圖解網(wǎng)絡(luò)入侵的過程

1、圖解網(wǎng)絡(luò)入侵的過程引言經(jīng)濟(jì)社會的發(fā)展要求各用戶之間的通信和資源共享，需要將一批電腦連成網(wǎng)絡(luò)，這樣就隱含著很大的風(fēng)險(xiǎn)，包含了極大的脆弱性和復(fù)雜性，特別是對當(dāng)今最大的網(wǎng)絡(luò)國際互聯(lián)網(wǎng)，很容易遭到別有用心者的惡意攻擊和破壞。隨著國民經(jīng)濟(jì)的信息化程度的提高，有關(guān)的大量情報(bào)和商務(wù)信息都高度集中地存放在電腦中，隨著網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)大，信息的泄露問題也變得日益嚴(yán)重，因此，電腦網(wǎng)絡(luò)的安全性問題就越來越重要。本文主要是寫了網(wǎng)絡(luò)上幾種入侵的過程一、簡單的"黑客"入侵 TCP/IP協(xié)議順序號預(yù)測攻擊是最簡單的"黑客"入侵，也是系統(tǒng)安全的最大威脅。在網(wǎng)絡(luò)上，每臺電腦有惟一的IP地

2、址，電腦把目標(biāo)IP地址和一個(gè)惟一的順序號加載于傳輸?shù)拿恳粋€(gè)數(shù)據(jù)包上。在一個(gè)TCP連接中，接收機(jī)只收到具有正確IP地址和順序號的那個(gè)包裹。 許多安全設(shè)備，如路由器，只允許有一定IP地址的電腦收發(fā)傳送。TCP/IP 順序號預(yù)測入侵將使用網(wǎng)絡(luò)給電腦賦址的方式和包裹交換的順序來企圖訪問網(wǎng)絡(luò)。一般來說，"黑客"進(jìn)行TCP/IP 順序號預(yù)測攻擊分兩步： 第一，得到服務(wù)器的IP地址。黑客一般通過網(wǎng)上報(bào)文嗅探，順序測試號碼，由WEB瀏覽器連接到結(jié)點(diǎn)上并在狀態(tài)欄中尋找結(jié)點(diǎn)的IP地址。因?yàn)楹诳椭榔渌娔X有一個(gè)與服務(wù)器IP地址部分公用的IP地址，他便盡力模擬一個(gè)能讓其通過路由器和作為網(wǎng)絡(luò)用戶訪

3、問系統(tǒng)的IP號碼。例如，如果系統(tǒng)的IP地址為192.0.0.15，黑客便知有近256臺電腦可以連入一個(gè)C級網(wǎng)，并猜出所有最后位在序列中出現(xiàn)過的地址號碼。IP地址指示了一個(gè)網(wǎng)絡(luò)連接的電腦數(shù)，同時(shí)上述地址的高字節(jié)中兩個(gè)最重要的位設(shè)定指出了該網(wǎng)為C級網(wǎng)，下列圖顯示了黑客是怎祥預(yù)測C級網(wǎng)的IP號碼的。 "黑客"用服務(wù)器的IP地址來猜測其他網(wǎng)絡(luò)地址 第二，黑客在試過網(wǎng)上IP地址之后，便開始監(jiān)視網(wǎng)下傳送包的序列號，然后，黑客將試圖推測服務(wù)器能產(chǎn)生的下一個(gè)序列號，再將自己有效地插入服務(wù)器和用戶之間。因?yàn)楹诳陀蟹?wù)器的IP地址，就能產(chǎn)生有正確IP地址和順序碼的包裹以截獲用戶的傳遞，下列圖指

4、明了怎樣模仿IP地址及包裹序列號以愚弄服務(wù)器，使之信任黑客為合法網(wǎng)絡(luò)用戶。 黑客模擬一個(gè)TCP/IP通訊愚弄服務(wù)器二、嗅探入侵 利用嗅探者的被動(dòng)入侵已在Internet上頻繁出現(xiàn)，如被動(dòng)嗅探入侵是一個(gè)黑客實(shí)施一次實(shí)際劫持或IP模仿入侵的第一步。要開始一個(gè)嗅探入侵，黑客要擁有用戶IP和合法用戶的口令，而用一個(gè)用戶的信息注冊于一個(gè)分布式網(wǎng)絡(luò)上。進(jìn)入網(wǎng)之后，黑客嗅探傳送的包并試圖盡可能多地獲取網(wǎng)上資料。 黑客如何實(shí)施一個(gè)被劫嗅探入侵 為了防止分布式網(wǎng)絡(luò)上的嗅探入侵，系統(tǒng)管理員一般用一次性口令系統(tǒng)或票據(jù)認(rèn)證系統(tǒng)如 Kerberos等識別方案。例如，一些一次性口令系統(tǒng)向用戶提供在每次退出登錄后的下次登錄

5、口令。盡管一次性口令系統(tǒng)和Kerberos方案能讓黑客對口令的嗅探在不安全的網(wǎng)絡(luò)上變得更加困難，但如果它們既未加密又未指明數(shù)據(jù)流時(shí)仍將面臨實(shí)際的被入侵風(fēng)險(xiǎn)。下列圖顯示了黑客如何實(shí)施被動(dòng)的嗅探入侵。 下面描述黑客將TCP流定向到自己機(jī)器上的針對TCP的實(shí)際入侵。在黑客重新定向了TCP流之后，黑客能通過無論是一次性口令系統(tǒng)或票據(jù)認(rèn)證系統(tǒng)提供的保護(hù)安全線，這樣TCP連接對任何一個(gè)在連接路徑上擁有TCP包嗅探器和TCP包發(fā)生器的人來說都變得非常脆弱。在后面，您將了解到一個(gè)TCP包在到達(dá)目的系統(tǒng)之前要經(jīng)過許多系統(tǒng)，換句話說，只要擁有一個(gè)放置好了的嗅探器和發(fā)生器，黑客能訪問任何包-它們可能包括您在Inte

6、rnet上傳送的包。 在后面一部分里，我們詳述了一些您可以用來檢測實(shí)際入侵的方案和一些您可以用來防衛(wèi)入侵的方法。黑客能用這一章節(jié)中所述的最簡單的方法來侵入Internet主機(jī)系統(tǒng)，而且，黑客可以實(shí)施一次和被動(dòng)嗅探所需資源一樣少的主動(dòng)非同步攻擊。三、嗅探-冒充入侵 您已了解到實(shí)際的嗅探入侵的基礎(chǔ)，包括一些組成部分。本部分詳述的冒充入侵中，黑客用客戶機(jī)IP地址作為源址向服務(wù)器發(fā)送一個(gè)SYN包以初始化通話。黑客傳送的地址必須是冒充成可信任主機(jī)地址。服務(wù)器將用一個(gè)SYN/ACK包來確認(rèn)SYN包，它包含以下行： SEG_SEQ = SVR_SEQ_O 黑客因此可以用自己的包來確認(rèn)服務(wù)器的SYN/ACK包

7、。黑客數(shù)據(jù)包中包含了黑客所猜的SVR_SEQ_O的值即順序號。如果成功，那么黑客不必嗅探客戶包，因?yàn)楹诳湍茴A(yù)測SVR_SEQ_O且確認(rèn)它。 1冒充入侵的兩個(gè)主要缺點(diǎn) 1黑客冒充的客戶機(jī)將收到來自服務(wù)器的SYN/ACK包，而向服務(wù)器回發(fā)一個(gè)RST復(fù)位包，因?yàn)樵诳蛻魴C(jī)看來，通話不存在。而黑客可能阻止客戶機(jī)的復(fù)位包產(chǎn)生，或當(dāng)客戶機(jī)未按入網(wǎng)絡(luò)時(shí)入侵，或使客戶機(jī)的TCP隊(duì)列溢出，如此，客戶機(jī)將在往服務(wù)器上發(fā)送數(shù)據(jù)中喪失包。 2黑客不能從服務(wù)器上得到數(shù)據(jù)，然而黑客可以發(fā)送一些足以危害主機(jī)的數(shù)據(jù)。 2冒充入侵和非同步后劫持入侵的不同點(diǎn) 冒充入侵和您以前了解到的非同步后劫持入侵的四個(gè)不同之處在于： 1非同步后

8、劫持入侵讓黑客實(shí)行并控制連接的鑒別階段，而冒充入侵依靠于可信任主機(jī)的鑒別方案。 2非同步后劫持入侵讓黑客對于TCP流有很大的訪問權(quán)。換句話說，黑客可以同時(shí)收發(fā)數(shù)據(jù)，而不是像冒充入侵那樣僅能發(fā)送數(shù)據(jù)。 3非同步后劫持入侵利用以太網(wǎng)嗅探來預(yù)測或得到SVR-SEQ-O。 4黑客可以用非同步后劫持入侵法攻擊任何類型主機(jī)。因?yàn)槊俺淙肭謺r(shí)要倚賴于UNIX可信任主機(jī)的模式，所以它僅能對UNIX主機(jī)進(jìn)行攻擊。 然而，如果客戶機(jī)脫線了或是不能收發(fā)RST復(fù)位包，黑客可以用冒充入侵來與服務(wù)器建立一個(gè)全面的TCP連結(jié)。黑客將可代表客戶機(jī)發(fā)送數(shù)據(jù)。當(dāng)然，黑客必須通過認(rèn)證障礙。如果系統(tǒng)采用的是基于可信任主機(jī)的認(rèn)證，那么黑

9、客將對主機(jī)的服務(wù)有全權(quán)訪問。 盡管當(dāng)黑客進(jìn)行非同步后劫持入侵進(jìn)攻局域網(wǎng)時(shí)，系統(tǒng)分析員易于核查到入侵，但在遠(yuǎn)程低帶寬和低延遲網(wǎng)上進(jìn)行非同步持劫持入侵是很有效果的。而且，正如您所知，黑客可使用與進(jìn)行被動(dòng)嗅探入侵它經(jīng)常發(fā)生在INTERNET時(shí)相同的資源來實(shí)施非同步后劫持入侵。兩種入侵對黑客來說其優(yōu)點(diǎn)在于它對用戶都是不可的。用戶不可見很重要，INTERNET上入侵主機(jī)越來越頻繁，網(wǎng)絡(luò)安全變得令人關(guān)注，黑客的秘密行動(dòng)是黑客入侵的一個(gè)重要因素。四Telnet會話入侵 前面部分已詳述了黑客能在一個(gè)已存在的或新運(yùn)行的TCP連接上實(shí)施的各種入侵。然而，黑客也可以干預(yù)到幾乎任何網(wǎng)絡(luò)通訊。例如，黑客可以用TELNE

10、T會話實(shí)施以下截獲方案： 1在入侵之前，黑客通常先觀察網(wǎng)上的傳送，而不進(jìn)行任何干預(yù)。 2適當(dāng)時(shí)候，黑客向服務(wù)器發(fā)送一大批空數(shù)據(jù)。在被截獲的TELNET會話上，黑客發(fā)送一個(gè)含擴(kuò)展字號IAC NOP LAC NOP 的ATK_SVR_OFFSET字。TELNET協(xié)議將NOP命令定義為"空操作"，換句話說，不做任何操作且無視這一對中的字。由于此空操作，服務(wù)器的TELNET的后臺駐留程序?qū)衙總€(gè)字都解釋為空數(shù)值，因?yàn)檫@一點(diǎn)，后臺駐留程序?qū)?shù)據(jù)流中的每個(gè)對刪掉。然而，服務(wù)器對擴(kuò)展空傳送的接收將擾亂正進(jìn)行工作的TELNET會話，在此步之后，服務(wù)器接收以下命令： SVR_ACK = CL

11、T_SEQ+ATK_SVR_OFFSET 3服務(wù)器對黑客命令的接收將創(chuàng)建一個(gè)非同步TELNET的連接。 4為了迫使客戶機(jī)轉(zhuǎn)換到非同步狀態(tài)，黑客向客戶端實(shí)施一個(gè)與服務(wù)器相同的步驟如下列圖，黑客如何向客戶端和服務(wù)發(fā)送空數(shù)據(jù)5為完成TELNET會話入侵，黑客實(shí)施前面詳述的步驟，直到黑客成為TELNET會話連接的中間人 如果Telnet 會話可以傳送空數(shù)據(jù)的話，黑客只能利用前面詳述的五個(gè)步驟的TELNET截獲方式?？v使如此，黑客對于選擇合適時(shí)間發(fā)送空數(shù)據(jù)仍有困難。如果時(shí)間不正確，入侵將很容易破壞Telnet會話，或者會引起會話干擾，而不能讓黑客控制會話。當(dāng)您參與TELNET會話，預(yù)料不到的結(jié)果將說明黑客正在截獲會話。五空數(shù)據(jù)非同步入侵 黑客利用在連接的早期階段截獲一個(gè)TCP連接來實(shí)施一次前期非同