本章闡述各種級別的攻擊?��!肮簟笔侵溉魏蔚姆鞘跈?quán)行為��。這種行為的目的在于干擾��、破壞��、摧毀你服務(wù)器的安全��。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器�����。在你網(wǎng)絡(luò)上成功實施的攻擊的級別依賴于你采用的安全措施���。
' g# N$ U9 y7 @( `- x- l
) |4 M2 E3 V2 E7 [2 J⒈攻擊會發(fā)生在何時����?
! I3 @; i& S) d7 p) m! j1 h4 H大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜�����。換句話說�,如果你在洛杉磯而入侵者在倫敦,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中�。你也許認為入侵者會在白天(目標所在地的時間)發(fā)起攻擊,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為��。有以下幾個原因說明為什么入侵者避免大白天進行攻擊:
) s) N; [' P; o( p■客觀原因。在白天����,大多數(shù)入侵者要工作,上學(xué)或在其他環(huán)境中花費時間�����,以至沒空進行攻擊���。換句話就�,這些人不能在整天坐在計算機前面�。這和以前有所不同�,以前的入侵者是一些坐中家中無所事事的人。! L7 k2 Z8 F, }' O4 z
■速度原因����。網(wǎng)絡(luò)正變得越來越擁擠,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間��。最佳的時間段會根據(jù)目標機所在地的不同而不同�。
) J; D5 b% P& k" u ]0 j■保密原因。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞���,就假定這個時間是早上11點����,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上。此時����,此入侵者能有何舉動?恐怕很少�,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為。他們便會跟蹤而來�����。
" z& ]$ Y4 r. q/ B4 K( E入侵者總是喜歡攻擊那些沒有使用的機器���。有一次我利用在曰本的一臺工作臺從事攻擊行為����,因為看上去沒有人在此機器上登錄過�。隨后,我便用那臺機器遠程登錄回美國����。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況����。對于這類計算機�,你可以暫控制它,可按你的特殊要求對它進行設(shè)置����,而且你有充足的時間來改變?nèi)罩尽V档米⒁獾氖?�,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r間)����。
; B/ n0 j/ M$ S1 Q% U( A% o+ n7 V) c提示:如果你一直在進行著大量的日志工作,并且只有有限的時間和資源來對這些日志進行分析��,我建議你將主要精力集中在記錄昨夜的連接請求的日志��。這部分日志毫無疑問會提供令人感興趣的��、異常的信息����。8 v* S+ E/ J- o
) h+ d8 h( E& w: d& z- c! Z⒉入侵者使用何種操作系統(tǒng)�?; c9 F/ G. R+ k9 b. A
入侵者使用的操作系統(tǒng)各不相同����。UNIX是使用得最多的平臺���,其中包括FreeBSD和Linux�����。" f4 B$ i; V5 F0 i9 t2 ~
⑴Sun/ c0 B+ I5 w: B6 X1 O
入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當(dāng)常見��。因為即使這些產(chǎn)品是需要許可證�,它們也易獲得��。一般而言�,使用這些平臺的入侵者都是學(xué)生,因為他們可利用軟件產(chǎn)品賣給教育部門和學(xué)生時可打很大的折扣這一優(yōu)勢�。再者,由于這些操作系統(tǒng)運行在PC機上�,所以這些操作系統(tǒng)是更經(jīng)濟的選擇。
W9 [, k4 f7 D* b⑵UNIX6 R3 |* \: }* t1 k
UNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源��。( F% U$ M) G( a5 m2 `5 \6 Y: }5 v6 J/ |
⑶Microsoft0 z. y2 f9 h! y. ^2 v; z
Microsoft平臺支持許多合法的安全工具��,而這些工具可被用于攻擊遠程主機�。因此����,越來越多的入侵者正在使用Windows NT���。Windows Nt的性能遠遠超過Windows 95并有許多用于網(wǎng)絡(luò)的先進工具����;而且NT正變得越來越流行��,因為入侵者知道他們必須精通此平臺�。由于NT成為更流行的Internet服務(wù)器的操作平臺,入侵者有必要知道如何入侵這些機器��。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性��。這樣�����,你將看到利用NT作為入侵平臺的人會極劇增加�。$ k9 V2 @9 b. W6 v' _* R0 M
! A: O& E+ E! J
⒊攻擊的源頭
) B/ Y0 J% H( q6 _- N/ @4 H數(shù)年前���,許多攻擊來源于大學(xué)��,因為從那里能對Internet進行訪問��。大多數(shù)入侵者是年青人�,沒有其他的地方比在大學(xué)更容易上Internet了。自然地���,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間�。同時��,使用TCP/IP不像今天這樣簡單�����。) ]' {0 P u8 C) c6 @2 K4 w
如今形勢發(fā)生了巨大的變化��,入侵者可在他們的家里�����、辦公室或車中入侵你的網(wǎng)絡(luò)�����。然而���,這里也有一些規(guī)律���。
( \9 |4 b* d* \! J2 x) G% W0 w6 N% K4 _) j' \! V. |
⒋典型入侵者的特點9 C4 @* Q) O% v$ t. J
典型的入侵者至少具備下述幾個特點:4 }2 W" @" |8 |% e8 Q; h
■能用C���、C++或Perl進行編碼。因為許多基本的安全工具是用這些語言的某一種編寫的����。至少入侵者能正確地解釋、編譯和執(zhí)行這些程序�。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上。同時他們還可能開發(fā)出可擴展的工具來�����,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)����。& }, m$ D3 k* m8 G" t0 b# Y
■對TCP/IP有透徹的了解,這是任何一個有能力的入侵者所必備的素質(zhì)���。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的��。5 P1 Y/ g% Y0 _6 Q
■每月至少花50小時上Internet��。經(jīng)驗不可替代的�,入侵者必須要有豐富的經(jīng)驗�����。一些入侵者是Internet的癡迷者���,常忍受著失眠的痛苦��。
+ |+ O5 L; t$ p1 q8 a0 w8 x" [■有一份和計算機相關(guān)的工作��。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中�。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作����。
! `# m$ t7 @) h" }0 i8 P■收集老的、過時的但經(jīng)典的計算機硬件或軟件����。
5 u, @2 k; u: w8 v' I4 P" L. B
: }$ _) W% c* e⒌典型目標的特征
3 B' d, k6 F. z: F* ^: j4 _( W M很難說什么才是典型目標,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡(luò)��。然而一種常見的攻擊是小型的私有網(wǎng)。因為:9 D( `; ]6 \& z+ n4 }7 Z% ~
■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段, h6 E8 c3 X$ \( ?' I) A
■其系統(tǒng)管理員更熟悉局域網(wǎng)�����,而不是TCP/IP
( M: n. m, }/ N3 o R■其設(shè)備和軟件都很陳舊(可能是過時的)
# \7 K' Z$ a3 F4 S. a另一話題是熟悉性��。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)��,但從入侵的角度來看����,他們通常僅了解某一個操作系統(tǒng)。很少的入侵者知道如何入侵多種平臺���。" M7 x: p. J6 e& O$ [# ^
2 \, T* _9 }% I9 c) ?& r2 n& n) g大學(xué)是主要的攻擊對象���,部分原因是因為他們擁有極強的運算處理能力。1 x/ r2 ?) v: u8 n, X
另個原因是網(wǎng)絡(luò)用戶過多���。甚至在一個相對小的網(wǎng)段上就有幾百個用戶�����。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)����,極有可能從如此的帳號中獲得一個入侵帳號。其他常被攻擊的對象是政府網(wǎng)站���。
6 H2 r+ ]# t, P* L0 F U
0 }2 H; I: V6 P1 t" E1 B5 G⒍入侵者入侵的原因
5 W! X5 [9 F8 k: G9 V■怨恨0 y3 c; y0 p! W+ O8 n$ G0 |
■挑戰(zhàn)5 |! o8 T7 u$ K0 f8 V
■愚蠢
( h+ V% q9 }- j" c" M) C■好奇
0 P; d- r9 S0 G* ]* q' s6 V7 ?■政治目的
9 s; f7 m+ V A所有的這些原因都是不道德的行為���,此行為過頭后便觸犯了法律�����。觸犯法律可帶來一些令人激動的感受�,這種感受又能消極地影響你的原因。
5 `+ ]: o. P$ \/ W9 v( d* t$ `7 R& {; j) ?! s4 a- h& \3 E
⒎攻擊: g: S8 B9 ?) k( m
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標網(wǎng)絡(luò)內(nèi)�。但我的觀點是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”。即從一個入侵者開始在目標機上工作的那個時間起�,攻擊就開始。8 b* O5 Z- x2 Y, R7 m6 ?& }
可通過下面的文章了解入侵的事例:; R+ e# A/ L( A5 y% h9 E( O# G
ftp://research.att.com/dist/internet_security/berferd.ps
0 a, k+ k, Z* w8 l) c" G7 j9 m) nhttp://www.takedown.com/evidence/anklebiters/mlf/index.html# F. t0 K1 N5 Y
http//www.alw.nih.gov/security/first/papers/general/holland.ps
: P$ q9 p; M6 ^/ S; [' rhttp://www.alw.nih.gov/security/first/papers/general/fuat.ps. F% R% W. m+ |
http://www.alw.nih.gov/security/first/papers/general/hacker.txt
( u5 }" h3 a# Y0 n# I" R; b: y) E+ v6 L7 w* w1 d6 J4 W
⒏入侵層次索引
{0 Q4 O0 j0 L2 p9 y/ K* b■郵件炸彈攻擊2 J6 T9 e% K$ C" v9 l8 X* I
■簡單拒絕服務(wù)
) V7 F K/ ?, n* ^■本地用戶獲得非授權(quán)讀訪問
( u1 _. [) n/ i1 H2 ^9 ~2 n■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限) T( P! H, |9 ^
■遠程用戶獲得了非授權(quán)的帳號
6 [2 J$ B7 ]! d [3 t! F■遠程用戶獲得了特權(quán)文件的讀權(quán)限$ C( @* A- e! Y" h6 B+ f
■遠程用戶獲得了特權(quán)文件的寫權(quán)限
% z$ M5 a, L" W' G■遠程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡