 |
第9章 网络攻击与控制
网络攻击的低级方式是消耗目标主机频带资源,使之无法正常工作;高级方式则是控制目标主机,使之受控、听命于人,成为“肉机”。
计算机网络中所称的“木马”,实质就是一种网络控制,由于其隐蔽诡秘,变化多端,可斩草、但难除根,是网络安全的长期威胁。
本章所述的众多攻击、控制(木马)程序,都是免杀软件,意即不能与杀毒软件相遇——在运行此类攻击、控制软件时,要关闭防病毒、安全卫士一类的软件。
本章实验内容是操作性、综合性的网络安全内容。
特别声明,本章所教授的网络攻击、控制(木马),应该在局域网内进行练习,切匆用在外部互连网上,以免犯罪!
§9.1 DoS攻击
拒绝服务攻击(Denial of Service,简称DoS)在众多网络攻击技术中是一种简单有效、危害较大的攻击方法。它通过各种手段来消耗网络带宽和系统资源,或者攻击系统缺陷,使系统的正常服务陷于瘫痪,不能对正常用户进行服务,从而实现拒绝正常用户的服务访问。
9.1.1 SYN FLOOD
(1) SYN FLOOD攻击原理
正常的TCP三次连接如图9-1-1所示,首先是客户端—→服务端(正向连接请求SYN),下来是服务端—→客户端(反向连接请求/对正向连接请求的应答 SYN/ACK),最后是客户端——→服务端(对反向连接请求的应答ACK)。
图9-1-1 正常的TCP连接——“三次握手”
在SYN Flood攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,受害主机分配必要的资源,然后向源地址返回SYN+ACK包,并等待源端返回ACK包,如图9-1-2所示。
由于源地址是伪造的,所以真实的源端(攻击者)永远都不会收到第二次握手,当然也不会返回ACK报文,受害者主机继续发送SYN+ACK包,并将半连接放入端口的积压队列中,虽然一般的主机都有超时机制和默认的重传次数,但是由于端口的半连接队列的长度是有限的,如果攻击者不断的向受害主机发送大量的TCP SYN报文,半连接队列就会很快填满,服务器拒绝新的连接,将导致该端口无法响应其他主机的连接请求,最终使受害主机的资源耗尽。
首先减小SYN Timeout时间,一个半连接超过规定时间无响应则放弃、回收带宽资源。
图9-1-2 SYN Flood攻击——“半连接”
其次可设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。
也可使用Syn Proxy代理防火墙,即对SYN请求“验证后放行”的方法剔除可疑的连接,从而保护主机免遭SYN FLOOD攻击。
(2) SYN-Flood攻击演练
SYN Flood攻击器非常多,这里选用DDoSer v1.5为例说明使用方法。
DDoSer并不直接提供攻击程序,而只提供一个攻击生成器程序,攻击者用此创建对指定目标主机的攻击程序。
如图9-3-3所示,指定目标主机IP地址或者域名后,“生成”后,系统产生一个DD0Ser执行程序,见图9-1-4,其服务端程序为Kernel32.exe。
图9-1-3 执行DDos攻击者生成器
图9-1-4 生成的攻击者程序DDoSer
执行DDoSer程序后,屏幕并无任何显示,但发出大量TCP SYN连接包(第一次握手),目标主机回应四倍数量以上的确认包(第二次握手),这可通过如下三种方法监测。
在目标主机上用“雪花DDoS攻击状态监视器”,可以看到,SYN、ACK攻击的频率(分组数目/秒),攻击的严重程度,从数值上也可以看出,ACK攻击频率是SYN攻击频率的四倍以上。见图9-1-5所示。
图9-1-5 SYN攻击状态监视
同时用数据抓包软件看到的攻击数据包如图9-1-6所示。
图9-1-6 用抓包器捕获到的TCP SYN攻击数据包。
从图9-1-6中,在抓到的TCP SYN攻击数据包中,只有SYN,ACK/SYN前两次握手的数据包。
用Windows系统计数器,也可以很容易地观察至攻击数据包个数,例在Win7下,按如下路线操作,“程序→控制面板→系统和安全→管理工具→性能监视器”,打开系统性能后,选“×”按钮删掉原来计数器,选“+”添加TCP v4计数器,如图9-1-7所示。
图9-1-7 系统性能计数器——TCP v4计数曲线图
从图9-1-7上,选择计数器窗体下边框处的计数曲线,右键弹出菜单,选择“属性”,设置计数器曲线显示的颜色,比例,本例中设置为红色,比例为0.001,则屏幕显示为20左右,除以0.001后,实际计数频率为20000左右,这与计数器的统计值是相对应的。
顺便谘一句,这种攻击是不会自动停止的,只在攻击者主机上,启动任务管理器,删除进程:Kernel32.exe后,攻击才会停止。
9.1.2 UDP-Flood
(1) UDP-Flood攻击原理
利用Charge和Echo来回传送毫无用处的数据来占用所有带宽。在攻击的过程中,伪造与某一计算机的Charge服务之间的一次UDP连接,而回复地址指向开着Echo服务的一台计算机,这样就生成在两台计算机之间的大量的无用数据流,如果数据流点头够多,就会导致带宽完全被占用而拒绝提供服务。
防范UDP Flood攻击的办法是:关掉不必要的TCP/IP服务,或者配置防火墙以阻断来自Internet的UDP服务请求。
(2) UDP-Flood攻击演练
这里选用“阿拉丁UDP洪水攻击器 v2.1”为例演示UDP洪水攻击,当填写目标主机的IP地址或域名后,选择攻击强度后,攻击即发动攻击。
图9-1-6阿拉丁UDP洪水攻击器
如图9-1-6所示,在选择中等强度,按下“一般UDP攻击(小)”后,攻击开始,用“雪花DDoS攻击状态监视器”,可以看到,UDP、ICMP攻击频率在365次左右,呈现攻击状态,如图9-1-7所示。
用抓包器抓到大量的IP包,展开其中内容可以看到,IP包数据部分为1480字节,其内容是杂乱无章的随机数,其上层协议是UDP,如图9-1-8所示。
图9-1-7 UDP攻击状态监视
图9-1-8 UDP攻击数据包内容分析
9.1.3 ICMP-Flood
ICMP洪水攻击是IP欺骗和ICMP回复相结合的方法,使大量ICMP应答包传向受害的目标网络,引起目标系统拒绝为正常系统进行服务。
图9-1-9 Smurf攻击示意图
如图9-1-9所示,攻击者将ping数据包的源地址伪装成目标网络(受害站点所在)中的广播地址,向一个大网络(站点数较多,反弹站点所在)发出ping请求数据包,路由器R2将IP广播地址映射成以以太网广播地址,则大网络的所有主机都向目标网络发送echo响应,导致网络阻塞。早期这种攻击以其攻击程序名“Smurf”命名。
ICMP洪水攻击防范办法:
阻塞源头——用路由器的配置保证、内部站点发出的信息包都具有合法的源地址,使欺骗性分组无法找到反弹站点。
阻塞反弹站点——简单地阻塞所有入站echo请求——禁止外部ping,或用路由器把网络广播地址映射成为LAN广播地址。
9.1.4 DDoS
DDoS(Distributed Denial of Service)是“分布式拒绝服务”的简称,攻击者利用网络控制多台计算机向一个目标主机发起攻击,比单机攻击效果更好,隐身性更强,是目前DoS攻击最常用的方式。
在网络上可以收集至多种DDoS工具,其使用方法大同小异。
如前面所作的DDoSer v1.5,利用生成器生成、指向同一目标主机的攻击工具包,然后在各台攻击者机器(肉机)上运行所生成的工具包,这种攻击包一旦运行后,如果不从任务管理器清除,将会一直运行,重新开机也会自动执行。
DDoSer v1.5生成的攻击程序不受统一指挥,下面介绍集群DDoS攻击器的使用。
(1) 角色说明
设有A、B、X三台机器,各自扮演的角色如表9-1-1所示。
表9-1-1 A、B、X三台主机角色说明表
主机 IP地址 角 色 运行程序
A 192.168.1.104 攻击指挥者(幕后的黑客) Client.Exe
B 192.168.1.107 攻击者(被控制的傀儡机、肉机) Server.Exe
X 192.168.1.100 受害者(目标主机) 系统性能监视器
(2) 生成服务端应用程序
在A机上运行“生成.Exe”程序,填写控制者A机的IP地址,按下“生成”按钮,如图9-1-10所示,生成Server应用程序在A机当前文件夹下,如图9-1-11所示。
图9-1-10 生成服务端程序
图9-1-11 生成的服务端程序Server.Exe在当前文件夹
(3) 在攻击运行Server.exe
将上一步生成的攻击服务端程序Server.Exe在B上运行,B计算机屏幕没有任何反应,但启动任务管理器可发现,多了一个Server.Exe进程在其内存中。
如果网络内还有C、D、E、……多台主机,运行Server .Exe后也成为前攻击者——这就是集群攻击。
(4) 指挥攻击
在A机上执行客户端程序后,出现如图9-1-12所示,在填写上线密码(生成的密码,123456)后,按“开始监听”,屏幕出现1台主机上线、并显示B机的IP地址等到信息,这是由于在B机上运行了Server.Exe的缘故。
图9-1-12 执行客户端攻击程序、指挥攻击
如果有多台机运行了Server.Exe服务端程序的话,这里就可以监测到多台上线主机。
下面填写被攻击主机的信息,测试方案名称、目标主机X的IP地址,攻击端口,攻击攻击,选择多少台攻击机等、完成后,按“开始攻击”即可对X机发起攻击。
(5) 攻击检测
在受害主机X上,按“程序→控制面板→系统和安全→管理工具→性能监视器”操作,选“×”按钮删掉原来计数器,选“+”添加ICMP、IPv4、TCP v4、UDPv4四个计数,设置每一个计数器的颜色、比例,可直观地观察每种攻击的效果,如图9-1-13所示。
图9-1-13 用系统性能监视器观察集群DDoS攻击效果
这种集群攻击在多台机器参与对同一台目标主机攻击时,威力巨大,不可轻易在外网上使用。
§9.2 冰河木马
9.2.1 简介
冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马!其目的主要是通过网络实现远程访问与控制。
冰河原作者:黄鑫,冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。其具体功能包括:
(1) 跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
(2) 记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息、击键记录功能;
(3) 获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
(4) 限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;
(5) 远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;
(6) 注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;
(7) 发送信息:以四种常用图标向被控端发送简短信息;
(8) 点对点通讯:以聊天室形式同被控端进行在线交谈。
9.2.2扫描工具X-way 2.5使用
冰河木马只能对7626端口开放的计算机进行控制,所以,扫描网络,找到7626端口开放的站点更重要。这里,使用的扫描工具是X-way2.5。
执行X-way2.5应用程序,主界面如图9-2-1所示。
图9-2-1 X-way 2.5主界面
点击"主机搜索",在“主机搜索”窗口图9-9-2上,分别填入"起始、结束地址"(注意:结束地址应大于起始地址)。搜索方式选“端口方式”。
选择“线程数”(一般值为100比较合适,网速快的可选150)。最后进入“高级设置”——“端口设置”选择“OTHER”,改变其值为“7626”,见图9-2-3所示,“关闭”高级设置窗口后,在图9-2-2所示窗口中选择“开始”,搜索局域网中、端口“7626”开放的主机。
图9-2-2 主机搜索 图9-2-3 高级设置
要特别说明的是,在目标主机上运行木马服务端程序“G_Server.exe”,目标主机的“7626”端口才会开放,这相当于在目标主机上种植并运行了木马程序。
从图9-2-4的扫描结果来看,有主机192.168.1.100和192.168.1.103的端口7626开放,这是在相邻主机上运行了G_Server.exe的缘故。
图9-2-4 扫描主机
9.2.3冰河操作
(1) 与目标主机建立连接:
打开瑞士军刀图标的客户端G_Client,界面显示如图9-2-5所示,只有本地机资源在右面的区域显示。
实际上应当选择自动搜索,按给出的IP地址范围进行网内搜索,网内只要是运行了“G_server.exe”的主机,都会被搜索到,并被自动添加到主机列表框内。见图9-2-6,有两台主机被添加。但已被别人控制的主机无法建立连接。
图9-2-5 冰河客户端界面
注:如果无法连接主机,填写访问口令:“05181977”、再按“应用”按钮。
图9-2-6 自动搜索网内7626端口开放的主机
(2) 对目标主机的文件控制:
在文件管理器区的远程主机上双击+号,有C:D:E:等盘符出现,选择打开任何一个盘符,会看见许多的文件夹,这时我们已经侵入别人的主机!
在文件管理区你可以对文件、程序进行以下主要几项操作:上传、下载、删除、远程打开。单击鼠标右键看到如图4-7,不同主机之间复制、删除、上传、打开等文件类操作,如同本地操作一样方便。
图9-2-7 对目标主机的文件操作
(3) 命令控制台:
口令类命令中,获取目标主机的系统信息,各种口令,以及获取目标主机的击键记录等,都是非常方便的,见图9-2-8。
图9-2-8 获取目标主机的系统信息
控制类命令中,系统控制命令可以对目标主机进行远程关机、重启,还可以卸载、重加载冰河。如图9-2-9所示,控制类命令下的系统控制,就提供“远程关机”、“远程重启”、“重新加载冰河”、“自动卸载冰河”诸多功能。
命令控制台下还有大量命令,其功能可通过实验操作进一步掌握,不赘述。
(4) 屏幕控制目标主机:
选择目标主机,选择“屏幕控制”图标执行之,目标主机的屏幕完全被控制,就象运行本地机一样对远程目标主机进行操作,这时,远程主机用户在毫无操作的情况下看到自己的机器进行各种操作,甚至重启或关机,虽然难以理解,但上机操作却十分容易。
图9-2-9 控制类命令——系统控制
(5) 配置服务端:在使用木马前配置好,一般不改变,选择默认值。
细节注意如下:监听端口7626可更换(范围在1024~32768之间);关联可更改为与EXE文件关联(就是无论运行什么exe文件,冰河就开始加载;还有关键的邮件通知设置:如图9-2-10所示。
填写好控制者的电子邮箱后,目标机一旦开机,冰河木马服务进程就将获取的IP地址、各种口令,通过邮件通知控制者。
图9-2-10 配置服务端——目标主机端
9.2.4 冰河木马清除
(1) 利用冰河自身卸载功能,见前图9-2-9,从“控制类命令——系统控制”,选择“自动卸载冰河”。
(2) 常用的杀毒软件,冰河为早期著名木马,各种杀毒软件对它都在必杀、首杀之列。
(3) 通过修改注册表、删除冰河服务端程序。
首先:通过“开始”——“运行”——“regedit”,进入注册表,然后逐级如下选择:
HKEY_LOCAL_MACHINE——Software——Microsoft——Windows——CurrentVersion——Run和RunServices 查看, 有C:\WINDOWS\system32\KERNEL32.EXE一项存在的话,如图9-2-11所示,要将其键值删除。
下面,重新启动时转到DOS下,删除冰河服务端(一般默认为"c:\windows\G_server.exe",会变更),这一步很重要;如果不删除冰河服务端程序,与其相关联的文件一旦运行,木马就又复活了。
图9-2-11 注册表键值
最后,重启计算机即可。
§9.3 ARP欺骗与攻击
9.3.1 ARP攻击原理
ARP协议功能——已知目标机的IP地址,查询其MAC地址;如果查不到,则通过ARP请求/应答获得目标主机MAC地址,保存在本机ARP缓存中,供以后查询。
ARP缓存中保存的“IP~MAC地址对照表”会定期刷新,以适应网络中站点的上、下线,更换网卡等造成的“IP~MAC”对应地址的变化。
LAN通信——用目的MAC、源MAC、协议类型、FCS诸内容将上层数据包装成链路帧,在LAN内广播,当某站点MAC与帧中目的MAC相同者(目的主机)复制数据帧,即为接收。
ARP攻击——伪造“IP~MAC地址对照表”的内容、实现ARP欺骗,在网络中产生大量的ARP通信量使网络阻塞;攻击者只要持续不断的发出伪造的ARP响应包,就能更改目标主机ARP缓存中的“IP~MAC地址对照表”内容,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
(1) 什么是ARP欺骗?
在LAN中,主机A(IP_A)发出ARP请求广播,请求主机B(IP_B)的MAC地址,同一局域网内的黑客主机C(IP_C)收到此的ARP请求广播包后,获得A的(IP_A, MAC_A)地址, C就伪装为A,告诉B (受害者)一个假地址,使得B在发送给A的数据都被黑客C截取,而A, B 浑然不知。,
(2) ARP欺骗为何得逞?
ARP 是个早期的网络协议,早期的互联网采取的是信任模式,在科研、大学内部使用,追求功能、速度,没考虑网络安全。尤其以太网的洪泛特点,能够很方便的用来查询。但这也为日后的黑客开了方便之门。黑客只要在局域网内阅读送上门来的ARP Request就能偷听到网内所有的 (IP, MAC)地址。而节点收到ARP Reply时,也不会质疑。黑客很容易冒充他人。
(3) ARP欺骗是无法防止的
但这种伤害的伤害已经很小。因为局域网的工作环境有了改变, 服务器通常不会和终端主机在同一个局域网。
(4) 从欺骗到攻击的演化
ARP欺骗是黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包,阻断正常通信,并将自己所用的电脑伪装成别人的电脑,这样原本发往其他电脑的数据,就发到了黑客的电脑上,达到窃取数据的目的。
用这一原理,制作所谓的“管理软件”,例如网络剪刀手、执法官、终结者等,导致ARP恶意攻击泛滥,使LAN内主机断线。
在网吧中,商业竞争或个人泄愤,会造成恶意ARP攻击泛滥。
在LAN中传播网病毒,也可利用ARP攻击进行;一些曾经流行的病毒,就是利用ARP攻击为攻击手段之进行的。
(5) 被ARP欺骗后的症状
LAN突然掉线,过一段时间后又会恢复正常。用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。
9.3.2 防护ARP攻击
(1) 个人防护
ARP攻击仅能在局域网内进行,没有路由器的家庭用户可以不必考虑
安装ARP防火墙或杀毒软件
如今大部分安全辅助软件均内置ARP防火墙,著名的有:360安全卫士(内置)、金山贝壳ARP专杀、金山卫士,杀毒软件可以有效的防止ARP病毒进入机器
对已经ARP攻击中毒的主机,应该用专门的专杀杀毒后安装杀毒软件保护系统
(2) 局域网ARP攻击预防
A. 网关和终端双向绑定IP和MAC地址;将LAN中每机的IP地址、MAC地址,添加到路由器ARP映射表中。
B. 在LAN中的每台电脑中实现静态ARP绑定。所用命令 “arp -s IP地址 MAC地址”, 即可实现表态地址绑定,可参考ARP命令帮助信息,如图9-3-1所示。
图9-3-1 ARP命令帮助信息
C. 打开安全防护软件的ARP防火墙功能。
D. 利用局域网ARP欺骗检测工具来确定ARP攻击源,然后利用ARP专杀工具进行杀毒。查找并定位到攻击源地址以后,在相应的计算机上安装ARP专杀工具进行查杀操作。
9.3.3 ARP攻击工具
(1) 简介
WinArpAttacker程序,屏幕出现ARP攻击界面如图9-3-2所示,分为如下四个区域。
A. 主机列表区,显示的信息有局域网内的机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态,……;还有一些ARP数据包和转发数据包统计信息,如:
ArpSQ:本发送ARP请求包的个数;
ArpSP:本机回应包个数;
ArpRQ:本机接收请求包个数;
ArpRP:本机接收回应包个数;
Packets:是转发的数据包个数,这个信息在进行SPOOF时才有用。
Traffic:转发的流量,以K为单位,这个信息在进行IP SPOOF(IP地址欺骗)时才有用。
B. 检测事件件显示区,显示检测到的主机状态变化和攻击事件。
主要有IP冲突、扫描、SPOOF监听、本地ARP表改变、新机器上线等。当你用鼠标在上面移动时,会显示对于该事件的说明。
C. 本机ARP表项区,显示本ARP表项实时变化,实时监控本机ARP表变化,可防止IP SPOOF攻击。
D. 信息显示区,主要显示软件运行时的一些输出,如果运行有错误,则都会从这里输出。
图 9-3-2 WinArpAttwcker攻击工具基本界面
(2) 扫描
点击“扫描”工具栏的图标时,软件会自动扫描局域网内的全部机器,扫描结果会显示在主机列表区。
当从下拉菜单选择“扫描选定”时,要求在机器列表中选定一些机器才扫描,目的是扫描这些选定机器的情况。
当选择“高级”时,会弹出一个扫描框,如图9-3-3 所示。其三种扫描方式是:
A. 扫描一个主机,获得其MAC地址。
B. 扫描一个网络范围,
C. 多网段扫描,如果本机存在两个以上IP地址,就会出现两个子网选项。下面有两个选项,一个是正常扫描,扫描在不在线,另一个是反监听扫描,可以把正在监听的机器扫描出来。 图9-3-3 高级扫描方式
(3) 六个攻击功能
如图9-3-4所示,WinArpAttacker的攻击有六种方式,每种攻击方式的主要内容如下。
图9-3-4 六个攻击功能
A. 不断IP冲突
攻击默认是1000次,在选项中可改变这个默认值。本攻击可使对方机器弹出IP冲突对话框,如图9-3-5所示;这种攻击会导致目标主机宕机,要小心使用。
图9-3-5 不断IP冲突之效果
B. 禁止上网——对方机器不能上网
C. 定时IP冲突——使对方机器弹出IP冲突对话框
D. 监听网关通讯——监听选定机器与网关的通讯
E. 监听主机通讯——监听选定的几台机器之间的通讯
F. 监听网络通讯——监听整个网络任意机器之间的通讯,本功能过于危险,可能会把整个网络搞乱,不要乱用。
所有的攻击在你觉得可以停止后都要点击STOP停止,否则将会一直进行。
在选项中可以对攻击时间和行为进行控制。除了FLOOD是次数外,其他的都是持续的时间,如果是0则不停止。
D、E、F三个选项,一个是攻击后自动恢复ARP表,其他两个是为了保证被监听机器能正常上网因而要进行数据转发。
在检测事件列表显示区中,所有进行攻击的事件均被被检测到并显示出来。在这里还可以看到自身是否有遭到攻击,以便采取措施。
其它有关设置方面的高级用户功能,读者可在实践中进一步掌握理解之。
9.3.4 两个ARP病毒专杀工具
(1) ARP病毒专杀工具
点击执行Kill_arp.exe后,出现如图9-3-6所示界面,只要按“开始查杀”按钮,就可查杀ARP病毒,操作非常简单,不赘述。
图9-3-6 ARP病毒专杀工具运行界面
(2) 山丽病毒专杀——ARP欺骗病毒
点击执行“ 山丽病毒专杀——ARP欺骗病毒+免疫.exe”后。出现如图9-3-7所示界面,有“查杀”和“加载免疫”两个按钮,其功能可望名知义,同上理由,亦不赘述。
图9-3-7 山丽病毒专杀——ARP欺骗病毒+免疫运行界面
山丽病毒专杀(arp欺骗病毒)为上海山丽信息安全有限公司的产品,是一个ARP欺骗病毒专杀工具,集ARP欺骗病毒查杀和免疫功能于一身的ARP专杀软件;亦是Sality蠕虫病毒的专杀工具。
§9.4 灰鸽子
9.4.1 简介
灰鸽子本来是一款优秀的远程控制软件,也可用其控制其它主机从事非法活动,这时,灰鸽子就成为强大的黑客工具。
灰鸽子客户端简易便捷的操作,使刚入门的初学者都能充当黑客。
灰鸽子自2001年出现至今,主要经历了模仿“冰河”期(2001~2003年)、飞速发展期(2004~2005年)以及全民黑客时代(2006~2007年)三个阶段。
“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害。
“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,是受害者无从得知受到其控制。
(1) 服务端
灰鸽子配置出来的服务端文件文件名为G_Server.exe(默认、可改)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。
G_Server.exe运行后将自己拷贝到Windows目录下,然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。
G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,G_Server_Hook.dll负责隐藏灰鸽子。
有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。
注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
(2) 客户端
要与灰鸽子服务端建立连接,用到了“反弹端口”、“HTTP隧道技术”,分别介绍如下:
A. 反弹端口
由于传统型的同类软件,不能访问装有防火墙和在局域网内部的服务端主机,即是说,在防火墙的阻拦下,客户(控制)端无法与服务(受害)端建立连接。但是,防火墙的“严入宽出”的处理方式为反向建立连接提供了可能。
所谓“严入宽出”,是指防火墙对进入局域网内部的连接进行非常严格的过滤,但是对于向外部网络的连接却疏于防范。让服务端主动向外发出与客户端的连接,就是“反弹端口”软件的独到之处。
为了隐蔽,客户端的监听端口一般开在80(HTTP端口),这样,即使用户使用端口扫描软件检查自己的端口,会以为是自己在浏览网页(防火墙也会这么认为的)。
服务问通过访问客户端主页空间上的文件实现连接;当客户端想与服务端建立连接时,它首先登录到FTP服务器,写主页空间上面的一个文件,并打开端口监听,等待服务端的连接,服务端定期用HTTP协议读取这个文件的内容,当发现是客户端让自己开始连接时,就主动连接,如此就可完成连接工作。
B. HTTP隧道技术
把所有要传送的数据全部封装到HTTP协议里进行传送,就可以通过 HTTP、SOCKS4/5 代理,而且也不会有什么防火墙会拦截,这就是所谓的HTTP隧道技术。
服务端上网后,发送自己的IP地址到事先指定的邮箱,客户端收信就知道了服务端的IP地址。
(3) 灰鸽子的传播
灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播。灰鸽子传播途径有:
A、网页传播:病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;
B、邮件传播:灰鸽子被捆绑在邮件附件中进行传播;
C、聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件。
D、非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
(4) 灰鸽子控制功能简介:
对远程计算机文件管理:模仿
Windows 资源管理器,可以对文件进行复制、粘贴、删除,重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用。
远程控制命令:查看远程系统信息、剪切板查看、进程管理、服务管理、共享管理!
捕获屏幕:不但可以连续的捕获远程电脑屏幕,还能把本地的鼠标及键盘传动作送到远程实现实时控制功能!
视频语音,可以监控远程摄像头!,还有语音监听和发送功能,可以和远程主机进行语音对话!
telnet(超级终端).
注册表模拟器:远程注册表操作就像操作本地注册表一样方便!
命令广播:可以对自动上线主机进行命令广播,如关机、重启、打开网页,筛选符合条件主机等,点一个按钮就可以让N台机器同时关机或其它相关操作!
服务端以服务启动,支持发送多种组合键,可以轻松管理远程服务器!
专用的自动上线系统,直接使用灰鸽子注册ID即可实现远程服务端自动上线!
多种自动上线方式:专用上线、DNS解析域名、固定IP等,用户自由选择!
9.4.2 灰鸽子操作
(1) 服务端配置:首先运行参数鸽子主程序“灰鸽子2010.exe”,屏幕界面如图9-4-1所示。
图9-4-1 灰鸽子主界面
按“配置服务程序”,出现服务器配置界面如图9-4-2所示。
切记,要填写灰鸽子客户端的IP地址,其它可接受系统默认值。
图9-4-2 自动上线参数指定
图9-4-3 服务器配置——安装选项 图9-4-4 服务器配置——高级选项
图9-4-3所示的三个选择,是在服务端安装成功后,给出成功提示、删除自身文件、显示图标,这都是学习使用时常规选择。图9-4-4所示的高级选项中,只支持Win2000/XP系统表明不支持Win7/win8系统,去掉此选项可否支持Win7/Win8,读者可练习一下。
图9-4-5 配置服务程序成功
服务器配置的其它选项可以接受系统默认值,最后按“生成服务器”,灰鸽子服务器程序生成,在放在指定目录下,如图9-4-5所示。
(2) 运行服务端
将前面生成的服务器程序在网络内另一台PC机上运行,有如图9-4-6安装成功信息出现。在桌面右下角有相应的图标出现,见图9-4-7。
图9-4-6 鸽子服务端安装成功
之所以出现安装成功、灰鸽子图标,还有,自动删除安装文件,是前面图9-4-3选项决定的。
图9-4-7 鸽子桌面图标
当鸽子服务端安装成功后,从客户(控制)端就可看到有主机上线,如图9-4-8所示。
图9-4-8 自动上线1台主机
有关鸽子服务端自动上线的配置与操作,读者可从互连网上参考。
(3) 客户端控制
当鸽子上线后,控制端就可对所控制的鸽子肉机进行任意操作了。在控制端界面图9-4-8上,对鸽子肉机进行“捕获屏幕”、“视频监控”、“远程登录(Telnet)”,非常容易。
图9-4-9 对指定的鸽子肉机发送信息
控制端对鸽子肉机的全面控制分为如下四大类:
文件管理——界面如图9-4-8所示,可对鸽子肉机的逻辑磁盘上的文件进行任意操作,列表、读写、复制、建立新文件、删除等操作,与鸽子肉机的管理员权力相当。
远程控制命令——有系统信息、剪切板查看、进程管理、窗口管理、服务管理、共享管理、MS-DOS模拟、代理服务、插件管理共九类远程管理命令,可通过实际操作深入理解。
注册表编辑——可对鸽子肉机的注册表进行编辑。
命令广播——有常用命令广播、消息广播、筛选符合条件主机、批量修改备注。
如图9-4-9所示,从“命令广播→消息广播→选择肉机”,填写消息主题和正文后,按“发送”按钮,鸽子肉机屏幕出现信息如图9-4-10所示。
图9-4-10 鸽子机显示
(4) 卸载灰鸽子
如图9-4-11所示,从“命令广播→常用命令→选择肉机”,按“卸载主机”按钮,对屏幕出现信息选择“是”。
图9-4-11 从灰鸽子控制端卸载鸽子肉机
9.4.3 清除灰鸽子
(1) 手工检测
由于灰鸽子隐身能力强,在正常模式下服务端程序文件和它注册的服务项均被隐藏,你即使设置了“显示所有隐藏文件”也看不到它们。同时、服务端文件名自定义等因素存在,依赖文件名检测灰鸽子比较困难。
但是,如果操作系统的安装目录下有以“_hook.dll”结尾的文件,可确定本机中标,就是灰鸽子服务端。
检测灰鸽子的操作一定要在安全模式下进行。即在Windows启动前按F8键,在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。操作路线是:“我的电脑→工具”→文件夹选项→查看”选择“ 显示隐藏文件、文件夹和驱动器”,然后点击“确定”。如图9-4-12所示。
图9-4-12 设置显示隐藏文件
打开Windows安装目录,“搜索文件”,文件名称输入“*_hook.dll”,搜索之。
经过搜索,假设在Windows目录下发现了一个名为Game_Hook.dll的文件,
同时在同一目录下有Game.exe、Game.dll、GameKey.dll三个文件。
找到灰鸽子文件,本机就是灰鸽子服务端,确诊!
(2) 手工清除
清除灰鸽子仍然要在安全模式下操作,主要有两步:
清除灰鸽子的服务;
首先,“开始→运行”,注册表编辑器Regedit.exe,打开如下注册表项:
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”
然后,点击菜单“编辑→查找”,“查找目标”输入“Server2010.exe”,点击确定,找到灰鸽子的服务项(此处Server2010.exe,是图9-4-3选项设置中设置的)。
最后,删除整个Game_Server项。
删除灰鸽子程序文件:
在安全模式下删除Windows目录下的Server2010.exe、Server2010.dll、Server2010_Hook.dll以及Server2010key.dll文件,然后重新启动计算机。
(3) 程序清除
首先说明:常见的防病毒软件如金山毒霸、360、瑞星、……,都可以清除灰鸽子木马。
2010年前后,鉴于灰鸽子木马在网络上的被滥用,用户又难觉察,灰鸽子的作者专门开发“灰鸽子专杀”工具:DelHgzALLServer.exe,免费发放,其运行后的界面如图形9-4-13所示,选择“开始检测”即可。
图9-4-13 灰鸽子专杀工具运行界面
9.4.4 预防灰鸽子
(1) 及时为系统安装补丁程序。
(2) 给系统管理员帐户设置“魔鬼字符串”作密码——10位以上的“字母、数字、特殊符号”的组合;禁用/删除一些不使用的帐户
(3) 每天定时自动更新杀毒软件(病毒库),关闭一些不需要的服务,关闭没有必要的共享,也包括C$、D$等管理共享。单机用户可直接关闭Server服务。
(4) 下载HijackThis扫描系统。HijackThis是一款恶意代码扫描软件,HijackThis能够扫描注册表和硬盘上的特定文件,找到一些恶意程序“劫持”浏览器的入口。
(5) 与“熊猫烧香”病毒的“张扬”不同,“灰鸽子”更像一个隐形的贼,潜伏在用户“家”中,监视用户的一举一动,甚至用户与MSN、QQ好友聊天的每一句话都难逃“鸽”眼。专家称,“熊猫烧香”还停留在对电脑自身的破坏,而“灰鸽子”已经发展到对“人”的控制,而被控者却毫不知情。从某种意义上讲,“灰鸽子”的危害及危险程度超出“熊猫烧香”10倍。
§9.5本章实验设计——目的、内容、成果、思考、报告
9.5.1 实验名称:网络攻击与控制
9.5.2 实验目的
(1) 掌握DoS、DDoS攻击方法;
(2) 掌握冰河木马的使用与清除;
(3) 掌握ARP攻击与防范方法;
(4) 掌握灰鸽子的使用与清除。
9.5.3 实验内容
(1) DoS、DDoS攻击方法
单机攻击:SYN、UDP洪水攻击,用数据抓包、系统计数器、雪花DDoS攻击状态监视器三种方式观察攻击效果。
集群攻击:用A、B、C、D四台机IP地址在同一网段内,A机作为控制机,生成DDoS服务服务端(填写A机的IP地址),在B、C上运行此服务端程序,由A指挥B、C两机去攻击D机(在A机的攻击目标位置填写D机的IP地址),在D机上可用三种方法观察攻击效果。
(2) 冰河木马
用X-way扫描目标主机,看其7626端口是否打开;
在目标主机上运行冰河服务端后,同上步骤查看,7626端口已经被打开;
运行冰河客户端,对目标主机控制,进行文件操作,各种控制台令浏览与操作。
屏幕控制目标主机,对目标机进行各种操作,在目标机上观察从客户端操作的效果。
在目标主机上、手工清除冰河木马。
(3) ARP攻击
运行WinArpAttacker工具,对LAN内主机进行六种方式的攻击,从被攻击对象主机上观察攻击效果。
用ARP专杀工具清除ARP病毒。
(4) 灰鸽子木马
用控制端IP地址、配置灰鸽子服务端,在目标机上运行,从控制端看到其上线。
对目标主机控制,进行文件操作,各种控制台令浏览与操作。
屏幕控制目标主机,对目标机进行各种操作,在目标机上观察从客户端操作的效果。
在目标主机上、手工清除灰鸽子木马。
偿试进行灰鸽子木马自动上线配置。
9.5.4 实验思考
A. DDoS和木马均用到服务端程序,在“肉机”上运行从而控制它,两者的区别是什么?哪一个危害性更大?
B. 通过网络查询了解、什么是cc攻击?其中主要包含哪些具体攻击方式?
C. 归纳整理:冰河服务端与灰鸽子服务端三种以上区别。
D. ARP病毒能否在互联网上进行?为什么?
E. 在手工清除灰鸽子木马时,为什么要在安全模式下进行WinXP操作系统?
9.5.5 实验报告
A. 题目——见9.5.1
B. 目的——见9.5.2
C. 原理——见本章节内容,不用重复。
D. 内容——按9.5.3要求,逐条实现,汇报结果;如不成功,要分析失败原因。
E. 思考题回答;
F. 问题与建议。
| |
[複製鏈接]
雷達卡
發表於 2015-10-24 08:56
提升卡
置頂卡
變色卡
千斤頂
樓主
