黑客俘獲計算機的攻擊方法和防御詳解黑客在進行攻擊時會借用其他系統來達到自己的目的，如對下一目標的攻擊和被侵占計算機本身的利用等等。本文介紹了常見的黑客對被侵占計算機的使用方式和安全管理員相應的應對方法。黑客進行網絡攻擊時，除了自己手中直接操作的計算機外，往往在攻擊進行時和完成之后利用、控制其他的計算機。他們或者是借此達到攻擊的目的，或者是把這些計算機派做其他的用途。本文匯總描述了黑客各種利用其他計算機的手段，希望網絡與系統管理員能通過了解這些攻擊辦法來達到更好地進行安全防范的目的。一、對“肉雞”的利用“肉雞”這個詞被黑客專門用來描述Internet上那些防護性差，易于被攻破而且控制的計算機。1.1本身數據被獲取原理介紹這是一臺計算機被攻破并完全控制之后，黑客要做的第一件事。很多黑客只是對計算機安全感興趣，在進入別人的計算機時，不會進行破壞、刪除、篡改等操作。甚至還有更"好心"一些的黑客會為這些計算機打補丁，做一些安全加強。但是他們都回避了一個問題，那就是對這些計算機理。確實，對別人的計算機進行破壞這種損人不利已的事情對這大多數黑客來沒有太大意思，不過他們都不會反對把“肉雞”上的數據弄回來保存。這時黑客再說"沒有進行破壞"是說不過去的，根據計算機安全的基本原則，當數據的"完整性、可用性和機密性"中任意三者之一在受到破壞的時候，都應視為安全到了破壞。在被占領的計算機上可能會保存著用戶信息、網絡拓撲圖、商業秘密、財務報表、軍事情報和其他各類需要保密的數據，黑客獲得這些數據（即使只是查看數據的內容而不下載）時正是破壞了保密性。在實際情況中，宣稱自己是非惡意的，上本身保存的數據如何處講受很多商業間

諜和政治間諜都是這一類，他們只是默默地拿走你的數據而絕不做任何的破壞，而且盡最大可能地掩蓋自己行動的痕跡。這些黑客希望長時間大量地得到珍貴的數據而不被發覺，這其實是最可怕的一種攻擊行為。很多黑客會在“肉雞”上安裝FTP軟件或者開放FTP服務，再下載其數據，但安裝軟件和開放服務這樣的動作很容易在系統中的各類日志留下記錄，有可能被發現。而不希望被人發覺的黑客會自己建立一臺FTP服務器，讓“肉雞”做為客戶端把自己的數據上傳過來。防御方法防止本身數據資料不被竊取，當然首先要考慮的是計算機本身不被攻破。如果自己是鐵桶一個，水潑不進，黑客無法在你的網絡中的計算機取得任何訪問的權限，當然就杜絕了絕大多數的泄密可能（請注意，這時候還是有可能會泄密的！比如被黑客欺騙而將數據發送出去）。我們先來看一下如何加強自己的計算機的操作系統，對于所有需要事先控制的攻擊方式，這些手段都是有效的，在以后的章節中就不重復說明了。簡單地說，對于操作系統的加強，無論是Windows以從物理安全、文件系統、帳號管理、網絡設置和應用服務幾個方面來考慮，在這里我們不詳細討論全面的安全防護方案，只是提供一些簡單實用的系統安全、Unix或是Linux，都可檢查項目。這是安全的必要條件，而不是充分條件。物理安全簡單地說，物理安全就是你的計算機所在的物理環境是否可靠，會不會受到自然災害（如火災、水災、雷電等）和人為的破壞（失竊、破壞）等。物理安全并不完全是系統或者網絡管理員的責任，等一起協作，不過因為這是其他安全手段的基礎，所以我們網管員還是應該密切注意的。要特別保證所有的重要設備與服務器要集中在機房里，并制訂機房相還需要公司的其他部門如行政、保安關制度，無關人員不得進入機房等。網管員無特殊情況也不要進入機房，需要可以從外面的指定終端進行管理。如果重要的服務器暴露在人人都可以接近的外部，那么無論你的口令設得多么強大都沒用了，各種操作系統都可以用軟盤、光盤啟動來破解密碼。文件系統安全

文件和目錄的權限設置得是否正確，對系統中那些重要的文件，權限要重新設置；在Unix與Linux系統中，還要注意文件的setuid和setgid權限，是否有不適合的文件被賦予了這些權限；帳號系統安全帳號信息，用戶名和密碼是否合乎規則，具有足夠的復雜程度。不要把權限給予任何沒有必要的人；在Unix/Linux中可以合理地使用su與sudo；關閉無用賬號；網絡系統安全關閉一切不必要的服務。這一點不必多說了吧，每個開放的服務就象一扇開啟的門，都有可能會被黑客悄悄地進入；網絡接口特性。注意網卡不要處在監聽的混雜模式；防止DoS的網絡設置。禁止IP轉發、不轉發定向廣播、限定多宿主機、忽略和不發送重定向包、關閉時間戳響應、不響應Echo廣播、地址掩碼廣播、不轉發設置了源路由的包、加快ARP表過期時間、提高未連接隊列的大小、提高已連接隊列的大小；禁用r*命令和telnet命令，用對NIS/NIS+進行安全設置；對NFS進行安全設置；應用服務安全應用服務是服務器存在的原因，又是經常會產生問題的地的種類太多，這里無法一一敘述，就請大家注意一下這方面的資料吧。如果有可我會在今后繼續提供一些相關知識。可以肯定地說，沒有一種應用程序是完須依靠我們去重新設置。對于防止數據被竊取，也有手段可以采用，使黑客數據和資料。這就是訪問控制和加密。系統訪問控制需要軟件來實現，可以限root的權限，把那些重要的數據設置為除了特殊用戶外，連root都無法訪問，這樣即使黑客成為root也沒有用。加密的手段有很多，這里也不詳細介紹了，文件通過加密會以密文的形式存放在硬盤中，如果不能正確解密，就是一堆沒有義的字符，黑客就算拿到了也沒有用。加密的SSH來遠程管理；方。因為應用服務能，全安全的，必侵入計算機之后不能盜竊制任何意

1.2非法proxy原理介紹Proxy代理技術在提高Internet訪問速度與效率上有很大作用，在這種技術的基礎之上又出現了CacheServer等Internet訪問優化技術，但Proxy也被黑客利用來進行非法活動。黑客把“肉雞”設置為Proxy一般有兩個目的，首先與正常Proxy的目的一樣，是利用它更好地訪問Internet，進行WWW瀏覽；其次就是利用這臺Proxy“肉雞”的特殊位置繞過一些訪問的限制。普通的WWWProxy其實在Internet上是很常見的，一些計算機免費而且開放地為所有計算機提供WWWProxy服務，如果黑客想得到一臺合適的Proxy時，并不需要自己親自去攻擊計算機并安裝Proxy只需利用這些現多ProxyHunter之類的軟件，輸入某個搜索已經存在的Proxy計算機了。雖然Proxy本身并不會被攻擊，但是運行Proxy服務，在客戶端連接數目多的時候會造成很大的負擔。、LotusNotes、ASP攻擊也正是通過HTTP協議進行的，成的Proxy計算機就可以了。在駭軟站點上，有很網段就可以運行去自動而且一些攻擊如Unicode最終被攻擊者會把Proxy服務器當做攻擊的來源，換句話說，Proxy服務器會成為這些攻擊者的替罪羊。所以最好不要向外提供開放的Proxy服務，即使因為需要而開放了，也應加以嚴格的限制。利用Proxy繞過一些訪問限制，在“肉雞”的利用例來說，某個公司為了提高工作效率，不允許員工使用QQ聊天，指示在公司的防火墻上限制了所有由內向外對UDP8000這個端口的訪問，這樣內部就無法向中也是很常見的。舉個實外連接Internet上的QQ服務器進行聊天了。但黑客利用自己設置的QQProxy就可以繞過這個限制正常訪問QQ服務器。QQProxy同WWWProxy的設置和使用方法是一樣的。在有了Internet上的QQProxy時，黑客在公司內部向外訪問QQProxy的UDP18000端口，這是不被禁止的。而QQProxy會以客戶端的身份向真正的訪問目標-QQ服務器進行訪問，然后把信息從UDP18000端口向黑客計算機轉回去。這樣，黑客就利用Proxy實現了對訪問限制的突破。還可以利用這個原理進行其他協議限制的繞過，如WWW、ICQ、MSN、Yahoo、AOL等，要只Proxy支持。Messager

防御方法我們設立任何類型的Proxy服務器時，應當對客戶端有所限制，不向無關的人員提供使用權限。這樣提高了服務器的效率，又杜絕了黑客借我們的Proxy進行攻擊的可能。防止內部人員利用外部的Proxy時，可以在防火墻上嚴格限制，只能對外部規定站點的規定服務進行訪問。當然這樣有可能造成業務上的不便，所以在具體環境下要具體考慮，綜合地權衡。1.3黑客交流平臺原理介紹這又是“肉雞”的一大功能，黑客設置為自己的BBS/E-mail服務器，這些計算機一般都是CPU快、內存大、空間足和網速快的，對黑客需要的功能可以很好地支持。黑客分布在世界范圍內的各個角落，除了一些固定的黑客組織外，很多黑客都是只通過網絡交流，如通過電子郵件、在線聊天等方式"互送秋波"，交流攻擊和其他技術，傾訴仰慕之情。很多交往多年的黑客好友從未在現實生活中見過面，這是毫不為奇的。大家會問那么黑客直接發電子郵件、上ICQ不就行了嗎？何必去冒險攻擊很喜歡把一些被托管在IDC中的“肉雞”其他的計算機做為交流平臺呢。請注意黑客之間傳播的都是一些不能被別人知道的信息，如"我已經控制了XXX省網的骨干路由器，你想要一份它的路由表嗎？"，這樣的內容如果在任何一個郵件服務器和聊天服務器上被截獲，從道義上講這個網管都是有客來說并不可靠，黑客成為了“肉雞”的第二個"家長"，就有資格和權限義務提醒被攻擊的網絡負責人的，所以利用公共的網絡交流手段對黑那怎么辦？黑客既然控制了“肉雞”，去把它設置為交流用的服務也要保密啊:-)。器。在這樣的交流平臺上，黑客被發現的可能性小得多，最高的控制權限可以使黑客對這些活動進行各種各樣的掩飾。還有另一種利用形式就是FTP服務器，供黑客兄弟們上黑客在“肉雞”上傳下載時。如果發現你的內外部通信突然反常地加大，檢查一下自己的計算機吧。傳下載黑客軟件，互通有無。做信息交換的時候，會產生大量的網絡通信，尤其是利用FTP上

防衛性差的“肉雞”其管理員一般水平也不會很高，再加上缺乏責任心，往往在自己的計算機被占領了很長時間都不知道，直到有一天收到了高額的數據通信收費單，才大吃一驚："怎么搞的？!"。-難道他們自己就沒有責任嗎？防御方法管理員要有實時監視的手段，并制定合理的檢查制度，定期地對所負責的網絡和服務器進行檢查。對于網絡流量突然增大、可疑訪問出現、服務器情況異常、不正常的日志項等，都要立進即行檢查。要記得把這些記錄、日志歸類備份，以便在出現情況時前后比較。安全不安全很大程度上取決于管理員是否盡職盡責，好的管理員必須有好的習慣。1.4學習/開發平臺原理介紹這種情況是比較少見的，卻很有意思。我們平時使用的是個人計算機，一般可以安其他平臺上的IRIX等，都需要相應的硬件平臺來配套，普通的個人計算機是裝不上的，這些知名廠商的Unix計算機又非常昂貴，成了一般計算機愛好者可望不可及的寶物。黑客兄弟們在這里又有了大顯身手的時候了，到網上找到一些可以侵入的AIX什么的機器，占領之后，想學習這種平臺的操作使用還不是很簡單的事嗎？我曾在一個黑客站點上看到有人轉讓一臺SunE250“肉雞”的控制權，開價300塊，可憐那個管理員，自己的機器已經被公開出售了還不知道。裝Windows、FreeBSD、Linux和其他Unix系統的x86版本，如果要實習操作系統幾乎是不可能的。象AIX、HP-UX、Solaris（sparc）、黑客在“肉雞”上做開發就更少見了，因為這樣做會有很大的風險。許黑客都沒有全職的工作，他們中的很多人都是編程高手，會通過朋友和其他渠道攬一些程序開發的活計，掙些零花錢。很多定制的程序是要跑在特定平臺上的，如果一個程序需要在HP-UX平臺上開發調試怎么辦？HP-UX計算機是很少能找到的。但黑客又可以利用自己的"特長"去攻下一臺，做為開發平臺。不過我們都知道開發調試程序的時候會有各種種樣的bug，輕則導致程序不正常，重則讓系統崩潰，還會在日志里留下記錄。這就是為什么說這么做很危險，因為它太容易被

發現了。要是一臺計算機被當做開發平臺用了很久而管理員卻一無所知的話，這個管理員實在應該好好反省。防御方法方法同前一部分，就不必多說了。關心你的服務器吧。二、利用“肉雞”進行攻擊前面說的都是黑客如何利用“肉雞”做一些其他的事情，在第二大部分里就要談一下黑客是如何利用“肉雞”進行攻擊其他計算機和網絡行為的。黑客利用“肉雞”攻擊的原因主要有兩個：首先是萬一攻擊行為被下一個目標發現了，對方管理員在追查的時候只能找到這臺“肉雞”，而不能直接抓出黑客自己，這為對方管理員追究責任造成了更大的困難；其次，對于某些類型的攻擊手段，“肉雞”所在的位置也許比黑客計算機所在的位置更有利。下面介紹一下黑客利用“肉雞”來攻擊時的幾種方式。2.1非法掃描/監聽平臺原理介紹掃描和監聽是黑客對“肉雞”最常使用的絡中的計算機。被攻擊網絡中總有一臺計算機會被首先攻破，一旦打開了這個口，整個網絡就都危險了。這是由于在大多數的網絡進行安全設置時，主要的防衛方向是向外的，也就是說他們主要是防備外來的攻擊。黑客可以利用其對內部計算機防備較少的弱點，在控制一臺計算機后，從這里直接掃描。請看一下前后兩種情況的對比。防火墻是很常見的網絡安全設備，在網絡入借用手段，目標是本網絡和其他網缺口處起到了一個安全屏障的作用，尤其在黑客進行掃描的時候防火墻將堵住對絕大多數端口的探測。這時“肉雞”就有了用武之地，從這里掃描本地網絡中的其他計算機是不需要經過防火墻的，可以隨便地查看它們的漏洞。而且這時候防火墻上也不會留下相應的日志，不易被發覺。黑客可以在掃描結束時返回“肉雞”取一下結果，或者命令“肉雞”把掃描結果直接用電子郵件發送到指定信箱。對于在某個網絡中進行非法監聽來說，本地有一臺“肉雞”是必須的條件。由于以太網的設計特點，監聽只能在本地進行。雖然隨著交換式以太網的普及，

網絡非法監聽能收集到的信息大大減少，但對于那些與非法監聽軟件所在的“肉雞”通訊的計算機來說，威脅還是很大的。如果這個“肉雞”本身還是一臺重要的服務器，那么危害就更大了，黑客在這上面會得到很多諸如用戶帳號、密碼、服務器之間不合理的信任關系的信息等，對下一步攻擊起到很大的輔助作用。防御方法防止掃描一般主要設置在防火墻上，除了內部那些開放了的服務以外，不允許其他的訪問進入，可以最大限度地防止信息泄露。至于同一網成了“肉雞”，一般情況下是沒法防止它掃描其他服務器了，這就需要我們的防御方向不但要向外，也要向內。關閉每一臺計算機上不需要的服務，進行安全段上某個服務器加強，讓內部的非法掃描器找不到可以利用的漏洞。防御監聽一般使用網絡傳輸加密和交換式網絡設備。管理員遠程登錄系統時候，還是有很多人喜歡使用默認的telnet，這種明文傳輸的協議是黑客的最愛。使用SSH代替telnet文，保護你的帳號、口令和其他重要的信息。交換式網絡設備可以使單個計算機接收到的無用信息大大減少，從而降低非法監聽器的危害性。不過相對來說，和那些r命令，可以使網絡上傳輸的數據成為不可讀的密它的成本還是比較高的。2.2攻擊的實際出發點原理介紹這里所說的攻擊是指那些取得其他計算機控制權的動作，如溢出和漏洞攻擊等。與掃描監聽相同，從內部的“肉雞”發起的攻擊同樣不必經過防火墻，被阻擋和發現的可能減少了。從這里攻擊時被發現了之后，追查時會找到黑客嗎？同樣也不行，只能先找到“肉雞”，再從這里找黑客就困難了。如果說“肉雞”做為掃描工具的時候象黑客的一只眼睛，做監聽工具的時候象黑客的一只耳朵，那么“肉雞”實際進攻時就是黑客的一只手。黑客借助“肉雞”這個內應來聽來看，來攻擊，而“肉雞”成為了提線木偶，舉手投足都被人從選程看不到的地方控制著。防御方法也是需要對計算機進行嚴密的監視。請參考前面的內容。

2.3DDoS攻擊傀儡關于黑客利用“肉雞”進行DDoS攻擊的手段就不再贅述了，詳見IBMDeveloperWorks曾經刊登的文章《分布式拒絕服務攻擊(DDoS)原理及防范》2.4端口跳轉攻擊平臺原理介紹這種攻擊方式一般是用來對付防火墻的訪問限制的。在很多網絡中都使用了防火墻對外封閉一些危險的端口（這種防御又是向外的），這里黑客就可以在內部已經有“肉雞”的提前下，讓“肉雞”去訪問這些端口，注意這時不經過防火墻是不會被阻擋的，而黑客從一個不被防火墻限制的端口去訪問“肉雞”。在進行這種攻擊之前，黑客會在“肉雞”上進行設置，利用特殊的軟件把黑客對“肉雞”的訪問發送到目標計算機上，端口也會變成那個危險端口，這樣黑客就繞過防火墻直接對目標計算機的危險端口進行攻擊了。只用文字描述比較抽象，我們來看一個例子。這是一個我們在實際的安全響應中的處理過程，這里黑客使用了組合式的攻擊手段，其中包括對Windows服務器常見的139端口攻擊，對Solaris系統的溢出攻擊，攻擊前的信息收集，還有2.4要里著重介紹的端口跳轉攻擊的方式。客戶方的系統管理員發現一臺Windows2000服務器的行為異常后，馬上切斷了這臺服務器的網絡連接并向我們報告，這是當時的網絡拓撲結構。經過仔細的診斷，我們推斷出黑客是利用了這臺服務器的139端口漏洞，從遠程利用nbtdump、口令猜測工具、Windows命令等net取得了這臺服務器的控制權，并安裝了BO2000木馬。但客戶的系統管理員立刻否定我們的判斷："雖然這臺服務器的139端口沒有關閉，但我已經在防火墻上設置了規則，使外部計算機不能訪問這臺服務器的139端口。"又是一個只防范外部攻擊的手段！難道大家都對內部攻擊占70%以上的比率視而不見嗎？不過這里的路由器日志顯示，黑客確實是從外部向這臺服務器的木馬端口進行連接的。難道黑客用了我們還不了解的新的攻擊手段？我們于是繼續匯總分析各方面的數據，客戶管理員也配合我們進行檢查。在檢查網絡上的其他主機時，我們發現內部網中有一臺SUN工作站的網卡上綁定了

3個IP地址，其中一個IP地址與被攻擊Windows服務器是一個網段的！這立刻引起了我們的注意。客戶管理員解釋說這是一臺SolarisSparc機器，經常用來做一些測試，有時也會接入服務器網段，所以配了一個該網段的地址。而且就在一個多星期前，這臺SUN工作站還放在服務器網段。這就很可疑了，我們立刻對它進行了檢查，果然這臺SUN工作站已經被占領了，因為主要用途是測試，客戶管理員并沒有對它進行安全加強，攻破它是易如反掌的事情。在它上面發現了大量的掃描、監聽和日志清除工具，另外還有我們意料之中的端口跳轉工具-netcat，簡稱nc。至此問題就比較清楚了：黑客首先占領了這臺毫不設防的SUN機，然后上載nc，設置端口跳轉，攻擊Windows服務2000器的139端口，并且成功地拿下了它。還原當時的網絡拓撲圖應該是這樣的。解釋了端口跳板是如何起作用的。nc安裝后，黑客就會通過定制一些運行參數，在“肉雞”的后臺建立起由“肉雞”的2139端口到目標計算機的139端口的跳轉。這就象是一條虛擬的通道，由“肉雞”的2139端口通向目標的139端口，任何向“肉雞”的2139進行的訪問都會自動地轉發到目標計算機的139端口上去。就是說，訪問“肉雞”的2139端口，就是在訪問目標的139端口。反過來，目標計算機的回饋信息也會通過“肉雞”的通道向黑客計算機返回。黑客需要兩次端口跳轉，第一次是利用自己的linux計算機把對139端口的訪問向SUN的2139端口發送，這樣就繞過了防火墻對139端口的訪問限制。然后SUN會把對自己2139端口的訪問發送到攻擊最終目標的139端口上。為什么圖中的"黑客"計算機不直接訪問SUN的2139端口，而需要linux多跳轉一次呢？這是由于象net、nbtdump、遠程口令猜測等手段都是默認針對139端口而且黑客無法改變的。在這兩個端口跳板準備好了之后，黑客只要訪問自己的linux機器上的139端口，就可以對目標的Windows服務器進行攻擊了，“肉雞”的作用巨大啊。據了解這臺SUN工作站當時在服務器網段中只接入了三天不網里了，可見黑客對這個網段的情況變化的掌握速度是很快的，管理員們不要因為只是臨時接入而忽略了安全。我們隨后又在路由器上找到了當時黑客遠程向SUN機的2139端口連接的日志，至此就完全清楚了。到的時間就搬到內部

防御方法對于這種端口跳轉攻擊，除了加強內部主機，不使其侵入系統之外，還應對防火墻的規則進行嚴格的設置。設置規則可以按照先全部禁止，再單個放開的方法。這樣即使黑客從非危險的端口連接過來時，也會被防火墻禁止掉。三、攻擊時直接借用與上述各類情況不同，直接利用其他計算機做為攻擊平臺時，黑客并不需要首先入侵這些被利用的計算機，而是誤導它們去攻擊目標。黑客在這里利用了TCP/IP協議和操作系統本身的缺點漏洞，這種攻擊更難防范，特別是制止，尤其是后面兩種反射式分布拒絕服務攻擊和DNS分布拒絕服務攻擊。3.1Smurf攻擊原理介紹Smurf攻擊是這種攻擊的早期形式，是一種在局域網中的攻擊手段。它的作用原理是基于廣播地址與回應請求的。一臺計算機向另一臺計算機發送一些特殊的數據包如ping請求時，會接到它的求包，實際上會到達網絡上所有的計算機，這時就會得到所有計算機的些回應是需要被接收的計算機處理的，每處理一個就要占用一份系統資源，如果同時接到網絡上所有計算機的回應，接收方的系統是有可能吃不消的，就象遭到了DDoS攻擊一樣。大家會疑問，誰會無聊得去向網絡地址發包而招來所有計算機的攻擊呢？當然做為一個正常的操作者是不會這行Smurf攻擊的時候，他會代替受害者來做這件事。黑客向廣播地址發送請求包，所有的計算機得到請求后，卻不會把回應發到回應；如果向本網絡的廣播地址發送請回應。這么做的，但是當黑客要利用這個原理進黑客那里，而是被攻擊的計算機處。這是因為黑客冒充了被攻擊主機。黑客發包所用的軟件是可以偽造源地址的，接到偽造數據包的主機會根據源地址把回應發出去，這當然就是被攻擊目標的地址