本章闡述各種級別的攻擊���。“攻擊”是指任何的非授權(quán)行為��。這種行為的目的在于干擾���、破壞����、摧毀你服務器的安全�。攻擊的范圍從簡單地使某服務無效到完全破壞你的服務器。在你網(wǎng)絡上成功實施的攻擊的級別依賴于你采用的安全措施�����。0 q1 D1 j0 u" S) _# l1 I; _# d- p
' V z2 {9 J6 \9 I; j/ }
⒈攻擊會發(fā)生在何時����?
8 t% e5 e! A( M) E8 s! L2 v! j3 ]大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務器所在地的深夜。換句話說���,如果你在洛杉磯而入侵者在倫敦��,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中���。你也許認為入侵者會在白天(目標所在地的時間)發(fā)起攻擊���,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為。有以下幾個原因說明為什么入侵者避免大白天進行攻擊:
3 y. r8 }, x' E4 y■客觀原因��。在白天�����,大多數(shù)入侵者要工作���,上學或在其他環(huán)境中花費時間�����,以至沒空進行攻擊��。換句話就����,這些人不能在整天坐在計算機前面��。這和以前有所不同,以前的入侵者是一些坐中家中無所事事的人�����。. f1 ^* S7 O9 m8 @7 g9 u/ T5 _
■速度原因�����。網(wǎng)絡正變得越來越擁擠��,因此最佳的工作時間是在網(wǎng)絡能提供高傳輸速度的時間速率的時間���。最佳的時間段會根據(jù)目標機所在地的不同而不同。
/ [; \/ k, t) H! Q■保密原因��。假設在某時某入侵者發(fā)現(xiàn)了一個漏洞��,就假定這個時間是早上11點�,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上。此時����,此入侵者能有何舉動?恐怕很少�,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為���。他們便會跟蹤而來。
9 W3 ?" J- G* C8 J3 U入侵者總是喜歡攻擊那些沒有使用的機器��。有一次我利用在曰本的一臺工作臺從事攻擊行為��,因為看上去沒有人在此機器上登錄過��。隨后��,我便用那臺機器遠程登錄回美國��。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況�����。對于這類計算機��,你可以暫控制它���,可按你的特殊要求對它進行設置�,而且你有充足的時間來改變?nèi)罩?�。值得注意的是���,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當?shù)貢r間)�。
) R) z8 R x i" d. t提示:如果你一直在進行著大量的日志工作,并且只有有限的時間和資源來對這些日志進行分析����,我建議你將主要精力集中在記錄昨夜的連接請求的日志。這部分日志毫無疑問會提供令人感興趣的�����、異常的信息���。9 L' f: w6 N2 g8 }2 B# F
# V4 Y; o1 v, k5 C' Z% ]
⒉入侵者使用何種操作系統(tǒng)?6 j; Y+ [ Q/ e1 t3 W8 H
入侵者使用的操作系統(tǒng)各不相同��。UNIX是使用得最多的平臺�,其中包括FreeBSD和Linux。8 p: l; I1 f! H5 h1 q
⑴Sun& C. ~* w% g# Y: H) e1 A
入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當常見�����。因為即使這些產(chǎn)品是需要許可證��,它們也易獲得�。一般而言����,使用這些平臺的入侵者都是學生��,因為他們可利用軟件產(chǎn)品賣給教育部門和學生時可打很大的折扣這一優(yōu)勢��。再者�����,由于這些操作系統(tǒng)運行在PC機上��,所以這些操作系統(tǒng)是更經(jīng)濟的選擇��。' k J5 `$ R1 Z" A
⑵UNIX
3 ~" I/ r) G% LUNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源�����。# q* f$ p! a D4 }( b7 h5 G( G; H
⑶Microsoft6 I8 Z1 D0 V) ?" i% T9 ?
Microsoft平臺支持許多合法的安全工具���,而這些工具可被用于攻擊遠程主機����。因此���,越來越多的入侵者正在使用Windows NT�。Windows Nt的性能遠遠超過Windows 95并有許多用于網(wǎng)絡的先進工具;而且NT正變得越來越流行�����,因為入侵者知道他們必須精通此平臺�。由于NT成為更流行的Internet服務器的操作平臺,入侵者有必要知道如何入侵這些機器�����。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性���。這樣,你將看到利用NT作為入侵平臺的人會極劇增加�����。
9 S* D& Y% F( M9 m# O
' @0 ?- ] }5 n% b/ E. e3 h3 Q⒊攻擊的源頭2 k1 g) m- D3 f/ F; T- [: x% U
數(shù)年前���,許多攻擊來源于大學�����,因為從那里能對Internet進行訪問���。大多數(shù)入侵者是年青人��,沒有其他的地方比在大學更容易上Internet了��。自然地�,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間��。同時�����,使用TCP/IP不像今天這樣簡單����。% Q$ {* I/ O1 ?" L; Q
如今形勢發(fā)生了巨大的變化,入侵者可在他們的家里���、辦公室或車中入侵你的網(wǎng)絡���。然而,這里也有一些規(guī)律。4 ?, C$ D, y6 H4 m+ ~: k# s8 B
; Q' d. g$ j" j! R3 W5 v
⒋典型入侵者的特點( ?$ f+ ]) Z6 m2 r5 z
典型的入侵者至少具備下述幾個特點:
. z* ^) g, }& R. G, a■能用C�����、C++或Perl進行編碼�。因為許多基本的安全工具是用這些語言的某一種編寫的。至少入侵者能正確地解釋���、編譯和執(zhí)行這些程序����。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上���。同時他們還可能開發(fā)出可擴展的工具來�����,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)��。+ t" s, H, |1 L, ?% r# a
■對TCP/IP有透徹的了解,這是任何一個有能力的入侵者所必備的素質(zhì)��。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的�����。
0 Y7 g7 K% U4 `4 [9 [# F) x& s■每月至少花50小時上Internet。經(jīng)驗不可替代的���,入侵者必須要有豐富的經(jīng)驗�。一些入侵者是Internet的癡迷者�,常忍受著失眠的痛苦。
9 X m0 t `+ }( x' A% e■有一份和計算機相關(guān)的工作�。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作��。
2 H3 P% B5 u+ q/ J# n2 V- |* f■收集老的�����、過時的但經(jīng)典的計算機硬件或軟件�����。
4 Z% \1 K; C/ I! `& B
+ z- r/ n. h4 D; E6 ^⒌典型目標的特征
( s" z- ~4 }& w5 ^- J; _很難說什么才是典型目標�����,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡��。然而一種常見的攻擊是小型的私有網(wǎng)。因為:; r# v% z6 ^; d* U+ `! b; N) x
■網(wǎng)絡的擁有者們對Internet的使用還處于入門階段# |+ D2 T' K) Q7 y M) D
■其系統(tǒng)管理員更熟悉局域網(wǎng)��,而不是TCP/IP' `8 C/ f2 ?- o2 Q0 _ B- r4 q
■其設備和軟件都很陳舊(可能是過時的)' [0 m( u# \8 C0 I) e2 ?$ o" J& w, M
另一話題是熟悉性��。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)�����,但從入侵的角度來看����,他們通常僅了解某一個操作系統(tǒng)。很少的入侵者知道如何入侵多種平臺���。3 i* S, K# e: j% ^& z7 v
* ?2 F! t! a/ Y! C9 @$ c- t/ ]大學是主要的攻擊對象�,部分原因是因為他們擁有極強的運算處理能力�����。
1 B9 L) D+ z4 a0 X3 T" C* ^, T另個原因是網(wǎng)絡用戶過多��。甚至在一個相對小的網(wǎng)段上就有幾百個用戶����。管理這種大型網(wǎng)絡是一件困難的任務,極有可能從如此的帳號中獲得一個入侵帳號���。其他常被攻擊的對象是政府網(wǎng)站�����。6 w7 b4 e2 i) V
/ h% i$ N' u; v/ d
⒍入侵者入侵的原因
: Q" l V% s8 s( J/ M1 L1 R* H. P■怨恨
/ U' l3 r3 s3 N7 M■挑戰(zhàn)
. G- U( X% P- b8 ?■愚蠢
5 u0 u2 m6 k: o0 ]$ f■好奇
& ?! I- `" k( Q4 q■政治目的
1 {6 g1 [% N. a/ G5 v7 ^所有的這些原因都是不道德的行為���,此行為過頭后便觸犯了法律。觸犯法律可帶來一些令人激動的感受���,這種感受又能消極地影響你的原因�����。" [2 }: f' S$ o G8 t+ `
9 E: v+ A7 I% a9 W' }⒎攻擊
& ?! h6 ^- Q: x" l1 Q! ]1 y4 b攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標網(wǎng)絡內(nèi)��。但我的觀點是可能使一個網(wǎng)絡受到破壞的所有行為都應稱為“攻擊”����。即從一個入侵者開始在目標機上工作的那個時間起�,攻擊就開始。8 ]" C6 W! Q( `& P7 f
可通過下面的文章了解入侵的事例:; r" I- ^' l7 w* t* J6 G7 `
ftp://research.att.com/dist/internet_security/berferd.ps
6 C( e* J1 H% x/ j) c! W: dhttp://www.takedown.com/evidence/anklebiters/mlf/index.html; V5 K- j* I2 B! V
http//www.alw.nih.gov/security/first/papers/general/holland.ps
0 Y9 e. P% ~" v5 D5 u7 V5 fhttp://www.alw.nih.gov/security/first/papers/general/fuat.ps6 K5 R7 m. Z7 O
http://www.alw.nih.gov/security/first/papers/general/hacker.txt9 X8 m; H& \& r, R, x
7 o1 I8 i, B( |9 i
⒏入侵層次索引; f6 u& y1 N$ @. R2 {, p' F3 j
■郵件炸彈攻擊! _, a6 p+ T; A P
■簡單拒絕服務
9 h2 W) W0 A6 s+ N0 N& k+ ]■本地用戶獲得非授權(quán)讀訪問
) p& A6 L) I- B2 g0 ?" a■本地用戶獲得他們本不應擁有的文件的寫權(quán)限
4 ]1 x9 u- F8 C8 D( P. F■遠程用戶獲得了非授權(quán)的帳號3 r: r3 c! d- ]# L; A# x4 f
■遠程用戶獲得了特權(quán)文件的讀權(quán)限
! I# c! f/ Z$ F' K _1 ?7 Z■遠程用戶獲得了特權(quán)文件的寫權(quán)限# \- n. ^- Y( v3 ?" _) G
■遠程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡