本文的主要內容是描述常見網絡攻擊手段以及針對這些攻擊手段應該如何設置網絡安全防護策略。

    一·引言

    隨著計算機網絡的發展， 信息網絡逐漸發達起來， 帶給企業和人民生活巨大的好處， 我國也是把信息產業放在發展的首位。 高信息技術象一把雙仞劍， 帶給我們無限的益處， 同時也帶給信息網絡更大的風險。 因為計算機安全方面比傳統的計算機安全的范圍要廣和復雜的多。 一旦出現問題的話， 造成的危害會更加巨大和可怕。 比如， 原來我們的講到的計算機安全多是講物理安全或病毒造成的數據危害等， 病毒要傳播需要遵循一定的傳播途徑， 傳播載體再經過一定的時間過程， 才可能發作。 不管物理安全還是計算機病毒多數都是可以通過有效手段進行防范和消滅的。 但現在已完全不同了， 計算機網絡的發展， 特別是近年來的INTERNET已將世界上無數的計算機網絡聯系在了一起， 這么說， 即使你已將大樓的門完全鎖好了， 但攻擊者還是通過計算機網絡在世界的另一頭侵入你的網絡， 翻閱機密資料甚至作出破壞性的動作。 所以我們信息管理人員應該

    對攻擊手段有一個全面深刻的認識， 需要制訂適合本系統的完善安全防護策略。

    二·清楚需要保護的

    為了制訂安全防護策略， 首先需要弄清楚什么是需要保護的。 其次了解一般的攻擊類型和攻擊手段。

    當我們的機器聯上了INTERNET， 我們同時也給自己帶來了三

    種風險。

    l 數據：存儲在電腦中的數據信息

    l 資源：機器設備

    l 榮譽：

    數據

    對個人或企業來說， 數據的三個特性是需要保護的。

    l 秘密性（Secrecy）：不想給其他人知道的。

    l 完整性（Integerity）：不想給其他人更改的。

    l 有效性（Availability）：需要確認的可以使用的。

    資源

    雖然機器上沒有什么重要的數據， 但是侵入者可以隨意的使用你的機器和其資源， 如：儲存一些資料， 進行運算， 甚至將其做為一個可以攻擊其它網絡或機器的跳板， 網關（gateway）。 需要注意的是：這是黑客(Hacker)常用手段， 狡猾的Hacker有不止一個攻擊網關， 且分布不一， 有很大程度的欺騙性和隱蔽性。

    榮譽

    如果一個侵入者以你個人或一個企業的身份出現在INTERNET上， 他做的什么事情看上去都向來自你或你的企業， 那會帶來什么影響或危害呢？

    三·攻擊行為類型

    大部分攻擊行為類型都全部分為三類， 是一、闖入（Intrusion）

    二、Denial of service 三、信息竊取。

    闖入

    最常見的攻擊就是叫闖入， 他們闖進計算機里， 就向普通合法用戶一樣使用你的電腦。 闖入的手段是比較多的， 常見的類型是， 利用社會工程學攻擊（如：你打個電話給ISP， 說你是某個用戶， 為了做某些工作， 要求立即改變密碼）。 一種是， 猜測用戶名的密碼， 在有些情況下這是比較容易的， 有許多一般用戶并不太重視自己的密碼， 或嫌麻煩怕忘記密碼而將密碼取的很容易猜測到， 根據自己的親身經驗， 一個服務器里有至少有百分之五的人的密碼是非常簡單和易猜的， 甚至很多人的密碼與用戶名居然是一樣的。 另一種， 是搜索整個系統， 發現軟件， 硬件的漏洞（BUG）或配置錯誤， 以獲得系統的進入權。 關于第三種闖入類型的詳細內容可以參考攻擊手段。

    Denial of services

    這是一種將對方機器的功能或服務給以遠程摧毀或中斷的攻擊方式， Denial of services攻擊的手段也是多種多樣的， 最早出現的大概是叫“郵包炸彈”， 它是這樣的， 攻擊者用一個程序不斷的向被攻擊者的郵箱發出大量郵件同時還匿藏自己的地址信息， 以至于郵件使用者幾乎無法處理。 甚至導致郵件服務系統因為大量的服務進程而崩潰。 而被襲擊者也無法確認誰是攻擊者。 另一些攻擊手段是利用軟件本身的設計漏洞進行遠程攻擊,其中比較著名的是微軟的OOB(Out Of Bond)漏洞,只要對著運行95或NT的139口發出一個不合法的包， 就會導致操作系統輕則斷掉網絡連接， 重則徹底死機或重起。

    信息竊取

    有一些攻擊手段允許攻擊者即使不操作被攻擊的電腦系統也能得到想要的數據。 比較典型的是用網絡嗅查器(Sniffer)監聽網絡中的包信息， 從中發現有用的信息， 如：用戶名， 密碼， 甚至付款信息等。 Sniffer的工作有點象現實社會里裝電話竊聽裝置一樣。 在共享式網絡環境里， Sniffer是很可怕的， 它可以監聽大量的網絡信息。

    四·攻擊手段和反攻擊

    在談攻擊手段前， 可以先研究攻擊行為的特性來幫助全面了解攻擊和反攻擊。

    攻擊一臺主機， 對黑客來說指導思想應該是廣泛尋找整個網絡系統漏洞薄弱的地方或配置錯誤是最優先要做的， 其次再是尋找一個新的攻擊點。 假設：我要攻擊一個系統， 需要進入某臺主機。 我最先要做的可能是先在它附近機器上尋找漏洞或稱為可攻擊點， 而不是先把大量的心思放在要攻擊的主機上， 這樣有什么好處呢？一是隱蔽自己的真實攻擊目標， 做為一個攻擊跳板。 二是利用附近機器與目標機可能具有的“信任”關系， 輕易的侵入目標機。 三就是整個系統比較大的時候， 攻擊點就可能比較容易發現， 可以在侵入一臺機器后， 利用Sniffer來監聽發往目標機器的網絡信息， 或其它方法或得來目標機器的進入權。

    通常， 攻擊行為的四個階段：

    1·得到進入系統的權力

    2·得到超級用戶的權限

    3·再攻擊其它附近的機器

    4·離開前， 留下后門（backdoor）

    階段一：得到進入帳號

    攻擊者攻擊UNIX系統的時候， 最先要做的就是得到用戶名和密碼， 他要做就是得到/etc/shadow文件或NIS map.當得到了shadow文件后， 就可以用Crack程序嘗試將其解密， Crack程序通常是用字典攻擊的方法來嘗試密碼的， 因為shadow文件都是用DES不可逆算法加了密， 所以只有用一個字典文件（一個含有許許多多單詞的文件）對照shadow文件來反復猜測用戶的密碼。 字典文件里的單詞就是用來試密碼的字符串。 如果一個系統的用戶比較多， 字典文件設計的好， 破解率是很高的， 根據我的經驗最高竟達30%。 據說搞的好曾

    經有人試過50%。 Crack程序原來并不是一開始就為了破密而設計的， 本來是用于測試自己系統用戶的密碼是否簡單做內部檢查用的， 但是一旦shadow文件外泄。 就很難控制住了。 這就要求用戶取密碼時要盡量復雜一些， 絕對不要是一個單詞， 最好含有數字和特殊符號， 另外要定期更換密碼。

    那么怎么得到目標機器的進入權呢？首先是收集信息， 包括一些系統最新的安全漏洞和攻擊漏洞的方法。 二是收集關于目標機器的信息， 以利于登入系統。 如：收集這臺機器的用戶名， 管理員的工作規律等。

    階段二：得到超級用戶的權限

    當得到系統的進入權后， 下面就是要得到超級用戶的權限， 主要途徑就是尋找本身系統的漏洞。 比較典型的方法有， 尋找set-uid的程序， 有可能以超級用戶的身份存取文件。 尋找不帶驗證的NFS以讀取文件。 利用操作系統， 軟件的設計漏洞來獲得超級用戶權利。 通常最新發現安全漏洞和攻擊方法都會給予公布， 攻擊者很容易在網上收集這些信息。 因為每種系統的漏洞都非常多， 而且經常會發現一些新的漏洞， 所以一旦攻擊者侵入了系統要獲得超級用戶權限的機會也是比較高的。 所以管理員更應該跟蹤新的安全信息， 有些國外的專業機構會定期公布最新漏洞、攻擊方法和解決方案。 CIAC和CERT都是這方面的權威機構。 另外有一些工具可以起到一些自我檢查的作用， 免費的工具有SATAN,COPS， 可以在一定程度上起到一些作用。 另外很重要的就是要經常給自己的操作系統裝補丁（PATCH）和升級一些老的程序。

    階段三：攻擊其它機器

    當攻擊者得到了超級用戶權限， 那這個機器就可以用來攻擊網絡上的其它機器。 一般手段有修改login進程以竊取密碼， 包嗅查器竊取網絡數據再傳給攻擊者。 在這個階段， 攻擊者已經得到了超級用戶權限， 它可以修改系統里的所有文件， 包括記錄文件， 程序文件， 設備文件， 修改整個系統的行為等等。 對管理員來說這個階段里， 除非攻擊者故意引起管理員注意， 某些程度上是很難察覺的， 管理員完全是被動的。 專業的黑客會自己編制一套工具程序， 一邊“工作”， 一邊刪除自己的活動記錄。 或者將自己的程序覆蓋掉原有的程序， 使得系統管理員一般情況下使用這些程序是正常的但是實際上卻做了某些手腳， 例如：這些程序在特定的條件下不做系統記錄， 不顯示某些信息， 或者做特定的動作等等。 對于后一種情況， 管理員可以安裝checksum工具來保證程序的完整性。 免費的工具有：Tripwire,COP5.

    階段四：離開前， 留下后門

    為了能夠方便攻擊者下次再輕易的返回系統， 專業黑客在退出系統之前， 肯定要留下一些后門， 再徹底清除他在這段時間的系統活動記錄。 后門的類型五花八門， 具我所知就不下十種， 不能夠一一細說， 大致有"rhost + +","Checksum and Timestamp","Login后門","telnetd后門","服務進程后門","crontab后門","庫文件后門","內核后門"， “文件系統后門”,"啟動區后門"， "隱藏進程后門"等等。

    對管理員來說， 這個階段和上個階段一樣， 比較難以察覺， 因為如果沒有發現有攻擊者的情況下， 很少管理員會主動去查找是否系統里留有攻擊者的后門。 即使發現了入侵者， 因為象剛才提到的， 后門種類繁多， 有些可以通過一些工具或自檢容易查到或處理掉， 有些就比較麻煩， 可能要花大量的人力和物力去查找是否有問題。 計算機系統復雜， 高級復雜的后門如“內核后門“是很難發覺到的， 除非重裝系統否則不能保證沒有后門留在里面。 幸運的是這種高級后門掌握的人相對比較少， 運用起來也比較麻煩。

    分析完以上攻擊行為的階段， 發現對系統安全來說， 預防要以一階段和二階段為主， 一旦被攻擊者成功的完成了第二階段。 以后就很麻煩了， 有可能產生比較嚴重的后果。

    常見攻擊手段分析

    現在對攻擊行為已有了比較清晰全面的認識， 接著介紹攻擊行為第一和第二階段的出現的漏洞類型和攻擊手段。 主要是一些典型和比較著名的漏洞。

    Sendmail漏洞

    Sendmail程序實在是太復雜了， 所以它的每個版本總能出現這樣或那樣的問題， 對管理員來說也較難配置。 同時因為sendmail有一個對外服務的25口， 所以還使攻擊者有遠程攻擊的機會。

    典型的漏洞有sendmail -d Debug,sendmail Bounce to

    Program,sendmail syslog buffer problem.

    Sendmail -d Debug

    比較新的sendmail有-d這個命令參數， 是進入調試模式的意思。 當設置了很多的調試參數的時候， 就可以利用堆棧溢出， 嵌入一個命令以sendmail的執行身份執行。 因為sendmail是一定要以超級用戶的身份執行的。 這意味著可以嵌入向'cat /etc/shadow'這樣的命令。

    Sendmail Bounce to Program Hole

    這是一個比較老的sendmail版本問題,向不存在的地址發一個象這樣的一個'/bin/mail user@notexists.com < /etc/shadow'郵件.信會退回來， 后面那個文件也會被以ROOT身份讀回來。

    等等厖

    堆棧溢出

    有許多命令都是set-uid的程序， 這是因為它要為普通用戶服務但是又要以超級用戶的身份執行命令， 一定要有Set-uid位命令有sendmail,passwd等等。 這樣就如果命令程序的設計有問題的話， 就會給攻擊者以Buffer overflow的方式使程序幫助他執行其它命令或以非正常方式退出到root shell.

    比較典型和經常出問題的有/etc/passwd， /bin/fdformat， ps命令等等。 所以管理員根據情況可以考慮去掉suid位， 以防止這些事情發生。

    程序設計問題

    有許多命令或應用程序在設計階段因為人為的疏忽或錯漏， 使得它出現種種問題， 有些甚至是嚴重的安全問題。 這點在現實生活中出現的情況比較多， 我估計至少有50%的漏洞是與程序本身設計有關。

    如：我發現最普遍和容易給管理員疏忽的是sun ftpd， 攻擊者利用ftpd程序做一些程序不能預期的動作后， 使其 core dump是有shadow內容的文件。 利用另一些程序漏洞， 甚至可以完全以root身份執行動作。 有些程序員在設計CGI程序也容易忽視安全問題， 使得他的程序可以被利用來做為入侵的攻擊點。

配置錯誤或人為疏忽

    配置錯誤或疏忽也是造成攻擊者有機可乘的主要原因， 當然硬件， 軟件等配置疏忽和錯誤是多種多樣的， 舉個例子。 比較典型的有/tmp目錄權限的設置。 這是本身Solaris2.5.1系統安裝后自己的問題， 沒有設置粘貼位， 使得利用一個程序就可以得到root shell.另一些是管理員疏忽或配置錯誤造成的安全漏洞， 比較典型的有以root身份執行httpd,這樣執行程序時就會以超級用戶的身份執行。 給攻擊者有機可乘。 另一些是有些管理員忽視安全問題的細節， 我親身發現的有這樣的情況， 管理員將web server和ftp server放在同一臺機

    器里， 而他的CGI程序有一個比較大的漏洞， 使得攻擊者可以遠程在機器上執行命令， 本來只是以nobody的身份執行的， 不會產生很大的問題， 但是正好ftp server也在同一臺機器上。 在搞清楚機器的其他漏洞后， 將攻擊程序上載到那臺機器上， 再從web瀏覽器上遠程執行， 輕易的就得到了超級用戶的權利。 還有一些是有些目錄的權限設置的不正確。 另一些是路由器或子網設置不科學， 使得攻擊者有種種機會。

    其它有趣的攻擊方法

    除了以上的那些主要的漏洞種類是黑客的常用的手段， 還有一些技巧是比較有趣又非常犀利的。 如：IP搶劫(IP Hijack)、IP欺騙(IP Spoff)， Sniffer、搶劫TTY(TTY Watcher)、“特洛依“木馬、DNS欺騙、arp欺騙、War dialing等等。

    IP搶劫， 是指將某個連接的進程強行強過來。 如某個用戶正在與某臺主機相連， 做某些動作。 這個時候通過設計好的程序將其連接強過來， 自己與主機接收和發送數據。 這種技術是對付“一次性密碼”的連接的好手段， 即使你每次的密碼不一樣或隨機， 但還是可以得到想要的信息。 而且可以欺騙主機， 繞過防火墻。 使之認為還是原來被搶的那個連接。

    IP欺騙， 是指偽裝自己真實的IP地址。 攻擊者在攻擊某些目標的時候， 如果風險很大， 是絕對要繞幾臺中間機， 再利用IP欺騙隱藏真實IP地址， 這樣即使被發現也是個假IP。 另外IP欺騙的一個重要用途是于繞過防火墻。 因為防火墻的設置多是基于包過濾的， 它接受來自某些IP的包， 也拒絕某些包。 這樣如果攻擊者將自己的IP偽裝成假IP就可以順利的通過防火墻了。

    嗅查器(Sniffer)， 是指監聽網段的通信信息。 因為一般來講許多公司企業都是使用共享式的集線器（HUB）， 所以只要將網卡接口設置為監聽模式， 就可以收到網絡所有的廣播和傳送信息。 大部分情況下， 這種技術通常用于偷聽網絡中傳送的信息， 如密碼， 私人信息等等。 但它的局限在于只能聽到本網段的信息， 如果使用switch hub就聽不到其它機器傳送的信息。

    搶劫TTY,是指監視同個系統中使用不同TTY設備的用戶做的動作， 或將其強過來， 以設備使用者的身份做動作。 搶劫TTY可以用于監視某些人的動作， 或等待其離開的時候以他的身份執行動作。

    DNS欺騙， 是指使被攻擊機器使用的DNS SERVER給出假的域名。 和IP欺騙相似， 主要用于攻擊有輸出NFS目錄,或限制了某些名字機器進入的主機。 也可以用于繞過防火墻。

    “特洛依“木馬， 指替換某些程序或給出假程序， 以獲得想要的信息。 如為了要得到某個用戶的確切密碼， 可以這樣， 做一個“陷阱”， 等用戶踩中它， 再給出一個很“認真， 專業”的信息， 如：“系統錯誤！請重新輸入密碼”。 這樣如果用戶真的輸入了， 程序就將其發送給攻擊者， 自行銷毀自己或匿藏起來， 等待下次再被激發。

    War dialing,指攻擊者用一個程序反復撥各合法的電話號碼， 找出有MODEM應答的電話， 再嘗試從此攻入。 因為許多公司設置了電話撥入與方便外出的人員或與其他公司傳送電子信息。 但是多數都將密碼設的極為簡單甚至沒有密碼。 這樣攻擊者從此進入也可完全繞過防火墻。 最近SUN公司還宣布， 如果發現職員私設MODEM， 有可能會遭到解雇。 可見這也是一個主要的安全隱患。

    安全防范技術

    正因為網絡安全問題， 復雜多樣， 所以出現了一些技術來幫助管理員來加強網絡安全。 其中主要分為， 加密技術， 身份認證技術， 數據完整性審計技術， 防火墻技術等等。 管理員可以利用這些技術組合使用來保證網絡主機的安全。

    加密技術

    加密技術的發展已經很久了， 主要分為公開算法和私有算法兩種， 私有算法是運用起來是比較簡單和運算速度比較快的， 但缺點是一旦被解密者追蹤到算法， 那么算法就徹底廢了。 公用算法是， 算法公開的， 有的是不可逆， 有用公鑰， 私鑰的。 優點是非常難破解， 可廣泛用于各種應用。 缺點是運算速度較慢。 使用有時很不方便。

    身份認證技術

    這項技術在電子商務應用中是極為重要的核心安全技術之一， 主要在數字簽名是用公鑰私鑰的方式保證文件是由使用者發出的和保證數據的安全。 相關技術有， RSA， PGP。 在網絡應用中有第三方認證技術Kerberos,它可以使用戶使用的密碼在網絡傳送中， 每次均不一樣， 可以有效的保證數據安全和方便用戶在網絡登入其它機器的過程中不需要重復輸入密碼。 但它的缺點是配置復雜， 安裝客戶端使用不是很方便。 ssh是加密連接的意思， 它可以使你和主機間的連接保持高度加密， 還可和Kerberos結合使用。 缺點和Kerberos基本相同。

    數據完整性技術

    為了保證機器中的程序沒有被入侵者做了惡意的更改， 可以使用一些工具軟件幫助檢查， 常用的有， tripwire,COP5等。

    防火墻

    防火墻技術是比較重要的一個橋梁， 以用來過濾內部網絡和外部網絡環境， 在網絡安全方面， 它的核心技術就是包過濾， 高級防火墻還具有地址轉換， 虛擬私網等功能。

    包過濾的優點

    1·一個包過濾路由器就可以保護整個網絡

    2·包過濾不需要一般使用者的配合和知識

    3· 包過濾是一個大部分路由器都有的功能

    包過濾的缺點

    1· 因為先天的缺陷， 現在的過濾工具還不是很完美

    2· 包過濾對有時并不適合某些協議(Rcp,rlogin.rdist,rsh,NFS,NIS..etc..)

    3· 有些安全政策并不能輕易的轉成包過濾規則

    4· 有些技術可以繞過防火墻.如：IP欺騙和DNS欺騙。

    系統管理員應提高認識， 并分析作出解決辦法和提出具體防范方法。 更應該在保證好機器設備正常運轉的同時， 積極研究各種安全問題。 堵住安全隱患。

    五·制訂安全策略

    制訂安全策略是非常有必要的， 雖然沒有絕對的把握阻止任何侵入， 但是一個好的安全策略可以做到是， 最少的機會發生侵入情況， 即使發生了也可以最快的作出正確反應， 最大程度減少經濟損失。

    系統管理員在工作中和制訂安全策略具體工作內容中有幾項安全原則要注意。

    1·最小權限(Least Privilege)

    如果用戶不需要使用到一些功能， 就不要給其權限。 只要是不必需要的權限就不需要給。 以免增加發生意外的機會。

    2·多層防御

    不能只依賴一種安全結構， 就象你鎖了桌子， 還要鎖門一樣。

    3·堵塞點(Choke Point)

    盡量強迫攻擊者如果想要攻擊的話， 只能使用一條很"窄"的通道,

    這樣可以方便監視和控制。

    4·考慮最薄弱的點(Weakest Link)

    自我尋找最薄弱的地方， 做出相應的防范方法。

    5·錯誤保護狀態(Fail-Safe Stance)

    出現錯誤， 或問題時候應自動保持最安全的狀態。 這意思就象一棟大廈發生火警時電梯應自動停止， 而各大門應自動變成打開狀態。

    6·團隊合作(Universal Particpation)

    大部分安全系統都需要各個人員的配合， 如果有一人的疏忽或者不配合， 那么攻擊者就有可能通過他的機器， 從內部來攻擊其它的機器。

    7·多類型防御體系(Diversity of Defense)

    使用多個不同廠商的安全系統會減少僅僅因為一個BUG或配置錯誤而影響整個系統的機會。 缺點就是， 花費的人力和物力都會相對比較多。

    8·保持簡單(Simplicity)

    使事情變的簡單， 如果你不明白， 那你就不能確定這是否安全， 復雜的系統容易隱藏一些角落或問題。 復雜的系統有更多的bugs,有些會是安全問題。

    制訂安全策略時應考慮的內容，

    1·解釋(explanations)

    整個安全策略應該解釋的很清楚， 因為有些人如果他不清楚， 那他也不會對此引起重視。

    2·每人的責任(Everybody's responsibilities)

    一套安全策略應包括個人的責任與義務， 包括管理員， 使用者和管理部門等等。 要讓使用者知道和配合站點系統的安全。 要讓使用者知道系統管理員需要做什么工作， 互相得到了解。

    3·通俗的語言(Regular language)

    很多人不是專家， 所以制訂的文件應通俗易懂， 過于復雜只會起到相反的效果

    4·建立威信(Enforcement authority)

    制訂了策略， 最重要的還是去執行， 需要有人去保證這些策略可以得到貫徹和負責修訂不正確的內容。

    5·準備以后檢討(Provision for reviews)

    不可能保證一個安全策略就可以適用很久， 情況總是不斷的變化， 所以需要定期的給于檢討， 找出不合理的地方， 給于修正。

    6·討論安全事項(Discussion of specific security issues)

    有些事情需要安全事項是需要寫入策略里的。

    如：

    l 誰可以在主機上擁有帳號？是否需要開放GUEST用戶？

    l 帳號是否可以允許多人共享？

    l 如果用戶失去了使用權限， 那管理員要怎么做？

    l 誰可以設置撥入MODEM？允許其他人使用撥出MODEM

    嗎？

    l 使用者在聯上網絡前應該做些什么？

    7·怎樣對安全事件做出反應

    應該清楚的寫明， 出現安全時間的時候應遵循怎樣的步驟處理， 或者該具體怎么做。

    總結

    沒有絕對安全的網絡系統， 安全問題是多種多樣， 且隨著時間技術的變化而變化， 所以安全防護也是非常重要的， 保持清醒正確的認識， 同時掌握最新的安全問題情況， 再加上完善有效的安全策略， 是可以阻止大部分安全事件的發生， 保持最小程度的經濟損失。