【賽迪網-IT技術報道】
發佈時間:2008.05.06 05:01 來源:賽迪網 作者:左邊
大家知道,通過Ping和Tracert程式就能判斷目標主機類型,Ping最主要的用處就是檢測目標主機是否能連通。Tracert利用ICMP數據包和IP數據包頭部中的TTL值,防止數據包不斷在IP 互聯網上永不終止地迴圈。
許多入侵者首先會Ping一下你的機子,如看到TTL值為128就認為你的系統為Windows NT/2000;如果TTL值為32則認為目標主機作業系統為Windows 95/98;如果TTL值為255/64就認為是UNIX/Linux作業系統。既然入侵者相信TTL值所反映出來的結果,那麼我們只要修改TTL 值,入侵者就無法入侵電腦了。
操作步驟:
1.打開“記事本”程式,編寫批處理命令:
@echo REGEDIT4>>ChangeTTL.reg
@echo.>>ChangeTTL.reg
@echo
[HKEY_LOCAL_MACHlNE\System\CurrentControlSet\Services\Tcpip\Parameters]
>>ChangeTTL.reg
@echo "DefaultTTL"="dword:000000">>ChangeTTL.reg
@REGEDIT /S/C ChangeTTL.reg
2.把編好的程式另存為以.bat為擴展名的批處理文件, 點擊這個文件,你的作業系統的缺省TTL值就會被修改為ff,即 10進制的255,也就是說把你的作業系統人為地改為UNIX系統了 。同時,在該文件所在的文件夾下會生成一個名為 ChangeTTL.reg 的註冊表文件。如果你想運行完這個批處理文件而不產生 ChangeTTL.reg文件,可以在此批處理文件的最後一行加上 deltree/Y ChangeTTL.reg,就可以無須確認自動刪除ChangeTTL.reg文件 。
說明:在上面的命令中,echo是DOS下的回顯命令,如 果想看到程式執行過程,請將“@”去掉。“> >”產生的內容將追加到它後面的文件即ChangeTTL.reg中。而“DefaultTTL"=dword�000000ff”則是用來設置系統缺省TTL 值的,如果你想將自己的作業系統的TTL值改為其他作業系統的 ICMP回顯應答值,請改變“"DefaultTTL"”的鍵值,要注意將對應作業系統的TTL值改為十六進位才可以。
這樣,當入侵者Ping你的機器時,他得到的就是一個假的TTL值,這個假的TTL值就會誤導對方,使入侵者的判斷出現失誤,因為針對不同的作業系統的入侵方法並不一樣,所以用這個方法欺騙對方,可以讓他摸不著頭腦!利用這個方法欺騙入侵者是不是很妙啊?快試試吧!
我們不在沉默 給入侵駭客一個“下馬威”
發佈時間:2008.04.29 04:58 來源:賽迪網 作者:左邊
【賽迪網-IT技術報道】你是否受到駭客攻擊而憤憤不平?每當防火牆警報響起時,你是選擇沉默還是給予適當的警告?該出手時就出手,借用一些技巧給對方一個善意的“下馬威”吧!
信使服務
防火牆檢測到系統受到攻擊時,一般會報警或記錄下相應的數據。比如常用的天網防火牆,當它檢測到系統遭受攻擊時,系統托盤處的天網圖標就會出現一個閃爍的警報信號,雙擊該圖標,從彈出的窗口中,你可以得到攻擊者的來源、試圖從端口進行“突破”等資訊(如圖1)。
圖1
知道了攻擊者的IP地址後,我們可以嘗試使用信使服務給對方一個消息,可以是好言相勸哦!Windows 2000/XP默認情況下是將信使服務開著的,可以收到別人發送的消息。假設我們要給攻擊者發送信使消息,可以打開“命令提示符”窗口,鍵入“net send 218.51.***.*** 警告消息”。如果要輸入的文字消息比較多,在Windows 2000中還有另外一種法,打開[控制面板]→[管理工具]→[組件服務],用滑鼠右鍵單擊“本地電腦上的服務”,選擇彈出功能表中的[所有任務]→[發送控制臺消息],輸入消息內容後,點擊[添加]按鈕,輸入接收方的IP地址,最後點擊[發送]按鈕即可。
注意:如果對方沒有開啟信使服務,或者使用了不支援信使服務的系統(比如Windows 98),那麼發送資訊時你會收到出錯的提示。
情報發往何處?
對於喜歡軟體嘗鮮的朋友,上了寬帶後一定樂此不疲地下載試用各種軟體,然而有些軟體就像“披著羊皮的狼”,它們可能在暗中竊取你的秘密,然後發送到主人的郵箱中。對於一個自己不放心的軟體,要得知它們在網路的一舉一動,關鍵就是將它們活動的數據包記錄下來,嘗試找到收集“情報”的E-mail地址後,你就可以去封E-mail了解情況了!
目前能截獲並記錄網路數據包的軟體比較多,筆者推薦採用KFW,這是一個防火牆軟體,它最具特色的功能就是能截獲指定應用程式的網路數據包,將發送和接收的數據一一記錄下來,您可以進行保存、分析,掌握網路軟體背後的一舉一動。
KFW的下載地址:http://bbs.security.ccidnet.com/read.php?tid=591170,安裝後重新啟動就可以使用了。不同的網路防火牆一起使用時,彼此之間可能會有所衝突,筆者建議你使用KFW時關閉掉其他網路防火牆。
步驟1:添加到應用程式規則列表
運行你要監視的軟體,如果該軟體進行了訪問網路的活動,KFW會彈出詢問框或自動將其添加到應用程式規則列表中。
提示:出於安全的考慮,最好是讓KFW彈出對話方塊進行詢問,方法如下:執行主功能表[設置]→[設置嚮導],在彈出的對話方塊點[下一步],勾選“如果程式使用網路沒有被記載則彈出詢問窗口”。
步驟2:設置要監視的應用程式
打開KFW的設置窗口,切換到“應用程式規則”選項頁面,找到剛才添加的那個軟體,雙擊它,然後勾選對話方塊中的兩個“記錄數據包”選項,對發送和接收的數據都進行跟蹤。返回後,勾選“開關”一列中的選項框。
步驟3:分析數據包
圖2
當被監視的軟體進行網路活動時,打開KFW,切換到“數據包記錄”頁面,你可以查看相應的數據包資訊,每條記錄記載著協議名稱、包大小、本機端口、對方端口、對方IP等重要資訊,點擊對方IP旁的按鈕,你還能得到相應的地理位置資訊。當你選中某條記錄時,下面的窗格顯示了相應數據包的內容,左邊是16進制的顯示方式,右邊則是對應的文本顯示(如圖2),它就是我們要關心的資訊,看一看,有沒有發現可疑的E-mail地址?
截獲E-mail地址資訊後,你可以就該軟體和其他朋友交流一下看法,集思廣益,如果能確定該E-mail收集了你的情報,那就發封信件質疑一下吧,俗話說“做賊心虛”,說不準把他給嚇跑了!
沒有留言:
張貼留言