内容提要:最初的信任已经消失了,伴随着它们的进驻,这里已经成为了一个沼泽有你想要的宝藏,也有随时能够吞噬掉你的陷阱。 觉得用这么一句话某部电影中智者的忠告来形容商业化后的互联网实在很恰当。随着商业进驻互联网这 …… |
式获得帐号密码的,那么还要想办法提升权限,常见的做法有利用重定向方式写系统设置文件、运行有权限执行的高权限程序并造成溢出获得;
6.获得最高权限后进行破坏行为实施;
常见的就是安装木马、设置后门、修改配置、删除文件、复制重要文件等;
应对攻击行为
让我们分析一下以上6步,看看该怎么应对攻击行为。
利用扫描工具批量ping一个段的地址,判断存活主机;
由于无谓的攻击一个不能确定是否开机的ip地址从效率上来说比较低下,在要求快速攻击/感染的情况下,常常会对目标地址进行ping检测——如著名的冲击波病毒等;换句话说,如果能让我们的主机不回应icmp包,则对方无法确定我们的存活,很可能就此放弃攻击。目前不少免费/商业的个人网络防火墙都带了这一功能;
判断主机的操作系统和扫描所开放端口;
个人用户所开主机的服务类端口不多,但由于windows自身的设置问题,例如win98共享漏洞、win2k默认开着telnet服务等原因,让攻击者有多个攻击选择。在这一步,同样可以用防火墙把必要的端口禁止掉——我常用的做法是把135、137、138、139、445端口禁止掉,这能避免很多麻烦,windows的网络共享安全性实在不怎么好,个人推荐用户考虑放弃网络共享,采用ftp等方式进行必要的文件传输;
根据获得的情报,决定攻击方式;
在这一步,攻击者将上一步扫描的资料进行汇总,然后确定攻击方式——因此上一步中,我们如果能将对外的端口开得尽量少,那么攻击者能利用的资源也就越少,出现漏洞攻击的可能行就越小;
尝试攻击——在这一步,分为漏洞攻击、溢出攻击、密码破解攻击;
由于攻击个人用户的家伙大多是属于脚本小子一级的,只会用别人现成工具的居多,因此有了上面的防御后,能让他们利用的漏洞也不是太多了。只要密切注意自己所用操作系统的动态,随时给系统升级补丁,一般来说攻击者已经没折了。
进入系统,想办法提升权限;
进入到系统之后,对其他平台而言,攻击者获得的大多不是root权限,还要进行权限提升的步骤,利用重定向写配置文件、信任欺骗等手段来提升权限;而在windows下,个人用户大多直接以administrator的身份登陆并进行日常使用(值得一提的是天缘看到不少win2k/nt服务器的管理员在进行日常操作的时候也使用administrator帐号,甚至在服务器上浏览不可信任的web页),且windows的后台服务大多直接以administrator身份运行,因此一旦被入侵,直接获得administrator的几率相当高,客观上降低了攻击难度。漏洞多,补丁慢,服务权限设置设置不严格——这就是攻击者更喜欢攻击windows系列操作系统的原因了。
获得最高权限后进行破坏行为实施;
到这一步,基本上用户已经无力阻挡了——最好的做法是立即拔掉网线再谋对策了。
对待上面这样典型的正面攻击行为,有一个好的个人用户防火墙是不错的选择,天网/金山的的偶比较好用,目前我个人的桌面系统使用的是费尔防火墙,它操作上不如天网/金山方便,但可定制性更好一些。普通用户可以下一个天网的防火墙来用,默认的规则已经可以对付上面提到的大部分攻击行为了。
正因为随着个人防火墙的使用,脚本小子进行正面攻击不容易得逞,因此采用欺骗的手段进行攻击成为了更为可取的方式。
常见欺骗手法
1.im软件中的一个网站地址——该网站地址其实是一个利用了activex漏洞或mime漏洞的页面,当用户采用启用activex的浏览器或mime解析不严格的web浏览器访问该页面时,会导致脚本病毒自动执行,修改用户的本机设置,并将远程木马木马下载到本地,在没有提示的情形下运行起来,之后又挂接到im软件,在用户知情/不知情的情形下,将该网站地址发送到用户im软件里的好友中,以次延续感染;对付activex漏洞的方式是使用能准确控制是否启用页面中activex的浏览器,如myie2;对付mime头的方法是及时打上系统补丁——“美女图片”病毒就是典型的一个利用浏览器没检查jpg的mime的漏洞,而这个漏洞微软在很早前就发布了patch,结果没想到还是很多人中招了。
2.主动在im软件中发送木马——这类方法比较拙劣,攻击者以“这是我的照片”,“新发现一个好用的软件”等借口,将一个文件发过来——并要求你执行,由于可执行文件的后缀是以.exe .bat .pif . scr .cmd 为主,所以用户看到这几类后缀就要小心了。如果的确想看对方的照片怎么办?让对方把图片转成jpg文件发过来,记住是放到你本地来,而不是给你一个url,否则上面提到的mime头检查漏洞正等着你呢!
3.利用邮件方