本章闡述各種級別的攻擊?!肮簟笔侵溉魏蔚姆鞘跈?quán)行為。這種行為的目的在于干擾����、破壞、摧毀你服務(wù)器的安全�。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器。在你網(wǎng)絡(luò)上成功實施的攻擊的級別依賴于你采用的安全措施���。, a; \$ R- p# T
) q5 k% G/ H" t, N9 S
⒈攻擊會發(fā)生在何時����?
0 \) F/ f# k& ~) k; ]大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜。換句話說��,如果你在洛杉磯而入侵者在倫敦��,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中����。你也許認(rèn)為入侵者會在白天(目標(biāo)所在地的時間)發(fā)起攻擊,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為�����。有以下幾個原因說明為什么入侵者避免大白天進(jìn)行攻擊:* s9 h1 Z3 X$ A) k& b( p
■客觀原因�����。在白天�����,大多數(shù)入侵者要工作���,上學(xué)或在其他環(huán)境中花費(fèi)時間���,以至沒空進(jìn)行攻擊�����。換句話就�����,這些人不能在整天坐在計算機(jī)前面��。這和以前有所不同�,以前的入侵者是一些坐中家中無所事事的人�����。
+ w+ v( Y6 K' T7 Q. ^6 T■速度原因�。網(wǎng)絡(luò)正變得越來越擁擠���,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間��。最佳的時間段會根據(jù)目標(biāo)機(jī)所在地的不同而不同��。
, y+ [$ |- Z( z. T: [. D■保密原因���。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞����,就假定這個時間是早上11點��,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上�����。此時�,此入侵者能有何舉動?恐怕很少�����,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為��。他們便會跟蹤而來���。7 R0 v4 w# x" }* Z4 y! |1 N
入侵者總是喜歡攻擊那些沒有使用的機(jī)器����。有一次我利用在曰本的一臺工作臺從事攻擊行為,因為看上去沒有人在此機(jī)器上登錄過�����。隨后�,我便用那臺機(jī)器遠(yuǎn)程登錄回美國。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況���。對于這類計算機(jī)�,你可以暫控制它���,可按你的特殊要求對它進(jìn)行設(shè)置��,而且你有充足的時間來改變?nèi)罩?��。值得注意的是,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r間)����。
; I* [0 i$ t" `9 Q; z提示:如果你一直在進(jìn)行著大量的日志工作�����,并且只有有限的時間和資源來對這些日志進(jìn)行分析,我建議你將主要精力集中在記錄昨夜的連接請求的日志�。這部分日志毫無疑問會提供令人感興趣的、異常的信息�����。
4 z& Y: Y6 K* R0 j9 ?- V9 i4 v' Y/ ?) v R& F2 D
⒉入侵者使用何種操作系統(tǒng)��?) m5 G! k8 X* M. R5 v% a9 ^
入侵者使用的操作系統(tǒng)各不相同�����。UNIX是使用得最多的平臺�,其中包括FreeBSD和Linux。2 S. W& _- R) E4 n( F
⑴Sun, @0 h4 J1 H, ?) `* Y& x
入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當(dāng)常見���。因為即使這些產(chǎn)品是需要許可證��,它們也易獲得�����。一般而言�����,使用這些平臺的入侵者都是學(xué)生����,因為他們可利用軟件產(chǎn)品賣給教育部門和學(xué)生時可打很大的折扣這一優(yōu)勢。再者���,由于這些操作系統(tǒng)運(yùn)行在PC機(jī)上��,所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇����。2 l# M7 \0 M ^6 I0 g
⑵UNIX
, b, Y2 h, N: O& K1 V0 U1 lUNIX平臺受歡迎的原因之一是它只耗費(fèi)系統(tǒng)一小部分資源����。
# |& ~9 T8 `: J⑶Microsoft0 r3 y0 x# f; r1 g! ^ {, I" ~
Microsoft平臺支持許多合法的安全工具,而這些工具可被用于攻擊遠(yuǎn)程主機(jī)�。因此,越來越多的入侵者正在使用Windows NT��。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具�;而且NT正變得越來越流行,因為入侵者知道他們必須精通此平臺��。由于NT成為更流行的Internet服務(wù)器的操作平臺�,入侵者有必要知道如何入侵這些機(jī)器。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性�����。這樣�����,你將看到利用NT作為入侵平臺的人會極劇增加����。+ l6 z4 ]2 K0 B2 R! G) W
7 V$ F7 |3 d! ^⒊攻擊的源頭
2 k) }3 ]) U* f6 Z7 I. A1 A% W數(shù)年前,許多攻擊來源于大學(xué)���,因為從那里能對Internet進(jìn)行訪問�。大多數(shù)入侵者是年青人���,沒有其他的地方比在大學(xué)更容易上Internet了�。自然地�����,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間��。同時,使用TCP/IP不像今天這樣簡單�����。$ ~- ]- \2 F1 w0 I
如今形勢發(fā)生了巨大的變化��,入侵者可在他們的家里�����、辦公室或車中入侵你的網(wǎng)絡(luò)���。然而�����,這里也有一些規(guī)律�。
, s; h2 b9 W ^' g" X. y# A9 }1 {, q: y R) t* N( L8 z$ b/ `
⒋典型入侵者的特點& }0 c% d% S4 r$ G4 [1 L; `
典型的入侵者至少具備下述幾個特點:
; A9 Z+ i: {- V" J) y■能用C��、C++或Perl進(jìn)行編碼�����。因為許多基本的安全工具是用這些語言的某一種編寫的�。至少入侵者能正確地解釋��、編譯和執(zhí)行這些程序��。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上。同時他們還可能開發(fā)出可擴(kuò)展的工具來�����,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)���。* G2 {' K8 w9 _# j/ r
■對TCP/IP有透徹的了解�,這是任何一個有能力的入侵者所必備的素質(zhì)���。至少一個入侵者必須知道Internet如何運(yùn)轉(zhuǎn)的�����。
" t$ y. n8 r5 X" A■每月至少花50小時上Internet�。經(jīng)驗不可替代的�����,入侵者必須要有豐富的經(jīng)驗���。一些入侵者是Internet的癡迷者��,常忍受著失眠的痛苦�����。7 G: |7 N. v+ |5 u0 p7 a
■有一份和計算機(jī)相關(guān)的工作����。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作�����。
/ @: L, Q1 |2 |+ [% ]* U6 |4 B3 i- @■收集老的���、過時的但經(jīng)典的計算機(jī)硬件或軟件�。4 ^9 `) |( o1 r+ \0 E. K; A
" t7 B/ }( e* g⒌典型目標(biāo)的特征
+ k9 u2 a" D4 X% p4 q6 i很難說什么才是典型目標(biāo)�����,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡(luò)���。然而一種常見的攻擊是小型的私有網(wǎng)�。因為:
# ?* y9 l6 D; Z+ f3 k■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段
, S( z ^, \( o■其系統(tǒng)管理員更熟悉局域網(wǎng),而不是TCP/IP' C! I8 k5 C* x/ h! j9 s
■其設(shè)備和軟件都很陳舊(可能是過時的)
4 F3 d' D/ k4 W) w+ q另一話題是熟悉性����。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng),但從入侵的角度來看�,他們通常僅了解某一個操作系統(tǒng)。很少的入侵者知道如何入侵多種平臺�����。
c$ b4 J- y$ ~" z, W2 J' s
! U+ z0 G$ s P' d [# {) m' ?大學(xué)是主要的攻擊對象�,部分原因是因為他們擁有極強(qiáng)的運(yùn)算處理能力���。
4 O Z* Y# C2 F* y: [* s. P另個原因是網(wǎng)絡(luò)用戶過多�����。甚至在一個相對小的網(wǎng)段上就有幾百個用戶�����。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)�,極有可能從如此的帳號中獲得一個入侵帳號���。其他常被攻擊的對象是政府網(wǎng)站�。) n% |; g9 d8 m
+ a% P, x. C" m* D4 l⒍入侵者入侵的原因 Y& W. A, E. U8 w
■怨恨7 k3 w4 r( K D5 t& G: k1 G
■挑戰(zhàn)
# [ N: T3 X5 j' W, [■愚蠢- x h8 x' n! M
■好奇( a9 p7 u( d/ I9 b; G
■政治目的' o9 S9 b* K+ L' |/ T
所有的這些原因都是不道德的行為,此行為過頭后便觸犯了法律�。觸犯法律可帶來一些令人激動的感受,這種感受又能消極地影響你的原因���。) C3 a& i u9 n, u: ?% T, H# X9 T) G/ {
8 i; a; b7 ~7 r; {! o⒎攻擊
! u% I$ G4 l2 r" K# R攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)�����。但我的觀點是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”����。即從一個入侵者開始在目標(biāo)機(jī)上工作的那個時間起�����,攻擊就開始���。
) i4 D, J. D% [" w& r% n+ F0 i可通過下面的文章了解入侵的事例:
6 G# ~5 j- c9 J5 oftp://research.att.com/dist/internet_security/berferd.ps
5 c0 f* g* h) ?6 Dhttp://www.takedown.com/evidence/anklebiters/mlf/index.html
? H; B8 |6 q0 x! \+ N7 phttp//www.alw.nih.gov/security/first/papers/general/holland.ps7 p1 k2 ]2 G# r2 n- P8 E2 D
http://www.alw.nih.gov/security/first/papers/general/fuat.ps
" \0 Y8 ^% j) w' xhttp://www.alw.nih.gov/security/first/papers/general/hacker.txt
' l }) z6 B7 f
1 e6 {6 d7 `! ]; Y; x3 I! I; x+ O⒏入侵層次索引
2 T# k& w0 J0 H2 e4 |■郵件炸彈攻擊
6 \3 O! s0 h, a. {■簡單拒絕服務(wù)
9 q) k% C% a) k2 U- L% o■本地用戶獲得非授權(quán)讀訪問1 @' w6 T8 b+ T: S
■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限
2 _3 c/ d5 j# C+ U% S0 l# I5 {■遠(yuǎn)程用戶獲得了非授權(quán)的帳號$ Z# F A, J. P6 t# c$ b
■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限
* f8 K( {0 X9 T■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限" b. ]( P. `# O2 v" }1 f% m% l3 i
■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-12 16:32:43
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡