网络安全方案公司FIST工作室（fist@ns2.co.uk）
Little Gray Man 译

　　1.0 简介

　　本白皮书是为帮助系统管理和操作人员深入了解典型系统入侵者采用的方法和手段而编写。

　　本文不应被视为增强网络安全的指南，尽管本文的确能帮助您找出您的网络系统的漏洞或指出可能发生的潜在事故。

　　我们希望您能够喜欢本文，并通过本文学习一些当前系统入侵者的运作方法。

　　网络安全方案公司FIST工作室（fist@ns2.co.uk）

　　1.1 究竟漏洞在哪里

　　每天，企业和各种组织都生活在各种各样的电脑网络中间，电脑网络使我们能够有效地分享大量的数据资源。

　　一般来说，企业网络在设计和组建时主要考虑的是它的功能和效率，很少会把安全性放在心上。尽管在短期从商业的角度上看，这样的做法并没有错，但网络一旦运行和发展，安全问题便会随之而来，使使用大网络的公司们要花数以百万的美圆去解决。

　　大多数企业网或敏感专用网以客户机-服务器的模式运作。在这种模式下企业雇员使用本地工作站工作，需要时联上服务器以共享信息。在本白皮书种我们会集中讨论服务器端的安全性，因为系统攻击者通常会先以服务器为攻击目标。服务器是信息传递的"枢纽"，如果攻击者能取得服务器上未授权的权力，那么对网络其他部分就容易多了。

　　对于攻击者大范围网络查探，容易被攻击的目标包括：
　　银行和金融机构
　　互联网服务提供商
　　医药公司
　　政府和防卫机构
　　政府机构的供应商
　　跨国集团

　　虽然大多数此类攻击的肇事者是内部人员（已经获得企业部分敏感信息访问权的用户），但我们主要还是集中讨论纯外部的网络攻击技术。

　　对银行和金融机构的查探和攻击主要是为了行使商业诈骗。为了冒险获取大量的金钱，许多银行已经被如此攻击。银行们一向不承认自己是外部网络攻击的受害者，因为一旦这样的消息泄露他们肯定会损失大量的客户和信用度。

　　互联网服务供应商是系统攻击者的普遍目标，因为ISP服务器很容易就可以从internet上访问到。而且ISP们有大型高速联往世界各地光纤的访问权，一旦攻击者们成功就能将大量的信息在internet上传输。规模较大的ISP会有用户数据库，而这些数据库中通常会包含攻击者们感兴趣的用户保密信息，诸如信用卡号、真实姓名、地址等。
> 　　医药公司通常主要是商业间谍攻击的受害者。在这种攻击中攻击者们会为偷到的保密医药数据而得到大量金钱。那些医药公司花了数百万美元计的巨资研究开发出来的医药数据，往往在这样一次攻击中就被泄露或丢失。

　　在过去6年中，美国的政府和国防机构遭受到internet上数以百万次的攻击。由于这些机构的安全经费不足，安全制度不健全，加上这些政府和军事机构经常被攻击者们刺探和攻击，信息安全问题成为一场费力的战争。

　　虽然国防工程的承建商十分重视安全问题，但他们仍然不免成为那些为获取机密或敏感军事资料的攻击者们的目标，因为这些资料可以向外国的组织卖个好价钱。虽然为公众所知的只有为数不多几个案例，但这些活动值得警惕。

　　跨国公司是工业间谍行为的的主要受害者。跨国公司在世界各国都有办事机构，所以一般都会建立大型的企业网络以供雇员之间有效共享信息。NSS小组曾为数家跨国公司做过侵入测试，发现在很多情况下这些企业网络都是可以被驾御的。

　　跟医药公司一样，跨国公司日常工作都是建立在电子数据传输、元件和电脑有关的技术上，而且已经花了巨额资金在新技术的研究和开发上。所以对于这些公司的竞争者，雇佣一批“系统攻击者”去非法获取这些公司的秘密资料十分有诱惑力。

　　竞争公司可以采用的另一种攻击的形式是使对方公司的电脑系统瘫痪一段时间，这样就会使对方公司损失大量的收入。通常很难确定这类攻击是从何发起。如果内部网络分段和配置的不好，这类公司会给公司带来巨大的影响和造成巨额的财务损失。

　　这种“违规行为”在现在的网络社会中十分普遍，应值得我们给予高度重视。

　　1.2 "系统入侵者"的原形

　　研究表明，一个典型的“系统攻击者”通常是男性，年龄大约在16至25岁之间。这些攻击者们在开始从入侵其他系统以提高自己的破解技术，或非授权使用网络以满足自己需要中开始对系统攻击感兴趣。大多数攻击者们对攻击都非常有恒心，这可能是因为他们有大量的空闲时间。

　　大部分攻击者都是机会主义者，他们会运行许多扫描程序去查找大量的远程主机，希望从中找出系统弱项。当找到某台机器有可以被远程攻击的弱项后，攻击者们会尝试得到管理者权限，安装供自己以后访问的后门，然后补好那些会远程访问安全的通常系统弱项，以阻止其他攻击者利用同样的攻击手段攻击已经被自己“征服”了的机器。

　　这些机会主义者主要采用两种方法：一是internet，二是电话网络。

　　要在internet上进行主机远程访问弱项扫描，攻击者通常会从一个他已经取得权限的，有高速internet连接（通常是光纤连接）的机器上启动一个扫描程序。

　　要扫描使用电话网络的机器，比如终端服务器、电子公告板系统或语音信箱服务系统等，攻击者会使用一种自动拨号程序，这种程序会自动拨一个指定范围的大量电话号码，从中寻找可以被确认为以上电话网络系统的“载波信号”，从而确定攻击对象。

　　只有很少一部分系统攻击者在发起攻击前有明确的攻击目标，这些攻击者的技巧熟练得多，会采用最新的攻击技巧去征服一个网络。有一类攻击者就是专门利用防火墙的未公开的漏洞和“功能”，通过企业自身在internet上的防火墙攻击防火墙内的机器。

　　这些攻击者确定要攻击的网络或主机通常装载有敏感的数据，比如技术研究开发的记录，或攻击者们认为有价值的其他数据。

　　这些攻击者通常会拥有大型网络安全公司或顾问公司使用的安全工具，利用他们去寻找特定目标的所有存在的各种安全缺陷。这种专攻击特定目标的攻击者通常也很耐心，他们会在花几个月的时间去搜集各种有关的信息之后，才尝试侵入某一系统。

　　2.1 众多公司的组网技术

　　一个典型的企业会使用internet作如下用途：
　　作公司WEB服务的主机
　　通过internet提供EMAIL和其他全球通讯服务
　　给雇员internet服务

　　在NSS进行网络渗透测试的公司中，一个企业的网络通常是由被防火墙和应用程序代理服务器分割的不同网段。

　　在这样的网络中，企业的WEB服务器和电子邮件服务器通常是在企业网络的“外部”，信息通过网络内外的信任域通道来进行信息传输。

　　当存在外部邮件服务器和内部主机之间的信任关系时，应该采用一种考虑周详的邮件阻隔策略。通常企业应只允许外部的邮件服务器只和特定一台“安全”的企业内部邮件服务器的25口通信，这样就会大大降低非授权访问的可能性，即便外部的EMAIL服务器已经被控制。

　　在NSS进行网络渗透的公司中，有一家公司有许多“多宿主机”的机器。这些机器具有两个网络接口，一个连接外部网，一个连接企业内部网。从安全的角度看，这种在两个网段同时工作的机器可能会对网络安全造成严重的危害。当控制一台这样的机器时，它就很容易被用作入侵内部网络的“桥”。

　　2.2 了解此类网络系统的弱项
　
　　在internet上，典型的公司可能会装有5个外部WEB服务器，2个外部邮件服务器和1个防火墙或数据包过滤系统。一般来说WEB服务器不是
攻击者们首要的攻击目标，除非防火墙在某些方面配置失误，使攻击者能够利用这种失误控制服务器。不过在WEB服务器上安装TCP包过滤器，
只让被信任的机器使用telnet和ftp端口等安全措施总是一个好主意。

　　攻击者们一般会首先选择把邮件服务器作为进入内网的攻击目标，因为邮件服务器一定有一个在外网和公司内网之间的连接以分发和交换内外邮件（译注：一旦控制了邮件服务器，就肯定会有进入内网的渠道）。跟WEB攻击一样，这种攻击策略是否有效取决与防火墙或数据包过滤系统的配置。

　　过滤路由器是另一个攻击者们经常选择的目标，他们会使用攻击型的SNMP扫描器和常用的字符串“暴力攻击程序”（译注：使用穷举法试用户名和密码）进行攻击。如果这种攻击成功的话，路由器就会被轻易设置为从外网到内网的网桥，从而使从外部攻击内网成为可能。

　　在上述情况下，攻击者们会仔细权衡应该尝试攻击哪些主机，找出外网的主机和内网的主机有怎样的信任关系。所以假如您应该在所有外网的机器上安装TCP包过滤器，并确认只有特定被信任的机器才能连接主机的重要端口（服务），通常有：

　　ftp (21), ssh (22), telnet (23), smtp (25), named (53),
　　pop3 (110), imap (143), rsh (514), rlogin(513), lpd (515).

　　SMTP, named 和 portmapper 口应根据主机在网络中的作用而适当加以过滤。

　　实践表明，实行包过滤会大大降低企业内网被攻击的可能性。

　　在没有明确的“企业上网”政策的公司内网中，会出现“多宿主机”和配置不当的路由器，通常也会有内网分割不清的情况，从而使系统攻击者从internet上使用非授权访问攻击攻击企业内网更加容易。

　　如果企业外网DNS配置不当，则很容易使企业网络“映像”的情况（译注：得到企业网络机主机配置情况，可为下一步攻击作准备）。当NSS进行渗透测试时，我们能够从这样的配置不当的DNS服务器中“映像”企业网络的。因此，在企业外网机器和内网机器间不应配置DNS，在外
网与内网机器间只使用IP地址远为安全。

　　在多个网络都有网络接口的机器是不安全的，利用这种不安全的机器攻击者们可以轻易访问企业网络，他们甚至可以不用compromise这些主机。滥用这些机器的finger forward服务是一件很轻易的事，如：可以利用搜集用户、主机和网络的信息，从而确认企业内网中哪些机器值得继续攻击，甚至还可以发送对root@host, bin@host, daemon@host的finger请求来确认主机的操作系统，从而使系统攻击更为容易。

　　有些攻击者使用一种“自动拨号”的技术（译注：即不断尝试拨选定号码区间的各个电话，以寻找有载波信号的的号码，一般这些电话是企业的终端服务器），他们一般会选择公司所在位置的电话号码区间，如大厦或网络运行中心。

　　当攻击者们找到并取得终端服务器的访问权后，一般来说他们就取得了进入企业内部网络的一定程度的访问权，这样便完全绕开了分割公司内网与internet的各种防火墙和滤包器。所以确保终端服务器的安全至关重要，而且应记录到终端服务器的每一次连接。

　　当要了解网络系统的弱点时，应谨记，您的网络主机间的信任关系。这种信任关系可能是由TCP滤包器、host.equiv文件、.rhosts或.shosts文件等所建立。对大型网络通常会通过利用这些信任关系来进行攻击。

　　举一个例子：如果一个攻击者通过CGI的漏洞查看到你的hosts.allow文件，并发现你允许所有来自*.trusted.com 的ftp和telnet连接，这样，他就可以通过获取*.trusted.com中任何一台主机的控制，来进攻你的机器。

　　所以，有必要确保所有您信任的机器与您的机器一样能抵御来自远程的攻击。

　　另外一种值得一提的攻击方法就是，在企业机器中安装“后门”或“特洛伊木马”程序（比如在一些Windows 95/98的机器上），如果公司雇员能够通过应用程序代理或防火墙访问internet时，他们可能利用这种方便去访问一些“软件仓库”站点并下载一些盗版软件。

　　这些“软件仓库”站点通常会提供一些屏保、软件工具等程序，某些这种软件就带有“后门”或“特洛伊木马”程序，比如“死牛教派”（Cult of the Dead Cows）的“Back Orifice”。当安装这些屏幕保护或其他程序时，这些“木马”就将自己挂在系统的注册表内，并在每一次开机时启动。

　　在BO木马中，木马的一些选件可以使木马控制宿主机器自动完成某些操作，比如自动连接IRC并进入特定频道，等等。这样是非常危险的，因为木马的宿主机器很容易被internet上的远程攻击者完全控制。

　　对于已经获取了企业内部网的访问权的攻击者，不管是他公司内部职员或已非法取得主机访问权，BO木马绝对会变得更加有效。采用适当的策略，攻击者可以在个把星期内将企业中所有机器Windows 95/98机器上都装上木马，这样他将随心所欲地从远程控制每一台机器，包括文件操作、重启机器甚至重新格式化磁盘，这一切都可以从远程操作。