黑客技术3

ji191359129

再谈谈nt的密码问题，Nt的密码采用和95不同的机制来实现。在Nt中，使用的安全模型是DAC ( Discretionary Access Control ).你可以从这个网址得到完整的参考：
http://www.v-one.com/newpages/obook.html
而DAC的实现有赖于NTFS,所以，请你在安装Nt时，选用NTFS选项。
但是，不要以为NTFS能带给你100%的安全，到这个地址：
http://www.hidata.com/guest/nthacks/passworddll.htm
你可以得到一个工具。呵呵。。你自己用用看。
这里我想列出一些可能对你管理nt服务器有用的工具，它们可以用来找出你系统的弱点，
或者防范网络hacker的攻击：
scanNT: http://www.omna.com/yes/andybaron/pk.htm
Systems Management Server : http://www.microsoft.com/smsmgmt/revgd/sms00.htm
Dump ACL: http://www.net-shopper.co.uk/software/nt/dmpacl/index.htm

上述是我对Microsoft的操作系统安全问题的看法，实际上，有些问题并不只是在windows或nt中，在Microsoft的dos, winword, access,excel ,front page webserver ,o'reilly website server等产品中，都有不少的安全弱点。
体力所限，我无法完全列出，有兴趣可以和我直接联系。

黑客技术(5)-Sniffer
Sniffer
了解什么是Sniffer之前,我想先说说网络的基本构成，通常的网络看起来
是这样的：
一个控制软件的控制台（可以是pc机、工作站等）
一套用来控制网络硬件的软件
一个支持Ethernet封包的网络控制卡
一条用来使封包从这里流到那里的传输设备
另一套和上述相同设备的硬件、软件。
可见，这其中的一个关键环节是封包如何在网上跑，当然，可以用tcp/ip、ipx等。。或是多个的组合，那么，Sniffer的目的就是将整个的网络界面变成不区分的状态，然后再截取网络上的封包。传统上的Sniffer可以是硬件或软件或硬件和软件的结合。由于Ethernet的工作方式，网络请求在网上一般以广播的方式传送，这个广播是非验证的，也就是每个nodes都可以收到，除了目标接受者会回应这个信息外，其他的接受者会忽略这个广播。Sniffer就是一个专门收集广播而决不回应的东东。 由于sniffer是工作在封包这一级的产品，因而，它对网络的安全威胁是相当大的，因为它可以：
1。抓到正在传输的密码。
2。抓到别人的秘密（信用卡号）或不想共享的资料。
3。可以通过管理员封包破解相互信任的系统域。
可见，通常的安全分析将sniffer放在第二级的攻击不是没道理的，如果你在你管理的网络中发现了sniffer, 那么它代表的是有个cracker已经进入你的网络了，并且正在收集使用者的id和密码。现在我想你可能已经知道sniffer的工作原理了，如果你想多了解它攻击目标后会如何，请参考：
http://yahi.csustan.edu/studnotw.html
http://www.securitymanagement.com/library/000215.html
（美国陆军导弹研究中心和Whist Sands导弹发射基地事件）
在中国，我没有收集到可靠的sniffer攻击的例子，但是，可以肯定的是，有人在广州网易上这样做过，但是我没有证据来说明。（请注意如果有人在你的网络上放sniffer，你的封包传送丢失的机会将大增）。
那么如何得到一个sniffer来研究研究呢？ 在ms-dos平台上有个杰出的sniffer
:Gobbler
你可以到这里找到它：
http://www.cse.rmit.edu.au/~rdssc/courses/ds738/watt/other/gobbler.zip
ftp://ftp.mzt.hr/pub/tools/pc/sniffers/gobbler/gobbler.zip
它可以在pc上执行，并且只分析区域内的封包，还可以设定只分析每个封包的前200到300个字节，这其中包含了用户名称和密码，通常，Cracker要这些就可以了。（这一点很重要，想象一下，如何没有节制的收集封包，几分钟内，你的硬盘就可能放不下任何文件了），还有，我个人认为很重要的一点，Gobbler可以很轻易的看到每个封包从哪里来，要到哪里去，我觉得这起码使我的工作变的很有针对性。
还有一个 C 的sniffer, Ethload.一个相当完整的sniffer.它可以在这些协议
上跑：
Novell odi
2Com/Microsoft Protocol Manager
PC/TCP/Clarkson/Crynwr
可以分析这些封包：
Tcp/Ip
DECnet
OSI
XNS
Netware
NetEBUI
你可以到这些地方下载：
ftp://oak.oakland.edu/simtel/msdos/lan/ethld104.zip
http://wwww.med.ucalgary.ca:70/1/ftp/dos/regular
Netman : http://www.cs.curtin.edu.au/~netman/
这是一个可以在X-windows中执行的sniffer.可我觉得这个功能不太可能用上，试想一下，如果有个Cracker在你的网络中执行X-windows而你不知道，呵呵。。。那我觉得，你的问题比被别人放sniffer更粗。
Esniff.c 这是一个专门用来收集Sun平台的封包流量的产品。原始的C代码只抓取封包的开始部分，（使用者id和密码）。你可以将它修改成抓取其他信息。
可以从这里下载这个C代码：
http://pokey.nswc.navy.mil/docs/progs/ensnif.txt
ftp.infonexus.com
其他的sniffer产品包括：
Sunsniff : http://mygale.mygale.org/08/datskewl/elite
http://hacked-inhabitants.com/warez/sunsniff.c
Linux_sniffer.c
http://mygale.mygale.org/08/datskewl/elite
Nitwit.c （在你使用之前，提醒你先看一遍源程序）
www.catch22.com/twilight.net/phuncent/hacking/proggies/sni
ffers/nitwit.c
Ok.现在我们都知道了什么是sniffer, 从哪里你可以得到sniffer, 那么，我如何知道我的网络有没有被装上sniffer呢？ 理论上的答案是：没有办法。这也是为什么我们说sniffer的危险程度相当高的原因之一，因为它太安静了。换句话说，它不在你的系统中留下什么。并且你不知道它在你网络的哪个地方跑。
两种建议的方法：
1。列出当前在你机器上的所有进程。使用dos,windows,win95的用户可能有问题。但是Nt和Unix用户可以很容易。注意在Unix下，我通常的做法是：
想办法将ps放入一只特洛伊木马，（如果有权限的话）当别人使用ps -augx时，先kill我的sniffer进程。
所以，请你用root path中的ps.
2。直接去找sniffer.因为网上也就那么20来种sniffer,大多数cracker不会自己去花时间专门为你的网络写个sniffer（除非你每次在物理食堂吃的比他好很多），但是，如果他真的写了，呵呵。。你最好花几个小时来检查你的目录的一致性。如果你使用Unix ,你最好先和你女朋友打声招呼。
那么假设很不幸的，你花了几个小时后，你得出了结论：我的网络被放了一个sniffer。我要怎么办？
通常我一定要先停止网络运行。然后，我考虑一个能加密封包的产品。SSH和f-SSH，这个产品使用ports 22，用RSA来计算连线的封包。可惜的是，你必须叫你的用户习惯这个产品，虽然SSH有免费的版本在网上等你。(win95,Unix 的都有。）
第二：我考虑重新架构我的网络，但是要花很多钱。（可以用Bridge或路由重新分割网络，重新考虑信任域等。。）重新架构网络超过我的讨论范围。
建议你不要只考虑火墙，因为火墙是给hacker破解用的。就好象shadow密码一样。在NIS中，shadow依然是个BUG.
最后说明一点：使用sniffer不那么单纯，要具备一定的网络知识才能真正使
用它来获取你想要的信息。（否则，它会帮你收集一大把垃圾的）因为它要
工作的环境是很底层的网络界面。
黑客技术(6)- 再议 Sniffer
停了很久没有再写了，近来有太多的人在提级sniffer , 我发现还是有很多人对sniffer
这个概念很模糊，所以想再说一下Sniffer. 所说全是个人观点，欢迎指正。

sniffing 和 spoofing 一样是作用在网络基础结构的底层。通常情况下，用户并不直
接和该层打交道，有些甚至不知道有这一层存在，呵呵。他们只是用ftp.http.telnet
.email 等，所以，应该说snffer的危害是相当之大的，通常使用sniffer 是一
次spoofing的开始。
那么到底sniffer是怎样的一种概念呢？
sniffer 是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。
(ISS)
在合理的网络中，sniffer的存在对系统管理员是致关重要的，系统管理员通过sniffer可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助于sniffer %2C系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主 机、报文发送占用多少时间、或着相互主机的报文传送间隔时间等等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。但是，同时，如果有心之人（非系统管理员）使用了sniffer ,那么，他同样也可以获得和管理员一样多的信息，同样也可以对整个的网络做出判断。当然，SPP相信他不会用这些信息去管理网络。
现在网络上到处可见免费的sniffer , 各种平台下的都有，我真不知道，这对管理员来说是好事还是坏事。（参看上一篇关于sniffer的文章，你可以知道现在找个sniffer多容易）
话说回来，那么sniffer是如何在网络上实施的呢？
谈这个问题之前还应该先说一下Ethernet的通讯. 通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：
1、帧的目标区域具有和本地网络接口相匹配的硬件地址。
2、帧的目标区域具有“广播地址”。
在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作
系统注意，然后将帧中所包含的数据传送给系统进一步处理。
而sniffer 就是一种能将本地nc状态设成（promiscuous）状态的软件，当nc处于这种
“混杂”方式时，该nc具备“广播地址”，它对所有遭遇到的每一个帧都产生一个硬件
中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
（绝大多数的nc具备置成promiscuous方式的能力）

可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并
且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整
体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。