本章闡述各種級別的攻擊?!肮簟笔侵溉魏蔚姆鞘跈嘈袨椤_@種行為的目的在于干擾��、破壞����、摧毀你服務器的安全����。攻擊的范圍從簡單地使某服務無效到完全破壞你的服務器�����。在你網(wǎng)絡上成功實施的攻擊的級別依賴于你采用的安全措施����。' C& W* d% A9 A% W" X3 o* B$ ^" P
7 \, H% z D0 j* ^) F6 B6 H* t⒈攻擊會發(fā)生在何時?3 e4 X9 F) Z7 }; y- ^; r1 P
大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務器所在地的深夜���。換句話說��,如果你在洛杉磯而入侵者在倫敦�,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中����。你也許認為入侵者會在白天(目標所在地的時間)發(fā)起攻擊,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為���。有以下幾個原因說明為什么入侵者避免大白天進行攻擊:
9 x0 _) F6 a O■客觀原因。在白天��,大多數(shù)入侵者要工作,上學或在其他環(huán)境中花費時間��,以至沒空進行攻擊�����。換句話就�,這些人不能在整天坐在計算機前面。這和以前有所不同�,以前的入侵者是一些坐中家中無所事事的人。0 C6 D0 v+ m9 ]6 t x
■速度原因�。網(wǎng)絡正變得越來越擁擠,因此最佳的工作時間是在網(wǎng)絡能提供高傳輸速度的時間速率的時間��。最佳的時間段會根據(jù)目標機所在地的不同而不同���。
5 a5 Z7 l2 `! ?; D/ Z4 Z3 Z% |. p■保密原因���。假設在某時某入侵者發(fā)現(xiàn)了一個漏洞,就假定這個時間是早上11點��,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上�。此時,此入侵者能有何舉動?恐怕很少���,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為�����。他們便會跟蹤而來�����。
- p1 [ K$ }9 a( [3 G# d& R" ^/ f) L* a' H入侵者總是喜歡攻擊那些沒有使用的機器�。有一次我利用在曰本的一臺工作臺從事攻擊行為��,因為看上去沒有人在此機器上登錄過���。隨后���,我便用那臺機器遠程登錄回美國。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況�。對于這類計算機,你可以暫控制它�����,可按你的特殊要求對它進行設置,而且你有充足的時間來改變?nèi)罩?����。值得注意的是�,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當?shù)貢r間)����。/ B/ ]0 E2 V- Q& x+ ^8 Z* z& E
提示:如果你一直在進行著大量的日志工作,并且只有有限的時間和資源來對這些日志進行分析�,我建議你將主要精力集中在記錄昨夜的連接請求的日志。這部分日志毫無疑問會提供令人感興趣的��、異常的信息�����。
- d9 D& Z- Q- ]
' ]' O: |3 ^; T1 {1 X⒉入侵者使用何種操作系統(tǒng)�����?
% w9 I- s; a) u& G# `& d入侵者使用的操作系統(tǒng)各不相同�。UNIX是使用得最多的平臺,其中包括FreeBSD和Linux����。
: e+ B& ?9 h h+ i⑴Sun
; ?4 g# j+ Q3 K/ G入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當常見�。因為即使這些產(chǎn)品是需要許可證�����,它們也易獲得���。一般而言����,使用這些平臺的入侵者都是學生�����,因為他們可利用軟件產(chǎn)品賣給教育部門和學生時可打很大的折扣這一優(yōu)勢����。再者,由于這些操作系統(tǒng)運行在PC機上�����,所以這些操作系統(tǒng)是更經(jīng)濟的選擇���。
5 P# V$ _/ d" a- t+ _0 ]8 L⑵UNIX" B( B. I, g- {5 ]
UNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源�����。/ |( H1 t ]5 k( J9 X; Q
⑶Microsoft
+ C/ V; [4 q$ i1 P/ x O- x+ cMicrosoft平臺支持許多合法的安全工具��,而這些工具可被用于攻擊遠程主機�����。因此����,越來越多的入侵者正在使用Windows NT��。Windows Nt的性能遠遠超過Windows 95并有許多用于網(wǎng)絡的先進工具����;而且NT正變得越來越流行,因為入侵者知道他們必須精通此平臺���。由于NT成為更流行的Internet服務器的操作平臺��,入侵者有必要知道如何入侵這些機器����。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性。這樣����,你將看到利用NT作為入侵平臺的人會極劇增加。
' j8 l x0 Y |3 t" R8 |- f4 {( ]3 r" y0 F6 X* c- C. l
⒊攻擊的源頭' d5 A9 ^8 |# P: o+ s4 R
數(shù)年前��,許多攻擊來源于大學����,因為從那里能對Internet進行訪問。大多數(shù)入侵者是年青人�����,沒有其他的地方比在大學更容易上Internet了�。自然地,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間��。同時�,使用TCP/IP不像今天這樣簡單。
% W. r2 C. F/ K" a- t3 _如今形勢發(fā)生了巨大的變化�����,入侵者可在他們的家里、辦公室或車中入侵你的網(wǎng)絡��。然而�,這里也有一些規(guī)律。1 @" m. Y i* c
; R) i$ s: o. S% ^2 y( ?9 `⒋典型入侵者的特點1 [+ j/ K2 ^% _# I( Y: W* u
典型的入侵者至少具備下述幾個特點:
, i/ U# o& ?- ?* q- M0 t■能用C��、C++或Perl進行編碼���。因為許多基本的安全工具是用這些語言的某一種編寫的。至少入侵者能正確地解釋��、編譯和執(zhí)行這些程序���。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上��。同時他們還可能開發(fā)出可擴展的工具來�,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)���。3 s8 _; Y6 c) J
■對TCP/IP有透徹的了解����,這是任何一個有能力的入侵者所必備的素質�����。至少一個入侵者必須知道Internet如何運轉的。
( u$ }3 s5 ~+ L. n% P■每月至少花50小時上Internet����。經(jīng)驗不可替代的,入侵者必須要有豐富的經(jīng)驗�����。一些入侵者是Internet的癡迷者���,常忍受著失眠的痛苦�����。
! ?2 C3 L/ u7 F! y/ l- {5 c3 {5 @■有一份和計算機相關的工作����。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中����。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作。6 X0 p9 k* l9 d3 t' D
■收集老的、過時的但經(jīng)典的計算機硬件或軟件�����。0 A% M; a. |( M& r
' X) \! h" I$ p
⒌典型目標的特征/ o( g- `3 w+ Y g$ R
很難說什么才是典型目標����,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡。然而一種常見的攻擊是小型的私有網(wǎng)���。因為:/ E5 U' ^8 ^2 s! ?; o
■網(wǎng)絡的擁有者們對Internet的使用還處于入門階段5 [* ]. u* t8 v$ b. z+ t% D" K
■其系統(tǒng)管理員更熟悉局域網(wǎng)�����,而不是TCP/IP* P& E" M9 ~7 @( S
■其設備和軟件都很陳舊(可能是過時的)
6 Y6 ]1 X. u: R4 Y! ]7 r. x3 A, U另一話題是熟悉性�����。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng),但從入侵的角度來看���,他們通常僅了解某一個操作系統(tǒng)�。很少的入侵者知道如何入侵多種平臺��。
* Q: f( q+ u$ L* D6 g, y/ X! I: E( J# X2 z
大學是主要的攻擊對象,部分原因是因為他們擁有極強的運算處理能力��。
6 F6 ^8 F3 U6 Z, H% j另個原因是網(wǎng)絡用戶過多���。甚至在一個相對小的網(wǎng)段上就有幾百個用戶���。管理這種大型網(wǎng)絡是一件困難的任務,極有可能從如此的帳號中獲得一個入侵帳號�。其他常被攻擊的對象是政府網(wǎng)站。
8 l6 v' Q& s- Z& z3 Q" d
$ L4 G: @* z. E! F! v; H⒍入侵者入侵的原因( Y/ [) a" d) k L
■怨恨: Y8 ]4 c% p. J: z8 B; @& A
■挑戰(zhàn)
( p0 S* P& w0 w* Y/ K" L, f; s■愚蠢4 m5 M" |8 K1 G1 K3 X% m! T8 p
■好奇4 m0 d, B% c0 U" L5 Z1 L2 z
■政治目的# x, A, r/ V! U. c; K
所有的這些原因都是不道德的行為����,此行為過頭后便觸犯了法律。觸犯法律可帶來一些令人激動的感受�����,這種感受又能消極地影響你的原因���。& v0 \# X2 E; E" z
$ M' v$ y% [$ e' o* }- k1 z
⒎攻擊: B0 U9 Y/ U1 ~! P" I( u
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標網(wǎng)絡內(nèi)����。但我的觀點是可能使一個網(wǎng)絡受到破壞的所有行為都應稱為“攻擊”�����。即從一個入侵者開始在目標機上工作的那個時間起,攻擊就開始��。9 f' D* f* w$ D6 U2 u3 q% n" y
可通過下面的文章了解入侵的事例:
/ E$ k& U, U; bftp://research.att.com/dist/internet_security/berferd.ps, M: T+ Q. ?% W
http://www.takedown.com/evidence/anklebiters/mlf/index.html
& @3 G% ~, A( u. jhttp//www.alw.nih.gov/security/first/papers/general/holland.ps
@& S, x$ J0 S' v7 Chttp://www.alw.nih.gov/security/first/papers/general/fuat.ps9 ^0 s @1 [; g0 {4 A; I
http://www.alw.nih.gov/security/first/papers/general/hacker.txt" ?) {0 Y& Y- l; N
: E: j0 _# S( E4 `1 _$ E
⒏入侵層次索引
4 e0 {* g; n# i/ g■郵件炸彈攻擊8 }2 U6 z" Q6 U7 X" M
■簡單拒絕服務
% j" `# @" V/ a■本地用戶獲得非授權讀訪問
4 P4 I$ P( P+ W% r8 E& h■本地用戶獲得他們本不應擁有的文件的寫權限
% v0 p6 s3 a/ E■遠程用戶獲得了非授權的帳號0 A# e5 M" P. n* ^6 a4 Q
■遠程用戶獲得了特權文件的讀權限% B8 |; G# F, M q7 l/ @! o
■遠程用戶獲得了特權文件的寫權限. V( b& s" H* v; Y
■遠程用戶擁有了根權限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-12 16:32:43
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡