本章闡述各種級別的攻擊����。“攻擊”是指任何的非授權行為�����。這種行為的目的在于干擾���、破壞�、摧毀你服務器的安全。攻擊的范圍從簡單地使某服務無效到完全破壞你的服務器�����。在你網(wǎng)絡上成功實施的攻擊的級別依賴于你采用的安全措施��。
~# k; [( y% k/ j
8 j! Z% W" k6 B( w⒈攻擊會發(fā)生在何時���?
" X2 ?3 _. i0 {# I. g0 H大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務器所在地的深夜����。換句話說����,如果你在洛杉磯而入侵者在倫敦��,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中����。你也許認為入侵者會在白天(目標所在地的時間)發(fā)起攻擊,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為����。有以下幾個原因說明為什么入侵者避免大白天進行攻擊:9 j/ T8 S5 P; ]5 h
■客觀原因�����。在白天�,大多數(shù)入侵者要工作����,上學或在其他環(huán)境中花費時間,以至沒空進行攻擊���。換句話就�����,這些人不能在整天坐在計算機前面�。這和以前有所不同����,以前的入侵者是一些坐中家中無所事事的人。
3 ~1 Q; ^7 _. A" N2 j8 A3 n■速度原因�����。網(wǎng)絡正變得越來越擁擠���,因此最佳的工作時間是在網(wǎng)絡能提供高傳輸速度的時間速率的時間��。最佳的時間段會根據(jù)目標機所在地的不同而不同�。9 @- W6 J F; ~) _: D _
■保密原因。假設在某時某入侵者發(fā)現(xiàn)了一個漏洞��,就假定這個時間是早上11點��,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上���。此時���,此入侵者能有何舉動?恐怕很少�,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為��。他們便會跟蹤而來����。
2 x; h0 I5 l. x入侵者總是喜歡攻擊那些沒有使用的機器。有一次我利用在曰本的一臺工作臺從事攻擊行為���,因為看上去沒有人在此機器上登錄過����。隨后,我便用那臺機器遠程登錄回美國��。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況��。對于這類計算機����,你可以暫控制它,可按你的特殊要求對它進行設置�����,而且你有充足的時間來改變?nèi)罩?。值得注意的是,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當?shù)貢r間)����。2 I5 l( b- n6 E
提示:如果你一直在進行著大量的日志工作,并且只有有限的時間和資源來對這些日志進行分析���,我建議你將主要精力集中在記錄昨夜的連接請求的日志�。這部分日志毫無疑問會提供令人感興趣的、異常的信息����。3 S' j) P9 L) S7 Y' M* @ k' K8 u) T
: S: }: \! W. I- ~% C/ c0 h⒉入侵者使用何種操作系統(tǒng)?
/ r, O# C4 {" q# g$ _5 E入侵者使用的操作系統(tǒng)各不相同�����。UNIX是使用得最多的平臺���,其中包括FreeBSD和Linux�����。
! m) G$ q& z$ C⑴Sun: R6 }' n' A. B8 ~* _* \/ F) q% s# G
入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當常見��。因為即使這些產(chǎn)品是需要許可證�,它們也易獲得�。一般而言,使用這些平臺的入侵者都是學生�����,因為他們可利用軟件產(chǎn)品賣給教育部門和學生時可打很大的折扣這一優(yōu)勢�����。再者��,由于這些操作系統(tǒng)運行在PC機上��,所以這些操作系統(tǒng)是更經(jīng)濟的選擇����。
' H6 F2 i9 ~0 ~& _⑵UNIX
" L5 r) s. u- r. s8 C, BUNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源。) s5 H" A* F9 j# ^2 k% W
⑶Microsoft+ X4 {# _+ u0 e+ w/ E3 j! k( l
Microsoft平臺支持許多合法的安全工具���,而這些工具可被用于攻擊遠程主機���。因此,越來越多的入侵者正在使用Windows NT�。Windows Nt的性能遠遠超過Windows 95并有許多用于網(wǎng)絡的先進工具;而且NT正變得越來越流行�����,因為入侵者知道他們必須精通此平臺�。由于NT成為更流行的Internet服務器的操作平臺,入侵者有必要知道如何入侵這些機器���。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性����。這樣,你將看到利用NT作為入侵平臺的人會極劇增加�。
5 L, u' t% q( _4 Z \& c4 w8 d3 n( [
8 j* p k& y3 [3 K6 [+ y0 w" P⒊攻擊的源頭 f% u a" G: S
數(shù)年前,許多攻擊來源于大學�,因為從那里能對Internet進行訪問。大多數(shù)入侵者是年青人����,沒有其他的地方比在大學更容易上Internet了。自然地��,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間���。同時���,使用TCP/IP不像今天這樣簡單。6 {+ m! @& N& U9 r& ~
如今形勢發(fā)生了巨大的變化�,入侵者可在他們的家里、辦公室或車中入侵你的網(wǎng)絡����。然而,這里也有一些規(guī)律����。& t+ O5 I1 n# S+ I( d( T
% ?) f+ ~) G- L, r. o+ N⒋典型入侵者的特點' u; b* @) Z+ | k, `5 Z/ [9 _
典型的入侵者至少具備下述幾個特點:
" u6 N* x9 X, T■能用C、C++或Perl進行編碼�。因為許多基本的安全工具是用這些語言的某一種編寫的。至少入侵者能正確地解釋�、編譯和執(zhí)行這些程序。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上��。同時他們還可能開發(fā)出可擴展的工具來����,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)。
6 C! o3 ]; M. e2 _% x■對TCP/IP有透徹的了解��,這是任何一個有能力的入侵者所必備的素質(zhì)����。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的。
0 _! F; m3 z0 w( B8 l; ]■每月至少花50小時上Internet��。經(jīng)驗不可替代的���,入侵者必須要有豐富的經(jīng)驗����。一些入侵者是Internet的癡迷者,常忍受著失眠的痛苦����。% z! G0 S8 Y1 { t- b8 ~
■有一份和計算機相關的工作。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中����。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作。
: w: D. u& | T6 [% X( w, j■收集老的���、過時的但經(jīng)典的計算機硬件或軟件��。
Y4 q' z3 }9 F% ^- `
5 {0 l" C( Q" c& K# L3 y& p( H⒌典型目標的特征6 D) ?- m( S- l! Z" t. t
很難說什么才是典型目標���,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡。然而一種常見的攻擊是小型的私有網(wǎng)��。因為:
' E/ d8 M- D( h■網(wǎng)絡的擁有者們對Internet的使用還處于入門階段5 S# h) K) L* D6 b+ P# l
■其系統(tǒng)管理員更熟悉局域網(wǎng)��,而不是TCP/IP1 P5 H6 n. n, B% e1 }
■其設備和軟件都很陳舊(可能是過時的)* g( [3 G+ U/ [) l4 b
另一話題是熟悉性�。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng),但從入侵的角度來看����,他們通常僅了解某一個操作系統(tǒng)�。很少的入侵者知道如何入侵多種平臺��。9 R9 g, _; W5 Q2 @
; z: f( H/ ]2 Z2 o. A- Q
大學是主要的攻擊對象�����,部分原因是因為他們擁有極強的運算處理能力��。; ], N" \8 {2 D# n9 C5 d
另個原因是網(wǎng)絡用戶過多��。甚至在一個相對小的網(wǎng)段上就有幾百個用戶��。管理這種大型網(wǎng)絡是一件困難的任務���,極有可能從如此的帳號中獲得一個入侵帳號。其他常被攻擊的對象是政府網(wǎng)站���。; k/ w; m6 D8 i$ r+ ]( S
7 o! z! @2 N e% J
⒍入侵者入侵的原因
' H( N/ e. |/ W+ Z; G■怨恨. j, N5 F" O) C
■挑戰(zhàn)7 U' @; s Q& V
■愚蠢$ v: g! m& Q8 U" r3 U, ^
■好奇
: j5 L. D8 O% Z( [■政治目的
N2 |7 ^8 [; t# N( o, D所有的這些原因都是不道德的行為�����,此行為過頭后便觸犯了法律����。觸犯法律可帶來一些令人激動的感受,這種感受又能消極地影響你的原因�����。& o4 g9 ~, k9 z6 u9 R% f
8 l, Y6 `- t, `- E
⒎攻擊5 Q! ~9 y! ?8 O( \5 t' Y8 Q) V! O
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標網(wǎng)絡內(nèi)����。但我的觀點是可能使一個網(wǎng)絡受到破壞的所有行為都應稱為“攻擊”。即從一個入侵者開始在目標機上工作的那個時間起��,攻擊就開始��。1 } h% T4 j! z. G2 t2 c
可通過下面的文章了解入侵的事例:
9 {% J# H% e7 g! o# Zftp://research.att.com/dist/internet_security/berferd.ps
% T$ g; F0 A, [3 Qhttp://www.takedown.com/evidence/anklebiters/mlf/index.html
1 E# ]0 s3 Z6 Q$ @6 ~: yhttp//www.alw.nih.gov/security/first/papers/general/holland.ps
# M5 y& T* h1 E) mhttp://www.alw.nih.gov/security/first/papers/general/fuat.ps4 U& X* N# d2 F5 b4 [) _' A- ^2 V" @
http://www.alw.nih.gov/security/first/papers/general/hacker.txt
/ m# a2 p3 |" M+ L8 z, X/ q6 _ Q) d8 N
@3 i; J( r1 F+ C$ F- `⒏入侵層次索引
k* G3 `2 h( Q- A■郵件炸彈攻擊
2 F+ h" Q8 _- h* R/ Y# @$ D■簡單拒絕服務' E0 P* q) w3 y, e4 N v
■本地用戶獲得非授權讀訪問; B/ b+ T' G+ R/ B8 D
■本地用戶獲得他們本不應擁有的文件的寫權限6 b o W3 u, @8 x5 N- g& [. e
■遠程用戶獲得了非授權的帳號" ^1 K2 f" g1 O! h$ K" U: f
■遠程用戶獲得了特權文件的讀權限
" F: U& V5 q2 f3 J■遠程用戶獲得了特權文件的寫權限
8 Z6 k* u! K7 ?% `- R5 `: K■遠程用戶擁有了根權限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡