安全意识更重要:攻破天网的几种方法
·天若有情··yesky
天网是大家常用的防火墙软件,有许多人撰文提议安装天网,一时间天网防火墙成了菜鸟、
高手必备工具。这样做当然好,至少说明了大家的网络安全意识提高了许多。但万事都有个
“度”,超过这个“度”就不好了。现在有许多人对天网的迷信达到了痴迷的程度,认为安装了
天网就高枕无忧了,他们在上网时只是打开天网,至于天网运行得怎么样就不管了。其实,就在
此时你危险了!
一、堡垒往往是从内部被攻破的
堡垒往往是从内部被攻破的,这话一点都不假。远在古希腊时代,坚固的城墙没有保护住特
洛伊人的家园,被一个小小的木马所攻破,在今天这个道理依然应验。
1.用黑毒克星或NoSkyNet
目前的天网防火墙可谓树大招风,天网也逐渐成为了黑客们攻击的主要对象!针对它的黑客
工具也层出不穷,黑毒克星和NoSkyNet就是其中之一。这两个软件共同的特点之一就是小巧隐
蔽,另一个特点就是它们将天网破坏殆尽后,居然还能让天网防火墙在任务栏正常显示图标!具
有极大的危害性和欺骗性。
虽然黑毒克星和NoSkyNet必须被运行它们才有机会破坏天网防火墙,但百密难免一疏,对于
仅几k大小的黑毒克星、NoSkyNet,真的很难保证不会中招(黑客们当然不会那么傻,他们会把黑
毒克星、NoSkyNet改名,如改为系统优化或微软补丁之类的名称,这样如果你运行了这些“优化
补丁”,你的天网就完了!),对付它们只能自己小心了。
2.用黑洞2001
黑洞2001是个木马程序,具有出色的多进程监控功能。随着大家安全意识的不断提高,大多
数人都安装了网络防火墙,木马们的生存空间越来越小,为生存计,木马开发者想出了一个办
法,他让木马服务端定时刷新进程,如果发现其中的进程名称与其事先定义好的相符合,就将这
个进程关闭,如果这个被关闭的进程恰巧就是防火墙,那你的网络大门就完全敞开了,监控端就
可为所欲为了。
事实上这个功能就是针对防火墙出现的,一切堡垒都是从内部被攻破的在此得到了充分的体
现。其实在黑洞2000中就有了这样的功能,只不过黑洞2000只能关闭天网防火墙,对其它防火墙
没有任何作用。黑洞2001则可以定义长达99个英文字符号,完全可以将您可能会用到的防火墙都
定义到其中,从而可将这些防火墙全部关闭!
对于黑洞2001的多进程监控功能,让我们作一个小测试。首先,在客户端作配置。点击“修改远
程服务器端设置”按钮,再点击其中的“智能监控”标签,出现如图所示画面(如图1)。
图1
在“进程监控”栏中添入“墙,毒,LOCK”,选中“使用进程监控”,然后点击“修改配
置”保存设置。在服务端运行天网防火墙、金山毒霸、Lockdown、PC-Cillin等软件,一分钟后这
些软件被自动关闭!由上可以看出如果你中了黑洞2001,那么你的防火墙就全成了聋子的耳朵—
—摆设!
3.利用“反弹端口”型木马
国内第一个“反弹端口”型木马“网络神偷”就可以突破天网防线,使天网失效。“正常”
木马是由客户端主动连接服务端的,通俗的说就是下木马方要主动连接中木马的机子,这样很容
易让防火墙发现;而反弹端口型木马与一般的木马相反,反弹端口型木马的服务端(被控制端)
使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过 FTP 主页空间
告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客
户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自
己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的
情况,稍微疏忽一点你就会以为是自己在浏览网页。(防火墙也会这么认为的,我想大概没有哪
个防火墙会不给用户向外连接80端口吧)。因此这类木马可以突破几乎所有的防火墙(包括代理
防火墙及过滤型防火墙)!
在我用“网络神偷”试验过程中,在天网设置成默认规则的情况下,服务端连接成功并进行文件
访问,服务端主机上的天网毫无反应!天网就这样被突破了!“反弹端口”型木马由于是由服务
端主动连接客户端的,所以天网规则里的“禁止所有人连接”对它是一点用也没有,只要“允许
FTP的数据通道”开启和“TCP数据包监视”关闭(默认设置正是这样),天网就不会有任何反应
的,这可比黑洞等木马一上来就关闭天网要危险多了!
注:由于网络神偷使用了VxD技术,因此该软件无法在Windows2000/NT下使用,非
Windows2000/NT下的朋友就要小心它了!
二、强攻也可突破天网的保护
其实,只要能够加以注意,或不是那么“菜”的话,那么上面所说的从内部攻破的方法就会
失效(可惜许多人就是不够小心),此时就只有强攻这一条路了。虽然天网对各类IP炸弹的攻击保
护等不错,但仍有空子可钻,有四种方法攻破它,请看:
1.使装天网的系统死机的简单方法
推荐工具:PortScan和IGMP Nuke
(1)得到对方的IP
要查对方IP最简单的方法是打开网络防火墙,如天网,然后点击“安全规则设置”,在弹出
的对话框中把“UDP数据包监视”前面的多选框内打上“√”,然后保存设置。现在,在QQ中给那
个人发个消息,再来点击天网中的“日志”按钮,从中你就会发现对方的IP。有了IP,他想跑可
就难了,哈哈。
(2)开始攻击
打开两个或两个以上PortScan,在“Scan:”栏中填入对方的IP,在“Send Port:”栏中填入
1,在“Stop Port:”栏中填入65536,这样就配置完毕,可以攻击了!现在按“START”按钮,然
后你就可以忙你的别的事吧!扫描的事教给PortScan就可以了。
(3)攻击原理
天网防火墙有个习惯,它对任何外来的不明数据包都会拦截,当一个时间段内有大量的 “各
种不同类型的”数据包涌过来,天网会对之进行一一拦截,还要分析和解析这是什么数据包,一
秒钟要解析几十次以上,由于数据包太多,会造成系统的资源逐渐耗掉,对方机子上的应用程序
会越来越慢,最终……呵呵!由于PortScan占用系统资源不多,因此本机的速度不会变慢多少。
(4)攻击深入
如果该用户发现是由于天网的过多拦截才造成死机,那他就会关闭天网。此时IGMP Nuke就会
发挥作用了:你可以每隔一段时间就对着目标IP运行一下IGMP Nuke,用默认设置就可以。结果,
没有了天网的对方当然是蓝屏啦!真是有天网也烦,没天网也烦呀!
(5)攻击时自身防范
本方法有一个缺点,就是对方能知道你的IP(天网中会记录下来的),因此你最好能使用代理
服务器免得暴露自己。
2.利用天网小BUG
天网有个小BUG(也许不能算作BUG),它只能记录6万多条攻击记录。那如果有多出来的的记
录会怎么样呢?这正是攻击者经常利用的一点。攻击者使用ICMP或IGMP包进行攻击,当攻击6万多
次以后,天网就会不断弹出错误对话框,直到耗尽内存而当机!尽管手段不够漂亮,但的确使装
有天网的主机死机了!简单实用就是这个方法的最大特点!
3.不断发送二进制的0字节流到
不停地发送二进制的0字节流到装有天网主机的特定端口(用TCP或UDP都可以),使装天网的
主机当机。简单的测试方法如下:在Linux中通过netcat输入/dev/zero内容,命令如下:
TCP的测试命令为: nc 目标主机 端口 < /dev/zero
举例:nc 127.0.0.1 7 < /dev/zero 其中“127.0.0.1”为装有天网主机的IP,“7”为目标
主机端口。
UDP的测试命令为:nc -u 目标主机 端口 < /dev/zero
举例:nc -u 127.0.0.1 53 < /dev/zero 其中“127.0.0.1”为装有天网主机的IP,“53”
为目标主机端口。
TCP ports:7 9 21 23 7778等都是TCP端口。
UDP ports:53 67 68 135 137 500 1812 1813 2535 3456等都是UDP端口。
在本文即将撰稿完毕之际,天网又推出了新的测试版本,新增了一个非常好的功能:天网防
火墙增加了对应用程序数据包进行底层分析拦截功能
它可以控制应用程序发送和接收数据包的类型、通讯端口,并且决定拦截还是通过,这是目前其
以前版本所不具有的功能。如果能很好的利用该功能,可以有效防止利用“反弹端口”型木马如
“网络神偷”等程序悄悄连接客户端,但遗憾的是许多人嫌该功能太烦人(不管哪个程序启动运
行,天网都会向您询问是否运行),因此将某些程序设置为“始终允许”,此时就给木马程序提
供了机会——木马也可能被您设置为“始终允许”!就这样天网精心构筑的防线被您轻易的打开
了!从这个角度上来说,世上只有愚蠢的人,而没有愚蠢的防火墙!
解决办法
1.不要到小站点下载软件,更不要运行“好心”的大虾提供的补丁之类的软件,当心被别有
用心的人利用!如此一来,可以防止木马及黑毒克星、NoSkyNet之类的软件被运行。
2.保持警惕性,对不熟悉的人发来的E-Mail不要轻易打开,带有附件就更要小心了。另外算
就是熟人发来的E-Mail,对其中的附件也要小心,您的朋友也许会无意中害了您(他的电脑被感
染了木马,但他有可能自己并不知道)。
3.安装杀毒反黑软件,下载软件运行前用杀毒反黑软件检查,如金山毒霸就可以识别出黑毒
克星、NoSkyNet和上面说的黑洞2001,而反黑软件如“木马克星”可以查出网络神偷。
4.注意注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurren Version和
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下,所有以“Run”开头的键
值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
5.启动组和Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意检查这些地方。
6.最好通过代理服务器上网,只有这样才能真正隐藏自己的IP,那些通过得知你的IP来攻击
你的人就会失去目标了。
7.千万不要嫌天网“烦”,天网是有些像大话西游中的唐僧,但你既然选择了它,就要忍受
它的“罗嗦”,其实所谓的“罗嗦”正是天网在不厌其烦的提醒你、保护你,所以要看仔细了,
到底是什么程序要连线运行。
8.注意自己在网上的言语,尽量不得罪人,真正的黑客是不会无缘无故的攻击你的。只有那
些“灰”客才乱攻击,对付他们请用方法6。
本文的目的是希望大家不要太迷信防火墙,注意提高自身素质,加强自己的网络安全意识。
如果能达到这个目的,吾愿足矣!