极限编程-第47章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
结束了,双方在其中各有精彩的表现,从战略层次上来说,TheCrack的攻击目地被彻底粉碎,刹羽而归。从战术的角度上来说,TheCrack撤退的时候顺手把《人世间》的服务器炸了,也算找回点面子,这件事打个比方,就是两个球队比赛,输的一方打完比赛后一生气就把对方的老板给揍了。
Some这些人都和丁飞羽一样,是《人世间》的管理组从网上招的,谁也没见过老板的面,网管的荣誉感是有的,对资方的责任感就没什么了,而且大家都是兼职,也没人指望能博得老板的欢心升个职什么的。
服务器被ddos迟滞,放到整个网络安全界都没什么好办法,some他们也不能逆天,所以到了这一步,应该说这次的战争可以结束了。但是对于some手下的这帮人来说,就有点放不下这口气了。前面说过爬爬的技术背景,其实安全组里面的人大多有和爬爬相似的背景,只是多少程度不同而已,在计算机界,网管与黑客,驱动与木马其实从本质上是没什么区别的,所以在职业网管眼中已经结束的战争,在他们眼中还不能算完——你把我们半夜三更的折腾上线,然后炸了我们的服务器就想跑啊?
所以在判断出对方的攻击结束后,Some立刻在im里发布命令,要求各地巫师检查本地僵尸。
Ddos攻击的一个前提条件就是并发联接数要够多,这一点用几台机器是模拟不出来的,单个机器的带宽有限,大量数据包的路由也是个问题,所以几乎所有ddos攻击的发起者都必须控制一定数量的僵尸电脑,这个僵尸电脑就是我们常说的中了木马的电脑,也有叫肉鸡的。
其实“木马”这个词来源于著名的特洛伊战争,放在电脑上特指所有经过伪装的非法软件,并不是所有中了木马的电脑就都变成了僵尸,僵尸电脑是指那些中了远程控制软件的电脑,这种电脑有一个特点,它必须开放一个端口,进行远程监听。这个道理很容易理解,就算你在对方公司里放了个位置重要的间谍,这个间谍接跟你联系不上也跟没有一样。一般来讲,在对方电脑里种木马并不容易,一个黑客并不能总是指望有人点击钩鱼网站或者运行安装程序,这里面还有很多社会工程学的应用,很重要的一点是,如果一个木马是通过某个页面进行传播的,那么当这个页面被发现后,通过它感染的用户可能有很大一部分产生警觉。这就要求希望获得僵尸的黑客经常变更自己的获得途径,所以总的来说,干什么都不容易。
所以当some等人发现对方发动纯ddos攻击后,做出的最直接的反应就是查找对方的僵尸网络构成,这些人有太多的途径可以让这些僵尸成为一次性消耗品,而如果一个黑客损失掉这么大数量的僵尸后,他至少在几个月的时间内都无法恢复ddos攻击能力。
丁飞羽赶上的就是这个命令,而事实上,这个命令是下给安全组的成员的,他这个代码组的人已经可以洗洗睡了。
因为thecrack的人已经停止了对服务器的攻击——不停止也没有办法,ddos攻击学名叫“分布式拒绝服务”,一旦发动,服务器对所有联接都会拒绝,可不管你是不是本次攻击的发动者。所以丁飞羽前些天熬夜写的监视软件跟本没用上,丁飞羽在外人面前虽然一直表示得很沉稳,骨子里还是个热血青年,不然也不会突然从达拉斯跑到中都来,这个距离就算用地球仪来表示还得画好大一个弦呢。
所以丁飞羽一声没吭,立刻开始追踪僵尸来源,some已经在im的聊天室里公布了一部分被拒绝的ip列表,大多数巫师都去追踪这个列表去了,丁飞羽并没有加入这个行列。《人世间》服务器采用的是很先进的ip监控式防ddos攻击方式,恶意联接一旦被判断出来,服务器将拒绝其后的所有再次联接,也就相当于这台电脑就此失去了攻击能力,thecrack能够发动长达半个小时的ddos攻击,而且还没有衰减的迹象,一方面说明其手中掌握的僵尸数量庞大,另一方面也很可能对方使用了ip欺骗的手法。
从tcp协议的实现上来说,ip欺骗是不可能存在的,因为一个tcp联接需要双方三次握手,如果一个数据包是以虚假地扯发出的,那么它的宿主机就得不到返回的握手信号,联接根本无法建立,但是对于ddos攻击来说,攻击目地是为了迟滞对方服务,并不在乎能不能建立联接,所以完全可以在某一级路由上面做手脚,让一台电脑代表其所在的整个网络,这个网络可能是任意一个级别的,D级或者C级,当然如果是A级,那就是灾难性的,估计刚刚发动,美国政府就该介入了,谁让他们的A级网络最多呢。
既然IP列表中的地址不可够,丁飞羽当然不愿意在那上面浪费时间,事实上,伪造的ip在高手眼中仍然有迹可查,不过丁飞羽的强项在于软件设计,这种需要大量网络安全经验的活他也干不了,还不如让some这些人去做呢,他还有另外的工作可以做,现在首先要做的,就是攻陷一个身边的路由器。
第九十一章 八百里分麾下炙(六)
提起路由器,很多人肯定会觉得非常神秘,其实从软件结构上来说,一台路由器就是一台计算机,也有操作系统,而且是固化在rom中的。所以从理论上来说,路由器也是应该定期升级打补丁的,不过很可惜,大多数网管是没有这个工作兴趣的,如果哪台路由器工作异常了,直接重启就是了。
从这个道理上来说,攻击路由器其实并不太难,而且有一些型号的路由器是有通用密码的,这些密码通过各种途径流传出来,就成为了黑客们的最爱,碰上这种使用默认密码的路由器,简直跟用自己的电脑一样方便。
丁飞羽不是职业黑客,连业余的都算不上,所以手里也没有这种密码列表,但是他现在要做的工作很简单,也用不着跟路由器较劲,他只是给某一级路由发送了一个ARP数据包。
对于大多数常用路由来说,其本身都维护有一个静态路由和一个动态路由表,其内容就是这台路由转发数据包的路径依据,丁飞羽发出的数据包就是通知这台路由器,他这里有一台路由器可以向华北《人世间》服务器的地址转发数据包。由于路由器转发数据包是有路径算法的,基本上遵循的是最短路径优先的原则,所以只要路由表建立了这样一条记录,就不愁没人上当,这个就是著名的ARP欺骗中的一种应用。
丁飞羽当然不会真的把自己的电脑建设成一台路由器,他基本上算是一个好人,但是绝不是新时代的三有青年,这种默默无闻的好事他是不干的,所以当数据包转发到他这里后,就被截留了下来。他在自己的机器上建立了默认路由端口的套接字和缓冲区用以接收数据包,但是就是没有触发器。
于是丁飞羽的电脑现在就相当于一个设施齐全的公司前台,有接待台有椅子,还有其它一些应该有或者不应该有的东西,就是没有接待员,来多少人都得老实等着。
那么源源不断转发过来的数据包不是要把丁飞羽的电脑塞满吗?当然不会,端口的缓冲区以及输入队列是有限的,当缓冲区满或输入队列满后,后续的数据包会被丢弃,事实上,就连存在缓冲区里的数据,丁飞羽也没打算全读出来,这个小动作对于合法用户来说并不会造成太大的伤害,一个数据包被发送后,都会有一个超时值,当发生超时后,发动端会重新发送,而且路由噐也并不是总会遵循同一条路径,除非这条路径是唯一的。
对于存在缓冲区中的数据,丁飞羽单独写了一个软件进行分析排序,这个控制台软件的工作非常简单,就是把缓冲列队中的数据包读出来,根据一些简单的规则进行甄别,然后剔除无用的数据包,再把信息写入一个日志文件,交给丁飞羽阅读。丁飞羽的甄别规则很简单,就是检查同一个地址发出的两段数据包之间的时间间隔,只所以不是两个数据包,那是因为tcp/ip会对数据包进行重新分组发送,相邻的两个数据包很可能在发送的时候是一段数据的分组,而且顺序也可能是颠倒的。
丁飞羽之所以这样做,就是为了简单区分这个数据包是自动发出的,还是人工发出的,既然这些数据都是发给《人世间》服务器的,那么合法的数据包当然就是在游戏中产生的,一个游戏客户端是不可能有事没事总给服务器发包的,大多数时候,这些数据包都是被事件触发的,这些事件大多来自鼠标和键盘等IO事件,所以其间隔时间是有最小速度间隔的,毕竟一个人按键的速度再快,也没有办法和计算机相比。这也是很多游戏判断用户是否使用了外挂软件的一个标准。当然为了应付这种检查,完全可以简单的使用延时来解决,所以这个办法并不准确。丁飞羽现在用这个办法来判断,是基于TheCrack的人完全没有必要使数据包看起来像是人为的,他的这个判断显然是正确的。
得到了僵尸电脑的IP地址并没有什么用,丁飞羽总不能打电话过去跟人家说你的电脑被控制了,抛开电话费不说,114也不给查号,所以丁飞羽还须要分析对方的行为特征。既然一个黑客不能完全寄希望于社会工程学,那么使用木马机器人就是一个必然的选择,丁飞羽假定TheCrack的人找到了一种使用普通电脑大规模感染木马程序的方法,如果这种方法存在,那么现在这个机器人很可能同时在网络中工作。
他又一次成功了,连续从几台僵尸电脑上发现了32440这个端口正在经UDP发送数据包,从这一点上看来,做网络安全不但需要经验和技术,还需要一些运气,显然丁飞羽今晚的运气不错。
获得数据包后,丁飞羽立即装入虚拟机中进行分析,很容易的就得到了这个机器人的运行机制,这时他才惊讶的发现,在目前流行的128位视窗系统下,居然出现了一个已经被消灭了的缓冲区漏洞。
理论上来说,计算机的端口属于慢速设备,处理器为了不必等待慢速设备的响应,对于端口的读写采用的是异步运行方式,就是说,处理器并不等待端口的响应,只有当端口触发响应条件时,处理器才会分出时间去检查端口状态,为了使端口在等待进程中不会丢失数据,一般都会在内存中为端口创建一个缓冲区,用以暂存数据,这个缓冲区的大小是给定的,理论上来说,缓冲的数据是不应该大于缓冲区长度的,一旦超过,多余的部分应该被自动截断。但是事实上,这个截断动作是由端口处理程序来完成的,这就给一些非法软件制造了机会,当端口处理软件不检查缓冲区长度,或者处理数据的缓冲区长度小于端口缓冲区的长度的时候,一些软件可以向这些缓冲区写入超长数据包,这些超出缓冲区的数据就有可能被执行,这就是著名的缓冲区溢出漏洞。视窗系统做为一个网络操作系统,会自动开放一些控制端口,这些端口在安装完成后会自动开放,并被相应的系统服务监视,一般来说,操作系统都会采取一些措施来防止这些端口被恶意联接,比如远程联接必须在本地手工确认等等,这些处理程序也都经过严格的测试,并不会有漏洞存在,但是很显然,在这一次的64位向128位系统的转移过程中,MS的程序员们犯了一个错误,没有及时检查其中一项服务的缓冲区长度,而TheCrack的人先于安全人员发现了这个漏洞。
知道了机器人的运行机制,接下来就是丁飞羽的强项了,他迅速编写了一个小软件,然后在本机开始运行,做完这些后,他又在im上看了一会,就洗洗睡睡了,他的电脑在完成了一定数量的工作后也会自动关机,剩下的工作自然会有被他注入的机器来完成。
第九十二章 八百里分麾下炙(七)
这一次的网络攻防战并没有因为丁飞羽睡觉而告终,事实上,《人世间》华北区的大部分巫师都还在线上,其他区也有很多闻讯赶来的巫师在提供技术支持。大家都是做网络安全的,发生这样的事,彼此关心一下也是很自然的事。
放下some他们总结经验不提,在香港某的某幢写字楼中,同样有一伙跟这次事件有关的年青人正在收拾东西。
小小的办公室里放了一圈的工作台,工作台上堆满了乱七八糟的食品袋和纸杯,坐在工作台前的七八个人每个人面前都至少有一台电脑,让这间办公室里显得非常拥挤,虽然中央空调的通风口一刻不停的在向房间里吹着冷气,仍然让人觉得有一股烦躁的热量扑面而来。这么多的人在这里,却没有人交谈,只有一个金发的白人青年嘴里喃喃的念着什么,他面前摊开的笔记本屏幕上,debian特有的界面赫然在目。他身边的一个东方肤色的青年人听了一会,愤怒的一下合上自己
