攻擊的各種級(jí)別

本章闡述各種級(jí)別的攻擊?！肮簟笔侵溉魏蔚姆鞘跈?quán)行為。這種行為的目的在于干擾、破壞、摧毀你服務(wù)器的安全。攻擊的范圍從簡(jiǎn)單地使某服務(wù)無(wú)效到完全破壞你的服務(wù)器。在你網(wǎng)絡(luò)上成功實(shí)施的攻擊的級(jí)別依賴于你采用的安全措施。

% f& V' V. y9 ?( q  G⒈攻擊會(huì)發(fā)生在何時(shí)？
大部分的攻擊（或至少是商業(yè)攻擊時(shí)間一般是服務(wù)器所在地的深夜。換句話說，如果你在洛杉磯而入侵者在倫敦，那么攻擊可能會(huì)發(fā)生在洛杉磯的深夜到早晨之間的幾個(gè)小時(shí)中。你也許認(rèn)為入侵者會(huì)在白天（目標(biāo)所在地的時(shí)間）發(fā)起攻擊，因?yàn)榇罅康臄?shù)據(jù)傳輸能掩飾他們的行為。有以下幾個(gè)原因說明為什么入侵者避免大白天進(jìn)行攻擊：
% _- v! d! R" [  l6 D$ j1 Y. P9 S  o■客觀原因。在白天，大多數(shù)入侵者要工作，上學(xué)或在其他環(huán)境中花費(fèi)時(shí)間，以至沒空進(jìn)行攻擊。換句話就，這些人不能在整天坐在計(jì)算機(jī)前面。這和以前有所不同，以前的入侵者是一些坐中家中無(wú)所事事的人。
■速度原因。網(wǎng)絡(luò)正變得越來(lái)越擁擠，因此最佳的工作時(shí)間是在網(wǎng)絡(luò)能提供高傳輸速度的時(shí)間速率的時(shí)間。最佳的時(shí)間段會(huì)根據(jù)目標(biāo)機(jī)所在地的不同而不同。
■保密原因。假設(shè)在某時(shí)某入侵者發(fā)現(xiàn)了一個(gè)漏洞，就假定這個(gè)時(shí)間是早上11點(diǎn)，并且此時(shí)有三個(gè)系統(tǒng)管理員正登錄在網(wǎng)上。此時(shí)，此入侵者能有何舉動(dòng)？恐怕很少，因?yàn)橄到y(tǒng)管理員一旦發(fā)現(xiàn)有異常行為。他們便會(huì)跟蹤而來(lái)。
; M; N5 d% J0 l: o8 \8 U入侵者總是喜歡攻擊那些沒有使用的機(jī)器。有一次我利用在曰本的一臺(tái)工作臺(tái)從事攻擊行為，因?yàn)榭瓷先]有人在此機(jī)器上登錄過。隨后，我便用那臺(tái)機(jī)器遠(yuǎn)程登錄回美國(guó)。在羅馬我發(fā)現(xiàn)了一個(gè)新的ISP也出現(xiàn)類似的情況。對(duì)于這類計(jì)算機(jī)，你可以暫控制它，可按你的特殊要求對(duì)它進(jìn)行設(shè)置，而且你有充足的時(shí)間來(lái)改變?nèi)罩?。值得注意的是，絕大部分的這種攻擊行為都發(fā)生在晚上（被攻擊對(duì)象的當(dāng)?shù)貢r(shí)間）。
提示：如果你一直在進(jìn)行著大量的日志工作，并且只有有限的時(shí)間和資源來(lái)對(duì)這些日志進(jìn)行分析，我建議你將主要精力集中在記錄昨夜的連接請(qǐng)求的日志。這部分日志毫無(wú)疑問會(huì)提供令人感興趣的、異常的信息。
# u! ^+ G7 Z% e& W
6 @9 G/ L" @) ]# X3 ^9 I⒉入侵者使用何種操作系統(tǒng)？
/ v- W5 H" I7 p5 e入侵者使用的操作系統(tǒng)各不相同。UNIX是使用得最多的平臺(tái)，其中包括FreeBSD和Linux。
⑴Sun
- I! S3 F$ k+ U  g) s7 |# b入侵者將SolarisX86 或SCO作為使用平臺(tái)的現(xiàn)象相當(dāng)常見。因?yàn)榧词惯@些產(chǎn)品是需要許可證，它們也易獲得。一般而言，使用這些平臺(tái)的入侵者都是學(xué)生，因?yàn)樗麄兛衫密浖a(chǎn)品賣給教育部門和學(xué)生時(shí)可打很大的折扣這一優(yōu)勢(shì)。再者，由于這些操作系統(tǒng)運(yùn)行在PC機(jī)上，所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇。
⑵UNIX
. z/ L! R) R- T# L0 J' NUNIX平臺(tái)受歡迎的原因之一是它只耗費(fèi)系統(tǒng)一小部分資源。
* @/ {6 e$ X2 ~4 v: J0 z- t' A0 z/ M⑶Microsoft
2 F/ N- g7 y& B5 x9 b9 hMicrosoft平臺(tái)支持許多合法的安全工具，而這些工具可被用于攻擊遠(yuǎn)程主機(jī)。因此，越來(lái)越多的入侵者正在使用Windows NT。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具；而且NT正變得越來(lái)越流行，因?yàn)槿肭终咧浪麄儽仨毦ù似脚_(tái)。由于NT成為更流行的Internet服務(wù)器的操作平臺(tái)，入侵者有必要知道如何入侵這些機(jī)器。而且安全人員將會(huì)開發(fā)工具來(lái)測(cè)試NT的內(nèi)部安全性。這樣，你將看到利用NT作為入侵平臺(tái)的人會(huì)極劇增加。
5 x( U) f. ?  W% F0 S; _
⒊攻擊的源頭
7 P' j: r  R# L# I  u數(shù)年前，許多攻擊來(lái)源于大學(xué)，因?yàn)閺哪抢锬軐?duì)Internet進(jìn)行訪問。大多數(shù)入侵者是年青人，沒有其他的地方比在大學(xué)更容易上Internet了。自然地，這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時(shí)間。同時(shí)，使用TCP/IP不像今天這樣簡(jiǎn)單。
! [" M" c1 X( N& `. j  F% ~如今形勢(shì)發(fā)生了巨大的變化，入侵者可在他們的家里、辦公室或車中入侵你的網(wǎng)絡(luò)。然而，這里也有一些規(guī)律。
( S1 K. R1 X1 p- L1 z" _  ~0 [/ g" H
5 a4 ~4 a- F: m5 h  N⒋典型入侵者的特點(diǎn)
  h8 W! y9 U) T+ {; c" h& T( N典型的入侵者至少具備下述幾個(gè)特點(diǎn)：
■能用C、C++或Perl進(jìn)行編碼。因?yàn)樵S多基本的安全工具是用這些語(yǔ)言的某一種編寫的。至少入侵者能正確地解釋、編譯和執(zhí)行這些程序。更厲害的入侵者能把不專門為某特定某平臺(tái)開發(fā)的工具移植到他用的平臺(tái)上。同時(shí)他們還可能開發(fā)出可擴(kuò)展的工具來(lái)，如SATAN 和SAFESuite（這些工具允許用戶開發(fā)的工具附加它們上）。
■對(duì)TCP/IP有透徹的了解，這是任何一個(gè)有能力的入侵者所必備的素質(zhì)。至少一個(gè)入侵者必須知道Internet如何運(yùn)轉(zhuǎn)的。
) g% L* e* L( S) Y" c4 l■每月至少花50小時(shí)上Internet。經(jīng)驗(yàn)不可替代的，入侵者必須要有豐富的經(jīng)驗(yàn)。一些入侵者是Internet的癡迷者，常忍受著失眠的痛苦。
■有一份和計(jì)算機(jī)相關(guān)的工作。并不是每個(gè)入侵者都是把一天中的大部分時(shí)間投入到入侵行為中。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作。
, r/ Q$ b8 \0 [* i2 u■收集老的、過時(shí)的但經(jīng)典的計(jì)算機(jī)硬件或軟件。
% w' t8 H; u- Z( u8 P) G
⒌典型目標(biāo)的特征
很難說什么才是典型目標(biāo)，因?yàn)椴煌肭终邥?huì)因不同的原因而攻擊不同類型的網(wǎng)絡(luò)。然而一種常見的攻擊是小型的私有網(wǎng)。因?yàn)椋?font class="jammer">* J1 `( ]% ^" o, i- S! L
■網(wǎng)絡(luò)的擁有者們對(duì)Internet的使用還處于入門階段
, f+ Y0 [( N! {% f+ p( `- t6 s■其系統(tǒng)管理員更熟悉局域網(wǎng)，而不是TCP/IP
■其設(shè)備和軟件都很陳舊（可能是過時(shí)的）
3 ^) g; z% P1 @另一話題是熟悉性。絕大多數(shù)入侵者從使用的角度而言能熟知兩個(gè)或多個(gè)操作系統(tǒng)，但從入侵的角度來(lái)看，他們通常僅了解某一個(gè)操作系統(tǒng)。很少的入侵者知道如何入侵多種平臺(tái)。
7 g: b8 _, j  N  _
+ y; p9 A( i5 p- Q  S1 L6 _) ~# j6 t大學(xué)是主要的攻擊對(duì)象，部分原因是因?yàn)樗麄儞碛袠O強(qiáng)的運(yùn)算處理能力。
另個(gè)原因是網(wǎng)絡(luò)用戶過多。甚至在一個(gè)相對(duì)小的網(wǎng)段上就有幾百個(gè)用戶。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)，極有可能從如此的帳號(hào)中獲得一個(gè)入侵帳號(hào)。其他常被攻擊的對(duì)象是政府網(wǎng)站。
& B7 V0 h2 O6 W# h9 K% e8 x
3 [. t4 h3 k* C/ n⒍入侵者入侵的原因
■怨恨
6 g5 W2 t. \2 b2 [/ c) r% j% M■挑戰(zhàn)
■愚蠢
■好奇
■政治目的
1 g. b* ]7 ^2 J) B3 {( n  z所有的這些原因都是不道德的行為，此行為過頭后便觸犯了法律。觸犯法律可帶來(lái)一些令人激動(dòng)的感受，這種感受又能消極地影響你的原因。
7 N" b5 A1 }$ d! l+ \0 e! n, A0 D
⒎攻擊
9 u3 f1 f" B6 I# z4 `0 f6 x$ @2 V攻擊的法律定義是指：攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)。但我的觀點(diǎn)是可能使一個(gè)網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”。即從一個(gè)入侵者開始在目標(biāo)機(jī)上工作的那個(gè)時(shí)間起，攻擊就開始。
# Y% ]% {& x% B& h3 t; ~' n可通過下面的文章了解入侵的事例：
ftp://research.att.com/dist/internet_security/berferd.ps
& f5 D! O: [/ o- y2 zhttp://www.takedown.com/evidence/anklebiters/mlf/index.html
http//www.alw.nih.gov/security/first/papers/general/holland.ps
http://www.alw.nih.gov/security/first/papers/general/fuat.ps
http://www.alw.nih.gov/security/first/papers/general/hacker.txt

! X# O& l  |. H  k⒏入侵層次索引
■郵件炸彈攻擊
0 ]# k" x) w" ?- M0 g& w& W■簡(jiǎn)單拒絕服務(wù)
■本地用戶獲得非授權(quán)讀訪問
- C, [' g/ w4 ^4 |; r7 o" w' v■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限
% N4 ?6 e7 F2 ~! k■遠(yuǎn)程用戶獲得了非授權(quán)的帳號(hào)
: T8 D) F: O, I" L1 N" c: }■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限
* [6 }# G  Q+ O■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限
" u2 j% ~5 j& a: [+ E( L! T■遠(yuǎn)程用戶擁有了根權(quán)限（他們已經(jīng)攻克了你的系統(tǒng)）