本章闡述各種級別的攻擊?��!肮簟笔侵溉魏蔚姆鞘跈?quán)行為���。這種行為的目的在于干擾、破壞�、摧毀你服務(wù)器的安全�。攻擊的范圍從簡單地使某服務(wù)無效到完全破壞你的服務(wù)器��。在你網(wǎng)絡(luò)上成功實施的攻擊的級別依賴于你采用的安全措施��。
, N7 \% n+ K2 ]
# j8 V2 g3 T' P⒈攻擊會發(fā)生在何時��?
% a- e9 L2 s7 i大部分的攻擊(或至少是商業(yè)攻擊時間一般是服務(wù)器所在地的深夜�。換句話說,如果你在洛杉磯而入侵者在倫敦�,那么攻擊可能會發(fā)生在洛杉磯的深夜到早晨之間的幾個小時中。你也許認(rèn)為入侵者會在白天(目標(biāo)所在地的時間)發(fā)起攻擊��,因為大量的數(shù)據(jù)傳輸能掩飾他們的行為�����。有以下幾個原因說明為什么入侵者避免大白天進(jìn)行攻擊:6 i5 m1 Z$ H% z2 S3 W
■客觀原因����。在白天,大多數(shù)入侵者要工作�,上學(xué)或在其他環(huán)境中花費時間,以至沒空進(jìn)行攻擊��。換句話就,這些人不能在整天坐在計算機前面�����。這和以前有所不同���,以前的入侵者是一些坐中家中無所事事的人����。
% x3 a8 |2 W5 W5 p; z■速度原因��。網(wǎng)絡(luò)正變得越來越擁擠���,因此最佳的工作時間是在網(wǎng)絡(luò)能提供高傳輸速度的時間速率的時間。最佳的時間段會根據(jù)目標(biāo)機所在地的不同而不同���。
3 H1 z! k) U9 Y3 I/ S2 i■保密原因�。假設(shè)在某時某入侵者發(fā)現(xiàn)了一個漏洞�����,就假定這個時間是早上11點�,并且此時有三個系統(tǒng)管理員正登錄在網(wǎng)上。此時�����,此入侵者能有何舉動?恐怕很少��,因為系統(tǒng)管理員一旦發(fā)現(xiàn)有異常行為��。他們便會跟蹤而來���。
; f( c. t$ Y- U. C' i( o/ a- [入侵者總是喜歡攻擊那些沒有使用的機器��。有一次我利用在曰本的一臺工作臺從事攻擊行為�,因為看上去沒有人在此機器上登錄過��。隨后���,我便用那臺機器遠(yuǎn)程登錄回美國�����。在羅馬我發(fā)現(xiàn)了一個新的ISP也出現(xiàn)類似的情況�����。對于這類計算機�,你可以暫控制它,可按你的特殊要求對它進(jìn)行設(shè)置���,而且你有充足的時間來改變?nèi)罩?����。值得注意的是����,絕大部分的這種攻擊行為都發(fā)生在晚上(被攻擊對象的當(dāng)?shù)貢r間)�。. A1 X7 l& J: [4 y9 x- R! k
提示:如果你一直在進(jìn)行著大量的日志工作,并且只有有限的時間和資源來對這些日志進(jìn)行分析��,我建議你將主要精力集中在記錄昨夜的連接請求的日志�����。這部分日志毫無疑問會提供令人感興趣的�����、異常的信息��。
* i5 h& X, c( ]) q* U \0 t9 p+ q+ P, L/ g
⒉入侵者使用何種操作系統(tǒng)�����?
% R, o4 W- C; C% v/ K# l. f3 w入侵者使用的操作系統(tǒng)各不相同�����。UNIX是使用得最多的平臺�����,其中包括FreeBSD和Linux�。
5 m5 A/ {4 N3 ] O⑴Sun
! [) S; `9 I, w; |入侵者將SolarisX86 或SCO作為使用平臺的現(xiàn)象相當(dāng)常見。因為即使這些產(chǎn)品是需要許可證�,它們也易獲得。一般而言�����,使用這些平臺的入侵者都是學(xué)生��,因為他們可利用軟件產(chǎn)品賣給教育部門和學(xué)生時可打很大的折扣這一優(yōu)勢�����。再者,由于這些操作系統(tǒng)運行在PC機上�,所以這些操作系統(tǒng)是更經(jīng)濟的選擇。
0 C( Z$ W* H# d# h: g( R+ V⑵UNIX0 w* b$ o/ J' M6 s
UNIX平臺受歡迎的原因之一是它只耗費系統(tǒng)一小部分資源����。
. _" B: P, N. U0 ~1 A⑶Microsoft' W/ r( H+ y, M- y! p
Microsoft平臺支持許多合法的安全工具,而這些工具可被用于攻擊遠(yuǎn)程主機���。因此�����,越來越多的入侵者正在使用Windows NT�����。Windows Nt的性能遠(yuǎn)遠(yuǎn)超過Windows 95并有許多用于網(wǎng)絡(luò)的先進(jìn)工具����;而且NT正變得越來越流行�����,因為入侵者知道他們必須精通此平臺���。由于NT成為更流行的Internet服務(wù)器的操作平臺���,入侵者有必要知道如何入侵這些機器。而且安全人員將會開發(fā)工具來測試NT的內(nèi)部安全性�����。這樣�����,你將看到利用NT作為入侵平臺的人會極劇增加��。
( k9 j2 w4 c p% T$ z% D" w3 w
3 z! v8 _" h5 H⒊攻擊的源頭
* }( x3 B5 E4 K1 a9 O: l t% ?數(shù)年前�����,許多攻擊來源于大學(xué)�����,因為從那里能對Internet進(jìn)行訪問����。大多數(shù)入侵者是年青人�����,沒有其他的地方比在大學(xué)更容易上Internet了�。自然地�,這不僅影響了攻擊的起源地而且影響著攻擊發(fā)生的時間。同時�����,使用TCP/IP不像今天這樣簡單���。& ]# {) N' _4 m% G
如今形勢發(fā)生了巨大的變化�,入侵者可在他們的家里����、辦公室或車中入侵你的網(wǎng)絡(luò)。然而�,這里也有一些規(guī)律。
/ Z* X, q9 w ? R
7 V: o, Z& A* u- @' z⒋典型入侵者的特點
' y4 c( ?2 w5 N, G典型的入侵者至少具備下述幾個特點:( B6 w) E1 I' I
■能用C��、C++或Perl進(jìn)行編碼�。因為許多基本的安全工具是用這些語言的某一種編寫的。至少入侵者能正確地解釋��、編譯和執(zhí)行這些程序��。更厲害的入侵者能把不專門為某特定某平臺開發(fā)的工具移植到他用的平臺上���。同時他們還可能開發(fā)出可擴展的工具來���,如SATAN 和SAFESuite(這些工具允許用戶開發(fā)的工具附加它們上)。
# i' n4 u7 X+ j0 f3 \■對TCP/IP有透徹的了解�,這是任何一個有能力的入侵者所必備的素質(zhì)。至少一個入侵者必須知道Internet如何運轉(zhuǎn)的�。
6 }! D5 _' t& Z1 M& X■每月至少花50小時上Internet。經(jīng)驗不可替代的���,入侵者必須要有豐富的經(jīng)驗��。一些入侵者是Internet的癡迷者����,常忍受著失眠的痛苦����。
, I. r! f9 O$ X■有一份和計算機相關(guān)的工作。并不是每個入侵者都是把一天中的大部分時間投入到入侵行為中�。其中一些從事著系統(tǒng)管理或系統(tǒng)開發(fā)的工作��。
: w0 T/ n$ F, h■收集老的���、過時的但經(jīng)典的計算機硬件或軟件。% u7 E5 c% ~% K# y$ G: z
, Q- b7 Q* Z4 v2 x⒌典型目標(biāo)的特征
' H3 g8 L, g9 o- z很難說什么才是典型目標(biāo)�,因為不同入侵者會因不同的原因而攻擊不同類型的網(wǎng)絡(luò)。然而一種常見的攻擊是小型的私有網(wǎng)�����。因為:
( u0 J0 d) R9 _5 X$ C8 F/ o9 Y3 o■網(wǎng)絡(luò)的擁有者們對Internet的使用還處于入門階段
" p+ l. [$ R$ g6 @■其系統(tǒng)管理員更熟悉局域網(wǎng)����,而不是TCP/IP
) \4 A0 C! v0 } |7 A■其設(shè)備和軟件都很陳舊(可能是過時的)
7 E& c$ f, }2 L4 I, C- j另一話題是熟悉性。絕大多數(shù)入侵者從使用的角度而言能熟知兩個或多個操作系統(tǒng)����,但從入侵的角度來看,他們通常僅了解某一個操作系統(tǒng)��。很少的入侵者知道如何入侵多種平臺�����。
, t- Q5 P5 e$ F; q. _
' }, R7 u4 B! L大學(xué)是主要的攻擊對象,部分原因是因為他們擁有極強的運算處理能力��。# _0 y: J" g5 R5 c3 B2 V2 ]9 ~
另個原因是網(wǎng)絡(luò)用戶過多��。甚至在一個相對小的網(wǎng)段上就有幾百個用戶�����。管理這種大型網(wǎng)絡(luò)是一件困難的任務(wù)���,極有可能從如此的帳號中獲得一個入侵帳號。其他常被攻擊的對象是政府網(wǎng)站����。0 b! L9 }2 ?( n* e8 D3 g. {( K4 h
7 P0 X7 s/ H2 B0 N L& F
⒍入侵者入侵的原因! `0 _. I: d4 r2 n9 S% \
■怨恨, M O8 n6 p. z& {
■挑戰(zhàn)8 H7 K: k4 u+ L4 g$ @
■愚蠢' ]0 L( `9 Q( W: q& T
■好奇
$ b% L2 B: S/ c' g( N■政治目的% a& |( L# `: p; O8 p
所有的這些原因都是不道德的行為,此行為過頭后便觸犯了法律��。觸犯法律可帶來一些令人激動的感受�����,這種感受又能消極地影響你的原因�。
& @ w( {/ o9 c7 v- _0 s$ t; g% y0 l g0 s
⒎攻擊. S: i z4 v3 U
攻擊的法律定義是指:攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標(biāo)網(wǎng)絡(luò)內(nèi)。但我的觀點是可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為“攻擊”����。即從一個入侵者開始在目標(biāo)機上工作的那個時間起�,攻擊就開始�����。
; r' v9 Y- a- a- P6 Z, X: F可通過下面的文章了解入侵的事例:
- `% {1 x; q( k8 |1 p3 Y1 Gftp://research.att.com/dist/internet_security/berferd.ps
4 x% J9 M$ d0 ?http://www.takedown.com/evidence/anklebiters/mlf/index.html# V) ^/ G5 w2 B/ r3 {
http//www.alw.nih.gov/security/first/papers/general/holland.ps
) D: u( N% E5 x: k5 |7 C* Jhttp://www.alw.nih.gov/security/first/papers/general/fuat.ps
& N# G( M4 c+ Y0 [+ Thttp://www.alw.nih.gov/security/first/papers/general/hacker.txt
0 O3 s+ t$ q" q; ~" a, F+ x# @3 j5 R2 k. d( {, x
⒏入侵層次索引
$ @. Q6 D2 l5 o# f/ M* f■郵件炸彈攻擊3 g3 |6 @2 {1 O6 v0 G
■簡單拒絕服務(wù). I) |* N8 V' ~; u. [& v; {# Z
■本地用戶獲得非授權(quán)讀訪問9 t. a8 \1 g! m: ^6 ]. @* E
■本地用戶獲得他們本不應(yīng)擁有的文件的寫權(quán)限3 B4 \8 {& W Z! q, _# N
■遠(yuǎn)程用戶獲得了非授權(quán)的帳號$ s- [+ `5 P: }. b
■遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限
: j2 I+ P6 T+ d' I% U■遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限
5 _3 V% I$ p" o5 R' I) ?■遠(yuǎn)程用戶擁有了根權(quán)限(他們已經(jīng)攻克了你的系統(tǒng)) |
發(fā)表于 2011-1-13 17:06:38
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡