|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)����,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體����,實現(xiàn)資源的全面共享和有機(jī)協(xié)作����,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機(jī)����、存儲資源����、數(shù)據(jù)資源����、信息資源����、知識資源、專家資源����、大型數(shù)據(jù)庫、網(wǎng)絡(luò)����、傳感器等����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段����。 獲得信息
一旦攻擊者獲得root的權(quán)限����,他將立即掃描服務(wù)器的存儲信息����。例如����,在人力資源數(shù)據(jù)庫中的文件,支付賬目數(shù)據(jù)庫和屬于上層管理的終端用戶系統(tǒng)����。在進(jìn)行這一階段的控制活動時,攻擊者在腦海中已經(jīng)有明確的目標(biāo)����。這一階段的信息獲取比偵查階段的更具有針對性,該信息只會導(dǎo)致重要的文件和信息的泄漏����。這將允許攻擊者控制系統(tǒng)。
攻擊者獲得信息的一種方法是操縱遠(yuǎn)程用戶的Web瀏覽器����。大多數(shù)的公司并沒有考慮到從HTTP流量帶來的威脅����,然而����,Web瀏覽器會帶來很嚴(yán)重的安全問題。這種問題包括Cross-frame browsing bug和Windows spoofing以及Unicode等����。瀏覽器容易發(fā)生緩沖區(qū)溢出的問題,允許攻擊者對運(yùn)行瀏覽器的主機(jī)實施拒絕服務(wù)攻擊����。一旦攻擊者能夠在局部使系統(tǒng)崩潰,他們便可以運(yùn)行腳本程序來滲透和控制系統(tǒng)����。
Cross-frame browsing bug允許懷有惡意的Web站點的制作者創(chuàng)建可以從用戶計算機(jī)上獲得信息的Web頁面����。這種情況出現(xiàn)在4.x和5.x版本的Netscape和Microsoft瀏覽器上����,這種基于瀏覽器的問題只會發(fā)生在攻擊者已經(jīng)知道文件和目錄的存儲位置時����。這種限制看起來不嚴(yán)重����,但實際上并非如此。其實����,任何攻擊者都清楚地知道缺省情況下UNIX操作系統(tǒng)的重要文件存放在(\etc)目錄下,Windows NT的文件在(\winnt)目錄下����,IIS在(\inetpub\wwwroot)目錄下等等。
大多數(shù)的攻擊者都知道操作系統(tǒng)存放文件的缺省位置����。如果部門的管理者使用Windows98操作系統(tǒng)和Microsoft Word, Excel或Access,他很可能使用\deskto\My Documents目錄����。攻擊者同樣知道\windows\start\menu\programs\startup目錄的重要性。攻擊者可能不知道誰在使用操作系統(tǒng)或文件和目錄的布局情況����。通過猜測電子表格,數(shù)據(jù)庫和字處理程序缺省存儲文件的情況����,攻擊者可以輕易地獲得信息。
雖然攻擊者無法通過瀏覽器控制系統(tǒng)����,但這是建立控制的第一步。利用Cross-frame browsing bug獲得的信息要比從網(wǎng)絡(luò)偵查和滲透階段獲得的信息更詳細(xì)����。通過閱讀文件的內(nèi)容,攻擊者會從服務(wù)器上獲得足夠的信息����,要想阻止這種攻擊手段,系統(tǒng)管理員必須從根本上重新配置服務(wù)器����。
審計UNIX文件系統(tǒng)
Root kit充斥在互聯(lián)網(wǎng)上,很難察覺并清除它們����。從本質(zhì)上來說����,root kit是一種木馬����。大多數(shù)的root kit用各種各樣的偵查和記錄密碼的程序替代了合法的ls����,su和ps程序。審計這類程序的最好方法是檢查象ls, su和ps等命令在執(zhí)行時是否正常����。大多數(shù)替代root kit的程序運(yùn)行異常,或者有不同的的文件大小����。在審計UNIX系統(tǒng)時����,要特別注意這些奇怪的現(xiàn)象。下表1列出了常見的UNIX文件的存放位置����。
文件名 | 存放位置 | / | 根目錄 | /sbin | 管理命令 | /bin | 用戶命令����;通常符號連接至/usr/bin | /usr | 大部分操作系統(tǒng) | /usr/bin | 大部分系統(tǒng)命令 | /usr/local | 本地安裝的軟件包 | /usr/include | 包含文件(用于軟件開發(fā)) | /usr/src | 源代碼 | /usr/local/src | 本地安裝的軟件包的源代碼 | /usr/sbin | 管理命令的另一個存放位置 | /var | 數(shù)據(jù)(日志文件����,假脫機(jī)文件) | /vr/log | 日志文件 | /export | 被共享的文件系統(tǒng) | /home | 用戶主目錄 | /opt | 可選的軟件 | /tmp | 臨時文件 | /proc | 虛擬的文件系統(tǒng)����,用來訪問內(nèi)核變量 |
審計Windows NT
下列出了在Windows NT中通常文件的存放位置
文件名 | 位置 | \winnt | 系統(tǒng)文件目錄;包含regedit.exe和注冊表日志 | \winnt\system32 | 包含許多子目錄����,包括config(存放security.log,event.log和application.log文件) | \winnt\profiles | 存放與所有用戶相關(guān)的信息����,包括管理配置文件 | \winnt\system32\config | 包含SAM和SAM.LOG文件,NT注冊表還包含密碼值 | \inetpub | 缺省情況下����,包含IIS4.0的文件����,包括\ftproot,\wwwroot | \program files | 服務(wù)器上運(yùn)行的大多數(shù)程序的安裝目錄 |
L0phtCrack工具
L0phtCrack被認(rèn)為是對系統(tǒng)攻擊和防御的有效工具����。它對于進(jìn)行目錄攻擊和暴力攻擊十分有效����。它對于破解沒有使用像����!@#¥%^&*()等特殊字符的密碼非常迅速。L0phtCrack可以從http://www.l0pht.com上獲得����。
L0pht使用文字列表對密碼進(jìn)行字典攻擊,如果字典攻擊失敗����,它會繼續(xù)使用暴力攻擊。這種組合可以快速獲得密碼����。L0pht可以在各種各樣的情況下工作。你可以指定IP地址來攻擊Windows NT系統(tǒng)����。然而����,這種方式需要首先登錄到目標(biāo)機(jī)器����。L0pht還可以對SAM數(shù)據(jù)庫文件進(jìn)行攻擊。管理員從\winnt\repair目錄拷貝出SAM賬號數(shù)據(jù)庫����。第三中方式是配置運(yùn)行L0pht的計算機(jī)嗅探到密碼。L0pht可以監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)陌艽a的會話包����,然后對其進(jìn)行字典攻擊����。這種方式使用L0pht需要在類似Windows NT這樣的操作系統(tǒng)之上,并且你還需要物理地處于傳輸密碼的兩個操作系統(tǒng)之間����。
John the Ripper和Crack是在基于UNIX的操作系統(tǒng)上常見的暴力破解密碼的程序。這兩個工具被用來設(shè)計從UNIX上獲取密碼����。所有版本的UNIX操作系統(tǒng)都將用戶賬號數(shù)據(jù)庫存放在/etc/passwd或/etc/shadow文件中����。這些文件在所有UNIX系統(tǒng)中存放在相同的位置����。為了使UNIX正常運(yùn)行,每個用戶都必須有讀取該文件的權(quán)限����。
John the Ripper和Crack是最常見的從shadow和passwd文件中獲得密碼的程序����。這些工具將所有的密碼組合與passwd或shadow文件中加密的結(jié)果進(jìn)行比較。一旦發(fā)現(xiàn)有吻合的結(jié)果就說明找到了密碼����。
在你審計UNIX操作系統(tǒng)時,請注意類似的問題����。雖然許多掃描程序,如NetRecon和ISS Internet Scanner可以模仿這種工具類型����,許多安全專家還是使用像L0pht和John the Ripper來實施審計工作����。
信息重定向
一旦攻擊者控制了系統(tǒng)����,他便可以進(jìn)行程序和端口轉(zhuǎn)向。端口轉(zhuǎn)向成功后����,他們可以操控連接并獲得有價值的信息。例如����,有些攻擊者會禁止像FTP的服務(wù),然后把FTP的端口指向另一臺計算機(jī)����。那臺計算機(jī)會收到所有原來那臺主機(jī)的連接和文件。
相似的攻擊目標(biāo)還包括重定向SMTP端口����,它也允許攻擊者獲得重要的信息。例如����,攻擊者可以獲得所有使用SMTP來傳送E-mail賬號的電子商務(wù)服務(wù)器的信息����。即使這些傳輸被加密����,攻擊者還是可以獲得這些傳輸?shù)男畔⒉⒂米值涔暨@些信息。
通常����,攻擊者滲透你的操作系統(tǒng)的目的是通過它來滲透到網(wǎng)絡(luò)上其它的操作系統(tǒng)。例如����,NASA服務(wù)器是攻擊者通常的攻擊目標(biāo)����,不僅因為他們想要獲取該服務(wù)器上的信息,更主要的是許多組織都和該服務(wù)器有信任的連接關(guān)系����,比如Department of Defense。
因此����,許多情況下����,攻擊者希望攻擊其它的系統(tǒng)����。為了防止類似的情況發(fā)生,美國政府要求那些直接連到政府部門的公司必須按照Rainbow Series的標(biāo)準(zhǔn)來實施管理����。從1970年開始,該系列標(biāo)準(zhǔn)幫助系統(tǒng)確定誰可以安全的連接����。這個系列中最長被使用的是Department of Defense Trusted Computer System Evaluation Criteria����,該文件被成為Orange Book。例如����,C2標(biāo)準(zhǔn)是由Orange Book衍生出來并被用來實施可以信任的安全等級。這個等級是C2管理服務(wù)(C2Config.exe)在Microsoft NT的服務(wù)補(bǔ)丁基礎(chǔ)上提供的����。 控制方法 新的控制方法層出不窮����,原因有以下幾個����。首先是因為系統(tǒng)的升級不可避免的會開啟新的安全漏洞,二是少數(shù)黑客極有天賦����,他們不斷開發(fā)出新的工具。大多數(shù)的UNIX操作系統(tǒng)都有C語言的編譯器����,攻擊者可以建立和修改程序。這一部分討論一些允許你控制系統(tǒng)的代表性程序����。
系統(tǒng)缺省設(shè)置
缺省設(shè)置是指計算機(jī)軟硬件“Out-of-the-box”的配置����,便于廠商技術(shù)支持����,也可能是因為缺乏時間或忽略了配置����。攻擊者利用這些缺省設(shè)置來完全控制系統(tǒng)����。雖然改變系統(tǒng)的缺省設(shè)置非常容易,但許多管理員卻忽視了這種改變����。其實,改變?nèi)笔≡O(shè)置可以極大地增強(qiáng)操作系統(tǒng)的安全性����。
合法及非法的服務(wù),守護(hù)進(jìn)程和可裝載的模塊
Windows NT運(yùn)行服務(wù)����,UNIX運(yùn)行守護(hù)進(jìn)程,Novell操作系統(tǒng)運(yùn)行可裝載的模塊����。這些守護(hù)進(jìn)程可以被用來破壞操作系統(tǒng)的安全架構(gòu)。例如����,Windows NT的定時服務(wù)以完全控制的權(quán)限來執(zhí)行。如果用戶開啟了定時服務(wù)����,他就有可能運(yùn)行其它的服務(wù),(例如����,域用戶管理器),從而使用戶更容易控制系統(tǒng)����。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此����,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上、軟件上����、所用標(biāo)準(zhǔn)上......,各項技術(shù)都需要適時應(yīng)勢����,對應(yīng)發(fā)展����,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。
|
