系统入侵者攻击企业或敏感数据网络方法白皮书
网络安全方案公司·FIST工作室(fist@ns2.co.uk)
Little Gray Man 译
———————————————————–
目录
———————————————————–
1 简介
1.1 弱点在哪里?
1.2 “系统入侵者”的原形
2 组网
2.1 众多公司的组网技术
2.2 了解此类网络系统的弱项
3 攻击
3 攻击
3.1 攻击者的”隐身术”
3.2 网络查探和信息收集
3.3 确定被信任网络结点
3.4 确定有弱点部件
3.5 利用网络部件的”弱项”
3.6 控制有漏洞的网络结点
4 滥用网络资源和访问权
4.1 下载敏感信息
4.2 攻击其他被信任的网络
4.3 安装后门和木马软件
4.4 使网络瘫痪
5 全面网络安全的改善
5.1 参考阅读
5.2 推荐工具和程序
———————————————————–
1.0 简介
———————————————————–
本白皮书是为帮助系统管理和操作人员深入了解典型系统入侵者采用的
方法和手段而编写。
本文不应被视为增强网络安全的指南,尽管本文的确能帮助您找出您的网
络系统的漏洞或指出可能发生的潜在事故。
我们希望您能够喜欢本文,并通过本文学习一些当前系统入侵者的运作方
法。
网络安全方案公司·FIST工作室(fist@ns2.co.uk)
———————————————————–
1.1 究竟漏洞在哪里
———————————————————–
每天,企业和各种组织都生活在各种各样的电脑网络中间,电脑网络使我
们能够有效地分享大量的数据资源。
一般来说,企业网络在设计和组建时主要考虑的是它的功能和效率,很少
会把安全性放在心上。尽管在短期从商业的角度上看,这样的做法并没有
错,但网络一旦运行和发展,安全问题便会随之而来,使使用大网络的公
司们要花数以百万的美圆去解决。
大多数企业网或敏感专用网以客户机-服务器的模式运作。在这种模式下
企业雇员使用本地工作站工作,需要时联上服务器以共享信息。在本白皮
书种我们会集中讨论服务器端的安全性,因为系统攻击者通常会先以服务
器为攻击目标。服务器是信息传递的”枢纽”,如果攻击者能取得服务器上
未授权的权力,那么对网络其他部分就容易多了。
对于攻击者大范围网络查探,容易被攻击的目标包括:
银行和金融机构
互联网服务提供商
医药公司
政府和防卫机构
政府机构的供应商
跨国集团
虽然大多数此类攻击的肇事者是内部人员(已经获得企业部分敏感信息访
问权的用户),但我们主要还是集中讨论纯外部的网络攻击技术。
对银行和金融机构的查探和攻击主要是为了行使商业诈骗。为了冒险获取
大量的金钱,许多银行已经被如此攻击。银行们一向不承认自己是外部网
络攻击的受害者,因为一旦这样的消息泄露他们肯定会损失大量的客户和
信用度。
互联网服务供应商是系统攻击者的普遍目标,因为ISP服务器很容易就可
以从internet上访问到。而且ISP们有大型高速联往世界各地光纤的访问
权,一旦攻击者们成功就能将大量的信息在internet上传输。规模较大的
ISP会有用户数据库,而这些数据库中通常会包含攻击者们感兴趣的用户
保密信息,诸如信用卡号、真实姓名、地址等。
医药公司通常主要是商业间谍攻击的受害者。在这种攻击中攻击者们会为
偷到的保密医药数据而得到大量金钱。那些医药公司花了数百万美元计的
巨资研究开发出来的医药数据,往往在这样一次攻击中就被泄露或丢失。
在过去6年中,美国的政府和国防机构遭受到internet上数以百万次的攻
击。由于这些机构的安全经费不足,安全制度不健全,加上这些政府和军
事机构经常被攻击者们刺探和攻击,信息安全问题成为一场费力的战争。
虽然国防工程的承建商十分重视安全问题,但他们仍然不免成为那些为获
取机密或敏感军事资料的攻击者们的目标,因为这些资料可以向外国的组
织卖个好价钱。虽然为公众所知的只有为数不多几个案例,但这些活动值
得警惕。
跨国公司是工业间谍行为的的主要受害者。跨国公司在世界各国都有办事
机构,所以一般都会建立大型的企业网络以供雇员之间有效共享信息。
NSS小组曾为数家跨国公司做过侵入测试,发现在很多情况下这些企业
网络都是可以被驾御的。
跟医药公司一样,跨国公司日常工作都是建立在电子数据传输、元件和电
脑有关的技术上,而且已经花了巨额资金在新技术的研究和开发上。所以
对于这些公司的竞争者,雇佣一批“系统攻击者”去非法获取这些公司的
秘密资料十分有诱惑力。
竞争公司可以采用的另一种攻击的形式是使对方公司的电脑系统瘫痪一
段时间,这样就会使对方公司损失大量的收入。通常很难确定这类攻击是
从何发起。如果内部网络分段和配置的不好,这类公司会给公司带来巨大
的影响和造成巨额的财务损失。
这种“违规行为”在现在的网络社会中十分普遍,应值得我们给予高度重
视。
———————————————————–
1.2 “系统入侵者”的原形
———————————————————–
研究表明,一个典型的“系统攻击者”通常是男性,年龄大约在16至25
岁之间。这些攻击者们在开始从入侵其他系统以提高自己的破解技术,或
非授权使用网络以满足自己需要中开始对系统攻击感兴趣。大多数攻击者
们对攻击都非常有恒心,这可能是因为他们有大量的空闲时间。
大部分攻击者都是机会主义者,他们会运行许多扫描程序去查找大量的远
程主机,希望从中找出系统弱项。当找到某台机器有可以被远程攻击的弱
项后,攻击者们会尝试得到管理者权限,安装供自己以后访问的后门,然
后补好那些会远程访问安全的通常系统弱项,以阻止其他攻击者利用同样
的攻击手段攻击已经被自己“征服”了的机器。
这些机会主义者主要采用两种方法:一是internet,二是电话网络。
要在internet上进行主机远程访问弱项扫描,攻击者通常会从一个他已经
取得权限的,有高速internet连接(通常是光纤连接)的机器上启动一个
扫描程序。
要扫描使用电话网络的机器,比如终端服务器、电子公告板系统或语音信
箱服务系统等,攻击者会使用一种自动拨号程序,这种程序会自动拨一个
指定范围的大量电话号码,从中寻找可以被确认为以上电话网络系统的
“载波信号”,从而确定攻击对象。
只有很少一部分系统攻击者在发起攻击前有明确的攻击目标,这些攻击者
的技巧熟练得多,会采用最新的攻击技巧去征服一个网络。有一类攻击者
就是专门利用防火墙的未公开的漏洞和“功能”,通过企业自身在internet
上的防火墙攻击防火墙内的机器。
这些攻击者确定要攻击的网络或主机通常装载有敏感的数据,比如技术研
究开发的记录,或攻击者们认为有价值的其他数据。
这些攻击者通常会拥有大型网络安全公司或顾问公司使用的安全工具,利
用他们去寻找特定目标的所有存在的各种安全缺陷。这种专攻击特定目标
的攻击者通常也很耐心,他们会在花几个月的时间去搜集各种有关的信息
之后,才尝试侵入某一系统。
———————————————————–
2.1 众多公司的组网技术
———————————————————–
一个典型的企业会使用internet作如下用途:
作公司WEB服务的主机
通过internet提供EMAIL和其他全球通讯服务
给雇员internet服务
在NSS进行网络渗透测试的公司中,一个企业的网络通常是由被防火墙
和应用程序代理服务器分割的不同网段。
在这样的网络中,企业的WEB服务器和电子邮件服务器通常是在企业网
络的“外部”,信息通过网络内外的信任域通道来进行信息传输。
当存在外部邮件服务器和内部主机之间的信任关系时,应该采用一种考虑
周详的邮件阻隔策略。通常企业应只允许外部的邮件服务器只和特定一台
“安全”的企业内部邮件服务器的25口通信,这样就会大大降低非授权
访问的可能性,即便外部的EMAIL服务器已经被控制。
在NSS进行网络渗透的公司中,有一家公司有许多“多宿主机”的机器。
这些机器具有两个网络接口,一个连接外部网,一个连接企业内部网。从
安全的角度看,这种在两个网段同时工作的机器可能会对网络安全造成严
重的危害。当控制一台这样的机器时,它就很容易被用作入侵内部网络的
“桥”。
———————————————————–
2.2 了解此类网络系统的弱项
———————————————————–
在internet上,典型的公司可能会装有5个外部WEB服务器,2个外部
邮件服务器和1个防火墙或数据包过滤系统。一般来说WEB服务器不是
攻击者们首要的攻击目标,除非防火墙在某些方面配置失误,使攻击者能
够利用这种失误控制服务器。不过在WEB服务器上安装TCP包过滤器,
只让被信任的机器使用telnet和ftp端口等安全措施总是一个好主意。
攻击者们一般会首先选择把邮件服务器作为进入内网的攻击目标,因为邮
件服务器一定有一个在外网和公司内网之间的连接以分发和交换内外邮
件(译注:一旦控制了邮件服务器,就肯定会有进入内网的渠道)。跟
WEB攻击一样,这种攻击策略是否有效取决与防火墙或数据包过滤系统
的配置。
过滤路由器是另一个攻击者们经常选择的目标,他们会使用攻击型的
SNMP扫描器和常用的字符串“暴力攻击程序”(译注:使用穷举法试用
户名和密码)进行攻击。如果这种攻击成功的话,路由器就会被轻易设置
为从外网到内网的网桥,从而使从外部攻击内网成为可能。
在上述情况下,攻击者们会仔细权衡应该尝试攻击哪些主机,找出外网的
主机和内网的主机有怎样的信任关系。所以假如您应该在所有外网的机器
上安装TCP包过滤器,并确认只有特定被信任的机器才能连接主机的重
要端口(服务),通常有:
ftp (21), ssh (22), telnet (23), smtp (25), named (53),
pop3 (110), imap (143), rsh (514), rlogin(513), lpd (515).
SMTP, named 和 portmapper 口应根据主机在网络中的作用而适当加以
过滤。
实践表明,实行包过滤会大大降低企业内网被攻击的可能性。
在没有明确的“企业上网”政策的公司内网中,会出现“多宿主机”和配
置不当的路由器,通常也会有内网分割不清的情况,从而使系统攻击者从
internet上使用非授权访问攻击攻击企业内网更加容易。
如果企业外网DNS配置不当,则很容易使企业网络“映像”的情况(译
注:得到企业网络机主机配置情况,可为下一步攻击作准备)。当NSS
进行渗透测试时,我们能够从这样的配置不当的DNS服务器中“映像”
企业网络的。因此,在企业外网机器和内网机器间不应配置DNS,在外
网与内网机器间只使用IP地址远为安全。
在多个网络都有网络接口的机器是不安全的,利用这种不安全的机器攻击
者们可以轻易访问企业网络,他们甚至可以不用compromise这些主机。
滥用这些机器的finger forward服务是一件很轻易的事,如:可以利用它
搜集用户、主机和网络的信息,从而确认企业内网中哪些机器值得继续攻
击,甚至还可以发送对root@host, bin@host, daemon@host的finger请求
来确认主机的操作系统,从而使系统攻击更为容易。
有些攻击者使用一种“自动拨号”的技术(译注:即不断尝试拨选定号码
区间的各个电话,以寻找有载波信号的的号码,一般这些电话是企业的终
端服务器),他们一般会选择公司所在位置的电话号码区间,如大厦或网
络运行中心。
当攻击者们找到并取得终端服务器的访问权后,一般来说他们就取得了进
入企业内部网络的一定程度的访问权,这样便完全绕开了分割公司内网与
internet的各种防火墙和滤包器。所以确保终端服务器的安全至关重要,
而且应记录到终端服务器的每一次连接。
当要了解网络系统的弱点时,应谨记,您的网络主机间的信任关系。这种
信任关系可能是由TCP滤包器、host.equiv文件、.rhosts或.shosts文件等
所建立。对大型网络通常会通过利用这些信任关系来进行攻击。
举一个例子:如果一个攻击者通过CGI的漏洞查看到你的hosts.allow文
件,并发现你允许所有来自*.trusted.com 的ftp和telnet连接,这样,他
就可以通过获取*.trusted.com中任何一台主机的控制,来进攻你的机器。
所以,有必要确保所有您信任的机器与您的机器一样能抵御来自远程的攻
击。
另外一种值得一提的攻击方法就是,在企业机器中安装“后门”或“特洛
伊木马”程序(比如在一些Windows 95/98的机器上),如果公司雇员能
够通过应用程序代理或防火墙访问internet时,他们可能利用这种方便去
访问一些“软件仓库”站点并下载一些盗版软件。
这些“软件仓库”站点通常会提供一些屏保、软件工具等程序,某些这种
软件就带有“后门”或“特洛伊木马”程序,比如“死牛教派”(Cult of
the Dead Cow’s)的“Back Orifice”。当安装这些屏幕保护或其他程序
时,这些“木马”就将自己挂在系统的注册表内,并在每一次开机时启动。
在BO木马中,木马的一些选件可以使木马控制宿主机器自动完成某些操
作,比如自动连接IRC并进入特定频道,等等。这样是非常危险的,因
为木马的宿主机器很容易被internet上的远程攻击者完全控制。
对于已经获取了企业内部网的访问权的攻击者,不管是他公司内部职员或
已非法取得主机访问权,BO木马绝对会变得更加有效。采用适当的策
略,攻击者可以在个把星期内将企业中所有机器Windows 95/98机器上都
装上木马,这样他将随心所欲地从远程控制每一台机器,包括文件操作、
重启机器甚至重新格式化磁盘,这一切都可以从远程操作。
———————————————————–
3.1 攻击者的”隐身术”
———————————————————–
典型的系统攻击者一般会采用以下策略来隐藏自己的真实IP地址:
– 从已经取得控制权的主机上通过 telnet或 rsh 跳跃
– 从 windows 主机上通过 wingates 等服务进行跳跃
– 利用配置不当的代理服务器进行跳跃
当发现你的网络有被扫描的模式,而这些扫描来自被攻破的主机或代理
时,建议您通过电话联系他们的系统管理员反映掌握的问题情况。不要使
用email联系,因为攻击者们可以拦截所有发给管理员的email。
一些经验老道的攻击者会利用电话交换技巧来入侵,他们可能会采用以下
技巧:
– 通过“800号”个人电话交换服务,使用被“破解”的帐号连入ISP
来跳跃;
– 先通过拨号找寻并连入某台主机,然后通过这台主机再联入internet
来跳跃。
追踪利用电话网络跳跃技巧连入internet的攻击者是极端困难的,因为他
们可能来自世界上任何角落。如果攻击者能成功使用“800号”拨号跳跃,
他简直可以从世界上任何地方拨入而不用担心长途电话费用。
———————————————————–
3.2 网络查探和信息收集
———————————————————–
在从internet上攻击任何网络前,一个熟练的攻击者会对企业在internet
上的主机预先进行侦察。在攻击者试图获取内网和外网主机资料时,会采
用以下办法:
– 用nslookup进行“ls <子网或域>” 查询请求
– 查看WEB主机上的HTML源码来搜寻其他主机名或IP地址
– 查看FTP服务器上的有关文档
– 连接邮件服务器,作“expn ”查询请求
– 在外部主机上使用Finger服务来查找用户
攻击者一般会实现搜集网络自身的结构信息,然后才试图找出可能存在的
特定弱点。
在上述查询所得的结果的基础上,攻击者们很容易就可以获取企业内网中
一批主机名和地址列表,并可开始了解他们之间的关系。
当进行这些预扫描时,一些典型的攻击者也可能会犯下一些小错误,即在
连接到被攻击的主机的某些端口来获取操作系统版本或其他资料时,使用
了自己真实的IP地址。
所以当您发觉自己的主机被攻击时,一个好方法是:通过检查您的FTP
和HTTPD记录,找出那些不适当的请求。
———————————————————–
3.3 确定被信任网络结点
———————————————————–
攻击者会选择被信任的网络结点作为攻击对象,被信任的结点通常会是管
理者的机器,或者被认为安全的服务器。
攻击者最初会查找您机器上运行的nfsd或mountd所输出的NFS信息,
因为您的机器上的一些关键目录(比如 /usr/bin, /etc和/home等)可能
可以被mount在那些被信任的机器上。
finger守护服务通常会被滥用作确定被信任的主机或用户的工具,因为一
般来说特定的用户总是从特定的主机上登录。
然后攻击者会尝试找出其他类型的信任关系,比如当一个攻击者能够成功
利用CGI的漏洞对主机进行攻击时,他就可以访问到主机的
/etc/hosts.allow文件。
当详细分析以上获得的数据后,攻击者就可以确定选择被攻击主机间的信
任关系,下一步就是找出那些被信任的主机可能存在的漏洞,为后续的远
程攻击准备。
———————————————————–
3.4 确定有弱点网络部件
———————————————————–
当攻击者们建立了对企业网络结构的认识后,他就会使用一些linux的程
序,如AMDhack, mscan, nmap和其他一些小扫描程序,对特定主机进行
适合远程攻击的弱点扫描。
通常,这些扫描都是在那些具有快速光纤连接的机器上进行。AMDhack
在linux上运行时需要root的权限,所以一个攻击者通常会使用那些已经
被他攻入并安装了“rootkit”的机器来进行扫描。这些“rootkit”可以
利用一些关键系统程序的后门或漏洞对系统进行未授权且不被发觉的访
问。
那些启动扫描程序的主机的管理员通常根本不知道自己的机器正在对别
人的企业网进行扫描,因为看似正常的“ps”或“netstat”等进程其实
正是掩盖扫描进程的木马。
其他程序,比如mscan不需要root权限,所以能从任何linux(或其他操
作平台,当使用nmap时)机器上有效地扫描远程机器的弱点,虽然通常
这些扫描会比较慢,而且一般不会隐藏得很好(因为不像AMDhack,攻
击者不需要获得root的权限)。
AMDhack和mscan都会对远程主机进行下列几种扫描:
– 主机的TCP端口扫描
– portmapper提供的正在运行的RPC服务
– nfsd提供的外输目录表
– samba或netbios提供的共享目录表
– 多次finger来确定默认帐户存在
– CGI程序漏洞扫描
– 找寻主机运行的操作系统版本的系统守护程序的漏洞,包括sendmail,
IMAP,POP3,RPC status和RPC mountd。
现在攻击者们很少会使用SATAN,因为它太慢,而且只查找一些过期的
漏洞。
当对企业外网主机进行扫描后,攻击者可清楚的了解哪台主机安全,哪台
主机有漏洞。
当企业使用的路由器,且路由器能够使用SNMP时,一些攻击高手会利
用攻击性SNMP扫描,并对路由器进行字符串“暴力攻击”来获取设备
的公共和私有名。
———————————————————–
3.5 利用网络部件的”弱项”
———————————————————–
攻击者能够找出外网主机间的任何信任关系,也能够找出外网主机的“弱
项”。如果他确实找到了某一网络节点的漏洞,他就会尝试控制您的主机。
一个耐心的攻击者不会在正常上班时间攻击您的机器,他通常会在晚上9
点到第二天早上6点间进行攻击,这样会减少被发现的机会,也给攻击者
充裕的时间在主机安装后门、嗅侦器或木马而不用担心被系统管理员当场
识破。
大多数攻击者周末都很有空,所以一般攻击也是在那时发生。
攻击者会尝试控制一部被信任的外部主机,作为对企业内部网络攻击的跳
板。视乎企业在外网和内网主机间安装的网络过滤器的效果,这种攻击方
法可能有效,也可能无效。
当攻击者控制了一台外部的邮件服务器,从而获得了企业内部各个网段的
访问权后,他就能开始把自己深深地嵌在你的网络中。
为了控制网络的枢纽部件,攻击者们会利用一些程序从远程对企业外部主
机的系统守护程序的弱点和漏洞进行扫描,比如一些具有漏洞的
sendmail,IMAP,POP3版本,以及有缺陷的RPC服务如statd,mountd
和pcnfsd。
大多数远程攻击是从已经被攻击者控制的机器上发动的,在某些情况下攻
击程序需要在被与被攻击主机相同的系统平下重新编译。
当在远程执行对您外网主机系统守护程序攻击的程序时,攻击者通常会尝
试获得系统主机的root权限,从而用其访问到企业的内部网络。
———————————————————–
3.6 控制有漏洞的网络结点
———————————————————–
当成功控制系统守护程序后,攻击者们会“打扫战场”,修改主机访问日
志,在系统服务程序安装后门,从而使自己能够在日后进入而不被发觉。
首先他会安装后门,使自己能够在日后访问。攻击者们用的后门程序大多
已预编译,攻击者可以使用一些技巧改变安装了后门的程序的日期和访问
权限设置,有时甚至加了后门的文件的长度也可以改到与原文件一样。如
果攻击者对FTP日志文件有忧虑,他可以使用“rcp”程序来将后门程序
放到主机上。
当然这些攻击者不会修复企业网络的安全漏洞,他一般只会在关键的系统
文件上安装后门或木马程序,比如“ps”、“netstat”等,以隐藏自己
在主机上的活动。
在Solaris 2.x系统,攻击者通常会在下面一些关键的文件安装后门。
/usr/bin/login
/usr/sbin/ping
/usr/sbin/in.telnetd
/usr/sbin/in.rshd
/usr/sbin/in.rlogind
据说有些攻击者会在 /usr/bin目录下放上.rhosts文件,以允许远程的程序
可以通过rsh或csh的交互环境来启动。
攻击者们下一步一般会检查系统的日志系统,看看自己的连接和攻击过程
是否被记录,然后他会将所有自己访问系统的记录从机器种删除。如果某
台机器很有可能成为攻击的目标,则建议把日志直接输出行式打印机,因
为攻击者几乎不可能将自己的访问记录从打印的日志中删除。
当确认自己的连接没有被任何日志系统记录后,攻击者就会开始对企业网
络进行攻击。如果攻击者取得了企业内网的访问权,一般来说他们就不会
再去攻击其他的外网主机。
———————————————————–
4.1 下载敏感信息
———————————————————–
如果攻击者的目标是从企业内网的WEB服务器或FTP服务器上下载敏感
信息,他可以通过将外网的机器配置成连接内网和企业内网的“网桥”来
达到目的。
然而,如果攻击者的目标是企业内某台机器内的敏感信息,他可能会利用
已经控制了的外网机器,尝试通过机器间的信任关系来获得那台机器的访
问权。
———————————————————–
4.2 攻击其他被信任的网络
———————————————————–
许多攻击者只是重复3.2,3.3,3.4和3.5节中的步骤来查探内网资料,
获取内网访问权。视乎攻击者想要达到的目的,他或许会在内网安装后门
或木马。
如果攻击者想要完全获得内部网络主机的访问权,他可能利用3.6节介绍
的方法安装木马或后门并将自己的访问记录删除。攻击者也会在主机上安
装嗅侦器,在4.3节中会对此详细介绍。
如果攻击者只是想从特定的服务器上下载数据的话,他可能会采取其他方
法来获得内部主机的访问权,比如找出那台服务器所信任的主机,然后试
图控制那台主机。
———————————————————–
4.3 安装嗅侦器
———————————————————–
攻击者们一个十分快速和有效地获得大量内部网络主机的用户名机器密
码的方法是使用“以太网嗅侦器”(ethernet sniffer)程序。但由于这些嗅侦
器只有当攻击者和被攻击者在同一个以太网段内才有效,所以在充当网桥
的外网主机上运行嗅侦器不会有用。
要“嗅侦”内网中的数据流,攻击者必须取得一台内网主机的root权限,
而且这台主机必须与其他主机在同一个网段上。在攻击时可采用3.2,
3.3,3.4,3.5和3.6节中介绍的方法,因为攻击者必须成功在主机上取
得控制权并安装后门软件,以保证嗅侦程序能正确安装和运行。
只有当取得控制权,安装了后门,并在“ps”和“netstat”上安装木马
后,攻击者才能在主机上安装“以太网嗅侦器”。在Solaris 2.x中,这些
嗅侦程序通常会被安装在/usr/bin或/dev目录下,然后修改程序的属性以
使它看起来象其他安装的系统程序一样。
大多数“以太网嗅侦器”是在背景运行,将结果的输出到本地机器的日志
文件中。值得一提的是,攻击者通常会修改“ps”,使嗅侦的进程不被
发觉。
“以太网嗅侦器”程序将网络接口卡设置成为“无选择”模式,使之侦听
用户名,密码和其他有用的数据,并将其存入嗅侦器的日志文件。攻击者
可用这些侦听到的数据来获得到其他主机的访问权。
因为“以太网嗅侦器”是安装在以太网上,所以它可以侦听到所有在同一
网段中的数据流,而不仅仅是从宿主主机发出或发往该主机的数据。
攻击者通常会在一个星期后返回,下载嗅侦程序建立的日志文件。在这种
情况下,企业内网的某个分支里潜伏的嗅侦程序会设置得很完善,除非企
业实施了很好的网络安全措施,否则这种嗅侦器很难被发觉。
对于关心网络安全的系统管理员,有一个很好的工具叫作Tripwire,可以
从COAST中得到(见5.2节)。Tripwire在您的文件系统中制作一个
MD5的“指纹”,并能监控恶意用户或攻击者对您的文件系统进行的任
何修改。
要查找“无选择”模式的网卡(通常意味着被安装嗅侦器),CERT提
供的“cpm”工具十分有效。可以到http://www.cert.org/ftp/tools/cpm/查
找更多的信息。
———————————————————–
4.4 使网络瘫痪
———————————————————–
一些服务器运行着十分重要的应用程序,比如数据库、网络操作系统和其
他执行“关键任务”的程序。一旦攻击者获得了这些服务器的控制权,就
可以很轻易地将网络瘫痪很长一段时间。
一个攻击者不常用,但是十分残忍的摧毁网络的方法,是在运行关键服务
的主机上运行“rm -rf / &”命令(译注:删除机器上所有文件)。视乎
系统的网络备份措施是否完善,这种攻击可以使网络瘫痪几个钟头到几个
月。
如果攻击者的目的是为了进入内部网络,它可能会利用现有路由器存在的
安全漏洞,比如在Cisco,Bay和Ascend等品牌的路由器中的漏洞。在
某些情况下,攻击者可以从远方重启路由器,甚至完全关掉路由器直至系
统管理员重新启动。这样对网络的机能会造成极大程度的破坏,因为当攻
击者针对一系列执行关键网络功能的路由器(比如用来构建企业骨干网的
路由器)的漏洞进行攻击时,他可以很轻易地将网络功能瘫痪相当一段时
间。
间。
所以,对于执行“关键任务”的路由器和服务器应该经常进行升级,并且
采取一切措施确保其安全。
———————————————————–
5.1 参考阅读
———————————————————–
有许多好的文章可以帮助您维护您的内网、外网、主机、服务器等的安全。
我们推荐您访问以下站点,如果希望对大型网络和主机的安全有更深入的
了解,阅读以下书籍:
http://www.antionline.com/archives/documents/advanced/
http://www.rootshell.com/beta/documentation.html
http://seclab.cs.ucdavis.edu/papers.html
http://rhino9.ml.org/textware/
‘Practical Unix & Internet Security’
————————————
如果您以前没有读过Unix和internet安全方面的书籍,这本书是一个好
的开始。
Simson Garfinkel and Gene Spafford
O’Reilly & Associates, Inc.
ISBN 1-56592-148-8
US $39.95 CAN $56.95 (UK around 30 pounds)
———————————————————–
5.2 推荐工具和程序
———————————————————–
已经有许多免费的系统安全程序可以运行在主流的操作系统上,比如:
Solaris, IRIX, Linux, AIX, HP-UX 和 Windows NT, 要获取这些免费工具
软件和程序的更多资料,我们推荐您访问以下站点:
ftp://coast.cs.purdue.edu/pub/tools/unix/
http://www.alw.nih.gov/Security/prog-full.html
http://rhino9.ml.org/software/
网络安全方案公司(Network Security Solutions Ltd.)现在也正在开发一
种基于Unix和Windows平台的网络安全工具,预计在未来几个月后将推
出。在此期间请访问 http://www.ns2.co.uk , 并看看我们其他“精”版的
免费软件!
——————————————————————————
Copyright (c) Network Security Solutions Ltd. 1998
All rights reserved, all trademarks acknowledged
http://www.ns2.co.uk
This document may be distributed in the public domain
as long as the above copyright notices remain intact.
——————————————————————————
