資訊與網路安全技術 第 十一章 入侵偵測與網路病毒  上一頁      下一頁

 

11-4 入侵技巧

內容:

11-4-1 入侵步驟

瞭解『駭客』身份之後,還是需要『知彼知己』方能『百戰百勝』,認識到底有那些入侵技巧。通常『入侵』需經過一連串的程序才能達到目的,其中可能使用很多工具與技巧,以下是一個典型的入侵行為可能包含的步驟:

  • 選定入侵目標:駭客欲進行攻擊之前,必須先選定攻擊目標,此時駭客正在找尋進入目標的媒介。

  •  目標確認:駭客在決定入侵設備之前,必須對該設備做通盤性的瞭解。駭客可能藉由公開取得的資訊,或經非法性探索的訊息了解該設備的特性。譬如,駭客入侵之前,通常會先了解該設備的作業系統型態、應用系統的種類、以及可能儲存那些有價值資訊等等。

  •  攻擊方法選取:瞭解攻擊目標的特性之後,接著必須針對該設備的弱點或可能構成攻擊的方法當中,選取一種比較有可能成功的方法。

  •  展開攻擊:決定攻擊方法之後,就可以展開攻擊。

上述的攻擊策略並非一塵不變的,駭客首度展開攻擊時,通常不完全瞭解攻擊目標的狀態,但經過幾次入侵失敗之後,所蒐集的資訊將會越來越完整,成功的機率相對越高。一般而言,駭客找出路徑進入網路之後,不會立即擊垮系統,以免打草驚蛇,通常會想盡辦法蒐集所需資訊,並潛伏其中等待盜取或破壞的機會;也有可能由已入侵主機作為跳板再入侵其他主機。由此可見,當 IDS 發現有攻擊者進入之後,並非僅將其刪除即可,至少必須找出攻擊者進入的路徑軌跡,更甚者,必須重新組態網路設定,以防止再次受到同樣的攻擊。

11-4-2 竊聽與窺視

所謂竊聽與窺視,即是由公眾網路上蒐集攻擊目標所傳送或接收訊息,再由這些訊息之中找出所期望的資訊。一般來講,入侵者都會嘗試下列的攻擊行為:

  • 竊取密碼:許多網路伺服器利用明文來傳輸密碼,或者僅利用簡單的『挑戰與回應』機制來辨識密碼。攻擊者可經由所竊聽的訊息當中,分析得到密碼明文,或取得加密後的密碼,還是可以直接用來登入目標主機。

  • 訊務分析:由目標主機與其他電腦之間的交換訊息中,可以了解該主機所扮演的角色,或者提供那些服務。

  • 網路位址掃描:若在選定目標之前或之後,並不瞭解目標內有多少網路設備,此時可設定一個網路範圍並尋找有那些設備,從中找出新的攻擊目標。

  • 連接埠口掃描:找出網路(或主機)設備之後,可再利用埠口掃描找出可以進入的入口。這種入侵技巧最常見,尤其針對那些不常用或較不起眼的傳輸埠口,管理者容易疏忽,常常被當成攻擊的目標。另一種情況是,入侵成功之後,駭客也會開啟某些較容易疏忽的埠口,讓其他入侵者進入。

  • 網路命令探索:入侵者利用一些較普遍的網路命令來探索內部狀態。譬如,使用 finger 命令探索主機內有那些使用者;利用 whois 命令觀察使用者的資料(如 E-mail 位址等等),或nslookup 命令探索主機 DNS Cache 內的記錄等等。

  • SNMP 資料蒐集:一般主機或網路設備都裝設有『簡易網路管理協定』(SNMP,請參考 [3] 第八章介紹),它是 Internet 網路上最基本的管理工具,但因其『共同體』(Community)管理機制太過於鬆散,造成許多入侵者的盜用工具。只要經由 SNMP 資料的蒐集,可以完全了解整個網路的運作狀態。

雖然許多網路監視軟體(如 sniffer)可以竊聽或窺視他人網路狀態,但除非找出可窺視位址,才可能蒐集到目標主機的訊息,尤其目標與攻擊者之間的地理位置太遠的話,除非在目標主機附近埋入蒐集設備(或入侵軟體),否則還是很困難達成目的。

11-4-3 阻斷服務

『阻斷服務』(Denial of Service, DoS即是攻擊者不進入目標,僅讓攻擊目標癱瘓而無法正常工作。值得注意的是,除非攻擊者是惡作劇,否則 DoS 攻擊絕非是駭客真正目的。入侵者癱瘓某一部主機一定有它的特殊目的存在,譬如說,當它癱瘓某 DNS 系統主機時,一定會將原主機上的訊務轉移到它所設立的另一部偽裝主機上。再說,網路設備大多是自動化的,一旦該部主機無法服務時,必定會尋找其他主機要求服務,如此一來,攻擊者便可以進入第二階段的入侵行為。因此,當系統某一部主機被無形之中癱瘓掉之後,此時除了加強該主機的防護功能之外,仍必須透過其他路徑去尋找有相關損害。一般『阻斷服務』攻擊法有下列技巧:

  • Ping 到死:連續對目標主機發動 ping 命令,讓主機無暇應付而癱瘓,攻擊來源可以來自全球各地,所以屬於分散式攻擊法。最簡單的方法是,攻擊者首先發佈網路病毒,該病毒會在同一時間內向該目標主機發出 ping 命令。

  • SYN 攻擊:採用 Ping 到死的攻擊法很容易被察覺,SYN 攻擊是另一種不知不覺的攻擊法。TCP 封包標頭上將 SYN 設定為 1SYN =1)時,則表示要求對方連線的意思,主機收到連線要求之後,會配置記憶體空間並啟動子程序來處理連線動作。如果攻擊者連續發動(或分散式攻擊)要求連線封包(SYN=1),將使目標主機的記憶體滿載,導致無法正常運作。

  • ICMP 氾濫:如果攻擊對象是網路設備(如路由器)而非主機系統,ICMP 氾濫攻擊可能比 SYN 攻擊來得有效。攻擊者連續(或分散攻擊)對某一目標設備發出無法完成的 ICMP 訊號(如時間訊息要求),目標主機得連續回應 ICMP 訊息(如時間訊息回應)給原發送端,如此一來,亦可耗費許多網路設備的資源,並可能導致該設備癱瘓。

  • 弱點攻擊:目前許多網路設備大多是公開的系統,攻擊者如果知道攻擊目標的機種,接著再試圖找出該機種的弱點,直攻要害的入侵弱點,這是最快使目標癱瘓的方式。譬如,連續向 Windows 系列的 WINS 服務發出 DNS 要求訊號,WINS 必須花費許多時間來分辨及回應訊息,如此一來,亦可達到耗費系統資源的目的。

  • DNS Cache 污染:主機上 DNS Cache 是經由查詢 DNS 位址後再記錄起來,作為下一個需要查詢 DNS 位址時使用。攻擊者可透過其他管道去竄改主機上 DNS Cache,或者發怖不實的 DNS 回應讓主機登錄。如此一來,可能重導該主機的連結動作,致使該主機癱瘓。

  • 路由重導:駭客可能透過 RIPBGPOSPF(請參考 [3] 第六章說明)或 ICMP 協定,與攻擊目標的路由器之間交換偽裝訊息,如此一來,該路由器所建立的路由表就完全受攻擊者掌控,攻擊者欲讓目標網路系統癱瘓,再容易不過了。

11-4-4 取代服務

取代服務表示攻擊者偽裝一部與目標系統相同的服務設備,取而代之它的服務,從中騙取之間的交換訊息。首先攻擊者利用路由重導、DNS Cache 污染或癱瘓目標主機,將原來與目標主機通訊的連線重新導至偽裝主機(或服務)上。一般取代服務攻擊有下列技巧:

  • 來源路由替換:發送 IP 封包時,可在 IP 封包的選項(Option)欄位中填入來源路由,當封包進入路由器時,路由器會依照該欄位所登錄的路徑依序轉送,並且該欄位內的訊息可任意讀取或修改。攻擊者就利用這個弱點,從中修改所登錄的路徑,無形之中該目標主機的通訊連線將會被重導至另一個偽裝系統上。

  • 伺服器取代:即是攻擊者偽裝目標主機的伺服器,較常見的攻擊目標是 DHCPWINS DNS 伺服器。攻擊者取代這些伺服器之後,目標系統上所有通訊連線將完全操縱於攻擊者的手上。

  • 登入伺服器取代:更嚴重的,攻擊者偽裝了登入伺服器(如 Windows 2000 Kerberos 伺服器),從中騙取登入者的密碼,如此一來,縱使再複雜的用戶管理系統也是枉然。一般來講,偽裝登入伺服器的時間不會很長,只要騙取到某些密碼便恢復原來的狀態,因此,許多用戶被騙取了密碼還不知覺。

11-4-5 中間人扮演

如果攻擊者成功地讓客戶端導向(如路由導向或 DNS Cache 污染),將客戶端連線轉向到入侵系統上,入侵系統扮演著客戶端與目標主機之間的中間人。當客戶端向伺服主機要求連線時,入侵系統取得通往伺服主機的信任訊息(如密碼),則可取得主機的信任;又當主機回應給客戶端時,入侵系統也攫取了這份訊息,再偽裝成主機回應訊息給客戶端。如此一來,客戶端與主機之間確認了雙方的身份,卻不知道入侵系統從中扮演著中間人的角色,接著它們之間所傳送的機密訊息也都被入侵系統擷取了。

由此可見,中間人扮演是一種非常可怕的攻擊技巧,本書前面所介紹幾種認證技巧,都是在研議何種方法可以避免中間人攻擊。

主講人:粘添壽博士

 

資訊與網路安全技術