本章闡述各種級別的攻擊�。“攻擊”是指任何的非授權(quán)行為��。這種行為的目的在于干擾�����、破壞�����、摧毀你服務(wù)器的安全�。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器。在你網(wǎng)絡(luò)上成功實(shí)施的攻擊的級別依賴于你采用的安全措施���。
; L2 K5 }9 A5 Y& O6 p7 v
, I* c b4 J( a$ z* ^( K- F⒈攻擊會發(fā)生在何時�?- M6 G/ S- g. {
大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜��。換句話說,如果你在洛杉磯而入侵者在倫敦��,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中����。你也許認(rèn)為入侵者會在白天(目標(biāo)所在地的時間)發(fā)起攻擊,因?yàn)榇罅康臄?shù)據(jù)傳輸能掩飾他們的行為���。有以下幾個原因說明為什么入侵者避免大白天進(jìn)行攻擊:/ n) A0 k5 T9 F. f" U
■客觀原因�。在白天�����,大多數(shù)入侵者要工作���,上學(xué)或在其他環(huán)境中花費(fèi)時間�����,以至沒空進(jìn)行攻擊。換句話就����,這些人不能在整天坐在計(jì)算機(jī)前面。這和以前有所不同,以前的入侵者是一些坐中家中無所事事的人����。& `# w8 n! v) N7 b! G- N) y
■速度原因。網(wǎng)絡(luò)正變得越來越擁擠���,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間���。最佳的時間段會根據(jù)目標(biāo)機(jī)所在地的不同而不同。
; i. b9 o0 b' E2 u. |7 t4 A■保密原因�����。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞��,就假定這個時間是早上11點(diǎn)�,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上。此時�,此入侵者能有何舉動?恐怕很少���,因?yàn)橄到y(tǒng)管理員一旦發(fā)現(xiàn)有異常行為���。他們便會跟蹤而來���。" X% W+ K& d5 @8 ]; s1 u. I- }
入侵者總是喜歡攻擊那些沒有使用的機(jī)器。有一次我利用在曰本的一臺工作臺從事攻擊行為�,因?yàn)榭瓷先]有人在此機(jī)器上登錄過。隨后�����,我便用那臺機(jī)器遠(yuǎn)程登錄回美國��。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況��。對于這類計(jì)算機(jī)����,你可以暫控制它,可按你的特殊要求對它進(jìn)行設(shè)置�,而且你有充足的時間來改變?nèi)罩尽V档米⒁獾氖?���,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r間)。& X$ }4 \/ a5 H, M$ K7 b
提示:如果你一直在進(jìn)行著大量的日志工作�����,并且只有有限的時間和資源來對這些日志進(jìn)行分析�����,我建議你將主要精力集中在記錄昨夜的連接請求的日志����。這部分日志毫無疑問會提供令人感興趣的、異常的信息���。- c b1 S1 D1 i5 O
- F8 n8 b; ?& V⒉入侵者使用何種操作系統(tǒng)�����?- {% t4 m1 M$ j: j
入侵者使用的操作系統(tǒng)各不相同���。UNIX是使用得最多的平臺,其中包括FreeBSD和Linux���。0 ~; J4 m# _( N3 i& w$ A7 ~( J
⑴Sun
# |& d2 h( w4 B# M入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當(dāng)常見�。因?yàn)榧词惯@些產(chǎn)品是需要許可證����,它們也易獲得�����。一般而言����,使用這些平臺的入侵者都是學(xué)生���,因?yàn)樗麄兛衫密浖a(chǎn)品賣給教育部門和學(xué)生時可打很大的折扣這一優(yōu)勢����。再者����,由于這些操作系統(tǒng)運(yùn)行在PC機(jī)上,所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇�。' D+ a3 }6 t0 m+ [5 u0 o0 c! {
⑵UNIX8 D0 F1 r/ Q. h* q) C1 o9 e6 a
UNIX平臺受歡迎的原因之一是它只耗費(fèi)系統(tǒng)一小部分資源。
9 F7 Q! t# {8 ^2 f* {# ~: w4 q, @6 ?⑶Microsoft4 y1 W9 f& y; }
Microsoft平臺支持許多合法的安全工具����,而這些工具可被用于攻擊遠(yuǎn)程主機(jī)。因此���,越來越多的入侵者正在使用Windows NT�。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具���;而且NT正變得越來越流行���,因?yàn)槿肭终咧浪麄儽仨毦ù似脚_。由于NT成為更流行的Internet服務(wù)器的操作平臺����,入侵者有必要知道如何入侵這些機(jī)器。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性�。這樣,你將看到利用NT作為入侵平臺的人會極劇增加��。
5 ^3 p: I8 B& |% z
! j2 p+ y) d6 U6 K. N3 Z⒊攻擊的源頭" S) x" b( ^( Y2 e& M
數(shù)年前���,許多攻擊來源于大學(xué)�����,因?yàn)閺哪抢锬軐nternet進(jìn)行訪問���。大多數(shù)入侵者是年青人,沒有其他的地方比在大學(xué)更容易上Internet了�����。自然地,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間��。同時���,使用TCP/IP不像今天這樣簡單����。
! o% z( g( `- i q如今形勢發(fā)生了巨大的變化�����,入侵者可在他們的家里����、辦公室或車中入侵你的網(wǎng)絡(luò)。然而�,這里也有一些規(guī)律。
* G X7 c8 ]/ T/ m4 b) S2 f& I3 e* A* f' @- X
⒋典型入侵者的特點(diǎn). p$ [7 |( k& j6 z
典型的入侵者至少具備下述幾個特點(diǎn):2 L( B8 N5 W6 K# V( y! }% g
■能用C���、C++或Perl進(jìn)行編碼��。因?yàn)樵S多基本的安全工具是用這些語言的某一種編寫的�。至少入侵者能正確地解釋、編譯和執(zhí)行這些程序�����。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上���。同時他們還可能開發(fā)出可擴(kuò)展的工具來,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)�。
- F6 F/ A( p+ E4 p5 i, `■對TCP/IP有透徹的了解,這是任何一個有能力的入侵者所必備的素質(zhì)���。至少一個入侵者必須知道Internet如何運(yùn)轉(zhuǎn)的���。; V" j( Z% d+ z3 F
■每月至少花50小時上Internet。經(jīng)驗(yàn)不可替代的���,入侵者必須要有豐富的經(jīng)驗(yàn)��。一些入侵者是Internet的癡迷者���,常忍受著失眠的痛苦。
; v W; O: S3 {/ }% j8 e* {3 X■有一份和計(jì)算機(jī)相關(guān)的工作。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中�。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作。: R8 {1 H" g j) g
■收集老的���、過時的但經(jīng)典的計(jì)算機(jī)硬件或軟件��。
6 F; S5 D" V4 ?# d- |9 n$ w3 V6 q: W/ `8 a/ Y
⒌典型目標(biāo)的特征
, \7 Y \: O. z1 o很難說什么才是典型目標(biāo)��,因?yàn)椴煌肭终邥虿煌脑蚨舨煌愋偷木W(wǎng)絡(luò)��。然而一種常見的攻擊是小型的私有網(wǎng)�����。因?yàn)椋?br />
# K! ?* d( x5 a; K3 }. m9 \1 q) t; T■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段. ?; W5 m8 u3 O, {
■其系統(tǒng)管理員更熟悉局域網(wǎng)����,而不是TCP/IP* g' r) b" Z. F4 J% C" m; |
■其設(shè)備和軟件都很陳舊(可能是過時的)8 R+ [% T4 W1 E6 R% d
另一話題是熟悉性�。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng),但從入侵的角度來看���,他們通常僅了解某一個操作系統(tǒng)�。很少的入侵者知道如何入侵多種平臺���。
# H8 F3 B" P. `
4 E/ p/ s$ m# Q& `0 |$ M& E大學(xué)是主要的攻擊對象����,部分原因是因?yàn)樗麄儞碛袠O強(qiáng)的運(yùn)算處理能力。 g( V! M8 C! @; |3 K
另個原因是網(wǎng)絡(luò)用戶過多���。甚至在一個相對小的網(wǎng)段上就有幾百個用戶�����。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù),極有可能從如此的帳號中獲得一個入侵帳號���。其他常被攻擊的對象是政府網(wǎng)站���。1 j% p* @9 Q: E$ p8 L+ P0 [
* s0 c* b2 ^+ ~0 [
⒍入侵者入侵的原因
8 L6 r3 D7 H( v% H: a+ Q■怨恨
+ M0 h& r" F' s( D5 C■挑戰(zhàn)
9 o* f4 y2 h9 ] d+ z" X8 k■愚蠢
6 h: Z8 |5 G" ?$ d+ C" E% n0 y■好奇9 u. \. i7 `2 y6 ]; J. v$ a* H
■政治目的4 H: H6 t9 J5 `& v4 Q/ `, a% L
所有的這些原因都是不道德的行為,此行為過頭后便觸犯了法律����。觸犯法律可帶來一些令人激動的感受,這種感受又能消極地影響你的原因�����。
* w4 k* O! F% `! C# o3 o% p0 y' I7 t$ o! W% L3 M+ k
⒎攻擊8 U3 ~2 s! K9 O' [2 ^9 [
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)。但我的觀點(diǎn)是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”�。即從一個入侵者開始在目標(biāo)機(jī)上工作的那個時間起,攻擊就開始�。# M( `5 L; ?" y1 `/ t
可通過下面的文章了解入侵的事例:7 u- a9 k; u; F5 T6 r. w
ftp://research.att.com/dist/internet_security/berferd.ps
3 n9 ~: Q" k: Zhttp://www.takedown.com/evidence/anklebiters/mlf/index.html
1 l; j( I3 m; S7 k/ M, ehttp//www.alw.nih.gov/security/first/papers/general/holland.ps
6 ~% A! R# X& L. rhttp://www.alw.nih.gov/security/first/papers/general/fuat.ps
2 z* o1 U, r) N5 l, J7 f. j! phttp://www.alw.nih.gov/security/first/papers/general/hacker.txt
. H( ]8 ] b$ ^/ l0 P9 i/ g* N d9 m: l6 P' z- \
⒏入侵層次索引) H# a" X' {8 U8 X: W3 g- L
■郵件炸彈攻擊
Q5 ]" }! e8 H* c/ r■簡單拒絕服務(wù)* o$ ?) g+ b0 e/ |
■本地用戶獲得非授權(quán)讀訪問' Q+ n) v# N3 j/ ]' ?: @
■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限9 ?1 z& q& e, U4 {0 |( E
■遠(yuǎn)程用戶獲得了非授權(quán)的帳號2 y0 a7 |$ [- L6 S3 q* C
■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限
/ H, |- h4 u$ q8 U+ [■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限) i8 x: D0 @+ M) m
■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-12 16:32:43
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡