什么是远程攻击
简单的说,远程攻击就是指攻击远程计算机。“远程计算机”的定义如下:
“一台远程计算机是指这样一台机器:它不是你正在其上工作的平台,而是能利用某类协议通过Internet 网或任何其他网络介质被使用的计算机”。而准确一点儿说,一个远程攻击的攻击对象是攻击者还无法控制的计算机;也可以说,远程攻击是一种专门攻击除攻击者自己计算机以外的计算机,这台计算机可能是在近在咫尺的同一工作间或是同一楼房中,也有可能是在千里之遥的大洋彼岸。
如何进行远程攻击
通常的远程攻击可以分为以下几个步骤进行:
l、收集目标信息
首先,进行远程攻击并不需要和攻击目标进行密切地接触。入侵者的第一个任务(在识别出目标机及其所在的网络的类型后)是决定他要对付谁。此类信息的获得毋须干扰目标的正常工作(假设目标没有安装防火墙,因为大部分的网络都没有安装防火墙,长期以来一直如此)。此类的某些信息可通过下面的技术获得:
* 运行一个查询命令host。通过此命令,入侵者可获得保存在目标域服务器中的所有信息。其查询结果所含信息量的多少主要依靠于网络的大小和结构。旁WHOIS 查询。此查询的方法可识别出技术管理人员,这类信息也被认为是无用的,其实不然,因为通常技术管理人员需要参与目标网的日常管理工作,所以这些人的电子邮件地址会有些价值(而且同时使用host和WHOIS 查询有助于你判断目标是一个实实在在的系统还是一个页结点,或是由另一个服务形成的虚拟的域等等。
* 运行一些Usenet 和WEB 查询。在入侵者和目标进行实际接触之前,他还有许多查询工作要做。其中之一就是查询某位技术管理人员的名字信息(使用强制的、区分大小写的、完全匹配用的条件查询)。通过查询入侵者可了解这些系统管理员和技术管理员是否经常上Usenet。同样,也可在所有可用的安全邮件列表的可查询集合中查询他们的地址。有许多网络服务可用于收集目标的信息,如 finger、 howmount 和rpcinfo 都是好的起点。但不要停滞于此,你还能利用DNS、Whios、Sendmail(smtp)、ftp、uucp 和其他的可用的各种服务。收集系统管理员的相关信息是最为重要的。系统管理员的职责是维护站点的安全,当他们遇到各种问题时,许多管理员会迫不及待地将这些问题发到Usenet 或邮件列表上以寻求答案。只要肯花一些时间来寻找此系统管理员的地址(和其他的一些信息)你便能彻底地了解他的网络、他的安全概念以及他的个性。因为发出这种邮件的系统管理员总会指明他们的组织结构、网络的拓补结构和他们面临的问题。因为不直接使用根帐号,所以系统管理员的ID 可为任何字符串。让我们假设你知道这个 ID:walrus。进一步假设通过host 查询命令你得到了150 台计算机的有关信息其中包括每台计算机的名字。例如他们可以是mail.victim.net、news.victim.net、shell.victim.net、cgi.victim.net 等等(尽管在实践中,它们可能会有'主题’名,从而使外人不知道某台机器负担何种工作)。入侵者应该在每台机器上试一试管理员的地址,事实上除了在网
络的每台计算机上尝试管理员的地址外,入侵者还会在每台计算机上尝试所有的具有普遍性的东西。也许可以发现walrus 喜欢用的计算机,所有信件都是从这台计算机发出的。请注意如果目标是一个服务提供者(或者允许用户对它进行合法访问的系统)那么通过观察系统管理员从哪里进入系统能获得此管理员的更多信息。一般从外部联合使用finger 和rusers 命令即可获得这些信息。换句话说,你要一直留意外部网(除目标网以外的网在这些网络上那个系统管理有一些帐号),如果他最近的一次登录是在Netcom,跟踪他在Netcom 帐号一天左右,看看会发生什么。
2、关于finger 查询
finger 很可能暴露你的行为,为了避免finger 查询产生标记,绝大多数入侵者使用fingergateways(finger 网关)。 finger 网关是一些WEB 主页,通常包含了一个简单的输入框(field),此框指向在远地服务器硬盘上的一个CGI 程序,此远程服务器执行finger 查询。通过finger 网关的使用,入侵者能隐藏其源地址。
3、关于操作系统
也许你已经使用了各种方法来识别在目标网络上使用的操作系统的类型的版本。无论如何,一旦判断出目标网络上的操作系统和结构是什么样的,下一步的研究工作就可以进行了。首先作一张表,列出每个操作系统和机器的类型(这张表对于你进一步进行研究有极大的帮助),然后对每个平台进朽研究井找出它们中的漏洞。
4、进行测试
实际上只有那些对入侵极热衷的入侵者才会做攻击过程中的测试部分。大部分的入侵者井不想尝试这种行为,因为这需要一定的费用。在此步骤中,首先要建立一个和目标一样的环境。一旦将此环境建立起来后,你就可对它进行一系列的攻击。在此过程中,有两件事需要注意:
(l)从攻击方来看这些攻击行为着上去像什么,
(2)从被攻击方来看这些攻击行为看上去像什么。
通过检查攻击方的日志文件入侵者能大致了解对一个几乎没有保护措施的目标进行攻击时攻击行为着上去像什么(目标没有保护措施是指目标机上没有运行传统的守护程序)。这能给入侵者提供一些提示;如果真正的攻击行为和实验结果不一致,那么一定存在着某些原因。一台相同配置的机器(或者,应说成一合配置明显一致的机器)在相同的攻击下应产生相同的反应。如果结果并非如此,那说明管理目标机的人暗中已有了应急计划。在这种情况下,入侵者应谨慎行动。通过检查被攻击方的日志,入侵者可了解攻击过程中留下的“痕迹”看上去像什么。这对入侵者来说很重要。在一个异构系统中,存在着不同的日志过程。入侵至少应该知道这些日志过程是什么,换句话说,他需要了解保存入侵“痕迹”的每个文件(在相同配置的计算机上人这些信息是至关重要的,并具有指导作用:它能告诉人侵者删除哪些文件来毁灭其入侵的证据。找到这些文件的推一方法就是在自己控制的环境中进行测试并检查日志。
5、各种相关工具的准备
紧接着应该收集各种实际使用的工具这些工具最有可能是一些扫描工具,入侵者至少应该判断出目标网上的所有设备。基于对操作系统的分析你需要对你的工具进行评估以判断有哪些漏洞和区域它们没有覆盖到。在只用一个工具而不用另一个工具就可覆盖某特定设备的情况下,最好还是同时使用这两个工具。这些工具的联合使用是否方便主要依赖于这些工具是否能简易地作为外部模块附加到一个扫描工具上如 SATAN 或 SAFESuite。在此进行测试变得极为有价值,因为在多数情况下附加一个外部模块非让它正常地工作井不那么简单。为了得到这些工具工作的确切结果,最好先在某台机器上进行实验(这台机器甚至可与目标机不同)。这是因为,我们想知道是否会由于加上两个或多个单独设计的模块而使扫描工具的工作突然被中断或失败。记住,实际的扫描攻击过程只能一气呵成,如果中间被打断,那你不会有第二次机会。于是,根据你想在目标机上得到的东西,你可挑选一些合适的工具,在某些情况下,这是一件轻松的事。例如,也许你已经知道在目标系统上的某人正通过网络运行着一些X 窗口系统的应用软件在这种情况下,如果你搜索Xhost 的漏洞,一定能有所收获。记住使用扫描工具是一种激烈的解决方案。它等于是在大白天拿着棍冲到某户人家,去试着撬所有的门和窗。只
要此系统的管理员适度地涉猎过一些安全技术,那你的行为在地面前会暴露无遗。
6、攻击策略的制定
在Internet 漫游过程中攻击这台或那台服务器的日子基本上已经过去。多年前,只要系统没有遭到破坏,突破系统安全的行为便被看作是一种轻微的越界行为。如今,形势则大不相同。今天,数据的价值成了谈论的焦点。因此作为现代入侵者,没有任何理由就实施入侵是很不明智的。反过来,只有制定了一个特定计划再开始进行入侵才是明智之举。攻击策略主要依赖于入侵者所想要达到的目的。需要说明的是扫描时间花得越长,也就是说越多的机器被涉及在内,那么扫描的动作就越有可能被发现;同时有越多的扫描数据需要筛选,因此,扫描的攻击的时间越短越好。一旦通过收集到的数据判断出网络的某部分和整个网络是通过路由器、交换机、桥或其他设备分隔的,那么就应该把它排除在被扫描的对象之外。毕竟攻破这些系统而获得的收益可能微乎其微。假定入侵者获得了此网段上的某系统的根权限,那他能得到什么呢?他可以轻松地穿过路由器、桥或交换机吗?恐怕不能!因此,监听只能提供此网段上其他计算机的相关信息,欺骗方法也只能对此网段内的机器有效。因为你所想要的是一个主系统上(或者是一个可用的最大网段的根权限,所以对一个更小、更安全的网络进行扫描不可能获得很大的好处。无论如何,一旦你确定了扫描的参数,就可以开始行动了。
7、扫描结束后
当你完成扫描后,你便可以开始分析这些数据了。首先你应考虑通过此方法得到的信息是否可靠(可靠度在某种程度上可通过在类似的环境中进行的扫描实验得到。)然后再进行分析,扫描获得的数据不同则分析过程也不同。在SATAN 中的文档中有一些关于漏洞的简短说明,并且真接而富有指导性。如果找到了某个漏洞,你就应该重新参考那些通过搜索洞和其他可用资源而建立起来的数据库信息。主要的一点是,没有任何方法能使一个新手在一夜之间变成一位有经验的系统管理员或入侵者,这是残酷的事实。在你真正理解了攻击的本质和什么应从攻击中剔除之前,你可能要花上数个星期来研究源码、漏洞、某特定操作系统和其他信息,这些是不可逾越的。在攻击中经验是无法替代的,耐心也是无法替代的。如果你缺乏上述任何一个特点,那就忘记进攻吧。这是此处的重要一点。无论是像KevinMitnik(入侵者)这种人还是像Weitse Venema(里客)这种人,他们几乎没有区别。他们是计算机安全领域内的著名人土(在某些情况下,甚至远远超过)。然而他门的成果化论是好是坏)都来自于艰苦的工作、学习、天赋、思想、想象和自我钻研。因此,防火墙无法挽救一个不能熟练使用它的系统管理员;同样,SATAN 也无法帮助一个刚出道的入侵者攻破远程目标的保护。远程攻击变得越来越普遍,扫描工具的运用已被更多的普通用户所常握。类似的。可查询的安全漏洞索引的大量增加,也极大地促进了人们识别可能的安全问题的能力。虽然这里列出了远程攻击的一般
步骤,但是如果作仅是一位初学者的话,不要指望能够据此进行远程攻击,一个经过很好计划和可怕的远程攻击。需要实施者对TCP/IP 以及系统等方面的知识有着极深刻的了解。
|
