博客

一、网络攻击概述

1. 网络攻击的目标：

网络攻击的目标主要有

系统

和

数据

两类,其所对应的安全性也涉及系统安全和数据安全两个方面。

• 系统型攻击的特点:攻击发生在网络层,破坏系统的可用性,使系统不能正常工作。可能留下明显的攻击痕迹,用户会发现系统不能工作。
• 数据型攻击的特点:发生在网络的应用层,面向信息,主要目的是篡改和偷取信息,不会留下明显的痕迹。

2. 网络攻击的手段：


目前,攻击网络的手段种类繁多,而且新的手段层出不穷,网络攻击可以分为以下两大类。

• 一类是主动攻击,这种攻击以各种方式获取攻击目标的相关信息,找出系统漏洞,侵人系统后,将会有选择地破坏信息的有效性和完整性，如邮件炸弹。
• 另一类是被动攻击,这种攻击是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息,其中包括窃听和通信流量分析,如扫描器。

当前网络攻击采用的主要手段:

• 利用目前网络系统及各种网络软件的漏洞，如基于TCP/IP协议本身的不完善、操作系统的种种缺陷等;防火墙设置不当;电子欺诈;拒绝服务(包括DDoS);网络病毒;使用黑客工具软件;利用用户自己安全意识薄弱，如口令设置不当;或直接将口令文件放在系统等。

3. 网络攻击层次：


网络攻击所使用的方法不同,产生的危害程度也不同,一般分为7个层次：

1. 简单拒绝服务。
2. 本地用户获得非授权读权限。
3. 本地用户获得非授权写权限。
4. 远程用户获得非授权账号信息。
5. 远程用户获得特权文件的读权限。
6. 远程用户获得特权文件的写权限。
7. 远程用户拥有了系统管理员权限。

在这七层中，随着层号增大,危害的程度加重。

4. 网络攻击分类：


1.阻塞类攻击

• 阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源,使服务器崩溃或资源耗尽无法对外继续提供服务。拒绝服务攻击(DenialofService,DoS)是典型的阻塞类攻击,它是一类个人或多人利用Internet协议组的某些工具,拒绝合法用户对目标系统(如服务器)和信息的合法访问的攻击。
• 常见的方法有TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等。DoS攻击的后果:使目标系统死机;使端口处于停顿状态;在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件;扭曲系统的资源状态，使系统的处理速度降低。

2.探测类攻击

• 信息探测类攻击主要是收集目标系统的各种与网络安全有关的信息,为下一步人侵提供帮助。主要包括扫描技术、体系结构刺探、系统信息服务收集等。目前正在发展更先进的网络无踪迹信息探测技术。
• 网络安全扫描技术:网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强,也，可被网络攻击者用来进行网络攻击。

3.控制类攻击

• 控制类攻击是一类试图获得对目标机器控制权的攻击。最常见的3种:口令攻击、特洛伊木马、缓冲区溢出攻击。口令截获与破解仍然是最有效的口令攻击手段,进一步的发展应该是研制功能更强的口令破解程序;木马技术目前着重研究更新的隐藏技术和秘密信道技术;缓冲区溢出是一种常用的攻击技术,早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击,现在研究制造缓冲区溢出。

4.欺骗类攻击

• 欺骗类攻击包括IP欺骗和假消息攻击,前一种攻击通过冒充合法网络主机骗取敏感信息,后一种攻击主要是通过配置或设置一些假信息来实施欺骗攻击。主要包括ARP缓存虚构.DNS高速缓存污染、伪造电子邮件等。

5.漏洞类攻击

• 漏洞(hole):系统硬件或者软件存在某种形式的安全方面的脆弱性,这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。针对扫描器发现的网络系统的各种漏洞实施的相应攻击,伴随新发现的漏洞,攻击手段不断翻新,防不胜防。要找到某种平台或者某类安全漏洞也是比较简单的。在Internet上的许多站点,不论是公开的还是秘密的,都提供漏洞的归档和索引等。

6.破坏类攻击

• 破坏类攻击是指对目标机器的各种数据与软件实施破坏的一类攻击，包括计算机病毒、逻辑炸弹等攻击手段。逻辑炸弹与计算机病毒的主要区别:逻辑炸弹没有感染能力,它不会自动传播到其他软件内。由于我国使用的大多数系统都是国外进口的，因此对其中是否存在逻辑炸弹,应该保持一定的警惕。对于机要部门中的计算机系统,应该以使用自己开发的软件为主。

二、信息搜索技术

在攻击者对特定的网络资源进行攻击以前,他们需要了解将要攻击的环境,这需要搜集汇总各种与目标系统相关的信息,包括机器数目、类型、操作系统等。

踩点

和

扫描

的目的都是进行信息的搜集。

• 使用各种扫描工具对入侵目标进行大规模扫描,得到系统信息和运行的服务信息;
• 利用第三方资源对目标进行信息搜集，如常见的搜索引擎;利用各种查询手段得到与被人侵目标相关的一些信息，如社会工程学(social engineering)。
• 社会工程学通常是利用大众的疏于防范的诡计,让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式，从合法用户中套取敏感的信息。

攻击者搜集目标信息一般采用7个基本步骤,每一步均有可利用的工具,攻击者使用它们得到攻击目标所需要的信息。

1. 找到初始信息。
2. 找到网络的地址范围。
3. 找到活动的机器。
4. 找到开放端口和人口点。
5. 弄清操作系统。
6. 弄清每个端口运行的是哪种服务。
7. 画出网络图。

信息搜集的主要方式有以下几种：

1. 隐藏地址:攻击者首先寻找可以利用的别人的计算机，当作“傀儡机”,隐藏自己真实的IP地址等位置信息。
2. 锁定目标:网络上有许多主机,攻击者接下来的工作就是寻找并确定目标主机。
3. 了解目标的网络结构:确定要攻击的目标后,攻击者就会设法了解其所在的网络结构信息,包括网关路由、防火墙、人侵检测系统(IDS)等,最简单的就是用tracert命令追踪路由,也可以发一些数据包看其是否能通过来猜测防火墙过滤规则的设定等。
4. 收集系统信息:在了解了网络结构信息之后,攻击者会对主机进行全面的系统分析,以寻求该主机的操作系统类型、所提供服务及其安全漏洞或安全弱点,攻击者可以使用一些扫描器工具,轻松获取目标主机运行的操作系统及版本,系统里的账户信息，WWW.FTP、Telnet、SMTP等服务器程序是何种版本和服务类型,端口开放情况等资料,主要方法有端口扫描、服务分析、协议分析和用户密码探测等。

网络踩点：


踩点就是通过各种途径对所要攻击的目标进行多方面的了解，包括任何可得到的蛛丝马迹，但要确保信息的准确，以确定攻击的时间和地点，常见的踩点方法有以下几种。

1. 域名及其注册机构的查询。
2. 公司性质的了解。
3. 对主页进行分析。
4. 邮件地址的搜集。
5. 目标IP地址范围查询。

信息收集的工具软件有以下几种：

1. Ping、fping、ping sweep。
2. ARP探测。
3. Finger。
4. Whois。
5. DNS/ nslookup。
6. 搜索引擎(Google、百度)。
7. Telnet。

想要得到一个网络IP地址,最简单的方法是Ping域名。Ping 一个域名时,程序做的第一件事情是设法把主机名解析为IP地址并输出到屏幕。攻击者得到网络的地址,能够把此网络当作初始点。

网络扫描概述：

• 扫描技术是主要的一种信息搜集类攻击。网络扫描的目的就是利用各种工具对踩点所确定的攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查,目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。

扫描分成两种策略:

被动式策略：

• 就是基于主机之上,对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。主动式策略是基于网络的,它通过执行一-些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。被动式扫描不会对系统造成破坏

而主动式扫描对系统进行模拟攻击,可能会对系统造成破坏：

主动式扫描一般可以分为以下几种。

1. 活动主机探测。.
2. ICMP查询。
3. 网络PING扫描。
4. 端口扫描。
5. 标识UDP和TCP服务。
6. 指定漏洞扫描。
7. 综合扫描。

扫描方式也可以分成两大类:慢速扫描和乱序扫描。

网络监听：

• 网络监听是指通过截获他人网络上通信的数据流,并非法从中提取重要信息的一种方法。网络监听是主机的一种工作模式,在这种模式下，主机可以接收到本网络段在同一物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁，而攻击者极可能在两端进行数据的监听。此时若两台主机进行数据通信的信息没有加密,只使用网络监听工具就可以轻而易举地截取包括账号在内的信息资料,虽然网络监听获得的用户账户和口令有一定的局限性,但是监听者往往能够获得其所在网络的所有用户的账户和口令。
• 网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。利用现有网络协议的一些漏洞来实现,不直接对受害主机系统的整体性进行任何操作或破坏。网络窃听只对受害主机发出的数据流进行操作,不与主机交换信息,也不影响受害主机的正常通信。
  

三、网络入侵

1. 社会工程学攻击

1. 打电话请求密码
2. 伪造 E-mail

2. 口令攻击

• 口令认证是身份认证的一种手段。认证过程可以是用户对主机,也可以是一台计算机向另一台计算机通过网络发送请求。基于口令认证是较为常见的一种形式。
• 攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令,他就能获得机器或者网络的访问权,并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限,这是极其危险的。
• 口令攻击是黑客最喜欢采用的人侵网络的方法。黑客通过获取系统管理员或其他特殊用户的口令,获得系统的管理权,窃取系统信息、磁盘中的文件甚至对系统进行破坏。这种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。
  

口令攻击的方法：

1. 第一种是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大。监听者往往采用中途截击的方法,也是获取用户账户和密码的一条有效途径。
2. 第二种是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但攻击者要有足够的耐心和时间。
3. 第三种是利用系统管理员的失误。获取存放用户信息的passwd文件和存取DES加密后口令的shadow文件。
   

口令攻击的技术：

1.暴力攻击

• 从技术的角度来说,口令保护的关键在于增加攻击者破译口令所付出的时间代价。对于固定长度的口令,在足够长的时间内,总能穷举出其全部可能的取值。如果有足够快的计算机能尝试字母、数字、特殊字符等所有的组合,将能够最终破解出所有的口令。这种类型的攻击方式称为暴力攻击(强力攻击)。

2. 字典攻击

• 字典攻击是将一些常见的、使用概率较高的口令集中存放在字典文件中,用与强力攻击类似的方法进行逐个尝试。一般攻击者都有自己的口令字典,其中包括常用的词、词组、数字及其组合等,并在攻击过程中不断地充实丰富自己的字典库,攻击者之间也经常会交换各自的字典库。使用一部1万个单词的词典一般能猜出系统中70%的口令。对付字典攻击最有效的方法就是设置合适的口令,强烈建议不要使用自己的名字或简单的单词作为自己的口令。目前很多应用系统都对用户输人的口令进行强度检测，如果输人了一个弱口令,则系统会向用户警告提示。

3. 组合攻击

• 字典攻击只能发现字典里存在的单词口令,但速度很快。强力攻击能发现所有的口令，但是破解时间很长。鉴于许多管理员要求用户使用字母和数字,用户的对策是在口令后面添加几个数字,如把口令ericgolf 变成ericgolf55。有人认为攻击者需要使用强力攻击,实际上可以使用组合攻击的方法,即使用字典单词在尾部串接任意个字母或数字。这种攻击介于字典攻击和强力攻击之间,攻击效果显著。

4. 针对口令存储的攻击

• 通常,系统为了验证的需要，都会将口令以明文或者密文的方式存放在系统中。对于攻击者来说，如果能够远程控制或者本地操作目标主机,那么通过一些技术手段就可以获取到这些口令的明文,这就是针对口令存储的攻击。不同系统口令的存储位置不同,另外,在身份验证程序运行的时候,还会将口令或口令的密文加载到内存中。因此,口令攻击包括对缓存口令的攻击、对口令文件的攻击和其他存储位置的口令攻击等。

破解口令的工具：

1. L0phtcrack
2. NTSweep
3. NTCrack
4. PWDump2
5. Crack
6. John the Ripper
7. XIT
8. Slurpie

3. 漏洞攻击：

漏洞基本概念：

• 漏洞是指硬件、软件或策略上的缺陷,从而可使攻击者能够在未经授权的情况下访问系统。通常情况下99.99%无错的程序很少会出问题,利用那0.01%的错误导致100%的失败。

漏洞的类型：

1. 管理漏洞。如两台服务器用同一个用户/密码,则入侵了A服务器后,B服务器也不能幸免。
2. 软件漏洞。很多程序只要接收到- -些异常或者超长的数据和参数,就会导致缓冲区溢出。
3. 结构漏洞。例如,在某个重要网段由于交换机、集线器设置不合理,造成黑客可以监听网络通信流的数据。又如,防火墙等安全产品部署不合理,有关安全机制不能发挥作用,麻痹技术管理人员而酿成黑客人侵事故。
4. 信任漏洞。例如,本系统过分信任某个外来合作伙伴的机器，一旦这台合作伙伴的机器被黑客人侵,则本系统的安全受严重威胁。

已经发布的漏洞：

目前已经发布的20个最危险的三类安全漏洞有:

1. 影响所有系统的7个漏洞(G1~G7);
2. 影响Windows系统的6个漏洞(W1~W6);
3. 影响UNIX系统的7个漏洞(U1~U7)。

4. 欺骗攻击：

1. IP欺骗
2. IP源路由欺骗
3. E-mail欺骗
4. Web欺骗
5. DNS欺骗

5. 拒绝服务攻击：

基本概念：

DoS(Denial of Service) 是拒绝服务的缩写,不能认为是微软的DOS操作系统。DoS攻击是一种利用合理的服务请求占用过多的服务资源,从而使合法用户无法得到服务响应的网络攻击行为。

• 单一的DoS攻击一.般采用一对一的方式，当攻击目标CPU速度低、内存小或网络带宽小等各项性能指标不高时,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增强,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了,例如攻击者的攻击软件每秒钟可以发送4000个攻击包,但用户的主机与网络带宽每秒钟可以处理10000个攻击包,这样攻击就不会产生什么效果。
• 这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。如果说计算机与网络的处理能力加强了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的“傀儡机”来发起进攻，以比从前更大的规模来进攻受害者。分布式拒绝服务攻击DDoS是在传统的DoS攻击基础之上产生的一类攻击方式。DDoS是利用多台计算机,采用了分布式对单个或多个目标同时发起DoS攻击。
• DDoS攻击由三部分组成:客户端程序(黑客主机)、控制点(master)、代理程序(zombie),或称为攻击点(daemon),如图5-15所示。

被DoS攻击时常见的一些现象如下：

1. 被攻击主机上有大量等待的TCP连接。
2. 网络中充斥着大量的无用的数据包,源地址为假。
3. 制造高流量无用数据,造成网络拥塞,使受害主机无法正常与外界通信。
4. 利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求，使受害主机无法及时处理所有正常请求。
5. 严重时会造成系统死机。

TCP——SYN拒绝服务攻击：


TCP SYN拒绝服务攻击是利用了TCP/IP协议的固有漏洞，面向连接的TCP三次握手是其基础。

利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击,如图5-17所示。

1. 攻击者向目标计算机发送一个TCP SYN报文。
2. 目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应。
3. 而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一直处于等待状态。

可以看出，目标计算机如果接收到TEP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度称为SYN Timeout,一般来说这个时间是分钟的数量级(一般为0.5~2分钟);

一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源，数以万计的半连接,这将会把目标计算机的资源耗尽,而不能响应正常的TCP连接请求。

针对SYN拒绝服务攻击的防御措施主要有:

• 一类是通过防火墙、路由器等过滤网关防护
• 另一类是通过加固TCP/IP协议栈防御。

网关防护的主要技术有SYN-cookie技术和基于监控的源地址状态、缩短SYNTimeout时间。SYN-cookie 技术实现了无状态的握手,避免SYN Flood的资源消耗。基于监控的源地址状态技术能够对每一个连接服务器的IP地址的状态进行监控,主动采取措施避免SYN Flood攻击的影响。

ICMP洪水、UDP洪水：

• 正常情况下,为了对网络进行诊断,一些诊断程序,如Ping等会发出ICMP响应请求报文(ICMP ECHO) ,接收计算机接收到ICMP ECHO后会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO报文，而无法继续处理其他的网络数据报文,这也是一种拒绝服务攻击(DoS)。
• UDP洪水的原理与ICMP洪水类似,攻击者通过发送大量的UDP报文给目标计算机，导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。

Smurf攻击：


Smurf是一种具有放大效果的DoS攻击,具有很大的危害性。这种攻击形式利用了TCP/IP中的定向广播的特性。

• 人们通常使用ICMP ECHO请求包用来对网络进行诊断,当一台计算机接收到这样一个报文后,会向报文的源地址回应一个ICMPECHOReply。一般情况下,计算机是不检查该ECHO请求的源地址的,因此,如果一个恶意的攻击者把ECHO的源地址设置为一个广播地址，这样计算机在回复ICMPECHOReply的时候,就会以广播地址为目的地址,这样:本地网络上所有的计算机都必须处理这些广播报文。如果攻击者发送的ECHO请求报文足够多,产生的ICMP ECHO Reply 广播报文就可能把整个网络淹没。这就是所谓的Smurf攻击。
• 除了把ECHO报文的源地址设置为广播地址外,攻击者还可能把源地址设置为一个子网广播地址,这样,该子网所在的计算机就可能受影响。为了防止成为DoS的帮凶,最好关闭外部路由器或防火墙的广播地址特性;在防火墙上过滤掉ICMP报文,或者在服务器上禁止Ping,并且只在必要时才打开Ping服务。

泪滴攻击：

• 利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括Servicepack4以前的WindowsNT)在收到含有重叠偏移的伪造分段时将崩溃。对于一些大的IP包,需要对其进行分片传送,这是为了迎合链路层的MTU(最大传输单元)的要求。例如,一个4500字节的IP包在MTU为1500的链路上传输的时候就需要分成3个IP包。
• 在IP报头中有一个偏移字段和一个分片标志(MF),如果MF标志设置为1,则表面这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整个IP包中的位置。
• 例如,对一个4500字节的IP包进行分片(MTU为1500),则3个片断中偏移字段的值依次为0、1500、3000。这样接收端就可以根据这些信息成功地组装该IP包。如果一个攻击者打破这种正常情况,把偏移字段设置成不正确的值，即可能出现重合或断开的情况,就可能导致目标操作系统崩溃。例如,把上述偏移设置为0、1300、3000。这就，是所谓的泪滴攻击。
• 防御泪滴攻击的最好办法是升级服务包软件,如下载操作系统补丁或升级操作系统等;在设置防火墙时对分组进行重组，而不进行转发,这样也可以防止这种攻击。
  

四、网络后门与网络隐身巩固技术

简单地说,后门(backdoor)就是攻击者再次进入网络或系统而不被发现的隐蔽通道。最简单的方法就是打开一个被端口监听代理所监听的端口,有很多软件可以做到这一点。

在获得了系统的存储权时,建立后门是相当容易的，但是在没有完全获得对系统的存取权限时,一般可以通过使用木马来实现，木马是可以驻留在对方系统中的一种程序。

木马一般由两部分组成:

• 驻留在对方服务器的称为木马的服务器端,
• 远程的可以连到木马服务器的程序称为客户端。

木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。木马程序在表面上看没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。

设置代理跳板：

• 当从本地入侵其他主机的时候,自己的IP会暴露给对方。通过将某一台主机设置为代理,通过该主机再入侵其他主机,这样就会留下代理的IP地址,这样就可以有效地保护自己的安全。

二级代理的基本结构如图5-18所示。

清除日志：

当成功获取了存取权限且完成了自己的预定目标后,攻击者还有最后一个工作要完成一隐藏攻击踪迹。这其中包括重新进入系统,将所有能够表明他曾经来过的证据隐藏起来。为达到这个目的,有4个方面的工作要做。

1.日志文件

• 大多数系统都是通过记录日志文件来检测是谁进人过系统并且停留了多长时间。根据日志文件所设置的级别不同,还可以发现他们做了些什么,对哪些文件进行了操作。在利用日志文件监测之前,必须先做两件事:第一,必须将系统的日志记录功能打开;第二,对日志文件内容进行详细阅读。很多管理员没有将记录日志文件的功能选项打开,而且即使打开了,也没有对它进行定时阅读。所以，即使黑客没有对自己的踪迹进行任何的消隐,也有很大的可能不被发现。
• 有经验的攻击者都不会冒这个险,他们会清除所有的日志文件。可以采取两种方式。最简单的一种是进人系统然后将所有的日志文件删除。当数量很大的日志文件突然之间变得很小的话,系统会自动通知系统管理员,因为每个日志文件的结束处都有一个触发器。第二种方法是攻击者可以“医治”日志文件,首先取得日志文件,然后将其中有关攻击记录的部分删除。根据所攻击的系统不同，工作的难度有所不同,因为WindowsNT系统和UNIX系统处理日志文件的方法不同。
  

2.文件信息

• 为了获得系统的存取权限和在系统中建立后门,攻击者通常必须对某些系统文件进行修改。当他们这样做后,文件的一些信息,如修改时间和文件长度就会发生变化,通过这些也可以确定系统是否曾经遭受过攻击。
• 对于攻击者而言,在进人系统并且植入后门程序以后再把系统还原成以前的状态是非常关键的。因此,每一个曾经被修改的文件都应该被恢复成或者假扮成原状。对于文件的修改日期来说,可以轻而易举做到这一一点:进人系统,将系统时间修改成第一次修改文件的时间,然后对文件进行读取,因为系统并不清楚当前的日期是错误的,这样文件看起来就像是在第一次安装时修改过的–样,不会引起怀疑。然后再将原来错误的日期改变成正确的日期。

3.另外的信息

• 在很多情况下,黑客为了达到进人系统获取权限目的,必须另外上传或安装-一些文件。这些用来隐藏踪迹或用来对别的站点进行新攻击的文件通常会占用一定的磁盘空间。系统管理员可以通过磁盘空余空间的检查来确定是否发生过攻击。

攻击者想隐藏他们上传的系统附加文件,他们可以使用以下方法。

• 为文件设置隐藏属性:所有的文件系统都可以让文件的属主将文件设置为隐藏。当某个文件设置为隐藏,如果用户仅仅是使用命令显示文件时,就看不到这个文件。将文件重命名:在大多数系统中都有一个系统目录,其中存放了很多重要的文件。攻击者可以将自己的文件名称改成和这些文件差不多,那么被管理员发现的可能性就非常小。这适合要隐藏的文件比较少的情况。建立隐藏的目录或共享设备:如果一个硬盘空间很大,可以创建很多个分区。一般情况下,系统管理员只检查系统的主要分区,因此如果攻击者建立了一个另外的分区,很可能就会逃过系统管理员的检查。这适合需要隐藏大量文件的时候。改变磁盘空间的工具:如果管理员使用某个工具来检查系统剩余空间,他就会发现硬盘空间的问题。而如果攻击者能够上传一个木马,就可以欺骗管理员有多少空间剩余。使用Steganography工具: Steganography或信息隐藏工具都可以使攻击者将自己的信息隐藏到另外一个文件中。所以黑客利用这种工具将自己重要的文件隐藏到系统重要的文件中。

4.网络通信流量

• 当黑客对某个系统进行攻击时,大多数情况下是通过网络进行的。这也意味着攻击者必须对自己在网络.上留下的痕迹进行清除。由于网络系统都运行着IDS(入侵检测系统)，任何可疑的网络通信都会被打上标记。而要删去IDS上的记录是非常困难的，因为它是实时监测的。
• 随着网络人侵检测系统和防火墙的广泛使用,攻击者需要注意如何隐藏网络上的踪迹。如果攻击者能够隐藏自己的攻击或将它们假扮成网络上的合法的通信信息，使它们看起来不那么引人注目，就有可能逃脱被追捕的命运。可以利用的工具如Loki、Reverse wwwshell,CovertTCP。前两个是将攻击者所留下的痕迹假扮成网络合法的通信信息,第三个程序是通过将这些痕迹隐藏在数据包中来躲避管理员的检测。
  

信息安全与技术（第二版）