【软考】入侵检测系统FAQ（3）

　　 
　　【软考】入侵检测系统FAQ
    1.5 入侵者如何获得口令?

入侵者利用如下方法获得口令:

明文监听: 一些协议(Te.net, FTP, 基本HTTP)使用明文的口令，意味着他们在比如客户/服务器传输过程中不进行加密。入侵者可以使用一个协议分析仪观察线缆上的这样的口令。不需要更多的努力；入侵者马上可以使用这些口令来登陆。

密文监听: 许多协议，使用加密的口令。这种情况下，入侵者就需要执行字典或者强力攻击口令来试图解密。应该注意到你不能发现入侵者的存在，因为他/她是完全被动并且不用向线缆传送任何东西。口令破解在入侵者利用自己的机器来鉴权的时候，不许要发送人和东西到线缆。

重放(Replay)攻击: 很多情况下，入侵者不必解密口令。他们可以使用加密的格式来代替登陆系统。这通常需要重新编码客户端软件来使用加密的口令

口令文件窃取: 所有的用户数据库通常存储在磁盘上的一个单个文件。UNIX下这个文件是/etc/passwd(或者这个文件的其他镜像),WinNT下，是SAM文件每个方法，一旦入侵者取得了这个文件，他/她就能运行解密程序(如上面所述)来发现文件中一些脆弱的密码。

观察: 一个传统的口令安全问题是口令必须长而且难猜(使得字典和强力攻击不合理的困难)。然而，这样的口令往往很难记忆，所以用户就在某地写下来。入侵者常可以搜寻一个个人办公桌来发现写到小字条上的口令(一般在键盘下面)。入侵者也可以自己训练在用户后面观察口令的键入。

交际工程: 一个普通(且成功)的技巧是简单的打个电话给用户并且说 "hi,我是MIS组的Bob, 我们正跟踪网络上的一些问题，并且出现在你的机器里。你用的是什么口令呢?"许多用户会在这种情况下放弃他们的口令。(许多公司有政策让用户永远不要给出他们的口令，甚至他们自己的MIS部门，但是这个伎俩仍然成功。一个简单的解决方法就是MIS组打电话给6个月的雇员问他们口令，然后批评他们的错误，这样他们就不会忘记了:-)

1.6典型的入侵过程?

一个典型的入侵过程也许如下:

步骤1.外部侦查--
入侵者会尽可能地找出实际上并不直接给予他们的资讯.他们常通过公开资讯或伪装成正常的使用者.用这种方式的入侵者, 将使你实在难以察觉. 如你的网络跟你的Domain Name 一起 注册的(例如 foobar.com),入侵者可以使用'whois'这种查表(lookup)来尽量找出你的网路(network)资讯.

入侵者也许经由你的DNS表(使用'nslookup','dig',或其他的工具程序 来作 domain 的转换)来找出你机器的名字.入侵者会浏览其他的公开资讯, 例如 你的公开站点和匿名(anonymous)FTP 站点. 入侵者也许会寻找关于你公司的新闻文件和报刊的发行品.

步骤2.内部侦查--
入侵者使用更具侵略性的技术来对资讯扫描,但不会破坏任何东西.他们将由你全部的网页来找出CGI scripts(CGIscripts 经常是容易被入侵的).他们也许会为了试探主机的存在而使用'ping'.他们也许会用 UDP/TCP scan/strob(扫描)来找出目标主机的可获得服务(services).他们也许会执行一个如同 'rpcinfo','showmount', 'snmpwalk'等等 的工具程序, 来寻找可获得的资讯.关于这点,入侵者只是做出"正常的"网路行为,并且没有作出任何被归类为闯入(intrusion)的举动.
针对这点,NIDS会告诉你"有人在检查你的大门握把",但没有人真的去试着把门打开.

步骤3.入侵--
入侵者违越了规矩,并开始对目标主机作了可能的漏洞入侵.入侵者尝试 在一个输入资料里,传递一个shell 指令,因而危及CGI script.入侵者试图以传递大量的资料的方式,来侵害一个已知的缓冲区溢位(buffer-overrun)漏洞.入侵者开始检查有无 简单可猜(甚至 没有)密码的户帐号.一个黑客,会由几个阶段性的入侵.例如,如果黑客可以得到一个用户的帐号,他将试图作更进一步的入侵举动来获得 root/admin.

步骤4.立足--
在这阶段中,入侵者已经由机器的入侵,成功地在你的网路中立足.

入侵者主要的目的就是藏匿入侵证据(修改稽核(audit trail)与log档)并确认他可以再次侵入.他们也许会安装可让他们执行的'toolkits'.用他们有着后门(backdoor)密码的木马(Trojanhorses)置换原先的服务,或 创造一个属于自己的使用者帐户.System IntegrityVerifiers(SIVs)可以 注意到 档案的改变 而对使用这些手段的入侵者做出检测.由于大部分的网路难以防御来自内部的侵害,入侵者将利用这个机器作为其他机器的跳岛.

步骤5.利益--
入侵者利用他们的优势偷取机密资料,滥用系统资源(阶段性的由其他机器侵扰你的机器)或破坏你的网页.

其他的情节也许开始情况不同.不管是入侵特定的站点或者是随机地在网路世界中扫描特定的漏洞.例如 入侵者可能会企图扫描有着SendMail DEBUG漏洞机器的整个网路.他们可以轻易入侵有漏洞的机器.他们不会直接针对你,甚至不知道你是谁.(就好像'birthdayattack'般,列出已知的系统漏洞与IP位置,凭运气的找到有着其中一项漏洞的机器)

1.7一般的入侵类型有哪些?

有三种攻击方式:

侦察--包括ping扫描,DNS zone 转换,e-mail侦察,TCP 或 UDP 端口(port)扫描(scan),与经由公开网页伺服器可能的索引(indexing),来发现CGI漏洞.

漏洞--入侵者将会利用隐密的特性或缺陷(bugs)来存取系统.

拒绝服务(denial-of-service)(DOS)攻击--入侵者试图破坏服务(或机器),使网路连结(link)超载,CPU超载,填满硬盘.入侵者不是想获得资讯,而是仅仅以如破坏者般的行为而不让你使用机器.

1.8 常见漏洞有哪些?

1.8.1 CGI脚本(scripts)

CGI程式是恶名昭彰地不安全.典型的安全漏洞包括 经由shell特殊字元(metacharacters)
的利用,直接传递变质的输入 于 命令shell里.使用隐藏的变数,指定系统里的档案名(filename)
,或揭示更多系统的种种.最为人知的CGI缺陷就是装载于NCSA httptd的'phf'数据库(library).
'phf'library 假定为允许 伺服解析(sever-parsed)HTML,而造成 传回任何档案 的漏洞. 其他入侵者试图使用的知名CGI脚本漏洞有:TextCounter, GuestBook, EWS,info2www, Count.cgi, handler, webdist.cgi,php.cgi, files.pl, nph-test-cgi, nph-publish,AnyForm, FormMail.如果你发现有人试图存取上述的CGI脚本(但你没有使用他们),这便清楚显示了一个入侵的意图(假设你没有把你想使用的CGI脚本用那个缺陷版本安装).

原文转自：http://www.ltesting.net