毒:它把自己附加到可执行文件上。
❑开机型(Boot sector)病毒:它把病毒代码放在计算机的磁盘启动扇区上,所以每次计算机被启动时就执行该病毒。
❑主引导记录(Master boot record)病毒:它感染磁盘的第一个物理扇区。
❑复合型(Multi-partite)病毒:它通常具有多种感染方法。
❑宏(Macro)病毒:它把自己附加到文档或模板的宏中。
一个木马也是一段程序,不过它隐藏在从表面上看来是有趣的或有益的软件中,比如是一个游戏或有用的工具。然而,当用户执行这个程序时,隐藏的恶意程序在用户不知情的情况下也会被执行。接着该恶意程序就在内存中运行,入侵者通过后门来操控它,或该恶意程序对系统文件或数据进行破坏性的活动。一旦中了木马,系统可能就会门户大开,毫无秘密可言。木马与病毒的最大区别是木马不具传染性,它并不能像病毒那样复制自身,也并不刻意地去感染其他文件。它主要通过将自身伪装起来,吸引用户执行。比如,它们通常的传递方式是:对此不清楚的用户打开一份从互联网上收到的电子邮件,并对邮件附件执行一个文件下载的操作。现在的木马一般以窃取用户相关信息为主要目的,相对病毒而言,可以简单地说,病毒破坏信息,而木马窃取信息。但是一个木马也能包含一个病毒或一个蠕虫。
一个蠕虫则是一段像病毒的程序,但是添加了不使用主机文件就能复制自己的功能。对于蠕虫,并不需要接收一个受感染的文件或者使用一个受感染的存储介质才会被传染,蠕虫自己就可以完成传染的工作。蠕虫通过计算机网络主动地复制和繁殖自己。当蠕虫正在繁殖或试图繁殖时,它不仅消耗有用的系统资源,还消耗网络带宽。从破坏性的角度看,蠕虫不是普通病毒所能比拟的,网络的发展使蠕虫可以在很短的时间内蔓延整个网络,从而造成网络瘫痪。
[1]社会工程学(social engineering):准确来说,它不是一门科学,社会工程学是一种利用人性的弱点(如人的本能反应、好奇心、信任、贪便宜等)进行诸如欺骗、伤害等行为,从而获取自身利益的手段。说它不是科学,是因为它不是总能重复和成功,而且在信息充分多的情况下,会自动失效。社会工程学的窍门也蕴涵了各式各样的、灵活的构思与变化因素。
