暗网潜航——黑客术概览(四)──曲尽情伪
庞博文
2020-02-06 04:16 HKT
字体大小
上周谈到为了防御黑客,防守方会设立「蜜罐」(Honeypot),利用虚拟系统企图诱骗黑客攻击,从而获得他们的资讯及攻击手法。不过「你有张良计,我有过墙梯」,黑客在作出精准攻击前,也会先行「踩线」,判断攻击目标是有价值的系统,还是一个陷阱。
第一种方法是「检查目标系统的内核(kernel)反应」。不同种类和版本的操作系统内核,回应网络要求协定时都会有差异,有些会直接告诉你它是甚么版本,有些会故意延迟,有些会完全不回应。如果对手使用软件建立的蜜罐系统,而攻击方对系统内统有认识,只要接触及观察其反应,即可破解,准确度非常高,因为软件无法装扮底层系统内核的运作。
然而这种破解方法要求黑客,对网络技术及操作系统的功能、架构及内核,有非常深刻的认识。例如有否细心阅读和理解RFC文档?PING命令究竟有多少种?如何利用PING命令潜过防火墙,令封包碎片直接接触目标系统内核?如何使用封包产生器(Packet Generator)制作特定的封包碎片,去接触系统内核并观察其反应,还要小心地避免触发入侵者检测系统?这都需要扎实功夫。
第二种方法是「观察目标系统服务软件的协调和合理性」。一个真实的系统必然会提供服务,故须使用一系列软件及硬体建立系统架构。换言之,系统内的程式语言、操作系统、中介软件、数据库都要协调和合理,才能顺利运作。
黑客入侵前,会对系统进行详细扫描,并收集其软件套件、版本及使用程式语言的语法。他们可以此为准,从能否提供完整服务的角度下判断系统是否蜜罐。
如果只是一个虚拟蜜罐,多数只有表面一层端口,无法伪装提供服务。就算防守方愿意花时间建立基于真实系统的蜜罐,但出于成本和时间关系,通常不能提供完整服务。
黑客透过资料搜集,对目标系统进行试探型式的功能对比,从而判断系统是否提供真实及有意义的服务,避开蜜罐陷阱。这个方法要求黑客对系统服务架构、商业方案及系统程式语言组合有较深刻的认识。
只懂得写程式码或下载黑客软件,不可能成为一个老练的黑客,还要对操作系统构成、程式语言及服务系统架构有深刻认识,才能完美进入系统,而不会留下证据痕迹。
TOZ联合创办人
庞博文
第一种方法是「检查目标系统的内核(kernel)反应」。不同种类和版本的操作系统内核,回应网络要求协定时都会有差异,有些会直接告诉你它是甚么版本,有些会故意延迟,有些会完全不回应。如果对手使用软件建立的蜜罐系统,而攻击方对系统内统有认识,只要接触及观察其反应,即可破解,准确度非常高,因为软件无法装扮底层系统内核的运作。
然而这种破解方法要求黑客,对网络技术及操作系统的功能、架构及内核,有非常深刻的认识。例如有否细心阅读和理解RFC文档?PING命令究竟有多少种?如何利用PING命令潜过防火墙,令封包碎片直接接触目标系统内核?如何使用封包产生器(Packet Generator)制作特定的封包碎片,去接触系统内核并观察其反应,还要小心地避免触发入侵者检测系统?这都需要扎实功夫。
第二种方法是「观察目标系统服务软件的协调和合理性」。一个真实的系统必然会提供服务,故须使用一系列软件及硬体建立系统架构。换言之,系统内的程式语言、操作系统、中介软件、数据库都要协调和合理,才能顺利运作。
黑客入侵前,会对系统进行详细扫描,并收集其软件套件、版本及使用程式语言的语法。他们可以此为准,从能否提供完整服务的角度下判断系统是否蜜罐。
如果只是一个虚拟蜜罐,多数只有表面一层端口,无法伪装提供服务。就算防守方愿意花时间建立基于真实系统的蜜罐,但出于成本和时间关系,通常不能提供完整服务。
黑客透过资料搜集,对目标系统进行试探型式的功能对比,从而判断系统是否提供真实及有意义的服务,避开蜜罐陷阱。这个方法要求黑客对系统服务架构、商业方案及系统程式语言组合有较深刻的认识。
只懂得写程式码或下载黑客软件,不可能成为一个老练的黑客,还要对操作系统构成、程式语言及服务系统架构有深刻认识,才能完美进入系统,而不会留下证据痕迹。
TOZ联合创办人
庞博文
更多文章