也是需要对计算机进行严密的监视。请参考前面的内容。

2.3 DDoS攻击傀儡

关于黑客利用“肉鸡”进行DDoS攻击的手段就不再赘述了，详见IBM DeveloperWorks曾经刊登的文章《分布式拒绝服务攻击(DDoS)原理及防范》

2.4端口跳转攻击平台

原理介绍

只用文字描述比较抽象，我们来看一个例子。

这是一个我们在实际的安全响应中的处理过程，这里黑客使用了组合式的攻击手段，其中包括对Windows服务器常见的139端口攻击，对Solaris系统的溢出攻击，攻击前的信息收集，还有2.4要里着重介绍的端口跳转攻击的方式。图三(A) 网络初始结构

如图三A，客户方的系统管理员发现一台Windows 2000服务器的行为异常后，马上切断了这台服务器的网络连接并向我们报告，这是当时的网络拓扑结构。经过仔细的诊断，我们推断出黑客是利用了这台服务器的139端口漏洞，从远程利用nbtdump、口 令猜测工具、Windows net命令等取得了这台服务器的控制权，并安装了BO 2000木马。但客户的系统管理员立刻否定我们的判断："虽然这台服务器的139端口没有关闭，但我已经在防火墙上设置了规则，使外部计算机不能访问这台服务器的139端口。"又是一个只防范外部攻击的手段！难道大家都对内部攻击占70%以上的比率视而不见吗？不过这里的路由器日志显示，黑客确实是从外部向这台服务器的木马端口进行连接的。　我们于是继续汇总分析各方面的数据，客户管理员也配合我们进行检查。在检查网络上的其他主机时，我们发现内部网中有一台SUN工作站的网卡上绑定了3个IP地址，其中一个IP地址与被攻击Windows服务器是一个网段的！这立刻引起了我们的注意。客户管 理员解释说这是一台Solaris Sparc机器，经常用来做一些测试，有时也会接入服务器网段，所以配了一个该网段的地址。而且就在一个多星期前，这台SUN工作站还放在服务器网段。这就很可疑了，我们立刻对它进行了检查，果然这台SUN工作站已经被占领了，因为主要用途是测试，客户管 理员并没有对它进行安全加强，攻破它是易如反掌的事情。在它上面发现了大量的扫描、监听和日志清除工具，另外还有我们意料之中的端口跳转工具 - netcat，简称nc。

至此问题就比较清楚了：黑客首先占领了这台毫不设防的SUN机，然后上载nc，设置端口跳转，攻击Windows 2000服务器的139端口，并且成功地拿下了它。还原当时的网络拓扑图应该是这样的，如图三B。

图三C 利用“肉鸡”跳板进行端口跳转

图三C解释了端口跳板是如何起作用的。nc安装后，黑客就会通过定制一些运行参数，在“肉鸡”的后台建立起由“肉鸡”的2139端口到目标计算机的139端口的跳转。这就象是一条虚拟的通道，由“肉鸡”的2139端口通向目标的139端口，任何向“肉鸡” 的2139进行的访问都会自动地转发到目标计算机的139端口上去。就是说，访问“肉鸡”的2139端口，就是在访问目标的139端口。反过来，目标计算机的回馈信息也会通过“肉鸡”的通道向黑客计算机返回。

上一页  [1] [2] [3] [4] 下一页