精品推荐
阅读排行
· 查看svchost.exe进程· PRO/E 十种技巧
· [组图] 3ds Max 高级长篇人
· [组图] PRO/E的曲面设计
· 怎样学好PRO/E软件?
· 路由技术介绍
· Pro/ENGINEER 学习资
· xml的应用是什么?x
· [组图] Photoshop制作珠宝文
· [组图] flash人物绘画教程
| 作者:佚名 来源:www.pccode.net 整理 发布时间:2006-4-13 15:16:41 发布人:wongrs |
| Win2K入侵检测实例分析 假设入侵行为3及应对措施 继续回到假设的环境中。现在,我的探测脚本已经结束运行,我发现你的网络中一台计算机的系统管理员口令为空,这表明该系统刚刚安装不久,还没有来得及进行保护。我用管理员帐号和空口令连接到那个机器上,将要做的第一件事就是上传一些木马类程序和运行状况检测程序,例如nc.exe、lsadump2.exe、tlist.exe以及一些扫描脚本。当然,你的系统上已经内置了我所需要的其它工具,如nbtstat.exe。我启动服务器的定时服务,设定nc.exe在一分钟后运行,并将cmd.exe重新定向到一个端口,如1234。一分钟后,我使用nc.exe从本地连接到远程计算机进入命令行状态,运行tlist.exe得到了当前程序列表,运行lsadump2.exe来查看存储的口令,或者浏览硬盘,得到想要的内容。 现在看看你能对以上攻击有何察觉以及能够采取的措施。打开任务管理器,你会注意到cmd.exe,它有一个很高的程序ID值;你还会注意到定时服务正在运行;你查看C:WinntSchedLgU.txt,注意到就在刚才有一个nc.exe程序的内容,在任务列表中也同样有一个;使用Explorer的查找功能,你可以寻找最后一天中生成的所有文件,这不奇怪,你会在System32目录中发现许多新的可执行文件,包括nc.exe。你试图结束命令行操作,但是却未被允许,这时就可以断定发生了一个侵入行为,马上可以开始收集证据了。现在关闭计算机告诫攻击者已经被发现,因为你不想留给他进行实际攻击的时间。事件日志显示失败的登录尝试,在最后也会将成功的登录显示出来。但是,事件日志中的条目没有显示另一端计算机的IP地址,只是显示了计算机的名字。为了确定其IP地址,可以键入以下命令: netstat -a –n
nbtstat -A 在netstat 的输出中,你还应该能注意到一个与TCP端口1234的连接,这属于nc进程。你可能还会注意到许多与网络上其它计算机的 UDP 137 和138的连接。 假设入侵行为4及应对措施 再次回到假设的环境中。我还通过nc的远程命令行对你的内部网络中其它计算机进行了扫描,发现在一台名叫FILESERVER的计算机上有一个共享目录PUBLIC。我将这个共享进行映射,并开始嗅探工作。由于你的网络中其它计算机存在NetBIOS连接,因此你怀疑这个计算机会被利用并危及内部网络的安全。在命令行中键入以下命令: net view 你可以从输出中观察到对内部文件服务器的驱动器映射情况。 在对你的硬盘浏览了一会儿之后,我再次运行tlist.exe,注意到现在屏幕保护程序不再运行了,并且打开了一个命令行窗口。我还不能肯定你是否发现了我,于是赶快对注册表的某些项目进行修改,以使计算机启动时再次运行netcat,最后断开连接。等了大约10分钟,我再次ping这个计算机,得到了一个请求超时应答。显然,你已经发现了我,于是我与“借来的”帐号说声白白。 小结:入侵检测跟踪信息6部分 以上这些入侵行为都是虚构的,并且有点简单,但是它展示了一个基于网络的攻击的许多要素,以及如何检测出这样的攻击。理论上而言,只要你坚持跟踪以下信息,那么几乎所有基于网络的攻击都能被检测出来: # 网络上拥挤程度和网络连接 # Web拥挤程度和“pages not found”错误的发生次数 # 成功及失败的登录尝试 # 对文件系统所做的改变 # 当前运行的应用程序和服务 # 定时运行的应用程序或在启动时运行的应用程序 通过对这些内容进行跟踪,不需要任何外来的入侵检测软件就能阻止许多破坏企图。当然,其它应用程序也会很有帮助,但管理员必须时刻牢记以上六条。 结 语 本文描述的场景是在管理员在场的时候发生的一个攻击,而在真实生活中,一天24小时中可能发生许多次攻击。有些只是简单的端口扫描,而有些则是对网络的全面威胁。不管是哪种攻击,都不应该漠然坐视而不采取行动。通过本文介绍的应对措施,我们完全可以建立一个对自己网络有用的入侵检测系统:我们可以通过Email或者页面的方式发送警报信息,也可以使用定时服务来定时将当前运行的所有程序或网络连接写入日志文件。就是说,编写一些脚本程序,并借助定时服务以及少量的免费软件工具,我们就可以建立一个实用的入侵检测系统,其性能可能比市场上的许多入侵检测软件都要好得多。发现入侵者的关键不在于有多少强有力的软件,最重要的是要了解入侵者是如何行动的,并且比他们抢先一步。(完) |
| [ ] [返回上一页] [打 印] [收 藏] |
上一篇文章:移动代理在入侵检测系统中的应用
下一篇文章:Win2K入侵检测实例分析(3) |
