入侵检测三级跳解析跳板技术

【IT专家网独家】网络入侵，安全第一。一个狡猾的、高明的入侵者，不会冒然实行动。他们在入侵时前会做足功课，入侵时会通过各种技术手段保护自己，以防被对方发现，引火烧身。其中，跳板技术是攻击者通常采用的技术。下面笔者结合实例，解析攻击入侵中的跳板技术。

1、确定目标

攻击者在通过扫描工具进行定点(IP)扫描或者对某IP段扫描的过程中发现了该系统(服务器)的某个漏洞，然后准备实施攻击。

比如，笔者通过对某IP段的扫描，发现该IP段IP地址为211.52.*.84的主机存在MYSQL漏洞，可以通过提权获取系统权限进而控制该服务器。(图1)

2、设计跳板

跳板通俗讲就是一条通往目标主机的主机链，理论上讲当然是链越长就越安全，但是链太长的话连接的速度太慢，因为其中的中转太多。攻击者往往会评估入侵风险，从而制定或者设计跳板。一般的原则是，如果是政府、军队等敏感部门往往跳板会比较多，甚至这些跳板主机会纵横七大洲四大洋。另外，入侵国内服务器往往也会需要国外的跳板主机。

另外跳板主机的选择，入侵者往往是一些安全性一般速度较快，很少有人光顾的主机。因为如果是跳板出了安全问题，安全人员从中间入手，进行反向追%踪，定%位入侵者的相对比较容易。

笔者演示进行入侵检测的目标主机是一家韩国的服务器(通过

　　特别说明：攻击者往往在跳板中加入路由器或者交换机(比如Cisco的产品)，虽然路由器的日志文件会记录登陆IP，但是可以通过相关的命令清除该日志。并且这些日志清除后将永远消失，因为路由器的日志保存在flash中，一旦删除将无法恢复。如果跳板全部用主机的话，虽然也可以清除日志，但是现在的恢复软件往往可以恢复这些日志，就会留下痕迹，网络安全人员可以通过这些蛛丝马迹可能找到自己。

3、跳板入侵

(1).第一跳，远程桌面

开始→运行→mstsc，打开远程桌面连接，输入马来西亚服务器的IP地址203.176.*.237，随后输入用户名、密码即可远程连接到该服务器。(图3)

一个非常狡猾高明的的入侵者一般不会用自己平时使用的主机进行远程桌面连接入侵，他们往往通过一些人员流动比较大的公共电脑进行入侵。如果找不到的话，他们一般不会用物理主机，会采用虚拟机系统进行入侵。因为物理主机的入侵会留下痕迹，就算删除格式化也会被恢复。而虚拟机，入侵完成后可以删除，呼之即来，弃之毫不可惜。

(2).第二跳，telnet路由器

打开服务器命令行工具(cmd)，输入telnet 203.115.*.85进行连接。该路由器是一Cisco设置了虚拟终端的密码，输入密码进入路由器一般模式。此时即可以通过路由器telnet到下一个跳板。当然最好有该cisco路由器的特权密码，敲入en，然后输入特权密码进入特权模式。因为就算没有进入路由器的特权模式，但路由器还是记录了此次登陆，因此一定要进入特权模式，通过路由器命令清除登陆记录和历史命令。笔者为了安全用SecureCRT(类似telnet)进行登陆，登陆成功如图4。(图4)

作为一个狡猾的入侵者，在进入路由器特权模式后，不是马上进入下一跳板。往往通过show user命令查看有没有其他人(特别是管理员)登陆到路由器。如果存在其他登陆，一个谨慎的入侵者往往会放弃该跳板转而用其他的跳板。(图5)

(3).第三跳，telnet主机

在路由器特权模式下，输入telnet 203.115.*.85，随后输入用户名及其密码后就telnet到远程主机系统给我们一个shell。(图6)

4.提权

至此，我们经过三级跳到达工作平台，然后就在该shell上进行目标主机的MYSQL提权操作。操作平台上笔者已经准备好了进行MYSQL提权的工具。输入命令进行操作，笔者把相关的命令列举出来：

cd msysql
　　cd bin
　　mysql -h 211.52.118.84 -uroot
　　\. c:\mysql\bin\2003.txt

图7

在工作平台上再打开一个cmd，输入命令

nc 211.52.118.84 3306

即监听该ip的3306端口，返回一个目标主机的shell，获取该主机的控制权。

图8

在该shell上输入命令建立管理员用户下面看看对方是否开了远程桌面连接，在命令行下敲入命令

net user test test /add
net localgour administrators test /add

netstat -ano

如图9所示，对方开了3389端口，即可以进行远程桌面的连接。

图9

由于对方是XP系统，不能多用户远程连接，笔者的入侵检测到此为止。

5、全身而退

　　入侵完成获得目标主机的管理权限，入侵者就得擦除痕迹，准备撤退了。

　　(1).由于从目标主机获得的shell反向连接获得的，不会有日志记录，所以不用管直接断开连接。

　　(2).上传clearlog工具，清除telnet主机上的登陆日志。

　　(3).输入exit，退出路由器到主机的的telnet连接。在路由器上输入

　　clear logging

　　分别用来清除登陆日志。

图10

(4).退出路由器登陆，通过工具清除远程桌面主机上的登陆日志，然后删除登录用帐户和用户目录，注销用户。

入侵检测三级跳解析跳板技术相关推荐

***检测三级跳解析跳板技术
网络***,安全第一.一个狡猾的.高明的***者,不会冒然实行动.他们在***时前会做足功课,***时会通过各种技术手段保护自己,以防被对方发现,引火烧身.其中,跳板技术是***者通常采用的技术.下面 ...
[ 笔记 ] 计算机网络安全_6_入侵检测系统
[笔记] 计算机网络安全:(6)入侵检测系统网络安全基础 internet协议的安全性 Web安全网络扫描和网络监听防火墙原理与设计入侵检测系统 VPN技术目录 [笔记] 计算机网络安全:( ...
计算机网络安全中应用入侵检测技术
1.计算机网络常见入侵方式针对计算机网络的入侵主要指通过相应计算机程序在物理设施上进行的破坏,又或者编写的程序代码或计算机指令实现对未授权文件或网络的非法访问.继而入侵至网络中的行为.当前常见的计算 ...
第七讲入侵检测技术
概念:入侵检测入侵检测通用框架(IDWG CIDF CVE) 理解:入侵检测原理.入侵检测系统分类.误用检测和异常检测的区别及特点运用举例: 能够依据具体的应用场景,选择恰当的入侵检测系统部署方法 ...
[转载]基于数据挖掘技术入侵检测系统研究
[--- 资料是从免费网站上获取的,上载在这里,只为交流学习目的,文章原作者保留所有权力, 如本博客的内容侵犯了你的权益,请与以下地址联系,本人获知后,马上删除.同时本人深表歉意,并致以崇高的谢意! ...
信息安全工程师笔记-入侵检测技术原理与应用
入侵检测:通过收集操作系统.系统程序.应用程序.网络包信息,发现系统中违背安全策略或危及系统安全的行为. 具有入侵检测功能的系统称为入侵检测系统,简称为IDS. 通用入侵检测模型通用入侵检测框架模型 ...
信安教程第二版-第10章入侵检测技术原理与应用
第10章入侵检测技术原理与应用 10.1 入侵检测概述 193 10.1.1 入侵检测概念 193 10.1.2 入侵检测模型 193 10.1.3 入侵检测作用 194 10.2 入侵检测技术 1 ...
Linux入侵痕迹检测方案【华为云技术分享】
背景说明扫描是一切入侵的基础,通过扫描来发现目标主机是否为活动主机.操作系统是什么版本.开放了哪些服务等.扫描技术纷繁复杂,新的扫描技术也层出不穷,不可能穷举所有扫描技术,下面按入侵步骤对主机扫描. ...
2021年中国云入侵检测与防范市场趋势报告、技术动态创新及2027年市场预测
云入侵检测与防范市场的企业竞争态势该报告涉及的主要国际市场参与者有Check Point Software Technologies.Cisco Systems.IBM.Juniper Networ ...

入侵检测三级跳解析跳板技术

入侵检测三级跳解析跳板技术相关推荐

最新文章

热门文章

入侵检测三级跳 解析跳板技术

入侵检测三级跳 解析跳板技术相关推荐

最新文章

热门文章

入侵检测三级跳解析跳板技术

入侵检测三级跳解析跳板技术相关推荐