本章闡述各種級(jí)別的攻擊�����?��!肮簟笔侵溉魏蔚姆鞘跈?quán)行為���。這種行為的目的在于干擾、破壞���、摧毀你服務(wù)器的安全�����。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器�。在你網(wǎng)絡(luò)上成功實(shí)施的攻擊的級(jí)別依賴于你采用的安全措施。+ p; i7 U7 k- _. h5 A: y
7 r9 o% J4 H$ W+ o& U/ ~ k⒈攻擊會(huì)發(fā)生在何時(shí)���?
" l! m: b7 U9 f u9 k4 V9 \大部分的攻擊(或至少是商業(yè)攻擊時(shí)間一般是服務(wù)器所在地的深夜�。換句話說�,如果你在洛杉磯而入侵者在倫敦,那么攻擊可能會(huì)發(fā)生在洛杉磯的深夜到早晨之間的幾個(gè)小時(shí)中�。你也許認(rèn)為入侵者會(huì)在白天(目標(biāo)所在地的時(shí)間)發(fā)起攻擊,因?yàn)榇罅康臄?shù)據(jù)傳輸能掩飾他們的行為��。有以下幾個(gè)原因說明為什么入侵者避免大白天進(jìn)行攻擊:
3 C# b- ]7 G( C* D' E: y■客觀原因���。在白天,大多數(shù)入侵者要工作����,上學(xué)或在其他環(huán)境中花費(fèi)時(shí)間,以至沒空進(jìn)行攻擊��。換句話就�,這些人不能在整天坐在計(jì)算機(jī)前面。這和以前有所不同,以前的入侵者是一些坐中家中無所事事的人�。0 J, U; J0 H! O0 w! A! y
■速度原因。網(wǎng)絡(luò)正變得越來越擁擠����,因此最佳的工作時(shí)間是在網(wǎng)絡(luò)能提供高傳輸速度的時(shí)間速率的時(shí)間。最佳的時(shí)間段會(huì)根據(jù)目標(biāo)機(jī)所在地的不同而不同�。9 d) d K: Q* F
■保密原因。假設(shè)在某時(shí)某入侵者發(fā)現(xiàn)了一個(gè)漏洞�,就假定這個(gè)時(shí)間是早上11點(diǎn),并且此時(shí)有三個(gè)系統(tǒng)管理員正登錄在網(wǎng)上��。此時(shí)�,此入侵者能有何舉動(dòng)?恐怕很少���,因?yàn)橄到y(tǒng)管理員一旦發(fā)現(xiàn)有異常行為��。他們便會(huì)跟蹤而來���。5 V3 |9 _; i+ W* |- p
入侵者總是喜歡攻擊那些沒有使用的機(jī)器。有一次我利用在曰本的一臺(tái)工作臺(tái)從事攻擊行為����,因?yàn)榭瓷先]有人在此機(jī)器上登錄過。隨后,我便用那臺(tái)機(jī)器遠(yuǎn)程登錄回美國�����。在羅馬我發(fā)現(xiàn)了一個(gè)新的ISP也出現(xiàn)類似的情況���。對(duì)于這類計(jì)算機(jī)�,你可以暫控制它��,可按你的特殊要求對(duì)它進(jìn)行設(shè)置�����,而且你有充足的時(shí)間來改變?nèi)罩?�。值得注意的是����,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對(duì)象的當(dāng)?shù)貢r(shí)間)����。
4 x7 L4 q9 |) L% {提示:如果你一直在進(jìn)行著大量的日志工作,并且只有有限的時(shí)間和資源來對(duì)這些日志進(jìn)行分析�����,我建議你將主要精力集中在記錄昨夜的連接請(qǐng)求的日志。這部分日志毫無疑問會(huì)提供令人感興趣的�、異常的信息。
* s) |, P) N8 B5 L' N6 U
; T% E* N! E& Y [⒉入侵者使用何種操作系統(tǒng)���?/ `- X, p5 v$ m7 U8 N
入侵者使用的操作系統(tǒng)各不相同��。UNIX是使用得最多的平臺(tái)����,其中包括FreeBSD和Linux��。
% t* @7 k2 {) E$ N. B ]⑴Sun& C% F* M" J3 A/ Y- m
入侵者將SolarisX86 或SCO作為使用平臺(tái)的現(xiàn)象相當(dāng)常見�。因?yàn)榧词惯@些產(chǎn)品是需要許可證,它們也易獲得�。一般而言,使用這些平臺(tái)的入侵者都是學(xué)生����,因?yàn)樗麄兛衫密浖a(chǎn)品賣給教育部門和學(xué)生時(shí)可打很大的折扣這一優(yōu)勢。再者���,由于這些操作系統(tǒng)運(yùn)行在PC機(jī)上�,所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇。
# ~' E A, k% |: U⑵UNIX) Z% y9 a1 D7 K2 L; N! j( z: `' t
UNIX平臺(tái)受歡迎的原因之一是它只耗費(fèi)系統(tǒng)一小部分資源����。8 L5 R7 `: C8 u! S) {
⑶Microsoft
! w* S3 N, g; y* v- }Microsoft平臺(tái)支持許多合法的安全工具,而這些工具可被用于攻擊遠(yuǎn)程主機(jī)�����。因此�,越來越多的入侵者正在使用Windows NT。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具���;而且NT正變得越來越流行�����,因?yàn)槿肭终咧浪麄儽仨毦ù似脚_(tái)��。由于NT成為更流行的Internet服務(wù)器的操作平臺(tái)���,入侵者有必要知道如何入侵這些機(jī)器��。而且安全人員將會(huì)開發(fā)工具來測試NT的內(nèi)部安全性��。這樣,你將看到利用NT作為入侵平臺(tái)的人會(huì)極劇增加���。% i, i1 V% K, R
8 L0 a3 c& R9 s1 {+ W& U' Y
⒊攻擊的源頭
) V) X) d5 r% m2 |數(shù)年前�,許多攻擊來源于大學(xué)����,因?yàn)閺哪抢锬軐?duì)Internet進(jìn)行訪問。大多數(shù)入侵者是年青人���,沒有其他的地方比在大學(xué)更容易上Internet了��。自然地�,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時(shí)間�����。同時(shí)���,使用TCP/IP不像今天這樣簡單����。, a# y- U2 }, ^3 ^3 t e
如今形勢發(fā)生了巨大的變化�����,入侵者可在他們的家里、辦公室或車中入侵你的網(wǎng)絡(luò)�����。然而�����,這里也有一些規(guī)律���。* c; p% e8 ?! [! K- G
9 v$ g. |5 R0 K% `& u
⒋典型入侵者的特點(diǎn)' \% j! h5 g9 e' K: L1 @
典型的入侵者至少具備下述幾個(gè)特點(diǎn):
9 w4 }' v% l# U6 q5 }, H■能用C�、C++或Perl進(jìn)行編碼�����。因?yàn)樵S多基本的安全工具是用這些語言的某一種編寫的����。至少入侵者能正確地解釋、編譯和執(zhí)行這些程序��。更厲害的入侵者能把不專門為某特定某平臺(tái)開發(fā)的工具移植到他用的平臺(tái)上���。同時(shí)他們還可能開發(fā)出可擴(kuò)展的工具來����,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)�。5 ]* k6 Y# A3 n' f; c8 f" t
■對(duì)TCP/IP有透徹的了解,這是任何一個(gè)有能力的入侵者所必備的素質(zhì)�����。至少一個(gè)入侵者必須知道Internet如何運(yùn)轉(zhuǎn)的�。( _6 }& ?& Z7 a0 j& s
■每月至少花50小時(shí)上Internet。經(jīng)驗(yàn)不可替代的����,入侵者必須要有豐富的經(jīng)驗(yàn)。一些入侵者是Internet的癡迷者����,常忍受著失眠的痛苦。
9 o# K7 s$ b( g) i. X6 Q■有一份和計(jì)算機(jī)相關(guān)的工作��。并不是每個(gè)入侵者都是把一天中的大部分時(shí)間投入到入侵行為中�。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作。0 D+ d+ y+ ?. b+ s- N4 B, L
■收集老的��、過時(shí)的但經(jīng)典的計(jì)算機(jī)硬件或軟件。
/ B5 Q, b' H2 R4 J" ]" |8 j! [- q! D
⒌典型目標(biāo)的特征
- I1 K: j# O8 [! x很難說什么才是典型目標(biāo)�,因?yàn)椴煌肭终邥?huì)因不同的原因而攻擊不同類型的網(wǎng)絡(luò)。然而一種常見的攻擊是小型的私有網(wǎng)��。因?yàn)椋?font class="jammer"> |& k. H, K8 r3 M
■網(wǎng)絡(luò)的擁有者們對(duì)Internet的使用還處于入門階段3 t$ M& y+ Q+ J3 x0 l
■其系統(tǒng)管理員更熟悉局域網(wǎng)���,而不是TCP/IP# m; d& v4 ^1 {4 ]) ^, d; s
■其設(shè)備和軟件都很陳舊(可能是過時(shí)的)
1 `- x b+ m4 ]; ^另一話題是熟悉性����。絕大多數(shù)入侵者從使用的角度而言能熟知兩個(gè)或多個(gè)操作系統(tǒng)���,但從入侵的角度來看��,他們通常僅了解某一個(gè)操作系統(tǒng)�����。很少的入侵者知道如何入侵多種平臺(tái)����。) w- ]# z0 W( C7 @! X( z1 O: ]
& W+ ]0 t7 d/ v/ y2 N2 L; r
大學(xué)是主要的攻擊對(duì)象�,部分原因是因?yàn)樗麄儞碛袠O強(qiáng)的運(yùn)算處理能力。( [: E; I4 }# g9 B' ^7 y
另個(gè)原因是網(wǎng)絡(luò)用戶過多。甚至在一個(gè)相對(duì)小的網(wǎng)段上就有幾百個(gè)用戶��。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)����,極有可能從如此的帳號(hào)中獲得一個(gè)入侵帳號(hào)�。其他常被攻擊的對(duì)象是政府網(wǎng)站。3 ~0 E1 A X" m1 |
/ K' m1 _: g3 i* u6 s8 u
⒍入侵者入侵的原因+ R1 O' Z% [; z$ H, I; t7 [
■怨恨
$ u' ^4 q# @! z0 J% t■挑戰(zhàn)' ?* I5 q% i8 z7 F- ]. D7 A
■愚蠢0 S6 B( q2 g( u- L8 j& \
■好奇
1 K3 Y, A2 }. s( M5 x+ t& G5 X■政治目的. |, J+ ?7 L. h0 ]% f S- r
所有的這些原因都是不道德的行為���,此行為過頭后便觸犯了法律��。觸犯法律可帶來一些令人激動(dòng)的感受�,這種感受又能消極地影響你的原因��。- p4 M |! K3 X; z9 z6 a4 r& B
4 j$ _, L/ g+ Y( S+ R# I0 `; ^) a& H) t⒎攻擊$ W# G' S6 Q: E; U& E
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)�����。但我的觀點(diǎn)是可能使一個(gè)網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”�����。即從一個(gè)入侵者開始在目標(biāo)機(jī)上工作的那個(gè)時(shí)間起����,攻擊就開始���。+ x7 r1 [3 t8 k# }0 M( P% [
可通過下面的文章了解入侵的事例:
, x! v0 l( t8 P% B" ^ftp://research.att.com/dist/internet_security/berferd.ps8 t/ N& g& F' r4 e
http://www.takedown.com/evidence/anklebiters/mlf/index.html) f' [" U4 H; S# x
http//www.alw.nih.gov/security/first/papers/general/holland.ps+ |: |) A. B+ Y
http://www.alw.nih.gov/security/first/papers/general/fuat.ps3 J5 g2 N K8 N+ U
http://www.alw.nih.gov/security/first/papers/general/hacker.txt8 [$ f( O4 Y! U3 M; y
! o. W( d0 M2 k. _# J
⒏入侵層次索引" `# e9 R: e3 `$ a7 E6 u
■郵件炸彈攻擊; n6 K! N, O; ?& Q6 E
■簡單拒絕服務(wù)
_) m1 x2 a3 r! @9 C5 x2 B■本地用戶獲得非授權(quán)讀訪問
`6 [- o. l# Z. L■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限
/ C2 g& a5 s, H }■遠(yuǎn)程用戶獲得了非授權(quán)的帳號(hào)+ N, V6 I8 K+ `2 K9 V% s L% n
■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限
0 `/ p; Y& u) L0 J+ ]■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限0 m- L4 I: A) \, s
■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡