1.5. 常见的漏洞和攻击

表 1.1 “常见漏洞”详细论述一些入侵者访问机构网络资源的最常见漏洞和切入点。这些常见漏洞的重点是解释了攻击是如何进行的以及管理员怎样正确保护其网络免受类似攻击。

表 1.1. 常见漏洞

漏洞描述备注
空值或者默认密码使管理密码空白或者使用有产品供应商所设定的默认密码。这在硬件中非常常见,比如说路由器和防火墙,但是这些服务在Linux上运行可包含默认管理者密码(通过 Red Hat Enterprise Linux 7 并没有产品附赠)。
通常与联网硬件有关,比如路由器、防火墙、VPN 以及网络附带存储(NAS)装置。
常见于传统操作系统,特别是那些捆绑服务(比如 UNIX 和 Windows)。
管理员有时会仓促创建特权用户账户,并将密码设为空,这样就为发现该账户的恶意用户提供了最佳切入点。
默认共享密钥安全服务有时可因开发或者评估测试为目的而打包默认安全密钥。如果不更改这些密钥并将其放在互联网的产品环境中,拥有同一默认密钥的所有用户都可访问共享密钥资源及其所包含的敏感信息。
预先配置到安全服务器装置中,这在无线访问点中最常见。
IP 欺诈远程机器会装作是您本地网络中的节点,查找服务器弱点并安装后门程序或者木马以获得您网络资源控制权。
欺骗是很困难的,因为它包括攻击者预测的 TCP/IP 序列号以便与目标系统链接,但有些工具可帮助攻击者完成这样的任务。
相比 PKI 或者其它在 ssh 或者 SSL/TLS 中所使用加密认证的其它形式,我们不建议您使用根据目标系统运行的使用根据资源认证技术的服务(比如 rshtelnet、FTP 及其它)。
窃听通过窃听两个节点之间的连接收集通过网络的两个活跃节点的数据。
这类攻击最可能在纯文本传输协议中有效,比如 Telnet、FTP 和 HTTP 传输。
远程攻击者必须可访问 LAN 中受威胁的系统以便执行此类攻击。通常黑客会使用活跃攻击(比如 IP 欺诈或者中间人)威胁 LAN 中到系统。
预防方法包括使用加密密钥交换到服务、一次性密码或者加密的认证防止密码欺诈,还建议您在传输过程中使用强大加密。
服务弱点攻击者找到在网络中运行的服务的缺陷或者漏洞,通过这些弱点攻击者可威胁整个系统及其所有数据,并可能威胁该网络中到其它系统。
基于 HTTP 的服务,比如 CGI 对于远程命令执行甚至互动的 shell 访问来说都是容易受到攻击的。即时作为非特权用户,比如 “nobody” 运行 HTTP 服务,也可读取类似配置文件以及网络映射等信息,或者攻击者可启动拒绝服务攻击,这样就可耗尽系统资源或者让其他用户无法使用系统资源。
在开发和测试阶段服务有时候会有一些被忽视的弱点,这些弱点(比如缓冲溢出,攻击者可使用任意值填满程序的内存缓冲从而使服务崩溃,给攻击者一个互动命令提示符即可允许其执行所有任务)可让攻击者完全拥有管理控制。
管理员应确定不要作为 root 用户运行那些服务,且应该随时注意供应商或者类似 CERT 和 CVE 安全性机构为程序提供的补丁会勘误更新。
应用程序弱点攻击者要查找桌面和工作站程序(比如电子邮件客户端)的缺陷,并执行任意代码,植入木马以便进一步破坏,或者使系统崩溃。如果被破坏的工作站对剩余网络有管理特权,则会发生进一步的攻击。
工作站和桌面更容易被攻击因为工作人员没有防止或者探测这种侵害的专业知识或者经验。有必要在安装未授权软件或者打开不明电子邮件附件时告知他们可能存在的危险。
可使用一些防护软件以便电子邮件客户端软件不会自动打开或者执行附件。另外,通过红帽网络;或者其它系统管理服务自动更新工作站软件可减轻多种安全性部署的负担。
拒绝服务(DoS)攻击攻击者或者一组攻击者通过向目标主机(可以是服务器、路由器或者工作站)发送未授权数据包联合攻击某个机构的网络或者服务器资源。这样可迫使合法用户无法使用该资源。
在美国大多数报告的 DoS 案例发生在 2000 年。一些有很高流量的商业和政府网站受到 ping flood 攻击而变得不可用,这些攻击是利用几个被破坏的系统使用宽带连接作为 zombies,或者重新指向广播节点进行的。
通常会伪装源数据包(也会重新广播),让调查攻击的真实源变得困难。
使用 iptables 和网络入侵探测系统,比如 snort 进行进入过滤(IETF rfc2267)的优点是可帮助管理员追踪并阻止发布的 DoS 攻击。