图三D 黑客通过两次跳转绕过防火墙对139端口的阻止

图三D是我们分析后还原的nc端口跳转攻击拓扑图，黑客在这里需要两次端口跳转，第一次是利用自己的linux计算机把对139端口的访问向SUN的2139端口发送，这样就绕过了防火墙对139端口的访问限制。然后SUN会把对自己2139端口的访问发 送到攻击最终目标的139端口上。为什么图中的"黑客"计算机不直接访问SUN的2139端口，而需要linux多跳转一次呢？这是由于象net、nbtdump、远程口令猜测等手段都是默认针对139端口而且黑客无法改变的。

在这两个端口跳板准备好了之后，黑客只要访问自己的linux机器上的139端口，就可以对目标的Windows服务器进行攻击了，“肉鸡”的作用巨大啊。据了解这台SUN工作站当时在服务器网段中只接入了三天不到的时间就搬到内部网里了，可见黑客对这个 网段的情况变化的掌握速度是很快的，管理员们不要因为只是临时接入而忽略了安全。我们随后又在路由器上找到了当时黑客远程向SUN机的2139端口连接的日志，至此就完全清楚了。

防御方法

三、攻击时直接借用

与上述各类情况不同，直接利用其他计算机做为攻击平台时，黑客并不需要首先入侵这些被利用的计算机，而是误导它们去攻击目标。黑客在这里利用了TCP/IP协议和操作系统本身的缺点漏洞，这种攻击更难防范，特别是制止，尤其是后面两种反射式分布拒绝服务攻击和DNS分布拒绝服务攻击。

3.1 Smurf攻击

原理介绍

Smurf攻击是这种攻击的早期形式，是一种在局域网中的攻击手段。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时，会接到它的回应；如果向本网络的广播地址发送请求包，实际上会到达网络上所有的 计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的，每处理一个就要占用一份系统资源，如果同时接到网络上所有计算机的回应，接收方的系统是有可能吃不消的，就象遭到了DDoS攻击一样。大家会疑问，谁会无聊得去向网络地址发包而 招来所有计算机的攻击呢？

当然做为一个正常的操作者是不会这么做的，但是当黑客要利用这个原理进行Smurf攻击的时候，他会代替受害者来做这件事。

图四 Smurf攻击原理

如图四，黑客向广播地址发送请求包，所有的计算机得到请求后，却不会把回应发到黑客那里，而是被攻击的计算机处。这是因为黑客冒充了被攻击主机。黑客发包所用的软件是可以伪造源地址的，接到伪造数据包的主机会根据源地址把回应发出去，这当然就是被攻击目标 的地址。黑客同时还会把发包的间隔减到几毫秒，这样在单位时间能发出数以千计的请求，使受害者接到被欺骗计算机那里传来的洪水般的回应。象遭到其他类型的拒绝服务攻击一样，被攻击主机会网络和系统无法响应，严重时还会导致系统崩溃。

黑客借助了网络中所有计算机来攻击受害者，而不需要事先去占领这些被欺骗的主机。

在实际使用中，黑客不会笨到在本地局域网中干这件事的，那样很容易被查出。他们会从远程发送广播包到目标计算机所在的网络来进行攻击。

防御方法

局域网中是不必进行Smurf攻击的防御的。我们只需在路由器上进行设置，在收到定向广播数据包时将其丢弃就可以了，这样本地广播地址收不到请求包，Smurf攻击就无从谈起。注意还要把网络中有条件成为路由器的多宿主主机（多块网卡）进行系统设置，让它 们不接收和转发这样的广播包。

3.2 DrDoS（反射式分布拒绝服务攻击）

原理介绍

具体的情况可以参考Smurf攻击的原理结构图四。

防御方法

《分布式拒绝服务攻击(DDoS)原理及防范》


3.3 DNS分布拒绝服务攻击

原理介绍

DNS拒绝服务攻击原理同DrDoS攻击相同，只是在这里被欺骗利用的不是一般的计算机，而是DNS服务器。黑客通过向多个DNS服务器发送大量的伪造的查询请求，查询请求数据包中的源IP地址为被攻击主机的IP地址，DNS服务器将大量的查询结果发送给 被攻击主机，使被攻击主机所在的网络拥塞或不再对外提供服务。

防御方法

上一页  [1] [2] [3] [4]