本章闡述各種級別的攻擊�。“攻擊”是指任何的非授權(quán)行為����。這種行為的目的在于干擾、破壞�����、摧毀你服務(wù)器的安全��。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器。在你網(wǎng)絡(luò)上成功實(shí)施的攻擊的級別依賴于你采用的安全措施���。
2 X( \+ w' W/ |- m. x* E, h
& a b( Y! W3 e7 U2 I T⒈攻擊會(huì)發(fā)生在何時(shí)�?
0 t P# ]4 b) w. o G$ @, O9 ?大部分的攻擊(或至少是商業(yè)攻擊時(shí)間一般是服務(wù)器所在地的深夜�。換句話說,如果你在洛杉磯而入侵者在倫敦�����,那么攻擊可能會(huì)發(fā)生在洛杉磯的深夜到早晨之間的幾個(gè)小時(shí)中��。你也許認(rèn)為入侵者會(huì)在白天(目標(biāo)所在地的時(shí)間)發(fā)起攻擊�,因?yàn)榇罅康臄?shù)據(jù)傳輸能掩飾他們的行為。有以下幾個(gè)原因說明為什么入侵者避免大白天進(jìn)行攻擊:
% }4 o9 @/ K# K1 g8 l2 D; j/ J■客觀原因���。在白天����,大多數(shù)入侵者要工作�,上學(xué)或在其他環(huán)境中花費(fèi)時(shí)間,以至沒空進(jìn)行攻擊��。換句話就���,這些人不能在整天坐在計(jì)算機(jī)前面����。這和以前有所不同,以前的入侵者是一些坐中家中無所事事的人�����。, V& z' Q" x1 y1 Z9 D0 v+ ?7 U: o
■速度原因���。網(wǎng)絡(luò)正變得越來越擁擠,因此最佳的工作時(shí)間是在網(wǎng)絡(luò)能提供高傳輸速度的時(shí)間速率的時(shí)間����。最佳的時(shí)間段會(huì)根據(jù)目標(biāo)機(jī)所在地的不同而不同。5 `! l! @+ i, z( [' Q+ }
■保密原因�����。假設(shè)在某時(shí)某入侵者發(fā)現(xiàn)了一個(gè)漏洞��,就假定這個(gè)時(shí)間是早上11點(diǎn)��,并且此時(shí)有三個(gè)系統(tǒng)管理員正登錄在網(wǎng)上�����。此時(shí),此入侵者能有何舉動(dòng)���?恐怕很少���,因?yàn)橄到y(tǒng)管理員一旦發(fā)現(xiàn)有異常行為。他們便會(huì)跟蹤而來�����。) _. p8 z7 z$ B- \" T0 P3 w5 n
入侵者總是喜歡攻擊那些沒有使用的機(jī)器�。有一次我利用在曰本的一臺(tái)工作臺(tái)從事攻擊行為,因?yàn)榭瓷先]有人在此機(jī)器上登錄過���。隨后��,我便用那臺(tái)機(jī)器遠(yuǎn)程登錄回美國�����。在羅馬我發(fā)現(xiàn)了一個(gè)新的ISP也出現(xiàn)類似的情況�����。對于這類計(jì)算機(jī)���,你可以暫控制它��,可按你的特殊要求對它進(jìn)行設(shè)置��,而且你有充足的時(shí)間來改變?nèi)罩?。值得注意的是��,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r(shí)間)��。. |) {% }! `* Y& C$ z8 S
提示:如果你一直在進(jìn)行著大量的日志工作�����,并且只有有限的時(shí)間和資源來對這些日志進(jìn)行分析���,我建議你將主要精力集中在記錄昨夜的連接請求的日志。這部分日志毫無疑問會(huì)提供令人感興趣的�、異常的信息。
2 b7 s0 _. V! k* I" w) T% `3 }- H+ ^2 j9 T5 c! _/ D# g
⒉入侵者使用何種操作系統(tǒng)�?+ {6 z: `& i* ]1 f+ o* K
入侵者使用的操作系統(tǒng)各不相同。UNIX是使用得最多的平臺(tái)���,其中包括FreeBSD和Linux���。- V5 F* J. ]# F2 |3 `! U
⑴Sun% D! G0 [2 a! F% E# _& ~
入侵者將SolarisX86 或SCO作為使用平臺(tái)的現(xiàn)象相當(dāng)常見��。因?yàn)榧词惯@些產(chǎn)品是需要許可證��,它們也易獲得���。一般而言,使用這些平臺(tái)的入侵者都是學(xué)生���,因?yàn)樗麄兛衫密浖a(chǎn)品賣給教育部門和學(xué)生時(shí)可打很大的折扣這一優(yōu)勢���。再者,由于這些操作系統(tǒng)運(yùn)行在PC機(jī)上��,所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇����。, J. f( V/ E& K; I+ e
⑵UNIX0 Z( H3 ?, \; m* q, ?
UNIX平臺(tái)受歡迎的原因之一是它只耗費(fèi)系統(tǒng)一小部分資源。( r; ~& ?6 L3 S- r* {6 B" D4 Z0 I
⑶Microsoft% z( f% ~& ^! z% \7 [5 q! Z
Microsoft平臺(tái)支持許多合法的安全工具����,而這些工具可被用于攻擊遠(yuǎn)程主機(jī)�。因此�,越來越多的入侵者正在使用Windows NT。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具�����;而且NT正變得越來越流行����,因?yàn)槿肭终咧浪麄儽仨毦ù似脚_(tái)。由于NT成為更流行的Internet服務(wù)器的操作平臺(tái)�����,入侵者有必要知道如何入侵這些機(jī)器�����。而且安全人員將會(huì)開發(fā)工具來測試NT的內(nèi)部安全性���。這樣,你將看到利用NT作為入侵平臺(tái)的人會(huì)極劇增加����。2 d# ~* } E9 c* S: u
8 [1 d, h4 o' g- b( A- L; w
⒊攻擊的源頭# Y' E C8 W6 b. @- Z& G) @: G$ k u% i
數(shù)年前����,許多攻擊來源于大學(xué)�����,因?yàn)閺哪抢锬軐nternet進(jìn)行訪問����。大多數(shù)入侵者是年青人,沒有其他的地方比在大學(xué)更容易上Internet了����。自然地,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時(shí)間����。同時(shí),使用TCP/IP不像今天這樣簡單��。9 A* }2 k# \3 ]. i
如今形勢發(fā)生了巨大的變化��,入侵者可在他們的家里����、辦公室或車中入侵你的網(wǎng)絡(luò)�。然而���,這里也有一些規(guī)律��。$ d: w- K/ O/ g8 \" J
; P1 b! f( u# |3 ?
⒋典型入侵者的特點(diǎn)
1 o) |' O% W+ m( O" w# d# F6 [典型的入侵者至少具備下述幾個(gè)特點(diǎn):
6 r' h" d6 R0 `0 H( n+ {: c9 |6 k/ S■能用C�、C++或Perl進(jìn)行編碼�����。因?yàn)樵S多基本的安全工具是用這些語言的某一種編寫的��。至少入侵者能正確地解釋����、編譯和執(zhí)行這些程序。更厲害的入侵者能把不專門為某特定某平臺(tái)開發(fā)的工具移植到他用的平臺(tái)上����。同時(shí)他們還可能開發(fā)出可擴(kuò)展的工具來�,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)。
' ]2 b6 L0 f- q■對TCP/IP有透徹的了解�,這是任何一個(gè)有能力的入侵者所必備的素質(zhì)��。至少一個(gè)入侵者必須知道Internet如何運(yùn)轉(zhuǎn)的�。% I6 F# |% k% @0 k6 A; S
■每月至少花50小時(shí)上Internet�。經(jīng)驗(yàn)不可替代的,入侵者必須要有豐富的經(jīng)驗(yàn)���。一些入侵者是Internet的癡迷者�����,常忍受著失眠的痛苦���。# {. @9 }- k% ^1 q
■有一份和計(jì)算機(jī)相關(guān)的工作。并不是每個(gè)入侵者都是把一天中的大部分時(shí)間投入到入侵行為中���。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作�。
- D6 Z7 o1 D7 [7 ^* \■收集老的�、過時(shí)的但經(jīng)典的計(jì)算機(jī)硬件或軟件。: }1 [! S9 `7 Q
1 S/ v" v: M& ]+ Y
⒌典型目標(biāo)的特征* X8 E: P/ Q' v. O
很難說什么才是典型目標(biāo)��,因?yàn)椴煌肭终邥?huì)因不同的原因而攻擊不同類型的網(wǎng)絡(luò)���。然而一種常見的攻擊是小型的私有網(wǎng)��。因?yàn)椋?font class="jammer">5 i4 i. d! [ ~- g
■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段
6 {9 B5 |+ R8 F; ?3 ?■其系統(tǒng)管理員更熟悉局域網(wǎng)�����,而不是TCP/IP
" }% n4 l9 W# x4 n$ u■其設(shè)備和軟件都很陳舊(可能是過時(shí)的)8 \! t$ K* {+ ~7 k& s+ d2 Q
另一話題是熟悉性��。絕大多數(shù)入侵者從使用的角度而言能熟知兩個(gè)或多個(gè)操作系統(tǒng)����,但從入侵的角度來看,他們通常僅了解某一個(gè)操作系統(tǒng)��。很少的入侵者知道如何入侵多種平臺(tái)��。
+ o2 x( Q8 d" {2 ?, k: ]) F% Q) R; J% y
大學(xué)是主要的攻擊對象�����,部分原因是因?yàn)樗麄儞碛袠O強(qiáng)的運(yùn)算處理能力�。
% Y9 L1 S( a9 Z4 i2 \" D S6 u2 \ O另個(gè)原因是網(wǎng)絡(luò)用戶過多。甚至在一個(gè)相對小的網(wǎng)段上就有幾百個(gè)用戶����。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù),極有可能從如此的帳號中獲得一個(gè)入侵帳號�。其他常被攻擊的對象是政府網(wǎng)站。
0 K8 g; J/ D( K' ^9 U' m: _+ L; g. t( m [; T }1 g e7 h
⒍入侵者入侵的原因
! ~, ^8 [/ v. E1 L1 I■怨恨; e; Q5 K8 n+ V/ n. R! b
■挑戰(zhàn)2 k9 w7 c. |/ W3 P3 l0 U
■愚蠢
` d3 b/ f( `5 e0 H: O■好奇
6 c, T* N6 z3 `2 a1 F! n■政治目的
4 c8 P8 E. v C* ^$ `# p; q! p所有的這些原因都是不道德的行為�,此行為過頭后便觸犯了法律。觸犯法律可帶來一些令人激動(dòng)的感受��,這種感受又能消極地影響你的原因��。! i5 V: b% M3 \8 p
, e5 b& q p- Q4 h$ u) y @7 u⒎攻擊
, o3 I0 f- j- v5 ?% {/ U攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)�����。但我的觀點(diǎn)是可能使一個(gè)網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”���。即從一個(gè)入侵者開始在目標(biāo)機(jī)上工作的那個(gè)時(shí)間起�,攻擊就開始�����。3 U6 i- M$ x. e0 b, ]2 T0 I
可通過下面的文章了解入侵的事例:. l6 `- F2 k4 L- z' M$ P
ftp://research.att.com/dist/internet_security/berferd.ps4 P, \, O% j5 ?8 d6 \1 g, J
http://www.takedown.com/evidence/anklebiters/mlf/index.html( Z4 a/ ?1 q8 s( U4 |' x
http//www.alw.nih.gov/security/first/papers/general/holland.ps/ b) M. \. e3 O: m
http://www.alw.nih.gov/security/first/papers/general/fuat.ps$ _/ b. A* o( x1 I, ~
http://www.alw.nih.gov/security/first/papers/general/hacker.txt) X" B' Q9 p& T9 V+ Q
8 F+ k8 f w* z+ A4 V
⒏入侵層次索引% l0 p0 t g7 |: g+ s
■郵件炸彈攻擊
, p& C7 d; i. M/ X6 Z, Q8 a■簡單拒絕服務(wù)
' O. Q- i: ~4 S6 U% V* K+ M* D( u; s■本地用戶獲得非授權(quán)讀訪問
1 U. P2 ^6 m! _" l3 \. m■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限
( _( E4 z+ Y+ l& a" g: y■遠(yuǎn)程用戶獲得了非授權(quán)的帳號
' S+ E0 ~" \5 X5 y: T■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限
- F# R) j! P, C) ]; Z■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限! L7 X8 ]0 `& _+ t! B8 ~
■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡