赛门铁克:新病毒以AMD微处理器做攻击目标
[ 2007-03-25 02:31:33 | 作者: sun ]
8月29日消息 美国安全公司赛门铁克最近发现了两个专门针对AMD公司处理器、而不是针对某个操作系统的概念性蠕虫病毒。
据theinquirer网站报道,该蠕虫目前有两个版本,分别针对32位版和64位版的AMD微处理器,赛门铁克公司将它们分别称为“w32.bounds”和“w64.bounds”。
尽管该蠕虫目前还只是概念性代码,但它代表了一个起点,未来这种蠕虫有可能被发展成为可以在不同操作系统之间传播的恶意软件。
赛门铁克公司安全响应小组负责人Vincent Weafer表示,一旦黑客深入到处理器级别,他们就有可能突破操作系统的内核保护程序和用户保护程序。
赛门铁克称,按逻辑来推,接下来黑客们很可能会对该蠕虫的32位和64位版本进行融合,开发出一个可以同时攻击英特尔和AMD芯片系列的单一病毒。Weafer指出,攻击AMD处理器比攻击32位或者64位的Intel芯片容易,原因是AMD的32位和64位两个系列的处理器相似程度更高。
芯片级的攻击案例目前很少见,原因是针对操作系统的病毒更容易设计,而且Windows操作系统在市场上绝对的统治地位已为病毒作者提供了一个富饶的狩猎之地。历史上只有1998年内嵌在计算机BIOS闪存中的一种名为“ CIH/Chernobyl”的病毒造成引人注目的影响。
据theinquirer网站报道,该蠕虫目前有两个版本,分别针对32位版和64位版的AMD微处理器,赛门铁克公司将它们分别称为“w32.bounds”和“w64.bounds”。
尽管该蠕虫目前还只是概念性代码,但它代表了一个起点,未来这种蠕虫有可能被发展成为可以在不同操作系统之间传播的恶意软件。
赛门铁克公司安全响应小组负责人Vincent Weafer表示,一旦黑客深入到处理器级别,他们就有可能突破操作系统的内核保护程序和用户保护程序。
赛门铁克称,按逻辑来推,接下来黑客们很可能会对该蠕虫的32位和64位版本进行融合,开发出一个可以同时攻击英特尔和AMD芯片系列的单一病毒。Weafer指出,攻击AMD处理器比攻击32位或者64位的Intel芯片容易,原因是AMD的32位和64位两个系列的处理器相似程度更高。
芯片级的攻击案例目前很少见,原因是针对操作系统的病毒更容易设计,而且Windows操作系统在市场上绝对的统治地位已为病毒作者提供了一个富饶的狩猎之地。历史上只有1998年内嵌在计算机BIOS闪存中的一种名为“ CIH/Chernobyl”的病毒造成引人注目的影响。
戴尔多款打印机存安全漏洞 可导致DoS攻击
[ 2007-03-25 02:31:15 | 作者: sun ]
据国外媒体报道,丹麦安全公司Secunia日前表示,戴尔的多款彩色激光打印机存在安全漏洞,可使用户遭到“拒绝服务攻击(DoS)”。
Secunia在公司网站上称,存在安全漏洞的戴尔打印机包括Dell 5110cn、Dell 3110cn、 Dell 3010cn(固件版本低于A01)、 Dell 5100cn、 Dell 3100cn和Dell 3000cn(固件版本低于A05)。
据Secunia称,上述打印机主要存在以下两方面漏洞:1)内置的FTP服务器不限制FTP PORT命令的使用。利用该漏洞,黑客可以通过FTP服务器任意连接系统。
2)内置的HTTP服务器不能正确验证特定HTTP请求。这样,黑客可以任意更改系统配置,或发动DoS攻击。
Secunia最后还指出,使用富士施乐打印引擎的其他品牌打印机也可能存在上述漏洞。
Secunia在公司网站上称,存在安全漏洞的戴尔打印机包括Dell 5110cn、Dell 3110cn、 Dell 3010cn(固件版本低于A01)、 Dell 5100cn、 Dell 3100cn和Dell 3000cn(固件版本低于A05)。
据Secunia称,上述打印机主要存在以下两方面漏洞:1)内置的FTP服务器不限制FTP PORT命令的使用。利用该漏洞,黑客可以通过FTP服务器任意连接系统。
2)内置的HTTP服务器不能正确验证特定HTTP请求。这样,黑客可以任意更改系统配置,或发动DoS攻击。
Secunia最后还指出,使用富士施乐打印引擎的其他品牌打印机也可能存在上述漏洞。
英特尔刮骨疗毒 自曝扣肉2有67条Bug居心何在
[ 2007-03-25 02:30:53 | 作者: sun ]
起因还是在上周四,国外网站Inquirer上放出了一个英特尔(Intel)的PDF文件,其中详细的阐明了Core 2 Extreme和Core 2 Duo处理器目前已知的67条bug,其中有13条bug采用了高亮显示,是这些bug中尤其值得注意的.据称这份PDF文件是英特尔(Intel)自己放出的,在英特尔(Intel)的网站上也有该文件的下载地址,有兴趣的朋友可以通过这个网址 http://download.Intel.com/design/processor/specupdt/31327902.pdf 直接下载.(编者注:Core 2被翻译为"扣肉2"或者""酷睿2")
值得注意的一个Bug——AI65
在英特尔(Intel)放出的PDF中有一个条目是非常值得关注,那就是编号AI65的一个Bug.而且这个Bug暂时还没有解决的办法,在Plan一栏清楚的标明No Fix,这就是说即便是下一个步进推出来,这个问题依然存在.之所以会关注这个Bug,是因为酷睿2处理器虽然在性能上有所提高,但是在功耗上同样也有了提升,而这个Bug正是关于功耗、发热量的一个问题.
编号AI65的Bug会让处理器出现这样的问题:我们知道现在的处理器越来越热,稍不留神就有被烧毁的可能,为了解决这一问题处理器厂家在CPU的内部会安装上温度传感器,别且增加了过热保护功能.一旦处理器过热,就会自动断电停止工作以保护处理器的安全。然而在酷睿2处理器中,一旦处理器的温度超过了DTS(数码温度传感器)的设定上限,酷睿2处理器有可能不按照既定的规程发出中断信号,这一bug的严重性相信不用我多说了吧。
除了这个bug之外,还有12个高亮显示的bug,表示比较重要.大家有兴趣的话,注意研究一下也是挺有收获的.
英特尔(Intel)的逆向炒作?
不知道这是不是英特尔(Intel)的一次自主的"政务公开"行为,不过看起来倒不像是有什么外力将英特尔(Intel)新处理器的"老底"揭了出来.我们可以相信这就是英特尔(Intel)自己放出来的信息,而这无疑也让信息的真实性更加的增强.如果是英特尔(Intel)亲自主动所为,说句实在话我实在是没有足够的智慧去理解为什么英特尔(Intel)会赶在这个时候放出这样的一个消息.
现在正是酷睿2平台隆重登场的时期,按照正常的理解英特尔(Intel)应该会全力保障酷睿2的平稳发行,扶植新一代架构的处理器踏着奔腾未寒的尸骨爬上王位.无疑这种67个bug的消息突然放出,无论是对于英特尔(Intel)本身的形象塑造,还是对酷睿2处理器的挥师进军,从明面上看都是有百害而无一利的选择.英特尔(Intel)之所以主动这么做,猜想大概有这么几种可能:
其一,效法关公刮骨疗毒.功臣奔腾辛辛苦苦干了十三年之后,没有落得像AMD阵营中老对手那样落幕之后万人怀念的场面,反而颇有点尸位素餐早该滚蛋的意味.而且由于酷睿2的前期宣传太过火爆,使得上一代处理器的清库存工作面临相当大的压力.可能英特尔(Intel)一方面出于对奔腾旧情的念及,一方面怕酷睿2上市太火爆让手中的老处理器卖不出去,所以效法关公刮骨疗毒,放一剂药主动给酷睿2降温,别让已经"身败名裂"的奔腾都砸在自己手里.
其二,英特尔(Intel)乃是逆向炒作.现如今IT圈也是越来越娱乐化,都知道现在光靠传统的正向炒作已经不能达到预期的效果了.君不见从超级女声到加油好男儿到几乎每一个娱乐圈的大小腕,都频频的将负面新闻曝光于天下.现在说好话已经没人爱看了,非得是反传统的逆向炒作才能实现名传千里的目的,所谓好事不出门,坏事传千里说的就是这个道理.
其三,学习阿扁的泥巴战术.如果不能把AMD彻底的打压下去,英特尔(Intel)心里绝对是不甘心的,各种于AMD的斗法手段,英特尔(Intel)都已经尝试过了,发现效果已经越来越不显著了.说起勾心斗角,台湾那个阿扁绝对是个中好手,尤其是近期频频祭出的泥巴战术更是威力惊人.英特尔(Intel)于是考虑是不是从阿扁身上学习学习这种厚黑的手段,先放出消息自己有67个bug,然后再放出消息称AMD有670个bug之类的云云,伤敌一千,自损八百……不知道英特尔(Intel)会不会这么傻呢.
其四,摆脱应该担负的责任.尽管在设计和试验过程中经过了种种严格的把关,对于这样一款复杂的处理器而言不可能不出现这样那样的问题.但是英特尔(Intel)聪明,懂得"未雨绸缪"的道理,事先通过管道将这些林林总总的bug,透露出来让大家知道.将来一旦出了什么问题,英特尔(Intel)可以给自己留一个后路辩解说:我早告诉你由这些问题了,谁让你自己非死乞白赖的买.
酷睿2让人进退失据
相信酷睿2是很多人梦寐以求的一款CPU,也是英特尔(Intel)借以再次昂首阔步的利器.不过在酷睿2欲进一步掀起风云的时候,67条bug让不少的消费者顿感进退失据.现在不买,英特尔(Intel)的处理器是越往后出性能越发挥的不好;现在就买,不知道这些bug究竟能有多大的影响.诚然,每一代的处理器,无论是英特尔(Intel)还是AMD的都有各种各样的Bug,有些Bug甚至是永远也无法得以解决的,不过这些Bug一般在应用中不会产生明显的影响.
不过话又说回来了,既然是英特尔(Intel)始作了这个俑,如果没有我们上述揣测的目的的话,就应该站出来告诉你的用户们,这些bug到底会在什么样的程度上有影响,会是怎样地影响而不是将一份技术文档突兀的摆在我们面前,让大家一方面猜测英特尔(Intel)到底要干什么,一方面犹豫酷睿2到底应不应该买呢?
值得注意的一个Bug——AI65
在英特尔(Intel)放出的PDF中有一个条目是非常值得关注,那就是编号AI65的一个Bug.而且这个Bug暂时还没有解决的办法,在Plan一栏清楚的标明No Fix,这就是说即便是下一个步进推出来,这个问题依然存在.之所以会关注这个Bug,是因为酷睿2处理器虽然在性能上有所提高,但是在功耗上同样也有了提升,而这个Bug正是关于功耗、发热量的一个问题.
编号AI65的Bug会让处理器出现这样的问题:我们知道现在的处理器越来越热,稍不留神就有被烧毁的可能,为了解决这一问题处理器厂家在CPU的内部会安装上温度传感器,别且增加了过热保护功能.一旦处理器过热,就会自动断电停止工作以保护处理器的安全。然而在酷睿2处理器中,一旦处理器的温度超过了DTS(数码温度传感器)的设定上限,酷睿2处理器有可能不按照既定的规程发出中断信号,这一bug的严重性相信不用我多说了吧。
除了这个bug之外,还有12个高亮显示的bug,表示比较重要.大家有兴趣的话,注意研究一下也是挺有收获的.
英特尔(Intel)的逆向炒作?
不知道这是不是英特尔(Intel)的一次自主的"政务公开"行为,不过看起来倒不像是有什么外力将英特尔(Intel)新处理器的"老底"揭了出来.我们可以相信这就是英特尔(Intel)自己放出来的信息,而这无疑也让信息的真实性更加的增强.如果是英特尔(Intel)亲自主动所为,说句实在话我实在是没有足够的智慧去理解为什么英特尔(Intel)会赶在这个时候放出这样的一个消息.
现在正是酷睿2平台隆重登场的时期,按照正常的理解英特尔(Intel)应该会全力保障酷睿2的平稳发行,扶植新一代架构的处理器踏着奔腾未寒的尸骨爬上王位.无疑这种67个bug的消息突然放出,无论是对于英特尔(Intel)本身的形象塑造,还是对酷睿2处理器的挥师进军,从明面上看都是有百害而无一利的选择.英特尔(Intel)之所以主动这么做,猜想大概有这么几种可能:
其一,效法关公刮骨疗毒.功臣奔腾辛辛苦苦干了十三年之后,没有落得像AMD阵营中老对手那样落幕之后万人怀念的场面,反而颇有点尸位素餐早该滚蛋的意味.而且由于酷睿2的前期宣传太过火爆,使得上一代处理器的清库存工作面临相当大的压力.可能英特尔(Intel)一方面出于对奔腾旧情的念及,一方面怕酷睿2上市太火爆让手中的老处理器卖不出去,所以效法关公刮骨疗毒,放一剂药主动给酷睿2降温,别让已经"身败名裂"的奔腾都砸在自己手里.
其二,英特尔(Intel)乃是逆向炒作.现如今IT圈也是越来越娱乐化,都知道现在光靠传统的正向炒作已经不能达到预期的效果了.君不见从超级女声到加油好男儿到几乎每一个娱乐圈的大小腕,都频频的将负面新闻曝光于天下.现在说好话已经没人爱看了,非得是反传统的逆向炒作才能实现名传千里的目的,所谓好事不出门,坏事传千里说的就是这个道理.
其三,学习阿扁的泥巴战术.如果不能把AMD彻底的打压下去,英特尔(Intel)心里绝对是不甘心的,各种于AMD的斗法手段,英特尔(Intel)都已经尝试过了,发现效果已经越来越不显著了.说起勾心斗角,台湾那个阿扁绝对是个中好手,尤其是近期频频祭出的泥巴战术更是威力惊人.英特尔(Intel)于是考虑是不是从阿扁身上学习学习这种厚黑的手段,先放出消息自己有67个bug,然后再放出消息称AMD有670个bug之类的云云,伤敌一千,自损八百……不知道英特尔(Intel)会不会这么傻呢.
其四,摆脱应该担负的责任.尽管在设计和试验过程中经过了种种严格的把关,对于这样一款复杂的处理器而言不可能不出现这样那样的问题.但是英特尔(Intel)聪明,懂得"未雨绸缪"的道理,事先通过管道将这些林林总总的bug,透露出来让大家知道.将来一旦出了什么问题,英特尔(Intel)可以给自己留一个后路辩解说:我早告诉你由这些问题了,谁让你自己非死乞白赖的买.
酷睿2让人进退失据
相信酷睿2是很多人梦寐以求的一款CPU,也是英特尔(Intel)借以再次昂首阔步的利器.不过在酷睿2欲进一步掀起风云的时候,67条bug让不少的消费者顿感进退失据.现在不买,英特尔(Intel)的处理器是越往后出性能越发挥的不好;现在就买,不知道这些bug究竟能有多大的影响.诚然,每一代的处理器,无论是英特尔(Intel)还是AMD的都有各种各样的Bug,有些Bug甚至是永远也无法得以解决的,不过这些Bug一般在应用中不会产生明显的影响.
不过话又说回来了,既然是英特尔(Intel)始作了这个俑,如果没有我们上述揣测的目的的话,就应该站出来告诉你的用户们,这些bug到底会在什么样的程度上有影响,会是怎样地影响而不是将一份技术文档突兀的摆在我们面前,让大家一方面猜测英特尔(Intel)到底要干什么,一方面犹豫酷睿2到底应不应该买呢?
PHP-Nuke SQL注入漏洞
[ 2007-01-29 07:34:59 | 作者: sun ]
影响版本:
PHP-Nuke 7.9
详细说明:
PHP-Nuke是一款基于PHP的WEB应用程序。
PHP-Nuke不正确过滤用户提交的输入,远程攻击者可以利用漏洞进行SQL注入攻击,获得敏感信息。
问题是多个脚本对用户提交的WEB参数缺少过滤,提交恶意SQL代码作为参数数据,可更改原来的SQL逻辑,获得敏感信息。
参考:
http://archives.neohapsis.com/archives/fulldisclosure/2007-01/0355.html
解决方案:
目前没有解决方案提供:
http://www.php-nuke.com
<--int(rnd()*10000)+1-->//Sebug.net
<--int(rnd()*40)+1-->
PHP-Nuke 7.9
详细说明:
PHP-Nuke是一款基于PHP的WEB应用程序。
PHP-Nuke不正确过滤用户提交的输入,远程攻击者可以利用漏洞进行SQL注入攻击,获得敏感信息。
问题是多个脚本对用户提交的WEB参数缺少过滤,提交恶意SQL代码作为参数数据,可更改原来的SQL逻辑,获得敏感信息。
参考:
http://archives.neohapsis.com/archives/fulldisclosure/2007-01/0355.html
解决方案:
目前没有解决方案提供:
http://www.php-nuke.com
<--int(rnd()*10000)+1-->//Sebug.net
<--int(rnd()*40)+1-->
防止扫描一般主要设置在防火墙上,除了内部那些开放了的服务以外,不允许其他的访问进入,可以最大限度地防止信息泄露。至于同一网段上某个服务器成了“肉鸡”,一般情况下是没法防止它扫描其他服务器了,这就需要我们的防御方向不但要向外,也要向内。关闭每一台计算机上不需要的服务,进行安全加强,让内部的非法扫描器找不到可以利用的漏洞。
防御监听一般使用网络传输加密和交换式网络设备。管理员远程登录系统时候,还是有很多人喜欢使用默认的telnet,这种明文传输的协议是黑客的最爱。使用SSH代替telnet和那些r命令,可以使网络上传输的数据成为不可读的密文,保护你的帐号、口令和其他重要的信息。交换式网络设备可以使单个计算机接收到的无用信息大大减少,从而降低非法监听器的危害性。不过相对来说,它的成本还是比较高的。
2.2 攻击的实际出发点
原理介绍
这里所说的攻击是指那些取得其他计算机控制权的动作,如溢出和漏洞攻击等。与扫描监听相同,从内部的“肉鸡”发起的攻击同样不必经过防火墙,被阻挡和发现的可能减少了。从这里攻击时被发现了之后,追查时会找到黑客吗?同样也不行,只能先找到“肉鸡”,再从这里找黑客就困难了。
如果说“肉鸡”做为扫描工具的时候象黑客的一只眼睛,做监听工具的时候象黑客的一只耳朵,那么“肉鸡”实际进攻时就是黑客的一只手。黑客借助“肉鸡”这个内应来听来看,来攻击,而“肉鸡”成为了提线木偶,举手投足都被人从选程看不到的地方控制着。
防御方法
也是需要对计算机进行严密的监视。请参考前面的内容。
2.3 DDoS攻击傀儡
关于黑客利用“肉鸡”进行DDoS攻击的手段就不再赘述了,详见IBM DeveloperWorks曾经刊登的文章《分布式拒绝服务攻击(DDoS)原理及防范》 ---------------------------------------------- 2.4端口跳转攻击平台
原理介绍
这种攻击方式一般是用来对付防火墙的访问限制的。在很多网络中都使用了防火墙对外封闭一些危险的端口(这种防御又是向外的),这里黑客就可以在内部已经有“肉鸡”的提前下,让“肉鸡”去访问这些端口,注意这时不经过防火墙是不会被阻挡的,而黑客从一个不被防火墙限制的端口去访问“肉鸡”。在进行这种攻击之前,黑客会在“肉鸡”上进行设置,利用特殊的软件把黑客对“肉鸡”的访问发送到目标计算机上,端口也会变成那个危险端口,这样黑客就绕过防火墙直接对目标计算机的危险端口进行攻击了。
只用文字描述比较抽象,我们来看一个例子。
这是一个我们在实际的安全响应中的处理过程,这里黑客使用了组合式的攻击手段,其中包括对Windows服务器常见的139端口攻击,对Solaris系统的溢出攻击,攻击前的信息收集,还有2.4要里着重介绍的端口跳转攻击的方式。
客户方的系统管理员发现一台Windows2000服务器的行为异常后,马上切断了这台服务器的网络连接并向我们报告,这是当时的网络拓扑结构。经过仔细的诊断,我们推断出黑客是利用了这台服务器的139端口漏洞,从远程利用nbtdump、口令猜测工具、Windows net命令等取得了这台服务器的控制权,并安装了BO 2000木马。但客户的系统管理员立刻否定我们的判断:"虽然这台服务器的139端口没有关闭,但我已经在防火墙上设置了规则,使外部计算机不能访问这台服务器的139端口。"又是一个只防范外部攻击的手段!难道大家都对内部攻击占70%以上的比率视而不见吗?不过这里的路由器日志显示,黑客确实是从外部向这台服务器的木马端口进行连接的。难道黑客用了我们还不了解的新的攻击手段?
我们于是继续汇总分析各方面的数据,客户管理员也配合我们进行检查。在检查网络上的其他主机时,我们发现内部网中有一台SUN工作站的网卡上绑定了3个IP地址,其中一个IP地址与被攻击Windows服务器是一个网段的!这立刻引起了我们的注意。客户管理员解释说这是一台Solaris Sparc机器,经常用来做一些测试,有时也会接入服务器网段,所以配了一个该网段的地址。而且就在一个多星期前,这台SUN工作站还放在服务器网段。这就很可疑了,我们立刻对它进行了检查,果然这台SUN工作站已经被占领了,因为主要用途是测试,客户管理员并没有对它进行安全加强,攻破它是易如反掌的事情。在它上面发现了大量的扫描、监听和日志清除工具,另外还有我们意料之中的端口跳转工具 - netcat,简称nc。
至此问题就比较清楚了:黑客首先占领了这台毫不设防的SUN机,然后上载nc,设置端口跳转,攻击Windows 2000服务器的139端口,并且成功地拿下了它。还原当时的网络拓扑图应该是这样的。
解释了端口跳板是如何起作用的。nc安装后,黑客就会通过定制一些运行参数,在“肉鸡”的后台建立起由“肉鸡”的2139端口到目标计算机的139端口的跳转。这就象是一条虚拟的通道,由“肉鸡”的2139端口通向目标的139端口,任何向“肉鸡”的2139进行的访问都会自动地转发到目标计算机的139端口上去。就是说,访问“肉鸡”的2139端口,就是在访问目标的139端口。反过来,目标计算机的回馈信息也会通过“肉鸡”的通道向黑客计算机返回。
黑客需要两次端口跳转,第一次是利用自己的linux计算机把对139端口的访问向SUN的2139端口发送,这样就绕过了防火墙对139端口的访问限制。然后SUN会把对自己2139端口的访问发送到攻击最终目标的139端口上。为什么图中的"黑客"计算机不直接访问SUN的2139端口,而需要linux多跳转一次呢?这是由于象net、nbtdump、远程口令猜测等手段都是默认针对139端口而且黑客无法改变的。
在这两个端口跳板准备好了之后,黑客只要访问自己的linux机器上的139端口,就可以对目标的Windows服务器进行攻击了,“肉鸡”的作用巨大啊。据了解这台SUN工作站当时在服务器网段中只接入了三天不到的时间就搬到内部网里了,可见黑客对这个网段的情况变化的掌握速度是很快的,管理员们不要因为只是临时接入而忽略了安全。我们随后又在路由器上找到了当时黑客远程向SUN机的2139端口连接的日志,至此就完全清楚了。 ------------------------------------------------------------ 防御方法
对于这种端口跳转攻击,除了加强内部主机,不使其侵入系统之外,还应对防火墙的规则进行严格的设置。设置规则可以按照先全部禁止,再单个放开的方法。这样即使黑客从非危险的端口连接过来时,也会被防火墙禁止掉。
三、攻击时直接借用
与上述各类情况不同,直接利用其他计算机做为攻击平台时,黑客并不需要首先入侵这些被利用的计算机,而是误导它们去攻击目标。黑客在这里利用了TCP/IP协议和操作系统本身的缺点漏洞,这种攻击更难防范,特别是制止,尤其是后面两种反射式分布拒绝服务攻击和DNS分布拒绝服务攻击。
3.1 Smurf攻击
原理介绍
Smurf攻击是这种攻击的早期形式,是一种在局域网中的攻击手段。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时,会接到它的回应;如果向本网络的广播地址发送请求包,实际上会到达网络上所有的计算机,这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的,每处理一个就要占用一份系统资源,如果同时接到网络上所有计算机的回应,接收方的系统是有可能吃不消的,就象遭到了DDoS攻击一样。大家会疑问,谁会无聊得去向网络地址发包而招来所有计算机的攻击呢?
当然做为一个正常的操作者是不会这么做的,但是当黑客要利用这个原理进行Smurf攻击的时候,他会代替受害者来做这件事。
黑客向广播地址发送请求包,所有的计算机得到请求后,却不会把回应发到黑客那里,而是被攻击的计算机处。这是因为黑客冒充了被攻击主机。黑客发包所用的软件是可以伪造源地址的,接到伪造数据包的主机会根据源地址把回应发出去,这当然就是被攻击目标的地址。黑客同时还会把发包的间隔减到几毫秒,这样在单位时间能发出数以千计的请求,使受害者接到被欺骗计算机那里传来的洪水般的回应。象遭到其他类型的拒绝服务攻击一样,被攻击主机会网络和系统无法响应,严重时还会导致系统崩溃。
黑客借助了网络中所有计算机来攻击受害者,而不需要事先去占领这些被欺骗的主机。
在实际使用中,黑客不会笨到在本地局域网中干这件事的,那样很容易被查出。他们会从远程发送广播包到目标计算机所在的网络来进行攻击。
防御方法
局域网中是不必进行Smurf攻击的防御的。我们只需在路由器上进行设置,在收到定向广播数据包时将其丢弃就可以了,这样本地广播地址收不到请求包,Smurf攻击就无从谈起。注意还要把网络中有条件成为路由器的多宿主主机(多块网卡)进行系统设置,让它们不接收和转发这样的广播包。
3.2 DrDoS(反射式分布拒绝服务攻击)
原理介绍
这是DDoS攻击的变形,它与DDoS的不同之处就是DrDoS不需要在实际攻击之前占领大量的傀儡机。这种攻击也是在伪造数据包源地址的情况下进行的,从这一点上说与Smurf攻击一样,而DrDoS是可以在广域网上进行的。其名称中的"r"意为反射,就是这种攻击行为最大的特点。黑客同样利用特殊的发包工具,首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上,根据TCP三次握手的规则,这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样,黑客所发送的请求包的源IP地址是被害者的地址,这样受欺骗的计算机就都会把回应发到受害者处,造成该主机忙于处理这些回应而被拒绝服务攻击。
3.3 DNS分布拒绝服务攻击
原理介绍
DNS拒绝服务攻击原理同DrDoS攻击相同,只是在这里被欺骗利用的不是一般的计算机,而是DNS服务器。黑客通过向多个DNS服务器发送大量的伪造的查询请求,查询请求数据包中的源IP地址为被攻击主机的IP地址,DNS服务器将大量的查询结果发送给被攻击主机,使被攻击主机所在的网络拥塞或不再对外提供服务。
防御方法
通过限制查询主机的IP地址可以减轻这种攻击的影响,比较糟糕的是在现实环境中这么做的DNS服务器很少。目前不能从根本上解决这个问题。另外可以从自己的网络设备上监视和限制对DNS查询请求的回应,如果突然出现流量剧增的情况,限制一下到达DNS服务器的查询请求,这样可以避免自己管理的服务器被欺骗而去攻击无辜者。
参考资料
关于Unix主机系统加强:
http://www.cert.org/tech_tips/usc20_full.html
关于Windows主机系统加强:
http://www.winguides.com/security/
系统安全的最小特权原则
http://www-900.ibm.com/developerWorks/cn/security/se-limited/index.shtml
网络与数据加密:
http://www.microsoft.com/windowsxp/pro/using/howto/security/encryptdata.asp
http://www.microsoft.com/windowsxp/pro/using/itpro/securing/encryptoffline.asp
网络监听:
http://www-900.ibm.com/developerWorks/cn/security/se-sniff/index.shtml
防御监听一般使用网络传输加密和交换式网络设备。管理员远程登录系统时候,还是有很多人喜欢使用默认的telnet,这种明文传输的协议是黑客的最爱。使用SSH代替telnet和那些r命令,可以使网络上传输的数据成为不可读的密文,保护你的帐号、口令和其他重要的信息。交换式网络设备可以使单个计算机接收到的无用信息大大减少,从而降低非法监听器的危害性。不过相对来说,它的成本还是比较高的。
2.2 攻击的实际出发点
原理介绍
这里所说的攻击是指那些取得其他计算机控制权的动作,如溢出和漏洞攻击等。与扫描监听相同,从内部的“肉鸡”发起的攻击同样不必经过防火墙,被阻挡和发现的可能减少了。从这里攻击时被发现了之后,追查时会找到黑客吗?同样也不行,只能先找到“肉鸡”,再从这里找黑客就困难了。
如果说“肉鸡”做为扫描工具的时候象黑客的一只眼睛,做监听工具的时候象黑客的一只耳朵,那么“肉鸡”实际进攻时就是黑客的一只手。黑客借助“肉鸡”这个内应来听来看,来攻击,而“肉鸡”成为了提线木偶,举手投足都被人从选程看不到的地方控制着。
防御方法
也是需要对计算机进行严密的监视。请参考前面的内容。
2.3 DDoS攻击傀儡
关于黑客利用“肉鸡”进行DDoS攻击的手段就不再赘述了,详见IBM DeveloperWorks曾经刊登的文章《分布式拒绝服务攻击(DDoS)原理及防范》 ---------------------------------------------- 2.4端口跳转攻击平台
原理介绍
这种攻击方式一般是用来对付防火墙的访问限制的。在很多网络中都使用了防火墙对外封闭一些危险的端口(这种防御又是向外的),这里黑客就可以在内部已经有“肉鸡”的提前下,让“肉鸡”去访问这些端口,注意这时不经过防火墙是不会被阻挡的,而黑客从一个不被防火墙限制的端口去访问“肉鸡”。在进行这种攻击之前,黑客会在“肉鸡”上进行设置,利用特殊的软件把黑客对“肉鸡”的访问发送到目标计算机上,端口也会变成那个危险端口,这样黑客就绕过防火墙直接对目标计算机的危险端口进行攻击了。
只用文字描述比较抽象,我们来看一个例子。
这是一个我们在实际的安全响应中的处理过程,这里黑客使用了组合式的攻击手段,其中包括对Windows服务器常见的139端口攻击,对Solaris系统的溢出攻击,攻击前的信息收集,还有2.4要里着重介绍的端口跳转攻击的方式。
客户方的系统管理员发现一台Windows2000服务器的行为异常后,马上切断了这台服务器的网络连接并向我们报告,这是当时的网络拓扑结构。经过仔细的诊断,我们推断出黑客是利用了这台服务器的139端口漏洞,从远程利用nbtdump、口令猜测工具、Windows net命令等取得了这台服务器的控制权,并安装了BO 2000木马。但客户的系统管理员立刻否定我们的判断:"虽然这台服务器的139端口没有关闭,但我已经在防火墙上设置了规则,使外部计算机不能访问这台服务器的139端口。"又是一个只防范外部攻击的手段!难道大家都对内部攻击占70%以上的比率视而不见吗?不过这里的路由器日志显示,黑客确实是从外部向这台服务器的木马端口进行连接的。难道黑客用了我们还不了解的新的攻击手段?
我们于是继续汇总分析各方面的数据,客户管理员也配合我们进行检查。在检查网络上的其他主机时,我们发现内部网中有一台SUN工作站的网卡上绑定了3个IP地址,其中一个IP地址与被攻击Windows服务器是一个网段的!这立刻引起了我们的注意。客户管理员解释说这是一台Solaris Sparc机器,经常用来做一些测试,有时也会接入服务器网段,所以配了一个该网段的地址。而且就在一个多星期前,这台SUN工作站还放在服务器网段。这就很可疑了,我们立刻对它进行了检查,果然这台SUN工作站已经被占领了,因为主要用途是测试,客户管理员并没有对它进行安全加强,攻破它是易如反掌的事情。在它上面发现了大量的扫描、监听和日志清除工具,另外还有我们意料之中的端口跳转工具 - netcat,简称nc。
至此问题就比较清楚了:黑客首先占领了这台毫不设防的SUN机,然后上载nc,设置端口跳转,攻击Windows 2000服务器的139端口,并且成功地拿下了它。还原当时的网络拓扑图应该是这样的。
解释了端口跳板是如何起作用的。nc安装后,黑客就会通过定制一些运行参数,在“肉鸡”的后台建立起由“肉鸡”的2139端口到目标计算机的139端口的跳转。这就象是一条虚拟的通道,由“肉鸡”的2139端口通向目标的139端口,任何向“肉鸡”的2139进行的访问都会自动地转发到目标计算机的139端口上去。就是说,访问“肉鸡”的2139端口,就是在访问目标的139端口。反过来,目标计算机的回馈信息也会通过“肉鸡”的通道向黑客计算机返回。
黑客需要两次端口跳转,第一次是利用自己的linux计算机把对139端口的访问向SUN的2139端口发送,这样就绕过了防火墙对139端口的访问限制。然后SUN会把对自己2139端口的访问发送到攻击最终目标的139端口上。为什么图中的"黑客"计算机不直接访问SUN的2139端口,而需要linux多跳转一次呢?这是由于象net、nbtdump、远程口令猜测等手段都是默认针对139端口而且黑客无法改变的。
在这两个端口跳板准备好了之后,黑客只要访问自己的linux机器上的139端口,就可以对目标的Windows服务器进行攻击了,“肉鸡”的作用巨大啊。据了解这台SUN工作站当时在服务器网段中只接入了三天不到的时间就搬到内部网里了,可见黑客对这个网段的情况变化的掌握速度是很快的,管理员们不要因为只是临时接入而忽略了安全。我们随后又在路由器上找到了当时黑客远程向SUN机的2139端口连接的日志,至此就完全清楚了。 ------------------------------------------------------------ 防御方法
对于这种端口跳转攻击,除了加强内部主机,不使其侵入系统之外,还应对防火墙的规则进行严格的设置。设置规则可以按照先全部禁止,再单个放开的方法。这样即使黑客从非危险的端口连接过来时,也会被防火墙禁止掉。
三、攻击时直接借用
与上述各类情况不同,直接利用其他计算机做为攻击平台时,黑客并不需要首先入侵这些被利用的计算机,而是误导它们去攻击目标。黑客在这里利用了TCP/IP协议和操作系统本身的缺点漏洞,这种攻击更难防范,特别是制止,尤其是后面两种反射式分布拒绝服务攻击和DNS分布拒绝服务攻击。
3.1 Smurf攻击
原理介绍
Smurf攻击是这种攻击的早期形式,是一种在局域网中的攻击手段。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时,会接到它的回应;如果向本网络的广播地址发送请求包,实际上会到达网络上所有的计算机,这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的,每处理一个就要占用一份系统资源,如果同时接到网络上所有计算机的回应,接收方的系统是有可能吃不消的,就象遭到了DDoS攻击一样。大家会疑问,谁会无聊得去向网络地址发包而招来所有计算机的攻击呢?
当然做为一个正常的操作者是不会这么做的,但是当黑客要利用这个原理进行Smurf攻击的时候,他会代替受害者来做这件事。
黑客向广播地址发送请求包,所有的计算机得到请求后,却不会把回应发到黑客那里,而是被攻击的计算机处。这是因为黑客冒充了被攻击主机。黑客发包所用的软件是可以伪造源地址的,接到伪造数据包的主机会根据源地址把回应发出去,这当然就是被攻击目标的地址。黑客同时还会把发包的间隔减到几毫秒,这样在单位时间能发出数以千计的请求,使受害者接到被欺骗计算机那里传来的洪水般的回应。象遭到其他类型的拒绝服务攻击一样,被攻击主机会网络和系统无法响应,严重时还会导致系统崩溃。
黑客借助了网络中所有计算机来攻击受害者,而不需要事先去占领这些被欺骗的主机。
在实际使用中,黑客不会笨到在本地局域网中干这件事的,那样很容易被查出。他们会从远程发送广播包到目标计算机所在的网络来进行攻击。
防御方法
局域网中是不必进行Smurf攻击的防御的。我们只需在路由器上进行设置,在收到定向广播数据包时将其丢弃就可以了,这样本地广播地址收不到请求包,Smurf攻击就无从谈起。注意还要把网络中有条件成为路由器的多宿主主机(多块网卡)进行系统设置,让它们不接收和转发这样的广播包。
3.2 DrDoS(反射式分布拒绝服务攻击)
原理介绍
这是DDoS攻击的变形,它与DDoS的不同之处就是DrDoS不需要在实际攻击之前占领大量的傀儡机。这种攻击也是在伪造数据包源地址的情况下进行的,从这一点上说与Smurf攻击一样,而DrDoS是可以在广域网上进行的。其名称中的"r"意为反射,就是这种攻击行为最大的特点。黑客同样利用特殊的发包工具,首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上,根据TCP三次握手的规则,这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样,黑客所发送的请求包的源IP地址是被害者的地址,这样受欺骗的计算机就都会把回应发到受害者处,造成该主机忙于处理这些回应而被拒绝服务攻击。
3.3 DNS分布拒绝服务攻击
原理介绍
DNS拒绝服务攻击原理同DrDoS攻击相同,只是在这里被欺骗利用的不是一般的计算机,而是DNS服务器。黑客通过向多个DNS服务器发送大量的伪造的查询请求,查询请求数据包中的源IP地址为被攻击主机的IP地址,DNS服务器将大量的查询结果发送给被攻击主机,使被攻击主机所在的网络拥塞或不再对外提供服务。
防御方法
通过限制查询主机的IP地址可以减轻这种攻击的影响,比较糟糕的是在现实环境中这么做的DNS服务器很少。目前不能从根本上解决这个问题。另外可以从自己的网络设备上监视和限制对DNS查询请求的回应,如果突然出现流量剧增的情况,限制一下到达DNS服务器的查询请求,这样可以避免自己管理的服务器被欺骗而去攻击无辜者。
参考资料
关于Unix主机系统加强:
http://www.cert.org/tech_tips/usc20_full.html
关于Windows主机系统加强:
http://www.winguides.com/security/
系统安全的最小特权原则
http://www-900.ibm.com/developerWorks/cn/security/se-limited/index.shtml
网络与数据加密:
http://www.microsoft.com/windowsxp/pro/using/howto/security/encryptdata.asp
http://www.microsoft.com/windowsxp/pro/using/itpro/securing/encryptoffline.asp
网络监听:
http://www-900.ibm.com/developerWorks/cn/security/se-sniff/index.shtml
