想要了解可疑端口的占用 ,可以使用lsof工具(For Unix)或者Inzider工具(For windows)。另外还可以从远程使用 Nmap 工具进行异常端口占用检测。如果发现一个未知的进程占用了一个端口,尤其是以超级用户权限运行的进程,应该马上进行调查,是谁开启了这个进程。在调查不清楚的情况下可以果断关闭端口或杀掉进程。
要想了解网卡是否被置于混杂模式,可以采用ifstatus(For solaris)或者PromiscDetect(For windows)。如果想远程检测混杂模式的sniffer,可以选用packetfactory的Sentinel工具。
最后,要确保用户单位的安全应急小组必须掌握最新的计算机后门技术动向。当发现与后门有关的通信出现的时候,用户应该对端口占用情况、活动进程和网卡工作模式进行检测,以确定究竟是谁中了后门。
核心级别的rootkits
Rootkits是被广泛使用的工具,允许攻击者获得后门级访问。过去,rootkits通常是替换操作系统中的正常二进制执行程序,如login程序、ifconfig程序等。但这两年来rootkits发展很快,发展到直接对底层内核进行操作,而不再需要去修改单个的程序。
通过修改操作系统核心,内核级的rootkits使一个被修改内核的操作系统看上去和正常的系统没有区别,它们通常都包含重定向系统调用的能力。因此,当用户执行类似ps,netstat或者ifconfig –a之类的指令的时候,实际执行的是一个特洛伊的版本。这些工具还可以隐藏进程、文件和端口使用情况等,用户将得不到真实的系统情况报告。
目前攻击者使用的rootkits有Linux、solaris和windows等系统的版本。Kernel Intrusion System是其中的一款(For Linux),是功能最强大的内核级rootkits之一。
对于非内核级的rootkits,可以使用前面说过的完整性检查工具检查二进制执行程序文件被修改的情况。这个方法对内核级rootkits不管用。
要对付内核级的rootkits,必须加固临界系统的内核。St. Jude Project是一款监测Linux内核完整性的工具,它通过监测系统调用表的修改情况来实现对内核完整性的监控。还可以将系统配置成为固化内核的形式,建立一个不支持LKMs(loadable kernel modules)的系统内核。这样的系统效率更高,因为内存管理更简单。
另外的办法是自己加固内核。Argus Systems Group提供的PitBull工具,通过限制用户访问系统程序和内核来保护Solaris等系统的内核。另外象SELinux和Trusted Solaris等系统提供附加的内核保护功能。内核保护机制不能被滥用,否则会使系统管理变得复杂,并可能影响其它程序的正常运行。
脉冲蛇神和其它的DDoS伎俩
蛇神,可以指挥大批毒蛇向敌人发动进攻。用来形容象TFN2K这样的DDoS攻击控制工具是再合适不过了。攻击者通过劫持数千台计算机并植入DoS代理后,几乎就可以所向无敌了。这些DoS代理会在攻击者的指挥下同时向一台主机发送大量的数据包,使对方服务瘫痪,使这台主机淹没在大量的数据包中。以往,ISP一般情况下尚能对一些DDoS攻击进行跟踪,通过逆流而上的方法快速跟踪数据包,可以找到活动的攻击来源。
去年,一个叫”脉冲蛇神”的攻击形式使网管难以追查攻击的来源。攻击者可以使多个DDoS代理交替发出Flood数据包,这种随机发包方式就好象电子脉冲一样。如果攻击者有几千个这样的代理,追查”蛇神”将变得几近不可能。
还有更绝的。今年早期,互联网上出现了一个叫”反射式DDoS”的攻击方法。这种新方法用的是借刀杀人的思路,至少将有两方受害。
反射式DDoS的原理是SYNFlood的巧妙变形。它充分利用了TCP三次握手机制的”优点”,一个DDoS代理,用一个假的源地址,向一台高带宽的服务器发送一个TCP SYN数据包,服务器收到这个包以后,将向这个源地址回送一个SYN-ACK的响应包。攻击者在发包前可以将这个假的源地址设置为他要攻击的主机地址,这样,就变成了一台高性能/高带宽的服务器DoS目标主机。如果攻击者用多个线程,相同的源地址,不停地向多台高带宽服务器发包,则目标主机将受到多台服务器的攻击,目标主机几乎是”必死无疑”。用这种方式,在目前的互联网环境下,攻击者可以让Yahoo或者微软的Web服务器去DDoS一台他想攻击的主机。而且在这种情况下,想要追查到攻击者来源,实在是太难了。
为了对付DDoS攻击,市场上出现了商业化的抗DoS产品和解决方案。大体分为两类,一类是基于探头的工具,如Asta Networks出品的Vantage System 和 Arbor Networks'出品的Peakflow, 它们允许管理员将这些探头部署到网络的各个节点上,用基于异常的扫描技术发现不寻常的Flood数据包,发现后将实时地调整路由器和防火墙的设置进行过滤。
另一方面,象Captus Networks出品的CaptIO 和 Top Layer出品的AppSafe则在网络边界处直接发现和封杀DoS数据包。
