讓我們研究一些方案，分析攻擊者如何發(fā)起攻擊以及如何停止或預(yù)防他們。我將首先描述兩種涉及內(nèi)部攻擊的方案（即，在組織內(nèi)部發(fā)起的攻擊），然后研究涉及外部攻擊的兩種方案。

內(nèi)部攻擊

內(nèi)部攻擊者是解密攻擊最常見的來源，因?yàn)楣�擊者具有對組織系統(tǒng)的直接訪問權(quán)。第一種方案研究的是攻擊者是心懷不滿的雇員的情況。攻擊者，一名經(jīng)驗(yàn)豐富的系統(tǒng)管理員，在工作中遇到了問題，而拿她自己管理、保護(hù)的系統(tǒng)發(fā)泄。

示例：心懷不滿的雇員

Jane Smith是一名經(jīng)驗(yàn)豐富的且在技術(shù)上有完善的記錄證明的系統(tǒng)管理員，她被公司雇傭在深夜運(yùn)行備份磁帶。您的公司，作為一家 ISP，擁有非常龐大的數(shù)據(jù)中心，大約4000多個系統(tǒng)都由一個網(wǎng)絡(luò)運(yùn)營中心（Network Operations Center）監(jiān)控。Jane和另外兩名技術(shù)人員一起工作以監(jiān)控通宵備份，并且在早班之前倒完磁帶。他們彼此獨(dú)立工作：一名技術(shù)員負(fù)責(zé)UNIX 服務(wù)器，一名技術(shù)員負(fù)責(zé)全部Novell服務(wù)器，而Jane負(fù)責(zé)Windows 2000服務(wù)器。

Jane已經(jīng)工作了六個月并且是一名后起之秀。她來得很早，走得很晚，并且曾請求轉(zhuǎn)到公司的另一個部門。問題是那時沒有空位子。在上個月，您（安全分析師）發(fā)現(xiàn) Cisco路由器和UNIX服務(wù)器上的登錄嘗試的數(shù)量有大幅增加。您實(shí)現(xiàn)了CiscoSecure ACS，所以可以對嘗試進(jìn)行審計(jì)，您發(fā)現(xiàn)它們大部分出現(xiàn)在早上3點(diǎn)鐘。

您產(chǎn)生了懷疑，但作為一名安全分析師，您不能在沒有證據(jù)的情況下到處指證。

一名優(yōu)秀的安全分析師從深入研究問題著手。您發(fā)現(xiàn)攻擊出自高手，并且出現(xiàn)在Jane 當(dāng)班期間，正好在她完成倒帶任務(wù)之后，在日班小組到來之前，她有一個小時的時間學(xué)習(xí)和閱讀。所以您決定請夜班經(jīng)理夜晚監(jiān)督 Jane。三個星期的嚴(yán)密監(jiān)督之后，您發(fā)現(xiàn)攻擊已經(jīng)停止了。您的懷疑是正確的。正是Jane試圖登錄到Cisco路由器和UNIX服務(wù)器中。

一名優(yōu)秀的安全分析師還需要使用一種好的審計(jì)工具（如Tacacs+）來記錄攻擊。Tacacs+是由諸如CiscoSecure ACS之類的應(yīng)用程序所使用的協(xié)議，該協(xié)議強(qiáng)制授權(quán)（Authorization）、可計(jì)帳性（Accountability）和認(rèn)證（Authentication）（簡稱 AAA）。如果您具有授權(quán)，則需要對請求訪問的人進(jìn)行授權(quán)以訪問系統(tǒng)。如果您具有認(rèn)證，則需要對訪問資源的用戶進(jìn)行認(rèn)證以驗(yàn)證他們是否有訪問的權(quán)利和權(quán)限。如果同時被授權(quán)和認(rèn)證會發(fā)生什么呢？您必須具有可計(jì)帳的。單獨(dú)計(jì)算登錄數(shù)通過強(qiáng)制攻擊者保持可計(jì)帳的、被認(rèn)證及被授權(quán)，從而解決了許多密碼破解問題。

接下來，我將給出一個老的（但仍廣泛使用的）攻擊示例，它就在網(wǎng)下嗅探密碼。您可以研究一下網(wǎng)絡(luò)主管的Cisco路由器和交換機(jī)是如何被公司中的Help Desk技術(shù)人員破解的。

示例：Help Desk技術(shù)人員

Tommy被雇傭擔(dān)任Help Desk技術(shù)員，他和下班后的Help Desk人員一起工作。下班后的Help Desk人員由大約10 名技術(shù)員組成，他們負(fù)責(zé)公司需要在下班期間支持的8個遠(yuǎn)程站點(diǎn)。Tommy總是帶著他的筆記本電腦上班。當(dāng)經(jīng)理問及此事時，Tommy 解釋說他用其休息時間準(zhǔn)備一個認(rèn)證考試。這似乎是無害的并得到了批準(zhǔn)，盡管公司對在未經(jīng)公司安全檢查就從外部將機(jī)器帶入公司網(wǎng)絡(luò)的行為有一條公司內(nèi)的安全制度。

最終，一個監(jiān)視器捕獲了Tommy在離開一間小配線房時在手臂下藏著某些東西。但由于無人報(bào)告丟失任何東西，無法證明Tommy犯了什么錯。當(dāng)Help Desk經(jīng)理詢問Tommy為什么出現(xiàn)在配線房時，他說誤把配線房當(dāng)成了休息室。

公司安全經(jīng)理Erika看到了由負(fù)責(zé)大樓安全的門衛(wèi)提交的報(bào)告。她想知道Tommy在配線房干什么，并且對Tommy向Help Desk 經(jīng)理的回答感到懷疑。檢查配線房時，她發(fā)現(xiàn)從其中一個配線板上垂下一根被拔下的接線電纜以及一個空的集線器端口。當(dāng)她將電纜插回去時，鏈路燈還是不亮，這意味著這是一個死端口。電纜管理員Velcro將所有其它電纜都整齊地捆綁在一起。憑著Erika 多年經(jīng)驗(yàn)以及對安全利用的敏銳意識，她確切地知道發(fā)生了什么。

Erika假設(shè)Tommy 在未被發(fā)現(xiàn)的情況下將其筆記本電腦帶入了配線房。他很有可能尋找集線器上的一個死端口，然后插上安裝了包嗅探器的筆記本電腦，該嗅探器可以不加選擇地拾取網(wǎng)段上的通信量。稍后他返回取走了電腦（被監(jiān)視器捕捉到），在保存捕捉文件后拿回家進(jìn)行分析。

使用公司的安全制度，她找到Tommy并說明了所有非法進(jìn)入公司的個人財(cái)產(chǎn)（如筆記本電腦和掌上電腦）都需要進(jìn)行檢查。由于Tommy本不該帶入他的筆記本電腦，所以將它交給了Erika。經(jīng)過仔細(xì)檢查，Erika發(fā)現(xiàn)了下列跟蹤譯碼，如圖1中所示。

圖1 使用協(xié)議分析器捕獲的telnet通信量

經(jīng)過對Sniffer Pro分析器十六進(jìn)制窗格的嚴(yán)格檢查，在圖2中的窗格的右邊清晰地顯示了ASCII數(shù)據(jù)。當(dāng)連接到配線房的交換機(jī)時，Tommy通過telnet會話連接在運(yùn)行配置。由于 telnet協(xié)議是不安全的且通過明文發(fā)送，所以很容易看到密碼“cisco”。

圖2 明文數(shù)據(jù)的ASCII譯碼

這是最基本的安全性原則之一：不要使用產(chǎn)品名稱作為密碼。但無論原則如何基本，奇怪的是還是經(jīng)常有人這樣做。

接下來，請注意某些外部威脅。