計算機安全實用技術及研究(四)

本論文在其他論文欄目，由論文格式網整理,轉載請注明來源www.donglienglish.cn,更多論文,請點論文格式范文查看
下面我簡單說說怎樣破解UNIX的：
首先是FTP上一個站點，具體的格式是：c:>ftp www.xxx.com (同樣你也可以用IP地址來代替域名)。有些站點不支持匿名登陸，如果你遇到這樣的情況，請換一個支持匿名登陸的站點。
然后是找到它密碼的存放位置，一般情況是在etc/passwd，如果你試圖訪問這個目錄，而系統提示出錯時，說明是沒有權限訪問這個目錄，也請換個站點吧。
接下來是假設我們已經進到了它的etc這個目錄下，我們可以用get命令將passwd文件抓回來。一般抓回來的都是被shadow過的密碼文件。不過我們仍然可以用John來破。由于是暴力破解，可能破幾天都無法成功，所以這種方法可以說是一種傻瓜式的入侵方法。
2.1.7 計算機病毒
計算機病毒是我們最熟悉不過的，一般代碼都很短，但是破壞力驚人。輕則死機，重則系統數據丟失，無法啟動。網絡更是給病毒的傳播大開綠燈，使得一個才出的病毒可以在短短的幾分鐘內傳遍整個世界。
預防計算機病毒主要應做好以下幾點：
⑴機器專人管理負責。
⑵不要從A盤引導系統。
⑶對所有系統軟盤、工具軟盤、程序軟盤要進行寫保護。
⑷對于外來的機器和軟件要進行病毒檢測。
⑸不使用來歷不名的軟件，也不要使用非法解密或復制的軟件。
⑹對游戲程序要嚴格控制。
⑺網絡上的計算機用戶，要遵守網絡的使用規定，不能隨意在網絡上使用外來軟件。
2.1.8 Trojan Horse和PGP攻擊
一、特絡繹木馬
Trojan Horse的中文名是特洛伊木馬，它是把一個能幫助黑客完成某一特定動作的程序依附在某一合法用戶的正常程序中，這時合法用戶的程序代碼以被該變，而一旦用戶觸發該程序，那么依附在內的黑客指令代碼同時被激活，這些代碼往往能完成黑客早已指定的任務。
一旦中了木馬，那么你的一切信息都落入了黑客的手中。你的上網密碼、信用卡帳號、郵箱密碼等等，而且黑客可以隨意使用你的硬盤，甚至格式化你的硬盤，讓你電腦中的數據完全化為灰燼。
由于木馬是客戶端服務器程序，所以黑客一般是利用別的途徑將木馬安放到你的電腦中，主要是通過電子郵件和共享的途徑進來。然后,木馬一般會在以下三個地方安營扎寨:注冊表、win.ini、system.ini,因為電腦啟動的時候,需要裝載這三個文件,大部分木馬是使用這三種方式啟動的.也有捆綁方式啟動的,木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標電腦上,可以捆綁到啟動程序上,也可以捆綁到一般程序的常用程序上.如果捆綁到一般的程序上,啟動是不確定的,這要看目標電腦主人了,如果他不運行,木馬就不會進入內存.捆綁方式是一種手動的安裝方式,一般捆綁的是非自動方式啟動的木馬.非捆綁方式的木馬因為會在注冊表等位置留下痕跡,所以,很容易被發現,而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等,位置的多變使木馬由很強的隱蔽性。
木馬的服務器程序文件一般位置是在c:\windows和c:\windows\system中,為什么要在這兩個目錄下,因為windows的一些系統文件在這兩個位置,如果你誤刪了文件,你的電腦可能崩潰,你不得不重新安裝系統。
二、PGP攻擊
PGP——Pretty Good Privacy，是一個基于RSA公匙加密體系的郵件加密軟件，它可以用來對你的郵件加密以防止非授權者閱讀，還能對你的郵件加上數字簽名而使收信人可以確信郵件是你發來的。它讓你可以安全地和你從未見過的人們通訊，事先并不需要任何保密的渠道用來傳遞密匙。它采用了審慎的密匙管理，一種RSA和傳統加密的雜合算法，用于數字簽名的郵件文摘算法，加密前壓縮等，還有一個良好的人機工程設計。它的功能強大有很快的速度，而且它的源代碼是免費的。
1、主動攻擊篡改PGP代碼。PGP代碼是公開的，因此有可能被人篡改。因此校驗用戶得到PGP 發行包的完整性是非常重要的。當然有人會把MD5程序修改了，讓對篡改過的文件報告一個正確的散列結果。這時找到一份已知完好的拷貝對照一下是最可靠的。特洛伊木馬。特洛伊木馬是個古老的計謀。一些出眾的程序員開發了一個嶄新的PGP 在WINDOWS環境下的一個工具，并將它發布到網上。于是，許多人都通過FTP得到一份拷貝。它的功能非常強大，有各種按鈕和流通滾動條，甚至還提供了一堆WAV文件，還支持SoundBlaster AWE 32的音效，因此使用者可以一邊加密文件一邊欣賞著16位CD音質的音響。它占用很少的內存、編程精練、功能強大，而且它還能截獲操作系統的中斷，從而阻止它把重要信息交換到磁盤去而泄密。這么出眾的軟件還蒙蔽了大多數使用者。在這個程序里有那么幾行特意布置的代碼，記錄了輸入的每一個口令，并且當它發現機器上裝了一個調制解調器，天知道它會向什么地方撥號并且傳出竊取的口令和密匙。
2、被動攻擊擊鍵窺探。這是一種非常有效的攻擊方法。簡單地說就是記錄用戶的擊鍵從中獲得口令。攻擊者通過鍵盤記錄器記錄用戶的擊鍵序列，具體方法因不同系統而異。在DOS下的PGP實現在這方面是最脆弱的，它擁有最多的鍵盤記錄工具。攻擊者甚至可以從網絡上遠程啟動和停止記錄器，在DOS下有些引導區病毒也可完成這一工作。對UNIX環境下的鍵盤記錄有點復雜，因為需要ROOT權限，除非被攻擊者是在X WINDOWS環境下輸入口令的，X WINDOWS下的記錄器不需ROOT權限。為防止這種攻擊，對工作環境要仔細檢查，同時作好私匙環文件的保存。
3、電磁泄露窺探。任何計算機設備尤其是顯示器都有電磁泄露，通過合適的設備可以收到目標顯示器上的信息，那么明文顯示時就無密可言了。加裝一個射頻信號干擾器可以有效防止顯示器信號泄露。鍵盤信號傳不遠，只要沒人在你計算機里安“耳朵”就不怕泄露。內存空間窺探。在UNIX這樣的多用戶系統中，只要有合適的權限誰都可以檢查機器的物理內存。和解密需要分解一個巨大的合數相比，打開/Dee/kmem這個系統虛存交換文件，長到用戶的頁面，來得更加容易。在UNIX系統中，進程、虛擬內存都對應了某些目錄下的文件。磁盤緩存窺探。在WINDOWS這樣的多任務操作系統中，系統有把內存中的內容交換到磁盤的習慣，而且這些交換文件是對用戶透明的。更糟的是，這些內容不會很快被清除，有可能在磁盤上保留很久。如果在網絡環境中，可能連用戶自己都感覺不到，就被人偷走了這些信息。監聽。在網絡環境下，信息是以報文的形式在線路上傳輸的。如果是通過網絡遠程使用PGP，那么就有可能被人從報文傳輸途中監聽到。如果信息是以明文的形式存放在報文中，于是傳輸的口令也就被攻擊者知道了。使用一些加密聯機的通信程序，像SSH、DESlogin或者干脆使用有加密性能的網絡協議棧，可具防止監聽工具的攻擊。因為監聽工具要處理大量的信息，如果不是明文，則解密需要相當的時間和工作量。
2.2 攻擊前的工作
要想成功入侵一個系統，之前的準備工作是非常關鍵的。要想成功，準備一定要充分。試想如果連對方是用的什么樣的操作系統，IP地址是多少，有什么樣的漏洞等一無所知的話，入侵從何談起。
首先要做的就是確定自己的攻擊目標。假設我們的攻擊目標是美國的商業公司，那么我們應該先查到它們的IP地址，查IP的方法很多。一般我是用Yahoo的搜索引擎對.com結尾的進行搜索，搜到它的域名后可以直接用Ping命令得到IP地址。還有就是網上有很多的黑客站點將許多的IP地址公布了出來，可以直接得到。
接下來就是對目標的掃描。現成的掃描工具太多，我也沒有一一用過，一般情況我是用SuperScan對目標的端口進行全面的掃描，找出它那些開放的端口中可以利用的端口，然后用相應的方法進行攻擊嘗試。
2.3 掃除腳印
當你進入了對方的系統，你的一舉一動都會被系統自動的記錄下來。這時在你離開之前的最后一項工作就是更改或是刪除對方的日志。
對于Windows NT系統來說，日志是在 c:\winnt\system32\logfiles下，在UNIX系統上,應該先是/etc/syslog.conf文件。還可以用專門的清除日志文件的工具進行日志的清除工作。
假如你是用的Unicode漏洞進入別人的系統，那么應該清除：
\winnt\system32\logfiles\*.*
\winnt\system32\dtclog\*.*
\winnt\ssytem32\config\*.evt
\winnt\system32\*.log
\winnt\system32\*.txt
\winnt\*.log
對于UNIX的系統，日志記錄更多。下面列出了一些通用UNIX日志文件名,它們的功能和文件的內容.這些日志文件是否在系統
中存在,依賴于系統的配置.
messages
messages日志包含相當廣泛的信息.
xferlog
如果被入侵的系統有FTP服務器功能, xferlog會記錄所有傳輸的文件名.
utmp
這個文件包含當前登錄在系統上每一位用戶的信息(二進制格式).這個文件僅在確定當前
有哪些用戶登錄時有用.通過who命令可以得到其中的內容.
wtmp
用戶每一次成功的登錄,退出,系統重啟,wtmp文件都會被修改.這是一個二進制文件;因此
需要使用工具來從文件中獲取有用的信息.last就是這樣一種工具.last的輸出包含一個表
,表中記錄了用戶名,相關登錄時間和來源主機.
secure
某些版本的UNIX(比如RedHat Linux)向secure日志文件中記錄tcpwrapper消息.每次當一
個從inetd派生并使用tcpwrapper啟動的服務連接建立時,該文件中會添加一條日志消息.
上面介紹的日志文件都可能記錄下了你的蹤跡，所以要仔細地查看，發現有記錄的應更改或刪除。
第三章網絡安全防范
網絡安全是一個涉及面很廣的問題。要想達到安全與保密的目的，必須同時從法規政策、管理、技術這三個層次上采取有效措施。高層的安全功能為低層的安全功能提供保護。任何單一層次上的安全措施都不可能提供真正的全方位安全與保密。因此應考慮從下面幾個方面入手：
先進的技術是網絡安全與保密的根本保證。用戶對自身面臨的威脅進行風險評估，決定其所需要的安全服務種類，選擇相應的安全機制，然后集成先進的安全技術，形成一個全方位的安全系統；
嚴格的安全管理。各用戶單位應建立相應的網絡安全管理辦法，加強內部管理，建立合適的網絡安全管理系統，建立安全審計和跟蹤體系，提高整體網絡安全意識；
國家和行業部門制訂嚴格的法律、法規。計算機網絡是一種新生事物。它的許多行為無法可依，無章可循，導致網絡上計算機犯罪處于無序狀態。面對日趨嚴重的網絡犯罪，必須建立與網絡安全相關的法律、法規，使非法分子懾于法律，不敢輕舉妄動。
3.1 UNIX下的安全策略
目前網上的服務器仍然是以UNIX的系統為主，雖然它有很多的優點，但是它的安全問題還是值得我們探討和重視。
1.口令安全
UNIX系統中的/etc/passwd文件含有全部系統需要知道的關于每個用戶的信息(加密后的口令也可能存于/etc/shadow文件中). /etc/passwd中包含有用戶的登錄名,經過加密的口令,用戶號,用戶組號,用戶注釋,用戶主目錄和用戶所用的shell程序.其中用戶號(UID)和用戶組號(GID) 用于UNIX系統唯一地標識用戶和同組用戶及用戶的訪問權限.
/etc/passwd中存放的加密的口令用于用戶登錄時輸入的口令經計算后相比較,符合則允許登錄,否則拒絕用戶登錄.用戶可用passwd命令修改自己的口令,不能直接修改/etc/passwd中的口令部份.
一個好的口令應當至少有6個字符長,不要取用個人信息(如生日,名字,反向拼寫的登錄名,房間中可見的東西),普通的英語單詞也不好(因為可用字典攻擊法),口令中最好有一些非字母(如數字,標點符號,控制字符等),還要好記一些,不能寫在紙上或計算機中的文件中,選擇口令的一個好方法是將兩個不相關的詞用一個數字或控制字符相連,并截斷為8個字符.當然,如果你能記住8位亂碼自然更好.
不應使用同一個口令在不同機器中使用,特別是在不同級別的用戶上使用同一口令,會引起全盤崩潰.
用戶應定期改變口令,至少6個月要改變一次,系統管理員可以強制用戶定期做口令修改.
為防止眼明手快的人竊取口令,在輸入口令時應確認無人在身邊.
2.文件許可權
文件屬性決定了文件的被訪問權限,即誰能存取或執行該文件.用ls -l可以列出詳細的文件信息,如: -rwxrwxrwx 1 pat cs440 70 Jul 28 21:12 zombin 包括了文件許可,文件聯結數,文件所有者名,文件相關組名,文件長度,上次存取日期和文件名.
其中文件許可分為四部分:
-:表示文件類型.
第一個rwx:表示文件屬主的訪問權限.
第二個rwx:表示文件同組用戶的訪問權限.
第三個rwx:表示其他用戶的訪問權限.
若某種許可被限制則相應的字母換為-.
在許可權限的執行許可位置上,可能是其它字母,s,S,t,T.s和S可出現在所有者和同組用戶許可模式位置上,與特殊的許可有關,后面將要討論,t和T可出現在其他用戶的許可模式位置上,與"粘貼位"有關而與安全無關.小寫字母(x,s,t)表示執行許可為允許,負號或大寫字母(-,S或T)表示執行許可為不允許.
改變許可方式可使用chmod命令,并以新許可方式和該文件名為參數.新許可方式以3位8進制數給出,r 為4,w為2,x為1.如rwxr-xr--為754.
chmod也有其它方式的參數可直接對某組參數修改,在此不再多說,詳見UNIX系統的聯機手冊.
文件許可權可用于防止偶然性地重寫或刪除一個重要文件(即使是屬主自己)!改變文件的屬主和組名可用chown和chgrp,但修改后原屬主和組員就無法修改回來了.
3.目錄許可
在UNIX系統中,目錄也是一個文件,用ls -l列出時,目錄文件的屬性前面帶一個d,目錄許可也類似于文件許可,用ls列目錄要有讀許可,在目錄中增刪文件要有寫許可,進入目錄或將該目錄作路徑分量時要有執行許可,故要使用任一個文件,必須有該文件及找到該文件的路徑上所有目錄分量的相應許可.僅當要打開一個文件時,文件的許可才開始起作用,而rm, mv只要有目錄的搜索和寫許可,不需文件的許可,這一點應注意.
4.umask命令
umask設置用戶文件和目錄的文件創建缺省屏蔽值,若將此命令放入.profile文件,就可控制該用戶后續所建文件的存取許可.umask命令與chmod命令的作用正好相反,它告訴系統在創建文件時不給予什么存取許可.
5.設置用戶ID和同組用戶ID許可
用戶ID許可(SUID)設置和同組用戶ID許可(SGID) 可給予可執行的目標文件(只有可執行文件才有意義)
當一個進程執行時就被賦于4個編號,以標識該進程隸屬于誰,分別為實際和有效的UID,實際和有效的GID.有效的UID和GID一般和實際的UID和GID相同,有效的UID和GID用于系統確定該進程對于文件的存取許可.而設置可執行文件的SUID許可將改變上述情況,當設置了SUID時,進程的有效UID為該可執行文件的所有者的有效UID,而不是執行該程序的用戶的有效UID,因此,由該程序創建的都有與該程序所有者相同的存取許可.這樣,程序的所有者將可通過程序的控制在有限的范圍內向用戶發表不允許被公眾訪問的信息.
同樣,SGID是設置有效GID.用chmod u+s文件名和chmod u-s文件名來設置和取消SUID設置.用chmod g+s文件名和chmod g-s文件名來設置和取消SGID設置.
當文件設置了SUID和SGID后,chown和chgrp命令將全部取消這些許可.
6.cp mv ln和cpio命令
cp拷貝文件時,若目的文件不存在則將同時拷貝源文件的存取許可,包括SUID和SGID許可.新拷貝的文件屬拷貝的用戶所有,故拷貝另人的文件時應小心,不要被其他用戶的SUID程序破壞自己的文件安全.
mv移文件時,新移的文件存取許可與原文件相同, mv僅改變文件名.只要用戶有目錄的寫和搜索許可,就可移走該目錄中某人的SUID程序且不改變其存取許可.若目錄許可設置不正確,則用戶的SUID程序可被移到一個他不能修改和刪除的目錄中,將出現安全漏洞.
ln為現有文件建立一個鏈,即建立一個引用同一文件的新名字.如目的文件已經存在,則該文件被刪除而代之以新的鏈,或存在的目的文件不允許用戶寫它, 則請求用戶確認是否刪除該文件,只允許在同一文件系統內建鏈.若要刪除一個SUID文件,就要確認文件的鏈接數,只有一個鏈才能確保該文件被刪除.若SUID文件已有多個鏈,一種方法是改變其存取許可方式,將同時修改所有鏈的存取許可,也可以chmod 000文件名, 不僅取消了文件的SUID和SGID許可,而且也取消了文件的全部鏈.要想找到誰與自己的SUID程序建立了鏈, 不要立刻刪除該程序,系統管理員可用ncheck命令找到該程序的其它鏈.
cpio命令用于將目錄結構拷貝到一個普通文件中, 而后可再用cpio命令將該普通文件轉成目錄結構.用-i選項時,cpio從標準輸入設備讀文件和目錄名表,并將其內容按檔案格式拷貝到標準輸出設備,使用-o選項時,cpio從標準輸入設備讀取先已建好的檔案,重建目錄結構.cpio命令常用以下命令做一完整的目錄系統檔案:
find fromdir -print|cpio -o > archive

首頁上一頁 1 2 3 4 5 6 下一頁尾頁 4/6/6

相關論文


上一篇：LED數碼管顯示技術	下一篇：防御網站被攻擊對策探討

Tags：計算機安全實用技術研究

【收藏】【返回頂部】