|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體���,實現(xiàn)資源的全面共享和有機(jī)協(xié)作�����,使人們能夠透明地使用資源的整體能力并按需獲取信息�����。資源包括高性能計算機(jī)���、存儲資源、數(shù)據(jù)資源��、信息資源�����、知識資源、專家資源���、大型數(shù)據(jù)庫����、網(wǎng)絡(luò)�����、傳感器等�����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享��,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段���。 Internet防火墻的限制
Internet防火墻無法防范通過防火墻以外的其它途徑的攻擊。例如��,在一個被保護(hù)的網(wǎng)絡(luò)上有一個沒有限制的撥出存在����,內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過SLIP或PPP連接進(jìn)入Internet��。聰明的用戶可能會對需要附加認(rèn)證的代理服務(wù)器感到厭煩����,因而向ISP購買直接的SLIP或PPP連接����,從而試圖繞過由精心構(gòu)造的防火墻系統(tǒng)提供的安全系統(tǒng)。這就為從后門攻擊創(chuàng)造了極大的可能(圖3)����。網(wǎng)絡(luò)上的用戶們必須了解這種類型的連接對于一個有全面的安全保護(hù)系統(tǒng)來說是絕對不允許的。
圖3 繞過防火墻系統(tǒng)的連接
Internet防火墻也不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅�����。防火墻無法禁止變節(jié)者或公司內(nèi)部存在的間諜將敏感數(shù)據(jù)拷貝到軟盤或PCMCIA卡上���,并將其帶出公司���。防火墻也不能防范這樣的攻擊:偽裝成超級用戶或詐稱新雇員,從而勸說沒有防范心理的用戶公開口令或授予其臨時的網(wǎng)絡(luò)訪問權(quán)限��。所以必須對雇員們進(jìn)行教育,讓它們了解網(wǎng)絡(luò)攻擊的各種類型���,并懂得保護(hù)自己的用戶口令和周期性變換口令的必要性���。
Internet防火墻也不能防止傳送已感染病毒得軟件或文件。這是因為病毒的類型太多��,操作系統(tǒng)也有多種�����,編碼與壓縮二進(jìn)制文件的方法也各不相同�。所以不能期望Internet防火墻去對每一個文件進(jìn)行掃描��,查出潛在的病毒���。對病毒特別關(guān)心的機(jī)構(gòu)應(yīng)在每個桌面部署防病毒軟件���,防止病毒從軟盤或其它來源進(jìn)入網(wǎng)絡(luò)系統(tǒng)。
最后一點是�����,防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。數(shù)據(jù)驅(qū)動型的攻擊從表面上看是無害的數(shù)據(jù)被郵寄或拷貝到Internet主機(jī)上����。但一旦執(zhí)行就開成攻擊。例如�,一個數(shù)據(jù)型攻擊可能導(dǎo)致主機(jī)修改與安全相關(guān)的文件,使得入侵者很容易獲得對系統(tǒng)的訪問權(quán)���。后面我們將會看到�����,在堡壘主機(jī)上部署代理服務(wù)器是禁止從外部直接產(chǎn)生網(wǎng)絡(luò)連接的最佳方式����,并能減少數(shù)據(jù)驅(qū)動型攻擊的威脅��。
黑客的工具箱
要描述一個典型的黑客的攻擊是很�,因為入侵者們的技術(shù)水平和經(jīng)驗差異很大,各自的動機(jī)也不盡相同�。某些黑客只是為了挑戰(zhàn),有一些是為了給別人找麻煩��,還有一些是以圖利為目的而獲取機(jī)密數(shù)據(jù)。
信息收集
一般來講�,突破的第一步是各種形式的信息收集。信息懼收集的目的是構(gòu)造目標(biāo)機(jī)構(gòu)網(wǎng)絡(luò)的數(shù)據(jù)庫并收集駐留在網(wǎng)絡(luò)上的各個主機(jī)的有關(guān)信息�。黑客可以使用下面幾種工具來收集這些信息:
· SNMP協(xié)議,用來查閱非安全路由器的路由表��,從而了解目標(biāo)機(jī)構(gòu)網(wǎng)絡(luò)拓?fù)涞膬?nèi)部細(xì)節(jié)����。
· TraceRoute程序能夠得出到達(dá)目標(biāo)主機(jī)所要經(jīng)過的網(wǎng)絡(luò)數(shù)和路由器數(shù)。
· Whois協(xié)議是一種信息服務(wù)�,能夠提供有關(guān)所有DNS域和負(fù)責(zé)各個域的系統(tǒng)管理員數(shù)據(jù)。不過這些數(shù)據(jù)常常是過時的���。
· DNS服務(wù)器可以訪問主機(jī)的IP地址表和它們對應(yīng)的主機(jī)名��。
· Finger協(xié)議能夠提供特定主機(jī)上用戶們的詳細(xì)信息(注冊名��、電話號碼、最后一次注冊的時間等)
· Ping實用程序可以用來確定一個指定的主機(jī)的位置并確定其是否可達(dá)�。把這個簡單的工具用在掃描程序中,可以Ping網(wǎng)絡(luò)上每個可能的主機(jī)地址��,從而可以構(gòu)造出實際駐留在網(wǎng)絡(luò)上的主機(jī)的清單�����。
安全弱點的探測系統(tǒng)
收集到目標(biāo)機(jī)構(gòu)的網(wǎng)絡(luò)信息之后,黑客會探測每個主機(jī)以尋求一個安全上的弱點����。有幾種工具可能被黑客用來自動掃描駐留在網(wǎng)絡(luò)上的主機(jī):
· 由于已經(jīng)知道的服務(wù)脆弱性較少,水平高的黑客能夠?qū)懗龆绦〉某绦騺碓噲D連接到目標(biāo)主機(jī)上特定的服務(wù)端口上���。而程序的輸出則是支持可攻擊的服務(wù)的主機(jī)清單����。
· 有幾種公開的工具����,如ISS(Internet Security Scanner, Internet安全掃描程序),SATAN(Security Analysis Tool for Auditing Networks�,審計網(wǎng)絡(luò)用的安全分析工具),可以對整個域或子網(wǎng)進(jìn)行掃描并尋找安全上的漏洞�。
這些程序能夠針對不同系統(tǒng)的脆弱性確定其弱點。入侵者利用掃描收集來的信息去獲得對目標(biāo)系統(tǒng)的非法訪問權(quán)���。聰明的網(wǎng)絡(luò)管理員能夠在其網(wǎng)絡(luò)內(nèi)部使用這些工具來發(fā)現(xiàn)潛藏的安全弱點并確定那個主機(jī)需要用新的軟件補(bǔ)�����。≒atches)進(jìn)行升級���。
訪問受保護(hù)系統(tǒng)
入侵者使用主機(jī)探測的結(jié)果對目標(biāo)系統(tǒng)進(jìn)行攻擊�。獲得對受保護(hù)系統(tǒng)的訪問權(quán)后��,黑客可以有多種選擇:
· 入侵者可能試圖毀掉攻擊的痕跡���,并在受損害的系統(tǒng)上建立一個新的安全漏洞或后門��,以便在原始攻擊被發(fā)現(xiàn)后可以繼續(xù)訪問這個系統(tǒng)�。
· 入侵者可能會安全包探測器����,其包括特洛伊馬程序,用來窺探所在系統(tǒng)的活動����,收集Telnet和FTP的帳戶名和口令。黑客用這些信息可以將攻擊擴(kuò)展到其它機(jī)器�����。
· 入侵者可能會發(fā)現(xiàn)對受損系統(tǒng)有信任的主機(jī)���。這樣黑客就可以利用某個主機(jī)的這種弱點��,并將攻擊在整個機(jī)構(gòu)網(wǎng)絡(luò)上艙上展開��。
· 如果黑客能夠在受損系統(tǒng)上獲得特權(quán)訪問權(quán)限��,他���,或她就可以讀取郵件,搜索私人文件����,盜取私人文件,毀掉或毀壞重要數(shù)據(jù)�。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此�,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上、軟件上��、所用標(biāo)準(zhǔn)上......����,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展��,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。
| 
