计算机安全实用技术及研究(四)

本论文在其他论文栏目，由论文格式网整理,转载请注明来源www.lwgsw.com,更多论文,请点论文格式范文查看
下面我简单说说怎样破解UNIX的：
首先是FTP上一个站点，具体的格式是：c:>ftp www.xxx.com (同样你也可以用IP地址来代替域名)。有些站点不支持匿名登陆，如果你遇到这样的情况，请换一个支持匿名登陆的站点。
然后是找到它密码的存放位置，一般情况是在etc/passwd，如果你试图访问这个目录，而系统提示出错时，说明是没有权限访问这个目录，也请换个站点吧。
接下来是假设我们已经进到了它的etc这个目录下，我们可以用get命令将passwd文件抓回来。一般抓回来的都是被shadow过的密码文件。不过我们仍然可以用John来破。由于是暴力破解，可能破几天都无法成功，所以这种方法可以说是一种傻瓜式的入侵方法。
2.1.7 计算机病毒
计算机病毒是我们最熟悉不过的，一般代码都很短，但是破坏力惊人。轻则死机，重则系统数据丢失，无法启动。网络更是给病毒的传播大开绿灯，使得一个才出的病毒可以在短短的几分钟内传遍整个世界。
预防计算机病毒主要应做好以下几点：
⑴机器专人管理负责。
⑵不要从A盘引导系统。
⑶对所有系统软盘、工具软盘、程序软盘要进行写保护。
⑷对于外来的机器和软件要进行病毒检测。
⑸不使用来历不名的软件，也不要使用非法解密或复制的软件。
⑹对游戏程序要严格控制。
⑺网络上的计算机用户，要遵守网络的使用规定，不能随意在网络上使用外来软件。
2.1.8 Trojan Horse和PGP攻击
一、特络绎木马
Trojan Horse的中文名是特洛伊木马，它是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码以被该变，而一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客早已指定的任务。
一旦中了木马，那么你的一切信息都落入了黑客的手中。你的上网密码、信用卡帐号、邮箱密码等等，而且黑客可以随意使用你的硬盘，甚至格式化你的硬盘，让你电脑中的数据完全化为灰烬。
由于木马是客户端服务器程序，所以黑客一般是利用别的途径将木马安放到你的电脑中，主要是通过电子邮件和共享的途径进来。然后,木马一般会在以下三个地方安营扎寨:注册表、win.ini、system.ini,因为电脑启动的时候,需要装载这三个文件,大部分木马是使用这三种方式启动的.也有捆绑方式启动的,木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上.如果捆绑到一般的程序上,启动是不确定的,这要看目标电脑主人了,如果他不运行,木马就不会进入内存.捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马.非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马由很强的隐蔽性。
木马的服务器程序文件一般位置是在c:\windows和c:\windows\system中,为什么要在这两个目录下,因为windows的一些系统文件在这两个位置,如果你误删了文件,你的电脑可能崩溃,你不得不重新安装系统。
二、PGP攻击
PGP——Pretty Good Privacy，是一个基于RSA公匙加密体系的邮件加密软件，它可以用来对你的邮件加密以防止非授权者阅读，还能对你的邮件加上数字签名而使收信人可以确信邮件是你发来的。它让你可以安全地和你从未见过的人们通讯，事先并不需要任何保密的渠道用来传递密匙。它采用了审慎的密匙管理，一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大有很快的速度，而且它的源代码是免费的。
1、主动攻击篡改PGP代码。PGP代码是公开的，因此有可能被人篡改。因此校验用户得到PGP 发行包的完整性是非常重要的。当然有人会把MD5程序修改了，让对篡改过的文件报告一个正确的散列结果。这时找到一份已知完好的拷贝对照一下是最可靠的。特洛伊木马。特洛伊木马是个古老的计谋。一些出众的程序员开发了一个崭新的PGP 在WINDOWS环境下的一个工具，并将它发布到网上。于是，许多人都通过FTP得到一份拷贝。它的功能非常强大，有各种按钮和流通滚动条，甚至还提供了一堆WAV文件，还支持SoundBlaster AWE 32的音效，因此使用者可以一边加密文件一边欣赏着16位CD音质的音响。它占用很少的内存、编程精练、功能强大，而且它还能截获操作系统的中断，从而阻止它把重要信息交换到磁盘去而泄密。这么出众的软件还蒙蔽了大多数使用者。在这个程序里有那么几行特意布置的代码，记录了输入的每一个口令，并且当它发现机器上装了一个调制解调器，天知道它会向什么地方拨号并且传出窃取的口令和密匙。
2、被动攻击击键窥探。这是一种非常有效的攻击方法。简单地说就是记录用户的击键从中获得口令。攻击者通过键盘记录器记录用户的击键序列，具体方法因不同系统而异。在DOS下的PGP实现在这方面是最脆弱的，它拥有最多的键盘记录工具。攻击者甚至可以从网络上远程启动和停止记录器，在DOS下有些引导区病毒也可完成这一工作。对UNIX环境下的键盘记录有点复杂，因为需要ROOT权限，除非被攻击者是在X WINDOWS环境下输入口令的，X WINDOWS下的记录器不需ROOT权限。为防止这种攻击，对工作环境要仔细检查，同时作好私匙环文件的保存。
3、电磁泄露窥探。任何计算机设备尤其是显示器都有电磁泄露，通过合适的设备可以收到目标显示器上的信息，那么明文显示时就无密可言了。加装一个射频信号干扰器可以有效防止显示器信号泄露。键盘信号传不远，只要没人在你计算机里安“耳朵”就不怕泄露。内存空间窥探。在UNIX这样的多用户系统中，只要有合适的权限谁都可以检查机器的物理内存。和解密需要分解一个巨大的合数相比，打开/Dee/kmem这个系统虚存交换文件，长到用户的页面，来得更加容易。在UNIX系统中，进程、虚拟内存都对应了某些目录下的文件。磁盘缓存窥探。在WINDOWS这样的多任务操作系统中，系统有把内存中的内容交换到磁盘的习惯，而且这些交换文件是对用户透明的。更糟的是，这些内容不会很快被清除，有可能在磁盘上保留很久。如果在网络环境中，可能连用户自己都感觉不到，就被人偷走了这些信息。监听。在网络环境下，信息是以报文的形式在线路上传输的。如果是通过网络远程使用PGP，那么就有可能被人从报文传输途中监听到。如果信息是以明文的形式存放在报文中，于是传输的口令也就被攻击者知道了。使用一些加密联机的通信程序，像SSH、DESlogin或者干脆使用有加密性能的网络协议栈，可具防止监听工具的攻击。因为监听工具要处理大量的信息，如果不是明文，则解密需要相当的时间和工作量。
2.2 攻击前的工作
要想成功入侵一个系统，之前的准备工作是非常关键的。要想成功，准备一定要充分。试想如果连对方是用的什么样的操作系统，IP地址是多少，有什么样的漏洞等一无所知的话，入侵从何谈起。
首先要做的就是确定自己的攻击目标。假设我们的攻击目标是美国的商业公司，那么我们应该先查到它们的IP地址，查IP的方法很多。一般我是用Yahoo的搜索引擎对.com结尾的进行搜索，搜到它的域名后可以直接用Ping命令得到IP地址。还有就是网上有很多的黑客站点将许多的IP地址公布了出来，可以直接得到。
接下来就是对目标的扫描。现成的扫描工具太多，我也没有一一用过，一般情况我是用SuperScan对目标的端口进行全面的扫描，找出它那些开放的端口中可以利用的端口，然后用相应的方法进行攻击尝试。
2.3 扫除脚印
当你进入了对方的系统，你的一举一动都会被系统自动的记录下来。这时在你离开之前的最后一项工作就是更改或是删除对方的日志。
对于Windows NT系统来说，日志是在 c:\winnt\system32\logfiles下，在UNIX系统上,应该先是/etc/syslog.conf文件。还可以用专门的清除日志文件的工具进行日志的清除工作。
假如你是用的Unicode漏洞进入别人的系统，那么应该清除：
\winnt\system32\logfiles\*.*
\winnt\system32\dtclog\*.*
\winnt\ssytem32\config\*.evt
\winnt\system32\*.log
\winnt\system32\*.txt
\winnt\*.log
对于UNIX的系统，日志记录更多。下面列出了一些通用UNIX日志文件名,它们的功能和文件的内容.这些日志文件是否在系统
中存在,依赖于系统的配置.
messages
messages日志包含相当广泛的信息.
xferlog
如果被入侵的系统有FTP服务器功能, xferlog会记录所有传输的文件名.
utmp
这个文件包含当前登录在系统上每一位用户的信息(二进制格式).这个文件仅在确定当前
有哪些用户登录时有用.通过who命令可以得到其中的内容.
wtmp
用户每一次成功的登录,退出,系统重启,wtmp文件都会被修改.这是一个二进制文件;因此
需要使用工具来从文件中获取有用的信息.last就是这样一种工具.last的输出包含一个表
,表中记录了用户名,相关登录时间和来源主机.
secure
某些版本的UNIX(比如RedHat Linux)向secure日志文件中记录tcpwrapper消息.每次当一
个从inetd派生并使用tcpwrapper启动的服务连接建立时,该文件中会添加一条日志消息.
上面介绍的日志文件都可能记录下了你的踪迹，所以要仔细地查看，发现有记录的应更改或删除。
第三章网络安全防范
网络安全是一个涉及面很广的问题。要想达到安全与保密的目的，必须同时从法规政策、管理、技术这三个层次上采取有效措施。高层的安全功能为低层的安全功能提供保护。任何单一层次上的安全措施都不可能提供真正的全方位安全与保密。因此应考虑从下面几个方面入手：
先进的技术是网络安全与保密的根本保证。用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的安全系统；
严格的安全管理。各用户单位应建立相应的网络安全管理办法，加强内部管理，建立合适的网络安全管理系统，建立安全审计和跟踪体系，提高整体网络安全意识；
国家和行业部门制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依，无章可循，导致网络上计算机犯罪处于无序状态。面对日趋严重的网络犯罪，必须建立与网络安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。
3.1 UNIX下的安全策略
目前网上的服务器仍然是以UNIX的系统为主，虽然它有很多的优点，但是它的安全问题还是值得我们探讨和重视。
1.口令安全
UNIX系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中). /etc/passwd中包含有用户的登录名,经过加密的口令,用户号,用户组号,用户注释,用户主目录和用户所用的shell程序.其中用户号(UID)和用户组号(GID) 用于UNIX系统唯一地标识用户和同组用户及用户的访问权限.
/etc/passwd中存放的加密的口令用于用户登录时输入的口令经计算后相比较,符合则允许登录,否则拒绝用户登录.用户可用passwd命令修改自己的口令,不能直接修改/etc/passwd中的口令部份.
一个好的口令应当至少有6个字符长,不要取用个人信息(如生日,名字,反向拼写的登录名,房间中可见的东西),普通的英语单词也不好(因为可用字典攻击法),口令中最好有一些非字母(如数字,标点符号,控制字符等),还要好记一些,不能写在纸上或计算机中的文件中,选择口令的一个好方法是将两个不相关的词用一个数字或控制字符相连,并截断为8个字符.当然,如果你能记住8位乱码自然更好.
不应使用同一个口令在不同机器中使用,特别是在不同级别的用户上使用同一口令,会引起全盘崩溃.
用户应定期改变口令,至少6个月要改变一次,系统管理员可以强制用户定期做口令修改.
为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边.
2.文件许可权
文件属性决定了文件的被访问权限,即谁能存取或执行该文件.用ls -l可以列出详细的文件信息,如: -rwxrwxrwx 1 pat cs440 70 Jul 28 21:12 zombin 包括了文件许可,文件联结数,文件所有者名,文件相关组名,文件长度,上次存取日期和文件名.
其中文件许可分为四部分:
-:表示文件类型.
第一个rwx:表示文件属主的访问权限.
第二个rwx:表示文件同组用户的访问权限.
第三个rwx:表示其他用户的访问权限.
若某种许可被限制则相应的字母换为-.
在许可权限的执行许可位置上,可能是其它字母,s,S,t,T.s和S可出现在所有者和同组用户许可模式位置上,与特殊的许可有关,后面将要讨论,t和T可出现在其他用户的许可模式位置上,与"粘贴位"有关而与安全无关.小写字母(x,s,t)表示执行许可为允许,负号或大写字母(-,S或T)表示执行许可为不允许.
改变许可方式可使用chmod命令,并以新许可方式和该文件名为参数.新许可方式以3位8进制数给出,r 为4,w为2,x为1.如rwxr-xr--为754.
chmod也有其它方式的参数可直接对某组参数修改,在此不再多说,详见UNIX系统的联机手册.
文件许可权可用于防止偶然性地重写或删除一个重要文件(即使是属主自己)!改变文件的属主和组名可用chown和chgrp,但修改后原属主和组员就无法修改回来了.
3.目录许可
在UNIX系统中,目录也是一个文件,用ls -l列出时,目录文件的属性前面带一个d,目录许可也类似于文件许可,用ls列目录要有读许可,在目录中增删文件要有写许可,进入目录或将该目录作路径分量时要有执行许可,故要使用任一个文件,必须有该文件及找到该文件的路径上所有目录分量的相应许可.仅当要打开一个文件时,文件的许可才开始起作用,而rm, mv只要有目录的搜索和写许可,不需文件的许可,这一点应注意.
4.umask命令
umask设置用户文件和目录的文件创建缺省屏蔽值,若将此命令放入.profile文件,就可控制该用户后续所建文件的存取许可.umask命令与chmod命令的作用正好相反,它告诉系统在创建文件时不给予什么存取许可.
5.设置用户ID和同组用户ID许可
用户ID许可(SUID)设置和同组用户ID许可(SGID) 可给予可执行的目标文件(只有可执行文件才有意义)
当一个进程执行时就被赋于4个编号,以标识该进程隶属于谁,分别为实际和有效的UID,实际和有效的GID.有效的UID和GID一般和实际的UID和GID相同,有效的UID和GID用于系统确定该进程对于文件的存取许可.而设置可执行文件的SUID许可将改变上述情况,当设置了SUID时,进程的有效UID为该可执行文件的所有者的有效UID,而不是执行该程序的用户的有效UID,因此,由该程序创建的都有与该程序所有者相同的存取许可.这样,程序的所有者将可通过程序的控制在有限的范围内向用户发表不允许被公众访问的信息.
同样,SGID是设置有效GID.用chmod u+s文件名和chmod u-s文件名来设置和取消SUID设置.用chmod g+s文件名和chmod g-s文件名来设置和取消SGID设置.
当文件设置了SUID和SGID后,chown和chgrp命令将全部取消这些许可.
6.cp mv ln和cpio命令
cp拷贝文件时,若目的文件不存在则将同时拷贝源文件的存取许可,包括SUID和SGID许可.新拷贝的文件属拷贝的用户所有,故拷贝另人的文件时应小心,不要被其他用户的SUID程序破坏自己的文件安全.
mv移文件时,新移的文件存取许可与原文件相同, mv仅改变文件名.只要用户有目录的写和搜索许可,就可移走该目录中某人的SUID程序且不改变其存取许可.若目录许可设置不正确,则用户的SUID程序可被移到一个他不能修改和删除的目录中,将出现安全漏洞.
ln为现有文件建立一个链,即建立一个引用同一文件的新名字.如目的文件已经存在,则该文件被删除而代之以新的链,或存在的目的文件不允许用户写它, 则请求用户确认是否删除该文件,只允许在同一文件系统内建链.若要删除一个SUID文件,就要确认文件的链接数,只有一个链才能确保该文件被删除.若SUID文件已有多个链,一种方法是改变其存取许可方式,将同时修改所有链的存取许可,也可以chmod 000文件名, 不仅取消了文件的SUID和SGID许可,而且也取消了文件的全部链.要想找到谁与自己的SUID程序建立了链, 不要立刻删除该程序,系统管理员可用ncheck命令找到该程序的其它链.
cpio命令用于将目录结构拷贝到一个普通文件中, 而后可再用cpio命令将该普通文件转成目录结构.用-i选项时,cpio从标准输入设备读文件和目录名表,并将其内容按档案格式拷贝到标准输出设备,使用-o选项时,cpio从标准输入设备读取先已建好的档案,重建目录结构.cpio命令常用以下命令做一完整的目录系统档案:
find fromdir -print|cpio -o > archive

首页上一页 1 2 3 4 5 6 下一页尾页 4/6/6