在深入探讨普通攻击前,找出攻击的特征是很有用的,攻击可以针对一个特定系统或一个特定组织。
当攻击组织时,攻击可以面向寻找由分布控制导致的错误。一个入侵者只需整个网络的一个机会窗口,这些攻击聚集在广度而非创新上。例如,如果我想攻击美国国防部的MILNET网络,最有经验的做法是搜索所有MILNET网关系统查看,是否有运行老版本的sendmsil,提供非限制的NFS输出或运行一个NIS服务,而不是在HTTP协议中查找一个新脆弱点。
对单个主机的攻击优势在于主机与脆弱点在?嗔?的系统,即系统受托于目标系统、各系统被连结在同一物理网上,或者各系统拥有相同的用户。在第一种情况下,攻击者采用IP欺骗或DNS高速缓存崩溃伪装成受托系统或用户。用IP欺骗在第二种情况下,攻击者可以尝试安装包窥探仪,捕捉往来于目标系统的通信信息。最后一种情况,攻击者可以试图找出用户口令并在目标系统上试用。
①第一阶段:获取一个登录帐号
对UNIX系统进行攻击的首要目标是获取一个登录帐号与口令,攻击者试图获取存在/etc/passwd或NIS映射中的加密口令拷贝。一旦他们等到这样一个口令文件,他们可以对其运行Crack,并可能猜出至少一个口令,尽管策略指导与系统软件努力强化好的口令选择,但却往往难以做到。
攻击者是如何登录目标UNIX系统的呢?首先,网络黑客收集存在于不同UNIX产品上的安全漏洞信息以及扩大这些漏洞的方法。然后,黑客收集关于目标组织中计算机系统与网络的信息,最后,黑客利用脆弱点获得机会,并努力登录进入系统。
的确还存在其他攻击方法,多数明显地是拒绝服务攻击(本章后面描述)。然而,获得登录权限的企图看起来是最危险与频繁的。
SATAN特别注意远程脆弱点,本章演示一个入侵者如何实现攻击第一阶段的各步过程。
②第二阶段:获取根访问权
攻击的第二阶段不一定是一个网络问题。入侵者会试图扩大一个特定UNIX系统上的已有漏洞,例如试图发现一个set-uid根脚本,以便获取作为根运行的能力。一些网络问题,像未加限制的NFS允许根对其读与写,这可以被用来获取根访问权。SATAN确实没有特意深入这个领域的攻击,相反,SATAN扫描第一阶段问题,即允许远程用户级别或根级访问系统。第二阶段的更好工具可能是COPS,这是SATAN创建者的? 个程序。
对系统管理员而言,保护系统不受这种攻击的合适方法是关闭由厂商推荐的下列安全措施:CIAC与CERT,并在他们可用时安装修正设施。仔细的配置与安装可以帮助减少潜在的脆弱点。如果存在一个允许用户以根方式行动的漏洞,则入侵者可能被utmp/wtmp中的陷阱所捉获。(所有当前的登录用户排列在utmp文件中。一个登录与注销的历史记录可以从utmp文凭传至wtmp文件。“last”命令将形式化wtmp文件,并提供甩有登录的列表,包括关于登录源与登录期间的信息)。然而,不是所有的程序在utmp/wtmp中均存在条目: remsh/rsh在远程系统执行命令因而在utmp/wtmp中没有标识条目。syslog文件对监控系统的活动也很有用。系统监控程序的存在提供一种附加的跟踪能力。
像sudo、.do、!一样sys或osh这样的允许获取超级用户权限的程序,应在限制时间基础上提供给用户,比如下自动24小时限制,才能使根暴露的机会最小化。这些程序中的一部分,像osh,提供了对许可根行为的控制,这样减少了可能发生的故障范围。无论如何,根口令应该经常改变,对根登录位置的控制也应给予考虑。
③第三阶段:扩展访问权
一旦入侵者拥有根访问权,这个系统即可被用来攻击网络上的其他网络。通常的攻击方法包括对登录守护程序作修改以便获取口令(ftpd、telnet、rlogind、login)、增加包窥探仪以获取网络通信口令,并将它们返回给入侵者,以及伪装成试图利用受托关系来获取访问权的攻击。
正如前面提及的,SATAN特别注意攻击的第一阶段,并提供对第二阶段的帮助。SATAN在第三阶段中没有任何作为。通过模仿窃贼,SATAN可以帮助定位一辆在停车场上未关门的汽车,并指出哪扇门未关(第二阶段)。最后,即第三阶段,在停车场中驾驶这辆车以便查找其他未锁门的汽车。因为SATAN可能已收集了关于其他重要主机的信息(NFS服务或MS服务),第三阶段可能用这些信息将攻击集中在获取其他系统的访问权上。
通常,一旦入侵者控制了你的系统,你几乎无计可施。一个入侵高手可以轻易地通过修改记帐与认证记录抹去其痕迹。一些专业黑客甚至设计了自动程序,完全隐藏他们的行踪,一个流行的版本是rootkit。这个软件包与ps、ls、sum、who等文件一起发布;系统管理员不能肯定二进制的完整性integrity,因为sum命令给出的是感染过的信息。类似地,ps命令不能显示入侵者运行的程序。幸运的是,rootkit不易被找到--主要的发布方法不经过FTP。
如果怀疑一个入侵者已获得系统的根访问权,你应该获取管理工具的新拷贝而不是发布CD上的原版本,如sum或md5,并检查二进制校验。COPS程序可以帮助做这件事情。另外一个类似的程序:Tripwire,提供了与COPS相似的功能。
