暗網潛航——黑客術概覽(四)──曲盡情偽

  上周談到為了防禦黑客,防守方會設立「蜜罐」(Honeypot),利用虛擬系統企圖誘騙黑客攻擊,從而獲得他們的資訊及攻擊手法。不過「你有張良計,我有過牆梯」,黑客在作出精準攻擊前,也會先行「踩線」,判斷攻擊目標是有價值的系統,還是一個陷阱。

  第一種方法是「檢查目標系統的內核(kernel)反應」。不同種類和版本的操作系統內核,回應網絡要求協定時都會有差異,有些會直接告訴你它是甚麼版本,有些會故意延遲,有些會完全不回應。如果對手使用軟件建立的蜜罐系統,而攻擊方對系統內統有認識,只要接觸及觀察其反應,即可破解,準確度非常高,因為軟件無法裝扮底層系統內核的運作。

  然而這種破解方法要求黑客,對網絡技術及操作系統的功能、架構及內核,有非常深刻的認識。例如有否細心閱讀和理解RFC文檔?PING命令究竟有多少種?如何利用PING命令潛過防火牆,令封包碎片直接接觸目標系統內核?如何使用封包產生器(Packet Generator)製作特定的封包碎片,去接觸系統內核並觀察其反應,還要小心地避免觸發入侵者檢測系統?這都需要紮實功夫。

  第二種方法是「觀察目標系統服務軟件的協調和合理性」。一個真實的系統必然會提供服務,故須使用一系列軟件及硬體建立系統架構。換言之,系統內的程式語言、操作系統、中介軟件、數據庫都要協調和合理,才能順利運作。

  黑客入侵前,會對系統進行詳細掃描,並收集其軟件套件、版本及使用程式語言的語法。他們可以此為準,從能否提供完整服務的角度下判斷系統是否蜜罐。

  如果只是一個虛擬蜜罐,多數只有表面一層端口,無法偽裝提供服務。就算防守方願意花時間建立基於真實系統的蜜罐,但出於成本和時間關係,通常不能提供完整服務。

  黑客透過資料蒐集,對目標系統進行試探型式的功能對比,從而判斷系統是否提供真實及有意義的服務,避開蜜罐陷阱。這個方法要求黑客對系統服務架構、商業方案及系統程式語言組合有較深刻的認識。

  只懂得寫程式碼或下載黑客軟件,不可能成為一個老練的黑客,還要對操作系統構成、程式語言及服務系統架構有深刻認識,才能完美進入系統,而不會留下證據痕跡。

TOZ聯合創辦人

龐博文


hd