本章闡述各種級別的攻擊���?�!肮簟笔侵溉魏蔚姆鞘跈?quán)行為��。這種行為的目的在于干擾����、破壞��、摧毀你服務(wù)器的安全��。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器����。在你網(wǎng)絡(luò)上成功實施的攻擊的級別依賴于你采用的安全措施。
- w+ R5 W( {2 r Y- x3 L
" q3 u9 K! f: H$ @- e⒈攻擊會發(fā)生在何時�?$ r' g% u6 p( }; b6 |
大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜。換句話說�����,如果你在洛杉磯而入侵者在倫敦,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中����。你也許認為入侵者會在白天(目標所在地的時間)發(fā)起攻擊,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為�。有以下幾個原因說明為什么入侵者避免大白天進行攻擊:$ }% Z& w0 [: O- `5 K- M
■客觀原因。在白天�����,大多數(shù)入侵者要工作�����,上學或在其他環(huán)境中花費時間����,以至沒空進行攻擊��。換句話就��,這些人不能在整天坐在計算機前面��。這和以前有所不同�,以前的入侵者是一些坐中家中無所事事的人����。; A9 f0 P) z* G/ u- B. V* ]" }
■速度原因����。網(wǎng)絡(luò)正變得越來越擁擠,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間�����。最佳的時間段會根據(jù)目標機所在地的不同而不同�。; R$ N5 K% m+ Q: p- N% T$ c7 x" ^# u
■保密原因。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞�,就假定這個時間是早上11點,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上��。此時����,此入侵者能有何舉動?恐怕很少�����,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為����。他們便會跟蹤而來���。) b1 ~; R0 N: y* k# b& f
入侵者總是喜歡攻擊那些沒有使用的機器。有一次我利用在曰本的一臺工作臺從事攻擊行為�����,因為看上去沒有人在此機器上登錄過�。隨后,我便用那臺機器遠程登錄回美國�����。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況�。對于這類計算機��,你可以暫控制它�,可按你的特殊要求對它進行設(shè)置,而且你有充足的時間來改變?nèi)罩?����。值得注意的是����,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當?shù)貢r間)�����。
8 r+ ?# h4 w+ |* V提示:如果你一直在進行著大量的日志工作�,并且只有有限的時間和資源來對這些日志進行分析�����,我建議你將主要精力集中在記錄昨夜的連接請求的日志���。這部分日志毫無疑問會提供令人感興趣的����、異常的信息��。
, [" x( {. K1 k8 ?" \) n5 z3 F- h
) h [+ t; H1 W. ?⒉入侵者使用何種操作系統(tǒng)����?/ w2 ^$ l. h' [1 q. v
入侵者使用的操作系統(tǒng)各不相同。UNIX是使用得最多的平臺�����,其中包括FreeBSD和Linux。3 V6 d: M/ y/ Y
⑴Sun
- J9 X, |! C0 N4 @5 q; a0 O4 i入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當常見����。因為即使這些產(chǎn)品是需要許可證,它們也易獲得���。一般而言��,使用這些平臺的入侵者都是學生�,因為他們可利用軟件產(chǎn)品賣給教育部門和學生時可打很大的折扣這一優(yōu)勢���。再者�,由于這些操作系統(tǒng)運行在PC機上�,所以這些操作系統(tǒng)是更經(jīng)濟的選擇。
) z2 M4 H( r( t) E5 P3 _" k⑵UNIX* ~% T: b, J! f
UNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源�。7 n: b& C3 _6 p1 H
⑶Microsoft( I* Y' ~8 H P$ U/ u* [
Microsoft平臺支持許多合法的安全工具���,而這些工具可被用于攻擊遠程主機�。因此��,越來越多的入侵者正在使用Windows NT。Windows Nt的性能遠遠超過Windows 95并有許多用于網(wǎng)絡(luò)的先進工具����;而且NT正變得越來越流行,因為入侵者知道他們必須精通此平臺����。由于NT成為更流行的Internet服務(wù)器的操作平臺,入侵者有必要知道如何入侵這些機器���。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性����。這樣�,你將看到利用NT作為入侵平臺的人會極劇增加。( @3 @" Q: ?$ V' h8 v! ^
/ G: |/ [' K R$ q7 C$ C⒊攻擊的源頭
: B+ q; E d) v' i0 K( |數(shù)年前���,許多攻擊來源于大學�,因為從那里能對Internet進行訪問����。大多數(shù)入侵者是年青人,沒有其他的地方比在大學更容易上Internet了����。自然地����,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間����。同時,使用TCP/IP不像今天這樣簡單�����。
- @5 O" d5 I* ?1 O1 _如今形勢發(fā)生了巨大的變化��,入侵者可在他們的家里���、辦公室或車中入侵你的網(wǎng)絡(luò)���。然而,這里也有一些規(guī)律�。2 ?' X5 f, w- J/ y6 {
( ]2 U8 j# _8 }) _2 U. Y
⒋典型入侵者的特點
: \3 ~, }# {5 \! h8 C! V8 ^. s- K典型的入侵者至少具備下述幾個特點:
6 }5 K/ M. Q* n; U6 H■能用C、C++或Perl進行編碼��。因為許多基本的安全工具是用這些語言的某一種編寫的���。至少入侵者能正確地解釋����、編譯和執(zhí)行這些程序�。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上。同時他們還可能開發(fā)出可擴展的工具來��,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)����。
1 D/ \3 x. p" ^' Y0 Q4 Q■對TCP/IP有透徹的了解,這是任何一個有能力的入侵者所必備的素質(zhì)��。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的����。
$ a- W* F( H4 Z' G■每月至少花50小時上Internet。經(jīng)驗不可替代的�����,入侵者必須要有豐富的經(jīng)驗���。一些入侵者是Internet的癡迷者�,常忍受著失眠的痛苦。
: F& J+ E( ]# g* P- x% T■有一份和計算機相關(guān)的工作�����。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中���。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作��。
/ `" ]0 u+ x: n7 T6 ^% f■收集老的�����、過時的但經(jīng)典的計算機硬件或軟件��。$ m- \$ i- V$ ^, @
8 D, T4 a1 i6 E2 b9 c⒌典型目標的特征# d5 \* ?) O% j/ m+ Y
很難說什么才是典型目標�����,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡(luò)���。然而一種常見的攻擊是小型的私有網(wǎng)。因為:
1 f4 W: T u+ a6 P, C" n' R■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段
$ t {& ~6 z) z■其系統(tǒng)管理員更熟悉局域網(wǎng)����,而不是TCP/IP6 t3 C2 k9 A+ O' ~1 `. Z _
■其設(shè)備和軟件都很陳舊(可能是過時的)
7 y0 c- `' ~- J- W, v0 ~* g9 |/ c另一話題是熟悉性��。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)����,但從入侵的角度來看���,他們通常僅了解某一個操作系統(tǒng)。很少的入侵者知道如何入侵多種平臺�����。5 P5 q" B- R7 @! _# {8 m7 `
) r* h% T+ f. P# `! M1 o& ]4 B大學是主要的攻擊對象���,部分原因是因為他們擁有極強的運算處理能力�����。4 S# q9 ~6 ], l% U9 w' T- w( J2 C
另個原因是網(wǎng)絡(luò)用戶過多�����。甚至在一個相對小的網(wǎng)段上就有幾百個用戶�。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)�����,極有可能從如此的帳號中獲得一個入侵帳號。其他常被攻擊的對象是政府網(wǎng)站��。. {( D, K7 f$ g) d3 S s, Z$ c! B
- y; X: o& q2 z. c, _( {0 b- w2 ~/ p
⒍入侵者入侵的原因
+ l8 p2 w4 z5 ~! m& L4 {$ m■怨恨 s0 ?1 y2 E# m8 Q7 A; ?
■挑戰(zhàn)2 C" G. F" R# m! o$ I
■愚蠢
! |: m1 b; ?& Q+ a■好奇
6 x k( Q M9 `2 |, u* J; p■政治目的9 K: J6 I1 w+ K
所有的這些原因都是不道德的行為�,此行為過頭后便觸犯了法律。觸犯法律可帶來一些令人激動的感受�����,這種感受又能消極地影響你的原因����。
4 j8 S" s( y4 \3 l! L$ ~' e* i
⒎攻擊 K9 u8 w6 |2 N/ Z! h$ G/ s: m4 {" P
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標網(wǎng)絡(luò)內(nèi)。但我的觀點是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”�。即從一個入侵者開始在目標機上工作的那個時間起,攻擊就開始�。
% @; q: {& k! M6 a$ n1 l0 D可通過下面的文章了解入侵的事例:
9 s' o# F% i3 s" G) V. b8 u6 Aftp://research.att.com/dist/internet_security/berferd.ps1 |; r2 X) c' `1 d1 u6 h
http://www.takedown.com/evidence/anklebiters/mlf/index.html0 r5 O# z! C; \( \+ M2 P
http//www.alw.nih.gov/security/first/papers/general/holland.ps \0 n9 W" A1 t4 D
http://www.alw.nih.gov/security/first/papers/general/fuat.ps; U c2 W% C. b6 F2 D8 F
http://www.alw.nih.gov/security/first/papers/general/hacker.txt! d3 ^5 t. j6 H+ P' @) c) O
5 ^3 u4 W0 ?: M4 H3 _3 U⒏入侵層次索引: E) ^1 I+ x; |. t7 h. [2 u
■郵件炸彈攻擊9 |: P6 R) |! |* d+ {% f8 n
■簡單拒絕服務(wù)" K+ f3 D/ `' W. A
■本地用戶獲得非授權(quán)讀訪問/ h: D( i! G3 e
■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限8 x' F2 q( N& A0 |
■遠程用戶獲得了非授權(quán)的帳號
5 l0 o' W" y; k, X! S■遠程用戶獲得了特權(quán)文件的讀權(quán)限2 ]' M" B9 W. k- L T0 N Y
■遠程用戶獲得了特權(quán)文件的寫權(quán)限/ A( A3 s" K- y# B' K( ?1 x9 p
■遠程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-12 16:32:43
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡