黑客攻击常见方法及安全策略制订(转)
生活随笔
收集整理的這篇文章主要介紹了
黑客攻击常见方法及安全策略制订(转)
小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
一旦黑客定位了你的網(wǎng)絡(luò),他通常會(huì)選定一個(gè)目標(biāo)進(jìn)行滲透。通常這個(gè)目標(biāo)會(huì)是安全漏洞最多或是他擁有最多攻擊工具的主機(jī)。非法入侵系統(tǒng)的方法有很多,你應(yīng)當(dāng)對(duì)這些方法引起注意。
常見(jiàn)攻擊類型和特征
攻擊特征是攻擊的特定指紋。入侵監(jiān)測(cè)系統(tǒng)和網(wǎng)絡(luò)掃描器就是根據(jù)這些特征來(lái)識(shí)別和防范攻擊的。下面簡(jiǎn)要回顧一些特定地攻擊滲透網(wǎng)絡(luò)和主機(jī)的方法。
常見(jiàn)的攻擊方法
你也許知道許多常見(jiàn)的攻擊方法,下面列出了一些:
1、字典攻擊:黑客利用一些自動(dòng)執(zhí)行的程序猜測(cè)用戶命和密碼,審計(jì)這類攻擊通常需要做全面的日志記錄和入侵監(jiān)測(cè)系統(tǒng)(IDS)。
2、Man-in-the-middle攻擊:黑客從合法的傳輸過(guò)程中嗅探到密碼和信息。防范這類攻擊的有效方法是應(yīng)用強(qiáng)壯的加密。
3、劫持攻擊:在雙方進(jìn)行會(huì)話時(shí)被第三方(黑客)入侵,黑客黑掉其中一方,并冒充他繼續(xù)與另一方進(jìn)行會(huì)話。雖然不是個(gè)完全的解決方案,但強(qiáng)的驗(yàn)證方法將有助于防范這種攻擊。
4、病毒攻擊:病毒是能夠自我復(fù)制和傳播的小程序,消耗系統(tǒng)資源。在審計(jì)過(guò)程中,你應(yīng)當(dāng)安裝最新的反病毒程序,并對(duì)用戶進(jìn)行防病毒教育。
5、非法服務(wù):非法服務(wù)是任何未經(jīng)同意便運(yùn)行在你的操作系統(tǒng)上的進(jìn)程或服務(wù)。你會(huì)在接下來(lái)的課程中學(xué)到這種攻擊。
6、拒絕服務(wù)攻擊:利用各種程序(包括病毒和包發(fā)生器)使系統(tǒng)崩潰或消耗帶寬。
容易遭受攻擊的目標(biāo)
最常遭受攻擊的目標(biāo)包括路由器、數(shù)據(jù)庫(kù)、Web和FTP服務(wù)器,和與協(xié)議相關(guān)的服務(wù),如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標(biāo)。
路由器
連接公網(wǎng)的路由器由于被暴露在外,通常成為被攻擊的對(duì)象。許多路由器為便于管理使用SNMP協(xié)議,尤其是SNMPv1,成為潛在的問(wèn)題。許多網(wǎng)絡(luò)管理員未關(guān)閉或加密Telnet會(huì)話,若明文傳輸?shù)目诹畋唤厝?#xff0c;黑客就可以重新配置路由器,這種配置包括關(guān)閉接口,重新配置路由跳計(jì)數(shù)等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進(jìn)行終端會(huì)話。
過(guò)濾Telnet
為了避免未授權(quán)的路由器訪問(wèn),你應(yīng)利用_blank">防火墻過(guò)濾掉路由器外網(wǎng)的telnet端口和SNMP[161,162]端口
技術(shù)提示:許多網(wǎng)絡(luò)管理員習(xí)慣于在配置完路由器后將Telnet服務(wù)禁止掉,因?yàn)槁酚善鞑⒉恍枰^(guò)多的維護(hù)工作。如果需要額外的配置,你可以建立物理連接。
路由器和消耗帶寬攻擊
最近對(duì)Yahoo、e-Bay等電子商務(wù)網(wǎng)站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分布式拒絕服務(wù)攻擊工具發(fā)起的:
1、Tribal Flood Network(TFN)
2、Tribal Flood Network(TFN2k)
3、Stacheldraht(TFN的一個(gè)變種)
4、Trinoo(這類攻擊工具中最早為人所知的) 因?yàn)樵S多公司都由ISP提供服務(wù),所以他們并不能直接訪問(wèn)路由器。在你對(duì)系統(tǒng)進(jìn)行審計(jì)時(shí),要確保網(wǎng)絡(luò)對(duì)這類消耗帶寬式攻擊的反映速度。你將在后面的課程中學(xué)習(xí)如何利用路由器防范拒絕服務(wù)攻擊。
攻擊數(shù)據(jù)庫(kù)
黑客最想得到的是公司或部門的數(shù)據(jù)庫(kù)。現(xiàn)在公司普遍將重要數(shù)據(jù)存儲(chǔ)在關(guān)系型或面向?qū)ο蟮臄?shù)據(jù)庫(kù)中,這些信息包括:
1、雇員數(shù)據(jù),如個(gè)人信息和薪金情況。
2、市場(chǎng)和銷售情況。
3、重要的研發(fā)信息。
4、貨運(yùn)情況。
黑客可以識(shí)別并攻擊數(shù)據(jù)庫(kù)。每種數(shù)據(jù)庫(kù)都有它的特征。如SQL Server使用1433/1434端口,你應(yīng)該確保防火墻能夠?qū)υ摲N數(shù)據(jù)庫(kù)進(jìn)行保護(hù)。你會(huì)發(fā)現(xiàn),很少有站點(diǎn)應(yīng)用這種保護(hù),尤其在網(wǎng)絡(luò)內(nèi)部。
服務(wù)器安全
WEB和FTP這兩種服務(wù)器通常置于DMZ,無(wú)法得到_blank">防火墻的完全保護(hù),所以也特別容易遭到攻擊。Web和FTP服務(wù)通常存在的問(wèn)題包括:
1、用戶通過(guò)公網(wǎng)發(fā)送未加密的信息;
2、操作系統(tǒng)和服務(wù)存在眾所周知的漏洞導(dǎo)致拒絕服務(wù)攻擊或破壞系統(tǒng);
3、舊有操作系統(tǒng)中以root權(quán)限初莢誦械姆?瘢?壞┍緩誑推蘋擔(dān)?肭終弒憧梢栽誆??拿?罱饈推髦性誦腥我獾拇?搿?
Web頁(yè)面涂改
近來(lái),未經(jīng)授權(quán)對(duì)Web服務(wù)器進(jìn)行攻擊并涂改缺省主頁(yè)的攻擊活動(dòng)越來(lái)越多。許多企業(yè)、政府和公司都遭受過(guò)類似的攻擊。有時(shí)這種攻擊是出于政治目的。大多數(shù)情況下Web頁(yè)面的涂改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊(使用包嗅探器)和利用緩沖區(qū)溢出。有時(shí),還包括劫持攻擊和拒絕服務(wù)攻擊。
郵件服務(wù)
廣泛使用的SMTP、POP3和IMAP一般用明文方式進(jìn)行通信。這種服務(wù)可以通過(guò)加密進(jìn)行驗(yàn)證但是在實(shí)際應(yīng)用中通信的效率不高。又由于大多數(shù)人對(duì)多種服務(wù)使用相同的密碼,攻擊者可以利用嗅探器得到用戶名和密碼,再利用它攻擊其它的資源,例如Windows NT服務(wù)器。這種攻擊不僅僅是針對(duì)NT系統(tǒng)。許多不同的服務(wù)共享用戶名和密碼。你已經(jīng)知道一個(gè)薄弱環(huán)節(jié)可以破壞整個(gè)的網(wǎng)絡(luò)。FTP和SMTP服務(wù)通常成為這些薄弱的環(huán)節(jié)。
與郵件服務(wù)相關(guān)的問(wèn)題包括:
1、利用字典和暴力攻擊POP3的login shell;
2、在一些版本中sendmail存在緩沖區(qū)溢出和其它漏洞;
3、利用E-mail的轉(zhuǎn)發(fā)功能轉(zhuǎn)發(fā)大量的垃圾信件
名稱服務(wù)
攻擊者通常把攻擊焦點(diǎn)集中在DNS服務(wù)上。由于DNS使用UDP,而UDP連接又經(jīng)常被各種_blank">防火墻規(guī)則所過(guò)濾,所以許多系統(tǒng)管理員發(fā)現(xiàn)將DNS服務(wù)器至于防火墻之后很困難。因此,DNS服務(wù)器經(jīng)常暴露在外,使它成為攻擊的目標(biāo)。DNS攻擊包括:
1、未授權(quán)的區(qū)域傳輸;
2、DNS 毒藥,這種攻擊是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進(jìn)行區(qū)域傳輸時(shí)插入錯(cuò)誤的DNS信息,一旦成功,攻擊者便可以使輔DNS服務(wù)器提供錯(cuò)誤的名稱到IP地址的解析信息;
3、拒絕服務(wù)攻擊;
其它的一些名稱服務(wù)也會(huì)成為攻擊的目標(biāo),如下所示:
4、WINS,“Coke”通過(guò)拒絕服務(wù)攻擊來(lái)攻擊沒(méi)有打補(bǔ)丁的NT系統(tǒng)。
5、SMB服務(wù)(包括Windows的SMB和UNIX的Samba)這些服務(wù)易遭受Man-in-the-middle攻擊,被捕獲的數(shù)據(jù)包會(huì)被類似L0phtCrack這樣的程序破解。
6、NFS和NIS服務(wù)。這些服務(wù)通常會(huì)遭受Man-in-the-middle方式的攻擊。
在審計(jì)各種各樣的服務(wù)時(shí),請(qǐng)考慮升級(jí)提供這些服務(wù)的進(jìn)程。
審計(jì)系統(tǒng)BUG
作為安全管理者和審計(jì)人員,你需要對(duì)由操作系統(tǒng)產(chǎn)生的漏洞和可以利用的軟件做到心中有數(shù)。早先版本的Microsoft IIS允許用戶在地址欄中運(yùn)行命令,這造成了IIS主要的安全問(wèn)題。其實(shí),最好的修補(bǔ)安全漏洞的方法是升級(jí)相關(guān)的軟件。為了做到這些,你必須廣泛地閱讀和與其他從事安全工作的人進(jìn)行交流,這樣,你才能跟上最新的發(fā)展。這些工作會(huì)幫助你了解更多的操作系統(tǒng)上的特定問(wèn)題。
雖然大多數(shù)的廠商都為其產(chǎn)品的問(wèn)題發(fā)布了修補(bǔ)方法,但你必須充分理解補(bǔ)上了哪些漏洞。如果操作系統(tǒng)或程序很復(fù)雜,這些修補(bǔ)可能在補(bǔ)上舊問(wèn)題的同時(shí)又開(kāi) 啟了新的漏洞。因此,你需要在實(shí)施升級(jí)前進(jìn)行測(cè)試。這些測(cè)試工作包括在隔離的網(wǎng)段中驗(yàn)證它是否符合你的需求。當(dāng)然也需要參照值得信賴的網(wǎng)絡(luò)刊物和專家的觀點(diǎn)。
審計(jì)Trap Door和Root Kit
Root kit是用木馬替代合法程序。Trap Door是系統(tǒng)上的bug,當(dāng)執(zhí)行合法程序時(shí)卻產(chǎn)生了非預(yù)期的結(jié)果。如老版本的UNIX sendmail,在執(zhí)行debug命令時(shí)允許用戶以root權(quán)限執(zhí)行腳本代碼,一個(gè)收到嚴(yán)格權(quán)限控制的用戶可以很輕易的添加用戶賬戶。
雖然root kit通常出現(xiàn)在UNIX系統(tǒng)中,但攻擊者也可以通過(guò)看起來(lái)合法的程序在Windows NT中置入后門。象NetBus,BackOrifice和Masters of Paradise等后門程序可以使攻擊者滲透并控制系統(tǒng)。木馬可以由這些程序產(chǎn)生。如果攻擊者夠狡猾,他可以使這些木馬程序避開(kāi)一些病毒檢測(cè)程序,當(dāng)然用最新升級(jí)的病毒檢測(cè)程序還是可以發(fā)現(xiàn)它們的蹤跡。在對(duì)系統(tǒng)進(jìn)行審計(jì)時(shí),你可以通過(guò)校驗(yàn)分析和掃描開(kāi)放端口的方式來(lái)檢測(cè)是否存在root kit等問(wèn)題。
審計(jì)和后門程序
通常,在服務(wù)器上運(yùn)行的操作系統(tǒng)和程序都存在代碼上的漏洞。例如,最近的商業(yè)Web瀏覽器就發(fā)現(xiàn)了許多安全問(wèn)題。攻擊者通常知道這些漏洞并加以利用。
就象你已經(jīng)知道的RedButton,它利用了Windows NT的漏洞使攻擊者可以得知缺省的管理員賬號(hào),即使賬號(hào)的名稱已經(jīng)更改。后門(back door)也指在操作系統(tǒng)或程序中未記錄的入口。程序設(shè)計(jì)人員為了便于快速進(jìn)行產(chǎn)品支持有意在系統(tǒng)或程序中留下入口。不同于bug,這種后門是由設(shè)計(jì)者有意留下的。例如,像Quake和Doom這樣的程序含有后門入口允許未授權(quán)的用戶進(jìn)入游戲安裝的系統(tǒng)。雖然看來(lái)任何系統(tǒng)管理員都不會(huì)允許類似的程序安裝在 網(wǎng)絡(luò)服務(wù)器上,但這種情況還是時(shí)有發(fā)生。
從后門程序的危害性,我們可以得出結(jié)論,在沒(méi)有首先閱讀資料和向值得信賴的同事咨詢之前不要相信任何新的服務(wù)或程序。在你進(jìn)行審計(jì)時(shí),請(qǐng)花費(fèi)一些時(shí)間仔細(xì)記錄任何你不了解它的由來(lái)和歷史的程序。
審計(jì)拒絕服務(wù)攻擊
Windows NT
易遭受拒絕服務(wù)攻擊,主要是由于這種操作系統(tǒng)比較流行并且沒(méi)有受到嚴(yán)格的檢驗(yàn)。針對(duì)NT服務(wù)的攻擊如此頻繁的原因可以歸結(jié)為:發(fā)展勢(shì)頭迅猛但存在許多漏洞。在審計(jì)Windows NT網(wǎng)絡(luò)時(shí),一定要花時(shí)間來(lái)驗(yàn)證系統(tǒng)能否經(jīng)受這種攻擊的考驗(yàn)。打補(bǔ)丁是一種解決方法。當(dāng)然,如果能將服務(wù)器置于_blank">防火墻的保護(hù)之下或應(yīng)用入侵監(jiān)測(cè)系統(tǒng)的話就更好了。通常很容易入侵UNIX操作系統(tǒng),主要因?yàn)樗辉O(shè)計(jì)來(lái)供那些技術(shù)精湛而且心理健康的人使用。在審計(jì)UNIX系統(tǒng)時(shí),要注意Finger服務(wù),它特別容易造成緩沖區(qū)溢出。
緩沖區(qū)溢出
緩沖區(qū)溢出是指在程序重寫內(nèi)存塊時(shí)出現(xiàn)的問(wèn)題。所有程序都需要內(nèi)存空間和緩沖區(qū)來(lái)運(yùn)行。如果有正確的權(quán)限,操作系統(tǒng)可以為程序分配空間。C和C++等編程語(yǔ)言容易造成緩沖區(qū)溢出,主要因?yàn)樗鼈儾幌葯z查是否有存在的內(nèi)存塊就直接調(diào)用系統(tǒng)內(nèi)存。一個(gè)低質(zhì)量的程序會(huì)不經(jīng)檢查就重寫被其它程序占用的內(nèi)存,而造成程序或整個(gè)系統(tǒng)死掉,而留下的shell有較高的權(quán)限,易被黑客利用運(yùn)行任意代碼。
據(jù)統(tǒng)計(jì),緩沖區(qū)溢出是當(dāng)前最緊迫的安全問(wèn)題。要獲得關(guān)于緩沖區(qū)溢出的更多信息,請(qǐng)?jiān)L問(wèn)Http://www-4.ibm.com/software/developer/library/overflows/index.html
Telnet的拒絕服務(wù)攻擊
Windows中的Telnet一直以來(lái)都是網(wǎng)絡(luò)管理員們最喜愛(ài)的網(wǎng)絡(luò)實(shí)用工具之一,但是一個(gè)新的漏洞表明,在Windows2000中Telnet 在守護(hù)其進(jìn)程時(shí),在已經(jīng)被初始化的會(huì)話還未被復(fù)位的情況下很容易受到一種普通的拒絕服務(wù)攻擊。Telnet連接后,在初始化的對(duì)話還未被復(fù)位的情況下,在一定的時(shí)間間隔之后,此時(shí)如果連接用戶還沒(méi)有提供登錄的用戶名及密碼,Telnet的對(duì)話將會(huì)超時(shí)。直到用戶輸入一個(gè)字符之后連接才會(huì)被復(fù)位。如果惡意用戶連接到Windows2000的Telnet守護(hù)進(jìn)程中,并且對(duì)該連接不進(jìn)行復(fù)位的話,他就可以有效地拒絕其他的任何用戶連接該Telnet服務(wù)器,主要是因?yàn)榇藭r(shí)Telnet的客戶連接數(shù)的最大值是1。在此期間任何其他試圖連接該Telnet服務(wù)器的用戶都將會(huì)收到如下錯(cuò)誤信息:
Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection
察看“列出當(dāng)前用戶”選項(xiàng)時(shí)并不會(huì)顯示超時(shí)的會(huì)話,因?yàn)樵摃?huì)話還沒(méi)有成功地通過(guò)認(rèn)證。
Windows NT的TCP port 3389存在漏洞
Windows NT Server 4.0 終端服務(wù)器版本所作的 DoS 攻擊。這個(gè)安全性弱點(diǎn)讓遠(yuǎn)端使用者可以迅速的耗盡 Windows NT Terminal Server 上所有可用的內(nèi)存,造成主機(jī)上所有登陸者斷線,并且無(wú)法再度登入。
說(shuō)明:
1. Windows NT Server 4.0 終端服務(wù)器版本在 TCP port 3389 監(jiān)聽(tīng)終端連接 (terminal connection),一旦某個(gè) TCP 連接連上這個(gè)端口, 終端服務(wù)器會(huì)開(kāi)始分配系統(tǒng)資源,以處理新的客戶端連接,并作連接的認(rèn)證工作。
2. 此處的漏洞在于:在認(rèn)證工作完成前,系統(tǒng)需要撥出相當(dāng)多的資源去處理新的連 接,而系統(tǒng)并未針對(duì)分配出去的資源作節(jié)制。因此遠(yuǎn)端的攻擊者可以利用建立大 量 TCP 連接到 port 3389 的方法,造成系統(tǒng)存儲(chǔ)體配置達(dá)到飽和。
3. 此時(shí)服務(wù)器上所有使用者連接都會(huì)處于超時(shí)狀態(tài),而無(wú)法繼續(xù)連接到服務(wù)器上,遠(yuǎn)端攻擊者仍能利用一個(gè)僅耗用低頻寬的程式,做出持續(xù)性的攻擊,讓此 服務(wù)器處?kù)蹲疃嘤洃涹w被耗用的狀態(tài),來(lái)避免新的連接繼續(xù)產(chǎn)生。
4. 在國(guó)外的測(cè)試報(bào)告中指出,長(zhǎng)期持續(xù)不斷針對(duì)此項(xiàng)弱點(diǎn)的攻擊,甚至可以導(dǎo)致服務(wù)器持續(xù)性當(dāng)機(jī),除非重新開(kāi)機(jī),服務(wù)器將無(wú)法再允許新連接的完成。
解決方案:
1. 以下是修正程序的網(wǎng)址:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40tse/hotfixes postSP4/Flood-fix/
[注意]:因?yàn)樾袛?shù)限制,上面網(wǎng)址請(qǐng)合并為一行。
2. 更詳細(xì)資料請(qǐng)參考 Microsoft 網(wǎng)站的網(wǎng)址:
http://www.microsoft.com/security/bulletins/ms99-028.asp. 防范拒絕服務(wù)攻擊
你可以通過(guò)以下方法來(lái)減小拒絕服務(wù)攻擊的危害:
1、加強(qiáng)操作系統(tǒng)的補(bǔ)丁等級(jí)。
2、如果有雇員建立特定的程序,請(qǐng)?zhí)貏e留意代碼的產(chǎn)生過(guò)程。
3、只使用穩(wěn)定版本的服務(wù)和程序。
審計(jì)非法服務(wù),特洛伊木馬和蠕蟲
非法服務(wù)開(kāi)啟一個(gè)秘密的端口,提供未經(jīng)許可的服務(wù),常見(jiàn)的非法服務(wù)包括:
1、NetBus
2、BackOrifice 和 BackOrifice 2000
3、Girlfriend
4、冰河2.X
5、秘密的建立共享的程序
許多程序?qū)⒉煌姆欠ǚ?wù)聯(lián)合起來(lái)。例如,BackOrifice2000允許你將HTTP服務(wù)配置在任意端口。你可以通過(guò)掃描開(kāi)放端口來(lái)審計(jì)這類服務(wù),確保你了解為什么這些端口是開(kāi)放的。如果你不知道這些端口的用途,用包嗅探器和其它程序來(lái)了解它的用途。
技術(shù)提示:不要混淆非法服務(wù)和木馬。木馬程序通常包含非法服務(wù),而且,木馬程序還可以包含擊鍵記錄程序,蠕蟲或病毒。
特洛伊木馬
特洛伊木馬是在執(zhí)行看似正常的程序時(shí)還同時(shí)運(yùn)行了未被察覺(jué)的有破壞性的程序。木馬通常能夠?qū)⒅匾男畔魉徒o攻擊者。攻擊者可以把任意數(shù)量的程序植入木馬。例如,他們?cè)谝粋€(gè)合法的程序中安放root kit或控制程序。還有一些通常的策略是使用程序來(lái)捕獲密碼和口令的hash值。類似的程序可以通過(guò)E-mail把信息發(fā)送到任何地方。
審計(jì)木馬
掃描開(kāi)放端口是審計(jì)木馬攻擊的途徑之一。如果你無(wú)法說(shuō)明一個(gè)開(kāi)放端口用途,你也許就檢測(cè)到一個(gè)問(wèn)題。所以,盡量在你的系統(tǒng)上只安裝有限的軟件包,同時(shí)跟蹤這些程序和服務(wù)的漏洞。許多TCP/IP程序動(dòng)態(tài)地使用端口,因此,你不應(yīng)將所有未知的端口都視為安全漏洞。在建立好網(wǎng)絡(luò)基線后,你便可以確定哪些端口可能存在問(wèn)題了。
蠕蟲
Melissa病毒向我們展示了TCP/IP網(wǎng)絡(luò)是如何容易遭受蠕蟲攻擊的。在你審計(jì)系統(tǒng)時(shí),通常需要配置防火墻來(lái)排除特殊的活動(dòng)。防火墻規(guī)則的設(shè)置超出了本術(shù)的范圍。但是,作為審計(jì)人員,你應(yīng)當(dāng)對(duì)建議在防火墻上過(guò)濾那些從不信任的網(wǎng)絡(luò)來(lái)的數(shù)據(jù)包和端口有所準(zhǔn)備。
蠕蟲靠特定的軟件傳播。例如,在2000年三月發(fā)現(xiàn)的Win32/Melting.worm蠕蟲只能攻擊運(yùn)行Microsoft Outlook程序的Windows操作系統(tǒng)。這種蠕蟲可以自行傳播,癱瘓任何種類的Windows系統(tǒng)而且使它持續(xù)地運(yùn)行不穩(wěn)定。
結(jié)合所有攻擊定制審計(jì)策略
攻擊者有兩個(gè)共同的特點(diǎn)。首先,他們將好幾種不同的方法和策略集中到一次攻擊中。其次,他們?cè)谝淮喂糁欣煤脦追N系統(tǒng)。綜合應(yīng)用攻擊策略可以增強(qiáng)攻擊的成功率。同時(shí)利用好幾種系統(tǒng)使他們更不容易被捕獲。
例如,在實(shí)施IP欺騙時(shí),攻擊者通常會(huì)先實(shí)施拒絕服務(wù)攻擊以確保被攻擊主機(jī)不會(huì)建立任何連接。大多數(shù)使用Man-in-the-middle的攻擊者會(huì)先捕獲SMB的密碼,再使用L0phtCrack這樣的程序進(jìn)行暴力破解攻擊。
滲透策略
你已經(jīng)了解到那些網(wǎng)絡(luò)設(shè)備和服務(wù)是通常遭受攻擊的目標(biāo)和黑客活動(dòng)的攻擊特征。現(xiàn)在,請(qǐng)參考下列的一些場(chǎng)景。它們將有助于你在審計(jì)過(guò)程中關(guān)注那些設(shè)備和服務(wù)。請(qǐng)記住,將這些攻擊策略結(jié)合起來(lái)的攻擊是最容易成功的。
物理接觸
如果攻擊者能夠物理接觸操作系統(tǒng),他們便可以通過(guò)安裝和執(zhí)行程序來(lái)使驗(yàn)證機(jī)制無(wú)效。例如,攻擊者可以重啟系統(tǒng),利用其它啟動(dòng)盤控制系統(tǒng)。由于一種文件系統(tǒng)可以被另一種所破壞,所以你可以使用啟動(dòng)盤獲得有價(jià)值的信息,例如有管理權(quán)限的賬號(hào)。
物理攻擊的簡(jiǎn)單例子包括通過(guò)重新啟動(dòng)系統(tǒng)來(lái)破壞Windows95或98的屏幕鎖定功能。更簡(jiǎn)單的物理攻擊是該系統(tǒng)根本就沒(méi)有進(jìn)行屏幕鎖定。
操作系統(tǒng)策略
近來(lái),美國(guó)白宮的Web站點(diǎn)(http://www.whitehouse.gov)被一個(gè)缺乏經(jīng)驗(yàn)的攻擊者黑掉。攻擊者偵查出該Web服務(wù)器(www1.whitehouse.gov)運(yùn)行的操作系統(tǒng)是Solaris 7。雖然Solaris 7被成為藝術(shù)級(jí)的操作系統(tǒng),但管理員并沒(méi)有改變系統(tǒng)的缺省設(shè)置。雖然該站點(diǎn)的管理員設(shè)置了tripwire,但攻擊者還是使用phf/ufsrestore命令訪問(wèn)了Web服務(wù)器。
較弱的密碼策略
上面白宮網(wǎng)站被黑的例子可能是由于該系統(tǒng)管理員使用FTP來(lái)升級(jí)服務(wù)器。雖然使用FTP來(lái)更新網(wǎng)站并沒(méi)有錯(cuò),但大多數(shù)FTP會(huì)話使用明文傳輸密碼。很明顯,該系統(tǒng)管理員并沒(méi)有意識(shí)到這種安全隱患。又由于大多數(shù)系統(tǒng)管理員在不同的服務(wù)上使用相同的密碼,這使攻擊者能夠獲得系統(tǒng)的訪問(wèn)權(quán)。更基本的,你可以保證/etc/passwd文件的安全。
NetBIOS Authentication Tool(NAT)
當(dāng)攻擊者以WindowsNT為目標(biāo)時(shí),他們通常會(huì)使用NetBIOS Authentication Tool(NAT)來(lái)測(cè)試弱的口令。這個(gè)程序可以實(shí)施字典攻擊。當(dāng)然它也有命令行界面,這種界面的攻擊痕跡很小。而且命令行界面的程序也很好安裝和使用。
在使用NAT時(shí),你必須指定三個(gè)文本文件和IP地址的范圍。當(dāng)然,你也可以指定一個(gè)地址。NAT使用兩個(gè)文本文件來(lái)實(shí)施攻擊而第三個(gè)來(lái)存儲(chǔ)攻擊結(jié)果。第一個(gè)文本文件包含一個(gè)用戶列表,第二個(gè)文件中是你輸入的猜測(cè)密碼。
當(dāng)使用命令行版本時(shí),語(yǔ)法格式為:
nat ?Cu username.txt ?Cp passwordlist.txt ?Co outputfile.txt
即使服務(wù)器設(shè)置了密碼的過(guò)期策略和鎖定,攻擊者還是可以利用NAT反復(fù)嘗試登錄來(lái)騷擾管理員。通過(guò)簡(jiǎn)單地鎖定所有已知的賬號(hào),攻擊者會(huì)極大地影響服務(wù)器的訪問(wèn),這也是一些系統(tǒng)管理員不強(qiáng)行鎖定賬號(hào)的原因。
到此為止,你已經(jīng)學(xué)習(xí)了一些外部攻擊。然而,對(duì)于管理員來(lái)說(shuō)最緊迫的是大多數(shù)公司都存在不好的安全策略。如果安全策略很弱或干脆沒(méi)有安全策略,通常會(huì)導(dǎo)致弱的密碼和系統(tǒng)策略。通常,公司并不采取簡(jiǎn)單的預(yù)防措施,比如需要非空的或有最小長(zhǎng)度要求的密碼。忽略這些限制會(huì)給攻擊者留下很大的活動(dòng)空間。
不論你的操作系統(tǒng)采取何種文件系統(tǒng)(FAT,NTFS或NFS),每種系統(tǒng)都有它的缺陷。例如,缺省情況下NTFS在文件夾和共享創(chuàng)建之初everyone組可完全控制。由于它是操作系統(tǒng)的組成部分(Windows NT),因此也成為許多攻擊的目標(biāo)。NFS文件系統(tǒng)可以共享被遠(yuǎn)程系統(tǒng)掛接,因此這也是攻擊者入侵系統(tǒng)的途徑之一。
常見(jiàn)攻擊類型和特征
攻擊特征是攻擊的特定指紋。入侵監(jiān)測(cè)系統(tǒng)和網(wǎng)絡(luò)掃描器就是根據(jù)這些特征來(lái)識(shí)別和防范攻擊的。下面簡(jiǎn)要回顧一些特定地攻擊滲透網(wǎng)絡(luò)和主機(jī)的方法。
常見(jiàn)的攻擊方法
你也許知道許多常見(jiàn)的攻擊方法,下面列出了一些:
1、字典攻擊:黑客利用一些自動(dòng)執(zhí)行的程序猜測(cè)用戶命和密碼,審計(jì)這類攻擊通常需要做全面的日志記錄和入侵監(jiān)測(cè)系統(tǒng)(IDS)。
2、Man-in-the-middle攻擊:黑客從合法的傳輸過(guò)程中嗅探到密碼和信息。防范這類攻擊的有效方法是應(yīng)用強(qiáng)壯的加密。
3、劫持攻擊:在雙方進(jìn)行會(huì)話時(shí)被第三方(黑客)入侵,黑客黑掉其中一方,并冒充他繼續(xù)與另一方進(jìn)行會(huì)話。雖然不是個(gè)完全的解決方案,但強(qiáng)的驗(yàn)證方法將有助于防范這種攻擊。
4、病毒攻擊:病毒是能夠自我復(fù)制和傳播的小程序,消耗系統(tǒng)資源。在審計(jì)過(guò)程中,你應(yīng)當(dāng)安裝最新的反病毒程序,并對(duì)用戶進(jìn)行防病毒教育。
5、非法服務(wù):非法服務(wù)是任何未經(jīng)同意便運(yùn)行在你的操作系統(tǒng)上的進(jìn)程或服務(wù)。你會(huì)在接下來(lái)的課程中學(xué)到這種攻擊。
6、拒絕服務(wù)攻擊:利用各種程序(包括病毒和包發(fā)生器)使系統(tǒng)崩潰或消耗帶寬。
容易遭受攻擊的目標(biāo)
最常遭受攻擊的目標(biāo)包括路由器、數(shù)據(jù)庫(kù)、Web和FTP服務(wù)器,和與協(xié)議相關(guān)的服務(wù),如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標(biāo)。
路由器
連接公網(wǎng)的路由器由于被暴露在外,通常成為被攻擊的對(duì)象。許多路由器為便于管理使用SNMP協(xié)議,尤其是SNMPv1,成為潛在的問(wèn)題。許多網(wǎng)絡(luò)管理員未關(guān)閉或加密Telnet會(huì)話,若明文傳輸?shù)目诹畋唤厝?#xff0c;黑客就可以重新配置路由器,這種配置包括關(guān)閉接口,重新配置路由跳計(jì)數(shù)等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進(jìn)行終端會(huì)話。
過(guò)濾Telnet
為了避免未授權(quán)的路由器訪問(wèn),你應(yīng)利用_blank">防火墻過(guò)濾掉路由器外網(wǎng)的telnet端口和SNMP[161,162]端口
技術(shù)提示:許多網(wǎng)絡(luò)管理員習(xí)慣于在配置完路由器后將Telnet服務(wù)禁止掉,因?yàn)槁酚善鞑⒉恍枰^(guò)多的維護(hù)工作。如果需要額外的配置,你可以建立物理連接。
路由器和消耗帶寬攻擊
最近對(duì)Yahoo、e-Bay等電子商務(wù)網(wǎng)站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分布式拒絕服務(wù)攻擊工具發(fā)起的:
1、Tribal Flood Network(TFN)
2、Tribal Flood Network(TFN2k)
3、Stacheldraht(TFN的一個(gè)變種)
4、Trinoo(這類攻擊工具中最早為人所知的) 因?yàn)樵S多公司都由ISP提供服務(wù),所以他們并不能直接訪問(wèn)路由器。在你對(duì)系統(tǒng)進(jìn)行審計(jì)時(shí),要確保網(wǎng)絡(luò)對(duì)這類消耗帶寬式攻擊的反映速度。你將在后面的課程中學(xué)習(xí)如何利用路由器防范拒絕服務(wù)攻擊。
攻擊數(shù)據(jù)庫(kù)
黑客最想得到的是公司或部門的數(shù)據(jù)庫(kù)。現(xiàn)在公司普遍將重要數(shù)據(jù)存儲(chǔ)在關(guān)系型或面向?qū)ο蟮臄?shù)據(jù)庫(kù)中,這些信息包括:
1、雇員數(shù)據(jù),如個(gè)人信息和薪金情況。
2、市場(chǎng)和銷售情況。
3、重要的研發(fā)信息。
4、貨運(yùn)情況。
黑客可以識(shí)別并攻擊數(shù)據(jù)庫(kù)。每種數(shù)據(jù)庫(kù)都有它的特征。如SQL Server使用1433/1434端口,你應(yīng)該確保防火墻能夠?qū)υ摲N數(shù)據(jù)庫(kù)進(jìn)行保護(hù)。你會(huì)發(fā)現(xiàn),很少有站點(diǎn)應(yīng)用這種保護(hù),尤其在網(wǎng)絡(luò)內(nèi)部。
服務(wù)器安全
WEB和FTP這兩種服務(wù)器通常置于DMZ,無(wú)法得到_blank">防火墻的完全保護(hù),所以也特別容易遭到攻擊。Web和FTP服務(wù)通常存在的問(wèn)題包括:
1、用戶通過(guò)公網(wǎng)發(fā)送未加密的信息;
2、操作系統(tǒng)和服務(wù)存在眾所周知的漏洞導(dǎo)致拒絕服務(wù)攻擊或破壞系統(tǒng);
3、舊有操作系統(tǒng)中以root權(quán)限初莢誦械姆?瘢?壞┍緩誑推蘋擔(dān)?肭終弒憧梢栽誆??拿?罱饈推髦性誦腥我獾拇?搿?
Web頁(yè)面涂改
近來(lái),未經(jīng)授權(quán)對(duì)Web服務(wù)器進(jìn)行攻擊并涂改缺省主頁(yè)的攻擊活動(dòng)越來(lái)越多。許多企業(yè)、政府和公司都遭受過(guò)類似的攻擊。有時(shí)這種攻擊是出于政治目的。大多數(shù)情況下Web頁(yè)面的涂改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊(使用包嗅探器)和利用緩沖區(qū)溢出。有時(shí),還包括劫持攻擊和拒絕服務(wù)攻擊。
郵件服務(wù)
廣泛使用的SMTP、POP3和IMAP一般用明文方式進(jìn)行通信。這種服務(wù)可以通過(guò)加密進(jìn)行驗(yàn)證但是在實(shí)際應(yīng)用中通信的效率不高。又由于大多數(shù)人對(duì)多種服務(wù)使用相同的密碼,攻擊者可以利用嗅探器得到用戶名和密碼,再利用它攻擊其它的資源,例如Windows NT服務(wù)器。這種攻擊不僅僅是針對(duì)NT系統(tǒng)。許多不同的服務(wù)共享用戶名和密碼。你已經(jīng)知道一個(gè)薄弱環(huán)節(jié)可以破壞整個(gè)的網(wǎng)絡(luò)。FTP和SMTP服務(wù)通常成為這些薄弱的環(huán)節(jié)。
與郵件服務(wù)相關(guān)的問(wèn)題包括:
1、利用字典和暴力攻擊POP3的login shell;
2、在一些版本中sendmail存在緩沖區(qū)溢出和其它漏洞;
3、利用E-mail的轉(zhuǎn)發(fā)功能轉(zhuǎn)發(fā)大量的垃圾信件
名稱服務(wù)
攻擊者通常把攻擊焦點(diǎn)集中在DNS服務(wù)上。由于DNS使用UDP,而UDP連接又經(jīng)常被各種_blank">防火墻規(guī)則所過(guò)濾,所以許多系統(tǒng)管理員發(fā)現(xiàn)將DNS服務(wù)器至于防火墻之后很困難。因此,DNS服務(wù)器經(jīng)常暴露在外,使它成為攻擊的目標(biāo)。DNS攻擊包括:
1、未授權(quán)的區(qū)域傳輸;
2、DNS 毒藥,這種攻擊是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進(jìn)行區(qū)域傳輸時(shí)插入錯(cuò)誤的DNS信息,一旦成功,攻擊者便可以使輔DNS服務(wù)器提供錯(cuò)誤的名稱到IP地址的解析信息;
3、拒絕服務(wù)攻擊;
其它的一些名稱服務(wù)也會(huì)成為攻擊的目標(biāo),如下所示:
4、WINS,“Coke”通過(guò)拒絕服務(wù)攻擊來(lái)攻擊沒(méi)有打補(bǔ)丁的NT系統(tǒng)。
5、SMB服務(wù)(包括Windows的SMB和UNIX的Samba)這些服務(wù)易遭受Man-in-the-middle攻擊,被捕獲的數(shù)據(jù)包會(huì)被類似L0phtCrack這樣的程序破解。
6、NFS和NIS服務(wù)。這些服務(wù)通常會(huì)遭受Man-in-the-middle方式的攻擊。
在審計(jì)各種各樣的服務(wù)時(shí),請(qǐng)考慮升級(jí)提供這些服務(wù)的進(jìn)程。
審計(jì)系統(tǒng)BUG
作為安全管理者和審計(jì)人員,你需要對(duì)由操作系統(tǒng)產(chǎn)生的漏洞和可以利用的軟件做到心中有數(shù)。早先版本的Microsoft IIS允許用戶在地址欄中運(yùn)行命令,這造成了IIS主要的安全問(wèn)題。其實(shí),最好的修補(bǔ)安全漏洞的方法是升級(jí)相關(guān)的軟件。為了做到這些,你必須廣泛地閱讀和與其他從事安全工作的人進(jìn)行交流,這樣,你才能跟上最新的發(fā)展。這些工作會(huì)幫助你了解更多的操作系統(tǒng)上的特定問(wèn)題。
雖然大多數(shù)的廠商都為其產(chǎn)品的問(wèn)題發(fā)布了修補(bǔ)方法,但你必須充分理解補(bǔ)上了哪些漏洞。如果操作系統(tǒng)或程序很復(fù)雜,這些修補(bǔ)可能在補(bǔ)上舊問(wèn)題的同時(shí)又開(kāi) 啟了新的漏洞。因此,你需要在實(shí)施升級(jí)前進(jìn)行測(cè)試。這些測(cè)試工作包括在隔離的網(wǎng)段中驗(yàn)證它是否符合你的需求。當(dāng)然也需要參照值得信賴的網(wǎng)絡(luò)刊物和專家的觀點(diǎn)。
審計(jì)Trap Door和Root Kit
Root kit是用木馬替代合法程序。Trap Door是系統(tǒng)上的bug,當(dāng)執(zhí)行合法程序時(shí)卻產(chǎn)生了非預(yù)期的結(jié)果。如老版本的UNIX sendmail,在執(zhí)行debug命令時(shí)允許用戶以root權(quán)限執(zhí)行腳本代碼,一個(gè)收到嚴(yán)格權(quán)限控制的用戶可以很輕易的添加用戶賬戶。
雖然root kit通常出現(xiàn)在UNIX系統(tǒng)中,但攻擊者也可以通過(guò)看起來(lái)合法的程序在Windows NT中置入后門。象NetBus,BackOrifice和Masters of Paradise等后門程序可以使攻擊者滲透并控制系統(tǒng)。木馬可以由這些程序產(chǎn)生。如果攻擊者夠狡猾,他可以使這些木馬程序避開(kāi)一些病毒檢測(cè)程序,當(dāng)然用最新升級(jí)的病毒檢測(cè)程序還是可以發(fā)現(xiàn)它們的蹤跡。在對(duì)系統(tǒng)進(jìn)行審計(jì)時(shí),你可以通過(guò)校驗(yàn)分析和掃描開(kāi)放端口的方式來(lái)檢測(cè)是否存在root kit等問(wèn)題。
審計(jì)和后門程序
通常,在服務(wù)器上運(yùn)行的操作系統(tǒng)和程序都存在代碼上的漏洞。例如,最近的商業(yè)Web瀏覽器就發(fā)現(xiàn)了許多安全問(wèn)題。攻擊者通常知道這些漏洞并加以利用。
就象你已經(jīng)知道的RedButton,它利用了Windows NT的漏洞使攻擊者可以得知缺省的管理員賬號(hào),即使賬號(hào)的名稱已經(jīng)更改。后門(back door)也指在操作系統(tǒng)或程序中未記錄的入口。程序設(shè)計(jì)人員為了便于快速進(jìn)行產(chǎn)品支持有意在系統(tǒng)或程序中留下入口。不同于bug,這種后門是由設(shè)計(jì)者有意留下的。例如,像Quake和Doom這樣的程序含有后門入口允許未授權(quán)的用戶進(jìn)入游戲安裝的系統(tǒng)。雖然看來(lái)任何系統(tǒng)管理員都不會(huì)允許類似的程序安裝在 網(wǎng)絡(luò)服務(wù)器上,但這種情況還是時(shí)有發(fā)生。
從后門程序的危害性,我們可以得出結(jié)論,在沒(méi)有首先閱讀資料和向值得信賴的同事咨詢之前不要相信任何新的服務(wù)或程序。在你進(jìn)行審計(jì)時(shí),請(qǐng)花費(fèi)一些時(shí)間仔細(xì)記錄任何你不了解它的由來(lái)和歷史的程序。
審計(jì)拒絕服務(wù)攻擊
Windows NT
易遭受拒絕服務(wù)攻擊,主要是由于這種操作系統(tǒng)比較流行并且沒(méi)有受到嚴(yán)格的檢驗(yàn)。針對(duì)NT服務(wù)的攻擊如此頻繁的原因可以歸結(jié)為:發(fā)展勢(shì)頭迅猛但存在許多漏洞。在審計(jì)Windows NT網(wǎng)絡(luò)時(shí),一定要花時(shí)間來(lái)驗(yàn)證系統(tǒng)能否經(jīng)受這種攻擊的考驗(yàn)。打補(bǔ)丁是一種解決方法。當(dāng)然,如果能將服務(wù)器置于_blank">防火墻的保護(hù)之下或應(yīng)用入侵監(jiān)測(cè)系統(tǒng)的話就更好了。通常很容易入侵UNIX操作系統(tǒng),主要因?yàn)樗辉O(shè)計(jì)來(lái)供那些技術(shù)精湛而且心理健康的人使用。在審計(jì)UNIX系統(tǒng)時(shí),要注意Finger服務(wù),它特別容易造成緩沖區(qū)溢出。
緩沖區(qū)溢出
緩沖區(qū)溢出是指在程序重寫內(nèi)存塊時(shí)出現(xiàn)的問(wèn)題。所有程序都需要內(nèi)存空間和緩沖區(qū)來(lái)運(yùn)行。如果有正確的權(quán)限,操作系統(tǒng)可以為程序分配空間。C和C++等編程語(yǔ)言容易造成緩沖區(qū)溢出,主要因?yàn)樗鼈儾幌葯z查是否有存在的內(nèi)存塊就直接調(diào)用系統(tǒng)內(nèi)存。一個(gè)低質(zhì)量的程序會(huì)不經(jīng)檢查就重寫被其它程序占用的內(nèi)存,而造成程序或整個(gè)系統(tǒng)死掉,而留下的shell有較高的權(quán)限,易被黑客利用運(yùn)行任意代碼。
據(jù)統(tǒng)計(jì),緩沖區(qū)溢出是當(dāng)前最緊迫的安全問(wèn)題。要獲得關(guān)于緩沖區(qū)溢出的更多信息,請(qǐng)?jiān)L問(wèn)Http://www-4.ibm.com/software/developer/library/overflows/index.html
Telnet的拒絕服務(wù)攻擊
Windows中的Telnet一直以來(lái)都是網(wǎng)絡(luò)管理員們最喜愛(ài)的網(wǎng)絡(luò)實(shí)用工具之一,但是一個(gè)新的漏洞表明,在Windows2000中Telnet 在守護(hù)其進(jìn)程時(shí),在已經(jīng)被初始化的會(huì)話還未被復(fù)位的情況下很容易受到一種普通的拒絕服務(wù)攻擊。Telnet連接后,在初始化的對(duì)話還未被復(fù)位的情況下,在一定的時(shí)間間隔之后,此時(shí)如果連接用戶還沒(méi)有提供登錄的用戶名及密碼,Telnet的對(duì)話將會(huì)超時(shí)。直到用戶輸入一個(gè)字符之后連接才會(huì)被復(fù)位。如果惡意用戶連接到Windows2000的Telnet守護(hù)進(jìn)程中,并且對(duì)該連接不進(jìn)行復(fù)位的話,他就可以有效地拒絕其他的任何用戶連接該Telnet服務(wù)器,主要是因?yàn)榇藭r(shí)Telnet的客戶連接數(shù)的最大值是1。在此期間任何其他試圖連接該Telnet服務(wù)器的用戶都將會(huì)收到如下錯(cuò)誤信息:
Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection
察看“列出當(dāng)前用戶”選項(xiàng)時(shí)并不會(huì)顯示超時(shí)的會(huì)話,因?yàn)樵摃?huì)話還沒(méi)有成功地通過(guò)認(rèn)證。
Windows NT的TCP port 3389存在漏洞
Windows NT Server 4.0 終端服務(wù)器版本所作的 DoS 攻擊。這個(gè)安全性弱點(diǎn)讓遠(yuǎn)端使用者可以迅速的耗盡 Windows NT Terminal Server 上所有可用的內(nèi)存,造成主機(jī)上所有登陸者斷線,并且無(wú)法再度登入。
說(shuō)明:
1. Windows NT Server 4.0 終端服務(wù)器版本在 TCP port 3389 監(jiān)聽(tīng)終端連接 (terminal connection),一旦某個(gè) TCP 連接連上這個(gè)端口, 終端服務(wù)器會(huì)開(kāi)始分配系統(tǒng)資源,以處理新的客戶端連接,并作連接的認(rèn)證工作。
2. 此處的漏洞在于:在認(rèn)證工作完成前,系統(tǒng)需要撥出相當(dāng)多的資源去處理新的連 接,而系統(tǒng)并未針對(duì)分配出去的資源作節(jié)制。因此遠(yuǎn)端的攻擊者可以利用建立大 量 TCP 連接到 port 3389 的方法,造成系統(tǒng)存儲(chǔ)體配置達(dá)到飽和。
3. 此時(shí)服務(wù)器上所有使用者連接都會(huì)處于超時(shí)狀態(tài),而無(wú)法繼續(xù)連接到服務(wù)器上,遠(yuǎn)端攻擊者仍能利用一個(gè)僅耗用低頻寬的程式,做出持續(xù)性的攻擊,讓此 服務(wù)器處?kù)蹲疃嘤洃涹w被耗用的狀態(tài),來(lái)避免新的連接繼續(xù)產(chǎn)生。
4. 在國(guó)外的測(cè)試報(bào)告中指出,長(zhǎng)期持續(xù)不斷針對(duì)此項(xiàng)弱點(diǎn)的攻擊,甚至可以導(dǎo)致服務(wù)器持續(xù)性當(dāng)機(jī),除非重新開(kāi)機(jī),服務(wù)器將無(wú)法再允許新連接的完成。
解決方案:
1. 以下是修正程序的網(wǎng)址:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40tse/hotfixes postSP4/Flood-fix/
[注意]:因?yàn)樾袛?shù)限制,上面網(wǎng)址請(qǐng)合并為一行。
2. 更詳細(xì)資料請(qǐng)參考 Microsoft 網(wǎng)站的網(wǎng)址:
http://www.microsoft.com/security/bulletins/ms99-028.asp. 防范拒絕服務(wù)攻擊
你可以通過(guò)以下方法來(lái)減小拒絕服務(wù)攻擊的危害:
1、加強(qiáng)操作系統(tǒng)的補(bǔ)丁等級(jí)。
2、如果有雇員建立特定的程序,請(qǐng)?zhí)貏e留意代碼的產(chǎn)生過(guò)程。
3、只使用穩(wěn)定版本的服務(wù)和程序。
審計(jì)非法服務(wù),特洛伊木馬和蠕蟲
非法服務(wù)開(kāi)啟一個(gè)秘密的端口,提供未經(jīng)許可的服務(wù),常見(jiàn)的非法服務(wù)包括:
1、NetBus
2、BackOrifice 和 BackOrifice 2000
3、Girlfriend
4、冰河2.X
5、秘密的建立共享的程序
許多程序?qū)⒉煌姆欠ǚ?wù)聯(lián)合起來(lái)。例如,BackOrifice2000允許你將HTTP服務(wù)配置在任意端口。你可以通過(guò)掃描開(kāi)放端口來(lái)審計(jì)這類服務(wù),確保你了解為什么這些端口是開(kāi)放的。如果你不知道這些端口的用途,用包嗅探器和其它程序來(lái)了解它的用途。
技術(shù)提示:不要混淆非法服務(wù)和木馬。木馬程序通常包含非法服務(wù),而且,木馬程序還可以包含擊鍵記錄程序,蠕蟲或病毒。
特洛伊木馬
特洛伊木馬是在執(zhí)行看似正常的程序時(shí)還同時(shí)運(yùn)行了未被察覺(jué)的有破壞性的程序。木馬通常能夠?qū)⒅匾男畔魉徒o攻擊者。攻擊者可以把任意數(shù)量的程序植入木馬。例如,他們?cè)谝粋€(gè)合法的程序中安放root kit或控制程序。還有一些通常的策略是使用程序來(lái)捕獲密碼和口令的hash值。類似的程序可以通過(guò)E-mail把信息發(fā)送到任何地方。
審計(jì)木馬
掃描開(kāi)放端口是審計(jì)木馬攻擊的途徑之一。如果你無(wú)法說(shuō)明一個(gè)開(kāi)放端口用途,你也許就檢測(cè)到一個(gè)問(wèn)題。所以,盡量在你的系統(tǒng)上只安裝有限的軟件包,同時(shí)跟蹤這些程序和服務(wù)的漏洞。許多TCP/IP程序動(dòng)態(tài)地使用端口,因此,你不應(yīng)將所有未知的端口都視為安全漏洞。在建立好網(wǎng)絡(luò)基線后,你便可以確定哪些端口可能存在問(wèn)題了。
蠕蟲
Melissa病毒向我們展示了TCP/IP網(wǎng)絡(luò)是如何容易遭受蠕蟲攻擊的。在你審計(jì)系統(tǒng)時(shí),通常需要配置防火墻來(lái)排除特殊的活動(dòng)。防火墻規(guī)則的設(shè)置超出了本術(shù)的范圍。但是,作為審計(jì)人員,你應(yīng)當(dāng)對(duì)建議在防火墻上過(guò)濾那些從不信任的網(wǎng)絡(luò)來(lái)的數(shù)據(jù)包和端口有所準(zhǔn)備。
蠕蟲靠特定的軟件傳播。例如,在2000年三月發(fā)現(xiàn)的Win32/Melting.worm蠕蟲只能攻擊運(yùn)行Microsoft Outlook程序的Windows操作系統(tǒng)。這種蠕蟲可以自行傳播,癱瘓任何種類的Windows系統(tǒng)而且使它持續(xù)地運(yùn)行不穩(wěn)定。
結(jié)合所有攻擊定制審計(jì)策略
攻擊者有兩個(gè)共同的特點(diǎn)。首先,他們將好幾種不同的方法和策略集中到一次攻擊中。其次,他們?cè)谝淮喂糁欣煤脦追N系統(tǒng)。綜合應(yīng)用攻擊策略可以增強(qiáng)攻擊的成功率。同時(shí)利用好幾種系統(tǒng)使他們更不容易被捕獲。
例如,在實(shí)施IP欺騙時(shí),攻擊者通常會(huì)先實(shí)施拒絕服務(wù)攻擊以確保被攻擊主機(jī)不會(huì)建立任何連接。大多數(shù)使用Man-in-the-middle的攻擊者會(huì)先捕獲SMB的密碼,再使用L0phtCrack這樣的程序進(jìn)行暴力破解攻擊。
滲透策略
你已經(jīng)了解到那些網(wǎng)絡(luò)設(shè)備和服務(wù)是通常遭受攻擊的目標(biāo)和黑客活動(dòng)的攻擊特征。現(xiàn)在,請(qǐng)參考下列的一些場(chǎng)景。它們將有助于你在審計(jì)過(guò)程中關(guān)注那些設(shè)備和服務(wù)。請(qǐng)記住,將這些攻擊策略結(jié)合起來(lái)的攻擊是最容易成功的。
物理接觸
如果攻擊者能夠物理接觸操作系統(tǒng),他們便可以通過(guò)安裝和執(zhí)行程序來(lái)使驗(yàn)證機(jī)制無(wú)效。例如,攻擊者可以重啟系統(tǒng),利用其它啟動(dòng)盤控制系統(tǒng)。由于一種文件系統(tǒng)可以被另一種所破壞,所以你可以使用啟動(dòng)盤獲得有價(jià)值的信息,例如有管理權(quán)限的賬號(hào)。
物理攻擊的簡(jiǎn)單例子包括通過(guò)重新啟動(dòng)系統(tǒng)來(lái)破壞Windows95或98的屏幕鎖定功能。更簡(jiǎn)單的物理攻擊是該系統(tǒng)根本就沒(méi)有進(jìn)行屏幕鎖定。
操作系統(tǒng)策略
近來(lái),美國(guó)白宮的Web站點(diǎn)(http://www.whitehouse.gov)被一個(gè)缺乏經(jīng)驗(yàn)的攻擊者黑掉。攻擊者偵查出該Web服務(wù)器(www1.whitehouse.gov)運(yùn)行的操作系統(tǒng)是Solaris 7。雖然Solaris 7被成為藝術(shù)級(jí)的操作系統(tǒng),但管理員并沒(méi)有改變系統(tǒng)的缺省設(shè)置。雖然該站點(diǎn)的管理員設(shè)置了tripwire,但攻擊者還是使用phf/ufsrestore命令訪問(wèn)了Web服務(wù)器。
較弱的密碼策略
上面白宮網(wǎng)站被黑的例子可能是由于該系統(tǒng)管理員使用FTP來(lái)升級(jí)服務(wù)器。雖然使用FTP來(lái)更新網(wǎng)站并沒(méi)有錯(cuò),但大多數(shù)FTP會(huì)話使用明文傳輸密碼。很明顯,該系統(tǒng)管理員并沒(méi)有意識(shí)到這種安全隱患。又由于大多數(shù)系統(tǒng)管理員在不同的服務(wù)上使用相同的密碼,這使攻擊者能夠獲得系統(tǒng)的訪問(wèn)權(quán)。更基本的,你可以保證/etc/passwd文件的安全。
NetBIOS Authentication Tool(NAT)
當(dāng)攻擊者以WindowsNT為目標(biāo)時(shí),他們通常會(huì)使用NetBIOS Authentication Tool(NAT)來(lái)測(cè)試弱的口令。這個(gè)程序可以實(shí)施字典攻擊。當(dāng)然它也有命令行界面,這種界面的攻擊痕跡很小。而且命令行界面的程序也很好安裝和使用。
在使用NAT時(shí),你必須指定三個(gè)文本文件和IP地址的范圍。當(dāng)然,你也可以指定一個(gè)地址。NAT使用兩個(gè)文本文件來(lái)實(shí)施攻擊而第三個(gè)來(lái)存儲(chǔ)攻擊結(jié)果。第一個(gè)文本文件包含一個(gè)用戶列表,第二個(gè)文件中是你輸入的猜測(cè)密碼。
當(dāng)使用命令行版本時(shí),語(yǔ)法格式為:
nat ?Cu username.txt ?Cp passwordlist.txt ?Co outputfile.txt
即使服務(wù)器設(shè)置了密碼的過(guò)期策略和鎖定,攻擊者還是可以利用NAT反復(fù)嘗試登錄來(lái)騷擾管理員。通過(guò)簡(jiǎn)單地鎖定所有已知的賬號(hào),攻擊者會(huì)極大地影響服務(wù)器的訪問(wèn),這也是一些系統(tǒng)管理員不強(qiáng)行鎖定賬號(hào)的原因。
到此為止,你已經(jīng)學(xué)習(xí)了一些外部攻擊。然而,對(duì)于管理員來(lái)說(shuō)最緊迫的是大多數(shù)公司都存在不好的安全策略。如果安全策略很弱或干脆沒(méi)有安全策略,通常會(huì)導(dǎo)致弱的密碼和系統(tǒng)策略。通常,公司并不采取簡(jiǎn)單的預(yù)防措施,比如需要非空的或有最小長(zhǎng)度要求的密碼。忽略這些限制會(huì)給攻擊者留下很大的活動(dòng)空間。
不論你的操作系統(tǒng)采取何種文件系統(tǒng)(FAT,NTFS或NFS),每種系統(tǒng)都有它的缺陷。例如,缺省情況下NTFS在文件夾和共享創(chuàng)建之初everyone組可完全控制。由于它是操作系統(tǒng)的組成部分(Windows NT),因此也成為許多攻擊的目標(biāo)。NFS文件系統(tǒng)可以共享被遠(yuǎn)程系統(tǒng)掛接,因此這也是攻擊者入侵系統(tǒng)的途徑之一。
來(lái)自 “ ITPUB博客 ” ,鏈接:http://blog.itpub.net/10294527/viewspace-124151/,如需轉(zhuǎn)載,請(qǐng)注明出處,否則將追究法律責(zé)任。
轉(zhuǎn)載于:http://blog.itpub.net/10294527/viewspace-124151/
總結(jié)
以上是生活随笔為你收集整理的黑客攻击常见方法及安全策略制订(转)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 圣诞树代码版
- 下一篇: 利用tushare获取股票数据