2022年踏雪无痕 浅析黑客避开检测的手段.docx

《2022年踏雪无痕 浅析黑客避开检测的手段.docx》由会员分享，可在线阅读，更多相关《2022年踏雪无痕 浅析黑客避开检测的手段.docx（6页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、2022年踏雪无痕 浅析黑客避开检测的手段黑客的聪慧并不只是在于他们知道如何去入侵服务器，还在于他们知道如何去伪装自己的攻击。恶意的攻击者会运用多种躲避的手段来让自己不会被检测到，所以作为系统管理员，也应当了解这些手段以应付可能发生的攻击。这篇文章的主要目的不是揭示黑客新的攻击手法，而是对那些黑客所用到的躲避检测的手法以及他们可能留下的证据做描述。这些手段的欺瞒性很大，所以想检测到它们也更加的困难。网络服务器我们的试验环境运用两种最常用的网络服务器，Apache和微软的Internet Information Server(IIS)。我们在Red Hat Linux上运行Apache 1.3.

2、9,在Windows NT 4.0上运行IIS 4.0。并且两种都采纳一般和允许SSL的版本，所以我们可以对加密和未加密的服务器的攻击做测试。16进制编码一种最简洁的将攻击伪装的手段就是修改URL恳求。作为管理员,我们一般会在日志文件中查找某些字符串，或是一些一般文本的字符集。例如我们在恳求中查找匹配已知漏洞的字符串。例如，我们在我们的IIS服务器中发觉了如下的字符串，我们就知道有人正在查找是否有IIS中可以远程利用的MDAC漏洞：06:45:25 10.0.2.79 GET /msadc/ 302要知道攻击者是如何躲过这种匹配检测的，请参考以下作为恶意攻击者策略一部分的恳求。要确定msadc

3、书目是否存在，攻击者可能键入以下内容：rootlocalhost /root# nc -n 10.0.2.55 80GET /msadc HTTP/1.0这就会产生我们以上所见的日志文件。攻击者可以将恳求进行十六进制的ASCII字符编码。在以上的例子中，字符串msadc在十六进制编码以后就会变为6D 73 61 64 63。你可以运用Windows Charmap程序来快速的进行字符的ASCII到十六进制的转换。以上的HTTP恳求，将字符串msadc用十六进制编码以后，就变成了：rootlocalhost# nc -n 10.0.2.55 80GET /%6D%73%61%64%63 HTTP

4、/1.0IIS的日志文件显示：07:10:39 10.0.2.31 GET /msadc/ 302应当留意的是，虽然采纳了十六进制编码的手段，但是所产生的日志和没有运用十六进制编码的URL产生的是一样的。所以在这个例子里，编码并没有帮助攻击者躲避检测。但是，假如我们看看看Apache的日志状况，那么就是另外一个情形了。以下列出了攻击者运用来搜寻某个CGI脚本的吩咐，后面跟着的是运用十六进制编码以后的同样吩咐:rootlocalhost# nc -n 10.0.0.2 80HEAD /cgi-bin/test-cgi HTTP/1.0rootlocalhost# nc -n 10.0.0.2 8

5、0HEAD /%63%67%69-bin/test-%63%67%69 HTTP/1.0现在我们来查看一下access_log文件：10.10.10.10 - - 18/Oct/2000:08:22:47 -0700 HEAD /cgi-bin/test-cgi HTTP/1.0 200 010.10.10.10 - - 18/Oct/2000:08:23:47 -0700 HEAD /%63%67%69-bin/test-%63%67%69 HTTP/1.0 200 0首先应留意到的是在这两个例子中都是200代码说明吩咐完成胜利。但是在其次中状况中，日志中出现的是十六进制的值而不是明文的。假

6、如我们是依靠于形式来对这种攻击进行检测的话，那么我们是不行能检测到所发生的攻击的。很多的入侵检测系统运用的格式匹配技术智能化都不高，并且有些产品不会将十六进制的URL转换过后进行匹配。但是不论所运用的入侵检测软件是否能够对十六进制的代码进行转换，全部的网络管理员都应当对这种伎俩有所了解。 代理服务器因为对攻击者而言完全隐藏攻击行为是很难做到的，所以掩盖攻击的真实来源也就成为相当重要的课题了。假如黑客可以隐藏他的源IP地址的话，那么他就可以在不用担忧被抓住的状况下进行攻击。而黑客用来隐藏他们的源IP地址的一种手段就是运用代理服务器。代理服务器是被合法的用来从一个单一的访问点转发多种协议的。一般来

7、说，内部用户必需通过代理服务器才能访问Internet，因此管理员就可以在代理服务器指定外部访问以及内部访问的限制策略。用户首先是和代理服务器建立连接，然后代理服务器就将连接恳求转发到真正的目的地址。目的地址会记录下代理服务器的IP地址以作为恳求的源地址，而不是最初发出恳求的系统的IP地址。但是不幸的是代理服务器在Internet上的放置太随意了。(可以查看Proxys-4-All来获得这些错误配置机器的列表。) 这些服务器常常会存在配置错误使得Internet用户可以连接到这些代理服务器上。一旦某个Internet用户通过代理服务器连接到某个服务器上，该服务器就会将代理服务器的IP地址作为发

8、出恳求的源地址记录在日志中。而在被攻击服务器的日志中对攻击者的记录其IP地址是属于一个没有任何攻击行为的“无辜”主机的，而不是攻击者的真正地址。我们来看以下的例子。下面的例子显示了黑客的攻击和攻击在日志中产生的相关信息。攻击者root10.1.1.1 /# nc -v 10.8.8.8 80HEAD / HTTP/1.0日志文件10.1.1.1 - - 18/Oct/2000:03:31:58 -0700 HEAD / HTTP/1.0 200 0在下面这种状况中，我们看到攻击者达到了同样的目的，但是这次他运用了代理服务器。攻击者root10.1.1.1 /# nc -v 216.234.16

9、1.83 80HEAD http:/10.8.8.8/ HTTP/1.0日志文件216.234.161.83 - - 18/Oct/2000:03:39:29 -0700 HEAD / HTTP/1.1 200 0留意在这个例子中，日志文件中所出现的地址是代理服务器的（216.234.161.83,）,而不是攻击者的真实地址。在这个案例中，攻击者胜利的隐藏了攻击的来源地址。不过网络管理员假如能得到代理服务的支持的话还是可以追踪到攻击的真正来源。大多数的代理服务器都会保存一份相当具体的日志，所以多半也就可以从中找到攻击的来源。但是道高一尺魔高一仗，黑客也有相应的方法来反跟踪：他们可以运用多重代理

10、，也可以说是一个“代理链”来进行攻击。而管理员和执法部门也就必需对全部的中间代理服务器进行依次检查来获得攻击来源。在黑客的团体中这种“代理链”的运用特别的普遍，并且有类似SocksChain for Windows这样的工具可供运用。SSL对此以往许多人进行了探讨，但是它现在值得再一次提出：允许SSL的服务器是不会被网络入侵检测系统所检测到的。假如让一个黑客在80端口（HTTP）和443端口（HTTPS）之间做一个选择的话，攻击者每一次都会选择443端口的。这事实上并不是什么手段，而是由于加密通讯的运用所造成的副作用。你可以运用网络服务器日志文件来监视443端口的恳求。结论我们向你演示了一些网络上的黑客常用的欺瞒伎俩。无须多说，这些手段是随着黑客们的想象力和创建力不断增加而不断扩展的。例如十六进制编码这样的技术不光是用在欺瞒性的日志文件入口这样的地方；它同样也欺瞒网络服务器的URL解析机制，并可能导致例如源代码暴露之类的漏洞的出现。攻击者某些时候也运用多代理服务器来进行扫描和攻击，让管理员很难跟踪攻击的真正来源。当然，SSL某些时候为“平安黑客行为”铺平了道路。