LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 2708|回复: 3

远程计算机入侵方法简述[原创]

[复制链接]
发表于 2006-1-3 19:43:18 | 显示全部楼层 |阅读模式
    [color="Red"]远程计算机入侵方法简述
        soloforce@bbs.linuxsir.cn

  入侵网络的方式可分为两类:被动式和主动式。
  [color="Blue"]被动式:入侵者仅仅是窃听信息,希望收集一些可能有用的信息,但不修改通过网络的信息。
  主动式:入侵者与目标系统交互,试图影响、操纵目标系统的行为,一般会修改通过网络的信息。

  入侵网络的基本目的就是企图获得目标系统的一个入口(普通用户、超级用户等),有几种基本形式:
[color="Blue"]1、通过简单手段获取口令,如猜测,暴破,骗取等。
2、利用软硬件安全漏洞。
3、利用操作系统或者网络软件的错误。

以下是一些常见的入侵方法:
1、[color="Blue"]字典攻击:关键在于获取目标系统的密码文件,然后采用离线破解的方法。略。

2、[color="Blue"]偷梁换柱:在目标系统放置特洛亦木马之类的咚咚,把系统常用程序如login,telnet等等修改掉,使之既能窃取密码信息,又能完成正常功能而不被管理员发觉。

3、[color="Blue"]监听网络:使用网络界面接受并非发送给他们的数据。原理在于有些计算机网络经常使用共享信道(如ether net),这种网络适合监听。Ether net下,把网卡设置为混杂模式,就可能窃听网络上的帐号密码信息。常用工具:TCPDump,  EthDump,  Packetman, Interman,  Etherman等。

4、[color="Blue"]利用ICMP通道:ICMP数据包可以包含一个数据段,其中的信息几乎不被任何信息检查,相当于一个暗藏的通道。利用此通道,通过一个秘密的方法来程序获取并执行代码,可以在系统中开启后门,可以用来收集信息,或者作为一个用户-用户、用户-机器之间通信方法。

5、[color="Blue"]IP欺骗:对于采用了信任机制的UNIX主机,当从远程主机上启动rcp,rdist,rsh等R*命令,接受的主机先检查发送机器的IP是否符合授权信任,若符合就执行,否则询问密码。关键在于修改发向目标主机的数据包中的源IP地址,使之改为被信任主机的地址。

6、[color="Blue"]利用有些目标主机上的ARP cache内容短时间内(几分钟)会自动作废的原理,伪造IP地址到物理地址的映射,骗取目标机器信任,达到入侵企图。

7、[color="Blue"]路由欺骗:
a、基于ICMP的路由欺骗:ICMP重定向报文是路由器发送给报文信源机,告诉它应该将报文重定向到另一个路由器。当一主机接受到ICMP重定向报文,它就会修改自己的路由表,这就可以通过发送非法的ICMP重定向报文来进行路由欺骗。
b、基于RIP的路由欺骗:通过UDP在端口520(RIP端口)广播非法的路由信息,所有参与RIP协议的被动的机器都会受到影响,尤其是有路由器处于被动状态。
c、基于源路径的攻击:源路径就是信源机规定本数据包穿越网络的路径。若主机friend(IP:vvv.xxx.yyy.zzz)为目标机器target信任,入侵者机器为evil。入侵者将与evil相邻的路由器设置为所有包含目的地址为vvv.xxx.yyy.zzz的报文都路由到evil所在的网络,而且将evil的IP地址改为vvv.xxx.yyy.zzz。当evil发送报文到target时,使用源路径且路径中包含evil相邻路由器。这样当target回发时,可能使用与源路径相反的路径到达evil。

8、[color="Blue"]DNS欺骗:
从DNS服务器返回的响应一般为网络上所有主机信任,入侵者控制一个DNS后,可以骗一个客户机连接到一个非法的服务器上去,或者在服务器验证一个可信任的客户机名的IP时欺骗服务器。

9、[color="Blue"]基于TCP连接欺骗的盲目攻击:假冒target信任的机器friend,与target进行一个TCP连接,同时阻塞从target发给真正的friend的报文(可以假冒一个unreachable的机器向friend洪水般发送TCP连接,导致friend连接队列充满,无法再接收从target机器上发送过来的报文。)。evil与target连接端口一般是513(rlogin),514(rsh)。

10、[color="Blue"]拒绝服务攻击(DOS):消耗系统资源,使之系统服务超载,阻止其他用户使用服务。而且可以利用DOS期间系统异常(比如CPU过载,IO过载)导致的漏洞进行攻击。

11、[color="Blue"]远程漏洞,缓冲区溢出:著名的Morris Worm 就是利用缓冲区溢出(fingerd)造成的灾难,同时它也是应用非常广泛的攻击手段,在bind, wu-ftpd, 各种 telnetd,以及很多应用程序上都存在隐患。

事实上入侵技术远不是上述所能囊括的,其实际操作过程也纷繁复杂,千变万化。我这里只总结了以上几种较常见的手段。希望对刚开始学习网络安全的朋友有点小用
发表于 2006-1-3 20:06:05 | 显示全部楼层
不错,基本上常用的,都有了。

还有一个就是 远程漏洞。和本地overflow exploit 差不多。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2006-1-3 20:45:38 | 显示全部楼层
谢谢补充,补上了.
回复 支持 反对

使用道具 举报

发表于 2006-1-9 15:09:32 | 显示全部楼层
等于没说......
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表