让我们来偷窥黑客的工具箱〓华西安全联盟华西黑客联盟〓 >> ——打造中华西部大型计算机网络安全资讯站点

一、密码破译如入无人之境

几乎所有的工具箱内都有密码破解工具。在入侵的第一阶段，通常先尝试破解电脑的密码，而大多数的系统（包括WindowsNT及UNIX）都把密码储存在电脑的特定文件里。偷到这个文件后，就会用工具配合一部字典来进行破解。密码破解工具的作用，就是通过解码得到密码。破解工具能把字典中的每一个字编码后，比较密码编码的“值”，如果两者相符就找出了密码，这种破解方式又称为“强力破解”(brute-forcecrack)。运转破解工具的系统愈快，解码的时间就愈短。它当然也能用来破解上网账号或电子邮箱的密码。 ★L0phtCrack 组织“L0pht重工业”(L0phtHeavyIndustries)号称是“白帽精英中的摇滚巨星”，它在1997年发表了L0phtCrack这个软件，功效强大且容易使用，按一个键就可以破解密码，连新手也能操作自如。新版本的功能更是先进，利用一台PentiumII450电脑，可在一天内破解所有由字母与数字混合的密码。 ☆防御L0phtCrack的基本方法 l.应使密码不易被猜中，比如善用各类符号，避免使用字典上的字词。们公认由字母、数字与符号合成的七位数密码(例如a4%H6#)最难破解。 2.经常改换密码，最好每隔一个月改一次。 3.凡是附带密码机制的项目，例如开机、硬盘、上网、电子邮件等，都要设定密码，不要怕麻烦。 4.有些网站要求使用者先设定一个密码才能进入，此时千万不要填入账号或开机密码，因为很多网站会把网友设置的密码储存在一个库内，会先试用这些密码。 5.不要把密码告诉任何人，如果必须这样做，也不要用电话或电子邮件传递。 6.不要用自己的生日、电话号码、车牌号码、姓名或其它的资料当密码，严防身边的。 二、对爱猫发动的战争

★战争拨号机战争拨号机(WarDialers)的原理很简单，首先它用升序或随机的方式拨接一系列的电话号码，一旦发现隐藏的Modem就能拨号进入系统，并能破解容易猜的密码。战争拨号机对于没有设定密码又使用远程控制软件的个人电脑，可说是百发百中。而企业员工的电脑和公司系统的连接往往就是这种形式。有许多之所以喜欢从员工的家用电脑下手，就是这个道理。很多公司为了防黑，花了很多时间和金钱建立防火墙，认为必然万无一失，可是防火墙只护住了的前门，内部中一些没有登录过的Modem却为准备了一个更方便进出的后门，战争拨号机能利用它们进入你的。显然，这是最爱的工具之一。 ☆防御战争拨号机的方法对战争拨号机最有效的防范方法，是尽量避免个人电脑用Modem和主系统连接。如果因为业务需要必须连接，也应该在公司的有关部门登记，并改成“只出不进”的拨号方式。企业在这方面也必须有明确的规定。有人认为PBX使用数字式的线路，没人能私自安装Modem，实在是大错特错！因为数字Modem线很便宜也很容易买到。此外，企业也可以利用战争拨号机找出没有登记的Modem，对于没有必要的应该一律移除。 三、的瑞士军刀

★网猫网猫(Netcat)是用来进行TCP/UDP协议连接的工具，最早是由Hobbit先生在1995年为UNIX所写的程序。到了1997年，WeldPond先生在原有基础上发扬光大，使之也可以用在NT上。虽然网猫的年纪很老(注：在IT界，半年就是一个世纪)，却老而弥坚。因为功能强大，们特称之为“的瑞士军刀”。网猫的主要功能是管理系统和侦查的错误，然而水能载舟也能覆舟，这只猫也有入侵的利爪。在主机模式里，网猫成为器，等待连接TCP/UDP端口，而在用户端模式，网猫可以使用户连接任何端口，这样就形成了后门。此外网猫还能扫描TCP/UDP端口。经常利用它取得银行账户的资料，改金额甚至转移金钱到其它账号，当然也可以窃取其它重要信息。 ☆防御Netcat的方法充分了解系统内所运行程序，避免让不需要的端口通过防火墙。对于外界可以接近的主机则更应该辨别所有运行程序的内容，否则很容易成为入侵的渠道。另外关于主机的运行也应该有精确的日志。 四、结束语

以上就是常用的入侵工具和基本的防御方法。当然入侵时不会只用一种方法，而是视情况混合使用：通常会先启动战争拨号器寻找没有保护的Modem，然后接管系统并扫描；在主机上开后门；登录到器上拦截信息，进而控制器；再攻击其他的网站。入侵事件一再发生，使得人们开始怀疑系统安全人员的能力，很多优秀的人才因而被炒了鱿鱼，其实这很不公平。从工作目的上看，一般的工程或管理人员工作的内涵是要“使一些事发生”，而系统安全人员的首要任务却是“要让某些事不发生”，从逻辑上讲，这是个更为困难的差事。