本章闡述各種級別的攻擊���?����!肮簟笔侵溉魏蔚姆鞘跈?quán)行為��。這種行為的目的在于干擾��、破壞�����、摧毀你服務(wù)器的安全��。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器��。在你網(wǎng)絡(luò)上成功實(shí)施的攻擊的級別依賴于你采用的安全措施�����。1 s; I3 K+ V- O2 w( \( Y
) P+ K8 t+ D" `, h: |2 N
⒈攻擊會發(fā)生在何時���?, s7 w- U( f2 ?2 l) @% t; r/ F
大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜���。換句話說,如果你在洛杉磯而入侵者在倫敦�����,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中。你也許認(rèn)為入侵者會在白天(目標(biāo)所在地的時間)發(fā)起攻擊�����,因?yàn)榇罅康臄?shù)據(jù)傳輸能掩飾他們的行為����。有以下幾個原因說明為什么入侵者避免大白天進(jìn)行攻擊:
% {7 ~1 H) I: Z/ s2 d0 `■客觀原因����。在白天,大多數(shù)入侵者要工作�,上學(xué)或在其他環(huán)境中花費(fèi)時間,以至沒空進(jìn)行攻擊��。換句話就���,這些人不能在整天坐在計(jì)算機(jī)前面����。這和以前有所不同����,以前的入侵者是一些坐中家中無所事事的人��。- a9 a5 i" L& W- d
■速度原因����。網(wǎng)絡(luò)正變得越來越擁擠�,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間。最佳的時間段會根據(jù)目標(biāo)機(jī)所在地的不同而不同����。1 \3 I5 h! H0 |1 L* c
■保密原因。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞���,就假定這個時間是早上11點(diǎn)�����,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上�����。此時��,此入侵者能有何舉動�?恐怕很少�,因?yàn)橄到y(tǒng)管理員一旦發(fā)現(xiàn)有異常行為���。他們便會跟蹤而來。
Q( l& a. W# R3 d, E# M$ [; ?9 j) q入侵者總是喜歡攻擊那些沒有使用的機(jī)器��。有一次我利用在曰本的一臺工作臺從事攻擊行為��,因?yàn)榭瓷先]有人在此機(jī)器上登錄過�。隨后����,我便用那臺機(jī)器遠(yuǎn)程登錄回美國。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況�����。對于這類計(jì)算機(jī)�,你可以暫控制它,可按你的特殊要求對它進(jìn)行設(shè)置��,而且你有充足的時間來改變?nèi)罩?��。值得注意的是��,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r間)���。
M* P6 m9 q$ H: W& E5 f提示:如果你一直在進(jìn)行著大量的日志工作�����,并且只有有限的時間和資源來對這些日志進(jìn)行分析����,我建議你將主要精力集中在記錄昨夜的連接請求的日志����。這部分日志毫無疑問會提供令人感興趣的、異常的信息��。
" V1 u" Y7 C/ D( P
& q8 b* V4 M1 X6 m⒉入侵者使用何種操作系統(tǒng)���?
/ q% p8 } P6 G8 ^) q入侵者使用的操作系統(tǒng)各不相同��。UNIX是使用得最多的平臺����,其中包括FreeBSD和Linux���。
# C5 J# Z0 _+ k- m" x4 [⑴Sun
+ {- B' ~ ^0 A3 \$ J; p入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當(dāng)常見�。因?yàn)榧词惯@些產(chǎn)品是需要許可證,它們也易獲得��。一般而言�����,使用這些平臺的入侵者都是學(xué)生�,因?yàn)樗麄兛衫密浖a(chǎn)品賣給教育部門和學(xué)生時可打很大的折扣這一優(yōu)勢。再者�����,由于這些操作系統(tǒng)運(yùn)行在PC機(jī)上�,所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇����。
# D7 R% ~8 s- D# i0 B( ]⑵UNIX
1 |$ S2 K8 J' [* R5 ?+ G4 Z. }UNIX平臺受歡迎的原因之一是它只耗費(fèi)系統(tǒng)一小部分資源。
, {" W! J3 Z; j6 Y⑶Microsoft8 I% U0 P0 h* c8 I% _5 D5 `
Microsoft平臺支持許多合法的安全工具�,而這些工具可被用于攻擊遠(yuǎn)程主機(jī)。因此����,越來越多的入侵者正在使用Windows NT。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具��;而且NT正變得越來越流行,因?yàn)槿肭终咧浪麄儽仨毦ù似脚_��。由于NT成為更流行的Internet服務(wù)器的操作平臺�����,入侵者有必要知道如何入侵這些機(jī)器��。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性��。這樣�,你將看到利用NT作為入侵平臺的人會極劇增加。
8 G2 z2 m7 o! o2 _- ~* p( \- ?5 r/ p' K
⒊攻擊的源頭 t1 H J% r1 s' P; }8 z! O6 S
數(shù)年前�����,許多攻擊來源于大學(xué)�����,因?yàn)閺哪抢锬軐nternet進(jìn)行訪問�。大多數(shù)入侵者是年青人,沒有其他的地方比在大學(xué)更容易上Internet了�。自然地,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間。同時���,使用TCP/IP不像今天這樣簡單���。 o# j8 D) z" Z: R$ i; [' n: I
如今形勢發(fā)生了巨大的變化,入侵者可在他們的家里����、辦公室或車中入侵你的網(wǎng)絡(luò)。然而����,這里也有一些規(guī)律。, i: \( |7 |8 H& P0 h
+ E. L w( I4 j9 x4 J
⒋典型入侵者的特點(diǎn)% M7 H. p& u+ \1 L% }8 C
典型的入侵者至少具備下述幾個特點(diǎn):8 H @! J: ~ @' z9 {" \* M
■能用C�、C++或Perl進(jìn)行編碼��。因?yàn)樵S多基本的安全工具是用這些語言的某一種編寫的��。至少入侵者能正確地解釋�、編譯和執(zhí)行這些程序。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上����。同時他們還可能開發(fā)出可擴(kuò)展的工具來,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)。( i: D+ Y* G4 |# a* d5 x
■對TCP/IP有透徹的了解���,這是任何一個有能力的入侵者所必備的素質(zhì)�����。至少一個入侵者必須知道Internet如何運(yùn)轉(zhuǎn)的�����。% `4 }8 L. t4 @8 |/ q, m! V
■每月至少花50小時上Internet��。經(jīng)驗(yàn)不可替代的�����,入侵者必須要有豐富的經(jīng)驗(yàn)����。一些入侵者是Internet的癡迷者��,常忍受著失眠的痛苦����。
, P5 `- o) F! u■有一份和計(jì)算機(jī)相關(guān)的工作。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作�。/ ]- G) H# t7 G/ q
■收集老的、過時的但經(jīng)典的計(jì)算機(jī)硬件或軟件���。1 l1 D% X V# ]( U
6 e; N7 _5 | a1 J' Z+ o3 h) V
⒌典型目標(biāo)的特征) D6 V( g% a+ |8 ^4 J
很難說什么才是典型目標(biāo)�����,因?yàn)椴煌肭终邥虿煌脑蚨舨煌愋偷木W(wǎng)絡(luò)����。然而一種常見的攻擊是小型的私有網(wǎng)���。因?yàn)椋?br />
* W& p+ G" n. g/ ]* q9 a■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段3 i$ g: W4 h& \ Q7 x8 g
■其系統(tǒng)管理員更熟悉局域網(wǎng)�,而不是TCP/IP
7 @( T/ v4 W/ H■其設(shè)備和軟件都很陳舊(可能是過時的)- X m9 J1 E2 d% `! t
另一話題是熟悉性��。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)�,但從入侵的角度來看,他們通常僅了解某一個操作系統(tǒng)���。很少的入侵者知道如何入侵多種平臺。
! i4 @" \+ @5 a8 p7 N- B8 Z. z5 E/ T, W' X' u4 G4 K; \! _2 L+ X
大學(xué)是主要的攻擊對象����,部分原因是因?yàn)樗麄儞碛袠O強(qiáng)的運(yùn)算處理能力�����。
; Y" i1 X2 E4 \. s2 q+ G2 v另個原因是網(wǎng)絡(luò)用戶過多���。甚至在一個相對小的網(wǎng)段上就有幾百個用戶。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)����,極有可能從如此的帳號中獲得一個入侵帳號。其他常被攻擊的對象是政府網(wǎng)站����。; }. \( X% ]8 o/ s( ^; @, ?1 @ A9 ^
' P( E/ N: J. X+ ]
⒍入侵者入侵的原因
) L8 Y% u3 z6 D" Y* Z, j* Y■怨恨# c0 K' W, J( I6 {
■挑戰(zhàn)
2 O% w( [4 r1 X% @+ l9 F; R; l7 b■愚蠢; z. L) P6 F4 {) {) C) a
■好奇$ ~- u4 G/ Z! Z1 r
■政治目的+ r/ A% n. ^5 I8 E
所有的這些原因都是不道德的行為,此行為過頭后便觸犯了法律�����。觸犯法律可帶來一些令人激動的感受���,這種感受又能消極地影響你的原因���。
; S! \* G8 J/ L ^
# T! t; N% N# t' w4 V2 E1 i4 A" o⒎攻擊& V7 z& q; [- @3 M& K2 M3 w
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)��。但我的觀點(diǎn)是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”��。即從一個入侵者開始在目標(biāo)機(jī)上工作的那個時間起����,攻擊就開始��。
$ Q6 W8 k: ~- _* o u可通過下面的文章了解入侵的事例:
6 W/ L8 n: _- K, W+ ~. q! L* yftp://research.att.com/dist/internet_security/berferd.ps( w# N9 _, d+ I1 j
http://www.takedown.com/evidence/anklebiters/mlf/index.html
5 _% ^ Z* \' t, M0 L: Shttp//www.alw.nih.gov/security/first/papers/general/holland.ps' r) g# E; Q. `* P
http://www.alw.nih.gov/security/first/papers/general/fuat.ps" |; t3 V# E2 H/ ~4 L
http://www.alw.nih.gov/security/first/papers/general/hacker.txt
% T. ]9 S+ j; L' _
+ Y) s0 b/ P1 C⒏入侵層次索引
* R8 q2 M" j) a& a( j8 v2 U( |■郵件炸彈攻擊5 O. M! n' g3 x
■簡單拒絕服務(wù)# z. u" f, ~% D& q# W
■本地用戶獲得非授權(quán)讀訪問
* o4 e- ~5 J. a: A, O c+ _■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限8 }) J/ C5 v: U! S
■遠(yuǎn)程用戶獲得了非授權(quán)的帳號" S4 H- A, n% G: b6 f5 Z* z% D
■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限 F/ m5 Y- Y5 U. M9 H. V$ e
■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限% i4 y* A8 k. i g% I1 ~* d) g5 o
■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-12 16:32:43
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡