A. 求流光4.71的使用方法
流光4.71的使用方法,这里有使用说明可以下载自己看一下:http://www.yeshack.com/jc/200508/2345.html
工具这种东西本身就是一把双刃剑,如果因为自己的站点密码太过简单而被攻破然后归罪于因特网上一些免费或共享软件的话,恐怕是有些目光短浅了 。管辖的系统存在漏洞而不自知的话,就算没被人‘干掉',也只是一种暂时的‘虚假安全'。
一、小榕流光使用的简单说明
要谈流光还真找不着感觉——在小榕的帮助文件里已经把软件的使用方法详尽无比地描述过了(强烈建议使用者使用前将帮助文件多读两遍)——我就说三个方面吧——高手完全可以略过的......
1、 对某FTP主机一次完整的在线安全检测过程
A、选定主机:右键单击FTP主机选项,从弹出菜单中选择添加——将目标的IP地址填入,如"210.142.192.13"......
B、选定用户:右键单击该IP地址,可选添加(将想测试的用户名逐个加入)添加方案(可在方案中编辑希望测试的用户名列表)从列表添加(直接从字典文件中导入)及从SMTP主机导入(导入SMTP主机探测到的用户名),假设你想探测的用户名为quack,便直接在"添加"中填入quack。
C、选择字典:
a、简单模式探测:在选项菜单条中对字典及简单模式设置做适当修正以适应本次测试要求,当然你也可以在面板上的单词小写、简单后缀等按钮直接选定。
b、标准模式探测:在"解码字典或方案"中选定某一字典(方案)。
D、调整设置:检查选项菜单栏中的系统设置、连接选项和探测选项,将本次测试的各种选项调整至最优。
E、开始探测:在"探测"菜单中选定"简单模式"或"标准模式",开始此次安全检测。
F、注意事项:由于流光的系统占用较高,最好不要再开其它应用程序;在在线检测时可能有时会出现假死机现象,这时你可以通过观察MODEM的RD与SD灯来判断程序是否正常运作。
2、密码字典的选用:在线探测相当耗时,所以一个合适的字典会大大降低你的"检测成本",流光里的工具菜单栏对生成适合自己使用的字典档是一个相当实用的工具——我个人觉得尤其值得使用的是"方案编辑工具",它能够在你锁定特定用户检测时发挥较大的作用,具体使用帮助文件中写得非常详细,我就不再多说了 ——当然流光里附带的XKEY也是一个相当不错的字典生成程序。
3、流光其实不仅仅是一个在线安全检测工具——而是一个"工具包",同时具有以下几个辅助功能
A、探测主机端口
B、探测主机类型
C、FINGER
D、扫描POP3、FTP主机
E、验证主机用户
而其主要功能是对POP3、FTP、HTTP、PROXY主机进行在线密码安全检测。所以——一句话,功能强大,试过便知。
至于同样原理的在线密码破解软件国内流行的也并不少,如很早以前的emailcrack、wwwhack、网络刺客1 以及现在流传很广网络刺客2、Webcrack、Xavior等等,流光在很大程度上集成了这些软件的功能,但这些软件早期的产品也都缺乏IP隐藏或类似功能,而近期的Webcrack以及Xavior则都具备从代理服务器端进行探测的功能,我认为这应该是在线探测的一个方向——安全第一嘛——基于此想法,我对流光在探测中会留下的记录进行试验:对一位网管朋友的WINDOWS2000 Beta3 SERVER 英文版进行了一番测试,对其上已知的帐号进行密码强攻, 经探测得知其FTP端口是开放的,在未预先通知的情况下对其进行攻击,事后打电话询问其记录情况,在EVENT VIEWER里有如下信息:WARNING:The server was unable to logon the Windows NT account 'houxiourong' e to the following error: Logon failure: unknown user name or bad password.The data is the error code. 而甚至他告诉我,当我的攻击进行到一半时,他的主机上就弹出了The System log file is full.的信息提示框——失败的登陆次数太多以至于其默认为512K的记录文件被撑饱了!所以我要奉劝某些心怀叵测的人们——别做坏事......
二、密码设置的基本常识及工具
1、有关口令的一些统计
A、数目:在UNIX系统里可以建立多于43,000,000,000,000,000个不同的口令,但如果仅仅组合10种主要
语言的字典,加上这些字的反向、大写、简单后缀等一些微小变形,仅能产生不到5,000,000个字......加
上一些俚语......也不会超出这个数量级。
B、国外某机构在对一个无约束环境的用户口令选择的调查中显示,只有1.4%的用户口令中含有控制符。
2、介绍几个工具
A、CrackLib 简介及应用举例
by JeffreyDong
CrackLib 是什么?
CrackLib: A ProActive Password Sanity Library
By: Alec Muffett
Address: [email protected]
CrackLib是一个可用于类UNIX系统下的函数库, 一般来说, 通常只使用其中的一个函数. :-) 它可以用于编写和passwd有关的程序中, 其基本思想是很简单的, 就是防止用户使 用过于简单, 容易被猜测出来或容易被一些工具搜索到的密码. 密码攻击是网络上最为常见的攻击手段. 随着国内计算机用户水平的提高, 有很多人学 会了使用工具搜索密码的方法, 由于某些原因, 含有被加密密码的文件会被某些用户获 取; 这时, 过于简单的密码就会成为攻击者的突破口. 网上有很多这方面的报道.(我的 一个朋友告诉我他曾用一个星期的时间算出了BTA一个管理员的密码. wow! :-P) 通过限 制用户使用不安全的密码, 可以提高你的系统的安全性.
CrackLib的特点
CrackLib并不是一个可以直接运行使用的程序, 它是一个函数库, 你可以利用其中的函 数写自己的程序,或是加入其它程序中, 用来提高安全性. 比如, 你可以重写passwd, 使用户在选择密码时受到限制. CrackLib使用一个字典, 它查找字典以判断所选用密码是否是不安全的密码, 所以你也可 以加入其它信息, 使用自己的字典.比如, 加入公司的名称, 实验室墙上的单词等等潜在 的不安全密码.
CrackLib的使用非常简单, 它可以被应用于很多地方, 只需加入简单的几行源码, 就可以 得到非常好的效果.
CrackLib的安装
CrackLib可以很容易的在Internet上找到, 我现在使用的版本是2.7, 跑在我的i586/RedHat Linux和i386/Slackware Linux上. 如果你无法找到它的话, 赶紧去补一补如何在Internet 上查找特定的软件吧, 因为这是一项非常重要的基本功. CrackLib好象没有什么文档, 这也是GNU急需加强的地方. 但是它的安装非常简单, 只要按照 README文件
中所叙述的就可以了.如果你用的distribution中包含了这个包, 那它说不定已经 安装在你的机器上了,如RedHat 5.1等. :-) 需要注意的是, 不同版本中一些文件所处的目录位置不同, 你要先确定它们所处的位置. 比 如, 在RedHat 5.1中, 字典是在/usr/lib/中, 文件名为cracklib_dict.*, 而不是README中 所举例的/usr/local/lib/pw_dict.*
应用举例
这里我举一个很简单的例子, 试图用很短的篇幅来说明用法.
char *FascistCheck(char *pw, char *dictpath);
这是CrackLib中最常用的函数. pw是用户选择的密码, 你要去验证它是不是不安全的. dictpath是字典所在路径, 注意, 要把文件名中"."之前的部分加上.以RedHat 5.1为例, 假设你已正确的安装了CrackLib 2.7和FireBird BBS 2.66M. 让我们来 看看如何把CrackLib加入BBS中去. :-) 首先, 改写bbs_src目录下的register.c:
/* ----------- begin ---------- */
char *msg;
/* ----------- end ---------- */
......
while( 1 ) {
getdata(0,0,"请设定您的密码 (Setup Password): ",passbuf,PASSLEN,NOECHO,YEA) ;
if( strlen( passbuf ) < 4 || !strcmp( passbuf, newuser.userid ) ) {
prints("密码太短或与使用者代号相同, 请重新输入\n") ;
continue;
}
/* ----------- begin ---------- */
if (msg = (char*) FascistCheck(passbuf, CRACKLIBPATH)) {
printf("请另选密码! (%s)\n",msg);
continue;
}
/* ----------- end ---------- */
strncpy( newuser.passwd, passbuf, PASSLEN );
getdata(0,0,"请再输入一次你的密码 (Reconfirm Password): ",passbuf,PASSLEN,NOECHO,YEA);
if( strncmp( passbuf, newuser.passwd, PASSLEN ) != 0 ) {
prints("密码输入错误, 请重新输入密码.\n") ;
continue;
}
passbuf[8] = '\0' ;
strncpy( newuser.passwd, genpasswd( passbuf ), PASSLEN );
break;
}
begin和end注释所夹部分为改动处, 下同.
接着改写bbs_src目录下的userinfo.c:
/* ----------- begin ---------- */
char *msg;
/* ----------- end ---------- */
......
getdata(i++,0,"请设定新密码: ",buf,PASSLEN,NOECHO,YEA);
if( buf[0] == '\0' ) {
prints("\n\n密码设定取消, 继续使用旧密码\n");
fail++;
break;
}
strncpy(genbuf,buf,PASSLEN) ;
/* ----------- begin ---------- */
if (msg = (char*) FascistCheck(buf, CRACKLIBPATH)) {
printf("\n请另选密码! (%s)\n", msg);
prints("\n密码设定取消, 继续使用旧密码\n");
fail++;
break;
}
/* ----------- end ---------- */
getdata(i++,0,"请重新输入新密码: ",buf,PASSLEN,NOECHO,YEA);
if(strncmp(buf,genbuf,PASSLEN)) {
prints("\n\n新密码确认失败, 无法设定新密码。\n");
fail++;
break;
}
接着在bbs.h中加入:
#ifndef CRACKLIBPATH
#define CRACKLIBPATH "/usr/lib/cracklib_dict"
#endif
注意这里是字典所处的位置.
最后改动bbs的Makefile:
OS_DEF = -DLINUX -DTERMIOS
CC = gcc
CFLAGS = -O2
/* ----------- begin ---------- */
LIBS = -ltermcap -lbsd -lcrack
/* ----------- end ---------- */
然后make, make install就可以了. :-) 很简单, 不是吗?
注意:本段关于cracklib的说明转载于[网络工作室]
B、Proactive Checking
这个程序能在输入口令时进行一系列的口令检查,这会对避免不安全口令出现于你的系统有帮助作用。它与一般的shadow和NIS(也就是yellow page)口令系统共同工作。
C、Shadow
这个程序取代了原来系统的口令保护机制,它将/etc/passwd文件中的口令信息转移到文件/etc/shadow中,还有一些如口令到期机制、允许16字符口令等功能。
D、Passwd+
这是一个典型的增强型口令系统。
三、应有的措施及其基本知识
1、日志文件
大多数日志文件都是由系统一行接着一行写入的文本文件。比如sulog会记录用户使用su命 令试图进入系统的情况,在sulog文件尾部附加一条信息,以记录su命令是否被成功使用。不同版本的UNIX系统存放日志文件的目录不同,常见目录如下:/usr/adm 早期的UNIX系统/var/adm 较新版本的UNIX系统/var/log 用于Solaris\Linux\BSD等系统中在这些目录或其子目录下,你可以找到下列文件acct 或 pacct 记录每个用户使用过的命令aculog 拨出"猫"的记录lastlog 记录用户最后一次成功登陆时间及最后一次失败登陆时间loginlog 不良登陆记录messages 输出到主控台及由syslog系统服务程序产生的消息sulog su的使用情况
utmp 记录当前登陆的每个有户
utmpx 扩展的utmp
wtmp 记录每一次用户登陆和注销的历史信息及系统开关信息
wtmpx 扩展wtmp
vold.log 使用外部介质产生的错误
xferlog FTP存取情况
2、定期运行如crack之类的口令破解程序以检查系统中是否存在弱帐户。
B. tekla参数化节点怎样读取构件长度
使用ftPl函数
=fTpl("LENGTH",object ID)
C. 简述入侵检测常用的四种方法
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
1、特征检测
特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
2、异常检测
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
(3)ftpl检测方法扩展阅读
入侵分类:
1、基于主机
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。
这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。
2、基于网络
通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。
此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。
但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。
3、分布式
这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击。