1.3 分級(jí)解析對(duì)Linux服務(wù)器的攻擊

隨著人們對(duì)安全問題的日益重視，網(wǎng)絡(luò)安全已經(jīng)不僅僅是技術(shù)問題，而是一個(gè)社會(huì)問題。企業(yè)應(yīng)當(dāng)提高對(duì)網(wǎng)絡(luò)安全的重視，不應(yīng)被各種商業(yè)宣傳所迷惑，認(rèn)為安裝了防火墻、認(rèn)證授權(quán)和入侵檢測系統(tǒng)就可以保護(hù)網(wǎng)絡(luò)免受各種攻擊。實(shí)際上，并沒有絕對(duì)安全的網(wǎng)絡(luò)，也沒有“無堅(jiān)不摧”的安全解決方案。從辯證法的角度來說，安全是相對(duì)的。如果一味地只依賴技術(shù)工具，那就會(huì)越來越被動(dòng)；只有運(yùn)用社會(huì)和法律手段打擊網(wǎng)絡(luò)犯罪，才能更加有效。我國對(duì)于打擊網(wǎng)絡(luò)犯罪已經(jīng)有了明確的司法規(guī)定，遺憾的是還沒有得到大多數(shù)企業(yè)的重視，這也是本節(jié)的寫作目的。

下面不僅從技術(shù)的角度解析攻擊，還從社會(huì)的角度分析攻擊者的特征、攻擊原因、攻擊目標(biāo)等，攻擊和安全防護(hù)是矛與盾的關(guān)系。安全與反安全之間就是—場長期戰(zhàn)斗，了解攻擊者是非常重要的。更重要的是根據(jù)攻擊級(jí)別提出解決方案。

攻擊是一種旨在妨礙、損害、削弱、破壞服務(wù)器安全的未授權(quán)行為。攻擊的范圍可以從服務(wù)拒絕直至完全危害和破壞服務(wù)器。

1.3.1 攻擊者使用什么操作系統(tǒng)

攻擊者使用的操作系統(tǒng)種類非常廣泛。Macintosh是很少使用的平臺(tái)，因?yàn)榭捎糜贛acintosh操作系統(tǒng)的工具不多，移植所需工具相當(dāng)麻煩。Windows NT/2000/XP和UNIX是使用最多的平臺(tái)，Linux也比較常見。同時(shí)可以看到越來越多的攻擊者正在使用FreeBSD或NetBSD。

1.3.2 典型的攻擊者有什么特征

（1）能用C、C++或Perl編寫程序。大多數(shù)原始安全工具都是用這些語言中的一種或幾種編寫的，攻擊者必須能夠解釋、編譯和執(zhí)行這些代碼。更高明一些的攻擊者則能夠?qū)⒛切┎皇菍樘囟ㄆ脚_(tái)編寫的代碼移植到自己的平臺(tái)上。同樣，他們也開發(fā)新的代碼模塊，以擴(kuò)展如SATAN的工具（這些程序允許用戶將編寫的新工具集成進(jìn)去）。不過隨著J2EE平臺(tái)的流行，Java成為新的工具。

（2）深入掌握TCP/IP知識(shí)。攻擊者必須了解Internet是如何工作的。攻擊者必須對(duì)TCP/IP的原始代碼有所了解，如IP的組成、幀的封裝步驟等。

（3）每周使用Internet多于72小時(shí)，攻擊者不是臨時(shí)用戶。他們不僅了解自己的機(jī)器，而且對(duì)網(wǎng)絡(luò)也了如指掌。攻擊者必須有豐富的網(wǎng)絡(luò)使用經(jīng)驗(yàn)。

（4）至少熟知三種操作系統(tǒng)，其中一種操作系統(tǒng)毫無疑問是UNIX或Linux。

（5）大多數(shù)攻擊者是（或曾經(jīng)是）系統(tǒng)管理員或開發(fā)人員，具有開發(fā)客戶服務(wù)器應(yīng)用的經(jīng)驗(yàn)。

1.3.3 攻擊者典型的目標(biāo)是什么

攻擊者因不同原因而攻擊不同類型的網(wǎng)絡(luò)。我們經(jīng)常能從媒體上了解到一些大公司或政府的網(wǎng)站遭到攻擊。不過，實(shí)際上攻擊者典型的目標(biāo)大多是小型網(wǎng)絡(luò)。防火墻的使用和維護(hù)費(fèi)用昂貴且需要技術(shù)支持，小網(wǎng)絡(luò)不可能用或只能用一些低級(jí)產(chǎn)品。攻擊大公司、政府的網(wǎng)站會(huì)造成比較大的影響。

1.3.4 實(shí)施攻擊的原因是什么

（1）惡意——他可能是某個(gè)公司的心懷不滿的雇員，或許你曾在某個(gè)Usenet組激怒了他。

（2）娛樂——或許你曾經(jīng)夸耀過你的系統(tǒng)的安全性，告訴別人它是如何堅(jiān)不可摧，這些都是攻擊者無法抗拒的挑戰(zhàn)。

（3）獲利——有人付給攻擊者報(bào)酬，讓他關(guān)掉某臺(tái)機(jī)器或獲取某公司的商業(yè)機(jī)密。

（4）好奇——許多攻擊者純粹由于好奇心的驅(qū)使，想享受一下攻擊過程。

（5）政治——政治原因占攻擊原因的很小比例（但是很重要的一種），他們搜尋雜志、新聞刊物中特別的論點(diǎn)，他們通過攻擊來表達(dá)自己的政治觀點(diǎn)和世界觀。

1.3.5 攻擊級(jí)別

系統(tǒng)攻擊有許多種類，本節(jié)從攻擊級(jí)別的角度進(jìn)行說明。圖1-6顯示了攻擊的6個(gè)等級(jí)，每一層代表一個(gè)進(jìn)入目標(biāo)網(wǎng)絡(luò)的深度，我們稱之為敏感級(jí)（Levels of sensitivity），箭頭與層次相連的點(diǎn)標(biāo)志了對(duì)應(yīng)于每一破譯技術(shù)的危險(xiǎn)程度，我們將它稱為攻擊狀態(tài)（States of attack）。

1.級(jí)別1

● A箭頭：表示郵件炸彈的攻擊。

● B箭頭：表示簡單拒絕服務(wù)攻擊。

在級(jí)別1范圍內(nèi)的攻擊基本上互不相關(guān)。包括拒絕服務(wù)攻擊和郵件炸彈，這些攻擊一般比較好制止，這是因?yàn)檫@些攻擊是以垃圾信息方式進(jìn)行的。在大多數(shù)情況下，只需應(yīng)用排除模式設(shè)置就可以解決這個(gè)問題。拒絕服務(wù)攻擊包括：簡單拒絕服務(wù)攻擊、分布拒絕服務(wù)攻擊、DNS分布拒絕服務(wù)攻擊和FTP攻擊。

對(duì)于這四種攻擊可以采用以下措施：

● 關(guān)閉不必要的服務(wù)。

● 限制同時(shí)打開的SYN半連接數(shù)目。

● 縮短SYN半連接的time out時(shí)間。

● 及時(shí)更新系統(tǒng)補(bǔ)丁。

拒絕服務(wù)攻擊經(jīng)常發(fā)生，解決此問題的最佳方法就是在inetd.sec文件DENY清單中加入入侵者源主機(jī)/網(wǎng)絡(luò)名阻止入侵行為，除屏蔽網(wǎng)絡(luò)連接外，還沒有一種主動(dòng)性的方法可以避免這種攻擊。不過需要注意的是，如果證實(shí)了一次拒絕服務(wù)攻擊，應(yīng)該檢查系統(tǒng)是否可能遭受其他攻擊，拒絕服務(wù)攻擊常常是電子欺騙的先行者（甚至是組成部分）。如果觀察到某臺(tái)機(jī)器特定端口上的一次全面的Flooding攻擊，請(qǐng)觀測這個(gè)端口，弄清這個(gè)端口是干什么用的，檢查它限制什么服務(wù)。如果那種服務(wù)是內(nèi)部系統(tǒng)的組成部分，那么要特別小心。那些貌似拒絕服務(wù)的攻擊，事實(shí)上就是突破網(wǎng)絡(luò)安全的開始。通常情況下，拒絕服務(wù)攻擊會(huì)持續(xù)很長一段時(shí)間。

如果是同步Flooding攻擊，這里有一些識(shí)別攻擊者的方法。攻擊者在每一次實(shí)施ping時(shí)，向目標(biāo)報(bào)出了他的IP地址。雖然沒有給出攻擊者的E-mail地址，但我們可以追蹤其最終源（注意，追蹤程序?qū)⒔沂竟粽叱霭l(fā)的真實(shí)網(wǎng)絡(luò)地址，這通常是反向追蹤程序查找的最后一項(xiàng)內(nèi)容）。

大多數(shù)拒絕服務(wù)攻擊導(dǎo)致相對(duì)較低的危險(xiǎn)，即便是那些可能導(dǎo)致重啟的攻擊也僅僅是暫時(shí)性的問題。這類攻擊在很大程度上不同于那些想獲取網(wǎng)絡(luò)控制的攻擊。

郵件炸彈的攻擊也叫郵件水災(zāi)攻擊，發(fā)生在當(dāng)許多郵件被發(fā)送至一個(gè)目標(biāo)，發(fā)送代理人被覆蓋時(shí)，郵件水災(zāi)會(huì)破壞其他交流程序的穩(wěn)定。用郵件來使一個(gè)系統(tǒng)蒙受災(zāi)難是殘酷的，但卻是有效的，攻擊者的目的就是要破壞郵件服務(wù)器。誘發(fā)郵件水災(zāi)攻擊的有趣方法之一是利用一些郵件申請(qǐng)的自動(dòng)反應(yīng)功能。一旦黑客發(fā)現(xiàn)對(duì)兩個(gè)不同的系統(tǒng)能做出活躍的、自動(dòng)的應(yīng)答時(shí)，他就能指使一個(gè)郵件發(fā)送到另一個(gè)。因?yàn)閮烧叨际菍?duì)每個(gè)信息做出自動(dòng)應(yīng)答，他們制造了一個(gè)信息回饋孔，這會(huì)比其他系統(tǒng)收集到更多的郵件。至于郵件水災(zāi)，通常很容易追查到攻擊者。此外，bozo files（kill文件）和排除模式配置基本上能阻止這些攻擊。

2.級(jí)別2和級(jí)別3

● C箭頭：表示本地用戶獲得非授權(quán)訪問。

● D箭頭：表示本地用戶獲得他們不該擁有的文件寫入權(quán)限。

● E箭頭：表示遠(yuǎn)程用戶獲得了非授權(quán)賬號(hào)。

級(jí)別2和級(jí)別3包括諸如本地用戶獲取到了他們本不可以訪問的文件的讀寫權(quán)限這類事件。當(dāng)然，任何本地用戶訪問/tmp目錄都具有危險(xiǎn)性，它能夠潛在地鋪設(shè)一條通向級(jí)別3的路。在級(jí)別3，用戶可以獲取寫訪問權(quán)限（并由此過渡到級(jí)別4環(huán)境）。

級(jí)別2攻擊是危險(xiǎn)的，并很容易發(fā)展為級(jí)別3、級(jí)別4、級(jí)別5和級(jí)別6。如果運(yùn)行這種網(wǎng)絡(luò)，請(qǐng)立即取得上述訪問控制設(shè)備，如果不照此進(jìn)行，某些人想破壞網(wǎng)絡(luò)僅僅是時(shí)間問題。如果有可能，請(qǐng)監(jiān)控所有流經(jīng)端口137～139的消息，其間將產(chǎn)生共享進(jìn)程。

本地攻擊的難度不太大。所謂本地用戶（Local user），我們認(rèn)為是相對(duì)而言的。在網(wǎng)絡(luò)世界中，本地用戶是在本地網(wǎng)絡(luò)的任一臺(tái)機(jī)器上有口令，因而在某一驅(qū)動(dòng)器上有一個(gè)目錄的用戶（無論那個(gè)目錄的服務(wù)目的是什么）。

由本地用戶啟動(dòng)的攻擊幾乎都是從遠(yuǎn)程登錄開始的。對(duì)于ISP，最好的辦法是將所有shell賬號(hào)放置于一個(gè)單獨(dú)的機(jī)器上，也就是說，只在一臺(tái)或多臺(tái)分配有shell訪問的機(jī)器上接受注冊(cè)。這可以使日志管理、訪問控制管理、釋放協(xié)議和其他潛在的安全問題管理更容易些。還應(yīng)該將存放用戶CGI的系統(tǒng)區(qū)分離出來。這些機(jī)器應(yīng)該隔離在特定的網(wǎng)絡(luò)區(qū)段，也就是說，根據(jù)網(wǎng)絡(luò)的配置情況，它們應(yīng)該被路由器或網(wǎng)絡(luò)交換機(jī)包圍。其拓?fù)浣Y(jié)構(gòu)應(yīng)該確保硬件地址不能超出這一特定區(qū)段。

針對(duì)這些利用訪問控制營造所需環(huán)境的攻擊，有兩種涉及許可權(quán)的關(guān)鍵因素，每一種都能影響到級(jí)別2是否會(huì)升級(jí)到級(jí)別3、4或5。這些因素是：

① 端口的錯(cuò)誤配置。

② 軟件中的漏洞。

第一種情況的發(fā)生是沒有正確理解許可模式，不是每一個(gè)UNIX或NT系統(tǒng)管理員都是專家，經(jīng)驗(yàn)是非常重要的。

第二種情況更加普遍，任何操作系統(tǒng)都有漏洞。對(duì)此問題尚未有直接的解決辦法，因?yàn)榇蠖鄶?shù)這種漏洞在軟件加載時(shí)并不出現(xiàn)。唯一的辦法是訂閱每一種與故障、漏洞、系統(tǒng)密切相關(guān)的郵件列表。

級(jí)別2和級(jí)別3的主要攻擊方法是社會(huì)管理郵件（電子郵件攻擊的一種）：黑客會(huì)誘騙合法用戶告知其機(jī)密信息或執(zhí)行任務(wù)，有時(shí)黑客會(huì)假裝為網(wǎng)絡(luò)管理人員向用戶發(fā)送郵件，要求用戶提供系統(tǒng)升級(jí)的密碼。

3.級(jí)別4

● F箭頭：表示遠(yuǎn)程用戶獲得了特定文件的讀權(quán)限。

級(jí)別4通常與外界能夠訪問內(nèi)部文件相關(guān)。這種訪問能做到的不只是核實(shí)特定文件是否存在，而且還能讀這些文件。級(jí)別4還包含這樣一些弱點(diǎn)，即遠(yuǎn)程用戶無須賬號(hào)就可以在服務(wù)器上執(zhí)行有限數(shù)量的命令。由于服務(wù)器配置失誤，有害CGI及溢出問題都可能引發(fā)這些漏洞大量出現(xiàn)。

密碼攻擊法是級(jí)別4中的主要攻擊法，損壞密碼是最常見的攻擊方法。用戶常常忽略他們的密碼，密碼政策很難得到實(shí)施。黑客有多種工具可以擊破技術(shù)所保護(hù)的密碼。一旦黑客擁有了用戶的密碼，他就擁有很多用戶的特權(quán)?！懊艽a猜想”是指手工敲入普通密碼或通過編好的程序取得密碼。一些用戶選擇簡單的密碼——如生日、紀(jì)念日或配偶名字，不遵循字母、數(shù)字混合的規(guī)則。對(duì)黑客來說要猜一串6個(gè)字生日數(shù)據(jù)不用花多長時(shí)間。最好的防衛(wèi)方法便是嚴(yán)格控制進(jìn)入特權(quán)。

4.級(jí)別5、級(jí)別6

● H箭頭：表示遠(yuǎn)程用戶獲得了特定文件的寫權(quán)限。

● G箭頭：表示遠(yuǎn)程用戶獲得了根權(quán)限。

級(jí)別5和級(jí)別6產(chǎn)生于那些絕不應(yīng)該發(fā)生的事被允許發(fā)生了的情況下。任何級(jí)別5和級(jí)別6的漏洞都是致命的。在這一階段，遠(yuǎn)程用戶可以讀、寫并執(zhí)行文件（通常他們綜合各種技術(shù)來達(dá)到這一階段）。級(jí)別6表示攻擊者擁有這臺(tái)機(jī)器的超級(jí)用戶或管理員許可權(quán)。換句話說，攻擊者具有對(duì)機(jī)器的全部控制權(quán)，可以在任何時(shí)刻完全關(guān)閉甚至毀滅此網(wǎng)絡(luò)。

級(jí)別5和級(jí)別6的主要攻擊是TCP/IP連續(xù)偷竊、被動(dòng)通道聽取和信息包攔截。這些都是為進(jìn)入網(wǎng)絡(luò)收集重要信息的方法，不像拒絕服務(wù)攻擊，這些方法有更多類似偷竊的性質(zhì)，比較隱蔽、不易被發(fā)現(xiàn)。

TCP/IP連續(xù)偷竊指抓住連續(xù)數(shù)字，這些數(shù)字用來讓黑客的信息包看起來合法化，當(dāng)一個(gè)系統(tǒng)要求與其他系統(tǒng)對(duì)話，系統(tǒng)會(huì)交換TCP同時(shí)產(chǎn)生的數(shù)據(jù)，如果這些數(shù)據(jù)不是具有隨意性的，黑客會(huì)收集這些數(shù)據(jù)的算法，被偷的突發(fā)事件會(huì)被用來把黑客偽裝成一個(gè)或兩個(gè)原始系統(tǒng)，允許他連接防火墻信息包的過濾器，這在連接IP時(shí)更有效。

一次成功的TCP/IP攻擊能讓黑客阻攔兩個(gè)團(tuán)體之間的交易，提供中間人襲擊的良好機(jī)會(huì)，然后黑客會(huì)在不被受害者注意的情況下控制一方或雙方的交易。

通過被動(dòng)竊聽，黑客會(huì)操縱和登記信息，也會(huì)從目標(biāo)系統(tǒng)上所有可通過的通道找到可通過的致命要害。黑客會(huì)尋找聯(lián)機(jī)和密碼的結(jié)合點(diǎn)，認(rèn)出申請(qǐng)合法的通道。

信息包攔截是指在目標(biāo)系統(tǒng)中約束一個(gè)活躍的聽者程序，以攔截和更改所有的或特別的信息的地址。信息可被改送到非法系統(tǒng)閱讀，然后不加改變地送回給黑客。

1.3.6 反擊措施

（1）級(jí)別1攻擊的處理方法主要是：過濾進(jìn)入地址并與攻擊者的ISP聯(lián)系。對(duì)防范拒絕服務(wù)攻擊的方法感興趣的讀者請(qǐng)查看徐一丁先生的文章“分布式拒絕服務(wù)攻擊（DDoS）原理及防范”，http://www-900.ibm.com/developerWorks/cn/security/se-ddos/index.shtml，此處不再贅述。

（2）級(jí)別2攻擊可以在內(nèi)部處理。根據(jù)Gartner調(diào)查表明，目前，70%的攻擊仍然來自組織內(nèi)部。基本做法就是凍結(jié)或清除攻擊者的賬號(hào)。級(jí)別2攻擊者一般常伴隨使用內(nèi)部嗅探器，防范方法可以參考“防范網(wǎng)絡(luò)嗅探”，http://www-900.ibm.com/developerWorks/cn/security/se-profromsniff/index.shtml。

（3）對(duì)級(jí)別3、級(jí)別4和級(jí)別5、級(jí)別6攻擊的反應(yīng)，如果經(jīng)歷過高于級(jí)別2的攻擊，問題就嚴(yán)重了。

● 首先備份重要的企業(yè)關(guān)鍵數(shù)據(jù)。

● 隔離該網(wǎng)絡(luò)網(wǎng)段，使攻擊行為僅出現(xiàn)在一個(gè)小范圍內(nèi)。

● 允許行為繼續(xù)進(jìn)行。如有可能，不要急于把攻擊者趕出系統(tǒng)，為下一步做準(zhǔn)備。

● 記錄所有行為，收集證據(jù)。

收集的證據(jù)包括系統(tǒng)登錄文件、應(yīng)用登錄文件、AAA（Authentication, Authorization, Accounting，即認(rèn)證、授權(quán)、計(jì)費(fèi)）登錄文件、RADIUS（Remote Authentication Dial-In User Service）登錄、網(wǎng)絡(luò)單元登錄（Network Element Logs）、防火墻登錄、HIDS（Host-base IDS，基于主機(jī)的入侵檢測系統(tǒng)）事件、NIDS（網(wǎng)絡(luò)入侵檢測系統(tǒng)）事件、磁盤驅(qū)動(dòng)器、隱含文件等。

收集證據(jù)時(shí)要注意，在移動(dòng)或拆卸任何設(shè)備之前都要拍照；在調(diào)查中要遵循兩人法則，即在信息收集中要至少有兩個(gè)人，以防止篡改信息；應(yīng)記錄所采取的所有步驟，以及對(duì)配置設(shè)置的任何改變，要把這些記錄保存在安全的地方。

（4）進(jìn)行各種嘗試（使用網(wǎng)絡(luò)的不同部分）以識(shí)別出攻擊源。

（5）為了使用法律武器打擊犯罪行為，必須保留證據(jù)。而形成證據(jù)需要時(shí)間，為了做到這一點(diǎn)，必須忍受攻擊的沖擊（雖然可以制定一些安全措施來確保攻擊不損害網(wǎng)絡(luò)）。對(duì)此情形，我們不但要采取一些法律手段，而且還要至少請(qǐng)一家權(quán)威的安全公司協(xié)助阻止這種犯罪。這類操作的最重要特點(diǎn)就是取得犯罪的證據(jù)，并查找犯罪者的地址，提供所擁有的日志。對(duì)于所搜集到的證據(jù)，應(yīng)進(jìn)行有效地保存。在開始時(shí)制作兩份，一個(gè)用于評(píng)估證據(jù)，另一個(gè)用于法律驗(yàn)證。