系统安全技术,系统安全技术研究

系统安全技术研究 - 系统安全 - 电脑教程网

系统安全技术研究

日期:2006-04-06   荐:
众所周知,网络是为广大用户共享网上的资源而互连的,然而网络的开放性与共享性也导致了网络的安全性问题,网络容易受到外界的攻击和破坏,即使你已将大楼的门完全锁好了,但攻击者还是通过计算机网络在世界的另一头侵入你的网络翻阅机密资料甚至作出破坏性的动作。

什么需要保护

  当我们的机器接上了Internet,我们同时也给自己带来了三种风险:

数据:存储在电脑中的数据信息

资源:机器设备

信誉:公司、企业的信誉

对个人或企业来说,数据的三个特性是需要保护的。

秘密性:不想给其他人知道的。

完整性:不想给其他人更改的。

有效性:需要确认的,可以使用的。

 虽然机器中没有什么重要的数据,但是侵入者可以随意的使用你的机器和其资源,如:储存一些资料,进行运算,甚至将其做为一个可以攻击其它网络或机器的跳板。需要注意的是:这是黑客(Hacker)常用手段,狡猾的Hacker有不止一个攻击跳板,且分布不一,有很大程度的欺骗性和隐蔽性。
 如果一个入侵者以你个人或一个企业的身份出现在Internet上,他做什么事情看上去都是来自你或你的企业,那会带来什么影响或危害呢?试想一下,当某个企业遭到来自Hacker的攻击、破坏后,这企业还会有信心继续在原本的公众网上经营业务,开发新业务吗?而其它不了解详细情况,打算将要挂接在这个公众网上的企业将会的什么反应?
 攻击行为类型

大部分攻击行为类型都全部分为四类,分别为闯入(Internet),拒绝服务(Denial of service),信息窃取(Sniffer),电子欺骗(spoofing).

闯入
 最常见的攻击就是叫闯入,他们闯进计算机里,就象普通合法用户一样使用你的电脑,闯入的手段是比较多的,常见的类型,一种是,猜测用户的密码,在有些情况下是比较容易的,有许多用户并不太重视自己的密码,或嫌麻烦怕忘记密码而将密码取的很容易猜到,服务器里有至少百分之五的人的密码是非常简单和易猜的,甚至很多人的密码与用户名居然是一致的,另一种是搜索整个系统,发现软件,硬件的漏洞或配置错误,以获得系统的进入权,关于第三种闯入类型的详细内容可参考攻击手段。

拒绝服务
  这是一种将对方机器的功能或服务给以远程摧毁或中断的攻击方式,Denial of services攻击的手段也是多种多样的,最早出现的大概是叫“邮包炮弹”,攻击者用一个程序不断的向被攻击者的邮箱发出大量邮件同时还匿藏自己的地址信息,以至于邮件使用者几乎无法处理,甚至导致邮件服务系统因为大量的服务进程而崩溃。

信息窃取
 有一些攻击手段允许攻击者即使不操作被攻击的电脑系统,也能得到想要的数据。比较典型的是用网络嗅查器(sniffer)监听到同一网段中的包信息,从中发现有用的信息,如:用户名,密码,甚至付款信息等。Sniffer的工作有点象现实社会里装电话窃听装置一样,在共享式的网络环境里,sniffer是很可怕的,它可以监听大量的网络信息。

电子欺骗
  电子欺骗是结合DOS技术的技巧性攻击,它包括了IP spoofing, Web spoofing, DNS spoofing , fake mail等。IP spoofing 是利用而向连接的TCP协议三次“握
手”(3——way hand–shake)的机会,在合法通信双方进行第二次“握手”后,攻击者用DOS技术将其中一用户down掉,然后与另一作户“握手”,从而变成合法的连接。95年轰动世界的计算机犯罪案,超级黑客Kevin mitnick 攻击 Tsutomu Shimomura 的计算机包托了这种攻击技术。   Web spoofing 和 DNS spoofing 由 IP欺骗变化而来,但有不同的后果,用DNS电子欺骗,用户可被重新指向错误Web网点.

黑客采用的主要攻击手段

  在谈攻击手段前,可以先研究攻击行为的特性来帮助全面了解攻击。

 攻击一台主机,对黑客来说指导思想应该是广泛寻找整个网络系统漏洞薄弱的地方或配置错误是最优先要做的,其次再是寻找一个新的攻击点。假设:我们要攻击一个系统需要进的某台主机,最先要做的可能是先在它附近机器上寻找漏洞或称为可攻击点,而不是先把大量的心思放在要攻击的主机上。
 这样有什么好处呢?一是隐藏自己的真实攻击目标,做为一个攻击跳板。二是利用附近机器与目标机可能具有的“信任”关系,轻易的侵入目标机。三就是整个系统比较大的时候,攻击点就可能比较容易发现,可以在侵入一台机器后,利用sniffer来监听发往目标机器的网络信息.

得到进入系统的权力
得到超级用户的权限
再攻击其它附近的机器

阶段一:得到进入帐号

 攻击者攻击UNIX系统的时候,最先要做的就是得到用户名和密码,他要做就是得到/etc/shadow文件或NISmap。当得到了shadow文件后,就可以用Crack程序尝试将其解密,Crack程序通常是用字典攻击的方法来尝试密码的,因为shadow文件都是用DES不可逆算法加了密,所以只有用一个字典文件(一个含有许许多多单词的文件)对照shadow文件来反复猜测用户的密码,字典文件里的单词就是用来试密码的字符串,如果一个系统的用户比较多,字典文件设计的好,破解率是很高的,根据经验最高竟达30%,搞的好曾经有人试过50%。这就要求用户取密码时要尽量复杂一些,绝对不要是一个单词,最好含有数字和特殊符号,另外要定期

[1] [2] [3]  

更换密码。 
 那么怎么得到目标机器的直入权呢?首先是搜集信息,包括一些系统最新的安全漏洞和攻击漏洞的方法。二是收集关于目标机器的信息,以利于登入系统,如:收集这台机器的用户名,管理员的工作规律等,而黑客利用服务器中所开展的服务进行信息收索,例如:利用Finger得到用户登录
信息,用相应目标主机所开通的rpcinfo相应目标主机所开通的RPC服务信息,用showamount得到目标主机的NFS是否有可趁之机,有的主机在没有正确配置好就开通匿名FTP,或本身程序存在缺陷。可以WWW页面中直接取重要文件……等等,这些不显眼的漏洞,正是黑客收集信息的途径。

当得到系统的进入权后,下面就是要得到超级用户的权限,主要途径是寻找本身系统的漏洞。比较典型的方法有,寻找setuid的程序,有可能以超级用户的身份存取文件。寻找不带验证的NFS以读取文件。利用操作系统,软件的设计漏洞来获得超级用户权利。通常最新发现的安全漏洞和攻?
鞣椒ǘ际枪荚贗nternet上的,攻击者很容易在网上收集这些信息,因为每种系统的漏洞都非常多,而且经常会发现一些新的漏洞,所以一旦攻击者侵入了系统要获得超级用户权的机会也是比较高的。在此阶段也包括了安装窃听器,截取数据包,盗取有价值的信息,如同一网段的用户启动telnet和 Ftp时,用户名和密码都是明码的,盗取后用于进入其他主机(因为大多数用户在不同的机器上有相同的用户名和密杩,甚至有时截得得root的密码!)也即用于第三阶段攻击。

所以管理员更应该跟踪新的安全信息,有些国外的专业机构会定期公布最新漏洞,攻击方法和解决方案。CIAC和CERT都是这方面的权威机构。另外有一些工具可以起到一些自我检查的作用,如ISS的SAFE suite Family,可以在一定程度上起到一些作用。另外很重要的就是要经常给自己的操
作系统补丁和升级一些老的程序。其他免费工具有Tiger,tripwrite,cops,swatch,logsurfer,lsof等等,可起到一定的作用。

阶段三:攻击其它机器

当攻击者得到了超级用户权限,那这个机器就可以用来攻击网络上的其它机器。一般手段有修改login进程以窃取密码,包嗅查器窃取网络数据再传给攻击者。在这个阶段,攻击者已经得到了超级用户权限,它可以修改整个系统的行为等。对管理员来说这个阶段里,除非攻击有故意引起管?
碓弊⒁猓承┏潭壬鲜呛苣丫醪斓模芾碓蓖耆潜欢摹@狭返暮诳突嶙约罕
嘀埔惶坠ぞ叱绦颍槐摺肮ぷ鳌保槐呱境约旱幕疃锹肌;蛘咦鎏囟ǖ奶跫
虏蛔鱿低臣锹迹幌允灸承┬畔ⅲ蛘咦鎏囟ǖ亩鞯鹊取?

其它攻击方法

  除了以上的那些主要的漏洞种类是黑客的常用手段,还有一些技巧是比较犀利的,如:IP抢劫(IP Hijack)、抢劫TTY(TTY Watcher)、“特洛依木马”,等等。

IP抢劫,是指将某个连接的进程强行抢过来。如某个用户正在与某台主机相连,做某些动作。这个时候通过设计好的程序将其抢过来,自己与主机接收和发送数据,这种技术是对付“一次性密码”的连接的好手段,即使你每次的密码不一样或随机,但还是可以得到想要的信息。而用可以欺骗主机,绕过防火墙。使之认为还是原来被抢的那个连接。

抢劫TTY,是指监视同个系统中使用不同TTI设备的用户做的动作,或将其抢过来,以设备使用者的身份做动作。TTY可以用于监视某些人的动作,或等待其离开的时候以他身份执行动作。


“特洛依”杩,指替换某些程序或给出假程序,以获得想要的信息。如为了要得到某个用户的确切密码,可以这样,做一个“陷井”,等用户踩中它,再给出一个很“认真、专业”的信息,如:“系统错误!请重新输入密码。“这样如果用户真的输入了,程序就将其发送给攻击者,自行销毁自己或匿藏起来,等待下次再被激发。

实施的防卫措施

当我们明确要保护什么和清楚Hacker攻击手段后,我们提供 以下查应的措施来防卫非法的网络入侵者。通过Who W, last ,lastcomm, netstat等指令和路由信息。history rchist来查看攻击源。注意:“攻击者也会用工具隐藏攻击源和删除攻击源的记录。建议安装Xinetd
tcp-Wrapper记录下所有连接的信息或安装以太网信息包捕获程序。

* 备份正常的/bin/login/、所有/usr/etc/in。文件、/lib/libc.so. (sun上)、所有在inetd中开启的守护进程、/etc/(u)Wtmp、crontab且要定期检查。注意还可留后门的netstat,ps,ls ifconfig,sum等 指令。

*用find/?/FONT>typef?/FONT>perm?/FONT>4000?/FONT>ls命令找出 suid的文件(当然对root的这类文件和程序更应检查),可用Tripwrite帮助,去掉不必要的S位和防止修改此类型的文件。

*管理员用crack passwd的工具来检查本系统的用户密码,被破译出密码的用户应该马上改进密码。

 [1] [2] [3]  


*检查/etc/hosts.equiv、所有用户的rhosts文件和forward文件。

*Find/-name .rhosts -ls –0-name.forward-ls并用find/-ctime-2-ctime+1-ls找出所有符合此条件的文件!

*用Showamollnt-e Your host name查看是否有开写权限给任何用户或符合你要eXPort的条件。

*最新的sendmail version!!!(I don’t want to write help)

*装上相应系统的最新patch!

*关闭tfp!

*备份正常的/etc/rc.boot/etc/rc.local(sysv:/etc/rc?/χ)等启动文件!并定期检查!

检查/etc/services看是否有给攻击者开了”口子。
(It’s a looooot of ports in that file ,poor administra tor!)

*安装Firewall,降低风险。

*设置id=0组的用户只能在控制台登“陆”

*backup/etc/passwd文件

*tire Can’t fhink! Maybe next time

总结

 没有绝对安全的网络系统,网络信息对抗是一个长期的研究课题,安全问题是多种多样,且随着时间技术的变化而变化,而黑客的侵入手段也随之不断变化,所以安全防护也是非常重要的,保持清醒正确的认识,同时掌握最新的安全问题情况,再加上完善有效的安全策略,是可以阻止大部分的网络入侵,从而保持最小程度的经济损失。
 以上谈到的一些漏洞和防卫技术只是一家之言,或许有些正在成为过时的东西。但是,有句老话叫做“害人之心不可有,防人之心不可无”,在“原子与比特同样是有价值的社会产品”的今天,真诚希望,无论是政府机构,还是ISP,都能从自身的利益出发,切实关注一下网络的安全.

(出处:http://www.sheup.com)


 [1] [2] [3] 


*最新的sendmail version!!!(I don’t want to write help)

*装上相应系统的最新patch!

*关闭tfp!

*备份正常的/etc/rc.boot/etc/rc.local(sysv:/etc/rc?/χ)等启动文件!并定期检查!

检查/etc/services看是否有给攻击者开了”口子。
(It’s a looooot of ports in that file ,poor administra tor!)

*安装Firewall,降低风险。

*设置id=0组的用户只能在控制台登“陆”

*backup/etc/passwd文件

*tire Can’t fhink! Maybe next time

总结

 没有绝对安全的网络系统,网络信息对抗是一个长期的研究课题,安全问题是多种多样,且随着时间技术的变化而变化,而黑客的侵入手段也随之不断变化,所以安全防护也是非常重要的,保持清醒正确的认识,同时掌握最新的安全问题情况,再加上完善有效的安全策略,是可以阻止大部分的网络入侵,从而保持最小程度的经济损失。
 以上谈到的一些漏洞和防卫技术只是一家之言,或许有些正在成为过时的东西。但是,有句老话叫做“害人之心不可有,防人之心不可无”,在“原子与比特同样是有价值的社会产品”的今天,真诚希望,无论是政府机构,还是ISP,都能从自身的利益出发,切实关注一下网络的安全.

(出处:http://www.sheup.com)


 [1] [2] [3] [4] 

标签: