讓我們研究一些方案，分析攻擊者如何發起攻擊以及如何停止或預防他們。我將首先描述兩種涉及內部攻擊的方案（即，在組織內部發起的攻擊），然后研究涉及外部攻擊的兩種方案。

內部攻擊

內部攻擊者是解密攻擊最常見的來源，因為攻擊者具有對組織系統的直接訪問權。第一種方案研究的是攻擊者是心懷不滿的雇員的情況。攻擊者，一名經驗豐富的系統管理員，在工作中遇到了問題，而拿她自己管理、保護的系統發泄。

示例：心懷不滿的雇員

Jane Smith是一名經驗豐富的且在技術上有完善的記錄證明的系統管理員，她被公司雇傭在深夜運行備份磁帶。您的公司，作為一家 ISP，擁有非常龐大的數據中心，大約4000多個系統都由一個網絡運營中心（Network Operations Center）監控。Jane和另外兩名技術人員一起工作以監控通宵備份，并且在早班之前倒完磁帶。他們彼此獨立工作：一名技術員負責UNIX 服務器，一名技術員負責全部Novell服務器，而Jane負責Windows 2000服務器。

Jane已經工作了六個月并且是一名后起之秀。她來得很早，走得很晚，并且曾請求轉到公司的另一個部門。問題是那時沒有空位子。在上個月，您（安全分析師）發現 Cisco路由器和UNIX服務器上的登錄嘗試的數量有大幅增加。您實現了CiscoSecure ACS，所以可以對嘗試進行審計，您發現它們大部分出現在早上3點鐘。

您產生了懷疑，但作為一名安全分析師，您不能在沒有證據的情況下到處指證。

一名優秀的安全分析師從深入研究問題著手。您發現攻擊出自高手，并且出現在Jane 當班期間，正好在她完成倒帶任務之后，在日班小組到來之前，她有一個小時的時間學習和閱讀。所以您決定請夜班經理夜晚監督 Jane。三個星期的嚴密監督之后，您發現攻擊已經停止了。您的懷疑是正確的。正是Jane試圖登錄到Cisco路由器和UNIX服務器中。

一名優秀的安全分析師還需要使用一種好的審計工具（如Tacacs+）來記錄攻擊。Tacacs+是由諸如CiscoSecure ACS之類的應用程序所使用的協議，該協議強制授權（Authorization）、可計帳性（Accountability）和認證（Authentication）（簡稱 AAA）。如果您具有授權，則需要對請求訪問的人進行授權以訪問系統。如果您具有認證，則需要對訪問資源的用戶進行認證以驗證他們是否有訪問的權利和權限。如果同時被授權和認證會發生什么呢？您必須具有可計帳的。單獨計算登錄數通過強制攻擊者保持可計帳的、被認證及被授權，從而解決了許多密碼破解問題。

接下來，我將給出一個老的（但仍廣泛使用的）攻擊示例，它就在網下嗅探密碼。您可以研究一下網絡主管的Cisco路由器和交換機是如何被公司中的Help Desk技術人員破解的。

示例：Help Desk技術人員

Tommy被雇傭擔任Help Desk技術員，他和下班后的Help Desk人員一起工作。下班后的Help Desk人員由大約10 名技術員組成，他們負責公司需要在下班期間支持的8個遠程站點。Tommy總是帶著他的筆記本電腦上班。當經理問及此事時，Tommy 解釋說他用其休息時間準備一個認證考試。這似乎是無害的并得到了批準，盡管公司對在未經公司安全檢查就從外部將機器帶入公司網絡的行為有一條公司內的安全制度。

最終，一個監視器捕獲了Tommy在離開一間小配線房時在手臂下藏著某些東西。但由于無人報告丟失任何東西，無法證明Tommy犯了什么錯。當Help Desk經理詢問Tommy為什么出現在配線房時，他說誤把配線房當成了休息室。

公司安全經理Erika看到了由負責大樓安全的門衛提交的報告。她想知道Tommy在配線房干什么，并且對Tommy向Help Desk 經理的回答感到懷疑。檢查配線房時，她發現從其中一個配線板上垂下一根被拔下的接線電纜以及一個空的集線器端口。當她將電纜插回去時，鏈路燈還是不亮，這意味著這是一個死端口。電纜管理員Velcro將所有其它電纜都整齊地捆綁在一起。憑著Erika 多年經驗以及對安全利用的敏銳意識，她確切地知道發生了什么。

Erika假設Tommy 在未被發現的情況下將其筆記本電腦帶入了配線房。他很有可能尋找集線器上的一個死端口，然后插上安裝了包嗅探器的筆記本電腦，該嗅探器可以不加選擇地拾取網段上的通信量。稍后他返回取走了電腦（被監視器捕捉到），在保存捕捉文件后拿回家進行分析。

使用公司的安全制度，她找到Tommy并說明了所有非法進入公司的個人財產（如筆記本電腦和掌上電腦）都需要進行檢查。由于Tommy本不該帶入他的筆記本電腦，所以將它交給了Erika。經過仔細檢查，Erika發現了下列跟蹤譯碼，如圖1中所示。

圖1 使用協議分析器捕獲的telnet通信量

經過對Sniffer Pro分析器十六進制窗格的嚴格檢查，在圖2中的窗格的右邊清晰地顯示了ASCII數據。當連接到配線房的交換機時，Tommy通過telnet會話連接在運行配置。由于 telnet協議是不安全的且通過明文發送，所以很容易看到密碼“cisco”。

圖2 明文數據的ASCII譯碼

這是最基本的安全性原則之一：不要使用產品名稱作為密碼。但無論原則如何基本，奇怪的是還是經常有人這樣做。

接下來，請注意某些外部威脅。