作者:海东青
个人网站:www.dirtysea.com
windump 的使用技巧
现在的网络入侵行为日益猖獗,传统的系统级安全检测,在很多时候已经失去了作用。
现在模拟一个网络环境:一台Windows 2000 Server操作系统的web服务器。一般这种服务器都在网络的非军事区(DMZ)中,它被攻击的可能性最大,至少目前的攻击一般都是基于这种服务器的。
在这台服务器上有个内核级后门Hxdef100(这个后门大家应该听说过吧!不仅它自己能隐藏在Windows系统中,而且能隐藏服务,端口,进程等等),对于这种情况,一般的系统管理员很难发现它。
但是,从数据流来看,就很简单,连接信息如下图所示:
C:> windump –vv –i 2 –n
13:45:13.956853 192.168.1.1.3164 > 192.168.1.2.1864: S 87334271:87334271(0) win 65535 (DF)
13:45:14.059243 192.168.1.2.1864 > 192.168.1.1.3164: S 4138420249:4138420249(0) ack 87334272 win 32120 (DF)
13:45:14.059475 192.168.1.1.3164 > 192.168.1.2.1864: . 87334272:87334272(0) ack 4138420250 win 65535 (DF)
入侵者192.168.1.1用nc连接192.168.1.2:1864,由于在服务器192.168.1.2中有Rootkit屏蔽了端口1864,所以在使用netstat –na这个命令时,就不会显示1021的连接信息,而通过windump就会发现连接信息,以上就是nc的三次握手的情况。
其实,有很多管理员他们仅仅考虑的是系统级安全,用netstat –na检测系统信息,对于系统内核级后门而言,这些信息会被屏蔽,或者这些检测工具已经被木马化了,这就是他们的盲区,而我认为数据流级的安全,就像windump的抓包这样的检测,相比之下更为重要了!