网络入侵简介
ideal
原文出处:http://www.sysadminmag.com/articles/2000/0011/0011e/0011e.htm
原文作者:Kurt Seifried
编译:ideal([email protected])
什么是网络入侵(hacking)?从在线字典(http://www.dictionary.com/),可以得到如下定义:
具有熟练的编写和调试计算机程序的技巧
并使用这些技巧来获得非法或未授权的网络或文件访问,入侵进入公司内部网的行文。
早先将对计算机的非授权访问称为破解(cracking),而hacking则指那些熟练运用计算机的高手对计算机技术的运用。而随着时间的推移,媒体宣传导致了hacking变成了入侵的含义。现在hacker则称为诸如Linus Torvalds (Linux之父)、Tim Berners-Lee (现代WWW之父)及偷窃网络信息等犯罪者的同义词。
那么忽略法律角度的定义,什么才是一个黑客( hacker)呢?那就是指企图入侵别人的计算机或网络的人。该定义几乎涵盖了所有现代网络系统的入侵,从计算机网络到电话系统。在现代社会里任何远程复杂控制都是由计算机来实现的,因为人们发现联网的计算机能发挥更大的作用和更易于管理。
应该认识到的是绝大多数的入侵者都并不具有什么特别高深的技术。那些十几岁的少年都能成功的实现对如Yahoo、CNN等的大在线公司的攻击。它们都是天才么?而实际情况是因为目前网络计算机的安全性非常差的缘故。用来实现网络计算机通信的下层协议是很久以前设计的,而那时并没有那么多敌意攻击的情况。因此大多数联网的计算机是不安全的,因为完全实现一个安全的现代OS需要重要的大量的努力。在大多数情况下作为管理员往往需要关闭某些无用服务,去除某些不需要的服务,升级和补丁操作系统,确信OS被加固以增强安全性,还要防止用户接收包含诸如“我爱你”病毒之类的信息内容。而大多数系统管理并没有大量的时间和精力来完全的实现系统的安全性,因为太多的项目(特别是电子商务)面临竞争。
攻击的类别
第一类攻击者几乎包含95%的情况,并经常被称作恶作剧小孩式的攻击。这些攻击者有用一台计算机并且具有非常有限的网络知识和操作系统知识,它们往往并不具有太多的技巧。它们常常并不熟悉攻击软件是如何工作的,但是这并不妨碍它们利用这些软件来实现攻击。
第二类攻击者要更具有技巧一些,具有UNIX类及Windows系统的知识和经验,它们具有网络、协议和服务的知识,这些知识能指导它们进行攻击,它们往往具有更高的成功率但是它们往往不会编写程序或发现新的软件或网络漏洞,象第一类一样,它们仅仅是跟随者而不是创造者。这类攻击者的数量要远远少于第一类而大大多余第三类。
最后一类攻击者是最具有技巧的一类。它们能寻找软件的漏洞,并加以利用来进行攻击。它们都精通攻击程序的编写,并将这些程序四处发布。但是这类攻击者中后很多是属于白帽(white hats),t它们不触犯法律,但是它们觉得有必要发布它们编写的攻击程序以使厂商修改bug。对白帽子的争论甚至可以写一本书。
攻击分析
通常攻击者首先就是要决定它们的攻击目标,这通常是一个有目的的行为。但是有时候攻击者由于某种原因仅仅希望攻击某个组织。决定同样受在攻击时可能受到的风险的影响。然而攻击者往往在攻击时并不知道攻击可能导致的法律后果,而去贸然进行攻击。例如Mafiaboy就对CNN.com进行攻击就被发现并追究了其法律责任。
攻击风险最小的往往是拒绝服务式攻击。一般是通过入侵不安全的计算机,在其上安装某种软件来同时连接某个服务器,从而导致该服务器不能完成正常的服务请求。拒绝服务攻击一般并不能为攻击者带来任何经济利益。
而渗透攻击则能使入侵者得到信用卡号码或得到能用来对另外的主机进行攻击的资源。这些攻击者往往由于过分的自信,最后常因为在某段时间内连续攻击一个站点而被抓获。但是如果攻击者能有自知之明的知道什么时候应该收手,那么抓获它们是非常困难的。
一个攻击的技巧越生疏,攻击就越笨拙,越容易留下明显的痕迹。恶作剧小孩式的攻击者甚至不知道如何检测被攻击的网络,而是简单的下载漏洞攻击软件并随意测试。这类攻击往往导致被攻击网络上的防火墙或入侵检测系统产生很多告警信息。如果作为网络管理员的你及时更新各种软件,那么这类攻击一般都不不大可能奏效。而一个熟练的攻击者则首先会对被攻击网络进行分析测试,常用的测试分析包括traceroute、DNS信息等。例如我曾经对一个大学的网络中的包括超过65,000个IP地址在几个小时内进行过DNS反向查询。一般并不能简单的阻止这类探测,因为这类行为也可能是合法的网络请求,不幸的是,记录这类测试的唯一方法可能导致大量的Log数据。探测的其他地方包括公司的电话线,因为大多数公司都可能有modem连接到计算机上,而其往往没有正确的安全配置。专业攻击者也可能利用社会工程学方法进行攻击。这类攻击不大可能被前两种攻击者使用,因为这种攻击方法需要和人有高度的交互性,因此很难不留痕迹的进行。而更熟练的攻击者则倾向于使用该方法。
攻击工具
在哪里可以找到那些漏洞攻击脚本程序和漏洞信息呢?有很多web站点都发布这方面的专题,而且还要后专门的IRC来供黑客们进行实时讨论以交流经验。下面是一些站点资源:
http://www.antionline.com/ --这是最全面的站点之一。它有良好的内容结构,并且提供数以千计的漏洞信息,几乎包括计算机网络相关的所有漏洞信息(Cisco, Windows, BSD, AIX等等)。该站点同样提供很多网络扫描器,密码生成器,keylogger和其他可以被用来辅助攻击的各种攻击。
http://www.rootshell.com/ -- 该站点曾经是在漏洞方面最有权威性的站点。但是最近以来该站点的更新却大大减慢。该站点提供按月份浏览的方式可以很快的察看最新漏洞信息,并且提供了一个搜索引擎,只要输入你的OS系统或网络软件就可以方便的查询漏洞信息。
http://packetstorm.securify.com/ -- 该站点是最大的漏洞档案信息站点。This is by far the largest archive of exploits, going back several years.
下面是一些可以被用来探测网络,检测网络结构等方面的攻击:
http://www.nmap.org/ -- 最好的端口扫描器,并且是免费的。从内部可信主机扫描网络服务器来察看服务器运行有哪些服务是一个很不多的想法。
http://www.nessus.org/ -- 一个更好的攻击扫描器,也是开放源码的。它是客户/服务器体系结构,分别有Unix和Windows版本。其产生的扫描报告非常完整,并且包含如何修补安全威胁的建议。其也进行拒绝服务扫描测试,但是在进行该扫描以前要小心谨慎,因为可能导致服务器崩溃。
扫描一个公司的modem将可能发现一个modem可以被用来入侵该公司的网络。有四种对策来解决这种扫描:第一种方法是物理方式的检查每个计算机的modem,但是由于某些机器可能连接有外置modem而且并不是总是连接在计算机上,因此第一种方法并不是一定有效。第二种方法用来扫描电话线来查找modem,同样用户的modem并不总是连接或打开;第三种方法是阻止用户使用其com端口,在Unix环境下可以通过设置/dev权限来进行,而对于windows,可以使用一个称为SecureNT的工具来进行。第四种方法是对电话线路设置防火墙,目前称为TeleWall的产品可以完成该功能。
http://www.hackers.co.za/archive/hacking/wardialers/ -- 最好的免费的wardialers(如THC,The Hackers Choice)来扫描电话。但是需要注意在使用这些工具时应该关闭呼叫用户号码显示功能。
http://www.securelogix.com/ -- SecureLogix发布的TeleWall-一个电话系统防火墙。将其放置在PBX之前。其能处理多达24根线。其能根据源、目的、时间及呼叫类型等规则来过滤进入和发出的呼叫。SecureLogix同样也出品TeleSweep-一个商业化的wardailer。
http://www.securewave.com/ -- SecureNT是一个能控制机器对串口、并口及其他可移动媒体如软驱、光驱等设备的使用的软件。其可以运行在Windows 9x, NT和2000环境下。
入侵防卫
对于这些工具都有专门的防卫工具,但是将其全部罗列出来将是非常巨大的。设立良好的安全策略并加以实施,一个强大可靠的IT/IS队伍和仔细处理问题的过程就是最好的防卫措施。特别需要保持软件更新、及时安装厂商提供的补丁,对服务请求进行限制。物理安全性同样重要。考虑加密网络数据流和使用一次性密码口令。对网络流进行过滤也是必须的,这通常是使用数据报级的防火墙系统、代理系统及病毒检测系统来实现的。由于入侵者往往是通过修改系统配置及其他可执行程序来获得后门的,因此安装诸如TripWire的软件可以在出现问题时及时发现。
参考资料
Wadlow, T. 2000. The Process of Network Security. Addison-Wesley. This book discusses how to
handle incidents, how to build a team, etc. Its invaluable.
Winkler, I. 1997. Corporate Espionage. Prima Publishing. This book is more policy/procedure focused
than technology. However, it will give you the mindset of a skilled attacker, and "best practices"
that any company would be advised to use.
Unfortunately, many OS vendors have little or no useful security documentation online, but there are a few exceptions:
http://docs.sun.com/ -- Sun Documentation site.
http://www.cisco.com/ -- Click on "Technical Documents" for Ciscos information.
http://www.microsoft.com/technet/security/ -- Microsofts collection of security information
发布人:netbull 来自:LinuxAid