否有效。
首先以入侵者的身份利用X…Scan3。3漏洞扫描器扫描一下这台计算机(该工具的使用方法在前面已介绍过)。
扫描完成后,在KFSensor软件中单击工具栏上的【Visitors】按钮,则检测到的所有事件都会按照Visitor的IP分类了。这样可以精确的查询来自某个主机的威胁,保证每次入侵机器进行的尝试操作都会记录下来。在左侧列表中选择任意一个IP地址,如“192。168。0。9”,即可在右侧的窗口中显示使用X…Scan进行扫描而产生的事件。
双击某个事件,可在弹出的【Event】对话框中查看该事件的详细信息。其中“Visitor”选项区域中的三个文本框分别显示的是入侵者的IP、端口以及入侵者的机器名。如果在KFSensor软件中单击工具栏上的【Ports】按钮,则检测到的所有事件会按照属于TCP协议或者UDP协议来分类。
一旦发现有人对其进行扫描时,KFSensor就会进行报警并变成红色。此时,可以打开KFSensor进行日志分析。经过上面的诱捕测试,可以确认蜜罐安装成功。
从上面的图中可以看到机器开放的端口很多,几乎就像一台刚刚装好系统和服务器软件的主机,连一些危险的端口都开放着。不过这些开放的危险端口都是KFSensor模拟出来的,用X…Scan等漏洞扫描器进行扫描,可以发现NT、FTP、SQL弱口令,CGI、IIS漏洞等,这些也都是KFSensor模拟出来的。
2。网络欺骗攻击的防范
从网络欺骗的攻击原理中可以了解到网络欺骗包括多个方面,如IP地址欺骗、Web欺骗、电子信件欺骗等。针对这些网络欺骗的攻击,用户应该掌握一些防范措施。这里以IP欺骗攻击的防洪为例,介绍网络欺骗攻击的防范方法。
要防止源IP地址欺骗行为,可以采取如下措施来尽可能地保护系统免受这类攻击:
●使用加密方法:在数据包发送到网络上之前,可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性和真实性。
●抛弃基于地址的信任策略:一种非常容易的可以阻止这类攻击的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除。rhosts文件;清空/etc/hosts。equiv文件。这将迫使所有用户使用其他远程通信手段,如tel、ssh、skey等。
●进行包过滤:可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。
路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此,它们仅能对声称是来自于内部网络的外来包进行过滤,若网络存在外部可信任主机,则路由器将无法防止别人冒充这些主机进行IP欺骗。
第二章 口令猜测攻击实战
现在很多网络设备都是依靠认证的方式来进行身份识别与安全防范的,而基于账号和密码的认证方式是最为常见的,应用也是最为广泛的。
攻击者攻击目标时就常常把破译用户的口令作为攻击的开始,只要攻击者能猜出或者确定用户的口令,就能获得机器或者网络的访问权,并能访问到用户所有访问到的任何资源。因此,依靠获得账号和密码来进行网络攻击已经成为一种常见的网络攻击手段。
6。2。1攻击原理
黑客进行口令攻击的前提就是获得这台主机上的某个合法用户的账号,然后再猜测或者确定用户的口令,进而获得机器或者网络的访问权,访问用户能访问到的任何资源。如果这个用户有域管理员或root用户权限,那么一旦被攻击,后果将不堪设想。
一般来说,获得普通用户的账号的方法主要有如下几种:
●利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上。
●利用目标主机的X。500服务:有些主机没有关闭X。500的目录查询服务,这样攻击者就可能会利用它轻易获得用户的信息,得到用户的账号。
●从电子邮件地址中收集:一些用户在注册电子邮件账号时,常常会将自己主机上的账号作为电子邮件地址,这是很多用户的一种习惯做法。但这种习惯却正好泄露了目标主机上的账号。
●查看主机是否有习惯性的账号:很多用户为了便于记忆,常常习惯在不同的地方使用同一账号,从而造成账号的泄露。
当攻击者得到用户的账号后,往往会针对账号的类型,采用不同的方法来获取口令。下面介绍几种主动口令攻击类型。
●字典攻击
很多用户在设置口令时,往往会利用普通词典中的单词作为口令,因此,发起词典攻击来破解用户的密码是一个较好的方法。词典攻击使用一个包含大多数词典单词的文件,用这些单词猜测用户口令。攻击者可以通过一些工具程序自动从电脑字典中取出一个单词,作为用户的口令,再输入给远端的主机申请进入系统。
若口令错误,就按顺序再取出下一个单词,再次尝试,直到找到正确的口令或字典的单词为止。使用一部1万个单词的词典一般能猜测出系统中70%的口令,而且这个破译过程由计算机程序来自动完成,因此,词典攻击能在很短的时间内完成。
●强行攻击
一些用户在设置口令时,为了防止口令被人轻易地破解,就采用了足够长的口令,或者使用足够完善的加密模式,以为这样就能够有一个攻不破的口令。但实际上,任何强大的口令都是可以被攻破的,只是较严密的口令的破译需要攻击者花费很多的时间。
如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合,将最终能破解所有的口令。这种类型的攻击方式就叫做强行攻击。使用强行攻击,先从字母a开始,尝试aa、ab、ac等,再尝试aaa、aab、aac……。
(3)组合攻击
组合攻击是一种将字典攻击和强行攻击结合在一起的强大的口令攻击方法。字典攻击破解口令的方法虽然速度较快,但只能发现词典单词口令;而强行攻击的破解虽然需要很长时间,但这种攻击方法能发现所有的口令。
而且很多管理员为了增加口令的安全性,常常会要求用户使用字母和数字的组合来设置口令,比如把口令zhanglin变成zhanglin0307。错误的看法是认为攻击者不得不使用强行攻击,这会很费时间,而实际上口令很弱。组合攻击使用词典单词,但在单词尾部串接几个字母和数字,它可以轻易地破解这种包含字母和数字的组合的口令。也就是说,组合攻击是介于词典攻击和强行攻击之间的一种攻击方式。
6。2。2攻击与防御实战
下面将介绍两种常用的口令破解工具:LC5和Cain&Abel,利用它们可以来破解各种账号和密码。
1。LC5密码破解工具
在WindowsXP操作系统当中,用户账户的安全管理使用了安全账号管理器的机制,用户和口令经过Hash变换后以Hash列表形式存放在C:Windowssystem32Config下的SAM文件中。LC5主要是通过破解SAM文件来获取系统的账户名和密码,它可以从本地系统、其他文件系统、系统备份中获取SAM文件,从而破解出用户口令。
下面讲述一下LC5。02容笑汉化精简版的安装方法:
步骤01将下载到计算机中的LC5压缩包进行解压,双击安装文件lc5。02容笑汉化精简版。exe,即可进入【自述文件】对话框。
步骤02单击【下一步】按钮,即可进入【许可协议】对话框,在其中阅读界面中的许可协议,如果同意协议中的内容,则选择“我同意以上条款”选项。
步骤03单击【下一步】按钮,即可进入【选择安装文件夹】对话框,在其中设置程序的安装路径。
步骤04单击【下一步】按钮,即可进入【确认安装】对话框。
步骤05单击【下一步】按钮,即可开始安装LC5程序。待安装结束之后,弹出【安装完成】对话框。单击【关闭】按钮,完成该软件的安装操作。
在安装完LC5软件后运行程序,即可弹出“LC5试用片本”界面。单击【试用】按钮,选择试用该软件,即可进入LC5汉化版软件的主窗口中。
在使用LC5软件破解SAM文件口令前,还需要先对其进行配置。其具体操作步骤如下:
步骤01在LC5汉化版软件的主窗口中单击【新建LC5会话】按钮,即可新建一个会话,默认命名为“无标题1”。
步骤02单击工具栏上的【开始LC5向导】按钮,即可打开【LC5向导】对话框。向导提示用户将要完成的破解任务。
步骤03单击【下一步】按钮,即可打开【取得加密口令】对话框,在其中有4个选项,选择“从本地机器导入”选项。
步骤04单击【下一步】按钮,即可打开【选择破解方法】对话框,在其中也列出了四种破解方法,如果密码设置的比较简单,则可选择“快速口令破解”选项。
步骤05单击【下一步】按钮,在其中打开【选择报告风格】对话框,在其中可以选择报告的风格,这里保持默认设置。
步骤06单击【下一步】按钮,弹出【开始破解】对话框。
步骤07如果用户确认对话框中的信息无误,单击【完成】按钮,即可打开【LC5】的主窗口,并开始破解密码。在窗口右侧的“字典/混合”框中,可以看到软件将字典中的每个单词和口令进行对照的进度。
步骤08等破解一会后,可在窗口右侧的“暴力破解”框中看到完成破解每个口令的剩余时间。如果系统采用的密码不是很复杂,则LC5可在很短的时间内破解完密码。在【运行】选项页面中,即可看到破解完成后的结果。
从这个攻击实例中可以看出LC5密码破解软件的使用方法非常简单,但是如果系统使用的密码比较复杂,则可能会需要几天或数月甚至几年的时间才能破解出密码,这是LC5的不足之处。
2.Cain&Abel密码恢复和破解工具
Cain&Abel是一个Windows系统平台上的破解各种密码、嗅探各种数据信息、实现各种中间人攻击的软件。但嗅探器是Cain&Abel的重点,很多人用CAIN主要就是用这个嗅探器和ARP欺骗。主要用来嗅探局域网内的有用信息,如各类密码等。CAIN中ARP的欺骗原理是操纵两台主机的ARP缓存表,以改变它们之间的正常通信方向,这种通信注入的结果就是ARP欺骗攻击,利用ARP欺骗可以获得明文的信息。
下面介绍如何使用Cain来获取邮箱登录密码。将下载的Cain&Abel4。9。3安装到计算机中,再根据需要安装Winpcap驱动。在安装完成后,即可进入Cain&Abel4。9。3主界面,在使用它进行嗅探之前,需要先对程序进行配置。具体的操作步骤如下:
步骤01双击桌面上的Cain快捷图标,即可进入Cain主窗口中。在窗口上方的工具栏中单击【Configure】(配置)按钮。
步骤02打开【ConfigureDialog】(配置对话框)对话框,默认选择【Sniffer】(嗅探器)选项卡。在列表框中选择用于嗅探的以太网卡,其他选项保持默认设置。
步骤03切换到【ARP(ArpPoisonRouting)】(ARP欺骗)选项卡,在“SpoofingOptions”(欺骗设置选项)选项区域中选择“UseRealIPandMACaddress”(使用真实IP和MAC地址)选项,并勾选“Pre…PoisonARPcaches(CreateARPentries)(预欺骗ARP缓存(创建ARP表项))”复选框。
【提示】
在“SpoofingOptions”(欺骗设置选项)选项区域中可以用真实的IP地址,也可以使用伪装IP地址和的MAC。但使用伪装IP和MAC有几个前提条件:攻击者的机器只能连接在HUB中,不能连接在交换机中;设置的IP地址需是子网内的合法的,而且是未使用的IP地址。
步骤04切换到【Filtersandparts】(过滤器与端口)选项卡,在其中列出了CAIN定义的过滤程序和协议的各种端口,可以关闭不需要过滤的程序协议,比如POP3、ICQ、FTPS、RDP等。
步骤05切换到【HTTPFields】选项卡,在其中主要定义了HTTP的字段,用来检查和过滤HTTP包中包含的敏感字符,比如用户名密码等。
步骤06对话框中的其他几个选项卡用户可根据需要进行设置,但对于一般用户来说,可以保持默认设置不变。在设置完成后,单击【确定】按钮,即可完成CAIN程序的配置。
在完成程序的配置后需要进行MAC地址扫描,具体的操作步骤如下:
步骤01在CAIN主窗口中选择【Sniffer】选项卡,单击工具栏上的【Start/StopSniffer】按钮,激活嗅探器。在窗口的空白处右击,在弹出菜单中选择【ScanMACAddress】菜单项。
步骤02此时,即可弹出【MACAddressScanner】对话框。若要扫描整个子网,可选择“Allhostsinmysub”选项;若要扫描某一范围的子网,可选择“Range”选项并设置要扫描的范围,这里选择扫描整个子网。
步骤03单击【OK】按钮,稍等片刻后,即可扫描出整个子网中的IP地址及其对应的MAC地址。注意:本机的IP地址与MAC地址是扫描不出来的。
步骤04从上图中可以看到192。168。0。1是网关地址,MAC地址扫描是基于ARP请求数据包,因此,可快速定位MAC和IP的对应关系。OUI指纹中包含了各大MAC厂商的信息。
步骤05单击窗口下方的按钮,即可进入ARP欺骗界面。在右边的空白处单击,单击上面的【添加到列表】按钮,即可弹出【NewARPPoisonRouting(新建ARP欺骗)】对话框。
步骤06在左边选择被欺骗的主机,在右边选择被欺骗的IP,单击【OK】按钮,即可返回ARP欺骗界面,在右边的列表中看到ARP欺骗的信息。
步骤07配置好APR欺骗的主机后,可以在左侧栏中选择相应的选项,进行各种ARP欺骗。若要获得用户邮箱的密码信息,可在IE地址栏中输入邮箱的网址//。163。,即可进入邮箱的登录界面。在其中输入用户名和密码后,单击【确定】按钮,即可成功登录邮箱。
步骤08返回ARP