駭客攻擊常見方法及安全策略制訂(轉)

駭客攻擊常見方法及安全策略制訂(轉)[@more@]

　　一旦駭客定位了你的網路，他通常會選定一個目標進行滲透。通常這個目標會是安全漏洞最多或是他擁有最多攻擊工具的主機。非法入侵系統的方法有很多，你應當對這些方法引起注意。

　　

　　常見攻擊型別和特徵

　　攻擊特徵是攻擊的特定指紋。入侵監測系統和網路掃描器就是根據這些特徵來識別和防範攻擊的。下面簡要回顧一些特定地攻擊滲透網路和主機的方法。

　　

　　常見的攻擊方法

　　你也許知道許多常見的攻擊方法，下面列出了一些：

　　

　　? 字典攻擊：駭客利用一些自動執行的程式猜測使用者命和密碼，審計這類攻擊通常需要做全面的日誌記錄和入侵監測系統（IDS）。

　　

　　? Man-in-the-middle攻擊：駭客從合法的傳輸過程中嗅探到密碼和資訊。防範這類攻擊的有效方法是應用強壯的加密。

　　

　　? 劫持攻擊：在雙方進行會話時被第三方（駭客）入侵，駭客黑掉其中一方，並冒充他繼續與另一方進行會話。雖然不是個完全的解決方案，但強的驗證方法將有助於防範這種攻擊。

　　

　　? 病毒攻擊：病毒是能夠自我複製和傳播的小程式，消耗系統資源。在審計過程中，你應當安裝最新的反病毒程式，並對使用者進行防病毒教育。

　　

　　? 非法服務：非法服務是任何未經同意便執行在你的作業系統上的程式或服務。你會在接下來的課程中學到這種攻擊。

　　

　　? 拒絕服務攻擊：利用各種程式（包括病毒和包發生器）使系統崩潰或消耗頻寬。

　　

　　容易遭受攻擊的目標

　　最常遭受攻擊的目標包括路由器、資料庫、Web和FTP伺服器，和與協議相關的服務，如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標。

　　

　　路由器

　　連線公網的路由器由於被暴露在外，通常成為被攻擊的物件。許多路由器為便於管理使用SNMP協議，尤其是SNMPv1，成為潛在的問題。許多網路管理員未關閉或加密Telnet會話，若明文傳輸的口令被擷取，駭客就可以重新配置路由器，這種配置包括關閉介面，重新配置路由跳計數等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進行終端會話。

　　

　　過濾Telnet

　　為了避免未授權的路由器訪問，你應利用防火牆過濾掉路由器外網的telnet埠和SNMP[161,162]埠

　　

　　技術提示：許多網路管理員習慣於在配置完路由器後將Telnet服務禁止掉，因為路由器並不需要過多的維護工作。如果需要額外的配置，你可以建立物理連線。

　　

　　路由器和消耗頻寬攻擊

　　最近對Yahoo、e-Bay等電子商務網站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分散式拒絕服務攻擊工具發起的：

　　

　　? Tribal Flood Network(TFN)

　　

　　? Tribal Flood Network(TFN2k)

　　

　　? Stacheldraht（TFN的一個變種）

　　

　　? Trinoo（這類攻擊工具中最早為人所知的）

　　

　　

　　因為許多公司都由ISP提供服務，所以他們並不能直接訪問路由器。在你對系統進行審計時，要確保網路對這類消耗頻寬式攻擊的反映速度。你將在後面的課程中學習如何利用路由器防範拒絕服務攻擊。

　　

　　資料庫

　　駭客最想得到的是公司或部門的資料庫。現在公司普遍將重要資料儲存在關係型或物件導向的資料庫中，這些資訊包括：

　　

　　? 僱員資料，如個人資訊和薪金情況。

　　

　　? 市場和銷售情況。

　　

　　? 重要的研發資訊。

　　

　　? 貨運情況。

　　

　　駭客可以識別並攻擊資料庫。每種資料庫都有它的特徵。如SQL Server使用1433/1434埠，你應該確保防火牆能夠對該種資料庫進行保護。你會發現，很少有站點應用這種保護，尤其在網路內部。

　　

　　伺服器安全

　　WEB和FTP這兩種伺服器通常置於DMZ，無法得到防火牆的完全保護，所以也特別容易遭到攻擊。Web和FTP服務通常存在的問題包括：

　　

　　? 使用者透過公網傳送未加密的資訊；

　　

　　? 作業系統和服務存在眾所周知的漏洞導致拒絕服務攻擊或破壞系統；

　　

　　? 舊有作業系統中以root許可權初始執行的服務，一旦被駭客破壞，入侵者便可以在產生的命令直譯器中執行任意的程式碼。

　　

　　Web頁面塗改

　　近來，未經授權對Web伺服器進行攻擊並塗改預設主頁的攻擊活動越來越多。許多企業、政府和公司都遭受過類似的攻擊。有時這種攻擊是出於政治目的。大多數情況下Web頁面的塗改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊（使用包嗅探器）和利用緩衝區溢位。有時，還包括劫持攻擊和拒絕服務攻擊。

　　

　　郵件服務

　　廣泛使用的SMTP、POP3和IMAP一般用明文方式進行通訊。這種服務可以透過加密進行驗證但是在實際應用中通訊的效率不高。又由於大多數人對多種服務使用相同的密碼，攻擊者可以利用嗅探器得到使用者名稱和密碼，再利用它攻擊其它的資源，例如Windows NT伺服器。這種攻擊不僅僅是針對NT系統。許多不同的服務共享使用者名稱和密碼。你已經知道一個薄弱環節可以破壞整個的網路。FTP和SMTP服務通常成為這些薄弱的環節。

　　

　　與郵件服務相關的問題包括：

　　

　　? 利用字典和暴力攻擊POP3的login shell；

　　

　　? 在一些版本中sendmail存在緩衝區溢位和其它漏洞；

　　

　　? 利用E-mail的轉發功能轉發大量的垃圾信件

　　

　　名稱服務

　　攻擊者通常把攻擊焦點集中在DNS服務上。由於DNS使用UDP，而UDP連線又經常被各種防火牆規則所過濾，所以許多系統管理員發現將DNS伺服器至於防火牆之後很困難。因此，DNS伺服器經常暴露在外，使它成為攻擊的目標。DNS攻擊包括：

　　

　　? 未授權的區域傳輸；

　　

　　? DNS 毒藥，這種攻擊是指駭客在主DNS伺服器向輔DNS伺服器進行區域傳輸時插入錯誤的DNS資訊，一旦成功，攻擊者便可以使輔DNS伺服器提供錯誤的名稱到IP地址的解析資訊；

　　

　　? 拒絕服務攻擊；

　　

　　其它的一些名稱服務也會成為攻擊的目標，如下所示：

　　

　　? WINS，“Coke”透過拒絕服務攻擊來攻擊沒有打補丁的NT系統。

　　

　　? SMB服務（包括Windows的SMB和UNIX的Samba）這些服務易遭受Man-in-the-middle攻擊，被捕獲的資料包會被類似L0phtCrack這樣的程式破解。

　　

　　? NFS和NIS服務。這些服務通常會遭受Man-in-the-middle方式的攻擊。

　　

　　在審計各種各樣的服務時，請考慮升級提供這些服務的程式。

　　

　　審計系統BUG

　　作為安全管理者和審計人員，你需要對由作業系統產生的漏洞和可以利用的軟體做到心中有數。早先版本的Microsoft IIS允許使用者在位址列中執行命令，這造成了IIS主要的安全問題。其實，最好的修補安全漏洞的方法是升級相關的軟體。為了做到這些，你必須廣泛地閱讀和與其他從事安全工作的人進行交流，這樣，你才能跟上最新的發展。這些工作會幫助你瞭解更多的作業系統上的特定問題。

　　

　　雖然大多數的廠商都為其產品的問題釋出了修補方法，但你必須充分理解補上了哪些漏洞。如果作業系統或程式很複雜，這些修補可能在補上舊問題的同時又開啟了新的漏洞。因此，你需要在實施升級前進行測試。這些測試工作包括在隔離的網段中驗證它是否符合你的需求。當然也需要參照值得信賴的網路刊物和專家的觀點。

　　

　　審計Trap Door和Root Kit

　　Root kit是用木馬替代合法程式。Trap Door是系統上的bug，當執行合法程式時卻產生了非預期的結果。如老版本的UNIX sendmail，在執行debug命令時允許使用者以root許可權執行指令碼程式碼，一個收到嚴格許可權控制的使用者可以很輕易的新增使用者賬戶。

　　

　　雖然root kit通常出現在UNIX系統中，但攻擊者也可以透過看起來合法的程式在Windows NT中置入後門。象NetBus,BackOrifice和Masters of Paradise等後門程式可以使攻擊者滲透並控制系統。木馬可以由這些程式產生。如果攻擊者夠狡猾，他可以使這些木馬程式避開一些病毒檢測程式，當然用最新升級的病毒檢測程式還是可以發現它們的蹤跡。在對系統進行審計時，你可以透過校驗分析和掃描開放埠的方式來檢測是否存在root kit等問題。

　　

　　審計和後門程式

　　通常，在伺服器上執行的作業系統和程式都存在程式碼上的漏洞。例如，最近的商業Web瀏覽器就發現了許多安全問題。攻擊者通常知道這些漏洞並加以利用。就象你已經知道的RedButton，它利用了Windows NT的漏洞使攻擊者可以得知預設的管理員賬號，即使賬號的名稱已經更改。後門（back door）也指在作業系統或程式中未記錄的入口。程式設計人員為了便於快速進行產品支援有意在系統或程式中留下入口。不同於bug，這種後門是由設計者有意留下的。例如，像Quake和Doom這樣的程式含有後門入口允許未授權的使用者進入遊戲安裝的系統。雖然看來任何系統管理員都不會允許類似的程式安裝在網路伺服器上，但這種情況還是時有發生。

　　

　　從後門程式的危害性，我們可以得出結論，在沒有首先閱讀資料和向值得信賴的同事諮詢之前不要相信任何新的服務或程式。在你進行審計時，請花費一些時間仔細記錄任何你不瞭解它的由來和歷史的程式。

　　

　　審計拒絕服務攻擊

　　Windows NT 易遭受拒絕服務攻擊，主要是由於這種作業系統比較流行並且沒有受到嚴格的檢驗。針對NT服務的攻擊如此頻繁的原因可以歸結為：發展勢頭迅猛但存在許多漏洞。在審計Windows NT網路時，一定要花時間來驗證系統能否經受這種攻擊的考驗。打補丁是一種解決方法。當然，如果能將伺服器置於防火牆的保護之下或應用入侵監測系統的話就更好了。通常很容易入侵UNIX作業系統，主要因為它被設計來供那些技