精通电脑的人进~最近期间我家的电
通常,攻击行为的四个阶段:
1·得到进入系统的权力
2·得到超级用户的权限
3·再攻击其它附近的机器
4·离开前,留下后门(backdoor)
阶段一:得到进入帐号
攻击者攻击UNIX系统的时候,最先要做的就是得到用户名和密码,他要做就是得到/etc/shadow文件或NIS map。 当得到了shadow文件后,就可以用Crack程序尝试将其解密,Crack程序通常是用字典攻击的方法来尝试密码的,因为shadow文件都是用DES不可逆算法加了密,所以只有用一个字典文件(一个含有许许多多单词的文件)对照shadow文件来反复猜测用户的密码。 字典文件里的单词就是用来试密码的字符串。如果...全部
通常,攻击行为的四个阶段:
1·得到进入系统的权力
2·得到超级用户的权限
3·再攻击其它附近的机器
4·离开前,留下后门(backdoor)
阶段一:得到进入帐号
攻击者攻击UNIX系统的时候,最先要做的就是得到用户名和密码,他要做就是得到/etc/shadow文件或NIS map。
当得到了shadow文件后,就可以用Crack程序尝试将其解密,Crack程序通常是用字典攻击的方法来尝试密码的,因为shadow文件都是用DES不可逆算法加了密,所以只有用一个字典文件(一个含有许许多多单词的文件)对照shadow文件来反复猜测用户的密码。
字典文件里的单词就是用来试密码的字符串。如果一个系统的用户比较多,字典文件设计的好,破解率是很高的,根据我的经验最高竟达30%。据说搞的好曾经有人试过50%。Crack程序原来并不是一开始就为了破密而设计的,本来是用于测试自己系统用户的密码是否简单做内部检查用的,但是一旦shadow文件外泄。
就很难控制住了。这就要求用户取密码时要尽量复杂一些,绝对不要是一个单词,最好含有数字和特殊符号,另外要定期更换密码。
那么怎么得到目标机器的进入权呢?首先是收集信息,包括一些系统最新的安全漏洞和攻击漏洞的方法。
二是收集关于目标机器的信息,以利于登入系统。如:收集这台机器的用户名,管理员的工作规律等。
阶段二:得到超级用户的权限
当得到系统的进入权后,下面就是要得到超级用户的权限,主要途径就是寻找本身系统的漏洞。
比较典型的方法有,寻找set-uid的程序,有可能以超级用户的身份存取文件。寻找不带验证的NFS以读取文件。利用操作系统,软件的设计漏洞来获得超级用户权利。通常最新发现安全漏洞和攻击方法都会给予公布,攻击者很容易在网上收集这些信息。
因为每种系统的漏洞都非常多,而且经常会发现一些新的漏洞,所以一旦攻击者侵入了系统要获得超级用户权限的机会也是比较高的。所以管理员更应该跟踪新的安全信息,有些国外的专业机构会定期公布最新漏洞、攻击方法和解决方案。
CIAC和CERT都是这方面的权威机构。另外有一些工具可以起到一些自我检查的作用,免费的工具有SATAN,COPS,可以在一定程度上起到一些作用。另外很重要的就是要经常给自己的操作系统装补丁(PATCH)和升级一些老的程序。
阶段三:攻击其它机器
当攻击者得到了超级用户权限,那这个机器就可以用来攻击网络上的其它机器。一般手段有修改login进程以窃取密码,包嗅查器窃取网络数据再传给攻击者。在这个阶段,攻击者已经得到了超级用户权限,它可以修改系统里的所有文件,包括记录文件,程序文件,设备文件,修改整个系统的行为等等。
对管理员来说这个阶段里,除非攻击者故意引起管理员注意,某些程度上是很难察觉的,管理员完全是被动的。专业的黑客会自己编制一套工具程序,一边“工作”,一边删除自己的活动记录。或者将自己的程序覆盖掉原有的程序,使得系统管理员一般情况下使用这些程序是正常的但是实际上却做了某些手脚,例如:这些程序在特定的条件下不做系统记录,不显示某些信息,或者做特定的动作等等。
对于后一种情况,管理员可以安装checksum工具来保证程序的完整性。免费的工具有:Tripwire,COP5。
阶段四:离开前,留下后门
为了能够方便攻击者下次再轻易的返回系统,专业黑客在退出系统之前,肯定要留下一些后门,再彻底清除他在这段时间的系统活动记录。
后门的类型五花八门,具我所知就不下十种,不能够一一细说,大致有"rhost + +","Checksum and Timestamp","Login后门","telnetd后门","服务进程后门","crontab后门","库文件后门","内核后门",“文件系统后门”,"启动区后门","隐藏进程后门"等等。
对管理员来说,这个阶段和上个阶段一样,比较难以察觉,因为如果没有发现有攻击者的情况下,很少管理员会主动去查找是否系统里留有攻击者的后门。即使发现了入侵者,因为象刚才提到的,后门种类繁多,有些可以通过一些工具或自检容易查到或处理掉,有些就比较麻烦,可能要花大量的人力和物力去查找是否有问题。
计算机系统复杂,高级复杂的后门如“内核后门“是很难发觉到的,除非重装系统否则不能保证没有后门留在里面。幸运的是这种高级后门掌握的人相对比较少,运用起来也比较麻烦。
分析完以上攻击行为的阶段,发现对系统安全来说,预防要以一阶段和二阶段为主,一旦被攻击者成功的完成了第二阶段。
以后就很麻烦了,有可能产生比较严重的后果。收起
