問:入侵者如何獲取口令�����?
1����、監(jiān)聽明文口令信息
大量的通訊協(xié)議比如Telnet、Ftp�、基本HTTP都使用明文口令,這意味著它們在網(wǎng)絡(luò)上是赤裸裸地以未加密格式傳輸于服務(wù)器端和客戶端���,而入侵者只需使用協(xié)議分析器就能查看到這些信息�,從而進(jìn)一步分析出口令��,成為真用戶的克隆���。
2����、監(jiān)聽加密口令信息
當(dāng)然�,更多的通訊協(xié)議是使用加密信息傳輸口令的。這時�����,入侵者就需要借助字典或者采用暴力攻擊法來解密了���。注意,我們并不能察覺到入侵者的監(jiān)聽行為��,因為他在暗處�,是完全被動的��,沒有發(fā)送任何信息到網(wǎng)絡(luò)上����,入侵者的機(jī)器僅被用于分析這些口令信息����。
3、重放攻擊(Replay attack)
這又是一種間接的攻擊方式�����,就是說:入侵者不必對口令進(jìn)行解密����,需要的是重新編寫客戶端軟件以使用加密口令實現(xiàn)系統(tǒng)登錄。
4���、竊取口令文件
口令文件通常都保存在一個單獨的文件中��,例如UNIX系統(tǒng)的口令文件是/etc/passwd(也可能是那個文件的鏡像)��,WinNT系統(tǒng)的口令文件是/winnt/system32/config/sam��。入侵者一旦獲取了口令文件��,就可以使用破解程序發(fā)現(xiàn)其中的弱口令信息����。
5、觀察
用戶可能由于設(shè)置的口令復(fù)雜難記而將它寫在一張紙上壓在鍵盤下隨時查看�����,或者在輸入口令的時候不管身后有沒有站著一位"看客"��。入侵者的搜索力與記憶力都非常好��,這些操作習(xí)慣對他們來說簡直就是輕松練兵�����。所以����,別忽視入侵者的眼睛!
6���、社會工程
前面提到過這個問題,社會工程就是指采用非隱蔽方法盜用非授權(quán)帳戶進(jìn)行的非法活動,比如使用其他人的機(jī)器����、冒充是處長或局長騙取管理員信任得到口令等等。記?�。喝绻腥讼胍愕目诹?���,無論他說是為了什么,請記住他�����,一旦發(fā)生了關(guān)于口令的案件����,那個人就是頭號嫌疑犯!
問:典型的入侵場景有哪些��?
所謂入侵場景���,就是指入侵者都會從哪些方面采取哪些步驟嘗試攻擊系統(tǒng)�。典型的入侵畫面是這樣一幕幕展開的:
1�����、外部調(diào)研
知己知彼,百戰(zhàn)不殆�����。入侵者攻擊的第一步就是盡一切可能對攻擊目標(biāo)進(jìn)行調(diào)研以獲取充足的資料���。采取的方法包括:使用whois工具獲取網(wǎng)絡(luò)注冊信息�����;使用nslookup或dig工具搜索DNS表以確定機(jī)器名稱�����;搜索關(guān)于公司的公開新聞�����。這一步對于被攻擊者是完全不知的�����。
2����、內(nèi)部分析
確定了攻擊目標(biāo)的基本屬性(站點地址����、主機(jī)名稱),入侵者將對它們進(jìn)行深入剖析���。方法有:遍歷每個Web頁面搜索是否存在CGI漏洞�;使用ping工具一一探尋"活"著的機(jī)器����;對目標(biāo)機(jī)器執(zhí)行UDP/TCP掃描以發(fā)現(xiàn)是否有可用服務(wù)。這些行為都屬于正常的網(wǎng)絡(luò)操作�����,還不能算作入侵行為�����,但是NIDS系統(tǒng)將能夠告訴管理者"有人正在撼動門把手……"
3�、漏洞利用
現(xiàn)在到了開始動手的時候了!破壞花樣實在繁多�����,在此擇優(yōu)列舉如下:通過在輸入項目中寫入殼命令字符串(shell command)來考驗CGI腳本的安全性;通過發(fā)送大量數(shù)據(jù)以確定是否存在臭名昭著的緩沖區(qū)溢出漏洞��;嘗試使用簡單口令破解登錄障礙�����。當(dāng)然����,混合使用多種方式是攻占成功的不二法門。
4��、站穩(wěn)腳跟
對于入侵者而言�����,一旦成功地入侵了網(wǎng)絡(luò)中的一臺機(jī)器�,就可以說是站穩(wěn)腳跟了。入侵者現(xiàn)在要做的就是隱藏入侵痕跡并制造日后再攻的后門��,這就需要對日志文件或其他系統(tǒng)文件進(jìn)行改造����,或者安裝上木馬程序���、或者替換系統(tǒng)文件為后門程序。這時���,SIV(系統(tǒng)完整性檢測)系統(tǒng)會注意到這些文件的變化。由于內(nèi)部網(wǎng)絡(luò)中的安全措施通常都比較少��,進(jìn)一步地�����,入侵者將以這第一臺機(jī)器作為跳板����,攻擊網(wǎng)絡(luò)中的其他機(jī)器,尋找下一個安身之家���。
5��、享受成果
到此����,入侵者可以說是完成了攻擊任務(wù)���,剩下的就是享受成果了:或者對竊取的秘密文件肆意使用�、或者濫用系統(tǒng)資源、或者篡改Web頁面內(nèi)容�����,甚至將你的機(jī)器作為跳板攻擊其他機(jī)器��。
以上討論是的有目的入侵者的通常行為�。還有一種入侵場景通常被稱為"birthday attack",我想其含義是模擬生日時接收到許多熟人或者未知朋友的禮物吧�����,不過用在這里還要在禮物前加上"攻擊"兩字了����。Birthday attack的一般步驟是:隨機(jī)搜索一個Internet地址;搜索其上是否有指定的漏洞�����;如果有�����,根據(jù)已知的漏洞利用方法進(jìn)行攻擊。
