FTP口令受到窮舉法暴力攻擊后的蛛絲馬跡

在電腦網(wǎng)絡(luò)時代，大家不可避免地會接觸到有關(guān)黑客的世界，特別是對于網(wǎng)絡(luò)管理員。黑客攻擊網(wǎng)絡(luò)和系統(tǒng)的方法，是五花八門的、同時也千變?nèi)f化，并且隨著網(wǎng)絡(luò)、INTERNET技術(shù)的爆炸式發(fā)展過程，黑客技術(shù)也在日新月異的發(fā)展過程之中。

  在黑客技術(shù)中，有一種古老和原始的攻擊網(wǎng)絡(luò)口令的方法，那就是窮舉法。一般這種方法借助一個暴力攻擊程序，用預先設(shè)置好的一組口令進行猜測行為，如果網(wǎng)絡(luò)服務(wù)器程序報告“口令錯誤”的提示，則用下一個口令再次進行猜測，直到找到正確的口令為止。雖然這種方法很原始，然而黑客們往往大有收獲，特別對于那些非專業(yè)計算機用戶或口令知識薄弱的用戶，其口令常常在不知不覺中被盜取。在“也說軟件”欄目中介紹的NetThief程序就是這樣的一個FTP口令暴力攻擊程序。
6 P3 N1 a# {: e
  對于一些黑客的初學者，或者技術(shù)不是非常高明的（例如我羅！當然我不是黑客，只是技術(shù)不高明），這種攻擊程序的猜測行為都會在被攻擊的服務(wù)器上留下蛛絲馬跡，勤奮或者細心的網(wǎng)絡(luò)管理員都可以找到真兇。例如對于Windows NT 4.0和使用Microsoft IIS的FTP服務(wù)程序，就可以找到下面一些被攻擊的癥狀：

【一】打開Windows NT的事件查看器，進入日志 —>系統(tǒng)菜單項，你會發(fā)現(xiàn)大量時間相等或非常接近、ID值為100的系統(tǒng)警告信息。這些警告信息的來源標記為“MSFTPSVC”，如果你再查看該信息的詳細內(nèi)容，有類似如“由于以下錯誤，服務(wù)器無法登錄到 Windows NT 帳號‘xxxx’: 登錄失?。何粗挠脩裘蝈e誤密碼?！钡男畔ⅰＴ谶@里，判斷是否屬于非法暴力攻擊的依據(jù)是：這種警告信息的出現(xiàn)突然非常頻繁。

, \- `# i8 j6 ^, i6 e$ C" \; o6 q【二】Microsoft Internet Service Manager可以啟動FTP的登錄日志，這種登錄的日志有兩種記錄方法。一是，按照每天、每周、或每月等記錄到一個相應(yīng)的LOG日志文件中，這種方法配置簡單，功能有限；二是記錄到一個ODBC數(shù)據(jù)庫中，這種方法可以使你將登錄日志寫到數(shù)據(jù)庫，通過自己開發(fā)的應(yīng)用程序可以實現(xiàn)多種功能，例如對于我們正在談的主題，就可以讓應(yīng)用程序自動判斷服務(wù)器遭到這種非法暴力攻擊的可能性。
3 D8 J3 ?, [- k0 J  j這里，我不再講述第二種方法的具體實現(xiàn)，只說一下在第一種方法中，你將會發(fā)現(xiàn)些什么，怎樣判斷遭受的攻擊。
當你打開LOG日志文件，例如C:\WINNT\SYSTEM32\LOGFILES\IN981110.LOG，對于遭受到非法暴力攻擊的服務(wù)器，同樣可以發(fā)現(xiàn)大量時間相等或非常接近的登錄信息，而且登錄的遠程工作站的IP地址相同，具有如下的形式：
10.0.0.1, easy, 98-11-10, 11:51:23, MSFTPSVC, NT40, -, 0, 11, 0, 0, 0, [1] USER , easy, -,
# |1 {% Z' u6 q5 v! ~$ C10.0.0.1, -, 98-11-10, 11:51:23, MSFTPSVC, NT40, -, 0, 14, 0, 0, 1326, [1] PASS , -, -,
如上所述，這種方法相比第一種方法，更加可以查到攻擊的遠程工作站以及遭到攻擊的用戶名稱，上面的示例中：10.0.0.1是進行口令攻擊的遠程工作站，easy是受到攻擊的用戶，而MSFTPSVC則是攻擊的來源。判斷是否屬于非法暴力攻擊的依據(jù)仍然是：這種不成功登錄信息的出現(xiàn)突然非常頻繁。通過跟蹤其中PASS行的內(nèi)容，還可以知道該用戶的口令是否被最終盜取成功