1 绪 论
随着中国互联网技术的不断发展,中国网民的数量和规模呈现非常高速的发展状态。越来越多的男女老少都在使用电脑或者手机进行网络浏览,越来越多的年轻人使用网络聊天工具进行交流,越来越多的企业使用不同类型的手机和电脑进行办公与管理工作。在中国网络的应用范围上也比2000年前要扩大非常多倍,比如2000年前由于中国计算机及手机没有普及,导致中国互联网普及率较低,只有政府和少部分个人与企业可以使用互联网冲浪功能,但现在计算机和手机的造价不断下降,浏览网络的费用也逐渐降低,使得诸如:工业、设计、环保、制造、金融、游戏、医疗、建筑等领域都在与互联网技术接轨[1]。可以说互联网已经融入了中国社会经济与生活的各个方面,我们现在所处的时代也可以称之为互联网的技术时代了。下图为中国2012年到2016年之间中国网民规模和互联网普及率的趋势统计图,从图中我们可以看到2016年中国互联网的普及率已经超过50%,网络使用人数已经超过7亿人,可以说中国绝对是目前世界上第一大网络使用国家。
图1 中国网民规模和互联网普及率
虽然互联网信息化技术为人们带来了很多方便,但由于目前中国互联网行业法律法规制定不完善,互联网技术性漏洞比较多,导致这几年来互联网犯罪率一直走高,互联网犯罪也从过去的低级技术手段上升到更高级的核心技术手段,从而导致的互联网网民损失越来越大。中国政府近几年来一直致力于防范互联网犯罪体系建全,中国民营的互联网安全公司如:中国奇虎360安全公司,中国金山毒霸安全公司等等都推出了很多款适合不同互联网用户使用的安全软件产品,用以保护用户的利益,可大部分互联网网民对除了使用这些安全电脑软件外的网络安全手段都不是很熟悉,从而导致很多网络作案依然频发,所以我选择了目前比较常见的弱口令攻击及防范方法进行研究[2]。
2课题研究目的与作用
2.1课题研究的目的
本课题的题目和研究方向为弱口令攻击及防范研究,这个课题的主要内容就是研究当前网络攻击中因为弱口令而导致的网络系统防线突破。对于学习计算机网络的人应该都知道,计算机网络现在分为两大类,一类是我们常用的局域网络还有一种是广域网络,局域网络和广域网络的应用情况各不相同,都具有对应的优势与劣势。在中国大部分的网络使用中,我们常用的是局域网络,如小区网络,学校网络,政府网络,网吧网络等等,这些局域网络的拓扑结构各有不同,有的是总线型拓扑,有的是星型拓扑,有的是网络型拓扑等等[3]。对于黑客攻击来说,一般攻击的是计算机的网络或者软件层面,涉及计算机设备的物理层面则非常少。对于大部分的黑客攻击者来说,黑客攻击的类型也有很多差异,通常我们说的黑客网络犯罪,主要是指黑客利用不同的木马或者恶意软件,操控盗取用户计算机或者网络中有价值的信息数据,比如用户的银行账号及密码,用户的保密文件、用户的游戏账号等等,黑客通过网络入侵不同联网计算机主机,盗取这些有价值的数据后,往往卖给下家或者自己使用。但无论黑客使用什么样的入侵方法,都需要通过局域网这个媒介才能成功,这就像我们常说的病毒感染,皮肤是人体的第一道也是最可靠的防线,只要外部的病毒或者危险品没有突破人体皮肤这道防线,则病毒对人体的影响一般都不是很大,所以如何保护用户等价于如何让黑客突破不了网络防线。
经过本科四年的计算机网络知识学习,我们知道口令是网络防护系统的第一道防线,也是最重要的防线,如果黑客破解不了用户机的网络口令,则无法进行犯罪活动。黑客的网络口令攻击指的是黑客以非法获取用户网络口令为目的,通过不同方法对用户机网络口令进行破解,最终入侵用户主机系统。由于中国局域网大部分使用的是TCP/IP协议,这种协议虽然非常便于网络使用,但其本身也具有很多缺陷,其中就包括用户口令容易被非法获取的漏洞。所以我根据TCP/IP协议下的局域网弱口令攻击现状,选择了这个课题,旨在于研究如何防范中国主流的弱口令攻击,从而保护更多中国网民的合法权益。
2.2课题研究的作用
弱口令攻击及防范课题研究的作用有很多。
1.本课题研究可以为当前黑客通过网络弱口令攻击方式攻击用户电能提供一定的防范措施建议,有助于提高网络口令系统的主动和被动防御能力,有利于更加深入的了解和改善目前互联网协议与保密机制中的安全漏洞,有利于保护更多用户账户信息安全,提高用户隐私安全,有利于提高未来互联网行业的系统设计与开发。
2.本课题的研究成果可以作为计算机网络科普知识宣传给大众网民,以求提高大众网民的互联网安全防护意识,减少网民损失。
3.本课题的研究有助于推动互联网科技的发展,净化互联网的使用环境,推动互联网经济的前进,推动中国社会经济的进步。
3弱口令攻击的概念及危害
弱口令在当前的互联网时代还没有严格和准确的概念定义,通常人们认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,比如“AAABBB”、“01234”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。网络弱口令的攻击实际上可以等同于网络口令的攻击,对于网络口令攻击而言黑客首先开始选择用户机的网络口令进行攻击,只要黑客能够通过不同方式获得用户网络的口令密码就能控制用户的主机权限,而后访问用户的系统信息、硬盘信息、网络保存的信息等等从而造成用户损失。
由于网络黑客的类型不同对用户机所造成的危害程度也不同,对于一些初级黑客来说他们也许只是想试试身手,或者对你开个玩笑,实际上造成不了什么不良影响。对于目的性比较强的黑客来说他们可能就想要通过不同的入侵手段,最终达到他们的不同目的,比如:通过黑客程序监听你的主机程序或者进程,更有甚者还能在你不知情的情况下启动你的摄像头开关或者麦克风开关从而监控你的生活情况,这一类黑客主要是为了商业目的(监听竞争对手公司的情况从而制定相应公司策略),另外一类是通过破解你的主机上文本信息,从而盗用你的财务账户,如支付宝账户、腾讯财付通账户、网上银行账户等等或者贩卖他们在你主机上找到的一些对你或者对别人有价值的资料,比如:一些私人照片,一些私人隐私信息,你的公司保密文件等等,这一类黑客比较棘手,因为他们都具有一定的攻击与伪装能力。当然还有一些纯粹为了报复社会的黑客等等这些不同类型的黑客在中国组成了一道黑客利益交换一条龙产业链,可谓是中国网络中的毒瘤,中国社会经济与安全的毒瘤[4]。
4弱口令攻击的模拟实验
我根据我本科所学习到的网络技术知识,选择使用X-SCAN弱口令攻击软件对我所处的家庭局域网进行模拟攻击实验,从而探究弱口令攻击的具体技术原理和实施步骤。
4.1弱口令攻击软件和硬件环境准备
硬件和软件环境:一台黑客电脑(安装WINXP系统,配置尽量高端),安装虚拟机系统X1—WINXP和X2—WIN2003 Server。
4.2弱口令模拟攻击
打开X-SCAN弱口令攻击软件(事先在xp或者2003Server中开启telnet服务),telnet服务开启完毕,验证一下是否可以登录(手工操作)。使用x-scan之前,按照下图示意,在x-scan/dat/telnet_user.dic中写入猜测对象机器的用户帐号,如administrator,在weak_pass.dic中写入预先设置的administrator的弱口令。
图2 弱口令攻击实验图1
执行x-scan弱口令攻击软件,在扫描结果中主机分析找到telnet,点击。
图3 弱口令攻击实验图2
点击后出现如下页面,在这个页面上就能看到我们建立的虚拟机所使用的弱口令密码。
图4 弱口令攻击实验图3
4.3使用弱口令入侵用户机模拟实验
我选择使用传统的DOS入侵方法入侵我建立的虚拟主机系统,具体入侵步骤如下所示:
1.在黑客机上运行cmd指令
2.运行命令telnet192.168.1.XX(被攻击主机IP地址)回车
3.login;输入administrator(被攻击主机的用户名)回车
4.password:输入弱口令扫描出的密码回车进入被入侵主机
5.执行cd C:\Users\用户名\Documents.. 进入桌面(winXP)
6. md 任意文件夹名称 例如:md 弱口令攻击
7.虚拟机桌面上多了一个弱口令攻击文件夹,证明已经入侵成功。
图5 利用弱口令入侵实验
通过上述的弱口令破解和入侵实验我已经对弱口令破解和入侵的基本技术原理和实际操作步骤有所了解,下面我将整理目前国内主流的弱口令破解方法,并针对这些方法提出我认为的可行性解决措施。
5国内计算机弱口令攻击方法分析
5.1 通过网络监听来截获用户口令
网络监听技术刚开始的发展其实是为了更好的管理局域网内的各个计算机工作状态,但技术始终都有两面性网络监听技术就像一把双刃剑,一方面它为网络管理员提供了一种管理网络的手段,监听在协助网络管理员监测网络传输数据、排除网络故障等方面有着不可替代的作用;另一方面,网络监听也是黑客获取在局域网上传输的敏感信息的一种重要手段,因为网络监听是一种被动的攻击方式,不易被察觉。在我们使用的局域网技术中,以太网技术是最经常使用的一种。在以太网中,又可分为共享型以太网和交换型以太网。在讨论网络监听时,我们先使用最简单的共享型以太网来进行分析。
共享型以太网是一种简单的以太网络传输系统,最早是由美国学者提出的,经过中国改革开放的发展,共享型以太网渐渐引入中国网络技术,但由于共享型以太网的缺陷比较多,使用费用也比较昂贵,容易遭受攻击,所以当前中国普遍使用的已经是交换式以太网技术了。共享型以太网主要使用CSMA/CD的访问模式,通过与老式网络集中线路器相连构造出不同的网络拓扑结构。根据共享型以太网的网络机构,首先是网络数据发送机给局域网里中的另一个目标机发送网络数据包,然后根据目标机的反馈数据来判断是否目标机收到了数据包从而发送下面的连续数据包。但是,当节点的网卡工作在混杂模式时,该节点将接收所有在以太网上传输的数据帧,包括在网络上传输的口令等敏感信息。而在交换型以太网中,情况就有所不同了。交换型以太网通过交换机连接。交换机工作于数据链路层,通过将接收到的数据帧的目的MAC地址与自身的地址对照表相比较来确定将数据帧转发给哪个端口,只有当交换机接收到广播帧或者是交换机的地址对照表上没有该MAC地址的对应端口时,才把该帧向所有端口广播。这样,以太网上的节点就很少接收到发送给其他节点的数据帧了[5]。
图6 一种共享以太网系统
通过上述的计算机网络监听方法,同一个局域网内的网络数据信息被传输给了目标用户机和黑客机,于是黑客机就能通过这些网络数据分析用户口令密码,尤其是使用弱密码的用户更容易被黑客破解,所以说弱口令对于计算机网络安全的威胁还是非常大的。
5.2 通过病毒程序直接从用户机上窃取口令密码
通过病毒程序直接从用户机器上窃取用户网络口令也是一种常见的用户网络口令窃取方式。在这类口令获取方式中主要分成两种获取口令办法。第一种办法是通过在某些小型局域网内恶意安装病毒程序从而感染局域网内不同用户主机,利用病毒软件分析盗取这些主机上的用户口令最终可以使用其他局域网的计算机远程遥控这些计算机从而窃取资料。这样的小规模局域网内口令的破解主要使用一些比较初级的病毒软件,但由于黑客是在物理层面上就进入了局域网里,所以仍然能够取得这个局域网内大部分用户的数据及用户口令,所以危害依然很大,这样的黑客攻击主要存在于:校园局域网、图书馆局域网、小型公司内部局域网、网吧局域网等等。另一种黑客通过病毒程序破解用户口令的方法比较高端,这一类的高技术黑客破解需要使用者掌握一定水平的黑客知识还需要使用特洛伊木马、后门漏洞程序等等黑客软件[6]。比如在一个中型局域网内一旦有一个计算机感染了木马或者黑客后门程序,就会导致其他局域网内计算机同时被感染,这些木马可能具有不同的功能,有的木马是专门作为母马下载器,这些母马下载器能够极其迅速的批量下载许多木马程序,在用户机上安装诸如键盘记录器,监控记录器等等,从而破坏用户机系统,窃取用户机信息。
5.3通过黑客远程端控制软件破解用户机网络口令
计算机远程端控制软件目前主要用于PC机管理和服务,远程端控制软件是一种基于网络的,由一台电脑(主控端或客户端)远程控制另一台或者多台电脑(被控端 Host或服务器端)的应用软件。远程端控制程序一般分为远程控制端和远程被控端,办公版是控制端和被控端用同样的程序,可以相互控制。使用时客户端程序向被控端电脑中的服务器端程序发出信号,建立一个特殊的远程服务,然后通过这个远程服务,使用各种远程控制功能发送远程控制命令,控制被控端电脑中的各种应用程序运行,以及在被控电脑中上传下载文件,遥控被控电脑的开关机等,具有强大的内网穿透功能。远程控制软件的应用层主要分成两类,一类是针对服务器的服务端,一类是针对用户机的控制端,黑客会使用很多种方法让用户机感染远程控制软件的后门程序,而后使用服务器的服务端来控制不同用户端的电脑,这种方法主要还是依靠WINDOWS系统中自带的远程访问控制漏洞进行被控电脑的文件管理。根据不同类型远程控制软件的破解方法,可以把黑客通过远程控制软件破解用户机口令分成三种类型,这三种类型如下所示:
5.31暴力破解存储用户网络口令的源文件入侵用户主机
在中国人安装PC机的操作系统时,绝大部分操作系统都会默认安装在C盘中,当操作系统安装完毕后,C盘中就会出现一个WINDOWS系统文件夹,这个系统文件夹中包含了用户机上全部的重要系统文件及程序,当然里面也会包含用户设置的网络口令文件,这给了黑客入侵者一个可以搜索的范围。当黑客使用远程端控制软件入侵用户主机后就可以在WINDOWS系统文件夹中找到储存口令的文件,而后利用专门的暴力破解软件对文件进行暴力破解(所谓暴力破解,就比如你的文件口令是6789,通过暴力破解的方式,软件会从0000开始,0001,0002,0003……直到试到6789,破解软件得到了密码正确的信息,就把这个正确的密码反映到屏幕上了。通常的破解软件你还可以设置字符集,比如选择是否算上符号,大小写字母和数字等。用这种方式只要密码不超过能破译的长度范围,在一定时间下是一定能破解出来的,唯一缺点就是速度太慢),当黑客暴力破解口令密码文件后,自然就能获取用户的网络口令,尤其是对于设置那些比较容易的弱口令用户而言,这种暴力破解既简单又快捷[7]。
5.32黑客使用数字字典法或穷举法破解用户口令
数字字典法就是将用户平时容易使用的一些口令编写成一个数字字典文档,这个数字字典文档中从序列1开始到很大的一个数字序列如9999999每个序列都代表一个常用口令代码,当黑客使用破解软件加上数字字典的结合,就能很快的通过尝试不同密码的方式将用户机口令尝试出来。穷举法的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。这两种办法对于弱口令的用户机都要很好的破解作用[8]。
5.33黑客使用网络WEB网页欺骗获取用户机口令
欺骗攻击在现实的电子交易中也是常见的现象。例如,我们曾经听说过这样的事情:一些西方国家的罪犯在公共场合建立起虚假的ATM取款机,该种机器可以接受ATM卡,并且会询问用户的PIN密码。一旦该种机器获得受攻击者的PIN密码,它会要么“吃卡”,要么反馈“故障”,并返回ATM卡。不论哪一种情况,罪犯都会获得足够的信息[9],以复制出一个完全一样的ATM卡。后面的事情大家可想而知了。在这些攻击中,人们往往被所看到的事物所愚弄:ATM取款机所处的位置,它们的外形和装饰,以及电子显示屏的内容等等。
WEB网页欺骗是一种电子信息欺骗,攻击者在其中创造了整个WEB世界的一个令人信服但是完全错误的拷贝。错误的WEB看起来十分逼真,它拥有相同的网页和链接。然而,攻击者控制着错误的WEB站点,这样受攻击者浏览器和WEB之间的所有网络信息完全 被攻击者所截获,其工作原理就好像是一个过滤器。由于攻击者可以观察或者修改任何从受攻击者到WEB服务器的信息;同样地,也控制着从WEB服务器至受攻击者的返回数据,这样攻击者就有许多发起攻击的可能性,包括监视和破坏。攻击者能够监视受攻击者的网络信息,记录他们访问的网页和内容。当受攻击者填写完一个表单并发送后,这些数据将被传送到WEB服务器,WEB服务器将返回必要的信息,但不幸的是,攻击者完全可以截获并加以使用。大家都知道绝大部分在线公司都是使用表单来完成业务的,这意味着攻击者可以获得用户的帐户和密码。下面我们将看到,即使受攻击者有一个“安全”连接(通常是通过Secure Sockets Layer来实现的,用户的浏览器会显示一把锁或钥匙来表示处于安全连接),也无法逃脱被监视的命运。在得到必要的数据后,攻击者可以通过修改受攻击者和WEB服务器之间任何一个方向上的数据,来进行某些破坏活动。攻击者修改受攻击者的确认数据,例如,如果受攻击者在线订购某个产品时,攻击者可以修改产品代码,数量或者邮购地址等等。攻击者也能修改被WEB服务器所返回的数据[10],例如,插入易于误解或者攻击性的资料,破坏用户和在线公司的关系等等。
6国内计算机弱口令防范防御方法
6.1安装专业计算机杀毒防护软件并定时扫描和升级程序
从上文中我们可以看到,虽然互联网络正在不断的改变我们的生活与工作,但随之带来的风险也与日俱增。对于一般的普通使用者来说,由于对计算机及网络知识了解不是很深刻,所以只能借助中国某些大型网络及计算机安全企业制作的计算机保护及杀毒软件。常见的这类软件有:360安全卫士和杀毒卫士、QQ管家和QQ杀毒、金山毒霸杀毒等等,在这些保护计算机软件中有的软件可以免费使用有的则需要定时付费才能注册使用。这些计算机防护及杀毒软件能够有效的防护用户机不受病毒和后门程序的破坏,就算计算机被黑客破坏了也能够有效的保护大部分的计算机文件,同时操作简单,界面内容清晰,有的杀毒软件还提供人工服务,能根据用户不同的情况进行杀毒修复工作,所以我觉得这些软件真的是对网络用户起到了很大作用。在这里我还要补充一句,虽然很多用户都安装了杀毒防护软件但没有定期对计算机进行扫描和程序升级,这也是错误的,由于网络技术发展迅速,很多黑客程序及漏洞都在不断的进行更新换代,只有定期扫描计算机加上定期升级杀毒防护软件程序才能最大程度的保护计算机的安全使用。
图7 国内免费杀毒防护软件
6.2避免使用弱口令,尽量使用强口令
弱口令容易被黑客破解所以使用弱口令肯定会加大用户机被入侵的风险,所以我建议用户无论在网络或者本地机器上使用任何的口令都应该尽量使用复杂的强口令技术,尤其是避免使用如:用户的身体、身份证、电话号码、门牌号码、车牌号码这些容易被别人收集识别的数字号码,同时也要避免使用6位数以下的单纯性口令,如只用数字0—9或者只用大小写字母编写的口令等等。尽量使用口令长度不小于6位,并混合包含字母,数字和其他字符的强口令密码。对于大部分的电脑用户而言口令修改是很少的,也就是说一个用户的口令可能一直使用几年时间而不去修改,我觉得就算是用户设置了一个难以破解的强口令密码也会因为使用时间过长而导致被黑客破解,所以用户要每年或者每个半年修改下口令。
