% a7 w) X- ^, ]5 P7 H- d例如通过利用像Burneye这样一个工具,可以掩盖黑客对系统的攻击企图,使用Defiler的工具Toolkit可以覆盖黑客对目标文件系统所做的修改留下的蛛丝马迹。 : V3 m. U i4 `8 @3 z' k" j! T1 O3 C8 d; q3 c
Ø 隐蔽通道 * O7 H; X+ o/ R1 Q% T # q% D8 W: _% H+ J V( O5 ~1 q为了和后门或者恶意软件进行通讯,攻击者必须建立一条非常隐蔽的通信通道。为此,攻击者常常将通讯端口建立在一些非常常用的通信协议端口上,像HTTPS或者SSH。 5 C% e+ w( P$ o S ) P5 S* o, |: N! T7 aØ 内核级后门(Kernel-level root kits)/ G1 Q1 G6 l5 e- D
- G8 `6 B! C; v1 l8 d
通过从系统内核控制一个系统,攻击者获得对目标系统的完全控制权限,而对受害者来说却一切都似乎风平浪静。, ?' _! s% d: r5 o% l" l9 W
! Q6 N, i8 d9 {' V% p: N+ u
Ø 嗅探式后门(Sniffing backdoors) 0 ]; F. \7 x9 a! p# U! i# e- `7 D$ l0 L: p, G8 l; Y7 Y
通过将后门和用户使用的嗅探器捆绑在一起,攻击者能够巧妙地绕过用户使用的传统的通过查看正在监听的端口来发现后门的检测方法,使受害者被种了后门却还一直蒙在鼓里。: l; y; S. y) c7 q# d
/ m2 N( u! |. ~% M. e4 |Ø 反射式/跳跃式攻击* J4 l3 {5 o2 d6 X# f* `9 G, a5 `& E
2 i3 o2 F/ S9 t) y
与其直接像目标系统发送数据,很多攻击者觉得还不如利用TCP/IP欺骗技术去以误导正常的检测,隐蔽攻击者的真实地址。象反射式D.o.S攻击就是例证。有关反射式D.o.S攻击的详细信息,请参见安络科技七月巨献:网络攻击机制和技术发展综述。 ( U5 C- `: H0 H- C' ] & H3 m8 r$ l: ^# s e! ~针对以上这些诡秘的攻击,作为用户又该如何防范和阻止呢?) v- E( F& V" K9 U
' A+ x( P. ^' Z6 v q( |& g' K6 P
Ø 如果你的系统遭到这种攻击,你需要能够迅速地检测出来,而且要知道攻击者具体在你的系统上干了写什么。为了能够察觉出这种入侵,需要同时使用基于网络和基于主机上的入侵检测系统和防病毒产品,并仔细检查你的系统日志。一般用户可能不具备这种专业能力,可以寻找一家高专业水准的信息安全签约服务商,为您提供高水平的反入侵服务。3 X' B( e# e# {& v% A) y8 |/ J/ G
( ?7 V& n5 D) {* e' w
Ø 一旦你发现自己的系统有什么异常,你必须确保你的事件紧急响应小组在取证分析上有丰富的经验,能够熟练使用像@stake的免费TASK工具或者Guidance Software的商业软件EnCase,因为这两个工具都能非常仔细对系统进行分析,并且非常精确地隔离攻击者的真实破坏活动。重点部门的事件响应小组可以和专业安全服务商共建,明确分工,及时处理。: y" |" g" a" `; \: D* O
9 [3 t/ \; [; r e3. 利用程序自动更新存在的缺陷9 F9 L' i' x' W" R
主流软件供应商,像Microsoft和Apple Computer等都允许用户通过Internet自动更新他们的软件。通过自动下载最新发布的修复程序和补丁,这些自动更新工具可以减少配置安全补丁所耽误的时间。' k8 z, M1 J n' d3 H% T
% u& Y+ o" A l% E但是程序允许自动更新的这个特征却好比一把双刃剑,有有利的一面,也有不利的一面。攻击者能够通过威胁厂商Web站点的安全性,迫使用户请求被重定向到攻击者自己构建的机器上。然后,当用户尝试连接到厂商站点下载更新程序时,真正下载的程序却是攻击者的恶意程序。这样的话攻击者将能利用软件厂商的自动更新Web站点传播自己的恶意代码和蠕虫病毒。# b9 ~6 |! `, }3 H% D, G) T" s
1 T! ?! \/ {, G在过去的六个月中,Apple 和 WinAmp 的Web站点自动更新功能都被黑客成功利用过,所幸的是发现及时(没有被报道)。Apple 和 WinAmp 后来虽然修复了网站的缓冲溢出缺陷,并使用了代码签名(Code Signing)技术,但基于以上问题的攻击流一直没有被彻底清除。& |+ V' X( X; c$ X) g7 s/ w- V
" y9 ]. c7 t. ]; |
为了预防这种潜在的攻击威胁,需要严格控制和管理安装在你的内部网机器上的软件,禁止公司职员随意地安装任何与工作无关的应用软件。在这里,你可以使用软件管理工具来强迫执行,像 Microsoft 的 SMS,LANDesk SOFTware 的 LANDesk。这两个工具只要二者择其一,你就可以配置你的内部升级服务器,如通过在工具中对微软软件升级服务器相关选项进行配置,你可以具体选择哪个修复程序和补丁允许被安装。为保护你的网络,可使用sniffer测试所有的补丁,如发现网络流量不正常或发现开放了陌生的端口则需引起警觉。 ) i2 M4 n3 ~3 Q6 E, H/ h& i: ^$ M; p% R; c
4. 针对路由或DNS的攻击 0 `: J: ?% N3 P+ O3 x8 I2 sInternet主要由两大基本架构组成:路由器构成Internet的主干,DNS服务器将域名解析为IP地址。如果一个攻击者能成功地破坏主干路由器用来共享路由信息的边界网关协议(BGP),或者更改网络中的DNS服务器,将能使Internet陷入一片混乱。: P( @' t# `- q9 Y/ l6 {3 B
3 r- [: n. y8 B1 h0 W4 R
攻击者通常会从头到脚,非常仔细地检查一些主流路由器和DNS服务器的服务程序代码,寻找一些能够使目标程序或设备彻底崩溃或者取得系统管理权限的缓冲溢出或其它安全缺陷。路由代码非常复杂,目前已经发现并已修复了许多重要的安全问题,但是仍旧可能存在许多更严重的问题,并且很可能被黑客发现和利用。DNS软件过去经常发生缓冲溢出这样的问题,在以后也肯定还可能发生类似的问题。如果攻击者发现了路由或DNS的安全漏洞,并对其进行大举攻击的话,大部分因特网将会迅速瘫痪。( b1 v% M1 ^9 a( w
' e2 \* f. D) v% G1 W9 f* |为了防止遭到这种攻击,确保你的系统不会被作为攻击他人的跳板,应采取如下措施: 2 Z, A% R9 V! u X1 y6 ^3 r4 V4 [& m* S+ J0 B, h, [
Ø 对公共路由器和外部DNS服务器进行安全加固。如果公司的DNS服务器是为安全敏感的机器提供服务,则应为DNS服务器配置防火墙和身份验证服务器。 4 ?7 U, e( r: |3 g( W% z2 \# D" _6 y. E3 Q
Ø 确保DNS服务器安装了最新补丁,对DNS服务器严格监控。 2 S* Y) h, ?( }! v* m7 [2 x2 s6 F- `$ y$ z9 p( V1 V
Ø 如果你认为是由ISP的安全缺陷造成的威胁,确保你的事件紧急响应小组能够迅速和你的ISP取得联系,共同对付这种大规模的网络攻击。# o( i' S& o; \( Y/ `
; _4 W2 e; L' Q" }3 c, v
5. 同时发生计算机网络攻击和恐怖袭击3 `' v' B2 C* _0 o+ T. `
这可以说是一场双重噩梦:一场大规模的网络攻击使数百万的系统不能正常使用,紧接着,恐怖分子袭击了一个或者更多城市,例如一次类似9/11的恐怖爆炸事件或者一次生化袭击。在9/11恐怖袭击事件后,美国东部的几个海岸城市,电话通信被中断,惊恐万分的人们不得不通过E-MAIL去询问同事或亲人的安全。由于这次袭击,人们发现 Internet 是一种极好的传媒(还有电视传媒)。但是我们不妨假设一下,如果此时爆发超级蠕虫,BGP和DNS被遭到大举攻击,那么在我们最需要它的时候它也将离我们而去,可以想象将是一种什么样的糟糕场面。但是这又并不是不可能发生的。 / n; j6 b8 C! u- Y' M, T3 n+ p; E9 g9 R k6 K, v
我们要居安思危,为这种灾难的可能发生作好应急准备是相当困难的: ; E, N* D5 Q5 O, F / E5 M+ a' F# \8 t# L0 dØ 作好计算机的备份工作; ) L# [$ C* S& j% n% [4 K% q / n# [0 i; t% p9 a, eØ 除给紧急响应小组配备无线电话外,还需配备全双工传呼设备;7 l$ p* N2 f* R" ^
# F2 q2 F. z$ b2 t8 PØ 要确保你的计算机紧急响应小组有应付恐怖袭击的能力;$ I, _8 H8 N& \, r. @
7 E* |( r0 Y) x1 ^
Ø 要假想可能出现的恐怖袭击场面以进行适当的演习,以确保真正同时发生网络攻击和恐怖袭击时,他们能够迅速、完全地进入角色。 2 O5 U+ l9 E2 E3 }) }0 e 3 |+ n, |: D) j6 ~% n也许有人会认为我们这样做可能都是杞人忧天,但是,笔者有理由相信这样的事情在未来的5年中是完全有可能发生的,只不过所使用的攻击技术可能是我们在上面所列举出来的,可能是我们所没有预计到的。 : {" |% u- S) W2 N+ `0 Z$ b 1 M' i) e8 q1 R-------------------------------------------------------------------------------- 2 t6 [$ o8 G9 p' Z: c0 |# U9 N$ h0 q* d9 L
作者 ED SKOUDIS :有名的信息安全预测专家,交互式 CD ROM 的发明者,网络安全研究会"The Hack-Counter Hack Training Course"的创始人,曾出版过图书《手把手教你计算机攻击和防御》。