3 、漏洞利用
现在到了开始动手的时候了!破坏花样实在繁多,在此择优列举如下:通过在输入项目中写入壳命令字符串( shell command
)来考验 CGI
脚本的安全性;通过发送大量数据以确定是否存在臭名昭著的缓冲区溢出漏洞;尝试使用简单口令破解登录障碍。当然,混合使用多种方式是攻占成功的不二法门。
4 、站稳脚跟
对于入侵者而言,一旦成功地入侵了网络中的一台机器,就可以说是站稳脚跟了。入侵者现在要做的就是隐藏入侵痕迹并制造日后再攻的后门,这就需要对日志文件或其他系统文件进行改造,或者安装上木马程序、或者替换系统文件为后门程序。这时,
SIV
(系统完整性检测)系统会注意到这些文件的变化。由于内部网络中的安全措施通常都比较少,进一步地,入侵者将以这第一台机器作为跳板,攻击网络中的其他机器,寻找下一个安身之家。
5 、享受成果
到此,入侵者可以说是完成了攻击任务,剩下的就是享受成果了:或者对窃取的秘密文件肆意使用、或者滥用系统资源、或者篡改 Web
页面内容,甚至将你的机器作为跳板攻击其他机器。
以上讨论是的有目的入侵者的通常行为。还有一种入侵场景通常被称为
“birthday attack” ,我想其含义是模拟生日时接收到许多熟人或者未知朋友的礼物吧,不过用在这里还要在礼物前加上 “
攻击 ” 两字了。 Birthday attack 的一般步骤是:随机搜索一个 Internet
地址;搜索其上是否有指定的漏洞;如果有,根据已知的漏洞利用方法进行攻击。计算机网络中的漏洞实在太多了,初级入侵者别通过这个方法练手噢
:-)
问:入侵有哪些方式?
1 、探测
探测方式有很多,包括 ping
扫描、探测操作系统类别、系统及应用软件的弱帐号扫描、侦探电子邮件、 TCP/UDP 端口扫描、探测 Web 服务器 CGI
漏洞等。
2 、漏洞利用
指入侵者利用系统的隐藏功能或漏洞尝试取得系统控制权。主要包括:
CGI 漏洞:编写
CGI 程序需要考虑得非常完善才有可能避免安全威胁。入侵者经常要尝试访问系统中的一些具有知名漏洞的 CGI
程序,以期寻找到突破口。这些 CGI 程序有: TextCounter 、 GuestBook 、 EWS 、 info2www 、
Count.cgi 、 handler 、 webdist.cgi 、 php.cgi 、 files.pl 、
nph-test-cgi 、 nph-publish 、 AnyForm 、 FormMail
。如果我们没有使用这些文件却发现有人正在频繁地访问其中之一,就可以清楚地断明一个入侵行为正在进行了。
Web
服务器漏洞:比如文件名中包含一系列 “../” 字符串从而可以访问系统中的任意文件; URL 路径后添加上 “::$DATA”
就可以查看脚本源代码。
Web 浏览器漏洞:这方面的漏洞涉及面同样很广,冲浪者绝不能掉以轻心。比如可能导致缓冲区溢出或执行
.LNK 命令的 URL 、畸形的 HTTP header 内容、 MIME 类型溢出(例如 Netscape
浏览器的命令)、总是有漏可乘的 javascript 脚本(例如利用文件上传功能创建后门程序)、偶尔犯些错误的 Java
代码以及现在更为厉害、更为猖獗的 ActiveX 组件。
STMP 漏洞:比如利用缓冲区溢出攻击 STMP 、使用 VRFY
命令搜索用户名称。
IMAP 漏洞: IMAP 即 Internet 信息控制协议( Internet Message
Access Protocol ),是指从邮件服务器上获取 Email 信息或直接收取邮件的协议。传统的 POP3
收信过程中,用户无法得知邮件的具体信息,只有在邮件全部下载到硬盘后,才能慢慢地浏览或删除,用户几乎没有对邮件的控制决定权。 IMAP
解决的就是这个问题。但是许多流行的 IMAP 服务器都存在重大漏洞。
IP
地址欺骗:由于路由选择不需要判断来源地址,因此入侵者就可将 IP
数据包的来源地址替换为伪造地址以期隐藏其攻击地点。而且,由于是伪造的来源地址,入侵者也不会接收到目标机器的返回通讯信息,真正做到了
“ 攻不还手 ” 。
缓冲区溢出:除了前面提及的缓冲区溢出种类外,还有 DNS 溢出(超长 DNS 名字发送给服务器)、
statd 溢出(超长文件名)。
3 、 DoS 或 DDoS (拒绝服务攻击或分布式拒绝服务攻击)
这种攻击是真正的
“ 损人不利己 ” ,不需要别人的数据,只想等别人出错看热闹。这种攻击行为越来越多,是不是因为这种人也越来越 ...... 常见的
DoS 有死亡之 Ping 、 SYN 湮没、 Land 攻击。
问: NIDS
检测到一个入侵行为后做什么?
当发现一个入侵行为后, NIDS 系统将采取诸多有力措施对付攻击,这主要包括:
*
重新配置防火墙禁止入侵者 IP 地址进入
* 播放一段 .WAV 音乐提醒管理者
* 发送 SNMP TRAP
信息包到管理控制台
* 将事件记录到系统日志文件中
* 给管理员发送电子邮件通知入侵正在发生
*
以寻呼方式( BP 机)告知管理员
* 保存攻击信息,如攻击时间、入侵者 IP 地址、受害者 IP
地址及端口、协议信息、相关数据包
* 启动特殊程序处理入侵事件
* 伪造 TCP FIN
信息包强制结束连接,避免悲剧继续上演
问:除了 IDS 外,还有什么入侵对策?
1 、防火墙
有种观点说:防火墙是安全护卫的第一道防线,只要突破它,入侵者将随意驰骋被突破的网络。但是更好的说法应该是:防火墙是安全护卫的最后一道防线,在正确配置机器及良好运行入侵检测系统的前提下,用防火墙来避免
script kiddies
的幼稚和简单的攻击。有两点要注意:一是现在的许多路由器都可以配置成防火墙的过滤功能;二是防火墙通常只能抵抗外部攻击,对于内部破坏则显得力不从心。
2 、口令验证系统
保证口令验证系统的稳固性是另外一个要采取的措施。或者采用系统内置的口令验证策略,比如 Win2K
的 Kerberos 验证,或者考虑购买单独产品以整合进增强的口令系统,比如 RADIUS (远程认定拨号用户服务)或 TACACS
( TACACS 是用于 UNIX
系统上有历史的认证协议,它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统)。这些验证系统都有助于消除
Telnet 、 ftp 、 IMAP 或 POP 等协议带来的明文口令问题。
3 、虚拟专用网 VPN
VPN
通过 Internet 为远程访问创建安全的连接管道环境,其中使用的主要协议有 PPTP 和 Ipsec 。 PPTP 即 PPP
over TCP ,使用它就可以为一台机器分配 2 个 IP 地址,一个用于 Internet ,另一个用于虚拟网。 Ipsec 是
Win2K 系统的新协议,它提高了传统 IP 协议的安全性。然而 VPN
也有其明显的弱点,虽然管道本身经过验证和加密处理是安全的,但是管道的两端却是开放的,这就可能造成入侵者从一个被安装了后门的家庭用户机器上大摇大摆地遛进安全管道、不被检查地访问内部网。
4 、加密系统
随着个人隐私权的不断被重视,加密系统现在越来越 “ 时髦 ” 了。加密邮件可以使用 PGP (
Pretty Good Privacy )和 SMIME (加密专用多用途 Internet 邮件扩展),加密文件也可以使用 PGP
,加密文件系统可以使用 BestCrypt 或者还是 PGP 。
问: IDS 系统应该安放到网络的什么部位?
1
、网络主机
在非混杂模式网络中,可以将 NIDS 系统安装在主机上,从而监测位于同一交换机上的机器间是否存在攻击现象。
2 、网络边界
IDS
非常适合于安装在网络边界处,例如防火墙的两端、拨号服务器附近以及到其他网络的连接处。由于这些位置的带宽都不很高,所以 IDS
系统可以跟上通讯流的速度。
3 、广域网中枢
由于经常发生从偏僻地带攻击广域网核心位置的案件以及广域网的带宽通常不很高,在广域网的骨干地段安装 IDS
系统也显得日益重要。
4 、服务器群
服务器种类不同,通讯速度也不同。对于流量速度不是很高的应用服务器,安装 IDS
是非常好的选择;对于流量速度快但又特别重要的服务器,可以考虑安装专用 IDS 系统进行监测。
5 、局域网中枢
IDS 系统通常都不能很好地应用于局域网,因为它的带宽很高, IDS
很难追上狂奔的数据流、不能完成重新构造数据包的工作。如果必须使用,那么就不能对 IDS
的性能要求太高,一般达到检测简单攻击的目的就应该心满意足。
问: IDS 如何与网络中的其他安全措施相配合?
1
、建立不断完善的安全策略。这一点异常重要!谁负责干什么?发生了入侵事件后怎么干?有了这些,就有了正确行动的指南。
2
、根据不同的安全要求,合理放置防火墙。例如,放在内部网和外部网之间、放在服务器和客户端之间、放在公司网络和合作伙伴网络之间。
3
、使用网络漏洞扫描器检查防火墙的漏洞。
4
、使用主机策略扫描器确保服务器等关键设备的最大安全性,比如看看它们是否已经打了最新补丁。
5 、使用 NIDS
系统和其他数据包嗅探软件查看网络上是否有 “ 黑 ” 流涌动。
6 、使用基于主机的 IDS
系统和病毒扫描软件对成功的入侵行为作标记。
7 、使用网络管理平台为可疑活动设置报警。最起码的,所有的 SNMP
设备都应该能够发送 “ 验证失败 ” 的 trap 信息,然后由管理控制台向管理员报警。
问:如何检测网络上有人在使用
NIDS 系统?
NIDS 系统实际上就是一个嗅探器( sniffer
),因此,任何标准的嗅探器检测工具都可用于发现它的存在。这些工具有:
1 、 AntiSniff (
http://www.l0pht.com/antisniff/ )
2 、 neped (
http://www.securiteam.com/tools/Neped_-_Detect_sniffers_on_your_local_network.html
)
3 、 Sentinel (
http://www.packetfactory.net/Projects/sentinel/ )
4 、 ifstatus
( ftp://andrew.triumf.ca/pub/security/ifstatus2.0.tar.gz )
问:如何提高 WinNT/Win2K
系统的入侵保护程度?
关于这个问题已经有许多诸葛亮出过谋划过策,在此我将选择重点并按考虑顺序列举如下:
1 、访问
http://www.microsoft.com/security/ 下载并安装最新的 SP 和 hotfix 。
2
、安装时文件系统选择 NTFS 格式,并且每个磁盘都使用 NTFS (不要启动盘是 FAT ,其他盘是 NTFS )。 NTFS
不仅仅可以实现对单个文件和单个目录的权限设置,还可以对它们进行审计。
3 、创建一个新的管理员帐号,将
administrator 的功能限制到最小以设置陷阱,观察是否有人试图盗用其权限;禁止 guest 帐号或者将 guest
帐号改名并创建一个新的 guest 帐号,目的同样是监测是否有人试图使用它入侵系统。
4 、去掉对
%systemroot%/system32 目录的默认权限: Everyone/ 写。
5 、启动 REGEDT32
程序打开 “HKEY_LOCAL_MACHINE\Security” 项,以检测远程注册表浏览行为。
6
、安装系统时默认目录不要选择 “c:\winnt” ,让入侵者费些心思猜测系统文件的位置。还有一个更好的方法是:首先安装在
c:\winnt 目录下,然后重新安装系统到其他目录,并且对 c:\winnt 目录添加审计功能,这样就可以监测是否有人想访问
c:\winnt 目录了。正所谓真真假假、假假真真,你在不断窥视、我设陷阱无数。
7
、启动分区只存放系统文件,数据和应用程序放到其他分区,甚至将数据和应用程序也分区存放。总之,隔离是避免 “ 火烧联营 ”
的最好方法。
上一篇:网络安全入侵检测实战之全面问答(一)
下一篇:网络安全入侵检测实战之全面问答(三)
【本站声明】本站刊载的部分内容全部来源互联网,对于此类文章本站仅提供交流平台,不为其版权负责。如涉及侵犯您的知识产权的文章,请联系我们,我们将尽快做出更正。并向您表示感谢!同时特别感谢对本站所有支持的网友。
