Red Hat Training

A Red Hat training course is available for RHEL 8

1.7. 常见漏洞和攻击

表 1.1 “常见漏洞” 详细说明入侵者用于访问组织网络资源的一些最常见的漏洞和入口点。这些常见漏洞的关键在于解释如何执行它们以及管理员如何正确地保护其网络免受此类攻击。

表 1.1. 常见漏洞

漏洞描述备注

null 或 default 密码

将管理密码留空,或使用产品供应商设置的默认密码.这在路由器和防火墙等硬件中最常见,但一些在 Linux 上运行的服务也可以包含默认的管理员密码(虽然 Red Hat Enterprise Linux 8 不随同提供)。

通常与网络硬件(如路由器、防火墙、VPN 和网络附加存储(NAS)设备)相关联。

在很多传统操作系统中常见,尤其是捆绑服务(如 UNIX 和 Windows)的操作系统。

管理员有时会在崩溃中创建特权用户帐户,并将密码保留为空,从而为发现该帐户的恶意用户创建完美入口点。

默认共享密钥

有时,安全服务会打包用于开发或评估测试目的的默认安全密钥。如果这些密钥保持不变,并放置在互联网上的生产环境中,则具有相同默认密钥的所有用户都可以访问该共享密钥资源及其包含的任何敏感信息

最常在无线接入点和预配置的安全服务器设备中。

IP 欺骗

远程计算机充当本地网络上的节点,找到您的服务器的漏洞,并安装一个后门程序或 Trojan horse 来控制您的网络资源。

欺骗比较困难,因为它涉及到攻击者预测 TCP/IP 序列号以协调与目标系统连接的攻击者,但有多种工具都可用于协助攻击者执行此类漏洞。

具体取决于使用基于源的身份验证技术的目标系统运行服务 (如rsh、telnet、FTP 等),与 ssh 或 SSL/TLS 中使用的其他形式的加密身份验证相比,不建议这样做。

Seavesdropping

通过窃听两个节点之间的连接,在网络上的两个活跃节点之间传递数据。

这种类型的攻击主要适用于 Telnet、FTP 和 HTTP 传输等纯文本传输协议。

远程攻击者必须有权访问 LAN 上的已入侵系统才能执行此类攻击;通常攻击者已使用主动攻击(如 IP 欺骗或中间人)破坏了 LAN 上的系统。

安全措施包括带有加密密钥交换的服务、一次性密码或加密身份验证以防止密码嗅探;还建议在传输期间进行强大的加密。

服务漏洞

攻击者发现在互联网上运行的服务有缺陷或漏洞;通过此漏洞,攻击者破坏整个系统以及可能保存的任何数据,并可能破坏网络中的其他系统。

基于 HTTP 的服务(如 CGI)容易受到远程命令执行甚至交互式 shell 访问的影响。即使 HTTP 服务作为非特权用户(如"nobody")运行,可以读取配置文件和网络映射等信息,或者攻击者也可以启动拒绝服务攻击,从而排空系统资源或使其无法被其他用户访问。

服务有时可能会有在开发和测试过程中没有被注意的漏洞;这些漏洞(如缓冲区溢出,攻击者会使用填充应用内存缓冲区的任意值使服务崩溃,从而给予攻击者一个交互式命令提示,他们可以从中执行任意命令)可以为攻击者提供完整的管理控制。

管理员应确保服务不以 root 用户身份运行,并且应保持对来自供应商或安全组织(如 CERT 和 CVE)的应用程序的补丁和勘误表更新。

应用程序漏洞

攻击者在桌面和工作站应用程序(如电子邮件客户端)中发现故障,执行任意代码,为将来的入侵或崩溃系统而模仿 Trojan 马车。如果被入侵的工作站在网络其余部分上具有管理特权,则可能会进一步利用。

工作站和桌面更易被利用,因为工作者不具备防止或检测到威胁的专业知识或经验;必须告知个人在安装未授权软件或开放非请求电子邮件附件时所承担的风险。

可以实施保护,使电子邮件客户端软件不自动打开或执行附件。此外,使用红帽网络自动更新工作站软件;或其他系统管理服务可以减轻多套安全部署的负担。

拒绝服务(DoS)攻击

攻击者或攻击者组通过向目标主机(服务器、路由器或工作站)发送未经授权的数据包,针对组织的网络或服务器资源进行协调。这会强制资源对合法用户不可用。

美国报告的最新 DoS 问题单在 2000 年发生。使用具有高带宽连接的几个具有高带宽连接的系统作为僵停或重定向广播节点,一个协调的 ping 攻击使一些高流量商业和政府站点不可用。

源数据包通常会伪造(以及重播),从而使调查攻击的真正来源变得困难。

使用 iptables 和 Network Intrusion Detection 系统(如 snort)帮助管理员跟踪并防止分布式 DoS 攻击,从而在入口过滤(IETF rfc2267)中进行入口过滤(IETF rfc2267)。