黑客在入侵目标计算机时,为了不让用户发现自己,会利用代理服务器作为跳板进行隐匿入侵攻击。无论采用哪种方式,攻击者还是会在目标计算机中留下“痕迹”,为了防止用户顺藤摸瓜找到自己,攻击者会在入侵成功后清除这些“痕迹”。
本章知识点:
隐匿入侵技术
黑客追踪技术
清除自己留下的痕迹
隐匿入侵是黑客在入侵时经常会使用的技术,该技术能够确保在目标计算机用户或网络安全管理人员发现非法入侵后无法准确地定位到攻击者,该技术需要使用代理服务器,而寻找代理服务器可以利用代理猎手进行查找,查找到可用的代理服务器后攻击者就可借助这些服务器来实现隐匿入侵,代理服务器除了被攻击者使用之外,正常用户可使用它来实现代理上网,达到隐藏自己IP地址的目的。
A 跳板技术是指通过建立一条通往目标计算机的主机链来入侵目标计算机,这样一来,即使目标计算机用户反向追踪,也很难发现真正的攻击者。
一个狡猾、高明的黑客攻击者,在入侵前都会做好充分的准备,入侵时会通过各种技术手段保护自己,以防被对方发现,引火烧身。其中,跳板技术是攻击者通常采用的技术。跳板技术包括四个阶段,即确定目标、设计跳板、跳板入侵以及清除日志。
确定目标
确定目标是指确定存在漏洞的目标计算机。攻击者首先会利用扫描工具进行定点(IP)扫描或者对某IP地址段进行扫描,在扫描的过程中一旦发现了指定IP地址的计算机中存在系统漏洞时,就会准备实施攻击。
设计跳板
跳板通俗讲就是一条通往目标计算机的主机链,从理论上讲,主机链越长就越安全,但是链太长会造成连接速度过慢(因为其中的中转服务器太多)。因此攻击者往往会评估入侵风险,从而制定或者设计跳板。
在选择跳板主机时,攻击者往往会选择安全性一般、速度快,并且很少有人光顾的主机。攻击者经常会在跳板中加入路由器或者交换机,虽然路由器的日志文件会记录登录IP,但是却可以利用相关的命令手动彻底清除该日志,因为路由器的日志保存在Flash中,一旦删除将无法恢复。如果跳板全部用主机,虽然也可以清除日志,但是现在的恢复软件往往可以恢复这些日志,就会留下痕迹,网络安全人员可以通过这些蛛丝马迹找到攻击者。
跳板入侵
攻击者一般不会用自己平时使用的计算机进行远程入侵,他们往往通过一些人员流动比较大的公共电脑进行入侵。即使找不到这类公共计算机,他们也不会用物理计算机,而是采用虚拟机系统进行入侵。因为物理主机的入侵会留下痕迹,就算删除或者格式化也会被恢复。而在虚拟机中却不一样,入侵完成后可以直接删除。
清除日志
攻击者在入侵完成并获得目标计算机的管理权限后,会擦除入侵时留下的痕迹,准备全身而退,而这些痕迹就被记录在系统日志和防火墙日志中,攻击者需要上传相应的攻击来清除这些日志。