攻击的级别

本章阐述各种级别的攻击。“攻击”是指任何的非授权行为。这种行为的目的在于干扰、破坏、摧毁你服务器的安全。攻击的范围从简单地使某服务无效到完全破坏你的服务器。在你网络上成功实施的攻击的级别依赖于你采用的安全措施。

5 Q5 C# T# Q: ]9 z⒈攻击会发生在何时？
大部分的攻击（或至少是商业攻击时间一般是服务器所在地的深夜。换句话说，如果你在洛杉矶而入侵者在伦敦，那么攻击可能会发生在洛杉矶的深夜到早晨之间的几个小时中。你也许认为入侵者会在白天（目标所在地的时间）发起攻击，因为大量的数据传输能掩饰他们的行为。有以下几个原因说明为什么入侵者避免大白天进行攻击：
■客观原因。在白天，大多数入侵者要工作，上学或在其他环境中花费时间，以至没空进行攻击。换句话就，这些人不能在整天坐在计算机前面。这和以前有所不同，以前的入侵者是一些坐中家中无所事事的人。
: L5 f( q% S3 J5 X9 S$ N; E■速度原因。网络正变得越来越拥挤，因此最佳的工作时间是在网络能提供高传输速度的时间速率的时间。最佳的时间段会根据目标机所在地的不同而不同。
) m  @0 ~. ]( T9 ^; C■保密原因。假设在某时某入侵者发现了一个漏洞，就假定这个时间是早上11点，并且此时有三个系统管理员正登录在网上。此时，此入侵者能有何举动？恐怕很少，因为系统管理员一旦发现有异常行为。他们便会跟踪而来。
( e. K; Y1 z9 ^3 F* v8 @入侵者总是喜欢攻击那些没有使用的机器。有一次我利用在曰本的一台工作台从事攻击行为，因为看上去没有人在此机器上登录过。随后，我便用那台机器远程登录回美国。在罗马我发现了一个新的ISP也出现类似的情况。对于这类计算机，你可以暂控制它，可按你的特殊要求对它进行设置，而且你有充足的时间来改变日志。值得注意的是，绝大部分的这种攻击行为都发生在晚上（被攻击对象的当地时间）。
  d. y' V/ S9 y' \- Y  y提示：如果你一直在进行着大量的日志工作，并且只有有限的时间和资源来对这些日志进行分析，我建议你将主要精力集中在记录昨夜的连接请求的日志。这部分日志毫无疑问会提供令人感兴趣的、异常的信息。

⒉入侵者使用何种操作系统？
6 X9 W5 h% L! \- J. M" N入侵者使用的操作系统各不相同。UNIX是使用得最多的平台，其中包括FreeBSD和Linux。
+ o5 `1 P) D, M' Y* A⑴Sun
入侵者将SolarisX86 或SCO作为使用平台的现象相当常见。因为即使这些产品是需要许可证，它们也易获得。一般而言，使用这些平台的入侵者都是学生，因为他们可利用软件产品卖给教育部门和学生时可打很大的折扣这一优势。再者，由于这些操作系统运行在PC机上，所以这些操作系统是更经济的选择。
⑵UNIX
" [- V1 [# ^$ E# B. g' A5 dUNIX平台受欢迎的原因之一是它只耗费系统一小部分资源。
⑶Microsoft
9 _- ^9 a# z1 [" |$ t8 \- V0 ~Microsoft平台支持许多合法的安全工具，而这些工具可被用于攻击远程主机。因此，越来越多的入侵者正在使用Windows NT。Windows Nt的性能远远超过Windows 95并有许多用于网络的先进工具；而且NT正变得越来越流行，因为入侵者知道他们必须精通此平台。由于NT成为更流行的Internet服务器的操作平台，入侵者有必要知道如何入侵这些机器。而且安全人员将会开发工具来测试NT的内部安全性。这样，你将看到利用NT作为入侵平台的人会极剧增加。

⒊攻击的源头
数年前，许多攻击来源于大学，因为从那里能对Internet进行访问。大多数入侵者是年青人，没有其他的地方比在大学更容易上Internet了。自然地，这不仅影响了攻击的起源地而且影响着攻击发生的时间。同时，使用TCP/IP不像今天这样简单。
如今形势发生了巨大的变化，入侵者可在他们的家里、办公室或车中入侵你的网络。然而，这里也有一些规律。
* z6 R' V2 O$ g8 y( ~
⒋典型入侵者的特点
( n. q, W6 M+ A) ?/ b8 e$ u0 I6 r典型的入侵者至少具备下述几个特点：
4 G" Y9 n0 y/ b5 L■能用C、C++或Perl进行编码。因为许多基本的安全工具是用这些语言的某一种编写的。至少入侵者能正确地解释、编译和执行这些程序。更厉害的入侵者能把不专门为某特定某平台开发的工具移植到他用的平台上。同时他们还可能开发出可扩展的工具来，如SATAN 和SAFESuite（这些工具允许用户开发的工具附加它们上）。
■对TCP/IP有透彻的了解，这是任何一个有能力的入侵者所必备的素质。至少一个入侵者必须知道Internet如何运转的。
■每月至少花50小时上Internet。经验不可替代的，入侵者必须要有丰富的经验。一些入侵者是Internet的痴迷者，常忍受着失眠的痛苦。
■有一份和计算机相关的工作。并不是每个入侵者都是把一天中的大部分时间投入到入侵行为中。其中一些从事着系统管理或系统开发的工作。
1 S1 P# M) {4 B6 S4 k■收集老的、过时的但经典的计算机硬件或软件。
. x$ F) V! s+ E0 v& @
⒌典型目标的特征
很难说什么才是典型目标，因为不同入侵者会因不同的原因而攻击不同类型的网络。然而一种常见的攻击是小型的私有网。因为：
. m8 A) ~% p- U" k  J7 G■网络的拥有者们对Internet的使用还处于入门阶段
■其系统管理员更熟悉局域网，而不是TCP/IP
■其设备和软件都很陈旧（可能是过时的）
另一话题是熟悉性。绝大多数入侵者从使用的角度而言能熟知两个或多个操作系统，但从入侵的角度来看，他们通常仅了解某一个操作系统。很少的入侵者知道如何入侵多种平台。

大学是主要的攻击对象，部分原因是因为他们拥有极强的运算处理能力。
另个原因是网络用户过多。甚至在一个相对小的网段上就有几百个用户。管理这种大型网络是一件困难的任务，极有可能从如此的帐号中获得一个入侵帐号。其他常被攻击的对象是政府网站。
/ t. c9 g* @& N( b  k3 Z: c( w
⒍入侵者入侵的原因
■怨恨
/ k9 g" n$ O8 w6 ^2 F/ }■挑战
4 W4 U3 P6 W! i" K1 v■愚蠢
4 ]- D4 C  p' {■好奇
  e4 T/ m; L& o4 X& P, l■政治目的
所有的这些原因都是不道德的行为，此行为过头后便触犯了法律。触犯法律可带来一些令人激动的感受，这种感受又能消极地影响你的原因。
1 t7 l6 D7 r2 W! d" A
⒎攻击
: M* J' o5 w+ d$ j, J* ?) r攻击的法律定义是指：攻击仅仅发生在入侵行为完全完成且入侵者已在目标网络内。但我的观点是可能使一个网络受到破坏的所有行为都应称为“攻击”。即从一个入侵者开始在目标机上工作的那个时间起，攻击就开始。
可通过下面的文章了解入侵的事例：
ftp://research.att.com/dist/internet_security/berferd.ps
http://www.takedown.com/evidence/anklebiters/mlf/index.html
http//www.alw.nih.gov/security/first/papers/general/holland.ps
6 o- F2 q9 h& |) r) g5 F/ R, \http://www.alw.nih.gov/security/first/papers/general/fuat.ps
% q) }7 p; o- S" W0 zhttp://www.alw.nih.gov/security/first/papers/general/hacker.txt
* V, D& o/ J6 F% T. L6 [  ?6 s
0 A9 A# j! e) G& d" a& ?⒏入侵层次索引
  d( h: P: |$ n+ c■邮件炸弹攻击
2 H+ z9 ]7 R+ g& {■简单拒绝服务
■本地用户获得非授权读访问
■本地用户获得他们本不应拥有的文件的写权限
) o: L2 K) B; B■远程用户获得了非授权的帐号
/ V# I! Q5 s! Y3 X7 r7 f■远程用户获得了特权文件的读权限
" b& \, K% _- I% V$ W■远程用户获得了特权文件的写权限
' |; x5 W$ n7 g' w9 b■远程用户拥有了根权限（他们已经攻克了你的系统）