亚洲色一色噜一噜噜噜_在线国产精品一区二区_91国自产拍 精品_国产伦三级一区二区

<address id="xly8e"><var id="xly8e"><center id="xly8e"></center></var></address>
<kbd id="xly8e"><dl id="xly8e"></dl></kbd>
<bdo id="xly8e"><mark id="xly8e"><legend id="xly8e"></legend></mark></bdo>
  • <span id="xly8e"><delect id="xly8e"></delect></span>

     找回密碼
     注冊

    QQ登錄

    只需一步,快速開始

    FTP口令受到窮舉法暴力攻擊后的蛛絲馬跡

    [復制鏈接]
    1#
    發(fā)表于 2011-1-13 17:07:30 | 只看該作者 |倒序瀏覽 |閱讀模式
    在電腦網(wǎng)絡(luò)時代,大家不可避免地會接觸到有關(guān)黑客的世界,特別是對于網(wǎng)絡(luò)管理員。黑客攻擊網(wǎng)絡(luò)和系統(tǒng)的方法,是五花八門的、同時也千變?nèi)f化,并且隨著網(wǎng)絡(luò)、INTERNET技術(shù)的爆炸式發(fā)展過程,黑客技術(shù)也在日新月異的發(fā)展過程之中。; z5 P: W/ X1 ]( X) D& B3 X6 w4 w
    6 X) J$ t8 J2 i6 K! @7 }
      在黑客技術(shù)中,有一種古老和原始的攻擊網(wǎng)絡(luò)口令的方法,那就是窮舉法。一般這種方法借助一個暴力攻擊程序,用預先設(shè)置好的一組口令進行猜測行為,如果網(wǎng)絡(luò)服務(wù)器程序報告“口令錯誤”的提示,則用下一個口令再次進行猜測,直到找到正確的口令為止。雖然這種方法很原始,然而黑客們往往大有收獲,特別對于那些非專業(yè)計算機用戶或口令知識薄弱的用戶,其口令常常在不知不覺中被盜取。在“也說軟件”欄目中介紹的NetThief程序就是這樣的一個FTP口令暴力攻擊程序。
    6 P3 N1 a# {: e% y3 y. u8 X+ c  ^+ _+ T/ u
      對于一些黑客的初學者,或者技術(shù)不是非常高明的(例如我羅!當然我不是黑客,只是技術(shù)不高明),這種攻擊程序的猜測行為都會在被攻擊的服務(wù)器上留下蛛絲馬跡,勤奮或者細心的網(wǎng)絡(luò)管理員都可以找到真兇。例如對于Windows NT 4.0和使用Microsoft IIS的FTP服務(wù)程序,就可以找到下面一些被攻擊的癥狀:; P; G$ z* m6 E
    4 w% t! h4 x7 @: p. \! f
    【一】打開Windows NT的事件查看器,進入日志 —>系統(tǒng)菜單項,你會發(fā)現(xiàn)大量時間相等或非常接近、ID值為100的系統(tǒng)警告信息。這些警告信息的來源標記為“MSFTPSVC”,如果你再查看該信息的詳細內(nèi)容,有類似如“由于以下錯誤,服務(wù)器無法登錄到 Windows NT 帳號‘xxxx’: 登錄失?。何粗挠脩裘蝈e誤密碼?!钡男畔ⅰT谶@里,判斷是否屬于非法暴力攻擊的依據(jù)是:這種警告信息的出現(xiàn)突然非常頻繁。( r; S7 a+ e( K+ }: z0 }) V

    , \- `# i8 j6 ^, i6 e$ C" \; o6 q【二】Microsoft Internet Service Manager可以啟動FTP的登錄日志,這種登錄的日志有兩種記錄方法。一是,按照每天、每周、或每月等記錄到一個相應(yīng)的LOG日志文件中,這種方法配置簡單,功能有限;二是記錄到一個ODBC數(shù)據(jù)庫中,這種方法可以使你將登錄日志寫到數(shù)據(jù)庫,通過自己開發(fā)的應(yīng)用程序可以實現(xiàn)多種功能,例如對于我們正在談的主題,就可以讓應(yīng)用程序自動判斷服務(wù)器遭到這種非法暴力攻擊的可能性。
    3 D8 J3 ?, [- k0 J  j這里,我不再講述第二種方法的具體實現(xiàn),只說一下在第一種方法中,你將會發(fā)現(xiàn)些什么,怎樣判斷遭受的攻擊。' s8 j% N7 F2 l* @
    當你打開LOG日志文件,例如C:\WINNT\SYSTEM32\LOGFILES\IN981110.LOG,對于遭受到非法暴力攻擊的服務(wù)器,同樣可以發(fā)現(xiàn)大量時間相等或非常接近的登錄信息,而且登錄的遠程工作站的IP地址相同,具有如下的形式:: {5 h. P1 e: c- j& d4 }/ \2 X
    10.0.0.1, easy, 98-11-10, 11:51:23, MSFTPSVC, NT40, -, 0, 11, 0, 0, 0, [1] USER , easy, -,
    # |1 {% Z' u6 q5 v! ~$ C10.0.0.1, -, 98-11-10, 11:51:23, MSFTPSVC, NT40, -, 0, 14, 0, 0, 1326, [1] PASS , -, -, & F8 m$ N3 ?1 w! v1 \. \
    如上所述,這種方法相比第一種方法,更加可以查到攻擊的遠程工作站以及遭到攻擊的用戶名稱,上面的示例中:10.0.0.1是進行口令攻擊的遠程工作站,easy是受到攻擊的用戶,而MSFTPSVC則是攻擊的來源。判斷是否屬于非法暴力攻擊的依據(jù)仍然是:這種不成功登錄信息的出現(xiàn)突然非常頻繁。通過跟蹤其中PASS行的內(nèi)容,還可以知道該用戶的口令是否被最終盜取成功
    您需要登錄后才可以回帖 登錄 | 注冊

    本版積分規(guī)則

    QQ|本地廣告聯(lián)系: QQ:905790666 TEL:13176190456|Archiver|手機版|小黑屋|汶上信息港 ( 魯ICP備19052200號-1 )

    GMT+8, 2025-7-10 14:54

    Powered by Discuz! X3.5

    © 2001-2025 Discuz! Team.

    快速回復 返回頂部 返回列表