本章闡述各種級(jí)別的攻擊���?���!肮簟笔侵溉魏蔚姆鞘跈?quán)行為。這種行為的目的在于干擾����、破壞、摧毀你服務(wù)器的安全�����。攻擊的范圍從簡(jiǎn)單地使某服務(wù)無效到完全破壞你的服務(wù)器�。在你網(wǎng)絡(luò)上成功實(shí)施的攻擊的級(jí)別依賴于你采用的安全措施。
$ H$ R7 O, B" G6 h
: t$ u& a/ }3 s9 ^+ C1 ~⒈攻擊會(huì)發(fā)生在何時(shí)���?
' C* I( W# c' w, w! J$ w. v大部分的攻擊(或至少是商業(yè)攻擊時(shí)間一般是服務(wù)器所在地的深夜�。換句話說�����,如果你在洛杉磯而入侵者在倫敦�,那么攻擊可能會(huì)發(fā)生在洛杉磯的深夜到早晨之間的幾個(gè)小時(shí)中。你也許認(rèn)為入侵者會(huì)在白天(目標(biāo)所在地的時(shí)間)發(fā)起攻擊�,因?yàn)榇罅康臄?shù)據(jù)傳輸能掩飾他們的行為。有以下幾個(gè)原因說明為什么入侵者避免大白天進(jìn)行攻擊:. N1 E0 d) K$ \* g
■客觀原因����。在白天�,大多數(shù)入侵者要工作���,上學(xué)或在其他環(huán)境中花費(fèi)時(shí)間�����,以至沒空進(jìn)行攻擊。換句話就���,這些人不能在整天坐在計(jì)算機(jī)前面��。這和以前有所不同����,以前的入侵者是一些坐中家中無所事事的人��。
3 f0 n6 f$ z8 {- r9 n2 t5 u■速度原因�����。網(wǎng)絡(luò)正變得越來越擁擠���,因此最佳的工作時(shí)間是在網(wǎng)絡(luò)能提供高傳輸速度的時(shí)間速率的時(shí)間�����。最佳的時(shí)間段會(huì)根據(jù)目標(biāo)機(jī)所在地的不同而不同���。
& F- [1 A, g$ L■保密原因�。假設(shè)在某時(shí)某入侵者發(fā)現(xiàn)了一個(gè)漏洞���,就假定這個(gè)時(shí)間是早上11點(diǎn)�,并且此時(shí)有三個(gè)系統(tǒng)管理員正登錄在網(wǎng)上�。此時(shí),此入侵者能有何舉動(dòng)��?恐怕很少��,因?yàn)橄到y(tǒng)管理員一旦發(fā)現(xiàn)有異常行為�����。他們便會(huì)跟蹤而來�����。% X/ O- v; X7 k7 `/ I
入侵者總是喜歡攻擊那些沒有使用的機(jī)器���。有一次我利用在曰本的一臺(tái)工作臺(tái)從事攻擊行為�,因?yàn)榭瓷先]有人在此機(jī)器上登錄過。隨后����,我便用那臺(tái)機(jī)器遠(yuǎn)程登錄回美國(guó)。在羅馬我發(fā)現(xiàn)了一個(gè)新的ISP也出現(xiàn)類似的情況��。對(duì)于這類計(jì)算機(jī)��,你可以暫控制它����,可按你的特殊要求對(duì)它進(jìn)行設(shè)置��,而且你有充足的時(shí)間來改變?nèi)罩?��。值得注意的是�,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對(duì)象的當(dāng)?shù)貢r(shí)間)��。5 d7 [2 G3 L) f( H9 A0 B
提示:如果你一直在進(jìn)行著大量的日志工作����,并且只有有限的時(shí)間和資源來對(duì)這些日志進(jìn)行分析��,我建議你將主要精力集中在記錄昨夜的連接請(qǐng)求的日志�����。這部分日志毫無疑問會(huì)提供令人感興趣的���、異常的信息。& P+ E& h9 K( c0 m1 D7 O4 a
1 g2 m( t4 R& T0 Y! G9 f& x
⒉入侵者使用何種操作系統(tǒng)�?3 T" d9 \+ i/ Q1 h2 K% o( [2 {
入侵者使用的操作系統(tǒng)各不相同。UNIX是使用得最多的平臺(tái)�,其中包括FreeBSD和Linux。3 ~5 f, w! k6 F
⑴Sun
7 C: f% k* a( _! i8 h6 N入侵者將SolarisX86 或SCO作為使用平臺(tái)的現(xiàn)象相當(dāng)常見�����。因?yàn)榧词惯@些產(chǎn)品是需要許可證���,它們也易獲得�。一般而言�����,使用這些平臺(tái)的入侵者都是學(xué)生�����,因?yàn)樗麄兛衫密浖a(chǎn)品賣給教育部門和學(xué)生時(shí)可打很大的折扣這一優(yōu)勢(shì)。再者���,由于這些操作系統(tǒng)運(yùn)行在PC機(jī)上��,所以這些操作系統(tǒng)是更經(jīng)濟(jì)的選擇����。4 o- d' y: V5 A5 D& F8 _: `
⑵UNIX
$ W: J1 a8 S5 R# ]0 ]UNIX平臺(tái)受歡迎的原因之一是它只耗費(fèi)系統(tǒng)一小部分資源��。- C- E% {* c$ e) g: C. l
⑶Microsoft1 L6 j2 c `7 E& h. M! d# M8 f
Microsoft平臺(tái)支持許多合法的安全工具�����,而這些工具可被用于攻擊遠(yuǎn)程主機(jī)����。因此�,越來越多的入侵者正在使用Windows NT。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具�;而且NT正變得越來越流行,因?yàn)槿肭终咧浪麄儽仨毦ù似脚_(tái)���。由于NT成為更流行的Internet服務(wù)器的操作平臺(tái)��,入侵者有必要知道如何入侵這些機(jī)器�����。而且安全人員將會(huì)開發(fā)工具來測(cè)試NT的內(nèi)部安全性�。這樣,你將看到利用NT作為入侵平臺(tái)的人會(huì)極劇增加���。0 H; l p+ v! O
% C; h) k$ s0 \7 J! I2 Z
⒊攻擊的源頭
# Q& [ r6 t# K# J. {+ J; I! s數(shù)年前���,許多攻擊來源于大學(xué),因?yàn)閺哪抢锬軐?duì)Internet進(jìn)行訪問����。大多數(shù)入侵者是年青人,沒有其他的地方比在大學(xué)更容易上Internet了����。自然地,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時(shí)間���。同時(shí)����,使用TCP/IP不像今天這樣簡(jiǎn)單。
7 Y. A) m" U# C: ~如今形勢(shì)發(fā)生了巨大的變化�,入侵者可在他們的家里、辦公室或車中入侵你的網(wǎng)絡(luò)���。然而�,這里也有一些規(guī)律�����。/ Q( w1 [. e8 U; R- R7 _. A
& r, r- P; }( m4 V; g⒋典型入侵者的特點(diǎn)$ K$ P# L! q! S. k; I- o
典型的入侵者至少具備下述幾個(gè)特點(diǎn):* E0 K( \& {: e4 y( e
■能用C����、C++或Perl進(jìn)行編碼。因?yàn)樵S多基本的安全工具是用這些語言的某一種編寫的���。至少入侵者能正確地解釋�����、編譯和執(zhí)行這些程序。更厲害的入侵者能把不專門為某特定某平臺(tái)開發(fā)的工具移植到他用的平臺(tái)上��。同時(shí)他們還可能開發(fā)出可擴(kuò)展的工具來,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)�����。
$ M9 t9 y) P5 p- ~7 `' Y: D8 `■對(duì)TCP/IP有透徹的了解���,這是任何一個(gè)有能力的入侵者所必備的素質(zhì)�。至少一個(gè)入侵者必須知道Internet如何運(yùn)轉(zhuǎn)的���。7 @) d! h T+ S* r: R
■每月至少花50小時(shí)上Internet����。經(jīng)驗(yàn)不可替代的��,入侵者必須要有豐富的經(jīng)驗(yàn)�����。一些入侵者是Internet的癡迷者�����,常忍受著失眠的痛苦。
3 m; l0 ?1 J$ p. ^7 b( V- A■有一份和計(jì)算機(jī)相關(guān)的工作�。并不是每個(gè)入侵者都是把一天中的大部分時(shí)間投入到入侵行為中。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作��。
# y, @" N$ Z$ @8 P. f" o■收集老的�、過時(shí)的但經(jīng)典的計(jì)算機(jī)硬件或軟件。. ~2 a y \6 g
9 ]# U" Y3 r7 v' Y
⒌典型目標(biāo)的特征
2 B; p$ G) y6 S很難說什么才是典型目標(biāo)��,因?yàn)椴煌肭终邥?huì)因不同的原因而攻擊不同類型的網(wǎng)絡(luò)�。然而一種常見的攻擊是小型的私有網(wǎng)。因?yàn)椋?font class="jammer">2 Q ~5 v3 V# g' N) n
■網(wǎng)絡(luò)的擁有者們對(duì)Internet的使用還處于入門階段% z0 W% I% O( w$ q0 _& i
■其系統(tǒng)管理員更熟悉局域網(wǎng)��,而不是TCP/IP( H' V4 U9 C3 u
■其設(shè)備和軟件都很陳舊(可能是過時(shí)的)
: X9 p" ]2 ^, V M* E另一話題是熟悉性���。絕大多數(shù)入侵者從使用的角度而言能熟知兩個(gè)或多個(gè)操作系統(tǒng)���,但從入侵的角度來看,他們通常僅了解某一個(gè)操作系統(tǒng)��。很少的入侵者知道如何入侵多種平臺(tái)�。2 {" h" k; ?% j, a
) `( }$ g2 G+ {! k大學(xué)是主要的攻擊對(duì)象,部分原因是因?yàn)樗麄儞碛袠O強(qiáng)的運(yùn)算處理能力�����。# N# C, R3 ?% m, b& |0 D6 b
另個(gè)原因是網(wǎng)絡(luò)用戶過多�。甚至在一個(gè)相對(duì)小的網(wǎng)段上就有幾百個(gè)用戶。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)�,極有可能從如此的帳號(hào)中獲得一個(gè)入侵帳號(hào)。其他常被攻擊的對(duì)象是政府網(wǎng)站����。. O( f7 u( S8 m! `
0 i. n: O8 n( K& e
⒍入侵者入侵的原因
O1 p9 t8 k( q; m, L- i■怨恨! @! z, a/ p/ t; C3 L- p' n9 h' {
■挑戰(zhàn)
/ V7 {- J8 r3 F& [■愚蠢/ d, ^& A+ G0 I2 k3 b; k8 v2 Q) {
■好奇. [( E7 u S0 |4 l" }6 U+ h( a/ ]
■政治目的
6 z5 a3 L* y2 M8 m+ |+ K' k所有的這些原因都是不道德的行為,此行為過頭后便觸犯了法律�。觸犯法律可帶來一些令人激動(dòng)的感受,這種感受又能消極地影響你的原因���。
/ M0 r. f1 i6 w- q: \, P
* [! z- n# y0 |" [; v& c7 Y' V; [⒎攻擊
" h( v. A. V, Y0 y2 j攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)�����。但我的觀點(diǎn)是可能使一個(gè)網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”����。即從一個(gè)入侵者開始在目標(biāo)機(jī)上工作的那個(gè)時(shí)間起���,攻擊就開始��。
6 {$ p' b6 ^6 r, m; j6 g9 p' \可通過下面的文章了解入侵的事例:
- F4 O# h! ?. r' _- iftp://research.att.com/dist/internet_security/berferd.ps; N$ U, h0 I* H, \% A; P, m
http://www.takedown.com/evidence/anklebiters/mlf/index.html% }, u0 J0 [, j: C& d! n. A6 s
http//www.alw.nih.gov/security/first/papers/general/holland.ps3 C! I7 `! q, N
http://www.alw.nih.gov/security/first/papers/general/fuat.ps
6 g& C! J" M" a* x! n4 Jhttp://www.alw.nih.gov/security/first/papers/general/hacker.txt
% n- d* N" K$ ~7 x( D" l/ O# e
C' e0 `; ~' ]9 m/ ~* {⒏入侵層次索引
3 C; N1 O. T1 q' h( L2 r■郵件炸彈攻擊! e* z4 C, _* h
■簡(jiǎn)單拒絕服務(wù)% J2 o* i) E1 u( b, _
■本地用戶獲得非授權(quán)讀訪問7 N5 J9 D( g+ G1 b' U' t2 T, F
■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限
/ O' ]$ j' ?3 V4 m+ D# Z3 J■遠(yuǎn)程用戶獲得了非授權(quán)的帳號(hào)
( m. J" m) [1 x3 t4 G2 n■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限
+ m9 {; C9 D# x8 \( Z0 X■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限8 h/ K" ^! O8 K8 O$ v$ F# B
■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-12 16:32:43
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡