网管需了解黑客入侵网吧的手段
添加时间: 2008-3-5 16:03:58 作者: 网络安全 阅读次数:3 来源: http://www.d9soft.com
首先要说的是国内现在有两种不同类型的网吧,一种是传统的网吧(网吧内的电脑是有主机和分机之分的,所有分机的要求都要经过主机的处理,然后才会到达internet)第二种是DDN网吧,这类网吧没有主机和分机之分,所有在网吧内的电脑是共享一条或多条专线,但每台电脑都有一个静态的IP,而且是直接连接上internet上的。
在第二种类型的网吧中,因为网吧的电脑是直接连上internet的,所以要用木马控制是完全没有问题的,下面就谈一谈传统网吧因为传统网吧中,只有主机是连接上nternet的,网吧内的其它分机想和internet进行数据通讯时就必须先向主机提送一个请求,在主机上运行的代理服务程序(wingatesygatewinproxy等等)就会对这些请求进行处理,将处理向internet中发送,当收到回应时就将数据向那台请求的分机发回去,在这种情况下,主机的作用不但是中介传送,还可以充当一个防火墙,因为所有向外(向internet)或向内(向分机)的请求都必须经过主机的处理,所以所有的请求要到达分机就必须经过主机了,这一点就成了为什么在家里的单机不能控制到这类型网吧内的分机了。
大部份的木马的服务器端程序在一台电脑上执行后,就会在那台电脑打开一个端口等待客户端的连接,例如一台在网吧内的电脑执行了冰河,那冰河就在那台电脑打开7626这个端口,然后
就是等待。这里就要解析一下内部IP和外部IP的问题了,在这里类型的肉吧中,每一台分机都有一个内部IP(由网卡分配的),内部IP主要是用于在局部网内电脑间的通讯),在整个网吧中,所有的电脑都只有一个外部IP的,这外部IP是由主机连接上internet时网络商分配的。
好了,现在假设那台感染冰河的网吧电脑的内部IP是192.12.12.12,外部IP是61.61.61.61当在家里使用的单机或在网络上的电脑尝试去连接冰河时,如果使用的IP是192.12.12.12的话,因为192.12.12.12这个IP在internet上根本不存在的(有几段IP是专用于设置内部IP的)如果这个IP不存在的话,你就得不到回应了。
当你使用61.61.61.61这个IP尝试去连接时,你的连接的请求首先会被那个网吧的主机收到(主机的防火墙和中介作用)主机没有感染冰河,所以你的连接请求马上会被拒绝,连接就失败了,对于这种传统类型的网吧,大部份的木马都是不可以控制到网吧内的电脑的,下面我们说说要控制网吧内的电脑的可能性.
由上述我们可知道,由外界向网吧内的分机发送连接请求时,主机会拒绝这类的请求的,但如果由网吧内的分机向某个特定的IP发送连接请呢?有什么情形发生呢?举个例子,某台分机使用浏览器观看www.yahoo.com.cn这个网站时,实质上就是分机向www.yahoo.com.cn发送一个请求,www.yahoo.com.cn收到请求时就会回应,然后数据向那台分机发回去,首先这些数据会经过主机,因为是由分机向外提出请求的,当有数据回应时,主机上的代理服务程序就会将数据向那台分机发去。在这种情况下,连接就顺利产生了,利用这个由原理,就可以实现控制网吧内电脑的可能性了。
蔬菜的那个木马就是利用这种原理,由木马的服务器端程序向外产生连接(传统木马是由客户端向服务器端产生连接的)这样就解决问题了。除了蔬菜的木马外,BioNet中的irc功能亦可以实现这样可能的,不过可能会有些限制。
BioNet这个木马中有一个功能就是irc通知功能,就是当服务器程序启动时,就会向指定的irc服务器上产生连接,然后在irc内那个指定的房间(channel)内待侯命令,这种情形和拒绝服务攻击那些等侯命令的服务器是一样的,因为这种连接是由服务器端(感染了木马的那台电脑)发出的,所以如果网吧内的主机不拒绝分机的这种连接的话(因为irc使用的默认端口是6667所以主机的服务器程序不一定会允许的,蔬菜的木马是使用ftp那个端口,那个端口一般是不会拒绝的)这样分机就可以连接上irc的服务器上了.
如果可以连接上的话,连接就已经产生了,这样由irc服务器上向分机发向命令就不再会被主机所拒绝了,虽然BioNet在irc服务器向木马服务端使用的命令是限的,但起码都有上载,远程执行和攻击这几个命令在,虽说是命令不够丰富,但因为irc上的限制,有这几种功能都算是不错的了。还有一个可以控制网吧内电脑的木马是remote-anything,3.6版以上才有这个功能的.
而且有一个条件就是,必须是网吧的主机亦有感染remote这个木马.在主机上的remote就充当一个"网关"的功能,将向分机的请求都转向到分机上去,这种功能几乎就是一种端口转向的功能(所谓端口转向功能,就是将对某个端口的请求转向到其它电脑上例如在主机上运行了一个端口转向的程序,这个程序将会把所有将向主机7777端口的请求都转向到某台分机上的7626端口去,假设分机的内部IP是12.12.12.12,而且感染了冰河,打开的端口是7626主机的外部IP是13.13.13.13那个在主机上运行的端口转向程序将向13.13.13.13端口7777的请求转到12.12.12.12的7626那个端口去当有人向主机13.13.13.13的7777端口时发送冰河连接的请求时.
这时口转向程序就发生作用了,马上将这个请求转向到那台12.12.12.12.分机上的7626那个端口去因为12.12.12.12那台分机是感染了冰河的,所以这台分机会马上作去回应,这样连接就会产生了,亦是说可以使用冰河控制网吧内的分机的),remote在主机上的"网关"功能就和上述的端口转向原理是差不多的。
虽然说要在主机感染了remote才可以控制网吧内感染remote的分机是一种限制,但总比没有这个功能要强,冰河的话,就算网吧主机感染了冰河,分机亦感染木马,你亦是只能够控制主机,根本是没办法控制分机(除非你是在那个网吧内使用其中的一台分机去控制,这就另当别论。
上一篇文章: 用Cisco交换机防止VLAN间ARP攻击 下一篇文章: Linux下限制Root用户进行远程登陆
相关文章:
相关软件: