在电脑网络时代,大家不可避免地会接触到有关黑客的世界,特别是对于网络管理员。黑客攻击网络和系统的方法,是五花八门的、同时也千变万化,并且随着网络、INTERNET技术的爆炸式发展过程,黑客技术也在日新月异的发展过程之中。
在黑客技术中,有一种古老和原始的攻击网络口令的方法,那就是穷举法。一般这种方法借助一个暴力攻击程序,用预先设置好的一组口令进行猜测行为,如果网络服务器程序报告“口令错误”的提示,则用下一个口令再次进行猜测,直到找到正确的口令为止。虽然这种方法很原始,然而黑客们往往大有收获,特别对于那些非专业计算机用户或口令知识薄弱的用户,其口令常常在不知不觉中被盗取。在“也说软件”栏目中介绍的NetThief程序就是这样的一个FTP口令暴力攻击程序。
对于一些黑客的初学者,或者技术不是非常高明的(例如我罗!当然我不是黑客,只是技术不高明),这种攻击程序的猜测行为都会在被攻击的服务器上留下蛛丝马迹,勤奋或者细心的网络管理员都可以找到真凶。例如对于Windows NT 4.0和使用Microsoft IIS的FTP服务程序,就可以找到下面一些被攻击的症状:
【一】打开Windows NT的事件查看器,进入日志 —>系统菜单项,你会发现大量时间相等或非常接近、ID值为100的系统警告信息。这些警告信息的来源标记为“MSFTPSVC”,如果你再查看该信息的详细内容,有类似如“由于以下错误,服务器无法登录到 Windows NT 帐号‘xxxx’: 登录失败:未知的用户名或错误密码。”的信息。在这里,判断是否属于非法暴力攻击的依据是:这种警告信息的出现突然非常频繁。
【二】Microsoft Internet Service Manager可以启动FTP的登录日志,这种登录的日志有两种记录方法。一是,按照每天、每周、或每月等记录到一个相应的LOG日志文件中,这种方法配置简单,功能有限;二是记录到一个ODBC数据库中,这种方法可以使你将登录日志写到数据库,通过自己开发的应用程序可以实现多种功能,例如对于我们正在谈的主题,就可以让应用程序自动判断服务器遭到这种非法暴力攻击的可能性。
这里,我不再讲述第二种方法的具体实现,只说一下在第一种方法中,你将会发现些什么,怎样判断遭受的攻击。当你打开LOG日志文件,例如C:\WINNT\SYSTEM32\LOGFILES\IN981110.LOG,对于遭受到非法暴力攻击的服务器,同样可以发现大量时间相等或非常接近的登录信息,而且登录的远程工作站的IP地址相同,具有如下的形式:
10.0.0.1, easy, 98-11-10, 11:51:23, MSFTPSVC, NT40, -, 0, 11, 0, 0, 0, [1] USER , easy, -,
10.0.0.1, -, 98-11-10, 11:51:23, MSFTPSVC, NT40, -, 0, 14, 0, 0, 1326, [1] PASS , -, -,
如上所述,这种方法相比第一种方法,更加可以查到攻击的远程工作站以及遭到攻击的用户名称,上面的示例中:10.0.0.1是进行口令攻击的远程工作站,easy是受到攻击的用户,而MSFTPSVC则是攻击的来源。判断是否属于非法暴力攻击的依据仍然是:这种不成功登录信息的出现突然非常频繁。通过跟踪其中PASS行的内容,还可以知道该用户的口令是否被最终盗取成功。