網(wǎng)絡(luò)安全基本知識(shí)

網(wǎng)絡(luò)安全基本知識(shí)網(wǎng)絡(luò)安全基本知識(shí)網(wǎng)絡(luò)安全基本知識(shí)xxx公司網(wǎng)絡(luò)安全基本知識(shí)文件編號(hào)：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計(jì)，管理制度一旦黑客定位了你的網(wǎng)絡(luò)，他通常會(huì)選定一個(gè)目標(biāo)進(jìn)行滲透。通常這個(gè)目標(biāo)會(huì)是安全漏洞最多或是他擁有最多攻擊工具的主機(jī)。非法入侵系統(tǒng)的方法有很多，你應(yīng)當(dāng)對(duì)這些方法引起注意。

常見攻擊類型和特征

攻擊特征是攻擊的特定指紋。入侵監(jiān)測(cè)系統(tǒng)和網(wǎng)絡(luò)掃描器就是根據(jù)這些特征來(lái)識(shí)別和防范攻擊的。下面簡(jiǎn)要回顧一些特定地攻擊滲透網(wǎng)絡(luò)和主機(jī)的方法。

常見的攻擊方法

你也許知道許多常見的攻擊方法，下面列出了一些：

·字典攻擊：黑客利用一些自動(dòng)執(zhí)行的程序猜測(cè)用戶命和密碼，審計(jì)這類攻擊通常需要做全面的日志記錄和入侵監(jiān)測(cè)系統(tǒng)（IDS）。

·Man-in-the-middle攻擊：黑客從合法的傳輸過(guò)程中嗅探到密碼和信息。防范這類攻擊的有效方法是應(yīng)用強(qiáng)壯的加密。

·劫持攻擊：在雙方進(jìn)行會(huì)話時(shí)被第三方（黑客）入侵，黑客黑掉其中一方，并冒充他繼續(xù)與另一方進(jìn)行會(huì)話。雖然不是個(gè)完全的解決方案，但強(qiáng)的驗(yàn)證方法將有助于防范這種攻擊。

·病毒攻擊：病毒是能夠自我復(fù)制和傳播的小程序，消耗系統(tǒng)資源。在審計(jì)過(guò)程中，你應(yīng)當(dāng)安裝最新的反病毒程序，并對(duì)用戶進(jìn)行防病毒教育。

·非法服務(wù)：非法服務(wù)是任何未經(jīng)同意便運(yùn)行在你的操作系統(tǒng)上的進(jìn)程或服務(wù)。你會(huì)在接下來(lái)的課程中學(xué)到這種攻擊。

·拒絕服務(wù)攻擊：利用各種程序（包括病毒和包發(fā)生器）使系統(tǒng)崩潰或消耗帶寬。

容易遭受攻擊的目標(biāo)

最常遭受攻擊的目標(biāo)包括路由器、數(shù)據(jù)庫(kù)、Web和FTP服務(wù)器，和與協(xié)議相關(guān)的服務(wù)，如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標(biāo)。

路由器

連接公網(wǎng)的路由器由于被暴露在外，通常成為被攻擊的對(duì)象。許多路由器為便于管理使用SNMP協(xié)議，尤其是SNMPv1，成為潛在的問(wèn)題。許多網(wǎng)絡(luò)管理員未關(guān)閉或加密Telnet會(huì)話，若明文傳輸?shù)目诹畋唤厝?，黑客就可以重新配置路由器，這種配置包括關(guān)閉接口，重新配置路由跳計(jì)數(shù)等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進(jìn)行終端會(huì)話。

過(guò)濾Telnet

為了避免未授權(quán)的路由器訪問(wèn)，你應(yīng)利用防火墻過(guò)濾掉路由器外網(wǎng)的telnet端口和SNMP[161,162]端口

技術(shù)提示：許多網(wǎng)絡(luò)管理員習(xí)慣于在配置完路由器后將Telnet服務(wù)禁止掉，因?yàn)槁酚善鞑⒉恍枰^(guò)多的維護(hù)工作。如果需要額外的配置，你可以建立物理連接。

路由器和消耗帶寬攻擊

最近對(duì)Yahoo、e-Bay等電子商務(wù)網(wǎng)站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分布式拒絕服務(wù)攻擊工具發(fā)起的：

·TribalFloodNetwork(TFN)

·TribalFloodNetwork(TFN2k)

·Stacheldraht（TFN的一個(gè)變種）

·Trinoo（這類攻擊工具中最早為人所知的）

因?yàn)樵S多公司都由ISP提供服務(wù)，所以他們并不能直接訪問(wèn)路由器。在你對(duì)系統(tǒng)進(jìn)行審計(jì)時(shí)，要確保網(wǎng)絡(luò)對(duì)這類消耗帶寬式攻擊的反映速度。你將在后面的課程中學(xué)習(xí)如何利用路由器防范拒絕服務(wù)攻擊。

數(shù)據(jù)庫(kù)

黑客最想得到的是公司或部門的數(shù)據(jù)庫(kù)?，F(xiàn)在公司普遍將重要數(shù)據(jù)存儲(chǔ)在關(guān)系型或面向?qū)ο蟮臄?shù)據(jù)庫(kù)中，這些信息包括：

·雇員數(shù)據(jù)，如個(gè)人信息和薪金情況。

·市場(chǎng)和銷售情況。

·重要的研發(fā)信息。

·貨運(yùn)情況。

黑客可以識(shí)別并攻擊數(shù)據(jù)庫(kù)。每種數(shù)據(jù)庫(kù)都有它的特征。如SQLServer使用1433/1434端口，你應(yīng)該確保防火墻能夠?qū)υ摲N數(shù)據(jù)庫(kù)進(jìn)行保護(hù)。你會(huì)發(fā)現(xiàn)，很少有站點(diǎn)應(yīng)用這種保護(hù)，尤其在網(wǎng)絡(luò)內(nèi)部。

服務(wù)器安全WEB和FTP這兩種服務(wù)器通常置于DMZ，無(wú)法得到防火墻的完全保護(hù)，所以也特別容易遭到攻擊。Web和FTP服務(wù)通常存在的問(wèn)題包括：

·用戶通過(guò)公網(wǎng)發(fā)送未加密的信息；

·操作系統(tǒng)和服務(wù)存在眾所周知的漏洞導(dǎo)致拒絕服務(wù)攻擊或破壞系統(tǒng)；

·舊有操作系統(tǒng)中以root權(quán)限初始運(yùn)行的服務(wù)，一旦被黑客破壞，入侵者便可以在產(chǎn)生的命令解釋器中運(yùn)行任意的代碼。

Web頁(yè)面涂改

近來(lái)，未經(jīng)授權(quán)對(duì)Web服務(wù)器進(jìn)行攻擊并涂改缺省主頁(yè)的攻擊活動(dòng)越來(lái)越多。許多企業(yè)、政府和公司都遭受過(guò)類似的攻擊。有時(shí)這種攻擊是出于政治目的。大多數(shù)情況下Web頁(yè)面的涂改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊（使用包嗅探器）和利用緩沖區(qū)溢出。有時(shí)，還包括劫持攻擊和拒絕服務(wù)攻擊。

郵件服務(wù)

廣泛使用的SMTP、POP3和IMAP一般用明文方式進(jìn)行通信。這種服務(wù)可以通過(guò)加密進(jìn)行驗(yàn)證但是在實(shí)際應(yīng)用中通信的效率不高。又由于大多數(shù)人對(duì)多種服務(wù)使用相同的密碼，攻擊者可以利用嗅探器得到用戶名和密碼，再利用它攻擊其它的資源，例如WindowsNT服務(wù)器。這種攻擊不僅僅是針對(duì)NT系統(tǒng)。許多不同的服務(wù)共享用戶名和密碼。你已經(jīng)知道一個(gè)薄弱環(huán)節(jié)可以破壞整個(gè)的網(wǎng)絡(luò)。FTP和SMTP服務(wù)通常成為這些薄弱的環(huán)節(jié)。

與郵件服務(wù)相關(guān)的問(wèn)題包括：

·利用字典和暴力攻擊POP3的loginshell；

·在一些版本中sendmail存在緩沖區(qū)溢出和其它漏洞；

·利用E-mail的轉(zhuǎn)發(fā)功能轉(zhuǎn)發(fā)大量的垃圾信件

名稱服務(wù)

攻擊者通常把攻擊焦點(diǎn)集中在DNS服務(wù)上。由于DNS使用UDP，而UDP連接又經(jīng)常被各種防火墻規(guī)則所過(guò)濾，所以許多系統(tǒng)管理員發(fā)現(xiàn)將DNS服務(wù)器至于防火墻之后很困難。因此，DNS服務(wù)器經(jīng)常暴露在外，使它成為攻擊的目標(biāo)。DNS攻擊包括：

·未授權(quán)的區(qū)域傳輸；

下弦月2005-5-1310:09

網(wǎng)絡(luò)安全知識(shí)（2）

·DNS毒藥，這種攻擊是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進(jìn)行區(qū)域傳輸時(shí)插入錯(cuò)誤的DNS信息，一旦成功，攻擊者便可以使輔DNS服務(wù)器提供錯(cuò)誤的名稱到IP地址的解析信息；

·拒絕服務(wù)攻擊；

其它的一些名稱服務(wù)也會(huì)成為攻擊的目標(biāo)，如下所示：

·WINS，“Coke”通過(guò)拒絕服務(wù)攻擊來(lái)攻擊沒(méi)有打補(bǔ)丁的NT系統(tǒng)。

·SMB服務(wù)（包括Windows的SMB和UNIX的Samba）這些服務(wù)易遭受Man-in-the-middle攻擊，被捕獲的數(shù)據(jù)包會(huì)被類似L0phtCrack這樣的程序破解。

·NFS和NIS服務(wù)。這些服務(wù)通常會(huì)遭受Man-in-the-middle方式的攻擊。

在審計(jì)各種各樣的服務(wù)時(shí)，請(qǐng)考慮升級(jí)提供這些服務(wù)的進(jìn)程。

審計(jì)系統(tǒng)BUG

作為安全管理者和審計(jì)人員，你需要對(duì)由操作系統(tǒng)產(chǎn)生的漏洞和可以利用的軟件做到心中有數(shù)。早先版本的MicrosoftIIS允許用戶在地址欄中運(yùn)行命令，這造成了IIS主要的安全問(wèn)題。其實(shí)，最好的修補(bǔ)安全漏洞的方法是升級(jí)相關(guān)的軟件。為了做到這些，你必須廣泛地閱讀和與其他從事安全工作的人進(jìn)行交流，這樣，你才能跟上最新的發(fā)展。這些工作會(huì)幫助你了解更多的操作系統(tǒng)上的特定問(wèn)題。

雖然大多數(shù)的廠商都為其產(chǎn)品的問(wèn)題發(fā)布了修補(bǔ)方法，但你必須充分理解補(bǔ)上了哪些漏洞。如果操作系統(tǒng)或程序很復(fù)雜，這些修補(bǔ)可能在補(bǔ)上舊問(wèn)題的同時(shí)又開啟了新的漏洞。因此，你需要在實(shí)施升級(jí)前進(jìn)行測(cè)試。這些測(cè)試工作包括在隔離的網(wǎng)段中驗(yàn)證它是否符合你的需求。當(dāng)然也需要參照值得信賴的網(wǎng)絡(luò)刊物和專家的觀點(diǎn)。

審計(jì)TrapDoor和RootKit

Rootkit是用木馬替代合法程序。TrapDoor是系統(tǒng)上的bug，當(dāng)執(zhí)行合法程序時(shí)卻產(chǎn)生了非預(yù)期的結(jié)果。如老版本的UNIXsendmail，在執(zhí)行debug命令時(shí)允許用戶以root權(quán)限執(zhí)行腳本代碼，一個(gè)收到嚴(yán)格權(quán)限控制的用戶可以很輕易的添加用戶賬戶。

雖然rootkit通常出現(xiàn)在UNIX系統(tǒng)中，但攻擊者也可以通過(guò)看起來(lái)合法的程序在WindowsNT中置入后門。象NetBus,BackOrifice和MastersofParadise等后門程序可以使攻擊者滲透并控制系統(tǒng)。木馬可以由這些程序產(chǎn)生。如果攻擊者夠狡猾，他可以使這些木馬程序避開一些病毒檢測(cè)程序，當(dāng)然用最新升級(jí)的病毒檢測(cè)程序還是可以發(fā)現(xiàn)它們的蹤跡。在對(duì)系統(tǒng)進(jìn)行審計(jì)時(shí)，你可以通過(guò)校驗(yàn)分析和掃描開放端口的方式來(lái)檢測(cè)是否存在rootkit等問(wèn)題。

審計(jì)和后門程序

通常，在服務(wù)器上運(yùn)行的操作系統(tǒng)和程序都存在代碼上的漏洞。例如，最近的商業(yè)Web瀏覽器就發(fā)現(xiàn)了許多安全問(wèn)題。攻擊者通常知道這些漏洞并加以利用。就象你已經(jīng)知道的RedButton，它利用了WindowsNT的漏洞使攻擊者可以得知缺省的管理員賬號(hào)，即使賬號(hào)的名稱已經(jīng)更改。后門（backdoor）也指在操作系統(tǒng)或程序中未記錄的入口。程序設(shè)計(jì)人員為了便于快速進(jìn)行產(chǎn)品支持有意在系統(tǒng)或程序中留下入口。不同于bug，這種后門是由設(shè)計(jì)者有意留下的。例如，像Quake和Doom這樣的程序含有后門入口允許未授權(quán)的用戶進(jìn)入游戲安裝的系統(tǒng)。雖然看來(lái)任何系統(tǒng)管理員都不會(huì)允許類似的程序安裝在網(wǎng)絡(luò)服務(wù)器上，但這種情況還是時(shí)有發(fā)生。

從后門程序的危害性，我們可以得出結(jié)論，在沒(méi)有首先閱讀資料和向值得信賴的同事咨詢之前不要相信任何新的服務(wù)或程序。在你進(jìn)行審計(jì)時(shí)，請(qǐng)花費(fèi)一些時(shí)間仔細(xì)記錄任何你不了解它的由來(lái)和歷史的程序。

審計(jì)拒絕服務(wù)攻擊

WindowsNT易遭受拒絕服務(wù)攻擊，主要是由于這種操作系統(tǒng)比較流行并且沒(méi)有受到嚴(yán)格的檢驗(yàn)。針對(duì)NT服務(wù)的攻擊如此頻繁的原因可以歸結(jié)為：發(fā)展勢(shì)頭迅猛但存在許多漏洞。在審計(jì)WindowsNT網(wǎng)絡(luò)時(shí)，一定要花時(shí)間來(lái)驗(yàn)證系統(tǒng)能否經(jīng)受這種攻擊的考驗(yàn)。打補(bǔ)丁是一種解決方法。當(dāng)然，如果能將服務(wù)器置于防火墻的保護(hù)之下或應(yīng)用入侵監(jiān)測(cè)系統(tǒng)的話就更好了。通常很容易入侵UNIX操作系統(tǒng)，主要因?yàn)樗辉O(shè)計(jì)來(lái)供那些技術(shù)精湛而且心理健康的人使用。在審計(jì)UNIX系統(tǒng)時(shí)，要注意Finger服務(wù)，它特別容易造成緩沖區(qū)溢出。

緩沖區(qū)溢出

緩沖區(qū)溢出是指在程序重寫內(nèi)存塊時(shí)出現(xiàn)的問(wèn)題。所有程序都需要內(nèi)存空間和緩沖區(qū)來(lái)運(yùn)行。如果有正確的權(quán)限，操作系統(tǒng)可以為程序分配空間。C和C++等編程語(yǔ)言容易造成緩沖區(qū)溢出，主要因?yàn)樗鼈儾幌葯z查是否有存在的內(nèi)存塊就直接調(diào)用系統(tǒng)內(nèi)存。一個(gè)低質(zhì)量的程序會(huì)不經(jīng)檢查就重寫被其它程序占用的內(nèi)存，而造成程序或整個(gè)系統(tǒng)死掉，而留下的shell有較高的權(quán)限，易被黑客利用運(yùn)行任意代碼。

據(jù)統(tǒng)計(jì)，緩沖區(qū)溢出是當(dāng)前最緊迫的安全問(wèn)題。要獲得關(guān)于緩沖區(qū)溢出的更多信息，請(qǐng)?jiān)L問(wèn)H...verflows/

Telnet的拒絕服務(wù)攻擊

Windows中的Telnet一直以來(lái)都是網(wǎng)絡(luò)管理員們最喜愛(ài)的網(wǎng)絡(luò)實(shí)用工具之一，但是一個(gè)新的漏洞表明，在Windows2000中Telnet在守護(hù)其進(jìn)程時(shí)，在已經(jīng)被初始化的會(huì)話還未被復(fù)位的情況下很容易受到一種普通的拒絕服務(wù)攻擊。Telnet連接后，在初始化的對(duì)話還未被復(fù)位的情況下，在一定的時(shí)間間隔之后，此時(shí)如果連接用戶還沒(méi)有提供登錄的用戶名及密碼，Telnet的對(duì)話將會(huì)超時(shí)。直到用戶輸入一個(gè)字符之后連接才會(huì)被復(fù)位。如果惡意用戶連接到Windows2000的Telnet守護(hù)進(jìn)程中，并且對(duì)該連接不進(jìn)行復(fù)位的話，他就可以有效地拒絕其他的任何用戶連接該Telnet服務(wù)器，主要是因?yàn)榇藭r(shí)Telnet的客戶連接數(shù)的最大值是1。在此期間任何其他試圖連接該Telnet服務(wù)器的用戶都將會(huì)收到如下錯(cuò)誤信息：

MicrosoftWindowsWorkstationallowsonly1TelnetClientLicenseServerhasclosedconnection

察看“列出當(dāng)前用戶”選項(xiàng)時(shí)并不會(huì)顯示超時(shí)的會(huì)話，因?yàn)樵摃?huì)話還沒(méi)有成功地通過(guò)認(rèn)證。

WindowsNT的TCPport3389存在漏洞

WindowsNTServer終端服務(wù)器版本所作的DoS攻擊。這個(gè)安全性弱點(diǎn)讓遠(yuǎn)端使用者可以迅速的耗盡WindowsNTTerminalServer上所有可用的內(nèi)存，造成主機(jī)上所有登陸者斷線，并且無(wú)法再度登入。

說(shuō)明：

1.WindowsNTServer終端服務(wù)器版本在TCPport3389監(jiān)聽終端連接(terminalconnection)，一旦某個(gè)TCP連接連上這個(gè)端口,終端服務(wù)器會(huì)開始分配系統(tǒng)資源，以處理新的客戶端連接，并作連接的認(rèn)證工作。

2.此處的漏洞在于：在認(rèn)證工作完成前，系統(tǒng)需要撥出相當(dāng)多的資源去處理新的連接，而系統(tǒng)并未針對(duì)分配出去的資源作節(jié)制。因此遠(yuǎn)端的攻擊者可以利用建立大量TCP連接到port3389的方法，造成系統(tǒng)存儲(chǔ)體配置達(dá)到飽和。

3.此時(shí)服務(wù)器上所有使用者連接都會(huì)處于超時(shí)狀態(tài)，而無(wú)法繼續(xù)連接到服務(wù)器上，遠(yuǎn)端攻擊者仍能利用一個(gè)僅耗用低頻寬的程式，做出持續(xù)性的攻擊，讓此服務(wù)器處?kù)蹲疃嘤洃涹w被耗用的狀態(tài)，來(lái)避免新的連接繼續(xù)產(chǎn)生。

4.在國(guó)外的測(cè)試報(bào)告中指出，長(zhǎng)期持續(xù)不斷針對(duì)此項(xiàng)弱點(diǎn)的攻擊，甚至可以導(dǎo)致服務(wù)器持續(xù)性當(dāng)機(jī)，除非重新開機(jī)，服務(wù)器將無(wú)法再允許新連接的完成。

解決方案：

1.以下是修正程序的網(wǎng)址：

/w...sa/NT40tse/hotfixespostSP4/Flood-fix/

[注意]：因?yàn)樾袛?shù)限制，上面網(wǎng)址請(qǐng)合并為一行。

2.更詳細(xì)資料請(qǐng)參考Microsoft網(wǎng)站的網(wǎng)址：

/bulletins/.

防范拒絕服務(wù)攻擊

你可以通過(guò)以下方法來(lái)減小拒絕服務(wù)攻擊的危害：

·加強(qiáng)操作系統(tǒng)的補(bǔ)丁等級(jí)。

·如果有雇員建立特定的程序，請(qǐng)?zhí)貏e留意代碼的產(chǎn)生過(guò)程。

·只使用穩(wěn)定版本的服務(wù)和程序。

審計(jì)非法服務(wù)，特洛伊木馬和蠕蟲

非法服務(wù)開啟一個(gè)秘密的端口，提供未經(jīng)許可的服務(wù)，常見的非法服務(wù)包括：

·NetBus

·BackOrifice和BackOrifice2000

·Girlfriend

·冰河

·秘密的建立共享的程序

許多程序?qū)⒉煌姆欠ǚ?wù)聯(lián)合起來(lái)。例如，BackOrifice2000允許你將HTTP服務(wù)配置在任意端口。你可以通過(guò)掃描開放端口來(lái)審計(jì)這類服務(wù)，確保你了解為什么這些端口是開放的。如果你不知道這些端口的用途，用包嗅探器和其它程序來(lái)了解它的用途。

技術(shù)提示：不要混淆非法服務(wù)和木馬。木馬程序通常包含非法服務(wù)，而且，木馬程序還可以包含擊鍵記錄程序，蠕蟲或病毒。

特洛伊木馬

特洛伊木馬是在執(zhí)行看似正常的程序時(shí)還同時(shí)運(yùn)行了未被察覺(jué)的有破壞性的程序。木馬通常能夠?qū)⒅匾男畔魉徒o攻擊者。攻擊者可以把任意數(shù)量的程序植入木馬。例如，他們?cè)谝粋€(gè)合法的程序中安放rootkit或控制程序。還有一些通常的策略是使用程序來(lái)捕獲密碼和口令的hash值。類似的程序可以通過(guò)E-mail把信息發(fā)送到任何地方。

審計(jì)木馬

掃描開放端口是審計(jì)木馬攻擊的途徑之一。如果你無(wú)法說(shuō)明一個(gè)開放端口用途，你也許就檢測(cè)到一個(gè)問(wèn)題。所以，盡量在你的系統(tǒng)上只安裝有限的軟件包，同時(shí)跟蹤這些程序和服務(wù)的漏洞。許多TCP/IP程序動(dòng)態(tài)地使用端口，因此，你不應(yīng)將所有未知的端口都視為安全漏洞。在建立好網(wǎng)絡(luò)基線后，你便可以確定哪些端口可能存在問(wèn)題了。

蠕蟲

Melissa病毒向我們展示了TCP/IP網(wǎng)絡(luò)是如何容易遭受蠕蟲攻擊的。在你審計(jì)系統(tǒng)時(shí)，通常需要配置防火墻來(lái)排除特殊的活動(dòng)。防火墻規(guī)則的設(shè)置超出了本術(shù)的范圍。但是，作為審計(jì)人員，你應(yīng)當(dāng)對(duì)建議在防火墻上過(guò)濾那些從不信任的網(wǎng)絡(luò)來(lái)的數(shù)據(jù)包和端口有所準(zhǔn)備。

蠕蟲靠特定的軟件傳播。例如，在2000年三月發(fā)現(xiàn)的Win32/蠕蟲只能攻擊運(yùn)行MicrosoftOutlook程序的Windows操作系統(tǒng)。這種蠕蟲可以自行傳播，癱瘓任何種類的Windows系統(tǒng)而且使它持續(xù)地運(yùn)行不穩(wěn)定。

下弦月2005-5-1310:09

網(wǎng)絡(luò)安全知識(shí)（3）

結(jié)合所有攻擊定制審計(jì)策略

攻擊者有兩個(gè)共同的特點(diǎn)。首先，他們將好幾種不同的方法和策略集中到一次攻擊中。其次，他們?cè)谝淮喂糁欣煤脦追N系統(tǒng)。綜合應(yīng)用攻擊策略可以增強(qiáng)攻擊的成功率。同時(shí)利用好幾種系統(tǒng)使他們更不容易被捕獲。

例如，在實(shí)施IP欺騙時(shí)，攻擊者通常會(huì)先實(shí)施拒絕服務(wù)攻擊以確保被攻擊主機(jī)不會(huì)建立任何連接。大多數(shù)使用Man-in-the-middle的攻擊者會(huì)先捕獲SMB的密碼，再使用L0phtCrack這樣的程序進(jìn)行暴力破解攻擊。

滲透策略

你已經(jīng)了解到那些網(wǎng)絡(luò)設(shè)備和服務(wù)是通常遭受攻擊的目標(biāo)和黑客活動(dòng)的攻擊特征?，F(xiàn)在，請(qǐng)參考下列的一些場(chǎng)景。它們將有助于你在審計(jì)過(guò)程中關(guān)注那些設(shè)備和服務(wù)。請(qǐng)記住，將這些攻擊策略結(jié)合起來(lái)的攻擊是最容易成功的。

物理接觸

如果攻擊者能夠物理接觸操作系統(tǒng)，他們便可以通過(guò)安裝和執(zhí)行程序來(lái)使驗(yàn)證機(jī)制無(wú)效。例如，攻擊者可以重啟系統(tǒng)，利用其它啟動(dòng)盤控制系統(tǒng)。由于一種文件系統(tǒng)可以被另一種所破壞，所以你可以使用啟動(dòng)盤獲得有價(jià)值的信息，例如有管理權(quán)限的賬號(hào)。

物理攻擊的簡(jiǎn)單例子包括通過(guò)重新啟動(dòng)系統(tǒng)來(lái)破壞Windows95或98的屏幕鎖定功能。更簡(jiǎn)單的物理攻擊是該系統(tǒng)根本就沒(méi)有進(jìn)行屏幕鎖定。

操作系統(tǒng)策略

近來(lái)，美國(guó)白宮的Web站點(diǎn)（）被一個(gè)缺乏經(jīng)驗(yàn)的攻擊者黑掉。攻擊者偵查出該Web服務(wù)器（7。雖然Solaris7被成為藝術(shù)級(jí)的操作系統(tǒng)，但管理員并沒(méi)有改變系統(tǒng)的缺省設(shè)置。雖然該站點(diǎn)的管理員設(shè)置了tripwire，但攻擊者還是使用phf/ufsrestore命令訪問(wèn)了Web服務(wù)器。

較弱的密碼策略

上面白宮網(wǎng)站被黑的例子可能是由于該系統(tǒng)管理員使用FTP來(lái)升級(jí)服務(wù)器。雖然使用FTP來(lái)更新網(wǎng)站并沒(méi)有錯(cuò)，但大多數(shù)FTP會(huì)話使用明文傳輸密碼。很明顯，該系統(tǒng)管理員并沒(méi)有意識(shí)到這種安全隱患。又由于大多數(shù)系統(tǒng)管理員在不同的服務(wù)上使用相同的密碼，這使攻擊者能夠獲得系統(tǒng)的訪問(wèn)權(quán)。更基本的，你可以保證/etc/passwd文件的安全。

NetBIOSAuthenticationTool（NAT）

當(dāng)攻擊者以WindowsNT為目標(biāo)時(shí)，他們通常會(huì)使用NetBIOSAuthenticationTool（NAT）來(lái)測(cè)試弱的口令。這個(gè)程序可以實(shí)施字典攻擊。當(dāng)然它也有命令行界面，這種界面的攻擊痕跡很小。而且命令行界面的程序也很好安裝和使用。在使用NAT時(shí)，你必須指定三個(gè)文本文件和IP地址的范圍。當(dāng)然，你也可以指定一個(gè)地址。NAT使用兩個(gè)文本文件來(lái)實(shí)施攻擊而第三個(gè)來(lái)存儲(chǔ)攻擊結(jié)果。第一個(gè)文本文件包含一個(gè)用戶列表，第二個(gè)文件中是你輸入的猜測(cè)密碼。

當(dāng)使用命令行版本時(shí)，語(yǔ)法格式為：

nat–u–p–o

即使服務(wù)器設(shè)置了密碼的過(guò)期策略和鎖定，攻擊者還是可以利用NAT反復(fù)嘗試登錄來(lái)騷擾管理員。通過(guò)簡(jiǎn)單地鎖定所有已知的賬號(hào)，攻擊者會(huì)極大地影響服務(wù)器的訪問(wèn)，這也是一些系統(tǒng)管理員不強(qiáng)行鎖定賬號(hào)的原因。

較弱的系統(tǒng)策略

到此為止，你已經(jīng)學(xué)習(xí)了一些外部攻擊。然而，對(duì)于管理員來(lái)說(shuō)最緊迫的是大多數(shù)公司都存在不好的安全策略。如果安全策略很弱或干脆沒(méi)有安全策略，通常會(huì)導(dǎo)致弱的密碼和系統(tǒng)策略。通常，公司并不采取簡(jiǎn)單的預(yù)防措施，比如需要非空的或有最小長(zhǎng)度要求的密碼。忽略這些限制會(huì)給攻擊者留下很大的活動(dòng)空間。

審計(jì)文件系統(tǒng)漏洞

不論你的操作系統(tǒng)采取何種文件系統(tǒng)（FAT，NTFS或NFS），每種系統(tǒng)都有它的缺陷。例如，缺省情況下NTFS在文件夾和共享創(chuàng)建之初everyone組可完全控制。由于它是操作系統(tǒng)的組成部分（WindowsNT），因此也成為許多攻擊的目標(biāo)。NFS文件系統(tǒng)可以共享被遠(yuǎn)程系統(tǒng)掛接，因此這也是攻擊者入侵系統(tǒng)的途徑之一。

IP欺騙和劫持：實(shí)例

IP欺騙是使驗(yàn)證無(wú)效的攻擊手段之一，也是如何組合攻擊策略攻擊網(wǎng)絡(luò)的典型實(shí)例。IP欺騙利用了Internet開放式的網(wǎng)絡(luò)設(shè)計(jì)和傳統(tǒng)的建立在UNIX操作系統(tǒng)之間信任關(guān)系。主要的問(wèn)題是使用TCP/IP協(xié)議的主機(jī)假設(shè)所有從合法IP地址發(fā)來(lái)的數(shù)據(jù)包都是有效的。攻擊者可以利用這一缺陷，通過(guò)程序來(lái)發(fā)送虛假的IP包，從而建立TCP連接，攻擊者可以使一個(gè)系統(tǒng)看起來(lái)象另一個(gè)系統(tǒng)。

許多UNIX操作系統(tǒng)通過(guò)rhosts和rlogin在非信任的網(wǎng)絡(luò)上（如Internet）建立信任的連接。這種傳統(tǒng)的技術(shù)是流行的管理工具并減輕了管理負(fù)擔(dān)。通常，這種系統(tǒng)由于把UNIX的驗(yàn)證機(jī)制和IP地址使用相結(jié)合從而提供了適當(dāng)?shù)陌踩?。然而，這種驗(yàn)證機(jī)制是如此的獨(dú)立于IP地址不會(huì)被偽造的假設(shè)，以至于很容易被擊破。

Non-blindspoofing和Blindspoofing

Non-blindspoofing是指攻擊者在同一物理網(wǎng)段上操縱連接。Blindspoofing是指攻擊者在不同的物理網(wǎng)段操縱連接。后者在實(shí)施上更困難，但也時(shí)常發(fā)生。

進(jìn)行IP欺騙的攻擊者需要一些程序，包括：

·一個(gè)包嗅探器

·一個(gè)能夠同時(shí)終止TCP連接、產(chǎn)生另一個(gè)TCP連接、進(jìn)行IP偽裝的程序

IP欺騙涉及了三臺(tái)主機(jī)。像先前分析的那樣，使用驗(yàn)證的服務(wù)器必須信任和它建立連接的主機(jī)。如果缺乏天生的安全特性，欺騙是非常容易的。

思考下列的場(chǎng)景，有三臺(tái)主機(jī)分別是A,B和C。A使用TCPSYN連接與合法用戶B初始一個(gè)連接。但是B并沒(méi)有真正參與到這次連接中，因?yàn)镃已經(jīng)對(duì)B實(shí)施了拒絕服務(wù)攻擊。所以，雖然A認(rèn)為是在與B對(duì)話，但實(shí)際上是與C對(duì)話。IP欺騙實(shí)際上組合了幾種攻擊手法包括對(duì)系統(tǒng)實(shí)施了拒絕服務(wù)攻擊，還包括利用驗(yàn)證技術(shù)。

作為審計(jì)人員，你不應(yīng)該說(shuō)服管理員終止這種信任關(guān)系，相反，你應(yīng)當(dāng)建議使用防火墻規(guī)則來(lái)檢測(cè)有問(wèn)題的包。

TCP/IP序列號(hào)生成方法

TCP的InitialSequenceNumber(ISN)的預(yù)測(cè)

正常的TCP連接基于一個(gè)三次握手(3-wayhandshake)，一個(gè)客戶端(Client)向服務(wù)器(Server)發(fā)送一個(gè)初始化序列號(hào)ISNc，隨后，服務(wù)器相應(yīng)這個(gè)客戶端ACK(ISNc),并且發(fā)送自己的初始化序列號(hào)ISNs，接著，客戶端響應(yīng)這個(gè)ISNs（如下圖），三次握手完成。

C---〉S:(ISNc)

S---〉C:ACK(ISNc)+ISNs

C---〉S:ACK(ISNs)

C---〉S:data

and/or

S---〉C:data

下面，我以Windows2000AdvancedServer為例，來(lái)說(shuō)一下兩臺(tái)主機(jī)是如何進(jìn)行三次握手。

我們可以看到：

1)Smartboy首先發(fā)送一個(gè)seq:的包給服務(wù)器

2)然后,,它送給Smartboy自己的

seq:25而且響應(yīng)Smartboy的ack:40。

3)Smartboy再響應(yīng)服務(wù)器,seq:40,ack:26。

三次握手完畢，兩臺(tái)幾建立起連接。

可以看出，在三次握手協(xié)議中，Clinet一定要監(jiān)聽服務(wù)器發(fā)送過(guò)來(lái)的ISNs,TCP使用的sequencenumber是一個(gè)32位的計(jì)數(shù)器，從0-95。TCP為每一個(gè)連接選擇一個(gè)初始序號(hào)ISN，為了防止因?yàn)檠舆t、重傳等擾亂三次握手，ISN不能隨便選取，不同系統(tǒng)有不同算法。理解TCP如何分配ISN以及ISN隨時(shí)間變化的規(guī)律，對(duì)于成功地進(jìn)行IP欺騙攻擊很重要。

在Unix系統(tǒng)里，基于遠(yuǎn)程過(guò)程調(diào)用RPC的命令，比如rlogin、rcp、rsh等等，根據(jù)/etc/以及$HOME/.rhosts文件進(jìn)行安全校驗(yàn)，其實(shí)質(zhì)是僅僅根據(jù)源IP地址進(jìn)行用戶身份確認(rèn)，以便允許或拒絕用戶RPC。這就給與了那些攻擊者進(jìn)行IP地址欺騙的機(jī)會(huì)。

讓我們看X是如何冒充T來(lái)欺騙S，從而建立一個(gè)非法連接：

X---->S:SYN(ISNx),SRC=T

S---->T:SYN(ISNs),ACK(ISNT)（*）

X---->S:ACK(ISNs+1),SRC=T（**）

X---->S:ACK(ISNs+1),SRC=T,攻擊命令（可能是一些特權(quán)命令）

但是，T必須要在第（**）中給出ISNs,問(wèn)題是ISNs在第（*）步中發(fā)給了T(X當(dāng)然很難截取到)，幸運(yùn)的是，TCP協(xié)議有一個(gè)約定:ISN變量每秒增加250,000次，這個(gè)增加值在許多版本比較舊的操作系統(tǒng)中都是一個(gè)常量，在中是125000次每秒，這就給X一個(gè)可乘之機(jī)。

[Lasteditedby下弦月on2005-5-13at18:19]

下弦月2005-5-1310:11

網(wǎng)絡(luò)安全知識(shí)（4）

看一下X是如何猜出ISNs:

a、首先，X發(fā)送一個(gè)SYN包來(lái)獲取服務(wù)器現(xiàn)在的ISNs

X---〉S:(ISNx)

S---〉X:ACK(ISNx)+ISNs#(1)

b、緊接著，X冒充T向服務(wù)器發(fā)送SYN包

X---〉S:SYN(ISNx),SRC=T(2)

c、于是，服務(wù)器發(fā)出一個(gè)響應(yīng)包給T(這個(gè)包X是收不到的)

S---〉T:SYN(ISNs$),ACK(ISNT)(3)

d、X計(jì)算ISNs$:

ISNs$=ISNs#+RTT×IncrementofISN(4)

其中，RTT(RoundTripTime),是一個(gè)包往返X和S所用的時(shí)間,可以通過(guò)Ping來(lái)得到。

上圖顯示了roundtriptimes(RTT)大概是０。

IncrementofISN是協(xié)議棧的初始序列號(hào)每秒鐘增加的值，以Unix為例，當(dāng)沒(méi)有外部連接發(fā)生時(shí)，服務(wù)器的ISN每秒增加128,000,有連接的時(shí)候，服務(wù)器的ISN每秒增加64,000。

e、于是，

X--->S:ACK(ISNs$)（冒充可信主機(jī)成功了）

X--->S:惡意的命令或竊取機(jī)密消息的命令

在評(píng)價(jià)以下的解決方案時(shí)有幾點(diǎn)要注意：

1.該解決方案是否很好地滿足TCP的穩(wěn)定性和可操作性的要求

2.該解決方案是否容易實(shí)現(xiàn)

3.該解決方案對(duì)性能的影響如何

4.該解決方案是否經(jīng)得起時(shí)間的考驗(yàn)

以下的幾種方案各有各的優(yōu)點(diǎn)和缺點(diǎn)，它們都是基于增強(qiáng)ISN生成器的目標(biāo)提出的。

配置和使用密碼安全協(xié)議

TCP的初始序列號(hào)并沒(méi)有提供防范連接攻擊的相應(yīng)措施。TCP的頭部缺少加密選項(xiàng)用于強(qiáng)加密認(rèn)證，于是，一種叫做IPSec的密碼安全協(xié)議的技術(shù)提出了。IPSec提供了一種加密技術(shù)（Endtoendcryptographic），使系統(tǒng)能驗(yàn)證一個(gè)包是否屬于一個(gè)特定的流。這種加密技術(shù)是在網(wǎng)絡(luò)層實(shí)現(xiàn)的。其它的在傳輸層實(shí)現(xiàn)的解決方案（如SSL/TLS和SSH1/SSH2）,只能防止一個(gè)無(wú)關(guān)的包插入一個(gè)會(huì)話中，但對(duì)連接重置（拒絕服務(wù)）卻無(wú)能為力，原因是因?yàn)檫B接處理是發(fā)生在更低的層。IPSec能夠同時(shí)應(yīng)付著兩種攻擊（包攻擊和連接攻擊）。它直接集成在網(wǎng)絡(luò)層的安全模型里面。

上面的解決方案并不需要對(duì)TCP協(xié)議做任何得修改，RFC2385(“基于TCPMD5簽名選項(xiàng)的BGP會(huì)話保護(hù))和其他的技術(shù)提供了增加TCP頭部的密碼保護(hù)，但是，卻帶來(lái)了收到拒絕服務(wù)攻擊和互操作性和性能方面的潛在威脅。使用加密安全協(xié)議有幾個(gè)優(yōu)于其它方案的地方。TCP頭部加密防止了Hijacking和包擾亂等攻擊行為，而TCP層仍然能夠提供返回一個(gè)簡(jiǎn)單增加ISN的機(jī)制，使方案提供了最大程度的可靠性。但實(shí)現(xiàn)IPSec非常復(fù)雜，而且它需要客戶機(jī)支持，考慮到可用性，許多系統(tǒng)都選擇使用RFC1948。

使用RFC1948

在RFC1948中，Bellovin提出了通過(guò)使用4-tuples的HASH單向加密函數(shù)，能夠使遠(yuǎn)程攻擊者無(wú)從下手（但不能阻止同一網(wǎng)段的攻擊者通過(guò)監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)來(lái)判斷ISN）。

Newsham在他的論文[ref_newsham]中提到:

RFC1948[ref1]提出了一種不容易攻擊（通過(guò)猜測(cè)）的TCPISN的生成方法。此方法通過(guò)連接標(biāo)識(shí)符來(lái)區(qū)分序列號(hào)空間。每一個(gè)連接標(biāo)識(shí)符由本地地址，本地端口，遠(yuǎn)程地址，遠(yuǎn)程端口來(lái)組成，并由一個(gè)函數(shù)計(jì)算標(biāo)識(shí)符分的序列號(hào)地址空間偏移值（唯一）。此函數(shù)不能被攻擊者獲得，否則，攻擊者可以通過(guò)計(jì)算獲得ISN。于是，ISN就在這個(gè)偏移值上增加。ISN的值以這種方式產(chǎn)生能夠抵受上面提到的對(duì)ISN的猜測(cè)攻擊。

一旦全局ISN空間由上述方法來(lái)生成，所有的對(duì)TCPISN的遠(yuǎn)程攻擊都變得不合實(shí)際。但是，需要指出的，即使我們依照RFC1948來(lái)實(shí)現(xiàn)ISN的生成器，攻擊者仍然可以通過(guò)特定的條件來(lái)獲得ISN(這一點(diǎn)在后面敘述).

另外，用加密的強(qiáng)哈希算法(MD5)來(lái)實(shí)現(xiàn)ISN的生成器會(huì)導(dǎo)致TCP的建立時(shí)間延長(zhǎng)。所以，有些生成器（如Linuxkernel）選擇用減少了輪數(shù)的MD4函數(shù)來(lái)提供足夠好的安全性同時(shí)又把性能下降變得最低。削弱哈希函數(shù)的一個(gè)地方是每幾分鐘就需要對(duì)生成器做一次re-key的處理，經(jīng)過(guò)了一次re-key的處理后，安全性提高了，但是，RFC793提到的可靠性卻變成另一個(gè)問(wèn)題。

我們已經(jīng)知道，嚴(yán)格符合RFC1948的ISN生成方法有一個(gè)潛在的危機(jī)：

一個(gè)攻擊者如果以前合法擁有過(guò)一個(gè)IP地址，他通過(guò)對(duì)ISN進(jìn)行大量的采樣，可以估計(jì)到隨后的ISN的變化規(guī)律。在以后，盡管這個(gè)IP地址已經(jīng)不屬于此攻擊者，但他仍然可以通過(guò)猜測(cè)ISN來(lái)進(jìn)行IP欺騙。

以下，我們可以看到RFC1948的弱點(diǎn):

ISN=M+F(sip,sport,dip,dport,)

其中

ISN32位的初始序列號(hào)

M單調(diào)增加的計(jì)數(shù)器

F單向散列哈希函數(shù)(例如MD4orMD5)

sip源IP地址

sport源端口

dip目的IP地址

dport目的端口

哈希函數(shù)可選部分，使遠(yuǎn)程攻擊者更難猜到ISN.

ISN自身的值是按照一個(gè)常數(shù)值穩(wěn)定增加的,所以F()需要保持相對(duì)的穩(wěn)定性。而根據(jù)Bellovin所提出的，是一個(gè)系統(tǒng)特定的值（例如機(jī)器的啟動(dòng)時(shí)間，密碼，初始隨機(jī)數(shù)等），這些值并不會(huì)經(jīng)常變。

但是，如果Hash函數(shù)在實(shí)現(xiàn)上存在漏洞（我們無(wú)法保證一個(gè)絕對(duì)安全的Hash函數(shù)，況且，它的實(shí)現(xiàn)又與操作系統(tǒng)密切相關(guān)），攻擊者就可以通過(guò)大量的采樣，來(lái)分析，其中，源IP地址，源端口，目的IP地址，目的端口都是不變的，這減少了攻擊者分析的難度。

LinuxTCP的ISN生成器避免了這一點(diǎn)。它每５分鐘計(jì)算一次值,把泄漏的風(fēng)險(xiǎn)降到了最低。

有一個(gè)辦法可以做的更好：

取M=M+R(t)

ISN=M+F(sip,sport,dip,dport,)

其中

R(t)是一個(gè)關(guān)于時(shí)間的隨機(jī)函數(shù)

很有必要這樣做，因?yàn)樗构粽卟聹y(cè)ISN的難度更大了（弱點(diǎn)在理論上還是存在的）。

其它一些方法

構(gòu)造TCPISN生成器的一些更直接的方法是：簡(jiǎn)單地選取一些隨機(jī)數(shù)作為ISN。這就是給定一個(gè)32位的空間，指定ISN=R(t)。(假設(shè)R()是完全的非偽隨機(jī)數(shù)生成函數(shù))

固然，對(duì)于完全隨機(jī)的ISN值，攻擊者猜測(cè)到的可能性是１／２32是，隨之帶來(lái)的一個(gè)問(wèn)題是ISN空間里面的值的互相重復(fù)。這違反了許多RFC(RFC793,RFC1185,RFC1323,RFC1948等)的假設(shè)----ISN單調(diào)增加。這將對(duì)TCP協(xié)議的穩(wěn)定性和可靠性帶來(lái)不可預(yù)計(jì)的問(wèn)題。

其它一些由NielsProvos（來(lái)自O(shè)penBSD組織）結(jié)合完全隨機(jī)方法和RFC1948解決方案：

ISN=((PRNG(t))<<16)+R(t)３２位

其中

PRNG(t)：一組隨機(jī)指定的連續(xù)的１６位數(shù)字0x00000000--0xffff0000

R(t)：16位隨機(jī)數(shù)生成器（它的高位msb設(shè)成０）0x00000000--0x0000ffff

上面的公式被用于設(shè)計(jì)OpenBsd的ISN生成器，相關(guān)的源代碼可以從下面的網(wǎng)址獲得

-bin/cvsweb/src/...inet/

Provos的實(shí)現(xiàn)方法有效地生成了一組在給定時(shí)間內(nèi)的不會(huì)重復(fù)的ISN的值，每?jī)蓚€(gè)ISN值都至少相差32K,這不但避免了隨機(jī)方法造成的ISN的值的沖突，而且避免了因?yàn)楣：瘮?shù)計(jì)算帶來(lái)的性能上的下降，但是，它太依賴于系統(tǒng)時(shí)鐘，一旦系統(tǒng)時(shí)鐘狀態(tài)給攻擊者知道了，就存在著系統(tǒng)的全局ISN狀態(tài)泄密的危機(jī)。

TCPISN生成器的構(gòu)造方法的安全性評(píng)估

ISN與PRNGs(偽隨機(jī)數(shù)生成器)

我們很難用一臺(tái)計(jì)算機(jī)去生成一些不可預(yù)測(cè)的數(shù)字，因?yàn)椋?jì)算機(jī)被設(shè)計(jì)成一種以重復(fù)和準(zhǔn)確的方式去執(zhí)行一套指令的機(jī)器。所以，每個(gè)固定的算法都可以在其他機(jī)器上生成同樣的結(jié)果。如果能夠推斷遠(yuǎn)程主機(jī)的內(nèi)部狀態(tài)，攻擊者就可以預(yù)測(cè)它的輸出；即使不知道遠(yuǎn)程主機(jī)的PNRG函數(shù)，但因?yàn)樗惴ㄗ罱K會(huì)使ISN回繞，按一定的規(guī)律重復(fù)生成以前的ISN,所以，攻擊者仍然可以推斷ISN。幸運(yùn)的是，目前條件下，ISN的重復(fù)可以延長(zhǎng)到幾個(gè)月甚至幾年。但是，仍然有部分PRNG生成器在產(chǎn)生500個(gè)元素后就開始回繞。解決偽隨機(jī)數(shù)的方法是引入外部隨機(jī)源，擊鍵延時(shí)，I/O中斷，或者其它對(duì)攻擊者來(lái)說(shuō)不可預(yù)知的參數(shù)。把這種方法和一個(gè)合理的HASH函數(shù)結(jié)合起來(lái)，就可以產(chǎn)生出32位的不可預(yù)知的TCPISN的值，同時(shí)又隱蔽了主機(jī)的PNRG的內(nèi)部狀態(tài)。不幸的是，很少的TCPISN產(chǎn)生器是按這種思路去設(shè)計(jì)的，但即使是這樣設(shè)計(jì)的產(chǎn)生器，也會(huì)有很多的實(shí)現(xiàn)上的漏洞使這個(gè)產(chǎn)生器產(chǎn)生的ISN具有可猜測(cè)性。

RFC1948的建議提供了一種比較完善的方法，但是，對(duì)攻擊者來(lái)說(shuō)，ISN仍然存在著可分析性和猜測(cè)性。其中，PRNG的實(shí)現(xiàn)是個(gè)很關(guān)鍵的地方。

[Lasteditedby下弦月on2005-5-13at18:21]

下弦月2005-5-1310:12

網(wǎng)絡(luò)安全知識(shí)（5）

Spoofing集合

需要知道一點(diǎn)是，如果我們有足夠的能力能夠同時(shí)可以發(fā)出２32個(gè)包，每個(gè)包由不同的ISN值，那么，猜中ISN的可能性是100%。但是，無(wú)論從帶寬或計(jì)算機(jī)的速度來(lái)說(shuō)都是不實(shí)際的。但是，我們?nèi)匀豢梢园l(fā)大量的包去增加命中的幾率，我們把這個(gè)發(fā)出的攻擊包的集合稱為Spoofing集合。通常，從計(jì)算機(jī)速度和網(wǎng)絡(luò)數(shù)據(jù)上傳速率兩方面來(lái)考慮，含5000個(gè)包的Spoofing的集合對(duì)眾多的網(wǎng)絡(luò)用戶是沒(méi)有問(wèn)題的，5000-60000個(gè)包的Spoofing集合對(duì)寬帶網(wǎng)的用戶也是不成問(wèn)題的，大于60000個(gè)包的Spoofing集合則超出一般攻擊者的能力。網(wǎng)絡(luò)的速度和計(jì)算機(jī)性能的不斷增加會(huì)提高那種使用窮盡攻擊方法猜測(cè)ISN的成功率。從攻擊者的立場(chǎng)，當(dāng)然希望能夠通過(guò)定制一個(gè)盡可能小的Spoofing集合，而命中的幾率又盡可能高。我們假定我們攻擊前先收集50000個(gè)包作為ISN值的采樣，然后，我們把這些ISN用作對(duì)將來(lái)的ISN的值猜測(cè)的依據(jù)。

一種稱為“delaycoordinates”的分析方法

在動(dòng)態(tài)系統(tǒng)和非線性系統(tǒng)中，經(jīng)常使用一種叫做“delaycoordinates”的分析法，這種方法使我們可以通過(guò)對(duì)以前的數(shù)據(jù)的采樣分析來(lái)推想以后的數(shù)據(jù)。

我們?cè)噲D以建立一個(gè)三維空間（x,y,z）來(lái)觀察ISN值（seq[t]）的變化，其中t取0,1,2,……

方程組（E1）

現(xiàn)在，對(duì)采樣了的50000個(gè)ISN序列seq[t]按照上面的三個(gè)方程式來(lái)構(gòu)建空間模型A。這樣，就可以通過(guò)A的圖像特征來(lái)分析這個(gè)PNRG生成的ISN值的規(guī)律。Ａ呈現(xiàn)的空間模型的３D特性越強(qiáng)，它的可分析性就越好。

接著，我們根據(jù)這個(gè)模型，去分析下一個(gè)ISN值seq[t],為此，我們用一個(gè)集合K(5000個(gè))去猜測(cè)seq[t]。

如果我們知道seq[t-1],要求seq[t],那么，可以通過(guò)在這個(gè)三維空間中找出一個(gè)有良好特性的節(jié)點(diǎn)P(x,y,z)，將+seq[t-1],我們就可以得到seq[t]?，F(xiàn)在，我們將注意力放到怎樣在這個(gè)三維空間中選擇一些點(diǎn)來(lái)構(gòu)成Spoofing集合，也就是怎樣通過(guò)seq[t-1],seq[t-2],sea[t-3]來(lái)推知seq[t]。

由于seq[t-1],seq[t-2],seq[t-3]都可以很容易地在遠(yuǎn)程主機(jī)上探測(cè)到，于是，和可以通過(guò)以下的公式求出

而對(duì)于=seq[t]-seq[t-1],由于seq[t-1]已知，所以，我們可以把它當(dāng)作是空間的一條直線。如果，在對(duì)以前的ISN的采樣，通過(guò)上面提到的構(gòu)成的空間模型A呈現(xiàn)某種很強(qiáng)的特征，我們就可以大膽地假設(shè)，seq[t]在直線與A的交點(diǎn)上,或者在交點(diǎn)的附近。這樣，seq[t]就這樣確定了，于是，seq[t+1],seq[t+2]……,我們都可以推斷出來(lái)。

于是，我們大致將構(gòu)造Spoofing集合分成3個(gè)步驟：

先選取L與A交點(diǎn)之間的所有點(diǎn)。如果，L與A沒(méi)有交點(diǎn)，我們則選取離L最近的A的部分點(diǎn)。

假設(shè)現(xiàn)在seq[t-1]=25

seq[t-2]=50

seq[t-3]=88

于是，我們可以計(jì)算出

y=seq[t-1]-seq[t-2]=25

z=seq[t-2]-seq[t-3]=33

而我們?cè)诩螦中找不到滿足y=25,z=33這個(gè)點(diǎn)，但是，我們找到y(tǒng)=24,z=34和y=27,z=35這兩個(gè)點(diǎn)，所以，我們要把它們加入Spoofing集合。

我們按照上面的方法，把在A附近（半徑<=R1的空間范圍內(nèi)）點(diǎn)集M找出來(lái)，然后，我們根據(jù)這些點(diǎn)的相應(yīng)的x值去推導(dǎo)相應(yīng)的seq[t]（按照一定的算法，后面會(huì)提到）,于是，我們就得到很多的seq[t]。

根據(jù)點(diǎn)集M(j),我們?cè)谝欢ǖ淖兓?dòng)范圍U里（-R2<=U<=+R2）處理其x值，得出以下的集合K：

M(j).x+1M(j).x-1M(j).x+2M(j).x-2M(j).x+3M(j).x-3……M(j).x+R2M(j)-R2

接著我們確定R1和R2的值

R1值的選取的原則：使M不為空集，一般為1-500個(gè)。

R2值的選取的原則：使K的個(gè)數(shù)為5000。

對(duì)TCPISN的PRNG分析的總體流程：

相關(guān)系數(shù)的意義：

R1radius:影響搜索速度。

R2radius:影響猜測(cè)ISN的成功率，R2越大，成功率越高，但代價(jià)越大。

Averageerror:反映了在error

[Lasteditedby下弦月on2005-5-13at18:22]

下弦月2005-5-1310:13

網(wǎng)絡(luò)安全知識(shí)（6）

delaycoordinates分析法的意義

站在攻擊者的立場(chǎng)，他是千方百計(jì)地想縮小搜索空間，他希望先搜索一些最可能的值，然后再去搜索其它可能性沒(méi)那么大的值。通過(guò)delaycoordinates，他可以看去觀察ISN數(shù)列的特征，如果，按照上面的方法構(gòu)造的空間模型Ａ呈現(xiàn)很明顯的空間輪廓，如一個(gè)正方體，一個(gè)圓柱體，或者一個(gè)很小的區(qū)域，那么ISN很可能就是這個(gè)空間模型Ａ中的一點(diǎn)，搜索空間就會(huì)可以從一個(gè)巨大的三維空間縮小到一個(gè)模型Ａ?？匆幌乱粋€(gè)設(shè)計(jì)得很好的PRNG（輸出為32位）：...68,26,47,81,73,82,33,40,5,9...

RFC1948要求我們用31位的輸出，但是，32位的搜索空間比31位的要大一倍，所以，在后面的PRNG的設(shè)計(jì)中，我采用了32位的輸出。

下面，我們來(lái)看一下各種典型的空間模型以及對(duì)它們的評(píng)價(jià)。

從空間特性可以看出，某些區(qū)域的值互相重疊，某些地方的空間形狀很明顯，呈針狀型，這種PRNG設(shè)計(jì)得不好，重疊特性很強(qiáng)，攻擊者可以從左圖分析推斷可能性比較大的重疊區(qū)域去搜索，這樣可以大大減少搜索的難度。

這種PRNG參雜了一些可以預(yù)測(cè)的隨機(jī)種子，導(dǎo)致空間模型呈現(xiàn)很明顯的片狀。攻擊者可以根據(jù)前面的一些ISN來(lái)推測(cè)后面的ISN。

這種PRNG產(chǎn)生的隨機(jī)數(shù)序列之間的差值非常小，但是，它的分布特性非常好。所以，雖然，它并沒(méi)有擴(kuò)展到整個(gè)空間，但是，它比上面幾種模型要好的多。攻擊者攻擊的成功率要少得多。

這個(gè)PRNG是以計(jì)算機(jī)時(shí)鐘為隨機(jī)源的。它的ISN值都分布在三個(gè)很明顯的面上。三個(gè)面都在模型的中間有一個(gè)匯聚點(diǎn)。這樣的PRNG設(shè)計(jì)的非常差，所以，我們?cè)谠O(shè)計(jì)PRNG的時(shí)候，不能只是以時(shí)鐘作為隨機(jī)源。

各種操作系統(tǒng)的TCPISN生成器的安全性比較

Windwos98SE

但很難明白為什么Windows98的算法更弱。我們看到R1為0，也就是說(shuō)，A的空間特性太明顯，以致M集只需要一個(gè)點(diǎn)就可以算出seq[t]。我們看到，Windows98的R2小于Windows95的R2，換言之，Windows98的seq[t]的搜索代價(jià)更少。

WindowsNT4SP3，WindowsSP6a和Windows2000

WindowsNT4SP3在ISN的PNRG算法也是非常弱的，成功率接近100%。Windows2000和WindowsNT4SP6a的TCP序列號(hào)有著相同的可猜測(cè)性。危險(xiǎn)程度屬于中到高的范圍。雖然，我們?cè)趫D上看不到很明顯的3D結(jié)構(gòu)化特征，但是，12%和15%對(duì)攻擊者來(lái)說(shuō)，已經(jīng)是一個(gè)很滿意的結(jié)果。

FreeBSD,OpenBSD和OpenBSD-current

OpenBSD-current的PRNG輸出為31-bit,也就是說(shuō)，△seq[t]的值域范圍可以是231–1，意味著,y,z值域也很大，這對(duì)使我們很難確定M集，經(jīng)過(guò)我們的處理后，可以看到一個(gè)云狀物(見上圖)，它的R1半徑很大，而且分布均勻，不呈現(xiàn)任何的空間結(jié)構(gòu)化特性，很難對(duì)它進(jìn)行分析。

Linux

Linux的TCP/IP序列號(hào)的可分析性也是很少，比起OpenBSD-current,它的PRNG的輸出寬度只有24bit，但是，對(duì)抵御攻擊已經(jīng)足夠了。Linux是按照RFC1948規(guī)范的。它的HASH函數(shù)從實(shí)現(xiàn)來(lái)說(shuō)，應(yīng)該是沒(méi)有什么的漏洞，而且，它應(yīng)該是引入了外部隨機(jī)源。

Solaris

Solaris的內(nèi)核參數(shù)tcp_strong_iss有三個(gè)值，當(dāng)tcp_strong_iss=0時(shí)，猜中序列號(hào)的成功率是100%；當(dāng)tcp_strong_iss=1時(shí)，Solaris7和Solaris8一樣，都能產(chǎn)生一些特性相對(duì)較好的序列號(hào)。

tcp_strong_iss=2時(shí)，依據(jù)SunMicrosystem的說(shuō)法，系統(tǒng)的產(chǎn)生的ISN值非?？煽?，不可預(yù)測(cè)。通過(guò)觀察采樣值的低位值的變化，可以相信它的PRNG的設(shè)計(jì)采用了RFC1948規(guī)范，正如Solaris的白皮書所提到的。

但是，我們觀察到，Solaris7(tcp_strong_iss=2)雖然使用了RFC1948,但是，仍然相當(dāng)?shù)娜酰科湓?，是因?yàn)镾olaris沒(méi)有使用外部隨機(jī)源，而且也沒(méi)有在一段時(shí)間之后重算

。由一些Solaris系統(tǒng)動(dòng)態(tài)分配IP地址的主機(jī)群要特別小心，因?yàn)镾olaris在啟動(dòng)之后，一直都不會(huì)變(這一點(diǎn)與Linux不同)，于是，攻擊者在合法擁有某個(gè)IP地址的時(shí)候，他可以在TCP會(huì)話期間對(duì)序列號(hào)進(jìn)行大量的采樣，然后，當(dāng)這個(gè)IP地址又動(dòng)態(tài)地分配給其他人的時(shí)候，他就可以進(jìn)行攻擊（在Clinet-Server結(jié)構(gòu)的網(wǎng)絡(luò)系統(tǒng)中要尤為注意，因?yàn)?，許多應(yīng)用都是分配固定的端口進(jìn)行通訊）。

獲得信息

一旦攻擊者獲得root的權(quán)限，他將立即掃描服務(wù)器的存儲(chǔ)信息。例如，在人力資源數(shù)據(jù)庫(kù)中的文件，支付賬目數(shù)據(jù)庫(kù)和屬于上層管理的終端用戶系統(tǒng)。在進(jìn)行這一階段的控制活動(dòng)時(shí)，攻擊者在腦海中已經(jīng)有明確的目標(biāo)。這一階段的信息獲取比偵查階段的更具有針對(duì)性，該信息只會(huì)導(dǎo)致重要的文件和信息的泄漏。這將允許攻擊者控制系統(tǒng)。

攻擊者獲得信息的一種方法是操縱遠(yuǎn)程用戶的Web瀏覽器。大多數(shù)的公司并沒(méi)有考慮到從HTTP流量帶來(lái)的威脅，然而，Web瀏覽器會(huì)帶來(lái)很嚴(yán)重的安全問(wèn)題。這種問(wèn)題包括Cross-framebrowsingbug和Windowsspoofing以及Unicode等。瀏覽器容易發(fā)生緩沖區(qū)溢出的問(wèn)題，允許攻擊者對(duì)運(yùn)行瀏覽器的主機(jī)實(shí)施拒絕服務(wù)攻擊。一旦攻擊者能夠在局部使系統(tǒng)崩潰，他們便可以運(yùn)行腳本程序來(lái)滲透和控制系統(tǒng)。

Cross-framebrowsingbug允許懷有惡意的Web站點(diǎn)的制作者創(chuàng)建可以從用戶計(jì)算機(jī)上獲得信息的Web頁(yè)面。這種情況出現(xiàn)在和版本的Netscape和Microsoft瀏覽器上，這種基于瀏覽器的問(wèn)題只會(huì)發(fā)生在攻擊者已經(jīng)知道文件和目錄的存儲(chǔ)位置時(shí)。這種限制看起來(lái)不嚴(yán)重，但實(shí)際上并非如此。其實(shí)，任何攻擊者都清楚地知道缺省情況下UNIX操作系統(tǒng)的重要文件存放在（etc）目錄下，WindowsNT的文件在（winnt）目錄下，IIS在（inetpubwwwroot）目錄下等

[Lasteditedby下弦月on2005-5-13at18:23]

下弦月2005-5-1310:13

網(wǎng)絡(luò)安全知識(shí)（7）

大多數(shù)的攻擊者都知道操作系統(tǒng)存放文件的缺省位置。如果部門的管理者使用Windows98操作系統(tǒng)和MicrosoftWord,Excel或Access，他很可能使用desktoMyDocuments目錄。攻擊者同樣知道windowsstartmenuprogramsstartup目錄的重要性。攻擊者可能不知道誰(shuí)在使用操作系統(tǒng)或文件和目錄的布局情況。通過(guò)猜測(cè)電子表格，數(shù)據(jù)庫(kù)和字處理程序缺省存儲(chǔ)文件的情況，攻擊者可以輕易地獲得信息。

雖然攻擊者無(wú)法通過(guò)瀏覽器控制系統(tǒng)，但這是建立控制的第一步。利用Cross-framebrowsingbug獲得的信息要比從網(wǎng)絡(luò)偵查和滲透階段獲得的信息更詳細(xì)。通過(guò)閱讀文件的內(nèi)容，攻擊者會(huì)從服務(wù)器上獲得足夠的信息，要想阻止這種攻擊手段，系統(tǒng)管理員必須從根本上重新配置服務(wù)器。

審計(jì)UNIX文件系統(tǒng)

Rootkit充斥在互聯(lián)網(wǎng)上，很難察覺(jué)并清除它們。從本質(zhì)上來(lái)說(shuō)，rootkit是一種木馬。大多數(shù)的rootkit用各種各樣的偵查和記錄密碼的程序替代了合法的ls，su和ps程序。審計(jì)這類程序的最好方法是檢查象ls,su和ps等命令在執(zhí)行時(shí)是否正常。大多數(shù)替代rootkit的程序運(yùn)行異常，或者有不同的的文件大小。在審計(jì)UNIX系統(tǒng)時(shí)，要特別注意這些奇怪的現(xiàn)象。下表1列出了常見的UNIX文件的存放位置。

文件名

存放位置

/

根目錄

/sbin

管理命令

/bin

用戶命令；通常符號(hào)連接至/usr/bin

/usr

大部分操作系統(tǒng)

/usr/bin

大部分系統(tǒng)命令

/usr/local

本地安裝的軟件包

/usr/include

包含文件（用于軟件開發(fā)）

/usr/src

源代碼

/usr/local/src

本地安裝的軟件包的源代碼

/usr/sbin

管理命令的另一個(gè)存放位置

/var

數(shù)據(jù)（日志文件，假脫機(jī)文件）

/vr/log

日志文件

/export

被共享的文件系統(tǒng)

/home

用戶主目錄

/opt

可選的軟件