******常见方法及安全策略制订

一旦***定位了你的网络，他通常会选定一个目标进行***。通常这个目标会是安全漏洞最多或是他拥有最多***工具的主机。非法***系统的方法有很多，你应当对这些方法引起注意。
常见***类型和特征
***特征是***的特定指纹。***监测系统和网络扫描器就是根据这些特征来识别和防范***的。下面简要回顾一些特定地******网络和主机的方法。
常见的***方法
你也许知道许多常见的***方法，下面列出了一些：
字典***：***利用一些自动执行的程序猜测用户命和密码，审计这类***通常需要做全面的日志记录和***监测系统（IDS）。
Man-in-the-middle***：***从合法的传输过程中嗅探到密码和信息。防范这类***的有效方法是应用强壮的加密。
劫持***：在双方进行会话时被第三方（***）***，***黑掉其中一方，并冒充他继续与另一方进行会话。虽然不是个完全的解决方案，但强的验证方法将有助于防范这种***。
病毒***：病毒是能够自我复制和传播的小程序，消耗系统资源。在审计过程中，你应当安装最新的反病毒程序，并对用户进行防病毒教育。
非法服务：非法服务是任何未经同意便运行在你的操作系统上的进程或服务。你会在接下来的课程中学到这种***。
拒绝服务***：利用各种程序（包括病毒和包发生器）使系统崩溃或消耗带宽。
容易遭受***的目标
最常遭受***的目标包括路由器、数据库、Web和FTP服务器，和与协议相关的服务，如DNS、WINS和SMB。本课将讨论这些通常遭受***的目标。
路由器
连接公网的路由器由于被暴露在外，通常成为被***的对象。许多路由器为便于管理使用SNMP协议，尤其是SNMPv1，成为潜在的问题。许多网络管理员未关闭或加密Telnet会话，若明文传输的口令被截取，***就可以重新配置路由器，这种配置包括关闭接口，重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。
过滤Telnet
为了避免未授权的路由器访问，你应利用防火墙过滤掉路由器外网的telnet端口和SNMP[161,162]端口
技术提示：许多网络管理员习惯于在配置完路由器后将Telnet服务禁止掉，因为路由器并不需要过多的维护工作。如果需要额外的配置，你可以建立物理连接。
路由器和消耗带宽***
最近对Yahoo、e-Bay等电子商务网站的***表明迅速重新配置路由器的重要性。这些***是由下列分布式拒绝服务***工具发起的：
Tribal Flood Network(TFN)
Tribal Flood Network(TFN2k)
Stacheldraht（TFN的一个变种）
Trinoo（这类***工具中最早为人所知的）
因为许多公司都由ISP提供服务，所以他们并不能直接访问路由器。在你对系统进行审计时，要确保网络对这类消耗带宽式***的反映速度。你将在后面的课程中学习如何利用路由器防范拒绝服务***。
数据库
***最想得到的是公司或部门的数据库。现在公司普遍将重要数据存储在关系型或面向对象的数据库中，这些信息包括：
雇员数据，如个人信息和薪金情况。
市场和销售情况。
重要的研发信息。
货运情况。
***可以识别并***数据库。每种数据库都有它的特征。如SQL Server使用1433/1434端口，你应该确保防火墙能够对该种数据库进行保护。你会发现，很少有站点应用这种保护，尤其在网络内部。
服务器安全
WEB和FTP这两种服务器通常置于DMZ，无法得到防火墙的完全保护，所以也特别容易遭到***。Web和FTP服务通常存在的问题包括：
用户通过公网发送未加密的信息；
操作系统和服务存在众所周知的漏洞导致拒绝服务***或破坏系统；
旧有操作系统中以root权限初始运行的服务，一旦被***破坏，***者便可以在产生的命令解释器中运行任意的代码。
Web页面涂改
近来，未经授权对Web服务器进行***并涂改缺省主页的***活动越来越多。许多企业、政府和公司都遭受过类似的***。有时这种***是出于政治目的。大多数情况下Web页面的涂改意味着存在这***的漏洞。这些***通常包括Man-in-the-middle***（使用包嗅探器）和利用缓冲区溢出。有时，还包括劫持***和拒绝服务***。
邮件服务
广泛使用的SMTP、POP3和IMAP一般用明文方式进行通信。这种服务可以通过加密进行验证但是在实际应用中通信的效率不高。又由于大多数人对多种服务使用相同的密码，***者可以利用嗅探器得到用户名和密码，再利用它***其它的资源，例如Windows NT服务器。这种***不仅仅是针对NT系统。许多不同的服务共享用户名和密码。你已经知道一个薄弱环节可以破坏整个的网络。FTP和SMTP服务通常成为这些薄弱的环节。
与邮件服务相关的问题包括：
利用字典和暴力***POP3的login shell；
在一些版本中sendmail存在缓冲区溢出和其它漏洞；
利用E-mail的转发功能转发大量的垃圾信件
名称服务
***者通常把***焦点集中在DNS服务上。由于DNS使用UDP，而UDP连接又经常被各种防火墙规则所过滤，所以许多系统管理员发现将DNS服务器至于防火墙之后很困难。因此，DNS服务器经常暴露在外，使它成为***的目标。DNS***包括：
未授权的区域传输；
DNS 毒药，这种***是指***在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息，一旦成功，***者便可以使辅DNS服务器提供错误的名称到IP地址的解析信息；
拒绝服务***；
其它的一些名称服务也会成为***的目标，如下所示：
WINS，“Coke”通过拒绝服务***来***没有打补丁的NT系统。
SMB服务（包括Windows的SMB和UNIX的Samba）这些服务易遭受Man-in-the-middle***，被捕获的数据包会被类似L0phtCrack这样的程序破解。
NFS和NIS服务。这些服务通常会遭受Man-in-the-middle方式的***。
在审计各种各样的服务时，请考虑升级提供这些服务的进程。
审计系统BUG
作为安全管理者和审计人员，你需要对由操作系统产生的漏洞和可以利用的软件做到心中有数。早先版本的Microsoft IIS允许用户在地址栏中运行命令，这造成了IIS主要的安全问题。其实，最好的修补安全漏洞的方法是升级相关的软件。为了做到这些，你必须广泛地阅读和与其他从事安全工作的人进行交流，这样，你才能跟上最新的发展。这些工作会帮助你了解更多的操作系统上的特定问题。
虽然大多数的厂商都为其产品的问题发布了修补方法，但你必须充分理解补上了哪些漏洞。如果操作系统或程序很复杂，这些修补可能在补上旧问题的同时又开启了新的漏洞。因此，你需要在实施升级前进行测试。这些测试工作包括在隔离的网段中验证它是否符合你的需求。当然也需要参照值得信赖的网络刊物和专家的观点。
审计Trap Door和Root Kit
Root kit是用***替代合法程序。Trap Door是系统上的bug，当执行合法程序时却产生了非预期的结果。如老版本的UNIX sendmail，在执行debug命令时允许用户以root权限执行脚本代码，一个收到严格权限控制的用户可以很轻易的添加用户账户。
虽然root kit通常出现在UNIX系统中，但***者也可以通过看起来合法的程序在Windows NT中置入后门。象NetBus,BackOrifice和Masters of Paradise等后门程序可以使***者***并控制系统。***可以由这些程序产生。如果***者够狡猾，他可以使这些***程序避开一些病毒检测程序，当然用最新升级的病毒检测程序还是可以发现它们的踪迹。在对系统进行审计时，你可以通过校验分析和扫描开放端口的方式来检测是否存在root kit等问题。
审计和后门程序
通常，在服务器上运行的操作系统和程序都存在代码上的漏洞。例如，最近的商业Web浏览器就发现了许多安全问题。***者通常知道这些漏洞并加以利用。就象你已经知道的RedButton，它利用了Windows NT的漏洞使***者可以得知缺省的管理员账号，即使账号的名称已经更改。后门（back door）也指在操作系统或程序中未记录的入口。程序设计人员为了便于快速进行产品支持有意在系统或程序中留下入口。不同于bug，这种后门是由设计者有意留下的。例如，像Quake和Doom这样的程序含有后门入口允许未授权的用户进入游戏安装的系统。虽然看来任何系统管理员都不会允许类似的程序安装在网络服务器上，但这种情况还是时有发生。
从后门程序的危害性，我们可以得出结论，在没有首先阅读资料和向值得信赖的同事咨询之前不要相信任何新的服务或程序。在你进行审计时，请花费一些时间仔细记录任何你不了解它的由来和历史的程序。
审计拒绝服务***
Windows NT 易遭受拒绝服务***，主要是由于这种操作系统比较流行并且没有受到严格的检验。针对NT服务的***如此频繁的原因可以归结为：发展势头迅猛但存在许多漏洞。在审计Windows NT网络时，一定要花时间来验证系统能否经受这种***的考验。打补丁是一种解决方法。当然，如果能将服务器置于防火墙的保护之下或应用***监测系统的话就更好了。通常很容易***UNIX操作系统，主要因为它被设计来供那些技术精湛而且心理健康的人使用。在审计UNIX系统时，要注意Finger服务，它特别容易造成缓冲区溢出。
缓冲区溢出
缓冲区溢出是指在程序重写内存块时出现的问题。所有程序都需要内存空间和缓冲区来运行。如果有正确的权限，操作系统可以为程序分配空间。C和C++等编程语言容易造成缓冲区溢出，主要因为它们不先检查是否有存在的内存块就直接调用系统内存。一个低质量的程序会不经检查就重写被其它程序占用的内存，而造成程序或整个系统死掉，而留下的shell有较高的权限，易被***利用运行任意代码。
据统计，缓冲区溢出是当前最紧迫的安全问题。
Telnet的拒绝服务***
Windows中的Telnet一直以来都是网络管理员们最喜爱的网络实用工具之一，但是一个新的漏洞表明，在Windows2000中Telnet在守护其进程时，在已经被初始化的会话还未被复位的情况下很容易受到一种普通的拒绝服务***。Telnet连接后，在初始化的对话还未被复位的情况下，在一定的时间间隔之后，此时如果连接用户还没有提供登录的用户名及密码，Telnet的对话将会超时。直到用户输入一个字符之后连接才会被复位。如果恶意用户连接到Windows2000的Telnet守护进程中，并且对该连接不进行复位的话，他就可以有效地拒绝其他的任何用户连接该Telnet服务器，主要是因为此时Telnet的客户连接数的最大值是1。在此期间任何其他试图连接该Telnet服务器的用户都将会收到如下错误信息：
Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection
察看“列出当前用户”选项时并不会显示超时的会话，因为该会话还没有成功地通过认证。
Windows NT的TCP port 3389存在漏洞
Windows NT Server 4.0 终端服务器版本所作的 DoS ***。这个安全性弱点让远端使用者可以迅速的耗尽 Windows NT Terminal Server 上所有可用的内存，造成主机上所有登陆者断线，并且无法再度登入。
说明：
1. Windows NT Server 4.0 终端服务器版本在 TCP port 3389 监听终端连接 (terminal connection)，一旦某个 TCP 连接连上这个端口, 终端服务器会开始分配系统资源，以处理新的客户端连接，并作连接的认证工作。
2. 此处的漏洞在于：在认证工作完成前，系统需要拨出相当多的资源去处理新的连 接，而系统并未针对分配出去的资源作节制。因此远端的***者可以利用建立大 量 TCP 连接到 port 3389 的方法，造成系统存储体配置达到饱和。
3. 此时服务器上所有使用者连接都会处于超时状态，而无法继续连接到服务器上，远端***者仍能利用一个仅耗用低频宽的程式，做出持续性的***，让此 服务器处於最多记忆体被耗用的状态，来避免新的连接继续产生。
4. 在国外的测试报告中指出，长期持续不断针对此项弱点的***，甚至可以导致服务器持续性当机，除非重新开机，服务器将无法再允许新连接的完成。
解决方案：
更详细资料请参考 Microsoft 网站的网址：
http://www.microsoft.com/security/bulletins/ms99-028.asp.
防范拒绝服务***
你可以通过以下方法来减小拒绝服务***的危害：
加强操作系统的补丁等级。
如果有雇员建立特定的程序，请特别留意代码的产生过程。
只使用稳定版本的服务和程序。
审计非法服务，特洛伊***和蠕虫
非法服务开启一个秘密的端口，提供未经许可的服务，常见的非法服务包括：
NetBus
BackOrifice 和 BackOrifice 2000
Girlfriend
冰河2.X
秘密的建立共享的程序
许多程序将不同的非法服务联合起来。例如，BackOrifice2000允许你将HTTP服务配置在任意端口。你可以通过扫描开放端口来审计这类服务，确保你了解为什么这些端口是开放的。如果你不知道这些端口的用途，用包嗅探器和其它程序来了解它的用途。
技术提示：不要混淆非法服务和***。***程序通常包含非法服务，而且，***程序还可以包含击键记录程序，蠕虫或病毒。
特洛伊***
特洛伊***是在执行看似正常的程序时还同时运行了未被察觉的有破坏性的程序。***通常能够将重要的信息传送给***者。***者可以把任意数量的程序植入***。例如，他们在一个合法的程序中安放root kit或控制程序。还有一些通常的策略是使用程序来捕获密码和口令的hash值。类似的程序可以通过E-mail把信息发送到任何地方。
审计***
扫描开放端口是审计******的途径之一。如果你无法说明一个开放端口用途，你也许就检测到一个问题。所以，尽量在你的系统上只安装有限的软件包，同时跟踪这些程序和服务的漏洞。许多TCP/IP程序动态地使用端口，因此，你不应将所有未知的端口都视为安全漏洞。在建立好网络基线后，你便可以确定哪些端口可能存在问题了。
蠕虫
Melissa病毒向我们展示了TCP/IP网络是如何容易遭受蠕虫***的。在你审计系统时，通常需要配置防火墙来排除特殊的活动。防火墙规则的设置超出了本术的范围。但是，作为审计人员，你应当对建议在防火墙上过滤那些从不信任的网络来的数据包和端口有所准备。
蠕虫靠特定的软件传播。例如，在2000年三月发现的Win32/Melting.worm蠕虫只能***运行Microsoft Outlook程序的Windows操作系统。这种蠕虫可以自行传播，瘫痪任何种类的Windows系统而且使它持续地运行不稳定。
结合所有***定制审计策略
***者有两个共同的特点。首先，他们将好几种不同的方法和策略集中到一次***中。其次，他们在一次***中利用好几种系统。综合应用***策略可以增强***的成功率。同时利用好几种系统使他们更不容易被捕获。
例如，在实施IP欺骗时，***者通常会先实施拒绝服务***以确保被***主机不会建立任何连接。大多数使用Man-in-the-middle的***者会先捕获SMB的密码，再使用L0phtCrack这样的程序进行暴力破解***。
***策略
你已经了解到那些网络设备和服务是通常遭受***的目标和***活动的***特征。现在，请参考下列的一些场景。它们将有助于你在审计过程中关注那些设备和服务。请记住，将这些***策略结合起来的***是最容易成功的。
物理接触
如果***者能够物理接触操作系统，他们便可以通过安装和执行程序来使验证机制无效。例如，***者可以重启系统，利用其它启动盘控制系统。由于一种文件系统可以被另一种所破坏，所以你可以使用启动盘获得有价值的信息，例如有管理权限的账号。
物理***的简单例子包括通过重新启动系统来破坏Windows95或98的屏幕锁定功能。更简单的物理***是该系统根本就没有进行屏幕锁定。
操作系统策略
近来，美国白宫的Web站点被一个缺乏经验的***者黑掉。***者侦查出该Web服务器运行的操作系统是Solaris 7。虽然Solaris 7被成为艺术级的操作系统，但管理员并没有改变系统的缺省设置。虽然该站点的管理员设置了tripwire，但***者还是使用phf/ufsrestore命令访问了Web服务器。
较弱的密码策略
上面白宫网站被黑的例子可能是由于该系统管理员使用FTP来升级服务器。虽然使用FTP来更新网站并没有错，但大多数FTP会话使用明文传输密码。很明显，该系统管理员并没有意识到这种安全隐患。又由于大多数系统管理员在不同的服务上使用相同的密码，这使***者能够获得系统的访问权。更基本的，你可以保证/etc/passwd文件的安全。
NetBIOS Authentication Tool（NAT）
当***者以WindowsNT为目标时，他们通常会使用NetBIOS Authentication Tool（NAT）来测试弱的口令。这个程序可以实施字典***。当然它也有命令行界面，这种界面的***痕迹很小。而且命令行界面的程序也很好安装和使用。在使用NAT时，你必须指定三个文本文件和IP地址的范围。当然，你也可以指定一个地址。NAT使用两个文本文件来实施***而第三个来存储***结果。第一个文本文件包含一个用户列表，第二个文件中是你输入的猜测密码。
当使用命令行版本时，语法格式为：
nat ?Cu username.txt ?Cp passwordlist.txt ?Co outputfile.txt
即使服务器设置了密码的过期策略和锁定，***者还是可以利用NAT反复尝试登录来骚扰管理员。通过简单地锁定所有已知的账号，***者会极大地影响服务器的访问，这也是一些系统管理员不强行锁定账号的原因。
到此为止，你已经学习了一些外部***。然而，对于管理员来说最紧迫的是大多数公司都存在不好的安全策略。如果安全策略很弱或干脆没有安全策略，通常会导致弱的密码和系统策略。通常，公司并不采取简单的预防措施，比如需要非空的或有最小长度要求的密码。忽略这些限制会给***者留下很大的活动空间。
不论你的操作系统采取何种文件系统（FAT，NTFS或NFS），每种系统都有它的缺陷。例如，缺省情况下NTFS在文件夹和共享创建之初everyone组可完全控制。由于它是操作系统的组成部分（Windows NT），因此也成为许多***的目标。NFS文件系统可以共享被远程系统挂接，因此这也是***者***系统的途径之一。