1.5. Common Exploits 和 Attacks
表 1.1 “通用扩展” 详细介绍入侵者访问组织网络资源时使用的一些最常见的漏洞和入口点。这些常见漏洞的关键在于解释了如何进行攻击以及管理员如何正确地保护其网络免受此类攻击。
漏洞 | 描述 | 备注 |
---|---|---|
空密码或默认密码 | 将管理密码置为空,或使用产品供应商设置的默认密码.这在路由器和防火墙等硬件中最常见,但一些在 Linux 上运行的服务也可以包含默认的管理员密码(虽然 Red Hat Enterprise Linux 7 不附带)。 |
通常与网络硬件(如路由器、防火墙、VPN 和网络附加存储(NAS)设备)相关。
在很多传统操作系统中很常见,尤其是那些捆绑了服务(如 UNIX 和 Windows)的操作系统。
管理员有时会匆忙创建特权用户帐户,并将密码置为空,从而为发现该帐户的恶意用户创建了一个完美的入口点。
|
默认共享密钥 | 出于开发或评估测试的目的,安全服务有时会打包默认的安全密钥。如果这些密钥保持不变,并放在互联网上的生产环境中,则拥有相同默认密钥的 所有 用户都可以访问该共享密钥的资源以及其包含的任何敏感信息。 |
最常在无线接入点和预配置的安全服务器设备中。
|
IP Spoofing | 远程计算机充当本地网络上的节点,找到您服务器的漏洞,并安装一个后门程序或特洛伊木马来控制您的网络资源。 |
欺骗比较困难,因为它涉及到攻击者预测 TCP/IP 序列号以协调到目标系统的连接,但有几个工具都可帮助攻击者执行此类攻击。
具体取决于目标系统运行的服务(如 rsh、telnet、FTP等),这些服务使用 基于源 的身份验证技术,与 ssh 或 SSL/TLS 中使用的其他形式的加密身份验证相比,不建议这样做。
|
窃听 | 通过窃听两个节点之间的连接,来收集网络上两个活动节点之间传递的数据。 |
这种类型的攻击主要适用于明文传输协议,如 Telnet、FTP 和 HTTP 传输。
远程攻击者必须能够访问局域网中一个被破坏的系统才能执行此类攻击;通常黑客使用主动攻击(如 IP 欺骗或中间人)来破坏局域网上的系统。
安全措施包括带有加密密钥交换、一次性密码或加密身份验证的服务,以防止密码嗅探;还建议在传输过程中进行强加密。
|
服务漏洞 | 攻击者发现在互联网上运行的服务有缺陷或漏洞;通过此漏洞,攻击者破坏整个系统以及其可能保存的任何数据,并可能破坏网络中的其他系统。 |
基于 HTTP 的服务(如 CGI)容易受到远程命令执行甚至交互式 shell 访问的攻击。即使 HTTP 服务以非特权用户(如"nobody")的身份运行,可以读取的配置文件和网络映射等信息,或者攻击者可以发起拒绝服务攻击,从而耗尽系统资源或使其对其他用户不可用。
服务有时可能会有在开发和测试过程中没有被注意到的漏洞;这些漏洞(如 缓冲区溢出 ,攻击者会使用填充应用内存缓冲区的任意值使服务崩溃,从而给攻击者一个交互式命令提示,他们可以从中执行任意命令)可以为攻击者提供完整的管理控制。
管理员应确保服务不以 root 用户身份运行,并应该对来自供应商或安全组织(如 CER T和 CVE)的应用程序补丁和勘误表更新保持警惕。
|
应用程序漏洞 | 攻击者在桌面和工作站应用程序(如电子邮件客户端)中发现错误,执行任意代码,植入特洛伊木马以备将来入侵,或使系统崩溃。如果被入侵的工作站对网络的其余部分具有管理特权,则可能会被进一步利用。 |
工作站和桌面更易被利用,因为工作者不具备防止或检测威胁的专业知识或经验;必须告知个人在安装未授权软件或打开未经请求的电子邮件附件时所承担的风险。
可以实施保护,如电子邮件客户端软件不自动打开或执行附件。此外,使用红帽网络自动更新工作站软件;或使用其他可以减轻多套安全部署负担的系统管理服务。
|
拒绝服务(DoS)攻击 | 攻击者或攻击者组通过向目标主机(服务器、路由器或工作站)发送未经授权的数据包,来针对组织的网络或服务器资源进行协调。这将迫使合法用户无法使用该资源。 |
美国报告的最新 DoS 问题单在 2000 年发生。几个高流量的商业和政府站点被协同的 ping 洪水攻击造成不可用,这些攻击使用了几个被破坏的系统,这些系统的高带宽连接被作为 僵尸,或重定向广播节点。
源数据包通常会被伪造(以及重播),从而使调查攻击的真正来源变得困难。
使用 iptables 和网络入侵检测系统(如 snort )进行入口过滤(IETF rfc2267)的进步有助于管理员跟踪并防止分布式 DoS 攻击。
|