黑客攻擊常見方法及安全策略製訂
一旦黑客定位了你的網絡,他通常會選定一個目標進行滲透。通常這個目標會是安全漏洞最多或是他擁有最多攻擊工具的主機。非法入侵係統的方法有很多,你應當對這些方法引起注意。
常見攻擊類型和特征
攻擊特征是攻擊的特定指紋。入侵監測係統和網絡掃描器就是根據這些特征來識別和防範攻擊的。下麵簡要回顧一些特定地攻擊滲透網絡和主機的方法。
常見的攻擊方法
你也許知道許多常見的攻擊方法,下麵列出了一些:
• 字典攻擊:黑客利用一些自動執行的程序猜測用戶命和密碼,審計這類攻擊通常需要做全麵的日誌記錄和入侵監測係統(IDS)。
• Man-in-the-middle攻擊:黑客從合法的傳輸過程中嗅探到密碼和信息。防範這類攻擊的有效方法是應用強壯的加密。
• 劫持攻擊:在雙方進行會話時被第三方(黑客)入侵,黑客黑掉其中一方,並冒充他繼續與另一方進行會話。雖然不是個完全的解決方案,但強的驗證方法將有助於防範這種攻擊。
• 病毒攻擊:病毒是能夠自我複製和傳播的小程序,消耗係統資源。在審計過程中,你應當安裝最新的反病毒程序,並對用戶進行防病毒教育。
• 非法服務:非法服務是任何未經同意便運行在你的操作係統上的進程或服務。你會在接下來的課程中學到這種攻擊。
• 拒絕服務攻擊:利用各種程序(包括病毒和包發生器)使係統崩潰或消耗帶寬。
容易遭受攻擊的目標
最常遭受攻擊的目標包括路由器、數據庫、Web和FTP服務器,和與協議相關的服務,如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標。
路由器
連接公網的路由器由於被暴露在外,通常成為被攻擊的對象。許多路由器為便於管理使用SNMP協議,尤其是SNMPv1,成為潛在的問題。許多網絡管理員未關閉或加密Telnet會話,若明文傳輸的口令被截取,黑客就可以重新配置路由器,這種配置包括關閉接口,重新配置路由跳計數等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進行終端會話。
過濾Telnet
為了避免未授權的路由器訪問,你應利用防火牆過濾掉路由器外網的telnet端口和SNMP[161,162]端口
技術提示:許多網絡管理員習慣於在配置完路由器後將Telnet服務禁止掉,因為路由器並不需要過多的維護工作。如果需要額外的配置,你可以建立物理連接。
路由器和消耗帶寬攻擊
最近對Yahoo、e-Bay等電子商務網站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分布式拒絕服務攻擊工具發起的:
• Tribal Flood Network(TFN)
• Tribal Flood Network(TFN2k)
• Stacheldraht(TFN的一個變種)
• Trinoo(這類攻擊工具中最早為人所知的)
因為許多公司都由ISP提供服務,所以他們並不能直接訪問路由器。在你對係統進行審計時,要確保網絡對這類消耗帶寬式攻擊的反映速度。你將在後麵的課程中學習如何利用路由器防範拒絕服務攻擊。
數據庫
黑客最想得到的是公司或部門的數據庫。現在公司普遍將重要數據存儲在關係型或麵向對象的數據庫中,這些信息包括:
• 雇員數據,如個人信息和薪金情況。
• 市場和銷售情況。
• 重要的研發信息。
• 貨運情況。
黑客可以識別並攻擊數據庫。每種數據庫都有它的特征。如SQL Server使用1433/1434端口,你應該確保防火牆能夠對該種數據庫進行保護。你會發現,很少有站點應用這種保護,尤其在網絡內部。
服務器安全
WEB和FTP這兩種服務器通常置於DMZ,無法得到防火牆的完全保護,所以也特別容易遭到攻擊。Web和FTP服務通常存在的問題包括:
• 用戶通過公網發送未加密的信息;
• 操作係統和服務存在眾所周知的漏洞導致拒絕服務攻擊或破壞係統;
• 舊有操作係統中以root權限初始運行的服務,一旦被黑客破壞,入侵者便可以在產生的命令解釋器中運行任意的代碼。
Web頁麵塗改
近來,未經授權對Web服務器進行攻擊並塗改缺省主頁的攻擊活動越來越多。許多企業、政府和公司都遭受過類似的攻擊。有時這種攻擊是出於政治目的。大多數情況下Web頁麵的塗改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊(使用包嗅探器)和利用緩衝區溢出。有時,還包括劫持攻擊和拒絕服務攻擊。
郵件服務
廣泛使用的SMTP、POP3和IMAP一般用明文方式進行通信。這種服務可以通過加密進行驗證但是在實際應用中通信的效率不高。又由於大多數人對多種服務使用相同的密碼,攻擊者可以利用嗅探器得到用戶名和密碼,再利用它攻擊其它的資源,例如Windows NT服務器。這種攻擊不僅僅是針對NT係統。許多不同的服務共享用戶名和密碼。你已經知道一個薄弱環節可以破壞整個的網絡。FTP和SMTP服務通常成為這些薄弱的環節。
與郵件服務相關的問題包括:
• 利用字典和暴力攻擊POP3的login shell;
• 在一些版本中sendmail存在緩衝區溢出和其它漏洞;
• 利用E-mail的轉發功能轉發大量的垃圾信件
名稱服務
攻擊者通常把攻擊焦點集中在DNS服務上。由於DNS使用UDP,而UDP連接又經常被各種防火牆規則所過濾,所以許多係統管理員發現將DNS服務器至於防火牆之後很困難。因此,DNS服務器經常暴露在外,使它成為攻擊的目標。DNS攻擊包括:
• 未授權的區域傳輸;
• DNS 毒藥,這種攻擊是指黑客在主DNS服務器向輔DNS服務器進行區域傳輸時插入錯誤的DNS信息,一旦成功,攻擊者便可以使輔DNS服務器提供錯誤的名稱到IP地址的解析信息;
• 拒絕服務攻擊;
其它的一些名稱服務也會成為攻擊的目標,如下所示:
• WINS,“Coke”通過拒絕服務攻擊來攻擊沒有打補丁的NT係統。
• SMB服務(包括Windows的SMB和UNIX的Samba)這些服務易遭受Man-in-the-middle攻擊,被捕獲的數據包會被類似L0phtCrack這樣的程序破解。
• NFS和NIS服務。這些服務通常會遭受Man-in-the-middle方式的攻擊。
在審計各種各樣的服務時,請考慮升級提供這些服務的進程。
審計係統BUG
作為安全管理者和審計人員,你需要對由操作係統產生的漏洞和可以利用的軟件做到心中有數。早先版本的Microsoft IIS允許用戶在地址欄中運行命令,這造成了IIS主要的安全問題。其實,最好的修補安全漏洞的方法是升級相關的軟件。為了做到這些,你必須廣泛地閱讀和與其他從事安全工作的人進行交流,這樣,你才能跟上最新的發展。這些工作會幫助你了解更多的操作係統上的特定問題。
雖然大多數的廠商都為其產品的問題發布了修補方法,但你必須充分理解補上了哪些漏洞。如果操作係統或程序很複雜,這些修補可能在補上舊問題的同時又開啟了新的漏洞。因此,你需要在實施升級前進行測試。這些測試工作包括在隔離的網段中驗證它是否符合你的需求。當然也需要參照值得信賴的網絡刊物和專家的觀點。
審計Trap Door和Root Kit
Root kit是用木馬替代合法程序。Trap Door是係統上的bug,當執行合法程序時卻產生了非預期的結果。如老版本的UNIX sendmail,在執行debug命令時允許用戶以root權限執行腳本代碼,一個收到嚴格權限控製的用戶可以很輕易的添加用戶賬戶。
雖然root kit通常出現在UNIX係統中,但攻擊者也可以通過看起來合法的程序在Windows NT中置入後門。象NetBus,BackOrifice和Masters of Paradise等後門程序可以使攻擊者滲透並控製係統。木馬可以由這些程序產生。如果攻擊者夠狡猾,他可以使這些木馬程序避開一些病毒檢測程序,當然用最新升級的病毒檢測程序還是可以發現它們的蹤跡。在對係統進行審計時,你可以通過校驗分析和掃描開放端口的方式來檢測是否存在root kit等問題。
審計和後門程序
通常,在服務器上運行的操作係統和程序都存在代碼上的漏洞。例如,最近的商業Web瀏覽器就發現了許多安全問題。攻擊者通常知道這些漏洞並加以利用。就象你已經知道的RedButton,它利用了Windows NT的漏洞使攻擊者可以得知缺省的管理員賬號,即使賬號的名稱已經更改。後門(back door)也指在操作係統或程序中未記錄的入口。程序設計人員為了便於快速進行產品支持有意在係統或程序中留下入口。不同於bug,這種後門是由設計者有意留下的。例如,像Quake和Doom這樣的程序含有後門入口允許未授權的用戶進入遊戲安裝的係統。雖然看來任何係統管理員都不會允許類似的程序安裝在網絡服務器上,但這種情況還是時有發生。
從後門程序的危害性,我們可以得出結論,在沒有首先閱讀資料和向值得信賴的同事谘詢之前不要相信任何新的服務或程序。在你進行審計時,請花費一些時間仔細記錄任何你不了解它的由來和曆史的程序。
審計拒絕服務攻擊
Windows NT 易遭受拒絕服務攻擊,主要是由於這種操作係統比較流行並且沒有受到嚴格的檢驗。針對NT服務的攻擊如此頻繁的原因可以歸結為:發展勢頭迅猛但存在許多漏洞。在審計Windows NT網絡時,一定要花時間來驗證係統能否經受這種攻擊的考驗。打補丁是一種解決方法。當然,如果能將服務器置於防火牆的保護之下或應用入侵監測係統的話就更好了。通常很容易入侵UNIX操作係統,主要因為它被設計來供那些技術精湛而且心理健康的人使用。在審計UNIX係統時,要注意Finger服務,它特別容易造成緩衝區溢出。
緩衝區溢出
緩衝區溢出是指在程序重寫內存塊時出現的問題。所有程序都需要內存空間和緩衝區來運行。如果有正確的權限,操作係統可以為程序分配空間。C和C++等編程語言容易造成緩衝區溢出,主要因為它們不先檢查是否有存在的內存塊就直接調用係統內存。一個低質量的程序會不經檢查就重寫被其它程序占用的內存,而造成程序或整個係統死掉,而留下的shell有較高的權限,易被黑客利用運行任意代碼。
據統計,緩衝區溢出是當前最緊迫的安全問題。
Telnet的拒絕服務攻擊
Windows中的Telnet一直以來都是網絡管理員們最喜愛的網絡實用工具之一,但是一個新的漏洞表明,在Windows2000中Telnet在守護其進程時,在已經被初始化的會話還未被複位的情況下很容易受到一種普通的拒絕服務攻擊。Telnet連接後,在初始化的對話還未被複位的情況下,在一定的時間間隔之後,此時如果連接用戶還沒有提供登錄的用戶名及密碼,Telnet的對話將會超時。直到用戶輸入一個字符之後連接才會被複位。如果惡意用戶連接到Windows2000的Telnet守護進程中,並且對該連接不進行複位的話,他就可以有效地拒絕其他的任何用戶連接該Telnet服務器,主要是因為此時Telnet的客戶連接數的最大值是1。在此期間任何其他試圖連接該Telnet服務器的用戶都將會收到如下錯誤信息:
Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection
察看“列出當前用戶”選項時並不會顯示超時的會話,因為該會話還沒有成功地通過認證。
Windows NT的TCP port 3389存在漏洞
Windows NT Server 4.0 終端服務器版本所作的 DoS 攻擊。這個安全性弱點讓遠端使用者可以迅速的耗盡 Windows NT Terminal Server 上所有可用的內存,造成主機上所有登陸者斷線,並且無法再度登入。
說明:
1. Windows NT Server 4.0 終端服務器版本在 TCP port 3389 監聽終端連接 (terminal connection),一旦某個 TCP 連接連上這個端口, 終端服務器會開始分配係統資源,以處理新的客戶端連接,並作連接的認證工作。
2. 此處的漏洞在於:在認證工作完成前,係統需要撥出相當多的資源去處理新的連 接,而係統並未針對分配出去的資源作節製。因此遠端的攻擊者可以利用建立大 量 TCP 連接到 port 3389 的方法,造成係統存儲體配置達到飽和。
3. 此時服務器上所有使用者連接都會處於超時狀態,而無法繼續連接到服務器上,遠端攻擊者仍能利用一個僅耗用低頻寬的程式,做出持續性的攻擊,讓此 服務器處於最多記憶體被耗用的狀態,來避免新的連接繼續產生。
4. 在國外的測試報告中指出,長期持續不斷針對此項弱點的攻擊,甚至可以導致服務器持續性當機,除非重新開機,服務器將無法再允許新連接的完成。
解決方案:
更詳細資料請參考 Microsoft 網站的網址:
http://www.microsoft.com/security/bulletins/ms99-028.asp.
防範拒絕服務攻擊
你可以通過以下方法來減小拒絕服務攻擊的危害:
• 加強操作係統的補丁等級。
• 如果有雇員建立特定的程序,請特別留意代碼的產生過程。
• 隻使用穩定版本的服務和程序。
審計非法服務,特洛伊木馬和蠕蟲
非法服務開啟一個秘密的端口,提供未經許可的服務,常見的非法服務包括:
• NetBus
• BackOrifice 和 BackOrifice 2000
• Girlfriend
• 冰河2.X
• 秘密的建立共享的程序
許多程序將不同的非法服務聯合起來。例如,BackOrifice2000允許你將HTTP服務配置在任意端口。你可以通過掃描開放端口來審計這類服務,確保你了解為什麽這些端口是開放的。如果你不知道這些端口的用途,用包嗅探器和其它程序來了解它的用途。
技術提示:不要混淆非法服務和木馬。木馬程序通常包含非法服務,而且,木馬程序還可以包含擊鍵記錄程序,蠕蟲或病毒。
特洛伊木馬
特洛伊木馬是在執行看似正常的程序時還同時運行了未被察覺的有破壞性的程序。木馬通常能夠將重要的信息傳送給攻擊者。攻擊者可以把任意數量的程序植入木馬。例如,他們在一個合法的程序中安放root kit或控製程序。還有一些通常的策略是使用程序來捕獲密碼和口令的hash值。類似的程序可以通過E-mail把信息發送到任何地方。
審計木馬
掃描開放端口是審計木馬攻擊的途徑之一。如果你無法說明一個開放端口用途,你也許就檢測到一個問題。所以,盡量在你的係統上隻安裝有限的軟件包,同時跟蹤這些程序和服務的漏洞。許多TCP/IP程序動態地使用端口,因此,你不應將所有未知的端口都視為安全漏洞。在建立好網絡基線後,你便可以確定哪些端口可能存在問題了。
蠕蟲
Melissa病毒向我們展示了TCP/IP網絡是如何容易遭受蠕蟲攻擊的。在你審計係統時,通常需要配置防火牆來排除特殊的活動。防火牆規則的設置超出了本術的範圍。但是,作為審計人員,你應當對建議在防火牆上過濾那些從不信任的網絡來的數據包和端口有所準備。
蠕蟲靠特定的軟件傳播。例如,在2000年三月發現的Win32/Melting.worm蠕蟲隻能攻擊運行Microsoft Outlook程序的Windows操作係統。這種蠕蟲可以自行傳播,癱瘓任何種類的Windows係統而且使它持續地運行不穩定。
結合所有攻擊定製審計策略
攻擊者有兩個共同的特點。首先,他們將好幾種不同的方法和策略集中到一次攻擊中。其次,他們在一次攻擊中利用好幾種係統。綜合應用攻擊策略可以增強攻擊的成功率。同時利用好幾種係統使他們更不容易被捕獲。
例如,在實施IP欺騙時,攻擊者通常會先實施拒絕服務攻擊以確保被攻擊主機不會建立任何連接。大多數使用Man-in-the-middle的攻擊者會先捕獲SMB的密碼,再使用L0phtCrack這樣的程序進行暴力破解攻擊。
滲透策略
你已經了解到那些網絡設備和服務是通常遭受攻擊的目標和黑客活動的攻擊特征。現在,請參考下列的一些場景。它們將有助於你在審計過程中關注那些設備和服務。請記住,將這些攻擊策略結合起來的攻擊是最容易成功的。
物理接觸
如果攻擊者能夠物理接觸操作係統,他們便可以通過安裝和執行程序來使驗證機製無效。例如,攻擊者可以重啟係統,利用其它啟動盤控製係統。由於一種文件係統可以被另一種所破壞,所以你可以使用啟動盤獲得有價值的信息,例如有管理權限的賬號。
物理攻擊的簡單例子包括通過重新啟動係統來破壞Windows95或98的屏幕鎖定功能。更簡單的物理攻擊是該係統根本就沒有進行屏幕鎖定。
操作係統策略
近來,美國白宮的Web站點被一個缺乏經驗的攻擊者黑掉。攻擊者偵查出該Web服務器運行的操作係統是Solaris 7。雖然Solaris 7被成為藝術級的操作係統,但管理員並沒有改變係統的缺省設置。雖然該站點的管理員設置了tripwire,但攻擊者還是使用phf/ufsrestore命令訪問了Web服務器。
較弱的密碼策略
上麵白宮網站被黑的例子可能是由於該係統管理員使用FTP來升級服務器。雖然使用FTP來更新網站並沒有錯,但大多數FTP會話使用明文傳輸密碼。很明顯,該係統管理員並沒有意識到這種安全隱患。又由於大多數係統管理員在不同的服務上使用相同的密碼,這使攻擊者能夠獲得係統的訪問權。更基本的,你可以保證/etc/passwd文件的安全。
NetBIOS Authentication Tool(NAT)
當攻擊者以WindowsNT為目標時,他們通常會使用NetBIOS Authentication Tool(NAT)來測試弱的口令。這個程序可以實施字典攻擊。當然它也有命令行界麵,這種界麵的攻擊痕跡很小。而且命令行界麵的程序也很好安裝和使用。在使用NAT時,你必須指定三個文本文件和IP地址的範圍。當然,你也可以指定一個地址。NAT使用兩個文本文件來實施攻擊而第三個來存儲攻擊結果。第一個文本文件包含一個用戶列表,第二個文件中是你輸入的猜測密碼。
當使用命令行版本時,語法格式為:
nat ?Cu username.txt ?Cp passwordlist.txt ?Co outputfile.txt
即使服務器設置了密碼的過期策略和鎖定,攻擊者還是可以利用NAT反複嚐試登錄來騷擾管理員。通過簡單地鎖定所有已知的賬號,攻擊者會極大地影響服務器的訪問,這也是一些係統管理員不強行鎖定賬號的原因。
到此為止,你已經學習了一些外部攻擊。然而,對於管理員來說最緊迫的是大多數公司都存在不好的安全策略。如果安全策略很弱或幹脆沒有安全策略,通常會導致弱的密碼和係統策略。通常,公司並不采取簡單的預防措施,比如需要非空的或有最小長度要求的密碼。忽略這些限製會給攻擊者留下很大的活動空間。
不論你的操作係統采取何種文件係統(FAT,NTFS或NFS),每種係統都有它的缺陷。例如,缺省情況下NTFS在文件夾和共享創建之初everyone組可完全控製。由於它是操作係統的組成部分(Windows NT),因此也成為許多攻擊的目標。NFS文件係統可以共享被遠程係統掛接,因此這也是攻擊者入侵係統的途徑之一。
一旦黑客定位了你的網絡,他通常會選定一個目標進行滲透。通常這個目標會是安全漏洞最多或是他擁有最多攻擊工具的主機。非法入侵係統的方法有很多,你應當對這些方法引起注意。
常見攻擊類型和特征
攻擊特征是攻擊的特定指紋。入侵監測係統和網絡掃描器就是根據這些特征來識別和防範攻擊的。下麵簡要回顧一些特定地攻擊滲透網絡和主機的方法。
常見的攻擊方法
你也許知道許多常見的攻擊方法,下麵列出了一些:
• 字典攻擊:黑客利用一些自動執行的程序猜測用戶命和密碼,審計這類攻擊通常需要做全麵的日誌記錄和入侵監測係統(IDS)。
• Man-in-the-middle攻擊:黑客從合法的傳輸過程中嗅探到密碼和信息。防範這類攻擊的有效方法是應用強壯的加密。
• 劫持攻擊:在雙方進行會話時被第三方(黑客)入侵,黑客黑掉其中一方,並冒充他繼續與另一方進行會話。雖然不是個完全的解決方案,但強的驗證方法將有助於防範這種攻擊。
• 病毒攻擊:病毒是能夠自我複製和傳播的小程序,消耗係統資源。在審計過程中,你應當安裝最新的反病毒程序,並對用戶進行防病毒教育。
• 非法服務:非法服務是任何未經同意便運行在你的操作係統上的進程或服務。你會在接下來的課程中學到這種攻擊。
• 拒絕服務攻擊:利用各種程序(包括病毒和包發生器)使係統崩潰或消耗帶寬。
容易遭受攻擊的目標
最常遭受攻擊的目標包括路由器、數據庫、Web和FTP服務器,和與協議相關的服務,如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標。
路由器
連接公網的路由器由於被暴露在外,通常成為被攻擊的對象。許多路由器為便於管理使用SNMP協議,尤其是SNMPv1,成為潛在的問題。許多網絡管理員未關閉或加密Telnet會話,若明文傳輸的口令被截取,黑客就可以重新配置路由器,這種配置包括關閉接口,重新配置路由跳計數等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進行終端會話。
過濾Telnet
為了避免未授權的路由器訪問,你應利用防火牆過濾掉路由器外網的telnet端口和SNMP[161,162]端口
技術提示:許多網絡管理員習慣於在配置完路由器後將Telnet服務禁止掉,因為路由器並不需要過多的維護工作。如果需要額外的配置,你可以建立物理連接。
路由器和消耗帶寬攻擊
最近對Yahoo、e-Bay等電子商務網站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分布式拒絕服務攻擊工具發起的:
• Tribal Flood Network(TFN)
• Tribal Flood Network(TFN2k)
• Stacheldraht(TFN的一個變種)
• Trinoo(這類攻擊工具中最早為人所知的)
因為許多公司都由ISP提供服務,所以他們並不能直接訪問路由器。在你對係統進行審計時,要確保網絡對這類消耗帶寬式攻擊的反映速度。你將在後麵的課程中學習如何利用路由器防範拒絕服務攻擊。
數據庫
黑客最想得到的是公司或部門的數據庫。現在公司普遍將重要數據存儲在關係型或麵向對象的數據庫中,這些信息包括:
• 雇員數據,如個人信息和薪金情況。
• 市場和銷售情況。
• 重要的研發信息。
• 貨運情況。
黑客可以識別並攻擊數據庫。每種數據庫都有它的特征。如SQL Server使用1433/1434端口,你應該確保防火牆能夠對該種數據庫進行保護。你會發現,很少有站點應用這種保護,尤其在網絡內部。
服務器安全
WEB和FTP這兩種服務器通常置於DMZ,無法得到防火牆的完全保護,所以也特別容易遭到攻擊。Web和FTP服務通常存在的問題包括:
• 用戶通過公網發送未加密的信息;
• 操作係統和服務存在眾所周知的漏洞導致拒絕服務攻擊或破壞係統;
• 舊有操作係統中以root權限初始運行的服務,一旦被黑客破壞,入侵者便可以在產生的命令解釋器中運行任意的代碼。
Web頁麵塗改
近來,未經授權對Web服務器進行攻擊並塗改缺省主頁的攻擊活動越來越多。許多企業、政府和公司都遭受過類似的攻擊。有時這種攻擊是出於政治目的。大多數情況下Web頁麵的塗改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊(使用包嗅探器)和利用緩衝區溢出。有時,還包括劫持攻擊和拒絕服務攻擊。
郵件服務
廣泛使用的SMTP、POP3和IMAP一般用明文方式進行通信。這種服務可以通過加密進行驗證但是在實際應用中通信的效率不高。又由於大多數人對多種服務使用相同的密碼,攻擊者可以利用嗅探器得到用戶名和密碼,再利用它攻擊其它的資源,例如Windows NT服務器。這種攻擊不僅僅是針對NT係統。許多不同的服務共享用戶名和密碼。你已經知道一個薄弱環節可以破壞整個的網絡。FTP和SMTP服務通常成為這些薄弱的環節。
與郵件服務相關的問題包括:
• 利用字典和暴力攻擊POP3的login shell;
• 在一些版本中sendmail存在緩衝區溢出和其它漏洞;
• 利用E-mail的轉發功能轉發大量的垃圾信件
名稱服務
攻擊者通常把攻擊焦點集中在DNS服務上。由於DNS使用UDP,而UDP連接又經常被各種防火牆規則所過濾,所以許多係統管理員發現將DNS服務器至於防火牆之後很困難。因此,DNS服務器經常暴露在外,使它成為攻擊的目標。DNS攻擊包括:
• 未授權的區域傳輸;
• DNS 毒藥,這種攻擊是指黑客在主DNS服務器向輔DNS服務器進行區域傳輸時插入錯誤的DNS信息,一旦成功,攻擊者便可以使輔DNS服務器提供錯誤的名稱到IP地址的解析信息;
• 拒絕服務攻擊;
其它的一些名稱服務也會成為攻擊的目標,如下所示:
• WINS,“Coke”通過拒絕服務攻擊來攻擊沒有打補丁的NT係統。
• SMB服務(包括Windows的SMB和UNIX的Samba)這些服務易遭受Man-in-the-middle攻擊,被捕獲的數據包會被類似L0phtCrack這樣的程序破解。
• NFS和NIS服務。這些服務通常會遭受Man-in-the-middle方式的攻擊。
在審計各種各樣的服務時,請考慮升級提供這些服務的進程。
審計係統BUG
作為安全管理者和審計人員,你需要對由操作係統產生的漏洞和可以利用的軟件做到心中有數。早先版本的Microsoft IIS允許用戶在地址欄中運行命令,這造成了IIS主要的安全問題。其實,最好的修補安全漏洞的方法是升級相關的軟件。為了做到這些,你必須廣泛地閱讀和與其他從事安全工作的人進行交流,這樣,你才能跟上最新的發展。這些工作會幫助你了解更多的操作係統上的特定問題。
雖然大多數的廠商都為其產品的問題發布了修補方法,但你必須充分理解補上了哪些漏洞。如果操作係統或程序很複雜,這些修補可能在補上舊問題的同時又開啟了新的漏洞。因此,你需要在實施升級前進行測試。這些測試工作包括在隔離的網段中驗證它是否符合你的需求。當然也需要參照值得信賴的網絡刊物和專家的觀點。
審計Trap Door和Root Kit
Root kit是用木馬替代合法程序。Trap Door是係統上的bug,當執行合法程序時卻產生了非預期的結果。如老版本的UNIX sendmail,在執行debug命令時允許用戶以root權限執行腳本代碼,一個收到嚴格權限控製的用戶可以很輕易的添加用戶賬戶。
雖然root kit通常出現在UNIX係統中,但攻擊者也可以通過看起來合法的程序在Windows NT中置入後門。象NetBus,BackOrifice和Masters of Paradise等後門程序可以使攻擊者滲透並控製係統。木馬可以由這些程序產生。如果攻擊者夠狡猾,他可以使這些木馬程序避開一些病毒檢測程序,當然用最新升級的病毒檢測程序還是可以發現它們的蹤跡。在對係統進行審計時,你可以通過校驗分析和掃描開放端口的方式來檢測是否存在root kit等問題。
審計和後門程序
通常,在服務器上運行的操作係統和程序都存在代碼上的漏洞。例如,最近的商業Web瀏覽器就發現了許多安全問題。攻擊者通常知道這些漏洞並加以利用。就象你已經知道的RedButton,它利用了Windows NT的漏洞使攻擊者可以得知缺省的管理員賬號,即使賬號的名稱已經更改。後門(back door)也指在操作係統或程序中未記錄的入口。程序設計人員為了便於快速進行產品支持有意在係統或程序中留下入口。不同於bug,這種後門是由設計者有意留下的。例如,像Quake和Doom這樣的程序含有後門入口允許未授權的用戶進入遊戲安裝的係統。雖然看來任何係統管理員都不會允許類似的程序安裝在網絡服務器上,但這種情況還是時有發生。
從後門程序的危害性,我們可以得出結論,在沒有首先閱讀資料和向值得信賴的同事谘詢之前不要相信任何新的服務或程序。在你進行審計時,請花費一些時間仔細記錄任何你不了解它的由來和曆史的程序。
審計拒絕服務攻擊
Windows NT 易遭受拒絕服務攻擊,主要是由於這種操作係統比較流行並且沒有受到嚴格的檢驗。針對NT服務的攻擊如此頻繁的原因可以歸結為:發展勢頭迅猛但存在許多漏洞。在審計Windows NT網絡時,一定要花時間來驗證係統能否經受這種攻擊的考驗。打補丁是一種解決方法。當然,如果能將服務器置於防火牆的保護之下或應用入侵監測係統的話就更好了。通常很容易入侵UNIX操作係統,主要因為它被設計來供那些技術精湛而且心理健康的人使用。在審計UNIX係統時,要注意Finger服務,它特別容易造成緩衝區溢出。
緩衝區溢出
緩衝區溢出是指在程序重寫內存塊時出現的問題。所有程序都需要內存空間和緩衝區來運行。如果有正確的權限,操作係統可以為程序分配空間。C和C++等編程語言容易造成緩衝區溢出,主要因為它們不先檢查是否有存在的內存塊就直接調用係統內存。一個低質量的程序會不經檢查就重寫被其它程序占用的內存,而造成程序或整個係統死掉,而留下的shell有較高的權限,易被黑客利用運行任意代碼。
據統計,緩衝區溢出是當前最緊迫的安全問題。
Telnet的拒絕服務攻擊
Windows中的Telnet一直以來都是網絡管理員們最喜愛的網絡實用工具之一,但是一個新的漏洞表明,在Windows2000中Telnet在守護其進程時,在已經被初始化的會話還未被複位的情況下很容易受到一種普通的拒絕服務攻擊。Telnet連接後,在初始化的對話還未被複位的情況下,在一定的時間間隔之後,此時如果連接用戶還沒有提供登錄的用戶名及密碼,Telnet的對話將會超時。直到用戶輸入一個字符之後連接才會被複位。如果惡意用戶連接到Windows2000的Telnet守護進程中,並且對該連接不進行複位的話,他就可以有效地拒絕其他的任何用戶連接該Telnet服務器,主要是因為此時Telnet的客戶連接數的最大值是1。在此期間任何其他試圖連接該Telnet服務器的用戶都將會收到如下錯誤信息:
Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection
察看“列出當前用戶”選項時並不會顯示超時的會話,因為該會話還沒有成功地通過認證。
Windows NT的TCP port 3389存在漏洞
Windows NT Server 4.0 終端服務器版本所作的 DoS 攻擊。這個安全性弱點讓遠端使用者可以迅速的耗盡 Windows NT Terminal Server 上所有可用的內存,造成主機上所有登陸者斷線,並且無法再度登入。
說明:
1. Windows NT Server 4.0 終端服務器版本在 TCP port 3389 監聽終端連接 (terminal connection),一旦某個 TCP 連接連上這個端口, 終端服務器會開始分配係統資源,以處理新的客戶端連接,並作連接的認證工作。
2. 此處的漏洞在於:在認證工作完成前,係統需要撥出相當多的資源去處理新的連 接,而係統並未針對分配出去的資源作節製。因此遠端的攻擊者可以利用建立大 量 TCP 連接到 port 3389 的方法,造成係統存儲體配置達到飽和。
3. 此時服務器上所有使用者連接都會處於超時狀態,而無法繼續連接到服務器上,遠端攻擊者仍能利用一個僅耗用低頻寬的程式,做出持續性的攻擊,讓此 服務器處於最多記憶體被耗用的狀態,來避免新的連接繼續產生。
4. 在國外的測試報告中指出,長期持續不斷針對此項弱點的攻擊,甚至可以導致服務器持續性當機,除非重新開機,服務器將無法再允許新連接的完成。
解決方案:
更詳細資料請參考 Microsoft 網站的網址:
http://www.microsoft.com/security/bulletins/ms99-028.asp.
防範拒絕服務攻擊
你可以通過以下方法來減小拒絕服務攻擊的危害:
• 加強操作係統的補丁等級。
• 如果有雇員建立特定的程序,請特別留意代碼的產生過程。
• 隻使用穩定版本的服務和程序。
審計非法服務,特洛伊木馬和蠕蟲
非法服務開啟一個秘密的端口,提供未經許可的服務,常見的非法服務包括:
• NetBus
• BackOrifice 和 BackOrifice 2000
• Girlfriend
• 冰河2.X
• 秘密的建立共享的程序
許多程序將不同的非法服務聯合起來。例如,BackOrifice2000允許你將HTTP服務配置在任意端口。你可以通過掃描開放端口來審計這類服務,確保你了解為什麽這些端口是開放的。如果你不知道這些端口的用途,用包嗅探器和其它程序來了解它的用途。
技術提示:不要混淆非法服務和木馬。木馬程序通常包含非法服務,而且,木馬程序還可以包含擊鍵記錄程序,蠕蟲或病毒。
特洛伊木馬
特洛伊木馬是在執行看似正常的程序時還同時運行了未被察覺的有破壞性的程序。木馬通常能夠將重要的信息傳送給攻擊者。攻擊者可以把任意數量的程序植入木馬。例如,他們在一個合法的程序中安放root kit或控製程序。還有一些通常的策略是使用程序來捕獲密碼和口令的hash值。類似的程序可以通過E-mail把信息發送到任何地方。
審計木馬
掃描開放端口是審計木馬攻擊的途徑之一。如果你無法說明一個開放端口用途,你也許就檢測到一個問題。所以,盡量在你的係統上隻安裝有限的軟件包,同時跟蹤這些程序和服務的漏洞。許多TCP/IP程序動態地使用端口,因此,你不應將所有未知的端口都視為安全漏洞。在建立好網絡基線後,你便可以確定哪些端口可能存在問題了。
蠕蟲
Melissa病毒向我們展示了TCP/IP網絡是如何容易遭受蠕蟲攻擊的。在你審計係統時,通常需要配置防火牆來排除特殊的活動。防火牆規則的設置超出了本術的範圍。但是,作為審計人員,你應當對建議在防火牆上過濾那些從不信任的網絡來的數據包和端口有所準備。
蠕蟲靠特定的軟件傳播。例如,在2000年三月發現的Win32/Melting.worm蠕蟲隻能攻擊運行Microsoft Outlook程序的Windows操作係統。這種蠕蟲可以自行傳播,癱瘓任何種類的Windows係統而且使它持續地運行不穩定。
結合所有攻擊定製審計策略
攻擊者有兩個共同的特點。首先,他們將好幾種不同的方法和策略集中到一次攻擊中。其次,他們在一次攻擊中利用好幾種係統。綜合應用攻擊策略可以增強攻擊的成功率。同時利用好幾種係統使他們更不容易被捕獲。
例如,在實施IP欺騙時,攻擊者通常會先實施拒絕服務攻擊以確保被攻擊主機不會建立任何連接。大多數使用Man-in-the-middle的攻擊者會先捕獲SMB的密碼,再使用L0phtCrack這樣的程序進行暴力破解攻擊。
滲透策略
你已經了解到那些網絡設備和服務是通常遭受攻擊的目標和黑客活動的攻擊特征。現在,請參考下列的一些場景。它們將有助於你在審計過程中關注那些設備和服務。請記住,將這些攻擊策略結合起來的攻擊是最容易成功的。
物理接觸
如果攻擊者能夠物理接觸操作係統,他們便可以通過安裝和執行程序來使驗證機製無效。例如,攻擊者可以重啟係統,利用其它啟動盤控製係統。由於一種文件係統可以被另一種所破壞,所以你可以使用啟動盤獲得有價值的信息,例如有管理權限的賬號。
物理攻擊的簡單例子包括通過重新啟動係統來破壞Windows95或98的屏幕鎖定功能。更簡單的物理攻擊是該係統根本就沒有進行屏幕鎖定。
操作係統策略
近來,美國白宮的Web站點被一個缺乏經驗的攻擊者黑掉。攻擊者偵查出該Web服務器運行的操作係統是Solaris 7。雖然Solaris 7被成為藝術級的操作係統,但管理員並沒有改變係統的缺省設置。雖然該站點的管理員設置了tripwire,但攻擊者還是使用phf/ufsrestore命令訪問了Web服務器。
較弱的密碼策略
上麵白宮網站被黑的例子可能是由於該係統管理員使用FTP來升級服務器。雖然使用FTP來更新網站並沒有錯,但大多數FTP會話使用明文傳輸密碼。很明顯,該係統管理員並沒有意識到這種安全隱患。又由於大多數係統管理員在不同的服務上使用相同的密碼,這使攻擊者能夠獲得係統的訪問權。更基本的,你可以保證/etc/passwd文件的安全。
NetBIOS Authentication Tool(NAT)
當攻擊者以WindowsNT為目標時,他們通常會使用NetBIOS Authentication Tool(NAT)來測試弱的口令。這個程序可以實施字典攻擊。當然它也有命令行界麵,這種界麵的攻擊痕跡很小。而且命令行界麵的程序也很好安裝和使用。在使用NAT時,你必須指定三個文本文件和IP地址的範圍。當然,你也可以指定一個地址。NAT使用兩個文本文件來實施攻擊而第三個來存儲攻擊結果。第一個文本文件包含一個用戶列表,第二個文件中是你輸入的猜測密碼。
當使用命令行版本時,語法格式為:
nat ?Cu username.txt ?Cp passwordlist.txt ?Co outputfile.txt
即使服務器設置了密碼的過期策略和鎖定,攻擊者還是可以利用NAT反複嚐試登錄來騷擾管理員。通過簡單地鎖定所有已知的賬號,攻擊者會極大地影響服務器的訪問,這也是一些係統管理員不強行鎖定賬號的原因。
到此為止,你已經學習了一些外部攻擊。然而,對於管理員來說最緊迫的是大多數公司都存在不好的安全策略。如果安全策略很弱或幹脆沒有安全策略,通常會導致弱的密碼和係統策略。通常,公司並不采取簡單的預防措施,比如需要非空的或有最小長度要求的密碼。忽略這些限製會給攻擊者留下很大的活動空間。
不論你的操作係統采取何種文件係統(FAT,NTFS或NFS),每種係統都有它的缺陷。例如,缺省情況下NTFS在文件夾和共享創建之初everyone組可完全控製。由於它是操作係統的組成部分(Windows NT),因此也成為許多攻擊的目標。NFS文件係統可以共享被遠程係統掛接,因此這也是攻擊者入侵係統的途徑之一。
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
