nNT系统的口令文件是/winnt/system32/config/sam。入侵者一旦获取了口令文件,就可以使用破解程序发现其中的弱口令信息。
5、观察
用户可能由于设置的口令复杂难记而将它写在一张纸上压在键盘下随时查看,或者在输入口令的时候不管身后有没有站着一位“看客”。入侵者的搜索力与记忆力都非常好,这些操作习惯对他们来说简直就是轻松练兵。所以,别忽视入侵者的眼睛!
6、社会工程
前面提到过这个问题,社会工程就是指采用非隐蔽方法盗用非授权帐户进行的非法活动,比如使用其他人的机器、冒充是处长或局长骗取管理员信任得到口令等等。记住:如果有人想要你的口令,无论他说是为了什么,请记住他,一旦发生了关于口令的案件,那个人就是头号嫌疑犯!
问:典型的入侵场景有哪些?
所谓入侵场景,就是指入侵者都会从哪些方面采取哪些步骤尝试攻击系统。典型的入侵画面是这样一幕幕展开的:
1、外部调研
知己知彼,百战不殆。入侵者攻击的第一步就是尽一切可能对攻击目标进行调研以获取充足的资料。采取的方法包括:使用whois工具获取网络注册信息;使用nslookup或dig工具搜索DNS表以确定机器名称;搜索关于公司的公开新闻。这一步对于被攻击者是完全不知的。
2、内部分析
确定了攻击目标的基本属性(站点地址、主机名称),入侵者将对它们进行深入剖析。方法有:遍历每个Web页面搜索是否存在CGI漏洞;使用ping工具一一探寻“活”着的机器;对目标机器执行UDP/TCP扫描以发现是否有可用服务。这些行为都属于正常的网络操作,还不能算作入侵行为,但是NIDS系统将能够告诉管理者“有人正在撼动门把手……”
3、漏洞利用
现在到了开始动手的时候了!破坏花样实在繁多,在此择优列举如下:通过在输入项目中写入壳命令字符串(shell command)来考验CGI脚本的安全性;通过发送大量数据以确定是否存在臭名昭著的缓冲区溢出漏洞;尝试使用简单口令破解登录障碍。当然,混合使用多种方式是攻占成功的不二法门。
4、站稳脚跟
对于入侵者而言,一旦成功地入侵了网络中的一台机器,就可以说是站稳脚跟了。入侵者现在要做的就是隐藏入侵痕迹并制造日后再攻的后门,这就需要对日志文件或其他系统文件进行改造,或者安装上木马程序、或者替换系统文件为后门程序。这时,SIV(系统完整性检测)系统会注意到这些文件的变化。由于内部网络中的安全措施通常都比较少,进一步地,入侵者将以这第一台机器作为跳板,攻击网络中的其他机器,寻找下一个安身之家。
5、享受成果
到此,入侵者可以说是完成了攻击任务,剩下的就是享受成果了:或者对窃取的秘密文件肆意使用、或者滥用系统资源、或者篡改Web页面内容,甚至将你的机器作为跳板攻击其他机器。
以上讨论是的有目的入侵者的通常行为。还有一种入侵场景通常被称为“birthday attack”,我想其含义是模拟生日时接收到许多熟人或者未知朋友的礼物吧,不过用在这里还要在礼物前加上“攻击”两字了。Birthday attack的一般步骤是:随机搜索一个Internet地址;搜索其上是否有指定的漏洞;如果有,根据已知的漏洞利用方法进行攻击。计算机网络中的漏洞实在太多了,初级入侵者别通过这个方法练手噢 :-)
问:入侵有哪些方式?
1、探测
探测方式有很多,包括ping扫描、探测操作系统类别、系统及应用软件的弱帐号扫描、侦探电子邮件、TCP/UDP端口扫描、探测Web服务器CGI漏洞等。
2、漏洞利用
指入侵者利用系统的隐藏功能或漏洞尝试取得系统控制权。主要包括:
CGI漏洞:编写CGI程序需要考虑得非常完善才有可能避免安全威胁。入侵者经常要尝试访问系统中的一些具有知名漏洞的CGI程序,以期寻找到突破口。这些CGI程序有:TextCounter、GuestBook、EWS、info2www、Count.cgi、handler、webdist.cgi、php.cgi、files.pl、nph-test-cgi、nph-publish、AnyForm、FormMail。如果我们没有使用这些文件却发现有人正在频繁地访问其中之一,就可以清楚地断明一个入侵行为正在进行了。
Web服务器漏洞:比如文件名中包含一系列“../”字符串从而可以访问系统中的任意文件;URL路径后添加上“::$DATA”就可以查看脚本源代码。
Web浏览器漏洞:这方面的漏洞涉及面同样很广,冲浪者绝不能掉以轻心。比如可能导致缓冲区溢出或执行.LNK命令的URL、畸形的HTTP header内容、MIME类型溢出(例如Netscape浏览器的命令)、总是有漏可乘的javascript脚本(例如利用文件上传功能创建后门程序)、偶尔犯些错误的Java代码以及现在更为厉害、更为猖獗的ActiveX组件。
STMP漏洞:比如利用缓冲区溢出攻击STMP、使用VRFY命令搜索用户名称。
IMAP漏洞:IMAP即Internet信息控制协议(Internet Message Access Protocol),是指从邮件服务器上获取Email信息或直接收取邮件的协议。传统的POP3收信过程中,用户无法得知邮件的具体信息,只有在邮件全部下载到硬盘后,才能慢慢地浏览或删除,用户几乎没有对邮件的控制决定权。IMAP解决的就是这个问题。但是许多流行的IMAP服务器都存在重大漏洞。
IP地址欺骗:由于路由选择不需要判断来源地址,因此入侵者就可将IP数据包的来源地址替换为伪造地址以期隐藏其攻击地点。而且,由于是伪造的来源地址,入侵者也不会接收到目标机器的返回通讯信息,真正做到了“攻不还手”。
缓冲区溢出:除了前面提及的缓冲区溢出种类外,还有DNS溢出(超长DNS名字发送给服务器)、statd溢出(超长文件名)。
3、DoS或DDoS(拒绝服务攻击或分布式拒绝服务攻击)
这种攻击是真正的“损人不利己”,不需要别人的数据,只想等别人出错看热闹。这种攻击行为越来越多,是不是因为这种人也越来越 ...... 常见的DoS有死亡之Ping、SYN湮没、Land攻击。
问:NIDS检测到一个入侵行为后做什么?
当发现一个入侵行为后,NIDS系统将采取诸多有力措施对付攻击,这主要包括:
* 重新配置防火墙禁止入侵者IP地址进入
* 播放一段.WAV音乐提醒管理者
* 发送SNMP TRAP信息包到管理控制台
* 将事件记录到系统日志文件中
* 给管理员发送电子邮件通知入侵正在发生
* 以寻呼方式(BP机)告知管理员
* 保存攻击信息,如攻击时间、入侵者IP地址、受害者IP地址及端口、协议信息、相关数据包
* 启动特殊程序处理入侵事件
* 伪造TCP FIN信息包强制结束连接,避免悲剧继续上演
问:除了IDS外,还有什么入侵对策?
1、防火墙
有种观点说:防火墙是安全护卫的第一道防线,只要突破它,入侵者将随意驰骋被突破的网络。但是更好的说法应该是:防火墙是安全护卫的最后一道防线,在正确配置机器及良好运行入侵检测系统的前提下,用防火墙来避免script kiddies的幼稚和简单的攻击。有两点要注意:一是现在的许多路由器都可以配置成防火墙的过滤功能;二是防火墙通常只能抵抗外部攻击,对于内部破坏则显得力不从心。
2、口令验证系统
保证口令验证系统的稳固性是另外一个要采取的措施。或者采用系统内置的口令验证策略,比如Win2K的Kerberos验证,或者考虑购买单独产品以整合进增强的口令系统,比如RADIUS(远程认定拨号用户服务)或TACACS(TACACS是用于UNIX系统上有历史的认证协议,它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统)。这些验证系统都有助于消除Telnet、ftp、IMAP或POP等协议带来的明文口令问题。
3、虚拟专用网VPN
VPN通过Internet为远程访问创建安全的连接管道环境,其中使用的主要协议有PPTP和Ipsec。PPTP即PPP over TCP,使用它就可以为一台机器分配2个IP地址,一个用于Internet,另一个用于虚拟网。Ipsec是Win2K系统的新协议,它提高了传统IP协议的安全性。然而VPN也有其明显的弱点,虽然管道本身经过验证和加密处理是安全的,但是管道的两端却是开放的,这就可能造成入侵者从一个被安装了后门的家庭用户机器上大摇大摆地遛进安全管道、不被检查地访问内部网。
4、加密系统
随着个人隐私权的不断被重视,加密系统现在越来越“时髦”了。加密邮件可以使用PGP(Pretty Good Privacy)和SMIME(加密专用多用途Internet邮件扩展),加密文件也可以使用PGP,加密文件系统可以使用BestCrypt或者还是PGP。
问:IDS系统应该安放到网络的什么部位?
1、网络主机
在非混杂模式网络中,可以将NIDS系统安装在主机上,从而监测位于同一交换机上的机器间是否存在攻击现象。
2、网络边界
IDS非常适合于安装在网络边界处,例如防火墙的两端、拨号服务器附近以及到其他网络的连接处。由于这些位置的带宽都不很高,所以IDS系统可以跟上通讯流的速度。
3、广域网中枢
由于经常发生从偏僻地带攻击广域网核心位置的案件以及广域网的带宽通常不很高,在广域网的骨干地段安装IDS系统也显得日益重要。
4、服务器群
服务器种类不同,通讯速度也不同。对于流量速度不是很高的应用服务器,安装IDS是非常
|
