本章闡述各種級別的攻擊�。“攻擊”是指任何的非授權(quán)行為�。這種行為的目的在于干擾��、破壞��、摧毀你服務(wù)器的安全���。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器��。在你網(wǎng)絡(luò)上成功實(shí)施的攻擊的級別依賴于你采用的安全措施��。6 D: i7 v( z$ D9 Z2 f+ }9 g
- o7 ?- `9 z$ V- \0 D⒈攻擊會發(fā)生在何時�?: }$ j0 `7 i: V& j9 k6 f+ ^
大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜。換句話說���,如果你在洛杉磯而入侵者在倫敦��,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中�����。你也許認(rèn)為入侵者會在白天(目標(biāo)所在地的時間)發(fā)起攻擊����,因?yàn)榇罅康臄?shù)據(jù)傳輸能掩飾他們的行為���。有以下幾個原因說明為什么入侵者避免大白天進(jìn)行攻擊:4 j% l' }; Q* i7 ]" b7 ]
■客觀原因�����。在白天��,大多數(shù)入侵者要工作����,上學(xué)或在其他環(huán)境中花費(fèi)時間,以至沒空進(jìn)行攻擊�。換句話就,這些人不能在整天坐在計算機(jī)前面���。這和以前有所不同����,以前的入侵者是一些坐中家中無所事事的人�����。
) A) R# [& ~: q b m" _■速度原因���。網(wǎng)絡(luò)正變得越來越擁擠�����,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間。最佳的時間段會根據(jù)目標(biāo)機(jī)所在地的不同而不同�。" x5 b; G" v$ _: U
■保密原因。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞�,就假定這個時間是早上11點(diǎn)����,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上����。此時,此入侵者能有何舉動�����?恐怕很少�����,因?yàn)橄到y(tǒng)管理員一旦發(fā)現(xiàn)有異常行為�。他們便會跟蹤而來。
( i3 o0 z0 U& Z. F% W9 S入侵者總是喜歡攻擊那些沒有使用的機(jī)器���。有一次我利用在曰本的一臺工作臺從事攻擊行為���,因?yàn)榭瓷先]有人在此機(jī)器上登錄過。隨后�����,我便用那臺機(jī)器遠(yuǎn)程登錄回美國。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況�。對于這類計算機(jī),你可以暫控制它�����,可按你的特殊要求對它進(jìn)行設(shè)置��,而且你有充足的時間來改變?nèi)罩?��。值得注意的是�,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r間)����。
2 ^8 z# W8 c+ T+ [4 E- D, V提示:如果你一直在進(jìn)行著大量的日志工作,并且只有有限的時間和資源來對這些日志進(jìn)行分析���,我建議你將主要精力集中在記錄昨夜的連接請求的日志��。這部分日志毫無疑問會提供令人感興趣的��、異常的信息��。
1 k# \% f' s& r2 V& R. |& s' r3 `) Q+ x9 |! t
⒉入侵者使用何種操作系統(tǒng)���?8 n- x2 J. q$ t- `
入侵者使用的操作系統(tǒng)各不相同。UNIX是使用得最多的平臺����,其中包括FreeBSD和Linux。
. t9 w! `! l3 \⑴Sun
* C/ a2 t% ]6 Y' u* n入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當(dāng)常見�。因?yàn)榧词惯@些產(chǎn)品是需要許可證,它們也易獲得�����。一般而言��,使用這些平臺的入侵者都是學(xué)生����,因?yàn)樗麄兛衫密浖a(chǎn)品賣給教育部門和學(xué)生時可打很大的折扣這一優(yōu)勢。再者�,由于這些操作系統(tǒng)運(yùn)行在PC機(jī)上,所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇����。
" z2 V- Q8 v: `! I7 h⑵UNIX) K, M! ]8 I5 z+ I _# P+ t
UNIX平臺受歡迎的原因之一是它只耗費(fèi)系統(tǒng)一小部分資源�����。
! @ I& [) a' g, n# ~& v( q" H⑶Microsoft5 C7 X" h7 } x( k8 c& i
Microsoft平臺支持許多合法的安全工具���,而這些工具可被用于攻擊遠(yuǎn)程主機(jī)。因此�,越來越多的入侵者正在使用Windows NT。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具��;而且NT正變得越來越流行���,因?yàn)槿肭终咧浪麄儽仨毦ù似脚_���。由于NT成為更流行的Internet服務(wù)器的操作平臺,入侵者有必要知道如何入侵這些機(jī)器��。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性���。這樣���,你將看到利用NT作為入侵平臺的人會極劇增加。
1 n, g# m- K0 H& l) F% ]7 X9 @9 T+ I
⒊攻擊的源頭6 e, x/ o4 h& [9 [4 e6 f2 z/ R
數(shù)年前���,許多攻擊來源于大學(xué)�����,因?yàn)閺哪抢锬軐nternet進(jìn)行訪問�。大多數(shù)入侵者是年青人���,沒有其他的地方比在大學(xué)更容易上Internet了����。自然地��,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間�。同時,使用TCP/IP不像今天這樣簡單��。% e1 H- m6 B8 P3 P _7 f, Q) w+ c
如今形勢發(fā)生了巨大的變化���,入侵者可在他們的家里���、辦公室或車中入侵你的網(wǎng)絡(luò)。然而�����,這里也有一些規(guī)律。/ h5 y& q! c- o2 u2 N( q3 l4 q
) m, O7 K! d. u7 o+ F% t; k+ y⒋典型入侵者的特點(diǎn)3 z; A H: b* B, G% d' I; P
典型的入侵者至少具備下述幾個特點(diǎn):
+ t2 Y! K0 f8 r( u2 {6 q■能用C����、C++或Perl進(jìn)行編碼。因?yàn)樵S多基本的安全工具是用這些語言的某一種編寫的�����。至少入侵者能正確地解釋�����、編譯和執(zhí)行這些程序����。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上。同時他們還可能開發(fā)出可擴(kuò)展的工具來�����,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)����。4 t8 r9 Y2 R0 P6 e6 x
■對TCP/IP有透徹的了解�����,這是任何一個有能力的入侵者所必備的素質(zhì)��。至少一個入侵者必須知道Internet如何運(yùn)轉(zhuǎn)的���。
5 |' R/ ? Q1 Y! f) |■每月至少花50小時上Internet。經(jīng)驗(yàn)不可替代的��,入侵者必須要有豐富的經(jīng)驗(yàn)���。一些入侵者是Internet的癡迷者,常忍受著失眠的痛苦����。, W% X% [4 c) ]! ]
■有一份和計算機(jī)相關(guān)的工作。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中�����。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作�����。
+ t: d, d' L9 y9 y( E4 U# Z■收集老的、過時的但經(jīng)典的計算機(jī)硬件或軟件��。. p$ y/ g( i% F/ q' J
: a0 P# {) e' ~
⒌典型目標(biāo)的特征
! j" U; h- m* r. t& p" `) z很難說什么才是典型目標(biāo)�����,因?yàn)椴煌肭终邥虿煌脑蚨舨煌愋偷木W(wǎng)絡(luò)�����。然而一種常見的攻擊是小型的私有網(wǎng)����。因?yàn)椋?font class="jammer">8 r' p* d1 M) d( c$ v
■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段
% D {/ L8 u! t; F( j■其系統(tǒng)管理員更熟悉局域網(wǎng),而不是TCP/IP; ?- M, K# T: i6 |6 O% F& f/ `7 s
■其設(shè)備和軟件都很陳舊(可能是過時的)' c$ F, v% g; u! v
另一話題是熟悉性�。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng),但從入侵的角度來看�,他們通常僅了解某一個操作系統(tǒng)。很少的入侵者知道如何入侵多種平臺�����。, g5 M3 J x( `- U
. _# U7 ^, Q0 X% u+ c
大學(xué)是主要的攻擊對象��,部分原因是因?yàn)樗麄儞碛袠O強(qiáng)的運(yùn)算處理能力。
! N6 C2 {7 \7 f0 p另個原因是網(wǎng)絡(luò)用戶過多�。甚至在一個相對小的網(wǎng)段上就有幾百個用戶。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)�,極有可能從如此的帳號中獲得一個入侵帳號。其他常被攻擊的對象是政府網(wǎng)站����。$ W7 Z( f6 U) x, I
% S+ b' s" C/ p- d4 {& J {: B. w1 s⒍入侵者入侵的原因4 b9 ~+ M$ D) _: W* D$ M
■怨恨, ]' [- j# E3 j! n
■挑戰(zhàn)
' f2 b$ H) B: O; L3 X1 ~■愚蠢* S; y, K5 U2 g/ v6 \2 D5 M
■好奇: H7 G9 i7 g: ?* [( l
■政治目的3 t3 g+ ~" L0 U( _
所有的這些原因都是不道德的行為,此行為過頭后便觸犯了法律�。觸犯法律可帶來一些令人激動的感受,這種感受又能消極地影響你的原因����。
9 j0 Q- Q+ G' ^" F5 h2 ? J4 a0 Z% c0 N. r, `! p
⒎攻擊3 b! `; }) y- ]: U5 e( w! ?
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)。但我的觀點(diǎn)是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”����。即從一個入侵者開始在目標(biāo)機(jī)上工作的那個時間起���,攻擊就開始���。1 x% p# K* j8 F) b7 j3 V* V* I
可通過下面的文章了解入侵的事例:
6 F& K0 q0 p( ]0 `ftp://research.att.com/dist/internet_security/berferd.ps6 k( P. |' S" f
http://www.takedown.com/evidence/anklebiters/mlf/index.html
$ {7 l2 N* k9 m( y" i L( \http//www.alw.nih.gov/security/first/papers/general/holland.ps& J% j; ]/ [0 t _7 l
http://www.alw.nih.gov/security/first/papers/general/fuat.ps
( w4 e- [6 {) |http://www.alw.nih.gov/security/first/papers/general/hacker.txt' |1 ~% K3 v6 s; p
% n' k9 c7 Y; x" ]2 e. u⒏入侵層次索引9 O( m, o# L+ D: y- k( p( z
■郵件炸彈攻擊0 u# C" z0 \: u' Q
■簡單拒絕服務(wù)2 k9 X! b# k& S5 C9 y0 P' ?0 s$ Z+ n1 r1 f
■本地用戶獲得非授權(quán)讀訪問
. X p- ?4 ^6 b7 l8 D, x■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限
! z$ p7 h7 \+ R2 G; g X& x5 Z3 D■遠(yuǎn)程用戶獲得了非授權(quán)的帳號- M. X H, M9 Z6 Z
■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限! _6 {* T, j# B X1 p
■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限1 k( n( a, _7 Y, g+ x
■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡