本章闡述各種級別的攻擊��?!肮簟笔侵溉魏蔚姆鞘跈?quán)行為。這種行為的目的在于干擾�����、破壞�����、摧毀你服務(wù)器的安全��。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器�����。在你網(wǎng)絡(luò)上成功實施的攻擊的級別依賴于你采用的安全措施。
. |4 l! F+ S5 N4 w. A, _# J. W n) s4 f! }
⒈攻擊會發(fā)生在何時����?
. H x7 K2 ^+ K: G d1 |$ x大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜。換句話說���,如果你在洛杉磯而入侵者在倫敦����,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中��。你也許認(rèn)為入侵者會在白天(目標(biāo)所在地的時間)發(fā)起攻擊����,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為����。有以下幾個原因說明為什么入侵者避免大白天進(jìn)行攻擊:/ G% t% h8 N* Q) ?3 O8 s R
■客觀原因。在白天��,大多數(shù)入侵者要工作���,上學(xué)或在其他環(huán)境中花費時間�,以至沒空進(jìn)行攻擊。換句話就�,這些人不能在整天坐在計算機(jī)前面。這和以前有所不同����,以前的入侵者是一些坐中家中無所事事的人。" p. ?, m6 y9 j! I
■速度原因���。網(wǎng)絡(luò)正變得越來越擁擠�,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間���。最佳的時間段會根據(jù)目標(biāo)機(jī)所在地的不同而不同�。" B# k3 J7 Q: |6 O" b$ G6 h
■保密原因��。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞���,就假定這個時間是早上11點����,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上�。此時,此入侵者能有何舉動?恐怕很少�,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為。他們便會跟蹤而來�����。. ?7 M; S! z6 f' Z+ o: u% {
入侵者總是喜歡攻擊那些沒有使用的機(jī)器�����。有一次我利用在曰本的一臺工作臺從事攻擊行為��,因為看上去沒有人在此機(jī)器上登錄過��。隨后�����,我便用那臺機(jī)器遠(yuǎn)程登錄回美國��。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況�����。對于這類計算機(jī)�����,你可以暫控制它�����,可按你的特殊要求對它進(jìn)行設(shè)置�����,而且你有充足的時間來改變?nèi)罩?�。值得注意的是�����,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r間)�����。4 N5 C' G, \; W% ~8 n* {
提示:如果你一直在進(jìn)行著大量的日志工作�����,并且只有有限的時間和資源來對這些日志進(jìn)行分析��,我建議你將主要精力集中在記錄昨夜的連接請求的日志。這部分日志毫無疑問會提供令人感興趣的����、異常的信息。8 F# p" m6 B9 V; s5 D5 f2 S* `
/ @8 v$ R8 }: v6 I% G7 G. X⒉入侵者使用何種操作系統(tǒng)����?
! [ N* D7 }" \ X! A h' Z入侵者使用的操作系統(tǒng)各不相同。UNIX是使用得最多的平臺����,其中包括FreeBSD和Linux。
- A% P* ~; |0 A0 G! H" Q" \, h7 K⑴Sun
+ X' `# e2 d$ ], p- \( ]入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當(dāng)常見�����。因為即使這些產(chǎn)品是需要許可證�,它們也易獲得。一般而言�����,使用這些平臺的入侵者都是學(xué)生����,因為他們可利用軟件產(chǎn)品賣給教育部門和學(xué)生時可打很大的折扣這一優(yōu)勢。再者��,由于這些操作系統(tǒng)運行在PC機(jī)上��,所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇����。% T: k8 x2 s5 y. U' o/ ~* Z
⑵UNIX$ N1 Y) ?2 m5 z% M2 R
UNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源。
8 c& B- ~/ u$ `- d⑶Microsoft
" m- G1 j: f1 w/ x+ M6 @1 |Microsoft平臺支持許多合法的安全工具����,而這些工具可被用于攻擊遠(yuǎn)程主機(jī)。因此�,越來越多的入侵者正在使用Windows NT。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具��;而且NT正變得越來越流行����,因為入侵者知道他們必須精通此平臺。由于NT成為更流行的Internet服務(wù)器的操作平臺���,入侵者有必要知道如何入侵這些機(jī)器��。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性����。這樣,你將看到利用NT作為入侵平臺的人會極劇增加���。7 R! @& n3 _8 h/ f! l) f
6 t4 {9 x; a& D8 K$ k( e⒊攻擊的源頭
9 |- v3 m8 l5 A, }' a數(shù)年前�����,許多攻擊來源于大學(xué)�����,因為從那里能對Internet進(jìn)行訪問����。大多數(shù)入侵者是年青人���,沒有其他的地方比在大學(xué)更容易上Internet了���。自然地,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間��。同時�����,使用TCP/IP不像今天這樣簡單����。
! b( R8 l6 e9 w6 g! i$ N2 S如今形勢發(fā)生了巨大的變化,入侵者可在他們的家里����、辦公室或車中入侵你的網(wǎng)絡(luò)。然而��,這里也有一些規(guī)律����。
2 I: Z t% T# w: @0 P7 B2 _# T4 E8 H5 d5 B
⒋典型入侵者的特點
% z0 C( F$ j% t/ n3 i# I8 m% A1 w典型的入侵者至少具備下述幾個特點:
1 @% z! u5 m/ M6 H) k9 S! b8 V1 s■能用C、C++或Perl進(jìn)行編碼�����。因為許多基本的安全工具是用這些語言的某一種編寫的����。至少入侵者能正確地解釋、編譯和執(zhí)行這些程序�。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上����。同時他們還可能開發(fā)出可擴(kuò)展的工具來�����,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)�����。
$ ^. F/ v7 _; K ]■對TCP/IP有透徹的了解����,這是任何一個有能力的入侵者所必備的素質(zhì)。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的��。
2 C' l f9 h9 ~2 d- p8 U! Y" N! h9 N■每月至少花50小時上Internet��。經(jīng)驗不可替代的�,入侵者必須要有豐富的經(jīng)驗。一些入侵者是Internet的癡迷者�����,常忍受著失眠的痛苦���。
3 Q o+ w: N0 a■有一份和計算機(jī)相關(guān)的工作�。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作���。
& Y/ q3 a S; W* E3 d■收集老的、過時的但經(jīng)典的計算機(jī)硬件或軟件�����。% N F$ I4 z: g
' m6 P Z: M% ?& e! |⒌典型目標(biāo)的特征
$ c9 I. A$ h& X8 Z& B4 k很難說什么才是典型目標(biāo)����,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡(luò)。然而一種常見的攻擊是小型的私有網(wǎng)�����。因為:& x2 B3 \. j2 x* X% K& b$ C+ q1 d
■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段$ o; J" s% |" G9 b1 K) F$ d
■其系統(tǒng)管理員更熟悉局域網(wǎng)�,而不是TCP/IP
. M/ ^! y [- y& p3 l+ V* j■其設(shè)備和軟件都很陳舊(可能是過時的)* c* R9 ^3 g7 p. B) ^5 b# c
另一話題是熟悉性。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)��,但從入侵的角度來看�����,他們通常僅了解某一個操作系統(tǒng)。很少的入侵者知道如何入侵多種平臺�����。: _0 h+ q; W! y/ D. `! U( v! A
8 _% c8 S4 t& @; {1 n5 H; ^5 w
大學(xué)是主要的攻擊對象�����,部分原因是因為他們擁有極強(qiáng)的運算處理能力���。
4 {/ L6 [3 F* u8 L% S另個原因是網(wǎng)絡(luò)用戶過多��。甚至在一個相對小的網(wǎng)段上就有幾百個用戶���。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù),極有可能從如此的帳號中獲得一個入侵帳號�����。其他常被攻擊的對象是政府網(wǎng)站�。
; p9 I0 \8 e8 k% A! M
7 O" z8 L6 U: S9 | q( ]1 W9 Y- U⒍入侵者入侵的原因& x/ I7 H- W( H$ T) ^7 @3 W* Q
■怨恨
( ?1 q7 R, ~. T/ u' A■挑戰(zhàn)+ l, e/ \0 c0 x- D* t
■愚蠢
$ v) D1 g+ f1 n; U# u3 u■好奇
s0 Q) a' ~, D$ I) }7 `0 V' O■政治目的
e! ^& `% ~1 T4 I# {9 z所有的這些原因都是不道德的行為,此行為過頭后便觸犯了法律��。觸犯法律可帶來一些令人激動的感受,這種感受又能消極地影響你的原因��。+ c9 M( V$ C k' h1 u/ u0 [
8 t7 v5 N3 O6 x5 A) T# k! {) ]⒎攻擊6 ~! d7 Q$ k& G/ i; e
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)�����。但我的觀點是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”�����。即從一個入侵者開始在目標(biāo)機(jī)上工作的那個時間起�,攻擊就開始���。9 J1 K9 V# {+ i o4 n* O
可通過下面的文章了解入侵的事例:
r! N1 x; ~ `& n2 A! sftp://research.att.com/dist/internet_security/berferd.ps9 z1 s8 i! w- x
http://www.takedown.com/evidence/anklebiters/mlf/index.html
# @! x; ]* E l, X3 Fhttp//www.alw.nih.gov/security/first/papers/general/holland.ps
0 w7 [9 P; I: l+ J9 T' Chttp://www.alw.nih.gov/security/first/papers/general/fuat.ps
8 T0 G- ^. Q7 V. I. e+ _http://www.alw.nih.gov/security/first/papers/general/hacker.txt
. m3 D! u5 _" W2 X4 t' M" v! C! V6 }6 K- q
⒏入侵層次索引3 N* X9 ]% k& t" g$ d
■郵件炸彈攻擊3 ]7 _7 q; M, h7 A/ _# G
■簡單拒絕服務(wù)
3 ?% P. F6 E5 H8 E D1 }■本地用戶獲得非授權(quán)讀訪問& t& x" c0 g$ Z/ C2 [6 K! A3 i
■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限1 v& Q* |% R! _ @) R9 ]( _4 A
■遠(yuǎn)程用戶獲得了非授權(quán)的帳號
2 Y* C( O, V( |. ], h■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限* @$ @; b [+ }2 x- u% }( ?
■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限8 [6 A7 I- _ p4 P( x* [
■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-12 16:32:43
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡