1、第3章 网络攻防,3.1 网络攻击技术,网络攻击的方法十分丰富,令人防不胜防。分析和研究网络攻击活动的方法和采用的技术,对加强网络安全建设、防止网络犯罪有很好的借鉴作用。,3.1.1 网络攻击概述,攻击的分类 从攻击的行为是否主动来分:主动攻击和被动攻击 从攻击的位置来分,可分为远程攻击、本地攻击和伪远程攻击。 攻击的人员 黑客与破坏者、间谍 、恐怖主义者 、公司雇佣者 、计算机犯罪 、内部人员。 攻击的目的 主要包括:进程的执行、获取文件和传输中的数据、获得超级用户权限、对系统的非法访问、进行不许可的操作、拒绝服务、涂改信息、暴露信息、挑战、政治意图、经济利益、破坏等。,攻击者常用的攻击工具
2、,DOS攻击工具 木马程序 BO2000(BackOrifice):它是功能最全的TCP/IP构架的攻击工具,可以搜集信息,执行系统命令,重新设置机器,重新定向网络的客户端/服务器应用程序。感染BO2000后机器就完全在别人的控制之下,黑客成了超级用户,用户的所有操作都可由BO2000自带的“秘密摄像机”录制成“录像带”。 “冰河”:冰河是一个国产木马程序,具有简单的中文使用界面,且只有少数流行的反病毒、防火墙才能查出冰河的存在。它可以自动跟踪目标机器的屏幕变化,可以完全模拟键盘及鼠标输入,即在使被控端屏幕变化和监控端产生同步的同时,被监控端的一切键盘及鼠标操作将反映在控端的屏幕。它可以记录各
3、种口令信息,包括开机口令、屏幕保护口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息;它还可以进行注册表操作,包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。 分布式工具,3.1.2 网络攻击的原理,口令入侵:所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。 获取用户账号的方法: 利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上。 利用目标主机的X.500服务:有些主
4、机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径。 从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的账号。 查看主机是否有习惯性的账号:有经验的用户都知道,很多系统会使用一些习惯性的账号,造成账号的泄露。,口令入侵(2),获取用户口令的方法:被用来窃取口令的服务包括FTP、TFTP、邮件系统、Finger和Telnet等。所以,系统管理员对口令的使用应十分小心、谨慎。 通过网络监听非法得到用户口令。 在知道用户的账号后(如电子邮件前面的部分),利用一些专门软件强行破解用户口令,这种方法不受网段限制。 利用系统安全漏洞。在Windows/Unix操作系
5、统中,用户的基本信息、口令分别存放在某些固定的文件中,攻击者获取口令文件后,就会使用专门的破解程序来解口令。同时,由于为数不少的操作系统都存在许多安全漏洞、Bug或一些其他设计缺陷,这些缺陷一旦被找出,攻击者就可以长驱直入。,放置特洛伊木马程序,特洛伊木马程序可以直接侵入用户的计算机并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的计算机中,并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当用户连接到因特网
6、上时,这个程序就会通知攻击者,并报告用户的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改用户的计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等,从而达到控制用户的计算机的目的。,WWW的欺骗技术,一般Web欺骗使用两种技术手段,即URL地址重写技术和相关信息掩盖技术。 攻击者修改网页的URL地址,即攻击者可以将自已的Web地址加在所有URL地址的前面。当用户浏览目标网页的时候,实际上是向攻击者的服务器发出请求,于是用户的所有信息便处于攻击者的监视之下,攻击者就达到欺骗的目的了。但由于浏览器一般均设有地址栏和状态栏,当浏览器与某个站点链接时
7、,用户可以在地址栏和状态栏中获得连接中的Web站点地址及其相关的传输信息,由此发现已出了问题。所以攻击者往往在URL地址重写的同时,利用相关信息掩盖技术(一般用Java Script程序来重写地址栏和状态栏),以掩盖欺骗。,电子邮件攻击,电子邮件是Internet上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目标邮箱发送大量内容重复、无用的垃圾邮件,从而使目标邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。 电子邮件攻击主要表现为两种方式: 邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千
8、计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪。 电子邮件欺骗,攻击者佯称自己为系统管理员,给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序。,通过一个节点来攻击其他节点,攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机,以隐蔽其入侵路径,避免留下蛛丝马迹。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。 这类攻击很狡猾,但由于某些技术很难掌握,如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机
9、器来实现。它能破坏两台计算机间通信链路上的数据,其伪装的目的在于哄骗网络中的其它机器误将其攻击者作为合法机器加以接受,诱使其它机器向他发送据或允许它修改数据。TCP/IP欺骗可以发生TCP/IP系统的所有层次上,包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外由于用户本身不直接与底层相互相交流,因而对底层的攻击更具有欺骗性。,网络监听,网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器
10、端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具如NetXRay、Sniffer等就可轻而易举地截取包括口令和账号在内的信息资料。虽然网络监听获得的用户账号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户账号及口令。,利用黑客软件攻击,利用黑客软件攻击是Internet上比较多的一种攻击手法。如利用特洛伊木马程序可以非法地取得用户计算机的超级用户级权限,除了可以进行完全的控制操作外,还可以进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的计算机,
11、这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,黑客软件的服务器端就安装完成了,而且大部分黑客软件的重生能力比较强,给用户进行清除造成一定的麻烦。特别是最近出现了一种TXT文件欺骗手法,表面看上去是一个TXT文本文件,但实际上却是一个附带黑客程序的可执行程序,另外有些程序也会伪装成图片和其他格式的文件。,安全漏洞攻击,许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发
12、送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,甚至可以访问根目录,从而拥有对整个网络的绝对控制权。 另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏的根目录,从而获得超级用户的权限。 又如,ICMP协议也经常被用于发动拒绝服务攻击。,端口扫描攻击,所谓端口扫描,就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。 常用的扫描方式有:Connect()扫描。Fragment
13、ation扫描。,3.1.3 网络攻击的步骤,攻击者在一次攻击过程中的通常做法是:首先隐藏位置,接着网络探测和资料收集、对系统弱点进行挖掘、获得系统控制权、隐藏行踪,最后实施攻击、开辟后门等七个步骤,如右图所示。,1隐藏位置,攻击者经常使用如下技术隐藏其真实的IP地址或者域名: 利用被侵入的主机作为跳板,如在安装Windows的计算机内利用Wingate软件作为跳板,利用配置不当的Proxy作为跳板; 使用电话转接技术隐蔽自己,如利用800电话的无人转接服务联接ISP; 盗用他人的账号上网,通过电话联接一台主机,再经由主机进入Internet; 免费代理网关; 伪造IP地址; 假冒用户账号。,
14、2网络探测和资料收集,网络探测和资料收集主要是为了寻找目标主机和收集目标信息。 攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提供服务等资料作个全面的了解,为攻击作好充分的准备。攻击者感兴趣的信息主要包括:操作系统信息、开放的服务端口号、系统默认账号和口令、邮件账号、IP地址分配情况、域名信息、网络设备类型、网络通信协议、应用服务器软件类型等。 步骤:锁定目标、服务分析 、系统分析 、
15、获取账号信息 、获得管理员信息,信息收集分类,分为三种: 使用各种扫描工具对入侵目标进行大规模扫描,得到系统信息和运行的服务信息。 利用第三方资源对目标进行信息收集,比如我们常见的收索引擎 利用各种查询手段得到与被入侵目标相关的一些信息,如社会工程学。 社会工程学(Social Engineering):通常是利用大众的疏于防范的诡计,让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式,从合法用户中套取敏感的信息。,Ping 、fping、ping sweep ARP探测 Finger Whois DNS/nslookup 搜索引擎(google、百度) telnet,信息收集的工
16、具软件,ping,作用和特点,用来判断目标是否活动; 最常用; 最简单的探测手段; Ping 程序一般是直接实现在系统内核中的,而不是一个用户进程。,原理,Type = 8,Type = 0,ping,类型为8,表示“回响请求”,类型为0,表示“回响应答”,主机在线情况,主机不应答情况,1)主机不在线 2)防火墙阻断ICMP探测,ping,表示192.168.1.25机器不在线。,举例1: Reply from 192.168.3.10: bytes=32 time1ms TTL=32 Reply from 192.168.3.10 表示回应ping的ip地址是192.168.3.10。 by
17、tes=32 表示回应报文的大小,这里是32字节。 time1ms表示回应所花费的时间,小于1毫秒。 TTL=32,TTL是生存时间,报文经过一个路由器就减一,如果减到0就会被抛弃。这里是32。 举例2: Pingwar 2.0群ping.,ARP探测,能探测同一局域网内的主机,因为防火墙不能阻断ARP请求。,finger,作用和特点,网络服务 服务端口:tcp 79 服务端程序fingerd,客户端程序finger 不需要认证就提供用户信息,姓名,电话,最后登录时间,finger,whois,作用和特点,网络服务 服务端口:tcp 43 服务端程序whoisd,客户端程序finger 提供目
18、标系统的地址信息 参考网站1 http:/whois.webhosting.info 参考网站2 http:/samspade.org/,常规信息收集,网络域名,网络Ip地址分配,使用单位,地址,DNS,作用和特点,网络服务 服务端口:udp 53 服务端程序bind,客户端程序nslookup 提供目标系统域名与地址的转换,DNS,telnet,作用和特点,网络服务 服务端口:任意 服务端程序任意,客户端程序telnet 提供目标系统服务的版本信息 瑞士军刀NC,端口扫描,扫描基础 扫描分类 扫描工具介绍,扫描基础,TCP数据报首部标志域 TCP连接的建立过程 TCP连接的释放过程 TCP/
19、IP实现遵循的原则,TCP数据报首部标志域,URG:紧急数据标志,指明数据流中已经放置紧急数据,紧急指针有效; ACK:确认标志,用于对报文的确认; PSH:推标志,通知接收端尽可能的将数据传递给应用层,在telnet登陆时,会使用到这个标志; RST:复位标志,用于复位TCP连接; SYN:同步标志,用于三次握手的建立,提示接收TCP连接的服务端检查序号; FIN:结束标志,表示发送端已经没有数据再传输了,希望释放连接,但接收端仍然可以继续发送数据。,TCP连接的建立过程,TCP连接的释放过程,TCP/IP实现遵循的原则,原则1: 当一个SYN或者FIN数据包到达一个关闭了的端口,服务器丢弃
20、该数据包,并返回一个RST数据包;,TCP/IP实现遵循的原则,原则2: 当一个RST数据包到达一个监听端口或者关闭的端口,RST数据包都会服务器被丢弃。,TCP/IP实现遵循的原则,原则3: 当一个ACK数据包到达一个监听的端口,服务器会丢弃这个数据包,并回应一个RST数据包。,TCP/IP实现遵循的原则,原则4: 当一个FIN数据包到达一个监听端口时,数据包将会被丢弃。,端口扫描分类技术,端口扫描分类 扫描技术分析,扫描分类,TCP全连接,开放扫描,半开放扫描,TCP反向 ident扫描,IP头信息 dumb扫描,SYN扫描,FIN扫描,隐蔽扫描,TCP分段,ACK扫描,XMAS扫描,空扫
21、描,扫射扫描,SYN/ACK扫描,ping扫射,其它扫描,UDP/ICMP 不可达,FTP弹跳,UDP扫射,UDPrecvfrom /write扫描,ACK扫射,SYN扫射,ICMP扫射,扫描技术分析,完全连接扫描,ClientSYN ServerSYN/ACK ClientACK,ClientSYN ServerRST/ACK ClientRST,端口开放,端口关闭,扫描技术分析,半连接SYN扫描,ClientSYN ServerSYN/ACK ClientACK,ClientSYN ServerRST/ACK ClientRST,端口开放,端口关闭,*立即切断连接,扫描技术分析,隐蔽扫描:
22、SYN/ACK,ClientSYN/ACK ServerRST,ClientSYN Server-,端口开放,端口关闭,扫描技术分析,隐蔽扫描:FIN,ClientFIN ServerRST,ClientFIN Server-,端口开放,端口关闭,扫描技术分析,隐蔽扫描:ACK,ClientFIN Server(TTL0),ClientFIN Server(TTL64) Server(WIN=0),端口开放,端口关闭,扫描技术分析,其它扫描:ICMP,*ICMP Usage in Scanning,端口扫描工具,Nmap Xscan SuperScan Shadow Security Scan
23、ner MS06040Scanner,Nmap探测工具王,功能NMAP是探测网络主机和开放服务的佼佼者。是Linux下使用者的最爱,现在已经有Windows的版本。NMAP支持多种协议的扫描如UDP,TCP connect,TCP SYN, ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null扫描。还提供一些实用功能,比如通过tcp/ip来甄别操作系统类型;秘密扫描、动态延迟和重发;欺骗扫描、端口过滤探测、分布扫描等。,-sT TCP Conn
24、ect()扫描这是对TCP的最基本形式的侦测。对目标主机端口进行试探,如果该端口开放,则连接成功,否则代表这个端口没有开放。 -sS TCP SYN扫描就是我们介绍的半开式的扫描,速度会比connect扫描快。 -sF -sX sNStealth FIN,Xmas Tree 或者Null扫描模式。 -sP Ping扫描对指定的IP发送ICMP,如果对方屏蔽了echo request,nmap还能发送一个TCP ack包到80端口探测。 -sU UDP扫描确定某个UDP端口是否打开。,xscan,选择无条件扫描,才可以突破防火墙屏蔽ping,进行端口扫描。,Superscan速度之王,MS060
25、40Scanner专用的漏洞扫描器,用于检测目标系统是否存在MS06040漏洞。,MS06040Scanner的工作原理是首先是通过端口扫描和操作系统扫描获取操作系统类型和开放的端口,如果是windows2000系统,开放了TCP 139 或者TCP 445端口,并且返回的数据包跟漏洞库里的定义相匹配,则说明该主机可能可能存在MS06040漏洞,我们就可以使用MS06040漏洞利用程序对其进行远程溢出攻击。,3弱点挖掘,系统中漏洞的存在是系统受到各种安全威胁的根源。外部攻击者的攻击主要利用了系统提供的网络服务中的漏洞;内部人员作案则利用了系统内部服务及其配置上的漏洞,而拒绝服务攻击主要是利用资
26、源分配上的漏洞,长期占用有限资源不释放,使其它用户得不到应得的服务,或者是利用服务处理中的漏洞,使该服务崩溃。攻击者攻击的重要步骤就是尽量挖掘出系统的弱点/漏洞,并针对具体的漏洞研究相应的攻击方法。常见的漏洞有:,系统或应用服务软件漏洞。 主机信任关系漏洞。 寻找有漏洞的网络成员。 安全策略配置漏洞。 通信协议漏洞。 网络业务系统漏洞。,4获得控制权,攻击者要想入侵一台主机,首先要有该主机的一个账号和口令,再想办法去获得更高的权限,如系统管理账户的权限。获取系统管理权限通常有以下途径: 获得系统管理员的口令,如专门针对root用户的口令攻击; 利用系统管理上的漏洞:如错误的文件许可权,错误的系
27、统配置,某些程序中存在的缓冲区溢出问题等; 让系统管理员运行一些特洛伊木马程序,使计算机内的某一端口开放,再通过这一端口进入用户的计算机。,5隐藏行踪,作为一个入侵者,攻击者总是惟恐自己的行踪被发现,所以在进入系统之后,聪明的攻击者要做的第一件事就是隐藏自己的行踪,攻击者隐藏自己的行踪通常要用到如下技术: 连接隐藏,如冒充其他用户、修改 LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术等; 进程隐藏,如使用重定向技术减少PS给出的信息量、用特洛伊木马代替PS程序等; 篡改日志文件中的审计信息; 改变系统时间,造成日志文件数据紊乱,以迷惑系统管理员。,6实施攻击,不同的攻击
28、者有不同的攻击目的,可能是为了获得机密文件的访问权,也可能是为了破坏系统数据的完整性,也可能是为了获得整个系统的控制权(系统管理权限),以及其他目的等。一般说来,可归结为以下几种方式: 下载敏感信息; 在目标系统中安装探测器软件,以便进一步收集攻击者感兴趣的信息,或进一步发现受损系统在网络中的信任等级; 攻击其它被信任的主机和网络; 使网络瘫痪; 修改或删除重要数据。,7开辟后门,一次成功的入侵通常要耗费攻击者的大量时间与精力,所以精于算计的攻击者在退出系统之前会在系统中制造一些后门,以方便自己的下次入侵,攻击者设计后门时通常会考虑以下方法: 放宽文件许可权; 重新开放不安全的服务,如REXD
29、、TFTP等; 修改系统的配置,如系统启动文件、网络服务配置文件等; 替换系统本身的共享库文件; 安装各种特洛伊木马程序,修改系统的源代码; 安装sniffers。,小 结,第一,一次完整的攻击过程可以划分为三个阶段,分别为:获取系统访问权前的攻击过程;获得系统控制权的攻击过程;获得系统访问权或控制权之后的攻击活动。 完成第一阶段的攻击过程,获得了系统的访问权,攻击者就已成功了一半,而完成第二阶段的攻击过程,获得系统的管理权限之后,攻击者已近于完全成功。此时,管理员已经很难阻止攻击者的破坏活动,但可以尽早地采取一些补救措施,如备份系统、关掉系统的网络连接、关机等。 第二,攻击者攻击成功的关键在
30、于第一、第二阶段的成功,在于尽早地发现或者利用目标系统的安全漏洞或弱点的能力。 第三,内部的攻击者可以减少攻击步骤,他只要找到系统的漏洞、弱点或缺陷,想法获取系统管理权限,就可以随心所欲地进行破坏活动了。,3.1.4 黑客攻击实例,黑客攻击拨号上网计算机实例(左),黑客攻击企业内部局域网实例(右),3.1.5 网络攻击的防范措施 及处理对策,防范措施 提高安全意识 使用能防病毒、防黑客的防火墙软件 设置代理服务器,隐藏自已的IP地址 安装过滤器路由器,防止IP欺骗 建立完善的访问控制策略 采用加密技术 做好备份工作,提高安全意识 1,不要随意打开来历不明的电子邮件及文件,不要运行来历不明的软件
31、和盗版软件。 不要随便从Internet上下载软件,尤其是不可靠的FTP站点和非授权的软件分发点。即使从知名的网站下载的软件也要及时用最新的杀病毒软件进行扫描。 防字典攻击和口令保护。选择1215个字符组成口令,尽可能使用字母数字混排,并且在任何字典上都查不到,那么口令就不能被轻易窃取了。不要用个人信息(如生日、名字等),口令中要有一些非字母(数字、标点符号、控制字符等),还要好记一些,不能写在纸上或计算机中的文件中,选择口令的一个好方法是将两个相关的词用一个数字或控制字符相连。重要的口令最好经常更换。,提高安全意识2,及时下载安装系统补丁程序。 不随便运行黑客程序,不少这类程序运行时会发出用
32、户的个人信息。 在支持HTML的BBS上,如发现提交警告,先看源代码,很可能是骗取密码的陷阱。 经常运行专门的反黑客软件,必要时应在系统中安装具有实时检测、拦截、查找黑客攻击程序的工具。经常采用扫描工具软件扫描,以发现漏洞并及早采取弥补措施。,处理对策(1),发现攻击者:一般很难发现网络系统是否被人入侵。借助下面一些途径可以发现攻击者。 攻击者正在行动时,捉住攻击者。例如,当管理员正在工作时,发现有人使用超级用户的帐号通过拨号终端登录,而超级用户口令只有管理员本人知道。 根据系统发生的一些改变推断系统以被入侵。 其他站点的管理员那里收到邮件,称从本站点有人对“他”的站点大肆活动。 根据网络系统
33、中一些奇怪的现象,发现攻击者。例如,不正常的主机连接及连接次数,系统崩溃,突然的磁盘存储活动或者系统突然变得非常缓慢等。 经常注意登录文件并对可逆行为进行快速检查,检查访问及错误登录文件,检查系统命令如login等的使用情况。在Windows NT平台上,可以定期检查Event Log中的Security Log,以寻找可疑行为。 使用一些工具软件可以帮助发现攻击者。,处理对策(2),处理原则 不要惊慌。发现攻击者后,会有许多选择。但是不管发生什么事,没有慎重的思考就去行动,只会使事情变得更遭。 记录每一件事情,甚至包括日期和时间。 估计形势。估计入侵造成的破坏程度,攻击者是否还滞留在系统中?
34、威胁是否来自内部?攻击者身份及目的?若关闭服务器,是否能承受得起失去有用系统信息的损失? 采取相应措施。一旦了解形势之后,就应着手作出决定并采取相应的措施,能否关闭服务器?若不能,也可关闭一些服务或至少拒绝一些人;是否关心追踪攻击者?若打算如此,则不要关闭Internet联接,因为这会失去攻击者的踪迹。,处理对策(3),发现攻击者后的处理对策:发现攻击者后,网络管理员的主要目的不是抓住他们,而是应把保护用户、保护网络系统的文件和资源放在首位。因此,可采取下面某些对策。 不理睬。 使用write或者talk工具询问他们究竟想要做什么。 跟踪这个连接,找出攻击者的来路和身份。这时候,nslooku
35、p、finger、rusers等工具很有用。 管理员可以使用一些工具来监视攻击者,观察他们正在做什么。这些工具包括snoop、ps、lastcomm、ttywatch等。 杀死这个进程来切断攻击者与系统的连接。断开调制解调器与网络线的连接,或者关闭服务器。 找出安全漏洞并修补漏洞,再恢复系统。 最后,根据记录的整个文件的发生发展过程,编档保存,并从中吸取经验教训。,3.1.6 网络攻击技术的发展趋势,攻击技术越来越先进:网络攻击自动化 、组织化 、目标扩大化 、协同化 、智能化 、主动化 。 攻击工具越来越复杂:反侦破、动态行为、成熟性、跨平台。 发现安全漏洞越来越快 越来越高的防火墙渗透率 越来越不对称的威胁,
