◇ 常规的入侵特征是什么?
探测:包括Ping扫描、DNS区传输、e-mail探测、TCP或UDP端口扫描,利用Web服务器上的索引服务找出CGI程序漏洞。
利用漏洞:入侵者会利用已经发现的系统隐藏特性或设计缺陷侵入系统。
拒绝服务攻击:入侵者企图利用这种攻击瘫痪系统服务或主机,用超负荷网络连接、超负荷占有CPU资源或塞满系统磁盘等方法攻击系统。这些人攻击系统不是为了得到系统信息,而是为了让你无法正常使用系统。
◇ 典型的入侵攻击步骤是什么?
典型的入侵步骤是:
步骤1:探测
入侵者会尽一切可能搜集目标系统的信息,为下一步攻击做准备。入侵者用Whois' lookup来收集你的网络注册域名信息。(例如 foobar.com)入侵者会检查你的DNS表用来查找目标机器的名字。他们还会用ping扫描来探测哪些机器在运行,利用rcpinfo、showmount、snmpwalk等工具探测都有哪些网络服务开放。
步骤2:利用漏洞
入侵者开始利用目标主机可能存在的漏洞入侵。入侵者可能会发送shell命令,破坏CGI脚本程序。他们利用大家熟知的缓冲区溢出漏洞,发送大量数据攻击。入侵者开始检查登陆帐户,查找容易猜测的弱口令。如果入侵者得到用户账号登陆系统,他们会查找更多的漏洞来得到管理员权限。
步骤3:得到根用户
在这个阶段,入侵者通过攻击主机成功地得到了根用户权限。入侵者的目标是隐藏自己攻击的轨迹(修改审计日志文件)并且确保他们能够再次回到系统。他们安装特洛伊木马程序以便日后再次攻击系统,留下后门密码,或者创建自己的用户帐户。系统完整性校验器能够检测入侵者对主机文件系统的改动,查出木马程序。入侵者也将用被入侵的主机作为跳板攻击其他主机,因为大多数网络对内网攻击防护不够。
步骤4:破坏
入侵者可以通过得到的系统特权偷窃数据,滥用系统资源或者涂改网页。
◇ 入侵者是如何得到口令的?
侵者得到口令的方法有以下几种:
明文监听:许多网络服务协议(Telnet、FTP、HTTP等等)都用明文口令,这意味着口令在客户端和服务器之间的线路传输过程中未被加密。入侵者利用协议分析器能够监视线路上信息流,寻找这种口令。不费吹灰之力,入侵者就可以马上利用这些口令登陆系统。
密文监听:有一些网络访问协议,利用某种加密算法对口令进行加密。在这种情况下,入侵者会在口令上实施密码字典或蛮力攻击,以便试图破解口令。
偷窃口令文件:所有的用户口令都存储在磁盘的单一文件中。在UNIX系统中,这种文件在/etc/passwd,而在WinNT中,口令存在SAM文件中。无论用哪一种方法,一旦入侵者得到这个文件,并对文件进行破解,攻破弱口令就可以登陆系统。
观察:口令安全的传统问题是口令必须具有足够的长度,使入侵者用尽各种方法也不能破解口令内容。然而过长的口令难于记忆,所以用户把口令记在纸张上。入侵者可以经常在人们的工作地点搜寻,找出口令记录的地方(例如在键盘底下)。入侵者甚至可以在别人输入口令时,站在别人背后偷窥。
◇ 入侵者是如何闯入我的系统的?
入侵者闯入系统的主要手段有:
物理入侵:如果一个入侵者可以物理访问一台机器(例如他可以用机器的键盘,甚至拆开机器),他就能够进入系统。入侵者可以使用的技术是得到控制台的特权,或者拆开机器摘走硬盘(到其他机器上访问硬盘)。甚至BIOS的保护措施也容易被绕过:几乎所有的BIOS程序都有后门密码。
系统入侵:这种类型的攻击方法是假设入侵者已经得到系统的较低权限的帐户。如果系统没有加载最新的安全补丁,这就给了入侵者有利的时机,利用现有的漏洞去得到系统的管理权限。
远程入侵:这种攻击方式是入侵者试图通过网络远程侵入你的系统。入侵者开始并没有任何权限。如果在目标主机和入侵者主机之间加装防火墙,会入侵者造成相当大的麻烦。注意基于网络的入侵检测系统是着重关注远程入侵的。
◇ 连接在Internet上的Windows 9x系统的安全风险是什么?
Windows 9x系统的设计理念是易用和信息共享,而安全性却没有优先考虑。Windows 9x系统的特性之一是文件和打印机轻松共享--这项功能需利用NetBIOS协议。对共享连接的不恰当管理会导致本地局域网用户的中级安全风险,而当局域网连到Internet上时,风险级别会很快升高。DSL链接可以使其他网段上的用户通过网上邻居点击轻松访问共享资源,甚至连密码保护都没有。恶意的行为如安装木马、后门程序等,会最终破坏网络安全。
保护系统:
保护连接在Internet上的Windows 9x系统并不是一项非常艰巨的任务。主要应做好以下事情:
1、决定文件和打印机共享是否真的需要。大多数主机并不需要这些服务,应及时关掉。建议不要把NetBIOS协议和TCP/IP协议绑定。
2、安装防火墙软件。各种防火墙产品的功能和性能存在差别。一些防火墙提供了NAT(网络地址转换)服务的功能,它特别适合多用户共享一个Internet连接的情况。要注意NATs并不提供防火墙服务。不断增长的个人防火墙市场也提供丰富的产品。在产品选型之前,需要对自身安全需求进行认真评估。
3、确保需保护系统真的得到了保护。采用入侵监视工具可以监视Internet连接,并不需要像网络联盟的"CyberCop"那样功能全面的工具,基于网络服务的Gibson Research's "Shields UP!"也能够满足需要。
推荐用户要了解Internet连接细节,如通讯流是否过虑掉UDP/TCP的137,138和139端口来阻止Windows意外文件、打印机共享。网络嗅探器可以用来分析网络连接点的数据流。
◇ 我常常观察到我的网络日志中记录了许多扫描探测行为,它们没有对我的网络造成任何伤害,我是否应该对这些行为倍加小心呢?
你应该小心,试想这种情景…
假设有一辆陌生的汽车开始在你家的附近转悠,汽车中的人对附近的每一处房子地址、基本情况都做了详细的记录。你开始注意到同样的人会在每天的不同时间回来探察你的邻居情况。这些事会困扰你吗?它肯定会困扰我。
攻击者的行为有种重要的倾向:他们愿意投入大量的时间和精力去探测情况,目标主机有很多信息会被很容易地探测到。网络安全管理员也需要知道一些现代网络扫描工具的强大功能,如nmap。利用nmap,攻击者能够确定目标主机的操作系统类型,它能够预测TCP序列号,探测系统上都运行什么服务。许多系统信息就这样泄漏了,并且有利于攻击者对特定主机的薄弱环节实施攻击。
这就是别人对你的网络所做的事情。他们探测你的网络中有哪些机器,这些机器何时运行何时关闭,并且什么类型的机器对什么类型的探测有反应。收集网络信息的主要目的是日后攻击你的网络更加方便。
|
