本章闡述各種級別的攻擊����。“攻擊”是指任何的非授權(quán)行為���。這種行為的目的在于干擾�����、破壞����、摧毀你服務(wù)器的安全。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器���。在你網(wǎng)絡(luò)上成功實施的攻擊的級別依賴于你采用的安全措施�����。
; S" i4 E4 s1 y2 }
6 n/ ]# [6 r$ ^6 G⒈攻擊會發(fā)生在何時�?
3 v8 f6 e2 x4 U* i* L. H大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜���。換句話說���,如果你在洛杉磯而入侵者在倫敦,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中�����。你也許認為入侵者會在白天(目標所在地的時間)發(fā)起攻擊��,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為����。有以下幾個原因說明為什么入侵者避免大白天進行攻擊:9 F H3 {# s/ R* G$ }
■客觀原因��。在白天���,大多數(shù)入侵者要工作,上學或在其他環(huán)境中花費時間��,以至沒空進行攻擊�。換句話就,這些人不能在整天坐在計算機前面�。這和以前有所不同,以前的入侵者是一些坐中家中無所事事的人����。
, @4 J1 a+ N U" A! C: z3 w, Z% m■速度原因���。網(wǎng)絡(luò)正變得越來越擁擠���,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間。最佳的時間段會根據(jù)目標機所在地的不同而不同���。
! a! w' n5 h3 j+ H! J: O■保密原因�。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞�,就假定這個時間是早上11點�����,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上����。此時���,此入侵者能有何舉動�?恐怕很少�����,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為�����。他們便會跟蹤而來���。
5 ]9 {/ f4 y. o0 s- O, ~入侵者總是喜歡攻擊那些沒有使用的機器�����。有一次我利用在曰本的一臺工作臺從事攻擊行為�,因為看上去沒有人在此機器上登錄過。隨后���,我便用那臺機器遠程登錄回美國��。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況��。對于這類計算機��,你可以暫控制它���,可按你的特殊要求對它進行設(shè)置,而且你有充足的時間來改變?nèi)罩?�。值得注意的是���,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當?shù)貢r間)���。
7 t2 v( n* s. q# H4 J0 W4 q提示:如果你一直在進行著大量的日志工作�����,并且只有有限的時間和資源來對這些日志進行分析,我建議你將主要精力集中在記錄昨夜的連接請求的日志���。這部分日志毫無疑問會提供令人感興趣的����、異常的信息���。, T' G8 l- J: a7 _- U3 h) T
7 j9 v# [4 L7 I) Z
⒉入侵者使用何種操作系統(tǒng)�?2 Y; p+ b4 t5 n1 Y- K$ e' F+ W
入侵者使用的操作系統(tǒng)各不相同���。UNIX是使用得最多的平臺��,其中包括FreeBSD和Linux����。6 S( s {$ {- w1 a8 ]: i5 O$ h9 u/ Y
⑴Sun$ U2 B L& q8 x
入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當常見���。因為即使這些產(chǎn)品是需要許可證�,它們也易獲得���。一般而言���,使用這些平臺的入侵者都是學生���,因為他們可利用軟件產(chǎn)品賣給教育部門和學生時可打很大的折扣這一優(yōu)勢。再者��,由于這些操作系統(tǒng)運行在PC機上��,所以這些操作系統(tǒng)是更經(jīng)濟的選擇���。
U n7 a' U6 g⑵UNIX
6 T2 h) D. `5 [$ U' D4 HUNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源��。
4 R: N1 a# d D2 K# @% ~) b, C! m- L⑶Microsoft
, c0 G, N/ h7 }4 w$ pMicrosoft平臺支持許多合法的安全工具���,而這些工具可被用于攻擊遠程主機。因此���,越來越多的入侵者正在使用Windows NT��。Windows Nt的性能遠遠超過Windows 95并有許多用于網(wǎng)絡(luò)的先進工具��;而且NT正變得越來越流行�,因為入侵者知道他們必須精通此平臺����。由于NT成為更流行的Internet服務(wù)器的操作平臺,入侵者有必要知道如何入侵這些機器�����。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性��。這樣�,你將看到利用NT作為入侵平臺的人會極劇增加。
4 M( U) {* B/ ]6 t% B: C3 ?. r. C+ i: b: J) L6 `, S
⒊攻擊的源頭
2 v, ^/ E5 \1 D: x數(shù)年前�,許多攻擊來源于大學,因為從那里能對Internet進行訪問�。大多數(shù)入侵者是年青人,沒有其他的地方比在大學更容易上Internet了���。自然地�,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間��。同時�,使用TCP/IP不像今天這樣簡單。
7 g3 [0 T8 M: q( r/ }/ r* s如今形勢發(fā)生了巨大的變化��,入侵者可在他們的家里����、辦公室或車中入侵你的網(wǎng)絡(luò)�。然而���,這里也有一些規(guī)律����。
1 ^0 Z4 E- p4 M9 @1 p
1 \& l8 ?- c8 e( r5 ^' f* V2 T⒋典型入侵者的特點
% O6 M3 e: ~8 ~/ \典型的入侵者至少具備下述幾個特點:
" |3 Q1 G! x# @0 Y2 |: G. F■能用C���、C++或Perl進行編碼����。因為許多基本的安全工具是用這些語言的某一種編寫的���。至少入侵者能正確地解釋�、編譯和執(zhí)行這些程序�。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上。同時他們還可能開發(fā)出可擴展的工具來��,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)�。/ [3 u. e( _, _2 b
■對TCP/IP有透徹的了解,這是任何一個有能力的入侵者所必備的素質(zhì)����。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的。+ u0 c/ a9 Q# i) v9 k; v
■每月至少花50小時上Internet�。經(jīng)驗不可替代的,入侵者必須要有豐富的經(jīng)驗��。一些入侵者是Internet的癡迷者����,常忍受著失眠的痛苦。
" ]8 N4 }; i: u) D! X! q■有一份和計算機相關(guān)的工作�����。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中�。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作。
0 B3 ^- ]* [ o5 c■收集老的���、過時的但經(jīng)典的計算機硬件或軟件��。1 k+ u+ C- Z$ X4 r2 h
7 v) e7 ~ a, w# m {5 M
⒌典型目標的特征
1 s6 q/ U9 X' B' X. N很難說什么才是典型目標���,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡(luò)。然而一種常見的攻擊是小型的私有網(wǎng)��。因為:6 m& F2 s7 E, R
■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段
# S+ L' E! D, |) e! `4 _7 w z! P■其系統(tǒng)管理員更熟悉局域網(wǎng),而不是TCP/IP
8 K, f4 ], {/ W■其設(shè)備和軟件都很陳舊(可能是過時的)3 _8 g$ d. v4 ~# n
另一話題是熟悉性��。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)���,但從入侵的角度來看����,他們通常僅了解某一個操作系統(tǒng)���。很少的入侵者知道如何入侵多種平臺�����。+ o9 m: O1 L$ ]% D$ _
/ n) e7 R7 n, O大學是主要的攻擊對象����,部分原因是因為他們擁有極強的運算處理能力�����。 q6 z: G: G4 a, }
另個原因是網(wǎng)絡(luò)用戶過多�����。甚至在一個相對小的網(wǎng)段上就有幾百個用戶。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)��,極有可能從如此的帳號中獲得一個入侵帳號��。其他常被攻擊的對象是政府網(wǎng)站��。* y3 X9 b$ _& Y$ A, G) l: o2 G
2 N! A6 U2 v: p. R
⒍入侵者入侵的原因5 Y6 E+ L G8 s# a: R @
■怨恨4 ]) v8 B& U2 X- b7 ^: s
■挑戰(zhàn)
9 |$ g2 U' U D■愚蠢3 z6 s- N% P5 i0 ]) t/ F
■好奇3 p( V3 K a! B! [
■政治目的, }& H4 Q. b2 L
所有的這些原因都是不道德的行為�����,此行為過頭后便觸犯了法律��。觸犯法律可帶來一些令人激動的感受�����,這種感受又能消極地影響你的原因��。
& z+ G1 r% g* e$ _: q- ]; e( s
4 X e* D9 h/ D3 g% @9 [⒎攻擊: u5 ?* U% w( I) U1 p
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標網(wǎng)絡(luò)內(nèi)�����。但我的觀點是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”����。即從一個入侵者開始在目標機上工作的那個時間起,攻擊就開始�����。% D# B6 ~8 d# L* _! c6 _3 j
可通過下面的文章了解入侵的事例:- D8 N( ~/ d3 W/ D6 t' L
ftp://research.att.com/dist/internet_security/berferd.ps
7 j& v0 e- J+ H+ j) @$ [8 X" uhttp://www.takedown.com/evidence/anklebiters/mlf/index.html
. h1 [4 w" b# O4 \) whttp//www.alw.nih.gov/security/first/papers/general/holland.ps' b7 s4 q0 T9 V1 G( E) p
http://www.alw.nih.gov/security/first/papers/general/fuat.ps7 i7 i5 R. l/ n+ h: t
http://www.alw.nih.gov/security/first/papers/general/hacker.txt
1 o( L4 |4 v5 s! W0 W" M0 |: g3 v9 E% B" c8 N9 [. \6 e
⒏入侵層次索引
5 _& g+ g8 p' r5 ^4 X. |" e■郵件炸彈攻擊
* Q3 V% C( V& l. P4 ]$ P■簡單拒絕服務(wù)
7 L. `; p. G$ {5 a. F/ c■本地用戶獲得非授權(quán)讀訪問
1 v2 k0 @( J- H' `■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限
. f# }0 f$ N P■遠程用戶獲得了非授權(quán)的帳號4 Q- P* x' o# X. |2 _' {( k0 o( f
■遠程用戶獲得了特權(quán)文件的讀權(quán)限
6 j* D9 w! c0 \8 s' H+ X+ ~■遠程用戶獲得了特權(quán)文件的寫權(quán)限
/ U2 M K- j \■遠程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡