本章闡述各種級(jí)別的攻擊����。“攻擊”是指任何的非授權(quán)行為��。這種行為的目的在于干擾����、破壞、摧毀你服務(wù)器的安全���。攻擊的范圍從簡(jiǎn)單地使某服務(wù)無(wú)效到完全破壞你的服務(wù)器�����。在你網(wǎng)絡(luò)上成功實(shí)施的攻擊的級(jí)別依賴于你采用的安全措施�����。# G8 a/ ~/ c6 [1 r
X% p+ u* g, U
⒈攻擊會(huì)發(fā)生在何時(shí)����?) t5 \ g7 s6 E4 K
大部分的攻擊(或至少是商業(yè)攻擊時(shí)間一般是服務(wù)器所在地的深夜�����。換句話說(shuō),如果你在洛杉磯而入侵者在倫敦�����,那么攻擊可能會(huì)發(fā)生在洛杉磯的深夜到早晨之間的幾個(gè)小時(shí)中�����。你也許認(rèn)為入侵者會(huì)在白天(目標(biāo)所在地的時(shí)間)發(fā)起攻擊��,因?yàn)榇罅康臄?shù)據(jù)傳輸能掩飾他們的行為��。有以下幾個(gè)原因說(shuō)明為什么入侵者避免大白天進(jìn)行攻擊:
. J4 ^# J8 j0 M/ _3 X9 f( P■客觀原因��。在白天��,大多數(shù)入侵者要工作�,上學(xué)或在其他環(huán)境中花費(fèi)時(shí)間,以至沒空進(jìn)行攻擊�。換句話就,這些人不能在整天坐在計(jì)算機(jī)前面�����。這和以前有所不同,以前的入侵者是一些坐中家中無(wú)所事事的人��。
: ^5 k. P+ ^5 @- d D■速度原因�。網(wǎng)絡(luò)正變得越來(lái)越擁擠��,因此最佳的工作時(shí)間是在網(wǎng)絡(luò)能提供高傳輸速度的時(shí)間速率的時(shí)間���。最佳的時(shí)間段會(huì)根據(jù)目標(biāo)機(jī)所在地的不同而不同����。 M @5 S9 E) m0 P. A% D
■保密原因���。假設(shè)在某時(shí)某入侵者發(fā)現(xiàn)了一個(gè)漏洞�����,就假定這個(gè)時(shí)間是早上11點(diǎn)�,并且此時(shí)有三個(gè)系統(tǒng)管理員正登錄在網(wǎng)上����。此時(shí),此入侵者能有何舉動(dòng)���?恐怕很少�,因?yàn)橄到y(tǒng)管理員一旦發(fā)現(xiàn)有異常行為。他們便會(huì)跟蹤而來(lái)���。
6 m8 L0 M6 q( u6 O入侵者總是喜歡攻擊那些沒有使用的機(jī)器�����。有一次我利用在曰本的一臺(tái)工作臺(tái)從事攻擊行為��,因?yàn)榭瓷先]有人在此機(jī)器上登錄過���。隨后,我便用那臺(tái)機(jī)器遠(yuǎn)程登錄回美國(guó)���。在羅馬我發(fā)現(xiàn)了一個(gè)新的ISP也出現(xiàn)類似的情況����。對(duì)于這類計(jì)算機(jī)����,你可以暫控制它,可按你的特殊要求對(duì)它進(jìn)行設(shè)置,而且你有充足的時(shí)間來(lái)改變?nèi)罩?���。值得注意的是,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對(duì)象的當(dāng)?shù)貢r(shí)間)�����。+ M1 ?8 q5 v( H
提示:如果你一直在進(jìn)行著大量的日志工作���,并且只有有限的時(shí)間和資源來(lái)對(duì)這些日志進(jìn)行分析,我建議你將主要精力集中在記錄昨夜的連接請(qǐng)求的日志���。這部分日志毫無(wú)疑問會(huì)提供令人感興趣的�、異常的信息�����。
0 L, e, z- Q5 Z' }2 x. F$ t Q. }7 ? T7 J3 a6 }( s# u5 d
⒉入侵者使用何種操作系統(tǒng)����?) ^* H* w5 @' J5 _3 E
入侵者使用的操作系統(tǒng)各不相同。UNIX是使用得最多的平臺(tái)�����,其中包括FreeBSD和Linux。
% Q* R# K. D$ Q6 O⑴Sun4 |: g! P1 B; n
入侵者將SolarisX86 或SCO作為使用平臺(tái)的現(xiàn)象相當(dāng)常見�。因?yàn)榧词惯@些產(chǎn)品是需要許可證,它們也易獲得��。一般而言���,使用這些平臺(tái)的入侵者都是學(xué)生���,因?yàn)樗麄兛衫密浖a(chǎn)品賣給教育部門和學(xué)生時(shí)可打很大的折扣這一優(yōu)勢(shì)。再者�����,由于這些操作系統(tǒng)運(yùn)行在PC機(jī)上����,所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇。
! B; s0 ^, a! [4 Q⑵UNIX
0 i3 b4 R \& F- ^8 jUNIX平臺(tái)受歡迎的原因之一是它只耗費(fèi)系統(tǒng)一小部分資源�。
, X' b7 ~6 @6 L ~0 S0 ?⑶Microsoft6 Y& d* T+ A& h, ~) t. H
Microsoft平臺(tái)支持許多合法的安全工具,而這些工具可被用于攻擊遠(yuǎn)程主機(jī)�。因此,越來(lái)越多的入侵者正在使用Windows NT��。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具;而且NT正變得越來(lái)越流行����,因?yàn)槿肭终咧浪麄儽仨毦ù似脚_(tái)。由于NT成為更流行的Internet服務(wù)器的操作平臺(tái)����,入侵者有必要知道如何入侵這些機(jī)器。而且安全人員將會(huì)開發(fā)工具來(lái)測(cè)試NT的內(nèi)部安全性���。這樣��,你將看到利用NT作為入侵平臺(tái)的人會(huì)極劇增加。) E/ x% Z, S# y5 d* t2 W& z
f9 S* M1 q+ Z9 t [: W' k⒊攻擊的源頭
; _0 h% E# |& y1 ]數(shù)年前�,許多攻擊來(lái)源于大學(xué),因?yàn)閺哪抢锬軐?duì)Internet進(jìn)行訪問����。大多數(shù)入侵者是年青人,沒有其他的地方比在大學(xué)更容易上Internet了�����。自然地�,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時(shí)間。同時(shí),使用TCP/IP不像今天這樣簡(jiǎn)單���。
1 w- ~0 e" y$ ~ ~8 b1 o如今形勢(shì)發(fā)生了巨大的變化�,入侵者可在他們的家里����、辦公室或車中入侵你的網(wǎng)絡(luò)。然而�,這里也有一些規(guī)律。
9 `6 [$ p( g, x# g' c- r" q
) Q; ]: M! K& \9 T5 `⒋典型入侵者的特點(diǎn)$ A- u# K1 g6 \7 b3 V
典型的入侵者至少具備下述幾個(gè)特點(diǎn):% J! n k: [8 Y2 y* d
■能用C�、C++或Perl進(jìn)行編碼。因?yàn)樵S多基本的安全工具是用這些語(yǔ)言的某一種編寫的�。至少入侵者能正確地解釋、編譯和執(zhí)行這些程序�����。更厲害的入侵者能把不專門為某特定某平臺(tái)開發(fā)的工具移植到他用的平臺(tái)上����。同時(shí)他們還可能開發(fā)出可擴(kuò)展的工具來(lái),如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)�。& l2 g' g3 E& {) b/ b$ @5 w+ U0 m
■對(duì)TCP/IP有透徹的了解,這是任何一個(gè)有能力的入侵者所必備的素質(zhì)��。至少一個(gè)入侵者必須知道Internet如何運(yùn)轉(zhuǎn)的。
8 @! X: M3 |: A■每月至少花50小時(shí)上Internet��。經(jīng)驗(yàn)不可替代的��,入侵者必須要有豐富的經(jīng)驗(yàn)����。一些入侵者是Internet的癡迷者,常忍受著失眠的痛苦�。( V0 W5 F7 u9 k: o3 I P& O. i
■有一份和計(jì)算機(jī)相關(guān)的工作。并不是每個(gè)入侵者都是把一天中的大部分時(shí)間投入到入侵行為中����。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作。
5 E9 t9 `1 q. }' M4 z■收集老的��、過時(shí)的但經(jīng)典的計(jì)算機(jī)硬件或軟件�����。
, S0 A$ q* _* |9 u7 c) d$ [0 ]1 k& t. o% {) E! l0 O; w
⒌典型目標(biāo)的特征
! M0 ~1 s5 n. |" _! L0 S很難說(shuō)什么才是典型目標(biāo)�����,因?yàn)椴煌肭终邥?huì)因不同的原因而攻擊不同類型的網(wǎng)絡(luò)�����。然而一種常見的攻擊是小型的私有網(wǎng)��。因?yàn)椋?br />
; U1 Y. L% o: D4 t3 K0 X% E■網(wǎng)絡(luò)的擁有者們對(duì)Internet的使用還處于入門階段
9 x* M+ N& k4 m ?7 E* v, Y■其系統(tǒng)管理員更熟悉局域網(wǎng)��,而不是TCP/IP" K: x' d Q% t8 r7 V
■其設(shè)備和軟件都很陳舊(可能是過時(shí)的)
% W# Y# u0 ~& |( P另一話題是熟悉性����。絕大多數(shù)入侵者從使用的角度而言能熟知兩個(gè)或多個(gè)操作系統(tǒng),但從入侵的角度來(lái)看���,他們通常僅了解某一個(gè)操作系統(tǒng)��。很少的入侵者知道如何入侵多種平臺(tái)���。- g% D+ O. o$ I0 s2 r: W# @2 O
2 ~ N0 Y# a! B/ h! i1 C( C大學(xué)是主要的攻擊對(duì)象,部分原因是因?yàn)樗麄儞碛袠O強(qiáng)的運(yùn)算處理能力����。
; K2 F" ?& j+ B! Y" q; N另個(gè)原因是網(wǎng)絡(luò)用戶過多。甚至在一個(gè)相對(duì)小的網(wǎng)段上就有幾百個(gè)用戶����。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)��,極有可能從如此的帳號(hào)中獲得一個(gè)入侵帳號(hào)��。其他常被攻擊的對(duì)象是政府網(wǎng)站�����。
3 n8 G2 F0 Q) x7 T0 }0 n4 ^& t( w. A9 v1 c
⒍入侵者入侵的原因3 H+ j( M |: K" v) }% Q, p
■怨恨
O4 g2 _. U+ Y5 M5 C+ c1 B5 k■挑戰(zhàn)
( O3 d5 d! n% ~1 J, A% @■愚蠢
) X& R4 T; q; X$ I+ h& c■好奇
8 a2 O8 C2 j+ w- b! J; r& M■政治目的( A$ w+ ?$ y+ D9 x; X8 B
所有的這些原因都是不道德的行為�����,此行為過頭后便觸犯了法律���。觸犯法律可帶來(lái)一些令人激動(dòng)的感受,這種感受又能消極地影響你的原因��。' c ]- h6 ]5 Q4 [+ a
! e" F; x! a4 T0 h) ^) W# R⒎攻擊
- i1 M, l4 \, A' f) ~攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)�����。但我的觀點(diǎn)是可能使一個(gè)網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”�。即從一個(gè)入侵者開始在目標(biāo)機(jī)上工作的那個(gè)時(shí)間起���,攻擊就開始�����。& T- I, D7 F1 V% W# S( S+ X5 b
可通過下面的文章了解入侵的事例: x! e _0 q- g: y
ftp://research.att.com/dist/internet_security/berferd.ps/ t- A5 q# H4 I( _) Q
http://www.takedown.com/evidence/anklebiters/mlf/index.html p) w! ?- S, t/ R! ^4 b) @
http//www.alw.nih.gov/security/first/papers/general/holland.ps
j6 R, k8 @4 M: Ahttp://www.alw.nih.gov/security/first/papers/general/fuat.ps K+ o6 ]6 U. y' m# J+ I
http://www.alw.nih.gov/security/first/papers/general/hacker.txt
1 @ a+ ?! v* N3 c2 E U) _2 V. y. c1 n: [) r
⒏入侵層次索引 A$ A+ C% ]" V
■郵件炸彈攻擊& W5 U4 J0 X |/ H
■簡(jiǎn)單拒絕服務(wù)% B) n* n/ A7 Y
■本地用戶獲得非授權(quán)讀訪問 \( |$ y8 |) S$ u" g0 o
■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限9 e7 O! N; C- u
■遠(yuǎn)程用戶獲得了非授權(quán)的帳號(hào)* F$ E! k: C6 g6 y7 [
■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限
# L8 U9 W& }' c" j* i. K6 T; S* ?3 J■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限
4 n( i5 f# p9 f. ?& J■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡