本章闡述各種級(jí)別的攻擊�。“攻擊”是指任何的非授權(quán)行為����。這種行為的目的在于干擾、破壞����、摧毀你服務(wù)器的安全。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器���。在你網(wǎng)絡(luò)上成功實(shí)施的攻擊的級(jí)別依賴于你采用的安全措施�����。. v) o* j. S8 u6 j& c
; o. g1 b3 G7 m K) w⒈攻擊會(huì)發(fā)生在何時(shí)��?
! Y7 b/ W3 h( l5 y" l" c1 R大部分的攻擊(或至少是商業(yè)攻擊時(shí)間一般是服務(wù)器所在地的深夜���。換句話說��,如果你在洛杉磯而入侵者在倫敦�����,那么攻擊可能會(huì)發(fā)生在洛杉磯的深夜到早晨之間的幾個(gè)小時(shí)中�。你也許認(rèn)為入侵者會(huì)在白天(目標(biāo)所在地的時(shí)間)發(fā)起攻擊���,因?yàn)榇罅康臄?shù)據(jù)傳輸能掩飾他們的行為���。有以下幾個(gè)原因說明為什么入侵者避免大白天進(jìn)行攻擊:
3 I6 ]/ w3 ]9 {% K■客觀原因。在白天���,大多數(shù)入侵者要工作�,上學(xué)或在其他環(huán)境中花費(fèi)時(shí)間,以至沒空進(jìn)行攻擊�。換句話就,這些人不能在整天坐在計(jì)算機(jī)前面�����。這和以前有所不同�,以前的入侵者是一些坐中家中無所事事的人�����。
9 S9 v. n& L4 F■速度原因���。網(wǎng)絡(luò)正變得越來越擁擠�,因此最佳的工作時(shí)間是在網(wǎng)絡(luò)能提供高傳輸速度的時(shí)間速率的時(shí)間�。最佳的時(shí)間段會(huì)根據(jù)目標(biāo)機(jī)所在地的不同而不同。6 L# N: i0 w4 n. A- z
■保密原因����。假設(shè)在某時(shí)某入侵者發(fā)現(xiàn)了一個(gè)漏洞,就假定這個(gè)時(shí)間是早上11點(diǎn)�����,并且此時(shí)有三個(gè)系統(tǒng)管理員正登錄在網(wǎng)上。此時(shí)���,此入侵者能有何舉動(dòng)��?恐怕很少��,因?yàn)橄到y(tǒng)管理員一旦發(fā)現(xiàn)有異常行為����。他們便會(huì)跟蹤而來�����。" l' a0 E/ b! v0 d) n! f- h
入侵者總是喜歡攻擊那些沒有使用的機(jī)器�����。有一次我利用在曰本的一臺(tái)工作臺(tái)從事攻擊行為�,因?yàn)榭瓷先]有人在此機(jī)器上登錄過。隨后����,我便用那臺(tái)機(jī)器遠(yuǎn)程登錄回美國。在羅馬我發(fā)現(xiàn)了一個(gè)新的ISP也出現(xiàn)類似的情況��。對于這類計(jì)算機(jī),你可以暫控制它���,可按你的特殊要求對它進(jìn)行設(shè)置��,而且你有充足的時(shí)間來改變?nèi)罩?���。值得注意的是�,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r(shí)間)。. r$ i5 Q& N6 O: k
提示:如果你一直在進(jìn)行著大量的日志工作�����,并且只有有限的時(shí)間和資源來對這些日志進(jìn)行分析��,我建議你將主要精力集中在記錄昨夜的連接請求的日志���。這部分日志毫無疑問會(huì)提供令人感興趣的、異常的信息�����。
4 I$ r( q1 k7 A# Z
0 A0 g5 m/ @" v) [9 x4 N4 B⒉入侵者使用何種操作系統(tǒng)�?
2 h+ O6 `9 P) M入侵者使用的操作系統(tǒng)各不相同。UNIX是使用得最多的平臺(tái),其中包括FreeBSD和Linux����。
* a9 m1 B) F+ ?& _& D4 o⑴Sun
1 v1 j% J& v5 T入侵者將SolarisX86 或SCO作為使用平臺(tái)的現(xiàn)象相當(dāng)常見。因?yàn)榧词惯@些產(chǎn)品是需要許可證����,它們也易獲得。一般而言�,使用這些平臺(tái)的入侵者都是學(xué)生,因?yàn)樗麄兛衫密浖a(chǎn)品賣給教育部門和學(xué)生時(shí)可打很大的折扣這一優(yōu)勢�����。再者���,由于這些操作系統(tǒng)運(yùn)行在PC機(jī)上�,所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇����。4 o- D* {: D* c9 v+ @1 `
⑵UNIX% \" N- B( _# x+ \5 E
UNIX平臺(tái)受歡迎的原因之一是它只耗費(fèi)系統(tǒng)一小部分資源。
2 x3 V: x$ _& _⑶Microsoft
( f2 t5 X8 m9 H$ m% y3 T FMicrosoft平臺(tái)支持許多合法的安全工具��,而這些工具可被用于攻擊遠(yuǎn)程主機(jī)�。因此����,越來越多的入侵者正在使用Windows NT���。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具�����;而且NT正變得越來越流行����,因?yàn)槿肭终咧浪麄儽仨毦ù似脚_(tái)��。由于NT成為更流行的Internet服務(wù)器的操作平臺(tái)����,入侵者有必要知道如何入侵這些機(jī)器��。而且安全人員將會(huì)開發(fā)工具來測試NT的內(nèi)部安全性�����。這樣����,你將看到利用NT作為入侵平臺(tái)的人會(huì)極劇增加���。
; _/ C! H( E/ p1 `, W, d$ A( w9 m; @: W4 s) F5 C
⒊攻擊的源頭
2 m- R' {4 v# L+ M1 J! t數(shù)年前,許多攻擊來源于大學(xué)��,因?yàn)閺哪抢锬軐nternet進(jìn)行訪問���。大多數(shù)入侵者是年青人�����,沒有其他的地方比在大學(xué)更容易上Internet了�����。自然地���,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時(shí)間。同時(shí)���,使用TCP/IP不像今天這樣簡單�����。5 q* ^. E+ D1 C) O3 n
如今形勢發(fā)生了巨大的變化�,入侵者可在他們的家里、辦公室或車中入侵你的網(wǎng)絡(luò)�。然而,這里也有一些規(guī)律���。
1 Y( D5 O& P# A8 v. D0 i. Y: f( j
⒋典型入侵者的特點(diǎn)
" d: M* V& O+ x3 k1 T5 U# t; u典型的入侵者至少具備下述幾個(gè)特點(diǎn):
+ W+ ?# [0 r& Q% [& F5 U, p5 ^■能用C�����、C++或Perl進(jìn)行編碼��。因?yàn)樵S多基本的安全工具是用這些語言的某一種編寫的���。至少入侵者能正確地解釋、編譯和執(zhí)行這些程序����。更厲害的入侵者能把不專門為某特定某平臺(tái)開發(fā)的工具移植到他用的平臺(tái)上。同時(shí)他們還可能開發(fā)出可擴(kuò)展的工具來��,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)�����。, J4 f! ^* m! c* O n4 _
■對TCP/IP有透徹的了解�����,這是任何一個(gè)有能力的入侵者所必備的素質(zhì)�。至少一個(gè)入侵者必須知道Internet如何運(yùn)轉(zhuǎn)的。* P0 K) w4 r' w1 Z
■每月至少花50小時(shí)上Internet���。經(jīng)驗(yàn)不可替代的��,入侵者必須要有豐富的經(jīng)驗(yàn)�。一些入侵者是Internet的癡迷者�,常忍受著失眠的痛苦。5 \. h) {- {+ U! _2 J' Z( P
■有一份和計(jì)算機(jī)相關(guān)的工作����。并不是每個(gè)入侵者都是把一天中的大部分時(shí)間投入到入侵行為中。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作����。
! z. a/ R1 T, t$ |* D■收集老的、過時(shí)的但經(jīng)典的計(jì)算機(jī)硬件或軟件��。/ C7 Z' A7 K4 s$ k9 S# \' `3 \
* L% \, L% V1 D: ^' ~/ a⒌典型目標(biāo)的特征
( R) L. q5 l* @很難說什么才是典型目標(biāo)���,因?yàn)椴煌肭终邥?huì)因不同的原因而攻擊不同類型的網(wǎng)絡(luò)��。然而一種常見的攻擊是小型的私有網(wǎng)��。因?yàn)椋?br />
) ?# Y7 T/ T v■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段
5 X9 T3 I$ ~9 [8 c; m■其系統(tǒng)管理員更熟悉局域網(wǎng)����,而不是TCP/IP4 z5 Q7 P# C: G; B
■其設(shè)備和軟件都很陳舊(可能是過時(shí)的)
$ `4 c# o" U5 y- Z另一話題是熟悉性。絕大多數(shù)入侵者從使用的角度而言能熟知兩個(gè)或多個(gè)操作系統(tǒng)��,但從入侵的角度來看�,他們通常僅了解某一個(gè)操作系統(tǒng)。很少的入侵者知道如何入侵多種平臺(tái)�����。
5 w7 T2 C* D T; n$ U7 c' K! o6 P* m1 \3 m* d1 u; V! g
大學(xué)是主要的攻擊對象�����,部分原因是因?yàn)樗麄儞碛袠O強(qiáng)的運(yùn)算處理能力���。
: ^7 F9 E* h8 } G |$ E9 K) H* e另個(gè)原因是網(wǎng)絡(luò)用戶過多����。甚至在一個(gè)相對小的網(wǎng)段上就有幾百個(gè)用戶�。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù),極有可能從如此的帳號(hào)中獲得一個(gè)入侵帳號(hào)����。其他常被攻擊的對象是政府網(wǎng)站。 W5 m+ R* }" q7 y5 o
1 O9 j3 x' Y+ S/ M! l0 X2 x0 p
⒍入侵者入侵的原因( y4 M# W' d2 D" L
■怨恨
6 M+ V) o5 z. G. e9 p3 i; Y7 @9 j■挑戰(zhàn)
# U# x0 o2 L8 ]) w+ u' |7 |■愚蠢
u" W, J! v2 S" v/ a* t■好奇7 |0 m% K- a% c7 T8 H
■政治目的
$ c: ?$ D/ b& e0 \% Z: A# S8 i' q- @所有的這些原因都是不道德的行為�,此行為過頭后便觸犯了法律。觸犯法律可帶來一些令人激動(dòng)的感受����,這種感受又能消極地影響你的原因。5 G3 I9 c8 Z% w( e8 `% l/ v
% A+ `6 f0 i5 k⒎攻擊+ q7 @1 x, T w" \' }+ O2 t2 L
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)����。但我的觀點(diǎn)是可能使一個(gè)網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”。即從一個(gè)入侵者開始在目標(biāo)機(jī)上工作的那個(gè)時(shí)間起����,攻擊就開始。; ?; o# L+ j% p( @; S# \. g
可通過下面的文章了解入侵的事例:
' t- a$ c% U3 F$ n- ?8 ]+ X' Sftp://research.att.com/dist/internet_security/berferd.ps& t/ }8 i' U- X( J9 r5 k/ v) T" g; F
http://www.takedown.com/evidence/anklebiters/mlf/index.html
, g! |+ K7 V6 f% uhttp//www.alw.nih.gov/security/first/papers/general/holland.ps0 U, W' @+ c* J8 ^
http://www.alw.nih.gov/security/first/papers/general/fuat.ps
7 L9 a/ F3 e3 _3 E. E/ zhttp://www.alw.nih.gov/security/first/papers/general/hacker.txt
9 m$ A4 |$ H' A j4 d5 T5 j, t( O! ?/ p) J
⒏入侵層次索引' _& J" b" P( q2 i% i, E1 g# V
■郵件炸彈攻擊+ O+ g; h) a) e; G9 k
■簡單拒絕服務(wù)
0 |; I3 u! K g2 ^" c- c, ~. B■本地用戶獲得非授權(quán)讀訪問
& e v4 U8 w' D+ K■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限
( \% ?, J6 K: R■遠(yuǎn)程用戶獲得了非授權(quán)的帳號(hào)- g; d6 H, ~, ]. l
■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限
1 T* x/ w- u; m' U8 h! ~■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限
9 f, D( e# P2 j! [/ ~■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-12 16:32:43
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡