本章闡述各種級別的攻擊�。“攻擊”是指任何的非授權(quán)行為�。這種行為的目的在于干擾、破壞����、摧毀你服務(wù)器的安全��。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器�����。在你網(wǎng)絡(luò)上成功實施的攻擊的級別依賴于你采用的安全措施。5 D! r7 t# m6 f' h/ e2 ~
6 D2 Z) l, C ^0 Z2 T
⒈攻擊會發(fā)生在何時?
& F9 f/ x7 G( e5 i大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜���。換句話說�����,如果你在洛杉磯而入侵者在倫敦,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中���。你也許認為入侵者會在白天(目標所在地的時間)發(fā)起攻擊�,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為��。有以下幾個原因說明為什么入侵者避免大白天進行攻擊:! J. D- h$ \! R* J' ]" d; w6 K
■客觀原因��。在白天����,大多數(shù)入侵者要工作,上學或在其他環(huán)境中花費時間��,以至沒空進行攻擊����。換句話就,這些人不能在整天坐在計算機前面�����。這和以前有所不同�,以前的入侵者是一些坐中家中無所事事的人��。+ C# k4 i+ X- P' |, }$ {( c/ f8 b
■速度原因���。網(wǎng)絡(luò)正變得越來越擁擠����,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間。最佳的時間段會根據(jù)目標機所在地的不同而不同��。
; T& U$ `# z" V$ r+ _# j& X' t* |■保密原因���。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞�,就假定這個時間是早上11點���,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上�。此時��,此入侵者能有何舉動�����?恐怕很少����,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為�。他們便會跟蹤而來�����。8 i- l* }- T7 u d% P# g6 h
入侵者總是喜歡攻擊那些沒有使用的機器����。有一次我利用在曰本的一臺工作臺從事攻擊行為,因為看上去沒有人在此機器上登錄過���。隨后���,我便用那臺機器遠程登錄回美國。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況���。對于這類計算機��,你可以暫控制它�����,可按你的特殊要求對它進行設(shè)置��,而且你有充足的時間來改變?nèi)罩?��。值得注意的是���,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當?shù)貢r間)。
, k8 _) C: r9 N* c+ }0 i7 u提示:如果你一直在進行著大量的日志工作���,并且只有有限的時間和資源來對這些日志進行分析,我建議你將主要精力集中在記錄昨夜的連接請求的日志�����。這部分日志毫無疑問會提供令人感興趣的��、異常的信息�。
7 ^3 z# ^: S9 l3 k S* |% s1 _% i7 \( q4 ^( i$ j W
⒉入侵者使用何種操作系統(tǒng)?: F9 J. d' y( A* O6 |9 S" l" }
入侵者使用的操作系統(tǒng)各不相同���。UNIX是使用得最多的平臺�����,其中包括FreeBSD和Linux�����。
- g9 ]6 F3 Q8 R) H1 `& h. d⑴Sun( b* ^! [9 f/ F8 L- M5 s
入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當常見���。因為即使這些產(chǎn)品是需要許可證�����,它們也易獲得��。一般而言����,使用這些平臺的入侵者都是學生����,因為他們可利用軟件產(chǎn)品賣給教育部門和學生時可打很大的折扣這一優(yōu)勢。再者�����,由于這些操作系統(tǒng)運行在PC機上�,所以這些操作系統(tǒng)是更經(jīng)濟的選擇。
: C8 L9 U/ J' ~1 N" U2 Y) N8 k& [* y0 `8 S⑵UNIX
( N% \+ z& |5 {8 h# N6 U: nUNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源�����。* Y. X S3 G4 l5 `
⑶Microsoft
- m9 g: m: n1 b9 [6 Z3 BMicrosoft平臺支持許多合法的安全工具,而這些工具可被用于攻擊遠程主機��。因此���,越來越多的入侵者正在使用Windows NT���。Windows Nt的性能遠遠超過Windows 95并有許多用于網(wǎng)絡(luò)的先進工具;而且NT正變得越來越流行�,因為入侵者知道他們必須精通此平臺�����。由于NT成為更流行的Internet服務(wù)器的操作平臺���,入侵者有必要知道如何入侵這些機器���。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性。這樣����,你將看到利用NT作為入侵平臺的人會極劇增加�。
' N/ _/ {* m- a5 A0 l* i
3 N5 j' \8 ~: E" c4 U⒊攻擊的源頭
: L6 `1 a6 d& q數(shù)年前�,許多攻擊來源于大學,因為從那里能對Internet進行訪問���。大多數(shù)入侵者是年青人�����,沒有其他的地方比在大學更容易上Internet了��。自然地��,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間�。同時�����,使用TCP/IP不像今天這樣簡單�����。
0 g* k8 a( _9 ~3 h2 |" ~如今形勢發(fā)生了巨大的變化���,入侵者可在他們的家里�����、辦公室或車中入侵你的網(wǎng)絡(luò)��。然而�����,這里也有一些規(guī)律��。7 a$ n3 s: O9 H5 v5 x' Y( O: f/ ~: \
: O- ^) k! _5 y/ w4 }
⒋典型入侵者的特點
) x- W0 y+ y/ J% F$ I5 V# X9 R典型的入侵者至少具備下述幾個特點:1 U2 _4 K5 d! x+ ~8 A
■能用C��、C++或Perl進行編碼�。因為許多基本的安全工具是用這些語言的某一種編寫的。至少入侵者能正確地解釋����、編譯和執(zhí)行這些程序�。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上。同時他們還可能開發(fā)出可擴展的工具來���,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)����。
8 f7 c' o5 F/ ~■對TCP/IP有透徹的了解,這是任何一個有能力的入侵者所必備的素質(zhì)��。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的����。
' @) k k( M2 q1 d! A■每月至少花50小時上Internet。經(jīng)驗不可替代的���,入侵者必須要有豐富的經(jīng)驗���。一些入侵者是Internet的癡迷者,常忍受著失眠的痛苦��。
* Y. c: C8 l: V4 G■有一份和計算機相關(guān)的工作�。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作�。0 q* i s, l% {3 \, ~6 p9 |
■收集老的、過時的但經(jīng)典的計算機硬件或軟件���。
* \, I1 e! r" S$ ]
% z) T' r0 D% x2 N. a⒌典型目標的特征
7 T& O5 ]$ M9 \ A( l很難說什么才是典型目標�,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡(luò)���。然而一種常見的攻擊是小型的私有網(wǎng)�。因為:% N* v" h3 o& f
■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段) L2 s& A. G: _( |5 g0 O
■其系統(tǒng)管理員更熟悉局域網(wǎng),而不是TCP/IP
4 V! {, b" S4 f- a' [■其設(shè)備和軟件都很陳舊(可能是過時的)) {1 Q9 c: R6 n
另一話題是熟悉性���。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)���,但從入侵的角度來看,他們通常僅了解某一個操作系統(tǒng)���。很少的入侵者知道如何入侵多種平臺�。% h- B' h1 j; Z, r- p/ f3 B3 n
2 E6 K+ p- j! G6 S大學是主要的攻擊對象���,部分原因是因為他們擁有極強的運算處理能力���。
" W; ?" ~& s# z5 Y另個原因是網(wǎng)絡(luò)用戶過多。甚至在一個相對小的網(wǎng)段上就有幾百個用戶����。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)�����,極有可能從如此的帳號中獲得一個入侵帳號。其他常被攻擊的對象是政府網(wǎng)站�����。5 k! ^4 {, J8 T4 y
5 L" @6 C6 U: } J+ {⒍入侵者入侵的原因6 R5 j; A7 r1 d0 F
■怨恨
4 Y& ?3 E) F4 R■挑戰(zhàn)0 z& B- _1 M& { u
■愚蠢
% h$ w* e: G) s* ], Y9 Z■好奇
7 o4 X; T/ _2 o" G+ E8 s w! m5 H■政治目的
3 {0 @: z3 q+ l+ ?所有的這些原因都是不道德的行為���,此行為過頭后便觸犯了法律�����。觸犯法律可帶來一些令人激動的感受����,這種感受又能消極地影響你的原因��。 a1 t/ ]3 \! @" T" H* n$ A' }
3 s7 k- t$ c$ k/ N& E# S5 D5 U
⒎攻擊. G% _, d4 l2 d
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標網(wǎng)絡(luò)內(nèi)�。但我的觀點是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”。即從一個入侵者開始在目標機上工作的那個時間起��,攻擊就開始�����。
, A, ?( q0 p ?3 t' G可通過下面的文章了解入侵的事例:; a4 X# B# C9 k) ~- Z* r
ftp://research.att.com/dist/internet_security/berferd.ps! D. y; V% F( G! S
http://www.takedown.com/evidence/anklebiters/mlf/index.html
3 E5 T2 B5 f4 C: ~http//www.alw.nih.gov/security/first/papers/general/holland.ps
) `. r: l& h( Y' }' i( Ohttp://www.alw.nih.gov/security/first/papers/general/fuat.ps" S' `2 ~0 V( { v- b* M
http://www.alw.nih.gov/security/first/papers/general/hacker.txt
5 L$ Y8 ^, `3 w5 x) `# i
* P: z4 \; f5 c1 l* G3 n0 m! o! S1 k⒏入侵層次索引4 z7 i6 M+ a2 O6 W9 E8 a
■郵件炸彈攻擊! z' y! y& Z4 \; s4 B
■簡單拒絕服務(wù)
4 j- \( Y+ c4 L■本地用戶獲得非授權(quán)讀訪問
8 Z2 U7 l- O: h, ~/ H* J! q3 L m■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限- S8 S2 G& ~3 M4 J. Q* V
■遠程用戶獲得了非授權(quán)的帳號2 k8 {' n0 W( Z. Z* j
■遠程用戶獲得了特權(quán)文件的讀權(quán)限
1 _8 u. c, d/ p0 c■遠程用戶獲得了特權(quán)文件的寫權(quán)限% @8 _/ h- y8 S) y, [: G4 F- ~
■遠程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡