ftpl檢測方法

A. 求流光4.71的使用方法

流光4.71的使用方法,這里有使用說明可以下載自己看一下:http://www.yeshack.com/jc/200508/2345.html

工具這種東西本身就是一把雙刃劍，如果因為自己的站點密碼太過簡單而被攻破然後歸罪於網際網路上一些免費或共享軟體的話，恐怕是有些目光短淺了 。管轄的系統存在漏洞而不自知的話，就算沒被人『幹掉'，也只是一種暫時的『虛假安全'。

一、小榕流光使用的簡單說明

要談流光還真找不著感覺——在小榕的幫助文件里已經把軟體的使用方法詳盡無比地描述過了（強烈建議使用者使用前將幫助文件多讀兩遍）——我就說三個方面吧——高手完全可以略過的......

1、 對某FTP主機一次完整的在線安全檢測過程

A、選定主機：右鍵單擊FTP主機選項，從彈出菜單中選擇添加——將目標的IP地址填入，如"210.142.192.13"......

B、選定用戶：右鍵單擊該IP地址，可選添加(將想測試的用戶名逐個加入)添加方案(可在方案中編輯希望測試的用戶名列表)從列表添加(直接從字典文件中導入)及從SMTP主機導入(導入SMTP主機探測到的用戶名)，假設你想探測的用戶名為quack,便直接在"添加"中填入quack。

C、選擇字典：

a、簡單模式探測：在選項菜單條中對字典及簡單模式設置做適當修正以適應本次測試要求，當然你也可以在面板上的單詞小寫、簡單後綴等按鈕直接選定。

b、標准模式探測：在"解碼字典或方案"中選定某一字典(方案)。

D、調整設置：檢查選項菜單欄中的系統設置、連接選項和探測選項，將本次測試的各種選項調整至最優。

E、開始探測：在"探測"菜單中選定"簡單模式"或"標准模式"，開始此次安全檢測。

F、注意事項：由於流光的系統佔用較高，最好不要再開其它應用程序；在在線檢測時可能有時會出現假死機現象，這時你可以通過觀察MODEM的RD與SD燈來判斷程序是否正常運作。

2、密碼字典的選用：在線探測相當耗時，所以一個合適的字典會大大降低你的"檢測成本"，流光里的工具菜單欄對生成適合自己使用的字典檔是一個相當實用的工具——我個人覺得尤其值得使用的是"方案編輯工具"，它能夠在你鎖定特定用戶檢測時發揮較大的作用，具體使用幫助文件中寫得非常詳細，我就不再多說了 ——當然流光里附帶的XKEY也是一個相當不錯的字典生成程序。

3、流光其實不僅僅是一個在線安全檢測工具——而是一個"工具包"，同時具有以下幾個輔助功能

A、探測主機埠

B、探測主機類型

C、FINGER

D、掃描POP3、FTP主機

E、驗證主機用戶

而其主要功能是對POP3、FTP、HTTP、PROXY主機進行在線密碼安全檢測。所以——一句話，功能強大，試過便知。

至於同樣原理的在線密碼破解軟體國內流行的也並不少，如很早以前的emailcrack、wwwhack、網路刺客1 以及現在流傳很廣網路刺客2、Webcrack、Xavior等等，流光在很大程度上集成了這些軟體的功能，但這些軟體早期的產品也都缺乏IP隱藏或類似功能，而近期的Webcrack以及Xavior則都具備從代理伺服器端進行探測的功能，我認為這應該是在線探測的一個方向——安全第一嘛——基於此想法，我對流光在探測中會留下的記錄進行試驗：對一位網管朋友的WINDOWS2000 Beta3 SERVER 英文版進行了一番測試，對其上已知的帳號進行密碼強攻, 經探測得知其FTP埠是開放的,在未預先通知的情況下對其進行攻擊，事後打電話詢問其記錄情況，在EVENT VIEWER里有如下信息：WARNING:The server was unable to logon the Windows NT account 'houxiourong' e to the following error: Logon failure: unknown user name or bad password.The data is the error code. 而甚至他告訴我，當我的攻擊進行到一半時，他的主機上就彈出了The System log file is full.的信息提示框——失敗的登陸次數太多以至於其默認為512K的記錄文件被撐飽了！所以我要奉勸某些心懷叵測的人們——別做壞事......

二、密碼設置的基本常識及工具

1、有關口令的一些統計

A、數目：在UNIX系統里可以建立多於43,000,000,000,000,000個不同的口令，但如果僅僅組合10種主要

語言的字典，加上這些字的反向、大寫、簡單後綴等一些微小變形，僅能產生不到5,000,000個字......加

上一些俚語......也不會超出這個數量級。

B、國外某機構在對一個無約束環境的用戶口令選擇的調查中顯示，只有1.4%的用戶口令中含有控制符。

2、介紹幾個工具

A、CrackLib 簡介及應用舉例

by JeffreyDong

CrackLib 是什麼?

CrackLib: A ProActive Password Sanity Library

By: Alec Muffett

Address: [email protected]

CrackLib是一個可用於類UNIX系統下的函數庫, 一般來說, 通常只使用其中的一個函數. :-) 它可以用於編寫和passwd有關的程序中, 其基本思想是很簡單的, 就是防止用戶使 用過於簡單, 容易被猜測出來或容易被一些工具搜索到的密碼. 密碼攻擊是網路上最為常見的攻擊手段. 隨著國內計算機用戶水平的提高, 有很多人學 會了使用工具搜索密碼的方法, 由於某些原因, 含有被加密密碼的文件會被某些用戶獲 取; 這時, 過於簡單的密碼就會成為攻擊者的突破口. 網上有很多這方面的報道.(我的 一個朋友告訴我他曾用一個星期的時間算出了BTA一個管理員的密碼. wow! :-P) 通過限 制用戶使用不安全的密碼, 可以提高你的系統的安全性.

CrackLib的特點

CrackLib並不是一個可以直接運行使用的程序, 它是一個函數庫, 你可以利用其中的函 數寫自己的程序,或是加入其它程序中, 用來提高安全性. 比如, 你可以重寫passwd, 使用戶在選擇密碼時受到限制. CrackLib使用一個字典, 它查找字典以判斷所選用密碼是否是不安全的密碼, 所以你也可 以加入其它信息, 使用自己的字典.比如, 加入公司的名稱, 實驗室牆上的單詞等等潛在 的不安全密碼.

CrackLib的使用非常簡單, 它可以被應用於很多地方, 只需加入簡單的幾行源碼, 就可以 得到非常好的效果.

CrackLib的安裝

CrackLib可以很容易的在Internet上找到, 我現在使用的版本是2.7, 跑在我的i586/RedHat Linux和i386/Slackware Linux上. 如果你無法找到它的話, 趕緊去補一補如何在Internet 上查找特定的軟體吧, 因為這是一項非常重要的基本功. CrackLib好象沒有什麼文檔, 這也是GNU急需加強的地方. 但是它的安裝非常簡單, 只要按照 README文件

中所敘述的就可以了.如果你用的distribution中包含了這個包, 那它說不定已經 安裝在你的機器上了,如RedHat 5.1等. :-) 需要注意的是, 不同版本中一些文件所處的目錄位置不同, 你要先確定它們所處的位置. 比 如, 在RedHat 5.1中, 字典是在/usr/lib/中, 文件名為cracklib_dict.*, 而不是README中 所舉例的/usr/local/lib/pw_dict.*

應用舉例

這里我舉一個很簡單的例子, 試圖用很短的篇幅來說明用法.

char *FascistCheck(char *pw, char *dictpath);

這是CrackLib中最常用的函數. pw是用戶選擇的密碼, 你要去驗證它是不是不安全的. dictpath是字典所在路徑, 注意, 要把文件名中"."之前的部分加上.以RedHat 5.1為例, 假設你已正確的安裝了CrackLib 2.7和FireBird BBS 2.66M. 讓我們來 看看如何把CrackLib加入BBS中去. :-) 首先, 改寫bbs_src目錄下的register.c:

/* ----------- begin ---------- */

char *msg;

/* ----------- end ---------- */

......

while( 1 ) {

getdata(0,0,"請設定您的密碼 (Setup Password): ",passbuf,PASSLEN,NOECHO,YEA) ;

if( strlen( passbuf ) < 4 || !strcmp( passbuf, newuser.userid ) ) {

prints("密碼太短或與使用者代號相同, 請重新輸入\n") ;

continue;

}

/* ----------- begin ---------- */

if (msg = (char*) FascistCheck(passbuf, CRACKLIBPATH)) {

printf("請另選密碼! (%s)\n",msg);

continue;

}

/* ----------- end ---------- */

strncpy( newuser.passwd, passbuf, PASSLEN );

getdata(0,0,"請再輸入一次你的密碼 (Reconfirm Password): ",passbuf,PASSLEN,NOECHO,YEA);

if( strncmp( passbuf, newuser.passwd, PASSLEN ) != 0 ) {

prints("密碼輸入錯誤, 請重新輸入密碼.\n") ;

continue;

}

passbuf[8] = '\0' ;

strncpy( newuser.passwd, genpasswd( passbuf ), PASSLEN );

break;

}

begin和end注釋所夾部分為改動處, 下同.

接著改寫bbs_src目錄下的userinfo.c:

/* ----------- begin ---------- */

char *msg;

/* ----------- end ---------- */

......

getdata(i++,0,"請設定新密碼: ",buf,PASSLEN,NOECHO,YEA);

if( buf[0] == '\0' ) {

prints("\n\n密碼設定取消, 繼續使用舊密碼\n");

fail++;

break;

}

strncpy(genbuf,buf,PASSLEN) ;

/* ----------- begin ---------- */

if (msg = (char*) FascistCheck(buf, CRACKLIBPATH)) {

printf("\n請另選密碼! (%s)\n", msg);

prints("\n密碼設定取消, 繼續使用舊密碼\n");

fail++;

break;

}

/* ----------- end ---------- */

getdata(i++,0,"請重新輸入新密碼: ",buf,PASSLEN,NOECHO,YEA);

if(strncmp(buf,genbuf,PASSLEN)) {

prints("\n\n新密碼確認失敗, 無法設定新密碼。\n");

fail++;

break;

}

接著在bbs.h中加入:

#ifndef CRACKLIBPATH

#define CRACKLIBPATH "/usr/lib/cracklib_dict"

#endif

注意這里是字典所處的位置.

最後改動bbs的Makefile:

OS_DEF = -DLINUX -DTERMIOS

CC = gcc

CFLAGS = -O2

/* ----------- begin ---------- */

LIBS = -ltermcap -lbsd -lcrack

/* ----------- end ---------- */

然後make, make install就可以了. :-) 很簡單, 不是嗎?

注意：本段關於cracklib的說明轉載於[網路工作室]

B、Proactive Checking

這個程序能在輸入口令時進行一系列的口令檢查，這會對避免不安全口令出現於你的系統有幫助作用。它與一般的shadow和NIS(也就是yellow page)口令系統共同工作。

C、Shadow

這個程序取代了原來系統的口令保護機制，它將/etc/passwd文件中的口令信息轉移到文件/etc/shadow中，還有一些如口令到期機制、允許16字元口令等功能。

D、Passwd+

這是一個典型的增強型口令系統。

三、應有的措施及其基本知識

1、日誌文件

大多數日誌文件都是由系統一行接著一行寫入的文本文件。比如sulog會記錄用戶使用su命 令試圖進入系統的情況，在sulog文件尾部附加一條信息，以記錄su命令是否被成功使用。不同版本的UNIX系統存放日誌文件的目錄不同，常見目錄如下：/usr/adm 早期的UNIX系統/var/adm 較新版本的UNIX系統/var/log 用於Solaris\Linux\BSD等系統中在這些目錄或其子目錄下，你可以找到下列文件acct 或 pacct 記錄每個用戶使用過的命令aculog 撥出"貓"的記錄lastlog 記錄用戶最後一次成功登陸時間及最後一次失敗登陸時間loginlog 不良登陸記錄messages 輸出到主控台及由syslog系統服務程序產生的消息sulog su的使用情況

utmp 記錄當前登陸的每個有戶

utmpx 擴展的utmp

wtmp 記錄每一次用戶登陸和注銷的歷史信息及系統開關信息

wtmpx 擴展wtmp

vold.log 使用外部介質產生的錯誤

xferlog FTP存取情況

2、定期運行如crack之類的口令破解程序以檢查系統中是否存在弱帳戶。

B. tekla參數化節點怎樣讀取構件長度

使用ftPl函數
=fTpl("LENGTH",object ID)

C. 簡述入侵檢測常用的四種方法

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

(3)ftpl檢測方法擴展閱讀

入侵分類：

1、基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源，某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。

這種類型的檢測系統不需要額外的硬體．對網路流量不敏感，效率高，能准確定位入侵並及時進行反應，但是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量，對獲取的網路數據進行處理，從中提取有用的信息，再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴操作系統作為檢測資源，可應用於不同的操作系統平台；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分布式

這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網路關鍵節點上採用網路入侵檢測，同時分析來自主機系統的審計日誌和來自網路的數據流，判斷被保護系統是否受到攻擊。