史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-12-12, 12:34 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 提防路由攻擊成網路殺手

提防路由攻擊成網路殺手

  平時,我們看到的路由器入侵事件不多,因此在很多人的印象中,路由(Routing)只是選項通過網際網路絡從源節點向目的節點傳輸訊息的通道。


其實,路由器的安全隱患很多,由於一般黑客接觸得不太頻繁,被攻擊的事件很少發生。但是如果路由器被攻擊,後果將不堪設想。

  路由安全,不可忽視

  路由器是內部網路與外界的一個通信出口。它在一個網路中充當著平衡帶寬和轉換IP位址的作用,實現少量外部IP位址數量讓內部多台電腦同時訪問外網。

一旦黑客攻陷路由器,那麼就掌握了控制內部網路訪問外部網路的權力。而且如果路由器被黑客使用拒絕服務攻擊,將造成內部網路不能訪問外網,甚至造成網路癱瘓。

  一般來說,路由器的組態方式有:用主控Console口接終端組態;在AUX口接Modem同電話網相連,在遠端組態;在TCP/IP網上可通過模擬終端(virtual termianl)telnet組態;可以從TFTP Server上下載組態;另外,還可以用網管工作站進行組態。


路由器攻擊造成的最大威脅是網路無法使用,而且這類攻擊需要動用大量靠近骨幹網路的伺服器。


其實,路由器有一個操作系統,也是一個軟體,相對其他操作系統的技術性來說,差距是非常明顯的。由於功能單一,不考慮相容性和易用性等,核心固定,一般管理員不允許遠端登入,加上瞭解路由器的人少得很,所以它的安全問題不太明顯。有時候偶爾出現當機狀態,管理員一般使用reboot指令後,也就沒什麼問題了。


  也正因為這樣,致使很多路由器的管理員對這個不怎麼關心,只要網路暢通就可以了,因為路由器通常都是廠家負責維護的。甚至有些廠家總愛附帶一句說:「如果忘記了密碼,請和經銷商聯係。」事實上,連Unix都有很多漏洞,何況路由器脆弱的操作系統?當然路由器一般是無法滲入的。


為,你無法遠端登入,一般管理員都不會開的。但是讓路由器拒絕服務的漏洞很多。而且,很多管理員有個毛病,他們往往對Windows的操作系統修正檔打得比較勤,但是對路由器的操作系統的修正檔,很多管理員都懶得去理。

  「萬能密碼」攻擊路由

  早在學校的時候,小張就對路由器的設定很感興趣,管理機房的導師也是這方面的行家,據說學校機房的一台路由器的操作系統就被他給反編譯分析了。


根據導師的說法,路由器的操作系統比起Linux來要簡單得多,而且那個型號的路由器存在著像電腦BIOS一樣的密碼,有了這個密碼,很多事情就方便多了,這就是為什麼有些路由器公司的手冊上有那句話:「如果忘記了密碼,請和經銷商聯係。」看來,這種情形放到其他軟體公司開發的產品上也不過份。


根據小張的猜想,每個路由器都有一個萬能密碼,如果真這樣,那後果就不堪設想了。

  畢業後參加工作,小張來到了一家網路公司。通過對公司的網路設定觀察,小張發現,由於一般機器都有防火牆,包過濾通常安裝在路由器上,並且大多數路由器都提供了包過濾的功能。



現在小張想做的,就是實踐導師所說的那個「萬能密碼」,而且很巧的是,服務機構裡用的路由器也是導師反編譯過的那個型號,但是想獲得連接路由器的控制權力還是要費點事的。小張選項了對路由器管理接頭的入侵,通過獲取路由器的登入密碼到設備內部,然後看看設備的組態,只要不影響到網路的正常執行就可以了。



通過觀察,小張發現有台制作備份資料庫的電腦和交換機是一個網段的,按道理說,應該是通的。經過一個小小的遠端測試,果然如此。看來,就要用這個制作備份資料庫來「偷窺」密碼了。

  找了個理由,小張非常輕鬆地進入了制作備份資料庫,開啟FTP連接阜,然後輕鬆地安裝了一個代理伺服器。現在該做點其他的事情了,小張回到自己的電腦上,測試了一下Proxy+這個軟體。到http://down.juntuan.net下載後,...1所顯示。

http://www.juntuan.net/d/file/hkjc/aqff/2005-12-08/4ff89b82fbb06fbf39b4f00d5ff0ae2b.jpg
根據軟體的英文提示,開啟本地機位址的4400連接阜,看了看簡單的代理設定。如圖2所顯示。

http://www.juntuan.net/d/file/hkjc/aqff/2005-12-08/8c68acdf60af242b0fb6ac93837a7235.jpg

  測試完畢,小張神不知鬼不覺地把這個代理軟體傳到了制作備份伺服器上,安裝以後,開啟客戶端IE瀏覽器的「工具」表單下的「Internet選項」,然後開啟「連接」選擇項下的「區域網路設定」,選項「使用代理伺服器」,下面要做的當然就是填寫安裝proxy+的制作備份資料庫的IP了,連接阜號是4480,如圖3所顯示。
http://www.juntuan.net/d/file/hkjc/aqff/2005-12-08/24da3a72022f444ade2d3f7aff92e2f6.jpg

  這樣就可以在無人可知的情況下放心上網檢視路由器的「萬能密碼」了。


小張現在要做的,就是在制作備份資料庫伺服器上安裝個軟體路由器。然後在總路由表中加一條規則,把公司網管電腦的資料全部轉發到制作備份資料庫伺服器的軟體路由器上,然後通過制作備份資料庫伺服器的路由器再轉向那個總路由器。


做完這些以後,小張在制作備份資料庫伺服器的路由器上安裝了一個包過濾軟體。這樣,網管對外的資料包都會被記錄下來,至於資料加密的強度,網管覺得telnet是個很不錯的登入方式,方便而且自我感覺安全性不錯,實際上,telnet傳送的資料是不加密的。小張心裡琢磨著,如果採用個什麼DES加密,那這麼多活說不定都白幹了。

  路由攻擊有理可依

  傳統的包過濾功能在路由器上常可看到,而專門的防火牆系統一般在此之上加了功能的增強,如狀態檢測等。由於包過濾是一種保安機制,它通過檢查單個包的位址、傳輸協定、連接阜等訊息來決定是否允許此資料包通過。


網路中的套用雖然很多,但其最終的傳輸服務機構都是以資料包的形式出現,這種做法主要是因為網路要為多個系統提供共享服務。


例如,文件傳輸時,必須將文件分割為小的資料包,每個資料包單獨傳輸。每個資料包中除了包含所要傳輸的內容,還包括源位址、目標位址。


資料包是通過網際網路絡中的路由器,從源網路到達目的網路的。路由器接收到的資料包就知道了該包要去往何處,然後路由器查詢自身的路由表,若有去往目的的路由,則將該包傳送到下一個路由器或直接發往下一個網段;否則,將該包丟掉。結構如圖4所顯示。
http://www.juntuan.net/d/file/hkjc/aqff/2005-12-08/c34c5986b13723f532db214b2beab321.jpg

  在區域網路和Internet之間放置過濾器後,就可以保證區域網路與Internet所有的通信資料都要經過過濾器。


於是,小張觀察到網管在reboot路由器的時候,就開動了包過濾軟體。果然,週一網管進行例行檢測的時候,IP資料包就源源不斷地傳過來了。


在觀察的時候,小張立刻以最快的速度下載下記錄文件,並恢復了出口路由器上的設定,然後移除掉在制作備份資料庫伺服器上安裝的所有東西並斷掉連接。


開始在自己的電腦上分析攔截下來的資料包。根據以前telnet的資料包試驗分析,所以不費吹灰之力,密碼的位置在雜亂的資料包中很快就被試驗出來了。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-12-12, 12:36 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

  路由防禦有道可尋

  後來,小張榮升為網管,針對路由器的安全情況,就進行了如下的修改:合理組態路由器等網路設備,可以避免多數的對路由傳輸協定和遠端組態連接阜的攻擊;用專用的身份鑒別產品增強路由器等設備的登入安全性;使用雙因素身份鑒別產品,這類產品採用一次性密碼技術,並且在登入程序中要求相應的認證硬體參與,可以有效消除密碼洩密的危險。同時可以通過收回或撤消令牌的辦法明確地收回離職管理員的權限。


同時,他還準備採用比較可行的手段預防DDOS攻擊,包括:
  首先,在各主要入口和關鍵節點安裝能夠防範Flooding攻擊的防火牆,這樣可以在攻擊時,將攻擊的效果封閉在相對較小的區域內,而不會波及全網,並能夠在一定程度上確定攻擊來源。



這種方法的弊端也是十分明顯的,一是代價很高,需要組態比較多的高效能防火牆。另一方面,帶寬資源是ISP的主要競爭資源,任何降低帶寬的技術都是不利的,而位於骨幹節點的防火牆無疑會直接影響ISP所擁有的有效帶寬。當然,為了防止自己的小技巧被別人識破,小張制定了規則來避免虛假的TCP/IP位址,這樣攻擊者就不能用欺騙的方法偽裝成來自區域網路的消息。如果攻擊者假裝是內部的機器,用過濾器就能夠有效阻止攻擊者的攻擊了。

  其次,在骨幹節點安裝網路檢測設備,當發現這類攻擊時可以通過臨時在各路由節點封鎖對攻擊目標的資料包,從而保護網路帶寬和被攻擊的伺服器。這種方式由於不在骨幹線路上增加過濾設備,不會影響網路帶寬,因而比前面的方案更加合理。代價是,這種方案需要為網路檢測系統配備足夠的計算能力,以應付骨幹網路上的巨大的資料流量。同時,攻擊發生時需要具備比較強的處理能力,並預先攻擊發生時的處理規則。

  從上面這些分析看,路由器的安全不容忽視,由此到整個網路看,安全的隱患也不是某個設備的問題,整體的安全協調才是最重要的。知己知彼,才能百戰百勝。

  攻防小記事

  利用智能ABC來關閉程序

  智能ABC是一款非常流行的拼音輸入法,在所有的Windows系統中進行了預設的安裝,這樣就可以方便大家按照我們介紹的技巧來進行操作了。在智能ABC輸入法的狀態下依次輸入V、↑(向上的方向鍵)、Delete、空格,接著就會連同你輸入的介質程序一起崩潰。比如你在WPS中輸入,就會連WPS和輸入法一起崩潰結束。雖然在平時我們覺得它沒有什麼用處,但在某些地方,比如說網咖,就可以使用該方法來對付網咖的計費程序或管理程序。該方法可以對付一切的網咖計費程序。目前對於該漏洞的避免只有移除智能ABC輸入法,使用紫光等其他的中文輸入法來替代。

  防範Office資料夾帶惡意程序

  通過Office資料夾帶惡意程序是最近才流行起來的一種傳播方法,該方法的隱蔽性很強,一般不會引起用戶的注意。黑客通過在Office文件的尾部加入惡意程序,然後利用VBA來編寫一段巨集程式碼,只要用戶執行這個Office文件,巨集就會自動將文件尾部的可執行文件讀出並儲存,然後執行它。

  其實要成功地利用該方法進行惡意程序的種植,還需要滿足一個條件,那就是HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Stationery中的「Level」值必須為1或者2才行。因為當「Level」的鍵值為3時就表示安全度高,這時Word將拒絕執行任何的巨集;只要我們將「Level」的鍵值設為3就可以起到防範的作用。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-01-26, 06:54 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

教你通過路由器控制上網

現在很多家庭用戶都通過電信的ADSL或其他公司提供的類似檔案類型的寬瀕上網。由於寬瀕的費用並低廉,而對於大多數沒有大量資料下載的家庭用戶來說,一戶人或一台電腦獨佔一條ADSL有點浪費資源的感覺。於是現在很多人都用共享一條寬瀕上網。
這種共享上網的方法一般如下:電話線--語音濾波器--ADSL貓--寬瀕路由器--交換機|集線器--電腦

在這種情況下,我經過思考與試驗,我發現可以通過對寬瀕路由器進行適當設定就可以對上網進行限制。

這裡以TP-LINK TL-R402M為例(因為我發現最多人用這種。。。)說說限制上網的步驟。
1.取得區域網路內所有使用者的IP與MAC位址.
取得IP的方法很多,推薦用"區域網路檢視工具",網上隨便搜尋一下就有了.
取得MAC位址的方法:WIN+R,輸入CMD,用"NBTSTAT -A IP位址" 檢視
取得自己電腦IP與MAC的方法:WIN+R,輸入CMD,用"IPCONFIG /ALL" 檢視

2.登入寬瀕路由器
開啟IE,輸入192.168.1.1(一般都是這個....),就會出現登入視窗
帳號:ADMIN
密碼:ADMIN(預設是這個,一般不更改滴...如果被更改了,稍候我研究下怎樣破解,有進展再發帖)
登入後會出現寬瀕路由器的設定頁面

3.只允許自己的電腦上網的設定
1,設定頁面--DHCP伺服器--靜態位址分配--將自己的IP位址與MAC位址綁定(輸入並儲存即可)
2,設定頁面--安全性設定--防火牆設定--選項開啟防火牆,開啟IP位址篩選,開啟MAC位址篩選三項--選項"凡是不符合已設IP位址篩選規則的資料包,禁止通過本路由器"和"僅允許已設MAC位址列表中已啟用的MAC位址訪問Internet"
3,設定頁面--安全性設定--IP位址篩選--增加新 列項--把你的IP位址填進去,並選項使所有 列項生效.
4,設定頁面--安全性設定--MAC位址篩選--增加新 列項--把你的MAC位址填進去,並選項使所有 列項生效.
這樣設定後,嘿嘿,除了你之外,沒有人可以上外網,但區域網路內部之間可以正常訪問

4.不允許某一台電腦上網的設定
1,設定頁面--安全性設定--防火牆設定--選項開啟防火牆,開啟MAC位址篩選二項--"禁止已設MAC位址列表中已啟用的MAC位址訪問Internet"
2,設定頁面--安全性設定--MAC位址篩選--增加新 列項--把禁止上網的電腦的MAC位址填進去,並選項使該 列項生效.
這樣設定後,被禁止上網的電腦就不可以上網了,但區域網路內部之間可以正常訪問.

對於只允許自己的電腦上網的設定,其他電腦想上網,是比較有難度的(除了入侵路由器並更改設定外).
而對於第四點提到的禁止上網的方法,卻是有比較簡單的方法破解的(不需要更改路由器的設定),至於怎樣破解......想到的麻煩跟帖...賞紅包一個.
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 11:08 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1