本章闡述各種級別的攻擊?!肮簟笔侵溉魏蔚姆鞘跈嘈袨椤_@種行為的目的在于干擾���、破壞����、摧毀你服務器的安全。攻擊的范圍從簡單地使某服務無效到完全破壞你的服務器�。在你網(wǎng)絡上成功實施的攻擊的級別依賴于你采用的安全措施。
# Q- u. C. a# b g7 v1 \4 W" c! I0 r6 R/ r
⒈攻擊會發(fā)生在何時��?3 f5 f) K7 f: F& C1 N. a
大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務器所在地的深夜�。換句話說,如果你在洛杉磯而入侵者在倫敦�����,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中���。你也許認為入侵者會在白天(目標所在地的時間)發(fā)起攻擊��,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為���。有以下幾個原因說明為什么入侵者避免大白天進行攻擊:. q2 ~ e2 m q5 x4 c V8 p3 Y
■客觀原因。在白天���,大多數(shù)入侵者要工作,上學或在其他環(huán)境中花費時間���,以至沒空進行攻擊����。換句話就,這些人不能在整天坐在計算機前面���。這和以前有所不同�����,以前的入侵者是一些坐中家中無所事事的人�����。
2 H# L$ W+ _+ s1 L■速度原因�。網(wǎng)絡正變得越來越擁擠����,因此最佳的工作時間是在網(wǎng)絡能提供高傳輸速度的時間速率的時間。最佳的時間段會根據(jù)目標機所在地的不同而不同���。
/ m8 h5 X# Y0 o r% C8 _■保密原因���。假設在某時某入侵者發(fā)現(xiàn)了一個漏洞,就假定這個時間是早上11點�����,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上。此時�����,此入侵者能有何舉動���?恐怕很少���,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為。他們便會跟蹤而來��。 q/ m: {7 {& h. h3 y! ~
入侵者總是喜歡攻擊那些沒有使用的機器�����。有一次我利用在曰本的一臺工作臺從事攻擊行為��,因為看上去沒有人在此機器上登錄過�����。隨后���,我便用那臺機器遠程登錄回美國����。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況�。對于這類計算機,你可以暫控制它���,可按你的特殊要求對它進行設置�,而且你有充足的時間來改變?nèi)罩?。值得注意的是,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當?shù)貢r間)���。
' A7 {6 c( |8 L7 S提示:如果你一直在進行著大量的日志工作�,并且只有有限的時間和資源來對這些日志進行分析�����,我建議你將主要精力集中在記錄昨夜的連接請求的日志�����。這部分日志毫無疑問會提供令人感興趣的�����、異常的信息。5 n6 R8 W& w% H" s
, p7 J7 t7 l0 t3 j) m9 ` S' x7 X
⒉入侵者使用何種操作系統(tǒng)�����?
# T+ ~% L% L }' g: u入侵者使用的操作系統(tǒng)各不相同�����。UNIX是使用得最多的平臺�����,其中包括FreeBSD和Linux����。
% L: `' w+ x7 ^1 y1 \⑴Sun1 q# S- F4 o. N1 C, Q- D
入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當常見。因為即使這些產(chǎn)品是需要許可證�,它們也易獲得。一般而言�����,使用這些平臺的入侵者都是學生,因為他們可利用軟件產(chǎn)品賣給教育部門和學生時可打很大的折扣這一優(yōu)勢���。再者,由于這些操作系統(tǒng)運行在PC機上��,所以這些操作系統(tǒng)是更經(jīng)濟的選擇�����。$ \ d, E$ J* T7 O
⑵UNIX
! \# a8 v m# D6 p+ gUNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源���。; t6 r1 q8 k, g9 F1 F2 M
⑶Microsoft
% ]) v0 d) r* j( l) cMicrosoft平臺支持許多合法的安全工具����,而這些工具可被用于攻擊遠程主機�����。因此�����,越來越多的入侵者正在使用Windows NT����。Windows Nt的性能遠遠超過Windows 95并有許多用于網(wǎng)絡的先進工具���;而且NT正變得越來越流行,因為入侵者知道他們必須精通此平臺�����。由于NT成為更流行的Internet服務器的操作平臺�,入侵者有必要知道如何入侵這些機器。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性���。這樣��,你將看到利用NT作為入侵平臺的人會極劇增加�。5 R* M6 s. ]9 r) I' g
/ V6 _; h6 O' H S% N& i
⒊攻擊的源頭, \0 k9 P% }" w8 z9 V
數(shù)年前���,許多攻擊來源于大學�,因為從那里能對Internet進行訪問���。大多數(shù)入侵者是年青人�����,沒有其他的地方比在大學更容易上Internet了����。自然地,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間�。同時,使用TCP/IP不像今天這樣簡單�����。
9 y' G9 _, \# b7 H4 ~( E如今形勢發(fā)生了巨大的變化�����,入侵者可在他們的家里�����、辦公室或車中入侵你的網(wǎng)絡����。然而�����,這里也有一些規(guī)律。
! T# j" y& y' O5 G/ G! z
% @; l5 X$ x0 k/ @+ @% f) K1 e⒋典型入侵者的特點9 M3 S$ H, Y, @8 e
典型的入侵者至少具備下述幾個特點:
4 [" ]1 Q) F- i$ a3 R1 |■能用C��、C++或Perl進行編碼�。因為許多基本的安全工具是用這些語言的某一種編寫的。至少入侵者能正確地解釋����、編譯和執(zhí)行這些程序。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上��。同時他們還可能開發(fā)出可擴展的工具來����,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)。
, o' ?8 [, ~0 t. T8 c/ C- e2 K, ~■對TCP/IP有透徹的了解����,這是任何一個有能力的入侵者所必備的素質(zhì)。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的����。7 H+ l- d& u3 n9 g T
■每月至少花50小時上Internet。經(jīng)驗不可替代的��,入侵者必須要有豐富的經(jīng)驗�。一些入侵者是Internet的癡迷者�,常忍受著失眠的痛苦���。
% `+ q0 ^& U+ M, y' R■有一份和計算機相關的工作�����。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中���。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作。
" B. p) u! P+ I/ N8 R0 B ^% B# s■收集老的����、過時的但經(jīng)典的計算機硬件或軟件�。+ K' B) r" x- T6 ?& ]# R! e) }( @
! j8 X1 s/ F. a- z
⒌典型目標的特征; D# O( L" [: h
很難說什么才是典型目標,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡��。然而一種常見的攻擊是小型的私有網(wǎng)���。因為:
, E; e1 d0 T. F* r. U$ X■網(wǎng)絡的擁有者們對Internet的使用還處于入門階段
6 ?: M9 @# D- ]+ c■其系統(tǒng)管理員更熟悉局域網(wǎng)��,而不是TCP/IP
5 J4 O1 ~: p' v- [) o: ]■其設備和軟件都很陳舊(可能是過時的)* v" E5 I2 x: ?; I" G* H
另一話題是熟悉性��。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)�,但從入侵的角度來看,他們通常僅了解某一個操作系統(tǒng)��。很少的入侵者知道如何入侵多種平臺��。
$ U0 M% R; v; g( A0 W7 ^8 v+ T: _$ ]) k
a5 X* z) ]4 C; H大學是主要的攻擊對象���,部分原因是因為他們擁有極強的運算處理能力����。4 |+ ?: d E' Q7 W4 i4 i
另個原因是網(wǎng)絡用戶過多�。甚至在一個相對小的網(wǎng)段上就有幾百個用戶。管理這種大型網(wǎng)絡是一件困難的任務�����,極有可能從如此的帳號中獲得一個入侵帳號���。其他常被攻擊的對象是政府網(wǎng)站���。
' v2 C8 w- n1 Z' s1 W/ k0 _# L# m" P8 Y& E
⒍入侵者入侵的原因
% s9 L" ]( `# v8 L■怨恨6 Y. a0 N( z' ~$ D, _
■挑戰(zhàn)
- `& e, ~9 Y5 J9 y8 A' p■愚蠢2 b& N# R3 ]# M3 Q
■好奇% l- Z+ n7 y& i' l) Z/ F0 q0 Q6 c
■政治目的& ?2 |1 c2 R- y
所有的這些原因都是不道德的行為,此行為過頭后便觸犯了法律���。觸犯法律可帶來一些令人激動的感受��,這種感受又能消極地影響你的原因���。4 f9 w3 N: K0 H# O6 a% D
2 I8 w0 D' P8 W⒎攻擊
7 P* ^ n0 j% {1 Z# y( f9 X攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標網(wǎng)絡內(nèi)�����。但我的觀點是可能使一個網(wǎng)絡受到破壞的所有行為都應稱為“攻擊”�。即從一個入侵者開始在目標機上工作的那個時間起����,攻擊就開始。 d7 o: Y; V; i- \. }1 x
可通過下面的文章了解入侵的事例:
* C* R8 a6 J# n3 Pftp://research.att.com/dist/internet_security/berferd.ps/ b- p& n5 d1 z' {
http://www.takedown.com/evidence/anklebiters/mlf/index.html
8 Q' T. k/ S7 N; t# \http//www.alw.nih.gov/security/first/papers/general/holland.ps/ }% Y$ v2 u( n' V% V3 R/ i5 u; `3 y
http://www.alw.nih.gov/security/first/papers/general/fuat.ps; N! E5 _/ h4 _( a! W. f
http://www.alw.nih.gov/security/first/papers/general/hacker.txt
7 T! Y1 O6 A+ i$ c, J4 w& L2 Y& ^1 k( Z% e+ v0 e- g
⒏入侵層次索引, f8 k, M- W) t6 Y6 V. c4 k4 O
■郵件炸彈攻擊
& P" @1 ~( `2 Z$ j/ ]■簡單拒絕服務
9 [3 C* M2 G( Y \1 y■本地用戶獲得非授權讀訪問
: M/ A" L) a3 p3 L: W* `■本地用戶獲得他們本不應擁有的文件的寫權限% m% k9 w( n6 a( A4 y' `+ D
■遠程用戶獲得了非授權的帳號- q$ p1 P J0 n* K0 y8 A
■遠程用戶獲得了特權文件的讀權限
* Q! H! K$ z2 m■遠程用戶獲得了特權文件的寫權限
$ ~! x, I0 J( J+ Z* u; E■遠程用戶擁有了根權限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡