无线网络陷阱.doc

　　方法一：现成的开放网络 　　过程:黑客扫瞄所有开放型无线存取点(Access Point)，其中，部分网络的确是专供大众使用，但多数则是因为使用者没有做好设定。 　　企图：免费上网、透过你的网络攻击第三方、探索其它人的网络。 　　方法二：侦测入侵无线存取设备 　　过程:黑客先在某一企图网络或公共地点设置一个伪装的无线存取设备，好让受害者误以为该处有无线网络可使用。若黑客的伪装设备讯号强过真正无线存取设备的讯号，受害者计算机便会选择讯号较强的伪装设备连上网络。此时，黑客便可等着收取受害者键入的密码，或将病毒码输入受害者计算机中。 　　方法三：WEP加密攻击 　　过程:黑客侦测WEP安全协议漏洞，破解无线存取设备与客户之间的通讯。若黑客只是采监视方式的被动式攻击，可能得花上好几天的时间才能破解，但有些主动式的攻击手法只需数小时便可破解。 　　企图：非法侦测入侵、盗取密码或身份，取得网络权限。 　　方法四：偷天换日攻击 　　过程:跟第二种方式类似，黑客架设一个伪装的无线存取设备，以及与企图网络相同的及虚拟私人网络(VPN)服务器(如SSH)。若受害者要连接服务器时，冒牌服务器会送出响应讯息，使得受害者连上冒牌的服务器。 企图：非法侦测入侵、盗取密码或身份，取得网络权限。 7.蜜罐的实际例子 下面我们以Redhat linux 9.0为平台，做一个简单的蜜罐陷阱的配置。 我们知道，黑客一旦获得root口令，就会以root身份登录，这一登录过程就是黑客入侵的必经之路。其二，黑客也可能先以普通用户身份登录，然后用su命令转换成root身份，这又是一条必经之路。 我们讨论如何在以下情况下设置陷阱： (1)当黑客以root身份登录时； (2)当黑客用su命令转换成root身份时； (3)当黑客以root身份成功登录后一段时间内； 第一种情况的陷阱设置 一般情况下，只要用户输入的用户名和口令正确，就能顺利进入系统。如果我们在进入系统时设置了陷阱，并使黑客对此防不胜防，就会大大提高入侵的难度系数。例如，当黑客已获取正确的root口令，并以root身份登录时，我们在此设置一个迷魂阵，提示它，你输入的口令错误，并让它重输用户名和口令。而其实，这些提示都是虚假的，只要在某处输入一个密码就可通过。黑客因此就掉入这个陷阱，不断地输入root用户名和口令，却不断地得到口令错误的提示，从而使它怀疑所获口令的正确性，放弃入侵的企图。 给超级用户也就是root用户设置陷阱，并不会给系统带来太多的麻烦，因为，拥有root口令的人数不会太多，为了系统的安全，稍微增加一点复杂性也是值得的。这种陷阱的设置时很方便的，我们只要在root用户的.profile中加一段程序就可以了。我们完全可以在这段程序中触发其他入侵检测与预警控制程序。陷阱程序如下： # root .profile Clear Echo “You had input an error password , please input again !” Echo Echo –n “Login:” Read p If ( “$p” = “123456”) then Clear Else Exit 第二种情况的陷阱设置 在很多情况下，黑客会通过su命令转换成root身份，因此，必须在此设置陷阱。当黑客使用su命令，并输入正确的root口令时，也应该报错，以此来迷惑它，使它误认为口令错误，从而放弃入侵企图。这种陷阱的设置也很简单，你可以在系统的/etc/profile文件中设置一个alias，把su命令重新定义成转到普通用户的情况就可以了，例如alias su=”su user1”。这样，当使用su时，系统判断的是user1的口令，而不是root的口令，当然不能匹配。即使输入su root也是错误的，也就是说，从此屏蔽了转向root用户的可能性。 第三种情况的陷阱设置 如果前两种设置都失效了，黑客已经成功登录，就必须启用登录成功的陷阱。一旦root用户登录，就可以启动一个计时器，正常的root登录就能停止计时，而非法入侵者因不知道何处有计时器，就无法停止计时，等到一个规定的时间到，就意味着有黑客入侵，需要触发必要的控制程序，如关机处理等，以免造成损害，等待系统管理员进行善后处理。陷阱程序如下： # .testfile times=0 while [ $times –le 30 ] do sleep 1 times=$[times + 1] done halt /* 30秒时间到，触发入侵检测与预警控制 */ 将该程序放入root .bashrc中后台执行：