{$Wap} | 平台首页 | 信息必修 | 课程基地 | 通用必修1 | 通用必修2 | 网络 | 多媒体 | 程序 |档案袋 |必修复习 | 网络复习| |编程讨论| |理论测试 |
您现在的位置: 省句中信息技术教学平台 >> 程序设计 >> vb相关 >> 第三章 >> 正文
穷举法暴力攻击的发现和解决          【字体:
穷举法暴力攻击的发现和解决
作者:teacher    文章来源:本站原创    点击数:    更新时间:2006-4-5    
穷举法暴力攻击的发现和解决

  在黑客技术中,有一种古老和原始的攻击网络口令的方法,那就是穷举法。一般这种方法借助一个暴力攻击程序,用预先设置好的一组口令进行猜测行为,如果网络服务器程序报告“口令错误”的提示,则用下一个口令再次进行猜测,直到找到正确的口令为止。虽然这种方法很原始,然而黑客们往往大有收获,特别对于那些非专业计算机用户或口令知识薄弱的用户,其口令常常在不知不觉中被盗取。

  对于一些黑客的初学者,或者技术不是非常高明的,这种攻击程序的猜测行为都会在被攻击的服务器上留下蛛丝马迹,勤奋或者细心的网络管理员都可以找到真凶。例如对于Windows NT 4.0和使用Microsoft IIS的FTP服务程序,就可以找到下面一些被攻击的症状。

  1.打开Windows NT的事件查看器,进入日志 —>系统菜单项,你会发现大量时间相等或非常接近、ID值为100的系统警告信息。这些警告信息的来源标记为“MSFTPSVC”,如果你再查看该信息的详细内容,有类似“由于以下错误,服务器无法登录到 Windows NT 账号‘xxxx’: 登录失败:未知的用户名或错误密码。”的信息。在这里,判断是否属于非法暴力攻击的依据是:这种警告信息的出现突然非常频繁。

  2.Microsoft Internet Service Manager可以启动FTP的登录日志,这种登录的日志有两种记录方法。一是,按照每天、每周或每月等记录到一个相应的LOG日志文件中,这种方法配置简单,功能有限;二是记录到一个ODBC数据库中,这种方法可以使你将登录日志写到数据库,通过自己开发的应用程序可以实现多种功能,例如对于我们正在谈的主题,就可以让应用程序自动判断服务器遭到这种非法暴力攻击的可能性。

  这里,我不再讲述第二种方法的具体实现,只说一下在第一种方法中,你将会发现些什么,怎样判断遭受的攻击。

  当你打开LOG日志文件,例如C:\WINNT\SYSTEM32\LOGFILES\IN981110.LOG,对于遭受到非法暴力攻击的服务器,同样可以发现大量时间相等或非常接近的登录信息,而且登录的远程工作站的IP地址相同,具有如下的形式:

  10.0.0.1, easy, 98-11-10, 11:51:23, MSFTPSVC, NT40, -, 0, 11, 0, 0, 0, [1] USER , easy, -,
  10.0.0.1, -, 98-11-10, 11:51:23, MSFTPSVC, NT40, -, 0, 14, 0, 0, 1326, [1] PASS , -, -,

  如上所述,这种方法相比第一种方法,更加可以查到攻击的远程工作站以及遭到攻击的用户名称,上面的示例中:10.0.0.1是进行口令攻击的远程工作站,easy是受到攻击的用户,而MSFTPSVC则是攻击的来源。判断是否属于非法暴力攻击的依据仍然是:这种不成功登录信息的出现突然非常频繁。通过跟踪其中PASS行的内容,还可以知道该用户的口令是否被最终盗取成功。

文章录入:teacher    责任编辑:teacher 
  • 上一篇文章:

  • 下一篇文章: 没有了
  • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    最新热点 最新推荐 相关文章
    穷举算法之黑色应用
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)