【文章內(nèi)容簡(jiǎn)介】 強(qiáng)有力的措施處置，管理員也很難發(fā)現(xiàn)。這種情況下，如果能及時(shí)迅速地通知安 全管理員，能把該用戶趕出 (logout)操作系統(tǒng)，甚至封死該帳戶，使其無法繼續(xù)登錄，無疑會(huì)大大加強(qiáng)系統(tǒng)的安全性。 另外，不同的 UNIX 及 UNIX 的不同版本在實(shí)現(xiàn)的過程中都會(huì)有這樣那樣的 BUG，其中許多 BUG 是與安全有關(guān)的。 80 年代中期， Inter 上流行的著名“蠕蟲”病毒事件就是由 UNIX 系統(tǒng)的安全 BUG 造成的。廠商在發(fā)現(xiàn)并修正 BUG 后會(huì)把 PATCH 放在其公司站點(diǎn)上供用戶下載和安裝，但許多用戶沒有技術(shù)能力和精力理解、跟蹤這些 PATCH 并及時(shí)安裝。有的 UNIX 操作系統(tǒng)雖然能夠達(dá)到較高的安全級(jí)別，但在缺省安 裝和配置中一般采用較低的安全控制，需要進(jìn)行許多配置過程才能達(dá)到較高的安全級(jí)別。由于水平和精力所限，一般用戶環(huán)境中很難完成這樣精確的安全配置，經(jīng)常存在錯(cuò)誤的配置，導(dǎo)致安全問題。更為嚴(yán)重的是，一臺(tái) UNIX 服務(wù)器上經(jīng)常要安裝很多商業(yè)應(yīng)用軟件，這些軟件大多以 root 用戶運(yùn)行。而這些軟件往往存在一些安全漏洞或錯(cuò)誤的安全配置，從而導(dǎo)致 root 權(quán)限被人竊取。所以，我們需要一種系統(tǒng)掃描工具，定期檢查系統(tǒng)中與安全有關(guān)的軟件、資源、 PATCH 的情況，發(fā)現(xiàn)問題及時(shí)報(bào)告并給出解決建議。才能使系統(tǒng)經(jīng)常處于安全的狀態(tài)。 2 常見的安全威脅 和攻擊手段 在了解安全問題之前，我們先來研究一下目前網(wǎng)絡(luò)上存在的一些安全威脅和攻擊手段。然后我們?cè)賮砹私庖恍┏霈F(xiàn)安全問題的根源，這樣我們就可以對(duì)安全問題有一個(gè)很好的認(rèn)識(shí)。迄今為止，網(wǎng)絡(luò)上存在上無數(shù)的安全威脅和攻擊，對(duì)于他們也存在著不同的 分類方法。我們可以按照攻擊的性質(zhì)、手段、結(jié)果等暫且將其分為機(jī)密攻擊、非法訪問、惡意攻擊、社交工程、計(jì)算機(jī)病毒、不良信息資源和信息戰(zhàn)幾類。 竊取機(jī)密攻擊： 所謂竊取機(jī)密攻擊是指未經(jīng)授權(quán)的攻擊者（黑客）非法訪問網(wǎng)絡(luò)、竊取信息的情況，一般可以通過在不安全的傳輸通道上截取正在傳輸?shù)男?息或利用協(xié)議或網(wǎng)絡(luò)的弱點(diǎn)來實(shí)現(xiàn)的。常見的形式可以有以下幾種： 1） 網(wǎng)絡(luò)踩點(diǎn)（ Footprinting） 攻擊者事先匯集目標(biāo)的信息，通常采用 whois、 Finger 等工具和 DNS、 LDAP 等協(xié)議獲取目標(biāo)的一些信息，如域名、 IP 地址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、相關(guān)的用戶信息等，這往往是黑客入侵之前所做的第一步工作。 2） 掃描攻擊 掃描攻擊包括地址掃描和端口掃描等，通常采用 ping 命令和各種端口掃描工具，可以獲得目標(biāo)計(jì)算機(jī)的一些有用信息，例如機(jī)器上打開了哪些端口，這樣就知道開設(shè)了哪些服務(wù)，從而為進(jìn)一步的入侵打下基礎(chǔ)。 3） 協(xié)議指紋 黑客 對(duì)目標(biāo)主機(jī)發(fā)出探測(cè)包，由于不同操作系統(tǒng)廠商的 IP 協(xié)議棧實(shí)現(xiàn)之間存在許多細(xì)微的差別（也就是說各個(gè)廠家在編寫自己的 TCP/IP 協(xié)議棧時(shí)，通常對(duì)特定的RFC 指南做出不同的解釋），因此各個(gè)操作系統(tǒng)都有其獨(dú)特的響應(yīng)方法，黑客經(jīng)常能確定出目標(biāo)主機(jī)所運(yùn)行的操作系統(tǒng)。常常被利用的一些協(xié)議棧指紋包括： TTL值、 TCP 窗口大小、 DF 標(biāo)志、 TOS、 IP 碎片處理、 ICMP 處理、 TCP 選項(xiàng)處理等。 4） 信息流監(jiān)視 這是一個(gè)在共享型局域網(wǎng)環(huán)境中最常采用的方法。由于在共享介質(zhì)的網(wǎng)絡(luò)上數(shù)據(jù)包會(huì)經(jīng)過每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，網(wǎng)卡在一般情況下只會(huì)接受發(fā)往本機(jī) 地址或本機(jī)所在廣播（或多播）地址的數(shù)據(jù)包，但如果將網(wǎng)卡設(shè)置為混雜模式（ Promiscuous），網(wǎng)卡就會(huì)接受所有經(jīng)過的數(shù)據(jù)包?；谶@樣的原理，黑客使用一個(gè)叫 sniffer 的嗅探器裝置，可以是軟件，也可以是硬件）就可以對(duì)網(wǎng)絡(luò)的信息流進(jìn)行監(jiān)視，從而獲得他們感興趣的內(nèi)容，例如口令以及其他秘密的信息。 5） 會(huì)話劫持（ session hijacking） 利用 TCP 協(xié)議本身的不足，在合法的通信連接建立后攻擊者可以通過阻塞或摧毀通信的一方來接管已經(jīng)過認(rèn)證建立起來的連接，從而假冒被接管方與對(duì)方通信。 非法訪問 1） 口令破解 可以 采用字典破解和暴力破解來獲得口令。 2） IP 欺騙 攻擊者可以通過偽裝成被信任的 IP 地址等方式來獲取目標(biāo)的信任。這主要是針對(duì)防火墻的 IP 包過濾以及 LINUX/UNIX 下建立的 IP 地址信任關(guān)系的主機(jī)實(shí)施欺騙。 3） DNS 欺騙 由于 DNS 服務(wù)器相互交換信息的時(shí)候并不建立身份驗(yàn)證，這就使得黑客可以使用錯(cuò)誤的信息將用戶引向錯(cuò)誤主機(jī)。 4） 重放攻擊 攻擊者利用身份認(rèn)證機(jī)制中的漏洞先把別人有用的信息記錄下來，過一段時(shí)間后再發(fā)送出去。 5） 非法使用 系統(tǒng)資源被某個(gè)非法用戶以未授權(quán)的方式使用 6） 特洛伊木馬 把一個(gè)能幫助黑客完成某個(gè)特定動(dòng)作的程 序依附在某一合法用戶的正常程序中，這時(shí)合法用戶的程序代碼已經(jīng)被改變，而一旦用戶觸發(fā)該程序，那么依附在內(nèi)的黑客指令代碼同時(shí)被激活，這些代碼往往能完成黑客早已指定的任務(wù)。 惡意攻擊 惡意攻擊，在當(dāng)今最為特出的就是拒絕服務(wù)攻擊 DoS（ Denial of Server）了。拒絕服務(wù)攻擊通過使計(jì)算機(jī)功能或性能崩潰來組織提供服務(wù)，典型的拒絕服務(wù)攻擊有如下 2種形式：資源耗盡和資源過載。當(dāng)一個(gè)對(duì)資源的合理請(qǐng)求大大超過資源的支付能力時(shí)，就會(huì)造成拒絕服務(wù)攻擊。常見的攻擊行為主要包括 Ping of death、淚滴 (Teardrop)、 UDP flood、 SYN flood、 Land 攻擊、 Smurf 攻擊、 Fraggle 攻擊、電子郵件炸彈、畸形信息攻擊等 1) Ping of death 在早期版本中，許多操作系統(tǒng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的最大尺寸有限制，對(duì) TCP/IP 棧的實(shí)現(xiàn)在 ICMP 包上規(guī)定為 64KB。在讀取包的報(bào)頭后，要根據(jù)該報(bào)頭中包含的信息來為有效載荷生成緩沖區(qū)。當(dāng) PING 請(qǐng)求的數(shù)據(jù)包聲稱自己的尺寸超過 ICMP 上限，也就是加載的尺寸超過 64KB 時(shí)，就會(huì)使 PING 請(qǐng)求接受方出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致 TCP/IP 堆棧崩潰，致使接受方死機(jī)。 2) 淚滴 淚滴攻擊利用了某些 TCP/IP 協(xié)議棧實(shí)現(xiàn)中對(duì) IP 分段重組時(shí)的錯(cuò)誤 3) UDP flood 利用簡(jiǎn)單的 TCP/IP 服務(wù)建立大流量數(shù)據(jù)流，如 chargen 和 Echo 來傳送無用的滿帶寬的數(shù)據(jù)。通過偽造與某一主機(jī)的 chargen 服務(wù)之間的一次 UDP 連接，回復(fù)地址指向提供 ECHO 服務(wù)的一臺(tái)主機(jī)，這樣就生成了在 2 臺(tái)主機(jī)之間的足夠多的無用數(shù)據(jù)流，過多的數(shù)據(jù)流會(huì)導(dǎo)致帶寬耗盡。 4) SYN flood 一些 TCP/IP 協(xié)議棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來的 ACK 消息，因?yàn)樗麄冎挥杏邢薜膬?nèi)存空間用于創(chuàng)建 連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來的連接停止響應(yīng)，直到緩沖區(qū)的連接企圖超時(shí)。在一些創(chuàng)建連接不收限制的系統(tǒng)實(shí)現(xiàn)里， SYN 洪流具有類似的影響！ 5) Land 攻擊 在 Land 攻擊中，將一個(gè) SYN 包的源地址和目標(biāo)地址均設(shè)成同一個(gè)服務(wù)器地址，導(dǎo)致接受服務(wù)器向自己的地址發(fā)送 SYNACK 消息，結(jié)果這個(gè)地址又發(fā)回 ACK 消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保持直到超時(shí)。對(duì) LAND 攻擊反應(yīng)不同，許多UNIX 實(shí)現(xiàn)將崩潰， NT 則變得極其緩慢。 6) Smurf 攻擊 簡(jiǎn)單的 Smurf 攻擊發(fā)送 ICMP 應(yīng)答請(qǐng)求包，目的地址設(shè)為受害網(wǎng)絡(luò)的廣播地址，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此 ICMP 應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。如果將源地址改為第三方的受害者，最終將導(dǎo)致第三方崩潰。 7) fraggle 攻擊 該攻擊對(duì) Smurf 攻擊做了簡(jiǎn)單修改，使用的是 UDP 應(yīng)答消息而非 ICMP。 8) 電子郵件炸彈 這是最古老的匿名攻擊之一，通過設(shè)置一臺(tái)機(jī)器不斷的向同一地址發(fā)送電子郵件，攻擊者能耗盡接受者的郵箱 9) 畸形信息攻擊 各類操作系統(tǒng)的許多服務(wù)均存在這類問題，由于這些服務(wù)在處理消息之前沒有進(jìn)行適當(dāng)正確的錯(cuò)誤校驗(yàn)，受到畸形信息可能會(huì)崩潰。 10) DdoS 攻擊 DdoS 攻擊（ Distributed Denial of Server,分布式拒絕服務(wù)）是一種基于 DOS 的特殊形式的拒絕服務(wù)攻擊，是一種分布協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎和政府部門的站點(diǎn)。他利用一批受控制的機(jī)器向一臺(tái)目標(biāo)機(jī)器發(fā)起攻擊，這樣來勢(shì)迅猛的攻擊令人難以防備，因此具有很大的破壞性。 除了以上的這些拒絕服務(wù)攻擊外，一些常見的惡意攻擊還包括緩沖區(qū)溢出攻擊、硬件設(shè)備破壞性攻擊以及網(wǎng)頁(yè)篡改等。 11) 緩沖區(qū)溢出攻擊（ buffer overflow） 通過往程序的緩沖區(qū)寫 超過其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，以達(dá)到攻擊的目的。緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在，根據(jù)統(tǒng)計(jì)：通過緩沖區(qū)溢出進(jìn)行的攻擊占所有系統(tǒng)攻擊總數(shù)的 80%以上。利用緩沖區(qū)溢出攻擊可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)死機(jī)、重新啟動(dòng)等后果，更嚴(yán)重的是，可以利用他執(zhí)行非授權(quán)的指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。由于他歷史悠久、危害巨大，被稱為數(shù)十年來攻擊和防衛(wèi)的弱點(diǎn)。 社交工程（ Social Engineering） 采用說服 或欺騙的手段，讓網(wǎng)絡(luò)內(nèi)部的人來提供必要的信息，從而獲得對(duì)信息系統(tǒng)的訪問權(quán)限。 計(jì)算機(jī)病毒 病毒是對(duì)軟件、計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的最大威脅之一。所謂病毒，是指一段可執(zhí)行的程序代碼，通過對(duì)其他程序進(jìn)行修改，可以感染這些程序，使他們成為含有該病毒程序的一個(gè)拷貝。 不良信息資源 在互聯(lián)網(wǎng)如此發(fā)達(dá)的今天，真可謂“林子大了，什么鳥都有”，網(wǎng)絡(luò)上面充斥了各種各樣的信息，其中不乏一些暴力、色情、反動(dòng)等不良信息。 信息戰(zhàn) 計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，使我們處與信息時(shí)代。信息化是目前國(guó)際社會(huì)發(fā)展的趨勢(shì)，他對(duì)于經(jīng)濟(jì)、社會(huì)的發(fā)展都 有著重大意義。美國(guó)著名未來學(xué)家托爾勒說過：“誰(shuí)掌握了信息、控制了網(wǎng)絡(luò)，誰(shuí)將擁有整個(gè)世界”。美國(guó)前總統(tǒng)克林頓也說：“今后的時(shí)代，控制世界的國(guó)家將不是靠軍事，而是信息能力走在前面的國(guó)家。”美國(guó)前陸軍參謀長(zhǎng)沙爾文上將更是一語(yǔ)道破：“信息時(shí)代的出現(xiàn)，將從根本上改變戰(zhàn)爭(zhēng)的進(jìn)行方式” 1995 年，美國(guó)國(guó)防部組建信息戰(zhàn)執(zhí)行委員會(huì)， 10 月組建世界上第一支信息戰(zhàn)分隊(duì)。之后，美國(guó)陸、海、空三軍相繼成立信息站中心。 1990 年海灣戰(zhàn)爭(zhēng)，被稱為“世界上首次全面的信息站”，充分顯示了現(xiàn)代高技術(shù)條件下“制信息權(quán)”的關(guān)鍵作用。 3 安全問題 的根源 前面已經(jīng)介紹了網(wǎng)絡(luò)上常見的安全威脅與攻擊，下面來看一下這些安全問題的根源所在，大體上有物理安全問題、方案設(shè)計(jì)的缺陷、系統(tǒng)的安全漏洞、 TCP/IP 協(xié)議的安全和人等幾個(gè)方面。 物理安全問題 除了物理設(shè)備本身的問題外，物理安全問題還包括設(shè)備的位置安全、限制物理訪問、物理環(huán)境安全和地域因素等。 物理設(shè)備的位置極為重要。所有基礎(chǔ)網(wǎng)絡(luò)設(shè)施都應(yīng)該放置在嚴(yán)格限制來訪人員的地方，以降低出現(xiàn)未經(jīng)授權(quán)訪問的可能性。 方案設(shè)計(jì)的缺陷 有一類安全問題根源在于方案設(shè)計(jì)時(shí)的缺陷。 由于在實(shí)際中，網(wǎng)絡(luò)的結(jié)構(gòu)往往比較復(fù)雜，為了實(shí)現(xiàn)異 構(gòu)網(wǎng)絡(luò)間信息的通信，往往要犧牲一些安全機(jī)制的設(shè)置和實(shí)現(xiàn)，從而提出更高的網(wǎng)絡(luò)開放性的要求。開放性和安全性正是一對(duì)相生相克的矛盾。 由于特定的環(huán)境往往會(huì)有特定的安全需求，所以不存在可以到處通用的解決方案，往往需要制訂不同的方案。如果設(shè)計(jì)者的安全理論與實(shí)踐水平不夠的話，設(shè)計(jì)出來的方案經(jīng)常會(huì)出現(xiàn)很多漏洞，這也是安全威脅的根源之一。 系統(tǒng)的安全漏洞 隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或后門也不可避免的存在，比如我們常用的操作系統(tǒng)，無論是 WINDOWS 還是 LINUX 幾乎都存在或多或少的安全漏洞，眾多的各類服務(wù) 器最典型的如微軟的 IIS 服務(wù)器、瀏覽器、數(shù)據(jù)庫(kù)、等都被發(fā)現(xiàn)過存在安全隱患?？梢哉f任何一個(gè)軟件系統(tǒng)都可能因?yàn)槌绦騿T的一個(gè)疏忽、設(shè)計(jì)中的一個(gè)缺陷等原因而存在安全漏洞，這也是網(wǎng)絡(luò)安全問題的主要根源之一。 目前我們發(fā)現(xiàn)的安全漏洞數(shù)量已經(jīng)相當(dāng)龐大，據(jù)統(tǒng)計(jì)已經(jīng)接近病毒的數(shù)量。以下列舉了一些典型的安全漏洞，他們?cè)谛掳l(fā)布的系統(tǒng)或已經(jīng)打過補(bǔ)丁的系統(tǒng)中可能已經(jīng)不再存在，但是了解他們依然具有非常積極的意義！ 1） 操作系統(tǒng)類安全漏洞 操作系統(tǒng)類安全漏洞包括非法文件訪問、遠(yuǎn)程獲得 ROOT 權(quán)限、系統(tǒng)后門、 NIS 漏洞、FINGER 漏洞、 RPC 漏洞等 2） 網(wǎng)絡(luò)系統(tǒng)類安全漏洞 典型例子包括： CISCO IOS 的早期版本不能抵抗很多拒絕服務(wù)類的攻擊（如 LAND）等 3） 應(yīng)用系統(tǒng)類安全漏洞 各種應(yīng)用都可能隱含安全缺陷，尤其是較早的一些產(chǎn)品和國(guó)內(nèi)一些公司的產(chǎn)品對(duì)安全問題很少考慮，更是如此，如通過 TCP/IP 協(xié)議應(yīng)用 MAIL SERVER、 WWW SERVER、FTP SERVER、 DNS 時(shí)出現(xiàn)的安全漏洞等 TCP/IP協(xié)議的安全問題 因特網(wǎng)最初設(shè)計(jì)考慮時(shí)該網(wǎng)不會(huì)因局部故障而影響信息的傳輸，基本沒有考慮安全問 題，因此他在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在 這嚴(yán)重的不適應(yīng)性。作為因特網(wǎng)靈魂的 TCP/IP 協(xié)議，更存在著很大的安全隱患，缺乏強(qiáng)健的安全機(jī)制，這也是網(wǎng)絡(luò)不安全的主要因素之一。