本章闡述各種級別的攻擊��?!肮簟笔侵溉魏蔚姆鞘跈?quán)行為�。這種行為的目的在于干擾、破壞�����、摧毀你服務(wù)器的安全����。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器。在你網(wǎng)絡(luò)上成功實(shí)施的攻擊的級別依賴于你采用的安全措施�。
* N1 v' {) ^9 p& n1 [7 p' f9 H
6 |) j: R0 K$ s. _) H4 Q' s⒈攻擊會發(fā)生在何時(shí)?
' a7 E: L+ D" z大部分的攻擊(或至少是商業(yè)攻擊時(shí)間一般是服務(wù)器所在地的深夜����。換句話說,如果你在洛杉磯而入侵者在倫敦�,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個(gè)小時(shí)中。你也許認(rèn)為入侵者會在白天(目標(biāo)所在地的時(shí)間)發(fā)起攻擊,因?yàn)榇罅康臄?shù)據(jù)傳輸能掩飾他們的行為��。有以下幾個(gè)原因說明為什么入侵者避免大白天進(jìn)行攻擊:
6 I: K# o, f( u: X■客觀原因�����。在白天�,大多數(shù)入侵者要工作,上學(xué)或在其他環(huán)境中花費(fèi)時(shí)間�,以至沒空進(jìn)行攻擊。換句話就�����,這些人不能在整天坐在計(jì)算機(jī)前面����。這和以前有所不同,以前的入侵者是一些坐中家中無所事事的人��。
) M: p$ k; B/ b■速度原因��。網(wǎng)絡(luò)正變得越來越擁擠�,因此最佳的工作時(shí)間是在網(wǎng)絡(luò)能提供高傳輸速度的時(shí)間速率的時(shí)間�。最佳的時(shí)間段會根據(jù)目標(biāo)機(jī)所在地的不同而不同。
, |* l0 K/ S1 b& U# y( X3 D■保密原因。假設(shè)在某時(shí)某入侵者發(fā)現(xiàn)了一個(gè)漏洞���,就假定這個(gè)時(shí)間是早上11點(diǎn)��,并且此時(shí)有三個(gè)系統(tǒng)管理員正登錄在網(wǎng)上����。此時(shí)�����,此入侵者能有何舉動��?恐怕很少��,因?yàn)橄到y(tǒng)管理員一旦發(fā)現(xiàn)有異常行為���。他們便會跟蹤而來��。
p( b7 O; a1 O; J入侵者總是喜歡攻擊那些沒有使用的機(jī)器�。有一次我利用在曰本的一臺工作臺從事攻擊行為�,因?yàn)榭瓷先]有人在此機(jī)器上登錄過。隨后�,我便用那臺機(jī)器遠(yuǎn)程登錄回美國��。在羅馬我發(fā)現(xiàn)了一個(gè)新的ISP也出現(xiàn)類似的情況�。對于這類計(jì)算機(jī)���,你可以暫控制它�,可按你的特殊要求對它進(jìn)行設(shè)置�����,而且你有充足的時(shí)間來改變?nèi)罩?����。值得注意的是����,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r(shí)間)。
+ ] T5 l2 x; A7 O/ K7 D n提示:如果你一直在進(jìn)行著大量的日志工作�����,并且只有有限的時(shí)間和資源來對這些日志進(jìn)行分析���,我建議你將主要精力集中在記錄昨夜的連接請求的日志�。這部分日志毫無疑問會提供令人感興趣的��、異常的信息�。
+ O. I7 `2 [! b* J
g1 L* q, z" ]; F7 p⒉入侵者使用何種操作系統(tǒng)?' a9 A$ ^# j# i3 h/ o2 C
入侵者使用的操作系統(tǒng)各不相同���。UNIX是使用得最多的平臺�����,其中包括FreeBSD和Linux���。
( E( Z& \" u' a* [0 T1 I& ~3 G⑴Sun
# K' a5 b* Y! Y5 B' ]: f/ _入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當(dāng)常見。因?yàn)榧词惯@些產(chǎn)品是需要許可證�����,它們也易獲得����。一般而言,使用這些平臺的入侵者都是學(xué)生��,因?yàn)樗麄兛衫密浖a(chǎn)品賣給教育部門和學(xué)生時(shí)可打很大的折扣這一優(yōu)勢��。再者,由于這些操作系統(tǒng)運(yùn)行在PC機(jī)上�,所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇。
7 X; e( @( i) K⑵UNIX
& d3 }: T9 @6 m, r' C5 y9 k5 dUNIX平臺受歡迎的原因之一是它只耗費(fèi)系統(tǒng)一小部分資源�。* g8 y- y* p& R9 z5 n
⑶Microsoft
6 V# `4 G0 L* c5 E/ M* oMicrosoft平臺支持許多合法的安全工具,而這些工具可被用于攻擊遠(yuǎn)程主機(jī)���。因此�����,越來越多的入侵者正在使用Windows NT��。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具��;而且NT正變得越來越流行��,因?yàn)槿肭终咧浪麄儽仨毦ù似脚_�。由于NT成為更流行的Internet服務(wù)器的操作平臺��,入侵者有必要知道如何入侵這些機(jī)器���。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性�����。這樣����,你將看到利用NT作為入侵平臺的人會極劇增加��。
9 U3 M) A# L% j1 W' U* G8 O- J- u% \0 o4 f6 P' w
⒊攻擊的源頭
* \, \* G1 w9 A! R' }# |8 f5 E數(shù)年前�,許多攻擊來源于大學(xué),因?yàn)閺哪抢锬軐nternet進(jìn)行訪問��。大多數(shù)入侵者是年青人�,沒有其他的地方比在大學(xué)更容易上Internet了。自然地��,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時(shí)間���。同時(shí)�����,使用TCP/IP不像今天這樣簡單�。
$ g4 X" ^ J$ A0 {# V如今形勢發(fā)生了巨大的變化�����,入侵者可在他們的家里、辦公室或車中入侵你的網(wǎng)絡(luò)��。然而�����,這里也有一些規(guī)律��。
! i0 D. u2 R% k& _1 r d6 z% \: c/ d
: E; m* v' Y* a, }6 L" f: R, [2 g! i⒋典型入侵者的特點(diǎn)( c- n" m7 L4 ]6 f% S2 L
典型的入侵者至少具備下述幾個(gè)特點(diǎn):
( d/ c4 W! Q2 W, R: }# {■能用C�、C++或Perl進(jìn)行編碼。因?yàn)樵S多基本的安全工具是用這些語言的某一種編寫的�����。至少入侵者能正確地解釋����、編譯和執(zhí)行這些程序。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上�����。同時(shí)他們還可能開發(fā)出可擴(kuò)展的工具來����,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)�����。: @ r' a' q% C; d4 ^4 o6 V
■對TCP/IP有透徹的了解����,這是任何一個(gè)有能力的入侵者所必備的素質(zhì)��。至少一個(gè)入侵者必須知道Internet如何運(yùn)轉(zhuǎn)的��。2 D9 W' W& \8 N Q" q% l! {
■每月至少花50小時(shí)上Internet����。經(jīng)驗(yàn)不可替代的����,入侵者必須要有豐富的經(jīng)驗(yàn)。一些入侵者是Internet的癡迷者����,常忍受著失眠的痛苦。
; i" Q& _% i* g2 {■有一份和計(jì)算機(jī)相關(guān)的工作���。并不是每個(gè)入侵者都是把一天中的大部分時(shí)間投入到入侵行為中���。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作�。
* t! z" H9 i% J( |■收集老的�、過時(shí)的但經(jīng)典的計(jì)算機(jī)硬件或軟件。
2 b: t' K: S5 ^' F. e" A2 C3 ?! I) K6 U" S
⒌典型目標(biāo)的特征
+ G: ~( {6 h# i很難說什么才是典型目標(biāo)��,因?yàn)椴煌肭终邥虿煌脑蚨舨煌愋偷木W(wǎng)絡(luò)��。然而一種常見的攻擊是小型的私有網(wǎng)�����。因?yàn)椋?br />
- L4 m5 D$ P! u& [$ [■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段
" {, _& ^5 J: u0 }& P) f/ j■其系統(tǒng)管理員更熟悉局域網(wǎng)����,而不是TCP/IP9 H. _" o9 q& p: V* y4 R
■其設(shè)備和軟件都很陳舊(可能是過時(shí)的)1 P: I$ n3 h* {0 @, t
另一話題是熟悉性。絕大多數(shù)入侵者從使用的角度而言能熟知兩個(gè)或多個(gè)操作系統(tǒng)���,但從入侵的角度來看�����,他們通常僅了解某一個(gè)操作系統(tǒng)��。很少的入侵者知道如何入侵多種平臺�。& j6 i1 s7 X* [" N* w1 z- m
4 q- Q- Z% \6 \+ H3 z1 I2 M. _7 t9 m
大學(xué)是主要的攻擊對象,部分原因是因?yàn)樗麄儞碛袠O強(qiáng)的運(yùn)算處理能力���。
, I" y$ s" A( Q4 \5 [! q" k- g0 i另個(gè)原因是網(wǎng)絡(luò)用戶過多��。甚至在一個(gè)相對小的網(wǎng)段上就有幾百個(gè)用戶�����。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)���,極有可能從如此的帳號中獲得一個(gè)入侵帳號�����。其他常被攻擊的對象是政府網(wǎng)站����。
# k* }8 v _, f' \! g: t# L3 x8 s
! \+ L; p# Y$ ^: H$ `⒍入侵者入侵的原因
/ n& F1 h) w6 t: T0 D■怨恨
+ O2 O3 T, k$ T■挑戰(zhàn)9 M. `: b1 N% s0 h7 k/ d R" S
■愚蠢* I5 t2 Y& R+ S2 ?! r
■好奇2 @ Y o' T- ]7 N+ N
■政治目的) \: X5 }. c5 A; n6 q( l
所有的這些原因都是不道德的行為,此行為過頭后便觸犯了法律�����。觸犯法律可帶來一些令人激動的感受,這種感受又能消極地影響你的原因���。
4 ` S7 ^2 W, ?' f( C' R6 b3 i: [9 o3 _! z3 C) d
⒎攻擊/ e4 ?5 S, x4 B- h9 c
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)�。但我的觀點(diǎn)是可能使一個(gè)網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”��。即從一個(gè)入侵者開始在目標(biāo)機(jī)上工作的那個(gè)時(shí)間起����,攻擊就開始。7 X# K3 x' H4 E C/ X3 z+ s m/ O/ M
可通過下面的文章了解入侵的事例:2 O! W9 C; f7 z
ftp://research.att.com/dist/internet_security/berferd.ps9 I; f* g: p9 O$ t7 u* j X
http://www.takedown.com/evidence/anklebiters/mlf/index.html
! o1 i% x+ L2 P5 F4 w6 C- l; `5 \http//www.alw.nih.gov/security/first/papers/general/holland.ps
7 c0 Y6 F, K( s, Fhttp://www.alw.nih.gov/security/first/papers/general/fuat.ps
- H: ~! h' K, j. z$ T) s' ?+ Vhttp://www.alw.nih.gov/security/first/papers/general/hacker.txt
* h9 Z7 M8 a1 }# [8 N. h1 i* y. @8 _. x
⒏入侵層次索引7 C! }2 `& B( H) F; B4 Y
■郵件炸彈攻擊8 _. R. Z$ R. r2 u5 R* O
■簡單拒絕服務(wù)
" W, v% \% h8 J2 @& _# s: b■本地用戶獲得非授權(quán)讀訪問
; a% h/ d+ W0 w- W+ h■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限5 J) D. K- O6 e( Q! _' @
■遠(yuǎn)程用戶獲得了非授權(quán)的帳號' f! Z; w% n$ _( K: L
■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限
2 f) b4 z* P( Z2 c, m■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限, c' W* v0 O1 l' Z
■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡