计算机网络安全 第六章 网络隐身与后门.ppt

6 网络后门与隐身 本章要点 如何设立网络后门 如何进行网络隐身 6.1 网络后门 后门的定义： 指那些绕过安全性控制而获取对程序或系统访问权的程序方法 。 黑客成功地取得了系统权限之后，一般都会想方设法设置能使自己重返被入侵系统的后门。 大多数入侵者的后门实现以下的目的：即使管理员改变密码，仍然能再次侵入，并且使再次侵入被发现的可能性减至最低。 后门的分类 网页后门 利用服务器上正常 的web服务来构造自己的连接方式，比如现在非常流行的ASP、cgi脚本后门等 例子：海阳顶端ASP木马，使用范围：支持ASP、WEB访问 线程插入后门 利用系统自身的某个服务或者线程，将后门程序插入到其中，是现在比较流行的一种后门技术 例子：小榕的BITS（Background Intelligent Transfer Servicer ） ，适用范围：wind200/xp/2003 扩展后门 小安全工具包，功能更强，但可能不够隐蔽 例子：Wineggdroup shell，适用范围：wind200/xp/2003 后门的分类（续） C/S后门 类似木马的控制方法，采用“客户端/服务端”的控制方式，通过某种特定的访问方式来启动后门进而控制服务器 例子：ICMP Door，适用范围：wind200/xp/2003 Root kit 攻击者用来隐蔽自己的踪迹和保留root访问权限的工具 例子：hacker defender，适用范围：wind200/xp/2003 案例6-1 利用已得到的管理员密码远程启动Telnet服务 利用工具RTCS.vbe可以远程开启对方的Telnet服务，使用该工具需要知道对方具有管理员权限的用户名和密码。 命令的语法是：“cscript RTCS.vbe 09 administrator 123456 1 23”， 其中cscript是操作系统自带的命令，作用是“启动脚本以使它在命令行环境中运行” RTCS.vbe是该工具软件脚本文件 IP地址是要启动Telnet服务的目标主机地址 administrator是用户名 123456是密码 1是登录系统的验证方式 23是Telnet开放的端口 案例6-2 记录管理员口令修改过程 管理员可能会经常更换密码。 工具软件Win2kPass.exe可以记录修改的新密码。 在目标主机上执行Win2KPass.exe文件，当该主机管理员密码修改并重启计算机以后，就在Winnt\temp目录下产生一个ini文件，记录修改后的密码信息。 该工具软件具有“自杀”功能，执行完毕后可自动删除自己。 案例6-3 建立Web和Telnet服务 使用工具软件wnc.exe可以在目标主机上开启两个服务：Web服务和Telnet服务。其中Web服务的端口是808，Telnet服务的端口是707。 执行方法： 在目标主机命令行下运行一下wnc.exe。 该程序不能自动加载执行，需要将该文件wnc.exe加入自启动程序列表中。 6.2 木马 木马是一种可以驻留在对方服务器系统中的一种程序。 木马程序一般由两部分组成：服务器程序和客户端程序。驻留在对方服务器的称为木马的服务器，远程的可以连到木马服务器的程序称为客户端。 木马的功能是通过客户端操纵服务器端，进而操纵对方的主机。 木马的特点 绝大多数木马使用的是TCP，但是也有一些木马由于特殊的原因，使用UDP协议进行通讯。 当服务端在被感染机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现；同时监听某个特定的端口，等待客户端与其取得连接；另外为了下次重启计算机时仍然能正常工作，木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。 木马工作的一般过程 用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步 配置木马 ，主要实现的功能 (1)木马伪装：木马配置程序为了在服务端尽可能好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，更改名字、自我销毁等。 (2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等。 木马工作的一般过程（续） 植入木马 运行木马 信息泄露 一般，木马成功安装后会收集 一些服务端的软硬件信息（包括使用的操作系统，系统目录，硬盘分区况， 系统口令，服务器端IP地址等 ），并通过E-MAIL，IRC或ICO的方式告知控制端用户。 建立连接 远程控制 窃取密码 、文件操作 、修改注册表 、系统操作 … 木马的植入方法 邮件附件、下载软件 也可以通过Script、ActiveX及Asp.cgi交互脚本的方式植入 利用系统的一些漏洞进行植入 … 木马和后门的区别 本质上，木马和后门都提供网络后门的