中国NB的黑客分别是谁?
1 中国著名黑客 不完全档案 网名:janker(孤独剑客) 真实姓名:王献冰 年龄:28 OICQ:5385757 电子信箱:janker@371.net 主页:http;// (孤独剑客) http;// (派客地带) 简介:掌握A *** 和C语言的系统 *** 编程,熟悉Windows和Unix等系统平台的维护与管理,精通前沿的模拟攻击与反黑客技术,能够熟练运用防火墙,扫描仪,入侵检测系统,虚拟私有网,公告密钥体系和身份认证等技术,熟悉相关产品的配置,曾为国内的网站, *** 机构,证券,银行,信息港和电子商务网等设计整体安全解决方案并提供专业化安全服务,有着丰富的团队建设,安全项目管理和安全工程实践经验.曾开发出很多的优秀软件,如Winshell,PassDump,SecWiper等,还有早期的系统安全漏洞测试工具IP Hacker等优秀软件.现为世界著名的 *** 安全公司中国分公司高级安全顾问. 网名:Frankie(老毒物,深圳浪子) 真实姓名:谢朝霞 年龄:不详 OICQ:不详 电子信箱:frankie@163.net 网站:http;// (深圳辰光设计工作室) http;// (安络科技) 简介:中国之一代黑客成员,现是著名的 *** 安全专家.在"两国论"期间的"海峡黑客对撞风波"和针对由"5.8轰炸我驻南使馆事件"引发的黑客事件中,谢朝霞起着举足轻重的作用.事实上,谢朝霞并不是由于参与攻击别人的网站而著名.谢朝霞是Windows NT高手,1996年初开始从事 *** 安全研究,对世界范围内各种流行的黑客技术进行详细的记载与分析,专门收集,发现 *** 系统安全研究.1998年,谢朝霞建立了自己的个人网站"辰光工作室",开始发布自己对近千篇黑客技术文档和2000多个工具的分析心得,公布了大量的 *** 安全工具,与其他黑客共享.谢朝霞现为深圳安络科技有限公司的副总裁. 网名:sunx 真实姓名:孙华 年龄:27 OICQ:239670 网站:http;// 简介:资深 *** 安全专家,软件设计师,Unix专家,在黑客,病毒等技术上均具有顶尖水平,对系统内核研究有很高的造诣,程序反编译,跟踪,调试,破解更不在话下,对防火墙技术的研究达到世界领先水平,具有多年从事 *** 安全的工作经验.他在国内安全技术界具有很高的知名度,曾经多次被电视,电台和报纸报道,被国内多个安全组织聘请为技术顾问.他曾经多次协助 *** ,公安,军队等机构,追查 *** 罪犯,领导机密产品研发.现为湖北省公安厅特聘安全顾问,深圳市 *** 特聘安全专家,深圳市浩天 *** 安全技术有限公司技术总监,深圳市晓宇软件公司技术顾问,个人作品较多. 作者:222.218.138.* 2005-7-21 23:52 回复此发言 2 回复:中国著名黑客 不完全档案 网名:tianxing(天行) 真实姓名:陈伟山 年龄:25 OICQ;911189 网站:http;// 简介:福建"天行软件王国"站长,中国之一代黑客之一,顾问级 *** 安全专家,首席软件设计师,理论与实践相结合型.其代表作" *** 刺客"," *** 卫兵"等深受安全人士喜爱,注册用户数以万计,为中国黑客技术研究起着不可磨灭的推动作用,对入侵检测技术的研究达到了世界领先水平.tianxing平时喜好 *** 游戏,五行八卦,武术,战略研究等.1999年5月8日中国驻南联盟使馆事件发生后,他与一班同盟们将某国的一些知名网站的主页换成了"骷髅旗",目的是告诫其 *** 中国人民不可辱,在 *** 上发出了自己的爱国呼声. 网名:goodwel 真实姓名:龚蔚 年龄:不详 OICQ:11120 网站:http;// (绿色兵团) 简介:goodwell于1997年在国外网站申请了一个免费空间并在国内多处做了镜像站点,当初起名为“绿色兵团”,他先后结识了rocky(因车祸已故)、袁哥、backend、blackeyest等人。在他们的共同维护下,绿色兵团主站发展壮大,如今绿色兵团已发展成为亚洲更大的,也是中国最早、最有技术实力的黑客站点。 网名:coldface 真实姓名:周帅 年龄:25 OICQ:87272 电子信箱:coldface@isforce.org 网站:http;// ( *** 力量) 简介:绿色兵团核心成员,绿色兵团北京站-- *** 力量网站站长,20岁从江苏老家跑到北京,凭借着自己在计算机上的天赋,熟练掌握了各种操作系统并能对系统的各种漏洞加以利用,有着扎实的计算机水平,为绿色兵团做过很多事情,是个纯org的倡导者。现世纪腾飞公司就职,所从事的职业并非 *** 安全,但研究 *** 安全对coldface来说是一种享受。 作者:222.218.138.* 2005-7-21 23:52 回复此发言 3 回复:中国著名黑客 不完全档案 网名:rootshell(fzk) 真实姓名:冯志焜 年龄:28 OICQ:1734398 电子信箱:sysadm@21cn.com 网站:http;//ns-one.com 简介: *** 安全专家,毕业于广东省广州市中山大学科学计算与计算机应用系,起初从事 *** 管理员一职,先后在深圳安络科技有限公司、上海创源公司从事过安全研究工作,现是深圳市浩天 *** 安全技术有限公司工程部服务经理。曾是国内 *** 、银行、电信等部门紧急应急负责人及设计者。精通TCP/IP协议、熟悉Unix系统内核与底层,精通Solaris、HP-UX、AIX、*BSD、Linux和Windows NT/2000等操作系统的 *** 安全配置与管理及 *** 安全应用等。fzk绝对是一位攻击型“爱国黑客”。他认为“黑客是不分国界的”。 网名:Rocky(因车祸已故) 真实姓名:不详 年龄:不详 网站:http;// (绿色兵团) 简介:请看来自goodwell在绿色兵团网站上对他的介绍:“请允许我把这个人的名字放在之一位,并致以最沉痛的悼念。他是早期的绿色兵团核心成员,某国国防部的Web Site上曾留下过他为祖国的呐喊,绿色兵团早期的文章由他翻译。我依然记得4年前Rocky之一次进入我的Linux时,他的激动和喜悦,然而今天他却永远离开了我们,走得这么突然。我会记得你,大家会记得你,直到永远、永远,我的朋友--Rocky。” 网名:Eagle(大鹰) 真实姓名:艾奇伟 年龄:25 性别:男 OICQ:1949479 电子信箱:e4gle@whitecell.org 主页:http;// 简介:绿色兵团核心成员很有互助精神。大鹰毕业于南航计算机系,在补天 *** 公司呆了一年,任职技术总监,是补天的得力干将。和.abu.他们都是很要好的朋友,补天公司倾注了他很多心血,但由于和投资商发生了一些矛盾,在2001年6月份辞职来到了北京。他在华泰 *** 公司做安全顾问,然后当了一段时间的开发组组长,华泰重组后参与了863项目的研发,课题是安全操作系统内核的研发。大鹰熟悉Linux、Solaris、FreeBSD等系统内核和动态链接机制、elf文件格式及各种Exploit攻击技术研究等。大鹰是国内比较有名的LinuxHacker,对Linux内核,Linux病毒和栈溢出、格式化字符串和堆溢出等都有很精深的研究。他曾经发现过多个Linux安全漏洞,例如著名的RedHat Linux利用Ping获取本地root权限等。 作者:222.218.138.* 2005-7-21 23:53 回复此发言 4 回复:中国著名黑客 不完全档案 网名:DigitaBrain 真实姓名:朱建国 年龄:23 性别:男 OICQ:15614487 电子信箱:digitabrain@163.com 主页:http;// 简介:1998年在成都电子科技大学自考计算机专业毕业,1998-2000在四川托普集团进行中间件平台、数控系统等项目的研发工作,2000-2001/8在四川天府热线,从事软,件开发工作;2001/8以后在安盟科技有限责任公司担任技术研发部经理。他精通计算机相关理论科学、DOS 80x86汇编语言,熟悉Win32汇编语言、C/C++、PASCAL,熟练使用Visuall C++、Delphi等开发工具,精通以太网 *** 协议以及具体的 *** 应用,对 *** 安全有较深入的研究。他还精通Window 9x/NT/2000内核级编程,能熟练开发各种低层应用程序,熟悉Unix/Linux下的软件开发与应用,并开发出了很多优秀软件。
打开电脑网页会弹出“堆栈溢出”,这是什么问题,怎么解决?求大神解答,谢了!
这就是溢出漏洞
本词条缺少信息栏、名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
溢出漏洞是一种计算机程序的可更正性缺陷。溢出漏洞的全名:缓冲区溢出漏洞 因为它是在程序执行的时候在缓冲区执行的错误代码,所以叫缓冲区溢出漏洞。
目录
1简介
2何谓溢出漏洞
▪ 溢出原理
▪ 本地溢出
▪ 远程溢出
3相关资料
▪ 在程序的地址空间里安排适当的代码
▪ 控制程序转移到攻击代码的形式
▪ 植入综合代码和流程控制
1简介编辑
它一般是由于编程人员的疏忽造成的。
具体的讲,溢出漏洞是由于程序中的某个或某些输入函数(使用者输入参数)对所接收数据的边界验证不严密而造成。
根据程序执行中堆栈调用原理,程序对超出边界的部分如果没有经过验证自动去掉,那么超出边界的部分就会覆盖后面的存放程序指针的数据,当执行完上面的代码,程序会自动调用指针所指向地址的命令。
根据这个原理,恶意使用者就可以构造出溢出程序。
2何谓溢出漏洞编辑
溢出原理
其实溢出原理很简单(我以前以为很难理解,太菜了,o(∩_∩)o…)。当然,这里为了让大家容易理解,会引用一些程序实例(如果没有编程基础的,可以略过程序不看,影响不大,还是能理解的),而且说得会比较通俗和简单,不会太深入。
从书上找来找去,终于找到一个适合的程序(汗!要找符合的程序简单啊,但是要找特级菜鸟觉得特别简单的程序就不多了,55~~)。大家看看下面这段程序:
#include “stdafx.h”
#include “string.h”
#include “stdio.h”
char buf[255],pass[4]; /*声明变量,让计算机分配指定的内存*/
int main (int argc,char* argv[ ])
{
printf(“请输入您的密码:”); /*指定输出的字符*/
scanf(%s,buf); /*输入一个字符串,保存在变量buf中*/
strcpy(pass,buf); /*把字符串buf中的字符串复制到变量pass中*/
if (strcmp(pass,”wlqs”)= =0) /*比较输入的字符串是否为密码*/
printf (“输入正确!”);
else printf(“输入错误!);
return 0;
}
(注:“/*”中的中文是对程序的注解)
这是一段密码验证程序,与我们平时输入密码一样,先让用户输入密码,然后在取得真正的密码,与之对比,如果差异为0,则输出密码正确,否则输出密码错误。很多帐号登录的程序都是这样做的,看起来没有非常合理,其实不然,它有一个致命缺陷!这个漏洞很容易就看出来了。那就是它给数据申请了4个字节的储存空间,但是万一用户输入的数据不只4个字节,那么剩余的字节存放在哪里?
先举个例子,有一条一米长的木头,有一张红色纸条从尾巴往头贴,上面写有字,然后又有一张蓝色纸条,上面也写有字,要从木头的头往它的尾巴贴,但是贴了红色纸条过后只剩4cm的长度,贴完后会有人读出后面96cm的字,并且执行字条的命令,但是蓝色纸条却有10cm的长度,怎么办呢?只有把蓝色纸条剩下的部分贴在红色纸条上了。那么红色纸条的一些字就被覆盖了。但是那个人还是会去读那后面96cm的字,所以他就只有读错,前面读的都是蓝色字条的字。先前去执行的是蓝色字条后面6cm的命令。
当然大家看了这个例子也不是很懂,下面来注解一下:
人——CPU
红色字条上的字——CPU要执行的命令
4cm的长度——计算机为数据申请的内存空间
蓝色字条上的字——要储存的数据
可以看见蓝色字条已经覆盖了红色字条上的字,然而那个人还是必须读出后面96cm的字并执行。后面已经不是规定的命令了!他根本就不能执行,根本读不懂!那么他就不能执行了,并且报错。
如图系统只为我的密码分配4个字节的内存,那么我输入的密码是“714718366”循环了6次的,不只4个字节吧,其他剩下的字符将溢出!剩下的数字将占用内存空间,那么系统执行命令的时候将会执行占用内存的数据,而不是执行原先写好的命令了!这些数字系统根本就读不懂,如何执行?那么它只好报错了!说此程序遇到问题需要关闭。那么计算机上的程序将出错而无法执行或关闭。
本地溢出
上面所说的本地计算机因数据溢出而关闭程序或无法执行就叫做本地溢出。输入超长的数据已经把计算机要执行的代码覆盖掉了,可是,计算机不会管指令有没有被更改,依旧取原先存放指令的空间里的数据来运行,取到“shujucuole!shujucuole!shujucuole!”这些不合法的溢出数据,它依旧会执行,可是在计算机里这样的指令是非法指令,也就是不符合计算机逻辑的指令,用户执行它的时候就会出错,于是程序就被强行关闭了。
题外话:(想来想去,还是说一说o(∩_∩)o…我的爱好……损人利己的爱好)利用这样的溢出漏洞可以关闭很多程序,比如各学校机房里安装的那些远程教育系统,学生的计算机被教师的计算机所控制是因为学生机上安装有一个学生端程序,教师机可以通过教师端来对学生端进行远程控制,学生端没有退出功能,学生所在的用户组也没有强行结束进程的权限,当学生不想被老师控制的时候,可以打开学生端自带的远程消息功能,在消息里输入很长的数据,比如几百上千句“敢控制我!看我不宰了你!”,然后发送,就可以令学生端程序出错而被系统强行关闭。这招对某些网吧的收费系统也有用的!^_^
远程溢出
再举个列子:
#include “stdafx.h”
#include winsock.h
#pragma comment(lib,”ws2_32”)
int main(int argc,char* argv[ ])
{
char buf[255]=” ”,pass[4]=” ”; //声明变量,让计算机分配内存
//================================================================
//这节的代码功能是初始化 *** 连接
//并侦听1234端口等待连接
//没有编程基础的特级菜鸟可以略过不看
SOCKET sock1,sock2;
struct sockaddr_in addr1;
struct sockaddr_in addr2;
addr1 .sin_addr.s_addr=INADDR_ANY;
addr1 .sin_family=AF_INET;
addr1 .sin_port=htons(1234);
WSADATA * wsadatal=new WSADATA( );
WSAStartup(MAKEWORD(2,2),wsadatal1);
sock1=socket(AF_INET,SOCK_STREAM,0);
bind(sock1,(sockaddr *)addr1,sizeof(struct sockaddr) );
listen(sock1,10);
int iSin=sizeof(struct sockaddr_in);
//=================================================================
if(sock2=accept(sock1,(sockaddr *)addr2,iSin)
{//有用户连接进来
send(sock2,“请输入密码,密码正确,则告诉你我的qq:”,36,0);
//发送提示用户输入密码
if (recv(sock2,buf,255,0))
{//接受用户发送过来的数据并保存在缓冲buf变量里
strcpy (pass,buf);//把缓冲buf变量里的数据复制到pass变量中
if(strcmp(pass,”wlqs”= =0)
//比较pass变量里的数据跟“wlqs”字符串之间的差异是否为0
{//差异为0,则说明两者相等,密码正确
send(sock2,”714718366”,9,0);//发送 *** 号给用户
}
else
{//否则就说明密码错误
send (sock2,”密码错误!”,10,0);
}
}
}
//=================[/ft]关闭 *** 连接并退出=======================
closesocket(sock2);
closesocket(sock1);
return 0;
}
这是一个服务器程序,当有用户连接的时候,它会先发送一句话,提示用户输入登录密码。其实它和前面说的本地溢出例子形似,问题也就处在把数据从缓存复制到内存的那句代码里,如果远程用户输入的密码太长,那么同样出现溢出的现象。那么程序就会出错,服务端将被强行关闭。
比如腾讯公司的即时通讯软件服务端程序就曾被黑客不停地攻击导致服务端崩溃,不能正常提供服务,致使很多用户都不能登陆,及时登陆成功也会在几分钟之内再次掉线,就是因为他们的服务端有这样的漏洞存在,被别人利用了,这给他们以及他们的客户造成了不可估计的损失。
3相关资料编辑
缓冲区溢出漏洞攻击方式
缓冲区溢出漏洞可以使任何一个有黑客技术的人取得机器的控制权甚至是更高权限。一般利用缓冲区溢出漏洞攻击root程序,大都通过执行类似“exec(sh)”的执行代码来获得root 的shell。黑客要达到目的通常要完成两个任务,就是在程序的地址空间里安排适当的代码和通过适当的初始化寄存器和存储器,让程序跳转到安排好的地址空间执行。
在程序的地址空间里安排适当的代码
在程序的地址空间里安排适当的代码往往是相对简单的。如果要攻击的代码在所攻击程序中已经存在了,那么就简单地对代码传递一些参数,然后使程序跳转到目标中就可以完成了。攻击代码要求执行“exec(‘/bin/sh’)”,而在libc库中的代码执行“exec(arg)”,其中的“arg”是个指向字符串的指针参数,只要把传入的参数指针修改指向“/bin/sh”,然后再跳转到libc库中的响应指令序列就可以了。当然,很多时候这个可能性是很小的,那么就得用一种叫“植入法”的方式来完成了。当向要攻击的程序里输入一个字符串时,程序就会把这个字符串放到缓冲区里,这个字符串包含的数据是可以在这个所攻击的目标的硬件平台上运行的指令序列。缓冲区可以设在:堆栈(自动变量)、堆(动态分配的)和静态数据区(初始化或者未初始化的数据)等的任何地方。也可以不必为达到这个目的而溢出任何缓冲区,只要找到足够的空间来放置这些攻击代码就够了。
控制程序转移到攻击代码的形式
缓冲区溢出漏洞攻击都是在寻求改变程序的执行流程,使它跳转到攻击代码,最为基本的就是溢出一个没有检查或者其他漏洞的缓冲区,这样做就会扰乱程序的正常执行次序。通过溢出某缓冲区,可以改写相近程序的空间而直接跳转过系统对身份的验证。原则上来讲攻击时所针对的缓冲区溢出的程序空间可为任意空间。但因不同地方的定位相异,所以也就带出了多种转移方式。
(1)Function Pointers(函数指针)
在程序中,“void (* foo) ( )”声明了个返回值为“void” Function Pointers的变量“foo”。Function Pointers可以用来定位任意地址空间,攻击时只需要在任意空间里的Function Pointers邻近处找到一个能够溢出的缓冲区,然后用溢出来改变Function Pointers。当程序通过Function Pointers调用函数,程序的流程就会实现。
(2)Activation Records(激活记录)
当一个函数调用发生时,堆栈中会留驻一个Activation Records,它包含了函数结束时返回的地址。执行溢出这些自动变量,使这个返回的地址指向攻击代码,再通过改变程序的返回地址。当函数调用结束时,程序就会跳转到事先所设定的地址,而不是原来的地址。这样的溢出方式也是较常见的。
(3)Longjmp buffers(长跳转缓冲区)
在C语言中包含了一个简单的检验/恢复系统,称为“setjmp/longjmp”,意思是在检验点设定“setjmp(buffer)”,用longjmp(buffer)“来恢复检验点。如果攻击时能够进入缓冲区的空间,感觉“longjmp(buffer)”实际上是跳转到攻击的代码。像Function Pointers一样,longjmp缓冲区能够指向任何地方,所以找到一个可供溢出的缓冲区是更先应该做的事情。
植入综合代码和流程控制
常见的溢出缓冲区攻击类是在一个字符串里综合了代码植入和Activation Records。攻击时定位在一个可供溢出的自动变量,然后向程序传递一个很大的字符串,在引发缓冲区溢出改变Activation Records的同时植入代码(权因C在习惯上只为用户和参数开辟很小的缓冲区)。植入代码和缓冲区溢出不一定要一次性完成,可以在一个缓冲区内放置代码(这个时候并不能溢出缓冲区),然后通过溢出另一个缓冲区来转移程序的指针。这样的 *** 一般是用于可供溢出的缓冲区不能放入全部代码时的。如果想使用已经驻留的代码不需要再外部植入的时候,通常必须先把代码做为参数。在libc(熟悉C的朋友应该知道,现在几乎所有的C程序连接都是利用它来连接的)中的一部分代码段会执行“exec(something)”,当中的something就是参数,使用缓冲区溢出改变程序的参数,然后利用另一个缓冲区溢出使程序指针指向libc中的特定的代码段。
程序编写的错误造成 *** 的不安全性也应当受到重视,因为它的不安全性已被缓冲区溢出表现得淋漓尽致了。
怎么防止黑客或木马?
不是什么问题。
难道你 数据不经过路由器直接收么?
原来整理过这东西,帖在这里“
现在天网流行了。一是因为国产,大家有这个热情,二则功用确实不错。三是大家安全意识高了一些。
但有的人天网一开,就觉得百毒不侵了,想法极端。有人开了天网往往黄色的惊叹号闪个不停。一个兄弟电脑重新启动了几次,以为是黑客攻击,就担心的叫我去看,说被攻击了。其实不是什么事,正常的防火墙拦截信息而已。
可能有很多兄弟也都会对这有疑问的。我仅以我所知解释一些疑问。希望对大家有用。
天网的日志一般有三行:
之一行:数据包发送(接受)时间/发送者IP地址/对方通讯端口/数据包类型/本机通讯端口
第二行:为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,天网在显示标志位时取这六个标志位的之一个字母即A代表ASK、S代表SYN等 ,其中标志位A、S和F较常用。
ACK:确认标志 提示远端系统已经成功接收所有数据
SYN:同步标志 该标志仅在建立TCP连接时有效,它提示TCP连接的服务端检查序列编号
FIN:结束标志 带有该标志位的数据包用来结束一个TCP会话,但对应端口还处于开放状态,准备接收后续数据。
RST:复位标志,具体作用未知。
第三行:对数据包的处理 *** :不符合规则的数据包会拦截或拒绝,显示为:“该操作被拒绝”,即防火墙拦截了!因此对方不能确定你在线否!
【⑴】:最常见的:尝试用ping来探测本机
··在防火墙规则里设置“防止别人用PING命令探测主机”,你的电脑就不会返回给对方ICMP包,这样别人就无法用PING命令探测你的电脑的存在。这种情况只是简单的ping命令探测,如:ping 210.29.14.130就会出现如下日志:
[11:13:35] 接收到 210.29.14.136 的 ICMP 数据包,
类型: 8 , 代码: 0,
该包被拦截。
这条日志出现的频率很高。IGMP的全称是internet组管理协议,它是IP协议的扩展,主要用于IP主机向它邻近主机通知组成员身份。通常出现这条日志并不表明电脑受到攻击,不过黑客可以通过编写攻击程序,利用windows本身的BUG,采用特殊格式数据包向目标电脑发动攻击,使被攻击电脑的操作系统蓝屏、死机。蓝屏炸弹一般用的就是IGMP协议。
一般形成IGMP攻击时,会在日志中显示为大量来自于同一IP地址的IGMP数据包。不过,有时收到这样的提示信息也并不一定是黑客或病毒在攻击,在局域网中也会常收到来自网关的类似数据包。
另外:你的机子安装了许多自动在线升级的软件,如瑞星、KV、WINDOWS自动更新、木马克星、魔法兔子等等软件,当这些软件的提供商即服务器,他要升级这些软件时,他在检查他的客户端发出升级指令,这个检查客户的过程就是PING客户。这点被多好朋友忽视。这是是善意的PING 。
··也有另一种PING信息日志:
[14:00:24] 210.29.14.130 尝试用Ping来探测本机,
该操作被拒绝。
这种情况一般是扫描器探测主机,主要目的是探测远程主机是否连网!
··如果偶尔一两条没什么,但如果显示有N个来自同一IP地址的记录,很有可能是别人用黑客工具探测你主机信息或者因为病毒了。如:
[14:00:24] 210.29.14.45 尝试用Ping来探测本机,
该操作被拒绝。
[14:01:09] 210.29.14.132 尝试用Ping来探测本机,
该操作被拒绝。
[14:01:20] 210.29.14.85 尝试用Ping 来探测本机,
该操作被拒绝。
[14:01:20] 210.29.14.68 尝试用Ping 来探测本机,
该操作被拒绝。
若不是黑客所为,那这些机器一般是感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞,一旦发现,即把病毒传播到这些机器上。感染局域网传染病毒的机器也会自动发送信息,这样的情况就要注意先打冲击波补丁,并且查毒。我中了V-King。但同网的就是不杀毒不理会。我只好每天不和他们同时上网。
【⑵】:一些常见端口信息日志
··[16:47:24] 60.31.133.146试图连接本机的135端口,
TCP标志:S,
该操作被拒绝。
同上,是利用RPC服务漏洞的冲击波类的蠕虫病毒,该病毒主要攻击手段就是扫描计算机的135端口进行攻击。更新微软的补丁还是必要的。
··[20:01:36] 218.8.124.230试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
特征:某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁
139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在 *** *** 享;网上黑客也可通过NetBIOS知道你的电脑中的一切!NetBIOS是 *** 的输入输出系统,尽管现在TCP/IP 协议成为广泛使用的传输协议,但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。对于连接到互联网上的机器,NetBIOS完全没有用处,可以将它去掉。不会吗?自己查
··[16:47:35] 60.31.135.195试图连接本机的CIFS[445]端口,
TCP标志:S,
该操作被拒绝。
开了445端口,在局域网中轻松访问各种共享文件夹或共享打印机,但正因为有了它,别有用心者才有了可乘之机
*** B: Windows协议族,用于文件和打印共享服务。
N *** : 使用137(UDP), 138(UDP) and 139 (TCP)来实现基于TCP/IP的NETBIOS网际互联。
在N *** 上面,有 *** B基础报文头部。 *** B可以直接运行于TCP之上而无须N ***
在Windows NT中 *** B基于N *** 实现。 而在WinXP中, *** B除了基于N *** 的实现,还有直接通过445端口实现。 当WinXP(允许N *** )作为client来连接 *** B服务器时,它会同时尝试连接139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,以455端口通讯来继续.当445端口无响应时,才使用139端口。
135端口是用来提供RPC通信服务的,445和139端口一样,是用来提供文件和打印机共享服务的。正常情况,局域网的机器共享和传输文件(139端口。连接你的135和445端口的机器本身应该是被动地发数据包,或者也有可能是正常的、非病毒的连接——虽然这个可能性比较小。既然如此,那当然也可能是利用聊的人扫描ip段,这个也是常见的,初学黑客技术都这样,十足的狂扫迷,但往往什么也没得到,这种人应该好好看看
TCP/IP协议原理。
前面说了,局域网传播病毒会PING局域网机器,那有漏洞的主机当然躲不过端口连接,连接135端口的是冲击波(Worm.Blaster)病毒,尝试用Ping来探测本机也属于此,这种135端口的探测一般是局域网传播,现象为同一个ip不断连接本机135端口,此时远程主机没打冲击波补丁,蠕虫不断扫描同一ip段(这个是我自己的观点,冲击波的广域网和局域网传播方式估计不同吧,欢迎指正!)
某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁。此时日志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点,它们会搜寻局域网内一切可用的共享资源,并会将病毒复制到取得完全控制权限的共享文件夹内,以达到病毒传播之目的。这种人应该同情下,好好杀毒吧!
··[12:37:57] 192.168.177.16试图连接本机的试图连接本机的http[80]端口,
TCP标志:S,
该操作被拒绝。
一般上网的用户都有这种情况,网站服务器的回显等等啊,出现一两个这样的报警没关系的。
如果你安装了IIS来建立自己的个人网站,开放了WEB服务,即会开放80端口。因此黑客扫描判断你是否开放了WEB服务,寻找相应的漏洞来进行入侵。一般我们所遇到的大都是别人的扫描行为,不需要过于担心了。
如果经常收到来自外部IP高端口(大于1024)发起的类似TCP的连接请求,你得小心对方电脑是否中了“红色代码”,并试图攻击你(也有可能是人为使用软件攻击)。由于此病毒只传染装有IIS服务的系统,所以普通用户不需担心。
若发现本机试图访问其他主机的80端口,则应检查自己系统中是否有此病毒了。
··[9:04:18] 218.2.140.13试图连接本机的FTP Open Server【21】端口,
TCP标志:S,
该操作被拒绝。
这个也分两种,一种是有人想探测你的主机是不是开放了21端口,想看看共享资源;另一种是用扫描器扫ip段的ftp服务端口,一般没什么恶意。21端口是FTP服务所开放的端口,导致这条记录出现的大部分原因是一些网虫在使用ftp搜索软件看哪些电脑开放了FTP,以寻求软件、电影的下载。
··[23:08:34] 221.208.47.102试图连接本机的Wingate[1080]端口,
TCP标志:S,
该操作被拒绝。
这个是有人扫描ip段中的 *** 服务器,一般 *** 服务器默认端口常见的如Wingate[1080],ccproxy[808,1080]等等,也没什么关系。
··[18:58:37] 10.186.210.96试图连接本机的Blazer 5[5000]端口,
TCP标志:S,
该操作被拒绝。
系统因素:Blazer 5[5000]端口是winxp的服务器端口,WindowsXP默认启动的 UPNP服务,没有病毒木马也是打开的,大家看到的报警一般属于这种情况,因为本地或远程主机的5000端口服务异常,导致不断连接5000端口。
木马因素:有些木马也开放此端口,如木马blazer5开放5000端口,木马Sockets de roie开放5000、5001、5321端口等!
··[19:55:55] 接收到 218.18.95.163 的 UDP 数据包,
本机端口: 1214 ,
对方端口: OICQ Server[8000]
该包被拦截。
[19:55:56] 接收到 202.104.129.254 的 UDP 数据包,
本机端口: 4001 ,
对方端口: OICQ Server[8000]
该包被拦截。
腾讯 *** 服务器端开放的就是8000端口.一般是qq服务器的问题,因为接受不到本地的客户响应包,而请求不断连接,还有一种可能就是主机通过qq服务器转发消息,但服务器发给对方的请求没到达,就不断连接响应了(TCP连续三次握手出错了,我是这么认为的,我研究不深,具体没找到权威资料,可能说的不对,欢迎指正)
··[7:49:36] 接收到 64.74.133.9 的 UDP 数据包,
本机端口: 33438 ,
对方端口: 10903
该包被拦截。
这种情况一般是游戏开放的服务端口,一般范围在27910~~27961,因此来自这一端口范围的UDP包或发送到这一端口范围的UDP包通常是游戏
。爱好游戏的朋友会收到类似的端口连接。比如启动CS后创建了两个端口44405和55557。奇迹服务器好象是55960和55962端口。
··[18:34:16] 接收到 210.29.14.86 的 UDP 数据包,
本机端口: 6884 ,
对方端口: 6881
该包被拦截。
这个是 *** 服务端口(6881~~6889),每个bt线程占用一个端口,据说只能开9个,但有时候防火墙报警,原因是防火墙过滤了这些端口。开放这些端口或关闭防火墙才能用 *** 。多说几句,何大哥有时候喜欢整几个限制下载的软件,因此楼上的不能用 *** ,因为他的电脑做主机限制了这些端口,不能使其 *** 端口全部打开。解决 *** :端口映射,换默认端口!
一般高端端口没有什么好担心的,这是有人在用扫IP的软件在扫IP地址而正好扫到你的IP地址段,此类软件对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。所以天网防火会报警,而且会拦截对方的IP,如果实在太烦,你可以把你的那个端口关掉。
【⑶】:日志记录的攻击性记录
常见的有洪水攻击SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻击。
··SYN Flood洪水攻击:
[11:13:55] 接收到210.29.14.130的SYN Flood攻击,
该操作被拒绝。
··IGMP数据包攻击:
[23:11:48] 接收到210.29.14.130的IGMP数据包
该包被拦截
[23:11:48] 接收到210.29.14.130的IGMP数据包
该包被拦截
这是日志中最常见最普遍的攻击形式。IGMP(Internet Group Management Protocol)是用于组播的一种协议,实际上是对Windows的用户是没什么用途的,但由于Windows中存在IGMP漏洞,当向安装有Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时,会导致系统TCP/IP栈崩溃,系统直接蓝屏或死机,这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则,只要选中就可以了。
碰到这种情况可以分两种:一种是你得罪他了,和你有仇;另一种就是攻击者吃饱了撑的或是一个破坏狂,这种人一般就一个人住,做点坏事也没别人知道的。品格有点小恙,遇到了,多注意点吧。
【⑷】真正想入侵的日志这样的,应该注意:
··[11:13:55] 219.130.135.151试图连接本机的3389端口,
TCP标志:S,
该操作被拒绝。
这种应该引起重视,3389这么恐怖的事情都来,菜鸟的更爱。
··[11:13:55] 210.29.14.130试图连接本机的1433端口,
TCP标志:S,
该操作被拒绝。
远程溢出,溢出的SYSTEM32就可以做CMD在你电脑上起作用,你整个电脑就在对方控制中了。
··[11:13:55] 210.29.14.130试图连接本机的23端口,
TCP标志:S,
该操作被拒绝。
··[11:13:55] 210.29.14.130试图连接本机的4899端口,
TCP标志:S,
该操作被拒绝。
以上两个不知道自己去网上查。
··[5:49:55] 61.114.78.110 试图连接本机的7626端口
TCP标志:S
该操作被拒绝
冰河木马的端口,黑客迷们的更爱
··[11:13:55] 210.29.14.130试图连接本机6267端口,
TCP标志:S,
该操作被拒绝。
广外女生木马的默认端口,很经典的一个国产木马
··[11:13:55] 210.29.14.130试图连接本机5328端口,
TCP标志:S,
该操作被拒绝。
风雪木马的默认端口
这几条记录就要注意一下,假如你没有中木马,也就没有打7626这几个端口,当然没什么事。而木马如果已植入你的机子,你已中了木马,木马程序自动打开这几个端口,迎接远方黑客的到来并控制你的机子。但你装了防火墙以后,一般即使你中了木马,该操作也会被禁止,黑客拿你也没办法。但这是常见的木马,防火墙会给出相应的木马名称,而对于不常见的木马,天网只会给出连接端口号,这时就得靠你的经验和资料来分析该端口的是和哪种木马相关联,从而判断对方的企图,并采取相应措施,封了那个端口。
另外还有一些:
··[6:14:20] 192.168.0.110 的【1294】端口停止对本机发送数据包
TCP标志:F A
继续下一规则
[6:14:20] 本机应答192.168.0.110的【1294】端口
TCP标志:A
继续下一规则
从上面两条规则看就知道发送数据包的机子是局域网里的机子,而且本机也做出了应答,因此说明此条数据的传输是符合规则的。为何有此记录,那是你在天网防火墙规则中选了“TCP数据包监视”,这样通过TCP传输的数据包都会被记录下来,所以大家没必要以为有新的记录就是人家在攻击你,上面的日志是正常的,别怕!UDP监视查找IP可以利用这个道理。
··补充一个非天网相关的问题,也是楼上田大哥提出来的:关机时出现提示“有1用户已登入到你的计算机,\\***,是否切断与他的联系”
一、你中了木马,当木马的服务器(黑客)发出指令PING所有客户端,如果你的防火墙好就被拦截了,出现“[16:39:29] 218.74.?.? 尝试用Ping 来探测本机,该操作被拒绝”的情况,没有防火墙,只有杀毒软件,就被入侵了,关机时出现“有1用户已登入到你的计算机\\***,是否切断与他的联系”的情况。
关于如何防范,不想长篇大论了!网上资料也很多的。写这些东西也不是为菜鸟解颐,因为想学习的人是不会等着别人的总结的。个人能力有限啊,遗漏之处以后再整理添加。 *** :191395024 E-MAIL:hundan5ji@163.com
天网使用教程:,愿意且有空可以看看,其实自己多摸索就足够了。动手比看教程好。
什么是缓冲区溢出
缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是 程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间想匹配,这就为缓冲区溢出埋下隐患.
操作系统所使用的缓冲区又被称为堆栈. 在各个操作进程之间,指令会被临时储存在堆栈当中,堆栈也会出现缓冲区溢出.
缓冲区溢出有时又称为堆栈溢出攻击,是过去的十多年里, *** 安全漏洞常用的一种形式并且易于扩充。相比于其他因素,缓冲区溢出是 *** 受到攻击的主要原因。
例如:计算机在内存中存储了所有的东西,包括程序、数据和图片。如果计算机要求用户输入8位字符密码却接收到了200位字符的密码,多出来的字符可以写在内存中的其他地方。但事实并不是这样。这就是个小错误。
_______________________________________________________
缓冲区溢出的处理
由于缓冲区溢出是一个编程问题,所以只能通过修复被破坏的程序的代码而解决问题。如果你没有源代码,从上面“堆栈溢出攻击”的原理可以看出,要防止此类攻击,我们可以:
1、开放程序时仔细检查溢出情况,不允许数据溢出缓冲区。由于编程和编程语言的原因,这非常困难,而且不适合大量已经在使用的程序;
2、使用检查堆栈溢出的编译器或者在程序中加入某些记号,以便程序运行时确认禁止黑客有意造成的溢出。问题是无法针对已有程序,对新程序来讲,需要修改编译器;
3、经常检查你的操作系统和应用程序提供商的站点,一旦发现他们提供的补丁程序,就马上下载并且应用在系统上,这是更好的 *** 。但是系统管理员总要比攻击者慢一步,如果这个有问题的软件是可选的,甚至是临时的,把它从你的系统中删除。举另外一个例子,你屋子里的门和窗户越少,入侵者进入的方式就越少。
黑客的行为特征。
这些多百度一下,就可以得到答案。以下仅供参考。
要想更好的保护 *** 不受黑客的攻击,就必须对黑客的攻击 *** 、攻击原理、攻击过程有深入的、详细的了解,只有这样才能更有效、更具有针对性的进行主动防护。下面通过对黑客攻击 *** 的特征分析,来研究如何对黑客攻击行为进行检测与防御。
一、反攻击技术的核心问题
反攻击技术(入侵检测技术)的核心问题是如何截获所有的 *** 信息。目前主要是通过两种途径来获取信息,一种是通过 *** 侦听的途径(如Sniffer,Vpacket等程序)来获取所有的 *** 信息(数据包信息, *** 流量信息、 *** 状态信息、 *** 管理信息等),这既是黑客进行攻击的必然途径,也是进行反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进行分析,来发现入侵行为和系统潜在的安全漏洞。
二、黑客攻击的主要方式
黑客对 *** 的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”,“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大部分黑客攻击手段已经有相应的解决 *** ,这些攻击大概可以划分为以下六类:
1.拒绝服务攻击:一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。
2.非授权访问尝试:是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。
3.预探测攻击:在连续的非授权访问尝试过程中,攻击者为了获得 *** 内部的信息及 *** 周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。
4.可疑活动:是通常定义的“标准” *** 通信范畴之外的活动,也可以指 *** 上不希望有的活动,如IP Unknown Protocol和Duplicate IP Address事件等。
5.协议解码:协议解码可用于以上任何一种非期望的 *** 中, *** 或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。
6.系统 *** 攻击:这种攻击通常是针对单个主机发起的,而并非整个 *** ,通过RealSecure系统 *** 可以对它们进行监视。
三、黑客攻击行为的特征分析与反攻击技术
入侵检测的最基本手段是采用模式匹配的 *** 来发现入侵攻击行为,要有效的进反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。
1.Land攻击
攻击类型:Land攻击是一种拒绝服务攻击。
攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
检测 *** :判断 *** 数据包的源地址和目标地址是否相同。
反攻击 *** :适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。
2.TCP SYN攻击
攻击类型:TCP SYN攻击是一种拒绝服务攻击。
攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常服务。
检测 *** :检查单位时间内收到的SYN连接否收超过系统设定的值。
反攻击 *** :当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。
3.Ping Of Death攻击
攻击类型:Ping Of Death攻击是一种拒绝服务攻击。
攻击特征:该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。
检测 *** :判断数据包的大小是否大于65535个字节。
反攻击 *** :使用新的补丁程序,当收到大于65535个字节的数据包时,丢弃该数据包,并进行系统审计。
4.WinNuke攻击
攻击类型:WinNuke攻击是一种拒绝服务攻击。
攻击特征:WinNuke攻击又称带外传输攻击,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为“1”,即紧急模式。
检测 *** :判断数据包目标端口是否为139、138、137等,并判断URG位是否为“1”。
反攻击 *** :适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址MAC)。
5.Teardrop攻击
攻击类型:Teardrop攻击是一种拒绝服务攻击。
攻击特征:Teardrop是基于UDP的病态分片数据包的攻击 *** ,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。
检测 *** :对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。
反攻击 *** :添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。
6.TCP/UDP端口扫描
攻击类型:TCP/UDP端口扫描是一种预探测攻击。
攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。
检测 *** :统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。
反攻击 *** :当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。
对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的 *** ,还需要利用状态转移、 *** 拓扑结构等 *** 来进行入侵检测。
四、入侵检测系统的几点思考
从性能上讲,入侵检测系统面临的一个矛盾就是系统性能与功能的折衷,即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。
从技术上讲,入侵检测系统存在一些亟待解决的问题,主要表现在以下几个方面:
1.如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的 *** 和成熟的解决方案。从Yahoo等著名ICP的攻击事件中,我们了解到安全问题日渐突出,攻击者的水平在不断地提高,加上日趋成熟多样的攻击工具,以及越来越复杂的攻击手法,使入侵检测系统必须不断跟踪最新的安全技术。
2. *** 入侵检测系统通过匹配 *** 数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的 *** 对于加密过的数据包就显得无能为力。
3. *** 设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。
4.对入侵检测系统的评价还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术,随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断的升级才能保证 *** 的安全性。
5.采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。
6.对IDS自身的攻击。与其他系统一样,IDS本身也存在安全漏洞,若对IDS攻击成功,则导致报警失灵,入侵者在其后的行为将无法被记录,因此要求系统应该采取多种安全防护手段。
7.随着 *** 的带宽的不断增加,如何开发基于高速 *** 的检测器(事件分析器)仍然存在很多技术上的困难。
入侵检测系统作为 *** 安全关键性测防系统,具有很多值得进一步深入研究的方面,有待于我们进一步完善,为今后的 *** 发展提供有效的安全手段。
0条大神的评论