在電腦網絡時代���,大家不可避免地會接觸到有關黑客的世界,特別是對于網絡管理員����。黑客攻擊網絡和系統的方法,是五花八門的�����、同時也千變萬化���,并且隨著網絡����、INTERNET技術的爆炸式發(fā)展過程�����,黑客技術也在日新月異的發(fā)展過程之中��。
) S* N5 P3 F4 ?* \: g9 Z3 g+ b
3 V& t. k+ b$ n2 u- H 在黑客技術中�����,有一種古老和原始的攻擊網絡口令的方法,那就是窮舉法���。一般這種方法借助一個暴力攻擊程序����,用預先設置好的一組口令進行猜測行為��,如果網絡服務器程序報告“口令錯誤”的提示�����,則用下一個口令再次進行猜測��,直到找到正確的口令為止���。雖然這種方法很原始��,然而黑客們往往大有收獲�,特別對于那些非專業(yè)計算機用戶或口令知識薄弱的用戶���,其口令常常在不知不覺中被盜取��。在“也說軟件”欄目中介紹的NetThief程序就是這樣的一個FTP口令暴力攻擊程序�。
7 h, M3 J4 j2 R h k0 n* @4 w& `+ X2 s. V4 Q
對于一些黑客的初學者,或者技術不是非常高明的(例如我羅����!當然我不是黑客,只是技術不高明)��,這種攻擊程序的猜測行為都會在被攻擊的服務器上留下蛛絲馬跡�����,勤奮或者細心的網絡管理員都可以找到真兇��。例如對于Windows NT 4.0和使用Microsoft IIS的FTP服務程序���,就可以找到下面一些被攻擊的癥狀:4 | P' e1 H2 U/ A2 Q' E; ]: l
; I8 g/ S/ v) ?' m1 o
【一】打開Windows NT的事件查看器,進入日志 —>系統菜單項��,你會發(fā)現大量時間相等或非常接近����、ID值為100的系統警告信息。這些警告信息的來源標記為“MSFTPSVC”�,如果你再查看該信息的詳細內容,有類似如“由于以下錯誤���,服務器無法登錄到 Windows NT 帳號‘xxxx’: 登錄失?���。何粗挠脩裘蝈e誤密碼?!钡男畔ⅰT谶@里�,判斷是否屬于非法暴力攻擊的依據是:這種警告信息的出現突然非常頻繁。
; W. s3 t6 N6 W+ G: Q5 o& T: Z1 r* B' {
【二】Microsoft Internet Service Manager可以啟動FTP的登錄日志���,這種登錄的日志有兩種記錄方法����。一是����,按照每天、每周�����、或每月等記錄到一個相應的LOG日志文件中�����,這種方法配置簡單,功能有限�;二是記錄到一個ODBC數據庫中,這種方法可以使你將登錄日志寫到數據庫����,通過自己開發(fā)的應用程序可以實現多種功能,例如對于我們正在談的主題��,就可以讓應用程序自動判斷服務器遭到這種非法暴力攻擊的可能性�����。 Y( {: H/ Q* \6 f
這里�����,我不再講述第二種方法的具體實現����,只說一下在第一種方法中��,你將會發(fā)現些什么���,怎樣判斷遭受的攻擊�。
+ z) J1 s Q" A9 F0 U, C$ o當你打開LOG日志文件,例如C:\WINNT\SYSTEM32\LOGFILES\IN981110.LOG���,對于遭受到非法暴力攻擊的服務器����,同樣可以發(fā)現大量時間相等或非常接近的登錄信息���,而且登錄的遠程工作站的IP地址相同����,具有如下的形式:
0 M) `4 K* ^# l7 p10.0.0.1, easy, 98-11-10, 11:51:23, MSFTPSVC, NT40, -, 0, 11, 0, 0, 0, [1] USER , easy, -,
1 k* q z) P6 t- W" C0 l10.0.0.1, -, 98-11-10, 11:51:23, MSFTPSVC, NT40, -, 0, 14, 0, 0, 1326, [1] PASS , -, -, 8 T( q! }0 {$ T3 C
如上所述�����,這種方法相比第一種方法����,更加可以查到攻擊的遠程工作站以及遭到攻擊的用戶名稱,上面的示例中:10.0.0.1是進行口令攻擊的遠程工作站��,easy是受到攻擊的用戶����,而MSFTPSVC則是攻擊的來源���。判斷是否屬于非法暴力攻擊的依據仍然是:這種不成功登錄信息的出現突然非常頻繁。通過跟蹤其中PASS行的內容���,還可以知道該用戶的口令是否被最終盜取成功 |
發(fā)表于 2011-1-13 17:07:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡