本章闡述各種級別的攻擊����?���!肮簟笔侵溉魏蔚姆鞘跈?quán)行為。這種行為的目的在于干擾�����、破壞�、摧毀你服務(wù)器的安全。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器�。在你網(wǎng)絡(luò)上成功實施的攻擊的級別依賴于你采用的安全措施。
5 ]$ v0 q1 K f0 n3 g! D. K2 O3 G! I$ @6 m
⒈攻擊會發(fā)生在何時�?" ?* q0 e% E1 F( b
大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜。換句話說�,如果你在洛杉磯而入侵者在倫敦,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中���。你也許認(rèn)為入侵者會在白天(目標(biāo)所在地的時間)發(fā)起攻擊�,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為����。有以下幾個原因說明為什么入侵者避免大白天進(jìn)行攻擊:) v' {# d# ~; \1 f9 C0 c
■客觀原因�。在白天����,大多數(shù)入侵者要工作,上學(xué)或在其他環(huán)境中花費時間����,以至沒空進(jìn)行攻擊����。換句話就,這些人不能在整天坐在計算機(jī)前面�����。這和以前有所不同�,以前的入侵者是一些坐中家中無所事事的人。; b3 r+ N+ e, _$ G2 n
■速度原因����。網(wǎng)絡(luò)正變得越來越擁擠,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間��。最佳的時間段會根據(jù)目標(biāo)機(jī)所在地的不同而不同���。
2 Z2 x* o2 L( r9 X/ k■保密原因���。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞�,就假定這個時間是早上11點����,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上。此時�,此入侵者能有何舉動?恐怕很少�����,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為�����。他們便會跟蹤而來���。+ }. ^& C! U' d4 c: n) k( A. K1 X3 @- j
入侵者總是喜歡攻擊那些沒有使用的機(jī)器��。有一次我利用在曰本的一臺工作臺從事攻擊行為,因為看上去沒有人在此機(jī)器上登錄過。隨后����,我便用那臺機(jī)器遠(yuǎn)程登錄回美國���。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況��。對于這類計算機(jī)�����,你可以暫控制它�����,可按你的特殊要求對它進(jìn)行設(shè)置�����,而且你有充足的時間來改變?nèi)罩?����。值得注意的是��,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r間)����。7 R4 @. G; n9 X3 C
提示:如果你一直在進(jìn)行著大量的日志工作�,并且只有有限的時間和資源來對這些日志進(jìn)行分析���,我建議你將主要精力集中在記錄昨夜的連接請求的日志�。這部分日志毫無疑問會提供令人感興趣的����、異常的信息���。0 p3 K; i5 x, G' `
1 L6 v+ `6 \6 m, r7 ]
⒉入侵者使用何種操作系統(tǒng)�?. ~; C. i( v7 c* N9 N# C4 X
入侵者使用的操作系統(tǒng)各不相同���。UNIX是使用得最多的平臺�,其中包括FreeBSD和Linux��。. _ J6 O" }' w8 J5 R
⑴Sun
$ @* }" M5 b- Z0 k- r; u入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當(dāng)常見��。因為即使這些產(chǎn)品是需要許可證���,它們也易獲得�。一般而言��,使用這些平臺的入侵者都是學(xué)生,因為他們可利用軟件產(chǎn)品賣給教育部門和學(xué)生時可打很大的折扣這一優(yōu)勢��。再者�,由于這些操作系統(tǒng)運行在PC機(jī)上,所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇�����。
: \. t b" K1 i( z4 d⑵UNIX1 p* N/ Z/ @& }# M
UNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源��。
+ M: ?- u: J8 x8 ?' J* `! }⑶Microsoft, c& Z$ C4 T2 {4 S! r
Microsoft平臺支持許多合法的安全工具���,而這些工具可被用于攻擊遠(yuǎn)程主機(jī)���。因此,越來越多的入侵者正在使用Windows NT�。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具;而且NT正變得越來越流行���,因為入侵者知道他們必須精通此平臺�。由于NT成為更流行的Internet服務(wù)器的操作平臺�����,入侵者有必要知道如何入侵這些機(jī)器。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性�����。這樣���,你將看到利用NT作為入侵平臺的人會極劇增加�����。9 G9 I e6 r/ |
& h6 a; R) W. t9 n! n7 T) f1 d⒊攻擊的源頭; _4 W( Z( Z* J
數(shù)年前,許多攻擊來源于大學(xué)����,因為從那里能對Internet進(jìn)行訪問。大多數(shù)入侵者是年青人����,沒有其他的地方比在大學(xué)更容易上Internet了。自然地��,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間��。同時,使用TCP/IP不像今天這樣簡單�����。# |* _& I- y: u4 p7 _: f
如今形勢發(fā)生了巨大的變化��,入侵者可在他們的家里��、辦公室或車中入侵你的網(wǎng)絡(luò)����。然而,這里也有一些規(guī)律�。) w, O& P/ @& ~
5 l9 P2 O9 p) O5 Z0 I1 q. d2 u
⒋典型入侵者的特點; [4 n. }2 d' P' v. e" Q
典型的入侵者至少具備下述幾個特點:
9 ^4 G4 e* K7 z: f9 B: u■能用C、C++或Perl進(jìn)行編碼���。因為許多基本的安全工具是用這些語言的某一種編寫的�。至少入侵者能正確地解釋�、編譯和執(zhí)行這些程序。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上�。同時他們還可能開發(fā)出可擴(kuò)展的工具來,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)�。% n! ~, [* j: K" i4 C% U
■對TCP/IP有透徹的了解,這是任何一個有能力的入侵者所必備的素質(zhì)��。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的。
: N2 T: w" n! n6 S/ i+ V; X% k■每月至少花50小時上Internet�����。經(jīng)驗不可替代的�,入侵者必須要有豐富的經(jīng)驗。一些入侵者是Internet的癡迷者��,常忍受著失眠的痛苦�����。
. i5 ?6 D9 f3 F. s0 l■有一份和計算機(jī)相關(guān)的工作�����。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中�����。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作�����。0 {! D# F+ G* b1 }
■收集老的���、過時的但經(jīng)典的計算機(jī)硬件或軟件��。2 {! v* f/ P- J8 u& `$ k
( ^( M9 x# B* p) z7 d7 ?⒌典型目標(biāo)的特征( q9 ]7 M1 v7 Z: F! L+ h4 G+ M
很難說什么才是典型目標(biāo)�����,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡(luò)��。然而一種常見的攻擊是小型的私有網(wǎng)���。因為:- n0 h/ Y, G7 y: G `9 ?0 |: ^) |1 {
■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段
2 a; x" b) n1 Y% S■其系統(tǒng)管理員更熟悉局域網(wǎng),而不是TCP/IP) i( Y) J! i8 s* g# u. s
■其設(shè)備和軟件都很陳舊(可能是過時的)3 H8 [$ o% M1 a, f
另一話題是熟悉性��。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)�,但從入侵的角度來看,他們通常僅了解某一個操作系統(tǒng)�。很少的入侵者知道如何入侵多種平臺。
2 X+ D* c7 T; @& U# A5 s' x5 u0 F2 q h( A% o
大學(xué)是主要的攻擊對象�����,部分原因是因為他們擁有極強(qiáng)的運算處理能力�。1 a, N( P( V/ N+ p; J; @; a
另個原因是網(wǎng)絡(luò)用戶過多。甚至在一個相對小的網(wǎng)段上就有幾百個用戶�。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)��,極有可能從如此的帳號中獲得一個入侵帳號�。其他常被攻擊的對象是政府網(wǎng)站���。
S) ]9 b! T3 B* `0 g2 G
' P) K6 ?- l8 M' O9 J+ U⒍入侵者入侵的原因) `3 c- r5 p: I4 \8 D. S- C; ^; Q
■怨恨
5 Q( y) |+ `$ P, i■挑戰(zhàn)$ w: X, e# ~# d! g% I5 u
■愚蠢
4 a7 x4 t) x; D; N0 g■好奇: @8 |* H1 \% G8 T9 b) {3 y
■政治目的2 f, L& c1 R& ^+ K1 m( \
所有的這些原因都是不道德的行為���,此行為過頭后便觸犯了法律。觸犯法律可帶來一些令人激動的感受���,這種感受又能消極地影響你的原因���。
) X3 K5 G2 D" N% g" u! o
* T7 B1 c4 N# e1 O# q⒎攻擊
7 e" F) L& D% ?1 a攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)。但我的觀點是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”��。即從一個入侵者開始在目標(biāo)機(jī)上工作的那個時間起�����,攻擊就開始���。
4 ]7 A$ ?1 W: T3 k可通過下面的文章了解入侵的事例:
2 D0 I1 H ^' ?! E7 B* V f) Lftp://research.att.com/dist/internet_security/berferd.ps5 @" W6 U* e, {# Q
http://www.takedown.com/evidence/anklebiters/mlf/index.html& |5 p4 J7 C0 r8 C; D
http//www.alw.nih.gov/security/first/papers/general/holland.ps
5 c; X2 ~+ ]( }http://www.alw.nih.gov/security/first/papers/general/fuat.ps
% a- l0 g6 H4 s1 Qhttp://www.alw.nih.gov/security/first/papers/general/hacker.txt8 E( k, H7 t" t6 _9 a
; a8 ^$ ~- w$ ^3 q+ m4 [! n
⒏入侵層次索引+ l0 v% _2 r) n5 o/ \
■郵件炸彈攻擊. Y! O5 z4 V- y/ I6 Y( M, T, f4 Z
■簡單拒絕服務(wù)6 H6 t/ n; {& ]5 ^9 {% Y7 D
■本地用戶獲得非授權(quán)讀訪問! ~. U! j/ I1 v4 N& e
■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限2 M; b, e0 t1 c6 Q" H* G `
■遠(yuǎn)程用戶獲得了非授權(quán)的帳號; N7 U0 K }- ^
■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限 K# ~0 W" ~5 A4 K
■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限0 m. ?4 x% Q# ]7 X. t. v% F
■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡