本章闡述各種級別的攻擊����?���!肮簟笔侵溉魏蔚姆鞘跈?quán)行為���。這種行為的目的在于干擾���、破壞、摧毀你服務(wù)器的安全���。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器����。在你網(wǎng)絡(luò)上成功實施的攻擊的級別依賴于你采用的安全措施�����。9 i8 R, Y9 y- V# M2 m2 F
# J$ M* {' _1 S9 d⒈攻擊會發(fā)生在何時�?" q# N& ^: t9 y
大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜。換句話說����,如果你在洛杉磯而入侵者在倫敦�����,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中�。你也許認為入侵者會在白天(目標所在地的時間)發(fā)起攻擊�,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為。有以下幾個原因說明為什么入侵者避免大白天進行攻擊:6 O6 {& @6 k' e1 g# E8 K R1 j: w
■客觀原因����。在白天,大多數(shù)入侵者要工作�����,上學或在其他環(huán)境中花費時間����,以至沒空進行攻擊。換句話就�,這些人不能在整天坐在計算機前面。這和以前有所不同�,以前的入侵者是一些坐中家中無所事事的人。
# W0 K; U) y( w% E9 Z# p& [7 a3 Z9 g( ]■速度原因。網(wǎng)絡(luò)正變得越來越擁擠�,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間。最佳的時間段會根據(jù)目標機所在地的不同而不同�����。
~) X8 p Z. B■保密原因�����。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞�����,就假定這個時間是早上11點����,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上���。此時���,此入侵者能有何舉動?恐怕很少�����,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為。他們便會跟蹤而來����。
: _3 Y# i3 k0 \入侵者總是喜歡攻擊那些沒有使用的機器。有一次我利用在曰本的一臺工作臺從事攻擊行為�,因為看上去沒有人在此機器上登錄過。隨后�,我便用那臺機器遠程登錄回美國。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況���。對于這類計算機��,你可以暫控制它��,可按你的特殊要求對它進行設(shè)置�����,而且你有充足的時間來改變?nèi)罩?�。值得注意的是�,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當?shù)貢r間)��。
! a9 m3 U; ?% U; _2 z4 \提示:如果你一直在進行著大量的日志工作,并且只有有限的時間和資源來對這些日志進行分析�,我建議你將主要精力集中在記錄昨夜的連接請求的日志。這部分日志毫無疑問會提供令人感興趣的���、異常的信息�����。
- u: r# F9 ~8 v' ?: w: k
0 h; T( K* E( C5 F3 a; c0 _- u# A2 d⒉入侵者使用何種操作系統(tǒng)����?
7 s ~) b& J: v# K入侵者使用的操作系統(tǒng)各不相同��。UNIX是使用得最多的平臺��,其中包括FreeBSD和Linux��。
- V1 P, `+ ` p+ J5 }/ j⑴Sun7 @! E3 f* E( F2 ~
入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當常見�����。因為即使這些產(chǎn)品是需要許可證���,它們也易獲得。一般而言,使用這些平臺的入侵者都是學生���,因為他們可利用軟件產(chǎn)品賣給教育部門和學生時可打很大的折扣這一優(yōu)勢���。再者,由于這些操作系統(tǒng)運行在PC機上��,所以這些操作系統(tǒng)是更經(jīng)濟的選擇�����。
' W7 q+ k3 E5 v- x# N3 D⑵UNIX) p$ Q i! l Q+ \2 l
UNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源����。1 {1 O, p" `) s9 c9 U8 N: {5 \
⑶Microsoft- v: h4 j- G- L: m: e
Microsoft平臺支持許多合法的安全工具,而這些工具可被用于攻擊遠程主機���。因此�,越來越多的入侵者正在使用Windows NT��。Windows Nt的性能遠遠超過Windows 95并有許多用于網(wǎng)絡(luò)的先進工具��;而且NT正變得越來越流行�����,因為入侵者知道他們必須精通此平臺。由于NT成為更流行的Internet服務(wù)器的操作平臺�,入侵者有必要知道如何入侵這些機器。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性����。這樣,你將看到利用NT作為入侵平臺的人會極劇增加��。
0 P+ O" E- o8 M) H- m* A( z* m$ v6 `& w' ~
⒊攻擊的源頭, T0 l' O6 C3 B
數(shù)年前�����,許多攻擊來源于大學�����,因為從那里能對Internet進行訪問��。大多數(shù)入侵者是年青人����,沒有其他的地方比在大學更容易上Internet了�。自然地�,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間��。同時��,使用TCP/IP不像今天這樣簡單���。4 Q& B' w- \5 S7 L
如今形勢發(fā)生了巨大的變化��,入侵者可在他們的家里�、辦公室或車中入侵你的網(wǎng)絡(luò)�����。然而��,這里也有一些規(guī)律�。" o9 d) M2 [4 W) d
+ d2 I0 l8 w* }' X5 D! t
⒋典型入侵者的特點
& ?0 L; x2 g% U2 t6 Y典型的入侵者至少具備下述幾個特點:
2 n4 l1 I/ @1 Y0 g■能用C、C++或Perl進行編碼����。因為許多基本的安全工具是用這些語言的某一種編寫的。至少入侵者能正確地解釋����、編譯和執(zhí)行這些程序���。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上。同時他們還可能開發(fā)出可擴展的工具來��,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)�����。4 F% Z3 f; S: P1 Y3 I
■對TCP/IP有透徹的了解�,這是任何一個有能力的入侵者所必備的素質(zhì)。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的�。: P* V8 _( F7 ~
■每月至少花50小時上Internet。經(jīng)驗不可替代的��,入侵者必須要有豐富的經(jīng)驗����。一些入侵者是Internet的癡迷者,常忍受著失眠的痛苦�����。$ i" Q3 T. S# B8 L5 h
■有一份和計算機相關(guān)的工作����。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作�。* a- x* B* }7 B7 ^+ z- p0 j
■收集老的、過時的但經(jīng)典的計算機硬件或軟件����。
2 o d7 R# \7 P0 y. Q
" m* }! V' F4 i+ C) g3 U" K7 y( D⒌典型目標的特征% J6 g3 Z ?, | z( }
很難說什么才是典型目標,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡(luò)����。然而一種常見的攻擊是小型的私有網(wǎng)。因為: [, j- m ` F7 [6 F8 n7 [
■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段+ a! O' z; F: f4 X; [1 M' o, K
■其系統(tǒng)管理員更熟悉局域網(wǎng)�,而不是TCP/IP
$ i6 H: A5 N/ M0 b3 [! m2 k" T( Y) y■其設(shè)備和軟件都很陳舊(可能是過時的)
* b2 P) e- f* V j* ~1 \/ T8 X另一話題是熟悉性。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)��,但從入侵的角度來看���,他們通常僅了解某一個操作系統(tǒng)����。很少的入侵者知道如何入侵多種平臺�����。$ ~# p8 c' @6 \# Y/ L3 v
' G; z& v4 e6 C2 j; J h/ M
大學是主要的攻擊對象�,部分原因是因為他們擁有極強的運算處理能力�。
' ?5 y! q `, C! u另個原因是網(wǎng)絡(luò)用戶過多���。甚至在一個相對小的網(wǎng)段上就有幾百個用戶����。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)�����,極有可能從如此的帳號中獲得一個入侵帳號���。其他常被攻擊的對象是政府網(wǎng)站��。: y7 W+ b$ ]# f
3 K2 b5 ?: \8 Z3 \ P2 C4 d⒍入侵者入侵的原因 e4 H+ O( U/ D0 P. N( {6 a; c; J7 e1 r
■怨恨
! }3 }* S; `+ Z7 C( ^% c/ j. k- j■挑戰(zhàn)1 ]9 z& C" X0 \# H" J
■愚蠢3 L7 ^! K: {# M5 F+ w
■好奇0 T% B0 t8 u2 L( K2 o0 s1 W
■政治目的
" K# u9 V& h6 U( W5 w- @* p+ ^所有的這些原因都是不道德的行為�����,此行為過頭后便觸犯了法律��。觸犯法律可帶來一些令人激動的感受��,這種感受又能消極地影響你的原因�����。& Z2 @, D3 p* g9 \2 ?5 x
6 O2 j6 y% w6 u+ G3 W9 z⒎攻擊8 S7 x2 @9 j# Y* I
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標網(wǎng)絡(luò)內(nèi)�����。但我的觀點是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”���。即從一個入侵者開始在目標機上工作的那個時間起,攻擊就開始����。/ g2 C5 m# I; n, n! X1 T. V- R
可通過下面的文章了解入侵的事例:
$ d5 d( [" @, k0 cftp://research.att.com/dist/internet_security/berferd.ps2 ? H9 Q5 p. j a2 V
http://www.takedown.com/evidence/anklebiters/mlf/index.html) l" A* c& B; [' o8 P
http//www.alw.nih.gov/security/first/papers/general/holland.ps! D2 \3 L% ^9 u; r2 a! O- c- B& i/ \4 k4 S
http://www.alw.nih.gov/security/first/papers/general/fuat.ps& r& I. S1 q' N( F- E
http://www.alw.nih.gov/security/first/papers/general/hacker.txt- J( R. W6 M% G2 t, X A! ]
" A' F3 x9 `! |5 n0 J⒏入侵層次索引 k& R) I! W& |! n3 @7 L
■郵件炸彈攻擊
8 R: Q) c9 y1 ^9 N■簡單拒絕服務(wù)+ P% X7 l, M. X$ O, ~" Q
■本地用戶獲得非授權(quán)讀訪問
$ _6 j/ F3 ]' I* j- F7 w5 b i■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限: g+ ^: v7 _* Z& [$ A! i9 k
■遠程用戶獲得了非授權(quán)的帳號
8 L. Y4 z* D+ B, g& A) n■遠程用戶獲得了特權(quán)文件的讀權(quán)限
5 B5 y) }: G' T) U. D; j■遠程用戶獲得了特權(quán)文件的寫權(quán)限
6 [4 \& j4 x! r■遠程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-12 16:32:43
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡