附录 B. 常见的漏洞利用和攻击

表 B-1 详细列举了某些最常见的漏洞利用以及入侵者用来进入组织内部网络资源的常用入口。避免这些常见漏洞利用的关键是了解这些活动的进行方式,以及管理员应该如何保护他们的网络来免遭这类攻击。

漏洞利用描述备注
空白或默认口令把管理性口令留为空白或使用产品生产商所设置的默认口令。虽然某些运行在 Linux 上的服务包含默认管理口令(红帽企业 Linux 中并不包含),这种行为在硬件(如路由器和 BIOS)中最常见。

在路由器、防火墙、VPN 和网络连接的贮存设备(NAS)中最常见;
在许多过时了的操作系统,特别是附带服务的 OS,如 UNIX 和 Windows;
管理员有时会在匆忙间创建一个有特权的用户而把口令留为空白。这就会成为发现了这个用户帐户的入侵者的完美入口。

默认共享密钥安全服务有时会把用于开发或评估测试目的的默认安全密钥打入软件包内。如果这些密钥不经改变而被用于互联网上的生产环境,那么任何拥有同样的默认密钥的用户都可以使用那个共享密钥资源,以及其中的保密信息。

在无线访问点和预配置的安全服务器设备中最常见。
CIPE(请参阅第6章 )包含一个用于示范的静态密钥,在转入生产环境前,这个密钥必须被改变。

IP 假冒(Spoofing)某个远程机器是你的本地网络上的一个节点,它在你的服务器上寻找弱点,并安装一个后门程序或特洛伊木马来获取对你的网络资源的控制。

由于“假冒”要求怪客预测 TCP/IP SYN-ACK 号码来协调到目标系统的连接,它通常较难做到。但是有好几种工具可以帮助攻击者从事这类活动。
它倚赖于目标系统上运行使用基于源(source-based)的验证技术的服务(例如 rshtelnet、FTP 等等)。和 PKI 及其它用在 ssh 或 SSL/TLS 的加密验证相比,这种验证技术是不被提倡的。

窃听通过窃听网络中的两个活跃节点的连接来收集它们之间传递的信息。

这类攻击多数在使用纯文本传输协议(如 Telnet、FTP、和 HTTP 传输)时发生。
远程怪客必须具备到某个 LAN 上的一个已被弱化的系统的进入权;通常,攻击者已经使用了某种积极攻击方式(如 IP 假冒或中间人攻击)来弱化这个 LAN 上的某个系统。
防护措施包括加密钥匙、单次有效口令、以及防窃听的加密验证;强度加密传输也值得一试。

服务弱点攻击者在互联网上运行的某个服务中寻找缺陷或漏洞;通过这个弱点,攻击者可以危及整个系统以及系统上的任何数据,甚至还能够危及网络上的其它系统。

基于 HTTP 的服务,如 CGI,在执行远程命令甚至使用互动 shell 方面有弱点。即便作为一名无特权的用户来运行 HTTP 服务,攻击者也可以读取配置文件和网络图等。或者,攻击者可以发动“拒绝服务”攻击来用尽系统资源或使其无法为其他用户提供服务。
在开发和测试中,某些服务中的弱点可能没有被注意到;这些弱点(如:缓冲区溢出,buffer overflow。攻击者可以通过使用大于可接受的信息量来填充地址内存,导致服务崩溃,从而给攻击者提供一个互动命令提示。)能够给攻击者完全的管理控制。
管理员应该确保服务不是以根用户身份运行;并时刻关注来自开发商或安全组织(如 CERT 和 CVE)的补丁和勘误更新。

应用程序弱点攻击者在桌面系统和工作站应用程序(如电子邮件客户程序)中寻找缺陷并执行任意编码、插入用于未来攻击行为的特洛伊木马、或者崩溃系统。如果被危及的工作站拥有对整个网络的管理特权,还会发生进一步的漏洞利用。

工作站和桌面系统更容易被蓄意利用,因为使用工作站和桌面系统的用户没有防止或检测攻击活动的专业知识或经验。把安装未经授权的软件或打开不请自来的邮件的危险性通知给用户是极端重要的。
可以实施一些防护措施,因此电子邮件客户软件不会自动打开或执行附件。此外,通过红帽网络或其它系统管理服务来自动更新工作站软件也可以减轻应用多种安全策略所带来的负担。

拒绝服务(DoS)攻击攻击者或一组攻击者通过给目标机器(服务器、路由器或工作站)发送未经授权的分组来协调对某个机构的网络或服务器资源的攻击。这会迫使合法用户无法使用资源。

在美国报导最多的 DoS 案例发生在2000年。那次攻击是一次协调的试通洪流(ping flood)攻击,它令几个带有高带宽连接的被危及的系统充当僵尸(zombies),或重导向广播器,使好几家交通流量极大的商业和政府网站都陷于瘫痪。
源分组通常是伪造的(和重新广播的),这使调查攻击的真正发源地的任务变得很艰巨。
在使用 iptables 和类似 snort 的网络 IDS 技术的入口过滤(IETF rfc2267)方面的进展,给管理员跟踪并防御分布型 DoS 攻击提供了协助。

表 B-1. 常见漏洞利用