作者 主題: 請問各式攻擊手法  (閱讀 14277 次)

0 會員 與 1 訪客 正在閱讀本文。

flwuqo

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
請問各式攻擊手法
« 於: 2007-12-17 17:50 »
各位學長資深工程師大大們您好:
我想請教一下,一般來說,一般講網路資安中,常見的攻擊手法有哪些丫?

我只知道木馬、蠕蟲、dos、ddos還有其他的嗎?

那一般防制作法該如何做呢?

ps.(以linux系統為主)


能請各位學長們幫我指點指點嗎?
linux真的很深奧~一直努力的學~卻無法更靠近一步~
好好加油~這是對自己的挑戰~

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1344
    • 檢視個人資料
    • http://darkranger.no-ip.org
回覆: 請問各式攻擊手法
« 回覆 #1 於: 2007-12-17 18:00 »
為何而問?

flwuqo

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
回覆: 請問各式攻擊手法
« 回覆 #2 於: 2007-12-18 09:07 »
為何而問?
因為,我想提升伺服器的安全性,但我目前只知道一些手段而已,
不是說,要知道怎防人家,就要先了解人家怎麼攻擊嗎?
我把ports開至幾個特定的服務,在針對防火強去加強,
但是,一般的蠕蟲和木馬,我該怎麼清丫,在linux上有防毒軟體嗎?
@"@
linux真的很深奧~一直努力的學~卻無法更靠近一步~
好好加油~這是對自己的挑戰~

有Linux真好

  • 活潑的大學生
  • ***
  • 文章數: 271
    • 檢視個人資料
回覆: 請問各式攻擊手法
« 回覆 #3 於: 2007-12-18 09:15 »
為何而問?
因為,我想提升伺服器的安全性,但我目前只知道一些手段而已,
不是說,要知道怎防人家,就要先了解人家怎麼攻擊嗎?
我把ports開至幾個特定的服務,在針對防火強去加強,
但是,一般的蠕蟲和木馬,我該怎麼清丫,在linux上有防毒軟體嗎?
@"@

1.PORT開愈少愈好,有的做法是web一台主機只開80、FTP一台主機只開21、Mail一台主機只開110。
2.勤補洞。
3.請在google大神中搜尋”Linux 防毒”。
希望 Linux 在台灣家庭的普及率可以快速提升。
困難點1: 線上遊戲大都不支援。
困難點2: 大家都用XP習慣了。不過現在換VISTA了,操作位置好像又大挪移了,那換Linux也不是一樣了嗎? 反正都要重新適應。

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
回覆: 請問各式攻擊手法
« 回覆 #4 於: 2007-12-18 09:19 »
rkhunter

去下載來測試一下。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8823
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: 請問各式攻擊手法
« 回覆 #5 於: 2007-12-18 09:25 »
1.PORT開愈少愈好,有的做法是web一台主機只開80、FTP一台主機只開21、Mail一台主機只開110。
一般來說,這樣的觀念不是很正確。

開PORT跑服務,本來就是很正常的事情;問題在於,你所搭配的安全機制是否完善?

一如,你把整台機器關閉到只有PORT 80在跑,然後網頁撰寫的一塌糊塗時,難保不會因為忽略各種安全機制,而被藉由網頁佔領整台電腦?


我有碰過天才,因為想要收root的信(據苦主說,是因為主管要用 root 這個帳號,覺得這樣子才是 「主管」 ),結果整台機器聽說沒半個月就淪陷,成為參與攻擊 FBI 的一個跳板。

---
有時候,我們會修改對外服務的 PORT,或者用其他機制將其隱藏起來,主要是預防人家隨意的攻擊造成閱讀 LOG 訊息的困擾,與降低可能被對方硬敲開大門的機會。

要對付被硬敲開大門的可能,通常就是要依靠填補漏洞,依靠各種更新與修補的機制,讓可能性降低。
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

newness

  • 可愛的小學生
  • *
  • 文章數: 13
  • 性別: 男
  • 小白
    • 檢視個人資料
    • Newness's Blog
回覆: 請問各式攻擊手法
« 回覆 #6 於: 2007-12-18 12:11 »
如果妳要以攻擊Linux系統為主而不是針對 網頁程式漏洞,
小弟再補充幾個方向作為參考:
利用 程式的Bug 作 緩衝區溢位攻擊,最常見的是 stack smashing , 最早的 worm 也是利用此一弱點散佈,
另外,像是以suid 方式來偷取 某主機 的 root privilege,
在網路方面還可以利用 sniffer 方式來偷取封包訊息,
或 TCP Hijacking 來擷取通訊。


Newness

有Linux真好

  • 活潑的大學生
  • ***
  • 文章數: 271
    • 檢視個人資料
回覆: 請問各式攻擊手法
« 回覆 #7 於: 2007-12-18 12:17 »
1.PORT開愈少愈好,有的做法是web一台主機只開80、FTP一台主機只開21、Mail一台主機只開110。
2.勤補洞。
3.請在google大神中搜尋”Linux 防毒”。

第一項其實還是有他的優點的,但是前題還是要做到第2項的勤補洞,為什麼要勤補洞呢?因為作業系統不可能沒有漏洞,沒有漏洞就不叫作業系統了!只是發現了新的漏洞而且有了修正檔,就要快點去修正,當然修正完不代表就沒漏洞了,所以還是要靠少開Port,沒必要就不要開,以免未知的漏洞而被滲透。總之,Port愈多漏洞愈多。

每個服務分開的優點是每台主機只開一個Port,漏洞相對少很多,而且就算被入侵,只要第一時間發現,受害的只是其中一項服務而已,傷害也可減至最低。

而IP數量的問題,其實也不需要很多個IP,可以用同一個IP再做Port重新導向即可。

當然也不是沒有缺點啦,缺點就是需要比較多台的電腦,花費比較多吧!

關於『因為主管要用 root 這個帳號,覺得這樣子才是 「主管」』。我會這樣跟我主管說:root 是伺服器『管理員』不是『主管』。
« 上次編輯: 2007-12-18 12:22 由 有Linux真好 »
希望 Linux 在台灣家庭的普及率可以快速提升。
困難點1: 線上遊戲大都不支援。
困難點2: 大家都用XP習慣了。不過現在換VISTA了,操作位置好像又大挪移了,那換Linux也不是一樣了嗎? 反正都要重新適應。

flwuqo

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
回覆: 請問各式攻擊手法
« 回覆 #8 於: 2007-12-18 12:50 »
各位學長的建言我大概了解啦!

像有學長提到的rkhunter ,我早前就測試過了,目前還算安全,我也會每天比對,我實體防火強上的記錄與我log檔的記錄是否相符,
若在log記錄遺失的,我一般會將認定為有害ip,直接從防火強擋掉,接著port的問題,我只開了80、443port,
為了防止所謂的ddos攻擊,所以我在iptables下面也設定一個規則,就是每秒只能允許五個ip,最多服務一百個ip,然後也做ip過濾,不能有重複的,
超過的ip就拒絕,當然這是iptables的規則,我在實體防火強上,也有開啟此類攻擊的防範措施,
另外我也把ping的功能關掉,至於說網頁程式的部分,這就要思考一下了,因為程式撰寫是另一位工程師所撰寫的,不過具他表示,有將安全機制考慮進去了,
然後安全性更性方面,我每天都會去查看是否有新的更新,一有更新,我會進行更新動作,


然後有學長談到,那個緩衝區溢位攻擊,那個是指什麼?該怎麼防範呢?
接著,網路蠕蟲和木馬真的超多的,我該如何有效的增強伺服器安全?rkhunter夠用嗎?
linux真的很深奧~一直努力的學~卻無法更靠近一步~
好好加油~這是對自己的挑戰~

newness

  • 可愛的小學生
  • *
  • 文章數: 13
  • 性別: 男
  • 小白
    • 檢視個人資料
    • Newness's Blog
回覆: 請問各式攻擊手法
« 回覆 #9 於: 2007-12-18 13:05 »
所謂的緩衝區溢位(Buffer Overflows)是程式的Bug,
也可以說是 C 語言的致命傷 (因為Linux系統下大多採用C code),
Why?
簡單的說,你的 process 在 user mode中會預先配置好妳在程式中所定義的變數,
像是int c,  char buffer[120];     etc.............
這些會配置在固定的位置 (會這樣說是因為 程式中利用 malloc 來配置記憶體是 從 heap 中取得的),
而 該 process 中的 stack 是用來存放比如 函數呼叫時,必須先將現在所使用到的變數或一些資料push 到該 stack 中,
等到函數返回時,要拿回來用。
最重要的是 user mode 的 process 結構中 又包含了 程式的 return address,
因為這些位置是相鄰的,
所以妳可以透過輸入一個過長的 input ,
又因為標準 C 語言的錯誤,許多功能像是 gets()之類的,
是不會檢查使用者輸入的長度,
因此造成邊界檢查的 Loss ,
如果覆寫到 return address (有些書上提到是用 EIP 暫存器存的),
就會使程式 Crash (Segmentation fault),
有心一點,妳可以猜中返回位置,並 fork 一個 shell ,
這時候就隨便妳做妳想做的事了啊!!

Newness

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
回覆: 請問各式攻擊手法
« 回覆 #10 於: 2007-12-18 14:12 »
很簡單的常見類型
作業系統與程式軟體本身的缺陷與弱點
木馬與後門程式 : Netbus , BO2K, IcqTrojan…
病毒 : IloveU,BugBear,Klez………
病蟲 : Nimda,CodeRed,MSBlaster…
惡意程式碼 : Java Applet ,ActiveX..
阻斷服務 : Dos,Ddos,Smurf attack,Syn flood attack….
..................................

現在的攻擊大多光明正大利用HTTP和EMAIL的途徑
傳統防火牆的防護其實已經不足夠

一般的防護分為主機型和網路型
主機型廠商不太敢賣
因為怕影響主機原有的服務 責任釐清很麻煩
市面常見的都是網路型的防護

根據統計大多數的攻擊來自企業內部而不是外部
這是防護最容易疏忽的地方

其實可以先去TIPPINGPOINT FORTINET JUNIPER CISCO...的網站看一些技術資料
了解一下這些賣錢的玩意都在做什麼
再回頭做自己的研究會比較有頭緒
佈線深似海!
網路高如天!

newness

  • 可愛的小學生
  • *
  • 文章數: 13
  • 性別: 男
  • 小白
    • 檢視個人資料
    • Newness's Blog
回覆: 請問各式攻擊手法
« 回覆 #11 於: 2007-12-18 14:51 »

現在的攻擊大多光明正大利用HTTP和EMAIL的途徑
傳統防火牆的防護其實已經不足夠

根據統計大多數的攻擊來自企業內部而不是外部
這是防護最容易疏忽的地方

有同感,裝防火牆只是心安的(不過還是要裝,但不是一勞永逸),
透過SQL injection, or else.....一樣可以攻擊server,
寫程式的作者原意很善良,只是沒想到有人可以這麼搞而已,
不過我認為寫程式的人還是有責任擋掉,
小心的coding,遠比妳裝了個 firewall ,
裡頭還有個存在漏洞的 daemon來的好!

Newness

flwuqo

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
回覆: 回覆: 請問各式攻擊手法
« 回覆 #12 於: 2007-12-18 15:20 »
嗯~十分認同~~所謂的安全防護,也只能盡力做到最好,
但還是會有不足的地方,所以只能想,還有哪邊還不足,
對於緩衝溢位的攻擊法,我之前有爬過一個文,不知對不對,
內容是寫,一般懶的管理者,會將磁區分成/、/ext3、swap
就因為如此,整個目錄都在一起了,當然攻擊也就這麼來了,
只要有心的人,努力去try,造成你的根目錄記憶體滿載,
造成你伺服器掛點,是這樣子嗎?文章中建議還是乖乖的
把/home/var/etc等重要的目錄,各別切割開來,是嗎?

有錯的話,還請各位學長指正我一下!
linux真的很深奧~一直努力的學~卻無法更靠近一步~
好好加油~這是對自己的挑戰~

newness

  • 可愛的小學生
  • *
  • 文章數: 13
  • 性別: 男
  • 小白
    • 檢視個人資料
    • Newness's Blog
回覆: 回覆: 請問各式攻擊手法
« 回覆 #13 於: 2007-12-18 16:36 »
對於緩衝溢位的攻擊法,我之前有爬過一個文,不知對不對,
內容是寫,一般懶的管理者,會將磁區分成/、/ext3、swap
就因為如此,整個目錄都在一起了,當然攻擊也就這麼來了,
只要有心的人,努力去try,造成你的根目錄記憶體滿載,
造成你伺服器掛點,是這樣子嗎?文章中建議還是乖乖的
把/home/var/etc等重要的目錄,各別切割開來,是嗎?

有錯的話,還請各位學長指正我一下!

第一次聽到對 BOA (Buffer Overflow Attack)有這樣的見解,
BOA的問題指出,程式的確很有可能存在弱點而遭到BOA,
若妳有興趣可以參照  Wiki

另外,妳提到的是伺服器的磁碟管理,
我想妳對於什麼目錄有什麼功用應該有所了解,
自然知道Server 上要如何決定你的目錄是要獨立成一個partition or not
« 上次編輯: 2007-12-19 17:56 由 newness »
Newness

flwuqo

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
回覆: 請問各式攻擊手法
« 回覆 #14 於: 2007-12-19 15:40 »
報告學長~我又重新了解了緩衝區溢位的手法了~
不過爬了半天,還是不太了解,該如何去防範,
能教我嗎?目前看來這一點的攻擊方式,我完全沒折,
只能等人家來殺= ="

可以的話,能指導我這個丫呆嗎?

另外,我去找了一下linux的防毒軟體,雖然日前還是以
windows的病毒最多,所以linux的防毒還是以防windows為主要,
還是有防linux的功能啦,當然相對蠕蟲、木馬都能清,不過,好像,
沒有比較好的軟體場商有提供厚,能請各位有用過linux防毒軟體的學長,
能推薦我一套優良的防毒軟體嗎?
linux真的很深奧~一直努力的學~卻無法更靠近一步~
好好加油~這是對自己的挑戰~

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1344
    • 檢視個人資料
    • http://darkranger.no-ip.org
回覆: 請問各式攻擊手法
« 回覆 #15 於: 2007-12-19 19:42 »
引述: flwuqo
報告學長~我又重新了解了緩衝區溢位的手法了~
不過爬了半天,還是不太了解,該如何去防範,
能教我嗎?目前看來這一點的攻擊方式,我完全沒折,
只能等人家來殺= ="
可以的話,能指導我這個丫呆嗎?
作為使用者而不是開發者,你永遠沒辦法保證所使用的軟體不會有漏洞
多注意資安報告與更新發佈,能做到的就是這樣。
引述: flwuqo
另外,我去找了一下linux的防毒軟體,雖然日前還是以
windows的病毒最多,所以linux的防毒還是以防windows為主要,
還是有防linux的功能啦,當然相對蠕蟲、木馬都能清,不過,好像,
沒有比較好的軟體場商有提供厚,能請各位有用過linux防毒軟體的學長,
能推薦我一套優良的防毒軟體嗎?
這應該先視服務而定
不是所有的服務類型都有安裝防毒軟體的必要。

newness

  • 可愛的小學生
  • *
  • 文章數: 13
  • 性別: 男
  • 小白
    • 檢視個人資料
    • Newness's Blog
回覆: 請問各式攻擊手法
« 回覆 #16 於: 2007-12-20 15:56 »
老話一句:做資安的永遠要不斷地 Update 自己的想法!

關於緩衝區溢位
請相信Linux 系統也不是省油的燈,
請確認您的系統是否有開啟 ASLR ,
正確的說是 Address Space Layout Randomization,
這樣可以保證想搗蛋的人成功率會降低很多,
據我所知,Windows Vista 是 MS 第一個具有 ASLR 功能的 自家版本,
但是隨機樣本似乎只有 256種,
而Linux 有上千種。

如何開啟或查看是否有開啟,請爬我之前的文。
Newness

flwuqo

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
回覆: 請問各式攻擊手法
« 回覆 #17 於: 2007-12-20 16:53 »
老話一句:做資安的永遠要不斷地 Update 自己的想法!

關於緩衝區溢位
請相信Linux 系統也不是省油的燈,
請確認您的系統是否有開啟 ASLR ,
正確的說是 Address Space Layout Randomization,
這樣可以保證想搗蛋的人成功率會降低很多,
據我所知,Windows Vista 是 MS 第一個具有 ASLR 功能的 自家版本,
但是隨機樣本似乎只有 256種,
而Linux 有上千種。

如何開啟或查看是否有開啟,請爬我之前的文。


呵~學長~~~
我去爬了你的文…是教如何關閉的= =
沒有教開啟…所以我自己去試你的指令…
sysctl -w kernel.randomize_va_space=1
sysctl -w kernel.randomize_va_space=2
sysctl -w kernel.randomize_va_space=3
.
.
.
.
.sysctl -w kernel.randomize_va_space=?
都能用耶= =
後面的數字是什麼意思丫~~~
剛去google大神查~
都是寫vista的aslr~
一直在說vista不輸linux的安全性了~~
所以才不恥下問~前來請教學長~~開啟及查看該怎麼使用?
linux真的很深奧~一直努力的學~卻無法更靠近一步~
好好加油~這是對自己的挑戰~

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1344
    • 檢視個人資料
    • http://darkranger.no-ip.org
回覆: 請問各式攻擊手法
« 回覆 #18 於: 2007-12-20 18:30 »
引述: flwuqo
所以才不恥下問~前來請教學長~~開啟及查看該怎麼使用?
我的媽啊,又一個不恥下問的....

tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
Re: 回覆: 請問各式攻擊手法
« 回覆 #19 於: 2013-02-27 09:03 »
老話一句:做資安的永遠要不斷地 Update 自己的想法!

關於緩衝區溢位
請相信Linux 系統也不是省油的燈,
請確認您的系統是否有開啟 ASLR ,
正確的說是 Address Space Layout Randomization,
這樣可以保證想搗蛋的人成功率會降低很多,
據我所知,Windows Vista 是 MS 第一個具有 ASLR 功能的 自家版本,
但是隨機樣本似乎只有 256種,
而Linux 有上千種。

如何開啟或查看是否有開啟,請爬我之前的文。


呵~學長~~~
我去爬了你的文…是教如何關閉的= =
沒有教開啟…所以我自己去試你的指令…
sysctl -w kernel.randomize_va_space=1
sysctl -w kernel.randomize_va_space=2
sysctl -w kernel.randomize_va_space=3
.
.
.
.
.sysctl -w kernel.randomize_va_space=?
都能用耶= =
後面的數字是什麼意思丫~~~
剛去google大神查~
都是寫vista的aslr~
一直在說vista不輸linux的安全性了~~
所以才不恥下問~前來請教學長~~開啟及查看該怎麼使用?
個人在3C維修公司擔任MIS,從另一個實務角度提供一些資訊o
第一. 公司從客人送修的3C產品中推斷,台灣家用電腦(XP.Vista.Windows 7,而且非商用,因為商用3C維修公司無法統計)中KAVO病毒的比例高達80%以上,是全世界中KAVO比率最高的國家
第二. 病毒攻擊型態改變:以往KAVO是由外接儲存裝置作媒介,現在已出現在社交網站.E-MAIL
第三. KAVO病毒雖未發現在iPhoe.Android裝置上可以運作,未來就難說了
第四. 公司已發現了一個案例,網路攻擊的發起是由個人電腦(Vista)發起的,推斷是長達3個月甚至1年的收集資料才發動功擊,共發現DNS.DDos.SQL injection.Web Attack.Stack Overlflow為主,其餘的試探性也滿多的,如phpbb等,而且主要攻擊都很精準的攻擊成功,如何精準的攻擊成功就不便說清楚了,只能說連只有特定IP可以連入的主機一樣被攻擊


大概列了一些,但有個共通點,發起和入侵點在終端設備,不是主機
另外安不安全,很難說o以KAVO為例,台灣自稱自己很先進,但.....為何KAVO都已經流行了5年以上了,台灣家用電腦的感染率比大陸的60%高出許多,那台灣的家用電腦的KAVO感染率會不會降低,絶對不會降低,客人的一句話"微軟告訴我他們的作業系統是安全的,我又沒裝非法軟體"o

另外提一下,對此類的綜合攻擊,如果單純用擋IP是不行的,因為試過擋下上萬個IP,卻是一點用處也沒有o而如果不幸用的是FreeBSD會非常非常的忙碌,因為ipfw.pf只有一種防護那就是擋IP,但成千上萬的IP一起攻擊再加上正常的IP連線根本難以分清o此時Linux的limit.log.syn.state和自製的ratelimit就可讓正常的可以運作,非正常的可以即時作成log向isp反應或加入drop中
« 上次編輯: 2013-02-27 09:30 由 tonyvan123 »