安全相关

Linux / SHELL / 关键性技巧 / 安全相关3 Comments
2
二 10

查找后门程序

每个进程都会有一个PID,而每一个PID都会在/proc目录下有一个相应的目录,这是Linux(当前内核2.6)系统的实现。

一般后门程序,在ps等进程查看工具里找不到,因为这些常用工具甚至系统库在系统被入侵之后基本上已经被动过手脚(网上流传着大量的rootkit。假如是内核级的木马,那么该方法就无效了)。

因为修改系统内核相对复杂(假如内核被修改过,或者是内核级的木马,就更难发现了),所以在/proc下,基本上还都可以找到木马的痕迹。

思路:
在/proc中存在的进程ID,在 ps 中查看不到(被隐藏),必有问题。

str_pids=`ps -A | awk ‘{print $1}’`
for i in /proc/[0-9]* ; do
        if  echo $str_pids | grep -q `basename $i` ; then
                :
            else
                echo “Rootkit’s PID: `basename $i`”
        fi
done
unset str_pids i

讨论:

检查系统(Linux)是不是被黑,其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说,要想剔除干净,将是一件分精密、痛苦的事情,通常这种情况,需要用专业的第三方的工具(有开源的,比如tripwire,比如aide)来做这件事情。

而专业的工具,部署、使用相对比较麻烦,也并非所有的管理员都能熟练使用。

实际上Linux系统本身已经提供了一套“校验”机制,在检查系统上的程序没有被修改。比如rpm包管理系统提供的 -V 功能:

rpm -Va

即可校验系统上所有的包,输出与安装时被修改过的文件及相关信息。但是rpm系统也可能被破坏了,比如被修改过。

FreeBSD / Linux / 安全相关No Comments
22
十 08

给黑客设一个“死亡陷阱”

转载:

hacker

一个成功的防护措施,可以拖延攻击者,同时能给防御者提供足够的信息来了解黑客,将攻击造成的损失降至最低。网络安全防御者通过提供虚假信息,迫使攻击者浪费时间做无益的进攻,以减弱后续的入侵力量; 同时,还可获得攻击者手法和动机等相关信息,这些信息日后可用来强化现有的安全措施,例如防火墙规则和配置等。网络陷阱技术就是基于这一思路设计和开发的。

hacker02

设置陷阱

网络陷阱技术主要包括: 伪装技术(系统伪装、服务伪装等)、诱骗技术、引入技术、信息控制技术(防止攻击者通过陷阱实现跳转攻击)、数据捕获技术(用于获取并记录相关攻击信息)及数据统计和分析技术等。

网络陷阱和诱骗系统是一个主动防御体系。它是由放置在网络中的若干陷阱机、主动引入模块(完成与放火墙、入侵检测系统的联动功能)以及一个远程管理控制台组成。这些分布在网络中的陷阱机与防火墙、IDS等安全产品联动,可以形成一个联合的安全防御体系,实现提高网络安全性的目的,如附图所示。其中,每个陷阱机就是一台欺骗主机,它能够对受保护机进行模拟,包括操作系统类型、系统和应用服务等。另外它还具有强大的日志记录功能,能够对入侵过程进行详细的记录和监视,在必要的情况下,对入侵者进行跟踪。

管理控制台是一台远程主机,可以对网络中所有的陷阱机进行远程控制和监视,能够接收从陷阱机发送过来的入侵日志并根据入侵的不同程度提出警报。同时具有强大的分析功能,根据接收到的入侵日志对黑客的行为、特点等进行详细分析。同时,由于黑客进入的是陷阱机,不会对网络造成威胁。

在陷阱网络诱骗机制和主动引入的作用下,黑客的入侵行为被引入到一个安全、可控的模拟环境,消耗黑客的时间,了解其使用的技术和攻击方法,记录黑客来源和犯罪证据,从而有效地防范黑客入侵,打击计算机犯罪。

网络陷阱与诱骗系统适用于各种规格的局域网,在网络防火墙、入侵检测系统等其他安全措施的配合下,能弥补原有安全防御的不足,大大地提升网络安全防护性能。

一个成熟的网络陷阱一般要求能满足以下功能:

- 能检测攻击类型: ICMP(控制报文协议)、CGI(通用网关接口)、FTP、Telnet、端口扫描、用户账号、服务扫描、操作系统扫描、清除日志等;

- 具备IP空间欺骗技术: 能够实现IP空间欺骗;

- 包含网络流量仿真软件: 能够模拟正常服务的网络流量;

- 自动阻断功能: 外出连接数目达到设定阀值后,连接控制能够自动阻断连接;

- 路由控制功能: 路由控制能够阻止黑客利用陷阱系统向其他系统发送伪造的IP地址包;

- 数据捕获功能: 数据捕获能够记录进入和流出陷阱系统的连接并显示攻击者在陷阱主机中的操作;

- 日志记录功能: 能够对入侵者在陷阱主机中的操作信息进行远程日志记录。

4a46c396t5953ff28c919

国内外发展状况

国外,有许多安全欺骗系统被用来研究黑客技术和统计黑客行为规律,被称为“密罐”。比较有名的如“Honey Net”,它属于一种研究类型的“安全陷阱”。在商业产品领域的安全欺骗系统不多,但是,近两年有逐渐增多的趋势,其产品功能也向完善化发展。如Recourse公司的“Man Trap”,它的使用对象是一般的商业公司、企业,并具备了当前网络安全欺骗系统的一切性能。配合它的另一个产品是“Man Hunt”,增加了对入侵者进行跟踪的功能。另外,在国外市场中其他商业产品还有Homemade Honypot、Specter等,但其版本还在发展。下面列举一些目前国外流行的陷阱网络产品:

- Spector是由NetSec公司开发的一种比较简单的业务类型陷阱, 它简单、代价小、易于维护, 运行于Windows平台。Spector提供了7个完整的模拟服务, 6个预设陷阱和1个可定制陷阱, 可以检测来自13个预定义端口和1个自定义端口的攻击, 具有自动捕获攻击者活动的能力, 所有连接的IP地址、时间、服务类型和引擎的状态等信息都记录在远程主机上。

- Man Trap(捕人陷阱) 是由Recource公司开发的一个比较高级的业务型密罐,运行于Solaris操作系统上。它不是简单地模拟一些服务, 而是在Man Trap主机上提供了4个逻辑上的操作系统环境。每一个这样的环境都如同一个独立运行的操作系统, 这些逻辑上的操作系统环境被称为“牢笼”。每个“牢笼”在功能上可以是独立的, 也可以相互关联。

- Honeyd是由Niels Provos创建的一种功能强大的具有开放源代码的陷阱, 运行在Unix系统上, 可以同时模仿上千种不同的计算机, 同时呈现上千个不同的IP地址。Honeyd主要用于攻击检测, 它对那些没有使用的IP地址进行监控。

- Honeynet是高交互研究型密罐。它给予黑客完整真实的操作系统和应用服务交互。

国内,目前中科院高能物理所、浙江大学、安徽大学等科研机构和大学对网络陷阱与诱骗系统进行了研究,获得了一定的成果。但是目前国内还没有具有网络陷阱与诱骗功能的商业产品,一些网络主动防御功能也在预研阶段。

关键技术和难点

网络陷阱和诱骗系统存在如下几个方面的关键技术和难点:

- 仿真技术: 正常服务器中发现攻击后,如何将整个环境在陷阱机中进行重建, 而不会产生失真和大的时间延迟是个难点。

- 陷阱系统的监控能力: 系统级监控必须支持实时监控和反应能力。

- 自有日志的可靠性: 由于事件日志能作为证据,因此,日志的保密性、真实性和完整性及可靠性的保障特别重要。

- 信息捕获手段的研究和更新: 入侵者们不断地开发出各种工具来对抗现有的监测技术,如:Dug Song开发的 Fragrouter (将包分片重组)、RainForest Puppy开发的 Whisker(扫描工具通过对数据的分片重组绕开IDS)、K2发表的ADMmutate(可绕过现有大多数IDS的检测)、AntiIDS及加密等,这些手段对信息捕获会有很大影响。

- 与防火墙/IDS间互动功能的实现: 只有防火墙、IDS、陷阱网络之间能够有机地结合并形成一个联动整体,才能更有效地发挥防护功能。

风险是永远存在的,只要经常性地检查或者改进设定的陷阱网络环境,确保它的有效性,再结合多种被动防御系统,相信一个安全的健壮的网络系统将会离我们不远。

发表于计算机世界07年4月 王鲲

安全相关No Comments
2
三 07

你的计算机是谁的跑马场

突然有这么一个想法,于是便立刻写下来了。
有多少用户是计算机专家?
如此之大的DDOS流量从哪里来?需要多少“肉鸡”或“僵尸网络”?
在计算机软件如此丰富、网络通信如此快速、便捷的当今,有多少人真正知道自己的计算机设备在做什么?你知道使用讯雷的风险么?你知道在你浏览网站的时候被运营商收集了你的(某些特定)个人信息么?你知道为什么你的计算机会跳出来广告窗口么?你知道你的google bar(在你同意的情况下)向google发送了你的浏览信息么?你知道明明设置了防火墙,限制了IP,设置了密码,为什么别人仍然可以登录你的系统么?你注意过你的计算机设备的TCP/IP堆栈的工作么?你知道大多数设备提供商即使不知道设备的新口令也完全有能力登录你的设备么?
你也许知道,但是有多少用户是计算机专家?
权力集中的威胁
封建社会,权力集中在皇帝手中,皇帝撑握着全国人民生杀大权。
当今时代的互联网中,核心数据、核心技术撑握在运营商手中,运营商撑控着用户计算机设备中的客户端程序。而以管理员身份运行的客户端程序,可以让运营商成为计算机的隐含管理员。C/S模式的程序我让联想到封建的权力集中制体系。用户以为自己是PC的主人,然而对于嗡嗡做响的电子设备来说,运营商更像是自己的主人,尽管只是在某些特定时刻。
自由与约束
渴望自由的人们正在被“自由”肆意践踏!简谍软件、广告软件、木马软件、病毒软件……这些流氓们制造的技术“枷锁”,让缺泛计算机使用技巧的互联网用户饱受“自由主义”泛滥的流氓们的折磨、蹂躏及奴役。
今天,互联网成为那些技术持用者的“享受自由”的场所。只要有技术,就可以没有任何约束,利用技术手段无所不能,不所不为。
前一段的“熊猫烧香”病毒作者被捕,警示者中国的法律正在进入中国的互联世界,也许情况会好起来。
客户端中暗藏的玄机
假如你认为讯雷只是一个多线程下载工具,那么你就错了。我的计算机没有安装过讯雷,不知道讯雷在安装的时候有没有提示过用户讯雷会向讯雷的服务器发送信息。讯雷为什么那么快?原因就在于,讯雷会向服务器查询请求得到多个下载地址,同时分段多线程下载。讯雷怎么会有这些下载地址信息呢?这就是讯雷的“高明”之处,讯雷的客户端会被下载过的URL地址及下载文件名,文件校验值(文件校验值几乎可以确定世界上唯一的文件)等信息发送回服务器。
你还没有感觉到危险?那么当你知道,你公司网站的FTP帐号和密码可以通过讯雷的服务器查询到呢?(理论上是可以的,甚至特定情况下,使用讯雷客户端,编写特定的下载地址及文件,就可以得到,不用非得以讯雷服务器管理员的身份)。
P2P技术可以说是当今最流行的技术之一,为什么流行?第一解决了网络速度慢的问题,第二冲破了管理机构的“约束”,说白了就是“终于自由了”,利用p2p软件可以下载到通过FTP和HTTP下载不到的东西,大家都明白,不多说。于是p2p用户的数量就可想而知了。
假如运营商想要非法或者恶意使用用户的计算机设备,谁的胆子会最大?
P2P。谁会知道自已的BT客户端产生的上百乃到上千连接,连接到哪里?在干些什么?恐怕也没有人会有耐心和兴趣去分析那些IP地址分别在哪里,是什么。使用P2P客户端干坏事最隐蔽。
怎么利用呢?(只是理论、思路)
利用P2P软件的服务端,对用户的客户端程序加以欺骗、诱导,从而产生惊人的流量。反正客户端的连接目的都是经由服务器引导的。假如服务器让客户端去连接你的web服务器的80端口,这一点也不难。大量的用户被服务器告知去连接某个地址的80端口,于是成就了一场标准的DDOS攻击。
当然这只有管理员有“权力”这么做。(当然还需要有技术)
这不难让我们联想到,所有的客户端程序的运营公司均有这样的权力:腾讯玩全有能力通过QQ控制用户计算机的行为;ISP可以通过升级客户端程序影响、控制用户计算机的行为。在“流氓”行径到处可见的当今,这一点都不奇怪——有时候的攻击行为可是有商业目的,是有利益驱使的。就曾经有人企图说服、欺骗我做这样的事情,被我发现了其“流氓”用心。(事后得知他也是被骗者)。
每一个网络或系统管理员,都有能力成为“网络雇佣军”中的一员,只要自己的原则稍微做一下让步。
假如说,商业运营公司为了避免出现“丑闻”,或者会有所收敛,那么像电驴、BT这样的p2p软件,则胆子就大的多。
另一个利用诱导用户的方法产生大量请求的办法,更简单,但是效力可能比较弱,需要大量的Web管理员联合,又或者是一个负载能力极强的系统,有着极多的活越用户,管理员的一个小动作,就可以搞跨负载能力差的系统。而且完全不必担心被人指责其“攻击行为”。
电子进化论
落后就要挨打,适者生存。
靠谩骂和法律解决不了目前的问题。提高自身的技术理论和操作水平是不可缺少的行之有效的方法之一。
计算机是一个黑匣子,需要不断探索!!