|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 獲得信息 一旦攻擊者獲得root的權(quán)限,他將立即掃描服務(wù)器的存儲信息。例如,在人力資源數(shù)據(jù)庫中的文件,支付賬目數(shù)據(jù)庫和屬于上層管理的終端用戶系統(tǒng)。在進(jìn)行這一階段的控制活動(dòng)時(shí),攻擊者在腦海中已經(jīng)有明確的目標(biāo)。這一階段的信息獲取比偵查階段的更具有針對性,該信息只會導(dǎo)致重要的文件和信息的泄漏。這將允許攻擊者控制系統(tǒng)。 攻擊者獲得信息的一種方法是操縱遠(yuǎn)程用戶的Web瀏覽器。大多數(shù)的公司并沒有考慮到從HTTP流量帶來的威脅,然而,Web瀏覽器會帶來很嚴(yán)重的安全問題。這種問題包括Cross-frame browsing bug和Windows spoofing以及Unicode等。瀏覽器容易發(fā)生緩沖區(qū)溢出的問題,允許攻擊者對運(yùn)行瀏覽器的主機(jī)實(shí)施拒絕服務(wù)攻擊。一旦攻擊者能夠在局部使系統(tǒng)崩潰,他們便可以運(yùn)行腳本程序來滲透和控制系統(tǒng)。 Cross-frame browsing bug允許懷有惡意的Web站點(diǎn)的制作者創(chuàng)建可以從用戶計(jì)算機(jī)上獲得信息的Web頁面。這種情況出現(xiàn)在4.x和5.x版本的Netscape和Microsoft瀏覽器上,這種基于瀏覽器的問題只會發(fā)生在攻擊者已經(jīng)知道文件和目錄的存儲位置時(shí)。這種限制看起來不嚴(yán)重,但實(shí)際上并非如此。其實(shí),任何攻擊者都清楚地知道缺省情況下UNIX操作系統(tǒng)的重要文件存放在(\etc)目錄下,Windows NT的文件在(\winnt)目錄下,IIS在(\inetpub\wwwroot)目錄下等等。 大多數(shù)的攻擊者都知道操作系統(tǒng)存放文件的缺省位置。如果部門的管理者使用Windows98操作系統(tǒng)和Microsoft Word, Excel或Access,他很可能使用\deskto\My Documents目錄。攻擊者同樣知道\windows\start\menu\programs\startup目錄的重要性。攻擊者可能不知道誰在使用操作系統(tǒng)或文件和目錄的布局情況。通過猜測電子表格,數(shù)據(jù)庫和字處理程序缺省存儲文件的情況,攻擊者可以輕易地獲得信息。 雖然攻擊者無法通過瀏覽器控制系統(tǒng),但這是建立控制的第一步。利用Cross-frame browsing bug獲得的信息要比從網(wǎng)絡(luò)偵查和滲透階段獲得的信息更詳細(xì)。通過閱讀文件的內(nèi)容,攻擊者會從服務(wù)器上獲得足夠的信息,要想阻止這種攻擊手段,系統(tǒng)管理員必須從根本上重新配置服務(wù)器。 審計(jì)UNIX文件系統(tǒng) Root kit充斥在互聯(lián)網(wǎng)上,很難察覺并清除它們。從本質(zhì)上來說,root kit是一種木馬。大多數(shù)的root kit用各種各樣的偵查和記錄密碼的程序替代了合法的ls,su和ps程序。審計(jì)這類程序的最好方法是檢查象ls, su和ps等命令在執(zhí)行時(shí)是否正常。大多數(shù)替代root kit的程序運(yùn)行異常,或者有不同的的文件大小。在審計(jì)UNIX系統(tǒng)時(shí),要特別注意這些奇怪的現(xiàn)象。下表1列出了常見的UNIX文件的存放位置。
審計(jì)Windows NT 下列出了在Windows NT中通常文件的存放位置
L0phtCrack工具 L0phtCrack被認(rèn)為是對系統(tǒng)攻擊和防御的有效工具。它對于進(jìn)行目錄攻擊和暴力攻擊十分有效。它對于破解沒有使用像!@#¥%^&*()等特殊字符的密碼非常迅速。L0phtCrack可以從http://www.l0pht.com上獲得。 L0pht使用文字列表對密碼進(jìn)行字典攻擊,如果字典攻擊失敗,它會繼續(xù)使用暴力攻擊。這種組合可以快速獲得密碼。L0pht可以在各種各樣的情況下工作。你可以指定IP地址來攻擊Windows NT系統(tǒng)。然而,這種方式需要首先登錄到目標(biāo)機(jī)器。L0pht還可以對SAM數(shù)據(jù)庫文件進(jìn)行攻擊。管理員從\winnt\repair目錄拷貝出SAM賬號數(shù)據(jù)庫。第三中方式是配置運(yùn)行L0pht的計(jì)算機(jī)嗅探到密碼。L0pht可以監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)陌艽a的會話包,然后對其進(jìn)行字典攻擊。這種方式使用L0pht需要在類似Windows NT這樣的操作系統(tǒng)之上,并且你還需要物理地處于傳輸密碼的兩個(gè)操作系統(tǒng)之間。 John the Ripper和Crack是在基于UNIX的操作系統(tǒng)上常見的暴力破解密碼的程序。這兩個(gè)工具被用來設(shè)計(jì)從UNIX上獲取密碼。所有版本的UNIX操作系統(tǒng)都將用戶賬號數(shù)據(jù)庫存放在/etc/passwd或/etc/shadow文件中。這些文件在所有UNIX系統(tǒng)中存放在相同的位置。為了使UNIX正常運(yùn)行,每個(gè)用戶都必須有讀取該文件的權(quán)限。 John the Ripper和Crack是最常見的從shadow和passwd文件中獲得密碼的程序。這些工具將所有的密碼組合與passwd或shadow文件中加密的結(jié)果進(jìn)行比較。一旦發(fā)現(xiàn)有吻合的結(jié)果就說明找到了密碼。 在你審計(jì)UNIX操作系統(tǒng)時(shí),請注意類似的問題。雖然許多掃描程序,如NetRecon和ISS Internet Scanner可以模仿這種工具類型,許多安全專家還是使用像L0pht和John the Ripper來實(shí)施審計(jì)工作。 信息重定向 一旦攻擊者控制了系統(tǒng),他便可以進(jìn)行程序和端口轉(zhuǎn)向。端口轉(zhuǎn)向成功后,他們可以操控連接并獲得有價(jià)值的信息。例如,有些攻擊者會禁止像FTP的服務(wù),然后把FTP的端口指向另一臺計(jì)算機(jī)。那臺計(jì)算機(jī)會收到所有原來那臺主機(jī)的連接和文件。 相似的攻擊目標(biāo)還包括重定向SMTP端口,它也允許攻擊者獲得重要的信息。例如,攻擊者可以獲得所有使用SMTP來傳送E-mail賬號的電子商務(wù)服務(wù)器的信息。即使這些傳輸被加密,攻擊者還是可以獲得這些傳輸?shù)男畔⒉⒂米值涔暨@些信息。 通常,攻擊者滲透你的操作系統(tǒng)的目的是通過它來滲透到網(wǎng)絡(luò)上其它的操作系統(tǒng)。例如,NASA服務(wù)器是攻擊者通常的攻擊目標(biāo),不僅因?yàn)樗麄兿胍@取該服務(wù)器上的信息,更主要的是許多組織都和該服務(wù)器有信任的連接關(guān)系,比如Department of Defense。 因此,許多情況下,攻擊者希望攻擊其它的系統(tǒng)。為了防止類似的情況發(fā)生,美國政府要求那些直接連到政府部門的公司必須按照Rainbow Series的標(biāo)準(zhǔn)來實(shí)施管理。從1970年開始,該系列標(biāo)準(zhǔn)幫助系統(tǒng)確定誰可以安全的連接。這個(gè)系列中最長被使用的是Department of Defense Trusted Computer System Evaluation Criteria,該文件被成為Orange Book。例如,C2標(biāo)準(zhǔn)是由Orange Book衍生出來并被用來實(shí)施可以信任的安全等級。這個(gè)等級是C2管理服務(wù)(C2Config.exe)在Microsoft NT的服務(wù)補(bǔ)丁基礎(chǔ)上提供的。 控制方法 新的控制方法層出不窮,原因有以下幾個(gè)。首先是因?yàn)橄到y(tǒng)的升級不可避免的會開啟新的安全漏洞,二是少數(shù)黑客極有天賦,他們不斷開發(fā)出新的工具。大多數(shù)的UNIX操作系統(tǒng)都有C語言的編譯器,攻擊者可以建立和修改程序。這一部分討論一些允許你控制系統(tǒng)的代表性程序。系統(tǒng)缺省設(shè)置 缺省設(shè)置是指計(jì)算機(jī)軟硬件“Out-of-the-box”的配置,便于廠商技術(shù)支持,也可能是因?yàn)槿狈r(shí)間或忽略了配置。攻擊者利用這些缺省設(shè)置來完全控制系統(tǒng)。雖然改變系統(tǒng)的缺省設(shè)置非常容易,但許多管理員卻忽視了這種改變。其實(shí),改變?nèi)笔≡O(shè)置可以極大地增強(qiáng)操作系統(tǒng)的安全性。 合法及非法的服務(wù),守護(hù)進(jìn)程和可裝載的模塊 Windows NT運(yùn)行服務(wù),UNIX運(yùn)行守護(hù)進(jìn)程,Novell操作系統(tǒng)運(yùn)行可裝載的模塊。這些守護(hù)進(jìn)程可以被用來破壞操作系統(tǒng)的安全架構(gòu)。例如,Windows NT的定時(shí)服務(wù)以完全控制的權(quán)限來執(zhí)行。如果用戶開啟了定時(shí)服務(wù),他就有可能運(yùn)行其它的服務(wù),(例如,域用戶管理器),從而使用戶更容易控制系統(tǒng)。 網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個(gè)人學(xué)習(xí)測試使用,請?jiān)谙螺d后24小時(shí)內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請支持購買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請及時(shí)通知我們(),我們會及時(shí)處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機(jī)站 關(guān)于本站
