本章闡述各種級別的攻擊?�!肮簟笔侵溉魏蔚姆鞘跈?quán)行為��。這種行為的目的在于干擾���、破壞�、摧毀你服務(wù)器的安全��。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器����。在你網(wǎng)絡(luò)上成功實施的攻擊的級別依賴于你采用的安全措施�。
8 f0 @4 ~& A6 O3 W* e( U; ]6 v7 p# @; m
⒈攻擊會發(fā)生在何時��?$ r8 t2 {5 k4 {
大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜�����。換句話說����,如果你在洛杉磯而入侵者在倫敦,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中�。你也許認為入侵者會在白天(目標(biāo)所在地的時間)發(fā)起攻擊,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為�。有以下幾個原因說明為什么入侵者避免大白天進行攻擊:5 T) e: R2 G: m% v3 c8 D X
■客觀原因。在白天�����,大多數(shù)入侵者要工作��,上學(xué)或在其他環(huán)境中花費時間��,以至沒空進行攻擊�����。換句話就�����,這些人不能在整天坐在計算機前面�����。這和以前有所不同�����,以前的入侵者是一些坐中家中無所事事的人���。
# \& C' x& k7 O$ W2 p■速度原因�����。網(wǎng)絡(luò)正變得越來越擁擠���,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間。最佳的時間段會根據(jù)目標(biāo)機所在地的不同而不同���。
+ d7 Q; f1 u9 E■保密原因��。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞�����,就假定這個時間是早上11點���,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上�。此時�,此入侵者能有何舉動?恐怕很少����,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為。他們便會跟蹤而來��。
/ [- v2 O4 k; g9 I% X" u入侵者總是喜歡攻擊那些沒有使用的機器����。有一次我利用在曰本的一臺工作臺從事攻擊行為,因為看上去沒有人在此機器上登錄過���。隨后��,我便用那臺機器遠程登錄回美國��。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況�����。對于這類計算機���,你可以暫控制它,可按你的特殊要求對它進行設(shè)置���,而且你有充足的時間來改變?nèi)罩?���。值得注意的是����,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r間)。
+ A4 u6 ^5 k! v7 X% W( @提示:如果你一直在進行著大量的日志工作���,并且只有有限的時間和資源來對這些日志進行分析�,我建議你將主要精力集中在記錄昨夜的連接請求的日志�。這部分日志毫無疑問會提供令人感興趣的、異常的信息�。
1 i' C# r \& n( [
$ o( b5 |/ O; ?% H9 n⒉入侵者使用何種操作系統(tǒng)����?# V0 O1 v ?* Q# T3 V
入侵者使用的操作系統(tǒng)各不相同��。UNIX是使用得最多的平臺���,其中包括FreeBSD和Linux����。
' m8 y0 a1 w" U# `- ?* i* b) J⑴Sun
1 v( A, |1 h9 f! ]6 G, v: B入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當(dāng)常見�����。因為即使這些產(chǎn)品是需要許可證���,它們也易獲得�。一般而言�����,使用這些平臺的入侵者都是學(xué)生����,因為他們可利用軟件產(chǎn)品賣給教育部門和學(xué)生時可打很大的折扣這一優(yōu)勢����。再者�,由于這些操作系統(tǒng)運行在PC機上,所以這些操作系統(tǒng)是更經(jīng)濟的選擇����。
' g; H9 O" ?9 z( h" j% a( _⑵UNIX8 T* n# _2 |- V. J* F! y
UNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源��。5 R! p+ L& U: X0 ~% D7 k: d* s5 g) g
⑶Microsoft: J, H4 W0 Z/ f
Microsoft平臺支持許多合法的安全工具�����,而這些工具可被用于攻擊遠程主機���。因此��,越來越多的入侵者正在使用Windows NT�����。Windows Nt的性能遠遠超過Windows 95并有許多用于網(wǎng)絡(luò)的先進工具�;而且NT正變得越來越流行,因為入侵者知道他們必須精通此平臺����。由于NT成為更流行的Internet服務(wù)器的操作平臺,入侵者有必要知道如何入侵這些機器���。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性���。這樣,你將看到利用NT作為入侵平臺的人會極劇增加�����。+ G+ d. r) r( g: ]
& ~. s; k! V: X6 ]
⒊攻擊的源頭* u" ^3 R5 e7 O
數(shù)年前�,許多攻擊來源于大學(xué),因為從那里能對Internet進行訪問�。大多數(shù)入侵者是年青人,沒有其他的地方比在大學(xué)更容易上Internet了����。自然地,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間���。同時�����,使用TCP/IP不像今天這樣簡單��。
3 u* O4 Q* o X! B$ w0 c! w如今形勢發(fā)生了巨大的變化�,入侵者可在他們的家里、辦公室或車中入侵你的網(wǎng)絡(luò)�����。然而�����,這里也有一些規(guī)律�。/ \# _( A2 T5 s1 i- ?, `
t* T" O2 t4 h' G
⒋典型入侵者的特點( D8 g& w3 G3 D
典型的入侵者至少具備下述幾個特點:. K0 a5 d9 `( v6 Z0 Y
■能用C���、C++或Perl進行編碼�。因為許多基本的安全工具是用這些語言的某一種編寫的��。至少入侵者能正確地解釋����、編譯和執(zhí)行這些程序。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上。同時他們還可能開發(fā)出可擴展的工具來��,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)��。
1 V& ?4 P: K: X" y: k■對TCP/IP有透徹的了解�,這是任何一個有能力的入侵者所必備的素質(zhì)。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的����。3 _$ y; Z# H0 r3 V
■每月至少花50小時上Internet。經(jīng)驗不可替代的�,入侵者必須要有豐富的經(jīng)驗。一些入侵者是Internet的癡迷者�,常忍受著失眠的痛苦。9 V2 I+ P; O. D5 v3 [
■有一份和計算機相關(guān)的工作�。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作����。
0 k% H8 {9 v3 m! M; p■收集老的、過時的但經(jīng)典的計算機硬件或軟件���。
8 v8 G; |$ ^& @
5 l+ V2 T- u% } b⒌典型目標(biāo)的特征
4 v! G7 k8 Z5 M, Y% B7 x9 H很難說什么才是典型目標(biāo)��,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡(luò)����。然而一種常見的攻擊是小型的私有網(wǎng)。因為:
: u7 L2 ]7 v9 y% y* [2 O' s+ i■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段 q: T( ?9 s3 S& s0 e- I; ~
■其系統(tǒng)管理員更熟悉局域網(wǎng)��,而不是TCP/IP
2 q# k; U+ L7 {8 ]: |& {2 a4 H4 B W■其設(shè)備和軟件都很陳舊(可能是過時的)* z9 Q' T5 l4 U1 v) D& a
另一話題是熟悉性��。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)�����,但從入侵的角度來看��,他們通常僅了解某一個操作系統(tǒng)����。很少的入侵者知道如何入侵多種平臺。
6 v) O# D" [ |/ C1 b* ]- R# V( u( E" J0 B' B" s: f
大學(xué)是主要的攻擊對象����,部分原因是因為他們擁有極強的運算處理能力�����。
6 u% r P7 x8 r/ B另個原因是網(wǎng)絡(luò)用戶過多��。甚至在一個相對小的網(wǎng)段上就有幾百個用戶。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)��,極有可能從如此的帳號中獲得一個入侵帳號�。其他常被攻擊的對象是政府網(wǎng)站。
* b w% [' h6 n+ ^
- D, L7 D" g1 A1 d0 s7 E) |⒍入侵者入侵的原因& F' D0 [3 a+ f; n) k" O( u
■怨恨
* ]2 H+ l1 z8 q6 J2 V; V5 Z■挑戰(zhàn)
: J: j: {+ T0 a9 G+ X0 N■愚蠢4 V' q9 W# S( R8 e; r! J" c
■好奇: D1 n R9 d1 i0 J" k9 S F
■政治目的* ^* G, B2 y( Q g
所有的這些原因都是不道德的行為���,此行為過頭后便觸犯了法律���。觸犯法律可帶來一些令人激動的感受,這種感受又能消極地影響你的原因����。
3 o7 u" Y+ C; `8 V/ P4 E6 F+ h, z _5 k4 X: m9 o" ]
⒎攻擊
/ A9 ~7 ^0 X3 P! o7 {攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)。但我的觀點是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”���。即從一個入侵者開始在目標(biāo)機上工作的那個時間起��,攻擊就開始��。9 G% d; {# L) X
可通過下面的文章了解入侵的事例:* p( W7 |7 P _3 |+ Z3 ~
ftp://research.att.com/dist/internet_security/berferd.ps; T K& y" E- N$ q- N! J3 f- |$ d7 W4 G
http://www.takedown.com/evidence/anklebiters/mlf/index.html
3 x6 r+ G7 \. ~http//www.alw.nih.gov/security/first/papers/general/holland.ps
& p4 ]0 D7 }/ S/ l1 P" U8 \% uhttp://www.alw.nih.gov/security/first/papers/general/fuat.ps6 I' p: p9 N c9 }& ] X
http://www.alw.nih.gov/security/first/papers/general/hacker.txt
1 P6 F7 W% d1 _( A* A: z* l& n
" y, |6 }) b0 M" R⒏入侵層次索引
4 I J- [6 T5 w4 x2 u% ]■郵件炸彈攻擊
3 L7 T2 p a, I4 q7 P/ j1 y; p■簡單拒絕服務(wù)! \5 E4 a, w& n
■本地用戶獲得非授權(quán)讀訪問3 j& ]! W* k7 p+ Q" m
■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限
0 g; X+ ^( M+ ^& L, _/ z■遠程用戶獲得了非授權(quán)的帳號! P. N/ a6 m, O
■遠程用戶獲得了特權(quán)文件的讀權(quán)限
4 N3 H- l$ ~/ |8 o& [* A- A■遠程用戶獲得了特權(quán)文件的寫權(quán)限- l9 u) R' P: {& P
■遠程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-12 16:32:43
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡