網絡安全知識（1）

一旦黑客定位了你的網絡，他通常會選定一個目標進行滲透。通常這個目標會是安全漏洞最多或是他擁有最多攻擊工具的主機。非法入侵系統的方法有很多，你應當對這些方法引起注意。 
　　常見攻擊類型和特征 

　　攻擊特征是攻擊的特定指紋。入侵監測系統和網絡掃描器就是根據這些特征來識別和防范攻擊的。下面簡要回顧一些特定地攻擊滲透網絡和主機的方法。 

　　常見的攻擊方法 

　　你也許知道許多常見的攻擊方法，下面列出了一些： 

　　· 字典攻擊：黑客利用一些自動執行的程序猜測用戶命和密碼，審計這類攻擊通常需要做全面的日志記錄和入侵監測系統（IDS）。 

　　· Man-in-the-middle攻擊：黑客從合法的傳輸過程中嗅探到密碼和信息。防范這類攻擊的有效方法是應用強壯的加密。 

　　· 劫持攻擊：在雙方進行會話時被第三方（黑客）入侵，黑客黑掉其中一方，并冒充他繼續與另一方進行會話。雖然不是個完全的解決方案，但強的驗證方法將有助于防范這種攻擊。 

　　· 病毒攻擊：病毒是能夠自我復制和傳播的小程序，消耗系統資源。在審計過程中，你應當安裝最新的反病毒程序，并對用戶進行防病毒教育。 

　　· 非法服務：非法服務是任何未經同意便運行在你的操作系統上的進程或服務。你會在接下來的課程中學到這種攻擊。 

　　· 拒絕服務攻擊：利用各種程序（包括病毒和包發生器）使系統崩潰或消耗帶寬。 

　　容易遭受攻擊的目標 

　　最常遭受攻擊的目標包括路由器、數據庫、Web和FTP服務器，和與協議相關的服務，如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標。 

　　路由器 

　　連接公網的路由器由于被暴露在外，通常成為被攻擊的對象。許多路由器為便于管理使用SNMP協議，尤其是SNMPv1，成為潛在的問題。許多網絡管理員未關閉或加密Telnet會話，若明文傳輸的口令被截取，黑客就可以重新配置路由器，這種配置包括關閉接口，重新配置路由跳計數等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進行終端會話。 

　　過濾Telnet 

　　為了避免未授權的路由器訪問，你應利用防火墻過濾掉路由器外網的telnet端口和SNMP[161,162]端口 

　　技術提示：許多網絡管理員習慣于在配置完路由器后將Telnet服務禁止掉，因為路由器并不需要過多的維護工作。如果需要額外的配置，你可以建立物理連接。 

　　路由器和消耗帶寬攻擊 

　　最近對Yahoo、e-Bay等電子商務網站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分布式拒絕服務攻擊工具發起的： 

　　· Tribal Flood Network(TFN) 

　　· Tribal Flood Network(TFN2k) 

　　· Stacheldraht（TFN的一個變種） 

　　· Trinoo（這類攻擊工具中最早為人所知的） 

　　因為許多公司都由ISP提供服務，所以他們并不能直接訪問路由器。在你對系統進行審計時，要確保網絡對這類消耗帶寬式攻擊的反映速度。你將在后面的課程中學習如何利用路由器防范拒絕服務攻擊。 

　　數據庫 

　　黑客最想得到的是公司或部門的數據庫。現在公司普遍將重要數據存儲在關系型或面向對象的數據庫中，這些信息包括： 

　　· 雇員數據，如個人信息和薪金情況。 

　　· 市場和銷售情況。 

　　· 重要的研發信息。 

　　· 貨運情況。 

　　黑客可以識別并攻擊數據庫。每種數據庫都有它的特征。如SQL Server使用1433/1434端口，你應該確保防火墻能夠對該種數據庫進行保護。你會發現，很少有站點應用這種保護，尤其在網絡內部。 
服務器安全　　WEB和FTP這兩種服務器通常置于DMZ，無法得到防火墻的完全保護，所以也特別容易遭到攻擊。Web和FTP服務通常存在的問題包括： 

　　· 用戶通過公網發送未加密的信息； 

　　· 操作系統和服務存在眾所周知的漏洞導致拒絕服務攻擊或破壞系統； 

　　· 舊有操作系統中以root權限初始運行的服務，一旦被黑客破壞，入侵者便可以在產生的命令解釋器中運行任意的代碼。 

　　Web頁面涂改 

　　近來，未經授權對Web服務器進行攻擊并涂改缺省主頁的攻擊活動越來越多。許多企業、政府和公司都遭受過類似的攻擊。有時這種攻擊是出于政治目的。大多數情況下Web頁面的涂改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊（使用包嗅探器）和利用緩沖區溢出。有時，還包括劫持攻擊和拒絕服務攻擊。 

　　郵件服務 

　　廣泛使用的SMTP、POP3和IMAP一般用明文方式進行通信。這種服務可以通過加密進行驗證但是在實際應用中通信的效率不高。又由于大多數人對多種服務使用相同的密碼，攻擊者可以利用嗅探器得到用戶名和密碼，再利用它攻擊其它的資源，例如Windows NT服務器。這種攻擊不僅僅是針對NT系統。許多不同的服務共享用戶名和密碼。你已經知道一個薄弱環節可以破壞整個的網絡。FTP和SMTP服務通常成為這些薄弱的環節。 

　　與郵件服務相關的問題包括： 

　　· 利用字典和暴力攻擊POP3的login shell； 

　　· 在一些版本中sendmail存在緩沖區溢出和其它漏洞； 

　　· 利用E-mail的轉發功能轉發大量的垃圾信件 

　　名稱服務 

　　攻擊者通常把攻擊焦點集中在DNS服務上。由于DNS使用UDP，而UDP連接又經常被各種防火墻規則所過濾，所以許多系統管理員發現將DNS服務器至于防火墻之后很困難。因此，DNS服務器經常暴露在外，使它成為攻擊的目標。DNS攻擊包括： 

　　· 未授權的區域傳輸；  
網絡安全知識（2）

　· DNS 毒藥，這種攻擊是指黑客在主DNS服務器向輔DNS服務器進行區域傳輸時插入錯誤的DNS信息，一旦成功，攻擊者便可以使輔DNS服務器提供錯誤的名稱到IP地址的解析信息； 

　　· 拒絕服務攻擊； 

　　其它的一些名稱服務也會成為攻擊的目標，如下所示： 

　　· WINS，“Coke”通過拒絕服務攻擊來攻擊沒有打補丁的NT系統。 

　　· SMB服務（包括Windows的SMB和UNIX的Samba）這些服務易遭受Man-in-the-middle攻擊，被捕獲的數據包會被類似L0phtCrack這樣的程序破解。 

　　· NFS和NIS服務。這些服務通常會遭受Man-in-the-middle方式的攻擊。 

　　在審計各種各樣的服務時，請考慮升級提供這些服務的進程。 


　　審計系統BUG 

　　作為安全管理者和審計人員，你需要對由操作系統產生的漏洞和可以利用的軟件做到心中有數。早先版本的Microsoft IIS允許用戶在地址欄中運行命令，這造成了IIS主要的安全問題。其實，最好的修補安全漏洞的方法是升級相關的軟件。為了做到這些，你必須廣泛地閱讀和與其他從事安全工作的人進行交流，這樣，你才能跟上最新的發展。這些工作會幫助你了解更多的操作系統上的特定問題。 

　　雖然大多數的廠商都為其產品的問題發布了修補方法，但你必須充分理解補上了哪些漏洞。如果操作系統或程序很復雜，這些修補可能在補上舊問題的同時又開啟了新的漏洞。因此，你需要在實施升級前進行測試。這些測試工作包括在隔離的網段中驗證它是否符合你的需求。當然也需要參照值得信賴的網絡刊物和專家的觀點。 

　　審計Trap Door和Root Kit 

　　Root kit是用木馬替代合法程序。Trap Door是系統上的bug，當執行合法程序時卻產生了非預期的結果。如老版本的UNIX sendmail，在執行debug命令時允許用戶以root權限執行腳本代碼，一個收到嚴格權限控制的用戶可以很輕易的添加用戶賬戶。 

　　雖然root kit通常出現在UNIX系統中，但攻擊者也可以通過看起來合法的程序在Windows NT中置入后門。象NetBus,BackOrifice和Masters of Paradise等后門程序可以使攻擊者滲透并控制系統。木馬可以由這些程序產生。如果攻擊者夠狡猾，他可以使這些木馬程序避開一些病毒檢測程序，當然用最新升級的病毒檢測程序還是可以發現它們的蹤跡。在對系統進行審計時，你可以通過校驗分析和掃描開放端口的方式來檢測是否存在root kit等問題。 

　　審計和后門程序 

　　通常，在服務器上運行的操作系統和程序都存在代碼上的漏洞。例如，最近的商業Web瀏覽器就發現了許多安全問題。攻擊者通常知道這些漏洞并加以利用。就象你已經知道的RedButton，它利用了Windows NT的漏洞使攻擊者可以得知缺省的管理員賬號，即使賬號的名稱已經更改。后門（back door）也指在操作系統或程序中未記錄的入口。程序設計人員為了便于快速進行產品支持有意在系統或程序中留下入口。不同于bug，這種后門是由設計者有意留下的。例如，像Quake和Doom這樣的程序含有后門入口允許未授權的用戶進入游戲安裝的系統。雖然看來任何系統管理員都不會允許類似的程序安裝在網絡服務器上，但這種情況還是時有發生。 

　　從后門程序的危害性，我們可以得出結論，在沒有首先閱讀資料和向值得信賴的同事咨詢之前不要相信任何新的服務或程序。在你進行審計時，請花費一些時間仔細記錄任何你不了解它的由來和歷史的程序。 
　　審計拒絕服務攻擊 

　　Windows NT 易遭受拒絕服務攻擊，主要是由于這種操作系統比較流行并且沒有受到嚴格的檢驗。針對NT服務的攻擊如此頻繁的原因可以歸結為：發展勢頭迅猛但存在許多漏洞。在審計Windows NT網絡時，一定要花時間來驗證系統能否經受這種攻擊的考驗。打補丁是一種解決方法。當然，如果能將服務器置于防火墻的保護之下或應用入侵監測系統的話就更好了。通常很容易入侵UNIX操作系統，主要因為它被設計來供那些技術精湛而且心理健康的人使用。在審計UNIX系統時，要注意Finger服務，它特別容易造成緩沖區溢出。 

　　緩沖區溢出 

　　緩沖區溢出是指在程序重寫內存塊時出現的問題。所有程序都需要內存空間和緩沖區來運行。如果有正確的權限，操作系統可以為程序分配空間。C和C++等編程語言容易造成緩沖區溢出，主要因為它們不先檢查是否有存在的內存塊就直接調用系統內存。一個低質量的程序會不經檢查就重寫被其它程序占用的內存，而造成程序或整個系統死掉，而留下的shell有較高的權限，易被黑客利用運行任意代碼。 

　　據統計，緩沖區溢出是當前最緊迫的安全問題。要獲得關于緩沖區溢出的更多信息，請訪問Http://www-4.ibm.com/software/de ... verflows/index.heml 
Telnet的拒絕服務攻擊 

　　Windows中的Telnet一直以來都是網絡管理員們最喜愛的網絡實用工具之一，但是一個新的漏洞表明，在Windows2000中Telnet在守護其進程時，在已經被初始化的會話還未被復位的情況下很容易受到一種普通的拒絕服務攻擊。Telnet連接后，在初始化的對話還未被復位的情況下，在一定的時間間隔之后，此時如果連接用戶還沒有提供登錄的用戶名及密碼，Telnet的對話將會超時。直到用戶輸入一個字符之后連接才會被復位。如果惡意用戶連接到Windows2000的Telnet守護進程中，并且對該連接不進行復位的話，他就可以有效地拒絕其他的任何用戶連接該Telnet服務器，主要是因為此時Telnet的客戶連接數的最大值是1。在此期間任何其他試圖連接該Telnet服務器的用戶都將會收到如下錯誤信息： 

　　Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection 

　　察看“列出當前用戶”選項時并不會顯示超時的會話，因為該會話還沒有成功地通過認證。 

　　Windows NT的TCP port 3389存在漏洞 

　　Windows NT Server 4.0 終端服務器版本所作的 DoS 攻擊。這個安全性弱點讓遠端使用者可以迅速的耗盡 Windows NT Terminal Server 上所有可用的內存，造成主機上所有登陸者斷線，并且無法再度登入。 

　　說明： 

　　1. Windows NT Server 4.0 終端服務器版本在 TCP port 3389 監聽終端連接 (terminal connection)，一旦某個 TCP 連接連上這個端口, 終端服務器會開始分配系統資源，以處理新的客戶端連接，并作連接的認證工作。 

　　2. 此處的漏洞在于：在認證工作完成前，系統需要撥出相當多的資源去處理新的連 接，而系統并未針對分配出去的資源作節制。因此遠端的攻擊者可以利用建立大 量 TCP 連接到 port 3389 的方法，造成系統存儲體配置達到飽和。 

　　3. 此時服務器上所有使用者連接都會處于超時狀態，而無法繼續連接到服務器上，遠端攻擊者仍能利用一個僅耗用低頻寬的程式，做出持續性的攻擊，讓此 服務器處於最多記憶體被耗用的狀態，來避免新的連接繼續產生。 

　　4. 在國外的測試報告中指出，長期持續不斷針對此項弱點的攻擊，甚至可以導致服務器持續性當機，除非重新開機，服務器將無法再允許新連接的完成。