本章闡述各種級別的攻擊�。“攻擊”是指任何的非授權(quán)行為����。這種行為的目的在于干擾�����、破壞����、摧毀你服務(wù)器的安全�����。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器���。在你網(wǎng)絡(luò)上成功實施的攻擊的級別依賴于你采用的安全措施��。# }6 O% ~$ R+ W0 a* M; t
2 O4 S) D; b8 @* ] r⒈攻擊會發(fā)生在何時�����?7 ~" r6 ` ]6 H, A- n- M% X
大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜��。換句話說�,如果你在洛杉磯而入侵者在倫敦�,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中。你也許認為入侵者會在白天(目標所在地的時間)發(fā)起攻擊,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為�����。有以下幾個原因說明為什么入侵者避免大白天進行攻擊:
9 _* v+ C2 i# ?( K# E5 H■客觀原因�。在白天���,大多數(shù)入侵者要工作����,上學(xué)或在其他環(huán)境中花費時間�,以至沒空進行攻擊。換句話就��,這些人不能在整天坐在計算機前面�����。這和以前有所不同�����,以前的入侵者是一些坐中家中無所事事的人��。
1 Q: u$ w& W2 F3 D/ y■速度原因。網(wǎng)絡(luò)正變得越來越擁擠�����,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間��。最佳的時間段會根據(jù)目標機所在地的不同而不同�。8 x& F0 p& {: ]- m5 w& w, ]) j6 C
■保密原因。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞�,就假定這個時間是早上11點,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上�����。此時�����,此入侵者能有何舉動�?恐怕很少,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為�。他們便會跟蹤而來。! f* j# r* r( u, `- v& q3 n1 e
入侵者總是喜歡攻擊那些沒有使用的機器�。有一次我利用在曰本的一臺工作臺從事攻擊行為,因為看上去沒有人在此機器上登錄過��。隨后,我便用那臺機器遠程登錄回美國�����。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況��。對于這類計算機���,你可以暫控制它,可按你的特殊要求對它進行設(shè)置�,而且你有充足的時間來改變?nèi)罩尽V档米⒁獾氖?,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r間)。& K. C, [4 K, m9 }7 o. g2 l. M
提示:如果你一直在進行著大量的日志工作�,并且只有有限的時間和資源來對這些日志進行分析,我建議你將主要精力集中在記錄昨夜的連接請求的日志�。這部分日志毫無疑問會提供令人感興趣的、異常的信息����。+ v R( w; \: J4 ?5 Z. E
" Z4 L6 y8 x6 O' B+ K⒉入侵者使用何種操作系統(tǒng)?1 u# O2 r* E' V) m& n8 _
入侵者使用的操作系統(tǒng)各不相同�。UNIX是使用得最多的平臺,其中包括FreeBSD和Linux�。1 Z; M5 w# K- f
⑴Sun; D& h1 K: B$ L
入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當(dāng)常見�。因為即使這些產(chǎn)品是需要許可證�����,它們也易獲得�����。一般而言�,使用這些平臺的入侵者都是學(xué)生,因為他們可利用軟件產(chǎn)品賣給教育部門和學(xué)生時可打很大的折扣這一優(yōu)勢����。再者,由于這些操作系統(tǒng)運行在PC機上��,所以這些操作系統(tǒng)是更經(jīng)濟的選擇�。
/ C5 f; R* w( E! d⑵UNIX5 s" @9 f) f. q* v! J7 ~6 e6 i
UNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源。% @6 Z9 k: ^. `
⑶Microsoft
* j$ m0 p ?" z, zMicrosoft平臺支持許多合法的安全工具�,而這些工具可被用于攻擊遠程主機。因此�����,越來越多的入侵者正在使用Windows NT�。Windows Nt的性能遠遠超過Windows 95并有許多用于網(wǎng)絡(luò)的先進工具���;而且NT正變得越來越流行,因為入侵者知道他們必須精通此平臺�。由于NT成為更流行的Internet服務(wù)器的操作平臺,入侵者有必要知道如何入侵這些機器��。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性��。這樣�����,你將看到利用NT作為入侵平臺的人會極劇增加���。- E3 O: J8 J: x5 Z( s
0 q4 W/ b c3 c* n⒊攻擊的源頭. `7 N: E, h) `3 `) M% ~. ^
數(shù)年前,許多攻擊來源于大學(xué)�����,因為從那里能對Internet進行訪問��。大多數(shù)入侵者是年青人����,沒有其他的地方比在大學(xué)更容易上Internet了�����。自然地���,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間。同時���,使用TCP/IP不像今天這樣簡單��。6 K+ i$ C" A; ~1 v
如今形勢發(fā)生了巨大的變化���,入侵者可在他們的家里、辦公室或車中入侵你的網(wǎng)絡(luò)���。然而��,這里也有一些規(guī)律���。
. B; f' l, y9 ~( s' O$ s t; A9 T# u! i! Y) e4 M5 U
⒋典型入侵者的特點
( F3 p5 j: `* B9 n典型的入侵者至少具備下述幾個特點:
2 A& B: u- t) Z; Z■能用C、C++或Perl進行編碼�。因為許多基本的安全工具是用這些語言的某一種編寫的。至少入侵者能正確地解釋�����、編譯和執(zhí)行這些程序。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上��。同時他們還可能開發(fā)出可擴展的工具來�����,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)�。
$ t. N& R- s( l9 ]! [■對TCP/IP有透徹的了解,這是任何一個有能力的入侵者所必備的素質(zhì)�。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的。
& \3 ]) I7 X! f4 M2 j* j& v■每月至少花50小時上Internet��。經(jīng)驗不可替代的�����,入侵者必須要有豐富的經(jīng)驗��。一些入侵者是Internet的癡迷者�����,常忍受著失眠的痛苦�����。
1 Q4 s4 L1 ^- X0 `■有一份和計算機相關(guān)的工作��。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中�。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作。
2 a+ l; w# ?/ ~/ K Q■收集老的����、過時的但經(jīng)典的計算機硬件或軟件。+ \2 I( b8 \- m: L3 F* T
" g- C2 t1 e; _; M- x
⒌典型目標的特征 b- A& A6 V4 [
很難說什么才是典型目標��,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡(luò)�。然而一種常見的攻擊是小型的私有網(wǎng)。因為:8 k9 X3 |( c5 v( j, T) K
■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段+ t! Q. Z( A3 {3 _6 ?
■其系統(tǒng)管理員更熟悉局域網(wǎng)����,而不是TCP/IP
R! R/ @+ ~- \& S2 S ~4 W+ N■其設(shè)備和軟件都很陳舊(可能是過時的)
0 x3 e8 A" }9 U8 M8 i2 L2 O) F另一話題是熟悉性。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)���,但從入侵的角度來看�,他們通常僅了解某一個操作系統(tǒng)����。很少的入侵者知道如何入侵多種平臺��。
; N3 E. r! d; G; T3 t3 K
) e' Q7 n7 Q+ b& t- r5 r大學(xué)是主要的攻擊對象�,部分原因是因為他們擁有極強的運算處理能力���。
% y8 e0 a$ g2 F a' c- J( B% g另個原因是網(wǎng)絡(luò)用戶過多�。甚至在一個相對小的網(wǎng)段上就有幾百個用戶�。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù),極有可能從如此的帳號中獲得一個入侵帳號���。其他常被攻擊的對象是政府網(wǎng)站��。% g, k0 e! S! r+ ?: V+ `
+ _" i( L; A! {' x: T: [
⒍入侵者入侵的原因* S: ?1 k5 N+ F* M, B
■怨恨) X' d7 P! d4 H8 W; f9 p9 e
■挑戰(zhàn)# e9 C/ j4 A( n, O
■愚蠢* ^, _. O9 i5 Z6 R) d
■好奇
$ S6 o4 j8 |2 N' {, Z4 m■政治目的
4 ? G- ^$ b$ Q5 Q8 X9 P+ [所有的這些原因都是不道德的行為����,此行為過頭后便觸犯了法律��。觸犯法律可帶來一些令人激動的感受���,這種感受又能消極地影響你的原因。
6 O- S# Q8 Q9 S, V" i" D, q& u8 q( H5 o$ M7 y5 z
⒎攻擊
% X; ?+ ~ d5 b. f$ m* o攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標網(wǎng)絡(luò)內(nèi)��。但我的觀點是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”。即從一個入侵者開始在目標機上工作的那個時間起�����,攻擊就開始�。
- V M! Z2 ]' t可通過下面的文章了解入侵的事例:' q, V+ e A- M' C' o$ C- o
ftp://research.att.com/dist/internet_security/berferd.ps) n3 C4 ~# ~! Q+ v2 R
http://www.takedown.com/evidence/anklebiters/mlf/index.html
`/ h8 T& g; R( Rhttp//www.alw.nih.gov/security/first/papers/general/holland.ps
) P- ^! T# e8 Thttp://www.alw.nih.gov/security/first/papers/general/fuat.ps
# ^1 S& W t. T1 r9 }- Rhttp://www.alw.nih.gov/security/first/papers/general/hacker.txt- w, t V7 V# o9 @9 k
% } ?: [) J. |7 h⒏入侵層次索引9 Q* L0 b8 y. @" U- p
■郵件炸彈攻擊9 J2 M2 s! v" T1 U, S
■簡單拒絕服務(wù)2 ]. J" `7 D8 I t7 N7 Q# G$ P
■本地用戶獲得非授權(quán)讀訪問
$ w- n* q/ i3 g, f■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限
& k0 x* H- d3 _7 p1 v) S+ A% D6 [■遠程用戶獲得了非授權(quán)的帳號
d2 |5 r) |+ U■遠程用戶獲得了特權(quán)文件的讀權(quán)限/ l" ]+ ~" S$ V" S% `7 J
■遠程用戶獲得了特權(quán)文件的寫權(quán)限
% m/ N9 n* q1 z8 x■遠程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-12 16:32:43
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡