|
空口令或默认口令
|
把系统管理口令设为空或使用产品生产商所设置的默认口令。虽然某些运行在 Linux 上的服务有默认的管理口令(红帽企业 Linux 5中并不包括),但这种情况多发生在硬件(如路由器和防火墙)产品中见。
|
| 在网络设备,如路由器、防火墙、VPN 和网络连接贮存设备(NAS)中最常见。 |
| 在许多老的操作系统,特别是带有服务的操作系统,如 UNIX 和 Windows 中很常见。 |
| 管理员有时会在匆忙间创建一个有特权的用户而把口令设为空。这将会成为发现了这个用户帐户的入侵者的完美入口。 |
|
|
默认的共享密钥
|
安全服务有时会把用于开发或评估测试目的的默认安全密钥打入软件包内。如果这些密钥不经改变而被用于互联网上的生产环境,那么任何有相同默认密钥的用户都可以访问使用那个共享密钥的资源,以及其中的保密信息。
|
| 在无线网访问点设备和预配置的安全服务器设备中最常见。 |
|
|
IP 假冒(Spoofing)
|
某个远程机器冒充您的本地网络上的一个节点。它在您的服务器上寻找弱点,并安装一个后门程序或特洛伊木马来获取对你的网络资源的控制。
|
| 由于“假冒”要求怪客预测 TCP/IP SYN-ACK 号码来协调到目标系统的连接,它通常较难做到。但是有好几种工具可以帮助攻击者从事这类活动。 |
| 这种攻击会利用目标系统上运行的、使用基于源(source-based)的验证技术的服务(如 rsh、telnet、FTP 等等)。推荐使用 PKI 及其它用在 ssh 或 SSL/TLS 中使用的加密验证技术。 |
|
|
窃听
|
通过窃听网络中的两个活跃节点间的连接来收集它们之间传递的信息。
|
| 这类攻击多数在使用纯文本传输协议(如 Telnet、FTP、和 HTTP 传输)时发生。 |
| 要实行这种攻击,远程攻击者必须可以访问到 LAN 上的一个已被攻破的系统;通常,怪客会使用某种积极攻击方式(如 IP 假冒或中间人攻击)来试图攻破 LAN 上的某个系统。 |
| 防护措施包括加密钥匙、一次性口令、以及防窃听的加密验证;使用高级方法加密的传输也值得一试。 |
|
|
服务弱点
|
攻击者在互联网上运行的某个服务中寻找缺陷或漏洞;通过这个弱点,攻击者可以攻击整个系统以及系统上的任何数据,甚至还能破坏网络上的其它系统。
|
| 基于 HTTP 的服务,如 CGI,在执行远程命令甚至使用互动 shell 方面有弱点。即便作为一名无特权的用户来运行 HTTP 服务,攻击者也可以读取配置文件和网络图等。或者,攻击者可以发动“拒绝服务”攻击来用尽系统资源或使其无法为其他用户提供服务。 |
| 在开发和测试中,某些服务中的弱点可能没有被注意到;这些弱点(如:缓冲区溢出(buffer overflow)。攻击者可以通过使用大于可接受的信息量来填充地址内存,导致服务崩溃,从而给攻击者提供一个互动命令提示。)能够给攻击者完全的管理控制。 |
| 系统管理员应该确保服务不是以根用户身份运行;并时刻关注来自开发商或安全组织(如 CERT 和 CVE)的补丁和勘误更新。 |
|
|
应用程序弱点
|
攻击者在桌面系统和工作站应用程序(如电子邮件客户程序)中寻找缺陷并执行任意程序编码、插入用于未来攻击行为的特洛伊木马、或者崩溃系统。如果被破坏的工作站拥有对整个网络的管理特权,还会发生进一步的漏洞利用。
|
| 工作站和桌面系统更容易被蓄意利用,因为使用工作站和桌面系统的用户没有防止或检测攻击活动的专业知识或经验。把安装未经授权的软件或打开不请自来的邮件的危险性通知给用户是非常重要的。 |
| 可以实施一些防护措施,如电子邮件客户软件不自动打开或执行附件。此外,通过 红帽网络 或其它系统管理服务来自动更新工作站软件也可以减轻应用多种安全政策所带来的负担。 |
|
|
拒绝服务(DoS)攻击
|
攻击者或一组攻击者通过给目标机器(服务器、路由器或工作站)发送未经授权的数据来对某个机构的网络或服务器资源的攻击。这会迫使合法用户无法使用资源。
|
| 在美国报导最多的一个 DoS 事件多发生在2000年。那次攻击是一次协调的试通洪流(ping flood)攻击,它令几个带有高带宽连接的被弱化的系统成为僵尸(zombies),或重导向广播器,使好几家网络流量极大的商业和政府网站都陷于瘫痪。 |
| 源数据包通常是伪造的(并被重新广播),调查攻击的真正发源地是非常困难的。 |
| 在使用 iptables 和类似 snort 的网络 IDS 技术的入口过滤(IETF rfc2267)方面的进展,给管理员跟踪并防御分布型 DoS 攻击提供了协助。 |
|