黑客入侵检测实战问答篇(second)

问：入侵者如何获取口令？

　　1、监听明文口令信息

　　大量的通讯协议比如Telnet、Ftp、基本HTTP都使用明文口令，这意味着它们在网络上是赤裸裸地以未加密格式传输于服务器端和客户端，而入侵者只需使用协议分析器就能查看到这些信息，从而进一步分析出口令，成为真用户的克隆。

　　2、监听加密口令信息

　　当然，更多的通讯协议是使用加密信息传输口令的。这时，入侵者就需要借助字典或者采用暴力攻击法来解密了。注意，我们并不能察觉到入侵者的监听行为，因为他在暗处，是完全被动的，没有发送任何信息到网络上，入侵者的机器仅被用于分析这些口令信息。

　　3、重放攻击(Replay attack)

　　这又是一种间接的攻击方式，就是说：入侵者不必对口令进行解密，需要的是重新编写客户端软件以使用加密口令实现系统登录。

　　4、窃取口令文件

　　口令文件通常都保存在一个单独的文件中，例如UNIX系统的口令文件是/etc/passwd(也可能是那个文件的镜像)，WinNT系统的口令文件是/winnt/system32/config/sam。入侵者一旦获取了口令文件，就可以使用破解程序发现其中的弱口令信息。

　　5、观察

　　用户可能由于设置的口令复杂难记而将它写在一张纸上压在键盘下随时查看，或者在输入口令的时候不管身后有没有站着一位“看客”。入侵者的搜索力与记忆力都非常好，这些操作习惯对他们来说简直就是轻松练兵。所以，别忽视入侵者的眼睛！

　　6、社会工程

　　前面提到过这个问题，社会工程就是指采用非隐蔽方法盗用非授权帐户进行的非法活动，比如使用其他人的机器、冒充是处长或局长骗取管理员信任得到口令等等。记住：如果有人想要你的口令，无论他说是为了什么，请记住他，一旦发生了关于口令的案件，那个人就是头号嫌疑犯！
问：典型的入侵场景有哪些？

　　所谓入侵场景，就是指入侵者都会从哪些方面采取哪些步骤尝试攻击系统。典型的入侵画面是这样一幕幕展开的：

　　1、外部调研

　　知己知彼，百战不殆。入侵者攻击的第一步就是尽一切可能对攻击目标进行调研以获取充足的资料。采取的方法包括：使用whois工具获取网络注册信息；使用nslookup或dig工具搜索DNS表以确定机器名称；搜索关于公司的公开新闻。这一步对于被攻击者是完全不知的。

　　2、内部分析

　　确定了攻击目标的基本属性(站点地址、主机名称)，入侵者将对它们进行深入剖析。方法有：遍历每个Web页面搜索是否存在CGI漏洞；使用ping工具一一探寻“活”着的机器；对目标机器执行UDP/TCP扫描以发现是否有可用服务。这些行为都属于正常的网络操作，还不能算作入侵行为，但是NIDS系统将能够告诉管理者“有人正在撼动门把手……”

　　3、漏洞利用

　　现在到了开始动手的时候了！破坏花样实在繁多，在此择优列举如下：通过在输入项目中写入壳命令字符串(shell command)来考验CGI脚本的安全性；通过发送大量数据以确定是否存在臭名昭著的缓冲区溢出漏洞；尝试使用简单口令破解登录障碍。当然，混合使用多种方式是攻占成功的不二法门。

　　4、站稳脚跟

　　对于入侵者而言，一旦成功地入侵了网络中的一台机器，就可以说是站稳脚跟了。入侵者现在要做的就是隐藏入侵痕迹并制造日后再攻的后门，这就需要对日志文件或其他系统文件进行改造，或者安装上木马程序、或者替换系统文件为后门程序。这时，SIV(系统完整性检测)系统会注意到这些文件的变化。由于内部网络中的安全措施通常都比较少，进一步地，入侵者将以这第一台机器作为跳板，攻击网络中的其他机器，寻找下一个安身之家。

　　5、享受成果

　　到此，入侵者可以说是完成了攻击任务，剩下的就是享受成果了：或者对窃取的秘密文件肆意使用、或者滥用系统资源、或者篡改Web页面内容，甚至将你的机器作为跳板攻击其他机器。

　　以上讨论是的有目的入侵者的通常行为。还有一种入侵场景通常被称为“birthday attack”，我想其含义是模拟生日时接收到许多熟人或者未知朋友的礼物吧，不过用在这里还要在礼物前加上“攻击”两字了。Birthday attack的一般步骤是：随机搜索一个Internet地址；搜索其上是否有指定的漏洞；如果有，根据已知的漏洞利用方法进行攻击.