解析攻击

王朝other·作者佚名 2006-01-09

解析攻击

曹江华-->自由撰稿人

2003 年 01 月

本文不仅从技术的角度解析攻击，还从社会的角度分析攻击者的特征、攻击原因、目标等，攻击和安全保护是矛与盾的关系，是一种攻击与防护的关系。孙子说“兵者、诡道也”，又说“知己知彼，百战不殆”。安全与反安全之间就是—场长期战斗，了解攻击者是非常重要的。并根据攻击深度提出解决方案。

随着人们对安全问题的日益重视，网络安全已经不仅仅是技术问题，而是一个社会问题。企业应当提高对网络安全重视，不应被各种商业宣传所迷惑。如果认为安装了防火墙、认证授权和入侵检测系统就可以保护网络免受各种攻击的话，是错误的。实际上，并没有绝对安全的网络，也没有 "无坚不摧"的安全解决方案。从辩证法的角度来说：安全是相对的。如果一味地只依靠技术工具，那就会越来越被动；只有发挥社会和法律方面打击网络犯罪，才能更加有效。我国对于打击网络犯罪已经有了明确的司法解释，遗憾的是还没有得到大多数企业重视，这也是本文的写作目的。

攻击是一种旨在妨碍、损害、削弱、破坏服务器安全的未授权行为。攻击的范围可以从服务拒绝直至完全危害和破坏服务器。

一、攻击者使用什么操作系统

攻击者使用的操作系统种类非常广泛。Unix是用得最多的平台，FREEBSD或Linux最常见。同时可以看到越来越多的攻击者正在使用Windows NT/2000。Macintosh是很少使用的平台，团为可用于Mac操作系统的工具不多，移植所需工具相当麻烦。

二、典型的攻击者有什么特征

能用C、C十十或Perl编写程序。大多数原始安全工具都是用这些语言中的一种或几种编写的，攻击者必须能够解释、编译和执行这些代码。更高明一些的攻击者则能够利用那些不是专为特定平台编写的代码并将其移植到自己的平台上。同样，他们也开发新的代码模块以扩展如SATAN的工具(这些程序允许用户写的新工具集成进去)。不过随着J2EE平台流行，Java成为新的工具。

深入掌握TCP／IP知识。攻击者必须了解Internet是如何工作的，而且必须深入了解网络结构。攻击者必须对TCP／IP的原始代码有所了解，如IP报头的组成，帧的封装步骤等等。

每周使用Internet多于72小时-攻击者不是临时用户。他们不仅了解自己机器而且对网络也了如指掌。经验是无可替代的，攻击者必须有丰富的网络使用经验。

至少熟知三种操作系统，其中一种操作系统毫无疑问是Unix或Linux。

大多数攻击者是（或曾经是）系统管理员或开发人员，有开发客户服务器应用的经验。

三、攻击者典型的目标是什么

典型的目标(Target)难以明确，攻击者因不同原因而攻击不同类型的网络。我们经常能从媒体上了解到一些大的公司、政府的网站遭到攻击。不过实际上攻击者典型的目标是小型网络。防火墙的使用和维护费用昂贵，小网络不可能用或只能用一些低级产品。只是攻击大的公司、政府的网站所造成的影响较大。

四、实施攻击的原因是什么

恶意报复-他可能是某个公司的心怀不满的雇员。

娱乐-或许你曾经夸耀过你的系统的安全性，告诉别人它是如何坚不可摧。这些都是攻击者无法抗拒的挑战。

获利-有人付给攻击者报酬让他关掉某台机器或获取某公司的商业机密。

好奇-许多攻击者纯粹由于好奇心的驱使，想享受一下攻击过程。

政治-政治原因占攻击原因的很小比例(但是很重要的一种)。他们通过攻击来表达自己的政治观点和世界观。

五、攻击级别

系统攻击有许多种类本文从攻击级别的角度说明：图-1显示了6个等级，每一层代表一个进入目标网络的深度，我们称之为敏感级(Levels of sensitivity)，箭头与层次相连的点标识了对应于每一破译技术的危险程度，我们将之称为攻击状态(States of attack)。

图－1

1、级别 1

在级别 1范围的攻击基本上互不相关。包括服务拒绝攻击和邮件炸弹，这些攻击一般比较好制止，这是因为这些攻击是以垃圾信息方式进行的。在大多数情况下。只须应用排除模式设置就可以解决这个问题。服务拒绝攻击包括

分布式拒绝服务攻击

反射式分布拒绝服务攻击

DNS分布拒绝服务攻击。

FTP攻击。

对于这四种攻击可以采用以下措施：

关闭不必要的服务

限制同时打开的Syn半连接数目

缩短Syn半连接的time out 时间

及时更新系统补丁

服务拒绝攻击经常发生的：解决此问题的最佳方法就是在inetd.sec文件DENY清单中加入人侵者源主机／网络名阻止入侵行为，除屏蔽网络连接外还没有一种主动性的方法可以避免这种攻击。不过需要注意的是：如果证实了一次服务拒绝攻击，应该检查系统是否可能遭受其他攻击，攻击服务拒绝攻击常常是电子欺骗攻击的先行者(甚至是组成部分)。如果观察到来台机器特定端口上的一次全面的Flooding攻击，请观测这个端口，弄清这个端口是干什么用的，检查它限制什么服务。如果那种服务是内部系统的组成部分-其他机器在使用它且通讯依赖于地址验证一一要特别小心。那些貌似服务拒绝的攻击，事实上就是突破网络安全的开始。通常情况下，服务拒绝攻击会持续很长一段时间。

如果是同步Flood攻击，这里有一些识别攻击当事人的方法。攻击者在每一次实施PING时向目标时会显示他自己的IP地址。虽然这没有给攻击者电子邮件地址，但我们可以追踪其最终源(追踪程序将揭示攻击者出发的真实网络地址)。

大多数服务拒绝攻击导致相对低级的危险，即便是那些可能导致系统重启的攻击也仅仅是暂时性的问题。这类攻击在很大程度上不同于那些想获取网络控制的攻击。

邮件炸弹的攻击也叫邮件水灾。发生在当许多邮件被发送至一个目标，发送代理人被覆盖时，邮件水灾会破坏其他程序的稳定。用邮件来使一个系统来蒙受灾难是有效的，他的目的就是要破坏邮件服务器。诱发邮件水灾攻击的有趣的方法之一是利用一些邮件申请的自动反应功能。一旦黑客发现对两个不同的系统能作出活跃的、自动的应答者，他就能指使一个邮件发送到另一个。因为两者都是对每个信息作出自动应答，他们制造了一个信息回馈孔，这会比其他系统收集到更多的邮件。至于邮件水灾，通常很容易追查到作恶者。此外，bozo files(kill文件)和排除模式配置基本上能阻止这些攻击。

2、级别 2和级别 3

级别 2和级别 3包括诸如本地用户获取到了他们本不可以访问的文件的读写权限这类事件。这是否构成问题很大程度上依赖于被访问文件的特性。当然，任何本地用户访问／tmp目录都具有危险性，它能够潜在地铺设一条通向级别 3(下一阶段)之路。在级别 3，用户可以获取写访问权限(并由此过渡到级别 4环境)。

Microsoft Windows 95/98没有粒状的访问控制，除一些第三方软件、访问控制设备、Windows 95/98网络安装外，都是完全不安全的。因此，级2攻击是危险的，并很容易发展为级别 3、级别 4、级别 5和级别 6。如果运行这种网络，请立即取得上述访问控制设备，如果不照此进行，某些人想破坏网络仅仅是时间问题。即使只删除网络上极少数文件，攻击者就能够永久性地位其丧失能力。如果有可能，请监控所有流经端口137-端口139的消息，其间将产生共享进程。

本地攻击的难度不太大。所谓本地用户(Local user)，我们认为是相对而言的。在网络世界中，本地用户是在本地网络的任一台机器上有口令、因而在某一驱动器上有一个目录的用户(无论那个目录的服务目的是什么)。

由本地用户启动的攻击几乎都是从远程登录开始。对于ISP，最好的办法是将所有shell帐号放置于一个单独的机器上，也就是说，只在一台或多台分配有shell访问的机器上接受注册。这可以使日志管理、访问控制管理、释放协议和其他潜在的安全问题管理更容易些。，还应该将存放用户CGI的系统区分离出来。这些机器应该隔离在特定的网络区段，也就是说，根据网络的配置情况，它们应该被路由器或网络交换机包围。其拓扑结构应该确保硬件地址欺骗也不能超出这一特定区段。

针对这些利用访问控制营造所需环境的攻击，有两种涉及许可权的关键因素，每一种都能影响到级别 2是否会逐步升级到级别 3、4或5。这些因素是：

端口的错误配置

软件中的漏洞

第一种情况的发生在没有正确理解许可模式时，不是每一个Unix或NT网络系统管理员都是专家。经验是非常重要的。

第二种情况更加普遍，不论任何操作系统都有漏洞包括未来。对此问题尚未有直接的解决办法，因为大多数这种漏洞在软件加载时并不出现。唯一的办法是订阅每一种与故障、漏洞、系统密切相关的邮件列表。必须意识到，安全性是一种没有终结的学习过程。

级别 2和级别 3的主要攻击方法是：社会管理邮件（电子邮件攻击的一种）就是名称暗示：黑客会诱骗合法用户告知其机密信息或执行任务，有时黑客会假装网络管理人员人用户发送邮件，要求用户给他系统升级的密码。

3、级别 4

级别 4问题通常与外界能够访问内部文件相关。这种访问可能不一样。它们能做到的不只是核实特定文件是否存在，而且还能读这些文件。级4问题还包含这样一些弱点，即远程用户无需有效账号就可以在服务器上执行有限数量的命令。由于服务器配置失误、有害CGI以及溢出问题都可引发这些漏洞大量出现。

密码攻击法是级别 4中的主要攻击法，损坏密码是最常见的攻击方法。用户常常忽略他们的密码，密码政策很难得到实施。黑客有多种工具可以击败技术和社会所保护的密码。一旦黑客拥有了用户的密码，他就有很多用户的特权。密码猜想是指手工进入普通密码或通过编好程序的正本取得密码。一些用户选择简单的密码――如生日、纪念日和配偶名字，却并不遵循应使用字母、数字混合的规则。对黑客来说要猜一串6个字生日数据不用花多长时间。其他的用户和管理人员会使核心∕管理人密码设置为零。最好的防卫方法便是严格控制进入特权。

4、级别 5、级别 6

级别 5和级别 6产生于那些决不应该发生的事被允许发生了的环境下。任何级别 5和级别 6的漏洞都是致命的。在这一阶段，远程用户可以读、写并执行文件(通常，他们综合各种技术来达到这一阶段)。级别 6表示攻击者拥有这台机器的根、超级用户或管理员许可权。换句话说，攻击者具有对机器的全部控制权，可以在任何时刻都能够完全关闭甚至毁灭此网络。

级别 5和级别 6的主要攻击是 TCP∕IP 连续偷窃，被动通道听取和信息包拦截。 TCP∕IP 连续偷窃，被劝通道听取和信息包拦截，是为进入网络收集重要信息的方法，不象拒绝服务攻击，这些方法有更多类似偷窃的性质，比较隐蔽不易被发现。

TCP∕IP 连续偷窃指抓住连续数字，这些数字被用来让黑客的信息包看起来合法化，当一个系统要求与其他系统对话，系统会交换TCP同时产生的数据，如果这些数据不是具有随意性的，黑客会确定收集这些数据的算法，被偷的突发事件会被用来伪装成把黑客一个或两个原始系统，允许他连接防火墙信息包的过滤器，这在连接IP时使用更有效。

一次成功的 TCP∕IP 攻击能让黑客阻拦两个团体之间的交易，提供中间人袭击的良好机会，然后黑客会在不被受害者注意的情况下控制一方或双方的交易。

通过被动窃听，黑客会操纵和登记信息，把文件送达，也会从目标系统上所有可通过的通道找到可通过的致命要害。黑客会寻找联机和密码的结合点，认出申请合法的通道。

信息包拦截是指在目标系统约束一个活跃的听者程序以拦截和更改所有的或特别的信息的地址。信息可被改送到非法系统阅读，然后不加改变地送回给黑客。

六、反击措施

级别 1 攻击的处理方法有很多，主要是：过滤进入地址并与攻击者的ISP联系。防范服务拒绝攻击的方法请查看，徐一丁先生的文章：分布式拒绝服务攻击(DDoS)原理及防范 http://www-900.ibm.com/developerWorks/cn/security/se-ddos/index.shtml ,这里不作详细的说明了。

级别 2 攻击可以在内部处理。根据有关调查表明，目前，70%的攻击仍然来自组织内部。基本做法就是冻结或清除该用户的帐号。级别2攻击者一般常常伴随使用内部嗅探器，防范方法可以参考：防范网络嗅探http:// http://www-900.ibm.com/developerWorks/cn/security/se-profromsniff/index.shtml。

对级别 3、级别 4 和级别 5、级别 6攻击的反应

如果经历过高于级别2攻击，问题就严重了。

首先备份重要的企业关键数据。

隔离该网络网段使攻击行为仅出现在一个小范围内。

允许行为继续进行。如有可能，不要急于把攻击者赶出系统，为下一步作准备。

记录所有行为，收集证据。这些证据包括：系统登录文件、应用登录文件、AAA（Authentication, Authorization, Accounting认证、授权、计费）登录文件，RADIUS（Remote Authentication Dial-In User Service）登录，网络单元登录（Network Element Logs）、防火墙登录、HIDS（Host-base IDS，基于主机的入侵检测系统）事件、NIDS（网络入侵检测系统）事件、磁盘驱动器、隐含文件等。收集证据时要注意：在移动或拆卸任何设备之前都要拍照；在调查中要遵循两人法则：在信息收集中要至少有两个人，以防止篡改信息；应记录所采取的所有步骤以及对配置设置的任何改变，要把这些记录保存在安全的地方。

进行各种尝试(使用网络的不同部分)以识别出攻击源。

为了使用法律武器打击犯罪行为，必须保留证据，而形成证据需要时间。为了做到这一点，必须忍受攻击的冲击(虽然可以制定一些安全措施来确保攻击不损害网络)。对此情形，我们不但要采取一些法律手段，而且还要至少请一家有权威的安全公司协助阻止这种犯罪。这类操作的最重要特点就是取得犯罪的证据、并查找犯罪者的地址，提供所拥有的日志。对于所搜集到的证据，应进行有效地保存。在开始时制作两份，一个用于评估证据，另一个用于法律验证。

总结：

本文不仅从技术的角度解析攻击，还从社会的角度分析攻击者特征、攻击原因、目标等，并根据攻击深度提出解决方案。企业网络安全防护不应只依靠技术手段，而且应积极依靠社会和法律的强大力量彻底消除网络犯罪。我国对于打击网络犯罪已经有了明确的司法解释，遗憾的是还没有得到大多数企业重视，这也是本文的写作目的。

参考资料

系统安全的最小特权原则

http://www-900.ibm.com/developerWorks/cn/security/se-limited/index.shtml

分布式拒绝服务攻击(DDoS)原理及防范

http://www-900.ibm.com/developerWorks/cn/security/se-ddos/index.shtml

Securing Internet Information Servers. CIAC-2308.

http://ciac,llnl,gov/ciac/documents/CIAC_2308_Securing_Internet_Information_.Servers.pdf

Concerning Hackers Who Break into Computer Systems. Presented at the 13th National Computer Security Conference. http://www.cpsr.org/ftp/cpsr/computer_crime/denning_defense_hackers.txt

关于作者

曹江华：毕业于工科大学机电一体化专业，从事CAD设计。后从事小型数据库的应用。开始从事构建网络、管理维护、数据库管理工作并接触LINUX。您可以直接通过 E-Mail ： goodcjh1@2911.net 与他联系！