我們常見攻擊類型和特征及方法

　　攻擊特征是攻擊的特定指紋。入侵監測系統和網絡掃描器就是根據這些特征來識別和防范攻擊的。下面簡要回顧一些特定地攻擊滲透網絡和主機的方法。

　　常見的攻擊方法

　　您也許知道許多常見的攻擊方法，下面列出了一些：

　　· 字典攻擊：黑客利用一些自動執行的程序猜測用戶命和密碼，審計這類攻擊通常需要做全面的日志記錄和入侵監測系統(IDS)。

　　· Man-in-the-middle攻擊：黑客從合法的傳輸過程中嗅探到密碼和信息。防范這類攻擊的有效方法是應用強壯的加密。

　　· 劫持攻擊：在雙方進行會話時被第三方(黑客)入侵，黑客黑掉其中一方，并冒充他繼續與另一方進行會話。雖然不是個完全的解決方案，但強的驗證方法將有助于防范這種攻擊。

　　· 病毒攻擊：病毒是能夠自我復制和傳播的小程序，消耗系統資源。在審計過程中，您應當安裝最新的反病毒程序，并對用戶進行防病毒教育。

　　· 非法服務：非法服務是任何未經同意便運行在您的操作系統上的進程或服務。您會在接下來的課程中學到這種攻擊。

　　· 拒絕服務攻擊：利用各種程序(包括病毒和包發生器)使系統崩潰或消耗帶寬。

　　容易遭受攻擊的目標

　　最常遭受攻擊的目標包括路由器、數據庫、Web和FTP服務器，和與協議相關的服務，如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標。

　　路由器

　　連接公網的路由器由于被暴露在外，通常成為被攻擊的對象。許多路由器為便于管理使用SNMP協議，尤其是SNMPv1，成為潛在的問題。許多網絡管理員未關閉或加密Telnet會話，若明文傳輸的口令被截取，黑客就可以重新配置路由器，這種配置包括關閉接口，重新配置路由跳計數等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進行終端會話。

　　過濾Telnet

　　為了避免未授權的路由器訪問，您應利用防火墻過濾掉路由器外網的telnet端口和SNMP[161,162]端口

　　技術提示：許多網絡管理員習慣于在配置完路由器后將Telnet服務禁止掉，因為路由器并不需要過多的維護工作。如果需要額外的配置，您可以建立物理連接。

　　路由器和消耗帶寬攻擊

　　最近對Yahoo、e-Bay等電子商務網站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分布式拒絕服務攻擊工具發起的：

　　· Tribal Flood Network(TFN)

　　· Tribal Flood Network(TFN2k)

　　· Stacheldraht(TFN的一個變種)

　　· Trinoo(這類攻擊工具中最早為人所知的)

　　因為許多公司都由ISP提供服務，所以他們并不能直接訪問路由器。在您對系統進行審計時，要確保網絡對這類消耗帶寬式攻擊的反映速度。您將在后面的課程中學習如何利用路由器防范拒絕服務攻擊。

　　數據庫

　　黑客最想得到的是公司或部門的數據庫。現在公司普遍將重要數據存儲在關系型或面向對象的數據庫中，這些信息包括：

　　· 雇員數據，如個人信息和薪金情況。

　　· 市場和銷售情況。

　　· 重要的研發信息。

　　· 貨運情況。

　　黑客可以識別并攻擊數據庫。每種數據庫都有它的特征。如SQL Server使用1433/1434端口，您應該確保防火墻能夠對該種數據庫進行保護。您會發現，很少有站點應用這種保護，尤其在網絡內部。

　　服務器安全

　　WEB和FTP這兩種服務器通常置于DMZ，無法得到防火墻的完全保護，所以也特別容易遭到攻擊。Web和FTP服務通常存在的問題包括：

　　· 用戶通過公網發送未加密的信息;

　　· 操作系統和服務存在眾所周知的漏洞導致拒絕服務攻擊或破壞系統;

　　· 舊有操作系統中以root權限初始運行的服務，一旦被黑客破壞，入侵者便可以在產生的命令解釋器中運行任意的代碼。

　　Web頁面涂改

　　近來，未經授權對Web服務器進行攻擊并涂改缺省主頁的攻擊活動越來越多。許多企業、政府和公司都遭受過類似的攻擊。有時這種攻擊是出于政治目的。大多數情況下Web頁面的涂改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊(使用包嗅探器)和利用緩沖區溢出。有時，還包括劫持攻擊和拒絕服務攻擊。

　　郵件服務

　　廣泛使用的SMTP、POP3和IMAP一般用明文方式進行通信。這種服務可以通過加密進行驗證但是在實際應用中通信的效率不高。又由于大多數人對多種服務使用相同的密碼，攻擊者可以利用嗅探器得到用戶名和密碼，再利用它攻擊其它的資源，例如Windows NT服務器。這種攻擊不僅僅是針對NT系統。許多不同的服務共享用戶名和密碼。您已經知道一個薄弱環節可以破壞整個的網絡。FTP和SMTP服務通常成為這些薄弱的環節。

　　與郵件服務相關的問題包括：

　　· 利用字典和暴力攻擊POP3的login shell;

　　· 在一些版本中sendmail存在緩沖區溢出和其它漏洞;

　　· 利用E-mail的轉發功能轉發大量的垃圾信件

　　名稱服務

　　攻擊者通常把攻擊焦點集中在DNS服務上。由于DNS使用UDP，而UDP連接又經常被各種防火墻規則所過濾，所以許多系統管理員發現將DNS服務器至于防火墻之后很困難。因此，DNS服務器經常暴露在外，使它成為攻擊的目標。DNS攻擊包括：

　　· 未授權的區域傳輸;

　　· DNS 毒藥，這種攻擊是指黑客在主DNS服務器向輔DNS服務器進行區域傳輸時插入錯誤的DNS信息，一旦成功，攻擊者便可以使輔DNS服務器提供錯誤的名稱到IP地址的解析信息;

　　· 拒絕服務攻擊;

　　其它的一些名稱服務也會成為攻擊的目標，如下所示：

　　· WINS，“Coke”通過拒絕服務攻擊來攻擊沒有打補丁的NT系統。

　　· SMB服務(包括Windows的SMB和UNIX的Samba)這些服務易遭受Man-in-the-middle攻擊，被捕獲的數據包會被類似L0phtCrack這樣的程序破解。

　　· NFS和NIS服務。這些服務通常會遭受Man-in-the-middle方式的攻擊。

　　在審計各種各樣的服務時，請考慮升級提供這些服務的進程。

　　審計系統BUG

　　作為安全管理者和審計人員，您需要對由操作系統產生的漏洞和可以利用的軟件做到心中有數。早先版本的Microsoft IIS允許用戶在地址欄中運行命令，這造成了IIS主要的安全問題。其實，最好的修補安全漏洞的方法是升級相關的軟件。為了做到這些，您必須廣泛地閱讀和與其他從事安全工作的人進行交流，這樣，您才能跟上最新的發展。這些工作會幫助您了解更多的操作系統上的特定問題。

　　雖然大多數的廠商都為其產品的問題發布了修補方法，但您必須充分理解補上了哪些漏洞。如果操作系統或程序很復雜，這些修補可能在補上舊問題的同時又開啟了新的漏洞。因此，您需要在實施升級前進行測試。這些測試工作包括在隔離的網段中驗證它是否符合您的需求。當然也需要參照值得信賴的網絡刊物和專家的觀點。

　　審計Trap Door和Root Kit

　　Root kit是用木馬替代合法程序。Trap Door是系統上的bug，當執行合法程序時卻產生了非預期的結果。如老版本的UNIX sendmail，在執行debug命令時允許用戶以root權限執行腳本代碼，一個收到嚴格權限控制的用戶可以很輕易的添加用戶賬戶。

　　雖然root kit通常出現在UNIX系統中，但攻擊者也可以通過看起來合法的程序在Windows NT中置入后門。象NetBus,BackOrifice和Masters of Paradise等后門程序可以使攻擊者滲透并控制系統。木馬可以由這些程序產生。如果攻擊者夠狡猾，他可以使這些木馬程序避開一些病毒檢測程序，當然用最新升級的病毒檢測程序還是可以發現它們的蹤跡。在對系統進行審計時，您可以通過校驗分析和掃描開放端口的方式來檢測是否存在root kit等問題。

　　審計拒絕服務攻擊

　　Windows NT 易遭受拒絕服務攻擊，主要是由于這種操作系統比較流行并且沒有受到嚴格的檢驗。針對NT服務的攻擊如此頻繁的原因可以歸結為：發展勢頭迅猛但存在許多漏洞。在審計Windows NT網絡時，一定要花時間來驗證系統能否經受這種攻擊的考驗。打補丁是一種解決方法。當然，如果能將服務器置于防火墻的保護之下或應用入侵監測系統的話就更好了。通常很容易入侵UNIX操作系統，主要因為它被設計來供那些技巧!

　　審計和后門程序

　　通常，在服務器上運行的操作系統和程序都存在代碼上的漏洞。例如，最近的商業Web瀏覽器就發現了許多安全問題。攻擊者通常知道這些漏洞并加以利用。就象您已經知道的RedButton，它利用了Windows NT的漏洞使攻擊者可以得知缺省的管理員賬號，即使賬號的名稱已經更改。后門(back door)也指在操作系統或程序中未記錄的入口。程序設計人員為了便于快速進行產品支持有意在系統或程序中留下入口。不同于bug，這種后門是由設計者有意留下的。例如，像Quake和Doom這樣的程序含有后門入口允許未授權的用戶進入游戲安裝的系統。雖然看來任何系統管理員都不會允許類似的程序安裝在網絡服務器上，但這種情況還是時有發生。

　　從后門程序的危害性，我們可以得出結論，在沒有首先閱讀資料和向值得信賴的同事咨詢之前不要相信任何新的服務或程序。在您進行審計時，請花費一些時間仔細記錄任何您不了解它的由來和歷史的程序。