駭客任務

DrBenson

當電腦罪犯攻擊時，怎樣反擊

by DrBenson

接續小棧舊棧我曾發表的文章
此篇文章部分內容翻譯自 Carolyn Meinel 的文章 How to Fight Back when Computer Criminals Strike
循序漸進教導你如何追蹤黑客攻擊
如何利用工具回應攻擊事件

以下所提及之軟體及名稱均屬各該公司所擁有之版權

===========================================================================================

當電腦罪犯攻擊時，很簡單，使用正當的方式照顧他們，嘿嘿。 你甚至能使你的電腦安全的遵守執行例行任務使你達到充滿腎上腺素的樂趣。
以下讓你獲悉怎樣應對︰

        o  為追蹤電腦罪犯獲得工具
        o  告訴防火牆哪裡該採取嚴重戒備
        o  查明那些"通訊埠"標記符號意味著什麼
        o  什麼時候什麼地方(面向電腦罪犯)最容易尋找？
        o  找出攻擊者 -- 開啟網際網路找到並踢除他們
        o  使壞人立即感受痛苦

有一天我溜到電腦安全性入口，連接到對一切感到新鮮的酷地方，但卻感到沒啥意義。 在很短的時間裡我的防火牆發狂了。 有人正檢查中，且努力透過Windows分享下載我的文件。 圖1 顯示這種攻擊，"NetBIOS Session"，看起來像什麼。 因為我並不允許文件從我的電腦下載，這必定是一個行為舉止很差的某人。



圖1︰在一台Windows 的電腦上嘗試存取文件。保護無辜者或有罪? 看情況，這幅圖像已經被改變隱藏的電腦(注意999是一個無效的網址)。

ZoneAlarm 為此給了一個攻擊者網址。 我打開我的瀏覽器的位置窗口。 你瞧，所出現的 - 那是個完全相同的安全入口。 管它呢 - 跑這個站點的人得到了完全地破解訪問電腦嗎? 我迅速的用whois 查找，得到擁有人的名字和電話，並且給他一個電話。 他聽起來足夠有禮貌並且關心我決定會不會擦掉他的網站的硬碟。 沒問題，沒問題，即使他叫我壞人我也不會這樣做。 對監獄有過敏反應的人…是我。

注釋: "Whois"是獲悉誰擁有並且管理一個網際網路域名的一個請求。 一些網站，例如 http://www.internic.net/ (網際網路信息中心),有你能進入你的請求的一個"whois"工具。 在Linux裡，從你的末端窗口，僅僅給命令"whois"隨後便得到一個域名。

第二天他打電話感謝我。他解釋說，擁有儲存他的網站的伺服器，是擁有許多客戶的一家大型網站托管公司。 精確的說，他們的網站提供採用串流接收技術的視頻傳播給其他的用戶。 那是一個叫pr0n的東東。名副其實的黑客磁鐵。 在透過獲得免費採用流動式接收技術的視頻傳播節省大的美元時， baddies也已經安裝將自動努力闖進訪問的每人的電腦的一個軟體。 由於我的警惕，他們剛剛剷除了一個電腦罪犯的巢

你將需要的工具
很多家用電腦防火牆會輕拍你的頭並且告訴你"什麼，我好擔心喔？(What, I worry?) "如果你正在讀這篇文章，你或許想知道多於那些。 為了反擊 你需要防火牆什麼時候能立即提醒你保持警覺的防止某人攻擊。 這是因為很多攻擊者帶著一個撥號數據機隨時連線。 由於這種服務方式，每當他們連上網路時，他們的網路服務公司把新網址分發給他們的電腦。 如果你立刻通知他們的網際網路服務提供商懷疑的犯罪，他們仍然有一個記錄當時誰在使用那位址。

我的最喜愛的防火牆是 ZoneAlarm (http://www.zonelabs.com, Windows版本的)。 每當一次可疑的事件發生的時候，它的預先設定就會突然跳出一個警告信息。 其他防火牆軟體如 Neowatch (http://www.neoworx.com) 和 Black Ice Defender (http://www.iss.net) 也同樣會跳出一個警告信息. 諾頓公司個人防火牆(少數幾個提供給Mac OS 8的防火牆系統 http://www.symantec.com 也提供Windows版本)，也可以被設定成跳出警告信息。

Linux的話，開設TCP傳送警告信息給終端機視窗以提醒保持警覺。 在你桌面的角落保持那個視窗開啟你就能隨時準備好反擊行動。

如果你想在很短時間內能對一次攻擊作出回應的技術，你將可在以下學習，這可能會有些使你精神錯亂但卻相當有趣。 如果你的攻擊者能看見你正在調查他，你就能夠讓他在攻擊你的短時間出汗並且遭受打擊。 你也能立刻看出她怎樣回應。 壞蛋能就近地看一下你的電腦嗎？ 無論你對他做什麼什麼，在你做之前，她努力開始工作並且徹底消滅你嗎？ 這好像是數位化的小汽車追趕遊戲。 你當然幾乎將要贏了。 並且，你絕對能對此產生興奮而且並不會違犯法律。

在預先警告取得行動，你能達到︰ 只不過的"贏得"的你，即使你可能償付誰將做讓你付出網際網路是他生活任務的一個電腦罪犯。 這不一定是恐慌的理由。 在我之後一定有大約1，000種"生存任務"類型。 自從他們不漂亮得足以由於電腦罪犯而傷害我，他們已經為了改為謾罵我求助。 如果謾罵你的黑客網站的希望打擾你， 請得他們塞子拉，不使他們煩惱，並且離開數字化小汽車追趕給我們腎上腺素癮君子的遊戲。

當你找到一個壞人時確定通知誰， 你將需要一個理解路線的計畫幫助揭示誰有權力從網際網路踢離你的攻擊者。

在這裡教導妳跟蹤一條路線。 在Windows 95，98，ME，NT 和2000裡，透過在"command.com 或是 cmd.exe"上執行MS-DOS程式搜尋追蹤。 在Windows XP裡，執行"cmd.exe"視窗畫面，你可以執行命令"tracert。 "我們下面將敎你怎樣使用tracert的細節。

或者你可以透過去http://www.neoworx.com並且免費下載Neotrace 軟體使它更加容易。 NeoWatch防火牆，在這個網站可得到，包括Neotrace。 在許多場合，這軟體甚至能準確測定你的攻擊者現在在那裡的位置。 自從這些人喜歡想像他們看不見，告訴黑客他住的地方給他非常糟糕的一天。

在Linux 和 Mac OS X僅僅提供一個終端視窗並且使用命令"traceroute"。

如果你想要變得很嚴肅，或者有嚴肅的開心，你也將需要一個通訊埠掃描器 (Port Scanner)。 你可以在 http://download.cnet.com/ (台灣網址在 http://taiwan.cnet.com) 找到免費 Windows 通訊埠掃描器。 在下載位址的"工具"下搜尋 --> 安全。 或者，包括路由追蹤工具，有很多其他有趣的工具以及通訊埠掃描器的工具，試驗一下薩姆黑桃，http://www.samspade.org。



圖示 2: 一個從 http://download.cnet.com/ 下載的通訊埠掃描器軟體.

或者，你在http://www.ipswitch.com/Products/WhatsUp/ 也能為Windows得到一個優質的專業通訊埠掃描器。 他們提供一個30天的有效評估版本。

Linux 和其他 Unix 類型作業系統用戶能得到最大功率的通訊埠掃描器之一，nmap，不受http://www.insecurity.org影響。 當你讀這篇文章時 Windows 和 Mac 可能最後在測試版之後會提供在他們的網站。

Mac 用戶已經限制選擇。 在 http://happyhacker.org/HHA/mac.shtml 網站有 Mac 版本的通訊埠掃描器最後更新版本提供下載。 有一個商業軟體 MacAnalysis (http://www.macanalysis.com) 使 Mac OS 8 和 9 能夠做大多數的網路分析，包括郵寄掃描和路由追蹤。

你現在是否有必要準備黑客戰爭工具，讓我們仔細考慮考慮吧!!

====================>  下篇待續.....  

[ 本帖最後由 DrBenson 於 2006-5-7 21:56 編輯 ]

DrBenson

怎樣認出一次嚴重的攻擊

讓我們開始探索一次很明顯的惡意攻擊事件，如圖3中所示。 這顯示我的電腦與一台的伺服器有關的兩次後門嘗試。 那是一個對死母牛崇拜的成員寫的一個 Windows 後門闖入程式。 根據發言人特級大師老鼠說: "甚至一個8 歲小孩都能使用它闖進電腦。 "




圖示 3: 同一天二個後門程式攻擊同一台電腦.

我們怎樣知道這個攻擊的？ 使用 ZoneAlarm 你總是能因此得到"更多的訊息"。這將帶你到他們的網站，告訴你更多有關這種攻擊的東西。 你能從附件檔案按此下載附件檔案了解到更多這方面資訊。 它讓後門程式(是像允許人們偷偷地進入你的電腦的後門一樣的程式)使用通訊埠的一個清單， 以及其他普通通訊埠。

注釋︰ "UDP第31337 埠"指的是協議並且預期攻擊者試圖開始工作的后門。 UDP代表"用戶數據協議"，兩主要模式訊息之一被透過網際網路運送。 "埠"指的是一台電腦連接網際網路的事實， 各種各樣的伺服器和客戶機程式連接彼此有共65,536種模式。 這些路中的每個被稱為一個"埠"。 例如，通常是網伺服器，經營網際網路網站，要求你的Web瀏覽器在第80 埠上連接它。 如果你的電腦有一個後門特洛伊木馬程式在它上運做，通常它將讓某人透過連接第31337 埠闖進你的電腦。

因此，圖示 3. 表示在你的電腦上有後門程式使那些惡意的人決定很快樂的使用他？ 或許不是, 因為她只是隨機尋找那些被特洛伊木馬程式感染的某人。 即使你透過幾次相同的方式檢查，它不一定意味著個別明確想要找你。 大多數後門獵人只是個平原偷窺者。 他偷看其他人生活方式並不是重要的。 對某個人來說誰沒有生活，但偷看其他任何人的生活更為有趣。

你怎樣知道某人是隨意攻擊, 還是正具體的攻擊你？ 大多數防火牆將會記錄全部攻擊事件。一個經驗老到的人會時常看看紀錄看看是否有某一台電腦或伺服器正特別的或經常對你的電腦產生關注是一個良好的做法。


圖示 4: 攻擊者正企圖使用網路印表機.

====================>  下篇待續.....  

Sorry 忘了把通訊埠定義參考附件付上

[ 本帖最後由 DrBenson 於 2006-5-8 12:38 編輯 ]

DrBenson

有時你防火牆給可能給了你一些警惕但卻沒什麼了不起。
例如在圖4當中，某人顯然試圖闖進我的電腦上的一台印表機。 圖示中說明他正在試圖訪問通訊埠515。
一般情況那個通訊埠通常使用於印表機。 當然，這個攻擊者可能是尋找一個可能有特洛伊木馬程式所使用的後門讓他侵入你的電腦。 想了解為什麼特洛伊木馬程式通常安裝在這個通訊埠上使用，見第II附檔(特洛伊木馬程式經常使用的默認通訊埠)。

為什麼要給後門黑客通訊埠而並非正常通訊埠一個警告信息? 你的防火牆將會因為一些攻擊看起來像是普通網路活動給你普通低危險警告信息。 不過，圖4 顯示警告信息在電腦上不允許任何其他電腦使用印表機。 然而一陌生人卻在網際網路的另一邊試圖使用它的印表機。 這有可能會是一個攻擊嘗試。

有一些警戒更難解釋。 5 圖顯示兩是可能或者沒問題或者一位愛打探的黑客。

  
圖示 5. ZoneAlarm警告可能是普通的網路活動或者可能的入侵試圖

這是兩個ICMP(網際網路控制電文協議) 警告提醒。 在左邊是警惕一個"子網路播送位址"。 在右邊是一個普通的ICMP 信息。
這個子網路廣播是可疑的,  傳送的一個子網路經常來自某個位於區域網路屬於相同的網際網路服務供應商。 這次廣播的目標是查明還有誰同時在線。 是試圖查明還是有誰在線? 如果是這樣的話，這可能是要攻擊的序幕。

為了測試這個假說，我試著發出播送的我自己的子網。 我在DOS提示下給了一道指令:

C:\WINDOWS>ping 204.999.57.255
Pinging 204.999.57.255 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 204.999.57.255:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

不過，我的防火牆通知我我的網際網路服務提供商拒絕我的探查。 這表明用戶不能強製執行廣播連接測試程式的。 因此大概這次廣播是一個工程師運行一次某種網路的試驗。 如果你真的想要確定這類警惕保證，呼叫你的網際網路服務供應商的系統管理員(不是技術支援!)在那端和你進行通話(Chat)。 (處理這類情況的最好的方法是邀請他。 來自陌生人的問題總是得不到好處的.)

其它ICMP 警戒怎麼辦？ 這可能是你的網際網路服務提供商或者網際網路構架的活動。 另一方面，電腦罪犯也使用ICMP 信息來鑑定你的作業系統安全性。


圖示 6: 某人想要試圖連入我的網站. 還是他們想要？

在圖示 6. 的左邊的警告頂端沒有明顯的使用"保護標示"。 "因此你可能想，這根本不是一次攻擊。 然而那個在右邊用鮮明的紅色警告"保護標示"應該是攻擊事件，到底哪一個才是嚴重的呢?
在2001年7月19日，和再次從8月1日直到8月5日，幾乎80通訊埠的任何想不到的探查是一條紅色警戒v2攻擊。 在8月4日的新蠕蟲病毒使用相同的一條安全漏洞︰紅色警戒II。 近日內它接管幾乎所有紅色警戒v2 的受害者。 這是比紅色警戒v2更危險的當然是在正確的警惕。

這解釋ZoneAlarm適當的給這兩個危險攻擊警訊給是很令人舒坦的︰
ZoneAlarm 在你的電腦上堵塞進入第80 通訊埠在你的安全控管並沒有破壞發生。 你的電腦是安全的。
這是怎麼回事？
ZoneAlarm在你的電腦上第80 通訊埠阻止第4955 通訊埠從IP 位址是65.96.253.192的一台遠程電腦上透過網際網路送到的數據請求。 這聯繫可能是一個試圖掃描通訊埠的作法， 或者僅僅被通常透過網際網路發出的數百萬條未經請求的商業或者網路控制電文之一。 這樣的非請求訊息經常被叫為網際網路背景噪音 你可能建立一個網站或者一些其他服務( 例如電子郵件服務,FTP， 新聞服務),或者舉辦比賽提供服務,那需要一個網際網路連接,沒有給你的網路伺服器許可,

ZoneAlarm正努力幕后操縱嗎？ 不見得。有足夠好防火牆讓你你真的能說 "什麼，我會擔心嗎？ " 如果沒有ZoneAlarm 為我脆弱Windows 2000伺服器保持在線來阻絕紅色警戒攻擊。 伺服器他會好好的倖存下來。

因此什麼是底線？ 在許多場合，警覺的防火牆可以或者可能不能給試圖做電腦犯罪者一個警告。
某個警告的工作是很可能用信號通知電腦犯罪？ 你能絕對肯定警覺的防火牆什麼時候不是一次攻擊？ 沒有容易的答案。 不過，你能檢查看看記錄檔如果相同的電腦一直引起的你防火牆的保持警覺提醒功能。 如果看見3個或是更多的話，我該向誰抱怨 拔掉插頭欺騙那台疑心的電腦。 令人遺憾，很多攻擊者每一次從不同的IP 位址進來。 那樣的話， 如果你在防火牆方面看見突然的增加警告信息，你可能想要為看起來疑心的一切攻擊提出有禮貌的抱怨 (可別向他媽媽問好)。

這裡的關鍵字有禮貌。 不失為一種除了最佳以外既不好也不壞的一種好辦法。 即使像31337埠連接的一次運行調查是可以確定多少電腦感染上這扇危險的後門。 或者意味著你感染上後門和一些惡毒性病毒剛剛把戰利品(你的電腦控制權)送給對方了。 一般人誰有能力解決你的問題? 和有幫助的專業人士(有禮貌)在一起比起某些看上去像是一個惡霸(注意禮貌別給他媽媽問好)的人來得好多了吧。

===================> 下篇待續.....

DrBenson

如果你計畫伏擊一些不幸的黑客卻沒有人來襲擊你？ 是的，當你無聊時是相當令人厭煩的。 這裡將教導你怎樣狩獵來找到樂園。

你正在一個大的組織裡面的一個區域網路上嗎？ 好的機會是他們擁有很不錯的防火牆。 或者，你可能在一個專用網路上或者透過一個代理伺服器連接網際網路。 好消息是大多數黑客甚至將不知道你存在。 壞消息是沒有壞人將給你機會，嘿嘿，來和他們玩玩吧。

現在你的第一個步將使用一個家用賬戶透過一家典型的普通安全的網際網路服務提供商。 現下的DSL 和CABLE 提供者必須忍受著像廢料一樣的黑客, 但它卻吸引大多數青少年的用戶人口，傳媒宣傳你能證明你是透過闖進別台電腦的一位天才。

我自己的經驗是與我從擁有帳號起的時候相比較，我依照在一家小優質的本地網際網路服務提供商上的我的賬號得到更少的攻擊。 我的第六感是壞人帶著這些百萬個攻擊者之一到達。 然後，知道家庭用戶很少反擊，他們在他們的地理地區有系統攻擊全部撥號帳戶。 對比起來，wannabe 電腦罪犯必須從更小的提供者那裡在幾十億個數目可能的網址中隨便猜測暴露撥號帳戶。

至於時間 - 你喜歡臨時的幾個鐘頭連線嗎？真正的壞人大約從5AM到11PM攻擊我最多。 這習性來自歐洲和亞洲的許多攻擊者，晚上這些小時是他們的黃金時間。 我正猜測如果你居住在歐洲或者亞洲， 你將發現你的當地時間整個5AM在11PM有許多從北美人黑客那裡攻擊， 因為這些人倚賴你睡著得時候。
怎樣找出攻擊者 -- 找到他們且踢出於網際網路之外

如果網路偷窺者先生不使用網際網路一會兒我們會說決定使用網際網路將是一個更好的鄰里。。 這是第一步。
由於ZoneAlarm 你總是能夠點擊"更多的訊息"得到資訊。 在許多場合從" Administrative Contact "甚至能夠提供攻擊你的電腦的一個電話號碼,電子郵件或是一個網址。

如果這不能告訴你對方是誰 -在這種情況 - 你仍然能採取行動。 為了查明那裡能得到關於擁有人的訊息，你能跟蹤在攻擊的電腦和你之間的路線。


圖示7: 黑客狩獵路線追蹤。

在MS-DOS(或在Windows XP命令提示)視窗裡，下一道指令︰

C:\WINDOWS\tracert 204.999.57.252(以204.999.57.252的數字位址代替你的攻擊者)

你應該看到一些看類似圖7的情形。

在Linux或者 Mac OS X裡，打開終端機視窗並且下一道指令︰

~>traceroute 211.999.59.41

你將看見像這樣的情況︰

traceroute to 211.999.59.41 (211.999.59.41), 30 hops max, 40 byte packets
1 Parkland-7206.fubar.com (216.999.248.1) 1.248 ms 1.445 ms 1.31 ms
2 Parkland- fubar.com (101.999.40.1) 2.038 ms 1.937 ms 1.895 ms
3 s0-1-4-swanpop-swancore.fubar.net (206.999.8.73) 2.688 ms 3.054 ms 3.276 ms
4 206.999.8.89 (206.999.8.89) 7.59 ms 8.345 ms 7.584 ms
5 aads.px.ca.fubar.net (206.999.243.59) 8.093 ms 8.396 ms 8.374 ms
6 a1-0-0d7.core2.scl-ca.us.fubar.org (207.999.0.189) 58.597 ms 58.637 ms 58.728 ms
7 ge9-0.tran1.scl-ca.us.fubar.org (64.999.0.49) 57.708 ms 57.721 ms 58.092 ms
8 p0-0.tran1.pal-ca.us.fubar.org (64.999.0.2) 59.012 ms 58.847 ms 58.753 ms
9 ge0-0.dist1.pal-ca.us.fubar.org (64.999.0.19) 59.326 ms 59.108 ms 59.828 ms
10 ge2-0.access1.pal-ca.us.fubar.org (64.999.2.20) 59.204 ms 58.879 ms 59.39 ms
11 207.999.240.110 (207.999.240.110) 59.197 ms 59.858 ms 59.205 ms
12 210.999.97.173 (210.999.97.173) 180.612 ms 182.669 ms
13 211.999.39.18 (211.999.39.18) 186.046 ms 180.525 ms 180.652 ms
14 211.999.0.222 (211.999.0.222) 180.594 ms 180.738 ms 182.452 ms
15 211.999.50.142 (211.999.50.142) 186.617 ms 182.788 ms 186.709 ms
16 211.999.57.245 (211.999.57.245) 185.559 ms 187.593 ms 188.973 ms
17 211.999.49.51 (211.999.49.51) 185.599 ms 187.543 ms 188.073 ms
....


你該如何解釋這些蹤跡？ 這是路由訊息在你的電腦和攻擊的電腦之間追蹤。 每條路線皆是一台電腦或終端機，從你的電腦開始並且以攻擊的電腦結束。

注釋︰ 在一條蹤跡路線內的第一個電腦是你的。 不過，你可以不認為是屬于你的電腦，這可能有一個名字。 這是你的網際網路服務提供商或者區域網路給它起的名字。 如果你使用一個撥號數據機，每當你取得連線的時候，你幾乎將可能有不同的電腦名。
注意到大多數電腦有兩個名字。 第一個名字為字母和數字。 第2個名字，只是數字。 那個是"IP 位址。 "
最後7 台電腦只顯示數字名字。 通常情況你的路由追蹤程式不能展示的字符集(例如漢語或者阿拉伯語)那時他們的名字使用數字。
在IP 位址之後是多長時間，用毫秒，是在你的電腦之間旅行到那端的訊息帶的時間。

這樣的話我們使用來自兩個不同的位置的電腦尋找攻擊者，那是除了最後兩個在這個清單裡的每台電腦不同的原因。 我做它是因為要使攻擊者認為有一整支軍隊正痛打他們,這樣做還非常有趣。 不過，如果您不是那個糾纏者，你的家用電腦將是你對攻擊者做路由追蹤的全部。

在這兩個追蹤路線只有最後的兩個位址相同。 這因為他們沿著不同的路線通過網際網路。 在任何路線裡的最後兩台電腦也通常是送給試圖電腦犯罪的抱怨和證據的最好的地方。 無論如何， 你或許與您的追蹤路線資訊一起透過傳送抱怨得到結果，, 對每個從攻擊電腦的地址看起來像是骨幹主機。 當跟一個語言障礙作戰時，作為在這種情況裡，除了從一個骨幹主機很有可能你將不能得到行動。

注釋︰ 一台骨幹主機是處理沉重的網際網路交通的主機。 你通常能看見一系列長而古怪且相同的名字在末端。 上述兩蹤跡，最接近於明顯攻擊者的骨幹主機是ge2-0.access1.pal-ca.us.fubar.org和xxxxxxxxxxxxw1.alter.net。

讓我們用使用Neotrace的漂亮的照片蹤跡完成這個跟蹤的部分。



圖示 8. 帶著NeoTrace追蹤一個壞人。 有問題的電腦的位址是fubared。


圖示 9: 哈哈. 壞人看起來像她可能穿過太平洋住在某處。 很好的嘗試，但不夠好。


如果你點擊"List"你將得到類似於其他路由追蹤程式的東西， 一張連接受害者電腦的電腦系列。


圖示 10: NeoTrace路由追蹤表.

一個 NeoTrace 蹤跡路線的優點是我們在右邊看見"Asia Pacific Network Informat"那是亞太網路訊息情報中心 http://www.apnic.net , 意思是, 我們現在知道在哪裡發現誰擁有攻擊的電腦。 在 Apnic 網站我們輸入最後IP 位址進入 "whois" 系統查詢。 因為它是一台亞洲電腦，它告訴我們所指的電腦位於朝鮮。 Apnic 也告訴我們在那裡去查朝鮮電腦︰ http://whois.nic.or.kr/english/index.html。 那裡我們把位址輸入whois 查詢。 名字砰的出現了， 電子郵件和郵件位址和電話號碼，使用朝鮮語和英語，為我們的後門黑客提供網際網路通道的人。


網際網路遭到後門攻擊者了嗎？

你將注意到在上述例子裡我們努力一路跟蹤到攻擊的電腦。 因為，很有趣的事是自從那31337次攻擊的第一天起，我已不曾再次找到攻擊的電腦。

有時甚至在攻擊的短時間內你不能追溯到攻擊的電腦。 例如，"Tarik M"slicksic@hotmail.com以電子郵件形式給我發送這個例子︰

"我的防火牆出現告訴我24.999.208.72正努力侵入我的電腦。 這時候我知道我必須追蹤。 因此我做了︰
跟蹤對24.999.208.72的最多的30個路線

1 26 ms 23 ms 23 ms 24.999.26.1
2 48 ms 23 ms 23 ms 10.999.65.1
3 58 ms 28 ms 23 ms 216.999.153.105
4 27 ms 23 ms 23 ms 216.999.153.101
5 58 ms 29 ms 29 ms 216.999.153.97
6 58 ms 28 ms 28 ms 10.0.999.21
7 * 55 ms 36 ms c1-pos7-0.bflony1.fubbie.net [24.999.74.25]
8 41 ms 41 ms 41 ms c1-pos1-0.hrfrct1.fubbie.net [24.999.65.253]
9 77 ms 41 ms 41 ms c1-pos2-0.xxxx.fubbie.net [24.999.69.25]
10 45 ms 47 ms 42 ms home-gw.xxxx.att.net [192.999.32.57]
11 45 ms 47 ms 47 ms gbr4-p30.xxxx.att.net [12.999.40.182]
12 55 ms 56 ms 59 ms gbr4-p80.xxxx.att.net [12.999.2.185]
13 84 ms 58 ms 59 ms gbr3-p60.xxxx.att.net [12.999.1.125]
14 117 ms 94 ms 94 ms gbr3-p10.xxxx.att.net [12.999.2.153]
15 95 ms 94 ms 94 ms gbr4-p60.xxxx.att.net [12.999.1.134]
16 103 ms 102 ms 105 ms gbr3-xxxx.att.net [12.999.2.169]
17 127 ms 101 ms 101 ms gbr6-xxxx.att.net [12.999.5.97]
18 105 ms 101 ms 102 ms gar2-xxxx.att.net [12.999.28.173]
19 130 ms 106 ms 101 ms 12.999.139.38
20 126 ms 123 ms 114 ms SRP1-xxxx.mediaone.net [24.999.128.66]
21 96 ms 109 ms 111 ms 24.999.0.18
22 129 ms 108 ms 106 ms 24.999.0.26
23 * *"

接著我下一步該做什麼？ "
這個容易解決。 每當你很困難地跟蹤一台電腦時，你輸入它的位址在 http://www.arin.net 的 whois 裡查找。 它將或者立即給你答案，要不然給你或將給你另一個網站聯繫方式的答案。 對這種情況來說，答案出現了︰

MediaOne West (NET-M1-WEST-3)
27 Industrial Ave.
Chelmsford, MA 01824
US
Netname: M1-WEST-3
Netblock: 24.999.192.0 - 24.999.223.255
Coordinator:
MediaOne NorthEast (ZM117-ARIN) abuse@mediaone.net
978-244-4020


這表示因為mediaone.net 擁有這些範圍的 IP 位址。 可能是一個用戶或者一個雇員。 注意到他們建議以電子郵件形式發送abuse@mediaone.net。 這樣的話以電子郵件形式發送postmaster@mediaone.net是不必要的。 因為他們看來如此有幫助，也不必要以電子郵件形式發送上游，att.net。

為一台電腦控制網際網路位址查問的最好的地方是:

美國登記網際網路位址: http://www.arin.net
歐洲IP網路中心: http://www.ripe.net
網路解決辦法: http://www.networksolutions.com
亞太網路訊息情報中心: http://www.apnic.net

當你有這4 個網站可以從 whois 查找時，為什麼要煩雜的使用路由追蹤呢？ 這是whois 查找的問題, 用它將會得到您聯絡資料或者網際網路提供者攻擊者用途, 或在某些情況下攻擊的電腦的所有者。 如果擁有人是壞人，你需要用強而有力向某人抱怨且打消她的意圖。 通常的在一條蹤跡路線內的高於攻擊者的電腦中的2 或者3 台電腦將屬於有權力拔掉插頭裝置的。

你可以不需要使用whois 查找查明去那裡抱怨。 在許多場合你必須做的全部是在一條蹤跡路線內顯露的一台電腦的名字的最後部分， 例如Fubar.net 和電子郵件abuse@fubar.net和postmaster@fubar.net。 " Abuse "，和" postmaster "是抱怨信的標準電子郵箱位址。

保留窘迫，當抱怨對可疑電腦的所有者和對某人也許有能力量從網際網路踢開那臺電腦， 有禮貌是一種好想法。 攻擊者正做無害或者甚至有幫助的事情，例如收集關於後門的流行的數據總是可能的。

使你抱怨可信，你應該擷取攻擊你的螢幕畫面和警告信息的螢幕畫面並且把他們傳給你的郵件上。 卻保警訊的螢幕顯示時間與日期。 使它更加確定, 您的電子郵件將到達它的目的地- 和讀取- 畫面擷取不應該太大。 一個像WinZip (http://www.winzip.com/) 或 WinRAR (http://www.winrar.com) 那樣的文件壓縮程式可以使你的附件為一個合理的大小。 此外，記得包括你的電話號碼。

這是一封抱怨電子郵件的例子︰
Sender: "DrBenson"
Date: Wed, 16 Sep 2001 11:26:36 -0600
To: abuse@fubar.com, postmaster@fubar.com, abuse@fubarisp.net, postmaster@fubarisp.net, abuse@backbone.net, postmaster@backbone.net
From: DrBenson <DrBenson@twgocn.com>
Subject: Apparent attack from computer 211.999.49.51
在2001年8月13日，上午8︰33, 9︰49, 10︰31和下午2︰14，電腦211.999.49.51(fubar.com)試圖連接我這台電腦的第31337 通訊埠。
這通常是透過一個後門控制一台電腦的嘗試。
如果你能安排這台電腦停止攻擊我的話，我將表示感激。
附上壓縮檔有我防火牆警報螢幕的區域的警告提醒畫面證明這幾次事件。

如果你有更進一步的問題，請撥打(320)074-748 與我聯繫。 感謝你對這件事情的關注。

報告一闖入隨著相關網際網路服務提供商試圖經常使一令人滿意末端給一出租攻擊。，有時在一家網際網路服務提供商拉一個壞人的塞子之前，它帶許多抱怨。 當讓某人採取迅速措施是難的時，它幫助知道
經常向相關的網際網路提供者報告一個闖入攻擊企圖是很令人滿意。不過, 有時在網際網路提供者拔出一個壞人的插頭之前需要很多怨言。 當它很難使某人盡快的採取行動時, 他能幫助你知道...



PS: 本文中提及之郵件位址是虛構的
      電話號碼 (320)074-748 "(賽xx娘) 哩去細-去細吧" 是撥打不通的

===================> 下篇待續.....

DrBenson

怎樣立即使壞人感受到痛苦
網際網路是西方的最新狂熱活動。 我們不須立刻將所有的惡意份子送到 /dev/null (Unix 預設的空裝置) 那裡。所以如果我們認為對網路罪犯的壞人立刻遭受到報應, 至少會給我們當中的一些人有一些小小開心的理由。
注釋︰ /dev/null 是比Windows Recyle還要嚴厲得多的Unix或Linux 版本。 習慣性使用Linux的人們和其他Unix作業系統類型喜歡透過指使其他人給予轉移到/dev/null感到優勢.  
您能做對黑客的最可怕的事是執行一部通訊埠掃描器反制他或她。 如圖11中所示，多數時間它抵消防火牆。 原因這是一通訊埠掃描器經常第一步便是侵入一台電腦。 當然我們將不做任何事情以致成為電腦罪犯，說真的概念是告訴您的攻擊者, 在很短的時間內, 某個經驗老到的人正在觀察你呢。 多數情況下壞人願意停止對你的攻擊，因為他們對讓人擦掉他們的硬碟有過敏性回應。那不是我們白帽黑客會是如此手段對罪犯


[img] [/img]
圖示 11: 掃描警訊樣本. 螢幕畫面顯示在左邊防火牆拒絕一個通訊埠掃描器的入侵。 在右邊它顯示防止受害者電腦對一個通訊埠作出回應的防火牆掃描。
免費通訊埠掃描器的國王是Fyodor的nmap。 不久你應該能免費下載nmap 任何種類家用電腦執行的通訊埠掃描器程式。 這是一個你能在Linux上需要nmap的例子。 在終端視窗裡下這些指令:
~> nmap -sTU 211.999.49.51 >scan
那">scan "部分的動作是命名為 scan 文件的掃描指令。 "為了讀取這個文件，我們再下指令︰
~> more scan
這時回應的是文件內容︰
Starting nmap V. 2.54BETA26 ( www.insecure.org/nmap/ )
Adding open port 79/tcp
Adding open port 161/udp
Adding open port 67/udp
Interesting ports on (211.117.57.245):
(The 3133 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp filtered ftp
67/udp open bootps
79/tcp open finger
80/tcp filtered http
161/udp open snmp
Nmap run completed -- 1 IP address (1 host up) scanned in 1346 seconds

注釋︰ 在執行一個通訊埠掃描之前，確保你的網際網路接入服務商或者系統管理員理解你不是一台電腦罪犯。 經常，一通訊埠掃描的第一步是切入-"整合侵入者" - 並且nmap是他們的一件最喜愛的工具。 那為什麼在掃描通訊埠上的接收端那邊能如此驚嚇住黑客罪犯。
對我們來說我們不需要知道有關任何 nmap的一切情況。 有用的是知道它把有問題的電腦告訴我們的基礎。 它執行於一個網站(http)和文件上下載服務(ftp)。 他們兩個被"過濾"，意思是他們像我們一樣知道那是無效使用的意思。 的確， 或者僅僅為了激怒那台電腦的擁有人，我努力連接它的網站和ftp伺服器，只是被他的防火牆拒絕。 因此這是有點特別安全的電腦，或者至少擁有人希望它特別安全。
Nmap也能在幾種隱祕行動模式執行。 這些在上面告訴你關於沒有掃描很多目標電腦，和很可能給錯誤的結果。 無論如何目標電腦他們很難被識別 (但是，並非不可能)。 如果你的掃瞄動作嚇跑一個攻擊者，不要使用隱密行動模式。
你可以在律師警告上花費許多錢︰ 一些nmap很多像" xmas tree "那樣的掃描模式可以砸碎某些目標電腦。 有一肯定的方法粉碎攻擊者你的電腦制止他試圖闖入。 不過，未經許可故意地粉碎某人的電腦是不合法的。 真實，一個電腦罪犯不可能打電話給那些警察並且抱怨。 不過，如果你掃描的電腦已經因為有點無罪的原因被你的防火牆消毀，噢噢。

以防萬一你認為通訊埠掃描器講述感情暴力，讓我們帶著更友好溫和的來看這種技術。 你也能使用一種通訊埠掃描器向你自己證明什麼看起來實際上正好像是一個攻擊者，一台網路電腦無可非議， 或者至少無害，愛管閒事。

記得圖5的那次無害的ICMP掃描嗎？ 我怎樣能如此確信它真的是無害的？ 我在它上面執行一個通訊埠掃描 結果呢? 如圖12中所示。

[img] [/img]
圖示 12: Port scan of the computer that set off ZoneAlarm in Figure 5 by sending an ICMP unreachable message. 在圖示 5. 引起ZoneAlarm傳送ICMP信息給不能得到的信任電腦拒絕通訊埠掃瞄。 喂，不要問關於為什麼使用粉紅色的顏色。
說真的 我只是試著使這篇文章更友好和更溫和而以。
注釋: 我們從1024向上掃描那些通訊埠是黑客經常使用的後門。 你看看，我們發現一些開啟 2001，4001 和6001。 這意味著我們已經找到一個黑客的巢嗎？ 再這個按例裡面並不是的.
下一件事情將看看是否這台電腦將放棄警告鑑定自己。 概念是努力連接一扇懷疑的後門並且看看會發生什麼是。 我使用通訊埠掃描進入下列命令在MS-DOS視窗內的結果︰
C:\WINDOWS>telnet 144.999.18.29 2001
這是他的回應結果:

[img] [/img]
[color]blue]圖示 13: 燈塑化面為一臺路由器為Sprint 的網際網路骨幹
你可以在律師警告上花費許多錢︰ 不要屈就於要猜測用戶名字和密碼的誘惑。 它反對法律。 當人們努力開始工作時,像 Sprint 那樣的巨大網際網路構架公司有強有力的入侵察覺系統並且極其有效。

如果你剛剛在一個懷疑的攻擊者掃描並且你剛剛意識到它是一台無害的電腦之後,發電子郵件解釋你自己是有禮貌的。

無論如何, 這只是短暫的現實。
你若有建議認為該怎樣改進這篇文章, 或者有其它經驗 請利用小棧發送短消息給我,
若有時間的話下次再教導 "怎樣建立一個家用 Windows 黑客實驗室"

祝你愉快的暢遊網際網路

DrBenson 2006/05/09 04:36:00

全文完

japhen

這篇我強力推薦...........

DrBenson

原帖由 japhen 於 2006-9-1 20:35 發表
這篇我強力推薦...........

感謝貓爸的推薦

最近因為私人原因實在沒有時間完成 駭客實驗室
或許等過一兩個月後事情處理完心情平復下來
我會陸續把關於如何對付駭客的相關文章完成給大家分享

Dennis

太讚了 真篇文章十分的受用 建議可以置頂有興趣的同好去學習,也謝謝樓主的分享囉!