黑客攻擊常見方法及安全策略制訂的思路

　　常見的攻擊方法

　　你也許知道許多常見的攻擊方法，下面列出了一些：

　　· 字典攻擊：黑客利用一些自動執行的程序猜測用戶命和密碼，審計這類攻擊通常需要做全面的日志記錄和入侵監測系統(IDS)。

　　· Man-in-the-middle攻擊：黑客從合法的傳輸過程中嗅探到密碼和信息。防范這類攻擊的有效方法是應用強壯的加密。

　　· 劫持攻擊：在雙方進行會話時被第三方(黑客)入侵，黑客黑掉其中一方，並冒充他繼續與另一方進行會話。雖然不是個完全的解決方案，但強的驗證方法將有助於防范這種攻擊。

　　· 病毒攻擊：病毒是能夠自我復制和傳播的小程序，消耗系統資源。在審計過程中，你應當安裝最新的反病毒程序，並對用戶進行防病毒教育。

　　· 非法服務：非法服務是任何未經同意便運行在你的操作系統上的進程或服務。你會在接下來的課程中學到這種攻擊。

　　· 拒絕服務攻擊：利用各種程序(包括病毒和包發生器)使系統崩潰或消耗帶寬。

　　常見攻擊類型和特征

　　攻擊特征是攻擊的特定指紋。入侵監測系統和網絡掃描器就是根據這些特征來識別和防范攻擊的。下面簡要回顧一些特定地攻擊滲透網絡和主機的方法。

　　技術提示：許多網絡管理員習慣於在配置完路由器後將Telnet服務禁止掉，因為路由器並不需要過多的維護工作。如果需要額外的配置，你可以建立物理連接。

　　路由器和消耗帶寬攻擊

　　最近對Yahoo、e-Bay等電子商務網站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分布式拒絕服務攻擊工具發起的：

　　· Tribal Flood Network(TFN)

　　· Tribal Flood Network(TFN2k)

　　· Stacheldraht(TFN的一個變種)

　　· Trinoo(這類攻擊工具中最早為人所知的)

　　因為許多公司都由ISP提供服務，所以他們並不能直接訪問路由器。在你對系統進行審計時，要確保網絡對這類消耗帶寬式攻擊的反映速度。你將在後面的課程中學習如何利用路由器防范拒絕服務攻擊。

　　數據庫

　　黑客最想得到的是公司或部門的數據庫。現在公司普遍將重要數據存儲在關系型或面向對象的數據庫中，這些信息包括：

　　· 雇員數據，如個人信息和薪金情況。

　　· 市場和銷售情況。

　　· 重要的研發信息。

　　· 貨運情況。

　　黑客可以識別並攻擊數據庫。每種數據庫都有它的特征。如SQL Server使用1433/1434端口，你應該確保防火牆能夠對該種數據庫進行保護。你會發現，很少有站點應用這種保護，尤其在網絡內部。

　　服務器安全

　　WEB和FTP這兩種服務器通常置於DMZ，無法得到防火牆的完全保護，所以也特別容易遭到攻擊。Web和FTP服務通常存在的問題包括：

　　· 用戶通過公網發送未加密的信息;

　　· 操作系統和服務存在眾所周知的漏洞導致拒絕服務攻擊或破壞系統;

　　· 舊有操作系統中以root權限初始運行的服務，一旦被黑客破壞，入侵者便可以在產生的命令解釋器中運行任意的代碼。

　　Web頁面塗改

　　近來，未經授權對Web服務器進行攻擊並塗改缺省主頁的攻擊活動越來越多。許多企業、政府和公司都遭受過類似的攻擊。有時這種攻擊是出於政治目的。大多數情況下Web頁面的塗改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊(使用包嗅探器)和利用緩沖區溢出。有時，還包括劫持攻擊和拒絕服務攻擊。

　　郵件服務

　　廣泛使用的SMTP、POP3和IMAP一般用明文方式進行通信。這種服務可以通過加密進行驗證但是在實際應用中通信的效率不高。又由於大多數人對多種服務使用相同的密碼，攻擊者可以利用嗅探器得到用戶名和密碼，再利用它攻擊其它的資源，例如Windows NT服務器。這種攻擊不僅僅是針對NT系統。許多不同的服務共享用戶名和密碼。你已經知道一個薄弱環節可以破壞整個的網絡。FTP和SMTP服務通常成為這些薄弱的環節。

　　與郵件服務相關的問題包括：

　　· 利用字典和暴力攻擊POP3的login shell;

　　· 在一些版本中sendmail存在緩沖區溢出和其它漏洞;

　　· 利用E-mail的轉發功能轉發大量的垃圾信件

　　名稱服務

　　攻擊者通常把攻擊焦點集中在DNS服務上。由於DNS使用UDP，而UDP連接又經常被各種防火牆規則所過濾，所以許多系統管理員發現將DNS服務器至於防火牆之後很困難。因此，DNS服務器經常暴露在外，使它成為攻擊的目標。DNS攻擊包括：

　　· 未授權的區域傳輸;

　　· DNS 毒藥，這種攻擊是指黑客在主DNS服務器向輔DNS服務器進行區域傳輸時插入錯誤的DNS信息，一旦成功，攻擊者便可以使輔DNS服務器提供錯誤的名稱到IP地址的解析信息;

　　· 拒絕服務攻擊;

　　其它的一些名稱服務也會成為攻擊的目標，如下所示：

　　· WINS，“Coke”通過拒絕服務攻擊來攻擊沒有打補丁的NT系統。

　　· SMB服務(包括Windows的SMB和UNIX的Samba)這些服務易遭受Man-in-the-middle攻擊，被捕獲的數據包會被類似L0phtCrack這樣的程序破解。

　　· NFS和NIS服務。這些服務通常會遭受Man-in-the-middle方式的攻擊。

　　在審計各種各樣的服務時，請考慮升級提供這些服務的進程。

　　審計系統BUG

　　作為安全管理者和審計人員，你需要對由操作系統產生的漏洞和可以利用的軟件做到心中有數。早先版本的Microsoft IIS允許用戶在地址欄中運行命令，這造成了IIS主要的安全問題。其實，最好的修補安全漏洞的方法是升級相關的軟件。為了做到這些，你必須廣泛地閱讀和與其他從事安全工作的人進行交流，這樣，你才能跟上最新的發展。這些工作會幫助你了解更多的操作系統上的特定問題。

　　雖然大多數的廠商都為其產品的問題發布了修補方法，但你必須充分理解補上了哪些漏洞。如果操作系統或程序很復雜，這些修補可能在補上舊問題的同時又開啟了新的漏洞。因此，你需要在實施升級前進行測試。這些測試工作包括在隔離的網段中驗證它是否符合你的需求。當然也需要參照值得信賴的網絡刊物和專家的觀點。

　　審計Trap Door和Root Kit

　　Root kit是用木馬替代合法程序。Trap Door是系統上的bug，當執行合法程序時卻產生了非預期的結果。如老版本的UNIX sendmail，在執行debug命令時允許用戶以root權限執行腳本代碼，一個收到嚴格權限控制的用戶可以很輕易的添加用戶賬戶。

　　雖然root kit通常出現在UNIX系統中，但攻擊者也可以通過看起來合法的程序在Windows NT中置入後門。象NetBus,BackOrifice和Masters of Paradise等後門程序可以使攻擊者滲透並控制系統。木馬可以由這些程序產生。如果攻擊者夠狡猾，他可以使這些木馬程序避開一些病毒檢測程序，當然用最新升級的病毒檢測程序還是可以發現它們的蹤跡。在對系統進行審計時，你可以通過校驗分析和掃描開放端口的方式來檢測是否存在root kit等問題。

　　審計拒絕服務攻擊

　　Windows NT 易遭受拒絕服務攻擊，主要是由於這種操作系統比較流行並且沒有受到嚴格的檢驗。針對NT服務的攻擊如此頻繁的原因可以歸結為：發展勢頭迅猛但存在許多漏洞。在審計Windows NT網絡時，一定要花時間來驗證系統能否經受這種攻擊的考驗。打補丁是一種解決方法。當然，如果能將服務器置於防火牆的保護之下或應用入侵監測系統的話就更好了。通常很容易入侵UNIX操作系統，主要因為它被設計來供那些技術!

　　審計和後門程序

　　通常，在服務器上運行的操作系統和程序都存在代碼上的漏洞。例如，最近的商業Web浏覽器就發現了許多安全問題。攻擊者通常知道這些漏洞並加以利用。就象你已經知道的RedButton，它利用了Windows NT的漏洞使攻擊者可以得知缺省的管理員賬號，即使賬號的名稱已經更改。後門(back door)也指在操作系統或程序中未記錄的入口。程序設計人員為了便於快速進行產品支持有意在系統或程序中留下入口。不同於bug，這種後門是由設計者有意留下的。例如，像Quake和Doom這樣的程序含有後門入口允許未授權的用戶進入游戲安裝的系統。雖然看來任何系統管理員都不會允許類似的程序安裝在網絡服務器上，但這種情況還是時有發生。

　　從後門程序的危害性，我們可以得出結論，在沒有首先閱讀資料和向值得信賴的同事咨詢之前不要相信任何新的服務或程序。在你進行審計時，請花費一些時間仔細記錄任何你不了解它的由來和歷史的程序。