网络***那些事
網(wǎng)絡(luò)***那些事
原文出處:http://www.sysadminmag.com/articles/2000/0011/0011e/0011e.htm
原文作者:Kurt Seifried
編譯:ideal(ideal@linuxaid.com.cn)
什么是網(wǎng)絡(luò)***(hacking)?從在線字典(http://www.dictionary.com/),可以得到如下定義:
具有熟練的編寫和調(diào)試計(jì)算機(jī)程序的技巧
并使用這些技巧來獲得非法或未授權(quán)的網(wǎng)絡(luò)或文件訪問,***進(jìn)入公司內(nèi)部網(wǎng)的行文。
早先將對計(jì)算機(jī)的非授權(quán)訪問稱為破解(cracking),而hacking則指那些熟練運(yùn)用計(jì)算機(jī)的高手對計(jì)算機(jī)技術(shù)的運(yùn)用。而隨著時(shí)間的推移,媒體宣傳導(dǎo)致了hacking變成了***的含義。現(xiàn)在hacker則稱為諸如Linus Torvalds (Linux之父)、Tim Berners-Lee (現(xiàn)代WWW之父)及偷竊網(wǎng)絡(luò)信息等犯罪者的同義詞。
那么忽略法律角度的定義,什么才是一個(gè)***( hacker)呢?那就是指企圖***別人的計(jì)算機(jī)或網(wǎng)絡(luò)的人。該定義幾乎涵蓋了所有現(xiàn)代網(wǎng)絡(luò)系統(tǒng)的***,從計(jì)算機(jī)網(wǎng)絡(luò)到電話系統(tǒng)。在現(xiàn)代社會(huì)里任何遠(yuǎn)程復(fù)雜控制都是由計(jì)算機(jī)來實(shí)現(xiàn)的,因?yàn)槿藗儼l(fā)現(xiàn)聯(lián)網(wǎng)的計(jì)算機(jī)能發(fā)揮更大的作用和更易于管理。
應(yīng)該認(rèn)識到的是絕大多數(shù)的***者都并不具有什么特別高深的技術(shù)。那些十幾歲的少年都能成功的實(shí)現(xiàn)對如Yahoo、CNN等的大在線公司的***。它們都是天才么?而實(shí)際情況是因?yàn)槟壳熬W(wǎng)絡(luò)計(jì)算機(jī)的安全性非常差的緣故。用來實(shí)現(xiàn)網(wǎng)絡(luò)計(jì)算機(jī)通信的下層協(xié)議是很久以前設(shè)計(jì)的,而那時(shí)并沒有那么多敵意***的情況。因此大多數(shù)聯(lián)網(wǎng)的計(jì)算機(jī)是不安全的,因?yàn)橥耆珜?shí)現(xiàn)一個(gè)安全的現(xiàn)代OS需要重要的大量的努力。在大多數(shù)情況下作為管理員往往需要關(guān)閉某些無用服務(wù),去除某些不需要的服務(wù),升級和補(bǔ)丁操作系統(tǒng),確信OS被加固以增強(qiáng)安全性,還要防止用戶接收包含諸如“我愛你”病毒之類的信息內(nèi)容。而大多數(shù)系統(tǒng)管理并沒有大量的時(shí)間和精力來完全的實(shí)現(xiàn)系統(tǒng)的安全性,因?yàn)樘嗟捻?xiàng)目(特別是電子商務(wù))面臨競爭。
***的類別
第一類***者幾乎包含95%的情況,并經(jīng)常被稱作惡作劇小孩式的***。這些***者有用一臺計(jì)算機(jī)并且具有非常有限的網(wǎng)絡(luò)知識和操作系統(tǒng)知識,它們往往并不具有太多的技巧。它們常常并不熟悉***軟件是如何工作的,但是這并不妨礙它們利用這些軟件來實(shí)現(xiàn)***。
第二類***者要更具有技巧一些,具有UNIX類及Windows系統(tǒng)的知識和經(jīng)驗(yàn),它們具有網(wǎng)絡(luò)、協(xié)議和服務(wù)的知識,這些知識能指導(dǎo)它們進(jìn)行***,它們往往具有更高的成功率但是它們往往不會(huì)編寫程序或發(fā)現(xiàn)新的軟件或網(wǎng)絡(luò)漏洞,象第一類一樣,它們僅僅是跟隨者而不是創(chuàng)造者。這類***者的數(shù)量要遠(yuǎn)遠(yuǎn)少于第一類而大大多余第三類。
最后一類***者是最具有技巧的一類。它們能尋找軟件的漏洞,并加以利用來進(jìn)行***。它們都精通***程序的編寫,并將這些程序四處發(fā)布。但是這類***者中后很多是屬于白帽(white hats),t它們不觸犯法律,但是它們覺得有必要發(fā)布它們編寫的***程序以使廠商修改bug。對白帽子的爭論甚至可以寫一本書。
***分析
通常***者首先就是要決定它們的***目標(biāo),這通常是一個(gè)有目的的行為。但是有時(shí)候***者由于某種原因僅僅希望***某個(gè)組織。決定同樣受在***時(shí)可能受到的風(fēng)險(xiǎn)的影響。然而***者往往在***時(shí)并不知道***可能導(dǎo)致的法律后果,而去貿(mào)然進(jìn)行***。例如Mafiaboy就對CNN.com進(jìn)行***就被發(fā)現(xiàn)并追究了其法律責(zé)任。
***風(fēng)險(xiǎn)最小的往往是拒絕服務(wù)式***。一般是通過***不安全的計(jì)算機(jī),在其上安裝某種軟件來同時(shí)連接某個(gè)服務(wù)器,從而導(dǎo)致該服務(wù)器不能完成正常的服務(wù)請求。拒絕服務(wù)***一般并不能為***者帶來任何經(jīng)濟(jì)利益。
而******則能使***者得到信用卡號碼或得到能用來對另外的主機(jī)進(jìn)行***的資源。這些***者往往由于過分的自信,最后常因?yàn)樵谀扯螘r(shí)間內(nèi)連續(xù)***一個(gè)站點(diǎn)而被抓獲。但是如果***者能有自知之明的知道什么時(shí)候應(yīng)該收手,那么抓獲它們是非常困難的。
一個(gè)***的技巧越生疏,***就越笨拙,越容易留下明顯的痕跡。惡作劇小孩式的***者甚至不知道如何檢測被***的網(wǎng)絡(luò),而是簡單的下載漏洞***軟件并隨意測試。這類***往往導(dǎo)致被***網(wǎng)絡(luò)上的防火墻或***檢測系統(tǒng)產(chǎn)生很多告警信息。如果作為網(wǎng)絡(luò)管理員的你及時(shí)更新各種軟件,那么這類***一般都不不大可能奏效。而一個(gè)熟練的***者則首先會(huì)對被***網(wǎng)絡(luò)進(jìn)行分析測試,常用的測試分析包括traceroute、DNS信息等。例如我曾經(jīng)對一個(gè)大學(xué)的網(wǎng)絡(luò)中的包括超過65,000個(gè)IP地址在幾個(gè)小時(shí)內(nèi)進(jìn)行過DNS反向查詢。一般并不能簡單的阻止這類探測,因?yàn)檫@類行為也可能是合法的網(wǎng)絡(luò)請求,不幸的是,記錄這類測試的唯一方法可能導(dǎo)致大量的Log數(shù)據(jù)。探測的其他地方包括公司的電話線,因?yàn)榇蠖鄶?shù)公司都可能有modem連接到計(jì)算機(jī)上,而其往往沒有正確的安全配置。專業(yè)***者也可能利用社會(huì)工程學(xué)方法進(jìn)行***。這類***不大可能被前兩種***者使用,因?yàn)檫@種***方法需要和人有高度的交互性,因此很難不留痕跡的進(jìn)行。而更熟練的***者則傾向于使用該方法。
***工具
在哪里可以找到那些漏洞***腳本程序和漏洞信息呢?有很多web站點(diǎn)都發(fā)布這方面的專題,而且還要后專門的IRC來供***們進(jìn)行實(shí)時(shí)討論以交流經(jīng)驗(yàn)。下面是一些站點(diǎn)資源:
http://www.antionline.com/ --這是最全面的站點(diǎn)之一。它有良好的內(nèi)容結(jié)構(gòu),并且提供數(shù)以千計(jì)的漏洞信息,幾乎包括計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)的所有漏洞信息(Cisco, Windows, BSD, AIX等等)。該站點(diǎn)同樣提供很多網(wǎng)絡(luò)掃描器,密碼生成器,keylogger和其他可以被用來輔助***的各種***。
http://www.rootshell.com/ -- 該站點(diǎn)曾經(jīng)是在漏洞方面最有權(quán)威性的站點(diǎn)。但是最近以來該站點(diǎn)的更新卻大大減慢。該站點(diǎn)提供按月份瀏覽的方式可以很快的察看最新漏洞信息,并且提供了一個(gè)搜索引擎,只要輸入你的OS系統(tǒng)或網(wǎng)絡(luò)軟件就可以方便的查詢漏洞信息。
http://packetstorm.securify.com/ -- 該站點(diǎn)是最大的漏洞檔案信息站點(diǎn)。Thisis by far the largest archive of exploits, going back several years.
下面是一些可以被用來探測網(wǎng)絡(luò),檢測網(wǎng)絡(luò)結(jié)構(gòu)等方面的***:
http://www.nmap.org/ -- 最好的端口掃描器,并且是免費(fèi)的。從內(nèi)部可信主機(jī)掃描網(wǎng)絡(luò)服務(wù)器來察看服務(wù)器運(yùn)行有哪些服務(wù)是一個(gè)很不多的想法。
http://www.nessus.org/ -- 一個(gè)更好的***掃描器,也是開放源碼的。它是客戶/服務(wù)器體系結(jié)構(gòu),分別有Unix和Windows版本。其產(chǎn)生的掃描報(bào)告非常完整,并且包含如何修補(bǔ)安全威脅的建議。其也進(jìn)行拒絕服務(wù)掃描測試,但是在進(jìn)行該掃描以前要小心謹(jǐn)慎,因?yàn)榭赡軐?dǎo)致服務(wù)器崩潰。
掃描一個(gè)公司的modem將可能發(fā)現(xiàn)一個(gè)modem可以被用來***該公司的網(wǎng)絡(luò)。有四種對策來解決這種掃描:第一種方法是物理方式的檢查每個(gè)計(jì)算機(jī)的modem,但是由于某些機(jī)器可能連接有外置modem而且并不是總是連接在計(jì)算機(jī)上,因此第一種方法并不是一定有效。第二種方法用來掃描電話線來查找modem,同樣用戶的modem并不總是連接或打開;第三種方法是阻止用戶使用其com端口,在Unix環(huán)境下可以通過設(shè)置/dev權(quán)限來進(jìn)行,而對于windows,可以使用一個(gè)稱為SecureNT的工具來進(jìn)行。第四種方法是對電話線路設(shè)置防火墻,目前稱為TeleWall的產(chǎn)品可以完成該功能。
http://www.hackers.co.za/archive/hacking/wardialers/ -- 最好的免費(fèi)的wardialers(如THC,TheHackers Choice)來掃描電話。但是需要注意在使用這些工具時(shí)應(yīng)該關(guān)閉呼叫用戶號碼顯示功能。
http://www.securelogix.com/ -- SecureLogix發(fā)布的TeleWall-一個(gè)電話系統(tǒng)防火墻。將其放置在PBX之前。其能處理多達(dá)24根線。其能根據(jù)源、目的、時(shí)間及呼叫類型等規(guī)則來過濾進(jìn)入和發(fā)出的呼叫。SecureLogix同樣也出品TeleSweep-一個(gè)商業(yè)化的wardailer。
http://www.securewave.com/ -- SecureNT是一個(gè)能控制機(jī)器對串口、并口及其他可移動(dòng)媒體如軟驅(qū)、光驅(qū)等設(shè)備的使用的軟件。其可以運(yùn)行在Windows 9x, NT和2000環(huán)境下。
***防衛(wèi)
????對于這些工具都有專門的防衛(wèi)工具,但是將其全部羅列出來將是非常巨大的。設(shè)立良好的安全策略并加以實(shí)施,一個(gè)強(qiáng)大可靠的IT/IS隊(duì)伍和仔細(xì)處理問題的過程就是最好的防衛(wèi)措施。特別需要保持軟件更新、及時(shí)安裝廠商提供的補(bǔ)丁,對服務(wù)請求進(jìn)行限制。物理安全性同樣重要。考慮加密網(wǎng)絡(luò)數(shù)據(jù)流和使用一次性密碼口令。對網(wǎng)絡(luò)流進(jìn)行過濾也是必須的,這通常是使用數(shù)據(jù)報(bào)級的防火墻系統(tǒng)、代理系統(tǒng)及病毒檢測系統(tǒng)來實(shí)現(xiàn)的。由于***者往往是通過修改系統(tǒng)配置及其他可執(zhí)行程序來獲得后門的,因此安裝諸如TripWire的軟件可以在出現(xiàn)問題時(shí)及時(shí)發(fā)現(xiàn)。
參考資料
Wadlow, T. 2000. The Process of Network Security. Addison-Wesley. This bookdiscusses how to
handle incidents, how to build a team, etc. It's invaluable.
Winkler, I. 1997. Corporate Espionage. Prima Publishing. This book is morepolicy/procedure focused
than technology. However, it will give you the mindset of a skilled attacker,and "best practices"
that any company would be advised to use.
Unfortunately, many OS vendors have little or no useful security documentationonline, but there are a few exceptions:
http://docs.sun.com/ -- Sun Documentation site.
http://www.cisco.com/ -- Click on "Technical Documents" for Cisco'sinformation.
http://www.microsoft.com/technet/security/ -- Microsoft's collection ofsecurity information
相關(guān)資料>>>>
[關(guān)閉窗口]
?
轉(zhuǎn)載于:https://blog.51cto.com/3763863/1775616
總結(jié)
- 上一篇: 寻找最大的K个数,Top K问题的堆实现
- 下一篇: Web Service概念梳理